欧盟《通用数据保护条例》合规指南
欧盟通用数据保护法案gdpr合规的20个步骤白皮书
欧盟通用数据保护法案(GDPR)于2018年5月25日正式生效,对全球范围内处理个人数据的组织产生了深远的影响。
GDPR的实施旨在保护欧盟公民的个人数据,并规范数据处理的合规性。
对于涉及欧盟公民数据的组织而言,遵守GDPR是一项重要的法律责任,而不仅仅是一种建议性的合规性要求。
在实施GDPR的过程中,组织需要采取一系列措施来确保其数据处理活动符合GDPR的相关规定。
本白皮书将介绍欧盟通用数据保护法案GDPR合规的20个重要步骤,以帮助相关组织更好地理解和遵守GDPR的要求。
1. 确定组织的角色在GDPR中,数据的处理涉及到“数据控制者”和“数据处理者”两个角色。
数据控制者是指决定个人数据处理目的和方式的组织,而数据处理者是根据数据控制者的委托进行个人数据处理的实体。
组织需要确定自身在数据处理中所处的角色,并相应地履行GDPR规定的责任和义务。
2. 明确数据处理的合法基础根据GDPR的规定,数据处理的合法性基础包括数据主体的同意、合同履行、法律义务、保护数据主体的重要利益、公共利益、以及合法利益等。
组织需要明确其个人数据处理的合法基础,并确保数据处理活动符合其规定。
3. 识别和分类个人数据组织需要对其处理的个人数据进行识别和分类,包括个人身份信息、健康信息、金融信息、地理位置信息等不同类别的个人数据。
通过对个人数据的识别和分类,组织可以更好地了解其数据处理活动所涉及的数据种类和范围,有针对性地进行合规性管理和保护。
4. 明确数据保护官(DPO)的职责根据GDPR的要求,一些处理大量个人数据的组织需要指定数据保护官(DPO),并明确其在数据保护工作中的职责和权利。
组织需要确保其DPO具备相关的专业知识和经验,能够有效地履行数据保护监督和指导的职责。
5. 更新数据处理规范和流程组织需要审查和更新其数据处理规范和流程,确保其符合GDPR的相关要求。
特别是在个人数据处理的目的、方式、范围、存储、安全等方面,组织需要进行全面的审查和调整,确保其数据处理活动合规性和安全性。
网络安全与数据保护的法规与合规要求
网络安全与数据保护的法规与合规要求网络安全和数据保护是当今数字化时代中不可忽视的重要议题。
随着互联网和信息技术的迅猛发展,保护个人隐私、企业数据和国家安全日益成为全球关注的焦点。
许多国家和地区都已制定了网络安全和数据保护的法规与合规要求,以确保网络环境的安全和数据的机密性。
本文将介绍几个主要的法规与合规要求,以及其对于网络安全和数据保护的重要性。
一、欧洲通用数据保护条例(GDPR)欧洲通用数据保护条例是欧盟及其成员国在2018年实施的一项法规,主要目的是保护个人隐私和数据安全。
该法规适用于所有在欧盟境内运营的企业,并规定个人数据的收集、存储、处理等行为必须经过个人明确同意。
GDPR要求企业承担更多的责任,包括及时报告数据泄露事件、采取技术和组织措施保护数据等。
对于违反该法规的企业,将面临高额罚款。
二、美国加州消费者隐私法(CCPA)美国加州消费者隐私法于2020年1月正式生效,该法规致力于保护加州居民的个人信息和隐私。
CCPA规定企业必须告知消费者其收集的个人数据以及使用用途,并给予消费者选择的权力。
此外,CCPA还赋予了消费者对个人数据的访问、删除和禁止销售的权利。
企业需要制定合规的数据保护政策,确保充分保护消费者的隐私。
三、中国网络安全法中国网络安全法于2017年正式实施,旨在加强对网络空间的安全保护。
该法规要求网络运营者采取必要的技术措施,防止网络数据泄露、丢失或被篡改。
此外,网络运营者还需要对收集的用户个人信息进行保护,获得用户的明确同意,并及时报告数据泄露事件。
中国网络安全法还设立了相关监管机构,加强对网络安全和数据保护的监管和执法力度。
四、ISO/IEC 27001信息安全管理体系ISO/IEC 27001信息安全管理体系是一个国际标准,旨在帮助组织建立、实施和维护信息安全管理体系。
该标准要求组织进行信息安全风险评估和治理,确保信息安全目标的达成。
ISO/IEC 27001提供了一系列的最佳实践和控制措施,包括物理安全、网络安全、安全事件管理等,以保护组织的信息资产免受威胁。
