問題1:什麼是GDPR?
2016年4月14日,歐洲議會投票通過了商討四年的《一般數據保護法案》(General Data Protection Regulation (GDPR)),新法案由11章共99條組成,該法案將於2018年5月25日正式生效,將取代現有的《數據保護指示》(Data Protection Directive 95/46/EC),統一歐盟成員國關於數據保護的法律法規。
此外,GDPR新規是在28個歐盟成員國統一實施生效的,這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。
GDPR作爲一套用來保護歐盟公民個人隱私和數據的新法規,其頒佈意味着歐盟對個人信息的保護及監管達到了前所未有的高度,堪稱史上最嚴格的數據保護法案!!!
問題2:GDPR新規將影響哪些企業?
歐盟GDPR法案具有域外效應。也就是說,GDPR賦予了歐盟在個人信息安全方面的域外管轄權。
主要受影響的企業爲以下四類:
1、設立在歐盟境內的企業(控制者、處理者)
2、未在歐盟境內設立,但向歐盟境內的數據主體(自然人)提供產品和服務的企業(控制者、處理者)
3、未在歐盟境內設立,但涉及監控歐盟境內數據主體(自然人)行爲的企業(控制者、處理者)
4、未在歐盟境內設立,但在歐洲成員國法律適用的地方設立的企業(控制者、處理者)
總結來說,GDPR不僅適用於位於歐盟境內的企業組織機構,也適用於位於歐盟以外的企業組織機構,無論機構所在地位於哪裏,只要其向歐盟數據主體提供產品、服務或者監控相關行爲,或處理和持有居住在歐盟境內的數據主體的個人數據,都將受到GDPR法案的監管。
問題3:GDPR不適用哪些情況?
GDPR更多的是監管企業對數據的使用行爲。以下4個方面的數據使用情況不適用於GDPR:
1、爲了預防、調查、偵查或起訴刑事犯罪,主管當局爲執行刑事處罰目的而產生的數據處理行爲
2、基於國家安全目的而產生的數據處理行爲
3、自然人在純粹的個人或家庭活動中產生的數據處理行爲
4、歐盟法律規定範圍之外的活動過程中產生的數據處理行爲
問題4:GDPR中數據控制着和數據處理者的區別?
數據控制者:指單獨或者與他人共同確定個人數據處理的目、條件和手段的自然人、法公共機構政府部門或其他機構。 如針對用戶在企業電商平臺、網站的註冊信息,企業就是數據控制者。
數據處理者:指代表數據控制者處理個人據的自然人、 法公共機構政府部門或其他機構。 如企業針對企業客戶提供服務、提供產品所協助處理或者存儲的數據,是數據處理者。
問題5:GDPR中處理個人數據得基本原則是什麼?
1、合法、正當、透明
2、處理數據的目的是有限的
3、僅處理爲達到目的的最少數據
4、確保數據準確、及時更新
5、存儲數據的期限不得長於爲達到目的所需要的時間
6、採取技術和管理措施以保護數據的安全
7、數據控制者有責任並應能夠證明做到了以上幾點
問題6:GDPR中對合法處理數據的定義有哪些?
至少滿足一下中的某一項,處理數據纔是合法的
1、數據主體同意爲了特定目的處理其數據
2、處理數據是爲了簽訂或履行合同的需要
3、處理數據是爲了遵守法定義務的需要
4、處理數據是爲了保護數據主體或其他自然人的至關重要的利益
5、處理數據是爲了公共利益或行使政府授受的權力
6、處理數據是爲了追求數據控制者的合理利益,但不得損害數據主體的利益
問題7:GDPR中針對兒童數據的處理規定有哪些?
處理16歲以下兒童的個人數據,必須獲得該兒童父母或監護人的同意或授權。
各成員國可以對上述年齡進行調整,但是不得低於13歲
問題8:GDPR中關於數據主體被遺忘權的規定有哪些?
當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時,數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。
如果該數據被傳遞給了任何第三方(或第三方網站),數據控制者應通知該第三方刪除該數據。
問題9:GDPR中關於數據主體可攜帶權的規定有哪些?
數據主體可向數據控制者索要其數據,也可將其個人數據轉移至另一個數據控制者。
問題10:GDPR中關於個人數據泄露通知的規定有哪些?
數據控制者應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時,數據控制者必須毫不延誤的通知數據主體,以便數據主體及時採取措施
問題11:GDPR關於執法和處罰的規定
不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和鉅額的罰款。
GDPR的處罰並不是像網上傳的那樣直接就罰全球營收的4%。而是有兩個等級的徵收行政性罰款的規定:
對於一般性的違法,罰款上限是1000萬歐元,或者在承諾的情況下,最高爲上一個財政年度全球全年營業收入的2%(兩者中取數額大者);
對於嚴重的違法,罰款上限是2000萬歐元,或者在承諾的情況下,最高爲上一個財政年度全球全年營業收入的4%(兩者中取數額大者);
判罰的嚴重程度是基於以下因素:
1、違規的性質、嚴重程度和違規的持續時間
2、違規是故意的還是因疏忽造成的
3、對個人身份信息的責任心和控制程度
4、違規是單個事件還是重複事件
5、受到影響的個人資料的種類範圍
6、數據主體遭遇的損害程度
7、爲了減輕損害而採取的行動
8、由違規產生的財務預期或收益
GDPR核心旨在保護個人隱私數據,並通過法案約束來建立企業和公民之間的信任關係,違反GDPR的代價遠不止財務層面,還將給企業聲譽造成極大破壞,並且導致企業和消費者之間產生信任危機