GDPR 基础知识与合规实务指南
GDPR (General Data Protection Regulation) ,即《通用数据保护条例》,是欧盟于 2018 年实施的全球最严厉的隐私保护法。它不仅适用于欧盟境内的公司,也适用于任何向欧盟居民提供产品或服务、或监控其行为的境外组织。
1. 为什么您的企业必须重视 GDPR?
- 巨额罚款: 违规最高可处以 2000 万欧元或全球年营业额 4% 的罚款(以高者为准)。
- 全球标准: 许多国家的隐私法(如中国的 PIPL、巴西的 LGPD)都借鉴了 GDPR,实现 GDPR 合规往往意味着也符合了全球大部分隐私法规。
- 商业信任: 在 B2B 合作中,合规证明已成为进入供应链的“入场券”。
2. 合规的核心原则
在处理任何个人数据时,必须遵循以下原则:
- 合法性、公正性与透明度: 必须有明确的法律依据,并诚实告知用户。
- 目的限制: 数据只能用于收集时声明的特定目的。
- 数据最小化: 只收集实现目的所必需的最少量数据。
- 存储限制: 目的达成后,不得长期保留数据。
3. 数据主体的核心权利
根据 GDPR,用户(数据主体)拥有 8 项基本权利,企业必须建立流程响应这些请求:
- 知情权: 了解数据如何被处理。
- 访问权: 获取个人数据的副本。
- 更正权: 修正错误数据。
- 被遗忘权(删除权): 在特定情况下要求删除数据。
- 限制处理权: 要求停止处理但不删除数据。
- 数据携带权: 以机器可读格式导出数据。
- 反对权: 拒绝数据用于直接营销等。
- 自动化决策相关权利: 不受纯算法决策影响的权利。
法律声明: 本清单仅供自查参考,不构成正式的法律意见。GDPR 合规是一个复杂的系统工程,建议在高风险业务场景下咨询专业的隐私法律顾问。