Loading…
条例 (EU) 2016/679——《通用数据保护条例》——自 2018 年 5 月 25 日起适用于所有 27 个欧盟成员国以及 EEA(冰岛、列支敦士登、挪威)。无论控制者或处理者设立于何处,它都对欧盟境内个人的个人数据处理进行规范。
执法由各成员国的监管机构负责(例如 CNIL、BfDI、Garante、AEPD、Ireland DPC),并由欧洲数据保护委员会(EDPB)通过一站式机制进行协调。
第 5(1)(a) 条——处理必须具有合法依据,并对数据主体保持透明。
第 5(1)(b) 条——仅为特定、明确和合法的目的收集。
第 5(1)(c) 条——充分、相关且限于必要范围。
第 5(1)(d) 条——准确,并在必要时保持更新。
第 5(1)(e) 条——保存时间不超过实现目的所需的时间。
第 5(1)(f) 条——适当的安全措施,包括加密和访问控制。
自由作出、具体、知情、明确——且撤回与给予同样容易。
为履行与数据主体的合同所必需。
为遵守欧盟或成员国法律中的法律义务所必需。
为保护数据主体或其他自然人的生命所必需。
执行公共利益任务或行使官方职权。
由控制者或第三方追求,并与数据主体的权利相平衡。
向欧盟境内人员提供商品或服务(第3条域外适用范围)——必须指定第27条规定的欧盟代表。
画像、再营销、程序化广告——CNIL、AEPD和Garante的首要执法重点。
第9条规定的特殊类别数据,须采取更高保障措施并满足明确同意要求。
GDPR第22条以及新的EU AI Act——高风险系统须进行DPIA、FRIA和合规性评估。
为非欧盟控制者和处理者指定的欧盟境内代表,作为监管机构和数据主体的单一联系点。
经认证的数据保护官(第37条),就合规、培训及与监管机构的协作提供咨询。
第30条规定的处理活动记录——持续维护、保持更新,并在监管机构提出要求后数小时内提供。
针对高风险处理及新产品发布的数据保护影响评估(第35条)和合法利益评估。
分级、分类、监管机构通知(第33条)及数据主体告知(第34条)——端到端全程处理。
标准合同条款、约束性公司规则、充分性评估,以及Schrems II传输影响评估。