0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

满足GDPR的要求,企业到底需要重点了解哪些信息?

pIuy_EAQapp 来源:未知 作者:李倩 2018-05-30 11:34 次阅读

5月29日讯 欧盟《通用数据保护条列》(简称 GDPR)于2018年5月25日正式生效。英国一份政府调研显示,只有38%的英国公司在 GDPR 生效前100天才开始关注该条例,许多美国公司也一样。

按照 GDPR 的规定,企业违规可能会面临高达2000万欧元(约合人民币1.28亿元)或企业全球年收入的4%的罚款(取两者中最高的)。除了高额罚款,欧盟数据保护机构(DPA)可在必要时采取纠正处罚,例如禁止处理数据,并对常见的数据处理活动实施临时/确定性限制。因此,想要在欧洲市场立足的企业除了努力满足合规外别无他法。

满足 GDPR 的要求,企业到底需要重点了解哪些信息

不少组织发现保障合规性远比预期的要复杂。市场调查公司 Propeller Insights 的一项调查显示,52%的受访企业认为将面临违规罚款。不过,只要小型企业在实施 GDPR 最佳实践方面做出显而易见实际努力,监管机构就可能会"宽大处理"。不过,尽管如此,仍免不了高额罚款。因此,满足 GDPR 的合规性可谓任重道远。

一、数据控制者&数字处理者

按照 GDPR 第4条的第(7)点和第(8)点,数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织,负责决定处理个人数据的目的和方式,不过具体标准应以欧盟或其成员国的法律予以规定;数字处理者指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但是,有时难以确定某个实体到底属于数据控制者还是处理者。

谷歌的复杂身份特例:

当涉及包括 AdMob、 AdSense、AdWords、AdX 和 DFP 在内的热门广告产品时,谷歌就是一个数据控制者;

当涉及使用 Google Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消费者时,谷歌则是数据处理者;

对于使用谷歌广告产品的广告发布商而言,谷歌仍是其收集数据的共同控制者,但是这些发布商收集数据必须征得用户同意。

二、个人数据及数据保护原则

根据 GDPR 的定义,是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。GDPR 拓宽了个人数据的范围。按照 GDPR 界定的范围,个人数据也包括数字指纹(例如 IP 地址和 Cookie)。除此之外,基因或生物识别数据也包含在“敏感数据”的范畴之内。

GDPR 明确提到个人敏感数据应受到高度保护,这些数据包含:个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息。而医疗机构通常须满足更高标准的数据保护要求。

按照 GDPR 第5条(Art. 5)的规定,个人数据必须:

(a)以合法、公正、透明的方式处理与数据主体有关的(“合法性、公平性和透明性”);

(b) 为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理;为公共利益、科学,或历史研究目的,或统计目的而进一步处理,按照第89条第(1)款,不应被视为不符合初始目的(“目的限制”);

(c)充分、相关以及以该个人数据处理目的之必要为限度进行处理(“数据最小化”);

(d)准确,必要,及时;为了个人数据被毫不延迟地处理、删除或修正的目的,必须采取一切合理的步骤确保个人数据是不精确的(“精度”);

(e)在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;为了保护数据主体的权利和自由,依据第89条(1)予以实施本法所要求的适度的技术和组织措施,只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理,个人数据能被长时间存储(“存储限制”);

(f)以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”)。

三、何时处理个人数据合法?

按照 GDPR 第6条的规定,处理个人数据须遵守以下六项法律依据:

1、数据主体同意他或她的个人数据为一个或多个特定目而处理;

2、处理是为履行数据主体参与的合同之必要,亦或处理是因数据主体在签订合同前的请求而采取的措施;

3、处理是为履行控制者所服从的法律义务之必要;

4、处理是为了保护数据主体或另一个自然人的切身利益之必要;

5、处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;

6、处理是控制者或者第三方为了追求合法利益的之必要,但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外,尤其是数据主体为儿童的情形下。(注:此项不适用于政府当局在履行其职责时进行的处理)

事先取得同意是企业合法处理欧盟公民个人数据的最重要前提条件。例如,当面临 GDPR 的合规性时,Facebook 应设法取得同意,而非遵守数据最小化原则。

取得同意必须是可证实的,须与其它事项明确区分开来,且可撤回。值得注意的是,处理敏感数据须取得明确的同意。模糊或“一揽子同意”均被视为无效。企业须向数据主体呈现通俗易懂的语言表述,供其选择是否同意对方处理个人数据。鉴于此,至少从理论上讲,模糊不清、满篇术语及长期性同意的请求将不复存在。

