通用数据保护条例GDPR重点条款解读

2018年5月25日,《通用数据保护条例》(GDPR) 在欧盟 (EU) 正式生效。GDPR 的目的是在欧盟范围内建立协调一致的数据保护监管框架,让数据主体重新控制自己的个人数据,同时对全球任何地方托管和处理这些数据的人员施加规则。GDPR被称为最严格的个人数据保护法案,越来越多的国家借鉴GDPR制定本国的数据保护方案,因此对IT从业人员来说,了解GDPR对日常工作有极大的帮助。

个人数据 Personal Identifiable Information

GDPR个人数据定义为: information relating to anidentified or identifiable natural person 。翻译为中文: 个人数据,指“与一个人身份已被识别或者身份可以识别的自然人(数据主体)相关的任何信息”

GDPR适用地域范围

  • 在欧盟内有设计机构的控制者或处理者对个人数据的处理,无论处理行为是否在欧盟内
  • 控制者和处理者对欧盟内的数据主体的个人数据处理,即使控制者和处理者在欧盟外

欧盟境外的数据控制者与数据处理者,在如下场景也适用GDPR

  • 为欧盟境内的客户提供产品或服务
  • 监控其在欧盟境内的行为

个人数据处理7原则

  1. 合法、正当、透明:数据主体的个人数据应当以正当、合法、透明的方式被处理
  2. 目的限制:个人数据应当基于具体、明确、合法的目的收集,不应以与此目的不相容的方式进一步处理
  3. 数据最小化:个人数据应与数据目的相关,且是适当、必要的
  4. 准确性:根据数据处理的目的,采取合理的措施确保及时删除或修正不准确的个人数据
  5. 存储期限最小化:存储个人数据不超过处理目的所需的必要期限
  6. 完整性与保密性:采取适当的技术或组织措施确保个人数据的适度安全,防止个人数据被未授权处理、非法处理、意外丢失、销毁或损坏
  7. 可归责:数据控制者须负责且能展示遵从上述原则

在处理个人数据前评估和确定处理活动是否遵循上述七大基本原则,违反这些数据处理基本原则将会使公司面临最高2千万欧元或上一财政年度全球营业总额4%的行政罚款。

个人数据合法性基础

  1. 数据主体的有效同意
  2. 为了履行与数据主体的合同所必要处理:如购物订单中的送货地址
  3. 为履行数据控制者法定义务所必要处理
  4. 为保护数据主体或他人重大利益所必要
  5. 为履行涉及公众利益任务所必要处理
  6. 为追求合法利益所必要处理,单不能影响数据主体基本权利和自由

特殊类别个人数据,在本人基本权利和自由方面极其敏感,一旦泄露可能会造成人身损害、财产损失、名誉损害等,需要获得数据主体明确且显性同意。 包括但不限于如下数据

  • 种族或血统
  • 宗教或哲学信仰
  • 政治观点
  • 基因和生物信息
  • 健康信息
  • 工会成员资格
  • 性生活或性取向

数据主体8大权利

  1. 知情权
  2. 访问权
  3. 修正权
  4. 限制处理权
  5. 删除权(被遗忘权)
  6. 数据可携带权
  7. 拒绝权
  8. 不受制于自动化决策的权利

数据主体、数据控制者、数据处理者

数据主体 Data Subject

个人数据的拥有者。 Data Subject: an individualabout whom information is stored in a computer-based system.

数据控制者

  • 数据控制者决定
    • 是否收集个人数据和法律依据
    • 收集哪些个人数据
    • 数据使用的一个或多个目的
    • 向哪些人收集个人数据
    • 是否披露数据(向谁披露)
    • 数据主体访问权利以及其他数据主体的权利是否适用
    • 数据存留多久,是否会对数据进行不定期修改
  • 数据控制者的义务
    • 从设计着手保护数据以及默认保护数据
    • DPIA 数据保护影响评估
    • 管理数据处理者
    • 记录数据处理活动
    • 任命数据保护官 DPO
    • 承担数据泄露通知义务,72小时内通报监管机构
    • 承担安全性义务,保证个人数据处理系统和服务的保密性、完整性、可用性、可恢复性能力
    • 可归责义务

数据处理者

  • 数据处理者决定
    • 使用什么IT系统或其他方法收集个人数据
    • 如何存储个人数据
    • 个人数据安全相关细节
    • 将个人数据从一个组织转移到另外一个组织时使用的手段
    • 恢复关于某些人的个人数据时使用的手段
    • 确保遵循存留期限的方法
    • 删除或处置数据时使用的手段
  • 数据处理者的义务
    • 遵从控制者指令
    • 记录数据处理活动
    • 与监管机构合作
    • 数据安全
    • 数据泄露通知控制者
    • 任命DPO
    • 遵从数据转移义务
    • 签署数据处理协议

控制者与处理者区别的关键在于:(a)是否决定数据处理的方式和目的以及(b)对数据的性质和内容的控制程度。

数据保护影响评估 DPIA

  1. 识别是否涉及个人数据
  2. 识别DPIA需求(敏感个人数据,数据采集、使用、存留和处置,向关联企业外的第三方披露,跨境转移,客户明确需求)

个人数据跨境转移

跨境转移要求

  1. 数据可向达到欧盟认可的充分个人数据保护水平的国家转移
  2. 可采取适当的保障措施确保合法跨境转移:数据转移协议MCC,企业约束规则BCR

Reference

GDPR GDPR个人数据权与《网络安全法》个人信息权之比较

关注公众号获得更多云最佳实践