GDPR法规详细解读
gdpr_I
Chapter I General Provisions
控制和处理个人数据的法律基础。
N/A
gdpr_II
Chapter II, Principles
法规的基本原则
N/A
gdpr_II_5.1.a~e
Chapter II, Art. 5, Principles relating to processing of personal data
处理个人数据相关的一些要求,包括合理,合法,透明,最小必要收集数据,数据准确,数据保存时间不超过处理个人数据的目的所需的时间。
通过使用一些个人数据保护影响评估模板,在每次项目立项以及产品迭代开发前,通过评估模板评估个人数据的要求是否得到满足。
gdpr_II_5.1.f
Chapter II, Art. 5, Principles relating to processing of personal data
确保个人数据适当安全的方式进行处理,包括使用适当的技术或组织措施,防止未经授权的或非法的处理,以及防止意外的损失、破坏或损害("完整性和保密性")。
参见数据安全合规,进行完整的,系统的安全建设,保护数据不被泄漏。
gdpr_II_5.2
Chapter II, Art. 5, Principles relating to processing of personal data
控制者应负责并能够证明遵守第1款("问责制")。
数据控制者应该保留相关的记录和证据,以证明他们遵守了个人隐私保护法和其他适用法律法规。这些记录和证据可以包括:
数据处理的目的和方式的明确说明,以及与此相关的数据收集、存储和使用规则;
数据处理的合法性依据,包括法律文件、合同、政策等;
数据安全保障措施的有效性评估报告;
数据主体权利保护的实施情况记录;
内部审计和监督机制的运作情况说明;
其他相关记录和证据。
gdpr_II_6
Chapter II, Art. 6, Lawfulness of processing
满足什么条件处理数据才合法,条款首先解释了GDPR中有关处理个人数据的规则,然后提供了一些自查清单,以帮助控制者确定他们的处理是否合法。
可以准备个人数据保护影响评估模板,每次收集数据的相关项目开发前,都通过这个清单评估是否符合相关的法律要求,并且还可以留下数据处理的合法性依据,方便在面临监管部门审查时提供。
gdpr_II_7
Chapter II, Art. 7, Conditions for consent
如果处理是基于同意的,数据控制者应能够证明数据主体已同意对其个人数据的处理。
在给予同意之前,数据主体应被告知其同意。使用可读且易于访问的形式,并使用清晰明了的语言。
构成本条例违规的任何声明部分均不具有约束力。
数据主体有权随时撤回其同意。
撤回同意与给予同意一样容易。
gdpr_II_8
Chapter II, Art. 8, Conditions applicable to child's consent in relation to information society services
16岁以下儿童要有父母的授权同意,成员国可以定义儿童年纪,但是最低年纪要求不得低于13岁
核实对儿童负有父母责任的人是否给予同意或授权。
gdpr_II_9
Chapter II, Art. 9, Processing of special categories of personal data
对于特殊类型数据处理的要求,默认是禁止处理,如果一定要处理则应该满足哪些要求。
应禁止处理揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据,以及处理基因数据、用于唯一识别自然人的生物识别数据、有关健康的数据或有关自然人性生活或性取向的数据。如果需要处理可以详细参考法规条款中的不适用说明。
gdpr_II_10
Chapter II, Art. 10, Processing of personal data relating to criminal convictions and offences
处理与刑事定罪和犯罪有关的个人数据,仅在官方机构的控制下进行,或者法律授权的情况下进行。
不要收集处理与刑事定罪和犯罪有关的个人数据
gdpr_II_11
Chapter II, Art. 11, Processing which does not require identification
无法识别数据主体,在这种情况下,第15条至第20条将不适用,除非数据主体为行使其在这些条款下的权利而提供额外的信息,使其能够被识别。
在处理个人数据时,如果控制人不需要或不再需要识别数据主体,则不要仅为了遵守本条例而获取或处理额外信息以识别数据主体。
gdpr_III
Chapter III, Rights of the data subject
关于数据主体权利的描述
GDPR中规定数据主体的权利有8个,简介可以查看此处。
gdpr_IV_24
Chapter IV, Controller and processor, Article 24, Responsibility of the controller
要确保企业持续安全合规,定期检查企业的合规性,更新合规策略,确保数据保护措施的有效。
gdpr_IV_25
Chapter IV, Controller and processor, Article 25, Data protection by design and by default
要求数据控制者在处理数据的时候要以有效的数据处理方式保护数据,包括数据匿名化,收集数据最小必要原则,特别是,确保在没有个人干预的情况下,个人数据不会被无限量的自然人所获取。
