携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第27天,点击查看活动详情
通用数据保护条例 (GDPR) 合规性
什么是通用数据保护条例 (GDPR)
《通用数据保护条例》(GDPR)于2018年生效,被许多人认为是世界上最全面的数据隐私法规。.由于其广泛的应用范围,包括Imperva在内的许多组织都选择实施GDPR作为其全球数据隐私标准。GDPR的要点包括:
- 将数据隐私确立为一项基本人权,包括个人访问、更正、擦除或移植其个人数据的权利。
- 加强基线要求,并定义确保个人数据保护的角色和责任。
- 在整个欧盟范围内提供数据保护规则的标准化应用,从而促进个人数据在欧盟和欧洲经济区 (EEA) 内外的合法流动。
这是有关合规性管理的广泛系列指南的一部分。
通用数据保护条例 个人数据定义
根据GDPR,个人数据是任何东西,单独或与其他事物结合使用,可以识别一个活生生的个人。个人数据的一些示例包括:
- 通常被视为个人识别信息 (PII) 的信息,例如姓名、身份证号码、社会安全号码、电子邮件地址、电话号码或家庭住址。
- 在线标识符,如 IP 地址。
- 设备标识符,如 MAC 地址
- 位置数据。
GDPR 进一步确定了特殊类别的个人数据,这些数据在处理时需要额外的保护。
- 生物识别数据,如DNA、指纹或面部识别图像。
- 出生时获得的遗传特征,例如民族或种族特征。
- 健康数据,包括身体/精神状况和医疗保健代码的记录。
GDPR 影响哪些公司?
GDPR 具有广泛的地域范围,如第 3 条所述。除了位于欧盟的公司外,GDPR 还适用于向欧盟居民提供商品和服务或监控欧盟居民活动的公司。
关键术语
GDPR 定义了实施其要求所必需的各种角色和活动,包括:
| 关键术语**** | 定义 |
|---|---|
| 数据控制者 | 确定处理个人数据的目的和方式的实体。示例:一家制造公司从其员工那里收集个人数据。需要用户付款的 ISP。 |
| 数据处理者 | 代表数据控制者处理数据的实体。示例:工资单公司代表制造公司处理员工工资支票。存储个人数据的云服务提供商。 |
| 数据处理 | 对个人数据执行的任何操作。示例:改编、更改、收集、组合、咨询、销毁、传播、擦除、组织、记录、限制、检索、存储、结构化或使用。 |
| 数据主体 | 其个人数据由控制者或处理者处理的自然人。示例:制造公司的员工。 |
| 分析 | 旨在评估、分析或预测数据主体行为的任何数据处理。示例:工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、消费者行为、位置/移动。 |
GDPR 权利:什么是数据主体的权利?
GDPR 授予数据主体以下基本权利:
-
有权了解公司如何收集其个人数据,他们将保留多长时间,他们将如何使用这些数据,以及他们将与谁共享。
-
访问公司收集的个人信息的权利,包括请求数据副本的能力。
-
在数据不完整或不准确时纠正(更正)数据的权利。
-
公司删除个人数据的权利,包括“被遗忘的权利”。
-
限制数据控制者处理个人数据的权利,即使个人不能要求删除。
-
数据可移植性的权利,这意味着数据主体可以获取和使用他们的个人数据,并要求公司以电子方式将其发送给第三方。
-
反对处理个人数据的权利,例如用于科学研究。
-
不受自动决策约束并要求人工审查的权利,包括在算法做出决定时被告知的权利。
《通用数据保护条例》的主要条款
GDPR 包含 99 篇描述数据保护和实施规则的文章。以下是从 GDPR 中选择的文章,这些文章可用于了解合规性风险。
- 第9条 – 特殊类别个人数据的处理。
- 第25条 — 基于设计和默认的数据保护。
- 第 28 条 – 处理器
- 第30条 – 处理记录
- 第32条 — 数据处理的安全性。
- 第33条 — 将个人数据泄露通知监管机构。
- 第34条 — 向数据主体传达个人数据泄露信息。
- 第35条 —— 数据保护影响评估。
- 第44条——转让的一般原则。
什么是 GDPR 数据泄露通知?
当GDPR涵盖的组织发生个人数据泄露时,公司必须向数据保护机构报告违规行为。这适用于个人数据泄露,这些泄露可能对个人数据受到损害的个人的权利和自由造成高风险。
GDPR 要求在 72 小时内将违规行为通知数据保护机构。此外,在某些情况下,组织必须亲自通知受违规行为影响的个人。
