隐私保护之GDPR
2020-08-18 18:20:04 12 举报AI智能生成
GDPR隐私协议解析
作者其他创作
大纲/内容
隐私保护之GDPR
1、GDPR概述
1、GDPR相关背景介绍
起源于传统隐私保护
《1981个人数据保护公约》
《1995年个人数据保护指令》
《2016年通用数据保护条例》
2009年始,欧盟启动个人数据保护框架的改革工作
强化数据主体权限的保护
统一欧盟各成员国的数据保护立法
2012年1月发布GDPR草案,经历4年的立法程序2016年4月通过GDPR,2016年5月4日官方发布,2016年5月24日生效2018年5月25日直接适用于欧盟全体成员国
宗旨
最严数据保护法
2、GDPR制度要求概述
1、扩张域外适用效力
适用于数据控制者或数据处理者在欧盟境内的实体机构
只要向欧盟数据主体提供产品或服务或监控其行为的个人数据处理行为
其所在地区适用欧盟成员国法律时,也受GDPR拘束
2、扩张数据主体权限
1、透明度及模式
2、知情与对数据的访问
3、更正与删除
4、反对权和自动化决策
5、权限限制
3、强化数据控制者、数据处理者问责
1、设置数据保护官
2、对数据处理活动实现文档化管理
3、实行数据保护影响风险评估制度
4、高风险数据处理活动向监管机构事先咨询,数据泄露事件的报告和通知
5、强调匿名化与假名化安全保护措施
4、丰富数据跨境流动机制
1、提升数据跨境流动监管政策的流动性
2、明确禁止成员国数据跨境流动监管许可的适用
3、注重发挥行业协会等社会监督和市场自律作用
5、改革数据保护监管体制
管理一致性机制
3、GDPR执法行动及评估
1、GDPR执法行动
1、EDPB(欧盟数据保护委员会)与各国监管机构的职能与权限
2、EDPB相关行动
3、各国监管机构执法行动
2、GDPR执法行动评估
2、GDPR合规体系
1、风险评估
1、GDPR是否适用
1、适用于设立在欧盟境内的数据控制者或者处理者
1、数据控制者:能够单独或联合决定个人数据处理目的和方式 的自然人、法人、公共机构、代理机构或其它组织
2、数据处理者:为控制者处理个人数据的自然人、法人、公共机构、代理机构或其它组织
2、适用于设立在欧盟境外但向欧盟境内的数据主体提供商品/服务器
1、是否在欧盟境内设有实体机构,包括分公司,代表处
2、能否能够通过稳定的安排从而真实有效地开展活动
3、监控欧盟境内数据主体的行为的数据控制者或处理者
1、企业的网站是否使用欧盟成员国所使用的语言、是否接受欧元作为计量/结算货币, 线下配送范围是否及于欧盟境内等;通过内部销售或服务记录来判断
2、流入数据中有来源于欧盟的数据
不拘泥于法律形式
2、GDPR所涉及的业务领域及数据的收集、使用、处理、保存和跨境传输的状态
1、按照自身主要经营活动为模块进行梳理和筛查
2、根据每个业务模块的具体业务流程,按照所涉及到的数据 收集、使用、处理、保存和跨境传输等数据处理周期中的具体环节
1、数据收集
1、数据收集前是否进行充分告知
a:数据控制者、数据处理者以及二者的数据保护官(DPO)的身份和联系方式,如电话、电子邮箱、邮寄地址等
b:数据收集的目的、种类、数量、范围
c:数据收集后可能进行的数据处理活动
d:数据存储期限
e:数据接收方或接收方的种类
f:数据主体所享有的主张数据获取、修改、删除、限制处理、反对处理、可携带等权限
g:此外,最好还能向数据主体披露
a:数据跨境传输的相关情况
b:所采取的安全保障措施细节
c:向监管机构投诉的权利、个人数据的来源
d:撤回同意的方式等
2、数据收集前是否已获得同意
1、取得数据主体对数据收集的明示且自愿的同意
2、告知数据主体其有权随时撤回同意
3、数据收集是否具有其它合法事由
合同履行
履行法定义务
保护个人重要利益
维护公共利益
追求正当利益
2、数据的使用和处理
1、确保数据处理符合数据初始收集时的目的
数据使用和处理的目的、范围、主体等内容发生变化进行告知并取得有效的同意
2、确保数据处理遵循准确、必要、及时的原则,并以相关、必要为限度
注意判断数据处理与收集是否具有一定的相关性以及数据收集的必要性
3、确保数据主体能够限制数据处理
是否建立特定的机制或为数据主体提供特定的途径以确保数据主体在特定情形下可以限制数据控制者对自身数据进行处理的权利
4、确保数据主体能够反对特定的数据处理
以直接营销为目的的数据处理、数据画像等
3、数据的存储
识别由于数据处理目的已经满足而存储到期的数据、并及时对到期数据进行删除
4、数据的传输
数据主体有限要求将其个人数据从企业转移到另一个控制者手里且企业不应加以阻挠
5、第三方数据处理
数据控制者应当在与第三方处理的合同文本中纳入关于数据处理者GDPR合规义务的约定
1、处理者相对于控制者的责任
2、主体事项
3、处理期限
4、处理性质与目的
5、个人数据的类型
6、数据主体的类型
7、控制者责任与权利
2、组织架构保障
1、管理层对数据合规的重视与支持
1、董事会
1、在合规委员会下设数据合规小组,负责企业的数据合规风险管控
2、合规委员会与合规小组负责人定期会谈,了解GDPR合规风险及可能采取的应对措施
3、重大事项提请董事会讨论,确保董事会有机会对可能涉及的GDPR合规风险进行充分考量
4、任命数据合规管理人员并保障其独立性并赋予其所必须的职权、资源以及人员配备。
2、高管人员
1、核心高管人员中设专职或兼职负责GDPR合规人员,负责公司整体上的GDPR合规运营工作
2、定期召开以GDPR合规为主题的业务交流会议
3、合规问责制度
1、将员工对企业内部GDPR合规制度的遵守情况纳入到员工考评中并与奖惩挂钩。
2、制定具体合规政策,明确不同部门的负责人员,确保发生违反GDPR事件能够及时采取措施进行补救并追究违规人员的责任
2、是否需要设置DPO?
1、DPO的设置、选任及职责范围
1、公权力部门或机构进行数据处理活动
2、数据处理的核心活动涉及对数据主体进行经常性大规模系统化监控的
3、特殊类别个人数据与刑事违法行为相关的个人数据处理
2、DPO与现有组织架构的衔接和整合
1、整合企业内部现有的合规资源
2、识别并避免与现有组织架构间的利益冲突
3、保障DPO与现有组织架构间的独立性
4、构建DPO对业务活动的参与机制
3、其它管理资源配置
1、主营业地管理资源配置
2、根据风险识别进行管理资源配置
3、欧盟境内代表的设立
DPO不应当因履行职责而受到惩戒
3、合规体系设立与执行
1、GDPR合规制度的设立与健全
1、保障个人数据主体的权利
1、获取自身数据的权限
2、数据收集前的知情权
3、数据访问权
4、更正权
5、删除权
6、限制数据处理权
7、数据可携带权
8、反对数据处理的权利
2、保障个人数据生命周期的安全
3、建立和实施个人数据保护影响评估机制
1、个人数据保护影响评估DPIA
1、系统性地描述数据处理的目的
2、对处理操作的必要性和适当性进行评估
3、对数据主体的权利和自由的可能影响或造成的风险进行评估
4、对将采取的保障措施和安全机制是否符合GDPR要求进行评估
2、如何进行DPIA
1、以下必须进行DPIA
1、使用系统性的、广泛的、具有重要影响的用户画像
2、大规模地处理特殊类型或刑事犯罪数据
3、大规模、系统性地监视可公开进入的场所
2、DPIA应该包括这些步骤
1、识别进行DPIA的需求
2、对个人数据处理进行描述
3、对咨询方面进行考虑
4、评估数据访问的必要时与适当性
5、识别并评估风险
6、识别降低风险的措施
7、确认并记录结果
8、将结果整合至行动中
9、持续审查
4、管控数据处理者的数据合规风险
1、建议企业选用能够就数据安全提供充分保证的、可采取合适技术与组织措施的、处理方式符合GDPR要求且有能力保障数据主体权限的数据处理者
2、签订数据处理合同中对处理者进行约束
1、处理的内容和限期
2、处理的性质和目的
3、个人数据的类型和数据主体的类别
4、数据处理者的义务
5、个人数据出境
6、个人数据泄露的处理机制
1、个人数据处理者在发生数据泄露后立即通知数据控制者,而无需对数据泄露事件可能的风险进行评估
2、数据控制者应该在知晓数据泄露事件后72小时内向监管机构进行报告,未能在72小时内进行通知的,应当对迟延理由加以说明
3、数据控制者向监管机构进行的报告应当明确泄露涉及的个人数据的种类、数量、DPO的姓名及联系方式、泄露可能导致的后果以及已经或可能采取的补救措施等
4、若泄露可能给自然人的权利与自由带来高风险时,应当及时(72小时)将泄露告知数据主体,除非
1、已经对被泄露数据采取适当的技术性和组织性保障措施
2、确保该类高风险情形不会再出现
3、进行告知需要不成比例的工作量
5、数据控制者应该完整记录泄露的情况,包括原因,受影响的数据主体,影响的后果,补救措施等
7、数据处理操作记录
1、记录数据处理活动
2、数据处理者保存一份记录
8、处理个人数据的内部工作人员的保密义务
2、外部文本的调整与完善
1、隐私声明与通知
1、确定网站、APP、售后服务电话中心、人力资源管理中心等不同部门需要进行的数据处理活动
2、进一步确定需要通知数据主体的数据处理活动内容及其需要收集相关数据
3、结合上述基础,起草网站、APP、售后服务电话中心、人才资源管理中心等不同部门的隐私政策声明
4、确保上述隐私政策声明以合理可见的方式传达至相应的数据主体
5、确保在隐私政策声明的设计下,同意仅在数据主体以明示、自愿、清晰的方式作出时方为有效。
1、植入在显著位置
2、弹窗的形式给予提示并需要数据主体明确勾选动作
3、当用户不同意时,企业对用户使用服务的限制应尽可能地在合理必要的范围之内
2、与第三方之间的数据处理协议
3、数据跨境传输的合同保障
4、GDPR合规的流程管控
4、合规培训及宣讲
1、管理层合规风险意识的提高与强化
2、员工培训
1、一般性定期培训
2、专项业务培训
3、线上培训
3、第三方培训
5、合规体系执行的监督和审计
1、针对特定业务模块的监督与审计
2、定期全面审计
1、对合规制度和业务流程的改进和优化
2、对内部文本和第三方文本的进一步调整和更新
3、向监管机构(DPA)咨询
4、投诉与举报
5、应对监管机构的调查
3、GDPR疑难点及合规建议
1、GDPR的域外适用
2、个人数据的范围
1、个人数据指的哪些数据
2、在线活动识别符具体包括什么
1、IP地址
2、Cookie识别符
3、RFID标签
4、其它可能的识别符
1、MAC地址
2、广告ID
3、像素标签
4、设备指纹
3、如何理解数据处理的6个合法事由
4、如何理解数据主体的几个权利
5、数据控制者和数据处理者的区别
6、数据控制者和数据处理者的责任
7、个人数据出境的合法事由
8、主监管机构的理解
4、与我国法律的比较及冲突应对
1、中国个人信息保护法律规定与GDPR比较
2、中国个人信息保护规则与GDPR的区别
3、GDPR与我国法的实质性矛盾
0 条评论
下一页
