倒计时已经开始。距离欧盟《通用数据保护条例》(GDPR)的生效仅有几个月的时间,欧洲的公司正忙于研究该条例的所有条款、细则以及罚款规定,并设想和预防不合规可能带来的后果。然而,并非只有欧洲的公司需要关注该条例。如果位于欧盟以外的组织向居住在欧盟/欧洲经济区的对象提供商品或服务,或者监控和处理这些对象的个人数据,该条例同样适用于它们。鉴于5月的截止日期迅速临近,你很可能已经采取了初步措施以确保合规,比如制定合规计划、对现行政策进行重新评估以及对员工进行该法律重要性的培训。
这张信息图是一个简短的总结,它让你能够快速了解《通用数据保护条例》的主要目标和关键条款,概述赋予欧洲公民的权利,并涉及到符合《通用数据保护条例》要求的技术和组织层面的内容。
从未听说过《通用数据保护条例》?
欧盟《通用数据保护条例》(GDPR)这一法律将:
– 协调欧洲的数据隐私法律
– 保护欧盟公民的私人电子信息
– 改变组织处理数据隐私的方式
– 赋予监管机构更多权力以对组织采取行动
– 简化并统一欧盟内的监管环境
十条快速须知
生效时间:2018年5月25日
适用范围? 属于欧洲经济区(EEA)的国家,包括所有欧盟成员国、脱欧后的英国、冰岛、列支敦士登和挪威。如果位于欧盟以外的所有组织(公共和私人)向居住在欧盟的对象提供商品或服务,或者监控和处理这些对象的个人数据,该条例同样适用。
目标:让欧盟公民对其个人数据拥有更多控制权,并简化企业的监管环境。
不合规处罚:警告、定期审计、罚款以及声誉受损。最高罚款为 全球年营业额的4%或2000万欧元,以金额较高者为准。
预期节省:一项统一的数据保护法将取代各国的立法,预计每年可节省 23亿欧元。
数据保护官(DPO):为确保符合《通用数据保护条例》的要求,欧洲各地的组织将需要任命 28000名数据保护官。
十分之九的公司 已经遭遇过数据泄露。
根据普华永道的一项调查, 92%的美国跨国公司 将《通用数据保护条例》视为其数据保护的首要任务。
然而,只有 6%的美国企业 认为自己已完全做好符合《通用数据保护条例》的准备。
预计 80%的公司 在第一年将无法合规。
《通用数据保护条例》旨在保护哪些个人数据?
个人数据的定义如今更为广泛,包括(但不限于)以下标识符:
– 姓名
– 生物识别数据
– 位置数据
– 收入和其他财务数据
– 在线标识符:IP地址、Cookie、应用程序、射频识别标签……
– 敏感个人数据:健康、基因、社会经济、种族和民族信息、文化特征、性取向
它赋予数据主体哪些权利?
明确同意
所有存储的数据必须在获得清晰、明确的同意后才可获取。同意可以随时撤回。
透明度
个人有权知道为什么、如何以及哪些个人数据正在被收集,以及这些数据是如何被处理的。
被遗忘权
有权撤回同意并要求删除数据。
数据泄露通知
如果个人信息被黑客攻击或泄露,数据控制者需要通知其客户(数据主体),并且必须在 数据泄露后的72小时内 进行通知。
数据可携权
数据主体需要能够将其个人数据从一个服务提供商转移到另一个服务提供商。
一个组织的在线通信是符合《通用数据保护条例》要求的关键方面。电子邮件、社交媒体和即时消息交流尤其容易违反《通用数据保护条例》,因为它们被用于共享个人信息,并且仍然是网络犯罪分子的主要目标。实施一项 归档 或 数据治理 解决方案,结合精心规划和执行的 组织战略,将有助于你的组织遵守这一严格的新法规。
|
|
-webkit-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
user-select: none;