整理這篇文章有三個原因:
1.網上很多關於GDPR的文章是不完整的,甚至是錯誤的。
2.借此機會在公司內部開展GDPR專題培訓。
3.未來青蓮雲的部分客戶業務會受到GDPR的影響。
之後計劃寫壹系列相關文章,更多的從企業的角度去思考法案對物聯網行業的影響以及應對措施。壹方面,我們希望與GDPR的同行公司進行更多的互動討論;其次,也希望傳播國際法律對安全和隱私的態度,提高物聯網的安全意識。
您將了解以下內容:
1,什麽是GDPR(重要)
2.GDPR的發展
3.GDPR關鍵術語的定義(重要)
4.GDPR會影響哪些企業(重要)?
5.GDPR不適用於什麽情況?
6.哪些數據受GDPR約束(重要)
7.GDPR數據主體的權利(重要)
8.在GDPR處理個人資料的基本原則(重要)
9.GDPR合法處理數據的定義
10和GDPR兒童資料處理規定
11.GDPR數據控制員和數據處理員的義務(重要)
12,GDPR對特殊類型個人數據處理的規定
13.GDPR關於數據被遺忘權的規定(重要)
14,關於GDPR數據主體可移植性的規定(重要)
15,GDPR個人資料披露通知規定(重要)
16,GDPR關於設立數據保護官員的規定
17,GDPR執法與處罰條例(非常重要)
18,摘要
什麽是GDPR?
2016年4月4日,歐洲議會投票通過了討論了四年的《通用數據保護條例(GDPR)》。新賬單由11章***99組成,2018年5月25日。它將取代現有的數據保護指令95/46/EC,統壹歐盟成員國關於數據保護的法律法規。
此外,GDPR新規在28個歐盟成員國統壹實施,這將使28個歐盟和歐洲經濟成員國的隱私保護法更加壹致和現代化。
GDPR作為壹套保護歐盟公民隱私和數據的新法規,意味著歐盟對個人信息的保護和監管達到了前所未有的高度,這是史上最嚴厲的數據保護法案。
GDPR的發展歷程
(圖片來自網絡)
GDPR關鍵術語的定義
個人數據是指指向已識別或可識別的自然人(數據主體)的任何信息。可識別的自然人可以被直接或間接識別,特別是通過參考諸如姓名、ID號、定位數據和在線識別的識別列表,或者通過參考壹個或多個元素,諸如自然人的身體、生理、遺傳、心理、經濟、文化或社會身份。
處理:指對個人數據或個人數據集進行的任何壹項或壹系列操作,如收集、記錄、組織、構建、存儲、改編或修改、檢索、查閱、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀,無論這種操作是否自動化。
匿名化:這是壹種處理個人數據的方式,不指向特定的數據主體,也不使用額外的信息。這種處理方式將個人數據與其他附加信息分開存儲,由於技術和組織手段的原因,使得個人數據無法指向壹個可識別和認可的自然人。
數據控制人:能夠獨立或共同決定個人數據處理目的和方式的自然人、法人、事業單位、行政機關或其他非法人組織。
數據處理者:指為數據控制者處理個人數據的自然人、法人、事業單位、行政機關或其他非法人組織。
數據接收方:僅指接收傳輸的個人數據的主體,無論是第三方自然人、法人、事業單位、行政機關還是其他非法人組織。政府根據歐盟或其成員國法律框架內的特定調查收到的個人數據不應被視為“數據接收方”。
個人數據泄露:指個人數據在傳輸、存儲或其他處理過程中,因安全問題導致的意外或非法破壞、丟失、更改、未經授權的泄露或訪問。
GDPR會影響哪些企業?
《歐盟GDPR法案》具有域外效力。換句話說,GDPR賦予歐盟在個人信息安全方面的治外法權。
主要受影響的企業有以下四類:
l?在歐盟建立的企業(控制者、加工者)
l?不在歐盟境內設立,但向歐盟境內的數據主體(自然人)提供產品和服務的企業(控制者、加工者)。
l?不在歐盟設立但參與監控歐盟數據主體(自然人)行為的企業(控制者、加工者)。
l?不是建立在歐盟內部,而是建立在適用歐盟成員國法律的地方的企業(控制者、加工者)。
綜上所述,GDPR不僅適用於位於歐盟的企業組織,也適用於位於歐盟以外的企業組織。無論該組織位於何處,只要它向歐盟數據主體提供產品和服務或監控相關行為,或處理和持有居住在歐盟的數據主體的個人數據,都將受到《GDPR法案》的監管。
GDPR法案也適用於“數據控制器”和“數據處理器”。如果案件涉及數據處理者,數據控制者不能免除責任。GDPR規定,管制員需要承擔更多的責任,以確保與數據處理者的合同能嚴格遵守GDPR的規定。
GDPR哪裏不適用?
GDPR更多的是監督企業對數據的使用。以下四個數據使用方面不適用於GDPR:
l?主管當局為執行刑事處罰以防止、調查、偵查或起訴刑事犯罪而進行的數據處理。
l?基於國家安全目的的數據處理行為
l?自然人在純個人或家庭活動中產生的數據處理行為。
l?歐盟法律範圍之外的數據處理活動。
GDPR約束哪些數據?
