如今,当我们所有的信息都保存在数字媒体上时,数据保护是政府安全法规的重要组成部分。这一领域的主要法律是通用数据保护条例,该条例对处理和处理个人数据设定了严格的规则。今天,我们将解释GDPR的含义和核心原则,并探讨如何以及为什么遵守这些规定。
什么是通用数据保护条例?
为了控制个人数据的使用,欧洲国家采纳了通用数据保护条例(GDPR)。这是一项包含99条个别文章的数据保护法律,被认为是世界上最严格的安全指南。
自2018年实施以来,GDPR代表了个人数据法规的当前方法。该法律适用于与欧盟公民的信息打交道的每一家公司,无论公司位于何处或在何处处理数据收集。
GDPR的数据保护原则是什么?
该条例基于七个核心原则,代表了个人数据管理的规范:
- 数据收集过程中的合法性、公平性和透明度。
- 限制使用数据的目的。
- 最小化收集的数据量。
- 收集的所有数据的准确性和相关性。
- 限制数据存储和在不再需要后删除所有个人信息。
- 过程的完整性和保密性。
- 负责任和展示GDPR合规性的能力。
通用数据保护条例控制什么?
广义上的“数据保护”涉及任何可以用来识别所指的人(或数据主体)的信息。突出的例子包括姓名、地址、生物识别数据和文件编号。除此之外,个人数据还包括关于访问过的网站、搜索历史、IP地址等信息。
数据隐私法律规定了网站如何与用户及其个人信息互动,并确保所需的安全级别。这包括几个要点:
- 网站必须通知访客收集了哪些信息。
- 在收集之前,网站需要以任何基于行动的形式获得数据主体的同意,例如点击按钮。
- 在发生个人数据泄露的情况下,网站必须通知用户。
- 第三方数据控制者评估网站的数据安全级别。
- 处理个人数据的每个组织都应该有一个负责该过程的员工或团队。
为什么公司应该符合GDPR?
如果您在欧洲市场工作,您的公司必须根据法律符合GDPR。对于违反这些规则的情况,组织将面临可能根据违规行为的严重性而极大的罚款,最高可达全球收入的4%或2000万欧元。
然而,对于在世界其他地区工作的组织来说,获得GDPR合规性也是一个好主意。实施如此严格的法规表明了您对负责任的数据保护的承诺,并在您的产品中建立信任。
如何获得GDPR合规性?
在通用数据保护条例的官方网站上,您可以找到帮助您评估组织与这些要求的合规性的清单。其中主要有四则。
合法基础和透明度
关于收集的数据、使用目的以及谁可以访问这些数据的信息应该明确告知数据主体,并用清晰简单的语言被解释。此外,组织必须通知在不再需要数据后将发生的事情:数据将如何以及何时被擦除,以及谁负责此过程。
数据安全
收集的敏感个人数据保护必须在其使用的每个步骤中优先考虑,包括之后的适当消除。可以通过使用加密或假名来提供技术安全性。
当数据不再需要时,公司必须提供所有信息的不可恢复消除。为了有效地做到这一点,请使用个软件,例如NSYS Data Erasure。这种先进的解决方案可以从Android和iOS(iPhone和iPad)设备安全地销毁数据。它符合GDPR合规性和NIST SP 800-88认证。
在发生个人数据泄露的情况下,公司应该通知所有数据主体。
责任和治理
在组织内,应该有一个负责数据保护问题的人或团队。对于中小型企业来说,让熟悉公司工作流程的人负责这一过程可能是个好主意。但是,如果公司符合以下至少一个标准,则需要聘请数据保护官(DPO):
- 由公共机构进行个人数据的收集和处理(尽管此规则有例外)。
- 个人数据的收集和处理是公司的主要活动,并且是大规模进行的。
- 公司收集和处理GDPR定义的特定类别的数据。
除了公司内部负责流程的数据控制者之外,还应该有第三方组织参与数据管理,以保证信息安全。
隐私权
用户拥有有关数据安全的八项基本权利。这些包括:
- 有权了解被收集了哪些信息、收集目的、收集时间长短以及之后如何擦除。
- 有权了更正、更新和更改不准确或不完整的信息。
- 更正任何个人信息的权利。
- 删除任何个人信息的权利。
- 限制或完全停止处理个人数据的权利。
- 以方便的格式获取其个人信息的权利。
- 反对处理个人数据的权利。
- 在决策过程中包括在自动化过程中的人类干预获得帮助的权利。
尽管正确设置流程至关重要,但您需要记住,处理个人信息是一项持续的活动。您需要定期地进行审核,以保持这一高标准。
结论
通用数据保护条例(GDPR)是一套旨在保护个人数据并管理其负责任使用的严格的数据保护规则。这些数据隐私法适用于与欧盟公民信息打交道的公司。然而,全球的组织可以获得GDPR合规性,以促进可靠的数据处理并增强客户信任。
处理个人数据的关键部分是在信息不再需要后将其消除。尝试符合GDPR的解决方案NSYS Data Erasure,确保设备上不会留下任何机密数据。点击下面的按钮安排演示!
