GDPR条例的12项重点分析

GDPR，英文全称：General Data Protection Regulation，中文翻译为：通用数据保护条例。是欧洲联盟的条例法规，其前身是欧盟在1995年制定的《计算机数据保护法》。

二、适用范围

(1) 本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

• 为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;

• 对发生在欧洲范围内的数据主体的活动进行监控。

三、违规处罚

是的，你没听错，也没有看错，如果违反相关规定就是要罚这么多，这么重的处罚对一个公司或单位必将是重磅的一击，一般的公司或单位可能根本经受不了这么重的处罚，大公司的心肝也是颤抖的。

四、国内动作

五、条例重点分析

1. 数据处理原则

企业在进行用户数据的相关活动中必须要了解上述内容要求，并作出相关承诺，在收集之前就要提供类似用户隐私声明一类的内容，同时明确自己的责任和义务。

除GDPR法规第9条、第10条例外规定的情形，其他情况下应禁止处理这些特殊类型的数据，包括：种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、基因数据、为了特定识别自然人的生物性识别数据、和自然人健康、个人性生活或性取向相关的数据等以及涉及犯罪定罪与违法相关的个人数据。

3. 数据主体访问权

不管是系统提供的隐私说明或是签订的合同必须能让数据主体或用户能够随时访问到这些信息，只有这样才能保障数据主体的访问权。

数据主体要能够或者说企业应该提供给数据主体对其个人数据更正和完善的权利。

5. 数据主体擦除权(被遗忘权)

大部分企业提供的应用或服务不会让数据主体或用户直接删除个人数据的，基于此，可以提供接收数据主体擦除请求的通道，帮助用户擦除一些不再必要的数据。

当数据主体对个人数据的准确性有争议、认为处理是非法的、为了提起法律辩护等情形时，企业要提供给用户限制处理权。

7. 数据携带权

就是说企业收集、处理的用户数据要进行格式化整理，并且能够支持格式化导出且机器可读。

当企业为了一些直接营销的目的，而未经数据主体或用户同意的情况下直接使用与其相关的用户画像时，数据主体或用户有权反对。

9. 合规认证

10. 签署协议

11. 数据处理安全

• 数据脱敏技术：要对个人数据进行匿名化。

• 数据加密技术：要对个人数据在存储和传输过程中进行加密。

• 数据完整性技术：要对个人数据在存储和传输过程中的完整性进行校验，避免被篡改。

• 数据访问控制技术：要对个人数据设置合理的访问控制策略，避免未授权访问和不正当的访问。

• 数据备份技术：要对个人数据进行备份，保证可用性。

• 数据恢复和响应技术：要对个人数据及时进行恢复和响应测试，确保恢复和响应的可行性。

企业需要雇佣设立专门的数据隐私保护官员来监督GDPR的执行，以及对涉及的个人数据进行相关的安全防护。

以上，就是我结合GDPR相关条例和我工作当中实施执行的相关分享和心得总结，当然还有很多小的细节没有一一列出来，大家可以以这个为参考继续去详细了解法规内容。以上纯粹个人理解，如有不当之处，请留言或私信我，一起交流，一起提高。

转载于:https://blog.51cto.com/14163835/2355364