1.什么是GDPR?
GDPR,即 General Data Protection Regulation 通用数据保护条例。是欧盟保护个人数据的法律。该条例旨在加强对欧盟境内居民的个人数据和隐私保护并直接适用于欧盟各成员国,其取代了1995年颁布的《数据保护指令》。
2.适用范围
2.1 属地原则
只要在欧盟成员国境内设立的公司,必须保护欧盟成员国居民的个人隐私信息。
2.2 属人原则
即使公司不在欧盟成员国内设立,但是有涉及接触欧盟成员国居民的个人隐私信息,也必须遵守GDPR。
3.GDPR中的三个关键角色
3.1 数据主体
Data Subjecty拥有个人信息的自然人,在GDPR的规定下,享有其个人数据被保护的权利,可对自己的个人数据进行访问、更正、删除、拒绝、限制要求。
3.2 数据控制者
Data Controller有权决定收集、使用 、处理个人信息的目的和方法的自然人、组织和政府机构等。“控制者”承担着保护个人信息,遵守GDPR下各项义务的最主要责任。
3.3 数据处理者
Data Processor按照控制者的指示,代表数据控制者处理个人信息,处理者也需要承担GDPR下的责任,直接遵守GDPR的规定。
注意:GDPR只使用于个人信息的保护,此处的欧盟境内是指欧盟28成员国+挪威+冰岛+列支敦士登。
4.如何遵守GDPR?
4.1 七个基本原则
① 合法、公平、透明原则
② 目的限定原则
出于特定、明确、合法的目的收集个人数据,进一步处理不得有悖于前述目的,除非符合公共利益、科学研究等正当目的。
③ 数据最小化原则
所收集、处理的个人数据之于其处理目的,应当准确、相关、必要。
④ 准确原则
确保个人数据是准确的,并在必要的情况下及时更新。
⑤ 有限留存原则
除非符合公共利益、科学研究等正当目的,否则对个人数据的留存期限不能超过其处理目的。
⑥ 完整、机密原则
用技术手段确保个人数据的安全,不被非法处理、窃取、损毁等。
⑦ 责任原则
数据控制者应当对上述原则的落实情况承担责任并予以证明。
5.实现数据主体的权利
5.1 访问权
5.2 更证权
5.3 拒绝权
5.4 限制权
5.5 数据可携带权
5.6 被遗忘权(清楚权)
