GDPR歐盟通用數(shù)據(jù)保護(hù)條例

GDPR不同于其前身《數(shù)據(jù)保護(hù)指令95/46/EC》，它不是一個(gè)指令而是一個(gè)法規(guī)。這意味著它將直接生效并且應(yīng)用到歐盟所有的成員國，由此可縮短實(shí)施時(shí)間并確保實(shí)現(xiàn)一致性。如果您的公司無法符合GDPR, 就可能面臨高達(dá)全球營(yíng)業(yè)額的4%或2000萬歐元的行政處罰（取兩者之一更高）。

需要更多信息？

我們最快2小時(shí)內(nèi)聯(lián)系您

手機(jī)號(hào)碼電子郵箱

*自動(dòng)注冊(cè)會(huì)員，在線查看咨詢進(jìn)度

立即咨詢

我已閱讀并同意隱私政策

發(fā)送成功

您的咨詢信息已收到，我們將盡快與您聯(lián)系！

用戶賬號(hào)：{{ form.phone || form.email }}

已為您注冊(cè)SGS在線商城會(huì)員
可使用賬號(hào)快捷登陸

到“我的咨詢”查看咨詢進(jìn)度

{{countdownTime}}秒后自動(dòng)跳轉(zhuǎn)

掃碼關(guān)注SGS官方微信公眾號(hào)，回復(fù)“0”贏驚喜禮品！

關(guān)閉

服務(wù)背景

面對(duì)國內(nèi)外日益完善的個(gè)人隱私立法，企業(yè)如何才能做到合規(guī)？SGS憑借全球資源對(duì)歐盟GDPR以及各國個(gè)人數(shù)據(jù)、隱私保護(hù)法規(guī)、標(biāo)準(zhǔn)的進(jìn)行解讀，積累了一定的研究成果。

我們?cè)概c企業(yè)一道，識(shí)別與企業(yè)自身活動(dòng)相關(guān)的個(gè)人數(shù)據(jù)狀況、隱私保護(hù)風(fēng)險(xiǎn)與差距，并找出應(yīng)對(duì)方法，為企業(yè)的合規(guī)經(jīng)營(yíng)保駕護(hù)航。

服務(wù)概述

《通用數(shù)據(jù)保護(hù)條例》(GDPR)于2016年4月27日在歐盟官方刊物上發(fā)表。暫緩期為二年，于2018年5月25日正式生效。

GDPR旨在:
確立個(gè)人數(shù)據(jù)的保護(hù)是人權(quán)；
定義個(gè)人數(shù)據(jù)保護(hù)的原則和規(guī)章；
加強(qiáng)產(chǎn)品或服務(wù)提供者與他們所服務(wù)的人之間的信任。

個(gè)人的7個(gè)數(shù)據(jù)權(quán)利
GDPR的核心內(nèi)容是確立在處理個(gè)人資料的七項(xiàng)個(gè)人權(quán)利。任何正在處理這些數(shù)據(jù)的組織都需要確保這些權(quán)利得到保護(hù)。處理在GDPR中被定義為任何自動(dòng)或手動(dòng)操作，如收集、記錄、組織、結(jié)構(gòu)、存儲(chǔ)、調(diào)整或變更、檢索、咨詢、使用、傳輸披露、傳播或以其他方式提供、排列或組合、限制、刪除或銷毀。（如下圖）

數(shù)據(jù)權(quán)利	描述	例子
訪問權(quán)	允許個(gè)人索取本人資料的副本	銀行客戶有權(quán)請(qǐng)求個(gè)人數(shù)據(jù)記錄的副本，包括地址，電話等。
糾正權(quán)	允許個(gè)人更改本人信息	寬帶客戶有權(quán)要求ISP提供持有的信息，以更新他的聯(lián)系電話。
刪除權(quán)	允許個(gè)人刪除本人信息	一位美容店的顧客有權(quán)要求他的信息被刪除，因?yàn)樗辉偈巧痰陼?huì)員或顧客，因此他不會(huì)被要求進(jìn)行新的促銷活動(dòng)。
限用權(quán)	除非法律相關(guān)需求，允許個(gè)人禁止本人信息被使用	建筑師有權(quán)要求他的前任雇主投標(biāo)時(shí)不使用他的簡(jiǎn)歷，但他可保留他的名字在舊記錄上，以記錄法律責(zé)任。
可攜權(quán)	允許個(gè)人將本人信息從一個(gè)機(jī)構(gòu)帶到另一個(gè)機(jī)構(gòu)	保險(xiǎn)客戶有權(quán)要求將其個(gè)人資料轉(zhuǎn)移到另一家保險(xiǎn)公司，如果該行業(yè)存在一種通用的電子格式，保險(xiǎn)公司也應(yīng)提供該通用電子格式的記錄。
拒絕權(quán)	允許個(gè)人拒絕直接營(yíng)銷或類似的目的	使用電子郵件推行業(yè)務(wù)的營(yíng)銷公司應(yīng)提供”退訂“鏈接。
干預(yù)權(quán)	禁止控制者或處理者在未經(jīng)明確同意的情況下自動(dòng)對(duì)任何人進(jìn)行評(píng)估	社交網(wǎng)絡(luò)在分析用戶行為之前，應(yīng)征求提供有針對(duì)性的廣告的明確同意。

