DPD
“Data Protection Directive”,欧盟隐私和人权法的组成部分,DPD 负责个人数据的保护和处理,它不保护欧盟以外的欧盟公民的个人数据
GDPR
GDPR (General Data Protection Regulation) 是欧盟关于数据保护的法规,它协调了整个欧盟的数据隐私法,保护并增强了欧盟公民的数据隐私,重塑了欧盟处理数据隐私的方式。
为什么选择GDPR
- GDPR 取代了 DPD
- GDPR 依法保护欧盟境外欧盟公民的个人数据
- GDPR 扩展了个人数据的定义
- 照片、音频、视频、金融交易、社交媒体帖子等。
- 设备标识符(IP 地址、IMEI 号码)
- 浏览记录
- 遗传信息
数据Data
- Personal data:与已识别或可识别人员相关的任何信息,例如电子邮件ID
- De-identified data:去识别化数据,没有任何个人标识的个人数据(Personal data),例如匿名帖子
- Anonymised data:匿名数据,没有任何个人标识的个人数据,无法进行重新识别,例如首次购房者的平均年龄
常用术语
Data subject 数据主体
数据主体是指其个人数据被收集、持有或处理的任何人,例如学生或教职工
Data controller 数据控制者
确定个人数据处理的目的和方式的实体,例如大学或企业
Data processor 数据处理器
代表数据控制者处理个人数据的实体,例如Google(gmail)
GDPR原则
- 合法、公平、透明
- 规定所收集的数据必须合法、公正、透明地处理
- 目的限制
- 规定不得以客户未知的方式使用客户数据
- 数据最小化
- 规定仅必须为特定功能收集该功能严格要求的数据
- 准确性
- 规定从客户收集的数据必须正确存储并定期更新
- 保密性和完整性
- 保密性规定,只有获得必要授权的人才能检索客户的数据。
- 完整性规定检索到的客户数据只能由被授权进行此类更改的人员更改
- 问责机制
- 一项附加原则,问责制原则要求您对您处理个人数据的行为以及如何遵守其他原则负责。
GDPR主要变化
- 扩大领土范围
- Also known as extraterritorial applicability,也被称为域外适用
- GDPR 适用于所有处理欧盟数据主体个人数据的公司
- GDPR 适用于数据控制者和数据处理者
- 处罚机制(Penalties)
- 违反 GDPR 的组织可能会被罚款
- 授权许可机制(Consent)
- 同意请求必须以易于理解且易于获取的形式提出
- 必须使用清晰易懂的语言获得同意
- 撤回同意必须很容易
- 数据主体权利
- 违规通知
- 访问权
- 被遗忘权
- 数据可移植
- 隐私设计
