一、什么是GDPR GDPR,英文全称:General Data ProtectionRegulation,中文翻译为:通用数据保护条例。是欧洲联盟的条例法规,其前身是欧盟在1995年的《计算机数据保护法》。内容就是针对近年来用户隐私被泄露造成的一系列问题,要求对欧盟所有成员国个人进行收集、存储、处理及转移等活动时,要按照要求,采取技术和管理手段对个人敏感隐私数据进行保护。二、适用范围 条例原文: (1)本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。 (2)本条例适用于如下相关活动中的个人数据处理,数据控制者或处理者不在欧盟设立:为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价; 对发生在欧洲范围内的数据主体的活动进行监控。条例本身比较不好理解,一下就两点: 1.欧盟成员国的相关企业和组织在对个人数据进行处理时要遵守该条例。2.不属于欧盟成员国的企业组织(比如咱们中国的企业)只要提供的商品或服务以及相关项目涉及到了处理欧盟成员国的公民个人数据就也必须遵守该条例三、违规处罚条例规定,对违反法规的企业、单位或组织的罚金高可达2000万欧元(约合1.5亿元人民币)或者其上一年全球总营业额4%的金额罚金,两者取其高。是的,你没听错,也没有看错,如果违反相关规定就是要罚这么多,这么重的处罚对一个公司或单位必将是重磅的一击,一般的公司或单位可能根本经受不了这么重的处罚,大公司的心肝也是颤抖的。在GDPR刚实施后不久,一些公司如Facebook(脸书)和Google(谷歌)等遭到了举报和投诉,成为GDPR法案的一批被告。一些公司甚至直接关闭了针对欧盟用户的业务。四、国内动作在有了Google这样的大公司被罚的先例后,国内企业也加了对GDPR学习和执行的步伐,紧锣密鼓地进行着,生怕也上了被罚的名单。国内近几年不断爆出用户个人隐私信息被泄露的消息,大量的个人流经黑市,也出现了一系列冒名替、电信诈骗等刑事案件。可以预判,国内网络监管机构很有可能效仿欧盟,照搬或者自己出台相关法规,加强对公民个人的保护。五、条例分析 那么,对于企业或者说企业的负责人,如何来实施相关措施来保证符合GDPR的相关规定呢?在这里,我分享下我个人的见解。 1.数据处理原则要求企业在进行数据收集、存储和处理时要提供收集的目的用途、存储的时间、收集的方式、收集的数据类型、存储和处理数据的技术保障措施、数据操作审批权限、用户同意、签订契约以及针对儿童的相关条件等等。企业在进行用户数据的相关活动中必须要了解上述内容要求,并作出相关承诺,在收集之前就要提供类似用户隐私声明一类的内容,明确自己的责任和义务。2. 禁止的特殊类型数据除GDPR法规9条、10条例外规定的情形,其他情况下应禁止处理这些特殊类型的数据,包括:种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、基因数据、为了特定识别自然人的生物性识别数据、和自然人健康、个人性生活或性取向相关的数据等以及涉及犯罪定罪与违法相关的个人数据。企业在进行用户数据处理时一定要明确这些禁止的特殊类型数据,除非符合法规规定的例外情形,否则千万不要试图去收集和处理这些数据,以免受到影响。3. 数据主体访问权数据主体应该具有或者说企业应该提供给数据主体访问个人的处理目的、数据类型、数据接收者和接收者的类型、存储的期限和依据标准、数据来源信息、数据转移保障措施等。不管是系统提供的隐私说明或是签订的合同必须能让数据主体或用户能够随时访问到这些信息,只有这样才能保障数据主体的访问权。 4.数据主体证权 数据主体要能够或者说企业应该提供给数据主体对其个人数据正和完善的权利。当个人被收集、存储和处理时,要提供相关接口和入口让数据主体或用户随时能够对自己的个人数据进行修改,比如常见的用户个人中心,可以对个人的资料进行修改新。5. 数据主体擦除权(被遗忘权) 除条例17条21(3)规定的情形,企业要提供给数据主体或用户擦除其个人数据的权利。大部分企业提供的应用或服务不会让数据主体或用户直接删除个人数据的,基于此,可以提供接收数据主体擦除请求的通道,帮助用户擦除一些不再必要的数据。6. 数据主体限制处理权 当数据主体对个人数据的准确性有争议、认为处理是非法的、为了提起法律辩护等情形时,企业要提供给用户限制处理权。当发生这些情况时,用户如果提出要求不让企业继续处理其个人数据时,企业必须接收,停止对其个人数据的处理,可以采取冻结账号及切断和其关联的所有活动。7. 数据携带权 数据主体要能够或者企业应该提供将已经经过整理、普遍使用和机器可读的数据无障碍地从一个数据控制者到另一个控制者。