通用数据完整指南P…
通用数据保护完整指南…

完成通用数据保护法规(GDPR)合规性指南

本页定期更新,以确保准确性和全面性
最后更新:2022年1月7日

时钟19分钟阅读

有特色的图片

遵守GDPR意味着什么?

在其核心,GDPR合规指属于《一般资料保护规例》(GDPR)范围内的机构,该机构符合法律所界定的妥善处理个人资料的要求。

GDPR概述了组织机构必须遵守的某些义务,限制了个人数据的使用方式。它还定义了八项数据主体权利保证个人个人数据的具体权利。最终让个人在个人信息和使用方式上拥有更多自主权。

下载GDPR合规终极指南

GDPR概述

GDPR是目前生效的最强有力的全球隐私法。由欧盟(EU)创建,旨在规范组织如何收集、处理和保护欧盟居民的个人数据。GDPR于2018年5月25日生效,是直接写入成员国法律的具有约束力的法规。它旨在通过让数据主体控制其个人数据的获取、使用和共享方式来加强隐私权。

GDPR设定了三个主要目标:

  1. 建立和保护个人的基本隐私权。
  2. 统一整个欧盟的隐私法,取代28个欧盟成员国的法律和以前的法律1995年保护资料指示
  3. 调整隐私法,以反映过去25年技术环境对个人数据的变化。

GDPR术语

在深入讨论细节之前,让我们先定义GDPR的一些基本术语。

数据对象是任何正式居住在欧盟的人,其数据由控制者或处理者收集、持有或处理。

数据控制器指负责确定处理个人数据的目的和合法基础的实体。

数据处理器,他与数据控制者合作,是指代表控制者负责处理个人数据的个人。

处理涉及对个人数据或个人数据集执行的任何自动或手动操作或一组操作,包括收集、记录、组织、构造、存储、改编或更改、检索等。

个人资料指与自然人(“数据主体”)有关的、可直接或间接识别该人的任何信息,包括姓名、电子邮件地址、照片甚至银行对账单。

取得资料当事人的同意指资料当事人同意处理与他们有关的个人资料的任何“自愿给予的、具体的、知情的和明确的指示”。数据主体可以通过陈述或明确的平权行动表示同意。

GDPR是否适用于您的组织?

要决定你是否受到GDPR的保护,你需要考虑材料范围’(即,您的处理活动是否受GDPR的监管)和‘领土范围’(即,您是否处于GDPR适用的司法管辖区)。

GDPR是否适用于美国公司?

美国的组织可能属于GDPR的范围。为了确定您的组织是否必须遵守,必须通过查看下面概述的法律的材料和领土范围来应用相同的分析。简而言之,如果您的组织处理(即收集、记录、结构、存储、更改、使用、披露、删除等)居住在欧盟的人的个人信息,以交换货物或服务,或为监控欧盟公民的行为,那么您可能属于GDPR的范围。

材料的范围

GDPR适用于全部或部分通过自动化手段进行的个人数据处理。它也适用于不使用自动化手段但构成归档系统一部分或旨在构成归档系统一部分的处理。这涵盖了组织对数据进行的大多数活动,包括收集、记录、存储、访问或查看、使用、分析、组合、披露或删除个人数据。

地域范围:GDPR适用于欧盟以外吗?

GDPR适用于控制器或在欧盟设立的处理器对个人数据的处理,无论处理是否在欧盟进行。

如果控制器或处理器向欧盟内的数据主体提供商品或服务,或监视数据主体在欧盟内发生的行为,它还具有针对控制器或处理器的域外应用程序,这在欧盟内没有建立。例如,GDPR适用于一家吸引并向欧盟客户提供商品的美国在线购物网站。提供商品和服务可以是免费的。这可能包括外国政府机构或非营利组织。例如,GDPR适用于一个由美国州政府运营的旅游信息页面,该页面收集IP地址等个人信息,而来自欧盟的网站访问者则访问免费的旅游信息。

GDPR的数据主体权利是什么?

GDPR概述了八项基本数据主体权利,以及撤回同意的权利。让我们仔细看看这些权利:

  1. 知情权(GDPR第12至14条)

资料当事人有权了解其个人资料的收集和使用情况。

  1. 访问权(GDPR第15条)

资料当事人有权查阅及索取其个人资料的复本。

  1. 纠正权(GDPR第16条)

数据主体有权要求更新或更正不准确或过时的个人信息。

  1. 被遗忘权/删除权(GDPR第17条)

资料当事人有权要求删除其个人资料。请注意,这不是一项绝对权利,根据某些法律可能会有豁免。

  1. 数据便携权(GDPR第20条)

数据主体有权要求将其数据转移给另一控制人或向其提供数据。数据必须以机器可读的电子格式提供。

  1. 限制加工的权利(第18条)

