GDPR的全称是General Data Protection Regulation(通用数据保护条例),是由欧盟推动的数据隐私保护法案,于May 25,2018正式生效。
作为欧盟“史上*严”的数据保护法规,备受关注的《通用数据保护条例》(General Data Protection Regulation,GDPR)于2018年5月25日正式生效,相关组织机构需于该生效日起遵照新规行事。与现行《欧洲数据保护指令》(95/46/EC)相比,GDPR适用的广度和深度均大大加强。一方面,GDPR适用的地域范围不仅限于欧盟境内,其域外效力延及业务涉及欧盟境内个人的境外组织机构;另一方面,GDPR在全面加强个人信息保护、强调用户知情权、访问权和被遗忘权的同时,对相关组织机构提出更为严格的合规要求,并以*高罚没其全球营业额的4%或2千万欧元(以金额较高者为准)为条例的施行保驾护航。
立即咨询 >GDPR是欧盟为解决互联网时代用户数据的收集、使用问题而制定的。
此条例可以把直接或间接识别到的某一个个体的任何信息,都视为个人信息,包括了从姓名、照片、身份证号、邮箱地址、银行账户、健康记录到网络用户名、位置定位、社交媒体发布的信息、计算机IP地址等各个方面,堪称目前世界范围内最宽泛的个人信息定义。
作为一部用来保护欧盟公民个人隐私和数据安全的新法案,其颁布使得欧盟对于数据保护的监管达到了前所未有的高度。
简单来说,GDPR生效后,对个人数据的隐私和保护将更加的透明和具有操作性。
立即咨询 >绝大部分中国企业表示他们的公司对GDPR的要求还没有充分的认识。受到GDPR影响比较大的会是那些需要进行大量的数据收集和控制的行业,例如金融行业、生命科学尤其是健康类的行业,还有交通、零售、电商等等。GDPR的另外一个特点是它第一次提出“数据处理者”同样在GDPR的管辖范围之内这样一个概念。“数据处理者”指的是企业有共享数据的云平台,或者HR进行人力资源数据处理的平台等。
以BAT为代表的中国互联网企业大都是全球性企业,越来越多的中国企业也在进军欧洲,这意味着与欧洲企业有业务往来的中国企业,也要给自己安上一个“紧箍咒”了。
首要原则——只要你搜集和处理欧盟成员国的用户的信息,就需要遵守GDPR。
我是中国的开发者,我需要遵守GDPR吗? – 你的app有欧洲用户吗?如果有,请记住首要原则。
我是美国的开发者,我需要遵守GDPR吗?-你的app有欧洲用户吗?如果有,请记住首要原则。
我的app不在欧洲发布,我需要遵守GDPR吗?- 你的app有欧洲用户吗?如果没有,不需要遵守。
我看其他竞争对手也没遵守GDPR,我需要遵守吗?- 你的app有欧洲用户吗?如果有,请记住首要原则。
必须明确询问用户,是否允许同意搜集他们的数据
明确的意思说:必须以清晰的方式询问用户,而不能以任何方式默认用户授予开发者数据使用许可权
点击下面的按钮,表示您同意xxx搜集你的数据并用来推荐相关的产品/广告/etc/;
点击下面的按钮,表示您不同意xxx搜集你的数据;
我不同意搜集我的数据。
以复选框的形式呈现,默认勾选『同意搜集数据』;
请阅读下面的关于GDPR的邮件(然后要求用户勾选『我同意上述的条款』。
因为GDPR使得欧盟的用户对个人数据拥有更明确的处理权限,因此,在产品面上的确造成了一些影响。
比如:数字广告行业,如果用户不同意搜集个人数据,将无法定位用户,因此也将无法为用户提供个性化的广告。
电商,同理,如果用户不同意搜集数据,也将无法为用户推荐个性化的商品。比如:移动游戏,无法向那些『不同意搜集数据』的用户进行邮件的推广,等等。
不过,GDPR是面向所有在欧盟进行运营的开发者的,因此,所有人都受到同样的影响。
违反GDPR,将被除以2000万欧元的罚款,或者公司年收入的4%,两者之中,哪个金额大,以哪个作为处罚的金额。
详细检查并确认你的产品是否在欧盟运营,是否有欧盟用户。
明确获得用户的许可来搜集数据。通常,app或者游戏开发者可以通过弹窗的方式,来明确的获得用户是否许可的信息
将自己产品中的用户数据进行归类,比如:PII、non PII、公开信息、非公开信息、保密数据等等,以便能够针对PII 信息做出相应的设计。
处理PII信息。因为每一个公司处理PII的方法并不相同,这里就不展开了。
定义数据的存储周期,比如:12个月、24个月等等
升级你的产品,使之成为GDPR合规产品。
