在我们最近的文章中,我们讨论了《通用数据保护条例》(GDPR)如何影响企业。文章解释了英国 GDPR 和欧盟 GDPR 之间的区别、企业在数据保护和隐私方面的责任,以及合规为有远见的组织带来的机遇。在本系列的第二部分中,我们将进一步探讨 GDPR 是什么、它适用于谁、它的原则、它为数据主体提供的权利以及处理个人数据的法律基础。
什么是 GDPR?
GDPR 经过两年的准备期和四年的谈判,于 2018 年 5 月 25 日正式生效。然而,隐私保护的概念可以追溯到 1950 年的《欧洲人权公约》,其中规定了与私人生活(第 8 条)和言论自由(第 10 条)有关的权利。
作为世界上最严格的隐私和数据保护法之一,GDPR 限制了组织对其持有的个人数据的处理方式,并增加了数据主体的权利。例如,根据 GDPR,数据主体有权要求组织交出与其有关的所有个人数据的副本,也可以要求删除其个人数据。虽然这两项权利都有例外,但总体而言数据主体占有很大优势。
GDPR 的目标是什么?
GDPR 的背景和文本主要有三个目标:
建立和保护人们的数据保护和隐私权利。
协调欧盟/欧洲经济区的隐私法。
确保隐私和数据保护立法足够广泛,以便与 21 世纪早期的技术有效配合。
尽管《GDPR》旨在将所有 28 个(2018 年) 盟 土耳其数据 成员国以及欧洲经济区国家的数据保护和隐私法整合到一起,但各个国家仍有足够的空间制定自己的法规,特别是在国家安全、预防犯罪和民事诉讼方面。这就是为什么英国有《2018 年数据保护法》,应该与《GDPR》一起阅读。
GDPR 适用于谁?
GDPR 适用于处理个人数据的两类组织:
控制者——单独或共同决定处理个人数据 人过去吃了海底捞 的目的和方法的个人、公共当局、企业、代理机构、慈善机构或其他机构。
处理者——代表控制者处理个人数据的个人或组织,可以是公共机关、企业、代理机构、慈善机构或其他机构。
有关更多信息,ICO 有一个关于控制器和处理器之间差异的详细网页。
为了了解 GDPR 是否适用于您的组织,您必须问自己以下问题:
您的数据处理活动是否受 GDPR 监管,例如,您或您 西班牙电台 的组织是否参与收集、分析、记录、访问、查看、合并、存储、删除或披露个人数据?
您的组织是否在英国 GDPR 管辖范围内运营(根据第 3 条定义为在英国“设立”的组织)?
什么是个人数据?
个人数据是与可识别的在世个人相关的数据:
直接或间接地通过引用标识符(例如,其姓名)。
通过识别号码。
按位置数据。
通过 IP 地址或 cookie 等在线标识符。
由特定于该人的身体、生理或遗传特征的一个或多个因素决定。
GDPR 还在第 9 条中规定了特殊类别的个人数据。除非适用第 9 条的豁免,否则禁
GDPR 原则是什么?
GDPR 第 5(1) 条列出了六项原则,规定必须处理个人数据:
合法、公正、透明。
仅用于特定、明确且合法的目的。
以充分、相关且限于必要的方式。
准确且必要时保持最新。
关于存储,数据不应该以可识别的方式保存超过必要的时间。
以保护其免遭非法或未经授权的处理、丢失、损坏或毁坏。
第 5(2) 条规定了问责制要求(有人认为这是第七条原则)。问责制原则规定,控制者(这一点也适用于处理者)不仅要负责遵守上述原则,还必须能够证明其合规性。问责制要求是 GDPR 的关键,应始终牢记在心。就像写小说一样,重要的是“展示而不是讲述”。
处理数据的合法理由是什么?
处理个人数据有六个合法理由:
数据主体已给予同意。
履行合同。
允许控制者遵守法律义务。
保护数据主体或其他人的切身利益。
公共利益或任务。
合法权益。
如果您无法将处理数据的原因归入这六个类别之一,则任何处理都将被视为非法。
除了满足第 6 条规定的合法标准外,第 9 条还规定了处理特殊类别数据的十个条件。您必须在开始处理之前确定适用哪些条件并记录您的发现。注意:根据 2018 年数据保护法附表 1,其中五个条件需要满足进一步的要求和保障措施。如果处理被视为高风险,您还需要完成数据保护影响评估。
数据主体的权利是什么?
GDPR 为数据主体提供了多项权利。其中包括:
第 13 条和第 14 条- 有权了解其数据被收集和处理的内容、方式、时间、地点和原因。
第 15 条——访问其数据的权利。
第 16 条- 有权更正与其有关的任何不准确的个人数据。
第十七条——被遗忘权。
第 18 条——限制处理的权利。
第 20 条- 数据可携性权利,即将个人数据从一个控制者转移到另一个控制者。
第 21 条- 反对处理其个人数据的权利。
第 22 条- 有权不做出任何仅基于自动决策和分析而做出的决定。
这些权利非常广泛,如果没有有效的流程和程序,管理起来可能既耗时又费钱。遵守 GDPR 的一大好处是,它降低了尊重数据主体权利的总体成本,同时提高了客户、员工和供应商的信任和忠诚度。
总之
如果不首先了解 GDPR 的基础知识,就不可能实施隐私框架和数据保护政策和程序。增加组织知识的一种方法是让相关人员通过BCS 数据保护从业者证书或IAPP CIPP/E 和 CIPM获得认证。
在我们的下一篇文章中,我们将研究组织结构和支持 GDPR 合规所需的预算等要素,包括任命数据保护官。