通用数据保护规范(GDPR)是欧洲联盟(EU)为了规范个人数据处理和个人数据自由流动而制定的一项法规,旨在保护个人的基本权利和自由,尤其是个人数据的保护权利。GDPR于2016年4月27日通过,取代了之前的数据保护指令95/46/EC,并且在2018年5月25日开始全面实施。
GDPR涵盖了广泛的条款,以下为部分核心知识点的详细说明:
1. 目的和目标
GDPR的第1条明确规定了其目的和目标。它为自然人处理个人数据制定了相关规则。它设定了与个人数据处理有关的保护自然人基本权利和自由的原则。GDPR旨在确保个人数据在欧盟内部的自由流动不受限制,除非出于保护自然人处理个人数据权利的相关原因。
2. 材料范围
根据第2条,GDPR适用于所有通过自动化方式处理的个人数据,以及不是通过自动化方式处理的,但构成或打算构成文件系统一部分的个人数据。然而,GDPR并不适用于某些情况,例如那些非欧盟法律范围内的活动、成员国在特定领域内的活动、自然人在完全个人或家庭活动中的处理行为,以及为了预防、调查、发现或起诉犯罪行为或执行刑事处罚,包括保护公共安全而进行的处理行为。
3. 个人数据的定义
在GDPR中,“个人数据”是指任何与已识别或可识别的自然人(数据主体)相关的信息。这意味着任何能够直接或间接识别数据主体的信息都被认为是个人数据,包括但不限于名字、身份证号码、位置数据、在线身份标识或与自然人身体、生理、遗传、心理、经济、文化或社会身份有关的任何其他因素。
4. 处理个人数据的原则
GDPR明确提出了处理个人数据应遵循的一系列原则。这些原则包括合法性、公正性、透明性、目的限制、数据最小化、准确性、存储限制、完整性和保密性。这意味着处理数据时,应当保证数据的准确性,限制数据的使用于明确和合法的目的,并且保持数据的完整性和保密性。
5. 数据主体的权利
GDPR赋予了数据主体一系列的权利,包括获取数据、更正数据、删除数据(被称作“被遗忘权”)、限制数据处理、数据携带权、反对数据处理的权利以及对数据自动化决策的反对权利等。这些权利让个人能够对自己的个人数据拥有更大的控制权。
6. 数据保护官(DPO)
在某些情况下,组织必须指派一个数据保护官(DPO)。DPO负责监督组织的合规性,确保个人数据处理活动遵守GDPR的要求,并作为监管机构与数据主体之间的联系点。
7. 违规和罚款
GDPR规定的罚款非常高。如果违反了GDPR的规定,组织可能面临高达其全球年营业额4%或2000万欧元的罚款,取较大者为准。
8. 跨境数据转移
GDPR还对从欧盟内部向第三国传输个人数据制定了严格的规则,要求确保数据接收方能够提供足够的保护水平,或有适当的保护措施,例如使用标准合同条款、隐私盾(Privacy Shield,现已失效)或其他机制。
9. 数据保护影响评估
在某些情况下,组织需要进行数据保护影响评估(DPIA),特别是在使用新技术进行大规模处理个人数据时,或在处理特别敏感的个人数据时。DPIA有助于识别和降低处理活动可能对个人数据保护带来的风险。
10. 企业责任与证明
GDPR采取了一种原则,即数据处理者应当证明其处理活动符合法规规定。这意味着组织需要有文件记录,能够证明自己遵循了GDPR的规定,并且在必要时提供证据。
以上就是对通用数据保护规范(GDPR)的主要知识点的详细说明。 GDPR要求各国的公司和组织在处理个人数据时进行更加严格的管理,并为数据主体提供更多的权利和保护。此外,GDPR也对违反法规的行为规定了严重的经济处罚,以确保法律的严肃性和实施的效力。
