问题1:什么是GDPR?
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。
此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。
GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案!!!
问题2:GDPR新规将影响哪些企业?
欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。
主要受影响的企业为以下四类:
1、设立在欧盟境内的企业(控制者、处理者)
2、未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)
3、未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)
4、未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)
总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
问题3:GDPR不适用哪些情况?
GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:
1、为了预防、调查、侦查或起诉刑事犯罪,主管当局为执行刑事处罚目的而产生的数据处理行为
2、基于国家安全目的而产生的数据处理行为
3、自然人在纯粹的个人或家庭活动中产生的数据处理行为
4、欧盟法律规定范围之外的活动过程中产生的数据处理行为
问题4:GDPR中数据控制着和数据处理者的区别?
数据控制者:指单独或者与他人共同确定个人数据处理的目、条件和手段的自然人、法公共机构政府部门或其他机构。 如针对用户在企业电商平台、网站的注册信息,企业就是数据控制者。
数据处理者:指代表数据控制者处理个人据的自然人、 法公共机构政府部门或其他机构。 如企业针对企业客户提供服务、提供产品所协助处理或者存储的数据,是数据处理者。
问题5:GDPR中处理个人数据得基本原则是什么?
1、合法、正当、透明
2、处理数据的目的是有限的
3、仅处理为达到目的的最少数据
4、确保数据准确、及时更新
5、存储数据的期限不得长于为达到目的所需要的时间
6、采取技术和管理措施以保护数据的安全
7、数据控制者有责任并应能够证明做到了以上几点
问题6:GDPR中对合法处理数据的定义有哪些?
至少满足一下中的某一项,处理数据才是合法的
1、数据主体同意为了特定目的处理其数据
2、处理数据是为了签订或履行合同的需要
3、处理数据是为了遵守法定义务的需要
4、处理数据是为了保护数据主体或其他自然人的至关重要的利益
5、处理数据是为了公共利益或行使政府授受的权力
6、处理数据是为了追求数据控制者的合理利益,但不得损害数据主体的利益
问题7:GDPR中针对儿童数据的处理规定有哪些?
处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。
各成员国可以对上述年龄进行调整,但是不得低于13岁
问题8:GDPR中关于数据主体被遗忘权的规定有哪些?
当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。
如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
问题9:GDPR中关于数据主体可携带权的规定有哪些?
数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。
问题10:GDPR中关于个人数据泄露通知的规定有哪些?
数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施
问题11:GDPR关于执法和处罚的规定
不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。
GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:
对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);
对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);
判罚的严重程度是基于以下因素:
1、违规的性质、严重程度和违规的持续时间
2、违规是故意的还是因疏忽造成的
3、对个人身份信息的责任心和控制程度
4、违规是单个事件还是重复事件
5、受到影响的个人资料的种类范围
6、数据主体遭遇的损害程度
7、为了减轻损害而采取的行动
8、由违规产生的财务预期或收益
GDPR核心旨在保护个人隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机