GDPR是什么?
《通用数据保护条例》(GDPR)是一项最重要的数据保护立法,它要求组织遵守严格的标准,对不遵守规定将受到重罚。欧盟于2018年5月颁布的GDPR规定了一个强大的框架,规定组织如何收集、处理和存储个人数据。这延伸到保护个人数据免受任何潜在的数据泄露,包括损坏、破坏、非法处理或意外丢失。GDPR非常强调授权欧盟公民控制其个人数据的使用和目的,努力使整个欧盟的数据隐私法规标准化。
GDPR保护个人数据,这些数据不仅包括姓名、地址和识别号码等传统标识符。这还包括数字标识符,如IP地址、电子邮件地址,以及生物标识符,如遗传、生物识别和健康相关信息。通过接受GDPR的原则,组织可以在日益以数据为中心的环境中培养对个人隐私权的信任和尊重。
GDPR适用于谁?
必须明白,遵守GDPR不仅与欧盟内部的组织有关。每个处理欧盟或欧洲经济区(EEA)个人数据的组织都必须遵守GDPR,无论他们身在何处。这包括企业、非营利组织、政府机构和任何其他处理欧盟/欧洲经济区居民个人数据的实体。
例如,让我们考虑一家总部位于美国的跨国公司,该公司为欧盟公民客户提供服务。作为其业务的一部分,他们可能需要存储和处理欧盟公民的个人数据。在这种情况下,即使公司不在欧盟,它也必须遵守GDPR的规定。
图1:GDPR要求
GDPR要求解释
超过75%的监管任务侧重于指导组织如何收集个人数据并保护数据主体的权利。剩下的25%与处理的安全法规有关,这需要安全专业人员的参与。
为了遵守GDPR,组织必须满足一系列旨在保护个人隐私和权利的要求。以下是GDPR要求的概述:
第1章(第1-4条):一般规定
本章确立了该法规的范围和适用性。它概述了一般条款,包括谁有责任遵守本法。此外,第4条提供了解释该法规的关键定义,澄清了个人数据、处理、控制者、处理者和同意等术语。
第2章(第5-11条):原则
第3章(第12-23条):数据主体的权利
第4章(第24-43条):控制者和处理方
第5章(第44-50条):个人数据跨境传输
第6章(第51-59条):独立监督机构
第7章(第60-76条):合作与一致性
第8章(第77-84条):补救措施、责任和处罚
第9章(第85-91条):与特定处理情况有关的规定
第10章(第92-93条):授权行为和执行行为
第11章(第94-99条):最终条款
资源
遵守欧盟通用数据保护条例,您需要了解和做的一切
一本面向IT安全管理员的解决方案手册,以满足GDPR要求
使用EventLog Analyzer轻松满足GDPR合规性
如何遵守GDPR?
本节解释了GDPR对组织在处理个人数据时应采取的安全措施的要求。它还说明了ManageEngine的SIEM解决方案Log360如何帮助组织满足这些要求并遵守GDPR。
第2章-原则
GDPR第5条(1B):收集和监控个人数据访问
GDPR第5条(1D):保持数据准确性
GDPR第5条(1F):确保个人数据的完整性和机密性
第3章-数据主体的权利
GDPR第15(1)条:提供对个人数据的访问
GDPR第17条:删除权
第4章-控制者和处理方
GDPR第24(1)条:控制者的责任
GDPR第25(2)条:将隐私构建到流程中
GDPR第32(1B)条:保护处理系统和服务
GDPR第32条(1D):处理安全性
GDPR第32(2)条:确保数据处理的安全性
GDPR第33条:数据泄露通知
GDPR第35条:进行数据保护影响评估(DPIA)
第5章:将个人数据传输到国际边界
为了遵守GDPR关于国际数据传输的要求,组织应首先审查其当前和未来的业务运营。他们需要仔细识别个人数据传输到欧洲经济区以外的所有情况。对于这些传输,组织必须确保实施符合GDPR标准的数据传输机制。这涉及评估目的地国数据保护措施的充分性,并建立适当的保障措施,如具有约束力的公司规则或标准合同条款。
第6章:了解监管机构的作用
组织应首先确保他们了解监管机构(SA)在其成员国内的作用和权威。他们应该与监管机构(SA)充分合作,并应要求提供必要的信息。此外,他们应该将数据处理实践与GDPR要求保持一致,并准备好及时回应监管机构发起的任何投诉或调查。
第7章:合作与一致性
各组织应优先考虑与SA的合作,并遵守第60条至第76条中概述的机制。他们必须确保与牵头监管机构和其他相关SA公开透明地共享信息,必要时积极参与联合行动。
第8章:补救措施、责任和处罚
组织必须在数据处理实践中优先考虑透明度、问责制和响应性。他们应该实施影响评估,以确定违反GDPR的潜在风险。他们必须制定全面的政策和流程,以满足所有隐私要求,包括安全措施、投诉处理程序、数据准确性协议和违规报表机制。更新参照先前指令起草的现有政策并确保与GDPR法规保持一致至关重要。定期监控和更新政策和程序将有助于保持对GDPR要求的持续遵守。
第9章:与特定处理情况相关的规定
组织应遵守成员国关于处理国家身份证号码、就业背景下的数据处理以及为存档、研究或统计目的而处理的法规。根据第89条,实施适当的保障措施和减损至关重要,确保必要时采取匿名或其他保护措施。
第10章:授权行为和执行行为
组织应随时了解欧盟委员会通过的任何可能影响其运营的授权行为或执行行为。他们必须监测法律的更新和变化,以确保遵守通过授权法案制定的任何新法规或程序。
第11章:最终条款
组织应确保他们了解GDPR与被废除或现有的欧盟法律之间的关系。他们还应该确保他们了解GDPR与被废除或现有的欧盟法律之间的关系。他们必须承认,第95/46/EC号指令已被GDPR所取代。
GDPR合规清单
有90多篇文章,遵守GDPR是一个费力的过程。这是一份清单,可以帮助您完成合规流程。
- 了解GDPR要求:熟悉GDPR法规及其对组织的意义。
- 数据审计:对您收集、存储和处理的个人数据进行彻底审计。
- 数据最小化:仅收集和处理预期目的所需的数据。
- 同意管理:获得收集、保留和擦除等数据处理活动的明确同意。确保它是自由提供、具体、知情和明确的。
- DPIA:为高风险处理活动进行DPIA(第35条)。
- 数据传输机制:为在欧盟/欧洲经济区以外传输个人数据实施适当的保障措施。
- 办公室数据处理(DPO):如果组织规模(超过250名员工)或处理活动需要,请指定DPO。
- 处理活动记录:如果您的组织至少有250名员工或按照GDPR的要求参与高风险数据处理,请保留您的数据处理活动记录。
- 定期合规审计:进行定期审计,以确保持续遵守GDPR要求。
- 跨境传输法:如果将个人数据传输到非欧盟国家,请遵守GDPR第45条规定的严格要求。该组织可能需要根据隐私保护框架获得认证。
- 欧盟代表:非欧盟组织需要任命一名驻欧盟成员国之一的代表。
- 隐私影响评估(PIA):进行PIA以识别个人数据处理所涉及的潜在风险,并制定缓解这些风险的策略是一项至关重要的行动。这一步需要评估处理对个人的影响,并确定风险最小化的措施。
- 数据泄露应对计划:制定数据泄露应对计划(第33条和第34条),包括在规定的时间内(发现后72小时内)检测、报表和应对泄露的程序。
- 实施强有力的安全措施:通过全面的风险评估来识别漏洞和风险,确保数据保护。利用加密或假名化(第6条)和访问控制来保护个人数据,定期更新系统,并对员工进行安全协议培训。
- 实施事件管理系统,以评估和分析数据泄露的影响:建立一个事件管理系统,具有评估和应对泄露的明确角色和责任。制定沟通计划,通知相关方,并进行彻底的调查,以记录调查结果并实施纠正措施。
用例
不合规的影响
不遵守GDPR可能会对组织产生重大影响,包括巨额罚款和声誉损害。GDPR罚款根据违规行为的严重程度分为两个等级:
- 对较不严重的违规行为处以第1级罚款,最高可达到1000万欧元或违规公司前一年全球年收入(第83(4)条)的2%,以较高者为准。这些违规行为通常涉及负责GDPR评估和投诉处理的控制者、处理方和监督机构。
- 第2级罚款适用于与隐私权和同意有关的更严重侵权行为,最高可达到2000万欧元或侵犯公司前一年全球年收入(第83条第5款)的4%,以较高者为准。这些违规行为侧重于确保合法、准确和安全的数据处理,包括遵守有关同意和透明度的法律。
例如,Meta,以前称为Facebook,因违反与数据保护相关的GDPR而被爱尔兰数据保护委员会(DPC)罚款13亿欧元。另一个例子涉及WhatsApp,爱尔兰数据保护委员会因其用户数据处理实践缺乏透明度而被罚款2.25亿欧元。
总体而言,不遵守GDPR可能会对组织产生深远的后果,包括经济处罚、失去信任、影响业务、法律挑战和监管审查。因此,公司必须优先考虑GDPR合规性,并确保他们采取强有力的数据保护措施来保护个人数据并避免潜在影响。
免责声明:本指南是使用官方GDPR文档提供的信息创建的。
管理引擎解决方案
关于Log360
Log360是一个统一的SIEM解决方案,具有集成的DLP和CASB功能,可以检测、确定优先次序、调查和应对安全威胁。Vigil IQ是该解决方案的TDIR模块,结合了威胁情报、分析事件工作台、基于ML的异常检测和基于规则的攻击检测技术来检测复杂的攻击,并提供事件管理控制台,以有效补救检测到的威胁。Log360通过其直观和高级的安全分析和监控功能,为本地、云和混合网络提供整体安全可见性。
试用我们30天关于AD360
ManageEngine AD360是一个统一的身份和访问管理(IAM)解决方案,有助于管理身份、保护访问并确保合规性。它具有强大的功能,如自动身份生命周期管理、访问认证、风险评估、安全单点登录、自适应MFA、基于批准的工作流程、UBA驱动的身份威胁保护以及AD、Exchange Server和Microsoft 365的历史审计报表。AD360的直观界面和强大的功能使其成为满足您IAM需求的理想解决方案,包括培养零信任环境。
试用我们30天