数据匿名化方法概览; 防止未授权访问; 通过个人数据保护影响评估确保软件每次迭代都遵循收集数据最小必要原则。
gdpr_IV_26
Chapter IV, Controller and processor, Article 26, Joint controllers
如果是联合处理者,也就是两个或更多的控制者共同确定处理的目的和方式,安全应向数据主体公开,并且数据主体可以针对每个控制者行使本条例规定的权利。
N/A
gdpr_IV_27
Chapter IV, Controller and processor, Article 27, Representatives of controllers or processors not established in the Union
未在欧盟设立代表的控制者或处理者,应该遵循的要求,指定一个代表,例外情况可以查看原文了解。
当第3条第2款适用时,控制者或处理者应以书面形式指定一名在欧盟的代表。代表应设立在数据主体所在的成员国之一。
gdpr_IV_28
Chapter IV, Article 28,Processor
该条款要求数据处理者在代表控制者执行处理时,采取适当的技术和组织措施以确保处理符合本条例的规定和保护数据主体的权利。此外,处理者与控制者之间,处理将受到合同或其他法律行为(受欧盟或成员国法律管辖)的约束
通过签订合同确保处理数据的组织符合法律规定,并保护数据主体的权利,如果数据处理者和控制者是同一家公司,则落实数据保护工作。通过技术和组织措施,确保处理过程中的数据保护。
gdpr_IV_29
Chapter IV, Article 29,Processing under the authority of the controller or processor
处理者如果能够接触到个人数据,只有在控制者要求,或者欧盟或成员国的法律要求下才能够处理数据,否则不得处理这些数据。
按照法律要求执行
gdpr_IV_30
Chapter IV, Article 30, Records of processing activities
必须记录所有处理活动,以知道个人和隐私数据保存在哪里,如何处理的,或者如何传输的。
记录要包含以下所有信息: 1. 控制者的姓名和联系方式; 2. 联合控制者、控制者的代表和数据保护官的姓名和联系方式; 3. 处理的目的; 4. 对数据主体类别和个人数据类别的描述; 5. 个人数据已经或将要披露给哪些类别的接收者,包括第三国的接收者或国际组织; 6. 如果涉及跨境传输,记录传输的第三国家,提供适当保障措施的文件;
7.删除不同类别数据的时间限制; 8. 对第32(1)条中提到的技术和组织安全措施进行一般性描述。 9. 每个处理人,以及在适用的情况下,处理人的代表应保留1份代表控制人进行的所有类别处理活动的记录; 可以准备个人数据保护影响评估模板,每次收集数据的相关项目开发前,都通过这个清单评估是否符合相关的法律要求,并且还可以留下数据处理的合法性依据,方便在面临监管部门审查时提供。
gdpr_IV_31
Chapter IV, Article 31,Cooperation with the supervisory authority
数据控制者和处理者要配合监管机构的调查。
按法律配合
gdpr_IV_32
Chapter IV, Article 32, Security of processing
控制者和处理者应实施适当技术和组织措施,确保与风险相适应的安全水平,包括个人数据的假名化、加密、保密性、完整性、可用性和复原力,以及恢复个人数据可用性和访问的能力,并定期测试、评估和评价技术措施的有效性,以确保处理的安全性。
参见数据安全合规,进行完整系统的安全建设,保护数据不被泄漏。
gdpr_IV_33
Chapter IV, Article 33, Notification of a personal data breach to the supervisory authority
在72小时内通知监管机构有关数据被入侵的情况,在某些情况下,通知受害方。
参见数据泄漏通知建设建议。
gdpr_IV_34
Chapter IV, Article 34, Communication of a personal data breach to the data subject
描述在什么情况下数据泄漏后不需要通知受害方。控制者已经实施了适当的技术和组织保护措施,特别是没有权限的人无法理解个人数据的措施,如加密措施; 控制者已采取后续措施,确保第1款中提到的对数据主体的权利和自由的高风险不再可能发生;
做好加密工作可以避免用户口碑的损失,因为一旦发生数据泄露且没有做加密,个人信息可识别,则必须要通知受影响的个人,也就是个人用户。
gdpr_IV_35
Chapter IV, Article 35, Data protection impact assessment
对高风险流程进行数据保护影响评估。实施适当的技术措施,以保障数据主体的权利和自由,并以对这些权利和自由的风险评估作为以后监管审计的证明材料。
可以准备个人数据保护影响评估模板,每次收集数据的相关项目开发前,都通过这个清单评估是否符合相关的法律要求,并且还可以留下数据处理的合法性依据,方便在面临监管部门审查时提供。
gdpr_IV_36
Chapter IV, Article 36, Prior consultation
在处理个人数据时,控制者和处理者应根据第35条进行数据保护影响评估,并采取措施减轻风险。若处理可能导致高风险,则应在处理前咨询监督机构。
自行判断是否需要咨询监管机构。
gdpr_IV_37
Chapter IV, Article 37, Designation of the data protection officer
指定一个数据保护官.
