歐盟GDRP
歐盟通用數據保護法規(GDPR)簡介
通用數據保護法規(GDPR)旨在為歐盟公民提供統一和統一的歐盟隱私保護方法����,并力求增強人們的基本數據保護權利����,如《歐盟基本權利憲章》第8條所述��。經過近四年的審議和辯論�����,GDPR最終于2016年4月14日獲得歐盟議會的批準�。
盡管文件在批準日期后20天生效����,但實施日期定為2018年5月25日�����。準備時間似乎很多�����,但事實是�����,補充了一些重要的變化�����。在本文中����,您可以找到相應的GDPR解釋���。
法規與指令
與以前的數據保護框架(歐盟數據保護指令–指令95/46 / EU)相比�����,第一個變化也是一個根本變化��,是經過多次辯論����,歐盟議會決定在以下地區建立新的隱私框架:以法規而不是指令的形式����。
為什么要制定法規�����?答案很簡單��。法規是具有約束力的立法法案���,直接適用于所有歐盟成員國���,從而無需起草地方立法法案�。但是����,盡管需要地方立法�����,但歐盟GDPR在不同成員國中的解釋和執行方式可能有所不同�。
除了需要一個通用的隱私框架外��,通過制定歐盟GDPR�����,歐盟還傳遞了一個強烈的信息��,即它致力于保護歐盟數據主體的個人數據(數據主體是與個人數據有關的在世個人)�,以及不只是來自在歐盟內部運營的公司���。
?
?
GDPR的額外作用
除了GDPR是什么�,另一個常見問題是歐盟GDPR在哪里適用�?GDPR的域外覆蓋范圍是新功能之一�,它對提高個人數據保護水平做出了重大貢獻��。域外是什么意思����?GDPR可能是最重要的變化之一����,它將享有擴展的適用性����,從而影響那些不在歐盟范圍內建立的實體���。當然��,要使域外適用就必須滿足一些條件����。歐盟GDPR將適用于處理歐盟數據主體的個人數據��,而不管處理活動是否在歐盟進行���。如果EU GDPR為聯盟內的個人提供商品或服務���,則也適用于在歐盟以外建立的實體�。
了解何時適用歐盟GDPR的關鍵是理解“在歐盟中”的含義�。EU GDPR僅適用于有關聯盟內個人的個人數據���,而這些個人的國籍或慣常居住地則無關緊要�����。例如�,一家位于歐盟的公司正在處理位于日本的日本人的數據���,則仍然需要遵守EU GDPR��。因此�,即使個人法律中不存在這些權利��,日本個人也將從歐盟GDPR的所有權利中受益��。
當歐盟以外的公司在歐盟以外處理歐盟公民的數據時���,則不認為這是“聯盟中”����。例如��,EU GDPR不適用于僅位于美國的一所學校��,原因是該校有一個或幾個學生可能是歐盟公民����。在這種情況下�,處理不會在“聯盟中”進行��,個人也不會在“聯盟中”進行��。
域外影響力的后果之一是����,非歐盟地區成立的公司必須任命一名代表����。該代表必須位于相關數據主體所在的成員國����。偶爾處理僅允許有限的克減���,不涉及敏感個人數據的大規模處理����,并且處理的目的和結果不太可能對個人構成風險�����。
跨境傳輸個人數據
傳輸數據時����,GDPR對向歐盟以外地區的傳輸施加了嚴格的限制�。這樣做是為了確保對個人數據的保護達到足夠的水平��。什么時候可以將數據傳輸到歐盟以外的地方�?正如GDPR所解釋的�,如果存在以下情況�,則可能會發生數據從歐盟外轉移:
數據傳輸是GDPR的一個復雜領域�����,尤其是因為同意問題正受到歐盟的質疑����,并且同意被廣泛用于證明個人數據的跨境傳輸是合理的���。因此��,歷來通過用戶同意保護自己的組織可能會發現自己不得不重新設計其數據傳輸框架或面臨高額罰款�����。
保護個人數據安全
歐盟GDPR要求公司像當前指令一樣保護個人數據的安全���。盡管此義務用一般術語表述���,但確實提供了一些與旨在保護個人數據的措施有關的指示�,例如:
上述措施僅是示例�,并非強制性的���,應僅在“適當的情況下”應用���。因此�����,公司有責任證明安全措施適當��。
在安全措施方面的良好做法是ISO 27001標準���,因此公司可以在制定數據保護安全措施時以此為起點���。
控制者與處理者
歐盟GDPR還對數據處理者施加了新的制裁��。這與以前的數據保護法律大相徑庭���,后者的所有義務均以數據控制者為中心�。為了更好地了解什么是GDPR��,重要的是要知道����,除其他外���,數據處理者現在必須保留處理活動的記錄��。
誰是數據處理者����?和以前一樣��,數據處理者是代表控制者處理個人數據的實體(例如法人�,公共機構�����,代理機構或任何其他機構)�����。
?
