欧盟GDPR:什么是GDPR ?它是如何运作的?

EUGDPR是什么?——EUGDPRAcademy
欧盟GDPR模板
EUGDPR是什么?——EUGDPRAcademy
欧盟GDPR课程
EUGDPR是什么?——EUGDPRAcademy
免费的材料

欧盟通用数据保护条例(GDPR)简介

什么是GDPR ?为什么每个人都在谈论它?《通用数据保护条例》(GDPR)旨在为欧盟公民提供统一和协调的隐私保护方法,并寻求加强《欧盟基本权利宪章》第8条规定的数据保护权利。经过近四年的审议和辩论,《GDPR》最终于2016年4月14日在欧盟议会通过。

尽管该文件在批准日期20天后生效,但实施日期被确定为2018年5月25日。看起来准备时间很长,但事实是,由于一些重要的变化,有很多事情要做。在本文中,您可以找到GDPR的解释。

法规和指令

与之前的数据保护框架(欧盟数据保护指令-指令95/46/EU)相比,最初的变化之一,也是根本性的变化是,经过多次辩论,欧盟议会决定以法规而不是指令的形式建立新的隐私框架。

为什么规定?答案很简单——法规是一种直接适用于所有欧盟成员国的有约束力的立法法案,不需要起草地方立法法案。然而,尽管有地方立法的需要,但欧盟GDPR在不同成员国的解释和执行方式可能存在差异。

除了需要一个共同的隐私框架之外,通过制定欧盟GDPR,欧盟发出了一个强烈的信息,即它承诺保护欧盟数据主体(数据主体是与个人数据相关的活着的个人)的个人数据,而不仅仅是来自在欧盟内部运营的公司。

GDPR的额外影响

除了GDPR是什么这个问题之外,一个经常被问到的问题是欧盟GDPR在哪里适用?GDPR的域外适用范围是显著有助于提高个人数据保护水平的新特点之一。治外法权是什么意思?GDPR可能是最重要的变化之一,它将扩大适用范围,影响不在欧盟建立的实体。当然,要适用治外法权,必须满足一些条件。欧盟GDPR将适用于处理欧盟数据主体的个人数据,无论处理活动是否发生在欧盟。欧盟GDPR也适用于建立在欧盟以外的实体,如果它们向欧盟内的个人提供商品或服务,或如果它们监控欧盟内个人的行为(即分析活动、跟踪个人在互联网上的活动等)。

理解何时适用欧盟GDPR的关键是理解“在欧盟”的含义。欧盟GDPR只适用于欧盟内部个人的个人数据,而这些个人的国籍或经常居住地与此无关。例如,一家总部位于欧盟的公司在处理位于日本的日本个人的数据时仍然需要遵守欧盟GDPR。因此,日本人将受益于欧盟GDPR规定的所有权利,即使这些权利并不存在于他们本国的法律中。

如果欧盟公民的数据是由欧盟以外的公司在欧盟以外处理的,那么这就不被认为是“在欧盟内”。例如,欧盟GDPR将不适用于总部位于美国的学校,仅仅因为它的一个或几个学生可能是欧盟公民。在这种情况下,处理过程并不发生在“联盟内”,个人也不“在联盟内”。

这种治外法权的后果之一是,不在欧盟设立的公司必须任命一名代表。该代表必须常驻有关数据主体所在的会员国。如果处理是偶然的,不涉及对敏感个人数据的大规模处理,且处理的目的和结果不太可能对个人构成风险,则只允许有限的克减。


跨境转移个人数据

在传输数据时,GDPR对传输到欧盟以外的地点施加了严格的限制。这样做是为了确保个人资料的保障达到适当的水平。何时可以将数据转移到欧盟以外的地方?正如GDPR所解释的,数据转移出欧盟可能发生在以下情况:

  • 欧盟作出的适当决定(欧盟已确定某一国家的数据保护法律与欧盟的相同)
  • 有适当的保障措施(例如,包括有关个人资料转移的欧盟范本条款的合约)
  • 特定的减损(例如,数据主体明确的知情同意)

数据转移是GDPR中一个复杂的领域,特别是因为欧盟正在就同意问题展开争论,而同意被广泛用于证明个人数据的跨境转移是合理的。因此,在历史上通过用户同意保护自己的组织可能会发现自己不得不修改数据传输框架,否则将面临高额罚款。

保障个人资料安全

与当前指令一样,欧盟GDPR要求企业保护个人数据安全。虽然这项义务是用一般术语表述的,但它确实就旨在保护个人资料的措施作出了一些说明,例如:

  • 加密和pseudonymization
  • 确保和维护其IT系统的机密性、完整性、可用性和弹性
  • 及时恢复可用性和访问个人数据的能力
  • 定期协助和测试为保护数据而部署的安全措施的有效性

上面提到的措施只是例子——不是强制性的——应该只在“适当的时候”应用。因此,公司有责任证明安全措施是适当的。

就安全措施而言,ISO 27001标准是一个很好的实践,因此公司在建立数据保护安全措施时可以使用该标准作为起点。

控制器与处理器

欧盟GDPR还对数据处理器施加了新的制裁。这与以前的数据保护法大不相同,以前所有的义务都集中在数据控制者身上。为了更好地理解GDPR是什么,除了其他事项外,重要的是要知道数据处理程序现在必须保存处理活动的记录。

