数据保护条例合规 第一部分 数据保护条例的适用范围 2第二部分 数据主体的权利 4第三部分 数据控制者的义务 7第四部分 数据处理的合法依据 10第五部分 数据处理安全措施 12第六部分 数据泄露响应计划 15第七部分 数据转移评估 18第八部分 监督和执法机制 22第一部分 数据保护条例的适用范围关键词关键要点数据主体的权利1. 访问权:个人有权随时请求访问其数据,包括获取其个人数据副本2. 更正权:个人有权更正其数据中的任何不准确或不完整的信息3. 删除权(被遗忘权):在某些情况下,个人有权要求删除其数据4. 限制处理权:个人有权限制对其数据的处理,例如在争议期间5. 数据可携带权:个人有权将其数据从一个控制器轻松转移到另一个控制器6. 反对权:个人有权反对基于合法利益或直接营销的目的处理其数据控制器和处理者的义务1. 数据收集:控制器必须为收集个人数据提供明确和具体的目的,并获得个人的同意2. 数据处理:数据必须公平、合法地处理,且限于收集的目的3. 数据安全:控制器和处理者必须采取适当的技术和组织措施来保护个人数据免受未经授权的访问、使用和泄露4. 数据泄露通知:在发生数据泄露时,数据控制者必须在 72 小时内向有关当局和受影响个人发出通知。
5. 记录保存:控制器和处理者必须保留与数据处理活动相关的重要记录6. 与第三方的合作:当将个人数据委派给第三方时,数据控制器应对第三方处理数据的方式负责数据保护条例的适用范围《通用数据保护条例》(GDPR) 适用于在欧盟境内处理个人数据的以下实体:1. 欧盟法律实体* 具有欧盟内的主要营业场所的任何个人或法人,无论其数据处理发生在何处2. 欧盟以外的实体如果以下情况成立,则 GDPR 也适用于欧盟范围外的实体:* 在欧盟提供商品或服务,无论是否涉及付款 监控欧盟内个体行为3. 处理的个人数据类型GDPR 仅适用于处理自然人的个人数据个人数据定义为与已识别或可识别的自然人相关的信息识别或可识别自然人是可以通过直接或间接识别手段实现的,例如名称、身份证号或身份识别符4. 处理活动GDPR 适用于以下处理活动:* 收集、记录、组织、结构化、存储、改编或更改、检索、使用、披露、传播或以其他方式提供给第三方、对齐或组合、限制、删除或销毁个人数据5. 重点领域GDPR 特别适用于以下领域:* 透明度和同意:个人必须对数据处理活动有充分了解,并明确同意其个人数据的处理 数据访问权:个人有权访问有关其个人数据的信息,包括如何处理和披露这些信息。
纠正权:个人有权要求纠正或删除不准确或不完整的个人数据 数据可携带权:个人有权以结构化、常用且机器可读的格式接收其个人数据,并将其传输给其他数据控制者 知情权:在数据泄露后,个人有权被告知 数据保护影响评估:对于可能对个人权利和自由产生重大风险的数据处理,需要进行数据保护影响评估 数据泄露通知:在发生数据泄露时,数据控制者必须在 72 小时内通知监管机构和受影响的个人6. 例外情况GDPR 并非适用于所有数据处理活动,以下例外情况适用:* 数据处理仅用于个人或家庭活动 数据处理由主管当局出于国家安全、国防、公共安全或刑事调查目的进行 数据处理与就业合同有关,但仅在必要且与就业目的相关的情况下 处理匿名数据,无法识别或不能合理识别个人GDPR 承认欧盟成员国在某些领域有权制定补充性或更严格的规定,例如数据保留期限或监管机构的执法权力第二部分 数据主体的权利关键词关键要点个人数据的获取、更正和删除1. 数据主体有权访问其个人数据,包括获取数据的副本和了解数据处理目的2. 数据主体有权要求更正不准确或不完整的个人数据3. 在某些情况下,数据主体有权要求删除其个人数据,例如当数据不再必要于处理目的时。
数据的限制处理和携带数据主体的权利《数据保护条例》(GDPR) 赋予数据主体一系列重要权利,旨在保护其个人数据的隐私和安全这些权利包括:知情权* 获得有关其个人数据处理情况的明确和透明的信息 了解处理的目的、使用的法律依据、数据保留期限以及数据共享方访问权* 索取其个人数据副本 了解保存其个人数据的实体及其处理方式更正权* 要求更正不准确或不完整的个人数据 数据控制者有义务及时更正此类数据删除权(被遗忘权)* 在某些情况下,要求删除其个人数据,例如数据不再需要、同意被撤回或数据非法处理 数据控制者必须遵守删除请求,除非有合法理由保留数据限制处理权* 限制对个人数据的处理,例如暂停处理或限制其使用目的 当数据主体重申反对处理或数据准确性存在争议时,可以行使此权利数据可携权* 接收其个人数据的结构化、常用和机器可读的副本 可将数据传输给另一个数据控制者,无需受原控制者的阻碍反对权* 反对出于直接营销或基于合法利益的目的而处理其个人数据 数据控制者必须遵守反对请求,除非有压倒性的合法理由继续处理自动决策的权利* 获得有关仅基于自动处理而做出的决策的信息 有权对决定提出质疑并要求人工干预投诉权* 向监管机构投诉违反 GDPR 的行为。
