GDPR 10项关键要求的总结

欧盟一般数据保护条例(GDPR)是一套关于公司应如何处理数据主体的个人数据的规则。GDPR规定了组织机构确保个人数据隐私和保护的责任,为数据主体提供了某些权利,并授权监管机构在组织机构不遵守GDPR要求的情况下要求其证明问责,甚至处以罚款。理解GDPR要求有时是一项艰巨的任务,所以通过这个简单易懂的GDPR摘要来了解关键要求。

GDPR的十大关键要求
  1. 依法、公正、透明处理
  2. 用途、数据和存储的限制
  3. 数据主体权利
  4. 同意
  5. 个人资料泄露
  6. 设计的隐私
  7. 数据保护影响评估
  8. 数据传输
  9. 资料保障主任
  10. 意识和培训必威手机登录网站

1)依法、公正、透明处理

我们要求处理个人数据的公司以合法、公平和透明的方式处理个人数据。这是什么意思呢?让我们明白这一点:

  • 合法的意味着所有的处理都应该基于合法的目的。
  • 公平指公司承担责任,不为合法目的以外的任何目的处理数据。
  • 透明的指公司必须将处理其个人资料的活动通知资料当事人。

2)用途、数据和存储的限制

这些公司应限制处理,只收集必要的数据,并且在处理目的完成后不保留个人数据。这将有效地带来下列需要:

  • 禁止在收集个人资料的合法目的以外处理个人资料
  • 除必要的资料外,不得要求提供任何个人资料
  • 要求在达到收集个人资料的合法目的后删除该等资料

3)数据主体权利

数据主体有权询问公司拥有关于他们的哪些信息,以及公司如何处理这些信息。此外,资料当事人有权要求改正、反对处理、提出投诉,甚至要求删除或转移其个人资料。

参见:GDPR规定的8项数据主体权利

10个关键GDPR要求的总结- Advisera

4)同意


当公司有意处理个人数据超出其收集数据的合法目的时,必须征得数据主体的明确同意。一旦收集到该同意,必须将其记录在案,并允许数据主体随时撤回其同意。

此外,对于儿童数据的处理,如果儿童年龄在16岁以下,GDPR要求父母(或监护人)的明确同意。

参见:需要同意吗?根据GDPR处理数据的六个法律依据

5)个人数据泄露

组织必须保持个人数据泄露登记册,并根据严重程度,应在识别泄露后72小时内通知监管机构和数据主体。

参见:根据GDPR处理数据泄露的5个步骤

GDPR的10个关键要求:一个简短的总结

6)设计的隐私

公司应在设计新系统和程序时纳入保护个人资料的组织和技术机制;也就是说,在默认情况下,隐私和保护方面应该得到保证。

参见:网络安全解决方案如何帮助GDPR合规

7)数据保护影响评估

为评估变更或新行动的影响,在启动新项目、变更或产品时应进行数据保护影响评估。保护资料影响评估是当个人资料的处理过程发生重大改变时,需要进行的程序。此更改可以是新流程,也可以是改变个人数据处理方式的现有流程的更改。

参见:欧盟GDPR数据保护影响评估的5个阶段

8)数据传输

个人数据控制者有责任确保个人数据受到保护,GDPR要求得到尊重,即使处理是由第三方完成的。这意味着控制者有义务在个人数据被转移到公司外部、第三方和/或同一公司内的其他实体时确保个人数据的保护和隐私。

参见:实施欧盟GDPR下的3项主要问责原则

9)数据保护官

当一个机构对个人数据进行重大处理时,该机构应指派一名数据保护主任。一旦被指派,数据保护官将负责就遵守欧盟GDPR要求向公司提供建议。

参见:根据《一般资料保护规例》,DPO的角色

10)意识和培训必威手机登录网站

组织必须提高员工对GDPR关键要求的认识,并定期进行培训,以确保员工始终意识到自己在保护个人数据和尽快识别个人数据泄露方面的责任。必威手机登录网站

结论:GDPR原则是理解GDPR的关键

总之,有相当数量的要求与欧盟GDPR有关。理解这些需求及其对您公司的影响,并在您公司的上下文中实现它们是很重要的。这样的实现需要专门的努力,就像运行一个项目一样。

跟随我们的GDPR工具包自行实施欧盟GDPR。

免费下载欧盟GDPR要求的强制性文件清单并获得所有所需文件的完美概述。

Advisera Punit Bhatia

Punit Bhatia

Punit Bhatia是一名高级专业人士,在执行变革和领导转型举措方面拥有超过18年的经验。在三大洲,Punit领导了不同复杂的商业和技术项目和计划。他在多个行业都有经验,曾担任IT咨询公司的顾问,也曾为大型企业定义并交付变革的关键影响者和驱动者。
阅读Punit Bhatia的更多文章