GDPR（通用数据保护条例）存在的意义及对公司的作用

GDPR 是一项法规，要求企业保护欧盟公民在欧盟成员国内发生的交易的个人数据和隐私。不合规可能会让公司付出高昂的代价。以下是每家在欧洲开展业务的公司都需要了解的有关 GDPR 的信息。

GDPR对欧洲公司的影响

收集欧盟 (EU) 国家公民数据的公司需要遵守有关保护客户数据的严格新规定。通用数据保护条例 (GDPR) 为消费者数据相关权利设立了新标准，但公司在制定系统和流程以保持合规性时将面临挑战。

合规性会引起安全团队的一些担忧和新的期望。例如，GDPR 对什么构成个人身份信息采取了广泛的观点。

公司需要对个人 IP 地址或 cookie 数据等内容提供与对姓名、地址和社会安全号码所做的保护相同级别的保护。

GDPR 留下了很多解释。例如，它说公司必须为个人数据提供“合理”的保护水平，但没有定义什么是“合理”。这为 GDPR 管理机构在评估数据泄露和违规罚款时提供了很大的回旋余地。

截止日期已经不多了，因此 CSO 整理了任何企业需要了解的有关 GDPR 的信息，以及满足其要求的建议。许多要求与信息安全没有直接关系，但需要遵守的流程和系统更改可能会影响现有的安全系统和协议。

什么是 GDPR？

欧洲议会于 2016 年 4 月通过了 GDPR  ，取代了 1995 年过时的数据保护指令。它载有要求企业保护欧盟公民在欧盟成员国内发生的交易的个人数据和隐私的条款。GDPR 还规范了欧盟以外的个人数据出口。

这些规定在所有 28 个欧盟成员国中都是一致的，这意味着公司在欧盟内部只需满足一个标准。然而，该标准相当高，需要大多数公司进行大量投资才能满足和管理。

为什么 GDPR 存在？

这个问题的简短答案是公众对隐私的关注。一般来说，欧洲长期以来对公司如何使用其公民的个人数据有着更严格的规定。

GDPR 取代了欧盟的数据保护指令，该指令于 1995 年生效。这是在互联网成为今天的在线业务中心之前很久。因此，该指令已经过时，并且没有解决当今存储、收集和传输数据的许多方式。

公众对隐私的关注有多真实？它意义重大，并且随着每一次新的备受瞩目的数据泄露而增长。

根据RSA 数据隐私和安全报告，RSA 对法国、德国、意大利、英国和美国的 7,500 名消费者进行了调查，80% 的消费者表示丢失银行和金融数据是最关心的问题。76% 的受访者担心丢失安全信息（例如密码）和身份信息（例如护照或驾照）。

对于处理消费者数据的公司来说，一个令人震惊的统计数据是 62% 的 RSA 报告受访者表示，如果发生违规事件，他们会将数据丢失归咎于公司，而不是黑客。该报告的作者得出结论：“随着消费者变得更加了解情况，他们希望数据管理员能够提高透明度和响应速度。”

对公司如何处理他们的个人信息缺乏信任导致一些消费者采取了自己的对策。

报告显示，41%的受访者表示他们在在线注册服务时故意伪造数据。安全问题、希望避免不必要的营销或数据被转售的风险是他们最关心的问题。

该报告还显示，一旦发生泄露其个人数据的违规行为，消费者将不会轻易原谅一家公司。72% 的美国受访者表示，他们会抵制一家似乎无视其数据保护的公司。50% 的受访者表示，他们更有可能在一家可以证明其认真对待数据保护的公司购物。

“随着企业继续进行数字化转型，更多地利用数字资产、服务和大数据，他们还必须负责每天监控和保护这些数据，”报告总结道。

GDPR 保护哪些类型的隐私数据？

GDPR保护的隐私数据分为：

• 基本身份信息，如姓名、地址和身份证号码
  

• Web 数据，例如位置、IP 地址、cookie 数据和 RFID 标签

• 健康和遗传数据

• 生物特征数据

• 种族或种族数据

• 政见

• 性取向

公司内的谁将负责合规性？

GDPR 定义了几个负责确保合规性的角色：

• 数据控制者

• 数据处理者

• 数据保护官 (DPO)

数据控制者定义个人数据的处理方式和处理目的。控制者还负责确保外部承包商遵守规定。

数据处理者可以是维护和处理个人数据记录的内部团队，也可以是执行全部或部分这些活动的任何外包公司。GDPR 要求处理者对违规或不合规行为负责。那么，即使错误完全在处理合作伙伴身上，您的公司和处理合作伙伴（如云提供商）也有可能承担处罚责任。

GDPR 要求控制者和处理者指定 DPO 来监督数据安全策略和 GDPR 合规性。如果公司处理或存储大量欧盟公民数据，处理或存储特殊个人数据，定期监控数据主体，或者是公共机构，则要求拥有 DPO。某些公共实体（例如执法部门）可能不受 DPO 要求的约束。

根据 Propeller Insights 的调查，82% 的受访公司表示他们已经在员工中配备了 DPO，尽管 77% 的公司计划在 5 月 25 日截止日期之前雇用新的或替代的 DPO。

这种招聘并不止于 DPO。大约 55% 的调查受访者表示，他们至少招聘了六名新员工以实现 GDPR 合规性。

*文章来源：csoonline.com/

*原标题：《通用数据保护条例》（GDPR）：合规需要了解的内容

*整理编辑：A隐小私(yinxiaosi00)

想了解IAPP哪个证书适合你？

全套资料长按扫码领取

什么是IAPP国际隐私证？