什么是GDPR
一般数据保护条例(General Data Protection Regulation,简称GDPR)为欧洲联盟于2018年5月25日出台的条例,前身是欧盟在1995年制定的《计算机数据保护法》。是欧盟公民数据处理制定了一套统一的法律和更严格的规定,也规定了对违规行为的严厉处罚。这些罚款是以行政罚款的形式出现的,可以对任何类型的违反GDPR行为进行处罚,包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%。
GDPR的设立缘由
(1)为欧盟公民提供更多使用自己的个人资料的权力
(2)加强数字服务提供者与他们所服务的人之间的信任
(3)为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。
企业应对GDPR的准备
(1)组织的业务是否符合GDPR规定?
GDPR与其前身数据保护指令(指令95/46/EC)相比,适用于更大范围的组织。事实上,不受欧洲隐私法律约束的许多企业实际上需要遵守GDPR。以下是如何确定是否必须遵守:
GDPR用于在欧盟存在的所有组织,在执行业务活动期间处理个人数据,即使是规模最小的公司也是如此。
如果在欧盟没有实体存在的公司希望为欧盟居民提供商品和服务,那么适用于GDPR。 这包括使用欧盟语言或货币,为欧盟居民量身定制产品,或在欧盟范围内积极营销。 “监控”定义为在线跟踪人员创建个人资料,或分析和预测个人偏好,行为模式或态度。
(2)组织是否需要数据保护官(DPO)?
与合规官或法律顾问不同,组织的数据保护官(DPO)需要向执行委员会报告,并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定,拥有少于250名员工的组织可能也需要指定DPO。
(3)是否有程序响应删除/修改/提供数据副本的请求?
除了数据保护指令规定的权利,例如访问数据副本,修改权和限制处理权。GDPR还包括在线信息删除和数据可移植性的权利(允许人们将其数据传输到另一个服务提供商)。这意味着组织必须制定完整的程序来回应这些类型的请求。
(4)组织是否有符合GDPR要求的事件响应计划?
GDPR包括数据泄露通知要求。如果有危害人身的风险,数据违规将会受到监督机构的通知,限72小时内改正。受影响的数据科目也必须在没有“不当延误”的情况下通知。
(5)组织的数据传输机制是什么?
如果组织还没有决定如何从欧盟转移个人信息,那么现在是检查转移机制的好时机,因为它们将受到行政处罚。如果组织将数据从欧盟转移到美国,组织的选择是:
隐私保护认证
执行示范条款
组织内部数据传输的约束性规则
在所有这些要求中,共同的线索似乎是为数据保护和治理分配更多的资源,并采取更主动的隐私和安全方法。企业必须制定出应对新监管条例的程序,并对员工进行培训,因为任何不合规行为都可能导致严厉的制裁。此外,企业更应该虚心去学习了解GDPR的细则和应用规则。
加强IT建设,谨慎处理好企业平台上现有的用户大数据。为了遵守GDPR要求,公司必须弄清楚他们收集和存储欧盟公民个人身份信息的所有方式。这需要组织内所有部门人员之间的紧密合作,从IT到销售,营销到财务。
GDPR对中国的影响
数据保护担忧会否成为中国出海企业进入欧盟市场的一个壁垒?
GDPR的条例不仅适用于中国的出海企业,也适用于所有想在欧盟做生意的企业。对中国出海企业而言:现在就应该为GDPR做准备了。中国企业首当其冲的是银行、电子商务、互联网、IT企业和软硬件生产商。
加强合规认识。合规管理被认为是企业管理三大支柱之一,是内控的一个重要方面,也是风险管理的一个关键环节。合规管理旨在告诉企业在具体的操作过程当中应当怎么做,具体到怎么合理的做,合规的做,合法的做。对于中国出海企业而言,合规管理更显的尤为重要,因为现在开始,必须符合GDPR。