欧盟gdpr合规指引
欧盟gdpr合规指引摘要:1.GDPR 概述2.GDPR 的合规要求3.GDPR 的处罚措施4.如何保持GDPR 的合规5.GDPR 对中国企业的影响正文:一、GDPR 概述GDPR,全称为“欧盟通用数据保护条例”,是欧洲联盟在2018 年5 月25 日出台的一项数据保护法规,旨在保护欧盟境内居民的个人数据和隐私。
该法规取代了1995 年颁布的《数据保护指令》,成为欧盟各成员国必须遵守的法律。
二、GDPR 的合规要求GDPR 对企业的合规要求主要包括以下几个方面:1.数据收集:企业在收集个人数据时,必须明确告知数据主体收集数据的目的、用途、存储期限等信息,并取得数据主体的同意。
2.数据保护:企业必须确保收集到的个人数据安全无虞,防止数据泄露、损毁或丢失。
3.数据访问和修改:数据主体有权访问、修改、删除其个人数据,企业应提供便捷的途径供数据主体实现这些权利。
4.数据跨境传输:企业如需将欧盟居民的个人数据传输至欧盟境外,必须确保接收方国家或地区的数据保护水平与欧盟相当,或者采取相应的数据保护措施。
三、GDPR 的处罚措施GDPR 对违反数据保护规定的企业设置了严厉的处罚措施,包括:1.警告:欧盟监管机构可以对违反GDPR 的企业发出警告,要求其改正违规行为。
2.罚款:违反GDPR 的企业可能面临高达2000 万欧元或全球营业额4% 的罚款,具体罚款金额取决于违规行为的严重程度。
四、如何保持GDPR 的合规为确保GDPR 的合规,企业可以采取以下措施:1.制定数据保护政策和程序:企业应制定详细的数据保护政策和程序,明确各部门和员工的职责,确保数据保护措施的落实。
2.提供数据保护培训:企业应为员工提供GDPR 相关的培训,确保员工了解并遵守数据保护规定。
3.指定数据保护官:企业应指定专门的数据保护官,负责监督和管理企业的数据保护工作。
4.进行数据保护审计和评估:企业应定期进行数据保护审计和评估,确保数据保护措施的有效性。
欧盟gdpr合规指引
欧盟gdpr合规指引【原创实用版】目录1.GDPR 概述2.GDPR 的适用范围3.GDPR 的主要内容4.GDPR 的合规要求5.GDPR 的执法案例6.我国企业如何应对 GDPR正文一、GDPR 概述GDPR,即欧盟通用数据保护条例(General Data Protection Regulation),是欧洲联盟制定的一部用于保护个人数据的法律条例。
该条例旨在加强对欧盟境内居民的个人数据和隐私保护,并直接适用于欧盟各成员国。
GDPR 于 2018 年 5 月 25 日正式生效,取代了 1995 年颁布的《数据保护指令》。
二、GDPR 的适用范围GDPR 适用于在欧盟成员国境内设立的公司,以及在欧盟境外设立但涉及接触欧盟成员国居民的个人隐私信息的公司。
这一规定体现了属地原则和属人原则,确保了欧盟居民的个人数据得到全面保护。
三、GDPR 的主要内容GDPR 主要包括以下内容:1.数据主体权利:GDPR 明确了数据主体的权利,包括知情权、访问权、更正权、删除权等。
2.数据保护官员:GDPR 要求企业设立数据保护官员,负责企业的数据保护工作。
3.数据泄露通知:GDPR 规定,企业在发生数据泄露事件后 72 小时内需通知相关监管部门和数据主体。
4.数据保护影响评估:GDPR 要求企业在进行涉及个人数据的操作前,必须进行数据保护影响评估。
四、GDPR 的合规要求为确保企业符合 GDPR 的要求,企业需要采取以下措施:1.提升数据安全防护:企业需要确保数据存储、传输和处理的安全,防止数据泄露。
2.加强数据管理:企业应建立完善的数据管理制度,确保数据收集、使用、删除等环节的合规性。
3.提高员工意识:企业应培训员工,使其了解 GDPR 的规定,提高数据保护意识。
五、GDPR 的执法案例截止 2022 年 12 月,欧盟成员国已针对 GDPR 开出多张罚单,其中英国信息监管局对英国航空公司开出的罚款金额高达 1.83 亿英镑,是迄今为止最大的一笔 GDPR 罚款。
欧盟《通用数据保护条例》(GDPR)
欧盟《通用数据保护条例》(GDPR)正式生效经过欧盟议会长达四年的讨论,被成为史上最严数据保护法案的欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于将在2018年5月25日生效。
