“通用數據保護條例”(GDPR)”是歐盟為保護個人信息而建立的指令。該法規將于2018年5月25日生效，并取代歐盟的“1995年數據保護指令”。雖然1995年的指令僅適用于在歐洲實體存在的組織，但GDPR將適用于收集或處理歐盟公民或居民個人資料的所有組織。

 

在GDPR的監督下，，組織將被要求實施數據保護原則以及技術和組織措施，保障數據和保護個人隱私權。遵守歐盟GDPR合規規則的組織必須實施全面的隱私保護，并確保系統和程序足以正確測試，監控和測量數據安全。

 

以下是問題系列的一部分。

 

 

根據GDPR內容，規定“數據科目”的個人將根據規定更好地控制其個人資料。 “通用數據保護條例”包括以下“數據主體權利”：

 

·被遺忘的權利。數據主體可以請求從公司存儲中刪除個人的身份數據。

 

·訪問權。數據主體可以檢查組織存儲的數據。

 

·反對權。數據科目可以拒絕公司使用或處理受試者的個人資料。

 

·糾正權。數據主體可以期望糾正不準確的個人信息。

 

·可移植權。數據主體可以訪問公司關于他們的個人數據并進行傳輸。

 

在“被遺忘的權利”中，組織必須能夠以常用格式向個人提供數據，并在數據主題請求的一個月內刪除這些數據。這些組織還必須確保其內部程序能夠處理這些類型的請求。

 

“被遺忘的權利”之外的一個例外是刪除可能損害言論自由或進行研究的能力的數據。例如，政治家將無法要求從新聞網站刪除意見。

 

組織必須允許人們訪問他們自己的數據，而不是阻止他們提交給另一個組織。例如，服務提供者必須允許客戶將數據傳輸到另一個服務提供者。

 

 

歐盟GDPR合規要求組織部署旨在防止數據泄露的技術，并提供嚴格的違規通知規則。如果數據泄露對個人造成嚴重的風險，如歧視，聲譽損失，財務損失或機密性損失，組織必須通知有關國家監督機構和處于風險中的人員。如果沒有足夠的系統和程序檢測，那么報告和調查數據泄露的組織來部署它們以符合GDPR規則。

 

根據GDPR的要求，組織在要求個人資料時將被要求使用“簡明語言”，并且必須提供有關它們如何處理的信息。他們必須說出他們是誰，他們為什么要處理數據，誰接收到它，以及它將被存儲多長時間。他們必須讓個人明確，肯定地同意處理數據。

 

組織應評審所尋求和記錄用戶的同意書，以確保他們的程序數據主體的權利在GDPR的監督下。他們還應該審查他們的隱私聲明，并確保他們解釋處理個人資料的法律依據。如果收集關于兒童的信息，他們必須考慮是否有足夠的系統來驗證個人的年齡并獲得家長同意。

 

 

GDPR第32條要求組織采取技術措施，確保數據安全。必要的技術措施和做法將根據所存在的風險程度而變化。組織需要評估其處理的個人數據所面臨的風險，數據面臨的風險越高，保護數據必須采取的措施越多。例如，那些處理與健康、種族、宗教和政治信仰有關的數據的人必須比那些處理較少個人資料的人采用更大的保障措施。條例中沒有具體的安全措施，但提供了一些例子。

 

歐盟GDPR合規條例要求組織保留其數據處理活動的記錄，并且非常重視維護文檔以證明合規性。證明組織使用技術來持續監控數據和評估漏洞的記錄表明要遵守。

 

未實現歐盟GDPR符合性的組織可能將被處以高達2000萬歐元(約合2360萬美元)或高達年收入的4%的罰款。預計強制執行將首先關注組織遵守數據泄露要求的程度。

 

 

對個人進行大規模，系統，定期監測的公共當局和組織必須在GDPR下指定數據保護官員(DPO)。 DPO是負責監督數據保護戰略和實施的企業安全領導角色，以確保符合GDPR要求。

 

進行大規模處理特殊類別數據(包括健康記錄或犯罪記錄)的組織也必須指定一個DPO。其他組織將根據其收集的數據以及數據收集是否大規模進行數字命名。

 

必須指定DPO的組織的兩個例子是處理關于醫院的遺傳學和健康的個人數據，以及處理個人數據以通過跟蹤用戶的在線行為的搜索引擎來定向廣告。收集患者健康數據的全科醫生或向客戶發送年度廣告的本地商店就是不需要指定DPO的企業的例子。