您需要了解的有关新的一般数据保护法规的所有内容

什么是GDPR?您需要了解的有关新的一般数据保护法规的所有内容通用数据保护法规(GDPR)就在这里。以下是它的含义，它如何影响个人和企业 - 以及如何确保合规性。

GDPR代表什么？

GDPR代表通用数据保护法规。它是欧洲数字隐私立法的核心。

它是怎么产生的？

2012年1月，欧盟委员会制定了整个欧盟数据保护改革计划，以使欧洲适应数字时代。差不多四年后，就所涉及的内容及其实施方式达成了协议。

改革的关键组成部分之一是引入通用数据保护条例(GDPR)。这个新的欧盟框架适用于所有成员国的组织，对欧洲及其他地区的企业和个人都有影响。

“欧洲的数字化未来只能建立在信任的基础上。凭借坚实的数据保护共同标准，人们可以确信他们能够控制自己的个人信息，”数字单一市场副总裁Andrus Ansip说。改革于2015年12月达成一致。

什么是GDPR？

GDPR的核心是一套新的规则，旨在让欧盟公民更好地控制其个人数据。它旨在简化企业的监管环境，以便欧盟的公民和企业能够充分受益于数字经济。

这些改革的目的是反映我们现在所处的世界，并在整个欧洲范围内为互联网时代带来法律和义务 - 包括围绕个人数据，隐私和同意的法律和义务。

从根本上说，我们生活的几乎每个方面都围绕着数据。从社交媒体公司到银行，零售商和政府 - 我们使用的几乎所有服务都涉及收集和分析我们的个人数据。您的姓名，地址，信用卡号码等都是由组织收集，分析，也许是最重要的。

什么是GDPR合规？

数据泄露不可避免地发生。信息丢失，被盗或以其他方式释放到那些从未打算看到它的人手中 - 而这些人往往有恶意。

在GDPR的方面，不仅做到组织必须确保个人数据法律和严格的条件下聚集，但那些谁收集和管理它有义务保护它免受滥用和利用，以及尊重数据的权利所有者 - 或因不这样做而面临处罚。

GDPR适用于谁？

GDPR适用于在欧盟境内运营的任何组织，以及欧盟以外向欧盟客户或企业提供商品或服务的任何组织。这最终意味着世界上几乎所有大公司都需要GDPR合规战略。

立法适用于两种不同类型的数据处理程序：“处理器”和“控制器”。每项定义均载于“一般数据保护条例”第4条。

请参阅：符合GDPR标准？这是一个方便的五步准备清单

控制人是“个人，公共机关，机构或其他机构，单独或与他人共同决定个人数据处理的目的和手段”，而处理者是“人，公共机关，机构或其他机构，代表控制器处理个人数据“。例如，如果您受英国数据保护法的约束，您可能也需要符合GDPR标准。

“如果你对违规行为负责，你将承担更多的法律责任。加工商的这些义务是GDPR的新要求，”英国信息委员会办公室负责注册数据控制器，采取行动保护数据，处理问题和处理不当数据。

GDPR最终将法律义务放在处理器上以维护个人数据的记录及其处理方式，如果违反组织，则提供更高水平的法律责任。

什么是GDPR下的个人数据？

控制器还被迫确保与处理器的所有合同都符合GDPR。

根据现行法律认为属于个人的数据类型包括姓名，地址和照片。GDPR扩展了个人数据的定义，因此IP地址之类的东西可以是个人数据。它还包括敏感的个人数据，如遗传数据和生物识别数据，可以处理这些数据以唯一地识别个人。

GDPR什么时候生效？

经过四年的准备和辩论，GDPR于2016年4月获得欧洲议会批准，该指令的官方文本和法规于2016年5月以欧盟所有官方语言发布。该法案在欧洲各地生效联盟于2018年5月25日。

GDPR合规期限是什么？

截至2018年5月25日，预计所有组织都将遵守GDPR。

英国脱欧如何影响GDPR？

英国目前将于2019年10月31日离开欧盟。英国政府表示，这不会影响该国正在实施的GDPR，尽管该国不再是一个国家，但GDPR将为英国的利益服务。欧盟成员国。因此，英国脱欧不太可能对组织的GDPR合规要求产生任何影响。

GDPR对企业意味着什么？

GDPR在整个非洲大陆制定了一项法律，并制定了一套适用于在欧盟成员国开展业务的公司的规则。这意味着立法的范围远远超过欧洲本身的边界，因为在该地区以外但在“欧洲土地”上活动的国际组织仍然需要遵守。

其中一个希望是通过GDPR简化数据立法，可以为企业带来好处。欧盟委员会声称，通过对整个欧盟拥有单一的监管机构，它将使企业在该地区内运营变得更加简单和便宜。事实上，委员会声称GDPR将在欧洲每年节省23亿欧元

“通过统一欧洲的数据保护规则，立法者正在创造商机和鼓励创新，”委员会说。

参见：欧盟通用数据保护条例（GDPR）：备忘单（TechRepublic）

他们说，这意味着监管保障从最早的开发阶段就将数据保护措施纳入产品和服务中，在新产品和新技术中提供“设计数据保护”。

还鼓励组织采用“假名”等技术，以便从收集和分析个人数据中受益，同时保护客户的隐私。(尽管有些团体认为，鉴于世界上连接设备的数量，这已经太晚了。)

GDPR对消费者/公民意味着什么？

由于发生了大量的数据泄露和黑客攻击，许多人的不幸现实是，他们的一些数据 - 无论是电子邮件地址，密码，社会安全号码还是机密健康记录 - 都已暴露在互联网上。

GDPR带来的主要变化之一是让消费者有权知道他们的数据何时被黑客入侵。组织必须尽快通知相关的国家机构，以确保欧盟公民能够采取适当措施防止其数据被滥用。

消费者还承诺在处理方式方面更容易访问他们自己的个人数据，组织需要详细说明他们如何以清晰易懂的方式使用客户信息。

一些组织已经采取行动确保情况确实如此，即使它像向客户发送电子邮件一样基本，其中包含有关数据使用方式的信息，如果他们不同意成为他们的一部分，也可以选择退出它的。许多组织(例如零售和营销部门的组织)已联系客户询问他们是否想要成为其数据库的一部分。

在这种情况下，客户应该有一种简单的方法可以选择不在邮件列表中的详细信息。与此同时，其他一些部门也被警告说，为了确保遵守GDPR，他们还有很多工作要做 -特别是在涉及同意的情况下。

GDPR还带来了一个澄清的“被遗忘权”流程，该流程为不再需要处理个人数据的人提供了额外的权利和自由，并且没有理由保留它。

组织需要牢记这些消费者权利。

此隐私电子邮件是否真的来自实际的公司？这可能是骗局吗？

所有部门中各种规模的组织都会向客户发送电子邮件，要求他们选择加入以继续接收消息和其他营销材料。在大多数情况下，如果客户确实希望保留在列表中，他们只需要单击电子邮件中告知公司希望保持联系的部分。

然而，由于许多组织在GDPR上发送电子邮件，犯罪分子和诈骗者将其作为发送网络钓鱼电子邮件的主要机会，以便抓住人们不知情的情况 - 特别是考虑到人们如何从组织接收比平常更多的电子邮件。

Redscan的研究人员发现了其中一个方案，其中看到犯罪分子冒充Airbnb并声称用户将无法接受新的预订或向潜在的客人发送消息，直到新的隐私政策被接受为止。攻击者特别提到新的欧盟隐私政策是发送邮件的原因。

然而，这个计划背后的人非常利用GDPR来窃取信息，因为虽然真正的Airbnb消息没有要求任何信息，但是收到虚假消息的人被要求提供他们的个人信息，包括账户凭证和支付卡信息。

它不太可能是犯罪分子为了自己的利益而扛起GDPR的唯一尝试。

什么是GDPR违规通知？

GDPR规定所有组织都有责任报告某些类型的数据泄露，这些数据泄露涉及未经授权访问或丢失个人数据给相关监管机构。在某些情况下，组织还必须通知受违规行为影响的个人。

组织有义务报告任何可能导致个人权利和自由风险的违规行为，并导致歧视，声誉受损，经济损失，保密性或任何其他经济或社会劣势。

什么是符合GDPR标准的违规通知？

TECH PRO RESEARCH

IT领导者对无文件恶意软件威胁的指南

事件响应政策

IT领导者的网络攻击恢复指南

审计和记录策略

2018年的网络安全：一系列预测

如果公司丢失数据，无论是因为网络攻击，人为错误还是其他任何原因，公司都有义务提供违规通知。

这必须包括有关违规行为的大致数据，包括信息类别和因事件而受到损害的个人数量，以及相关个人数据记录的类别和大致数量。后者考虑了如何存在与单个个体相关的多组数据。

组织还需要提供数据泄露的潜在后果的描述，例如盗窃资金或身份欺诈，以及描述为处理数据泄露而采取的措施，并应对可能产生的任何负面影响。面对个人。

还需要提供数据保护官员的联系方式，或处理违规行为的主要联系人。

我们需要指定数据保护官吗？

根据GDPR的条款，如果组织对特殊类别的数据进行大规模处理，对行为跟踪等个人进行大规模监控，或者是公共机构，则必须指定数据保护官(DPO)。

就公共当局而言，可以在一组组织中任命一名DPO。虽然上述组织以外的组织不必强制指定DPO，但所有组织都需要确保他们具备遵守GDPR法规所需的技能和人员。

参见：GDPR证明科技巨头可以被驯服

关于谁应该成为DPO或者他们应该具备哪些资格，没有固定的标准，但根据信息专员办公室的说法，他们应该具有与组织实施的比例相称的专业经验和数据保护法。

如果GDPR要求，未能指定数据保护官员可能被视为不合规并导致罚款。

GDPR合规性是什么样的？

GDPR可能看起来很复杂，但问题的真相是，在很大程度上，立法正在巩固目前构成英国数据保护法案一部分的原则。

但是，有一些GDPR要素，例如违规通知，并确保有人负责组织需要解决的数据保护，或承担罚款风险。

准备GDPR没有“一刀切”的方法。相反，每个企业都需要知道确切需要达到什么才能遵守，谁是负责确保其发生的数据控制者。

“你应该实施全面但相称的治理措施，”英国ICO表示。“最终，这些措施应该最大限度地降低违规风险，并维护个人数据的保护。实际上，这可能意味着更多的组织政策和程序，尽管许多组织已经制定了良好的治理措施。”

看：GDPR会真正保护欧盟公民吗？61％的信息安全专业人士说是（TechRepublic）

这可能是小企业中的个人，甚至是跨国公司的整个部门的责任。无论哪种方式，都需要考虑预算，系统和人员才能使其发挥作用。

根据GDPR促进问责制和治理的规定，公司需要实施适当的技术和组织措施。这些可包括数据保护规定(工作人员培训，处理活动的内部审计和人力资源政策审查)，以及保存处理活动的文件。ICO表示，组织可以看到的其他策略包括数据最小化和假名，或允许个人监控处理。

在为GDPR做准备时，ICO等机构就应该考虑的内容提供了一般性指导。所有组织都需要确保他们已经执行了所有必要的影响评估并符合GDPR标准，否则可能会违反新指令。

GDPR在这里，现在呢？

截至2018年5月25日，GDPR已经生效，其前几天和几周，公司向客户发送电子邮件，要求他们选择加入新的隐私和同意政策。在最初的24小时内，电子邮件变得如此厚实和快速，许多网络用户感到不知所措。

在截止日期之前，一些组织和平台，包括社交媒体网站评分网站Klout只是关闭了运营--Klout没有明确指出GDPR，但5月25日的日期可能并非巧合。它不是关闭操作或限制访问欧洲用户的唯一服务。

5月25日上午访问美国新闻网站如洛杉矶时报，芝加哥时报和巴尔的摩太阳报的欧洲用户发现他们无法访问这些网站，出版商指出GDPR是其中的原因。

“不幸的是，我们的网站目前在大多数欧洲国家都无法使用。我们正在研究这个问题，并致力于寻找支持我们在欧盟市场上全系列数字产品的选项，”芝加哥论坛报网站上的一份声明说。

Lee Enterprises和Tronc集团在新闻出版物上发布了类似的声明 - 许多这些出版物的一年仍向试图访问这些网站的欧洲用户显示相同的信息。

拒绝用户访问产品 - 至少暂时 - 被许多人视为值得付出的代价，以避免潜在的罚款。虽然有些人会问这个问题，他们对用户数据做了什么以及他们有什么同意?

GDPR自推出以来发生了哪些变化？

截至2019年5月，美国出版商的许多问题仍然没有得到解决，Tronc等人仍然向欧洲用户道歉。

由于包括Facebook在内的一些最大的科技公司表示他们已经开始感受到GDPR的叮咬，因此出版商不是唯一不得不接受新现实的组织。社交网络指责GDPR在今年第二季度每月用户数下降约100万，以及欧洲广告收入增长下滑。

各种规模的组织都发现自己受到某种程度的影响。Forrester的分析师表示，许多公司报告其电子邮件和其他联系方式的可寻址市场减少了25%至40%。

结果，许多公司发现自己不得不考虑吸引消费者和创造收入的新方法。分析师Gartner表示，由于GDPR等立法，一些公司可能不得不重新考虑其数据中心战略。

自GDPR推出以来，全球一些最大的科技公司试图将其产品重新定位为以隐私为重点 - 这种策略可能在某种程度上是由于对隐私和同意的认识提高。

苹果首席执行官蒂姆库克呼吁美国引入相当于GDPR的数据，以防止数据被用户武器化。与此同时，Facebook首席执行官马克扎克伯格最近谈到了隐私将如何成为Facebook的未来- 尽管他承认有些人可能会发现这很难相信。

GDPR和数据保护的下一步是什么？

世界各国和地区似乎通过引入或修改数据保护立法从GDPR中获取线索。自引入GDPR以来，已表示将改变其隐私法的国家包括巴西，日本，韩国，印度等。

加利福尼亚州硅谷也将在加利福尼亚州消费者隐私法案中引入自己的数据隐私法，该法案自2020年1月1日起生效。

该立法遵循GDPR的脚步，允许个人对如何使用他们的个人数据有更大的发言权，但在许多方面它并没有达到这样的程度：没有设定时间限制通知消费者违反和组织不会因违规而面临罚款。

然而，将这项立法引入科技行业的热度似乎表明隐私和同意是可能改变硅谷运作方式的问题。