你想要的一切 了解GDPR(相对而言)简单的英语 为公司提供信息评估SpyCloud 保护公民数据 简短的历史 什么是GDPR? 这对我的公司意味着什么? What应该这对我的公司意味着什么? GDPR和SPYCLOUD Protecting公民数据 到目前为止,大多数行业资深人士都认识到《通用数据保护条例》2016/679(GDPR)需要积极而戏剧性的变革。对于欧盟公司来说,法规和影响比美国和其他国家更清晰 必须遵守,但仍然有很多问题。 1200新的数据治理条例于2016年4月14日通过,并于25日生效 May2018.Theregulationwasdesigned,togetherbytheEuropeanParliament,theCouncilof 欧洲和欧盟委员会将“保护所有欧盟公民免受隐私和数据的侵害在一个日益数据驱动的世界中,违规行为与 GDPR的前身,即1995年的指令,已经建立。1 1200 PETABYTES: 估计的 的总和 持有的数据在线存储 和服务公司喜欢 谷歌、亚马逊、微软和 Facebook 引用的较旧的指令是13日生效的数据保护指令 1995年12月。正式2称为指令95/46/EC,它未能解决现代当涉及到保护每个公民的个人数据时,世界面临的挑战。 数据无处不在,生活在超虚拟化的云计算环境中,第三方服务器,或在网络罪犯的地下市场上市“新鲜fullz”。 专家估计,在线存储和服务公司持有的数据总额,如 谷歌,亚马逊,微软和Facebook(“四大”)总计超过1200PB。3 这不包括像Dropbox这样的其他公司。所有这些数据都是非常个人化的,包括 PII,财务信息,亲密的个人照片和对话大多数人从来没有认为可能是“共享的”。欧盟制定了新的法规,试图减轻将众所周知的手推车(互联网)放在马面前的后果(隐私 和个人数据保护)。法律的主要目标是“将控制权还给” 公民和居民,并通过以下方式简化国际业务的监管环境 统一欧盟内部的法规。这是一个令人钦佩的目标,但是欧盟为什么要设定要做到这一点,特别是在过去实施的类似政策失败之后? ABriefHistory 1980年,经济合作与发展组织(OECD)理事会关于隐私保护准则的建议 个人数据的跨境流动。这是建议的七个无约束力的原则将纳入管理数据隐私保护的政策。欧盟将这些 对进一步法规的建议,包括数据保护指令,然而, 美国没有。相反,美国认可了它们,而没有将其实施为政策。这可能是欧盟更愿意遵守新协议之间当前差距的原因之一 GDPR标准比美国 1http://www.eugdpr.org/the-regulation.html 2https://en.wikipedia.org/wiki/Data_Protection_Directive 3http://www.sciencefocus.com/qa/how-many-TB-data-are-internet SPYCLOUD.COM您是否想在(相对)纯英语中了解GDPR|2 七项建议包括: 1.通知-在收集数据时,应通知数据主体; 2.Purpose-数据仅应用于所述目的,不得用于任何其他目的; 3.同意书-未经数据主体同意,不得披露数据; 4.安全收集的数据应保持安全,免受任何潜在的滥用; 5.披露-应告知数据主体谁在收集数据; 6.Access-应允许数据主体访问其数据并进行更正任何不准确的数据;以及 7.问责制-数据主体应该有一种可用的方法来保存数据 收藏家对不遵循上述原则负责。4 1981年,欧洲委员会通过谈判制定了《保护个人公约》。关于个人数据的自动处理。这是第一个具有约束力的国际“保护个人免受可能伴随 个人数据的收集和处理,旨在同时规范个人数据的跨界流动。“。它还禁止在一个 person’srace.Finally,it’provinestheindividual’srighttoknowthatinformationisstoredon 他或她,并在必要时予以纠正。“该条约得到了所有成员的批5准欧洲委员会以及毛里求斯、塞内加尔和乌拉圭。 与此同时,美国没有批准任何类似的数据保护条约。 由欧盟实施。美国在这个问题上的政策是在间接的基础上采取的,如作为1988年视频隐私保护法的通过,该法案是在罗伯特之后通过的 博克的视频租赁历史是在他的最高法院提名期间发布的。公平6 1992年《信用报告法》和《健康保险流通和责任法案》 1996年的(HIPAA)是后来的例子。 2012年,欧盟委员会提议合并数据保护法 在欧盟,由不同成员国在其“通用数据保护”中制定法规。“其中包括将27项国家数据保护法规合并为 —,关于公司数据传输到位置的数据传输政策的改进 在欧盟之外,以及对任何特定用户对其隐私的控制的改进。该立法还旨在适用于将处理任何数据的非欧盟公司 属于欧盟居民。这些意图演变成7GDPR。 4Shimanek,AnnaE.(2001)."DoyouwantMilkwiththoseCookies?:complyingwithSafeHarborPrivacyPrinciples."Journalof 公司法。26(2):455,462-463。 5https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/1086https://en.wikipedia.org/wiki/Robert_Bork_Supreme_Court_nomination 7https://en.wikipedia.org/wiki/Data_Protection_Directive SPYCLOUD.COM您是否想在(相对)纯英语中了解GDPR的所有内容|3 GDPR处罚可以什么是GDPR? 相当大:在《通用数据保护条例》的实施带来了许多主要的 Mariott的案子, £9900万 修改现有的欧盟数据保护法。