GDPR合规意味着什么?

在它的核心， GDPR合规 指属于《通用数据保护条例》(GDPR)范围的组织符合法律规定的正确处理个人数据的要求.

GDPR概述了组织必须遵守的某些义务，这些义务限制了个人数据的使用方式. 它还定义了 八项数据主体权利 保障个人资料的特定权利. 最终赋予个人对个人信息及其使用方式的更多自主权.

下载 GDPR合规性终极指南

GDPR概述

GDPR是目前生效的最严格的全球隐私法. 由欧盟(EU)创建，用于规范组织如何收集, 处理, 保护欧盟居民的个人数据. GDPR于5月25日生效, 2018, 并且是直接写入成员国法律的具有约束力的规定. 该条例旨在加强私隐权利，让资料主体控制如何取得其个人资料, 使用, 和共享.

GDPR设定了三个主要目标:

1. 确立和保护个人的基本隐私权.
2. 统一整个欧盟的隐私法，取代28个欧盟成员国的法律和之前的法律 1995年数据保护指令.
3. 修改隐私法，以反映过去25年来技术领域对个人数据的变化.
    

GDPR术语

在深入讨论细节之前，让新利18快乐彩下载app先定义一下GDPR的一些基本术语.

数据对象 是否有任何正式居住在欧盟的人的数据被收集, 举行, 或由控制器或处理器处理.

数据控制器 指负责确定处理个人数据的目的和合法依据的实体.

数据处理器, 谁与数据控制器协作, 指代表控制者负责处理个人数据的个人.

处理 涉及对个人资料进行的任何自动或手动操作或一组操作, 包括收藏, 记录, 组织, 构建, 存储, 适应或改变, 检索, 等等.......

个人资料 指与自然人(“数据主体”)有关的任何信息，这些信息可以直接或间接地识别该自然人，因为它涉及到他们的隐私, 专业, 或者公共生活, 包括名字, 电子邮件地址, 照片, 甚至是银行对账单.

取得资料当事人的同意 指的是任何“免费给予的”, 具体的, 数据主体同意处理与其相关的个人数据的“知情且明确的指示”. 数据主体可以通过声明或明确的肯定行动表示同意.
 

GDPR适用于您的组织吗?

要决定您是否受GDPR的保护，您需要考虑以下两个方面:材料范围’ (i.e.例如，您的处理活动是否受GDPR的监管)和“地域范围”(例如.e.(无论您是否在GDPR适用的司法管辖区).
 

GDPR适用于美国公司吗?

美国组织可能属于GDPR的范围. 以确定您的组织是否必须遵守, 同样的分析也必须适用于下面概述的法律的物质和地域范围. 简而言之，如果您的组织处理(i.e.收集、记录、构造、储存、更改、使用、披露、删除等.居住在欧盟的个人信息，用于交换商品或服务，或用于监控欧盟公民的行为, 那么你很可能属于GDPR的管辖范围.

材料范围

GDPR适用于全部或部分通过自动化方式进行的个人数据处理. 它也适用于不使用自动化手段，但构成归档系统一部分或打算构成归档系统一部分的处理. 这涵盖了组织使用数据所做的大多数活动, 包括收集, 记录, 存储, 访问或查看, 使用, 分析, 结合, 披露或删除个人资料.

地域范围:GDPR是否适用于欧盟以外的地区?

GDPR适用于控制者对个人数据的处理, 或在欧盟设立的加工商, 无论加工是否在欧盟进行.

它还具有用于控制器或处理器的域外应用程序, 没有在欧盟建立的, 控制者或处理者向欧盟境内的数据主体提供商品或服务，或监控发生在欧盟境内的数据主体的行为. 例如, GDPR适用于一家吸引并向欧盟客户提供商品的美国在线购物网站. 提供的商品和服务可以是免费的. 这可能包括外国政府机构或非营利组织. 例如, GDPR适用于由美国州政府运营的旅游信息页面，该页面收集IP地址等个人信息，而来自欧盟的网站访问者可以访问免费旅游信息.
 

