首页 > 其他分享> > 安全合规/GDPR--24--研究：GDPR疑难点及合规建议

安全合规/GDPR--24--研究：GDPR疑难点及合规建议

2019-06-27 20:51:42 作者：互联网

1、中国境内的欧盟个人数据管不管?

GDPR不适用于欧盟国家公民在欧盟范围外接受服务时提供自己的个人信息的情况。在欧盟境外，只需要遵守服务提供地的法律即可。

2、GDPR中的个人数据指的是哪些数据?

个人数据是指任何指向一个已识别或可识别的自然人的信息。并不适用于有关诸如公司、基金会以及机构等法律实体的信息。
经过假名化处理的数据可以使识别个人更加困难，从而降低隐私风险，但其仍属于个人数据。如果个人数据可以被真正地匿名化处理，那么经过匿名处理的数据不受GDPR规制。

3、在线活动识别符(Online Identifier)具体包括什么?

包括与个人使用的设备、应用、工具及互联网协议等相关的信息。
因为对于这些在线活动识别符所留下的痕迹，当与服务器所接收的特殊识别符或其他信息相结合后，可以用来对个人进行画像并识别个人。

4、什么是履行合同之必要?

GDPR第6条规定了处理数据的6种合法事由，其中包括数据主体为履行合同之必要，或者在合同订立前应数据主体的要求而采取某些与订立合同相关的行动而处理数据。
企业应记录此类决策，即处理数据的行为对于合同来说是必要的，记录中应当包括企业隐私通知中所披露的处理目的及合法事由。

5、什么场景下可以使用数据控制者的正当利益作为数据处理合法事由?

可以将：对于客户或雇员数据的使用、推广营销、欺诈防护、集团内部转移、IT安全、向政府机关披露与可能的刑事犯罪行为或安全威胁有关的信息等，列为正当利益。
当企业可以合理期待的方式使用数据，并且这种方式在对数据主体隐私方面的影响最小，那么正当利益可能是最为适当的合法事由。

6、如何理解自动化决策与用户画像?

针对个人的自动化决策是指通过自动化手段做出的决定，没有任何人工参与。但它并不一定涉及到用户画像。
用户画像是指 “任何形式的个人数据自动处理，只要这种处理包括了使用个人数据评估有关自然人的某些个人方面，尤其是分析或预测有关自然人在工作中的表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置定位或移动”。
GDPR限制企业进行对数据主体产生法律影响或具有类似重要影响的完全自动化决策，包括基于用户画像的自动化决策。

7、数据控制者和数据处理者的义务有何区别?

数据控制者	数据处理者
1.确保数据处理的合法基础(第6条及第9条，如果涉及敏感个人数据) 2.符合基本的处理原则：有限目的、数据最小化/存储限制、完整性和保密(第5条) 3.遵守并协助数据主体权利，例如，访问、更正、删除、限制、反对及可携权(第15、16、17、18、20及21条) 4.保存数据处理活动的记录(第30条) 5.数据泄露强制通知(72小时之内向监管机关通知)以及通信要求 6.确保数据处理者为符合GDPR要求而提供“足够的保障”，并确保所有处理活动都根据规定了特定强制性内容的书面协议而进行(第28条) 7.实施与数据处理风险相适应的安全措施(第24及32条)，并确保“从设计着手保护隐私”(第25条) 8.进行数据安全影响评估，并就高风险处理咨询监管机关(第35条) 9.没有合法基础的情况下，不得将个人数据转移至欧洲经济区之外(第49条)	1.确保未获得处理者授权的主体不得处理个人数据，除非根据数据处理者的指示(第29条) 2.保存数据处理活动的记录(第30条) 3.实施与数据处理风险相适应的安全措施(第32条) 4.“没有不当拖延”地通知数据控制者数据泄露事件(第33条) 5.确保所有处理活动都根据规定了特定强制性内容的书面协议而进行(第28条) 6.没有合法基础的情况下，不得将个人数据转移至欧洲经济区之外(第49条)

