GDPR 代表是什么?
GDPR 代表一般数据保护立法。这是一项于 2018 年 5 月 25 日生效的欧盟 (EU) 法律。GDPR 管辖我们使用、处理和存储个人数据(有关可识别的活着的人的信息)的方式。它适用于欧盟境内的所有组织,以及向欧盟提供商品或服务或监控欧盟公民的组织。
因此,企业和组织必须明确了解 GDPR 的含义。它是为保护个人信息和敏感数据存储在组织中的数据主体的基本权利而建立的立法力量。数据主体现在有权要求主体访问其个人信息,并有权要求组织销毁其个人信息。
这些法规将影响商业中的大多数部门,从营销到医疗服务。因此,为了避免信息专员办公室 (ICO) 处以巨额罚款,必须遵守 GDPR。
GDPR 关键原则
合法、透明、公平
仅将数据用于所获得的特定合法目的,其中最宽松的是合法利益
只获取我们严格需要的数据
确保我们拥有的任何数据都是准确的
存储限制
诚信和保密
问责制
什么GDPR很重要?
首先,GDPR 很重要,因为它为所有欧盟组织提供了一套必须遵守的规则,从而为企业提供了公平的竞争环境,并使欧盟国家之间的数据传输更快、更透明。它还通过让欧盟公民更好地控制其个人数据的使用方式来赋予他们权力。
在引入新的 GDPR 立法之前,欧盟委员会发现,只有 15% 的公民认为他们可以完全控制自己在网上提供的信息。由于公众的信任度如此之低,消费者的习惯显然最终会受到影响。通过引入和正确实施 GDPR 来重建这种信心的措施预计将增加贸易。
彻底实施数据保护政策和员工教育非常重要,因为不合规可能会导致数据泄露。如果发生严重数据泄露,信息专员办公室 (ICO) 可处以最高年营业额 4% 的罚款或 2000 万欧元的罚款,以较高者为准。数据保护培训是降低数据泄露风险的必要条件。
GDPR适用于谁?
《通用数据保护条例》(GDPR) 规定了欧盟 (EU) 收集和处理个人数据的方式。个人数据被定义为与已识别或可识别的活着的人有关的任何信息。
GDPR 适用于欧盟境内处理个人数据的任何个人或组织。根据 GDPR,欧盟以外处理个人数据的国家被称为“第三国”。他们可能有自己的数据保护立法
但在以下情况下必须遵守 GDPR:
向欧盟提供商品/服务时
处理有关居住在欧盟境内的公民的数据时
如何学习充分了解欧盟隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
GDPR 的关键方面
GDPR 取代了 1995 年数据保护指令,该指令规定了 整个欧洲数据保护的最低要求。2018 年之前,这种温和的数据保护方法导致了一系列 数据泄露 和丑闻,导致数据主体的个人信息遭到泄露。现在,GDPR 中的变更将为数据主体的基本权利提供更好的保护。
扩展管辖权
GDPR 现在适用于处理欧盟数据主体个人数据的任何组织。这意味着 GDPR 适用于欧盟内外的大小组织。
同意
严格关注同意,它必须具体且明确
访问权
数据主体可以发出主体访问请求以查看其个人信息,组织必须遵守。
被遗忘权
数据主体可以要求数据控制者销毁其个人信息。
数据保护官
数据控制者的团队中现在应该有一名 DPO,以确保数据保护法规得到遵守。
处罚
ICO 现在可以对数据泄露做出更严厉的处罚,包括对组织处以最高 2000 万欧元或组织全球营业额 4% 的罚款,以最高者为准。
为什么需要 GDPR?
