GDPR不同于其前身《数据保护指令95/46/EC》,它不是一个指令而是一个法规。这意味着它将直接生效并且应用到欧盟所有的成员国,由此可缩短实施时间并确保实现一致性。如果您的公司无法符合GDPR, 就可能面临高达全球营业额的4%或2000万欧元的行政处罚(取两者之一更高)。
面对国内外日益完善的个人隐私立法,企业如何才能做到合规?SGS凭借全球资源对欧盟GDPR以及各国个人数据、隐私保护法规、标准的进行解读,积累了一定的研究成果。
《通用数据保护条例》(GDPR)于2016年4月27日在欧盟官方刊物上发表。暂缓期为二年,
于2018年5月25日正式生效。
GDPR旨在:
确立个人数据的保护是人权;
定义个人数据保护的原则和规章;
加强产品或服务提供者与他们所服务的人之间的信任。
GDPR的核心内容是确立在处理个人资料的七项个人权利。任何正在处理这些数据的组织都需要确保这些权利得到保护。处理在GDPR中被定义为任何自动或手动操作,如收集、记录、组织、结构、存储、调整或变更、检索、咨询、使用、传输披露、传播或以其他方式提供、排列或组合、限制、删除或销毁。(如下图)
| 数据权利 | 描述 | 例子 |
| 访问权 | 允许个人索取本人资料的副本 | 银行客户有权请求个人数据记录的副本,包括地址,电话等。 |
| 纠正权 | 允许个人更改本人信息 | 宽带客户有权要求ISP提供持有的信息,以更新他的联系电话。 |
| 删除权 | 允许个人删除本人信息 | 一位美容店的顾客有权要求他的信息被删除,因为他不再是商店会员或顾客,因此他不会被要求进行新的促销活动。 |
| 限用权 | 除非法律相关需求,允许个人禁止本人信息被使用 | 建筑师有权要求他的前任雇主投标时不使用他的简历,但他可保留他的名字在旧记录上,以记录法律责任。 |
| 可携权 | 允许个人将本人信息从一个机构带到另一个机构 | 保险客户有权要求将其个人资料转移到另一家保险公司,如果该行业存在一种通用的电子格式,保险公司也应提供该通用电子格式的记录。 |
| 拒绝权 | 允许个人拒绝直接营销或类似的目的 | 使用电子邮件推行业务的营销公司应提供”退订“链接。 |
| 干预权 | 禁止控制者或处理者在未经明确同意的情况下自动对任何人进行评估 | 社交网络在分析用户行为之前,应征求 提供有针对性的广告的明确同意。 |
GDPR包含以下内容:
组织的需求(欧盟代表处,数据保护主任,同意记录之存档,合同要求等);
个人的7个数据权利;
认证方案;
成员国监督;
建立欧盟数据保护委员会;
其他法律程序。
为了应对及符合GDPR,您应立即:
1. 任命一名数据保护主任。(第三十七条)
2. 培训您的员工。(第四十七条)
3. 识别在您的组织的个人资料及相关处理活动。(第三十条)
4. 确定个人的7个数据权利的处理方案。(第15-22条)
5 .确定您的公司在欧盟的主要办事处,从而确定带头的监督机构。(第四条)
6. 如果您没有在欧盟设立任何机构,您仍然需要一个驻欧盟代表(第二十七条)。然而,在这种情况下,从欧盟第二十九条数据保护工作组的澄清文件wp244点2.2中,将没有带头的监督机构。然后公司将需要遵守所有适用的监督机构的规定。
7. 证明合规。(第5.2、24.3条)
信息提交成功