企业新闻

GDPR

发布时间：2024-08-15 浏览次数：2 返回列表

前言：IT,信息安全,GDPR,隐私安全,个人隐私

服务背景

面对国内外日益完善的个人隐私立法，企业如何才能做到合规？SGS凭借全球资源对欧盟GDPR以及各国个人数据、隐私保护法规、标准的进行解读，积累了一定的研究成果。

我们愿与企业一道，识别与企业自身活动相关的个人数据状况、隐私保护风险与差距，并找出应对方法，为企业的合规经营保驾护航。

服务概述

《通用数据保护条例》(GDPR)于2016年4月27日在欧盟官方刊物上发表。暂缓期为二年，于2018年5月25日正式生效。

GDPR旨在:
确立个人数据的保护是人权；
定义个人数据保护的原则和规章；
加强产品或服务提供者与他们所服务的人之间的信任。

个人的7个数据权利
GDPR的核心内容是确立在处理个人资料的七项个人权利。任何正在处理这些数据的组织都需要确保这些权利得到保护。处理在GDPR中被定义为任何自动或手动操作，如收集、记录、组织、结构、存储、调整或变更、检索、咨询、使用、传输披露、传播或以其他方式提供、排列或组合、限制、删除或销毁。（如下图）

数据权利	描述	例子
访问权	允许个人索取本人资料的副本	银行客户有权请求个人数据记录的副本，包括地址，电话等。
纠正权	允许个人更改本人信息	宽带客户有权要求ISP提供持有的信息，以更新他的联系电话。
删除权	允许个人删除本人信息	一位美容店的顾客有权要求他的信息被删除，因为他不再是商店会员或顾客，因此他不会被要求进行新的促销活动。
限用权	除非法律相关需求，允许个人禁止本人信息被使用	建筑师有权要求他的前任雇主投标时不使用他的简历，但他可保留他的名字在旧记录上，以记录法律责任。
可携权	允许个人将本人信息从一个机构带到另一个机构	保险客户有权要求将其个人资料转移到另一家保险公司，如果该行业存在一种通用的电子格式，保险公司也应提供该通用电子格式的记录。
拒绝权	允许个人拒绝直接营销或类似的目的	使用电子邮件推行业务的营销公司应提供”退订“链接。
干预权	禁止控制者或处理者在未经明确同意的情况下自动对任何人进行评估	社交网络在分析用户行为之前，应征求提供有针对性的广告的明确同意。

GDPR包含以下内容:
组织的需求（欧盟代表处，数据保护主任，同意记录之存档，合同要求等）；
个人的7个数据权利；
认证方案；
成员国监督；
建立欧盟数据保护委员会；
其他法律程序。

解决方案

GDPR对您的经营有影响吗？如果您的企业：

在欧盟营运业务	向欧盟销售产品或服务	为欧盟市场设计产品
持有或处理在欧盟境内的消费者数据，无论对方是否式公民	利用欧盟个人数据进行市场调查	等等
你的业务很可能在GDPR的范围内

备注：GDPR适用于不论国籍或公民资格的欧盟境内人士。无论处理或存储位置，它适用于任何相关的活动或事务。

举例说明
假设一家中国香港的零售商，在德国的一家商店里提供量身定制的设计服装，顾客也可以通过其商店的网站加入他们的会员计划。该网站的服务器位于中国香港。在GDPR之下，商店客户的个人资料（姓名、地址、体型等）应该默认存储在欧盟，他们的网站应该构建在一个欧盟服务器，除非商店收到德国法定机构——德国信息专员办公室的批准，所有的GDPR规定应当执行。此外，如果在未来，中国香港的零售商改变它的商业模式，决定关闭德国零售商店并依赖于德国当地经销商获得定制订单，中国香港的零售商仍需要执行其GDPR义务，因为他们将处理从德国经销商那里获得的个人数据。

为了应对及符合GDPR，您应立即：
1. 任命一名数据保护主任。（第三十七条）
2. 培训您的员工。（第四十七条）
3. 识别在您的组织的个人资料及相关处理活动。（第三十条）
4. 确定个人的7个数据权利的处理方案。（第15-22条）
5 .确定您的公司在欧盟的主要办事处，从而确定带头的监督机构。（第四条）
6. 如果您没有在欧盟设立任何机构，您仍然需要一个驻欧盟代表（第二十七条）。然而，在这种情况下，从欧盟第二十九条数据保护工作组的澄清文件wp244点2.2中，将没有带头的监督机构。然后公司将需要遵守所有适用的监督机构的规定。
7. 证明合规。（第5.2、24.3条）

我们的优势

作为国际公认的检验、鉴定、测试和认证机构，SGS在IT信息安全领域的解决方案，覆盖范围广泛；并致力于为各行业机构提供全方位管理提升服务，内容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培训、认证和审核相关服务。