现在的社会比以往任何时候都更加受数据驱动,因此计算机上存储的大量敏感数据导致网络攻击和数据泄露的增加。
网络钓鱼电子邮件
网络钓鱼是网络犯罪分子利用诈骗电子邮件渗透个人信息,甚至更改银行详细信息和帐户详细信息的主要方式之一。由于此类网络攻击的普遍性,GDPR 对于防止此类攻击频繁发生至关重要。
组织需要了解可能包含病毒的电子邮件,以保护公司的 IT 网络。如果病毒成功渗透到组织的硬盘驱动器,那么客户和员工的个人信息将受到损害,并会发生数据泄露。
组织应该实施电子邮件加密,以便网络黑客无法渗透电子邮件中包含的个人信息。
数据控制者可以使用安全电子邮件网关来防止包含恶意软件、网络钓鱼攻击或垃圾邮件的电子邮件到达组织。
因此,为了遵守 GDPR,组织需要组织安装安全电子邮件网关来监控其电子邮件。
Office 365 和 GDPR
许多组织和企业使用 Office 365 的软件来存储重要信息,例如包含员工个人数据和敏感数据、业务合同和年度审核的表格。因此,Office 365 有责任确保这些数据受到保护。
Office 365 使用云软件,因此高达 85% 的企业将数据存储在云中。尽管这些数据存储在云中,Office 365 仍然需要保持 GDPR 合规性。
为此,Office 365 利用自动标签策略和智能内容搜索来帮助轻松查找个人信息。因此,Office 365 通过确保个人数据透明且易于查找,证明了其 GDPR 合规性。
最终用户同意
在处理个人数据时,GDPR 对最终用户的同意施加了更严格的控制。
GDPR 的立场是,必须告知数据主体将用于存储其个人数据的流程。
随后,数据控制者有责任向数据主体提供个人数据的处理。一旦用户认为数据控制者不再需要他们的个人信息,或者个人信息可能受到损害,他们就可以终止他们的同意。
双因素身份验证
GDPR第32条规定,组织应采取技术措施保护个人信息,例如通过双因素消息身份验证。这种二因素消息认证应该应用于处理个人信息的系统,例如应该加密的移动设备。
GDPR 不应恐吓组织,因为如果法规和保障措施得到明确实施,就不应该出现任何问题,ICO 也没有理由参与其中。
GDPR 是否会取代 DPA?
1998 年数据保护法 (DPA) 于 2018 年 5 月 25 日被欧盟 (EU) 的《通用数据保护条例》(GDPR) 取代。
2018 年 5 月 25 日之前,适用的英国数据保护立法是《数据保护法》(DPA) ) 1998 年。随着计算机在企业中变得越来越普遍,DPA 于 20 世纪末引入。
然而,到 2018 年,DPA 无疑已经过时,不再反映我们生活的数字/技术时代。
例如,英国很大一部分人使用社交媒体,我们中的许多人拥有不止一种数字设备(手机、平板电脑、笔记本电脑),而且几乎所有企业都依赖计算机网络。
我们生活的数字世界改变了我们处理信息的方式,法律也相应更新。
为了遵守 GDPR,你必须首先了解立法授予个人的权利。它们如下:
了解如何处理你的数据的权利
访问该数据的权利
纠正不正确数据的权利
删除数据的权利
限制个人数据处理的权利
数据可移植权——这意味着作为企业,你需要建立一个系统,通过该系统你可以快速轻松地编译你持有的个人所有个人数据,并使其安全地可供他们访问
反对处理你的数据的权利
与自动决策相关的权利,包括处理
然后,组织必须确定他们在数据流中的角色,例如他们是数据控制者还是数据处理者?数据控制者决定个人数据的使用原因和用途。数据处理者是代表数据控制者处理个人数据的个人或公司。
虽然数据控制者保留保护其数据的最终责任,但数据处理者在处理和存储个人数据时也必须遵守 GDPR。数据控制者应起草一份书面合同,同意其处理者遵守其数据政策,并确保所有第三方签署该合同。
根据 GDPR,确定处理个人数据的
合法依据非常重要。可接受的理由是
同意
合同
法律义务
切身利益
公共任务
合法权益
在处理特殊类别数据、敏感个人信息时,合法使用这些数据的理由有所不同。处理既需要合法依据,又需要特殊类别条件。
GDPR 要求一些组织任命一名数据保护官 (DPO)。 DPO 不再参与组织的日常处理活动,但负责确保 GDPR 合规性。
如果满足以下条件,你必须任命一位:你是公共机构;作为核心活动对个人进行定期大规模监测;作为核心活动,对刑事定罪/犯罪的特殊类别数据或信息进行大规模处理。
如果处理活动可能会给个人带来高风险,企业必须进行数据保护影响评估 (DPIA)。
这样做的目的是识别个人数据并最大程度地降低风险。风险评估考虑风险影响的可能性和严重性。如果在进行 DPIA 时你发现无法降低的高风险,则必须通知 ICO。
GDPR 对同意的监管也更加严格,这意味着企业需要熟悉这些新要求。同意必须是自由给予的、明确的、具体的、明确的,并通过积极的肯定行动来表示。你过去获得的任何同意也需要满足这些要求,如果不满足,则必须重新获得。
仅仅声明 GDPR 合规性已经不够了,现在必须加以证明。你需要发布隐私政策,告知你的数据主体他们的个人数据将如何使用。你还应该针对发生数据泄露的情况制定计划。
文章整理于marketingblatt.com,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
在线客服
微信
