通用数据完整指南P...
通用资料保护完整指南...

通用数据保护条例(GDPR)合规完整指南

为准确起见,本页会定期更新 & 全面性
最近更新:2022年1月7日

时钟19分钟阅读

有特色的图片

符合GDPR意味着什么?

在其核心, GDPR合规 指属于《新利18快乐彩》(GDPR)范围内的组织符合法律中定义的妥善处理个人数据的要求.

GDPR概述了组织必须遵守的某些义务,这些义务限制了个人数据的使用. 它还定义了八项数据主体权利,以保障个人数据的特定权利. 最终赋予个人更多的自主权来管理他们的个人信息以及如何使用这些信息.

下载 GDPR遵从性最终指南

GDPR概述

《新利18快乐彩》是目前生效的最强大的全球隐私法. 由欧盟(EU)创建,以规范组织如何收集, 处理, 并保护欧盟居民的个人数据. 《新利18快乐彩》于5月25日生效, 2018, 是直接写入会员国法律的具有约束力的条例. 它旨在让数据主体控制如何获取其个人数据,从而加强隐私权, 使用, 和共享.

GDPR制定了三个主要目标:

  1. 建立和保护个人的基本隐私权.
  2. 通过替换欧盟28个独立成员国的法律和之前的法律,统一欧盟的隐私法 1995年数据保护指令.
  3. 修改隐私法,以反映过去25年来科技领域对个人数据的改变.

GDPR术语

在深入研究细节之前,让新利18快乐彩下载app先定义GDPR的一些基本术语.

数据对象 任何正式居住在欧盟的人士的资料是否被收集, 举行, 或由控制器或处理器处理.

数据控制器 指负责确定处理个人数据的目的和合法依据的实体.

数据处理器, 谁与数据控制器合作, 指代表控制器负责处理个人数据的个人.

处理 涉及对个人数据或个人数据集进行的任何自动或手动操作或操作集, 包括收集, 记录, 组织, 构建, 存储, 适应或改变, 检索, 等等.

个人资料 指与自然人(“数据主体”)有关的任何信息,这些信息可以直接或间接地指认该人,因为这些信息涉及该人的隐私, 专业, 或公共生活, 包括一个名字, 电子邮件地址, 照片, 甚至是银行对账单.

取得资料当事人的同意 指的是任何“免费给予”, 具体的, 知情且明确的表示“资料当事人同意处理与其有关的个人资料”. 数据主体可以对声明或明确的平权行动表示同意.

GDPR是否适用于您的组织?

要决定你是否被GDPR所覆盖,你需要考虑“实质范围”(i.e.,您的处理活动是否受GDPR规管)和“地域范围”(i.e.,无论你在GDPR适用的司法管辖区).

GDPR是否适用于美国公司?

美国的组织可能属于GDPR的范围. 以确定您的组织是否必须遵守, 同样的分析也必须应用于以下概述的法律的实质和领土范围. 简而言之,如果您的组织过程(i.e.,收集、记录、结构、储存、更改、使用、公开、删除等.)为交换商品或服务或监测欧盟公民行为而居住在欧盟的某人的个人信息, 那你很可能就在GDPR的管辖范围内.

材料的范围

《新利18快乐彩》适用于全部或部分以自动化方式处理个人数据. 它也适用于不使用自动化手段但构成文件系统的一部分或打算构成文件系统的一部分的处理. 这涵盖了组织使用数据进行的大多数活动, 包括收集, 记录, 存储, 访问或查看, 使用, 分析, 结合, 披露或删除个人资料.

地域范围:GDPR是否适用于欧盟以外的国家?

GDPR适用于控制器对个人数据的处理, 或在欧盟建立的处理器, 无论程序是否在欧盟进行.

它还具有控制器或处理器的域外应用程序, 这是欧盟没有建立的, 如果控制器或处理器向欧盟内的数据主体提供商品或服务,或监控在欧盟内发生的数据主体行为. 例如, GDPR适用于一家美国在线购物网站,该网站吸引并向欧盟客户提供商品. 商品和服务的提供可以是免费的. 这可能包括外国政府机构或非营利组织. 例如, GDPR适用于由美国州政府运营的旅游信息页面,该页面收集个人信息,如IP地址,而来自欧盟的网站访问者可以免费获取旅游信息.

