“通用数据保护条例”(GDPR)”是欧盟为保护个人信息而建立的指令。该法规将于2018年5月25日生效,并取代欧盟的“1995年数据保护指令”。虽然1995年的指令仅适用于在欧洲实体存在的组织,但GDPR将适用于收集或处理欧盟公民或居民个人资料的所有组织。
在GDPR的监督下,,组织将被要求实施数据保护原则以及技术和组织措施,保障数据和保护个人隐私权。遵守欧盟GDPR合规规则的组织必须实施全面的隐私保护,并确保系统和程序足以正确测试,监控和测量数据安全。
以下是问题系列的一部分。
GDPR中个人的“数据权利”是什么?
根据GDPR内容,规定“数据科目”的个人将根据规定更好地控制其个人资料。 “通用数据保护条例”包括以下“数据主体权利”:
·被遗忘的权利。数据主体可以请求从公司存储中删除个人的身份数据。
·访问权。数据主体可以检查组织存储的数据。
·反对权。数据科目可以拒绝公司使用或处理受试者的个人资料。
·纠正权。数据主体可以期望纠正不准确的个人信息。
·可移植权。数据主体可以访问公司关于他们的个人数据并进行传输。
在“被遗忘的权利”中,组织必须能够以常用格式向个人提供数据,并在数据主题请求的一个月内删除这些数据。这些组织还必须确保其内部程序能够处理这些类型的请求。
“被遗忘的权利”之外的一个例外是删除可能损害言论自由或进行研究的能力的数据。例如,政治家将无法要求从新闻网站删除意见。
组织必须允许人们访问他们自己的数据,而不是阻止他们提交给另一个组织。例如,服务提供者必须允许客户将数据传输到另一个服务提供者。
数据违规通知和数据收集同意规则如何根据GDPR而变化?
欧盟GDPR合规要求组织部署旨在防止数据泄露的技术,并提供严格的违规通知规则。如果数据泄露对个人造成严重的风险,如歧视,声誉损失,财务损失或机密性损失,组织必须通知有关国家监督机构和处于风险中的人员。如果没有足够的系统和程序检测,那么报告和调查数据泄露的组织来部署它们以符合GDPR规则。
根据GDPR的要求,组织在要求个人资料时将被要求使用“简明语言”,并且必须提供有关它们如何处理的信息。他们必须说出他们是谁,他们为什么要处理数据,谁接收到它,以及它将被存储多长时间。他们必须让个人明确,肯定地同意处理数据。
组织应评审所寻求和记录用户的同意书,以确保他们的程序数据主体的权利在GDPR的监督下。他们还应该审查他们的隐私声明,并确保他们解释处理个人资料的法律依据。如果收集关于儿童的信息,他们必须考虑是否有足够的系统来验证个人的年龄并获得家长同意。
GDPR需要保护个人资料有哪些具体措施?
GDPR第32条要求组织采取技术措施,确保数据安全。必要的技术措施和做法将根据所存在的风险程度而变化。组织需要评估其处理的个人数据所面临的风险,数据面临的风险越高,保护数据必须采取的措施越多。例如,那些处理与健康、种族、宗教和政治信仰有关的数据的人必须比那些处理较少个人资料的人采用更大的保障措施。条例中没有具体的安全措施,但提供了一些例子。
欧盟GDPR合规条例要求组织保留其数据处理活动的记录,并且非常重视维护文档以证明合规性。证明组织使用技术来持续监控数据和评估漏洞的记录表明要遵守。
未实现欧盟GDPR符合性的组织可能将被处以高达2000万欧元(约合2360万美元)或高达年收入的4%的罚款。预计强制执行将首先关注组织遵守数据泄露要求的程度。
组织是否必须指定数据保护人员遵守GDPR?
对个人进行大规模,系统,定期监测的公共当局和组织必须在GDPR下指定数据保护官员(DPO)。 DPO是负责监督数据保护战略和实施的企业安全领导角色,以确保符合GDPR要求。
进行大规模处理特殊类别数据(包括健康记录或犯罪记录)的组织也必须指定一个DPO。其他组织将根据其收集的数据以及数据收集是否大规模进行数字命名。
必须指定DPO的组织的两个例子是处理关于医院的遗传学和健康的个人数据,以及处理个人数据以通过跟踪用户的在线行为的搜索引擎来定向广告。收集患者健康数据的全科医生或向客户发送年度广告的本地商店就是不需要指定DPO的企业的例子。
京公网安备 11010502049343号