监管机构有权调查投诉并采取执法行动司法救济权* 在 GDPR 权利受到侵犯的情况下,寻求法庭救济 数据主体有权要求赔偿和/或其他救济措施此外,GDPR 还规定了数据控制者在处理个人数据时必须遵守的义务这些义务包括:* 合法性、公平性和透明度:数据处理必须基于合法依据,如同意、法律义务或合法利益 目的限制:个人数据只能出于指定的合法目的收集和处理 数据最小化:收集和处理的数据必须限于实现目的所必需的数据量 准确性和最新性:数据必须准确且最新 存储限制:个人数据只能在实现目的所必需的时间内存储 安全性:数据控制者必须实施适当的技术和组织措施来保护个人数据数据主体的权利对于保护他们的隐私和个人信息的控制权至关重要GDPR 通过赋予数据主体这些权利,促进了数据保护和个人的赋权第三部分 数据控制者的义务数据控制者的义务一、保障数据主体权利1. 告知和透明度: - 向数据主体提供有关其个人数据处理的清晰、简洁的信息 - 包括收集目的、处理方式、保留期限和数据主体的权利2. 访问权: - 数据主体有权访问其个人数据,包括处理该数据的副本3. 更正权: - 数据主体有权更正其个人数据中的任何不准确或不完整之处。
4. 删除权: - 在某些情况下,数据主体有权要求删除其个人数据,例如数据不再必要或处理方式非法5. 限制处理权: - 数据主体有权限制对其个人数据的处理,例如当其准确性存疑时6. 数据可携带权: - 数据主体有权以结构化、机器可读的格式收到其个人数据,并将其传输给其他数据控制者7. 反对权: - 数据主体有权反对出于特定目的处理其个人数据二、处理原则1. 合法性、公正性和透明性: - 数据处理必须基于合法、正当、透明的目的2. 目的限制: - 数据仅用于收集目的,不得进一步处理3. 数据最小化: - 仅收集和处理为特定目的所必需的个人数据4. 准确性: - 个人数据必须准确,如有必要,必须更新5. 存储限制: - 个人数据只能在实现处理目的所必需的时间内存储6. 完整性和机密性: - 数据控制者必须采取适当的安全措施来保护个人数据的完整性和机密性三、技术和组织措施1. 技术保护措施: - 实施适当的技术保护措施以保护个人数据免受未经授权的访问、使用、披露、修改或破坏2. 组织措施: - 制定政策和程序,确保个人数据的安全性和保密性 - 限制对个人数据的访问,并仅向需要知情的人员提供访问权限。
四、数据泄露管理1. 报告义务: - 在发生数据泄露时,数据控制者必须在 72 小时内向监管机构报告2. 通知义务: - 在某些情况下,数据控制者必须通知受数据泄露影响的数据主体3. 缓解措施: - 数据控制者必须采取措施减轻数据泄露的潜在负面影响五、数据保护影响评估 (DPIA)1. 识别和评估风险: - 在进行涉及高风险处理的个人数据处理活动之前,数据控制者必须进行 DPIA 以识别和评估潜在风险2. 采取缓解措施: - 根据 DPIA 的结果,数据控制者必须采取措施减轻或消除确定的风险六、持续合规1. 持续监控: - 数据控制者必须持续监控其数据处理活动,以确保持续合规2. 定期审核: - 定期审查数据处理活动,以确保符合数据保护条例的要求3. 记录保存: - 数据控制者必须记录其数据处理活动,包括处理目的、技术和组织措施以及数据泄露事件第四部分 数据处理的合法依据关键词关键要点数据处理的合法依据同意* * 数据主体明确、知情和自愿同意收集、处理和使用其个人数据 * 同意必须以书面或电子形式记录,并且可以随时撤回合同履行* 数据处理的合法依据《数据保护条例》(GDPR)确立了六项合法依据,组织可以根据这些依据处理个人数据。
这些依据包括:1. 同意数据主体明确同意组织处理其个人数据同意必须自由给予、具体、知情和明确对于未成年人,可能需要父母或监护人的同意2. 合同履行数据处理对于履行数据主体与组织之间合同的必要条件例如,处理客户的付款信息以完成购买交易3. 法定义务数据处理是遵守法律义务所必需的例如,处理员工的工资信息以支付税款4. 重要利益处理对于保护数据主体的至关重要的利益(即生命或健康)是必要的例如,在紧急情况下处理医生的医疗信息5. 公共利益数据处理是为了执行一项由公众利益或组织行使的官方权力而必须的例如,处理人口普查数据以制定政府政策6. 合法利益组织有合法利益处理个人数据,前提是这项利益不超过数据主体的基本权利和自由该依据要求组织进行平衡测试,权衡其利益与数据主体的权利选择适当的合法依据选择一个合适的合法依据对于遵守 GDPR 至关重要组织需要考虑数据处理的具体情况以及数据主体的期望多个法律依据可以适用于同一数据处理活动同意同意是处理个人数据的首选合法依据但是,同意必须是自由给予、具体、知情和明确的组织必须能够提供证据证明已获得同意合同履行合同履行是一个常见的合法依据,用于处理与合同义务相关的个人数据。
组织必须确保数据处理对于履行合同是必要的法定义务法定义务是一个狭隘的合法依据,仅适用于与法律义务相关的处理活动组织必须能够确定处理活动是特定法律要求的必要条件重要利益重要利益合法依据用于处理对于保护数据主体的生命或健康必不可少的个人数据组织必须能够证明处理对于保护至关重要的利益是必要的公共利益公共利益合法依据用于处理为了公共利益而必须的个人数据组织必须能够证明处理活动是由公众利益或组织行使的官方权力所必需的合法利益合法利益是一个灵活的合法依据,但必须谨慎使用组织必须能够证明其利。