2021年4月16日
通用数据保护条例(GDPR)合规性完整指南
本页定期更新,以确保准确性和全面性
19分钟阅读
GDPR合规意味着什么?
其核心是,GDPR合规指属于《通用数据保护条例》(GDPR)范围内的组织符合法律规定的妥善处理个人数据的要求。
GDPR概述了组织必须遵守的某些义务,这些义务限制了个人数据的使用方式。它还定义了八项数据主体权利保证了个人数据的特定权利。最终让个人在个人信息及其使用方式上拥有更多自主权。
GDPR概述
GDPR是目前生效的最强有力的全球隐私法。由欧盟(EU)创建,以规范组织如何收集、处理和保护欧盟居民的个人数据。GDPR于2018年5月25日生效,是一项直接写入成员国法律的具有约束力的法规。它旨在通过让数据主体控制如何获取、使用和共享他们的个人数据来加强隐私权。
GDPR提出了三个主要目标:
- 确立和保护个人的基本隐私权。
- 通过取代28个欧盟成员国的法律和之前的法律,统一整个欧盟的隐私法律1995年数据保护指令.
- 修改隐私法,以反映过去25年技术环境对个人数据的变化。
GDPR术语
在深入研究细节之前,让我们先定义一下GDPR的一些基本术语。
数据对象指正式居住在欧盟的任何人,其数据由控制者或处理者收集、持有或处理。
数据控制器指负责确定处理个人数据的目的和合法依据的实体。
数据处理器与数据控制者合作的人,是指代表数据控制者负责处理个人数据的个人。
处理涉及对个人数据或个人数据集执行的任何自动或手动操作或一组操作,包括收集、记录、组织、结构、存储、改编或更改、检索等。
个人资料指与自然人(“数据主体”)有关的任何信息,这些信息可以直接或间接地识别该人的私人、职业或公共生活,包括姓名、电子邮件地址、照片,甚至银行对账单。
取得资料当事人的同意指任何“自由给予、具体、知情和明确的指示”,表明数据主体同意处理与其相关的个人数据。数据主体可以通过声明或明确的平权行动表示同意。
GDPR是否适用于您的组织?
为了决定你是否受到GDPR的保护,你需要考虑这两个方面。材料范围(即,您的处理活动是否受GDPR的监管)和“地域范围”(即,您是否在GDPR适用的司法管辖区)。
GDPR适用于美国公司吗?
美国组织可能属于GDPR的范围。为了确定您的组织是否必须遵守,必须通过查看下面概述的法律的物质和领土范围来应用相同的分析。简而言之,如果您的组织处理(即收集、记录、构建、存储、更改、使用、披露、删除等)居住在欧盟的某人的个人信息,用于商品或服务交换或用于监控欧盟公民的行为,那么您可能属于GDPR的范围。
材料范围
GDPR适用于全部或部分通过自动化方式进行的个人数据处理。它也适用于不使用自动化手段但构成档案系统一部分或打算构成档案系统一部分的处理。这涵盖了组织使用数据进行的大多数活动,包括收集、记录、存储、访问或查看、使用、分析、组合、披露或删除个人数据。
地域范围:GDPR是否适用于欧盟以外?
GDPR适用于在欧盟设立的控制者或处理者对个人数据的处理,无论处理是否发生在欧盟。
如果控制者或处理者向欧盟内的数据主体提供商品或服务,或监视数据主体在欧盟内发生的行为,则它还具有针对控制者或处理者的域外应用,这在欧盟内尚未建立。例如,GDPR适用于一家吸引欧盟客户并向其提供商品的美国在线购物网站。提供的商品和服务可以是免费的。这可能包括外国政府机构或非营利组织。例如,GDPR适用于美国州政府运营的旅行信息页面,该页面收集IP地址等个人信息,而来自欧盟的网站访问者则可以免费访问旅行信息。
GDPR数据主体的权利是什么?
