什么是GDPR?
通用數(shù)據(jù)保護條例GDPR (General Data Protection Regulation)是一項新的歐盟條例,該條例將于5月25日正式生效。條例的主要內(nèi)容可概括為增強數(shù)據(jù)監(jiān)管力度,提高對歐盟公民的隱私保護,最大限度的降低企業(yè)濫用數(shù)據(jù)的問題。
不是歐盟成員國企業(yè),GDPR仍然與你有關(guān)!
GDPR 是以人為單位,保護所有歐盟公民的權(quán)益,與企業(yè)所屬國無關(guān)。只要企業(yè)的客群涉及到歐盟公民,則均須遵守GDPR,對于違規(guī)企業(yè)將進行高額罰款。
GDPR生效前,企業(yè)需要怎樣做準備?
如果你的企業(yè)客戶為歐盟公民,你就需要對數(shù)據(jù)收集的流程做相應修改。在收集或使用任何個人數(shù)據(jù)之前,均必須征得用戶同意,在用戶授權(quán)后,才可以進行使用,否則將視為違法行為。
GDPR帶來的巨大轉(zhuǎn)變
個人權(quán)益
企業(yè)在收集用戶提交的注冊、報名、下載、參與活動等個人信息時,必須確保用戶已經(jīng)同意企業(yè)行為。GDPR在要求獲得同意時,提高了公式的標準,遵循用戶“自由地給予、明確、知情”,企業(yè)需要使用“清晰易懂”的法律語言來進行用戶權(quán)益闡述,不可以通過其他國家語言或其他方式來模糊權(quán)益說明。同時企業(yè)還必須能夠提供證明,用戶的同意行為是自愿的,而非強制同意,同時也必須通知他們有權(quán)撤回該同意。
內(nèi)部程序
對于處理個人數(shù)據(jù),有若干新的原則,包括在開發(fā)系統(tǒng)時在數(shù)據(jù)隱私的設(shè)計構(gòu)建要求,企業(yè)有義務在使用“新技術(shù)”或以風控方式處理數(shù)據(jù)隱私影響評估。數(shù)據(jù)隱私影響評估是一個系統(tǒng)地考慮項目可能對個人隱私造成潛在影響的過程,從而最大限度減少觸碰數(shù)據(jù)隱私紅線的風險。
在安全方面,GDPR將要求許多企業(yè)擁有數(shù)據(jù)隱私官(DPO)來監(jiān)督他們的遵守情況。需要DPO的組織包括公共機構(gòu),其活動涉及大規(guī)模的數(shù)據(jù)主體的定期和系統(tǒng)監(jiān)控,或組織大規(guī)模處理當前已知的敏感個人數(shù)據(jù)。
監(jiān)察體系
GDPR要求在多個歐盟國家設(shè)有辦事處的組織將有一個“核心的監(jiān)督機構(gòu)”作為執(zhí)行的中心點,以一個點作為最高的監(jiān)督執(zhí)行機構(gòu),確保不會因地域不同引起紛爭。同時GDPR還包含了一個新的要求,即在正式生效后,企業(yè)必須在得知個人數(shù)據(jù)泄露的72小時內(nèi)通知其國家的監(jiān)管當局,除非數(shù)據(jù)是匿名的或加密的。可能對個人造成傷害的違規(guī)行為,如身份盜竊或違反保密性,也必須向有關(guān)人員報告。
責任與處罰
GDPR將要求企業(yè)在運營過程中,進行數(shù)據(jù)的授權(quán)記錄、授權(quán)實施過程等,能夠在地方監(jiān)督當局證明他們符合GDP要求。同時應培訓員工,并采取適當?shù)募夹g(shù)和組織措施確保和證明符合性。
GDPR的重要性可以從懲罰措施中得以重。根據(jù)違反的類型,企業(yè)錯誤處理個人數(shù)據(jù)或侵犯數(shù)據(jù)主體的權(quán)利可能會導致其全球年收入4%或高達2000萬的罰款。
以上為Focussend總結(jié)GDPR部分觀點內(nèi)容,詳細全文請 點擊查看原始文件
