GDPR歐盟通用數(shù)據(jù)保護(hù)條例

GDPR不同于其前身《數(shù)據(jù)保護(hù)指令95/46/EC》，它不是一個指令而是一個法規(guī)。這意味著它將直接生效并且應(yīng)用到歐盟所有的成員國，由此可縮短實施時間并確保實現(xiàn)一致性。如果您的公司無法符合GDPR, 就可能面臨高達(dá)全球營業(yè)額的4%或2000萬歐元的行政處罰（取兩者之一更高）。

需要更多信息？

我們最快2小時內(nèi)聯(lián)系您

手機號碼電子郵箱

*自動注冊會員，在線查看咨詢進(jìn)度

立即咨詢

我已閱讀并同意隱私政策

發(fā)送成功

您的咨詢信息已收到，我們將盡快與您聯(lián)系！

用戶賬號：{{ form.phone || form.email }}

已為您注冊SGS在線商城會員
可使用賬號快捷登陸

到“我的咨詢”查看咨詢進(jìn)度

{{countdownTime}}秒后自動跳轉(zhuǎn)

掃碼關(guān)注SGS官方微信公眾號，回復(fù)“0”贏驚喜禮品！

關(guān)閉

服務(wù)背景

面對國內(nèi)外日益完善的個人隱私立法，企業(yè)如何才能做到合規(guī)？SGS憑借全球資源對歐盟GDPR以及各國個人數(shù)據(jù)、隱私保護(hù)法規(guī)、標(biāo)準(zhǔn)的進(jìn)行解讀，積累了一定的研究成果。

我們愿與企業(yè)一道，識別與企業(yè)自身活動相關(guān)的個人數(shù)據(jù)狀況、隱私保護(hù)風(fēng)險與差距，并找出應(yīng)對方法，為企業(yè)的合規(guī)經(jīng)營保駕護(hù)航。

服務(wù)概述

《通用數(shù)據(jù)保護(hù)條例》(GDPR)于2016年4月27日在歐盟官方刊物上發(fā)表。暫緩期為二年，于2018年5月25日正式生效。

GDPR旨在:
確立個人數(shù)據(jù)的保護(hù)是人權(quán)；
定義個人數(shù)據(jù)保護(hù)的原則和規(guī)章；
加強產(chǎn)品或服務(wù)提供者與他們所服務(wù)的人之間的信任。

個人的7個數(shù)據(jù)權(quán)利
GDPR的核心內(nèi)容是確立在處理個人資料的七項個人權(quán)利。任何正在處理這些數(shù)據(jù)的組織都需要確保這些權(quán)利得到保護(hù)。處理在GDPR中被定義為任何自動或手動操作，如收集、記錄、組織、結(jié)構(gòu)、存儲、調(diào)整或變更、檢索、咨詢、使用、傳輸披露、傳播或以其他方式提供、排列或組合、限制、刪除或銷毀。（如下圖）

數(shù)據(jù)權(quán)利	描述	例子
訪問權(quán)	允許個人索取本人資料的副本	銀行客戶有權(quán)請求個人數(shù)據(jù)記錄的副本，包括地址，電話等。
糾正權(quán)	允許個人更改本人信息	寬帶客戶有權(quán)要求ISP提供持有的信息，以更新他的聯(lián)系電話。
刪除權(quán)	允許個人刪除本人信息	一位美容店的顧客有權(quán)要求他的信息被刪除，因為他不再是商店會員或顧客，因此他不會被要求進(jìn)行新的促銷活動。
限用權(quán)	除非法律相關(guān)需求，允許個人禁止本人信息被使用	建筑師有權(quán)要求他的前任雇主投標(biāo)時不使用他的簡歷，但他可保留他的名字在舊記錄上，以記錄法律責(zé)任。
可攜權(quán)	允許個人將本人信息從一個機構(gòu)帶到另一個機構(gòu)	保險客戶有權(quán)要求將其個人資料轉(zhuǎn)移到另一家保險公司，如果該行業(yè)存在一種通用的電子格式，保險公司也應(yīng)提供該通用電子格式的記錄。
拒絕權(quán)	允許個人拒絕直接營銷或類似的目的	使用電子郵件推行業(yè)務(wù)的營銷公司應(yīng)提供”退訂“鏈接。
干預(yù)權(quán)	禁止控制者或處理者在未經(jīng)明確同意的情況下自動對任何人進(jìn)行評估	社交網(wǎng)絡(luò)在分析用戶行為之前，應(yīng)征求提供有針對性的廣告的明確同意。

