内容
资料来源:Stanislau V / Dreamstime.com
带走:
仅仅因为您的公司不设在欧盟并不意味着GDPR不适用于您。任何处理欧盟公民数据的实体均受本法规约束。
许多人听到过有关首字母缩写“ GDPR”的小消息,但不了解该法规,或者因为它是欧盟法律而认为不适用于他们的组织。出乎意料的是,即使在欧盟没有地点或从属关系,在美国的公司也可能因违规而受到巨额罚款。
除了损害声誉的风险外,不遵守GDPR可能会带来重大的财务后果。数据保护监管机构可能会处以最高2000万欧元的行政罚款,或占全球总营业额的4%。这应该引起关注,并使GDPR遵守对于组织领导至关重要。 (不遵守GDPR也会使您成为网络犯罪的目标。有关网络犯罪分子如何利用GDPR勒索公司的信息,请了解更多信息。)
它在哪里适用,影响如何?
欧盟于2018年5月25日颁布的《通用数据保护条例》(GDPR)旨在确保组织充分保护个人在处理个人数据方面的隐私权。这是20年来欧盟数据隐私领域最重大的变化。
GDPR适用于在欧盟设有机构的所有组织,但这也标志着欧盟数据保护制度的领土范围的显着扩展。如果公司满足以下一个或多个条件,就会触发这种域外影响:
- 向欧盟公民提供商品和服务
- 监控欧盟公民的行为(例如,通过使用网站上的cookie)
- 个人数据是在欧盟的一家机构(例如关联企业)中处理的
公司如何证明其符合GDPR?
GDPR规定了七项主要原则,所有组织在处理个人数据时都必须遵守这些原则:
问责制是GDPR下最重要的新要求之一。问责制意味着组织必须证明其可以遵守GDPR。公司必须能够证明其合规性以满足问责制要求,其中包括:
- 必要时任命一名数据保护官或当地代表
- 完成并维护数据处理活动的记录
- 评估适当级别的数据安全并实施适当的技术和组织安全措施
- 通过设计和默认实施数据保护并记录所采取的措施;必要时进行数据保护影响评估
这是关于保护个人的数据隐私权!
GDPR将“数据主体”定义为“可识别的或可识别的自然人”。换句话说,欧盟公民可能是雇员,客户,供应商或公司从中或从中收集有关业务和/或运营信息的其他人。 GDPR还规定了其数据主体的某些权利:
组织应制定相应程序以回应有关上述权利的数据主体请求(DSR)。法律依据,处理数据或其他因素将决定您的组织如何响应DSR,因此,必须咨询具有GDPR专门知识的法律专业人员。 (保护客户数据在GDPR中至关重要。要了解更多信息,请参阅“客户数据真的安全吗?如何对其进行公开。”)