许多中国企业在这个法律出台之后就在积极地跟一些专业的咨询机构、律师事务所接洽,去找出企业从流程、控制方面有哪些薄弱之处,有针对性地开始做一些整改。对于一家拥有大量数据的企业,可以看它在整个数据治理过程中,有什么薄弱环节可能将敏感数据泄露(例如USB端口、邮件等)。通过这样比较系统性的评估,可以做到及时填补一些存在的漏洞。
对GDPR的完整介绍,包括其
关键实施和合规活动
理解GDPR发布的原因
和适用范围
能够识别在处理个人数据时
的相关各方
理解关键原则和条件
理解对于所在组织的影
响、风险和机会
知道如何行动以合规,建立注重
个人信息保护的文化
第1条 主题和目标
第3条 领土范围
第2条 物质范围
第4条 定义
第12条 行使数据当事人权利的透明信息,通讯和方式
第16条 纠正权
第17条 删除权(“被遗忘的权利”)
第18条 限制加工权
第19条 关于纠正或删除个人数据或限制处理的通知义务
第20条 数据携带权
第13条 从资料当事人收集个人资料时应提供的信息
第14条 未从数据主体获得个人数据的情况下应提供的信息
第15条 数据主体的访问权
第21条 异议权
第22条 包括配置文件在内的自动化个人决策
第23条 限制
第44条 转让总原则
第46条 转让应受适当保障
第48条 未经联盟法律授权的转移或披露
第50条 保护个人数据的国际合作
第45条 根据充分性决定进行的转让
第47条 具有约束力的公司规则
第49条 特殊情况的减损
第60条 牵头监管机构与其他有关监管部门之间的合作
第61条 互助
第62条 监管机构的联合经营
第63条一致性机制
第64条董事会意见
第65条董事会解决争议
第66条紧急程序
第67条信息交流
第68条 欧洲数据保护委员会
第69条 独立
第70条 董事会的任务
第71条 报告
第72条 程序
第73条 主席
第74条 主席的任务
第75条 秘书处
第76条 保密
第85条 言论和信息的处理及自由
第87条 国家身份证号码的处理
第89条 与出于公共利益,科学研究或历史研究目的或统计目的的存档目的而进行的处理有关的保障和减损
第91条 教会和宗教团体的现行数据保护规则
第86条 处理和公众获取正式文件
第88条 就业方面的加工
第90条 保密义务
第94条 指令95/46 / EC的废除
第96条 与先前订立的协议的关系
第98条 联盟其他有关数据保护的法律行为的审查
第95条 与指令2002/58 / EC的关系
第97条 委员会报告
第99条 生效和适用
第5条 与处理个人数据有关的原则
第7条 同意条件
第9条 处理特殊类别的个人数据
第11条 不需要身份证明的处理
第6条 加工合法性
第8条 关于信息社会服务的适用于儿童同意的条件
第10条 处理与刑事定罪和犯罪有关的个人数据
第24条 控制人的责任
第25条 通过设计和默认方式进行数据保护
第26条 共同控制人
第27条 不在联盟中设立的控制人或处理人的代表
第28条 处理器
第29条 在控制者或加工者的授权下进行加工
第30条 加工活动记录
第31条 与监管机构的合作
第32条 加工的安全性
第33条 个人数据泄露通知监管机构
第34条 向数据主体传达个人数据泄露
第35条 数据保护影响评估
第36条 事前协商
第37条 指定数据保护官
第38条 数据保护专员的职务
第39条 数据保护人员的任务
第40条 行为守则
第41条 监督已批准的行为守则
第42条 认证
第43条 认证机构
第51条 监督机关
第52条 独立
第53条 监管机构成员的一般条件
第54条 建立监督机构的规则
第55条 能力
第56条 牵头监管机构的权限
第57条 任务
第58条 权力
第59条 活动报告
第77条 向监督机关投诉的权利
第79条 对控制人或处理人享有有效司法补救的权利
第81条 中止诉讼
第83条 施加行政罚款的一般条件
第78条 对监督机构采取有效司法救济的权利
第80条 数据主体的代表
第82条 赔偿权和赔偿责任
第84条 处罚
第92条 代表团的行使
第93条 委员会程序
添加课程老师获取最新相关资
料以及最新的课程套餐
版权所有: 深圳市泛特宏景咨询有限公司, 粤ICP备10094233号 | 400-110-8128
免责声明:本网站的部分内容来自于互联网,网站中所引用的相关公司LOGO、商标、版权归相关公司、法人及原作者所有