GDPR数据主体权利是什么?

GDPR概述了 八项数据主体基本权利,加上撤回同意的权利. 让新利18快乐彩下载app仔细看看这些权利:   

  1. 知情权(GDPR第12至14条)

资料当事人有权被告知有关其个人资料的收集及使用.

  1. 访问权(GDPR第15条)

资料当事人有权查阅及索取其个人资料的副本.

  1. 纠正权(GDPR第16条)

资料当事人有权要求更新或更正不准确或过时的个人资料.

  1. 被遗忘权/被删除权(GDPR第17条)

资料当事人有权要求删除其个人资料. 请注意,这不是一项绝对权利,可能会受到某些法律的豁免.

  1. 数据可移植性权利(GDPR第20条)

数据主体有权要求将其数据转移给其他控制人或提供给其. 数据必须以机器可读的电子格式提供. 

  1. 限制加工的权利(第十八条)

资料当事人有权要求限制或压制其个人资料. 

  1. 撤回同意的权利(GDPR第7条)

资料当事人有权撤回先前所给予的处理其个人资料的同意. 

  1. 反对权利(GDPR第21条)

资料当事人有权反对对其个人资料的处理.

  1. 反对自动处理的权利(GDPR第22条)

数据主体有权反对仅基于自动决策制定或分析的数据做出的决策. 

GDPR数据主体权利

11步骤GDPR遵从性检查项

既然新利18快乐彩下载app已经了解了基本原理, 让新利18快乐彩下载app进入您的组织可以采取哪些步骤来满足GDPR遵从性. 根据组织的不同,GDPR遵从性看起来可能有点不同,但确实如此 具体步骤 任何组织现在都可以创建符合GDPR的隐私计划:

  1. 使用GDPR的7个原则创建一个可操作的计划
  2. 为第30条生成处理登记册
  3. 实施数据保护影响评估(DPIA)和隐私设计(PbD)
  4. 建立一个同意管理的框架
  5. 满足欧盟隐私Cookie合规要求
  6. 建立一个数据主体权利请求门户
  7. 审查和纠正处理器风险
  8. 准备事故报告 & 违反管理工作流程
  9. 回顾跨境数据传输机制
  10. 实施GDPR合规培训
  11. 委任一名保障资料主任

 新利18快乐彩下载app更深入地了解每一步.

下载 GDPR遵从性最终指南

步骤1:根据GDPR的7个原则创建一个可操作的计划

GDPR开始了 七个关键原则 这应该是您处理个人数据方法的核心:

  • 法律、公平和透明 每个加工活动都应该有合法的依据. 数据处理不是以一种意想不到的方式进行, 数据主体被告知所进行的处理.
  • 目的限制, 明确处理和记录的目的,并在个人隐私通知中指定这些目的. 将处理限制在那些已确定的目的.
  • 数据最小化— 只在必要的范围内处理个人数据.
  • 精度 -确保您处理的个人资料是准确和最新的. 尽快更正或删除不准确的个人资料.
  • 存储限制, 只在需要时保留个人资料.
  • 完整性和机密性(安全性)- 是否有适当的保安措施以保护个人资料免受未经授权或非法处理及意外损失, 破坏, 或损坏.
  • 问责制, 对你处理个人资料的行为负责,并备有适当的措施和记录,以证明你已遵守资料处理原则.

《新利18快乐彩》要求实施适当的技术和组织措施,有效落实数据保护原则,保障数据主体权利. 这叫做'设计和默认的数据保护’. 这意味着您必须从设计阶段跨越整个数据处理生命周期,将数据保护集成到处理活动和业务实践中.

GDPR文章:

  • 第5条:处理个人资料的原则
  • 第二十四条财务主管的责任

资源:

步骤2:为第30条生成一个处理寄存器

GDPR要求组织保持其处理活动的记录,并确保这些记录始终是最新的. 数据映射描述了用于生成组织数据流的中央目录并使其保持最新的操作过程.

