GDPR是什么意思
发布网友
发布时间:2022-04-01 07:06
共4个回答
热心网友
时间:2022-04-01 08:35
GDPR定义
GDPR (全称: General Data Protection Regulation),即《通用数据保护条例》,是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。该条例在2012年1月份就已经起草,经过4年的探讨与协商,欧盟于2016年4月正式通过这一条例并宣布试行,到2018年5月25日正式全面施行。
GDPR适用范围
1.保护对象:
GDPR保护的仅是“个人数据”(personal data),不涉及个人数据以外的其他数据。
根据GDPR第4条的规定,个人数据是指,与一个已被识别(identified)或者可被识别(identifiable)的自然人相关的任何信息;可被识别的自然人是指,其可以被直接或者间接识别,尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识,或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据,不包括死者、胎儿等。
同时,个人数据的保护不涉及匿名信息,或者经过匿名化处理以致于不再具有可识别性的个人数据。对于表征人种或者种族起源、*意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据(个人敏感数据),GDPR从收集、使用等角度作出了特殊规定。就个人数据的保护而言,GDPR主要适用于电脑(自动化)处理个人数据的行为,不涉及其他类型的处理行为。
GDPR第4条规定,对个人数据的自动化处理包括:
(1)收集,记录,整理,组织,存储;
(2)改编,调整,检索,查阅,利用;
(3)通过传输或者传播予以披露、提供;
(4)匹配,组合;
(5)*,删除,摧毁。
GDPR对个人数据的保护并不绝对,其“序言”部分要求,应当平衡新闻自由、表达自由、商业自由等权利,符合比例原则、法益平衡原则等法律的基本原则。
2.管辖范围:
GDPR第3条规定,GDPR适用于以下三种情形:
(1)数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;(2)数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的;
(3)虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。第二种情形是典型的域外管辖,主要针对美国的互联网企业。
3.数据主体:
在GDPR中,享有数据权利的主体被称为数据主体(data subject),个人数据所指向之自然人为数据主体。数据主体须为欧盟居民,一般要求具有成员国国籍。
4.义务主体:
GDPR主要针对两类义务主体,即数据控制者(controller)和数据处理者(processor)。控制者是指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者,处理个人数据的自然人、法人或者其他组织。
GDPR七个基本原则
合法,公平,透明三原则:与数据主体个人相关的数据信息应当以合法,公正,透明方式处理;
数据收集应当有明确的目的:个人信息收集应当目的特定,明确和合法,任何与上述目的不符合的方式将不能继续处理数据;
数据收集的最小化原则:个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据;
准确性:个人数据应当准确,如果需要尽可能保持最新的数据;
存储*:在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;
完整性与机密性:以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”);
问责制:控制者(企业或组织)应该对并且能够证明其企业符合GDPR的规定。
数据主体的权利
数据主体指,用户、客户、员工等
信息透明度和信息机制:数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式,也就是让用户知道你在收集那些数据,为什么收据数据,用于何种目的,另外也需要让用户可以随时对自己的数据进行控制;
数据访问权,控制者应当保证数据主体可以随时访问自己的数据;
纠正权:数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式;
被遗忘权:数据主体有权要求控制者删除其数据,比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果;
*处理权:数据主体有权*数据主体处理其个人数据;
关于纠正或删除个人数据或*处理的通知义务:除非被证明不可能完成或者包含不成比例的工作量,控制者应当将根据对个人数据进行的任何纠正、删除或者处理*,传达给已向其披露个人数据的接收者。如果数据主体请求,控制者应当通知数据主体这些接收者;
反对权:如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理,其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理,则个人数据不得再为此目的而被处理;
拒绝权和自主决定权;
自主化的个人决策分析。
数据控制者或数据处理者的义务
数据控制者和数据处理者,一般指保存和处理用户数据的公司
控制者应该在确定处理手段和在处理的同时,实施适当的技术和组织措施,如匿名化,即目的是实施数据保护原则,如数据最小化,以有效的方式,在处理时实施必要的保障措施,以符合法律要求,保护数据主体的权利;
控制者应该实施适当的技术和组织措施以确保,在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量,数据处理的程度,数据的存储期限和数据的可及性。特别是,这些措施应确保在没有个人对无限数量自然人的干预下,个人数据在默认情况是不可访问的;
