2018-08-17 15:35
GDPR欧盟通用数据保护条例于今年正式实施,由于该条例具有广泛的管辖权、较高的实施标准以及严格的处罚条件等特点,从而引起了全球各地的企业的重视。
首先来看哪些范围内的企业将受到GDPR欧盟通用数据保护条例的规制?虽然这仅是一部欧盟的法律,但其波及的范围却不止欧盟,简单来讲,只要是拥有欧盟居民数据的公司,即使企业处于欧盟境外,依旧要受到GDPR规制。
除此之外,严格的问责制度也是GDPR引人瞩目的原因之一。GDPR 要求企业履行数据保护义务,建立内部问责机制,该机制主要由以下几项措施组成。
第一是设立数据保护官,根据GDPR第4章要求,应该建立数据保护官(Data Protection Officer,DPO)制度,DPO应该是独立任命的,他们不能因为执行任务的原因而被解雇或者受到刑事处罚,DPO直接向最高管理者报告工作。与法律顾问不同,企业的DPO需要向执行委员会报告,并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的企业必须指定DPO。这根据他们是否处理敏感数据的情况而定,拥有少于250名员工的组织可根据企业运营的实际情况来决定是否指定DPO。
第二是建设“隐私内置”机制(Privacy by Design, PbD),要求产品或服务的整个生命周期都贯穿隐私和数据保护。
第三是实施隐私保护影响评估 (Privacy Impact Assessments, PIAs),即对于高风险的数据处理活动,要事先对数据操作方式进行评估,主要进行处理机制以及处理目的系统性描述、必要性评估、数据主体的风险性评估等。
第四是进行事先协商(Prior consultation),若数据控制者没有有效降低风险,就应当及时就数据处理活动向相关数据保护监管机构进行事先协商。
第五是发布数据泄露报告 (Data Breach Notification),一旦发生数据泄漏事故,数据控制者需要及时通知监管机构与数据主体。除数据泄露信息披露外,针对数据处理的“透明”原则,GDPR 还要求数据控制者适时进行信息披露,包括关于数据处理的书面材料、数据控制者的详细信息、数据保护局的联系方式等。
第六是采取安全保障措施,包括个人数据匿名化和假名化,建立定期测试、评估、评价和管理体系。各项措施都围绕保护个人数据展开,可以说企业的责任是全面而又严格的。
较高的处罚标准也是GDPR成为关注焦点的重要原因,即对未采取措施来避免或降低隐私侵权损害的数据控制者或处理者,最高可处 1000 万欧元或全球营业额的2%作为罚款。对违反数据处理基本原则、侵害数据主体权利、违规将个人数据传播给第三国的数据控制者或处理者,最高可处 2000万欧元或全球运营额 4%作为罚款。
GDPR还大大增强了监管机构的执法权,包括行使各项调查权,敦促企业采取纠正措施,进行相关授权与建议,保障公民司法救济,提起司法诉讼等。欧盟还将实施“一站式”投诉服务,以便处理消费者在欧盟内的跨境投诉,并专门成立了欧盟数据保护理事会,监督法案实施,提供合规与认证建议,协调处理消费者的投诉。
总而言之,GDPR欧盟通用数据保护条例立法的最终目的就是维护用户控制数据的权利,让用户知道自己的数据被如何使用并对此进行控制。
严正声明:本文章内容为佑碧艾商务咨询(上海)有限公司(以下简称:LEB)原创作品,LEB对该作品享有全部著作权。欢迎转发,如需以任何形式转载请注明作品出处及标注作者(LEB)署名,违者将承担相应法律责任。特此声明。
[ 2024-07-11 13:41]
[ 2024-06-14 09:15]
[ 2024-05-13 17:05]
[ 2024-04-25 10:49]
[ 2024-04-19 10:31]
[ 2022-02-28 15:22]
[ 2023-04-28 10:00]
[ 2023-04-25 10:00]