數據主體的新權利
在重大更新中����,歐盟GDPR引入了針對數據主體的新權利���。這些是:
訪問��,糾正和攜帶的權利
反對權
刪除權和限制處理
這些變化中最引人注目的是人們廣泛討論的“被遺忘權”(現在稱為“刪除權”)�����。這種擦除權可以在某些特定情況下觸發�����,包括數據主體撤回其同意或不再有處理個人數據的正當理由時����。
數據控制者在收到這些請求時必須“沒有不適當的延遲”做出響應�,并且必須通知與之共享此數據的所有實體���。顯然�,對于所有數據主體權利�,都嚴格要求數據控制者清點和映射所保存的個人數據�����,以便能夠“無故拖延”響應數據主體訪問請求(以各種形式)��。
?
有或沒有DPO
根據GDPR����,盡管僅在特定情況下��,某些組織還是有義務任命一名數據保護官:
?
數據泄露與安全
除了為數據主體引入新權利外����,歐盟GDPR還為數據泄露引入了新規則�。與之前的指令相比��,GDPR對數據控制器和數據處理器都施加了義務�����。GDPR還提供了指導和示例�����,以使組織更輕松地降低風險��。其中包括:
個人數據的假名化(意味著以某種方式處理個人數據���,而無需使用其他信息就無法再歸因于特定的數據主體)
在發生物理或技術事件后能夠及時恢復(和訪問)個人數據的可用性的能力
確保處理系統的機密性��,完整性和彈性的能力
添加流程以確保對技術和組織措施進行定期測試和評估���,以確保處理的個人數據的安全性
此外�,對于違規通知�����,組織現在必須符合標準����。首先����,遭受數據泄露的組織現在必須“無故拖延”通知監管機構(成員國根據GDPR第51條設立的獨立公共權力)�����,除非泄露不會對數據主體造成風險�����。如果受影響的個人有風險����,組織還必須將此風險傳達給受影響的數據主體���,同樣要“無故拖延”�。
?
根據GDPR進行的罰款和處罰
為了讓GPDR做出解釋�����,了解數據泄露的不良處理將受到GDPR最高刑罰的懲罰非常重要����。
歐洲議會重申其對隱私的承諾的另一種方式是新的刑罰��,該刑罰比以前的指示要高得多?��,F在�,罰款額可能高達違規公司全球營業額的4%�。像反托拉斯法一樣的巨額罰款背后的邏輯很簡單:對違規行為處以更高的罰款會導致更高的合規水平�����。對于公司而言��,在處理個人數據時僅接受一定程度的風險將變得越來越困難�����,因為現在的處罰已經開始����,可能會使公司屈服����。
根據罰款額�,GDPR的罰款可分為兩類:
在以下情況下���,如果侵權��,則占全球年營業額的2%或1000萬歐元(以較高者為準):
未能報告數據泄露
無法按照GDPR第25條規定的設計原則遵守隱私
沒有任命代表(實體位于歐盟以外的地方)
處理兒童數據時未獲得同意
與處理器簽訂的合同中未制定足夠的數據保護條款
沒有任命數據保護官
未能保持書面記錄
對于更嚴重的違法行為���,例如占全球年營業額的4%或2000萬歐元(以較高者為準):
不遵守GDPR中設定的合法數據處理原則
不符合與歐盟以外的個人數據傳輸有關的規定
不遵守數據主體權利
新的處罰集還補充了數據保護監管機構可以輕松獲得的其他權力�,例如發布不合規警告��,進行審核���,要求在指定時間范圍內進行特定補救���,命令刪除數據以及暫停向第三國的數據傳輸�����。
GDPR在各個司法管轄區的影響
GDPR在各個司法管轄區的影響如何����?對于在德國�,法國或荷蘭等司法管轄區運營的組織���,這些組織的數據保護立法歷來是嚴格的����,在某些情況下甚至超過了現行指令�,GDPR的影響可能會略有不同���。在這些領域中運營的公司將更容易達到GDPR的要求��,因為這些國家/地區的監管機構已經在努力保護個人的權利和自由���。
但是���,對于其他數據保護機構由于缺乏行政權力和幾乎微不足道的罰款而“處于休眠狀態”的司法管轄區�����,組織知道監管機構沒有足夠的資源或實力���,卻忽略了個人權利和自由的風險���。對違反者處以罰款����。特別是處理器����,將在這些轄區受到影響�����,因為到目前為止���,它們從未成為數據保護機構調查的目標����。
向前邁出了一步����?
總體而言�����,GDPR的意義是什么���?毫無疑問���,這是將數據保護法律框架帶入21世紀的必要步驟��,再加上ePrivacy指令的頒布�����,數據保護法從未發生過更根本的轉變�����,也許是因為路易斯·布蘭代斯(Louis Brandeis)認為隱私是正確的����,而不是特權��。
換句話說���,如果您的組織尚未開始全面改革其數據保護框架�����,那么現在將是一個很好的開始時間���。
更多關于GDPR的信息
想要了解更多��?歡迎按照頁面左側指引聯系我們�����,獲取進一步的詳細信息����。