在欧盟成员国的范围内指派欧盟代表,可以为合作伙伴,客户或第三方中介等;
数据处理者应当以数据控制者名义处理数据;
数据处理活动应当有记录;
和监督机构合作和配合,应当积极配合监管机构的调查;
处理过程的安全性:
(a)个人数据的匿名化和加密;
(b)数据系统保持持续的保密性、完整性、可用性以及弹性的能力;
(c)在发生自然事故或者技术事故发的情况下,存储有用信息以及及时获取个人信息的能力;
(d)定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理,力求确保处理过程的安全性;
数据泄露72小时报告义务:在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72 小时以内,根据第55条向监管机构进行通知,除非个人数据的泄露不会导致自然*利和自由的风险。如果通知迟于72 小时,需要对迟延原因进行解释;
与数据主体进行交流:个人数据泄露可能对自然*利和自由形成很高的风险时,控制者应当毫不延误地就个人数据泄露的主体进行交流;
数据保护影响评估以及事先咨询;
超过250人公司或处理海量数据的公司必须设置首席数据保护官。
###################################################
数字化风控咨询专家
深入耕耘风控、内控、合规领域的数字化咨询
提供GDPR合规的咨询及系统的控制体系
热心网友
时间:2022-04-01 09:53
GDPR (全称: General Data Protection Regulation),即《通用数据保护条例》,是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。该条例在2012年1月份就已经起草,经过4年的探讨与协商,欧盟于2016年4月正式通过这一条例并宣布试行,到2018年5月25日正式全面施行。
GDPR适用范围
1.保护对象:
GDPR保护的仅是“个人数据”(personal data),不涉及个人数据以外的其他数据。
根据GDPR第4条的规定,个人数据是指,与一个已被识别(identified)或者可被识别(identifiable)的自然人相关的任何信息;可被识别的自然人是指,其可以被直接或者间接识别,尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识,或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据,不包括死者、胎儿等。
同时,个人数据的保护不涉及匿名信息,或者经过匿名化处理以致于不再具有可识别性的个人数据。对于表征人种或者种族起源、*意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据(个人敏感数据),GDPR从收集、使用等角度作出了特殊规定。就个人数据的保护而言,GDPR主要适用于电脑(自动化)处理个人数据的行为,不涉及其他类型的处理行为。
GDPR第4条规定,对个人数据的自动化处理包括:
(1)收集,记录,整理,组织,存储;
(2)改编,调整,检索,查阅,利用;
(3)通过传输或者传播予以披露、提供;
(4)匹配,组合;
(5)*,删除,摧毁。
GDPR对个人数据的保护并不绝对,其“序言”部分要求,应当平衡新闻自由、表达自由、商业自由等权利,符合比例原则、法益平衡原则等法律的基本原则。
2.管辖范围:
GDPR第3条规定,GDPR适用于以下三种情形:
(1)数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;(2)数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的;
(3)虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。第二种情形是典型的域外管辖,主要针对美国的互联网企业。
3.数据主体:
在GDPR中,享有数据权利的主体被称为数据主体(data subject),个人数据所指向之自然人为数据主体。数据主体须为欧盟居民,一般要求具有成员国国籍。
4.义务主体:
GDPR主要针对两类义务主体,即数据控制者(controller)和数据处理者(processor)。控制者是指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组织。处理者是指代表控制者,处理个人数据的自然人、法人或者其他组织。
GDPR七个基本原则
合法,公平,透明三原则:与数据主体个人相关的数据信息应当以合法,公正,透明方式处理;
数据收集应当有明确的目的:个人信息收集应当目的特定,明确和合法,任何与上述目的不符合的方式将不能继续处理数据;
数据收集的最小化原则:个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据;
准确性:个人数据应当准确,如果需要尽可能保持最新的数据;
存储*:在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;
完整性与机密性:以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”);
问责制:控制者(企业或组织)应该对并且能够证明其企业符合GDPR的规定。
热心网友
时间:2022-04-01 11:28
热心网友
时间:2022-04-01 13:19
《通用数据保护条例》(GDPR) 是迄今为止覆盖面最广的全球性数据隐私保*规,将于 2018 年 5 月 25 日生效。
任何处理欧洲公民个人数据的组织都必须遵守该条例。
不合规的企业可能面临高达 2000 万欧元或 4% 年营业额的罚款,以较高者为准.