就是说企业收集、处理的用户数据要进行格式化整理,并且能够支持格式化导出且机器可读。 8. 数据主体反对权当企业为了一些直接营销的目的,而未经数据主体或用户同意的情况下直接使用与其相关的用户画像时,数据主体或用户有权反对。无论采取管理手段或技术手段,在使用用户画像进行营销之前都必须征得用户同意,以免造成不必要的影响。 9. 合规认证企业要进行相关的隐私认证,积参与GDPR合规认证,选择有资质的、规范的认证机构,而不是简简单单随便找个“所谓的隐私认证机构”或自认证,通过之后将资质放到上面,一定得是GDPR的认证且是认证机构。10. 签署协议无论数据控制者或者数据处理者,在对个人数据进行处理时,必须签订保密协议。以及在涉及对用户数据进行共享、传输和处理时与三方或其他合作方进行合作时,必须签订相关的协议,明确责任,确保个人数据的保护得到应有的保证。11. 数据处理 企业在对数据进行收集、处理等活动时应该采取如下措施保证个人数据。 数据脱敏技术:要对个人数据进行匿名化。数据加密技术:要对个人数据在存储和传输过程中进行加密。 数据完整性技术:要对个人数据在存储和传输过程中的完整性进行校验,避免被篡改。数据访问控制技术:要对个人数据设置合理的访问控制策略,避免未授权访问和不正当的访问。 数据备份技术:要对个人数据进行备份,保证可用性。数据恢复和响应技术:要对个人数据及时进行恢复和响应测试,确保恢复和响应的可行性。 12. 设立数据保护官企业需要雇佣设立专门的数据隐私保护官员来监督GDPR的执行,以及对涉及的个人数据进行相关的防护。以上,就是我结合GDPR相关条例和我工作当中实施执行的相关分享和心得当然还有很多小的细节没有一一列出来,大家可以以这个为参考继续去详细了解法规内容。以上纯粹个人理解,如有不当之处,请留言或私信我,一起交流,一起提高。标题:CDPR通用数据保护条例管理体系认证是什么 内容: 于 2018 年 5 月 25日生效的新《隐私和数据保护法》以及《通用数据保护条例(GDPR)》合规的若干项佳实践概述 GDPR是数十年来数据隐私法规方面重要的一次变化。各公司都在致力于将重大变化贯彻到公司制度和合同中,在注重合规和隐私意识的平台上运营的公司占得先机。本指南旨在帮助用户了解GDPR 广泛的影响,以及为改进数据处理活动以及如何做到并保持 GDPR 合规所提供的机会。在欧盟数据保护法中,有两种类型的实体可以处理个人数据——数据控制者和数据处理者。数据控制者(“控制者”)是单的实体或与他人联合在一起的实体,负责决定处理个人数据的_目的和方法_。数据处理者(“处理者”)是代表控制者_处理_个人数据的实体。明确为各项数据处理活动处理个人数据的实体是控制者还是处理者很重要。此映射练习可使公司了解其各项数据处理操作相关的权利和义务。Stripe 的某些数据处理活动属于数据控制者,其他属于数据处理者。当 Stripe处理交易时,就是这一双重角色的很好例证。促进交易需要处理个人数据,例如持卡人的姓名、卡号、到期日以及卡码 (CVC)。持卡人的数据由Stripe 用户通过 Stripe API(或者通过一些其他集成方法,例如 Stripe Elements)发送至Stripe。Stripe 使用数据在组织系统内完成交易,在此,Stripe 起到的是数据处理者的作用。Stripe也使用数据来遵从其法定义务(例如“客户身份验证程序 (KYC)”和“反 (AML)”),在此,Stripe 充当的是数据控制者的角色。什么是 GDPR?《通用数据保护条例(“GDPR”)》是一部新的欧盟隐私和数据保护法规。它要求公司体制中隐私保护措施加细化,数据保护协议加细致,公司隐私和数据保护实践相关披露对用户加友好且加详尽。GDPR 取代了自 1995年生效的欧盟现行数据保护法律框架(通常称为《数据保护指令》)。《数据保护指令》需要转换成欧盟成员国国家法律,致使欧盟数据保护法律在地域上呈碎片化状态。GDPR是一项欧盟法规,对所有欧盟成员国具有直接法律影响,即:无需转换成欧盟成员国国家法律即具有约束力。这会加强欧盟法律的一致性和协调实施。GDPR 可适用于欧盟范围之外的公司 不同于《数据保护指令》,GDPR 与全球性运营公司相关,不仅仅针对欧盟范围之内的公司。根据GDPR 的规定,如果公司符合下述条件,则在适用范围内:(i) 公司成立地点在欧盟范围内,或者 (ii)公司成立地点不在欧盟范围内,数据处理活动与欧盟个人相关、与向其提供商品和服务相关或者与对其行为监控相关。广东昊霖企业管理有限公司主营认证项目范围有: 1、ISO9001、ISO14001、ISO180012、售后服务认证、批发及零售服务认证 3、企业诚信管理体系认证 4、合规管理体系认证 5、SA8000社会责任管理体系认证6、AAA诚信企业证书