GDPR数据主体的权利是什么?

GDPR概述 八项基本数据主体权利，以及撤回同意的权利. 让新利18快乐彩下载app仔细看看这些权利:  

1. 知情权(GDPR第12至14条)
   资料当事人有权被告知其个人资料的收集及使用.

2. 访问权(GDPR第15条)
   资料当事人有权查阅及索取其个人资料的副本.
   

3. 纠正权(GDPR第16条)
   资料当事人有权要求更新或更正不准确或过时的个人资料.
   
   
4. 被遗忘权/删除权(GDPR第17条)
   资料当事人有权要求删除其个人资料. 请注意，这不是一项绝对权利，可能会受到某些法律的豁免.
   
   
5. 数据可移植性权利(GDPR第20条)
   数据主体有权要求将其数据转移给其他控制者或提供给自己. 数据必须以机器可读的电子格式提供.
   
   
6. 限制处理的权利(第18条)
   资料当事人有权要求限制或禁止其个人资料.
   
   
7. 撤销同意的权利(GDPR第7条)
   资料当事人有权撤回先前同意处理其个人资料的决定.
   
   
8. 反对权(GDPR第21条)
   资料当事人有权反对处理其个人资料.
   
   
9. 反对自动化处理的权利(GDPR第22条)
   数据主体有权反对仅基于自动决策或分析而对其数据做出的决策.
    

11步骤GDPR合规性检查表

现在新利18快乐彩下载app了解了基本知识, 让新利18快乐彩下载app来看看您的组织可以采取哪些步骤来满足GDPR合规性. 根据您的组织，GDPR合规性可能看起来略有不同，但确实存在 具体步骤 任何组织现在都可以采取措施创建符合GDPR的隐私计划:

1. 创建一个可操作的计划 7 GDPR原则
2. 生成一个处理寄存器 第三十条
3. 实施数据保护影响评估(DPIA) 隐私设计(PbD)
4. 建立一个同意管理框架
5. 符合欧盟隐私Cookie合规要求
6. 构建数据主体权利请求门户
7. 审查和补救处理器风险
8. 准备一份事故报告 & 违规管理流程
9. 审查跨境数据传输机制
10. 实施GDPR合规培训
11. 委任资料保障主任(DPO)

 让新利18快乐彩下载app更深入地了解每一步.

下载 GDPR合规性终极指南
 

步骤1:使用目标创建一个可操作的计划 7 GDPR原则

GDPR规定 七个关键原则 这应是处理个人资料方法的核心:

• 合法、公平、透明 -每个加工活动都应有合法依据. 数据处理不是出乎意料的, 数据主体被告知处理过程.
• 目的限制 -清楚说明处理和记录的目的，并在致个人的私隐声明中注明. 将处理限制在已确定的目的上.
• 数据最小化 -只在必要时处理个人资料.
• 精度 -确保您所处理的个人资料是准确和最新的. 尽快更正或删除不准确的个人资料.
• 存储的限制 -只有在需要时才保留个人资料.
• 完整性和机密性(安全性) -有适当的保安措施，以保护个人资料免遭未经授权或非法的处理和意外损失, 破坏, 或损坏.
• 问责制 -对你处理个人资料的行为负责，并有适当的措施和记录，以证明你遵守了资料处理原则.
   

GDPR要求实施适当的技术和组织措施，以有效实施数据保护原则并维护数据主体的权利. 这叫做“设计和默认的数据保护’. 这意味着您必须在整个数据处理生命周期中从设计阶段就将数据保护集成到处理活动和业务实践中.

GDPR文章:

• 第5条:处理个人资料的原则
• 第二十四条:控制人的责任

资源:

• GDPR合规清单
   

步骤2:生成第30条的处理寄存器

GDPR要求组织保存其处理活动的记录，并确保这些记录始终是最新的. 数据映射描述了生成组织数据流的中央清单并使其保持最新的操作过程.

