GDPR
出自 MBA智库百科(https://wiki.mbalib.com/)
一般數據保護條例(General Data Protection Regulation,簡稱GDPR)
目錄 |
什麼是GDPR[1]
一般數據保護條例(GDPR)為歐洲聯盟於2018年5月25日出台的條例,前身是歐盟在1995年制定的《電腦數據保護法》。是歐盟公民數據處理制定了一套統一的法律和更嚴格的規定,也規定了對違規行為的嚴厲處罰。這些罰款是以行政罰款的形式出現的,可以對任何類型的違反GDPR行為進行處罰,包括純粹程式性的違規行為。其罰款範圍是1000萬到2000萬歐元,或企業全球年營業額的2%到4%。
1995年,歐盟委員會發佈了數據保護指令 。這要求所有歐盟成員國實施自己的數據保護立法,以確保其公民的個人數據得到適當保護,並確保公民獲得特定權利,以便瞭解第三方所持有的數據和能夠要求在適當的時候糾正或刪除數據。
然而,隨後幾年社交媒體,智能手機和互聯網的不斷發展的快速發展表明,現有的法律保護措施並不充分。因此,歐盟委員會提出了新的法規 - 通用數據保護條例。與之前允許歐盟成員國以自己的方式實施規則的數據保護指令不同,GDPR規則將作為單一日期的單一歐盟範圍的法規實施:2018年5月25日。
GDPR的主要目標之一是擴展歐洲現有的數據保護制度,以確保所有歐盟公民享有相同的保護水平,無論其數據是由歐盟企業還是非歐盟企業處理或處理。委員會表示,他們的目標是確保所有公民在個人數據日益成為未來數字經濟關鍵的時代擁有一套標準的“數字權利”。
1.歐盟境內的數據控制方、數據處理方;
2.歐盟境外的數據控制方、數據處理方,只要其數據處理活動與向歐盟境內的數據主體提供商品、服務(無論免費與否)有關,或其數據處理活動涉及到檢測歐盟境內數據主體的行為。
地域範圍
1、GDPR適用於在歐盟境內設有業務機構(establishment)的組織,只要這些組織在業務機構在歐盟境內的活動中處理個人數據(而不論此類處理行為是否實際發生在歐盟境內)。
2、如某一組織雖不在歐盟境內設立業務機構,但卻處理歐盟境內個人的個人數據,並且此類處理行為與向歐盟境內個人提供商品或服務相關,無論該等商品或服務是否收費,則也應當適用GDPR。
3、GDPR適用於非歐盟組織處理歐盟境內個人的個人數據,只要此類處理行為涉及對這些個人的行為進行監控,且該處理行為發生在歐盟。
GDPR的設立緣由[1]
(1)為歐盟公民提供更多使用自己的個人資料的權力
(2)加強數字服務提供者與他們所服務的人之間的信任
(3)為企業提供明確的法律框架,通過在歐盟單一市場上制定統一的法律來消除任何區域差異。
GDPR對於所有企業都很重要,因為這些規定範圍廣泛,但也因為違規行為受到重大處罰。在嚴重違規的情況下,罰款可以達到2000萬歐元或全球營業額的4% 。
GDPR還擴大了任何數據泄露的潛在責任範圍。以前,實際擁有數據的數據“控制器”與控制器簽訂合同的數據“處理器”之間存在區別,以便對該數據執行某些操作。前者可能對個人數據的任何丟失或濫用負責,但後者則不承擔責任。但是在GDPR下,控制器和處理器都將承擔連帶責任。這意味著任何一方或雙方都可以被受影響的個人起訴或被監管機構罰款。
由於技術領域的許多企業可能都是加工商,這意味著在GDPR下,這些企業現在將承擔以前沒有的潛在責任。
企業應對GDPR的準備[1]
(1)組織的業務是否符合GDPR規定?
