欧盟GDPR《通用数据保护条例》是欧洲联盟制定的一项严格数据保护法规,旨在规范组织如何收集、处理、存储和保护欧盟境内居民的个人数据。以下是关于GDPR的详细介绍:
一、背景与目的
背景:随着数字时代的到来,个人数据的收集、处理和传输变得日益普遍,个人隐私和数据安全面临严峻挑战。为了保护欧盟公民的个人数据权利,欧盟制定了GDPR。
目的:赋予欧盟公民对其个人数据更多的控制权,统一欧盟范围内的数据保护法律框架,简化跨国企业的合规流程,并提高数据处理的透明度和问责制。
二、主要内容
适用范围:
地域范围:适用于所有在欧盟境内提供商品或服务,或监控欧盟居民行为的组织,无论其是否位于欧盟境内。
数据主体:保护欧盟居民(数据主体)的个人数据,包括姓名、地址、IP地址、生物识别数据等。
核心原则:
合法、公平、透明性:数据处理活动必须合法、公平且透明。
目的限制:数据处理的目的应明确、具体,并限于收集数据时的目的。
数据最小化:仅收集处理目的所需的最少量个人数据。
准确性:确保个人数据的准确性,并采取合理步骤及时更正或删除不准确的数据。
存储限制:仅在实现处理目的所需的时间内保留个人数据。
安全性和保密性:采取适当的技术和组织措施保护个人数据免受未经授权的访问、披露、更改或破坏。
问责制:数据处理者需对其数据处理活动负责,并能够证明其合规性。
数据主体权利:
知情权:数据主体有权了解其个人数据的处理情况。
访问权:数据主体有权访问其个人数据。
更正权:数据主体有权要求更正其不准确的个人数据。
删除权(被遗忘权):数据主体有权要求删除其个人数据。
限制处理权:数据主体有权要求限制对其个人数据的处理。
数据可携权:数据主体有权以结构化、常用和机器可读的格式接收其个人数据,并将其传输给另一个数据控制者。
反对权:数据主体有权反对对其个人数据的处理,特别是在直接营销和基于合法利益的处理情况下。
企业义务:
法律依据合规:企业必须满足GDPR规定的六大合法基础之一,才能处理个人数据。
数据保护影响评估(DPIA):对于可能对个人权利和自由构成高风险的数据处理活动,企业必须在处理前进行DPIA。
任命数据保护官(DPO):在某些情况下,如大规模处理敏感数据或定期系统性监控个人,企业必须任命DPO。
跨境数据传输合规:企业向欧盟外传输数据需满足特定条件,如目的国获欧盟“充分性认定”、签署标准合同条款(SCC)或实施有约束力的公司规则(BCR)。
72小时泄露报告:企业发生数据泄露时,需在72小时内向相关监管机构报告。
三、实施与影响
实施时间:GDPR于2016年通过,并于2018年5月25日正式生效。
影响范围:GDPR具有“长臂管辖”效力,其适用范围非常广泛。无论公司注册地在哪里,只要它满足特定条件(如在欧盟境内设有业务机构、向欧盟境内居民提供商品或服务、监控欧盟境内居民的行为),就必须遵守GDPR。
合规挑战:GDPR对企业提出了更高的合规要求,企业需要投入更多资源来确保数据处理活动的合规性。这包括进行数据保护影响评估、任命数据保护官、建立数据保护管理体系等。
处罚力度:GDPR对违规行为处以严厉罚款,最高可达2000万欧元或公司全球年营业额的4%(以较高者为准)。
四、典型案例
Meta被罚12亿欧元:2023年,Meta因跨境数据传输违规被罚款12亿欧元。
British Airways数据泄露罚2000万英镑:British Airways因数据泄露被罚款2000万英镑。
H&M因员工监控被罚3530万欧元:H&M因未经同意监控员工被罚款3530万欧元。