個人數據:
通過標識可以直接或間接識別自然人的信息。
無論是自動分類還是手動分類,它都包括壹個包含按時間順序排列的個人數據的記錄集合。
已匿名的個人數據取決於使用現有徽標識別特定個人的難度。
敏感個人數據:
也稱為“特殊類型的個人數據”。
包括透露工會成員的種族或民族血統、政治觀點、宗教或哲學信仰以及個人資料。
包括在處理後能夠唯壹識別個人的遺傳數據和生物數據。
與刑事定罪和犯罪有關的個人數據不包括在內,但對此類數據的處理和保存有特殊要求。
GDPR數據主體的權利(第三章)
l?知情權
l?存取權
l?反對權
l?可移植性權利
l?更正權
l?刪除/被遺忘的權利
l?限制處置權
l?不受數據畫像的影響
在GDPR處理個人資料的基本原則
l?合法、公正和透明
l?處理數據的目的是有限的。
l?僅處理用於該目的的最少數據。
l?確保準確及時地更新數據。
l?存儲數據的期限不得超過達到目的所需的時間。
l?采取技術和管理措施保護數據安全。
l?數據管理員有責任並且應該能夠證明已經達到了以上幾點。
GDPR合法處理數據的定義
如果至少滿足以下壹項,則處理數據是合法的。
l?數據主體同意為特定目的處理其數據。
l?處理數據是簽訂或履行合同所必需的。
l?處理數據是遵守法律義務所必需的。
l?數據處理是為了保護數據主體或其他自然人的切身利益。
l?處理數據是為了公眾的利益,或者是政府授予的權力。
l?處理數據是為了追求數據控制者的合理利益,但不得損害數據主體的利益。
GDPR關於處理兒童數據的規定
要處理16以下兒童的個人數據,必須獲得兒童父母或監護人的同意或授權。成員國可以調整上述年齡,但不得低於13歲。
GDPR數據控制員和數據處理員的義務
設置DPO(數據保護官)
文件化管理
數據保護影響評估
事先協商機制
數據泄露報告機制
安全措施
遵守數據跨境傳輸的規則
GDPR處理特殊類型個人數據的規定
禁止收集和處理反映個人的種族或民族血統、政治觀點、宗教和哲學信仰的數據,無論他是否是工會組織的成員、個人基因識別數據、生物數據或與健康、性生活或性取向有關的數據。但在特殊情況下也可以收集和處理上述數據,如已取得個人的明確同意,或數據控制人因處理勞動關系和社會保險的需要,在法律允許的範圍內采取了適當的保護措施。
GDPR關於數據被遺忘權的規定(重要)
當個人數據與收集和處理的目的無關,數據主體不希望其數據被處理或數據控制者沒有正當理由保存數據時,數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。
如果數據傳輸到任何第三方(或第三方網站),數據控制人應通知第三方刪除數據。
關於GDPR數據主體可移植性的規定(重要)
數據主體可以從數據控制器請求其數據,或者將其個人數據轉移到另壹個數據控制器。
GDPR個人資料披露通知的規定(重要)
數據控制者應在72小時內向監管部門報告個人數據的泄露情況。當數據泄露可能給數據主體的權利或自由帶來巨大風險時,數據控制者必須立即通知數據主體,以便數據主體能夠及時采取措施。
關於在GDPR設立數據保護官員的規定
為確保數據保護合規並處理數據保護相關事務,數據控制者和數據處理者需要設立數據保護官(DPO)。
控制器和處理器不應向數據保護官員發出任何指令,DPO不應因執行任務而被解雇或受到刑事處罰。
數據保護官直接向最高管理層報告。
根據歐盟或成員國的法律,數據保護官員應對其任務內容保密。
數據保護官員還可以執行其他任務和履行其他職責。
GDPR執法與處罰條例(非常重要)
不遵守信的數據隱私規定的後果是嚴厲的制裁和巨額罰款。
GDPR的懲罰沒有上傳到網上的全球收入的4%那麽直接。但是行政罰款有兩個級別:
對於壹般違規行為,罰款上限為654.38+00萬歐元,或上壹財年全球年度營業收入的2%(以較大者為準);
對於嚴重違法行為,最高罰款2000萬歐元,或者在承諾的情況下,最高為上壹財年全球年度營業收入的4%(以金額較大者為準);
處罰的嚴厲程度基於以下因素:
l?違規的性質、嚴重程度和持續時間
l?違規是故意的還是疏忽造成的?
l?對個人身份信息的責任和控制程度
l?違規是單壹事件還是重復事件?
l?受影響的個人數據的類型和範圍。
l?數據主體遭受的損害程度
l?為減輕損害而采取的行動
l?違規產生的財務預期或利益。
GDPR的核心目的是保護私人數據,通過法律約束建立企業與公民之間的信任關系。違反GDPR的成本遠遠超出財務層面,還會對企業聲譽造成極大損害,導致企業與消費者之間的信任危機。
摘要
因為青蓮雲所在的物聯網行業也受到GDPR法案的約束,所以將法案中的關鍵思想整理出來,分享給業界。GDPR的改革基於保護公民基本權利的理念。在提高個人數據保護標準的同時,也會增加企業的合規成本。法案背後是對隱私和安全的需求,法案生效後將成為國際數據隱私保護標準。
對於物聯網行業的相關企業(硬件、軟件、制造、數據分析等。),亟待提高物聯網安全意識,重視數據安全和用戶隱私安全,積極采取相應整改或加強措施。青聯雲安全團隊也將不斷提升安全攻防能力和安全合規意識,同時與客戶企業建立長期持續的安全咨詢合作關系,為物聯網構建安全、獨立、可信的安全新業態。