52

GDPR通用数据保护条例-要点总结

 5 years ago
source link: http://www.10tiao.com/html/653/201807/2651078128/3.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

数字化浪潮席卷全球,越来越多的企业在利用技术来彻底改变企业的业绩或触角。数据作为数字化转型的根基,对企业来说至关重要。据调查发现,在全球数据泄露事件中,违规事件发生率较高的行业:零售业占16.7%; 金融与保险业占13.1%; 医疗机构占11.9%。(Trustwave 2018年全球安全报告)。而这几个行业正是数字化转型的先驱。发展与风险并存,在数字化过程中对数据的保护成为了企业的头等大事。

2017年6月1日施行的《中华人民共和国网络安全法》,强调了对基础设施及个人信息的保护。2018年5月1日实施的《信息安全技术个人信息安全规范》,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。而在2018年5月25日正式生效的GDPR,被称为欧盟“史上最严”条例,业已产生了巨大的影响:


  • Google、Facebook,在GDPR生效日分别收到了欧盟39亿欧元、37亿欧元罚款的诉讼。苹果、亚马逊、LinkedIn等公司也面临隐私监管机构提起的诉讼。


  • GDPR生效后,芝加哥时报、洛杉矶时报等多家美国媒体网站在欧洲的服务器关停。


  • 微信海外版、新浪微博国际版等多家互联网企业向欧洲区用户更新隐私政策,请求重新授权。QQ停止部分国际版服务,并将推出新版本,提示用户升级。国航、东航均对其APP及官方网站隐私条款进行了更新。


  • 海尔、华为早已雇请专门团队应对新规。


为此,安全值&谷安研究院对GDPR深度解读,将要点进行了归纳,助您快速了解GDPR。


1.适用性(中国企业)



2.数据相关方


  • 数据主体(data subject):享有数据权利的主体,个人数据所指向之自然人为数据主体


  • 控制者(controller):义务主体,指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组


  • 数据处理者(processor):义务主体,代表控制者,处理个人数据的自然人、法人或者其他组织


  • 第三方(Third party):指未对“个人数据”有任何授权的其他方


3.个人数据定义


“任何指向一个已识别或可识别的自然人的信息”,例如:基本的身份信息:姓名、地址和身份证号码…


网络数据:位置、IP地址、Cookie数据和RFID标签…


医疗保健和遗传数据;生物识别数据,如指纹、虹膜等;种族或民族数据;政治观点;性取向。


4.数据处理定义


“指对个人数据或个人数据集合上执行的任何操作”


5.数据处理原则


确保数据在整个数据生命周期的安全


  • 数据收集:收集目的明确、合法,数据主体同意授权


  • 数据处理:处理过程合法、透明,具备保障


  • 存储:安全、保密,存储期受严格限制


6.数据主体权利


●许可权  ●访问权   ●纠正权   ●限制处理权

●反对权   ●可携权   ●被遗忘权 ●告知权


7.同意条件


  • 数据处理的前提是用户同意,如果用户同意是在包含其他事项的书面声明中,则该书面声明中的同意请求应当具有明显的辨识度并使用清楚、直白的语言,以容易理解且容易获取的方式呈现,否则视为无效。


  • 用户有权随时撤回其同意,同意的撤回应当和同意的作出一样容易。


  • 儿童的同意:16岁以上儿童的同意可以是处理其个人数据的合法条件,不满16岁的儿童,只有当其监护人授权同意时,处理其个人数据才是合法的。


8.组织责任


  • 监测、审查、评估数据处理程序


  • 最小化的数据处理及保留


  • 为数据处理建立保障


  • 记录数据处理的策略、程序、具体操作


9.数据保护官(DPO)


如果组织大规模的监控或处理大量的个人数据,则必须任命数据保护官。职责如下(至少包括):


  • 向企业和企业员工提供GDPR数据保护方面的信息和建议;


  • 对企业GDPR合规以及数据保护方面所做的工作进行监管;


  • 对企业DPIAs方面工作的参与和管理;


  • 同监督机构合作,负责数据外泄的紧急汇报;


  • 协助实现数据主体的数据权利;


10.PIA(隐私影响评估)


当进行有风险的或大规模数据处理时,组织必须进行隐私影响评估。


包括以下步骤:

A.项目PIA需求分析:分析PIA是否为该项目的必须流程


B.项目涉及信息描述:包含涉及什么信息、如何收集、用途、是否涉及转移等


C.风险识别:数据处理对数据主体及企业带来风险的识别


D.方案评估:评估方案措施、效果及成本


E.方案执行:执行方案并记录执行过程、相关决策。


F. PIA结果整合及监控:将PIA结果及整改措施融入项目,并不断监控PIA执行及优化。


11.PBD(隐私设计)


在提供的产品、服务的各个环节,都应充分考虑隐私保护,使之成为组织工作中必不可少的一部分。


12.关于罚金


监管机构可征收高达2000万欧元的严重处罚,或者上一年全球年营业额的4%,以较高者为准。

制裁相关因素:


  • 违规的性质、严重程度和违规的持续时间


  • 违规是故意的还是因疏忽导致


  • 对个人身份信息处理的控制程度


  • 违规是单个事件还是重复事件


  • 涉及的数据主体遭遇损害的程度


  • 为了减轻损害是否采取行动


  • 由违规产生的财务预期或收益


  • 与数据保护机构的合作情况


13.数据外泄通告机制


组织在发生数据外泄时必须在72小时内,即刻通报给监管机构。并且,若外泄会给个人带来风险,也应该及时通知当事人。


相关阅读

GDPR合规就是胡萝卜+大棒

至今为止GDPR《通用数据保护规范》解释的最清楚的文章




report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK