欧盟最严通用数据保护条例(GDPR)今日正式生效,BSI为您带来全面解读

2018年5月25日GDPR正式实施

个人数据一直是营运过程不可或缺的工具,然而个人数据的搜集、处理到利用的流程阶段中,却可能经由不同人员、软件或单位的编辑,使得潜在的管理风险持续增加,再加上屡见大型组织的数据外泄事件,突显了过去个人数据管理方式的松散。

鉴于科技发展与隐私保护的平衡,历经四年,欧洲会议于2016年4月正式通过了通用数据保护条例 (General Data Protection Regulation, 简称GDPR),并于今日(2018年5月25日)将正式施行

此法规整合了隐私保护指令、电子通信隐私保护指令以及欧盟公民权利指令,将全球个人数据保护法的门坎提升至另一个层级,为现行或未来将跨越国界的商业经营模式及企业组织造成冲击。

而GDPR的颁布,也预期将对全球各国的个人数据以及供应链要求带来更多的影响。

连社群网站龙头「Facebook」也在日前公布其隐私政策原则,以响应GDPR的要求及肩负起保护用户隐私的责任,您更应该认识到GDPR的重要性。

那不妨让我们一起来详细了解一下,欧盟最严的通用数据保护条例——GDPR。

 什么是GDPR? 

  • GDPR是欧盟General Data Protection Regulation的简称。自本日起,欧盟“通用数据保护条例GDPR”生效,取代了原来的欧盟数据保护指令。

  • 个人数据已经受现行的欧盟法律保护。

  • GDPR还将通过进一步立法“数据保护法案”来补充。

  • 欧盟已经对某些产品可能引发的个人隐私泄露的严重关切做出了反应,例如GOOGLE MAP, FACEBOOK等。

  • GDPR适用于所有在欧盟设立的、处理个人数据的组织。

  • 在欧盟之外,GDPR适用于所有处理欧盟人员的个人数据的组织。

  • GDPR不仅只适用于组织层面 - 除非是家庭目的,它还适用于个人(自然人)。

 有哪些新的要求? 

  • 与之前的欧盟数据包括指令相比,主要原则要求是基本相同,因而具有延续性。

  • GDPR给予数据主体对其个人数据保护的更大的控制权力,并明确了这些权力。

  • 对违反GDPR规则的惩罚会非常严重 – 最大是全球年度营业额的4%,或2千万欧元。

  • 现在要求采取“基于合规”的方法,要求有更多的记录保留和采用可展示出的过程方法,而不是仅仅停留在过去‘实质没有违法发生’就可以了。

  • 须采取具有可持续性的行为上的改变。

 

 主要的概念和定义: 

  • GDPR关注对个人数据的处理 – 包括任何对个人数据的记录、保存、下载、组织、改变或分享的活动。

  • 个人数据是指任何用来识别活着的个人/自然人的数据(例如姓名、邮件地址、IP地址、网络ID)。

  • 特别具有侵入性的数据都属于敏感数据,包括那些可以导致个人信息披露的数据,例如种族或人种、健康状况、政治观点等。

  • GDPR适用的数据主体 - 是指欧盟内的个人 (是指欧盟公民,但被普遍理解为更广泛的泛指)。

  • 数据控制者(DATA CONTROLLERS)是指决定收集何种数据并如何使用其的组织。

  • 代表数据控制者进行数据处理(例如收集数据)的组织是数据处理者(DATA PROCESSORS),例如委托代表来收集或处理数据的第三方。

 

 数据主体的权力: 

  • 数据主体有权要求清除其个人数据。

  • 数据主体有权要求更正不准确的个人数据。

  • 数据可移植性 –数据主体有权得到数据控制者拥有的结构化的和机器可读格式的数据的拷贝。

  • 数据主体有权反对对其个人数据的处理,或要求停止处理个人数据。

 

 对国际间数据转移的要求: 

  • 仅允许数据控制者将数据转移到欧洲经济区EEA以外的、当地法律已被欧盟批准为充分保护的国家或地区 –包括新西兰、瑞士、以色列和阿根廷(在ICO网站可以查询完整的清单)。这里目前不包括中国。

  • 已有根据欧盟建议的模式化的合同条款建立了安全防护措施的组织。

 

 对违反数据安全事件的处置要求: 

  • 对违反个人数据安全的情况,强制要求须立即,或在知晓情况的72小时内,通知给“supervisory authorities 监管机构”。

  • 通知必须包括违反情形的详情描述,等级,带来的后果,和采取减轻影响的步骤。

  • 如果违反事件对个人带来高风险,应通过清楚的语言立即通知个人,并告知其减轻风险的步骤。

  • 如果风险已经减轻例如数据加密,则没有责任通知个人。

  • 信息处理者必须将违反事件通知给信息控制者,但不包括个人或监管单位。

 

那么问题来了,请您思考一下,GDPR是否与您的组织有关?

由于中国非欧盟成员国,您应该需要关注及注意的是,您的组织在欧盟是否有设立营业据点?或持有、处理或传输欧盟公民个人信息?

举例来说,金融业、航空业、旅游业、货运业、高科技制造业、电商、医疗器材制造商,甚至是共享经济的服务供货商,都有极大可能接触到欧盟公民的个人数据。

因此,对于中国组织/个人来说,无论您身在哪个产业,都不该掉以轻心GDPR对各组织/个人带来的重大影响。