資料的保護

「一般資料保護條例」(gdpr)

歐盟通用資料保護條例（gdpr）取代資料保護指令95/46 / ec，旨在協調整個歐洲的資料隱私法律，保護所有歐盟公民的資料隱私，並重塑整個地區在儲存和處理隱私資料上的管理方式。

由於違反gdpr的規定，組織可能會被罰款高達全球年營業額的4％，或2000萬歐元。比如，如果沒有客戶的足夠的同意處理資料或違反隱私概念的核心內容，就可以認定為最嚴重的侵權行為並施加的最高罰款。有一種分級的處罰辦法，例如，下列行為將被罰款全球營業額的2%（第28條）：公司沒有有秩序的記錄，不通知監管當局有關的違約，不進行影響評估。值得注意的是，這些規則適用於控制方和處理方 - 這意味著』雲計算』不會免於gdpr的執行。

歐盟發布這個新規定的主要原因

(1)為歐盟的資料主體提供更多保護個人隱私的權力

(2)基於隱私保護加強服務提供者與他們所服務的人之間的信任

(3)為企業提供明確的法律框架，通過制定統一的法律來消除任何區域差異

「一般資料保護條例」(gdpr)在2023年5月25日生效，這使得組織將在一年後為如何處理歐盟居民個人資料做出了巨大的改變。以下**組織如何為gdpr做好準備。

組織的資料安全管理是否符合gdpr規定

gdpr與其前身資料保護指令(指令95/46/ec)相比，適用於更大範圍的組織。事實上，不受歐洲隱私法律約束的許多企業實際上需要遵守gdpr。如何確定您的組織是否必須遵守呢？

組織是否需要資料保護官(dpo)?

（a）公共當局，（b）從事大規模系統監測的組織，或（c）從事大規模處理敏感個人資料的組織（第37條），必須指定dpo。如果您的組織不屬於這些類別之一，那麼您無需指定dpo。與合規官或法律顧問不同，組織的資料保護官(dpo)需要向執行委員會報告，並有權監視組織的資料處理。擁有250名或以上員工處理敏感資料或犯罪記錄的組織必須指定dpo。這根據他們處理敏感資料的程度和頻率而定，擁有少於250名員工的組織可能也需要指定dpo。

是否有程式響應刪除/修改/遷移的請求?

哪些型別的隱私資料將受到gdpr保護?

基本的身份資訊，如姓名、位址和身份證號碼等;

網路資料，如位置、ip位址、cookie資料和rfid標籤等;

醫療保健和遺傳資料;

生物識別資料，如指紋、虹膜等;

種族或民族資料;

政治觀點;

性取向。

資料主體的權利

資料洩漏通知

根據gdpr，在資料洩露可能「導致個人權利和自由風險」的所有成員國，洩密通知將成為強制性要求。這必須在第一次意識到違規後的72小時內完成。資料處理者也將被要求在第一次意識到資料洩露之後「通知他們的客戶和資料管理者」，決不能「無故拖延」。

訪問權gdpr延展了資料主體的訪問權利。資料主體有權從資料管理員處獲得下列確認: 是否正在處理與其有關的個人資料、處理地點以及處理目的。此外，資料管理員應以電子格式免費提供個人資料的副本。這一變化強調了資料管理的透明度，體現了資料主體授權的重要性。

被遺忘的權利

也稱為資料擦除，被遺忘的權利使資料主體有權讓資料管理方擦除他/她的個人資料，停止進一步傳播資料，並可能讓第三方停止處理資料。正如第17條所述，如果資料處理與原始目的不再相關，或者資料主體撤回同意，資料主體則有權要求刪除這些資料。還應該指出的是，這項權利要求資料管理者在考慮這些請求時將資料主體的權利與公眾對可用資料的興趣進行比較。

資料可移植性

gdpr引入了資料可移植性 - 資料主體有權獲得他們的個人資料，並有權將該資料傳輸給另乙個資料管理方。

融入設計的隱私（privacy by design）

」privacy by design「作為乙個概念已經存在多年了，現在它正式成為了gdpr法律要求的一部分。在核心上，它要求在系統設計開始時就應該含有資料保護的理念，而不是後來增加。更具體地說，「資料管理方應當以有效的方式採納適當的技術和組織措施，以符合本法規的要求，全面保護資料主體的權利」。第23條要求資料管理方只保留和處理對完成其職責絕對必要的資料（資料最小化），並將個人資料的訪問僅僅限於確實需要的相關人員。

資料的保護

資料視窗的資料保護

共用資料的保護

共享資料的保護

資料的保護

資料視窗的資料保護

共用資料的保護

共享資料的保護

相關推薦