尽管GDPR并没有特别提到数据映射, 它确实需要控制器和处理器(B2B和B2C)维护处理活动的清单. GDPR第30条的要求非常具体, 因此，即使组织以前执行过数据映射, 它将需要更新或重新制作以满足GDPR的要求.

GDPR文章:

• 第六条:处理的合法性
• 第三十条:加工活动记录(主要)
• 第三十二条:加工安全

资源:

• 数据映射自动化
• 满足GDPR第30条要求的10步指南
• 通过数据发现建立你的基础 & 映射

步骤3:实施数据保护影响评估(DPIA)和隐私设计

GDPR要求控制者在处理操作可能对个人造成高风险的情况下进行数据保护影响评估(DPIA). Many details within the GDPR make this more involved than a standard questionnaire; 例如, 要求数据保护官(DPO)参与特定的工作流程, 跟踪缓解活动, 记录对个人造成伤害的风险, 资料当事人谘询, 等.

除了, 在实践中，组织实施一个轻量级的筛选问卷来分析风险，然后确定是否需要一个完整的DPIA. 这些工作流和文档需求, 以及业务用户的用户体验和集成期望, 需要专门的工具来实施GDPR.

正确的实施, DPIA可以是满足设计和默认数据保护要求的有效方法.

GDPR文章:

• 第25条:设计和默认的数据保护
• 第35条:数据保护影响评估
• 第36条:事先协商

资源:

• PIA & DPIA自动化
• 终极PIA & DPIA隐私专业人员手册

步骤4: 建立一个同意管理框架

GDPR为基于同意处理数据的组织设定了更高的标准. 例如, 同意必须是具体的, 语言清晰明了, 而不是埋在法律通知里, 没有与多个通知分组, 易于提取, 等. 此外，组织需要能够以细粒度的方式证明他们获得了同意.

GDPR文章:

• 第七条:同意的条件

资源:

• 同意管理平台
• 掌握同意管理的10个技巧
• 数字隐私体验网络研讨会
• 如何通过同意管理平台建立信任和重视隐私

步骤5: 符合欧盟隐私Cookie合规要求

根据电子隐私指令, 组织必须告诉人们他们是否在使用cookie, 并解释饼干的作用和原因. 用户的同意必须在一个过程中获得，该过程允许组织证明同意是积极和明确地给予的. 用户还需要了解网站上使用的cookie的不同功能, 以及部署cookie并使用通过它们收集的数据的组织的身份. 对于在个人的请求上提供联机服务必不可少的cookie有一个例外, 例如, 记住他们的网上购物篮里有什么, 或者确保网上银行的安全. 如果使用其他类型的技术来存储或访问某人设备上的信息(例如移动应用程序的sdk)，同样的规则也适用。.

无论cookie处理的是匿名数据还是个人数据，电子隐私指令的要求都适用. 即使cookie数据是匿名的, 用户同意收集这些信息需要符合GDPR标准. 如果cookie数据不是匿名的, 该组织还需要遵守个人数据保护的额外GDPR规则, 例如进行DPIA并在其加工记录中记录此类加工活动.

GDPR影响了电子隐私条例的起草，该条例将取代现行的电子隐私指令，并与GDPR更加紧密地结合在一起. 企业将面临更严厉的处罚和更集中的监管行动 电子私隐规例草案.
 

GDPR文章:

• 第七条:同意的条件
• 第二十一条:反对权
• 电子隐私指令/电子隐私条例草案

资源:

• 网站扫描和Cookie遵守
• 隐私专家的终极Cookie手册
• 第一方数据完整指南
   

步骤6:构建数据主体权利(DSAR)请求门户

GDPR赋予数据主体特定的权利, 例如:数据可移植性, 访问, 删除或“被遗忘的权利”, 整改, 和更多的. 另外, 在响应时间周围有特定的记录保存要求, 请求延期的能力, 验证身份的需求, 安全地将响应传递给个体, 举几个例子. 拥有一个 自动化的门户 这可以帮助接收和分类这些请求，这是管理的重要步骤, 跟踪, 并报告你的DSAR请求.