以下类别: 扩大领土范围(域外适用性) 8其中一些变化总结在 (1.12亿英镑或 1.23亿英镑。) GDPR更新了欧盟数据保护法的领土范围,该法律现在适用于:在欧盟内部成立的公司(无论他们是在处理欧盟还是非欧盟 个人数据);以及(2)在欧盟以外设立的处理个人数据的公司在欧盟的数据主体的数据。此外,所有非欧盟企业处理数据欧盟公民将不得不在欧盟任命一名代表。 处罚 GDPR规定了两层罚款:第一层最高为1000万欧元或全球年度罚款的2%上一年的营业额,以较高者为准。第二个高达2000万欧元或4% 上一年的年营业额,以较高者为准。一般来说,违反控制器或处理器义务将在第一层内被罚款,并违反数据 受试者的权利和自由将导致更高水平的罚款。并且该法规指出 “云”不能免除GDPR的实施。 正如我们现在在实践中看到的那样,征收的罚款可能相当大-例如,在 万豪,打算罚款9900万英镑(1.12亿欧元或1.23亿美元)。9 同意书 GDPR提出了同意标准。 处理个人数据,同意必须满足这些新的更严格的要求。 这个规定最好直接传达,因为它是写的: 处理与他或她有关的个人数据,例如通过书面声明,包括通过电子手段或口头陈述。这可能包括打勾 访问互联网网站时,选择信息社会的技术设置 服务或其他声明或行为,在这种情况下清楚地表明数据主体接受对其个人数据的拟议处理。 因此,沉默、预先打勾的方框或不活动不应构成同意。同意应涵盖为同一目的或多个目的而进行的所有处理活动。 当处理有多个目的时,应同意所有这些目的。 如果数据主体的同意是在请求后通过电子方式给出的,要求必须清晰、简洁,不能不必要地破坏 它所提供的服务”。 8http://www.eugdpr.org/key-changes.html 9https://www.forbes.com/sites/kateoflahertyuk/2019/07/09/marriott-faces-gdpr-fine-of123-million/#42a0d8db4525 SPYCLOUD.COM您想在(相对)纯英语中了解GDPR的所有内容|4 GDPR还规定,“同意请求应以如下方式提出 与其他事项明显不同,以可理解和易于访问的形式,使用 清晰而朴实的语言。”换句话说,必须通过选择加入行动表示同意,并且数据主体必须被告知正在使用什么以及如何使用,这不能再 被技术术语或法律术语掩盖。 数据保护官员 “数据保护官”是GDPR规定的新角色,负责监督公司的数据保护策略及其实施,以确保遵守 法律要求。除非需要这样做,否则组织不一定需要任命DPOGDPR也是如此。这包括组织的核心处理活动包括 处理“特殊类别的个人数据”,例如健康数据和/或相关数据种族和种族,大规模,和/或处理活动涉及定期 并对数据主体进行大规模的系统监测。DPO必须确保与相关监管机构合作,遵守数据保护规则 (SA)。SA是负责监控GDPR遵守情况的独立机构,并且在其管辖范围内处理个人数据,提供建议和听取公民的意见投诉。 现在要求管制员将其数据处理活动通知本地SA, 对于跨国公司来说,可能会带来一场官僚噩梦,大多数成员国都有不同的通知要求。 数据主体权利 违反通知 监管机构违规通知在所有成员国变得强制性 数据泄露可能会“对个人的权利和自由造成风险”。通知要求仅为72小时。此违规通知要求延长 向受影响的数据主体,其中违规行为可能导致权利的“高风险”,以及有关个人的自由。 进入权 数据主体有权要求确认其个人数据是否为 正在处理,以及正在处理的此类个人数据的副本,以及其他信息,包括处理目的,相关个人数据的类别 以及是否有任何第三方收到了这些数据。 改正权 数据主体有权要求组织存储的不正确数据更正。 SPYCLOUD.COM您想在(相对)纯英语中了解GDPR的所有内容|5 如果你在美国和进程属于的数据 欧盟公民,你有义务 遵守 “被遗忘的权利” 这项关于数据擦除的规定确保了数据主体有权从 控制器删除有关他或她的个人数据,因为例如,数据是不再与原始处理目的相关,或数据主体撤回同意。 数据可移植性 根据某些要求,数据主体有权接收他们提供的数据 以“结构化的、常用的和机器可读的格式”向组织发送。数据 受试者还可以请求将这样的数据直接从一个控制器传输到另一个控制器。 GDPR对象权 在某些情况下,数据主体有权反对处理其个人数据,包括组织向 个人或数据主体拒绝组织引用的“合法利益” 用于处理个人数据。 设计隐私 从设计系统开始就必须包括数据保护,而不是事后考虑。 更具体地说,是对设计系统开始时的保护,而不是添加。 这意味着什么为我的公司? 合规性不是可选的 GDPR现已生效,欧盟内部的所有公司都必须遵守或面临处罚。如果如果您在美国并处理属于欧盟公民的数据,您也有义务遵守。 如果你不遵守,它可能会伤害-很多 人们只需要对英国航空公司的1.834亿英镑(2.3亿美元)处以罚款的意图。10 对于2018年的违规行为,访问其网站的人被转移到一个欺诈性网站,收集的详细信息,包括姓名,帐单地址,电子邮件地址和付款信息。 避免巨额罚款归结为采取适当的数据保护措施,以及识别和报告违规行为的程序。公然无视GDPR 规定不会飞,但在保护措施上做出正确的投资,并有一个 尊重法律和尽你所能遵守的态度可以减少你面临的罚款,如果用户数据被破坏。 你可能无法免疫 每个组织现在都必须密切了解他们拥有的信息,这些信息适用于谁如果存在欧盟公民的个人身份信息(PII),以及在哪里以及如何 信息被处理。 10https://www.cnet.com/news/british-airways-faces-破纪录-230m-gdpr-fine-for-2018-data-break/ SPYCLOUD.COM您想在(相对)纯英语中了解GDPR的所有内容|6 What应该它的意思是为我的公司? 密码 接受条款 登录 归根结底