GDPR欧盟一般性隐私保护咨询
GDPR(General Data Protection Regulation)是由欧盟提出的数据保护法,它替代了1995年生效的DPD。GDPR从更大程度上保护了个人数据安全, 并给予个人对这些信息更大程度上的控制权。同时, 对于采集/处理/分析这些数据的组织机构施加了更明确的责任义务. 任何违反该法规的组织机构将面临巨额罚款及潜在的声誉破产,GDPR于2018年5月25日起正式生效。
咨询建议GDPR对于欧盟&非欧盟公司的影响
GDPR适用于全球各种规模的组织及结构, 具体为:
任何在欧盟地区的组织机构所进行的涉及个人信息的活动,任何涉及欧盟公民个人信息的活动, 无论该组织是否落地于欧盟地区. 例如:向欧盟公民出售商品提供服务等.这意味着,无论是对于欧盟公司还是非欧盟公司而言,GDPR都一样适用。
GDPR十大核心问题解析
扩大适用范围
在GDPR的规范内,即使数据管理者在欧盟境内没有设立机构,但其在跨境提供商品或服务的过程中,涉及搜集处理欧盟居民个人资料,则适用GDPR规范,并需要在欧盟境内指派特定代表负责法令遵循事宜
企业必须设置「数据安全专员DPO」
若企业违反GDPR规范,DPO将被追究法律责任
数据搜集与处理须取得明确有效同意
企业必须能够证明已取得同意,当事人保持沉默,不构成前述[同意];儿童或青少年需先获得父母或监护人同意;用户个人资料被取得后将被用在什么用途,也必须清楚直白地说明陈述
一旦发生泄露免于处罚的处理流程
(ISP)转移至另外一个 ISP(例如将所有联系人数据和邮件从 Google 移动到 Yahoo),必须于知悉后 72 小内通报其数据保护
IT 系统之数据保护设计
搜集最小原则,即新信息系统建设与设计时,应将数据保护设计考虑在内
被遗忘权
个人均可要求删除数据管理者所掌控之个人信息
反对权
反对时,数据管理者应立即停止处理该个人资料
对自动化决策的限制
不能去自动判断、预测
资料保护影响评估(DPIA)
如果关于个人数据的使用会有泄漏的风险,数据管理者要有对应的数据保护措施,并对数据泄漏可能产生的影响进行评估形成相应的文件
大幅提高罚则金额
没有合法理由,拒绝用户删除个人数据请求的企业,或是未针对个人用户数据保护制定相应管理规则和措施的企业,最高将被处以 1000 万欧元或全球营业总额2%的罚款
常见违规行为总结
非法处理个人数据
没有合法理由,拒绝用户关于停止处理个人数据的请求
在数据泄露事故发生之后,没有及时通知监管机构
没有执行隐私风险评估
没有任命数据保护官,违法向第三国传输个人数据
最高将被处以 2000 万欧元或全球营业总额 4% 的罚款
GDPR危机处理流程
向监管机关进行个人资料侵害的通报
在个人资料侵害发生时,控管者即应于 72 小时内向监管机关通报;未于72 小时内向监管机关通报的情况,通报应附迟延的具体原因
通报内容核心
描述个人资料侵害之本质,告知数据保护员之姓名及联络细节,描述个人资料侵害的可能后果,描述控管者已采取或预计采取用以处理个人资料侵害的措施
个人资料受侵害时的相关沟通
个人资料侵害可能导致当事人权利和自由出现高风险时,应以清楚简易的语言描述个人数据侵害
GDPR技术架构层面建议解决方案
数据权限中心(DAC)
DAC是DOSA的核心部件,对数据的安全存储、传输及应用授权进行管理。经过授权的用户在访问数据或通过应用使用数据时,是解密和透明的,即授权用户感觉不到数据的加密和解密过程
数据注册中心(DRC)
DRC是DOSA的关键部件,注册有关数据的各种信息,包括安全属性信息,通过它来构建逻辑的数据资源池,并管理数据和提供数据服务。
数据异常控制中心(DEC)
DEC是DOSA的重要部件,对数据资源进行自适应管理,保证数据的唯一性和一致性。
数据应用单元(DAUs)
DAUs是DOSA的关键部件,关联应用对数据的访问,对各种应用提供支持。
成功实现数字化转型,从现在开始!