谁是数据处理器?与前面一样,数据处理器是代表控制者处理个人数据的实体(如法人、公共当局、机构或任何其他机构)。

数据主体的新权利

在一次重大更新中,欧盟GDPR为数据主体引入了新的权利。这些都是:

  • 访问、整改和携带的权利
  • 正确的对象
  • 删除和限制处理的权利

这些变化中最引人注目的是广受争议的“被遗忘权”(现在称为“抹除权”)。在某些特定的情况下,包括当数据主体撤回其同意或如果不再有任何理由处理个人数据时,可以触发这种删除权利。

当接收到这些请求时,数据控制器必须“没有不当的延迟”响应,并且必须通知所有与之共享该数据的实体。显然,对于所有数据主体权利,数据控制者都有严格的要求,要求他们对所持有的个人数据进行盘点和映射,以便能够“不受不当延误”地响应数据主体的访问请求(以各种形式)。

有或没有DPO

根据GDPR,一些组织也有义务任命一名数据保护官,尽管只在特定情况下:

  • 哪里的数据控制器或处理器是公共机构
  • 其中,数据控制器或处理器的核心活动是“定期和系统地大规模监测数据主体”。
  • 数据控制器或处理器对特殊类别的个人数据(如民族、种族出身、政治观点、宗教信仰等)进行大规模处理。

数据泄露与安全

除了为数据主体引入新的权利外,欧盟GDPR还引入了针对数据泄露的新规则。与之前的指令相比,GDPR对数据控制器和数据处理器都施加了义务。GDPR还提供了指导和例子,使组织更容易降低风险。其中包括:

  • 个人数据的匿名化(指在不使用附加信息的情况下,处理个人数据的方式不能再归因于特定的数据主体)
  • 在发生物理或技术事件后,及时恢复个人数据可用性(和访问)的能力
  • 确保处理系统的保密性、完整性和弹性的能力
  • 增加流程,确保定期测试和评估技术和组织措施,以确保处理过的个人数据的安全性

此外,当涉及到违规通知时,企业现在必须达到标准。首先,遭遇数据泄露的组织现在必须“毫不迟延地”通知监管机构(根据GDPR第51条由成员国设立的独立公共机构),除非泄露对数据主体没有风险。如果对受影响的个人有风险,组织也必须将这一点传达给受影响的数据主体,同样“不得无故拖延”。

GDPR规定的罚款和处罚

为了解释GPDR,非常重要的是要知道,数据泄露处理不当将受到GDPR的最高处罚。

欧洲议会确认其保护隐私承诺的另一种方式是实施新的惩罚措施,其力度明显高于之前的指令。现在,被发现违约的公司的罚款可能高达其全球营业额的4%。巨额反垄断罚款背后的逻辑很简单:对违规行为的罚款越高,合规程度就越高。在处理个人数据时,企业将越来越难以仅仅接受一定程度的风险,因为现在的罚款已经高得离谱,可能会让一家公司屈服。

根据GDPR,罚款金额可分为两类:

  1. 在以下情况下,对于侵权行为,最高可达全球年营业额的2%或1000万欧元,以较高者为准:
    • 未能报告数据泄露
    • 未能遵守GDPR第25条规定的设计原则
    • 未能指定代表(如果实体位于欧盟以外)
    • 处理儿童数据时未取得同意
    • 未能在与处理程序签订的合同中落实充分的数据保护条款
    • 未委任资料保护主任
    • 未能保持书面记录
  2. 对于更严重的违法行为,最高可达全球年度营业额的4%或2000万欧元,以较高者为准:
    • 未能遵守GDPR中规定的合法数据处理原则
    • 未能满足有关在欧盟以外转移个人数据的规定
    • 未能遵守数据主体权利

新的惩罚措施还附加了数据保护监管机构很容易获得的额外权力,如对不合规行为发出警告、进行审计、要求在指定的时间框架内进行具体补救、下令删除数据,以及暂停向第三国传输数据。

GDPR在不同司法管辖区的影响

GDPR在不同司法管辖区的影响如何?GDPR对在德国、法国或荷兰等国家运营的组织的影响可能略有不同,这些国家的数据保护立法历来严格,在某些情况下甚至超过了现有的指令。在这些领域经营的公司将更容易遵守GDPR,因为这些国家的监管当局已经在努力保护个人的权利和自由。

然而,对于其他由于缺乏行政权力和几乎微不足道的罚款而导致数据保护当局“处于静止状态”的司法管辖区,组织知道监管当局没有资源或力量对违规者施加惩罚,因此忽视了对个人权利和自由的风险。在这些司法管辖区,处理器尤其会受到影响,因为直到目前为止,它们从未是数据保护当局调查的目标。

向前迈出一步……?

总的来说,GDPR的意义是什么?就将数据保护法律框架带入21世纪而言,这无疑是向前迈出的必要一步。结合《隐私指令》的颁布,数据保护法从未发生过如此彻底的转变,或许是自Louis Brandeis认为隐私是权利,而不是特权以来。

换句话说,如果您的组织还没有开始全面检查其数据保护框架,那么现在就是开始的好时机。

欲了解更多欧盟GDPR实施情况,请访问我们的欧盟GDPR免费下载页面。你会找到很多有用的资源。