资料主体有权要求限制或压制其个人资料。

  1. 撤回同意的权利(GDPR第7条)

数据主体有权撤回先前给予的处理其个人数据的同意。

  1. 反对权(GDPR第21条)

资料主体有权反对处理其个人资料。

  1. 反对自动化处理的权利(GDPR第22条)

数据主体有权反对仅基于自动决策或分析而使用其数据做出的决策。

GDPR数据主体权利

11步骤GDPR符合性检查

现在我们了解了基础知识,让我们开始了解您的组织可以采取哪些步骤来满足GDPR的遵从性。GDPR遵从性可能会因组织的不同而有所不同,但确实存在具体步骤任何组织现在都可以创建一个符合GDPR的隐私项目:

  1. 创建一个可执行的计划7 GDPR原则
  2. 生成一个处理寄存器第三十条
  3. 实施数据保护影响评估(dbia)和设计私隐(PbD)
  4. 建立同意管理架构
  5. 满足欧盟隐私Cookie合规要求
  6. 建立一个数据主体权利请求门户
  7. 审查和补救处理器风险
  8. 准备一个事件报告和违规管理工作流程
  9. 检讨跨境数据传送机制
  10. 实施GDPR合规培训
  11. 委任一名保障资料主任

让我们更深入地了解每一步。

下载GDPR合规终极指南

第一步:制定一个可行的计划7 GDPR原则

GDPR开始七个关键原则这应该是你处理个人数据方法的核心:

  • 合法、公平、透明每个加工活动都应该有合法的基础。数据处理不是以一种出乎意料的方式进行的,并且将处理通知给数据主体。
  • 目的限制,明确你处理和记录的目的,并在个人隐私通知中指明。限制处理那些确定的目的。
  • 数据最小化—只在必要的范围内处理个人资料。
  • 精度-确保你所处理的个人资料准确及最新。尽快更正或删除不准确的个人资料。
  • 存储限制,只有在需要的时候才保留个人资料。
  • 完整性和机密性(安全)-有适当的安全措施,以保护个人资料不受未经授权或非法处理和意外丢失、破坏或损坏。
  • 问责制,对你处理个人资料的行为负责,并制定适当的措施和记录,以证明你遵守了处理资料的原则。

GDPR要求实施适当的技术和组织措施,以有效实施数据保护原则,维护数据主体的权利。这叫做设计和默认的数据保护”。这意味着您必须在整个数据处理生命周期的设计阶段将数据保护集成到处理活动和业务实践中。

GDPR文章:

  • 第5条:处理个人资料的原则
  • 第24条:控制人的责任

乐动体育官方活动a资源:

步骤2:为第30条生成处理注册表

GDPR要求组织保留其处理活动的记录,并确保这些记录总是最新的。数据映射描述了生成组织数据流的中央目录并保持其更新的操作过程。

尽管GDPR没有特别提到数据映射,但它确实要求控制器和处理器(B2B和B2C)维护处理活动的清单。第30条的要求非常具体,所以即使一个组织以前执行过数据映射,也需要更新或重做以满足GDPR的要求。

GDPR文章:

  • 第六条:加工的合法性
  • 第三十条:加工活动记录(初级)
  • 第32条:加工的安全

乐动体育官方活动a资源:

步骤3:实施数据保护影响评估(dbia)和设计隐私

GDPR要求控制人员在处理操作可能对个人造成高风险的情况下进行数据保护影响评估(dbia)。GDPR中的许多细节使其比标准问卷更加复杂;例如,要求数据保护官(DPO)参与具体工作流程、跟踪缓解活动、记录对个人的损害风险、数据主体咨询等。

此外,在实践中,组织实施轻量级筛选问卷来分析风险,然后确定是否需要一个完整的dbia。这些工作流和文档需求,以及用户体验和业务用户的集成期望,都需要专门构建的工具来操作GDPR。

如果操作得当,DPIA可以是满足数据设计保护和默认要求的有效方法。

GDPR文章:

  • 第25条:设计和默认的数据保护
  • 第35条:数据保护影响评估
  • 第36条:事先协商

乐动体育官方活动a资源:

步骤4:构建同意管理框架

GDPR为基于同意处理数据的组织设定了更高的标准。例如,同意需要:具体、清楚、语言通俗,不埋没在法律通知中,不与多个通知组合在一起,容易撤回等。此外,组织需要能够以细粒度的方式证明获得了同意。

GDPR文章:

  • 第七条:同意条件

乐动体育官方活动a资源:

步骤5:满足欧盟隐私Cookie合规要求

根据隐私指令,组织必须告诉人们他们是否在使用cookie,并解释cookie的作用和原因。在获得用户同意的过程中,必须允许组织证明用户的同意是积极和明确的。用户还需要了解在网站上使用的cookie的不同功能,以及部署cookie和使用通过cookie收集的数据的组织的身份。但对于应个人要求提供在线服务必不可少的cookie有一个例外,例如,记住他们的在线购物篮中有什么,或确保网上银行的安全性。如果使用其他类型的技术在某人的设备上存储或获取信息(例如用于移动应用程序的sdk),也适用相同的规则。

无论cookie处理的是匿名数据还是个人数据,隐私指令的要求都适用。即使cookie数据是匿名的,收集这些数据的用户同意也需要满足GDPR标准。如果cookie数据不是匿名的,组织还需要遵守GDPR关于个人数据保护的附加规则,例如进行dppa并在处理记录中记录此类处理活动。

GDPR影响了《隐私条例》的起草,该条例将取代当前的《隐私指令》,并与《GDPR》更加接近。组织将面临更多的处罚和更有针对性的监管行动草案ePrivacy监管

GDPR文章:

  • 第七条:同意条件
  • 第21条:反对的权利
  • 私隐指示/私隐规例拟稿

乐动体育官方活动a资源:

步骤6:构建数据主体权利(DSAR)请求门户

GDPR赋予数据主体特定的权利,例如:数据的可移植性、访问、删除或“被遗忘的权利”、纠正等。此外,在响应时间、请求扩展的能力、验证身份的要求、安全地将响应传输到个人等方面都有特定的记录保存要求。拥有一个自动化的门户这可以帮助接收和分类这些请求,是管理、跟踪和报告DSAR请求的重要步骤。

GDPR文章:

  • 第七条:同意条件
  • 第12条:数据主体行使权利的透明信息、通信和方式
  • 第13条:向数据主体收集个人数据时应提供的信息
  • 第14条:在尚未从数据主体获得个人数据的情况下,应提供的信息
  • 第15条:数据主体的访问权
  • 第十六条:整改权
  • 第17条:删除权(“被遗忘权”)
  • 第十八条:加工限制权
  • 第19条:关于纠正或删除个人资料或限制处理的通知义务
  • 第20条:数据便携权
  • 第21条:反对的权利

乐动体育官方活动a资源:

步骤7:审查和补救处理器风险

GDPR持有控制器对处理人员的行为或违规负责。以与内部处理活动相同的勤勉程度分析处理器数据传输和合同义务是至关重要的,以便在处理器发生违约的不幸事件时有一个可防御的姿态。此外,它还允许组织快速了解哪些数据在那次泄露中受到了影响。

GDPR文章:

  • 第28(1)-(3)条:处理机
  • 第24(1)条:财务主任的责任
  • 第29条:控制者或处理者授权下的处理
  • 第46(1)条:转让须有适当保障

步骤8:准备一个事件报告和违规管理工作流

GDPR包括对监管当局72小时的严格通知要求,如果数据泄露可能对自然人的权利和自由造成高风险,则需要向数据主体发出额外通知。对于组织来说,有一个系统的过程来满足这些需求是至关重要的。

GDPR文章:

  • 第33条:个人资料泄露通知监察机关
  • 第34条:向数据主体通报个人数据泄露

乐动体育官方活动a资源:

步骤9:审查跨境数据传输机制

GDPR要求对转移到欧洲经济区以外的个人数据提供同等程度的保护。这就要求各组织审查并确保有适当的机制进行跨境数据转移。

在将个人数据转移到第三国时,首先要考虑的是是否有一个“充分性决定”。适当性决定是指欧洲委员会已决定第三国或国际组织确保适当程度的数据保护。不过,这项决定须经委员会审查,并可撤销(例如,美国的隐私保护).另一个例子是欧盟委员会授予英国两项充分性决定Brexit。

要了解更多关于英国充分性决定,请查看我们的英国充分率常见问题博客

在缺乏充分性决策的情况下,如果控制器或处理器提供了“适当的保护措施”,GDPR允许转移。最常用的保护措施是“标准合约条款”,规定数据输出方和数据输入方的义务,并为数据主体提供权利。

如果没有适当的决策或适当的保障措施,数据传输仍然是可能的。在这种情况下,组织可以依赖减损,例如数据主体的明确同意或转让是履行合同所必需的。然而,不建议这样做,因为如果没有适当的安全措施,数据泄露的风险会更大。

要了解更多关于Schrems II裁决的信息,请查看datguidance的理解方案的权威指南2

GDPR文章:

  • 第44条:转让的一般原则
  • 第45条:基于充分性决定的转让
  • 第46条:转让须遵守适当的保障措施
  • 第四十七条:有约束力的公司规则
  • 第四十九条:特殊情况的克减

乐动体育官方活动a资源:

步骤10:实施GDPR合规培训

GDPR要求数据保护官监督组织遵守GDPR的情况,包括提高意识和培训员工。各组织应向其工作人员提供初步和进修培训。还应建立一种机制,以保存显示符合性的培训记录。

GDPR文章:

  • 第39条:数据保护官的任务
  • 第四十七条:有约束力的公司规则

乐动体育官方活动a资源:

步骤十一:委任一名资料保障主任

GDPR要求一个组织任命一名数据保护官(DPO),如果该组织是一个公共权威机构或机构,或如果该组织的核心活动需要对个人进行大规模、定期和系统的监控(例如,在线行为跟踪);或者核心活动包括大规模处理特殊类别的数据或与刑事定罪和犯罪行为有关的数据。

DPO负责确保遵守GDPR。他们协助组织监测内部合规性,就数据保护义务提供信息和建议,就数据保护影响评估(DPIAs)提供建议,并作为数据主体和数据保护当局的联络点。

GDPR文章:

  • 第37条:数据保护官的指定
  • 第38条:数据保护官的职位
  • 第39条:数据保护官的任务

乐动体育官方活动a资源:

OneTrust如何帮助遵守GDPR

OneTrust提供了一套产品和解决方案来操作您的隐私、安全和治理程序,为您提供了构建一个整体方案所需的工具GDPR合规计划

OneTrust DataGuidance™研究

整个OneTrust平台由datguid乐动平台登录链接在哪ance Regulatory Research提供支持。监管研究门户由来自300个司法管辖区的40名内部研究人员和800名法律贡献者提供动力。让您及时了解GDPR合规、执行和新闻的最新情况。了解更多

OneTrust的成熟度和基准测试

评估您的GDPR隐私、安全性和安全性的成熟度乐动体育在线登陆数据治理项目并以类似的组织为基准。了解您的差距在哪里,并利用洞察力来改进您的遵从性工作。了解更多

OneTrust意识培训

通过OneTrust内置的LMS或导入到您现有的LMS,通过行业、角色和GDPR特定的意识培训课程,建立“隐私优先”的文化。了解更多

OneTrust评估自动化

实施GDPR具体的隐私影响评估(PIAs),数据保护影响评估(DPIAs),设计私密性(PbD),以及其他内部隐私和安全评估。了解更多

OneTrust数据映射

维护数据流、跨界传输、完整的处理记录的常绿地图,并利用预定义的第30条模板。根据底层数据目录自动生成可搜索的目录和可视化数据映射。了解更多

OneTrust数据发现和分类

自动查找IT系统,发现并分类其中的数据,将个人数据映射到身份,并保持数据映射和遵从性报告的常青性。了解更多

OneTrust供应商风险管理

管理供应商的完整生命周期,评估供应商的隐私和安全实践,将供应商与您的处理记录联系起来,并与供应商合作评估跨境数据传输的影响。了解更多

OneTrust事件管理

实施您的事件响应计划,管理事件生命周期,并获得跨越数百个违约通知法律的自动违约通知指导。了解更多

隐私权(DSAR)

管理完整的私隐权利(DSAR)要求从接收到完成的工作流程,包括预先构建的工作流程,以及GDPR和其他涉及隐私权要求的隐私法规的指导。了解更多

OneTrust饼干同意

扫描您的网站以识别cookie和跟踪器,并生成特定于地理位置的cookie横幅、偏好中心和cookie策略。在cookie横幅中,为访问者提供一个偏好中心,让他们控制选择加入和退出跟踪。了解更多

OneTrust通用同意管理

跨渠道、平台和系统收集、集中和同步用户同意数据。乐动平台登录链接在哪向监管机构单独证明同意,并向数据主体提供一份他们已同意的所有事项的清单,以便他们接受或撤回他们的同意。了解更多

让OneTrust帮助您的组织建立一个将信任放在首位的GDPR合规计划。了解OneTrust如何帮助您的隐私、安全和治理计划。

进一步的GDPR合规资源:乐动体育官方活动a

进一步GDPR阅读:

遵守GDPR的下一步措施:

关注OneTrustLinkedIn推特,或YouTube了解全球隐私合规的最新情况。

你可能也会感兴趣


2022年10月19日

10月是网络安全宣传月。所以,什么?

2022年10月18日

节日贴士:在送礼季节避免利益冲突 

2022年10月18日

使用人工防火墙加强您的网络安全管理策略

2022年10月14日

CCPA法规:修订时间表

2022年10月13日

欧盟-美国数据隐私框架:简史

2022年10月12日

OneTrust与微软合作,通过微软智能数据平台增强客户体验乐动平台登录链接在哪

2022年10月12日

介绍新的OneTrust品牌

2022年10月11日

合规最佳实践:向董事会报告

BackToTop
壹信版权所有
Baidu
map