此外,沉默、预先勾选或不积极,均不构成有效的同意。当用户需要勾选或通过电话同意时,这就属于明确的选择。

16周岁以下的未成年人不具有合法的同意权,但欧盟成员国可以将此年龄限制放宽到13周岁。

四、用户控制权和用户权利

GDPR 的其中一个目标是让消费者掌控自己的数据,这项目标仍是一项重大挑战。数据控制者须向数据主体通知其具有的如下权利:

主体访问权

数据主体有权要求数据收集者或企业提供相关信息,包括使用的方法、数据内容以及谁有权访问数据等信息。除非该请求存在特别的困难之处,否则数据收集者或企业需在30天内提供相关信息,可能包括绩效评估、奖惩记录、电脑访问日志、求职面试、通话记录和录像片段。但是,所提供的信息不得包含任何其它员工的个人信息。

注意:这条规则涉及的数据不包括医疗记录、与刑事司法和税收相关的个人数据、与律师之间的保密通信、暴露当前管理问题的文件以及商业机密。此外,该项程序免费开展,但数据控制者仍有权收取费用或拒绝执行过多及毫无根据的请求。

反对权

数据主体有权基于与其特定情况有关的理由,在任何时候依据第6条第1款(e)项或(f)项拒绝有关其的个人数据被处理,包括根据这些规定进行概况分析。控制者不得再处理该个人数据,除非控制者证明其有关(数据)处理的强制性法律依据优先于数据主体的利益、权利和自由,或者为了设立、行使或捍卫其合法权利。除此之外,数据主体还可反对仅基于自动决策而制定的具有重大影响的决策。

Crowd Research 的一份调查报告显示,三分之一的组织机构报告称,他们无法向用户解释其算法如何在自动处理的背景下做出决策。

纠正/删除的权利

在用户数据不完全或不正确的情况下,数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式。

限制权

如果处理程序与GDPR要求的数据保护措施不符,数据主体可要求限制处理他们的个人数据。

擦除权(又称被遗忘权)

这是 GDPR 的一条标志性规定。在用户数据不完全或不正确的情况下,数据主体有权要求控制者无不当延误地删除有关其的个人数据。如收集个人数据的目的变得毫无必要或同意被撤回,数据主体可要求删除数据。

据 Solix 公司的一项调查显示,约三分之二的受访者承认其不知道如何实施“被遗忘权”,其原因在于他们不确定是否可以永久清除用户的个人数据。

转移数据的权利

数据主体可向数据控制者提交请求,要求对方以机器可读的形式整理他们的个人数据,以便将这些数据转移给其它控制者。如果用户希望更换数据控制者,他们可通过数据可读的形式简单重用这些数据,例如,用户希望转移数据更换电信服务。

GDPR 合规建议

(一)、全面了解数据

要确保企业在满足 GDPR 合规方面不出现问题,企业最好组建一个由律师、IT 技术人员和数据安全专家组成的团队。这支团队需弄清楚:

正在处理什么数据?

数据存储在哪里?

处理过程如何?

对数据进行全面分析,包括数据所属类别、处理数据的法律依据、处理数据的方法、访问数据的实体以及安全措施。

组织机构的所有计划和政策,例如,数据保护计划、自带设备(BOYD)政策、事件响应计划和业务连续性计划,且必须符合 GDPR 的要求。例如,大多数员工获许在工作用设备上安装个人应用程序。如果此类应用程序会访问并存储个人数据,且企业未部署任何措施来满足 GDPR 合规,结果可能会事与愿违。因此,企业有必要优化 BOYD 政策。

对供应商进行调查,以了解对方的安全政策和重要措施以及供应商访问哪些用户的数据。部分供应商可能会获取非必需数据(例如 IP 详细信息),这能帮助它全面了解其用户的浏览习惯。然而,修改合同以及维系与供应商的关系是一个相当耗时的过程。

企业必须描述用户数据相关的流程,例如内容管理、用户注册、商业智能和分析流程。此外,企业还须报告 GDPR 合规进度。根据GDPR 第30条的规定,企业必须记录处理活动(RoPA),以便进行示范。从本质上讲,这就相当于要求清点存在风险的应用程序。

(二)、风险评估

企业不仅要了解存储的数据,还要了解其中的风险,尤其应了解可能收集和存储个人数据的“影子 IT”。为有效满足合规,风险评估还应提出旨在缓解现有风险的技术。

Snow Software 公司高级副总裁麦特·费舍尔(Matt Fisher)在提供风险评估相关建议时表示,组织机构首先必须要全面了解整个 IT 基础设施,并清点所有的应用程序。然后再结合对可处理个人数据应用程序的见解,进而降低项目范围及花费在这上面的时间。

