相關推薦

關於GDPR想問的都在這裡

關於GDPR很多域名投資人或是域名持有人都還並不知道具體的影響是什麼,經常留意域名行業動態的朋友可能已經知道,GDPR帶來域名whois查詢的變化,最直觀的就是不在提供聯繫人資料顯示,而今天譽名網將和大家聊聊關於歐盟GDPR大家都會有疑惑的一些問題。

關於GDPR想問的都在這裡

一、什麼是GDPR?

GDPR,全稱為General Data Protection Regulation,是歐盟2016 年4 月通過的一項通用數據保護條例(或稱“一般數據保護法案”),是1995 年歐盟「EU法規95/46/c」法規(數據保護指令)的更新版本。

二、為什麼會出台GDPR條例?

歐盟擁有較為完善的數據保護框架,包括一系列的指令、協議、條例等,其中最重要的是1995 年通過的數據保護指令(“ 95 指令”),為歐盟成員國立法保護個人數據設立了最低標準。但是新技術的衝擊,95 指令在各成員國內的不協調性及程序的複雜化,都使得歐盟現存的法律難以應對不斷出現的安全風險,所以GDPR 應運而生。

三、GDPR何時開始具體實施?

GDPR 將於2018 年5月25 日起正式實施。GDPR 於2016 年4 月獲得歐盟議會通過,該條例將在兩年過渡期後生效,即於2018 年5 月25 日起正式實施。

四、GDPR條例的適用主體?

GDPR 不僅適用於位於歐盟內部的組織,還適用於位於歐盟以外的組織,只要它們向歐盟數據主體提供產品或服務或監控其行為。它適用於所有處理和持有歐盟數據主體個人資料的公司,而不管公司的位置如何。具體要求如下:

(1)在歐盟成員國有法人實體的公司;

(2)在歐盟沒有設立實體公司,但因為業務關係而持有歐盟居民個人資料的公司;

通俗來講,無論您的公司總部在哪兒,只要與歐盟的人做生意,或者監視歐盟公民的行為,亦或收集歐盟公民的數據,您就受到GDPR的管轄。

五、GDPR的處罰規則是什麼?

GDPR 不僅僅是《歐盟數據保護指南》的範圍擴大版,它還是總體上更為嚴苛的法規,包含更嚴厲的違規處罰,對於違反GDPR 的行為,處罰具體如下:

(1) 嚴重違規者罰金將會是上限2000 萬歐元或該企業全球年營業額的4%(以兩者較高者為準);

(2) 一般違規者罰金將會是上限1000 萬歐元或該企業全球年營業額的2%(以兩者較高者為準);

舉個例子,蘋果公司最近兩年的年收入都超過了2000 億美元,如果蘋果公司嚴重違反了GDPR 的規定,那麼罰金就有可能高達80 億美元。

六、對於處罰嚴重程度的判斷依據是什麼?

1、違規的性質、嚴重程度和違規的持續時間

2、違規是故意的還是因疏忽而造成的

3、對個人身份信息的責任心和控製程度

4、違規是單個事件還是重複事件

5、受到影響的個人資料的種類

6、個人遭遇損害的程度

7、為了減輕損害而採取的行動

8、由違規產生的財務預期或收益

七、GDPR推行的目的是什麼?

GDPR 的目標是保護所有歐盟公民免受隱私和數據洩露的影響,借賦予歐盟公民個人信息保護的基本權利,來增加消費者對在線服務和電子商務的信心。企業也可通過給消費者一種自身數據被合理存儲和保護的安全感,來贏得消費者的信任。

八、與1995年的數據保護指令相比,此次GDPR的特點有哪些?

1、擴大管轄的地域範圍:不僅包括歐盟內的組織,也包括歐盟外的組織;

2、處罰更加嚴厲:最高達2000 萬歐元或該企業全球年營業額的4%;

3、引入強制數據洩露通告:遭受安全事件並導致個人身份信息洩露的公司,需要在事件發現後72 小時內,將事件報告給他們指定的數據保護機構;

4、引入具備數據保護法令專業知識的指定數據保護官員(Data Protection Officer,DPO) :該角色必須是獨立的、自治的,並直接向高層管理匯報。

九、GDPR所規定的個人數據信息包括哪些?

與自然人或“數據主體” 有關的任何信息,可用於直接或間接識別此人。它可以是任何名稱,照片,電子郵件地址,銀行信息,社交網站上的帖子,醫療信息或計算機IP 地址。

十、面對GDPR,中國企業將面臨怎樣的出路選擇?

1、停止向歐盟居民提供互聯網服務(包括免費的服務);

2、接到罰單後再去面對;

3、主動完成歐盟GDPR 的合規性要求。

十一、企業或組織應該增加哪些技術措施來滿足GDPR的規定?

確保其處理系統和所掌握信息的機密性和完整性,應包括以下措施:

1、應用關鍵安全控制來恰當地檢測、管理和緩解數據處理環境中的任何漏洞;

2、根據企業策略配置系統,並維護該配置;

3、主動識別偏離該策略的系統;

4、持續監視日誌文件,警惕任何潛在數據洩露或漏洞;

5、維持有效檢測、響應和緩解任何安全事件的能力;

6、以安全的方式使用雲服務。

十二、在GDPR條例下歐盟公民有哪些個人數據的控制權?

1、用通俗語言闡明如何訪問現有信息、以及將個人信息用於何處;

2、訪問個人數據;

3、刪除或更正錯誤的數據;

4、可在某些情況下調整和擦除個人數據;(簡稱“被遺忘權”)

5、限製或反對處理個人數據;

6、索取一份個人數據的副本;

7、反對將數據用於某些特定的用途,比如營銷和分析。

十三、GDPR對於數據保護有哪些主要規定?

1、公司必須設立一個數據保護官(Data Protection Officer,DPO)。數據保護官必須直接匯報給最高管理層,其職責是監管和規範數據負責人和數據處理者的數據活動;

2、公司需要保留用戶數據監管信息,並定期刪除無關數據;

3、公司必須部署合適的工具用以保護數據,以防數據丟失、損壞或洩露。當發生任何數據洩露相關事件,數據管控者與數據處理者需要在72 小時內進行報告;

4、公司處理個人數據必須要有合法理由,包括數據主體的同意、為了簽訂或履行合同需要、遵守法定義務的需要、為公共利益或行事政府授權以及為追求數據控制者的合法利益等;

5、當用戶不再希望個人數據被處理並且數據控制者已經沒有合法理由保存該數據,用戶有權要求刪除數據;

6、用戶有權並可以無障礙的將其個人數據以及其他數據資料從一個信息服務提供者處轉移至另外一個信息服務提供者處;

7、公司禁止收集處理反映個人種族或民族起源、政治觀點、宗教/哲學信仰、工會組織成員的數據、個人基因識別數據、生物數據、涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據,如已獲得個人的明示同意,或數據控制者因處理勞動關係、社會保險之需要在法律允許的範圍內已採取了適當的保護手段等;

8、公司處理16 歲以下兒童的個人數據,必須獲得該兒童父母或監護人的同意或授權。各成員國可對上述年齡進行調整,但是不得低於13 歲;

9、公司需要實現數據的“缺省保護隱私”,即這種數據保護的隱私設計需要有默認的兩個原則,一是數據採集與數據使用目的的一一對應原則;二是數據採集的最小化原則。

为您推荐

發佈留言

联系我们

联系我们

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部