数据控制者

数据处理者

1.确保数据处理的合法基础(第6条及第9条，如果涉及敏感个人数据)
2.符合基本的处理原则：有限目的、数据最小化/存储限制、完整性和保密(第5条)
3.遵守并协助数据主体权利，例如，访问、更正、删除、限制、反对及可携权(第15、16、17、18、20及21条)
4.保存数据处理活动的记录(第30条)
5.数据泄露强制通知(72小时之内向监管机关通知)以及通信要求
6.确保数据处理者为符合GDPR要求而提供“足够的保障”，并确保所有处理活动都根据规定了特定强制性内容的书面协议而进行(第28条)
7.实施与数据处理风险相适应的安全措施(第24及32条)，并确保“从设计着手保护隐私”(第25条)
8.进行数据安全影响评估，并就高风险处理咨询监管机关(第35条)
9.没有合法基础的情况下，不得将个人数据转移至欧洲经济区之外(第49条)

1.确保未获得处理者授权的主体不得处理个人数据，除非根据数据处理者的指示(第29条)
2.保存数据处理活动的记录(第30条)
3.实施与数据处理风险相适应的安全措施(第32条)
4.“没有不当拖延”地通知数据控制者数据泄露事件(第33条)
5.确保所有处理活动都根据规定了特定强制性内容的书面协议而进行(第28条)
6.没有合法基础的情况下，不得将个人数据转移至欧洲经济区之外(第49条)

8、如何设定数据保护官?

GDPR第37条规定了数据控制者和数据处理者应当任命DPO的情形，包括:
(1) 公权力部门或机构进行数据处理活动的;
(2) 数据处理的核心活动涉及对数据主体进行经常性大规模系统化监测的;
(3) 大规模处理特殊类别个人数据或与刑事违法行为相关的个人数据的。
除上述情形之外，GDPR并未要求企业在其他情形下也进行DPO的设置。

GDPR并未对“大规模”的概念进行定义。第29条工作组发布的指引认为，“无论是处理的数据量还是涉及到的数据主体数量方面，均无法给出准确的数字。”
企业应当以一定的可为公众所知的形式公布DPO的联系方式，确保监管机构能够及时与DPO取得联系。

9、数据处理者如何履行问责义务(accountability)?

问责义务包含两个关键要素。首先，问责制原则明确规定，企业有责任遵守GDPR。其次，企业必须能够证明自身的合规性。
企业可以进行以下几方面工作:

实施数据保护内部政策
采用“从设计角度并默认保护数据”方法
每当数据控制者使用数据处理者来代表他们处理个人数据时，需要签订一份书面合同，规定各方的责任和义务
根据GDPR第30条的要求，大多数企业组织必须保留其个人数据处理活动的记录，包括处理目的、数据共享和留存等内容。
采取技术和组织方面的措施
记录和报告个人数据泄露事件
开展数据保护影响评估

10、中国企业可适用的数据出境方式是什么?

根据GDPR的规定，将欧盟境内个人数据转移至其他司法管辖区时应区分安全和非安全两类第三方司法管辖区。通过充分性认定的司法管辖区包括:安道尔、阿根廷、加拿大(仅包括商业组织)、法罗群岛、根西岛、以色列、马恩岛、瑞士、乌拉圭和美国(如果数据接受者适用隐私盾)、日本。
对于其他司法管辖区，应确保数据接收方能够提供充分的数据保护。相关机制包括签署标准合同条款、集团公司内部采纳“约束性公司规则”、遵守欧盟委员会公布的通常适用的行为规则或通过数据处理程序认证。
对于中国企业，常见的数据出境方式是由欧盟境内的主体与境外数据接收主体签订标准合同条款，并根据此条款进行数据跨境转移。

11、如何确定主监管机构?

即便在欧盟设有多个营业实体，但仍需要确立出一个主营业实体。主营业实体设立地的欧盟成员国的监管机关将有资格成为主监管机关。主监管机关将对公司进行GDPR的相关执法。如果个人数据处理操作仅与另一成员国的某一企业有关，或仅对另一成员国的个人有影响，则其他成员国的监管机关仍有执法权，除非主监管机关决定处理该问题。同样，如果有关违法行为违反成员国本国法律，当地的监管机关也有执法权。

12、欧洲数据保护委员会和各国监管机构如何配合执法

欧洲数据保护委员会是一个独立的欧盟机构，致力于在整个欧盟范围内数据保护规则的统一适用，并促进欧盟数据保护机构之间的合作、争议协调、意见提供等。

依据中国信通院出版的《欧盟GDPR合规指引》

标签：24,个人,处理,数据保护,数据处理,数据,合规,GDPR
来源： https://blog.csdn.net/wutianxu123/article/details/93909574