尽管GDPR没有特别提到数据映射, 它确实需要控制器和处理器(B2B和B2C)来维持处理活动的库存. GDPR第30条的要求非常具体, 因此,即使组织以前执行过数据映射, 它将需要更新或重做,以满足GDPR的要求.

 GDPR文章:

  • 第6条:处理的合法性
  • 第三十条:加工活动记录(初级)
  • 第三十二条:处理的安全

资源:

 步骤3: 实施数据保护影响评估(DPIA)和隐私设计

 GDPR要求管制员在处理操作可能对个人造成高风险的情况下进行数据保护影响评估(DPIA). Many details within the GDPR make this more involved than a st和ard questionnaire; 例如, 要求数据保护主任(DPO)参与特定的工作流程, 跟踪减排活动, 记录风险对个人的危害, 数据问题磋商, 等.

除了, 在实践中,组织实施了一个轻量级的筛查问卷来分析风险,然后确定是否需要全面的DPIA. 这些工作流和文档需求, 以及业务用户的用户体验和集成期望, 需要有针对性的工具来实施GDPR.

正确的实施, DPIA是满足“设计保护”和“默认保护”要求的有效方法.

GDPR文章:

  • 第25条:设计和默认的数据保护
  • 第35条:数据保护影响评估
  • 第三十六条:事先协商

资源:

步骤4:建立一个同意管理框架

 GDPR为组织基于同意处理数据设置了更高的标准. 例如, 同意需要:具体, 语言清晰易懂, 而不是埋在法律通知里, 没有与多个通知分组, 容易收回, 等. 此外,组织需要能够证明以具体的方式获得了同意.

GDPR文章:

  • 第七条:同意条件

资源:

步骤5: 满足欧盟隐私Cookie合规要求

 根据隐私指令, 组织必须告诉人们他们是否在使用cookie, 并解释饼干的作用和原因. 用户的同意必须在一个过程中获得,该过程必须允许组织证明该同意是积极而明确地给予的. 用户还需要了解网站上使用的cookie的不同功能, 以及部署cookie并使用通过它们收集的数据的组织的身份. 对于应个人请求提供在线服务所必需的cookie,有一个例外, 例如, 记住他们的网上购物篮里有什么, 或者确保网上银行的安全性. 如果其他类型的技术被用于存储或访问某人的设备上的信息(例如用于移动应用程序的sdk),同样的规则也适用。.

无论cookie处理的是匿名数据还是个人数据,隐私指令的要求都适用. 即使cookie数据是匿名的, 用户对收集数据的同意需要符合GDPR标准. 如果cookie数据不是匿名的, 该组织还需要遵守GDPR关于个人数据保护的附加规则, 例如进行DPIA,并在处理记录中记录该处理活动.

GDPR影响了《新利18快乐彩下载app》的起草,该条例将取代当前的《新利18快乐彩下载app》,并与GDPR更加紧密地结合在一起. 这些组织将面临更多的处罚和更有针对性的监管行动 草案e隐私监管.

GDPR文章:

  • 第七条:同意条件
  • 第21条:异议权
  • 隐私指令/隐私条例草案

资源:

步骤6: 建立一个数据主体权利(DSAR)请求门户

 GDPR赋予数据主体特定的权利, 如:数据可移植性, 访问, 擦除或“被遗忘的权利”, 整改, 和更多的. 另外, 在响应的时候有特定的记录保存要求, 请求延期的能力, 验证标识的需求, 安全地将响应传递给个体, 举几个例子. 拥有一个 自动化的门户 这可以帮助接收和分类这些请求是管理的一个重要步骤, 跟踪, 并报告你的特别提款权申请.

