什么是 GDPR?欧洲新的数据隐私和安全法包括对世界各地组织的数百页新要求。本 GDPR 概述将帮助您了解法律并确定其中的哪些部分适用于您。 《通用数据保护条例》(GDPR) 是世界上最严格的隐私和安全法。尽管它是由欧盟 (EU) 起草和通过的,但它对任何地方的组织都施加了义务,只要它们针对或收集与欧盟境内人员相关的数据。该法规于2018年5月25日生效。GDPR将对违反其隐私和安全标准的人处以严厉罚款,罚款金额高达数千万欧元。
随着越来越多的人将个人数据委托给云服务,并且数据泄露事件每天都在发生,欧洲通过 GDPR 表明了其在数据隐私和安全方面的坚定立场。该法规本身规模庞大、影响深远,且具体细节相当少,使得 GDPR 合规前景令人畏惧,尤其是对中小企业 (SME) 而言。
我们创建此网站的目的是为中小企业所有者和管理者提供资源,以解决他们可能面临的特定挑战。虽然它不能替代法律建议,但它可以帮助您了解 GDPR 合规工作的重点。我们还提供有关隐私工具以及如何降低风险的提示。随着 GDPR 的不断解释,我们将让您及时了解不断变化的最佳实践。
如果您找到此页面 — “什么是 GDPR?”— 您可能正在寻找速成课程。也许您还没有找到该文档本身(提示:这是完整的规定)。也许您没有时间阅读全文。此页面适合您。在本文中,我们试图揭开 GDPR 的神秘面纱,并希望让关注 GDPR 合规性的中小企业不再那么难以承受。
GDPR 的历史 隐私权是 1950 年《欧洲人权公约》的一部分,其中规定:“每个人都有权尊重他的私人和家庭生活、他的家庭和他的信件。”在此基础上,欧盟力求通过立法确保这一权利的保护。
随着技术的进步和互联网的发明,欧盟认识到现代保护的必要性。因此,它于 1995 年通过了《欧洲数据保护指令》,建立了最低数据隐私和安全标准,每个成员国都在此基础上制定了自己的实施法。但互联网已经变成了今天的数据胡佛。1994 年,第一个横幅广告出现在网上。2000年,大多数金融机构都开通了网上银行。2006年,Facebook向公众开放。2011年,一名谷歌用户起诉该公司扫描她的电子邮件。两个月后,欧洲数据保护机构宣布欧盟需要“全面的个人数据保护方法”,并开始更新 1995 年指令。
GDPR 于 2016 年通过欧洲议会后生效,自 2018 年 5 月 25 日起,所有组织都必须遵守。
范围、处罚和关键定义 首先,如果您处理欧盟公民或居民的个人数据,或者您向此类人员提供商品或服务,则即使您不在欧盟境内,GDPR 也适用于您。我们将在另一篇文章中详细讨论这一点。
其次,违反GDPR的罚款非常高。处罚分为两级,最高可达 2000 万欧元或全球收入的 4%(以较高者为准),此外数据主体有权寻求损害赔偿。我们还更多地讨论了 GDPR 罚款。
GDPR 详细定义了一系列法律术语。以下是我们在本文中提到的一些最重要的内容:
个人数据——个人数据是指与可以直接或间接识别的个人相关的任何信息。姓名和电子邮件地址显然是个人数据。位置信息、种族、性别、生物特征数据、宗教信仰、网络 cookie 和政治观点也可以是个人数据。如果可以相对容易地识别某人的身份,则假名数据也可以属于该定义。
数据处理——对数据执行的任何操作,无论是自动还是手动。文中引用的例子包括收集、记录、组织、结构化、存储、使用、删除……基本上是任何东西。
数据主体——数据被处理的人。这些是您的客户或网站访问者。
数据控制者——决定个人数据处理原因和方式的人。如果您是组织中处理数据的所有者或员工,那么这就是您。
数据处理者——代表数据控制者处理个人数据的第三方。GDPR 对这些个人和组织有特殊规则。它们可能包括 Tresorit 等云服务器或 Proton Mail 等电子邮件服务提供商。
GDPR 的规定是…… 在本文的其余部分,我们将简要解释 GDPR 的所有关键监管点。
数据保护原则 如果您处理数据,则必须根据第 5.1-2 条中概述的七项保护和问责原则进行:
合法、公平和透明——处理必须对数据主体合法、公平和透明。
目的限制——您必须出于收集数据时向数据主体明确指定的合法目的来处理数据。
数据最小化——您应该仅收集和处理达到指定目的绝对必要的数据。
准确性 — 您必须保持个人数据准确且最新。
存储限制——您只能在特定目的所需的时间内存储个人识别数据。
完整性和保密性——处理的方式必须确保适当的安全性、完整性和保密性(例如通过使用加密)。
责任——数据控制者有责任证明 GDPR 符合所有这些原则。
问责制