GDPR包含以下內(nèi)容:
組織的需求（歐盟代表處，數(shù)據(jù)保護(hù)主任，同意記錄之存檔，合同要求等）；
個人的7個數(shù)據(jù)權(quán)利；
認(rèn)證方案；
成員國監(jiān)督；
建立歐盟數(shù)據(jù)保護(hù)委員會；
其他法律程序。

解決方案

GDPR對您的經(jīng)營有影響嗎？如果您的企業(yè)：

在歐盟營運業(yè)務(wù)	向歐盟銷售產(chǎn)品或服務(wù)	為歐盟市場設(shè)計產(chǎn)品
持有或處理在歐盟境內(nèi)的消費者數(shù)據(jù)，無論對方是否式公民	利用歐盟個人數(shù)據(jù)進(jìn)行市場調(diào)查	等等
你的業(yè)務(wù)很可能在GDPR的范圍內(nèi)

備注：GDPR適用于不論國籍或公民資格的歐盟境內(nèi)人士。無論處理或存儲位置，它適用于任何相關(guān)的活動或事務(wù)。

舉例說明
假設(shè)一家中國香港的零售商，在德國的一家商店里提供量身定制的設(shè)計服裝，顧客也可以通過其商店的網(wǎng)站加入他們的會員計劃。該網(wǎng)站的服務(wù)器位于中國香港。在GDPR之下，商店客戶的個人資料（姓名、地址、體型等）應(yīng)該默認(rèn)存儲在歐盟，他們的網(wǎng)站應(yīng)該構(gòu)建在一個歐盟服務(wù)器，除非商店收到德國法定機構(gòu)——德國信息專員辦公室的批準(zhǔn)，所有的GDPR規(guī)定應(yīng)當(dāng)執(zhí)行。此外，如果在未來，中國香港的零售商改變它的商業(yè)模式，決定關(guān)閉德國零售商店并依賴于德國當(dāng)?shù)亟?jīng)銷商獲得定制訂單，中國香港的零售商仍需要執(zhí)行其GDPR義務(wù)，因為他們將處理從德國經(jīng)銷商那里獲得的個人數(shù)據(jù)。

為了應(yīng)對及符合GDPR，您應(yīng)立即：
1. 任命一名數(shù)據(jù)保護(hù)主任。（第三十七條）
2. 培訓(xùn)您的員工。（第四十七條）
3. 識別在您的組織的個人資料及相關(guān)處理活動。（第三十條）
4. 確定個人的7個數(shù)據(jù)權(quán)利的處理方案。（第15-22條）
5 .確定您的公司在歐盟的主要辦事處，從而確定帶頭的監(jiān)督機構(gòu)。（第四條）
6. 如果您沒有在歐盟設(shè)立任何機構(gòu)，您仍然需要一個駐歐盟代表（第二十七條）。然而，在這種情況下，從歐盟第二十九條數(shù)據(jù)保護(hù)工作組的澄清文件wp244點2.2中，將沒有帶頭的監(jiān)督機構(gòu)。然后公司將需要遵守所有適用的監(jiān)督機構(gòu)的規(guī)定。
7. 證明合規(guī)。（第5.2、24.3條）

我們的優(yōu)勢

作為國際公認(rèn)的檢驗、鑒定、測試和認(rèn)證機構(gòu)，SGS在IT信息安全領(lǐng)域的解決方案，覆蓋范圍廣泛；并致力于為各行業(yè)機構(gòu)提供全方位管理提升服務(wù)，內(nèi)容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓(xùn)、認(rèn)證和審核相關(guān)服務(wù)。