什么是GDPR

一般数据保护条例（General Data Protection Regulation，简称GDPR）为欧洲联盟于2018年5月25日出台的条例，前身是欧盟在1995年制定的《计算机数据保护法》。是欧盟公民数据处理制定了一套统一的法律和更严格的规定，也规定了对违规行为的严厉处罚。这些罚款是以行政罚款的形式出现的，可以对任何类型的违反GDPR行为进行处罚，包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元，或企业全球年营业额的2%到4%。

GDPR的设立缘由

(1)为欧盟公民提供更多使用自己的个人资料的权力

(2)加强数字服务提供者与他们所服务的人之间的信任

(3)为企业提供明确的法律框架，通过在欧盟单一市场上制定统一的法律来消除任何区域差异。

企业应对GDPR的准备

(1)组织的业务是否符合GDPR规定?

GDPR与其前身数据保护指令(指令95/46/EC)相比，适用于更大范围的组织。事实上，不受欧洲隐私法律约束的许多企业实际上需要遵守GDPR。以下是如何确定是否必须遵守：

GDPR用于在欧盟存在的所有组织，在执行业务活动期间处理个人数据，即使是规模最小的公司也是如此。

如果在欧盟没有实体存在的公司希望为欧盟居民提供商品和服务，那么适用于GDPR。 这包括使用欧盟语言或货币，为欧盟居民量身定制产品，或在欧盟范围内积极营销。 “监控”定义为在线跟踪人员创建个人资料，或分析和预测个人偏好，行为模式或态度。

(2)组织是否需要数据保护官(DPO)?

与合规官或法律顾问不同，组织的数据保护官(DPO)需要向执行委员会报告，并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定，拥有少于250名员工的组织可能也需要指定DPO。

(3)是否有程序响应删除/修改/提供数据副本的请求?

除了数据保护指令规定的权利，例如访问数据副本，修改权和限制处理权。GDPR还包括在线信息删除和数据可移植性的权利(允许人们将其数据传输到另一个服务提供商)。这意味着组织必须制定完整的程序来回应这些类型的请求。

(4)组织是否有符合GDPR要求的事件响应计划?

GDPR包括数据泄露通知要求。如果有危害人身的风险，数据违规将会受到监督机构的通知，限72小时内改正。受影响的数据科目也必须在没有“不当延误”的情况下通知。

(5)组织的数据传输机制是什么?

如果组织还没有决定如何从欧盟转移个人信息，那么现在是检查转移机制的好时机，因为它们将受到行政处罚。如果组织将数据从欧盟转移到美国，组织的选择是：

隐私保护认证

执行示范条款

组织内部数据传输的约束性规则

在所有这些要求中，共同的线索似乎是为数据保护和治理分配更多的资源，并采取更主动的隐私和安全方法。企业必须制定出应对新监管条例的程序，并对员工进行培训，因为任何不合规行为都可能导致严厉的制裁。此外，企业更应该虚心去学习了解GDPR的细则和应用规则。

加强IT建设，谨慎处理好企业平台上现有的用户大数据。为了遵守GDPR要求，公司必须弄清楚他们收集和存储欧盟公民个人身份信息的所有方式。这需要组织内所有部门人员之间的紧密合作，从IT到销售，营销到财务。

GDPR对中国的影响

数据保护担忧会否成为中国出海企业进入欧盟市场的一个壁垒？

GDPR的条例不仅适用于中国的出海企业，也适用于所有想在欧盟做生意的企业。对中国出海企业而言：现在就应该为GDPR做准备了。中国企业首当其冲的是银行、电子商务、互联网、IT企业和软硬件生产商。

加强合规认识。合规管理被认为是企业管理三大支柱之一，是内控的一个重要方面，也是风险管理的一个关键环节。合规管理旨在告诉企业在具体的操作过程当中应当怎么做，具体到怎么合理的做，合规的做，合法的做。对于中国出海企业而言，合规管理更显的尤为重要，因为现在开始，必须符合GDPR。