【欧盟GDPR】通用数据保护条例：欧盟GDPR在线指南

《通用数据保护条例》（GDPR）是欧盟的一项条例，旨在保护自然人（称为数据主体）处理和自由移动其个人数据。该法规于2016年正式发布，称为“2016年4月27日欧洲议会和理事会第2016/679号法规”，并于2018年5月25日生效。

《通用数据保护条例》是对个人数据保护的一次重大变革，其影响遍及全球，专为这个信息时代而设计，这个时代有着越来越多的大数据、数字化和数据驱动的数字化转型，在这个时代，数据已成为关键的商业资产，个人数据被充分用于商业目的。由于几个原因，GDPR是一个巨大的变化，包括GDPR的所谓域外适用性：其应用范围超出了欧盟和EEA（欧洲经济区）的边界。

个人数据的处理应该为人类服务。保护个人数据的权利不是绝对权利；必须根据比例原则（《通用数据保护条例》），结合其在社会中的作用加以考虑，并与其他基本权利相平衡

欧盟GDPR还授予数据主体更多的权利，并给数据控制者（决定处理个人数据的目的和方式）和数据处理者（代表控制者进行处理活动）带来更多更深远的影响。

《一般数据保护条例》的地域范围（适用于个人数据处理类型）和扩大的材料范围在全球范围内具有重大影响。

在Facebook和Cambridge Analytica数据隐私丑闻以及主要公司的重大个人数据泄露事件之后，《通用数据保护条例》（以及《电子隐私条例》【ePrivacy Regulation】，GDPR的特别法）的影响受到了全球的广泛关注。

随着网络风险的增加以及一些国家和地区通过的个人数据保护立法，GDPR和数据保护法规总体上也引起了对网络弹性的日益重视。

简而言之，《通用数据保护条例》：范围、合规性、罚款、处罚和GDPR措施

简要介绍为什么欧盟GDPR被认为是必要的，以及一些基本方面，然后开始深入探讨，从《通用数据保护条例》的“什么”和“为什么”开始。本章介绍了一些要点，因此如果GDPR对您来说不是那么新，请使用目录。

GDPR的含义和定义是什么？

没有真正的GDPR定义。GDPR是通用数据保护条例的简称。

如上所述，在欧盟法律和出版物期刊上发布的《一般数据保护条例》文本在技术上称为“2016年4月27日欧洲议会和理事会关于保护自然人处理个人数据和此类数据自由流动的条例（EU）2016/679，并废除指令95/46/EC”。

然而，《通用数据保护条例》文本中对其使用的术语有几个定义。如果您正在查找超出GDPR概述范围的术语的GDPR定义，如个人数据处理、同意、控制者等，GDPR文本第1章在第4条中提供了这些定义。

个人数据和标识符的组合和聚合越多，个人数据就越丰富——GDPR还包括几个在线标识符——在这里了解更多信息

为什么欧盟用通用数据保护条例取代现有的数据保护条例？

《通用数据保护条例》的存在有多种原因。第一个问题是，所提到的数据保护指令或指令95/46/EC虽然已经过修改，但已经不适合应对数字时代的个人数据挑战。

欧盟的数据保护指令自1995年就已经存在。1995年，人们几乎不使用互联网。尽管自1995年以来已经有了额外的规则，但欧盟认为是时候取代数据保护指令了。

2012年初，欧盟委员会表示，欧盟需要在许多方面，而不仅仅是个人数据方面，与数字时代更加协调。同时，出于同样的原因，它还决定现在是改革现有数据保护规则框架的时候了。数据保护指令是这些现有数据保护规则的关键。

个人数据处理的示例包括个人数据的存储、收集和收集个人数据（无论采用何种方式）、聚合、记录、交换、分析、公开、数字化、丰富、结构化、更改、搜索、利用、删除、结构化、销毁、上传和简单地使用/保存个人数据。

此外，《数据保护指令》是一项指令，《通用数据保护条例》是一条法规。2015年12月15日，欧洲议会、欧洲理事会和欧盟委员会就新的数据保护规则达成协议，该规则将被称为GDPR，并取代数据保护指令。

作为一项指令，欧盟GDPR的前身适用于不同的国家。欧盟希望采取更加一致的做法。GDPR是为一个单一的数字市场而设计的，在这个市场中，处理个人数据的组织知道他们可以做什么，不能做什么。这样，数据是必不可少的数字经济应该在一个日益数据密集的世界中蓬勃发展。GDPR提供了适应当今数字世界现实的监管框架，同时将数据主体置于其个人数据的驾驶位置。

我们现在所做的几乎每件事都是由数据驱动的，而个人数据几乎是我们所做的每件事：使用社交媒体、在线购物、开立银行账户、通过Skype进行沟通、在网站上填写表格以获得促销、从我们最喜欢的商店获得会员卡、拜访医生、订阅新闻稿、与政府互动等等。

数据控制器拥有大量关于自然人的数据，他们处理、存储、收集、分析和交换这些数据。尽管很少有公司拥有我们所有的个人数据，但个人数据的汇总可以导致对我们个人生活和隐私的深刻了解，从而可能导致滥用。大量的个人数据也可能被泄露，而且个人数据的使用方式往往是人们没有明确同意的。

例如，在在线广告和社交媒体中，许多个人数据和所谓的个人数据标识符被用于在许多数字平台上跟踪和锁定我们，用于我们未同意的目的，或者在合法处理个人数据的其他合法理由（除同意外）存在的情况下。

什么是数据主体？

数据主体是指其个人数据需要在GDPR的范围内得到保护和处理的已识别或可识别的自然人。

被识别的自然人是指被单独挑选出来的自然人，并且作为自然人被明确识别，而不需要其他元素或标识符。尚未识别可识别的自然人，但可以识别。这可以与其他标识符（如名称和地址）相关联地完成。

个人数据保护和GDPR适用于已识别和可识别的数据主体及其个人数据以及所有可能的标识符，其中一些识别数据被认为非常敏感，甚至受到更大的保护。

什么是个人数据，什么是敏感数据？

个人数据是指与数据主体相关的信息，无论数据主体是在数据处理范围内识别的还是可以识别的。

个人数据包括相当常见的数据，如姓名、电子邮件地址、出生地点、出生日期、数据主体的照片等。

个人数据还包括其他不太明显的数据，包括数字经济中更典型的数据和标识符。这可以包括在线标识符，例如IP地址、位置数据、通过诸如物联网（IoT）或面部识别系统等现代手段获取的行为数据、cookie、RFID标签等，还可以包括与组织或政府相关的数据，例如识别号。

最后，还有一类个人数据被视为具有额外保护需求和规定的敏感数据。这些是与个人健康和健康历史、种族、宗教或政治信仰、整体社会和文化身份、基因数据等相关的个人数据。

GDPR也适用于假名个人数据，但不适用于匿名数据。假名化（Pseudonymization ）是GDPR推荐的一种技术。

什么是GDPR检查表？

GDPR检查表是您的组织为了遵守GDPR需要做的事情的列表。然而，没有普遍有效的GDPR清单，您也可以将其视为“GDPR待办事项”列表。

由于每个组织都不同，有不同的目标和活动，处理不同类型的个人数据，并有自己的工作方式、流程和挑战，因此跨部门团队合作制定了GDPR检查表，该检查表应确保列出所有GDPR风险，所有GDPR保护机制都已到位，组织始终知道个人数据的位置、如何获得同意以及通常需要的外部顾问和顾问，以符合GDPR。

然而，普遍的是，所有GDPR检查表都应包括实现上述目标的步骤。它应该包括重要的职责，如GDPR员工意识培训，这也意味着你有一个可行的计划，从而完成了GDPR作业。这样的GDPR计划是进行风险分析的结果，列出了当前个人数据处理和保护实践中的所有GDPR风险，以组织在GDPR合规范围内的职责为背景，了解需要解决的问题，在GDPR清单上列出如何处理这些问题，并定义要完成的不同任务的优先级，因为您不能同时完成所有任务，有些风险比其他风险更高，某些类型的个人数据和数据处理活动比其他更重要。应从数据主体风险的角度来处理风险，但您可能还需要考虑GDPR罚款和处罚。除了GDPR意识计划和GDPR行动计划以及GDPR检查表或“待办事项”清单外，一个组织还证明它已经在GDPR合规方面采取了一些步骤，这是至关重要的。

GDPR规定的罚款和处罚是什么？

《GDPR》规定，GDPR罚款最高为一个组织年度全球营业额的4%或2000万欧元，并在第8章第83条中规定了两者中的最高者。

这并不意味着在发生不合规和/或个人数据安全违规的情况下，组织将不得不支付这些惊人的金额。这是最高罚款。

在GDPR实际生效之前，一些欧盟国家就已经出现了高额罚款的案例。虽然很难预测GDPR在任何特定情况下的罚款和处罚，但很显然，一切都将取决于许多因素，如违规或不合规的严重程度、数据主体权利被忽视或损害的方式、，不合规的程度（毫无疑问，看看在员工意识、风险评估和尽可能合规的步骤方面做了什么）以及个人数据发生了什么。

例如，如果未经同意/授权或数据主体访问这些数据而进行国际转移，则系统性地拒绝或简单地忽略这些数据，则适用GDPR的最高罚款。

虽然很难预测，但GDPR预见到了针对各种违规行为和不符合GDPR的情况的明确罚款机制。

例如，《GDPR》不仅规定了最高罚款，还预见了对其他一些组织未能遵守的情况处以较低罚款（1000万欧元或营业额的2%）。其中包括不以GDPR预见的方式报告数据泄露，或忽略隐私设计规则。更多关于第83条中的行政罚款。补充说明：类似的罚款适用于之前提到的欧盟电子隐私条例。

除行政罚款外，《通用数据保护条例》还规定了多项其他处罚。如果怀疑公司不遵守数据保护规则，相关的数据保护机构（DPA）可以对其进行调查，如果违反了规则，可以1）决定罚款，2）决定采取其他措施（例如，也可以是谴责或禁止数据处理活动），或者3）决定罚款并采取其他措施。

有关罚款和处罚的更多信息，请单击下面的按钮。

GDPR fines and penalties

https://www.i-scoop.eu/gdpr/gdpr-fines-guidelines-application-penalties/

关于GDPR合规性，我需要了解什么？

GDPR合规只是指遵守《通用数据保护条例》中有关您进行的个人数据处理活动的所有规则。考虑到欧盟GDPR的大量规则和许多变化，与其前身数据保护指令95/46/EC相比，实现这一目标并不容易。

虽然《通用数据保护条例》于2016年生效，但所谓的GDPR截止日期（即适用日期）是您所在组织应遵守的时间。这意味着，自2018年5月25日起，上述GDPR的高额行政罚款也可以适用。

《一般数据保护条例》预见了组织内部的明确角色和责任，以便能够响应数据主体在行使其多项权利中的一项或控制和监控实例的请求。

GDPR不仅仅是关于罚款和截止日期。合规性是一项持续的工作。您需要制定一个战略计划，从数据主体的角度出发（事实上，您也会考虑您的风险），以及GDPR文本中规定的《通用数据保护条例》的基本方面和变化。

当然，单凭这段文字并不能回答所有问题。这就是为什么有数据保护机构，DPA和其他机构（实际上远不止罚款）（如欧洲数据保护委员会）的指导方针，当然还有数据保护官员（DPO）等专家，您可能需要遵守欧盟GDPR，但如果严格来说不需要，您也可以雇佣他们（DPO培训已被完全预订，很快将有更多DPO可供雇佣，例如在已经存在的DPO即服务模式中）。

换句话说：寻求建议，而不仅仅是在怀疑的情况下。GDPR合规性是端到端的，没有法律文本或指南涵盖所有内容。在有些情况下，法官最终需要像往常一样做出裁决。

重要的是，这条通向法规遵从性的道路是一条持续的道路，因为这条道路关乎风险和风险管理。因此，在以优先顺序映射了这些风险和基本任务之后，您需要逐步从解决这些风险转向进一步的合规步骤。演示您已经做了什么以及仍然计划做什么的能力在这里是关键，同时演示始终遵守的能力也是数据管理员的职责之一。

GDPR——数字时代的欧洲数据保护——简而言之，GDPR的一些要素——欧盟来源和版权委员会

关于《通用数据保护条例》，我应该了解什么才能了解并开始？

虽然罚款并不是最好的起点，但关键是要确保数据主体的权利能够得到行使，并有适当的法律依据合法处理个人数据。

不让数据主体行使其权利或无视其请求会使情况变得更糟，并可能导致更高的罚款，当数据主体提出投诉时，他们中的每一个人都可以这样做，而相应的数据保护机构需要对此进行跟进。

换言之：没有理由恐慌，有理由谨慎，继续并理解GDPR的本质变化、数据主体的权利、控制者和处理者的职责、合法处理的法律依据、一般数据处理原则和与您的个人业务、各个部门（人力资源、市场营销、销售、客户服务等）有关的规定，您处理的个人数据类型，以端到端的方式采取适当的安全业务措施和基本步骤，从GDPR意识和（意识）培训员工开始，因为员工是数据保护中最薄弱的环节（无论是在信息管理方面，如文件共享、使用工作工具等；还是在网络安全方面），并使他们意识到（在工作环境中处理个人数据时要遵循的政策）是证明合规性的第一步。本GDPR概述中进一步提到了其他步骤，如查看与数据处理者的协议（当您是控制者时），注册个人数据处理活动，并提供有关处理内容、原因和方式以及数据获取依据的其他信息。

最后，请注意，GDPR合规性也是一项持续的工作，因为数据保护挑战不断演变，判例也在演变，关于合规性的规则以及在快速变化的世界中带来挑战的新技术和风险也在演变。

在技术方面，确实考虑到GDPR及其“专门法”ePrivacy Regulation也涵盖了个人数据和PII（个人可识别信息），以及物联网（物联网，从可穿戴设备和智能家居自动化应用程序到所谓工业4.0应用程序中的个人数据）、互联网、，先进的“第三平台”数字技术和电子通信。虽然前两项法律也涵盖了后两项，但为了与当今存在的平台和工具保持一致，对其进行了扩展（想想社交网络、Skype等应用程序、大数据分析、通过在对人进行排名的应用程序中分配社交分数来自动决策，通常结合社交活动和其他数据，例如“影响力”等）。物联网是新的。因此，这里需要额外的关注，理想情况下，对于这一领域的应用，以及在新数字技术的背景下，建议进行所谓的数据保护影响评估。事实上，这不仅仅是关于cookie和电子邮件地址。

GDPR：繁荣数字经济的个人数据保护和隐私规则

如上所述，罚款和处罚不是《通用数据保护条例》的目的。此外，它还适用于一个比消费者关于个人数据（使用和保护）的基本权利更大的背景。

GDPR被认为是数字转型经济中保护个人数据及其所有权的框架，数据是商业资产、新货币、石油和创新加速器；个人数据在整个连接的生态系统中被利用，以获得更广泛的个人视角带来的利益，从而在各个学科中取得更好的结果。

在这种经济、数字和社会背景下，所有组织都有明显的好处，但也有一些规则需要在个人层面上得到尊重，如果没有这些规则，数字市场的发展就会受到多重挑战的阻碍。换言之：尽管GDPR对许多人来说似乎是一种痛苦，但它也需要让数字和数据驱动的世界变得更容易和更清晰。这也为组织带来了好处，原因有几个，我们将加以解决。

《欧盟通用数据保护条例》——GDPR的一些关键变更摘要——注意——阅读《条例》中的详细信息并获得建议

关键GDPR定义、术语、权利和规定

要符合GDPR，您不需要一些工具。你需要一份全面的分析、计划、详细的检查表等等，涵盖所有涉及的方面和过程。任何此类战略、检查表或合规计划的第一阶段是意识。

虽然这更多的是组织中所有利益相关者的意识和技能（包括培训员工），但我们也需要了解GDPR中的一些关键术语、概念、权利和义务。您可能已经了解了其中的大部分内容，在下面的概述列表中可以看到更详尽的指南。

个人数据的处理：广义的GDPR处理定义

GDPR涉及欧洲经济区（包括欧盟）自然人的个人数据处理，在法规中称为“数据主体”。

“处理”是指对个人数据或个人数据集（GDPR）进行的任何操作或一组操作

处理涵盖了大量实际行动，包括个人数据的存储、传播、更改和管理。个人数据还涵盖了标准、定义、例外情况、个人数据标识符、假名数据以及我们将看到的更多内容。此外，这一点往往被忽视，它适用于个人数据的处理，无论处理是否采用自动化方式。换句话说，手动处理个人数据（运营商）也包括在内。

在GDPR最终文本第1章第4条第二部分（“定义”）中，GDPR对处理的定义如下：

“处理”是指对个人数据或个人数据集进行的任何操作或一组操作，无论是否通过自动方式进行，如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、传输披露、传播或以其他方式提供、对齐或组合、限制、，删除或销毁。

如果你开始思考谁处理个人数据，你就会看到冰山一角。处理的定义非常明确，这表明GDPR如何涉及所有与个人数据相关的活动。这还包括捕获、扫描和处理硬拷贝文档中包含的个人数据，甚至包括“拥有”个人数据（或者我们不会存储或处理这些数据）或“能够访问这些数据”的简单事实。

GDPR数据主体和个人数据的定义和范围

欧盟GDPR对个人数据的定义也几乎没有解释的余地。在第4条中，案文指出：

“个人数据”是指与已识别或可识别自然人（“数据主体”）相关的任何信息；可识别自然人是指可直接或间接识别的自然人，特别是通过参考标识符（如姓名、识别号、位置数据、在线标识符）或特定于该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个因素；

GDPR的定义很明确：如果您处理数据主体的个人数据，一般规则是GDPR适用。然而，正如我们将看到的，在这个看似简单的定义下隐藏着很多东西。

另一方面，在公共卫生和科学研究等领域，个人数据有几个例外，因此了解GDPR对行业的影响很重要。这也是一个及时准备并了解它如何影响您的个人组织和活动的论点。

通过使用附加信息可归属于自然人的化名个人数据应被视为可识别自然人的信息。

欧盟GDPR不包括匿名数据。然而，它确实涵盖了所谓的化名个人数据，因为化名是安全和分析中经常使用的一种“策略”，可以逆转，与匿名数据相反，可以追溯到可识别的自然人，即数据主体。然而，假名和加密是GDPR建议的“一种适当的技术和组织措施，以确保与风险相适应的安全水平”的方法之一。

研究表明，相当多的公司事实上使用技术来识别数据，以减少风险暴漏。

请注意，一般来说，合并的数据越多，识别难度越大，风险也越高。如果涉及特殊类别的数据（“敏感数据”），则会产生额外的风险和措施。

了解数据保护的原则以及有关已识别和可识别人员的信息

GDPR的陈述26是理解数据保护原则的关键，并规定GDPR适用于任何有关已识别或可识别人员的信息。

它概述了《通用数据保护条例》适用于哪些关于已识别或可识别自然人的信息。它还概述了如何确定数据主体或自然人何时可识别，并说明了假名数据也属于GDPR，匿名信息不属于GDPR。所有这些主题将在GDPR的更多序言和文章中进一步深入阐述。

在线标识符、遗传数据和个人健康数据

在GDPR中，个人数据的定义已经扩大（对同意和保护都很重要）。

它包括标识符，如遗传数据和与数据主体健康状况相关的所有数据。此外，还包括科学研究数据，但仅限于一定程度。

遗传数据包括DNA分析结果，健康状况数据包括治疗、病史、疾病等数据，如下图所示。标识符是可以识别自然人的数据元素，有很多这样的元素。有些比较笼统，有些比较“敏感”。了解所有这些标识符以及自然人如何成为数据主体（他/她可识别的各种方式）非常重要。给你一个想法：下图中的一种标识符，即在线标识符，由多种类型和形式组成，从IP地址和cookie到RFID标签。

图形中的个人数据、数据主体、数据控制器、数据处理器和标识符

《一般数据保护条例》序言30介绍了IP地址、cookie、RFID标签等在线标识符，但并不详尽。然而，在文本中，GDPR进一步放大了它们。

需要记住的关键是，上述在线标识符被视为个人数据，因为与唯一标识符相结合，它们可以导致数据主体的识别，并且因为此类在线标识符与其他标识符相结合可以且事实上被用于画像，这在GDPR中明确提及。

我们看到，许多人不知道这一点，甚至经常看到调查表明，各个行业的专业人员不考虑其他标识符，例如电子邮件地址或照片作为GDPR范围内的标识符。必须了解它们是什么（以及它们在什么背景下）。

正如你在序言34中所看到的，遗传数据显然被视为个人数据。此外，遗传数据被视为敏感数据，值得特别保护。个人健康数据也是如此，其中包括源自遗传数据的信息，但正如GDPR序言35中所解释的，该序言总结了属于GDPR范围内的各种形式的医疗保健相关个人数据（并且有特殊保护规则）。

GDPR的领土范围扩大

与现有指令相比，GDPR的一个主要变化是其所谓的域外适用性，即GDPR不仅仅影响欧盟公司这一事实的技术术语。

GDPR涉及所有处理居住在欧盟的公民（“数据主体”）个人数据的公司，无论这些公司（“数据处理者”和“数据控制者”）位于何处。

当欧盟数据主体的个人数据处理由不在欧盟的控制者或处理者完成时，GDPR适用于与向欧盟公民提供商品或服务（免费和付费服务）和欧盟数据主体行为监控相关的活动。

此外，处理欧盟公民数据的非欧盟公司需要在欧盟任命代表。

关于这一领土范围的相关链接和文本包括：

• GDPR序言22指出，在欧盟境内设立控制者或处理者的活动中，对个人数据的任何处理均应根据《一般数据保护条例》进行，无论处理是否在欧盟境内进行。
• GDPR文本的序言23基本上规定，欧盟以外的组织提供商品和服务（无论是否付费）时，欧盟数据主体的个人数据处理受GDPR的约束。
• 序言24，其中表示GDPR适用于不在欧盟但监测欧盟数据主体行为的组织。
• 陈述25涵盖了《GDPR》在国际公法范围内的领土适用，例如，适用欧盟规则的欧盟以外的外交使团属于《GDPR”。
• 《通用数据保护条例》第3条（“领土范围”）对其进行了总结，并具体阐述了GDPR的领土范围。

GDPR地区范围-受试者控制者和处理者-当GDPR适用时

GDPR以及控制器和处理器的职责

与前一代相比，GDPR并没有改变控制器和处理器的定义。然而，发生变化的是对处理者的影响（以及报告流程和各种参与者的总体义务，除了控制者本身，还有监管机构和欧洲数据保护委员会的作用，该委员会取代了GDPR合规指南中进一步提到的第29条工作组）。

在关于GDPR领土范围的信息图中，我们已经提到了数据控制器和数据处理器的定义。

• 数据控制者是单独或与他人共同决定个人数据处理目的和方式的任何自然人或法人、公共机构、机构或其他机构。假设它是主要组织。
• 数据处理者是代表控制者处理个人数据的自然人或法人、公共机构、机构或其他机构。因此，根据个人数据处理活动的类型，实际上每个人都会作为涉及个人数据的任何可能业务职能的外包合作伙伴来处理特定的处理任务，因为处理的定义非常宽泛，如其他地方所述。

GDPR下的数据控制器与数据处理器——处理器和控制器的位置

我们专门为数据处理者的角色设置了一个专页，因为GDPR规定数据处理者有很多义务，并且在侵权或个人数据泄露的情况下存在事实上的共同责任。

处理器必须遵循与控制器完全相同的个人数据处理原则。除此之外，处理器，

• 必须记录他们为控制者进行的所有处理活动（审计跟踪）以及他们为其进行数据处理活动的所有控制者，
• 必须有一份合同或法律依据，明确说明他们为数据控制者做了什么、做了多长时间、出于什么原因、数据类型和数据主体类别等，
• 必须协助控制者履行多项义务，如安全数据处理、个人数据泄露情况下的通知义务（处理者向控制者提供个人数据泄露通知义务）、数据保护影响评估或事先咨询的潜在需求、，
• 在使用或考虑使用其他数据处理者的服务时，必须通知数据控制者，并有义务对所述个人数据处理活动进行明确授权。

换言之：GDPR对数据处理者和各种外包公司都有很强的影响，比如营销、数据服务、人力资源、物流等领域。

上述处理器义务列表还远远不够完整。他们自己必须以安全和合规的方式工作，他们必须以比以前更透明的方式与数据控制器一起工作，数据控制器反过来必须更加关注与他合作的处理器的合规程度，必须有明确的数据处理协议，并且处理器以比以前更加（直接）的方式承担责任。

注意：在某些情况下，组织可以同时充当数据处理器和数据控制器。Jessica Lam在下面的信息图表和关于该主题的完整文章中解释了这种情况。

双重角色——担任GDPR信息图表Lawinfographic的Jessica Lam的数据处理器和数据控制器。com–阅读全文

GDPR合规和同意：同意定义、重要性和规则

GDPR在同意方面比其前身更严格。同意仍然是合法处理个人数据的几个法律依据之一。然而，当它被选为法律依据时，它增加了我们在GDPR合规指南中进一步涵盖的一般数据主体权利，因此，实现GDPR合合规意味着当数据主体想要行使此类权利时，能够满足数据主体权利的要求。

同意应通过明确的肯定性行为作出，明确表示数据主体同意处理与其相关的个人数据，如通过书面声明（包括电子方式）或口头声明。

同意作为法律依据，适用额外的规则，数据主体对其个人数据的控制程度更高，而控制者和处理者的责任增加，额外的特定同意相关权利加入了一般数据主体权利，如撤回同意的权利。在实践中，这是困难的，需要同意管理的可能性。因此，在任何时候，关键是要看什么是最好的法律依据，因为同意肯定不是圣杯，也不是公园里的散步。然而，在某些情况下，这将是最合适的法律依据，或者可能是特定个人数据处理活动的唯一（有效）依据。

根据GDPR，当同意被选为任何数据处理活动的合法处理基础时，同意需要由数据控制者证明。同意还需要自由、具体、知情、明确，并通过声明或明确的肯定行动给予。所有这些要素都至关重要。

通过选择基于行动的同意方法，GDPR合规不仅意味着在选择时更难证明同意，还意味着获得同意的方式需要真正基于数据主体的明确行动，而不是通过预先勾选的框、不活动、，沉默和其他一些可能使数据主体更难自由同意的理由。关于同意的其他提到的要素显然与主动同意的概念有关，自由给予、具体、知情和事实上的明确相互交织在一起。

只有在遵循非常具体的规则且不存在导致同意不自由给出的条件时，才认为同意是自由给出的

如果数据处理活动的同意与使用服务的其他条款和条件或合同捆绑在一起，而未将特定数据处理活动同意与这些条款分开，则认为同意不是自由给予的，因为需要对每个单独的活动给予同意（粒度）。

此外，数据控制者必须使用明确和简单的语言来说明寻求同意的处理活动的目的，并且同意需要意味着真正的肯定和自由选择，其中有几个概念使自由给予的同意无效。

这方面的一个例子是：当在数据控制者和数据主体之间权力明显失衡的情况下给予同意时，同意不会被视为自由给予。

对某些形式的数据处理的使用也有限制，需要明确同意，严格来说，更严格的同意仅适用于某些情况。

如前所述，有关个人数据处理的同意书必须清晰明了，并使用通俗易懂的语言。

在实践中，这意味着不再使用法律上的、易于区分和可访问的方式来描述数据主体给出了什么样的同意以及如何给出同意。同样的容易程度必须适用于撤回同意。此外，未经同意，个人数据不能与其他方共享。

同意和详细同意的后果/义务

GDPR序言和条款决定了应如何给予同意，何时适用，何时不适用，组织在同意方面的职责是什么，数据主体如何撤回同意，等等。

这一切都始于《GDPR》第30条，其中明确提到，数据主体同意处理其个人数据的同意必须通过“明确的肯定行为”，正如刚才提到的。它不仅必须是明确和肯定的，而且必须是对该协议的自由、具体、知情和明确的表示。

所有这些都会带来更多的后果。

• 自由给予意味着在任何情况下都没有强迫、压力或无力行使自由意志。自由给予同意也意味着，当同意被用作合法处理个人数据的法律依据时，数据主体可以在任何给定时间自由（且容易）撤回，而不会产生任何负面后果或损害。
• 知情意味着数据主体确实知道他/她同意什么，这是任何请求同意的人的责任。
• 明确意味着组织无法以法律或模棱两可的方式隐藏对个人数据处理的同意，以及其目的和数据主体的权利。
• “特定”是指出于特定目的并在特定范围内给予同意，即请求同意的原因、如何使用个人数据等。
• 一个肯定的行为是我们之前提到的关于数据主体的活动维度的行为，其中，预先勾选的框是“不允许”。

换句话说：它延伸得很远，真正将知情的数据主体置于中心。陈述32明确表示同意中预先勾选的方框结束，因为这些方框并不表示同意。清晰和透明是关键。在GDPR文本第3章（主要是第1节）中，数据主体的权利范围内进一步处理了透明度问题。

有许多序言和文章涉及同意，因此请检查适用于您具体情况的规则。举个例子：《GDPR》序言33着眼于科学研究范围内的同意和个人数据。

除其他外，《GDPR》文本第2章（第5-11条）更详细地讨论了同意问题，包括同意的条件、同意和16岁以下儿童、撤回同意的权利等。

明确（explicit ）同意与具体/明确同意之间（specific/unambiguous）的区别

对于明确同意的含义，人们往往存在误解。如上文所述，同意的定义中未提及明确同意。

在明确同意的情况下，建议采用两阶段验证方法。

然而，明确同意一词在GDPR中出现了几次，其中包括关于特殊数据类别的第9条、关于自动决策和分析的GDPR第22条以及关于国际数据传输减损的GDPR 49条。

2017年12月，来自第29条数据保护工作组的GDPR同意指南中，明确同意是提及的几个与同意相关的主题之一。

在个人数据保护存在严重风险的特定情况下，需要明确同意，并且个人对个人数据的更高级别控制被认为是适当的。

换句话说：明确同意与具体同意或GDPR同意定义中使用的任何其他术语都不同。上述指南进一步阐述了获得明确同意的机制，以及在哪些情况下，您需要获得明确同意，正如您在本文中所看到的。

GDPR合规性和合法处理个人数据的法律基础

同意只是合法处理的法律依据之一，尽管是最常提到的。这绝不意味着同意在GDPR眼中更重要，即使规则更严格。

我们一直在说：重要的是为个人数据处理活动提供最适当的法律依据。除同意外，合法处理个人数据的其他法律依据如下。它们是合同必要性、法律义务、切身利益、公共利益和合法利益。

合法处理的六大法律依据

除了我们刚才提到的同意之外，请快速查看其中的每一项。此外，关于同意、明确同意、合法处理的法律依据等，我们在本GDPR合规指南中提到了更多条款。

合同必要性

顾名思义，合同必要性确实是合法处理的法律依据，因为履行合同或采取步骤需要处理特定的个人数据。

很明显，在几种类型的合同中，如果你不知道与谁签订了合同，那么很难有一份合同。获取使合同生效的基本数据是一种处理形式，由于这些数据是个人数据，GDPR适用。

这不是新的，在GDPR的前身中已经存在，因此不会对现有合同产生太大影响。但是，一定要确保合同需要您要求的个人数据（不要超出合同范围内严格要求的数据），检查您在合同范围内进行的所有数据处理活动，检查特定业务职能（如人力资源）或行业的合同示例，如果有疑问，请寻求帮助，并确保在一份合同中，如果其中一项是同意的，则不要将多个目的和法律基础混合在一起。还请查看特定行业、商业活动、数据处理活动和合同规定的GDPR条款和GDPR序言。

法律义务

法律义务，顾名思义，意味着为了履行其法律职责，数据控制者只需处理某些个人数据。

这已经作为法律依据存在，就像法律义务一样。然而，GDPR将法律义务限制在欧盟或欧盟成员国法律范围内。

虽然这不是新的，你应该已经有了，但再次检查是否符合GDPR，列出法律义务范围内的各种数据处理活动，看看它何时成为法律依据，并寻找你的行业。此外，对欧盟及其成员国法律的限制也会带来后果。

重大利益

本质上，重要的兴趣是你需要获取一些个人数据来帮助自然人，而你甚至没有时间考虑规则和条例。

换言之：当你不立即采取行动时，对人们来说，基本上是生死攸关或潜在灾难的问题。例如，当你需要刚刚发生事故的人提供紧急信息，并且在试图帮助他们的过程中，这些信息非常重要。此外，如果这真的是生死攸关的问题，而且从字面上讲是至关重要的利益，这些数据中的一些可以为公众利益服务。真的认为这里是灾难。

公众利益

公共利益主要是公共当局的任务和职责范围内的法律基础，以及控制者在公共利益或公共当局和公共利益方面的职责。

公众利益也不是什么新鲜事，所以对大多数人来说，公众利益已经是众所周知的，它也存在于非欧盟数据隐私法中。科学研究和公共卫生是这里的一些活动。

合法权益

在某些情况下，合法利益是最常提及的同意替代方案之一。这在GDPR中并不新鲜，但在考虑这样做时需要非常小心，因为有些例外情况和微小的细节很容易被忽略。

正当利益的一个例子是，在诸如数据主体是客户或在控制器的服务中的情况下，数据主体与控制器之间存在相关且适当的关系。合法利益通常被用作营销范围内的同意替代品，同时也存在GDPR是否意味着您需要重新发送的问题；意思是：再次要求客户同意。一般来说，如果你已经按照GDPR前身的规则工作，你就不会。然而，魔鬼在细节上：只有在你之前所做的符合GDPR的情况下，才会发生这种情况。所以，检查两次。

其他合法利益的例子，如网络和信息安全原因，以及通过下面的按钮了解更多这些法律理由。

处理个人数据：透明、合法、公平等原则

除了合法处理数据的法律依据外，个人数据处理还应遵循透明、公平和合法的一般原则。

因此，请查看《通用数据保护条例》第5条和第39条，因为它涵盖了GDPR下处理个人数据的透明度、合法性和公平性的本质，以及处理这些数据的组织的若干后果。

序言和条款更详细地阐述了透明度（例如，为什么要处理个人数据，使数据主体易于查找和理解的义务，使用清晰易懂的语言的义务），但也探讨了有关个人数据存储时间限制的基本规则，以及确保数据主体能够行使GDPR规定的若干权利（透明度、目的限制、储存限制等原则）。

数据主体的同意以及在某些情况下的其他法律依据是根据GDPR合法处理个人数据的基础，作为一般规则（除了通常的例外情况），组织（或控制者）必须能够证明数据主体确实同意处理他/她的个人数据，或者有其他合法处理的依据。控制器还应确保遵守若干数据处理原则，并予以证明。（问责制原则）。

个人资料违反通知责任

GDPR对何时以及如何报告对数据主体构成风险的个人数据泄露有明确规定。GDPR合规意味着能够履行这一职责。

违约通知义务意味着几点。首先，这意味着个人数据泄露需要与所谓的监管机构沟通。如果可行，该个人数据泄露通知应在不适当的延迟内发生，且不得晚于控制者意识到该通知后的72小时。

如果控制者提交个人数据泄露通知的时间超过72小时，则需要在通知中说明延迟的原因。

如果个人数据泄露不太可能对各种权利和自由造成风险（这些权利和自由的解释比GDPR中的解释更广泛），所有这些都不适用。

个人数据泄露是指违反安全规定，导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据（GDPR第4条，定义）

如果个人数据泄露对数据主体可能造成风险，处理者显然还需要通知控制者。然而，在意识到个人数据泄露后，这必须立即发生。GDPR第33条对此进行了解释，其中还规定了个人数据泄露通知至少应包含哪些内容。

除了处理者通知控制者和控制者通知监管机构的责任之外，当个人数据泄露可能会对数据主体的权利和自由造成高风险时，控制者还必须将个人数据泄露告知数据主体，在此再次不得无故拖延。

《通用数据保护条例》第34条规定了有关向数据主体传达个人数据泄露的基本规则以及不需要的情况。

GDPR第4条包含了GDPR的定义，它定义了个人数据泄露的含义，正如你在引用中所看到的。

儿童个人数据的特殊保护

《一般数据保护条例》第38条规定了在儿童个人数据范围内对儿童的具体保护。

这里提到了父母的作用和有关儿童个人数据保护的一般规则，主要是在针对儿童的服务的营销、分析和收集儿童个人数据的范围内。

文本中进一步确定了具体细节。在第8条（GDPR文本的第2章）中，引入了16岁的年龄，尽管欧盟成员国可以预见在特定条件下的较低年龄法律，即该较低年龄不得低于13岁。

在GDPR的范围内，对儿童的特殊保护非常重要，因此在您的GDPR合规列表中，它绝对应该排在首位。

GDPR合规性和数据保护官

GDPR范围内的数据保护官或DPO仅在以下情况下才需要：一个组织是公共机构（例外），具有大规模的个人数据处理活动，其中主要范围是观察数据主体，以及在大规模处理特定类别数据的组织中。

数据保护官有明确的职责，需要在数据保护法律和实践方面有经验，并且需要能够以完全独立的方式工作。然而，对于DPO的过去经验，既没有确切的“工作描述”，也没有固定的规则。数据保护官可以通过多种方式任命和选择：他或她可以是组织内部人员（只有在没有利益冲突和独立工作能力问题的情况下才是内部人员），甚至可以由多个组织“共享”。

有关数据保护官的确切职责和角色以及技能，请单击下面的按钮，在这里您可以找到比GDPR概述更多的内容。该信息图表总结了GDPR要求数据保护官的时间。

GDPR合规性–何时需要数据保护官员，DPO的职责、任务和技能是什么

数据主体权利和GDPR合规性

GDPR从其前身《数据保护指令》接管了数项数据主体权利。然而，除了扩大和收紧有关某些数据主体权利的规则外，《通用数据保护条例》还引入了新的数据主体权利。我们在整个网站上深入解决了其中几个问题。下面是一些。

很明显，GDPR合规意味着您已尽一切努力使数据主体能够行使这些数据主体权利。这还不够。GDPR合规还意味着您已以透明和明确的方式向数据主体正确告知了这些权利。

数据主体权利：获取信息的权利

获取信息的权利也是一种信息权、透明度和同意（撤回）权。

数据主体可以询问数据管理员是否处理了与他们相关的个人数据，为什么、在哪里以及如何处理，并获得电子副本。

数据主体权利：被遗忘或删除数据的权利

数据主体可以要求数据管理员删除其个人数据。此外，如果明确同意传播数据和/或第三方处理数据，则可以撤销该同意。但是，也有适用的条件。

仔细看看数据删除权或被遗忘权。数据主体有权要求在特定条件下删除其个人数据。

可以援引被遗忘的权利的理由（以及控制者必须在没有不当延迟的情况下删除数据并报告数据）如下：

• 不再需要与收集或处理个人数据的目的相关的个人数据，
• 如果同意被选为合法处理的基础（或特殊类别数据的明确同意），则撤销同意，并附加规定，除同意外，没有其他合法的处理依据，
• 数据主体反对GDPR第21条第一款规定的处理（反对权是另一项数据主体权利），反对权的一般规则，或个人数据被处理用于直接营销（包括直接营销范围内的分析），
• 被要求擦除的个人数据已经以非法的方式被处理，
• 存在控制者必须遵守的法律义务，并且为了遵守该法律义务，
• 如《通用数据保护条例》第8条第1款所述，收集的个人数据涉及儿童，旨在直接向儿童提供信息社会服务。

何时可以行使删除权

此外，如果被要求删除的个人数据已由控制器以某种方式或其他方式公开（例如，将个人数据放在互联网上，其他人可以查阅），则控制器必须尝试确保删除指向该数据的链接、副本和复制品。

然而，这并不是绝对的：它必须考虑到现有的技术和实施成本，并且控制器的努力必须是“合理的步骤，包括技术措施”。

被遗忘权或删除权的例外情况包括以下需要处理（按比例）的原因：

• 行使言论和信息自由权，
• 处理活动以履行法律义务，
• 公共卫生范围内的原因，
• 出于公共利益的存档目的、科学或历史研究目的以及统计目的，
• 确立、行使或辩护法律主张。

关于GDPR第17条中删除权或遗忘权的全文（带链接）。

数据主体权利：数据可移植性权利

数据可移植性是GDPR带来的一个新概念。简言之：数据主体有权在特定条件下接收关于他们的个人数据（如上所述），但除此之外，也有权将其传输给另一个数据控制者；只有在使用自动化手段完成数据处理时，才会出现这种情况。

数据可移植权赋予数据主体以结构化、常用和机器可读格式接收其个人数据的权利，以及将这些数据传输给其他组织的权利。这是数字数据和数字时代的数据主题。

• 控制者有责任使其成为可能，以便数据主体可以将其个人数据传输给另一控制者。
• 控制器也有责任在没有任何阻碍的情况下实现这一点。
• 如果技术上可行，数据主体还应能够将这些数据从控制器a直接传输到控制器B。换句话说，无需控制器干预，但同样，只有在技术上可行的情况下。

数据可移植权意味着：

• 处理发生是因为数据主体已经同意（因此同意被用作基础或合法处理），或者如果涉及特殊类别的个人数据，数据主体已经明确同意；
• 在数据主体是一方的情况下，履行合同需要进行处理（合法处理的第二依据）；
• 使用自动化手段（数字和电子）完成处理。

我们已经提到了其他关键方面，如更高的罚款（处罚）和采用设计隐私原则。

GDPR中的其他关键要素和/或变更

以上列表远非详尽无遗。在本文的参考资料、信息图表和其他材料中，您可以找到更多的变化和元素。

为了能够证明符合本法规，控制者应采取内部政策和实施措施，特别是符合设计数据保护和默认数据保护（GDPR）原则

其中包括：

• 设计隐私和默认数据保护是两个关键原则，它们对我们将看到的许多领域都有影响。例如，设计隐私在记录管理的级别上起作用。
• 所谓的一站式商店，意味着国际组织事实上必须与一个监管数据保护机构合作。
• 关于特定文章的灵活性。与普遍的看法相反，国家监管机构可以在几个领域解释和/或阐述GDPR中的规定。敏感数据的情况尤其如此。
• 国际数据传输原则是GDPR的一部分。
• 各组织需要能够证明已经采取了适当的技术和组织措施。ISO 27001等认证有助于证明这一点。
• 合法处理：如前所述，同意是在GDPR中提出的；然而，在更广泛的合法处理背景下，还有更多的因素至关重要。
• GDPR“推动”了以加密为主要手段的降低风险的具体措施。如上所述，将数据化名也是降低风险的一种方法。
• 关于DPIA的新规则：在一些情况下，数据保护影响评估是强制性的，同样侧重于“新技术”。

GDPR合规策略和GDPR检查表

优化、（恢复）信任、更全面的方法，以及将安全和信息更好地转化为数字化转型的推动者，这些都是智能组织可以通过GDPR等框架实现的一些好处（您将在下面找到更多）。

另一方面，为了符合GDPR，还需要进行艰苦的工作。如上所述，从业务的各个方面来看，战略方法是关键。

各种组织，通常与在GDPR实际影响的一个或多个特定领域具有主题专业知识的其他组织合作，提出了此类战略方法。事实上，这也是整个GDPR现实的一部分。GDPR预测了数据保护影响评估。

它们或多或少都有相同的步骤，是GDPR合规检查表或数据保护和风险检测检查表的一部分。

数据隐私风险评估和解决方案框架——从库存和评估到分析、实施和评估——赛比德授权的GDPR战略——IRIS专业解决方案提供的GDPR来源和礼貌介绍

GDPR合规步骤1：欧盟GDPR意识

显然，各组织需要了解GDPR及其影响。这是我们在本概述中所做的工作的一部分，如前所述，有相当多的组织缺乏意识和/或没有做好准备。

然而，在GDPR合规的战略方法中，意识意味着其他东西（也是）：您的员工、管理层、IT团队、安全人员、信息经理等也需要意识到GDPR在实践中对他们意味着什么。这通常在研讨会和培训中完成，以从意识到行动意识，从理解到相应行动。

请注意，重要的是要有人负责创建这种意识，并且随着新员工加入公司，教育将是一个反复出现的主题。GDPR还预见了几个角色。

当然，GDPR也不应被视为在2018年5月25日之前“做好准备”的一项重大努力。数据保护，在GDPR的范围内，需要持续的努力、评估、监测和控制。此外，这并不是说明天你就不会利用新技术，再次提出新问题。

最后，意识也意味着充分理解GDPR及其影响，否则很难看出你现在的立场和你需要的立场之间的差距。

GDPR合规性步骤2:GDPR评估/审计：发现和差距分析

这些差距使我们进入所有战略方法的第二部分：有一个评估/审计阶段，包括发现和差距分析。为了达到某个目的，你需要知道你今天的处境，这是一个普遍的假设。

为了评估您目前的状况，并因此查看差距，这一阶段是发现和绘制GDPR范围内几乎所有相关内容的阶段。

因此，您需要深入了解当前在各个层面的实践，如审计能力/方法、数据所在位置（数据发现）、涉及哪些流程、您如何处理数据、隐私和安全实践如何运作、当今谁负责、谁负责、什么样的系统、网络和数据库等。

在进行风险评估时，要考虑个人权利和隐私的风险。

在实践中，你可以想象，评估/审计和意识有些重叠。看到你所做的事情可以让你意识到你可能忽略的方面，反之亦然。

在实践中，评估和发现阶段还需要导致对差距的分析。如前所述，这显然也意味着你已经了解了GDPR及其作为一种基准的全面影响，它指导你在考虑差距的情况下以优先方式进行评估。

审计还包括收集和分析组织中现有的所有当前文档政策：从安全和业务连续性政策到可接受的使用和隐私政策。

其他GDPR审核提示：

• 审计以映射风险。建议采取所有风险要素，并从优先顺序的角度对其进行分类。进行风险评估时，不要（仅仅）考虑组织的风险。GDPR希望您关注个人权利和隐私的风险。
• 评估所有框架、组织方面、战略和安全/数据/事件/报告管理实践。
• 关注人：这不仅关乎当前实践、流程、系统和框架中的风险，还关乎个人数据保护和技能集的组织文化。
• 获取文档。确保您可以访问包含最新安全评估和事件等信息的所有其他数据和文档。
• 听众所周知，有据可查的政策和现实生活中的实践之间往往存在着天壤之别。这不可避免地意味着，无论任何文件和政策如何，你都需要与人们谈论他们在实践中的工作方式。

GDPR评估和方法框架——从审计准备到审计报告——由iGuards授权——Iris专业解决方案提供GDPR来源和礼貌介绍

GDPR合规步骤3：规划/战略——准备要采取的GDPR行动

一旦你知道差距在哪里，是时候进行真正的战略规划，计划需要做什么来弥补差距，并采取你确定的所有其他措施。

计划的目标是执行计划，需要全面了解差距、各个相关领域以及角色和责任。

随着GDPR涉及到如此多的领域，您也需要以综合和整体的方式进行规划。在进行GDPR合规活动时，规划和采取整体行动是您可以获得的好处之一。毕竟，数字化转型、安全、信息管理、营销、客户服务等都需要一个整体的视角才能成功。我们仍然生活在一个有许多筒仓的现实中。

然而，在实践中，您将跨多个功能和实用领域进行规划。其中包括：

• 信息管理和治理
• 安全（信息和通信技术作为安全需要在任何地方得到保障）
• 人力资源
• 法务
• 营销、在线存在和广告管理（注意，GDPR将由新的欧盟电子隐私条例补充）。
• 客户服务和联系中心
• 等

您还必须与第三方数据合作伙伴和业务流程外包商（BPO）以及SLA（供应商管理和第三方风险管理）一起审视业务的生态系统。

在规划阶段（以及审计阶段），您必须了解以下内容：

• 转向“设计隐私”组织的实际方面。
• “新”信息治理计划。
• 关于信息管理、安全和隐私计划的实施计划。
• 需要制定的访问策略、角色管理和安全控制计划。
• 计划解决您在评估/审计阶段发现的潜在漏洞。
• 移动劳动力的政策计划和应对影子IT的行动计划。
• 关于审计、角色和责任的计划（如数据保护官）。
• 计划推出有助于提高安全性和隐私的技术。
• 有关信息审核、数据保留、主数据管理（MDM）、设备管理（工人的移动电话等）等的计划…
• 在安全和技术的许多非常具体的方面有非常具体的计划：GDPR和云，GDPR和物联网，列表还在继续。

GDPR合规第4步：采取行动：按计划行事

有计划吗？是时候开始实践了，在您确定和计划的所有领域展开和部署。

正如下面所承诺的，我们将更深入地探讨两个领域，并与其他资源联系起来，以解决这些领域的各种影响和需要采取的行动。

然而，如上所述，需要以整体的方式看待各个组成部分。如前所述，许多人将GDPR视为安全、隐私、信息治理、合规等整合的加速器。这确实是一个好处。

GDPR合规性-第5步：管理/评估和改进/调整

一旦计划出台，工作就没有完成。事实上，如果我们忘记了欧盟的GDPR本身，而看看有关安全、隐私、信息治理等方面的综合方法，你会注意到我们实际上是在看一个循环。

因此，除了管理我们所做的工作之外，用明确的KPI评估我们的努力，始终需要改进和适应。

这有几个原因：

• 新员工将进入组织。
• 将部署新技术并触及个人数据：无论是云、大数据还是物联网，都需要不断发展。
• 在不断变化的数字生态系统和不断变化的法律和地缘政治背景下，持续改进和适应只是一个既定条件。

GDPR与企业信息和内容管理

信息系统、数据质量监控、信息治理流程、业务流程等需要考虑或重新设计隐私设计要求，尤其是GDPR的同意和控制方面。

治理是信息管理和数据管理难题的诸多方面之一。合规性是当今网络安全演变的主要驱动力，意味着信息治理和信息管理。

当然，GDPR还有更多的信息管理方面。如前所述，所有领域都在融合，事实上，我们在网络安全部分提到了几个主题，我们已经在治理和信息/数据管理方面。

从信息管理角度看欧盟GDPR合规性

让我们再次深入了解一个好处。我们仍然生活在一个信息源和数据密集型流程各自为政的现实中，而从信息管理的角度来看，集成是数字化转型成功的关键。

此外，许多组织在应对非结构化数据的增加以及如何理解这些数据方面面临挑战。最后，在许多业务功能中，您需要一种方法来组合各种格式和数据源。例如，想想联系中心。或保险索赔流程。虽然数据湖在这方面提供了一种解决方案，但对于这些不同的情况，有具体的方法。对于联络中心，有AI支持的平台可以处理多渠道通信，对于保险索赔处理，有案例管理解决方案等。所有这些，根据定义，集成的方法，连接信息和通信筒仓，并利用各种形式的数据，帮助您改善客户服务、响应时间和简单的业务。

将GDPR视为朝着这些更好的、综合的方向前进的一种方式，以防你还没有。然后，我们甚至还没有触及重新访问保留策略的好处，或者确保您拥有使数据易于搜索的方法的好处，这不仅使您的知识工作者的生活更轻松，而且如果个人想要访问其个人数据，这不是一个坏主意。

从信息管理角度看的一些要素

• 映射和分类数据。许多组织对其处理的数据类型（个人和其他）没有清晰的可见性。此外，分类不够，难以实施必要的政策。在整个组织中，所有相关数据都位于何处？在法规遵从性控制和潜在问题的情况下，需要什么来实现单一视图和快速高效的方式？
• 映射个人数据和数据流。虽然了解数据的位置，以及在GDPR的背景下，个人数据的位置总体上很重要，但我们显然希望了解各种类型的个人数据。其中一些数据更为敏感。例如：很明显，金融数据在被盗时可能会被滥用，造成严重后果，这比一些简单任务所需的基本数据更敏感。用乔治·奥威尔的话说，所有个人数据都是平等的，但有些数据比其他数据更平等。最后，还要绘制处理个人数据的数据流，并记录这些流的各个方面：什么、为什么、为谁（访问！！！）以及多长时间。有了GDPR，人们可以询问哪些个人数据被处理，在何处以及如何处理这些数据。
• “多长时间”给我们带来了数据保留和擦除。个人数据无处不在。一个传统的大挑战围绕着所有非结构化数据/信息/通信组织在各个存储库中囤积的数据。这种囤积有很多缺点，但在GDPR背景下，关键是要考虑保留和删除（记住被遗忘权、可移植性和访问权等要素）。您现在积极使用哪些（个人）数据，您有哪些数据和没有使用哪些数据，但可以/应该使用哪些数据来改善您的业务，哪些是ROT（冗余、过时、琐碎的信息），哪些是可以使用的，从而进一步降低风险？

转向全面的信息治理方法，处理支离破碎的数据并提高可见性。

GDPR合规性和信息管理技术与战略

在GDPR和信息管理的解决方案层面，我们注意到同意管理平台、记录管理解决方案、安全解决方案和人工智能等。

从自动分类的角度来看，后者尤其有趣，而且只需知道个人可识别信息始终位于何处。这是接近GDPR合规要求的最有力的方法之一，尽管安全策略和信息管理策略需要修改。

正如我们在《通用数据保护条例》一文中所提到的，作为一项业务战略和信息管理挑战，GDPR的隐私设计意味着您实际上从“除非公开”的企业信息管理和企业内容管理方法转变为“除非关闭”的企业内容管理。

简单地说：不是在信息管理的层面上建立一个安全模型（或者根本没有），原则上，除非对特定的文件夹或资源另有决定，否则所有内容都对团队开放，而是相反：从GDPR的角度来看，哪些内容需要关闭，哪些内容可以打开，我们如何确保哪些内容是打开的，哪些内容位于何处。

GDPR联盟提供的在欧盟以外传输个人数据的机制

GDPR合规性和网络安全

这是不可避免的，但也是有益的，也是迟早的事：没有更多的借口不提高网络安全的成熟度，超越过时的安全方法。

如前所述，在一个数据就是石油、个人数据价值远高于石油的时代，安全问题不能成为事后考虑的问题，而数字化转型只需要更好的安全性。

在不深入细节（目前）的情况下，这意味着：

• 通过设计拥抱安全，就像GDPR通过设计要求隐私一样。设计上的安全意味着从产品（想象有多少消费者物联网制造商需要改变）、流程和人们的活动开始，安全就无处不在。
• 拥有一种主动和嵌入式的安全方法，包括无处不在的安全外围现实中的所有方面（外围并没有消失，它无处不在），其中所有方面都很重要（边缘、网络、云、it系统、数据存储、数据库、应用程序，你可以说）。
• 采取全面的网络安全方法，从意识和员工教育（边缘移动设备周边的一部分）开始，一直到您的系统、流程以及生成和处理（个人）数据的地方。
• 很有可能，您需要重新设计您的整体网络安全基础设施，重点关注刚刚提到的特征，并在GDPR背景下，明显关注数据流以及可能涉及隐私和个人数据的任何流程和风险因素（违规行为是一个关键的，但只是几个维度中的一个）。
• 寻找实时安全可能性，尤其是在设备管理、访问（数据）、用户活动等领域执行安全策略。GDPR也强调了个人数据的加密。
• 无论形式和结构如何，您都需要对数据、数据流程、大数据环境（如数据湖）发生的情况有统一的看法，并需要对首席（信息）安全官、IT经理或所有运营、工作负载和IT基础架构中需要它的人有统一的可见性。
• 进行定期测试。除了具有预测能力的主动网络安全方法（这对每个人来说都是不可能的）之外，主动性还意味着定期和可能的连续测试。从道德黑客到渗透测试等等。在您的web应用程序和web服务级别进行渗透测试，在单个设备和整个组织上部署漏洞扫描器，进行漏洞管理和集成方法。
• 看看防止身份欺诈的机制和解决方案（在一些国家有具体的解决方案，例如确保被盗的身份证或驾照不会被滥用）。
• 进行社会工程测试。网络钓鱼仍然是获取个人数据的重要方式。工人需要接受这些策略、社会工程和整体安全方面的培训。还可以使用许多网络钓鱼模拟器之一测试员工对社会工程的敏感程度。

最后但并非最不重要的是：坏事发生了，我们当然不应该忘记违约通知义务。

实际上，这意味着您需要设置必要的监控、审计和警报机制。这也是一项跨职能的任务，法律部门也有解决方案。您需要事件管理流程，并清楚地了解在发生违约时谁需要做什么以及在哪里做。测试它们是否工作良好并不是一件奢侈的事。

Trustmarque提供的GDPR数据保护和风险检测清单信息图

欧盟GDPR如何使您的组织受益：信任

除了上述框架外，如果您正确完成GDPR合规作业，《通用数据保护条例》还有其他几种方式和理由使您的组织受益。

其中一些好处与优化机会有关，其他好处是社会性的，在2016年和2017年初达到了沸点。我们从信任开始。

如果数据是新的石油，信任就是新的油井

我们已经到了一个历史的时刻，利用这些新技术的技术可能性和创新能力即将爆发。

由于大数据、分析、云、物联网、认知/人工智能、社交和移动等领域的技术，我们作为组织、政府、个人、营销人员、制造商等所能做的事情在今天看来已经非常巨大。

然而，事实是，我们还没有看到任何东西。例如，尽管受到了广泛关注，但物联网仍处于早期阶段。我们开始称之为大数据的数据量和种类，只是数据海洋中的一些小水滴，很快就会在科学领域产生。尽管我们看到了我们今天所看到的这个庞大的数字世界，它是所有提到的技术和我们没有提到的许多其他技术的共同点，但我们确实还没有看到任何东西。

今天在上述几个领域工作的许多聪明人都知道，就行业的数字化转型和我们生活的许多方面而言，他们知道其潜力。对一些人来说，这是非常乐观的理由，对另一些人来说这是可怕的，而对那些关心这两者的人来说，两者兼而有之。

然而，对于所有这些新的石油来说，现在这里正在发生一个巨大的挑战，需要解决：信任。

这不仅仅是新油井，如果油井破裂，我们在数字社会中使用新油井（称为数据）所做的任何事情都将失败。如果对我们所做的事情缺乏信任和透明度，将不可避免地产生反弹，为了延续油井形象，我们可能会看到一些油田起火。

对这种厄运场景表示歉意：数字创新和数据的好处是巨大的，但我们必须牢记人和信任，因为这很重要，因为人类停止进化或快速采用完全转变的思维方式的情感和能力胜过所有数据、技术变革/创新和预测，无论数据有多大。

GDPR与信任：数字时代的信任状态

有充分的迹象表明，人们反对我们今天使用数据的方式，从更广泛的角度来看，对收集和处理数据的各方以及数字发展的不信任。

我们之前已经多次提到过这一点，尤其是在通过利用值得信赖的内容（营销）进行值得信赖和透明的沟通来恢复信任的重要性的背景下：Edelman 2017信任晴雨表，显示了所有领域的信任水平都在下降。

其他研究表明，即使是年轻一代，他们对数据的使用方式也越来越警惕，消费者正处于可能破坏隐私状态的边缘。

作为一个框架，《通用数据保护条例》为恢复对数字经济的信任提供了一种可能性，至少同样重要的是，它使组织能够改进其当前的数据和安全做法，在这种高度互联的时代，数据已经不仅仅是一种重要的商业资产，而流畅和透明的流程会让人们对信任、效率和良好的商业惯例产生认知，这一点无论如何都是至关重要的。显然，在安全、透明、高效和以人为本的前提下改进当前的做法和流程，也有利于组织的底线和效率（在数字经济中）。

更好的安全性和信息管理可提高数字化转型的成功率

研究已经明确表明，在任何数字业务转型项目中，从一开始就涉及安全，并为（新）技术发挥作用，这将导致更多更快的成功。

此外，设计上的安全性是有益的（也是必须的），安全性是数字化转型的推动者和加速器。无论您的数字化转型处于哪个阶段或转型的各个方面（业务流程、以客户为中心、开发新功能、利用新业务模式等），事情都必须以可靠的方式平稳运行，不仅要保证业务连续性，还要保护推动数字经济的资产：数据和人员。

此外，试想一下，按照GDPR的设计要求，更好的安全实践，以及更好的隐私实践，将如何推动物联网明显具有变革潜力并带来实际成果的各种市场，今天主要是在工业物联网环境中。这同样适用于其他相关的技术，最重要的是，如何利用这些技术重塑业务模式或优化现有流程、面向客户的运营等。

在信息管理层面，这也是GDPR的关键所在，并且从数据和治理角度（除其他外）与安全密切相关，关于《通用数据保护条例》增强功能的各种审计、计划和部署实际上包括数据发现、筒仓集成、需要查看您“拥有”的数据及其所在位置、，更顺畅的报告和搜索可能性、改进的数据映射、保留策略等等。

不可否认的事实是，许多数字化转型项目中的主要障碍之一是糟糕的数据和信息管理实践。

我们已经多次报告了这一点，因此将《通用数据保护条例》视为一种更好的方法。

欧盟GDPR的整体（客户）优化优势

根据定义，当您对如何处理个人数据以及客户数据的各个方面进行全面的战略练习时，考虑到客户数据的利益，您必须1）识别数据（并在过程中找到您尚未利用的非结构化数据和/或获得更好的见解），2）重新审视处理数据的方式。

如果您认真对待此练习，并考虑到相关性、同意、隐私和上述整体方法，那么您几乎不可避免地也会发现许多机会来优化一些面向客户的活动。也许你的联络中心最终会处理掉为更好地服务和服务客户所需的所有数据，也许你会提高营销效率，因为你的员工会学会不再考虑名单上的姓名和电子邮件地址。

我们可以继续一段时间。

与GDPR相关的挑战和问题

也许我们已经解决了足够多的挑战，在资源列表中，你会发现更多。然而，有一些挑战、关切和问题需要考虑。

各种行业组织频繁呼吁澄清GDPR中有时有些模糊的术语（如“过度努力”），而且更仔细地审视出现的一些实际问题，这不足为奇。

我们并不天真，很明显，尽管《通用数据保护条例》提供了好处，但它也带来了大量的不确定性和实际挑战，对某些行业来说，这比对其他行业来说更为严重。

一些行业协会在从其成员和专家那里了解这些问题时，也会考虑这些问题，并为灵活性或事实上的变化进行游说。

虽然我们不能涵盖所有挑战、问题和倡议，但最好看看这些问题，因为它们到处都有，看看它们是否也适用于您。作为一个例子，我们涵盖了2017年3月由几个营销/广告协会提出的四个《通用数据保护条例》问题。有些对你的生意也有帮助。

更多关于欧盟GDPR和GDPR合规性的文章

GDPR罚款、GDPR员工意识、GDPR合规性、控制者和数据主体。你迷路了吗？然后还可以查看GDPR上的以下资源。

GDPR合规性：战略业务和信息管理观点

事实上，这篇文章结合了GDPR的两个重要方面，我们之前曾简要讨论过。

端到端战略业务信息管理GDPR合规方法的三个阶段：1）增强员工和用户能力的意识阶段，这是任何ECM和安全项目中最薄弱的环节；2） 检测风险并制定解决风险的计划的评估和方法阶段，以及3）实施阶段：展开、监测和改进。

• 一方面，它着眼于《通用数据保护条例》的战略业务方面，并提供了一个如何尽可能符合GDPR的无意义方法，并对首先要做的事情和如何取得进展进行了优先排序，表明您尽可能减少了个人数据风险，从而也减少了GDPR罚款。
• 另一方面，它主要从个人数据和信息治理以及信息管理的角度来审视GDPR合规性以及需要采取的各种战略步骤。从《通用数据保护条例》意识的基本阶段（快速取胜）开始，到风险分析，通过设计有效实施隐私，通过保留方案和记录管理实现擦除权，并实现真正的高级GDPR合规性：自动分类！

GDPR: strategic business and information management view

GDPR意识和GDPR员工意识

鉴于GDPR合规确实应该从GDPR意识和GDPR员工意识开始，本文将深入探讨原因和方法。

公司能否成功地遵守GDPR法规取决于他们是否愿意通过设计来保护隐私。他们还必须明白，良好的安全和隐私流程除了受到监管要求的驱动外，还可以提供实质性的竞争优势，并成为赢得消费者信任的驱动因素（德勤网络风险合伙人Peter Gooch）

虽然GDPR意识很低，在GDPR合规的道路上很快就会取得胜利，但它确实需要行政人员的参与，并明确关注人员和所有员工，因为个人数据保护是整个组织的问题。不幸的是，正如文章所解释的，最常涉及GDPR合规的部门是IT、安全和法律部门。

那么，需要什么来建立一种通过设计支持隐私的文化，以及跨组织的GDPR意识，从而真正了解个人数据的价值？知道消费者确实期望个人数据保护（如果发生违反行为，对您的商业声誉造成的后果比罚款更多），并且知道个人数据保护文化甚至必须超越组织边界（因为您有合作伙伴、供应商等，他们也需要这样做，以避免责任讨论等），这是一本重要的读物。

GDPR awareness and staff awareness

GDPR合规失败始于错误的认知

许多组织都非常确信自己符合GDPR。不幸的是，在各个层面上存在脱节，导致未能遵守GDPR。

它从缺乏对《通用数据保护条例》的理解（一个脱节）开始，到缺乏管理层的支持，正如本文中关于GDPR和云的内容所述，以及缺乏必要的数据治理策略。

不要成为许多组织中的一员，这些组织对您的GDPR合规程度和您的《通用数据保护条例》合规性的现实存在着分歧。看看你是否真的做好了充分的准备，而不是相信事实。

GDPR compliance perception versus compliance reality

GDPR和个人数据保护：关于数据主体、个人数据、敏感数据、个人数据标识符等的一切

《一般数据保护条例》是关于保护数据主体的个人数据的。这一点很清楚。

然而，在实践中，我们发现许多人不知道GDPR中个人数据的含义和重要性，数据主体更容易识别和/或使个人数据敏感的标识符，假名的重要性和含义，加密，所有新标识符，甚至GDPR中的数据主体是什么。

本文深入探讨了所有这些术语及其作用和含义！

Data subject, personal data and identifiers

GDPR罚款和处罚：指南

我们之前讨论过GDPR罚款。GDPR中有两类行政罚款：一类罚款最高可达2000万欧元，占全球年营业额的4%，另一类罚款为1000万欧元，即2%。

对于这两个组，附加的规定是将采用两者中的最高值。GDPR文本中确实有关于两套罚款的一般规则的具体条款。它们可以在文本第8章第83条中找到。

然而，许多人觉得这相当不清楚。2017年10月，所谓的第29条工作组为监管机构制定了适用《通用数据保护条例》罚款和处罚的指南。你可以在这篇关于GDPR罚款和处罚的文章中找到它们。此外，我们还考察了公司是否认为他们在财务上准备好支付潜在的GDPR罚款，以及网络保险的价值和使用情况。当然，还有一些关于如何避免GDPR罚款并开始遵守GDPR的提醒。

如果你想知道GDPR文本中关于罚款和处罚的内容，那么你可能想查看该文本中提到的第8章，该章涉及GDPR补救措施、责任和处罚，包含第77至84条。

GDPR fines

GDPR合规性和变得符合GDPR：常见问题解答

我们经常会遇到关于欧盟GDPR的问题，这些问题乍一看可能很明显，但当然应该得到答案。其中许多问题涉及GDPR合规性、《通用数据保护条例》合规的截止日期是什么，以及当您在适当时候不符合GDPR时会发生什么。

什么是GDPR合规性？

GDPR合规性意味着一个组织遵守《通用数据保护条例》的规定，并能够满足其中规定的数据主体权利和组织职责。当人们谈论GDPR合合规性时，他们通常意味着个人数据违反风险保护措施以及所有其他需要遵守的风险和规则都得到了完美覆盖。

然而，在数字时代没有完美的安全或保护，有时黑客甚至比安全公司更聪明，黑客有时由犯罪集团组织，甚至有国家赞助的攻击。由于数据和技术如此重要，一些国家将技术用于网络战。

此外，数据永远不可能得到200%的完美保护，还有无数其他原因可以解释为什么在人是最薄弱的一环的情况下会发生违规和不合规行为。即使你采取了所有可能的预防措施，你的一个员工也可能会犯错误，例如，他的笔记本电脑被盗。

因此，各组织必须能够证明他们做了并继续做（也在GDPR适用的日期之后），以尽可能地合规。这包括了解个人数据在组织中的位置，确保（并能够证明）同意是在《一般数据保护条例》中规定的法律条件下提供的，能够保护获取、处理、存储和（在特定条件下）共享的个人数据不受侵犯，滥用和误用，并能够回应数据主体的请求和权利。如果这些能力中的任何一项不到位，罚款和处罚可能会很高。

GDPR何时适用？GDPR合规期限是什么？

《通用数据保护条例》已于2016年4月8日由欧盟理事会通过，并于2016年6月14日由欧洲议会通过。官方文本自2016年5月4日起提供。自该数据发布以来，GDPR文本也可以24种官方语言查阅。

《通用数据保护条例》实际上已经生效，但自2018年5月25日起适用。GDPR的合规截止日期也是2018年5月份25日。

然而，它并没有就此停止。遵守GDPR是一项持续努力。此外，正如我们在实现GDPR合规的道路上所看到的，以及该领域的现实情况，可以肯定的是，许多公司不会遵守GDPR。这就是为什么从风险角度制定一个计划并在该计划的基础上进行建设，并有能力证明您已采取了GDPR合规措施，并且仍在采取这些措施的原因。但当然，如果发生个人数据泄露或控制，最好至少在2018年5月25日之前尽可能做到合规。

如果一个组织在欧盟GDPR合规期限之前不符合GDPR，该怎么办？

不幸的是，尽管在截止日期前两年正式发布，但许多组织远未遵守《通用数据保护条例》。

虽然可以肯定会有严重罚款的案例来树立榜样，但也可以肯定的是，各组织需要继续——在某些情况下甚至需要开始——努力尽可能地合规，并在2018年5月25日之后继续这样做。理想情况下，这从更广泛的计划中的GDPR意识阶段开始。由于GDPR的罚款和规定与数据主体角度的风险相关，并且关注个人数据的特定类别和用途，尤其是在许多个人数据都是流程的行业中，因此从风险角度出发，制定明确的行动计划并记录步骤非常重要。风险分析是关键，战略和员工意识也是关键。《一般数据保护条例》也从风险和数据主体的角度出发。

GDPR合规始于GDPR意识

一些组织倾向于为自己投保，但即便如此，努力实现合规性也是很重要的，因为你不想成为一家客户和全世界都知道的完全不符合GDPR的公司，更不用说因为对个人数据保护缺乏了解和关注而遭受违约，这与领导力、文化、人员、，在安全、信息管理和其他技术方法方面，实现法规遵从性的过程和尊重。

是否有具体的方法有助于证明GDPR合规性？

《GDPR章程》中包含了有关遵守《条例》的规定以及证明GDPR合规性的义务。如果你将GDPR最终文本的序言添加到其中，那么就不仅仅是合规义务，还有帮助组织（控制者和处理者）证明他们采取了必要步骤来证明合规性的各种方式。

这些证明GDPR合规性的方式显然与成为GDPR的合规性同样重要。5月25日，并非所有组织都将接受GDPR合规性检查。然而，当控制措施完成、数据主体投诉、个人数据泄露发生时，数据隐私（通过设计和默认）和个人数据保护原则明显受到侵犯，证明遵守GDPR变得至关重要。

在每一项GDPR合规战略中，应考虑证明合规性的方式，数据主体权利和自由的风险视角是其中的关键。我们之前已经介绍了许多已知和不太为人所知的证明GDPR合规性的方法。询问DPIA被视为证明合规性的一种方式，同时也向监管机构征求意见，然后是遵守经批准的行为准则或认证，列表还在继续。随着GDPR合规期限的临近，我们将添加更多内容。我们已经讨论了DPIA和其他方式，因此这里有更多关于证明GDPR合规性的两种方式的信息：行为准则和认证。

遵守经批准的行为准则，以证明符合GDPR

监管机构和私人协会可以起草行为准则，这些协会代表从事类似数据处理活动或活跃于允许此类行为准则的特定行业的各类控制者或处理者。

行为准则需要获得批准，一旦获得批准，控制者和处理者可以决定遵守该准则。如果他们这样做，这不仅是一个明确考虑的因素，作为证明GDPR合规性的一种方式，而且还提供了额外的好处，尤其是在处理者对控制者的感知可靠性方面，控制者将根据其充分保障程度和GDPR合合规性以及跨境转移来选择处理者。

请注意，遵守行为准则当然也有责任。遵守一项行为准则作为合规性的证明，然后不再太在意，这太容易了。这就是为什么也有监督机构检查你是否遵守了行为准则。

证明符合GDPR的认证

《通用数据保护条例》中有关认证的规则与经批准的行为准则的规则相对可比。然而，课程认证与行为准则不同。两者在GDPR合规范围内的共同点是，认证也是证明GDPR合合规性的方式，并被明确认可。

您可能已经或打算参加某种GDPR认证课程。但是，请注意，认证需要满足某些规范，行为准则也需要满足这些规范，因此请注意如何和在哪里进行认证。

与行为准则一样，《通用数据保护条例》“促进”认证，不仅是证明合规性的一种方式，也是向任何利益相关者表明您的组织意识到为了合法处理个人数据需要做什么的一种象征。