通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d))有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
《欧盟数据保护通用条例》详解
Ke yw o r d s
~ ~ 一 ~ ~ ~ 一 一 ~ ~ ~ 一 一 一 ② 一 一 一 一 一 一 ~ 一 一 ~ 一 ~ 一 一 ~ 一 . 一 一 一 一 一 一 ~ 一 一 ~ 一 一 一 一
l >. 。一 _ 虽 ¨l c
被 理解为该产 品、 服 务的 目标用户包括 欧盟 境 内用户, 从而需要适用 《 条例 》 。 这也是 缘
F O R U M 论坛
9 3
I王 I 融
中 信息通信研究 院互联网法律 中心, 北京 1 0 0 1 9 1
摘 要
《 欧 盟数 效。为踏 上数 字时代 新秩 序的 起跑 线 ,全球 企业 都
在 积 极 准 备 合 规 工 作 。 全 面 梳 理 其 带 来 的 重 大 变 化 , 既 为 企 业 提 供 参 考 ,也 为 我 国 政 府 考 虑 大 数 据 背 景 下的数据 保 护规则 提供 新视角 。
关键词
数 据保 护 通 用 条 例 ; 变化 ; 合 规
中 图分 类 号 : D9 3 文献标识码 : A d o i : 1 0 . 1 1 9 5 9 / j . i s s n . 2 0 9 6 — 0 2 7 1 . 2 01 6 0 4 5
De c o n s t r u c t i n g t h e EU Ge n e r a l Da t a
2 变化1 : 适用 范围 极大扩 展
法 律 的适 用 范 围从 过 去 的属 地 主 义
欧盟《通用数据保护条例》简要解读
SHANGYE FAZHI黄 璞—L随着社会经济发展,个人信息安全面临新的挑战。
美国诺德网络公司数字化信息专家Daniel Markuson 年初发表的一篇文章披露S 2018年有10亿多网民数据泄露。
本文对欧盟《通用 数据保护条例》(以下简称“GDPR ”)作初步的一些解读, 并提出借鉴建议。
一、 GDPR 概述(一 )GDPR 立法概况欧盟1995年《数据保护指令》和2002年《隐私与电子通 讯指令》,确定了互联网个人数据保护的基本规定。
如通信和互联网服务商需要采取适当措施保证通信和互联网服务的安全 性,在未征得用户同意的情况下禁止存储和使用用户数据,告知用户数据进一步处理意图和用户有权不同意以保障用户的知情权等"。
随着社会经济发展,2009年开始修改《数据保护指 令》。
2012年发布了草案,2016年公布《通用数据保护条例》。
2018年5月25H , GDPR 正式生效。
(二)GDPR 的借鉴价值信息保护的几个主要问题,GDPR 都有规定。
女口: GDPR 采用明确的定义方式对信息处理的主体、行为、责任进行了阐释;确立个人信息权并细分出七项自权利;设置独立监管机 构;鼓励企业参与信息安全与合规认证体系,并且要求企业设立信息保护官。
GDPR 的上述立法成就,对我国有借鉴意义。
二、 GDPR 中的几个定义与主体责任(一)GDPR 中的几个定义GDPR 对信息保护领域可能涉及到的各类名词定义作了明确规定。
此处首先就其中的个人信息定义、处理行为及行为主体三方面作一些介绍。
个人信息:任何已识别或可识别的自然人(“数据主ce ls HANGYEQIYE S02O19年第4期总第226期SHANGYE FAZHI I体”)相关的信息。
并将其细分为基因数据、生物性识别数据以及和健康相关的数据。
信息处理行为:针对单一个人数据或系列个人数据所进行的操作行为。
包含收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
GDPR数据保护规则和实践操作流程
GDPR数据保护规则和实践操作流程随着数字化的发展,数据安全和隐私问题越来越引人关注。
为了保护居民的数据安全和隐私,欧洲联盟制定了通用数据保护条例(GDPR),该条例于2016年生效,取代了早期的数据保护法。
