GDPR不同于其前身《數(shù)據(jù)保護(hù)指令95/46/EC》,它不是一個(gè)指令而是一個(gè)法規(guī)。這意味著它將直接生效并且應(yīng)用到歐盟所有的成員國,由此可縮短實(shí)施時(shí)間并確保實(shí)現(xiàn)一致性。如果您的公司無法符合GDPR, 就可能面臨高達(dá)全球營業(yè)額的4%或2000萬歐元的行政處罰(取兩者之一更高)。
面對國內(nèi)外日益完善的個(gè)人隱私立法,企業(yè)如何才能做到合規(guī)?SGS憑借全球資源對歐盟GDPR以及各國個(gè)人數(shù)據(jù)、隱私保護(hù)法規(guī)、標(biāo)準(zhǔn)的進(jìn)行解讀,積累了一定的研究成果。
《通用數(shù)據(jù)保護(hù)條例》(GDPR)于2016年4月27日在歐盟官方刊物上發(fā)表。暫緩期為二年,
于2018年5月25日正式生效。
GDPR旨在:
確立個(gè)人數(shù)據(jù)的保護(hù)是人權(quán);
定義個(gè)人數(shù)據(jù)保護(hù)的原則和規(guī)章;
加強(qiáng)產(chǎn)品或服務(wù)提供者與他們所服務(wù)的人之間的信任。
GDPR的核心內(nèi)容是確立在處理個(gè)人資料的七項(xiàng)個(gè)人權(quán)利。任何正在處理這些數(shù)據(jù)的組織都需要確保這些權(quán)利得到保護(hù)。處理在GDPR中被定義為任何自動或手動操作,如收集、記錄、組織、結(jié)構(gòu)、存儲、調(diào)整或變更、檢索、咨詢、使用、傳輸披露、傳播或以其他方式提供、排列或組合、限制、刪除或銷毀。(如下圖)
| 數(shù)據(jù)權(quán)利 | 描述 | 例子 |
| 訪問權(quán) | 允許個(gè)人索取本人資料的副本 | 銀行客戶有權(quán)請求個(gè)人數(shù)據(jù)記錄的副本,包括地址,電話等。 |
| 糾正權(quán) | 允許個(gè)人更改本人信息 | 寬帶客戶有權(quán)要求ISP提供持有的信息,以更新他的聯(lián)系電話。 |
| 刪除權(quán) | 允許個(gè)人刪除本人信息 | 一位美容店的顧客有權(quán)要求他的信息被刪除,因?yàn)樗辉偈巧痰陼T或顧客,因此他不會被要求進(jìn)行新的促銷活動。 |
| 限用權(quán) | 除非法律相關(guān)需求,允許個(gè)人禁止本人信息被使用 | 建筑師有權(quán)要求他的前任雇主投標(biāo)時(shí)不使用他的簡歷,但他可保留他的名字在舊記錄上,以記錄法律責(zé)任。 |
| 可攜權(quán) | 允許個(gè)人將本人信息從一個(gè)機(jī)構(gòu)帶到另一個(gè)機(jī)構(gòu) | 保險(xiǎn)客戶有權(quán)要求將其個(gè)人資料轉(zhuǎn)移到另一家保險(xiǎn)公司,如果該行業(yè)存在一種通用的電子格式,保險(xiǎn)公司也應(yīng)提供該通用電子格式的記錄。 |
| 拒絕權(quán) | 允許個(gè)人拒絕直接營銷或類似的目的 | 使用電子郵件推行業(yè)務(wù)的營銷公司應(yīng)提供”退訂“鏈接。 |
| 干預(yù)權(quán) | 禁止控制者或處理者在未經(jīng)明確同意的情況下自動對任何人進(jìn)行評估 | 社交網(wǎng)絡(luò)在分析用戶行為之前,應(yīng)征求 提供有針對性的廣告的明確同意。 |
GDPR包含以下內(nèi)容:
組織的需求(歐盟代表處,數(shù)據(jù)保護(hù)主任,同意記錄之存檔,合同要求等);
個(gè)人的7個(gè)數(shù)據(jù)權(quán)利;
認(rèn)證方案;
成員國監(jiān)督;
建立歐盟數(shù)據(jù)保護(hù)委員會;
其他法律程序。
為了應(yīng)對及符合GDPR,您應(yīng)立即:
1. 任命一名數(shù)據(jù)保護(hù)主任。(第三十七條)
2. 培訓(xùn)您的員工。(第四十七條)
3. 識別在您的組織的個(gè)人資料及相關(guān)處理活動。(第三十條)
4. 確定個(gè)人的7個(gè)數(shù)據(jù)權(quán)利的處理方案。(第15-22條)
5 .確定您的公司在歐盟的主要辦事處,從而確定帶頭的監(jiān)督機(jī)構(gòu)。(第四條)
6. 如果您沒有在歐盟設(shè)立任何機(jī)構(gòu),您仍然需要一個(gè)駐歐盟代表(第二十七條)。然而,在這種情況下,從歐盟第二十九條數(shù)據(jù)保護(hù)工作組的澄清文件wp244點(diǎn)2.2中,將沒有帶頭的監(jiān)督機(jī)構(gòu)。然后公司將需要遵守所有適用的監(jiān)督機(jī)構(gòu)的規(guī)定。
7. 證明合規(guī)。(第5.2、24.3條)
信息提交成功