1. 什么是通用数据保护条例 (GDPR)
2018 年生效的通用数据保护条例 (GDPR) 被许多人认为是世界上最全面的数据隐私法规。由于其适用范围广泛,包括 Imperva 在内的许多组织都选择实施 GDPR 作为其全球数据隐私标准。GDPR 的要点包括:
• 将数据隐私确立为一项基本人权,包括个人访问、更正、删除或移植其个人数据的权利。
• 加强基本要求并定义确保个人数据保护的角色和职责。
• 在整个欧盟范围内提供数据保护规则的标准化应用,从而促进个人数据在欧盟和欧洲经济区 (EEA) 内外的合法流动。
这是关于合规管理的广泛系列指南的一部分。
2. GDPR 个人数据定义
根据 GDPR,个人数据是任何可以单独或与其他东西结合识别活着的个人的东西。个人数据的一些示例包括:
• 通常被视为个人身份信息 (PII) 的信息,例如姓名、国家身份证号码、社会保险号、电子邮件地址、电话号码或家庭住址。
• 在线标识符,例如 IP 地址。
• 设备标识符,例如 MAC 地址
• 位置数据。
GDPR 进一步确定了特殊类别的个人数据,这些类别在处理时需要额外的保护。
• 生物特征数据,例如 DNA、指纹或面部识别图像。
• 出生时获得的遗传特征,例如种族或民族特征。
• 健康数据,包括身体/精神状况记录和医疗保健代码。
3. GDPR 影响哪些公司?
GDPR 具有广泛的地域范围,这在第 3 条中有所规定。除了位于欧盟的公司外,GDPR 还适用于向欧盟居民提供商品和服务或监控欧盟居民活动的公司。
4. 关键术语
GDPR 定义了实施其要求所必需的各种角色和活动,包括:
1) 数据控制者
确定处理个人数据的目的和方法的实体。示例:一家制造公司从其员工那里收集个人数据。一家要求用户付费的 ISP。
2) 数据处理者
代表数据控制者处理数据的实体。示例:一家薪资公司代表一家制造公司处理员工薪水。一家存储个人数据的云服务提供商。
3) 数据处理
对个人数据执行的任何操作。示例:调整、更改、收集、组合、查阅、销毁、传播、擦除、组织、记录、限制、检索、存储、构造或使用。
数据主体 其个人数据由控制者或处理者处理的自然人。示例:一家制造公司的员工。
4) 分析
旨在评估、分析或预测数据主体行为的任何数据处理。示例:工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、消费者行为、位置/动作。