GDPR适用的地理范围
GDPR适⽤设立于欧洲的公司或者组织的数据处理行为。
GDPR也可能适用于欧洲以外的实体处理欧盟个人数据的情况: 向欧盟居提供商品或服务(无论是有偿还是无偿);或者监测欧盟境内居民的行为。
GDPR关键术语
GDPR仅适用于个人数据的处理。
个人数据是该据保护法律适用的起点。然而,数据所属的自然人(数据主体)才是被保护的对象。
特殊类别个人信息/个人敏感信息,需特别注意, 如:
GDPR处理:对个⼈数据的任何操作(如,收集、存储、删除、变更、检索、咨询、披露)
| 数据处理参与方 | 举例 |
|---|---|
| 数据主体:识别或可识别的自然人 | 雇员、客户 |
| 控制着:能够独自或与其它共同决定处理个人数据的目的和方式;它可以是自然人或法人,公共机构或其它机构 | 雇主 |
| 共同控制着:与一个或多个控制者共同决定此类处理操作的目的和方式 | 集团公司内实体 |
| 处理者:代表控制者处理个人数据得自然人或法人、公共机构、代理机构或其它机构 | 云服务提供商、企业邮件服务提供商 |
GDPR关键原则
数据处理原则
- 目的限制 :个人数据应出于特定的、明确的、合法的目的收集,且不得以不符合以上目的的方式进行进一步处理
- 合法公平 :应以合法、公正的方式处理个人数据
- 透 明 :向个人提供关于对其个⼈数据进行处理的基本情况
- 数据最小化 :充分、相关且以该个人数据处理目的必要性为限度进行处理
- 准 确 : 准确、并在必要时保持最新;考虑到处理个人数据的目的,必须采取一切合理的措施,毫不拖延地删除或纠正不准确的个人数据
- 存储限制 :个人资料的保存格式,须许可辨识资料当事人的身分,而保存时间不得超过处理个人资料的目的所需要的时间
- 完整与机密 :处理过程必须确保个人资料有足够的安全。防止未经授权或非法处理以及防止损失、破坏或损坏的措施必须到位
- 责任原则 :保存能证明合规的文件资料,如果需要,必须向欧盟隐私监管机构提供相关文件资料
数据主体的权利
GDPR赋予个人控制其数据的权利,具体权利包括:
- 知情权
- 访问权
- 更正权
- 删除权
- 限制处理
- 数据可携权
- 反对权
- 拒绝接受自动化决策与分析
数据共享保护
若不具备适当的保护措施,不得共享个⼈信息
个人信息跨境传输
不得将个人信息转移至欧盟以外的地方,除非:
数据保护专员
数据保护专员在确保GDPR合规⽅⾯起着重要作⽤,其职责包括:
数据保护措施
采取适当的技术性和组织性措施保护个⼈信息
个人数据泄露
个人数据泄露:指导致意外或非法销毁、丢失、更改、未经授权披露、或者访问所传输、存储或以其他方式处理个⼈数据域的安全漏洞
报告泄露事件:数据控制者必须在发现泄露之时起72⼩时内向其监管部门报告该个⼈信息泄露事件
GDPR执法
处罚: 违反GDPR最高罚款为组织年营业额的4%,或2000万欧元,两者取高
其他类型的执法行为
英国ICO - AggregateIQ Data Services Ltd.
在Cambridge Analytica丑闻之后,英国ICO责令AIQ(加拿⼤公司)在30天之内清除所有保留在其服务器之内的英国公民的个⼈信息,否则将⾯临GDPR之下最⾼罚⾦的惩罚
