许多人听说过关于缩写“ GDPR ”的花絮,但是不了解该规定,或者认为它不适用于他们的组织,因为它是欧盟法律。令人惊讶的是,即使没有欧盟地区或附属机构,美国境内的公司也可能因违规而受到巨额罚款。
除了损害声誉的风险之外,不遵守GDPR可能会产生重大的财务后果。数据保护监督机构可能会对全球总营业额征收高达2000万欧元或4%的行政罚款。这应引起关注,并使GDPR合规对组织领导至关重要。(不遵守GDPR也可以使您成为网络犯罪的目标。了解更多关于网络犯罪分子如何使用GDPR作为剥离公司的杠杆。)
它适用于何处?影响是什么?
欧盟于2018年5月25日制定的“通用数据保护条例”(GDPR)旨在确保组织充分保护个人处理个人数据的隐私权。这是20多年来欧盟数据隐私的最重大变化。
GDPR适用于在欧盟拥有企业的所有组织,但也标志着欧盟数据保护制度的地域范围的显着扩展。如果公司满足以下一个或多个条件,则会触发这种域外范围:
向欧盟公民提供商品和服务
监督欧盟公民的行为(例如,通过在网站上使用cookie)
个人数据在欧盟的企业(例如,附属公司)的背景下处理
公司如何证明符合GDPR?
GDPR规定了所有组织在处理个人数据时必须遵守的七项主要原则:
合法,公平和透明
处理个人数据必须有法律依据,处理原因必须对数据主体透明。
目的限制
必须为指定的,明确的和合法的目的收集个人数据,而不是以与这些目的不相容的方式进一步处理。
数据最小化
收集的所有个人数据必须限于与收集目的相关的必要数据。
准确性
个人数据必须准确,并在必要时保持最新。
存储限制
个人数据必须以允许识别数据主题的形式保存,其时间不得超过处理个人数据的目的。
诚信和保密
必须以确保个人数据的适当安全性的方式处理个人数据。
问责制
控制器应负责并能够证明符合原则。
问责制是GDPR下最重要的新要求之一。问责意味着组织必须证明其符合GDPR。公司必须能够证明合规性符合问责制要求,其中包括:
必要时任命数据保护官员或当地代表
完成和维护数据处理活动的记录
评估适当的数据安全级别并实施适当的技术和组织安全措施
通过设计和默认实施数据保护并记录所采取的措施; 必要时进行数据保护影响评估
这是关于保护个人的数据隐私权!
GDPR将“数据主体”定义为“已识别或可识别的自然人”。换句话说,欧盟公民可能是员工,客户,供应商或其他公司收集与业务有关的信息的公司和/或其他人或操作。GDPR还为其数据主体阐明了某些权利:
信息权
数据主体有权获知其个人数据的收集和使用。
访问权
如果处理数据主体的个人数据,他们有权访问此信息并获取副本。
整改权
如果数据主体不准确或不完整,则有权对其个人数据进行纠正。
擦除权
使数据主体能够请求删除或永久删除数据,包括备份系统。
限制处理的权利
数据主体可能会要求公司限制其个人数据的处理。
数据可移植性
数据主体可以提交以结构化,常用和机器可读格式接收其个人数据的请求,或者指示其个人数据直接传输到另一个数据控制器。
对象权
数据主体有权反对处理其个人数据。
自动决策(包括分析)
该权利的目的是为数据主体提供保护措施,防止在没有人为干预的情况下进行潜在破坏性决策的风险。
撤回同意
必须允许数据主体随时撤回任何同意(例如,同意接收营销电子邮件等)而不受处罚。
组织应制定程序来响应有关上述权利的数据主体请求(DSR)。法律依据,处理数据或其他因素将决定您的组织如何响应DSR,因此必须咨询具有GDPR专业知识的法律专业人士。
