GDPR
通用数据保护条例
GDPR不同于其前身《数据保护指令95/46/EC》,它不是一个指令而是一个法规。这意味着它将直接生效并且应用到欧盟所有的成员国,由此可缩短实施时间并确保实现一致性。

如果您的公司无法符合GDPR, 就可能面临高达全球营业额的4%或2000万欧元的行政处罚(取两者之一更高)。
服务背景

面对国内外日益完善的个人隐私立法,企业如何做到合规?SGS凭借全球资源对欧盟GDPR以及各国个人数据、隐私保护法规、标准的解读和研究成果,愿与企业一道,识别与企业自身活动相关的个人数据、隐私保护风险与差距,找出应对方法,为企业的合规经营保驾护航。

GDPR介绍

《通用数据保护条例》(GDPR)于2016年4月27日在欧盟官方刊物上发表。暂缓期为二年,于2018年5月25日正式生效。

GDPR旨在:
确立个人数据的保护是人权;
定义个人数据保护的原则和规章;
加强产品或服务提供者与他们所服务的人之间的信任。

个人的7个数据权利
GDPR的核心内容是确立在处理个人资料的七项个人权利。任何正在处理这些数据的组织都需要确保这些权利得到保护。处理在GDPR中被定义为任何自动或手动操作,如收集、记录、组织、结构、存储、调整或变更、检索、咨询、使用、传输披露、传播或以其他方式提供、排列或组合、限制、删除或销毁。如下图)

数据权利描述例子
访问权允许个人索取本人资料的副本。银行客户有权请求个人数据记录的副本,包括地址,电话等。
纠正权允许个人更改本人信息。宽带客户有权要求ISP提供持有的信息,以更新他的联系电话。
删除权允许个人删除本人信息。一位美容店的顾客有权要求他的信息被删除,因为他不再是商店会员或顾客,因此他不会被要求进行新的促销活动。
限用权除非法律相关需求,允许个人禁止本人信息被使用。建筑师有权要求他的前任雇主投标时不使用他的简历,但他可保留他的名字在旧记录上,以记录法律责任。
可携权允许个人将本人信息从一个机构带到另一个机构。保险客户有权要求将其个人资料转移到另一家保险公司,如果该行业存在一种通用的电子格式,保险公司也应提供该通用电子格式的记录。
拒绝权允许个人拒绝直接营销或类似的目的。使用电子邮件推行业务的营销公司应提供”退订“链接。
干预权禁止控制者或处理者在未经明确同意的情况下自动对任何人进行评估。社交网络在分析用户行为之前,应征求 提供有针对性的广告的明确同意。


GDPR包含以下内容:
组织的需求(欧盟代表处,数据保护主任,同意记录之存档,合同要求,等等);
个人的7个数据权利;
认证方案;
成员国监督;
建立欧盟数据保护委员会;
其他法律程序。

解决方案

GDPR对您的生意有影响吗?如果您的生意:

在欧盟营运业务向欧盟销售产品或服务为欧盟市场设计产品
持有或处理在欧盟境内的消费者数据,无论对方是否式公民利用欧盟个人数据进行市场调查等等
你的业务很可能在GDPR的范围内

备注:GDPR适用于不论国籍或公民资格的欧盟境内人士。无论处理或存储位置,它适用于任何相关的活动或事务。

举例说明
假设一家中国香港的零售商在德国的一家商店里提供量身定制的设计服装,顾客也可以通过其商店的网站加入他们的会员计划。该网站的服务器位于中国香港。GDPR之下,商店的客户的个人资料(姓名、地址、体型等)应该默认存储在欧盟,他们的网站应该构建在一个欧盟服务器,除非商店收到德国法定机构——德国信息专员办公室的批准,以及所有GDPR规定应当执行。此外,如果在未来,中国香港的零售商改变它的商业模式,决定关闭德国零售商店并依赖于德国当地经销商获得定制订单,中国香港的零售商仍需要执行其GDPR义务,因为他们将处理从德国经销商那里获得的个人数据。

为了应对及符合GDPR,您应立即:
1.
任命一名数据保护主任。(第三十七条)
2.
培训您的员工。(第四十七条)
3.
识别在您的组织的个人资料及相关处理活动。(第三十条)
4.
确定个人的7个数据权利的处理方案。(第15 - 22条)
5 .
确定您的公司在欧盟的主要办事处,从而确定带头的监督机构。(第四条)
6.
如果您没有在欧盟设立任何机构,您仍然需要一个驻欧盟代表(第二十七条)。然而,在这种情况下,从欧盟第二十九条数据保护工作组的澄清文件wp244点2.2中,将没有带头的监督机构。然后公司将需要遵守所有适用的监督机构的规定。
7.
证明合规。(第5.2、24.3条)

我们的优势

作为国际公认的检验、鉴定、测试和认证机构,SGSIT信息安全领域的解决方案,覆盖范围广泛;并致力于为各行业机构提供全方位管理提升服务,包括:ISO/IEC 27701ISO/IEC 29151ISO/IEC 27001ISO/IEC 20000、CSA STARISO/IEC 27017ISO/IEC 27018ISO 22301GDPR等培训、认证和审核相关服务。

相关服务

一、通用标准类
1.
ISO 9001认证
2. ISO 14001认证
3. ISO 45001认证
4. IMS认证
5. ISO/IEC 27001认证
6. ISO 22301

二、行业标准类
1. ISO/IEC 20000
2. ISO/IEC 29151
3.
ISO/IEC 27017&ISO/IEC 27018

三、流程优化类
CSA STAR

四、培训类
1.
GDPR意识培训
2.
GDPR法规讲解
3.
DPO数据保护官课程
4.
GDPR差距分析及丰富的实践指导
5.
GDPR on-line service
6.
GDPR符合性审
7.
ISO/IEC 27001内审员
8.
ISO/IEC 27001主任审核员
9. ISO 27018培训
10.
ISO 29151培训和审核
11.
渗透测试
12.
ISO 27701培训

资源下载

填写信息免费下载

X
《隐私政策》
资源下载

填写信息免费下载

X
贵公司是否已与SGS有合作
是,IATF 16949认证
《隐私政策》

SGS是一家专业的第三方认证机构,拥有国际专家团队为您提供专业的业务解决方案,欢迎来电咨询。