4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

干货来袭!关于GDPR,你最关心的六个问题

作者:安华云安全 发布时间:2018-06-22

欧洲通用数据保护条例(GDPR)上个月已经正式生效。一时间众说纷纭,各家解读、分析、解说层出不穷,好不热闹。而作为一家安全企业,我们从去年已开始持续关注GDPR法案的合规要求。安华云安全与GDPR实践专家一起,结合自身专业整理出关于GDPR的六问六答,为企业合规改造提供参考建议。

1.GDPR适用于谁?

GDPR适用于:所有涉及搜集和处理欧盟个人数据的机构;向欧盟居民提供商品或服务的公司;以及监控欧盟居民行为的公司。这其中,包括为欧盟公民提供服务或商品的中国企业,同时它也会监控欧盟境内数据主体的行为。

举个例子,如果一家中国企业经营一个可能面向欧盟消费者,提供商品或服务的网站,则该企业可能属于GDPR的管辖范围,因为它可能拥有欧盟消费者的个人数据。

2.GDPR对适用企业有什么影响?

GDPR要求企业对个人数据的存储、传输、访问方式,以及审计进行更大力度地监督。企业相关业务部门应及时全面分析已经采集、存储的个人数据的种类、用途与获取方式,删除不合法、不必要的个人数据,实现个人数据保存时间的最小化,并不断加强数据安全保障。

GDPR对企业的管理模式提出新的要求。很多企业并不是十分了解企业内部数据的管理权归属。GDPR要求企业需要在创建合规和数据治理文化时,彻底改变思维模式。GDPR合规性需要所有部门的共同努力。

3.哪些个人数据可以被处理?

通过适当的控制,几乎所有的数据都可以被处理。但是,企业必须首先确定处理的法律依据,并记录处理目的。一旦确定了这些目的,企业就可以提供必须处理哪些个人数据以实现这些目的的原因。数据最小化意味着在实现目的过程中不必要的信息都应该清除。

为了充分保护个人数据并洞察相关的隐私风险,应该在处理过程中观察处理过的个人数据的敏感性。如果没有监管要求,应尽可能避免处理特殊类别的个人数据,例如揭示有关健康,种族或宗教信仰的信息。鼓励企业与其法律顾问核实处理特殊类别个人资料的必要性和合法性。

4.GDPR是关于安全还是隐私?

隐私和安全经常被混淆,它们是独立但重叠的概念。隐私只适用于个人数据,安全还涉及公司和其他数据,例如商业计划、财务细节、商业秘密等。他们之间的重叠是如何在处理个人数据时保证其安全,这些是基于GDPR的原则。隐私涉及许多非安全相关的问题,例如要收集什么数据,对数据主体的透明度,数据主体的权利,使用限制等。

了解安全与隐私两者有别,又密不可分。仅仅使用合规的产品或服务,不能证明代表一家企业自身合规。同时,隐私与安全又是密不可分的——企业也许可拥有没有隐私的安全,但如果没有安全措施,企业就不能拥有隐私。

5.不同角色面对GDPR的责任分别是什么?

对于企业来说,应做到以下几点:

(1)高度重视个人数据保护。企业相关业务部门应及时全面分析已经采集、存储的个人数据的种类、用途与获取方式,删除不合法、不必要的个人数据,实现个人数据保存时间的最小化,并不断加强数据安全保障。

(2)完善数据主体的权利设置与行使操作规程。企业在赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利外,还应当核实这些权利设置与行使是否符合GDPR的要求。

(3)完善数据处理机制。运用适当的组织措施与技术措施,确保数据处理符合GDPR的基本原则与合法性条件。

(4)完善数据泄密报告与处理机制。GDPR要求原则上自知道个人数据泄露72小时内,向监管机构报告,并将可能产生高风险的泄露信息通知受到影响的个人。

对于云安全服务商来说,应做到以下几点:

(1)云安全服务商应在数据安全、访问控制、人员安全、物理安全、基础设施安全等十几个方面确保用户数据在云上的安全性。

(2)除了向用户提供合规的云服务外,还为用户提供从咨询、计划定制、到合规改造执行的解决方案。

总体来说,云安全服务商负责云的安全,而企业负责自己的数据在云上的安全。

6.企业如何实现GDPR合规?

(1)企业想要在GDPR上做到合规,首先要明确责任人,企业必须要设置安全负责的岗位,而对于关键性信息基础设施,就必须要设立专门的部门,包括管理部门和信息部门。

(2)修订用户协议、隐私政策。虽然很多企业已经开始进行,但是大部分在对照GDPR的时候,还会存在漏洞,这个漏洞在于并没有提供消费者撤回许可的路径。

(3)企业内部隐私数据合规制度,在内部要有可操作性。

(4)在产品规划当中遵从默认隐私设计(Privacy by Design)理念。GDPR特别提出的一个概念,叫默认隐私保护,指的是一个产品在设计的时候,应当把隐私保护体现在产品涉及当中。这就要求企业在设计产品与业务的时候,要保护用户的个人隐私。


6月29日,AWS 技术峰会2018 上海站

安华云安全将携手安全专家

面对面为大家带来GDPR全向解读

期待您的出席


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号