GDPR文章:

  • 第七条:同意条件
  • 第12条:透明信息, 资料当事人行使权利的沟通和方式
  • 第13条:从数据主体收集个人数据时所提供的信息
  • 第14条:在未从数据主体获得个人数据的情况下提供的信息
  • 第15条:数据主体的查阅权
  • 第十六条:改正的权利
  • 第17条:消除权(“被遗忘权”)
  • 第18条:限制加工之权利
  • 第19条:关于更正或删除个人资料或限制处理的通知义务
  • 第20条:数据便携权
  • 第21条:异议权

资源:

步骤7:审查和纠正处理器风险

 GDPR要求控制器对处理器的行为或违规行为负责. 用与内部处理活动相同的勤勉程度来分析处理器数据传输和合同义务是至关重要的,这样才能在处理器违约的不幸事件中保持一种可防御的姿态. 此外,它还允许组织快速了解哪些数据在那次攻击中受到了影响.

 GDPR文章:

  • 第二十八条第(一)至(三)条:处理机
  • 第二十四条(1):财务总监的责任
  • 第29条:在财务主管或处理器的授权下处理
  • 第46(1)条:在适当保障措施下的转让

步骤8:准备事件报告 & 违反管理工作流程

 GDPR包括严格的72小时通知监管当局和, 当数据泄露可能对自然人的权利和自由造成高风险时, 对数据主体的附加通知. 对于组织来说,有一个系统的过程来满足这些要求是至关重要的.

 GDPR文章:

  • 第33条:通知监察机关违反个人资料
  • 第34条:向数据主体泄露个人数据的通信

资源:

步骤9:审查跨境数据传输机制

 《新利18快乐彩》要求对转移到欧洲经济区以外的个人数据给予同等级别的保护. 这要求各组织审查并确保它们有适当的跨国界数据传输机制.

在将个人数据转移到第三国时,首先要考虑的是是否有“适当性决定”。. 适当性决定是指欧盟委员会决定由第三国或国际组织确保数据保护的适当水平. 但是,这一决定须经委员会审查,可以收回(e.g., 美国的隐私保护). 另一个例子是欧盟委员会 给予英国两个适当的决定 后Brexit.

要了解更多关于英国的充分性决定,请查看新利18快乐彩下载app的 UK充分性常见问题博客.

在没有适当决定的情况下, 如果控制器或处理器提供了“适当的保护措施”,则GDPR允许转移.“最常用的防护措施是 “标准合同条款”, 哪些规定了数据导出人和数据导入人的义务,为数据主体提供了权利.

如果没有适当的决策或适当的保障措施,数据传输仍然是可能的. 在这个场景中, 组织可以依靠减损, 例如来自数据主体的明确同意或转让是履行合同所必需的. 然而, 不建议这样做, 因为没有适当的保障措施, 数据泄露的风险更大.

要了解更多关于Schrems二世 Ruling的信息,请查看数据指南 理解Schrems的权威指南II.

GDPR文章:

  • 第四十四条:转让的一般原则
  • 第45条:基于适当性决定的转让
  • 第46条:在适当保障措施下的转让
  • 第四十七条:有约束力的公司章程
  • 第49条:针对特定情况的克减

 资源:

步骤10:实施GDPR合规培训

GDPR要求数据保护官员监控组织是否遵守GDPR, 其中包括提高意识和培训员工. 各组织应向其员工提供初步和进修培训. 还应该有一个机制来保存培训记录,以显示遵守情况.

GDPR文章:

  • 第三十九条:数据保护官员的任务
  • 第四十七条:有约束力的公司章程

 资源:

步骤十一:委任资料保护主任

GDPR要求,如果一个组织是公共机构或机构,则该组织必须任命一名数据保护官员(DPO), 或者组织的核心活动需要大规模, 定期和系统地监测个人(例如, online behavior 跟踪); or the core activities consist of large-scale processing of special categories of data or data relating to criminal convictions 和 offences.

DPO负责确保GDPR的合规性. 他们协助组织监督内部的合规情况, 就数据保护义务提供信息和建议, 提供有关数据保护影响评估(DPIAs)的建议,并充当数据主体和数据保护当局的联络点.

