《通用数据保护条例》(欧盟 2016/679)于 2018 年 5 月 25 日生效,为现有的数据保护制度增添了新的要素和重大改进。.
2018 年 5 月 23 日生效的《数据保护法》(DPA) 实施了 GDPR,同时还增加了英国法律的规定,将 GDPR 扩展到安全服务和政府机构等领域,这些领域此前并未单独受到 GDPR 的约束。.
英国脱欧后(自 2021 年 1 月 1 日起,脱欧过渡期结束),英国 GDPR 是根据 2018 年《欧盟(退出)行动》第 3 条保留的欧盟法规版本,并经 2020 年《数据保护、隐私和电子通信(修订等)(欧盟退出)条例》修订。.
英国《通用数据保护条例》(GDPR)保护英国公民的数据权利,欧盟《通用数据保护条例》(GDPR)保护欧盟公民的数据权利。对于同时处理英国和欧盟公民数据的组织,这两个条例均适用。.
欧盟《通用数据保护条例》(GDPR) 的原则和要求在英国脱欧后的版本中仍然适用,本文将探讨其主要适用范围和一些定义。.
控制器和处理器
GDPR适用于数据控制者和数据处理者。数据控制者决定个人数据的处理方式和原因。数据处理者代表数据控制者处理数据。您的组织可能是数据处理者,也可能是数据控制者,或者两者兼具。.
控制者和处理者都负有特定的法律义务:
- 控制者必须明确确保与处理者签订的合同符合GDPR的规定;
- 控制者和处理者分别有各自明确的义务来保存个人数据和处理活动的记录。
- 处理器也对任何安全漏洞承担法律责任。.
有关文档要求的更多详细信息,请参阅我们的相关情况说明书“数据安全——通用数据保护条例——确保合规性”。.
数据保护原则
个人数据应包括:
- 依法、公平、透明地进行处理
- 为特定、明确和合法目的收集
- 充分、相关且限于实现目的所必需的范围
- 数据必须准确并及时更新。不准确的数据应予以删除或更正。
- 以可识别的格式保存,保存时间不得超过必要期限。
- 经过安全处理,并受到保护,免受未经授权或非法处理、意外丢失、销毁或损坏。.
GDPR赋予个人的权利
知情权
个人有权了解其个人数据将如何被处理。GDPR 通过隐私声明来促进数据处理的透明度,隐私声明应包含(除其他事项外)数据控制者的详细信息、数据来源、数据接收者、欧盟以外的数据传输以及数据保留期限。.
查阅权(主体查阅请求)
个人有权确认其数据是否正在被处理,有权访问其个人数据,以及其他信息,例如隐私声明中提供的信息。.
处理查阅个人信息请求的最长期限为 30 天,并且已取消收取查阅个人信息费用的权利,除非该请求毫无根据、过分或重复。.
更正权
个人有权要求更正不准确或不完整的个人数据。这同样适用于已共享或提供给第三方的个人数据。.
被抹除的权利
个人有权要求删除或移除其个人数据,除非有继续处理的必要理由。此外,这同样适用于已与第三方共享或提供的个人数据。.
值得注意的是,如果请求涉及儿童,则会有额外的要求。.
删除权也有一些例外情况,例如为了履行法律义务而保留数据的情况。.
限制处理的权利
个人有权限制对其个人数据的处理。在这种情况下,个人数据可以被存储,但不能被处理。.
数据可移植权
个人有权获取并重复使用其在不同服务中的个人数据。这允许他们移动、复制或传输个人数据。个人数据必须以结构化的机器可读格式(例如 .csv)提供。.
反对权
个人有权反对处理其个人数据。除非有“令人信服的”合法理由进行处理,或者处理是为了确立、行使或捍卫法律主张,否则必须立即停止处理。.
与自动化决策和用户画像相关的权利
个人有权确保采取保障措施,防止在无人干预的情况下做出有害决定。这同样适用于保护用于用户画像分析的个人数据。.
问责制和治理
问责原则要求建立适当的治理措施来记录合规情况。因此,组织需要:
- 实施符合数据保护原则的措施
- 制定与个人数据存储和处理相关的政策和程序文件
- 实施技术和组织措施,以确保并证明合规性。.
- 必要时任命数据保护官。.
请参阅我们的相关情况说明书《数据安全——确保数据保护合规性》了解更多详细信息。.
处理的合法性
了解并记录您处理行为的法律依据至关重要。共有六种:
- 同意
- 合同义务
- 法律义务
- 至关重要的利益
- 公众利益
- 合法权益。.
关于同意问题,必须明确具体、清晰无误且出于自愿。不能仅凭不作为(例如未点击在线“取消订阅”按钮)或使用预先勾选的复选框就推定同意。企业需要确保记录获得同意的日期、时间、方式和具体措辞,因此,企业必须具备记录和存档此类信息的能力。.
基于合法利益,您可以处理个人数据,但仅限于他们预期的范围内。如果您依赖合法利益,则您有责任确保:
- 存在使用合法利益的依据。
- 数据处理仅限于该利益相关方,并且可以证明这一点。
- 在权衡过程中,已考虑了个人权利。
- 您的隐私政策会告知个人您的合法权益。.
违规通知
个人数据泄露是指个人数据遭到意外或非法销毁、丢失、更改、未经授权的披露或访问。.
英国信息专员办公室 (ICO) 提供了一个在线自评工具,帮助用户确定违规行为的严重程度以及是否需要上报。某些违规行为需要在 72 小时内通知相关监管机构。一旦发现违规行为,立即进行评估至关重要。.
数据传输
2021年6月28日,欧盟委员会通过了一项关于英国数据保护水平的充分性决定,这意味着大多数数据可以继续在英国和欧盟欧洲经济区之间流动,而无需额外的保障措施。(用于移民管制目的的数据除外。)
当向“第三国”传输数据时,可能需要采取额外的保障措施,例如标准合同条款或具有约束力的公司规则。以下第一个链接来自英国监管机构——信息专员办公室 (ICO)。第二个链接来自欧盟委员会。.
来源和链接
ICO机构主页
欧盟 GDPR 门户网站 – www.gdpreu.org
