GDPR概览
摘要
General Data Protection Regulation(GDPR)延伸欧洲资料保护法的领域至所有处理欧盟住民的境外公司。GDPR使通行欧盟的资料保护规章一致,因此使欧洲以外的公司能够更容易地遵守这些规章;然而,其代价是严格的资料保护规定,且有着公司全球收益4%或两千万欧元(择高者)的高额罚款。
GDPR通用数据保护条例
《通用数据保护条例》(General Data Protection Regulation)欧盟法规编号:(EU) 2016/679,是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人资料出口。GDPR 主要目标为取回公民以及住民对于个人资料的控制,以及为了国际商务而简化在欧盟内的统一规范。
GDPR取代了欧盟在1995年推出的欧盟个人资料《数据保护指令》(Data Protection Directive)95/46/EC,该条例包含有关处理欧盟内部数据主体的个人可识别资讯的条款和要求,适用于与欧洲做生意的所有企业,无论位置如何。处理个人数据的业务流程必须在设计和默认情况下构建数据保护,这意味着个人数据必须使用假名(pseudonymization)或完全匿名(data anonymization)进行存储,并且默认使用尽可能最高的隐私设置,以避免公开数据未经明确同意,并且不能用于识别没有单独存储附加信息的主题。任何个人数据除非在法规规定的合法基础上完成,否则数据控制者或处理者已经从数据所有者那里获得明确的选择同意。数据所有者有权随时撤销此权限。
个人数据处理者必须清楚地披露任何数据收集,声明数据处理的合法基础和目的,保留数据的时间以及是否与任何第三方或欧盟以外的国家共享数据。用户有权以通用格式请求处理器收集的数据的便携式副本,并有权在特定情况下删除其数据。 公共主管部门和以核心活动为中心定期或系统地处理个人数据的企业需要雇用数据保护官员(DPO)负责管理GDPR的合规性。如果数据泄露对用户隐私产生不利影响,企业必须在72小时内报告任何数据泄露。
本法案在2016年4月27日通过,两年的缓冲期后,在2018年5月25日强制执行。 GDPR取代了1995年的《数据保护指令》。
因为GDPR属于欧盟条例,不是指令,所以不需经过欧盟成员国立法转换成各国法律,而可直接适用。随着英国在2019年脱离欧盟,它于2018年5月23日御准批准了2018年数据保护法案(Data Protection Act 2018),该法案包含了相应的法规和保护措施。