2018 年 5 月,欧盟更新一般资料保护规范(2016 年 4 月 27 日欧盟2016/679 条例,GDPR)制定的个人资料处理法规。该法规对所有 28 个欧盟国家都带来了直接影响,并代替了 1995 年 10 月 24 日生效的95/46/EC资料保护指令 。
个人资料处理的新法规域外适用是对国内外公司都一样非常重要,因此如果贵公司提供的服务专注于欧洲或者国际市场,您就应该充分了解GDPR的更新内容。
新法规给欧盟居民提供管控他们个人资料的工具。自 2018 年 5 月以来,凡是发现有违反个人资料处理条例的行为,犯罪者要承担的罚款等责任有所增强:一些情况下罚款金额达到 2000 万欧元,占 GDPR 年收入的 4%。在本文中,我们分析了欧盟个人资料处理的新法规内容,并提出如何遵守GDPR新规则的建议,供给大家参考。
GDPR涉及到哪些公司?
GDPR 法规的域外适用是指所有处理欧盟公民个人资料的企业都要遵守一般资料保护规范,不管那些企业位于哪个国家。 欧盟境内运营的非居民分支公司、代表处也都必须满足新的要求。
在哪些情况下,公司必须遵守所有 GDPR 要求?
- 公司的服务/产品翻译成欧盟居民的当地语言;
- 公司的服务/产品以欧盟当地货币支付;
- 公司的服务/产品在欧盟国家的顶级域名上提供。
因此,凡是从事在线商品销售和处理个人资料的公司(例如火车票、飞机票、酒店、旅馆等)一律都受 GDPR 的约束,并且都要严格遵守新的个人资料处理法规。GDPR 还涉及到监控用户行为的概念,导致所有监控用户行为的主体也都受GDPR的约束。
如果欧盟境外的组织涉及到监控欧盟公民的行为(此类行为发生在欧盟境内),GDPR 就也适用于那些组织。从现在开始,企业将需要完全遵守新规则,否则他们会面临严重的处罚,影响他们未来的工作。
监控行为包括:
- 通过互联网监控欧盟居民的行为;
- 通过数据处理技术来描述个人、他们的行为或他们与某东西的关系(例如,分析或预测个人偏好)。
GDPR 概念中的个人数据是什么意思?
任何与识别的或可识别的自然人身份相关的信息。 收集之后可追溯到具体某一个人的信息和数据。 请务必注意,存在某些类型的个人数据。 此类信息和数据包括:姓名、身份证号码、地址信息或网络标识符(包括IP 地址和Cookie)、身体、遗传、精神、经济、文化或社会标识符。
GDPR 概念中的数据处理是如何工作的
个人数据都必须得到合法、公平和透明的处理。 自然人数据处理的目标、方法和流量都应尽可能简单易懂。 数据的收集和使用只能用于公司指定的目标(在线服务)。
除此之外,按照约定处理自然人信息,不得超出约定的处理目的、处理方式等处理个人信息。
不准确的个人信息都必须删除或纠正(若有用户要求)。
所有公司都必须保护个人信息免受未经授权或非法的处理、破坏和损坏。
违反 GDPR 的案例
如果发生任何自然人数据泄露情况,公司必须在发现此类违规行为后 72 小时内通知监管机构(在某些情况下还包括信息主体)。
本website网站提供所有欧盟国家的自然人信息监管机构名单。除此之外,还有一个泛欧监管机构,叫做第 29 条工作组。但是,一旦 GDPR 生效,新机构将要取代第 29 条工作组——欧洲数据保护理事会 (EDPB)。
数据主体(自然人)的权利
GDPR 扩展欧盟公民和居民对自己个人资料管理的权利。欧洲人民有权以任何需要的方式了解他们的个人资料是如何处理的,以及要求对其进行纠正。此外,用户有权要求终止他们的个人资料处理。 GDPR 还规定了被遗忘的权利(删除权、被遗忘权),所以欧洲人有权要求删除他们的资料,以避免将其传播或转移给第三方。
