史上最嚴數據保護法GDPR生效，你準備好了么？

發(fā)布日期：2018/05/25

GDPR（General Data Protection Regulation，通用數據保護條例）是歐盟針對隱私保護實(shí)施的一項新立法，是20年來(lái)最重要的數據隱私保護變化，也是有史以來(lái)規模最大、最具懲罰性的隱私保護法。

任何違反GDPR的行為，會(huì )產(chǎn)生1000萬(wàn)到2000萬(wàn)歐元的罰款，或企業(yè)全球年營(yíng)業(yè)額的2%到4%，以數額最大的為準。該法于今日正式在歐盟實(shí)施，并取代1995數據保護指令，為歐盟各成員國提供統一的數據保護規則。

GDPR適用于歐盟境內設立的實(shí)體（公司、組織等）處理個(gè)人數據的行為，同時(shí)也約束了非歐盟實(shí)體處理歐盟境內數據主體的個(gè)人數據的活動(dòng)，只要該活動(dòng)與向歐盟境內的數據主體提供商品或服務(wù)（無(wú)論是否收費），或與監控該數據主體在歐盟的活動(dòng)有關(guān)。歐盟發(fā)布這個(gè)新規定的主要原因：

(1)為歐盟公民提供更多使用自身資料的權力；

(2)加強數字服務(wù)提供者與他們所服務(wù)的人之間的信任；

(3)為企業(yè)提供明確的法律框架，通過(guò)在歐盟單一市場(chǎng)上制定統一的法律來(lái)消除任何區域差異。

數據安全要求：GDPR規定下，企業(yè)應采取技術(shù)和管理措施，保障數據安全，包括但不限于對個(gè)人數據加密處理、實(shí)施數據安全評估、隱私保護設計等；

強制的數據泄露通知：發(fā)生數據泄漏事件，數據控制者應當在72小時(shí)內向監管機構報告，可能對數據主體產(chǎn)生高風(fēng)險的，還需告知數據主體；

數據主體權利：GDPR項下，數據主體享有對自己數據更廣泛的權利，包括增刪改查、數據刪除權、數據可攜帶權和拒絕數據畫(huà)像的權利等；

數據主體的同意：對個(gè)人數據的處理普遍須取得數據主體的明確同意，該同意必須是自由做出的、特定的、明確的和知情的；

數據處理記錄：數據控制者和數據處理者均需保存數據處理記錄。