精品国产人成在线_亚洲高清无码在线观看_国产在线视频国产永久2021_国产AV综合第一页一个的一区免费影院黑人_最近中文字幕MV高清在线视频

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

滿足GDPR的要求,企業到底需要重點了解哪些信息?

pIuy_EAQapp ? 來源:未知 ? 作者:李倩 ? 2018-05-30 11:34 ? 次閱讀

5月29日訊 歐盟《通用數據保護條列》(簡稱 GDPR)于2018年5月25日正式生效。英國一份政府調研顯示,只有38%的英國公司在 GDPR 生效前100天才開始關注該條例,許多美國公司也一樣。

按照 GDPR 的規定,企業違規可能會面臨高達2000萬歐元(約合人民幣1.28億元)或企業全球年收入的4%的罰款(取兩者中最高的)。除了高額罰款,歐盟數據保護機構(DPA)可在必要時采取糾正處罰,例如禁止處理數據,并對常見的數據處理活動實施臨時/確定性限制。因此,想要在歐洲市場立足的企業除了努力滿足合規外別無他法。

滿足 GDPR 的要求,企業到底需要重點了解哪些信息

不少組織發現保障合規性遠比預期的要復雜。市場調查公司 Propeller Insights 的一項調查顯示,52%的受訪企業認為將面臨違規罰款。不過,只要小型企業在實施 GDPR 最佳實踐方面做出顯而易見實際努力,監管機構就可能會"寬大處理"。不過,盡管如此,仍免不了高額罰款。因此,滿足 GDPR 的合規性可謂任重道遠。

一、數據控制者&數字處理者

按照 GDPR 第4條的第(7)點和第(8)點,數據控制者是能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織,負責決定處理個人數據的目的和方式,不過具體標準應以歐盟或其成員國的法律予以規定;數字處理者指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。但是,有時難以確定某個實體到底屬于數據控制者還是處理者。

谷歌的復雜身份特例:

當涉及包括 AdMob、 AdSense、AdWords、AdX 和 DFP 在內的熱門廣告產品時,谷歌就是一個數據控制者;

當涉及使用 Google Analytics、Google attribution offering、Ads Data Hub和DoubleClick Bid Manager 等工具的消費者時,谷歌則是數據處理者;

對于使用谷歌廣告產品的廣告發布商而言,谷歌仍是其收集數據的共同控制者,但是這些發布商收集數據必須征得用戶同意。

二、個人數據及數據保護原則

根據 GDPR 的定義,是指任何指向一個已識別或可識別的自然人(“數據主體”)的信息。GDPR 拓寬了個人數據的范圍。按照 GDPR 界定的范圍,個人數據也包括數字指紋(例如 IP 地址和 Cookie)。除此之外,基因或生物識別數據也包含在“敏感數據”的范疇之內。

GDPR 明確提到個人敏感數據應受到高度保護,這些數據包含:個人的種族和族裔出身、政治觀點、宗教和哲學信仰、工會成員、基因數據、生物識別數據、健康數據、性生活或性取向信息以及犯罪記錄信息。而醫療機構通常須滿足更高標準的數據保護要求。

按照 GDPR 第5條(Art. 5)的規定,個人數據必須:

(a)以合法、公正、透明的方式處理與數據主體有關的(“合法性、公平性和透明性”);

(b) 為特定的、明確的、合法的目的收集,并且不符合以上目的不得以一定的方式進行進一步的處理;為公共利益、科學,或歷史研究目的,或統計目的而進一步處理,按照第89條第(1)款,不應被視為不符合初始目的(“目的限制”);

(c)充分、相關以及以該個人數據處理目的之必要為限度進行處理(“數據最小化”);

(d)準確,必要,及時;為了個人數據被毫不延遲地處理、刪除或修正的目的,必須采取一切合理的步驟確保個人數據是不精確的(“精度”);

(e)在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;為了保護數據主體的權利和自由,依據第89條(1)予以實施本法所要求的適度的技術和組織措施,只要個人數據將僅僅以為達到公共利益、科學或歷史研究或統計的目的而處理,個人數據能被長時間存儲(“存儲限制”);

(f)以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(“完整性和機密性”)。

三、何時處理個人數據合法?

按照 GDPR 第6條的規定,處理個人數據須遵守以下六項法律依據:

1、數據主體同意他或她的個人數據為一個或多個特定目而處理;

2、處理是為履行數據主體參與的合同之必要,亦或處理是因數據主體在簽訂合同前的請求而采取的措施;

3、處理是為履行控制者所服從的法律義務之必要;

4、處理是為了保護數據主體或另一個自然人的切身利益之必要;

5、處理是為了執行公共利益領域的任務或行使控制者既定的公務職權之必要;

6、處理是控制者或者第三方為了追求合法利益的之必要,但此利益被要求保護個人數據的數據主體的利益或基本權利以及自由覆蓋的除外,尤其是數據主體為兒童的情形下。(注:此項不適用于政府當局在履行其職責時進行的處理)

事先取得同意是企業合法處理歐盟公民個人數據的最重要前提條件。例如,當面臨 GDPR 的合規性時,Facebook 應設法取得同意,而非遵守數據最小化原則。

取得同意必須是可證實的,須與其它事項明確區分開來,且可撤回。值得注意的是,處理敏感數據須取得明確的同意。模糊或“一攬子同意”均被視為無效。企業須向數據主體呈現通俗易懂的語言表述,供其選擇是否同意對方處理個人數據。鑒于此,至少從理論上講,模糊不清、滿篇術語及長期性同意的請求將不復存在。

此外,沉默、預先勾選或不積極,均不構成有效的同意。當用戶需要勾選或通過電話同意時,這就屬于明確的選擇。

16周歲以下的未成年人不具有合法的同意權,但歐盟成員國可以將此年齡限制放寬到13周歲。

四、用戶控制權和用戶權利

GDPR 的其中一個目標是讓消費者掌控自己的數據,這項目標仍是一項重大挑戰。數據控制者須向數據主體通知其具有的如下權利:

主體訪問權

數據主體有權要求數據收集者或企業提供相關信息,包括使用的方法、數據內容以及誰有權訪問數據等信息。除非該請求存在特別的困難之處,否則數據收集者或企業需在30天內提供相關信息,可能包括績效評估、獎懲記錄、電腦訪問日志、求職面試、通話記錄和錄像片段。但是,所提供的信息不得包含任何其它員工的個人信息。

注意:這條規則涉及的數據不包括醫療記錄、與刑事司法和稅收相關的個人數據、與律師之間的保密通信、暴露當前管理問題的文件以及商業機密。此外,該項程序免費開展,但數據控制者仍有權收取費用或拒絕執行過多及毫無根據的請求。

反對權

數據主體有權基于與其特定情況有關的理由,在任何時候依據第6條第1款(e)項或(f)項拒絕有關其的個人數據被處理,包括根據這些規定進行概況分析。控制者不得再處理該個人數據,除非控制者證明其有關(數據)處理的強制性法律依據優先于數據主體的利益、權利和自由,或者為了設立、行使或捍衛其合法權利。除此之外,數據主體還可反對僅基于自動決策而制定的具有重大影響的決策。

Crowd Research 的一份調查報告顯示,三分之一的組織機構報告稱,他們無法向用戶解釋其算法如何在自動處理的背景下做出決策。

糾正/刪除的權利

在用戶數據不完全或不正確的情況下,數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式。

限制權

如果處理程序與GDPR要求的數據保護措施不符,數據主體可要求限制處理他們的個人數據。

擦除權(又稱被遺忘權)

這是 GDPR 的一條標志性規定。在用戶數據不完全或不正確的情況下,數據主體有權要求控制者無不當延誤地刪除有關其的個人數據。如收集個人數據的目的變得毫無必要或同意被撤回,數據主體可要求刪除數據。

據 Solix 公司的一項調查顯示,約三分之二的受訪者承認其不知道如何實施“被遺忘權”,其原因在于他們不確定是否可以永久清除用戶的個人數據。

轉移數據的權利

數據主體可向數據控制者提交請求,要求對方以機器可讀的形式整理他們的個人數據,以便將這些數據轉移給其它控制者。如果用戶希望更換數據控制者,他們可通過數據可讀的形式簡單重用這些數據,例如,用戶希望轉移數據更換電信服務。

GDPR 合規建議

(一)、全面了解數據

要確保企業在滿足 GDPR 合規方面不出現問題,企業最好組建一個由律師、IT 技術人員和數據安全專家組成的團隊。這支團隊需弄清楚:

正在處理什么數據?

數據存儲在哪里?

處理過程如何?

對數據進行全面分析,包括數據所屬類別、處理數據的法律依據、處理數據的方法、訪問數據的實體以及安全措施。

組織機構的所有計劃和政策,例如,數據保護計劃、自帶設備(BOYD)政策、事件響應計劃和業務連續性計劃,且必須符合 GDPR 的要求。例如,大多數員工獲許在工作用設備上安裝個人應用程序。如果此類應用程序會訪問并存儲個人數據,且企業未部署任何措施來滿足 GDPR 合規,結果可能會事與愿違。因此,企業有必要優化 BOYD 政策。

對供應商進行調查,以了解對方的安全政策和重要措施以及供應商訪問哪些用戶的數據。部分供應商可能會獲取非必需數據(例如 IP 詳細信息),這能幫助它全面了解其用戶的瀏覽習慣。然而,修改合同以及維系與供應商的關系是一個相當耗時的過程。

企業必須描述用戶數據相關的流程,例如內容管理、用戶注冊、商業智能和分析流程。此外,企業還須報告 GDPR 合規進度。根據GDPR 第30條的規定,企業必須記錄處理活動(RoPA),以便進行示范。從本質上講,這就相當于要求清點存在風險的應用程序。

(二)、風險評估

企業不僅要了解存儲的數據,還要了解其中的風險,尤其應了解可能收集和存儲個人數據的“影子 IT”。為有效滿足合規,風險評估還應提出旨在緩解現有風險的技術。

Snow Software 公司高級副總裁麥特·費舍爾(Matt Fisher)在提供風險評估相關建議時表示,組織機構首先必須要全面了解整個 IT 基礎設施,并清點所有的應用程序。然后再結合對可處理個人數據應用程序的見解,進而降低項目范圍及花費在這上面的時間。

從邏輯上講,企業應在風險識別之后啟動風險緩解程序,數據處理活動必須符合 GDPR 的數據保護原則。

(三)、尊重用戶權利,并賦予用戶控制權

企業應有效處理客戶的投訴和疑問,尤其是那些與條例中規定的數據主體權利相關的投訴和疑問。

按照 GDPR 的規定,數據控制者必須向用戶提供取消所有通信的選項,為用戶提供控制權和退出通信的選項,如在“訂閱”旁邊提供“取消訂閱”的選擇框。

(四)、保持透明度

監管機構高度重視透明性,例如,在條款、條件和隱私政策中提供引入注目的鏈接。

(五)、采用默認提供數據保護的組織和技術措施

某些安全措施和技術必須部署在產品/服務的最初開發階段。加密和假名化(pseudonymization)技術是此類措施的常見技術。此外,這些安全措施和技術還允許開發人員在實踐中應用核心數據保護原則,比如數據最小化原則。

(六)、盡快解決數據泄露問題

GDPR 規定,數據處理者對數據泄露或不合規行為負有責任。在發生危及歐盟公民個人信息的安全事件后72小時之內,企業須上報歐盟數據保護機構。按照GDPR第33(2)條的規定,意識到個人數據泄露后,數據處理器者當立即通知數據控制者。

事實表明,大多數數據泄露事件是第三方發現的,例如客戶或執法機構。事件響應計劃和業務連續性計劃可幫助企業遵守 GDPR 有關數據泄露的義務。

(七)、任命數據保護官(DPO)

小企業通常缺乏資源或專業知識來滿足該條例。缺乏具有 GDPR 合規經驗的工作人員以及預算不足是部分原因所在。此外,員工往往會低估滿足 GDPR 合規所需的努力和時間。IT 和信息安全團隊通常有責任使其組織滿足 GDPR 的合規要求,但 GDPR 條例并未限制 DPO 只為某個特定組織工作。DPO 可為多個組織機構提供相關服務。

DPO 的主要職責是負責對數據保護工作進行定期及系統性監測,同時負責內部教育、培訓以及合規性審計事務。此人還將負責企業與 GDPR 監管當局之間的溝通以及與數據主體間的交互。此要求適用于一切擁有高度敏感數據,或處理及/或存儲大量歐盟個人數據的組織,無論這些主體是否屬于組織外的員工或個人。

處理或存儲大量個人數據、定期監控公民或公共部門的企業須指定一名 DPO,指導并監督整個安全策略和 GDPR 合規性。

據Ovum 一份報告反映,85%的美國企業擔心 GDPR 會讓它們在歐洲同行中處于競爭劣勢。許多消費者表示,他們將不會容忍個人數據被粗心處理的行為。RSA 數據隱私與安全報告顯示,62%的消費者會責怪存儲數據的企業,而不是網絡犯罪分子,其原因在于數據主體不清楚企業如何處理自己的數據。隨著消費者日益了解情況,他們希望數據管理者更加透明并提高響應能力。

事實表明,大多數數據泄露事件是第三方發現的,例如客戶或執法機構。事件響應計劃和業務連續性計劃可幫助企業遵守 GDPR 有關數據泄露的義務。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 谷歌
    +關注

    關注

    27

    文章

    6142

    瀏覽量

    105110
  • 數據
    +關注

    關注

    8

    文章

    6898

    瀏覽量

    88834
  • 生物識別
    +關注

    關注

    3

    文章

    1210

    瀏覽量

    52510

原文標題:歐盟《通用數據保護條例》合規指南

文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    如何選擇適合的材料以滿足介電常數要求

    選擇適合的材料以滿足特定的介電常數要求需要考慮多個因素,包括材料的化學穩定性、熱穩定性、機械性能、加工性能以及與應用環境的相容性等。以下是一些具體的步驟和建議: 一、明確介電常數需求 首先,
    的頭像 發表于 11-25 14:26 ?132次閱讀

    北斗智聯入選國家級重點“小巨人”企業

    ? 日前,重慶市經濟和信息化委員會公示了第一批支持重點“小巨人”企業名單,北斗智聯科技有限公司(簡稱“北斗智聯”)成功入選國家級重點“小巨人”企業
    的頭像 發表于 11-23 14:38 ?280次閱讀

    企業AI開發環境要求

    構建一個滿足企業AI開發需求的環境是一個復雜且持續的過程,涉及硬件、軟件、安全、團隊協作及自動化流程等多個方面。以下是對企業AI開發環境要求的介紹,由AI部落小編為您整理。
    的頭像 發表于 11-15 09:41 ?152次閱讀

    晶閘管的觸發脈沖要滿足哪些要求

    ,以下是觸發脈沖需要滿足的一些要求: 脈沖幅度 :觸發脈沖的幅度需要足夠大,以確保晶閘管內部的PN結能夠被充分激活。通常,觸發脈沖的幅度需要
    的頭像 發表于 10-08 10:06 ?663次閱讀

    使用LMH6657做微弱信號的放大,帶寬是否滿足要求

    使用LMH6657做微弱信號的放大需要放大100倍信號帶寬在1M在datasheet中看到增益10時3dB帶寬在10M多的樣子若直接放大100 倍帶寬是否滿足要求?若直接按照270M/100=2.7M 是滿足1M帶寬的
    發表于 09-24 06:57

    電路中貼片電容需滿足哪些要求

    [貼片電容]電路中貼片電容需滿足哪些要求?貼片電容必要滿足兩個要求,一個是容量需求,另一個是ESR需求。也就是說一個0.1uF的電容退耦成果大約不如兩個0.01uF電容成果好。 而且,
    的頭像 發表于 07-10 13:58 ?265次閱讀
    電路中貼片電容需<b class='flag-5'>滿足</b>哪些<b class='flag-5'>要求</b>?

    滿足GMSL靜電防護要求的方案

    滿足GMSL靜電防護要求的方案
    的頭像 發表于 07-09 08:02 ?338次閱讀
    <b class='flag-5'>滿足</b>GMSL靜電防護<b class='flag-5'>要求</b>的方案

    拓維信息獲評2024年度湖南省重點軟件企業

    近日,湖南省工業和信息化廳正式公布2024年度湖南省重點軟件企業名單,涉及基礎軟件、工業軟件、新興技術軟件、重點行業應用軟件、信息安全軟件、
    的頭像 發表于 05-14 08:14 ?490次閱讀
    拓維<b class='flag-5'>信息</b>獲評2024年度湖南省<b class='flag-5'>重點</b>軟件<b class='flag-5'>企業</b>

    北美FCC認證代辦理的優勢有哪些?需要滿足哪些要求

    無線設備如果需要在北美地區進行銷售和使用,就必須通過合規的認證體系。北美FCC認證是指符合美國聯邦通信委員會(FederalCommunicationsCommission,簡稱FCC)制定的技術
    的頭像 發表于 02-04 17:21 ?280次閱讀
    北美FCC認證代辦理的優勢有哪些?<b class='flag-5'>需要</b><b class='flag-5'>滿足</b>哪些<b class='flag-5'>要求</b>?

    ICBE杭州站:出海企業到底需要一個什么樣的數據智能工具?

    到底有什么關聯?帶著解決方案,虹科去到了2023ICBE跨境交易博覽會的現場......一、為什么出海企業需要一個一站式的商業智能平臺?一位出海業務從業者需要考慮
    的頭像 發表于 01-04 08:04 ?437次閱讀
    ICBE杭州站:出海<b class='flag-5'>企業</b><b class='flag-5'>到底</b><b class='flag-5'>需要</b>一個什么樣的數據智能工具?

    深度揭秘信號孔旁邊到底需要幾個地過孔

    深度揭秘信號孔旁邊到底需要幾個地過孔
    的頭像 發表于 12-15 09:37 ?582次閱讀
    深度揭秘信號孔旁邊<b class='flag-5'>到底</b><b class='flag-5'>需要</b>幾個地過孔

    滿足特殊要求的定制化載帶設計

    涌現出的新型半導體材料,對載帶的設計和工藝制造也提出了更高的要求。普通的矩形口袋的設計已經無法滿足現有的芯片承載和保護需求,我們需要設計并開發出更多滿足客戶需求的特殊口袋。現在我們就以
    的頭像 發表于 12-12 17:09 ?495次閱讀
    <b class='flag-5'>滿足</b>特殊<b class='flag-5'>要求</b>的定制化載帶設計

    “口碑聲譽”首次納入關注重點,11月半導體上市輔導企業降至4家

    的戰略研究布局進行說明。 ? 11月,證監會再宣布修訂兩項IPO規定,即《首次公開發行股票并上市輔導監管規定》和《首發企業現場檢查規定》,首次將“口碑聲譽”納入關注重點,嚴管IPO“帶病闖關”。嚴格要求輔導機構充分
    的頭像 發表于 12-08 09:07 ?2865次閱讀
    “口碑聲譽”首次納入關注<b class='flag-5'>重點</b>,11月半導體上市輔導<b class='flag-5'>企業</b>降至4家

    IBM李紅焰:引領企業人工智能革命的四項基本原則

    生成式 AI 逐步融入普通消費者的生活和企業的運作,普通消費者作為 AI 使用者,也許可以不在意自己所用的 AI 技術的底層運行機制,而企業卻不行,因為作為 AI 使用者的企業需要保護
    的頭像 發表于 12-07 10:03 ?812次閱讀

    經常使用的負載開關,您到底了解多少?

    經常使用的負載開關,您到底了解多少?
    的頭像 發表于 12-05 17:45 ?743次閱讀
    經常使用的負載開關,您<b class='flag-5'>到底</b><b class='flag-5'>了解</b>多少?