GDPR是欧盟最新的数据保护规范。
GDPR对于一般数据保护规则来说是短暂的,它进入2018年5月25日的全部效果。只有三个月的短暂几个月,世界各地的企业与任何欧盟公民或居民的个人数据有关,则需要遵守GDPR。
尽管GDPR与它的前身欧盟数据保护法案有很多相似之处,但GDPR无疑是保护个人数据使用的更严格、更强硬的年轻亲戚。
本文将简要介绍GDPR,以便您可以开始或继续在您的公司开展数据保护遵从性项目的工作。
这项立法,就像欧盟官方公报,总结GDPR的推动力:
“科技的迅速发展和全球化,为保护个人资料带来了新的挑战。”收集和分享个人资料的规模显著增加。技术允许私人公司和政府当局以前所未有的规模使用个人数据,以进行他们的活动。”
值得注意的是,本文不应被用作健全的法律建议。如果您正在寻找准备GDPR的合法指导和建议,请咨询数据保护机关。
GDPR使人们能够更好地控制个人数据的使用。
在欧盟,个人数据保护被视为一项基本的人权随着越来越多的数据泄露事件的严重性和长期影响不断增加,保护个人数据的需求比过去几年更加迫切。
GPR概述
欧盟在历史上采取了比美国的处理更严格的方法来处理数据。GDPR正在向前推出20年前通过的前数据保护计划,欧盟数据保护指令或指令95/46 / EC。
个人数据保护法规亟需改革,而《GDPR》恰恰提供了这方面的改革。
上述以及之前所有的数据保护法规都是在大规模泄漏事件之后出台的。
2013年,爱德华·斯诺登(Edward Snowden)泄露了美国国家安全局(NSA)、欧洲一些政府机构和大型电信公司的监控项目,这类非法的政府监控项目助长了类似GDPR的监管需求。
美国国家安全局的泄密事件就是一个例子,说明为什么像GDPR这样的法规是如此必要。折扣零售商塔吉特公司(Target Corporation)和消费者信用报告机构Equifax的大规模数据泄露更是证明了这一点。
耦合这些类型的事件与全球数据驱动公司和组织如何运作的令人难以置信的快速速度,漏洞曝光,数据保护和安全计划显示了他们的差距,以及使用个人数据进行商业目的的风险来实现。
GDPR是旨在设置数据保护步伐的规范的最新尝试。虽然使用数据的使用速度跨行和部门迅速下降,但个人数据的监管和保护相对不一致。
我们看到时间又一次地使用保护我们的个人数据和其他人的个人数据的数据泄露至关重要。当个人数据在错误的手中蜿蜒时,后果是无可辩驳的,昂贵的,在某些情况下,生活毁灭。
欧盟由28个成员国组成,总估计人口5.1亿人口。
英国将坚持法律框架GDPR当涉及到隐私和数据保护,即使他们退出欧盟的被称为Brexit,根据法律专家Shearman & Sterling,国际律师事务所认为GDPR公司的关键问题之一。
对于美国的组织来说,GDPR确实有影响。
很容易听到GDPR,并认为它是一项欧盟领导的法规,美国在美国的企业可以努力遵守。
然而,对于任何与欧盟市场开展业务并处理任何居住在欧盟的人的个人数据的美国组织,无论其规模大小,都必须遵守GDPR。
不遵守GDPR的后果是一些严厉而快速的罚款,数额可能更大:2000万欧元或全球年营业额的4%。
谷歌和亚马逊等大型数据驱动的公司开始为2016年首次通过时为法规准备。这些业务和像它们这样的业务的基础,以处理数据为中心。在大规模数据驱动公司准备GDPR需要更长的准备过程。
然而,对于那些在处理过多个人数据方面没有利害关系,并且主要只处理少量个人数据的小企业,也需要采取任何必要的步骤来遵守GDPR。
GDPR法规遵循不是一个复选框,一个完成的法规遵循过程。相反,它将成为保护个人数据的最佳实践,这些数据需要随时维护,而不仅仅是在2018年5月25日到来时。
在评估您的数据保护计划以准备GDPR时,请考虑以下事项:
- 在GDPR之下,人们被赋予了一些新的权利。尽可能熟悉它们,以确保你准备好在任何时候都坚持每一项权利。这些权利将在本文后面的立法中加以解释。
- 您可能即将拥有的每一个新的组织过程或系统实现都应该遵循GDPR。您可以通过执行数据保护影响评估来确保遵从性。
- 着手制定一个可以在数据泄露时使用的行动计划。GDPR要求泄密通知在泄密被发现后72小时内发送。准备好一个计划和一份草稿通知,就可以在本来就压力很大的活动中减少一件压力。
- 很明显,从一开始,GDPR的焦点就围绕着问责制和透明度。因此,如果管理机构要求,组织需要在任何给定的时间证明它们是符合GDPR的。有时,在监管机构找上门来的时候,保留一份文件完备、易于获取的书面记录是一个很好的防故障措施。
在GDPR下被认为是“个人数据”?
考虑您在亚马逊上每天购买的信息量 - 信用卡号,家庭住址,电子邮件地址。更不用说网站本身收集的信息使用诸如计算机的IP地址等Cookie的信息。您输入的一切都被视为“个人数据”。
If you then think of other instances online in which you enter information, say if you’re checking your credit score or applying for a home loan or car shopping, “personal data” is everywhere, which means, the risk of it being illegally used, is high.
根据GDPR,“个人数据”正式包括:
- 您的完整法定名称 - 您的名字如何出现在您的出生证明和其他重要的法律文件等社会保障卡上。
- 年龄,出生日期,社会安全号码,护照号码和驾照号码。
- 家庭和电子邮件地址。
- 信用卡信息和银行帐户信息。
- 任何登录网站及其密码。
将“个人数据”视为任何可用于以任何方式识别您的任何信息,最容易。这包括有关您的种族或族裔的任何信息,政治观点或党派关系,宗教信仰,身体或心理健康状况,犯罪史,甚至是您的性取向和历史。
GDPR确实区分了“个人”数据(上面的项目符号列表中的任何内容)和“敏感数据”(上段中的任何内容),但无论区别如何,GDPR都保护了个人和敏感数据的使用。
每个人都在GDPR下的权利
有权了解
企业必须告知个人他们如何使用他们的个人数据来发送隐私声明。
进入权
个人有权随时访问其个人数据以确认其准确性。在这方面,如果确实以任何方式不准确,人们可以否认他们的个人数据的业务使用,并且有机会纠正它。
纠正的权利
如果有人发现他们的个人数据缺少信息,则不正确,或不正确,该人可能要求业务纠正它。
擦除的权利
这种权利可能是最有趣的,因为它让人感觉你永远不能真正删除任何出现在互联网上的关于你自己的东西。当你“删除”一个未使用的零售账户时,你不禁会想,它可能仍然是活跃的,生活在数字小巷里,任何对电脑黑客和恶意行为稍有了解的人都可以找到它,如果他们真的想要的话。
这项权利允许人们要求公司毫无理由地完全删除他们的个人数据。
从主观上说,GDPR允许人们脱离电网,可以说,这似乎是无法实现的,尽管人们尽了最大努力让自己在数字上被遗忘。
限制加工的权利
If someone finds an error or anything false in their personal data, they not only have the right to make corrections but they also can tell a business that while they are making the corrections, the business is not allowed to use or process their data until it’s fully corrected.
数据便携性的权利
如果有人想从业务中获取个人数据,那么他们不仅可以访问,而且他们有权为自己的意图重用他们的数据。该业务必须安全,安全地向该人提供数据,并以可读的文件格式,如.csv。
对象的权利
很可能你在谷歌上搜索了一些东西,比如“节油汽车”,读了几篇文章,突然看到丰田普锐斯或最新的混合动力SUV的广告。
虽然我们许多人对个性化营销的免疫力产生免疫,但甚至可能更喜欢它,在GDPR下开放使用您的数据更容易。
如果一个人对公司如何使用他们的个人数据来定位它们的营销或广告,或者任何其他公众使用他们的数据,他们有权再说不得不正式对象。
与自动决策有关的权利
使事情更高效是技术游戏的名称,更不用说自动化决策技术的爆炸。但有时,个人数据的方式自动用于通过算法和数据映射做出决定,并映射太多人类元素。
当仅使用计算机化过程时仅使用任何技术,可能发生错误或差异可能发生错误时。虽然这种技术是作为银行业等行业的主要时间储蓄,例如在运行一个人的信用时,一个真正的现场人类应该是准备审查并确认计算机所作的决定。
在GDPR下,如果一个人觉得一个自动决定对他们有“重大影响”,他们有权反对这个决定,并确保最终决定权由一个人决定。
GDPR与其他数据保护法规有何不同?
除了GDPR不遵守和扩大个人权限的高罚款外,欧盟在欧盟方面和过去的数据保护举措之间的主要区别是责任水平。
直接处理个人数据的人员应遵守和维护GDPR规定。
GDPR的这种高级别问责是努力在要求使用个人数据的人和提供服务的人之间建立一种平衡和明确的义务。欧盟将这些角色划分为“数据控制器”和“数据处理器”。
GDPR和通用数据保护资源到书签。
信息专员办事处(ICO),英国的独立权限
ICO经常发布有关用于检查表,准备评估评估模板等组织的有用资源,并邮寄与GDPR相关的所有相关更新。ICO已明确列出了每个部门或行业所需的GDPR义务,您可以审查和遵循其组织或业务。
EUR-LEX,进入欧盟法律
访问和阅读GDPR正式的文本.
联邦贸易委员会(FTC)
美国FTC.分享企业提示在保护个人信息方面。
炼金工资源中心
保持炼金工资源中心保存,因为我们将涵盖GDPR并提供有关如何最佳收集和跟踪所需信息的洞察力,并追踪您所需的必要信息。
同样,我们不是GDPR专家,也不声称是数据保护立法中的权威声音,但我们是数据收集的专家,建立有效评估 - 许多其他数据洞察和分析领域。
虽然我们不能为您提供合法的GDPR指导,但我们可以为您提供收集所需信息的最佳实践,以便证明您的数据保护计划符合GDPR。我们将通过在资源中心分享这些最佳实践来进行。
即使你没有被要求遵守GDPR,主动采用它的数据保护标准也是一个聪明的举动。
显然,数据保护及其相关法规在世界各地都是重中之重。在我们受数据驱动的生活方式中,这样做是很自然的。
Experts in data protection compliance say it’s only a matter of time when a similar regulation is initiated here in the U.S. Having your program aligned with GDPR will give you the leg up on preparing for any new data protection regulation that may become a standard — and required — business practice in due time.