GDPR概述八项基本数据主体权利,以及撤回同意的权利。让我们来仔细看看这些权利:
- 知情权(GDPR第12至14条)
资料当事人有权就其个人资料的收集和使用获得通知。
- 访问权(GDPR第15条)
资料当事人有权查阅及索取其个人资料的复本。
- 纠正权(GDPR第16条)
资料当事人有权要求更新或更正不准确或过时的个人资料。
- 被遗忘权/删除权(GDPR第17条)
资料当事人有权要求删除其个人资料。请注意,这不是一项绝对权利,根据某些法律可能会有豁免。
- 数据携带权(GDPR第20条)
数据主体有权要求将其数据转移给另一个控制者或向其提供数据。数据必须以机器可读的电子格式提供。
- 限制处理的权利(第18条)
资料当事人有权要求限制或禁止其个人资料。
- 撤回同意的权利(GDPR第7条)
资料当事人有权撤回先前就处理其个人资料所给予的同意。
- 反对权(GDPR第21条)
资料当事人有权反对处理其个人资料。
- 反对自动化处理的权利(GDPR第22条)
数据主体有权反对仅基于自动化决策或分析而对其数据做出的决策。
11步骤GDPR合规检查
现在我们了解了基本知识,让我们进入您的组织可以采取哪些步骤来满足GDPR合规性。GDPR合规性可能根据您的组织而有所不同,但确实如此具体步骤任何组织现在都可以创建一个符合GDPR的隐私计划:
- 创建一个可行的计划使用7 GDPR的原则
- 生成一个处理寄存器第三十条
- 实施数据保护影响评估(DPIA)和设计保障私隐(PbD)
- 建立同意管理框架
- 符合欧盟隐私Cookie合规要求
- 建立一个数据主体权利请求门户
- 审查和补救处理器风险
- 准备一份事故报告和违约管理工作流程
- 审查跨境数据传输机制
- 实施GDPR合规培训
- 委任一名保障资料主任
让我们更深入地了解每一步。
步骤1:使用工具创建可执行的计划7 GDPR的原则
GDPR规定七大原则这应该是你处理个人数据方法的核心:
- 合法、公平、透明每项加工活动都应有合法依据。数据处理不是以一种意外的方式进行的,并且数据主体被告知该处理。
- 〇限制用途明确您处理和记录的目的,并在个人隐私通知中详细说明。将处理限制在那些确定的目的上。
- 数据最小化只在必要的范围内处理个人资料。
- 精度-确保你所处理的个人资料是准确及最新的。尽快更正或删除不准确的个人资料。
- 〇存储限制只有在需要时才保留个人资料。
- 完整性和机密性(安全)-有适当的保安措施,以保护个人资料不受未经授权或非法处理及意外遗失、销毁或损坏。
- 问责制,对您处理个人资料的行为负责,并制定适当的措施和记录,以证明您遵守了数据处理原则。
GDPR要求实施适当的技术和组织措施,以有效实施数据保护原则,保障数据主体的权利。这叫做'数据保护的设计和默认”。这意味着您必须在整个数据处理生命周期的设计阶段将数据保护集成到处理活动和业务实践中。
GDPR文章:
- 第5条:处理个人数据的原则
- 第24条:控制者的责任
乐动体育官方活动a资源:
步骤2:为第30条生成处理寄存器
GDPR要求组织保存其处理活动的记录,并确保这些记录始终是最新的。数据映射描述了生成组织数据流的中央目录并保持其更新的操作过程。
虽然GDPR没有特别提到数据映射,但它确实要求控制者和处理者(B2B和B2C)维护处理活动的清单。GDPR第30条的要求非常具体,因此即使一个组织以前执行过数据映射,也需要更新或重做以满足GDPR的要求。
GDPR文章:
- 第六条:处理的合法性
- 第三十条:加工活动记录(初级)
- 第32条:处理安全
乐动体育官方活动a资源:
步骤3:实施数据保护影响评估(DPIA)和设计隐私
GDPR要求控制者在处理操作可能对个人造成高风险时进行数据保护影响评估(DPIA)。GDPR中的许多细节使得这比标准问卷更复杂;例如,要求数据保护官(DPO)参与特定的工作流程、跟踪缓解活动、记录对个人伤害的风险、数据主体咨询等。
此外,组织在实践中实施了一个轻量级筛查问卷来分析风险,然后确定是否需要一个完整的DPIA。这些工作流程和文档要求,以及业务用户的用户体验和集成期望,都需要专门构建的工具来实施GDPR。
如果操作得当,DPIA可以成为满足设计和默认数据保护要求的有效方法。
GDPR文章:
- 第25条:设计和默认的数据保护
- 第35条:数据保护影响评估
- 第三十六条:事先协商
乐动体育官方活动a资源:
步骤4:建立同意管理框架
GDPR为基于同意处理数据的组织设定了更高的标准。例如,同意需要:具体、清晰、语言直白,不被埋没在法律通知中,不与多个通知组合在一起,容易撤回等等。此外,组织需要能够以细粒度的方式证明获得了同意。
GDPR文章:
- 第7条:同意条件
乐动体育官方活动a资源:
步骤5:符合欧盟隐私Cookie合规要求
根据电子隐私指令,组织必须告诉人们他们是否在使用cookie,并解释cookie的作用和原因。必须在一个过程中获得用户的同意,该过程允许组织证明用户的同意是积极和明确的。用户还需要了解网站上使用的cookie的不同功能,以及部署cookie和使用通过cookie收集的数据的组织的身份。在个人要求下提供在线服务时,cookie是必不可少的,例如,记住他们的在线购物篮中有什么,或确保在线银行的安全。如果其他类型的技术被用于存储或访问某人设备上的信息(例如用于移动应用程序的sdk),同样的规则也适用。
电子隐私指令要求适用于无论cookie是处理匿名数据还是个人数据。即使cookie数据是匿名的,收集这些数据的用户同意也需要符合GDPR标准。如果cookie数据不是匿名的,组织还需要遵守GDPR关于个人数据保护的附加规则,例如进行DPIA并在处理记录中记录此类处理活动。
GDPR影响了电子隐私法规的起草,该法规将取代当前的电子隐私指令,并与GDPR更加一致。组织将面临更严厉的处罚和更有针对性的监管行动电子隐私条例草案.