GDPR文章:

  • 第37条:数据保护官员的任命
  • 第38条:数据保护官员的职务
  • 第三十九条:数据保护官员的任务

资源:

新利18快乐彩下载app如何帮助实现GDPR合规

新利18快乐彩下载app提供了一套产品和新利18快乐彩来操作您的隐私, 安全, 和治理项目, 为您提供构建整体GDPR合规程序所需的工具.

新利18快乐彩下载app DataGuidance™研究

整个新利18快乐彩下载app平台是由数据指导监管研究提供支持的. 该监管研究门户网站由40名内部研究人员和来自300个司法管辖区的800名法律撰稿人提供支持. 让您及时了解GDPR合规、执行和新闻的最新情况. 了解更多.

新利18快乐彩下载app成熟 & 基准测试

评估你的GDPR隐私的成熟度, 安全, 和数据治理程序和基准的类似组织. 了解您的差距在哪里,并利用洞察力来改进您的合规工作. 了解更多.

新利18快乐彩下载app意识培训

通过行业建立“隐私第一”的文化, 角色, 以及通过新利18快乐彩下载app的内置LMS交付或导入到您现有LMS的GDPR特定意识培训课程. 了解更多.

新利18快乐彩下载app评估自动化

实施GDPR特定隐私影响评估(PIAs), 数据保护影响评估(DPIAs), 设计隐私(PbD), 以及其他内部隐私和安全评估. 了解更多.

新利18快乐彩下载app数据映射

维护数据流的常青地图, 跨境转移, 完整的处理记录, 并利用预定义的第30条模板. 自动生成一个可搜索的目录和基于底层数据目录的可视化数据地图. 了解更多.

新利18快乐彩下载app数据发现 & 分类

自动查找IT系统, 发现并分类其中的数据, 将个人数据映射到身份, 保持你的数据地图和合规报告常青. 了解更多.

新利18快乐彩下载app供应商风险管理

管理完整的供应商生命周期, 评估供应商的隐私和安全措施, 将供应商链接到您的处理记录, 并与供应商合作,评估跨境数据传输的影响. 了解更多.

新利18快乐彩下载app事件管理

实施你的事件响应计划, 管理事件生命周期, 并在数百条违规通知法律中获得自动违规通知指导. 了解更多.

隐私权(DSAR)

管理完整的隐私权(DSAR)请求工作流,从接收到完成预先构建的工作流程,以及GDPR和其他隐私权要求的隐私法规的指导. 了解更多.

新利18快乐彩下载app饼干同意

扫描您的网站,以识别cookie和跟踪器,并产生特定地理位置的cookie横幅, 偏好中心, 和饼干的政策. 在cookie横幅中, 为访问者提供一个偏好中心,让他们控制选择进入和退出跟踪. 了解更多.

新利18快乐彩下载app通用同意管理

跨渠道、平台和系统收集、集中和同步用户同意的数据. 向监管机构单独展示同意,并向数据主体提供一份清单,列出他们同意的所有事项,以便他们接受或撤回同意. 了解更多.

新利18快乐彩下载app帮助您的组织建立一个GDPR合规计划,将信任放在首位. 了解更多关于新利18快乐彩下载app如何帮助您的隐私、安全和治理计划的信息.

 

进一步的GDPR合规资源:

进一步GDPR阅读:

GDPR合规的下一步步骤:

 

关注新利18快乐彩下载app LinkedIn推特, or YouTube 获取全球隐私法规的最新信息.

你可能也会感兴趣


2022年3月04
GDPR

GDPR的七项原则

2022年3月17日,
规定

网络犯罪行为 & POPIA:管理数据安全和隐私

2022年3月31日
数据发现

应对非结构化数据挑战

2022年3月2日
第三方风险

第三方风险:动荡的前景

2022年3月17日,
GRC

优化第三方风险:通过集成IT风险平台增强自动化

2022年3月10日,

回答安全问卷时应避免的5个关键错误

2022年2月25日

无cookie世界的工具箱

2022年3月29日,
GRC

安全 & 信任网络研讨会系列第1部分:建立智能化的SecOps和风险团队

BackToTop
Onetrust版权所有
友情链接: 1 2 3 4 5 6 7 8 9 10