通用数据保护条例(GDPR)

Andrew Dancy

By Andrew Dancy

Published

更新

See how I'm qualified to write this article

“通用数据保护条例”(简称“ GDPR ”)最近出现在新闻中。但是新规则是什么?它们如何影响您的业务?

的背景

1995年,欧盟委员会发布了数据保护指令 。这要求所有欧盟成员国实施自己的数据保护立法,以确保其公民的个人数据得到适当保护,并确保公民获得特定权利,以便了解第三方所持有的数据和能够要求在适当的时候纠正或删除数据。

然而,随后几年社交媒体,智能手机和互联网的不断发展的快速发展表明,现有的法律保护措施并不充分。因此,欧盟委员会提出了新的法规 - 通用数据保护条例。与之前允许欧盟成员国以自己的方式实施规则的数据保护指令不同,GDPR规则将作为单一日期的单一欧盟范围的法规实施:2018年5月25日。

GDPR的主要目标之一是扩展欧洲现有的数据保护制度,以确保所有欧盟公民享有相同的保护水平,无论其数据是由欧盟企业还是非欧盟企业处理或处理。委员会表示,他们的目标是确保所有公民在个人数据日益成为未来数字经济关键的时代拥有一套标准的“数字权利”。

为什么GDPR很重要?

GDPR对于所有企业都很重要,因为这些规定范围广泛,但也因为违规行为受到重大处罚。在严重违规的情况下,罚款可以达到2000万欧元或全球营业额的4%

GDPR还扩大了任何数据泄露的潜在责任范围。以前,实际拥有数据的数据“控制器”与控制器签订合同的数据“处理器”之间存在区别,以便对该数据执行某些操作。前者可能对个人数据的任何丢失或滥用负责,但后者则不承担责任。但是在GDPR下,控制器和处理器都将承担连带责任。这意味着任何一方或双方都可以被受影响的个人起诉或被监管机构罚款。

由于技术领域的许多企业可能都是加工商,这意味着在GDPR下,这些企业现在将承担以前没有的潜在责任!

GDPR实际需要什么?

GDPR对控制或处理数据的任何人规定了许多义务。这不是一个详尽的指南,但基本要求如下:

  • 知道您控制哪些数据以及从哪里获取数据
  • 对于您控制或处理的任何数据,请确保您在“合法的基础上”这样做(这将在后面进一步解释)
  • 采取适当措施保护您控制或处理的任何数据,并模仿该数据的任何风险
  • 如果您将所控制的任何数据处理分包,则必须确保处理器符合同等的保护标准
  • 如果您持有“个人”或“敏感”数据,则必须采取其他措施来确保对该数据的保护。个人数据被广泛吸引 - 即使是电子邮件地址或IP地址也可以被视为个人数据!
  • 如果个人要求,您必须以适当的机器可读形式(“数据可移植性”)快速提供您持有的任何数据的副本
  • 如果个人要求您这样做,您必须删除您持有的任何数据(“被遗忘的权利”)

“合法的基础”

“合法的基础”是GDPR最重要的部分之一。基本上,它要求收集或处理的任何数据必须在合法的基础上完成。如果没有合法依据,则无法收集或处理数据,必须予以销毁。

有许多不同的场景被视为合法的基础:

  • 用户明确同意您收集和处理其数据的位置。这是最常见的合法基础,也是一个相当容易满足的基础。您必须清楚明确地告诉用户您要收集哪些数据以及为什么这样做。然后,您必须让用户有机会选择加入此类收藏(请注意,这必须是选择加入而不是选择退出)
  • 您需要收集数据以履行合同的地方。这也可能是一个普遍的合法依据,旨在允许收集和处理常见情况的数据,例如销售商品或服务的在线商店。在这种情况下,客户通过购买商品或服务签订了合同,因此收集账单和发货信息并将其传递给信用卡处理器是合法的,因为这是实际履行合同所必需的。但是,将这些数据用于不同目的(例如营销)将不是合法的依据,因为为了履行合同,这不是必要的
  • 法律要求的地方。在某些情况下,必须收集和处理数据,因为法律要求这样做。一个很好的例子是,法律通常要求银行和金融机构保留长达6年的某些记录
  • 哪里有重要的利益。这种合法的基础不太可能在商业世界中遇到,因为它用于生命或死亡紧急情况,并将涵盖紧急服务等机构处理数据
  • 公共任务需要的地方。这也不太可能遇到,因为它旨在允许政府部门或其他官方机构能够收集和处理数据以便开展工作。例子可能包括需要收集和处理数据以便提供服务的律师事务所,例如上法庭
  • 最后还有“合法利益”。这是故意制定的相当模糊,但基本上允许数据的收集和处理,这是有一个压倒一切的合法利益。一个很好的例子是,如果一个人要求他们不接收来自企业的营销电子邮件,那么保留该人的电子邮件地址以确保不向该人发送营销电子邮件,而不是完全删除该人的数据将是合法的利益。从而冒着将来意外通过电子邮件发送的风险。然而,合法利益有一个很高的标准 - 它必须符合个人的最高利益,而不仅仅是因为它对公司来说很方便

值得注意的是,如果收集或处理的数据是“敏感的”(基本上与种族,宗教,性取向,政治派别,医疗记录或工会会员资格有关),则适用更严格的合法基准要求 - 基本上,只有在得到用户明确同意,具有压倒性的公共利益或法律要求的情况下,您才能收集或处理此类数据。

Reincubate怎么样?

要了解有关Reincubate在GDPR下的权利和义务的更多信息,请参阅我们的隐私政策

About the author

Andrew Dancy co-founded Reincubate in 2008 and pioneered techniques with recovery of location data from iOS. He sits on the company's board, with a law-tech background and a particular interest in privacy and security.

Reincubate's CEO at Buckingham Palace

Pictured above are members of Reincubate’s team meeting HM Queen Elizabeth Ⅱ at Buckingham Palace, after being awarded the UK’s highest business award for our work with Apple technology. Read our position on privacy, safety and security.

Related content

Can we improve this article?

We love hearing from users: why not drop us an email, leave a comment, or tweet @reincubate?

© 2008 - 2019 Reincubate Ltd. 保留所有权利。 Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. 隐私权和条款. 我们推荐多因素认证。 在伦敦建立了爱情。