GDPR就要来的,你准备好了吗?
随着全球各国《个人数据保护法》的陆续实施,欧盟《一般数据保护法案(General Data Protection Regulation, 679/2016, GDPR )》(简称GDPR)即将于 2018 年 5 月 25 日全面实施。
美国与欧盟之间的欧美隐私权屏障架构(EU-US Privacy Shield Framework) 和即将全面实施的欧盟GDPR,均要求不论政府或者民间组织,有义务保护因为业务需要,所搜集、处理、利用的个人数据。
重要的是欧盟该法案中规定了不论直接或间接识别到的个人的资料,都属于个人数据范围。组织必须依法建立一套系统化的管理机制(例如,引用 BS 10012 个人数据管理体系、ISO 29100 隐私保护框架等),符合 GDPR 条款 5 所要求的个人数据保护原则。规定了对违规行为严厉的处罚方式,以高额的行政罚款形式对任何类型的违反GDPR行为进行处罚。罚款范围是1000万到2000万欧元(折合约1.5亿元人民币),或者企业全球年营业额的2%到4%,并且以较大数额为准。
GDPR法案全面实施,数以万计的企业组织将必须遵守,那么哪些组织的业务需要符合GDPR规定呢?
GDPR与其前身数据保护指令(指令95/46 / EC)相比,适用于更大范围的组织。事实上,不受欧洲隐私法律约束的许多企业实际上需要遵守GDPR,GDPR用于在欧盟存在的在执行业务活动期间涉及处理个人数据的所有组织,即使是规模最小的公司、在欧盟没有实体存在的组织希望为欧盟居民提供商品和服务(包括使用欧盟语言或货币、为欧盟居民量身定制产品,或在欧盟范围内积极营销、在线跟踪人员创建个人资料,或分析和预测个人偏好、行为模式或态度等)全部需要遵守GDPR。
综上所述,按编者理解只要是已经或正在准备与欧盟体系内的26个国家有经济业务往来,不论您的产品或服务是可以直接还是间接识别到个人的资料,事实上都需要遵守GDPR法律规定。借用Veritas公司执行副总裁兼首席产品官迈克·帕尔默(Mike Palmer)的警告:“如果不作出反应,则会导致企业的业务、品牌声誉以及生存能力遭遇重大危机。”GDPR颁布后,整套法律规定条款均可以公开查询到,但问题是我们的企业要知道如何操作才可以被认定符合这套法案中的个人数据保护规则,这是最最重要的!据之前有关数据统计:亚太90%的企业都不清楚欧盟GDPR数据保护条例。更谈不上懂得如何使自已的组织所提供的产品或服务被认定符合GDPR中的个人数据保护规则,目前在中国SCA联盟是少数可以为企业提供有关GDPR咨询指导的组织。
转载请注明作者。作者:灵丰