GDPR
GDPR
GDPR 定义
GDPR 代表通用数据保护条例。它是一项全面的数据隐私法,于2018年5月25日实施,旨在规范公司和组织如何处理欧盟(EU)和欧洲经济区(EEA)内个人的数据。GDPR 的主要目标是赋予个人对其个人数据的控制权,并简化在欧盟和EEA内运营的企业的监管环境。
关键概念和要求
GDPR 包含若干关键概念和要求,组织必须遵循这些要求以确保合规。其中一些包括:
合法性、透明性和特定目的
根据 GDPR,个人数据必须以合法、透明和特定的目的处理。组织必须具有处理个人数据的法律基础,例如履行合同所必需、遵守法律义务、保护重要利益、获得同意、履行公共利益任务或行使官方权力,或数据控制者或第三方追求的合法利益。
同意
同意是 GDPR 的一个关键方面。组织必须在收集个人数据之前获得个人的明确同意。此同意必须是自由给予的、具体的、知情的和明确的。必须向个人提供有关数据处理目的、涉及的个人数据类别、数据接收者、保留期限及其数据权利的明确信息。个人撤销同意的过程应该和给予同意一样简单。
个人权利
GDPR 赋予个人针对其个人数据的各种权利。这些权利包括:
- 数据访问权:个人有权要求访问组织持有的关于他们的个人数据。
- 数据可携带权:个人有权以结构化、常用和机器可读的格式接收其个人数据,并将这些数据传输给另一家组织。
- 删除权:也称为“被遗忘权”,个人有权要求删除个人数据,当该数据不再为收集目的所需、个人撤回同意或数据处理不合法时。
- 更正权:个人有权要求更正不准确或不完整的个人数据。
数据泄露通知
GDPR 要求组织在知晓数据泄露后,无不当拖延的情况下(如可行,在72小时内)通知监督部门。如果泄露可能对个人的权利和自由造成高风险,组织还必须直接通知受影响的个人。
合规与执行
在 GDPR 范围内的组织必须确保其合规以避免罚款和潜在的声誉损害。以下是一些可以确保 GDPR 合规的步骤:
- 了解要求:组织应熟悉 GDPR 的要求,并评估其如何适用于其特定情况。这可以涉及进行数据清单、评估数据处理活动并实施必要的政策和程序。
- 获得同意:组织应确保在收集个人数据之前获得个人的明确同意。获得同意的方式应易于理解,并与其他条款和条件分开。
- 数据保护官(DPO):任命一位数据保护官可以帮助确保 GDPR 合规。DPO 是组织内的指定人员,负责监督数据保护活动,并作为数据主体和监督部门的联络点。
- 隐私设计:组织应将隐私设计原则纳入其流程和系统。这涉及从产品、服务和业务实践的设计和开发早期阶段考虑隐私和数据保护。
- 健全的安全措施:实施健全的安全措施,如加密、访问控制和定期安全审计,可以帮助保护个人数据不被未经授权的访问、披露和破坏。
最新发展和争议
自实施以来,GDPR 对数据隐私和保护产生了重大影响。该法规激励了其他国家和地区实施类似法律,比如美国的《加州消费者隐私法》(CCPA)。
围绕 GDPR 的一个关键持续争议是其执行方式及不合规的处罚。GDPR 允许监督部门对严重违规行为处以最高2000万欧元或上一财年全球年营业额的4%,以较高者为准的罚款。然而,一些批评者认为罚款的实施对小型企业特别不成比例。
另一个争论点是数据隐私与创新之间的平衡。有些人认为 GDPR 阻碍了创新,为企业带来了繁重的合规要求,而另一些人则认为这是保护个人基本权利和维护数字经济信任所必需的。
相关术语
- 数据保护官 (DPO):负责监督组织内 GDPR 合规的指定个人。
- 隐私设计:将隐私和数据保护考虑纳入 IT 系统和业务实践设计和操作的原则。