GDPR旨在保护欧盟居民的个人数据,并鼓励企业在数据收集和处理方面采取一系列严格的安全措施。
以下是GDPR的主要内容和实践操作流程。
1. 数据保护官GDPR规定了数据保护官(DPO),他们负责监督企业的数据处理活动。
DPO必须熟悉企业的数据保护政策和实践,同时必须独立运作,不能受到企业的干扰。
2. 事先告知GDPR要求企业在数据收集和处理之前,必须向居民事先告知数据的收集目的和使用方式。
如果企业要将数据用于其他目的,必须获得事先明确的同意。
3. 数据主体权利GDPR强调居民对于自己的个人数据拥有权利,企业必须尊重这些权利。
居民可以随时要求企业提供他们存储的个人数据,并可以要求企业删除或更正这些数据。
4. 移交数据企业必须将收集的个人数据存储在一个可控的环境中。
如果企业将数据交给第三方,必须确保第三方同样符合GDPR的要求。
5. 报告数据泄露如果企业发现自己的个人数据已被泄露,必须在72小时内向有关当局报告。
企业还必须通知受到影响的居民和采取必要的纠正措施。
6. 数据保护影响评估GDPR要求针对每项新的数据处理活动进行评估,以确认是否与GDPR相符。
该评估还应涵盖数据处理的标准和控制安全,以及与监管机构的沟通。
7. 审计和证明GDPR规定了企业必须识别风险以及采取适当的保护措施来控制风险。
企业必须审计和证明自己的数据保护措施已经实施,以便检查员核实合规性。
8. 面向国际企业GDPR不仅适用于欧盟企业,还适用于所有向欧盟居民提供产品或服务的企业。
如果企业收集欧盟居民的数据,那么企业必须符合GDPR的要求。
在实践操作方面,GDPR的实施需要企业进行适当的安全措施来保护数据的安全和隐私。
这些措施包括:1. 强制访问控制只授权特定的员工访问敏感数据,并实施多层次访问控制以确保数据的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
欧盟《通用数据保护条例》合规指南E安全E安全5月29日讯欧盟《通用数据保护条列》(简称GDPR)于2018年5月25日正式生效。
英国一份政府调研显示,只有38%的英国公司在GDPR 生效前100天才开始关注该条例,许多美国公司也一样。
按照GDPR 的规定,企业违规可能会面临高达2000万欧元(约合人民币1.28亿元)或企业全球年收入的4%的罚款(取两者中最高的)。
除了高额罚款,欧盟数据保护机构(DPA)可在必要时采取纠正处罚,例如禁止处理数据,并对常见的数据处理活动实施临时/确定性限制。
因此,想要在欧洲市场立足的企业除了努力满足合规外别无他法。
满足GDPR 的要求,企业到底需要重点了解哪些信息?不少组织发现保障合规性远比预期的要复杂。
市场调查公司Propeller Insights 的一项调查显示,52%的受访企业认为将面临违规罚款。
不过,只要小型企业在实施GDPR 最佳实践方面做出显而易见实际努力,监管机构就可能会"宽大处理"。
不过,尽管如此,仍免不了高额罚款。
因此,满足GDPR 的合规性可谓任重道远。
一、数据控制者&数字处理者按照GDPR 第4条的第(7)点和第(8)点,数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织,负责决定处理个人数据的目的和方式,不过具体标准应以欧盟或其成员国的法律予以规定;数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
但是,有时难以确定某个实体到底属于数据控制者还是处理者。
谷歌的复杂身份特例:当涉及包括AdMob、AdSense、AdWords、AdX 和DFP 在内的热门广告产品时,谷歌就是一个数据控制者;当涉及使用GoogleAnalytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消费者时,谷歌则是数据处理者;对于使用谷歌广告产品的广告发布商而言,谷歌仍是其收集数据的共同控制者,但是这些发布商收集数据必须征得用户同意。
二、个人数据及数据保护原则根据GDPR 的定义,是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。
GDPR 拓宽了个人数据的范围。
