什么是gdpr?
欧洲联盟一般数据保护条例(GDPR)是一项数据保护裁决,在2018年生效。它创建了一套指导和权力,以保护所有欧盟公民的个人数据。GDPR适用于任何组织 - 不仅仅是基于欧盟的组织 - 管理欧盟居民和欧洲经济区(EEA)自由贸易区内的任何人的数据管理数据。
GDPR摘要
GDPR建立了三个主要类数据方:数据主题,控制器和处理器。(第28A条)。
“数据主题”是收集数据的人。“控制器”是确定数据主体个人数据处理的条件,目的和手段的组织。“处理器”是一个组织,用于代表控制器处理个人数据。
在GDPR,控制器和处理器下可以基于世界上的任何地方 - 包括美国。这是欧盟老欧盟规则的一大大变化。
不遵守的罚款已发生变化,也远远高于旧规则。例如,数据保护监督机构可能会征收罚款和罚款高达4%的年度营业额或2000万欧元,以较高者为准。
关键原则
GDPR的主要司机是欧盟建立数字单一市场的目标。以下原则推动了您的GDPR要求。
透明度
所有数据受试者都有权了解个人数据处理和目的。他们必须明确同意。(第7,10,11和12条)。GDPR标志着大多数企业的巨大转变。您必须将数据处理的Mindset更改为退出以选择。
合法的目的
GDPR在允许处理个人数据的情况下定义特定条件(第6条)。如果这样做是必要的,您可以处理个人数据:
- 提供产品或服务主题所要求的
- 遵守法律义务
- 保护数据主体或其他任何人的重要利益
- 在公共利益或归属于您的官方权力下执行任务
- 追求其他合法利益 - 除非他们与数据主体的利益或基本权利和自由冲突,特别是儿童
比例为
通过GDPR,任何个人数据处理的级别必须与收集它的目的成比例。这意味着尽可能少收集数据,并保持不需要超过客户服务。
您必须保持数据准确,最新。你必须保护其保密性和完整性。
GDPR政策要求解释
在GDPR的核心,隐私要求和执法权力更强,包括:
- 要删除的权利(首先被称为“被遗忘的权利”)。当您没有有效的理由保留数据和数据主题时想要一些或所有数据都删除,您必须这样做。(第17条)。对于云和电子邮件服务提供商,符合此规则可能是艰难的。提供商经常跨可用区域,备份和档案分割数据。
- 个人数据不仅仅是用于识别“自然人”的数据。在GDPR下,它包括元数据。这包括IP地址,SIM卡ID,手机号码,生物识别数据,甚至存储的网站cookie。而GDPR是追溯的。它适用于GDPR之前收集的数据。
- 数据搬运(第20条)。人们有权将数据从一个服务移动到另一个服务 - 并保留数据完整,保护和私密。
- 根据要求,数据控制器必须告知数据主题如果其数据受处理(第15条)。
- 增加受保护数据的治理。这些包括同意的条件,处理记录和更强的违规通知细节(第7,30,33-34条)。
- 处理或存储欧盟公民个人数据可能需要数据保护官(DPO)(第35-37条)GDPR是明确的DPO和其细节的作用。此外,基于EU存在外部的数据控制器和数据处理器必须在数据受试者驻留的欧盟成员状态下安装代表。
- 您必须能够满足严格的违规检测和通知要求(在72小时内意识到它)。
数据保护通过设计,默认和处理安全性
GDPR的三个驾驶指令是数据保护设计那默认, 和处理安全。
数据保护设计指的是手段,保障数据控制器必须采取以满足GDPR。这些包括技术和组织方式。
相似地,默认情况下的数据保护表示您必须仅收集,处理和存储提供商定服务所需的个人数据。(第25和32条)。
处理安全性决定使用正确的技术和组织措施,以确保与披露风险成比例的安全程度。不遵循这些任务可能导致陡峭的GDPR处罚。
不仅仅是客户数据
透明度,合法目的和比例的三个驱动因素适用于客户数据。他们还适用于员工数据。
许多组织收集和处理员工互联网使用信息安全性意味着:停止恶意软件,阻止知识产权转移,保护其他工人的权利等。比例是这里的指南。您必须权衡员工对您自己的安全需求的数据保护权。
了解您的数据
在GDPR规则下,您必须知道您收集,处理和存储的数据类型。例如,除非具体排除申请
确保您拥有收集数据的有效原因的唯一方法是完全理解数据本身。
GDPR合规性清单
GDPR将影响世界各地的许多组织 - 无论他们在哪里都是基于的。并遵守新规则将没有小小的壮举。
以下是寻址GDPR的短gdpr清单:
- 了解您的数据保护指令。这包括客户和员工的数据。
- 运行数据保护影响评估(DPIA)(第35条)。DPIA查看欧盟公民受保护数据的所有接触点。这与数据处理或存储发生的位置无关。DPIA产出应该是详细的风险评估。
- 解决擦除权,数据携带性以及违规检测和通知的权利。这需要强大的企业技术和组织控制,程序和治理。
- 如果您有超过250名员工可能需要进行DPO,即使您在美国。