GDPR

GDPR不同于其前身《数据保护指令95/46/EC》,它不是一个指令而是一个法规。这意味着它将直接生效并且应用到欧盟所有的成员国,由此可缩短实施时间并确保实现一致性。如果您的公司无法符合GDPR, 就可能面临高达全球营业额的4%或2000万欧元的行政处罚(取两者之一更高)。

需要更多信息?

我们最快2小时内联系您

手机号码 电子邮箱

*推荐填写手机号,自动注册会员,在线查看咨询进度

立即咨询
我已阅读并同意 隐私政策

发送成功

您的咨询信息已收到,我们将尽快与您联系!

用户账号:{{ form.phone }}

已为您注册SGS在线商城会员
可用手机号码快捷登录

到“我的咨询”查看咨询进度

{{countdownTime}}秒后自动跳转

扫码关注SGS官方微信公众号, 回复“0”赢惊喜礼品!

已发送到手机号:+86 {{ form.phone }}
{{seconds}} 秒后再次发送
发送验证码
确认 取消

服务背景

面对国内外日益完善的个人隐私立法,企业如何才能做到合规?SGS凭借全球资源对欧盟GDPR以及各国个人数据、隐私保护法规、标准的进行解读,积累了一定的研究成果。

我们愿与企业一道,识别与企业自身活动相关的个人数据状况、隐私保护风险与差距,并找出应对方法,为企业的合规经营保驾护航。

服务概述

《通用数据保护条例》(GDPR)于2016年4月27日在欧盟官方刊物上发表。暂缓期为二年,于2018年5月25日正式生效。

GDPR旨在:
 确立个人数据的保护是人权;
 定义个人数据保护的原则和规章;
 加强产品或服务提供者与他们所服务的人之间的信任。

个人的7个数据权利
GDPR的核心内容是确立在处理个人资料的七项个人权利。任何正在处理这些数据的组织都需要确保这些权利得到保护。处理在GDPR中被定义为任何自动或手动操作,如收集、记录、组织、结构、存储、调整或变更、检索、咨询、使用、传输披露、传播或以其他方式提供、排列或组合、限制、删除或销毁。如下图)

数据权利描述例子
访问权允许个人索取本人资料的副本银行客户有权请求个人数据记录的副本,包括地址,电话等。
纠正权允许个人更改本人信息宽带客户有权要求ISP提供持有的信息,以更新他的联系电话。
删除权允许个人删除本人信息一位美容店的顾客有权要求他的信息被删除,因为他不再是商店会员或顾客,因此他不会被要求进行新的促销活动。
限用权除非法律相关需求,允许个人禁止本人信息被使用建筑师有权要求他的前任雇主投标时不使用他的简历,但他可保留他的名字在旧记录上,以记录法律责任。
可携权允许个人将本人信息从一个机构带到另一个机构保险客户有权要求将其个人资料转移到另一家保险公司,如果该行业存在一种通用的电子格式,保险公司也应提供该通用电子格式的记录。
拒绝权允许个人拒绝直接营销或类似的目的使用电子邮件推行业务的营销公司应提供”退订“链接。
干预权禁止控制者或处理者在未经明确同意的情况下自动对任何人进行评估社交网络在分析用户行为之前,应征求 提供有针对性的广告的明确同意。


GDPR包含以下内容:
 组织的需求(欧盟代表处,数据保护主任,同意记录之存档,合同要求等);
 
个人的7个数据权利;
 
认证方案;
 
成员国监督;
 
建立欧盟数据保护委员会;
 
其他法律程序。

解决方案

GDPR对您的经营有影响吗?如果您的企业:

在欧盟营运业务向欧盟销售产品或服务为欧盟市场设计产品
持有或处理在欧盟境内的消费者数据,无论对方是否式公民利用欧盟个人数据进行市场调查等等
你的业务很可能在GDPR的范围内

备注:GDPR适用于不论国籍或公民资格的欧盟境内人士。无论处理或存储位置,它适用于任何相关的活动或事务。

举例说明
假设一家中国香港的零售商,在德国的一家商店里提供量身定制的设计服装,顾客也可以通过其商店的网站加入他们的会员计划。该网站的服务器位于中国香港。在GDPR之下,商店客户的个人资料(姓名、地址、体型等)应该默认存储在欧盟,他们的网站应该构建在一个欧盟服务器,除非商店收到德国法定机构——德国信息专员办公室的批准,所有的GDPR规定应当执行。此外,如果在未来,中国香港的零售商改变它的商业模式,决定关闭德国零售商店并依赖于德国当地经销商获得定制订单,中国香港的零售商仍需要执行其GDPR义务,因为他们将处理从德国经销商那里获得的个人数据。

为了应对及符合GDPR,您应立即:
1.
任命一名数据保护主任。(第三十七条)
2.
培训您的员工。(第四十七条)
3.
识别在您的组织的个人资料及相关处理活动。(第三十条)
4.
确定个人的7个数据权利的处理方案。(第15-22条)
5 .
确定您的公司在欧盟的主要办事处,从而确定带头的监督机构。(第四条)
6.
如果您没有在欧盟设立任何机构,您仍然需要一个驻欧盟代表(第二十七条)。然而,在这种情况下,从欧盟第二十九条数据保护工作组的澄清文件wp244点2.2中,将没有带头的监督机构。然后公司将需要遵守所有适用的监督机构的规定。
7.
证明合规。(第5.2、24.3条)

我们的优势

作为国际公认的检验、鉴定、测试和认证机构,SGSIT信息安全领域的解决方案,覆盖范围广泛;并致力于为各行业机构提供全方位管理提升服务,内容包括:ISO/IEC27701ISO/IEC29151ISO/IEC27001ISO/IEC20000、CSA STARISO/IEC27017ISO/IEC27018ISO22301GDPR等培训、认证和审核相关服务。

更多服务推荐
资源下载

填写信息免费下载

X
《隐私政策》
资源下载

填写信息免费下载

X
贵公司是否已与SGS有合作
是,IATF 16949认证
《隐私政策》

意见反馈

对SGS服务不满意吗?请告诉我们 *

联系方式 *