GDPR概述
上次由法律研究团队于2022年2月22日更新必威手机精装版
这一般数据保护法规(GDPR)是欧盟规定的一项法规,负责管理个人数据的保护和传播,并增强欧盟人民的数字隐私。
GDPR的主要目标是为任何控制或处理欧盟任何人的数据的组织提供统一,全面,数据和隐私框架。
最终,GDPR是:
- 加强个人隐私权
- 在国际业务过程中简化处理个人数据的处理
- 对违反其要求的企业施加惩罚和其他处罚
除此之外,还有更多的东西,所以让我们了解GDPR的细节。
为什么需要GDPR?
数据保护指令和数据保护法奠定了欧洲隐私法和合规性的初始结构。
但是,由于社交媒体和云计算的迅速崛起,数据保护指令落后于社交媒体和云计算的迅速崛起,因此增加了新的和不断增加的数据创建,处理和存储挑战。
个体国家隐私法的分散性质导致整个欧盟的执法不一致,使内部和外国企业主盲目地通过数据合规程序导航,通常会很短。
现在,他们没有依靠自己对构成数据保护和合规性的解释,而是提供结构化和统一的指导。
随着2018年初GDPR的实施,欧盟现在拥有世界上最全面和保护性的数字隐私监管框架,在隐私和数据保护权与基本人权以及其他公共和私人利益之间达到有效的平衡。
GDPR立法事实:GDPR被起草为1995年数据保护指令的升级,最终将一系列隐私法规协调并综合为一个可管理和统一的来源。
GDPR的范围:它适用于谁?
确定企业还是网站是属于GDPR的范围或是否豁免,重要的是要提出以下问题:
1.业务或网站是否参与欧盟用户的信息和数据收集?
在数据保护指令不完整框架上建立的最重要的更改之一是GDPRS扩展,包括任何人,无论位置如何,谁收集或处理个人数据欧盟的个人。
第3条GDPR封面:
- 位于欧盟的个人数据的控制器或处理器,
- 个人数据的控制器或处理器不在欧盟当他们为欧盟中的数据主体提供商品或服务或监控其行为时,
- 欧盟不在欧盟的个人数据的控制器或处理器是国际法要求的成员国
总而言之,即使您的公司位于佛罗里达州,只要您为欧盟内的数据主体提供商品或服务,GDPR将适用。
2.业务有250多名员工吗?
GDPR承认,较小而不是较大的公司对破坏和对个人数据的不当传播构成了不太严重的威胁,因此应将其施加不太严格的监管。
少于250员工在GDPR下享有更狭窄的范围,只需要保持数据处理活动的记录:
- 该处理具有损害数据主题权利的潜在风险,
- 数据经常和定期处理,或
- 个人数据属于有关犯罪犯罪和定罪的特殊类别
请记住,要求拥有250多名员工的组织和公司必须在GDPR法规的最大程度上遵守。
3.业务是数据控制器还是处理器?
除了地理扩展和考虑之外,GDPR还扩展了欧盟数据隐私指令的材料范围。
数据隐私合规性现在不仅需要数据控制器,还需要数据处理器遵守此类法规,并对处理器的责任和义务增加。
| 控制器 | 处理器 |
| 第4条定义: ”...自然合法人,公共权威,代理机构或其他机构,他们独自或与他人共同决定处理个人数据的目的和手段。“ | 第4条定义:”...一个自然或合法的人,公共权威,代理机构或其他机构,代表控制者处理个人数据。“ |
必须:
|
必须:
|
了解数据控制器和数据处理器之间的关键要求和差异很重要在制定合规性游戏计划之前,每个人都将有自己的法规和合规性措施。
公司可以俩都可以吗?是的。单个公司可能既可以成为数据处理器又是数据控制器。
一个例子是,薪资公司还处理自己的员工的数据。它是其员工数据的数据控制器,也是客户数据的处理器。
4.业务收集个人或敏感数据?
GDPR将消费者数据分为两个不同的类别:”个人识别“ 和 ”敏感的个人“ 数据。
毕竟,在不知道GDPR对数据的定义的情况下,公司不知道他们是否处理GDPR范围涵盖的信息类型。
个人身份信息(PII):包括区分个人身份的任何信息,例如全名,标识号,银行详细信息,家庭和电子邮件地址,护照号码,位置数据,假名数据以及照片,音频或视频文件。
敏感的个人信息(SPI):包括任何揭示一个人的生物识别,遗传,健康,宗教,哲学,政治,种族或种族数据的信息。
GDPR要求和特征
遵守GDPR的截止日期已设置为2018年5月25日。
不遵守的后果是什么?赌注增加了,GDPR强烈施加了更大的率罚款和处罚关于不遵守的公司。
对于1级公司,不合规的罚款一直持续到400万欧元,占公司年度营业额的2%,而2级公司为4%,或4%的2级公司。
以下是GDPR需要的六个关键更改为了被认为是符合GDPR的公司,公司要采用和实施。
同意
同意被认为是个人理解和控制其数据的处理和处理方式的重要方面。
使用我们的饼干同意多合一解决方案(隐私同意)Cookies管理遵守GDPR和CCPA和其他隐私法:
- 对于GDPR,CCPA和其他隐私法
- 根据用户位置应用隐私要求
- 在加载第三方脚本之前获得同意
- 适用于台式机,桌子和移动设备
- 自定义外观以匹配您的品牌风格
立即创建您的cookie同意书遵守GDPR,CCPA和其他隐私法:
- 开始隐私同意向导通过添加您的网站信息来创建Cookie同意代码。
- 在第2步,添加有关您的业务的信息。
- 在步骤3,选择Cookie同意的计划。
你完成了!您的饼干同意书已经准备好。在您的网站上安装cookie同意书:
通过Copy-Paste在您的网站上显示cookie同意横幅
<头>您网站的部分。指令在安装页面上提供特定平台(WordPress,Shopify,Wix等)的代码(WordPress,Shopify,Wix等)。
在GDPR下,同意需要自由地给予,知情和明确的,这大大提高了被认为有效同意的标准。
您不再可以合法地声称某人仅仅在您的网站上活跃来同意您的条款和政策。现在,要获得足够的同意,您需要实现使用ClickWrap方法未挑选的复选框和明确标记的按钮。
这是如何实现此目的的一个示例Vudu:
在使用大多数cookie之前,还需要同意。如果您有欧盟用户并使用需要同意的cookie,则需要在将这些cookie放置在用户设备上之前,需要在网站上实现cookie同意解决方案。
您的cookie同意通知,就像其他形式的GDPR同意一样,应该使用(或更好的是)复选框或一个“我同意“非常清楚用户同意使用cookie的按钮类型。
这是从标准包机:
确保链接您的隐私政策和/或Cookies政策请注意您的cookie同意通知。
数据泄露通知
适当地处理所有数据漏洞非常重要。
在GDPR下,法律要求数据控制器和处理器与受影响的个人一起在发现违规的72(72)小时内通知监督当局。这数据泄露通知应包括以下元素:
- 数据泄露的性质
- 数据保护官的姓名和联系方式,或其他联系点以获取信息
- 违规的可能后果
- 提出或采取的措施是为了补救和解决违规行为
进行数据保护影响评估
数据保护影响评估当数据处理活动对自然人的基本权利和自由带来高风险时,需要(DPIA)。此类评估应在多个情况下进行,包括公司时:
- 大量特殊类别的个人数据或与刑事犯罪和定罪有关的数据,
- 使用新技术处理数据,
- 处理大量可能会影响大量个人的数据,并且
- 处理数据“出于分析和类似活动的目的,旨在评估数据主体的个人方面”。
选举数据保护官(DPO)
并非所有公司都必须任命数据保护官(DPO)在GDPR下。您只需要任命一个:
- 该公司是公共机构,
- 控制器或处理器的主要职责包括大规模数据监视,或
- 控制器或处理器处理广泛的敏感个人数据(SPI)
即使您不需要任命一个,无论如何,也可以是确保GDPR合规性的伟大一步。
应任命DPO以:
- 告知和训练处理器和控制器关于GDPR和其他数据保护法的要求和义务,
- 成为第一接触点对于处理数据的监督当局和个人,
- 监控公司合规性使用GDPR,并就DPIA提供建议
增强个人用户权利
GDPR创建并强调了8个用户权利这增强了个人权利。尽管并非所有权利都适用于每个公司和每种情况,但您必须意识到它们以及它们如何影响您的业务。
权利如下:
- 访问权:必须赋予数据主体知道公司对它们的个人数据的能力,并且您必须适当处理隐私访问请求
- 擦除权(被遗忘):数据主体有权请求公司删除其数据并停止处理数据
- 限制处理的权利:数据主体有权在某些情况下限制个人数据处理
- 反对权:数据主体有权反对处理其数据
- 纠正权:数据主体有权纠正任何不准确或不完整的个人数据
- 数据可移植性的权利:数据主体有权复制,传输或将个人数据移交给其他公司
- 通知的权利:值得向数据主体提供有关数据处理活动的信息
这些权利可以在第3章GDPR审查每项权利以确保其适用于您的业务很重要。如上所述,某些权利带有除外的例外和情况,即他们必须或不尊重他们。
设计和默认的隐私
数据保护和设计的隐私默认值要求公司将数据保护措施集成到其业务流程和协议中。
简而言之,公司需要在项目或产品的设计阶段进行数据隐私保护和措施来考虑以下七个原则:
- 隐私作为默认设置
- 隐私应该是预防性而不是补救措施
- 隐私应该是嵌入设计
- 隐私应具有功能完全实用
- 隐私应该优先考虑用户保护
- 隐私应该是透明的
- 隐私应该涵盖数据的整个生命周期
GDPR合规性复习:GDPR协调欧盟中的各种数据泄露通知法。最值得注意的是,它要求企业在发现它的72(72)小时内通知数据泄露的数据泄露机构。
有这样的要求,给组织带来了增加的压力和期望,他们拥有实时识别和应对违规行为的有效机制。
使您的隐私政策符合GDPR
将公司与GDPR合规列入公司的基本,有时甚至是乏味的一步是大修隐私政策。
我们的隐私政策生成器使您的业务制定隐私政策变得容易。只需按照以下步骤:
- 在步骤1中,选择网站选项或应用程序选项或两者兼而有之。
- 回答有关您的网站或应用程序的一些问题。
- 回答有关您的业务的一些问题。
输入电子邮件地址您希望交付隐私政策并单击的位置“产生。”
您将能够立即访问并下载新的隐私政策。
当将隐私政策与GDPR要求保持一致和符合,公司将需要做出一些关键更改,例如:
确定接触点:这包括提供数据保护官的联系方式或其他负责在您的业务中处理隐私问题的人。如果您是位于欧盟以外的公司,请提供您的欧盟代表的联系方式。
这是一个例子Viafoura:
充分详细说明数据收集实践:公司必须概述其收集方法数据和数据如何使用,以及一般数据保留期是。
他们不仅需要向数据主体告知上述问题,还需要提供合理的理由(称为法律基础用于收集和处理信息)。
就是这样伊恩·威廉姆斯做这个:
进行隐私法自审核,以便您确切知道您的数据收集实践是什么。
对数据主体权利的明确解释:符合GDPR的隐私政策需要解决以前解决的8个用户权利,例如数据主体的访问权,对象,擦除等。
就是这样鼓在其隐私政策中列出用户权利:
跨境转移信息:公司必须提供足够的数据传输详细信息,他们可能会参与将用户数据发送到第三国以及进行任何保障措施的地方。
就是这样数字启动在其隐私政策中列出了此信息:
简化语言:为了促进透明度,您的隐私政策应该易于阅读,并且没有所有不必要的和令人困惑的语言和法律。如果普通用户在您的隐私政策下无法理解其权利,那不是符合GDPR的隐私政策。
GDPR准备资源
在本文中,我们链接了一些资源,可以帮助您通过GDPR合规做好准备并进行。此外,这是我们的官员GDPR准备计划清单以及我们的GDPR准备清单。