GDPR與其前身數據保護指令(指令95/46/EC)相比,適用於更大範圍的組織。事實上,不受歐洲隱私法律約束的許多企業實際上需要遵守GDPR。以下是如何確定是否必須遵守:
GDPR用於在歐盟存在的所有組織,在執行業務活動期間處理個人數據,即使是規模最小的公司也是如此。
如果在歐盟沒有實體存在的公司希望為歐盟居民提供商品和服務,那麼適用於GDPR。 這包括使用歐盟語言或貨幣,為歐盟居民量身定製產品,或在歐盟範圍內積極營銷。 “監控”定義為線上跟蹤人員創建個人資料,或分析和預測個人偏好,行為模式或態度。
(2)組織是否需要數據保護官(DPO)?
與合規官或法律顧問不同,組織的數據保護官(DPO)需要向執行委員會報告,並有權監視組織的數據處理。擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定DPO。這根據他們是否處理敏感數據的情況而定,擁有少於250名員工的組織可能也需要指定DPO。
(3)是否有程式響應刪除/修改/提供數據副本的請求?
除了數據保護指令規定的權利,例如訪問數據副本,修改權和限制處理權。GDPR還包括線上信息刪除和數據可移植性的權利(允許人們將其數據傳輸到另一個服務提供商)。這意味著組織必須制定完整的程式來回應這些類型的請求。
(4)組織是否有符合GDPR要求的事件響應計劃?
GDPR包括數據泄露通知要求。如果有危害人身的風險,數據違規將會受到監督機構的通知,限72小時內改正。受影響的數據科目也必須在沒有“不當延誤”的情況下通知。
(5)組織的數據傳輸機制是什麼?
如果組織還沒有決定如何從歐盟轉移個人信息,那麼現在是檢查轉移機制的好時機,因為它們將受到行政處罰。如果組織將數據從歐盟轉移到美國,組織的選擇是:
- 隱私保護認證
- 執行示範條款
- 組織內部數據傳輸的約束性規則
在所有這些要求中,共同的線索似乎是為數據保護和治理分配更多的資源,並採取更主動的隱私和安全方法。企業必須制定出應對新監管條例的程式,並對員工進行培訓,因為任何不合規行為都可能導致嚴厲的製裁。此外,企業更應該虛心去學習瞭解GDPR的細則和應用規則。
加強IT建設,謹慎處理好企業平臺上現有的用戶大數據。為了遵守GDPR要求,公司必須弄清楚他們收集和存儲歐盟公民個人身份信息的所有方式。這需要組織內所有部門人員之間的緊密合作,從IT到銷售,營銷到財務[2]。
對數據處理者賦予新的合規要求,是GDPR最重要的變化之一。以下是要點:
1.GDPR直接對數據處理者課以義務,而且不履行這些義務時,將會直接問責。
2.數據控制方和數據處理方應當簽署詳細的數據處理協議。GDPR詳細地規定了協議的條款。
3.數據處理方只有在獲得數據控制方的事先同意後,才能使用次一級數據處理方(sub-processors)。次一級數據處理方與上一級數據處理方應當簽署數據處理協議,協議中規定的義務,和上一級數據處理方與數據控制方簽署的協議的內容相同。
4.數據處理方在數據控制方允許的範圍外,開展的數據處理行為,將被GDPR認定為數據控制方,同時應履行數據控制方相同的責任。
GDPR對中國的影響[1]
數據保護擔憂會否成為中國出海企業進入歐盟市場的一個壁壘?
GDPR的條例不僅適用於中國的出海企業,也適用於所有想在歐盟做生意的企業。對中國出海企業而言:現在就應該為GDPR做準備了。中國企業首當其衝的是銀行、電子商務、互聯網、IT企業和軟硬體生產商。
加強合規認識。合規管理被認為是企業管理三大支柱之一,是內控的一個重要方面,也是風險管理的一個關鍵環節。合規管理旨在告訴企業在具體的操作過程當中應當怎麼做,具體到怎麼合理的做,合規的做,合法的做。對於中國出海企業而言,合規管理更顯的尤為重要,因為現在開始,必須符合GDPR。
中國的相關規定也不遠了