解读 | 欧盟通用数据保护条例（GDPR）

欧盟《通用数据保护条例》 (GDPR) 旨在保护欧洲个人免受隐私和数据泄露的影响。GDPR 也在冰岛、列支敦士登、挪威和英国实施，因为它已被纳入欧洲经济区 (EEA) 协议，该协议将欧洲自由贸易联盟 (EFTA) 的三个国家纳入欧洲单一市场。

《通用数据保护条例》在混合工作空间技术领域非常重要，因为大多数此类产品或服务都与数据一起使用。如果您公司的“核心活动涉及大规模处理敏感数据或涉及对个人进行大规模、定期和系统性监控”，则您必须任命一名数据保护官。数据保护官的主要任务包括告知公司其在数据保护立法下的义务和监控合规性。

请注意您存储的数据以及存储位置，以便您可以满足潜在消费者的请求。

您可以使用 IDC 的“GDPR 准备情况评估”来确定您的合规性以及您可能需要改进的地方。

https://symantecgdpr.idcready.net/

您还应该制定明确的同意请求表和隐私政策，告知客户您如何处理他们的个人数据。有关更多信息，请参阅

《GDPR 同意指南》  

https://www.cookieyes.com/blog/guide-to-gdpr-consent/

《GDPR：如何创建最佳实践隐私声明》

https://econsultancy.com/gdpr-best-practice-privacy-notices-examples/

另请关注云基础设施服务提供商 (CISPE) 提交的欧洲行为准则。

有关创建符合 GDPR 的隐私声明的最佳实践

《Privacy by Design Step by Step》

这篇报告主要围绕“隐私设计”（Privacy by Design）的概念，这是一种在项目最初阶段就开始考虑和整合数据隐私和保护的方法。报告详细介绍了隐私设计的重要性、原则、实施步骤以及与欧盟通用数据保护条例（GDPR）的关系。

一、隐私设计的重要性

隐私设计的概念并不新鲜，但近年来随着GDPR的实施而受到更多关注。GDPR要求相关措施考虑其数据处理原则，包括保护被处理的个人数据，以及保护数据主体的权利和自由。不考虑设计阶段的安全性会导致漏洞和漏洞，进而导致客户投诉和数据泄露。因此，隐私设计不仅是法律要求，更是提升项目质量、避免法律风险和提高用户满意度的重要手段。

二、隐私设计的原则

报告提出了七个隐私设计的基本原则，这些原则最初由安·卡沃基安（Ann Cavoukian）于2010年提出，并已被广泛认可和采纳：

主动而非被动；预防而非补救：主动识别和解决隐私风险和问题。

隐私默认设置：用户的隐私应自动得到保护，不依赖于用户操作。  

设计中嵌入隐私：将数据隐私视为设计的一部分。

全功能 – 正和而非零和：改善隐私同时提升产品和服务质量。

端到端安全 – 整个生命周期的保护：在数据的整个生命周期中保持其安全性和隐私性。

可见性和透明度 – 保持开放：业务或技术应该透明地运作，以展示其符合承诺和目标。

尊重用户隐私 – 以用户为中心：设计时考虑用户的隐私需求和利益。

三、实施隐私设计的步骤

报告还提出了一个八步骤的方法来实施隐私设计：

项目愿景和路线图：在制定项目愿景和路线图时开始考虑隐私设计。

选择发布的功能：迭代方法中选择每个阶段要发布的功能。

进行风险评估：考虑数据主体权利和自由的风险。

为每个功能确定设计要求，包括隐私要求：确定功能的设计要求，并纳入隐私考虑。

构建功能：根据计划实施和构建功能。

测试：测试所有构建的功能，确保它们符合设计要求。

启动：将功能投入使用。

项目总结或增加功能：根据需要进行项目总结或迭代增加功能。

四、GDPR与隐私设计

GDPR的六大数据处理原则和数据主体的八项权利在隐私设计中起到关键作用。遵守这些原则和尊重数据主体的权利是实施隐私设计的基础。

GDPR罚款额度  

违反隐私设计原则的罚款：最高达欧元2000万或全球年营业额的4%（以较高者为准）。

其他方式违反的罚款：最高可达欧元1000万或全球年营业额的2%（以较高者为准）。

GDPR数据处理原则

合法性、公正性和透明性：数据应当被合法、公平和透明地处理。

特定、合法目的：数据收集仅用于特定、合法的目的。

数据最小化：数据应当是充分的、相关的，并限于必要的范围。

准确性：数据应当保持准确，并及时更新。

存储限制：仅在必要时存储数据。

完整性和保密性：数据应当得到适当的安全保护。

GDPR法律依据

合同：处理对于签订合同必要。

法律义务：处理为了遵守法律必要。

重要利益：处理为了保护某人的生命必要。

公共任务：处理为了执行公共利益任务必要。

合法利益：处理对于合法利益必要，且不应凌驾于个人利益之上。

同意：个人已明确同意为特定目的处理其个人数据。

GDPR数据主体权利

知情权。

访问权。

更正权。  

删除权（被遗忘的权利）。

限制处理权。

数据可携带权。

反对权。

自动决策和个人画像权利。