什么是GDPR?从需求到处罚的15个疑问

2018年9月21日13:54:10 发表评论 19 views

什么是GDPR?

通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟于2018年5月25日出台的条例,前身是欧盟在1995年制定的《计算机数据保护法》。

什么是GDPR?从需求到处罚的15个疑问

 

它增加了组织因滥用数据而面临的潜在罚款,并使人们更容易发现组织对其的信息。从本质上讲,它旨在为人们提供更多透明化,了解数据组织收集的内容,使用了哪些内容,使人们能够防止数据被不必要的收集。

 

为什么要起草GDPR?

虽然GDPR的许多规则与欧盟1995年的数据保护指令(英国法律中规定的1998年数据保护法案)中定义的规则类似,但旧的指令是在社交媒体时代之前创建的。

大家都喜欢使用Google,Facebook和Twitter,但是注册账号时需要填写姓名、电子邮件、性别等个人信息,并勾选同意相关协议。这些条款或协议条件都是被动勾选的,很多用户根本没有看里面具体描述了哪些内容,这让人更难理解他们究竟同意给这些技术巨头提供了什么。

Facebook的剑桥Analytica丑闻证明了这种广泛定义的个人数据职权范围的潜在后患,第三方应用程序可以收集并看到数百万用户的个人资料。GDPR的另一个目标是使那些企业更容易和更便宜地遵守数据保护规则,1995年的欧盟指令允许成员国将其转化为当地立法。GDPR作为一项规则而非指令的性质意味着它直接适用而不需要变成法律,在成员国之间产生较少的分歧。欧盟认为,这将每年为公司节省23亿欧元。

 

GDPR何时生效?

自2018年5月25日起,GDPR已应用于世界各地的组织。由于GDPR是一项法规,而不是一项指令,因此英国不需要制定新的法规,而是自动应用。

 

GDPR适用于谁?

GDPR几乎适用于所有组织。如果你控制或处理与欧盟居民相关的个人数据,无论他们是客户还是你自己的员工,就必须符合GDPR规则。

什么是GDPR?从需求到处罚的15个疑问

组织不一定非要在欧盟地区设立GDPR约束,只需要处理或保存欧盟居民的数据,只要符合GDPR规则即可。根据收集或处理数据方面的作用,法规将会视为你认同数据控制器或数据处理器。

 

什么是数据控制器和数据处理器?

数据控制器是定义(如何和为什么)数据处理的术语,但不一定要自己执行这些活动。所以他们可能会与第三方签订合同来收集和处理数据,告诉他们如何做到这一点,并说明他们为此做有什么目的。

数据处理器是执行实际数据收集和数据处理的第三方。控制器可以是任何组织,从高街零售商到全球制造巨头再到慈善机构,而处理器可以是他们雇用的IT服务公司。

控制器的工作是确保处理器符合数据保护法,而处理器必须保留其处理活动的记录,以证明它们遵守规则。如果处理器违反GDPR,它必须立即通知其控制器,如果处理器违反规则,控制器仍将承担经济处罚。

 

如何在GDPR下处理数据?

GDPR声明控制器必须确保个人数据是合法,透明和特定目的处理的。用户必须清除的知道为什么他们的信息正在被处理,以及如何处理,而处理必须遵守GDPR规则。

“合法”是什么意思?

“合法”具有一系列替代意义,并非所有意义都适用。首先,如果受试者同意他们的数据被处理,则可能是合法的。或者,合法可以意味着遵守合同或法律义务;保护对“主体的生命至关重要”的利益;如果处理数据符合公共利益;或者如果这样做符合控制人的合法利益,例如防止欺诈。必须应用这些理由中的至少一个才能处理数据。

 

如何获得GDPR的同意?

同意必须是数据主体的积极主动行为,而不是某些允许预先勾选框或选择退出的模型的被动接受。

控制人员必须记录个人同意的方式和时间,并且个人可以随时撤回同意。如果当前获得同意的模型不符合这些新规则,那么当GDPR在2018年适用时,将不得不提交或暂停在该模型下收集数据。

 

什么是GDPR下的个人数据?

