“通用數(shù)據(jù)保護條例”(GDPR)”是歐盟為保護個人信息而建立的指令。該法規(guī)將于2018年5月25日生效,并取代歐盟的“1995年數(shù)據(jù)保護指令”。雖然1995年的指令僅適用于在歐洲實體存在的組織,但GDPR將適用于收集或處理歐盟公民或居民個人資料的所有組織。
在GDPR的監(jiān)督下,,組織將被要求實施數(shù)據(jù)保護原則以及技術(shù)和組織措施,保障數(shù)據(jù)和保護個人隱私權(quán)。遵守歐盟GDPR合規(guī)規(guī)則的組織必須實施全面的隱私保護,并確保系統(tǒng)和程序足以正確測試,監(jiān)控和測量數(shù)據(jù)安全。
以下是問題系列的一部分。
GDPR中個人的“數(shù)據(jù)權(quán)利”是什么?
根據(jù)GDPR內(nèi)容,規(guī)定“數(shù)據(jù)科目”的個人將根據(jù)規(guī)定更好地控制其個人資料。 “通用數(shù)據(jù)保護條例”包括以下“數(shù)據(jù)主體權(quán)利”:
·被遺忘的權(quán)利。數(shù)據(jù)主體可以請求從公司存儲中刪除個人的身份數(shù)據(jù)。
·訪問權(quán)。數(shù)據(jù)主體可以檢查組織存儲的數(shù)據(jù)。
·反對權(quán)。數(shù)據(jù)科目可以拒絕公司使用或處理受試者的個人資料。
·糾正權(quán)。數(shù)據(jù)主體可以期望糾正不準(zhǔn)確的個人信息。
·可移植權(quán)。數(shù)據(jù)主體可以訪問公司關(guān)于他們的個人數(shù)據(jù)并進行傳輸。
在“被遺忘的權(quán)利”中,組織必須能夠以常用格式向個人提供數(shù)據(jù),并在數(shù)據(jù)主題請求的一個月內(nèi)刪除這些數(shù)據(jù)。這些組織還必須確保其內(nèi)部程序能夠處理這些類型的請求。
“被遺忘的權(quán)利”之外的一個例外是刪除可能損害言論自由或進行研究的能力的數(shù)據(jù)。例如,政治家將無法要求從新聞網(wǎng)站刪除意見。
組織必須允許人們訪問他們自己的數(shù)據(jù),而不是阻止他們提交給另一個組織。例如,服務(wù)提供者必須允許客戶將數(shù)據(jù)傳輸?shù)搅硪粋€服務(wù)提供者。
數(shù)據(jù)違規(guī)通知和數(shù)據(jù)收集同意規(guī)則如何根據(jù)GDPR而變化?
歐盟GDPR合規(guī)要求組織部署旨在防止數(shù)據(jù)泄露的技術(shù),并提供嚴(yán)格的違規(guī)通知規(guī)則。如果數(shù)據(jù)泄露對個人造成嚴(yán)重的風(fēng)險,如歧視,聲譽損失,財務(wù)損失或機密性損失,組織必須通知有關(guān)國家監(jiān)督機構(gòu)和處于風(fēng)險中的人員。如果沒有足夠的系統(tǒng)和程序檢測,那么報告和調(diào)查數(shù)據(jù)泄露的組織來部署它們以符合GDPR規(guī)則。
根據(jù)GDPR的要求,組織在要求個人資料時將被要求使用“簡明語言”,并且必須提供有關(guān)它們?nèi)绾翁幚淼男畔?。他們必須說出他們是誰,他們?yōu)槭裁匆幚頂?shù)據(jù),誰接收到它,以及它將被存儲多長時間。他們必須讓個人明確,肯定地同意處理數(shù)據(jù)。
組織應(yīng)評審所尋求和記錄用戶的同意書,以確保他們的程序數(shù)據(jù)主體的權(quán)利在GDPR的監(jiān)督下。他們還應(yīng)該審查他們的隱私聲明,并確保他們解釋處理個人資料的法律依據(jù)。如果收集關(guān)于兒童的信息,他們必須考慮是否有足夠的系統(tǒng)來驗證個人的年齡并獲得家長同意。
GDPR需要保護個人資料有哪些具體措施?
GDPR第32條要求組織采取技術(shù)措施,確保數(shù)據(jù)安全。必要的技術(shù)措施和做法將根據(jù)所存在的風(fēng)險程度而變化。組織需要評估其處理的個人數(shù)據(jù)所面臨的風(fēng)險,數(shù)據(jù)面臨的風(fēng)險越高,保護數(shù)據(jù)必須采取的措施越多。例如,那些處理與健康、種族、宗教和政治信仰有關(guān)的數(shù)據(jù)的人必須比那些處理較少個人資料的人采用更大的保障措施。條例中沒有具體的安全措施,但提供了一些例子。
歐盟GDPR合規(guī)條例要求組織保留其數(shù)據(jù)處理活動的記錄,并且非常重視維護文檔以證明合規(guī)性。證明組織使用技術(shù)來持續(xù)監(jiān)控數(shù)據(jù)和評估漏洞的記錄表明要遵守。
未實現(xiàn)歐盟GDPR符合性的組織可能將被處以高達2000萬歐元(約合2360萬美元)或高達年收入的4%的罰款。預(yù)計強制執(zhí)行將首先關(guān)注組織遵守數(shù)據(jù)泄露要求的程度。
組織是否必須指定數(shù)據(jù)保護人員遵守GDPR?
對個人進行大規(guī)模,系統(tǒng),定期監(jiān)測的公共當(dāng)局和組織必須在GDPR下指定數(shù)據(jù)保護官員(DPO)。 DPO是負責(zé)監(jiān)督數(shù)據(jù)保護戰(zhàn)略和實施的企業(yè)安全領(lǐng)導(dǎo)角色,以確保符合GDPR要求。
進行大規(guī)模處理特殊類別數(shù)據(jù)(包括健康記錄或犯罪記錄)的組織也必須指定一個DPO。其他組織將根據(jù)其收集的數(shù)據(jù)以及數(shù)據(jù)收集是否大規(guī)模進行數(shù)字命名。
必須指定DPO的組織的兩個例子是處理關(guān)于醫(yī)院的遺傳學(xué)和健康的個人數(shù)據(jù),以及處理個人數(shù)據(jù)以通過跟蹤用戶的在線行為的搜索引擎來定向廣告。收集患者健康數(shù)據(jù)的全科醫(yī)生或向客戶發(fā)送年度廣告的本地商店就是不需要指定DPO的企業(yè)的例子。
京公網(wǎng)安備 11010502049343號