2019年的钟声已经响起,庆祝新年到来的同时,我们还是想为您敲响新年的第一次警钟。GDPR——欧盟《通用数据保护条例》,热度或许不在,噩梦依旧徘徊。
01 GDPR是什么
GDPR是英文“General Data Protection Regulation”的缩写,通常翻译为“通用数据保护条例”。由欧盟推出,目的在于遏制个人信息被滥用,保护个人隐私,于2018年5月25日正式生效。
GDPR可以直接在各欧盟成员国施行,不需要各国议会通过。目前欧盟有28个成员国,大约有5亿多人可以直接得到GDPR的保护。
02 GDPR概述
GDPR包括11个章节、99个条款。
GDPR加强和统一了欧盟内部个人的数据保护,公司必须对其系统和业务进行所有必要的修改以满足新的合规要求。
03 GDPR重点内容
GDPR是关于信息管理良好实践的业务规则,也是人权和消费者保护立法。
GDPR关注的关键问题,如数据主体的权利。该法规使人们更加关注数据(技术)的使用。
• GDPR涉及11个领域的管理,包括“同意”概念、个人敏感数据、问责机制、数据主体的权力、数据处理者、数据泄露的通知、数据保护者、数据处理者;
• 更多实体将受到监管,包括纯数据处理公司和非欧盟实体;
• 遵从义务将扩展到证据隐私影响评估、设计隐私权、被遗忘权和数据可移植性;
• 要求更高的透明度,如明确同意、违约披露等条款;
• 增加诉讼风险与扩大执法权力,如罚款,集体诉讼和增加赔偿索赔。
3.1 GDPR总体说明
如何存储:知道所有个人数据的存储位置;
设计隐私:尽量减少在设计阶段对新产品的个人数据和保障措施的使用和收集;
职责:任命数据保护官(DPO);
通报机制:违规72小时内向监管机构披露;
数据披露:必须要有处理个人数据的声明与授权;
数据携带:将个人数据及时转移给其他所有者允许转移的公司;
被遗忘的权利:根据要求删除所有相关的个人数据;
数据的角色: 数据控制者、数据处理者;
用户画像:数据主体明确同意授权或者是签订合同所必需的时候。
3.2 关注点
罚款达到全球营业额的4%;
公民直接诉权;
72小时内报告数据泄露;
属地主义转化成属人主义;
定义扩展到:
(1)基因数据;
(2)IP地址;
(3)RFID标签;
(4)Cookie。
3.3 工作组补充条款
数据保护影响评估(DPIA);
数据保护官(DPO);
内容透明度;
同意的概念;
个人数据泄露;
识别数据控制者与数据处理者的权力;
行政罚款的设置与使用范围;
自动数据处理与分析。
(以下内容摘自世平信息-大伟哥自制PPT,有兴趣的看官请仔细阅图,图中自有黄金屋。。)
04 GDPR的3个重要定义
05 GDPR与网络安全法的联系
06 GDPR合规难点及应对措施
6.1 数据的发现
6.2 数据处理知情权
6.3. 大数据处理的规范
6.4 数据全生命周期管理
6.5 数据遗忘权
6.6 数据泄露应急处理
6.7 数据隐私评估