GDPR會(huì)影響哪些企業(yè)
歐盟GDPR法案具有域外效應(yīng)。也就是說,GDPR賦予了歐盟在個(gè)人信息安全方面的域外管轄權(quán)。
主要受影響的企業(yè)為以下四類:
?設(shè)立在歐盟境內(nèi)的企業(yè)(控制者、處理者)
?未在歐盟境內(nèi)設(shè)立,但向歐盟境內(nèi)的數(shù)據(jù)主體(自然人)提供產(chǎn)品和服務(wù)的企業(yè)(控制者、處理者)
?未在歐盟境內(nèi)設(shè)立,但涉及監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體(自然人)行為的企業(yè)(控制者、處理者)
?未在歐盟境內(nèi)設(shè)立,但在歐洲成員國(guó)法律適用的地方設(shè)立的企業(yè)(控制者、處理者)
總結(jié)來說,GDPR不僅適用于位于歐盟境內(nèi)的企業(yè)組織機(jī)構(gòu),也適用于位于歐盟以外的企業(yè)組織機(jī)構(gòu),無論機(jī)構(gòu)所在地位于哪里,只要其向歐盟數(shù)據(jù)主體提供產(chǎn)品、服務(wù)或者監(jiān)控相關(guān)行為,或處理和持有居住在歐盟境內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù),都將受到GDPR法案的監(jiān)管。
GDPR法案同樣適用于“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”。如果是數(shù)據(jù)處理者涉案,數(shù)據(jù)控制者也無法免除責(zé)任,GDPR規(guī)定控制者需要承擔(dān)更多的責(zé)任,以確保和數(shù)據(jù)處理者之間的合同能夠嚴(yán)格遵守GDPR的規(guī)定。
GDPR不適用于哪些情況
GDPR更多的是監(jiān)管企業(yè)對(duì)數(shù)據(jù)的使用行為。以下4個(gè)方面的數(shù)據(jù)使用情況不適用于GDPR:
?為了預(yù)防、調(diào)查、偵查或起訴刑事犯罪,主管當(dāng)局為執(zhí)行刑事處罰目的而產(chǎn)生的數(shù)據(jù)處理行為
?基于國(guó)家安全目的而產(chǎn)生的數(shù)據(jù)處理行為
?自然人在純粹的個(gè)人或家庭活動(dòng)中產(chǎn)生的數(shù)據(jù)處理行為
?歐盟法律規(guī)定范圍之外的活動(dòng)過程中產(chǎn)生的數(shù)據(jù)處理行為
GDPR約束了哪些數(shù)據(jù)
個(gè)人數(shù)據(jù):
可以通過某個(gè)標(biāo)識(shí)直接或間接識(shí)別某一自然人的信息。
不管是采用自動(dòng)化手段還是人工進(jìn)行歸類的數(shù)據(jù),包括按時(shí)間順序排列的包含個(gè)人數(shù)據(jù)的記錄集合。
已經(jīng)被匿名化的個(gè)人數(shù)據(jù),取決于用已有標(biāo)識(shí)來識(shí)別特定個(gè)體的困難程度。
敏感個(gè)人數(shù)據(jù):
也被稱為“特殊種類的個(gè)人數(shù)據(jù)”。
包括揭示種族或民族出身、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員的個(gè)人數(shù)據(jù)。
包括遺傳數(shù)據(jù)和經(jīng)過處理可以唯一識(shí)別個(gè)體的生物特征數(shù)據(jù)。
不包括涉及刑事定罪和罪行的個(gè)人數(shù)據(jù),但該類數(shù)據(jù)的處理和保存有特殊要求。
GDPR中數(shù)據(jù)主體的權(quán)利(第三章)
?知情權(quán)
?訪問權(quán)
?反對(duì)權(quán)
?可攜帶權(quán)
?糾正權(quán)
?刪除權(quán)/被遺忘權(quán)
?限制處理權(quán)
?免受數(shù)據(jù)畫像影響
GDPR中處理個(gè)人數(shù)據(jù)的基本原則
?合法、正當(dāng)、透明
?處理數(shù)據(jù)的目的是有限的
?僅處理為達(dá)到目的的最少數(shù)據(jù)
?確保數(shù)據(jù)準(zhǔn)確、及時(shí)更新
?存儲(chǔ)數(shù)據(jù)的期限不得長(zhǎng)于為達(dá)到目的所需要的時(shí)間
?采取技術(shù)和管理措施以保護(hù)數(shù)據(jù)的安全
?數(shù)據(jù)控制者有責(zé)任并應(yīng)能夠證明做到了以上幾點(diǎn)
GDPR中對(duì)合法處理數(shù)據(jù)的定義
至少滿足一下中的某一項(xiàng),處理數(shù)據(jù)才是合法的
?數(shù)據(jù)主體同意為了特定目的處理其數(shù)據(jù)
?處理數(shù)據(jù)是為了簽訂或履行合同的需要
?處理數(shù)據(jù)是為了遵守法定義務(wù)的需要
?處理數(shù)據(jù)是為了保護(hù)數(shù)據(jù)主體或其他自然人的至關(guān)重要的利益
?處理數(shù)據(jù)是為了公共利益或形式政府授受的權(quán)力
?處理數(shù)據(jù)是為了追求數(shù)據(jù)控制者的合理利益,但不得損害數(shù)據(jù)主體的利益
GDPR中針對(duì)兒童數(shù)據(jù)的處理規(guī)定
處理16歲以下兒童的個(gè)人數(shù)據(jù),必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán)。各成員國(guó)可以對(duì)上述年齡進(jìn)行調(diào)整,但是不得低于13歲
GDPR中數(shù)據(jù)控制者與數(shù)據(jù)處理者的義務(wù)
設(shè)置DPO(數(shù)據(jù)保護(hù)官)
文檔化管理
數(shù)據(jù)保護(hù)影響評(píng)估
事先咨詢機(jī)制
數(shù)據(jù)泄露報(bào)告機(jī)制
安全保障措施
遵守?cái)?shù)據(jù)跨境轉(zhuǎn)移規(guī)則
GDPR中針對(duì)特別類型個(gè)人數(shù)據(jù)的處理規(guī)定
禁止收集處理反映個(gè)人種族或民族起源、政治觀點(diǎn)、宗教和哲學(xué)信仰、是否是工會(huì)組織成員的數(shù)據(jù)、個(gè)人基因識(shí)別數(shù)據(jù)、生物數(shù)據(jù)、或涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù),如已獲得個(gè)人的明示同意,或數(shù)據(jù)控制者因處理
勞動(dòng)關(guān)系、社會(huì)保險(xiǎn)之需要并在法律允許的范圍內(nèi)且已采取了適當(dāng)?shù)谋Wo(hù)手段等。
GDPR中關(guān)于數(shù)據(jù)主體被遺忘權(quán)的規(guī)定(重要)
當(dāng)個(gè)人數(shù)據(jù)已和收集處理的目的無關(guān)、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當(dāng)理由保存該數(shù)據(jù)時(shí),數(shù)據(jù)主體可以隨時(shí)要求收集其數(shù)據(jù)的企業(yè)或個(gè)人刪除其個(gè)人數(shù)據(jù)。
如果該數(shù)據(jù)被傳遞給了任何第三方(或第三方網(wǎng)站),數(shù)據(jù)控制者應(yīng)通知該第三方刪除該數(shù)據(jù)。
GDPR中關(guān)于數(shù)據(jù)主體可攜帶權(quán)的規(guī)定(重要)
數(shù)據(jù)主體可向數(shù)據(jù)控制者索要其數(shù)據(jù),也可將其個(gè)人數(shù)據(jù)轉(zhuǎn)移至另一個(gè)數(shù)據(jù)控制者。
GDPR中關(guān)于個(gè)人數(shù)據(jù)泄露通知的規(guī)定(重要)
數(shù)據(jù)控制者應(yīng)在72小時(shí)之內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告?zhèn)€人數(shù)據(jù)的泄露情況。當(dāng)數(shù)據(jù)泄露可能會(huì)給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風(fēng)險(xiǎn)時(shí),數(shù)據(jù)控制者必須毫不延誤的通知數(shù)據(jù)主體,以便數(shù)據(jù)主體及時(shí)采取措施。
GDPR中關(guān)于設(shè)立數(shù)據(jù)保護(hù)官的規(guī)定
為確保數(shù)據(jù)保護(hù)合規(guī)并處理數(shù)據(jù)保護(hù)相關(guān)事務(wù),數(shù)據(jù)控制者和數(shù)據(jù)處理者需設(shè)置數(shù)據(jù)保護(hù)官(DPO)。
控制者和處理者應(yīng)當(dāng)對(duì)數(shù)據(jù)保護(hù)官不下達(dá)任何指令,DPO不能因?yàn)閳?zhí)行任務(wù)的原因被解雇或者受到刑事處罰。
數(shù)據(jù)保護(hù)官直接向最高管理者報(bào)告工作。
根據(jù)聯(lián)盟法律或者成員國(guó)法律規(guī)定,數(shù)據(jù)保護(hù)官應(yīng)當(dāng)對(duì)其執(zhí)行任務(wù)的內(nèi)容進(jìn)行保密。
數(shù)據(jù)保護(hù)官也可以執(zhí)行其他任務(wù),履行其他職責(zé)。
GDPR關(guān)于執(zhí)法和處罰的規(guī)定(非常重要)
不遵守信的數(shù)據(jù)隱私法規(guī)的后果就是會(huì)受到嚴(yán)厲的制裁和巨額的罰款。
GDPR的處罰并不是像網(wǎng)上傳的那樣直接就罰全球營(yíng)收的4%。而是有兩個(gè)等級(jí)的征收行政性罰款的規(guī)定:
對(duì)于一般性的違法,罰款上限是1000萬歐元,或者在承諾的情況下,最高為上一個(gè)財(cái)政年度全球全年?duì)I業(yè)收入的2%(兩者中取數(shù)額大者);
對(duì)于嚴(yán)重的違法,罰款上限是2000萬歐元,或者在承諾的情況下,最高為上一個(gè)財(cái)政年度全球全年?duì)I業(yè)收入的4%(兩者中取數(shù)額大者);
判罰的嚴(yán)重程度是基于以下因素:
?違規(guī)的性質(zhì)、嚴(yán)重程度和違規(guī)的持續(xù)時(shí)間
?違規(guī)是故意的還是因疏忽造成的
?對(duì)個(gè)人身份信息的責(zé)任心和控制程度
?違規(guī)是單個(gè)事件還是重復(fù)事件
?受到影響的個(gè)人資料的種類范圍
?數(shù)據(jù)主體遭遇的損害程度
?為了減輕損害而采取的行動(dòng)
?由違規(guī)產(chǎn)生的財(cái)務(wù)預(yù)期或收益
GDPR核心旨在保護(hù)隱私數(shù)據(jù),并通過法案約束來建立企業(yè)和公民之間的信任關(guān)系,違反GDPR的代價(jià)遠(yuǎn)不止財(cái)務(wù)層面,還將給企業(yè)聲譽(yù)造成極大破壞,并且導(dǎo)致企業(yè)和消費(fèi)者之間產(chǎn)生信任危機(jī)