GDPR包含以下內(nèi)容:
組織的需求（歐盟代表處，數(shù)據(jù)保護(hù)主任，同意記錄之存檔，合同要求等）；
個(gè)人的7個(gè)數(shù)據(jù)權(quán)利；
認(rèn)證方案；
成員國監(jiān)督；
建立歐盟數(shù)據(jù)保護(hù)委員會(huì)；
其他法律程序。

解決方案

GDPR對(duì)您的經(jīng)營(yíng)有影響嗎？如果您的企業(yè)：

在歐盟營(yíng)運(yùn)業(yè)務(wù)	向歐盟銷售產(chǎn)品或服務(wù)	為歐盟市場(chǎng)設(shè)計(jì)產(chǎn)品
持有或處理在歐盟境內(nèi)的消費(fèi)者數(shù)據(jù)，無論對(duì)方是否式公民	利用歐盟個(gè)人數(shù)據(jù)進(jìn)行市場(chǎng)調(diào)查	等等
你的業(yè)務(wù)很可能在GDPR的范圍內(nèi)

備注：GDPR適用于不論國籍或公民資格的歐盟境內(nèi)人士。無論處理或存儲(chǔ)位置，它適用于任何相關(guān)的活動(dòng)或事務(wù)。

舉例說明
假設(shè)一家中國香港的零售商，在德國的一家商店里提供量身定制的設(shè)計(jì)服裝，顧客也可以通過其商店的網(wǎng)站加入他們的會(huì)員計(jì)劃。該網(wǎng)站的服務(wù)器位于中國香港。在GDPR之下，商店客戶的個(gè)人資料（姓名、地址、體型等）應(yīng)該默認(rèn)存儲(chǔ)在歐盟，他們的網(wǎng)站應(yīng)該構(gòu)建在一個(gè)歐盟服務(wù)器，除非商店收到德國法定機(jī)構(gòu)——德國信息專員辦公室的批準(zhǔn)，所有的GDPR規(guī)定應(yīng)當(dāng)執(zhí)行。此外，如果在未來，中國香港的零售商改變它的商業(yè)模式，決定關(guān)閉德國零售商店并依賴于德國當(dāng)?shù)亟?jīng)銷商獲得定制訂單，中國香港的零售商仍需要執(zhí)行其GDPR義務(wù)，因?yàn)樗麄儗⑻幚韽牡聡?jīng)銷商那里獲得的個(gè)人數(shù)據(jù)。

為了應(yīng)對(duì)及符合GDPR，您應(yīng)立即：
1. 任命一名數(shù)據(jù)保護(hù)主任。（第三十七條）
2. 培訓(xùn)您的員工。（第四十七條）
3. 識(shí)別在您的組織的個(gè)人資料及相關(guān)處理活動(dòng)。（第三十條）
4. 確定個(gè)人的7個(gè)數(shù)據(jù)權(quán)利的處理方案。（第15-22條）
5 .確定您的公司在歐盟的主要辦事處，從而確定帶頭的監(jiān)督機(jī)構(gòu)。（第四條）
6. 如果您沒有在歐盟設(shè)立任何機(jī)構(gòu)，您仍然需要一個(gè)駐歐盟代表（第二十七條）。然而，在這種情況下，從歐盟第二十九條數(shù)據(jù)保護(hù)工作組的澄清文件wp244點(diǎn)2.2中，將沒有帶頭的監(jiān)督機(jī)構(gòu)。然后公司將需要遵守所有適用的監(jiān)督機(jī)構(gòu)的規(guī)定。
7. 證明合規(guī)。（第5.2、24.3條）

我們的優(yōu)勢(shì)

作為國際公認(rèn)的檢驗(yàn)、鑒定、測(cè)試和認(rèn)證機(jī)構(gòu)，SGS在IT信息安全領(lǐng)域的解決方案，覆蓋范圍廣泛；并致力于為各行業(yè)機(jī)構(gòu)提供全方位管理提升服務(wù)，內(nèi)容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓(xùn)、認(rèn)證和審核相關(guān)服務(wù)。