GDPR文章:
- 第7条:同意条件
- 第21条:反对权
- 电子隐私指引/电子隐私规例拟稿
乐动体育官方活动a资源:
步骤6:构建一个数据主体权利(DSAR)请求门户
GDPR赋予了数据主体特定的权利,如:数据可移植性、访问、删除或“被遗忘权”、更正等。此外,在响应时间、请求扩展的能力、验证身份的要求、将响应安全地传输给个人等方面都有特定的记录保存要求。拥有一个自动化的门户可以帮助接收和分类这些请求,是管理、跟踪和报告DSAR请求的重要步骤。
GDPR文章:
- 第7条:同意条件
- 第12条:透明的信息、沟通和数据主体行使权利的方式
- 第13条:向数据主体收集个人数据时提供的信息
- 第14条:未从数据主体获得个人数据的情况下提供的信息
- 第15条:数据主体的查阅权
- 第十六条:整改权
- 第17条:删除权(“被遗忘权”)
- 第18条:加工限制权
- 第19条:关于纠正或删除个人数据或限制处理的通知义务
- 第20条:数据携带权
- 第21条:反对权
乐动体育官方活动a资源:
步骤7:检查和补救处理器风险
GDPR规定控制器对处理者的行为或违规行为负责。关键是要以与内部处理活动相同的勤勉程度分析处理器数据传输和合同义务,以便在处理器发生违约的不幸事件时具有可防御的态势。此外,它还允许组织快速了解哪些数据在该漏洞中受到了影响。
GDPR文章:
- 第28(1)-(3)条:处理机
- 第24(1)条:财务主任的责任
- 第29条:控制者或处理者授权下的处理
- 第46(1)条:受适当保障措施约束的转让
步骤8:准备事件报告和违规管理工作流程
GDPR包括向监管机构发出72小时通知的严格要求,当数据泄露可能对自然人的权利和自由造成高风险时,还需要向数据主体发出额外通知。对于组织来说,有一个系统的过程来满足这些需求是至关重要的。
GDPR文章:
- 第33条:向监管机构通报个人数据泄露
- 第34条:向数据主体通报个人数据泄露
乐动体育官方活动a资源:
步骤9:审查跨境数据传输机制
GDPR要求对转移到欧洲经济区以外的个人数据提供同等级别的保护。这就要求各组织审查并确保它们有适当的机制进行跨境数据传输。
在将个人数据转移到第三国时,首先要考虑的是是否存在“充分性决定”。充分性决定是指欧盟委员会已经决定第三国或国际组织确保了足够水平的数据保护。然而,这项决定须经委员会审查,并可被撤销(例如:欧盟-美国隐私盾).另一个例子是欧盟委员会授予英国两项充足性决定Brexit。
要了解更多关于英国充分性决定,请查看我们的英国充分性常见问题博客.
在缺乏充分性决定的情况下,如果控制者或处理者提供了“适当的保障措施”,GDPR就允许转移数据。“最常用的防护措施是“标准合约条款”,规定了数据输出者和数据输入者的义务,并规定了数据当事人的权利。
如果没有适当的决定或适当的保障措施,数据传输仍然是可能的。在这种情况下,组织可以依赖于克减,例如数据主体的明确同意或转让是履行合同所必需的。但是,不建议这样做,因为如果没有适当的保护措施,数据泄露的风险会更大。
要了解更多关于Schrems II裁决的信息,请查看DataGuidance的理解Schrems的权威指南2.
