GDPR

出自 MBA智库百科(https://wiki.mbalib.com/)

一般数据保护条例（General Data Protection Regulation，简称GDPR）

　　一般数据保护条例(GDPR)为欧洲联盟于2018年5月25日出台的条例，前身是欧盟在1995年制定的《计算机数据保护法》。是欧盟公民数据处理制定了一套统一的法律和更严格的规定，也规定了对违规行为的严厉处罚。这些罚款是以行政罚款的形式出现的，可以对任何类型的违反GDPR行为进行处罚，包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元，或企业全球年营业额的2%到4%。

　　1995年，欧盟委员会发布了数据保护指令 。这要求所有欧盟成员国实施自己的数据保护立法，以确保其公民的个人数据得到适当保护，并确保公民获得特定权利，以便了解第三方所持有的数据和能够要求在适当的时候纠正或删除数据。

　　然而，随后几年社交媒体，智能手机和互联网的不断发展的快速发展表明，现有的法律保护措施并不充分。因此，欧盟委员会提出了新的法规 - 通用数据保护条例。与之前允许欧盟成员国以自己的方式实施规则的数据保护指令不同，GDPR规则将作为单一日期的单一欧盟范围的法规实施：2018年5月25日。

　　GDPR的主要目标之一是扩展欧洲现有的数据保护制度，以确保所有欧盟公民享有相同的保护水平，无论其数据是由欧盟企业还是非欧盟企业处理或处理。委员会表示，他们的目标是确保所有公民在个人数据日益成为未来数字经济关键的时代拥有一套标准的“数字权利”。

　　1.欧盟境内的数据控制方、数据处理方；

　　2.欧盟境外的数据控制方、数据处理方，只要其数据处理活动与向欧盟境内的数据主体提供商品、服务（无论免费与否)有关，或其数据处理活动涉及到检测欧盟境内数据主体的行为。

　　地域范围

　　1、GDPR适用于在欧盟境内设有业务机构(establishment)的组织，只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。

　　2、如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟境内个人提供商品或服务相关，无论该等商品或服务是否收费，则也应当适用GDPR。

　　3、GDPR适用于非欧盟组织处理欧盟境内个人的个人数据，只要此类处理行为涉及对这些个人的行为进行监控，且该处理行为发生在欧盟。

　　(1)为欧盟公民提供更多使用自己的个人资料的权力

　　(2)加强数字服务提供者与他们所服务的人之间的信任

　　(3)为企业提供明确的法律框架，通过在欧盟单一市场上制定统一的法律来消除任何区域差异。

　　GDPR对于所有企业都很重要，因为这些规定范围广泛，但也因为违规行为受到重大处罚。在严重违规的情况下，罚款可以达到2000万欧元或全球营业额的4％ 。

　　GDPR还扩大了任何数据泄露的潜在责任范围。以前，实际拥有数据的数据“控制器”与控制器签订合同的数据“处理器”之间存在区别，以便对该数据执行某些操作。前者可能对个人数据的任何丢失或滥用负责，但后者则不承担责任。但是在GDPR下，控制器和处理器都将承担连带责任。这意味着任何一方或双方都可以被受影响的个人起诉或被监管机构罚款。

　　由于技术领域的许多企业可能都是加工商，这意味着在GDPR下，这些企业现在将承担以前没有的潜在责任。

　　(1)组织的业务是否符合GDPR规定?

　　GDPR与其前身数据保护指令(指令95/46/EC)相比，适用于更大范围的组织。事实上，不受欧洲隐私法律约束的许多企业实际上需要遵守GDPR。以下是如何确定是否必须遵守：

　　GDPR用于在欧盟存在的所有组织，在执行业务活动期间处理个人数据，即使是规模最小的公司也是如此。

　　如果在欧盟没有实体存在的公司希望为欧盟居民提供商品和服务，那么适用于GDPR。 这包括使用欧盟语言或货币，为欧盟居民量身定制产品，或在欧盟范围内积极营销。 “监控”定义为在线跟踪人员创建个人资料，或分析和预测个人偏好，行为模式或态度。

　　(2)组织是否需要数据保护官(DPO)?

　　与合规官或法律顾问不同，组织的数据保护官(DPO)需要向执行委员会报告，并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定，拥有少于250名员工的组织可能也需要指定DPO。

　　(3)是否有程序响应删除/修改/提供数据副本的请求?

　　除了数据保护指令规定的权利，例如访问数据副本，修改权和限制处理权。GDPR还包括在线信息删除和数据可移植性的权利(允许人们将其数据传输到另一个服务提供商)。这意味着组织必须制定完整的程序来回应这些类型的请求。

　　(4)组织是否有符合GDPR要求的事件响应计划?

　　GDPR包括数据泄露通知要求。如果有危害人身的风险，数据违规将会受到监督机构的通知，限72小时内改正。受影响的数据科目也必须在没有“不当延误”的情况下通知。

　　(5)组织的数据传输机制是什么?

　　如果组织还没有决定如何从欧盟转移个人信息，那么现在是检查转移机制的好时机，因为它们将受到行政处罚。如果组织将数据从欧盟转移到美国，组织的选择是：

• 隐私保护认证
• 执行示范条款
• 组织内部数据传输的约束性规则

　　在所有这些要求中，共同的线索似乎是为数据保护和治理分配更多的资源，并采取更主动的隐私和安全方法。企业必须制定出应对新监管条例的程序，并对员工进行培训，因为任何不合规行为都可能导致严厉的制裁。此外，企业更应该虚心去学习了解GDPR的细则和应用规则。

　　加强IT建设，谨慎处理好企业平台上现有的用户大数据。为了遵守GDPR要求，公司必须弄清楚他们收集和存储欧盟公民个人身份信息的所有方式。这需要组织内所有部门人员之间的紧密合作，从IT到销售，营销到财务^[2]。

　　对数据处理者赋予新的合规要求，是GDPR最重要的变化之一。以下是要点:

　　1.GDPR直接对数据处理者课以义务，而且不履行这些义务时，将会直接问责。

　　2.数据控制方和数据处理方应当签署详细的数据处理协议。GDPR详细地规定了协议的条款。

　　3.数据处理方只有在获得数据控制方的事先同意后，才能使用次一级数据处理方(sub-processors）。次一级数据处理方与上一级数据处理方应当签署数据处理协议，协议中规定的义务，和上一级数据处理方与数据控制方签署的协议的内容相同。

　　4.数据处理方在数据控制方允许的范围外，开展的数据处理行为，将被GDPR认定为数据控制方，同时应履行数据控制方相同的责任。

　　数据保护担忧会否成为中国出海企业进入欧盟市场的一个壁垒？

　　GDPR的条例不仅适用于中国的出海企业，也适用于所有想在欧盟做生意的企业。对中国出海企业而言：现在就应该为GDPR做准备了。中国企业首当其冲的是银行、电子商务、互联网、IT企业和软硬件生产商。

　　加强合规认识。合规管理被认为是企业管理三大支柱之一，是内控的一个重要方面，也是风险管理的一个关键环节。合规管理旨在告诉企业在具体的操作过程当中应当怎么做，具体到怎么合理的做，合规的做，合法的做。对于中国出海企业而言，合规管理更显的尤为重要，因为现在开始，必须符合GDPR。