GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟针对隐私保护实施的一项新立法,是20年来最重要的数据隐私保护变化,也是有史以来规模最大、最具惩罚性的隐私保护法。
任何违反GDPR的行为,会产生1000万到2000万欧元的罚款,或企业全球年营业额的2%到4%,以数额最大的为准。该法于今日正式在欧盟实施,并取代1995数据保护指令,为欧盟各成员国提供统一的数据保护规则。
GDPR适用于欧盟境内设立的实体(公司、组织等)处理个人数据的行为,同时也约束了非欧盟实体处理欧盟境内数据主体的个人数据的活动,只要该活动与向欧盟境内的数据主体提供商品或服务(无论是否收费),或与监控该数据主体在欧盟的活动有关。欧盟发布这个新规定的主要原因:
(1)为欧盟公民提供更多使用自身资料的权力;
(2)加强数字服务提供者与他们所服务的人之间的信任;
(3)为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。
数据安全要求:GDPR规定下,企业应采取技术和管理措施,保障数据安全,包括但不限于对个人数据加密处理、实施数据安全评估、隐私保护设计等;
强制的数据泄露通知:发生数据泄漏事件,数据控制者应当在72小时内向监管机构报告,可能对数据主体产生高风险的,还需告知数据主体;
数据主体权利:GDPR项下,数据主体享有对自己数据更广泛的权利,包括增删改查、数据删除权、数据可携带权和拒绝数据画像的权利等;
数据主体的同意:对个人数据的处理普遍须取得数据主体的明确同意,该同意必须是自由做出的、特定的、明确的和知情的;
数据处理记录:数据控制者和数据处理者均需保存数据处理记录。