GDPR 表示数据控制者必须能够证明他们符合 GDPR 规定。这不是事后可以做的事情:如果您认为自己遵守了 GDPR 但无法表明如何遵守,那么您就不符合 GDPR。您可以通过以下方式执行此操作:
为您的团队指定数据保护职责。
维护您正在收集的数据、数据的使用方式、存储位置、负责数据的员工等的详细文档。
培训您的员工并实施技术和组织安全措施。
与您签约为您处理数据的第三方签订数据处理协议合同。
任命一名数据保护官(尽管并非所有组织都需要一名数据保护官 - 本文将对此进行更多介绍)。
数据安全
您需要通过实施“适当的技术和组织措施”来安全地处理数据。
技术措施意味着从要求员工对存储个人数据的帐户使用双因素身份验证到与使用端到端加密的云提供商签订合同等各种措施。
组织措施包括员工培训、在员工手册中添加数据隐私政策或将个人数据的访问权限限制为组织中需要的员工。
如果您发生数据泄露,您有 72 小时的时间告知数据主体,否则将面临处罚。(如果您使用加密等技术保护措施使数据对攻击者无用,则可以免除此通知要求。)
设计和默认情况下的数据保护
从现在开始,您在组织中所做的一切都必须“按照设计和默认”考虑数据保护。实际上,这意味着您必须在设计任何新产品或活动时考虑数据保护原则。GDPR 第 25 条涵盖了这一原则。
例如,假设您要为您的公司推出一款新应用程序。您必须考虑应用程序可能会从用户那里收集哪些个人数据,然后考虑如何最大程度地减少数据量以及如何使用最新技术保护数据。
当您被允许处理数据时
第 6 条列出了合法处理个人数据的情况。甚至不要考虑接触某人的个人数据 - 不要收集它,不要存储它,不要将其出售给广告商 - 除非你能用以下之一来证明它是合理的:
数据主体向您提供了处理数据的具体、明确的同意。(例如,他们选择加入您的营销电子邮件列表。)
处理对于执行或准备签订数据主体作为一方的合同是必要的。(例如,在将房产出租给潜在租户之前,您需要进行背景调查。)
您需要对其进行处理以遵守您的法律义务。(例如,您收到您所在司法管辖区法院的命令。)
您需要处理数据来拯救某人的生命。(例如,好吧,您可能会知道何时适用这一点。)
为了执行公共利益的任务或执行某些官方职能,必须进行处理。(例如,您是一家私人垃圾收集公司。)
您拥有处理某人的个人数据的合法权益。这是最灵活的法律依据,尽管“数据主体的基本权利和自由”总是凌驾于您的利益之上,特别是如果它是儿童的数据。(这里很难给出一个例子,因为您的案例需要考虑多种因素。英国信息专员办公室在这里提供了有用的指导。)
一旦确定了数据处理的合法依据,您需要记录该依据并通知数据主体(透明度!)。如果您稍后决定更改理由,则需要有充分的理由,记录该原因并通知数据主体。
同意
关于什么构成数据主体同意处理其信息,有严格的新规则。
同意必须是“自由给出的、具体的、知情的和明确的”。
同意请求必须“与其他事项清楚地区分开来”,并以“清晰、简单的语言”提出。
数据主体可以随时撤回先前给予的同意,并且您必须尊重他们的决定。您不能简单地将处理的法律依据更改为其他理由之一。
13 岁以下的儿童只有在获得父母许可的情况下才能表示同意。
您需要保留同意的书面证据。
数据保护官员
与普遍看法相反,并非每个数据控制者或处理者都需要任命数据保护官 (DPO)。在三种情况下,您需要任命 DPO:
您是公共机构,而不是行使司法职能的法院。
您的核心活动要求您大规模、系统地、定期地监控人员。(例如,你是 Google。)
您的核心活动是大规模处理 GDPR 第 9 条中列出的特殊类别数据或第 10 条中提到的与刑事定罪和犯罪相关的数据。(例如,您是一家医疗办公室。)
即使没有要求,您也可以选择指定 DPO。让某人担任这个角色是有好处的。他们的基本任务包括了解 GDPR 及其如何应用于组织、向组织中的人员提供有关其职责的建议、进行数据保护培训、进行审计和监控 GDPR 合规性,以及充当与监管机构的联络人。
我们将在另一篇文章中深入探讨 DPO 的角色。
人民的隐私权
您是数据控制者和/或数据处理者。但作为一个使用互联网的人,您也是一个数据主体。GDPR 认可了数据主体的一系列新隐私权,旨在让个人更好地控制他们借给组织的数据。作为一个组织,了解这些权利以确保您遵守 GDPR 非常重要。
以下是数据主体隐私权的概述:
知情权
访问权
整改权
删除权
限制处理的权利
数据可移植性的权利
反对权
与自动决策和分析相关的权利。
结论
我们刚刚用 2,000 多字涵盖了 GDPR 的所有要点。该法规本身(不包括随附指令)长达 88 页。如果您受到 GDPR 的影响,我们强烈建议您组织中的某人阅读该文件并咨询律师,以确保您遵守 GDPR。