欧盟在GDPR下大大扩展了个人数据的定义。为了反映组织现在收集的有关人员的数据类型,IP地址等在线标识符现在可以作为个人数据。其他数据,如经济,文化或心理健康信息,也被视为个人身份信息。

假名个人数据也可能受制于GDPR规则,具体取决于识别其数据的难易程度。根据“数据保护法”计算的任何个人数据也属于GDPR下的个人数据。

 

用户何时可以访问存储在第三方的数据?

为了让用户更好地控制自己的信息,GDPR确保用户可以要求“合理时间”访问他们的数据,控制器有一个月的时间来遵守这些要求。控制器和处理器都必须明确它们如何收集用户的信息,使用目的以及处理数据的方式。该法案还规定,企业必须使用简单的语言清楚、连贯地向用户传达这些信息:是时候告别那些令人困惑,密集的条款和条件。

用户有权访问公司持有的任何信息,并有权知道数据处理的原因,存储时间以及访问者。在可能的情况下,数据控制器应提供安全,直接的访问,以便用户查看控制器存储的个人信息。如果数据不正确或不完整,他们也可以随时要求纠正这些数据。

 

用户“取关”后有什么权利?

GDPR明确表示,如果用户不再关注第三方平台,他们可以随时删除自己的数据。如果数据是在同意模式下收集的,用户可以随时撤销此协议。控制器负责告知其他组织(例如Google)删除指向该数据的任何链接以及数据源。

 

用户想将数据移到别处怎么办?

如果用户想将数据迁移到别处怎么办?平台方必须快速反应用户请求,公民期望在四周内履行这样的要求。控制器必须确保用户的数据采用开放的通用格式(如CSV),方便它移动到另一个平台。

 

违反GDPR的处罚是什么?

在GDPR下存在两种罚款,但两者都比英国以前看到的处罚要重得多。根据1998年“数据保护法”,英国的数据保护监管机构,信息专员办公室(ICO),对违规公司的罚款最多不超过50万英镑。

GDPR大幅提高罚款上限。由于未能在发现数据泄露后的72小时内向ICO报告数据泄露,组织将面临高达其年营业额2%或1000万欧元的罚款。并如实报告受影响数据的性质,人数、后果以及采取了哪些措施。需要注意的是,事件发现后是在固定的72小时内,而不是72个工作小时,很多公司都被误导。

其次是违反个人数据的罚款额度,GDPR下的数据泄露可能会被罚款,最高罚款为组织年营业额的4%,以目前最高者为准,即2000万欧元。该法规明确规定罚款必须“按比例”,如果是轻微违规,或者可以证明自己未违规,可以从轻处理,ICO表示罚款是“最终手段”。

 

是否有被GDPR处罚过的组织?

在撰写本文时,ICO尚未就违反GDPR的规定收到任何罚款。在新规定发布之前,Equifax未能在网络攻击期间保护数百万英国公民的个人数据,勉强避免了数百万英镑的罚款,ICO只能对其罚款50万英镑。

什么是GDPR?从需求到处罚的15个疑问

Facebook也被罚款50万英镑,但ICO尚未正式提取这笔付款,就像Equifax的情况一样。ICO正在进行一些调查,包括6月下旬Ticketmaster系统的违规,这可能是监管机构惩罚GDPR组织的试金石。

 

“调查权力法案”是否与GDPR兼容?

然而,目前尚不清楚的是,一旦英国退出欧盟,其他新立法是否会被视为与GDPR兼容。例如,根据英国的“调查权力法案”,互联网服务提供商被迫收集个人网络历史记录并将其保留长达12个月。在旧DRIPA立法中的相同权力被认定为非法之后,政府目前不得不重写其中一些法律。

但汉考克在2017年10月写道,“英国国家安全立法不应该成为数据保护谈判的重大障碍。”

 

我们需要数据保护官吗?

根据GDPR立法,任何开展数据处理的公共机构都需要雇用数据保护官员,涉及数据处理的公司需要他们“大规模”定期监控。公共机构可以共用同一个数据保护官来监控平台所有个人数据,但必须将此人的联系方式提供给数据保护机构。

数据保护官员的工作是通知组织有关满足GDPR要求和监控合规性的建议。他们还将充当数据保护机构的主要联系人,并期望与当局合作。

更多阅读:

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: