GDPR,让个人数据更安全——来自大华的实验

随着欧盟发布的《一般数据保护条例》(简称GDPR或《条例》)的实施日期逐日临近,数以万计的企业将必须遵守GDPR规定的数据管理规定。然而人们对于GDPR还是会经常问:

GDPR是什么,对企业和个人有何关系?

GDPR是怎样对个人数据进行保护的?

下面,大华就给大家简单介绍一下GDPR。

GDPR制定背景

1995年,欧盟就出台过《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(简称“《指令》”),为欧盟成员国立法保护个人数据设立了最低标准。那时,个人数据的收集处理范围仅限于用户名、地址及相对简单的金融信息。但随着20来年的科技发展,到了如今这个信息互联的大数据、云计算时代,人们在享受便捷网络服务的同时,也对产生或提供的个人数据的保护越来越重视。因此个人数据保护面临新的挑战。欧盟为此历经多年的立法协商,在2016年4月27日的欧洲议会上颁布了《一般数据保护条例》(简称GDPR或《条例》),该条例将在两年过渡期之后于2018年5月25日全面实施

GDPR适用范围

如果你认为GDPR是欧盟的法律法规,企业不在欧洲就与我无关,那就大错特错,GDPR适用对象不仅包括欧盟内的企业,还包括虽然住所不位于欧盟境内,却向欧盟用户提供互联网和商业服务的所有企业。换言之,不管企业在何处,只要其在提供产品或服务的过程中处理了欧盟境内个体的个人数据,就应当适用本条例。在属人加属地主义的双重适用标准下,该《条例》可以随着数据的动态流动应用于全球任何企业。

GDPR对企业的要求

对于提供互联网和商业服务的企业在个人数据保护方面,GDPR是如何规定的呢?

一、在数据处理上,必须遵守以下原则:

l  合法性:任何出于商业目的而使用、处理和交易的个人数据,都应当符合法律的规定;

l  公平性:在数据的使用处理中,应妥善平衡各主体间的利益,禁止以牺牲数据主体利益的方式来满足个人数据的商用和出于追求经济利益而进行的交易;

l  透明性:数据使用和交易的目的、范围及具体用途等,应当以数据主体知道的方式进行,不得在数据主体不知情或不知道数据被处理、被交易的主要程序的情况下,处理、交易个人数据。

此外,GDPR还规定了“目的限制”、“数据最小化”、“精度”、“存储限制”、“完整和机密性”以及“问责制”原则。

二、企业在内部建立完善的问责机制

企业应当建立周密的制度安排,包括数据安全管理流程、泄露事故发现、上报预案等,以符合《条例》的严格要求。

l  数据保护官(DPO):企业需设立数据保护官与数据保护监管机构进行联系,数据保护官需要向GDPR的执行委员会报告,并有权监视企业的数据处理。

l  文档化管理:企业必须全面记载其数据处理活动,做到一举一动都有据可查。文档化管理不仅是企业内部的管理措施,而且是数据保护监管机构履行职责的重要抓手。

l  数据保护影响评估和事先协商:对于高风险的数据处理活动,要事先进行数据保护影响评估。如果数据保护影响评估的结果显示是高风险,而企业没有有效降低风险的措施,企业应当就数据处理活动向相关的数据保护监管机构进行事先协商。

l  事件响应:企业对于数据泄露事件应预先计划应急措施,一旦发生数据泄露事故,企业需要及时通知监管机构,一般应不超过72小时。

l  安全保障措施:企业在数据安全保障上应特别做好以下措施:

1)     对个人数据的匿名化和假名化;

2)     确保提供持久的机密性、完整性、可用性和系统可恢复性的能力;

3)     在物理或者技术事故下及时恢复数据可用性、可访问性的能力;

4)     建立定期测试、评估、评价技术和管理措施是否有效的体系。

GDPR规定的个人权利

GDPR让人们在个人数据处理上赋予更全面的权利,让我的数据我做主,实现更好的个人数据保护。那GDPR到底赋予了人们什么样的权利?GDPR赋予了个人数据所有者坚实强大的权利,详细规定了数据主体的知情权、访问权、反对权、数据可携权和数据被遗忘权等权利。

l  知情权:数据控制者必须以清楚简单明了的方式向个人说明其个人数据是如何被收集处理的。

l  访问权:数据控制者应当为用户实现该权利提供相应的流程,如果该请求是以电子形式提出的,则也应当以电子形式将数据提供给个人。控制者不能基于提供该服务而收费,除非数据主体的请求明显过量,超过负担。

l  反对权:数据主体始终有权随时拒绝数据控制者基于其合法利益处理个人数据,始终有权拒绝基于个人数据的市场营销行为。《条例》还引入了限制处理的权利,例如当数据主体提出投诉时(例如针对数据的准确性),数据主体并不要求删除该数据,但可以限制数据控制者不再对该数据继续处理。

l  数据可携权:个人能够将其个人数据和资料从一个信息服务者处无障碍地转移至另一个信息服务者处,这一权利意味着数据主体对个人数据拥有了更强的掌控能力与管理能力。

l  数据被遗忘权:数据主体要求数据控制者删除与其相关的个人数据及避免数据被传播的权利,这一权利的引入旨在解决当下个人数据大量存储所带来的隐私隐患,充分体现了《条例》对数据主体隐私保护的加强。

GDPR严厉的处罚

GDPR不仅对个人数据处理制定了一套统一的法律和更严格的规定,同时也规定了对违规行为的严厉处罚。这些处罚是以行政罚款的形式出现,对应任何违反GDPR的行为进行处罚,根据违反程度,最高处罚罚金分两档:

1)     1000万欧元或企业全球年营业额的2%;

2)     2000万欧元或企业全球年营业额的4%。

严厉的处罚,使企业更加重视GDPR的合规性,而规避处罚的关键是避免数据泄露和数据处理过程的有效控制。

GDPR,大华在行动

大华是全球领先的视频监控解决方案提供商及设备提供商,一直致力于个人隐私保护和数据安全。

随着GDPR到来,由于视频录像作为个人的个人数据的一部分,大华也更加重视个人数据的保护。在产品设计上,个人数据处理过程满足合法、公平、透明;同时提供完善的数据保障措施,对个人数据进行加密、匿名化、假名化等操作。在管理体制上,建立更加完善的内部管理流程,优化问责机制,持续完善数据保护过程控制的管理体系。

让数据更安全,让社会更和谐,使用大华产品能够帮助您更好的符合GDPR,我们将持续开发更多功能来创建更加安全并保护个人隐私的解决方案。



分享 :
评论(0)