按照GDPR 界定的范围,个人数据也包括数字指纹(例如IP 地址和Cookie)。
除此之外,基因或生物识别数据也包含在“敏感数据”的范畴之内。
GDPR 明确提到个人敏感数据应受到高度保护,这些数据包含:个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息。
而医疗机构通常须满足更高标准的数据保护要求。
按照GDPR 第5条(Art. 5)的规定,个人数据必须:(a)以合法、公正、透明的方式处理与数据主体有关的(“合法性、公平性和透明性”);(b)为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理;为公共利益、科学,或历史研究目的,或统计目的而进一步处理,按照第89条第(1)款,不应被视为不符合初始目的(“目的限制”);(c)充分、相关以及以该个人数据处理目的之必要为限度进行处理(“数据最小化”);(d)准确,必要,及时;为了个人数据被毫不延迟地处理、删除或修正的目的,必须采取一切合理的步骤确保个人数据是不精确的(“精度”);(e)在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;为了保护数据主体的权利和自由,依据第89条(1)予以实施本法所要求的适度的技术和组织措施,只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理,个人数据能被长时间存储(“存储限制”);(f)以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”)。
三、何时处理个人数据合法?按照GDPR 第6条的规定,处理个人数据须遵守以下六项法律依据:1、数据主体同意他或她的个人数据为一个或多个特定目而处理;2、处理是为履行数据主体参与的合同之必要,亦或处理是因数据主体在签订合同前的请求而采取的措施;3、处理是为履行控制者所服从的法律义务之必要;4、处理是为了保护数据主体或另一个自然人的切身利益之必要;5、处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;6、处理是控制者或者第三方为了追求合法利益的之必要,但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外,尤其是数据主体为儿童的情形下。
(注:此项不适用于政府当局在履行其职责时进行的处理)事先取得同意是企业合法处理欧盟公民个人数据的最重要前提条件。
例如,当面临GDPR 的合规性时,Facebook 应设法取得同意,而非遵守数据最小化原则。
取得同意必须是可证实的,须与其它事项明确区分开来,且可撤回。
值得注意的是,处理敏感数据须取得明确的同意。
模糊或“一揽子同意”均被视为无效。
企业须向数据主体呈现通俗易懂的语言表述,供其选择是否同意对方处理个人数据。
鉴于此,至少从理论上讲,模糊不清、满篇术语及长期性同意的请求将不复存在。
此外,沉默、预先勾选或不积极,均不构成有效的同意。
当用户需要勾选或通过电话同意时,这就属于明确的选择。
16周岁以下的未成年人不具有合法的同意权,但欧盟成员国可以将此年龄限制放宽到13周岁。
四、用户控制权和用户权利GDPR 的其中一个目标是让消费者掌控自己的数据,这项目标仍是一项重大挑战。
数据控制者须向数据主体通知其具有的如下权利:主体访问权数据主体有权要求数据收集者或企业提供相关信息,包括使用的方法、数据内容以及谁有权访问数据等信息。
除非该请求存在特别的困难之处,否则数据收集者或企业需在30天内提供相关信息,可能包括绩效评估、奖惩记录、电脑访问日志、求职面试、通话记录和录像片段。
但是,所提供的信息不得包含任何其它员工的个人信息。
注意:这条规则涉及的数据不包括医疗记录、与刑事司法和税收相关的个人数据、与律师之间的保密通信、暴露当前管理问题的文件以及商业机密。
此外,该项程序免费开展,但数据控制者仍有权收取费用或拒绝执行过多及毫无根据的请求。
反对权数据主体有权基于与其特定情况有关的理由,在任何时候依据第6条第1款(e)项或(f)项拒绝有关其的个人数据被处理,包括根据这些规定进行概况分析。