指定一个数据保护官。
gdpr_IV_38
Chapter IV, Article 38, Position of the data protection officer
关于数据保护官权利与义务的描述
1控制者和处理者应确保数据保护官不接受任何有关执行第39条所述的这些任务的指示。2他或她不得因执行任务而被控制人或处理人解雇或处罚。3数据保护官应直接向控制者或处理者的最高管理层报告。
gdpr_IV_39
Chapter IV, Article 39,Tasks of the data protection officer
数据保护官的任务,至少包含: 1. 为控制者或处理者提供建议; 2. 监督控制者或处理者在保护个人数据方面的遵守情况,包括分配责任,提高参与处理业务的员工的认识和培训,以及相关审计;根据要求提供有关数据保护影响评估的建议,并监督其表现; 3. 与监督机构合作; 4. 在与处理有关的问题上充当监督机构的联络点;
遵循法规要求
gdpr_IV_40-43
Chapter IV, Article 40-43, Codes of conduct, Monitoring of approved codes of conduct , Certification,
40章规定了组织在其业务活动中应遵循的行为准则。41章规定了组织如何对其已实施的行为准则进行监测,以确保其符合GDPR的要求。GDPR42章规定了数据控制者或数据处理者可以通过获得GDPR认证来证明其符合GDPR规定的要求,并向监管机构和数据主体提供证明。
组织需要制定与其业务活动相关的适当行为准则,以确保其在处理个人数据时遵守适用的法律法规。
行为准则应包括组织对个人数据的处理方式、数据保护措施、数据安全等方面的要求。
组织需要向其员工提供有关行为准则的培训和指导,以确保他们了解并遵守这些准则。
组织需要对其行为准则进行定期审查和更新,以确保其与适用的法律法规保持一致,并能够应对不断变化的安全威胁和技术环境。
推荐采用ISO 27001和ISO 27701认证来证明企业的合规性。
gdpr_V
Chapter V, Transfer of personal data to third countries or international
防止数据被转移到欧盟以外的第三国或国际组织(特殊保护除外)。以下是该章节的主要要点:
合法性要求:在将个人数据传输到第三国家或国际组织之前,必须确保已获得相关个人的明确同意,并告知他们个人数据将被用于何种目的以及接收方的身份和位置。
需要采取适当安全措施:如果组织需要将个人数据传输到欧洲经济区(EEA)以外的国家或地区,必须采取适当的安全措施来保护个人数据的隐私和安全。具体措施包括加密、数据掩码化等。
合规评估:组织必须对其传输数据的行为进行评估,以确保其符合GDPR的规定。如果评估发现不符合规定,则必须采取纠正措施。
通知义务:如果组织需要将个人数据传输到第三国家或国际组织,必须事先通知相关个人,并提供详细的信息,包括传输的目的、接收方的身份和位置、个人权利等。
总之,GDPR第5章规定了个人数据在向第三国家或国际组织传输时的相关要求,旨在保护个人数据的安全和隐私。组织必须遵守这些规定,否则可能会面临罚款和其他法律后果。
gdpr_VI
Chapter VI, Independent supervisory authorities
第6章规定了独立监督机构的职责和权力。每个成员国应规定,由一个或多个监督机构负责监督本条例的实施,以保护自然人的基本权利和自由。
组织必须尊重和配合独立监督机构的工作,以确保其符合GDPR的规定。
gdpr_VII
Chapter VII, Cooperation and consistency
牵头监督机构应与其他有关监督机构合作,并交流所有相关信息。
gdpr_VIII
Chapter VIII, Remedies, liability and penalties
任何相关方都有权向监督机构提出申诉。
gdpr_IX
Chapter IX, Provisions relating to specific situations
1-成员国应通过法律协调保护个人数据的权利,包括用于新闻报道、学术、艺术或文学表达的目的。 2-公共机关或公共机构或私人机构为执行为公共利益而开展的任务而持有的官方文件中的个人资料,可由该机关或机构根据该公共机关或机构所遵守的欧盟或成员国法律予以披露。 3-成员国可以通过法律或集体协议规定更具体的规则,以确保在就业方面处理雇员的个人数据时保护其权利和自由,特别是为了招聘、履行就业合同; 5-出于公共利益的存档目的、科学或历史研究目的或统计目的的处理有关的保障措施和减损措施; 6-根据本条第1款适用综合规则的教会和宗教团体应接受独立监督机构的监督,该监督机构可以是特定的,但必须符合本条例第六章规定的条件。
gdpr_X
Chapter X, Delegated acts and implementing acts
对第182/2011号条例(欧盟)所指的委员会授权行为和执行行为的管理。
gdpr_XI
Chapter XI, Final provisions
管理与指令、以前的协议、委员会报告的关系,并确定其生效日期。
最后更新于