Jeffrey Ziplow| 2018年6月15日
随着全球对数据安全的关注不断加强,欧盟(EU)正在实施广泛的数据安全和隐私措施,这肯定会对任何在海外开展业务的企业或处理欧盟居民信息的公司产生影响。这项新法规的正式名称是欧洲议会和理事会的“regulation (EU) 2016/679”,但更经常被称为“General Data Protection regulation”(GDPR),该法规于2018年5月底生效。
GDPR的主要目的是为所有成员国的所有欧盟居民定义标准化的数据保护法律。其目标如下:
- 增加欧盟居民的隐私和数据权利
- 协助欧盟居民了解个人资料的使用
- 赋予监管机构更大的权力,对违反新数据保护规定的组织采取行动
- 处理把个人资料输出到欧盟以外地区的问题
- 要求每一个使用欧盟个人数据的新业务流程遵守GDPR数据保护条例和隐私设计规则
最后两项特别表明,任何持有欧盟居民信息和/或在28个欧盟成员国中或与任何成员国开展业务的公司或组织,都需要为新的数据隐私标准做好准备。GDPR规则适用于唯一标识特定个人的敏感数据。这包括电子邮件、遗传信息、IP地址和生物特征数据,以及驾照和其他类型的个人信息。因此,在GDPR中,个人数据的定义被扩大和简化为“与已确认身份或可确认身份的人有关的任何信息”。
即使你是在美国做生意,而不是在欧洲做生意,那些不遵守规定的公司也会受到严厉的惩罚。虽然不遵守的先例还没有建立,但它可能很快就会到来。与其冒着受到不遵守规定处罚的风险,还不如遵守这一套新的规章制度。
以下是GDPR的一些关键属性,并附有哪些业务和组织。
一套规则
一套单一的数据保护规则将适用于所有欧盟成员国。GDPR将适用于所有处理欧盟居民个人数据的公司,无论其所在地为何。
“被遗忘的权利
这也被称为删除权。欧盟居民将有权要求删除与他们相关的个人数据。与以前的规定相比,这是一个巨大的变化。
“访问权”
不论有关资料当事人的个人资料是否已被处理,亦不论该等资料是在何处处理或为甚么目的而处理,资料当事人均有权向资料总监索取确认。
强制性通知
如果数据泄露可能“导致与个人权利和自由有关的风险”,所有欧盟成员国都将强制执行数据泄露通知。“在可行的情况下,GDPR在72小时内立即确定通知。
新的许可规则
同意规则正在改变,获取个人数据的选择要求也更加严格。
设计的“隐私”
GDPR要求在系统设计之初就加入数据保护,而不是等到以后才加入。
资料保护及影响评估
数据控制器和数据处理器将被要求对具有高隐私风险的项目进行数据保护风险影响评估。
通知不再强制
根据GDPR,数据管制员不再需要向本地数据保障官员提交数据处理活动的通知/登记。
问责制原则
第5(2)条中的新的问责原则要求证明遵守GDPR原则,并明确指出这是每个公司/组织的责任。
美国公司自然需要消化大量变化。但现在花点时间熟悉这些新法规并适应它们,应该会让公司和组织在未来做好遵守和保护的准备。这些新规则是不能也不应该避免的....它们确实很有意义,保护了一个人的隐私。