GDPR文章:

• 第七条:同意的条件
• 第十二条:信息透明, 数据主体权利行使的沟通和方式
• 第13条:向资料当事人收集个人资料时应提供的资料
• 第14条:未从数据主体处获得个人数据时应提供的信息
• 第15条:数据主体的访问权
• 第十六条:改正权
• 第17条:删除权(“被遗忘权”)
• 第十八条:限制加工的权利
• 第19条:关于纠正或删除个人数据或限制处理的通知义务
• 第20条:数据可移植性的权利
• 第二十一条:反对权

资源:

• 一信托隐私权管理
• 数据主体权利专家认证
• DSARS:利用隐私自动化建立可衡量的投资回报率计划
• 4步提高您的DSAR过程与修订
   

步骤7:审查和补救处理器风险

GDPR持有 控制器 对处理者的行为或违规负责. 以与内部处理活动相同的勤勉程度来分析处理者的数据传输和合同义务是至关重要的，以便在处理者违约的不幸事件中具有可防御的姿态. 此外，它允许组织快速了解哪些数据在该违规行为中受到影响.

 GDPR文章:

• 第28(1)-(3)条:处理者
• 第24(1)条:控制人的责任
• 第29条:控制者或处理者有权处理
• 第46(1)条:转让须有适当保障
   

步骤8:准备一份事件报告 & 违规管理流程

GDPR包括严格的72小时通知监管机构的要求, 当数据泄露可能对自然人的权利和自由造成高度风险时, 对数据主体的额外通知. 对于组织来说，有一个系统的过程来满足这些需求是至关重要的.
 

GDPR文章:

• 第33条:向监管机构通知个人数据泄露
• 第34条:向资料主体传达个人资料外泄事件

资源:

• 事件管理
• 您的组织如何使用事件管理手册
• 建立事件管理手册网络研讨会
   

步骤9:审查跨境数据传输机制

GDPR要求对转移到欧洲经济区以外的个人数据提供相同级别的保护. 这要求组织审查并确保他们有适当的机制来进行跨境数据传输.

将个人资料转移到第三国时，首先要考虑的是是否有“适当的决定”。. 充分性决定是指欧盟委员会认定第三国或国际组织确保了充分的数据保护水平. 但是，这项决定须经委员会审查，并可予以撤销(e).g., 欧盟-美国隐私保护). 另一个例子是欧盟委员会 授予英国两项充分性决定 后Brexit.

要了解更多关于英国充足性的决定，请查看新利18快乐彩下载app的 英国充分性常见问题博客.

在没有充分性决定的情况下, 如果控制者或处理者提供了“适当的保障措施”，GDPR允许转移.“最常用的防护措施是 “标准合约条款”, 哪些规定了数据导出方和数据导入方的义务，并为数据主体提供了权利.

如果没有充分的决定或适当的保障措施，数据传输仍然是可能的. 在这个场景中, 组织可以依靠减损, 例如，数据主体的明确同意或转让对于履行合同是必要的. 然而, 不建议这样做, 因为没有适当的保障措施, 数据泄露的风险更大.

要了解更多关于Schrems二世裁决的信息，请查看数据指南 理解图式的权威指南2.
 

GDPR文章:

• 第四十四条:转让的一般原则
• 第45条:根据充分性决定进行转让
• 第46条:转让须有适当保障
• 第四十七条:具有约束力的公司规则
• 第49条:特殊情况的克减

资源:

• OneTrust Schrems二世 新利18快乐彩
• 数据制导方案II门户
   

步骤10:实施GDPR合规培训

GDPR要求数据保护官监督组织对GDPR的遵守情况, 这包括提高意识和培训员工. 各组织应向其工作人员提供初次培训和进修培训. 还应该有一个机制来保存培训的记录，以显示合规.
 

GDPR文章:

• 第39条:数据保护官的任务
• 第四十七条:具有约束力的公司规则

资源:

• 意识培训
  
  

步骤11:委任资料保护主任(DPO)

GDPR要求，如果组织是公共机构或机构，则必须任命一名数据保护官(DPO), 或者如果组织的核心活动需要大规模, 定期和系统地监测个人(例如, online behavior 跟踪); or the core activities consist of large-scale processing of special categories of data or data relating to criminal convictions and offenses.

DPO负责确保GDPR合规性. 他们帮助组织监控内部合规性, 就数据保护义务提供通知和建议, 就数据保护影响评估(DPIAs)提供建议，并作为数据主体和数据保护机构的联络点.
 

GDPR文章:

• 第37条:数据保护官的指定
• 第38条:数据保护官的职位
• 第39条:数据保护官的任务

资源:

• 数据指导监管研究平台
  
  

OneTrust如何帮助遵守GDPR

OneTrust提供了一套产品和新利18快乐彩来实现您的隐私, 安全, 以及治理项目, 给你所需的工具来建立一个整体 GDPR合规计划.
 

OneTrust数据指导™研究

整个OneTrust平台由dataguance Regulatory Research提供支持. 监管研究门户网站由来自300个司法管辖区的40名内部研究人员和800名法律撰稿人提供支持. 让您了解最新的GDPR合规性、执行和新闻. 了解更多.
 

OneTrust成熟 & 基准测试

评估您的GDPR隐私、安全性和成熟度 数据治理计划 并以类似的组织为基准. 了解您的差距在哪里，并利用洞察力来改进您的遵从性工作. 了解更多.
 

OneTrust意识培训

通过行业建设“隐私第一”的文化, 角色, 以及通过OneTrust的内置LMS提供或导入到您现有的LMS中的GDPR特定意识培训课程. 了解更多.
 

OneTrust评估自动化

实施GDPR特定的隐私影响评估(PIAs), 数据保护影响评估(DPIAs), 隐私设计(PbD)，以及其他内部隐私和安全评估. 了解更多.
 

OneTrust数据映射

维护数据流的常绿映射, 跨境转移, 完整的加工记录, 并利用预先定义的第30条模板. 基于底层数据目录自动生成可搜索的目录和可视化数据地图. 了解更多.
 

OneTrust数据发现 & 分类

自动查找IT系统, 发现和分类数据, 将个人数据映射到身份, 并保持您的数据地图和合规性报告的常青性. 了解更多.
 

OneTrust供应商风险管理

管理完整的供应商生命周期, 评估供应商的隐私和安全措施, 将供应商链接到您的处理记录, 并与供应商合作，评估跨境数据传输的影响. 了解更多.
 

OneTrust事件管理

实施您的事件响应计划, 管理事件生命周期, 并在数百个违规通知法律中获得自动违规通知指导. 了解更多.
 

私隐权(DSAR)

管理全部私隐权利(DSAR)要求从接收到履行的工作流程，包括预先构建的工作流程，以及GDPR和其他隐私法规的隐私权要求指南. 了解更多.
 

ontrust Cookie同意

扫描您的网站，以识别cookie和跟踪器，并生成地理特定的cookie横幅, 偏好中心, 以及cookie政策. 在cookie横幅中, 为访问者提供一个偏好中心，让他们控制选择加入和退出跟踪. 了解更多.
 

OneTrust通用同意管理

跨渠道、平台和系统收集、集中和同步用户同意数据. 向监管机构单独证明同意，并向数据主体提供一份他们已同意的所有事项的清单，以便他们接受或撤回同意. 了解更多.

让OneTrust帮助您的组织建立一个将信任放在首位的GDPR合规计划. 了解壹信如何帮助您的隐私、安全和治理计划.