控制者不得再处理该个人数据,除非控制者证明其有关(数据)处理的强制性法律依据优先于数据主体的利益、权利和自由,或者为了设立、行使或捍卫其合法权利。
除此之外,数据主体还可反对仅基于自动决策而制定的具有重大影响的决策。
Crowd Research 的一份调查报告显示,三分之一的组织机构报告称,他们无法向用户解释其算法如何在自动处理的背景下做出决策。
纠正/删除的权利在用户数据不完全或不正确的情况下,数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。
考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式。
限制权如果处理程序与GDPR要求的数据保护措施不符,数据主体可要求限制处理他们的个人数据。
擦除权(又称被遗忘权)这是GDPR 的一条标志性规定。
在用户数据不完全或不正确的情况下,数据主体有权要求控制者无不当延误地删除有关其的个人数据。
如收集个人数据的目的变得毫无必要或同意被撤回,数据主体可要求删除数据。
据Solix 公司的一项调查显示,约三分之二的受访者承认其不知道如何实施“被遗忘权”,其原因在于他们不确定是否可以永久清除用户的个人数据。
转移数据的权利数据主体可向数据控制者提交请求,要求对方以机器可读的形式整理他们的个人数据,以便将这些数据转移给其它控制者。
如果用户希望更换数据控制者,他们可通过数据可读的形式简单重用这些数据,例如,用户希望转移数据更换电信服务。
GDPR 合规建议(一)全面了解数据要确保企业在满足GDPR 合规方面不出现问题,企业最好组建一个由律师、IT 技术人员和数据安全专家组成的团队。
这支团队需弄清楚:正在处理什么数据?数据存储在哪里?处理过程如何?对数据进行全面分析,包括数据所属类别、处理数据的法律依据、处理数据的方法、访问数据的实体以及安全措施。
组织机构的所有计划和政策,例如,数据保护计划、自带设备(BOYD)政策、事件响应计划和业务连续性计划,且必须符合GDPR 的要求。
例如,大多数员工获许在工作用设备上安装个人应用程序。
如果此类应用程序会访问并存储个人数据,且企业未部署任何措施来满足GDPR 合规,结果可能会事与愿违。
因此,企业有必要优化BOYD 政策。
对供应商进行调查,以了解对方的安全政策和重要措施以及供应商访问哪些用户的数据。
部分供应商可能会获取非必需数据(例如IP 详细信息),这能帮助它全面了解其用户的浏览习惯。
然而,修改合同以及维系与供应商的关系是一个相当耗时的过程。
企业必须描述用户数据相关的流程,例如内容管理、用户注册、商业智能和分析流程。
此外,企业还须报告GDPR 合规进度。
根据GDPR 第30条的规定,企业必须记录处理活动(RoPA),以便进行示范。
从本质上讲,这就相当于要求清点存在风险的应用程序。
(二)风险评估企业不仅要了解存储的数据,还要了解其中的风险,尤其应了解可能收集和存储个人数据的“影子IT”。
为有效满足合规,风险评估还应提出旨在缓解现有风险的技术。
Snow Software 公司高级副总裁麦特·费舍尔(Matt Fisher)在提供风险评估相关建议时表示,组织机构首先必须要全面了解整个IT 基础设施,并清点所有的应用程序。
然后再结合对可处理个人数据应用程序的见解,进而降低项目范围及花费在这上面的时间。
从逻辑上讲,企业应在风险识别之后启动风险缓解程序,数据处理活动必须符合GDPR 的数据保护原则。
(三)尊重用户权利,并赋予用户控制权企业应有效处理客户的投诉和疑问,尤其是那些与条例中规定的数据主体权利相关的投诉和疑问。
按照GDPR 的规定,数据控制者必须向用户提供取消所有通信的选项,为用户提供控制权和退出通信的选项,如在“订阅”旁边提供“取消订阅”的选择框。
(四)保持透明度监管机构高度重视透明性,例如,在条款、条件和隐私政策中提供引入注目的链接。
(五)采用默认提供数据保护的组织和技术措施某些安全措施和技术必须部署在产品/服务的最初开发阶段。
加密和假名化(pseudonymization)技术是此类措施的常见技术。
此外,这些安全措施和技术还允许开发人员在实践中应用核心数据保护原则,比如数据最小化原则。