一文读懂GDPR：欧盟通用数据保护条例详解

创作时间:

作者:

@小白创作中心

一文读懂GDPR：欧盟通用数据保护条例详解

引用

来源

http://www.fsm8.cn/GDPR/GDPR.html

通用数据保护条例（GDPR）是欧盟推出的一项重要数据保护法规，将于5月25日正式生效。该条例不仅适用于欧盟成员国的企业，凡涉及欧盟公民数据处理的企业均需遵守。本文将为您详细介绍GDPR的主要内容、适用范围以及企业需要如何做好准备。

什么是GDPR？

通用数据保护条例（GDPR，General Data Protection Regulation）是一项新的欧盟条例，将于5月25日正式生效。该条例的主要内容可概括为增强数据监管力度，提高对欧盟公民的隐私保护，最大限度地降低企业滥用数据的问题。

不是欧盟成员国企业，GDPR仍然与你有关！

GDPR是以人为单位，保护所有欧盟公民的权益，与企业所属国无关。只要企业的客群涉及到欧盟公民，则均须遵守GDPR，对于违规企业将进行高额罚款。

GDPR生效前，企业需要怎样做准备？

如果你的企业客户为欧盟公民，你就需要对数据收集的流程做相应修改。在收集或使用任何个人数据之前，均必须征得用户同意，在用户授权后，才可以进行使用，否则将视为违法行为。

GDPR带来的巨大转变

个人权益

企业在收集用户提交的注册、报名、下载、参与活动等个人信息时，必须确保用户已经同意企业行为。GDPR在要求获得同意时，提高了公式的标准，遵循用户“自由地给予、明确、知情”，企业需要使用“清晰易懂”的法律语言来进行用户权益阐述，不可以通过其他国家语言或其他方式来模糊权益说明。同时企业还必须能够提供证明，用户的同意行为是自愿的，而非强制同意，同时也必须通知他们有权撤回该同意。

内部程序

对于处理个人数据，有若干新的原则，包括在开发系统时在数据隐私的设计构建要求，企业有义务在使用“新技术”或以风控方式处理数据隐私影响评估。数据隐私影响评估是一个系统地考虑项目可能对个人隐私造成潜在影响的过程，从而最大限度减少触碰数据隐私红线的风险。

在安全方面，GDPR将要求许多企业拥有数据隐私官（DPO）来监督他们的遵守情况。需要DPO的组织包括公共机构，其活动涉及大规模的数据主体的定期和系统监控，或组织大规模处理当前已知的敏感个人数据。

监察体系

GDPR要求在多个欧盟国家设有办事处的组织将有一个“核心的监督机构”作为执行的中心点，以一个点作为最高的监督执行机构，确保不会因地域不同引起纷争。同时GDPR还包含了一个新的要求，即在正式生效后，企业必须在得知个人数据泄露的72小时内通知其国家的监管当局，除非数据是匿名的或加密的。可能对个人造成伤害的违规行为，如身份盗窃或违反保密性，也必须向有关人员报告。