GDPR初学者

的一般资料保障规例（GDPR)是一个全面的法律框架，规范企业在欧盟(EU)如何收集和处理个人数据。

受人尊敬的最强劲的在当今世界的数字隐私监管中，GDPR已经成为数据保护领域的一个里程碑，为全球数据保护实践确立了一个新的门槛。

如果你想了解这项法律的全部内容以及它如何适用于你的业务，那么请继续阅读，我们将用简单、可行的步骤解释GDPR。

什么是欧盟的一般资料保护规例?

GDPR是核心欧盟的数字隐私立法，主要是为了“协调”数据隐私法在所有成员国。随着GDPR的出台，它为欧盟公民的个人数据提供了新的权利和更好的保护。

该条例于2016年4月通过，于2018年5月25日全面生效，并要求所有属于该条例范围内的企业都必须遵守。不在欧盟地区并不意味着你被排除在合规之外，只要你提供商品/服务或监督人们的行为在欧盟。

GDPR下的个人用户权利

GDPR赋予欧盟公民一些新的权利和特权，让他们对个人数据的使用有更多的控制权。简单地说，个人权利包括:

• 知情权:资料当事人必须以简明、易懂及容易查阅的方式知悉收集及处理其个人资料的事宜。
• 访问权:资料当事人必须获准查阅其个人资料，并取得有关资料的使用、储存及向第三者(如有的话)披露的相关资料。
• 纠正权:您必须授权数据主体在您的平台上纠正关于自己的不准确个人信息的能力。
• 数据可携带权:如资料当事人要求在不受干扰的情况下将其个人资料转移至另一控制人，你必须向他们提供一份副本。
• 限制加工的权利:资料当事人有权限制你为特定目的处理他们的个人资料。
• 删除的权利:资料当事人有权要求立即删除其在某些情况下．
• 反对的权利:资料当事人可反对处理其个人资料，特别是在直接营销和其他类似的资料分析方面。
• 不受自动决策支配的权利:如果有关数据主体的关键决定是通过自动化过程(例如分析)作出的，则数据主体有权要求审查。

这是如何会所调整其隐私政策以满足GDPR的个人权利要求:

要更深入地了解这些权利以及如何在GDPR下促进这些权利，请查看我们的专题文章:8 GDPR下的用户权限．

GDPR的定义

为了充分理解GDPR下的范围、活动和义务，关键是要掌握法律是如何定义某些术语的第四条．

1. 个人资料

   简单地说，个人数据就是任何信息可以用来识别一个真实的人。引用GDPR第4条:

   “个人资料系指与已辨认或可辨认的自然人(资料主体)有关的任何资料”

   根据这个定义，个人数据可能包括个人的姓名、位置、手机号码、身份证号、家庭/电子邮件地址和其他类似信息。

2. 数据对象

   资料当事人是指其个人资料由公司处理的个人。他们是你的消费者或网站用户。

3. 敏感的个人信息

   根据GDPR，敏感个人信息是指受到更严格监管的一类特殊个人数据。它们包括:

   • 性取向
   • 健康数据
   • 生物识别信息
   • 种族/民族信息
   • 政治观点
   • 遗传信息
   • 宗教/哲学信仰

4. 处理

   GDPR将处理定义为“任何操作或操作集”在个人数据(基本上任何东西)上实现。它继续引用了构成处理的行为的例子。它们包括:

   • 收集数据
   • 记录数据
   • 存储或分类数据
   • 调整数据
   • 利用数据
   • 披露的数据
   • 限制数据
   • 删除数据

5. 控制器

   控制者是指一个人或一个公司确定目的和方法“处理个人数据。简单地说，控制器决定为什么收集数据如何它将被处理。

6. 处理器

   处理器是一个人或一个公司代表控制器处理个人数据．因此，处理器在控制器(或在某些情况下他们自己的行业标准)的指导和监督下运行。

   理解数据控制器和数据处理器之间的义务和区别对于确定您的位置并完全符合gdprs是至关重要的。

   例如，假设您获得了客户的电子邮件地址和他们销售您的产品的许可。如果你使用像Aweber这样的在线电子邮件服务给他们发送促销邮件，你是数据控制器， Aweber是数据处理器。

数据处理原则

除了授予数据主体的权利，GDPR还引入了一些隐私原则企业必须遵守这些规则，以确保在欧盟获得更好的数据保护。它们如下:

• 合法、公平和透明:你必须确保以合法、公平和透明的方式处理你照管的个人资料。
• 精度:你必须保持个人资料准确及不断更新。
• 目的限制:个人资料必须按收集时为资料当事人指明的适当目的处理。
• 存储的限制:你只应在绝对需要的情况下保存个人资料。
• 数据最小化:你应根据指定的理由，只获取和处理绝对需要的资料。
• 完整性和机密性:您必须提供技术和组织系统，以保护个人数据不受非法处理或意外情况的影响。
• 问责制:您(作为数据控制者)有责任证明GDPR符合上述列出的原则。

GDPR适用于谁?

