GDP.

GDPR建立了三个主要的数据方类:数据主题、控制器和处理器。(第二十八条)。

“资料当事人”是指收集其资料的人。“控权人”是决定处理资料当事人的个人资料的条件、目的及方法的组织。“处理器”是代表控制器处理个人数据的组织。

根据GDPR，控制器和处理器可以设在世界上的任何地方，包括美国。这与以前的欧盟规则相比是一个很大的变化。

不遵守的罚款已发生变化，也远远高于旧规则。例如，数据保护监督机构可能会征收罚款和罚款高达4％的年度营业额或2000万欧元，以较高者为准。

GDPR的主要司机是欧盟建立数字单一市场的目标。以下原则推动了您的GDPR要求。

透明度

所有资料当事人有权被告知个人资料的处理及用途。而且他们必须明确表示同意。(第7、10、11和12条)。GDPR标志着大多数企业的巨大转变。你必须改变你的数据处理心态，从选择退出到选择加入。

合法的目的

GDPR在允许处理个人数据的情况下定义特定条件（第6条）。如果这样做是必要的，您可以处理个人数据：

• 提供产品或服务主题所要求的
• 遵守法律义务
• 保护资料当事人或任何人的重大利益
• 在公共利益或官方授权下执行一项任务
• 追求其他合法利益 - 除非他们与数据主体的利益或基本权利和自由冲突，特别是儿童

比例

使用GDPR，任何个人数据处理的水平必须与收集目的成正比。这意味着收集的数据越少越好，保留的时间不要超过为客户服务所需的时间。

你必须保持数据准确和最新。你必须保护它的机密性和完整性。

《GDPR》的核心是更强的隐私要求和执法权力，包括:

• 要删除的权利（首先被称为“被遗忘的权利”）。当您没有有效的理由保留数据和数据主题时想要一些或所有数据都删除，您必须这样做。（第17条）。对于云和电子邮件服务提供商，符合此规则可能是艰难的。提供商经常跨可用区域，备份和档案分割数据。
• 个人数据不仅仅是用于识别“自然人”的数据。在GDPR下，它包括元数据。这包括IP地址，SIM卡ID，手机号码，生物识别数据，甚至存储的网站cookie。而GDPR是追溯的。它适用于GDPR之前收集的数据。
• 数据可移植性(第20条)。人们有权将他们的数据从一种服务转移到另一种服务，并保持数据完整、受保护和私有。
• 如有要求，数据控制者必须告知数据主体其数据是否需要处理(第15条)。
• 加强了对受保护数据的治理。其中包括同意条件、处理记录和更严格的违约通知细节(第7、30、33-34条)。
• 处理或存储欧盟公民个人数据可能需要数据保护官（DPO）（第35-37条）GDPR是明确的DPO和其细节的作用。此外，基于EU存在外部的数据控制器和数据处理器必须在数据受试者驻留的欧盟成员状态下安装代表。
• 您必须能够满足严格的违规检测和通知要求(在知晓后的72小时内)。
  

数据保护的设计，默认和安全的处理

GDPR的三个驱动指令是设计数据保护,默认， 和处理安全。

设计数据保护指数据控制器为满足GDPR要求所必须采取的手段和保障措施。这包括技术和组织手段。

相似地，默认数据保护说明您必须只收集、处理和存储提供约定服务所需的个人资料。(第二十五条和第三十二条)。

安全的处理规定使用正确的技术和组织措施，以确保与披露风险相称的安全水平。不遵守这些规定可能会导致GDPR的严厉处罚。

不只是客户数据

透明度、合法目的和比例的三个驱动因素适用于客户数据之外。它们也适用于员工数据。

许多组织收集和处理员工互联网使用信息安全性意味着：停止恶意软件，阻止知识产权转移，保护其他工人的权利等。比例是这里的指南。您必须权衡员工对您自己的安全需求的数据保护权。

了解您的数据

根据GDPR规则，您必须知道您正在收集、处理和存储哪种数据。例如，GDPR明确规定避免处理个人数据来确定一系列特征，包括种族、民族起源、政治观点、宗教或哲学信仰，除非适用特定排除(第9条)。

确保您有收集数据的正当理由的唯一方法是完全理解数据本身。

GDPR将影响世界各地的许多组织 - 无论他们在哪里都是基于的。并遵守新规则将没有小小的壮举。

以下是解决GDPR的一个简短的GDPR清单:

1. 了解您的数据保护指令。这包括客户和员工的数据。
2. 进行数据保护影响评估(DPIA)(第35条)。DPIA查看欧盟公民受保护数据的所有接触点。这与数据处理或存储的位置无关。DPIA输出应该是详细的风险评估。
3. 解决删除、数据可移植性以及违规检测和通知的权利。这需要强大的企业技术和组织控制、过程和治理。
4. 如果你有超过250名员工，可能就必须有一个DPO，即使你的总部在美国。

看如何遵守GDPR

相关项目:

• 通用数据保护条例(GDPR)手册
• 欧盟通用数据保护法规(EU GDPR)解决方案概要
• 填补GDPR合规缺口网络研讨会
• 在员工隐私和安全需求之间找到平衡