以下客户都可能触碰到此法律条例:
涉及欧盟用户,需对用户数据特征分析,以提高业务增值服务
Ø 跨境社交平台,如腾讯、*
Ø 搜索引擎,如百度、搜狗
Ø 互联网传媒(内容服务商),如头条、网易
欧盟*公司,在其他国家有业务,涉及个人数据出境
用户数据参与业务活动,不对用户数据进行分析
Ø 智能家居
Ø 物流
Ø 汽车
Ø 手机、网络设备
Ø 共享行业,如摩拜单车
Ø 跨境电商,如淘宝全球购、京东
Ø 金融(保险、银行、证券)
用户数据辅助参与业务活动,如机器人行业
作为国内最早开始准备GDPR解决方案的第三方,目前我们能提供:
GDPR意识培训:建立对GDPR的基本概念,理解符合GDPR的必要性,初步掌握GDPR所包含的内容和实施步骤,提升GDPR的管理意识。对GDPR的忽视,造成不符合GDPR, 可能面临高达全球营业额的4%或2000万欧元的行政处罚(取两者之一最高)。
GDPR法规讲解:GDPR法规正文共有99条,如何能够抓住要点?如何正确解读?GDPR法规讲解课程将会把整个法规的框架、核心内容及要点分层次全方位帮大家理清。最终建立对GDPR法规的条文的正确认识及实际工作应用。
DPO数据保护官课程:越来越多的企业离不开数据保护官来指导企业及相关员工履行GDPR的法律义务,监视企业相关的合规性,提出对数据保护影响评估的策划建议并执行监视数据保护影响评估等。此课程将会帮企业培养合格的数据保护官,使企业能够更好的符合GDPR的要求,避免不必要的风险,让企业能够更稳健的在欧盟拓展业务或合作。
GDPR差距分析及最佳实践指导:按照GDPR的99条法规正文,逐个部门检查企业目前实际履行法规状态,找出存在的差距,提交差距分析报告。报告内容包括GDPR符合性方面好的做法和存在的问题和不足。差距分析后,SGS专家会充分与企业相关人员沟通交流GDPR存在的问题与改进的建议,协助企业改进相关的问题和不足。
GDPR on-line service: GDPR网络在线服务,使企业客户能够在网上找到符合GDPR所必要的资源。客户需要创建账户并支付月费,服务通过在线评估的方式提供,支持SGS通过远程解决方案,如livechat,电子邮件,视频电话等方式。此服务目前没有中文版本,但有英文版本。
GDPR符合性审核:SGS专家团队按照GDPR法规开发出相应的检查表,若企业符合相关的内容,SGS将颁发GDPR符合性审核报告,证明企业的GDPR的合规性。
ISO 27001培训和认证:信息安全管理体系的培训和认证,用体系的方法来更加系统的解决相关的问题。
ISO 27018 培训和认证:公共云个人信息安全体系的培训和认证,可以把GDPR相关的内容直接结合到体系中,可以更加全面系统的解决相关问题。
ISO 29151培训和审核:个人信息保护认证体系的培训和审核,让企业能够把除GDPR外的其他个人信息保*规或规范一起了解,用系统的方法使企业合规,规避不必要的风险。
渗透测试:通过威胁建模和攻击面分析、应用系统安全评估、*渗透测试、移动安全监测、源代码分析等找到相关产品的安全风险,为整改提供方向和思路,全面提高产品的安全性。
如您有任何需求,请您随时与我联系。
谢谢~
Alan Shi 石东升
Certification and Business Enhancement
Marketing Executive
SGS -CSTC Standards Technical Services Co., Ltd.
SGS Center, No 143 Zhuzhou Road, Hi-Tech Instrail Park, Qing
Phone: +86 (0532) 6899 9340
Mobile: +86 132 1015 3796