GDPR是相当广泛的在范围和结果上适用于几乎所有的大型组织在这个世界上。以下是确定贵公司是否受监管的条件。

欧盟内部的商业存在

你自动成为GDPR的对象一次贵公司位于欧盟地区．这一规定适用于这两个位于欧盟的数据控制器和处理器。

话虽如此，请记住，GDPR只适用于纯粹从事“专业或商业活动"并没有为"个人或家庭活动．＂

收集或处理欧盟公民的个人数据

根据GDPR，国家欧盟以外的管理个人资料的地区(亦称“第三方国家’)可能受该法规的约束，而不管它们自己的数据保护法如何。

如果你的公司是位于第三国的，在下列情况下，你必须遵守GDPR:

• 你提供商品/服务欧盟公民
• 你处理个人或敏感数据欧盟公民,或
• 你监控欧盟公民的行为

例如，加利福尼亚的一家电子游戏公司，它以来自欧盟的玩家为特色，收集他们的信息，将受到GDPR的约束。

员工超过250人

如果你的公司属于这一类，你必须遵守履行GDPR的所有职责。

但是，雇员少于250人的公司并非完全豁免从监管。GDPR免除了这类公司的大部分文件责任，除了当:

• 他们的加工活动很可能会危害权利和自由的数据对象
• 他们处理个人数据经常或流程敏感的个人信息
• 他们处理数据。”与刑事定罪和犯罪行为有关的＂

处理个人资料的法律依据

根据GDPR，处理个人数据是非法的，如果您没有识别其中之一六个法律基础这样做。简单地说，它们如下:

• 同意:如你是在征得同意的法律基础下运作，你不得处理资料，除非你已获得批准或许可的数据对象。
• 法律义务:您可能需要在法律的命令．例如，法院强制您披露数据主体的信息。
• 合同:可能需要处理来实现或签订合同与数据主体。例如，在雇佣潜在候选人之前进行背景调查。
• 切身利益:如果一个人的生命攸关，处理他的数据是合法的。
• 公共任务为执行公务或为维护公众利益而执行的任务，可能需要处理。
• 合法利益:这被称为“最灵活的法律依据”。合法利益允许公司(合理地)处理数据，只要处理不需要同意不妨碍个人的权利或自由．

在确定你方处理活动的法律依据后，你方应将其记录在案，并通知你方的数据主体。

《一般资料保护规例》的规定

现在我们来看一下要被认为符合gdpri，您必须遵守的主要要求。

数据泄露的通知

数据泄露的通知在GDPR中发挥重要作用。

根据法律，控制器和处理器都有法律义务通知适当的监督机构在发现个人数据泄露后的72小时内。

此外，你必须通知受影响的数据主体可能使其权利和自由处于高度危险的任何侵犯，以及提供与以下有关的信息:

• 的自然个人数据泄露事件
• 的姓名和联系方式，或其他联络单位索取资料
• 的可能的后果,
• 的已采取或建议的措施以减轻可能的后果

同意

同意被认为是GDPR中最关键的方面之一，让个人控制自己的数据如何被处理。以下是需要注意的要点:

• 同意需要自由地给予、明确、知情、明确和明确反歧视行动从数据对象。
• 数据主体有权撤回同意随时都可以，你必须让他们注意到这一点。
• 必须得到同意年龄超过13岁的数据主体，并获家长/监护人批准。

• 明确的同意需要处理敏感的个人信息．

  请注意这种明确的同意不同于明确的肯定的同意。获得明确同意的最佳方法是获得用户点击复选框这明确表明，通过勾选方框，他们接受你的条件。

• 最后，应该将同意记录下来，因为这有助于避免法律纠纷。

这里有一个例子Vudu在用户在其平台上注册前得到用户的明确同意:

您还应该寻找用户使用网站cookie前请先同意为了完全遵守规定。

这是如何莎莉明确地获得其用户的同意，以按照GDPR提供cookie:

或者，你也可以收养其他的clickwrap方法确认用户同意，只要它们符合gdpri。

数据保护影响评估

一个数据保护影响评估(dppa)是GDPR的一项要求，无论您的处理活动将个人权利和自由置于何处，都必须遵守这一要求高的风险．在下列情况下尤其需要进行这些评估:

• 你的过程大量敏感的个人信息
• 你的过程大量数据这可能会对很多人产生重大影响
• 你使用现代技术处理数据，或
• 处理数据分析的目的或类似的活动

资料保障主任(DPO)

一个数据保护官员(DPO)是由公司任命的独立人员，负责规范公司的数据保护策略，并确保符合GDPR。

一旦被任命，DPO的职责就是通知、指导和建议公司关于GDPR合规。他们亦是监察当局和个人就私隐事宜的主要联络点。

虽然不是所有的公司都被要求指定一个DPO，但拥有一个DPO在gdpr合规的过程中是有益的。根据法例，在下列情况下，你必须指定指定指定办事处:

• 贵公司是一家公共权力(不含法院),
• 你的处理活动包括规律的和系统的大规模数据监控,或
• 您的处理活动涉及处理大量的敏感的个人信息或者与犯罪和定罪有关的数据

这是如何Spotify遵守其隐私政策中的这一要求:

隐私政策

一个batway体育 是GDPR和其他各种隐私法的另一个基本要求。

它提供了一个披露所有相关信息的途径您的数据主体、监管当局和公众。它也是第一个被检查是否符合GDPR的地方。

简单地说，符合gdpri标准的隐私政策至少应包含以下信息:

• 您收集的数据类型
• 收集的原因
• 处理这些数据的法律依据
• 数据保留时间
• GDPR下的个人权利
• 第三方披露(如果有)，以及
• 贵公司及DPO的联系方式(如有)

最后，您必须以简洁、可理解和易于访问的形式提供上述信息。

数据传输

数据传输是一个有条件的要求GDPR下。这意味着您不必采取额外的措施如果您在欧盟区域内传输个人数据。

但是，如果您要将数据传输到第三国，您可以必须采用一种安全措施吗由法律规定。

在大多数情况下，a标准合同条款(SCC)用于确保国际传输期间的适当数据保护。

例如,TikTok就数据传送采取部分政府资讯科技资讯系统订明的保障措施，详情如下:

隐私的设计和默认

的概念设计和默认的隐私要求公司考虑资料私隐事宜在任何新产品或新工艺的初始阶段(或设计)。要做到这一点，企业必须遵守七个关键原则．

它们如下:

• 要预防而不是补救
• 优先考虑隐私
• 在设计中融入隐私
• 重视隐私胜过利益
• 实施生命周期数据保护
• 向用户展示透明度
• 优先考虑用户的数据

GDPR对不遵守规定的处罚

对不遵守GDPR的处罚非常严重增加与它的前身(1995数据保护指令）.

在为违规行为设定适当的罚款时，GDPR将违规行为的严重程度分为两层．

针对第一级侵权在美国，违规罚款最高可达1000万欧元，占2%公司前一年的全球营业额(以较高者为准)。

第1层侵权行为基于以下行为:

• 控制器和处理器的义务
• 认证机构,
• 监测机构

针对第2层侵权在美国，违规罚款最高可达2000万欧元，占4%公司前一年的全球营业额(以较高者为准)。

第2层侵权行为基于以下行为:

• 数据转移到第三国
• 数据处理原则
• 处理敏感的个人信息
• 同意的条件
• GDPR下的个人权利

GDPR合规检查表

正如上述处罚所表明的，不遵守GDPR是不可取的。如果你在它的范围内，你必须采取措施全面遵守规章制度．这可能涉及寻求法律或专业帮助。

以下是需要注意的最重要的事情:

• 确保你遵守GDPR的要求数据处理原则
• 注意你的用户权限并根据要求帮助练习
• 提供一个易读的GDPR-compliant隐私政策或者更新你现有的
• 提供你的DPO的联系细节或类似的信息，以解决隐私问题
• 处理数据只有在确定了法律依据之后这样做的
• 获得明确明确的同意处理数据(如适用)
• 牢记GDPR的所有其他要求，并相应地遵守