从逻辑上讲,企业应在风险识别之后启动风险缓解程序,数据处理活动必须符合 GDPR 的数据保护原则。

(三)、尊重用户权利,并赋予用户控制权

企业应有效处理客户的投诉和疑问,尤其是那些与条例中规定的数据主体权利相关的投诉和疑问。

按照 GDPR 的规定,数据控制者必须向用户提供取消所有通信的选项,为用户提供控制权和退出通信的选项,如在“订阅”旁边提供“取消订阅”的选择框。

(四)、保持透明度

监管机构高度重视透明性,例如,在条款、条件和隐私政策中提供引入注目的链接。

(五)、采用默认提供数据保护的组织和技术措施

某些安全措施和技术必须部署在产品/服务的最初开发阶段。加密和假名化(pseudonymization)技术是此类措施的常见技术。此外,这些安全措施和技术还允许开发人员在实践中应用核心数据保护原则,比如数据最小化原则。

(六)、尽快解决数据泄露问题

GDPR 规定,数据处理者对数据泄露或不合规行为负有责任。在发生危及欧盟公民个人信息的安全事件后72小时之内,企业须上报欧盟数据保护机构。按照GDPR第33(2)条的规定,意识到个人数据泄露后,数据处理器者当立即通知数据控制者。

事实表明,大多数数据泄露事件是第三方发现的,例如客户或执法机构。事件响应计划和业务连续性计划可帮助企业遵守 GDPR 有关数据泄露的义务。

(七)、任命数据保护官(DPO)

小企业通常缺乏资源或专业知识来满足该条例。缺乏具有 GDPR 合规经验的工作人员以及预算不足是部分原因所在。此外,员工往往会低估满足 GDPR 合规所需的努力和时间。IT 和信息安全团队通常有责任使其组织满足 GDPR 的合规要求,但 GDPR 条例并未限制 DPO 只为某个特定组织工作。DPO 可为多个组织机构提供相关服务。

DPO 的主要职责是负责对数据保护工作进行定期及系统性监测,同时负责内部教育、培训以及合规性审计事务。此人还将负责企业与 GDPR 监管当局之间的沟通以及与数据主体间的交互。此要求适用于一切拥有高度敏感数据,或处理及/或存储大量欧盟个人数据的组织,无论这些主体是否属于组织外的员工或个人。

处理或存储大量个人数据、定期监控公民或公共部门的企业须指定一名 DPO,指导并监督整个安全策略和 GDPR 合规性。

据Ovum 一份报告反映,85%的美国企业担心 GDPR 会让它们在欧洲同行中处于竞争劣势。许多消费者表示,他们将不会容忍个人数据被粗心处理的行为。RSA 数据隐私与安全报告显示,62%的消费者会责怪存储数据的企业,而不是网络犯罪分子,其原因在于数据主体不清楚企业如何处理自己的数据。随着消费者日益了解情况,他们希望数据管理者更加透明并提高响应能力。

事实表明,大多数数据泄露事件是第三方发现的,例如客户或执法机构。事件响应计划和业务连续性计划可帮助企业遵守 GDPR 有关数据泄露的义务。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 谷歌
    +关注

    关注

    27

    文章

    6128

    浏览量

    105002
  • 数据
    +关注

    关注

    8

    文章

    6848

    浏览量

    88758
  • 生物识别
    +关注

    关注

    3

    文章

    1210

    浏览量

    52500

原文标题:欧盟《通用数据保护条例》合规指南

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    企业AI开发环境要求

    构建一个满足企业AI开发需求的环境是一个复杂且持续的过程,涉及硬件、软件、安全、团队协作及自动化流程等多个方面。以下是对企业AI开发环境要求的介绍,由AI部落小编为您整理。
    的头像 发表于 11-15 09:41 44次阅读

    晶闸管的触发脉冲要满足哪些要求

    ,以下是触发脉冲需要满足的一些要求: 脉冲幅度 :触发脉冲的幅度需要足够大,以确保晶闸管内部的PN结能够被充分激活。通常,触发脉冲的幅度需要
    的头像 发表于 10-08 10:06 549次阅读

    使用LMH6657做微弱信号的放大,带宽是否满足要求

    使用LMH6657做微弱信号的放大需要放大100倍信号带宽在1M在datasheet中看到增益10时3dB带宽在10M多的样子若直接放大100 倍带宽是否满足要求?若直接按照270M/100=2.7M 是满足1M带宽的
    发表于 09-24 06:57

    旨在满足复杂物联网要求的无线MCU

    电子发烧友网站提供《旨在满足复杂物联网要求的无线MCU.pdf》资料免费下载
    发表于 08-28 09:26 0次下载
    旨在<b class='flag-5'>满足</b>复杂物联网<b class='flag-5'>要求</b>的无线MCU

    电路中贴片电容需满足哪些要求

    [贴片电容]电路中贴片电容需满足哪些要求?贴片电容必要满足两个要求,一个是容量需求,另一个是ESR需求。也就是说一个0.1uF的电容退耦成果大约不如两个0.01uF电容成果好。 而且,
    的头像 发表于 07-10 13:58 249次阅读
    电路中贴片电容需<b class='flag-5'>满足</b>哪些<b class='flag-5'>要求</b>?