GDPR文章:
- 第44条:转让的一般原则
- 第45条:基于充足性决定的转让
- 第46条:受适当保障措施约束的转让
- 第四十七条:具有约束力的公司章程
- 第49条:特定情况下的克减
乐动体育官方活动a资源:
步骤10:实施GDPR合规培训
GDPR要求数据保护官监督组织对GDPR的遵守情况,包括提高意识和培训员工。各组织应为其员工提供初始培训和进修培训。还应该有一种机制来保存培训记录,以显示合规性。
GDPR文章:
- 第39条:数据保护官的任务
- 第四十七条:具有约束力的公司章程
乐动体育官方活动a资源:
步骤11:任命数据保护主任(DPO)
GDPR要求,如果组织是公共机构或机构,或者组织的核心活动需要对个人进行大规模、定期和系统的监控(例如,在线行为跟踪),则该组织必须任命一名数据保护官(DPO);或者核心活动包括大规模处理特殊类别的数据或与刑事定罪和犯罪有关的数据。
DPO负责确保GDPR合规。他们协助组织监测内部合规性,就数据保护义务提供信息和建议,就数据保护影响评估(DPIAs)提供建议,并作为数据主体和数据保护当局的联络点。
GDPR文章:
- 第37条:数据保护官的指定
- 第38条:数据保护官的职位
- 第39条:数据保护官的任务
乐动体育官方活动a资源:
OneTrust如何帮助GDPR合规
OneTrust提供了一套产品和解决方案,以运行您的隐私、安全和治理计划,为您提供构建整体方案所需的工具GDPR合规计划.
OneTrust dataguance™研究
整个OneTrust平台由datguid乐动平台登录链接在哪ance Regulatory Research提供支持。监管研究门户网站由来自300个司法管辖区的40名内部研究人员和800名法律贡献者提供支持。让您随时了解GDPR合规、执行和新闻的最新情况。了解更多.
OneTrust成熟度和基准测试
评估您的GDPR隐私、安全性和乐动体育在线登陆数据治理计划并与类似的组织进行比较。了解您的差距在哪里,并利用见解来改进您的遵从性工作。了解更多.
OneTrust意识培训
通过OneTrust内置LMS或导入现有LMS提供的行业、角色和GDPR特定意识培训课程,建立“隐私优先”文化。了解更多.
OneTrust评估自动化
实施GDPR特定隐私影响评估(PIAs)、数据保护影响评估(DPIAs)、隐私设计(PbD),以及其他内部隐私和安全评估。了解更多.
OneTrust数据映射
维护数据流、跨境传输、完整的处理记录的常青树地图,并利用预定义的第30条模板。自动生成可搜索的库存和基于底层数据库存的可视化数据地图。ld乐动体育官方网站 .
OneTrust数据发现和分类
自动查找IT系统,发现并分类其中的数据,将个人数据映射到身份,并保持数据地图和遵从性报告常青。了解更多.
OneTrust供应商风险管理
管理供应商的完整生命周期,评估供应商的隐私和安全实践,将供应商与您的处理记录联系起来,并与供应商合作评估跨境数据传输的影响。了解更多.
OneTrust事件管理
操作您的事件响应计划,管理事件生命周期,并获得跨越数百种违约通知法律的自动化违约通知指导。了解更多.
私隐权利(DSAR)
管理完整的私隐权利(DSAR)通过预先构建的工作流程要求从接收到完成的工作流程,并为GDPR和其他隐私法规提供有关隐私权要求的指导。ld乐动体育app下载 .
OneTrust Cookie同意书
扫描您的网站以识别cookie和跟踪器,并生成特定于地理位置的cookie横幅、偏好中心和cookie策略。在cookie的横幅中,为访问者提供一个偏好中心,让他们可以控制进入和退出跟踪。了解更多.
OneTrust通用同意管理
跨渠道、平台和系统收集、集中和同步用户同意数据。乐动平台登录链接在哪向监管机构单独表明同意,并向数据主体提供他们已同意的所有事项的清单,以便他们接受或撤回同意。了解更多.
让OneTrust帮助您的组织建立GDPR合规计划,将信任放在首位。了解更多关于OneTrust如何帮助您的隐私、安全和治理计划的信息。
进一步的GDPR合规资源:乐动体育官方活动a
- 下载电子书:GDPR合规电子书的终极指南
- 获取清单:GDPR合规检查清单
- 访问数据指导门户:数据指南GDPR门户
GDPR进一步解读:
GDPR合规的下一步措施:
- 试驾工具免费试用或安排演示定制游
- 了解更多OneTrust隐私、安全与治理软件
