GDPR 概述：发生了什么变化？

新的欧洲通用数据保护条例 (GDPR)将于 2018 年 5 月 25 日生效。它包含个人数据处理方式的根本变化。 新的数据法规将成为世界上最严格的数据隐私法之一。 互联网上有大量关于该主题的信息、解释和声明。 在这里，我们为您总结了最重要的几点。

1. 个人资料的定义

GDPR 重新定义了个人数据的概念。 根据GDPR ，以下数据属于个人数据：

直接的个人数据

• 全名
• 身份证或社会安全号码
• 生物特征数据（例如指纹）
• 电子邮件地址
• 地址
• 电话号码
• 生日
• 登录名和在线标识符

间接个人资料

• 经济数据（例如帐号、信用卡号等）
• IP地址
• 文化和社会数据
• 如果可以追溯到个人的身体、遗传和心理数据。
• 伪匿名数据不佳
• 地理位置数据

应该注意的是，在某些情况下，显然非个人数据可以通过将其与其他数据源结合来清楚地识别一个人。 例如，性别和邮政编码的组合可以导致一个人被唯一识别。 因此，这些也必须被解释为个人数据。

2. 角色定义

GDRP 在数据保护方面定义了以下三个角色。

数据主题：

GDPR将个人数据的控制权交还给所谓的“数据主体”。 在GDPR的情况下，这是自然人或个人，更准确地说是欧洲公民。

数据控制器：

数据控制者是自然人或法人，例如机构、公共当局或任何其他单独或与他人共同决定收集和处理个人数据目的的机构。 在网站的情况下，这是网站运营商。

数据处理器：

数据处理者是代表数据控制者处理个人数据的自然人或法人。 例如，这将是：服务提供商、代理机构、营销工具、业务合作伙伴等。

GDPR 的一个新特性是数据处理者和数据控制者都被考虑在内，并且可以受到法律起诉。 同样重要的是要注意，虽然GDPR规范了欧盟公民个人信息的收集和处理，但如果您收集欧盟公民的数据，这也会影响欧盟以外的数据控制者和数据处理者。

3. 数据控制者和数据处理者的主要义务

• 通过设计和默认保护个人数据。
• 个人信息的收集、存储和处理必须以清晰易懂的方式进行沟通。
• 仅在数据主体明确同意的情况下存储和处理个人数据的义务。
• 保护个人数据免遭篡改、盗窃和未经授权访问的义务。
• 任命数据保护官的义务（针对欧盟境内的商业活动）。
• 向当局报告数据泄露并通知有关人员的义务。
• 义务，根据要求向数据主体提供有关其存储数据的信息（最多 30 天）。
• 确保数据可以根据要求完全删除、匿名化或销毁的义务。
• 保持数据库最新的义务（可以这么说，这会导致自动到期日）。
• 对非常敏感的数据进行 DPIA（数据保护影响评估）的义务。
• 定义发生数据泄露时要遵循的流程的义务。
• 通知数据主体有关向其他国家（尤其是欧盟以外的国家）传输数据的义务。
• 仅将数据用于数据主体同意的目的的义务。
• 了解所有个人数据来源的义务。

4. 数据主体的相关权利

• 获得有关个人数据使用的透明信息和沟通的权利
• 知道何时收集和处理个人数据的权利
• 检查存储数据的权利
• 纠正数据的权利
• 删除数据的权利（被遗忘的权利）
• 禁止处理/使用数据的权利
• 以便携格式接收数据的权利
• 反对权（例如，在以后的日期）
• 如果这具有法律后果（例如，在购买保险或申请信用卡时），则未经同意不会自动处理数据的权利。
• 权利限制：只要有“更高的法律”，它们就会限制数据主体的权利。 （例如，发票和合同的保留期限、国家安全、警方调查等）

5. 电子隐私指令（又名 Cookie 法）

如果上述义务和权利完全符合 GDPR，则禁止在未经同意的情况下收集和处理任何个人数据。 这也将禁止 cookie，等等。 但是，当前的欧洲电子隐私指令2002 （电子隐私指令，Cookie 法）承认使用 cookie 来操作和衡量网站性能以及改进在线服务极为重要。 因此，允许获得处理这些数据的默示同意。 许多网站上的“cookie 横幅”已经考虑了这一点多年。 GDPR 不会取代现有的电子隐私指令，因此这仍然有效。 不过，目前正在修订中，预计2018年会发布新版本。 从内容上看，上述cookies的使用很可能会继续得到默许。 但是，这不适用于可用于重定向的营销 cookie。

如您所见， GDPR带来了许多新的发展、义务和权利。 由于面临严重罚款的威胁，强烈建议检查您的网站和在线渠道是否符合 GDPR。 我们可以支持您达到 GDPR 合规性。 立即为GDPR 合规性审计请求您的个人报价。

如果您对新的隐私政策有任何疑问，请给我发送电子邮件。