    满足GMSL静电防护要求的方案

    满足GMSL静电防护要求的方案
    的头像 发表于 07-09 08:02 323次阅读
    <b class='flag-5'>满足</b>GMSL静电防护<b class='flag-5'>要求</b>的方案

    拓维信息获评2024年度湖南省重点软件企业

    近日,湖南省工业和信息化厅正式公布2024年度湖南省重点软件企业名单,涉及基础软件、工业软件、新兴技术软件、重点行业应用软件、信息安全软件、
    的头像 发表于 05-14 08:14 479次阅读
    拓维<b class='flag-5'>信息</b>获评2024年度湖南省<b class='flag-5'>重点</b>软件<b class='flag-5'>企业</b>

    燧原科技获评2024年上海市重点服务独角兽企业

    为进一步落实重点企业“服务包”制度,加强对独角兽(潜力)企业精准服务,促进企业高质量发展,4月23日,在上海市经济信息化委和闵行区政府指导下,上海市中小
    的头像 发表于 04-30 16:37 919次阅读
    燧原科技获评2024年上海市<b class='flag-5'>重点</b>服务独角兽<b class='flag-5'>企业</b>

    北美FCC认证代办理的优势有哪些?需要满足哪些要求

    无线设备如果需要在北美地区进行销售和使用,就必须通过合规的认证体系。北美FCC认证是指符合美国联邦通信委员会(FederalCommunicationsCommission,简称FCC)制定的技术
    的头像 发表于 02-04 17:21 270次阅读
    北美FCC认证代办理的优势有哪些?<b class='flag-5'>需要</b><b class='flag-5'>满足</b>哪些<b class='flag-5'>要求</b>?

    ICBE杭州站:出海企业到底需要一个什么样的数据智能工具?

    到底有什么关联?带着解决方案,虹科去到了2023ICBE跨境交易博览会的现场......一、为什么出海企业需要一个一站式的商业智能平台?一位出海业务从业者需要考虑
    的头像 发表于 01-04 08:04 421次阅读
    ICBE杭州站:出海<b class='flag-5'>企业</b><b class='flag-5'>到底</b><b class='flag-5'>需要</b>一个什么样的数据智能工具?

    深度揭秘信号孔旁边到底需要几个地过孔

    深度揭秘信号孔旁边到底需要几个地过孔
    的头像 发表于 12-15 09:37 569次阅读
    深度揭秘信号孔旁边<b class='flag-5'>到底</b><b class='flag-5'>需要</b>几个地过孔

    满足特殊要求的定制化载带设计

    涌现出的新型半导体材料,对载带的设计和工艺制造也提出了更高的要求。普通的矩形口袋的设计已经无法满足现有的芯片承载和保护需求,我们需要设计并开发出更多满足客户需求的特殊口袋。现在我们就以
    的头像 发表于 12-12 17:09 473次阅读
    <b class='flag-5'>满足</b>特殊<b class='flag-5'>要求</b>的定制化载带设计

    “口碑声誉”首次纳入关注重点,11月半导体上市辅导企业降至4家

    的战略研究布局进行说明。   11月,证监会再宣布修订两项IPO规定,即《首次公开发行股票并上市辅导监管规定》和《首发企业现场检查规定》,首次将“口碑声誉”纳入关注重点,严管IPO“带病闯关”。严格要求辅导机构充分
    的头像 发表于 12-08 09:07 2811次阅读
    “口碑声誉”首次纳入关注<b class='flag-5'>重点</b>,11月半导体上市辅导<b class='flag-5'>企业</b>降至4家

    IBM李红焰:引领企业人工智能革命的四项基本原则

    生成式 AI 逐步融入普通消费者的生活和企业的运作,普通消费者作为 AI 使用者,也许可以不在意自己所用的 AI 技术的底层运行机制,而企业却不行,因为作为 AI 使用者的企业需要保护
    的头像 发表于 12-07 10:03 801次阅读

    经常使用的负载开关,您到底了解多少?

    经常使用的负载开关,您到底了解多少?
    的头像 发表于 12-05 17:45 714次阅读
    经常使用的负载开关,您<b class='flag-5'>到底</b><b class='flag-5'>了解</b>多少?