本文旨在为在中国运营的公司提供对 GDPR 合规性的全面了解。 

该条例旨在加强有关数据保护的法律，从而使欧盟 (EU) 公民能够控制其个人数据，同时保护欧盟内部的基本权利和自由、安全和平等。

用户拥有他/她产生的所有数据。用户可以向以下任何实体询问有关数据和流程的信息。

欧洲数据保护委员会由每个成员国的监管机构负责人和欧洲数据保护监督员组成。

每个成员国都必须建立一个公共机构。监管机构负责监督该条例的应用，以保护用户在处理方面的基本权利和自由。

处理个人数据的任何个人、公司或组织

控制者- 控制者是负责确保和记录用户数据是根据法规处理的任何公司或组织。

与代表控制者进行处理的“处理者”相比，“控制者”是确定处理个人数据的目的和方式的实体。

在这方面，在欧盟 28 个成员国中没有任何直接业务但有网络存在的中国公司也必须在其隐私政策中实施 GDPR。

这是因为正在收集个人数据或行为信息，如果这些人是欧盟居民，那么公司就要遵守 GDPR 的要求。

该条例规定，同意必须由数据主体自由给予。因此，必须以清晰、准确且不含糊的语言请求同意。 

此外，同意必须是可区分的和可访问的。数据主体有权随时撤回同意，撤回必须像同意一样简单。

GDPR 赋予欧盟公民访问组织持有的数据的权利，并查询处理数据的原因和方式。控制者和处理者有一个月的时间来满足这些要求。进一步的请求可能包括信息的存储时间和访问权限。

GDPR 还要求公司使用通俗易懂的语言来清楚地传达条款和条件等内容。此外，数据主体有权修改保留的有关他们的任何个人数据。公司应该提供一个安全的流程，个人可以在其中直接访问他们的数据。

欧盟公民现在可以要求公司从公司的服务器中删除他们的个人数据。公司有权在一段时间内保留数据记录，以防出现法律索赔。 

根据 GDPR 要求，个人数据必须在时间过后安全销毁。此外，确保数据安全处置的技术和组织措施。

该法规旨在在公司侵犯其权利时保护欧盟公民。如果个人对控制者不满意，则有权向监管机构提出投诉。然后监管机构有义务进行相应的调查。如果一家公司未能在三个月内处理投诉，欧盟公民有权将案件告上本国法院。

数据主体还有权获得赔偿和免费法律咨询。不遵守规定可能会导致巨额经济处罚。 

监管机构可以对不合规的控制者和处理者处以高达上一年年营业额 4% 的罚款。 

更加强调能够向监管机构证明合规性。对于中国的组织，这意味着可以检查的隐私合规计划。 

组织必须尊重增强的数据主体权利（访问、修改和删除的权利），以避免被报告给相关监管机构。

如果发生可能导致高风险的安全漏洞，控制者必须在 72 小时内通知监管机构和受影响的数据主体。 

数据泄露的描述必须清晰准确。此外，公司必须考虑改进安全措施以避免进一步的数据泄露。