GDPR

TL;博士

通用数据保护条例 (GDPR)是世界上最严格的隐私和安全法律之一。尽管该法规由欧盟起草和批准，但无论组织在何处运营，只要它们针对或收集欧盟人员的数据，都对它们施加了义务。该规定于2018 年 5 月 25 日起实施。 GDPR对违反其隐私和安全标准的人处以罚款，制裁金额高达数千万欧元。

什么是 GDPR？

GDPR（通用数据保护条例）是针对欧盟和欧洲经济区的欧盟数据保护和隐私立法以及在欧盟和欧洲经济区以外传输个人数据的法律。 GDPR 的主要目的是为个人提供对其个人数据的控制权，并通过统一欧盟的隐私法来简化国际事务的监管环境。该法规是强制性的，所有持有或处理个人数据的组织都必须遵守。

该规则于 2018 年 5 月 25 日生效，并反映在 2018 年数据保护法中。该法规适用于“运营商”和“数据处理者”，涵盖已合并的旧规则以及数据主体的一些新权利。

什么是个人数据？

个人数据是指可以直接或间接识别的人的数据，并且是：

• 电子处理；
• 保存在档案中；
• 可访问信息集的一部分，例如教育信息；
• 由公共当局持有；
• 不一定是个人特定的，但会导致他们的识别；
• 示例：姓名、电子邮件地址、位置、宗教、种族、性别、存储在网络 cookie 中的数据、IP、政治观点、生物特征数据等。

GDPR 原则

个人数据应得到公平、合法和透明的处理。

• 应出于明确和合法的目的收集数据，并且不应以与这些目的不相容的方式进一步处理数据。
• 数据不应过多，只处理绝对必要的数据。
• 数据必须正确，并在必要时进行更新。
• 数据的存储时间不应超过必要的时间。
• 数据必须保持安全。
• 经理对他们收集的个人数据类型及其使用方式负责。员工不应在组织程序之外披露个人数据或将他人持有的个人数据用于自己的目的。

GDPR 适用于谁？

GDPR 适用于在欧盟运营的任何组织，以及向欧盟客户或企业提供商品或服务的任何非欧盟组织。这包括任何为自己的目的直接或间接为第三方应用程序和工具（例如谷歌分析）收集访问者数据的网站。

在个人层面拥有他人数据（例如存储在手机中的家庭成员的电话号码）的人无需考虑该数据的 GDPR。