| 不知道发生了神马,一夜之间之前随笔写的GDPR介绍文字竟然多出来了1000+的阅读量,不知道是CSDN坏掉了,还是这个topic突然火了。So,总之,还是继续写点什么吧 |
|---|
GDPR法规主要面向了三个主体,用户(Individual),数据所有者(Data Controller)以及数据传输者(Data Processor)。
首先对于用户,GDPR在法律层面上赋予了其很多权利,主要包括:
- 知情权:主要指数据所有者(Data Controller)必须明确告知用户其收集个人信息的原因,用途,以及保存时效。如果个人信息还将分享给第三方,必须明确通知用户相关情况并让其决定是否同意向第三方发送数据。(license agreement一定要是opt-out的,不能使opt-in哦~)。
- 访问和更正权:用户有权访问其提供的个人信息,并进行修改。当用户递交访问申请时(可以是口头通知,也可以通过写信的方式),数据所有者必须在一个月内对用户申请作出反馈,并且在绝大多数情况下不能对该访问申请收费。
- 删除权:又名“the right to be forgotten”。即用户有权要求数据所有者删除其之前提供的个人信息。特别需要注意,如果用户的信息已经被数据所有者透露给第三方,或者在互联网进行了公开发布,那么当用户行使删除权时,数据所有者必须通知所有拥有该用户数据的第三方一并删除,包括互联网上的相应连接以及数据拷贝等。
相对应的,GDPR对于用户有多少保护权限,就对数据所有者和数据传输者提出了多少要求。在GDPR概念下,数据所有者指的是定义收集个人信息需求的组织或个人。数据传输者指的是代表数据所有者去收集个人信息的组织或个人。
举个例子,律师事务所会收集很多其当事人的个人资料并保存在微软Office 365中的SharePoint站点当中。这里面律师事务所就是数据所有者,而律师事务所和微软共同成为了数据传输者。(因为当事人的信息是律师收集整理记录的,微软主要是负责数据存储,两者合在一起才组成了完整的数据传输者。)
对于数据所有者,其主要责任包括必须证明其是在GDPR规定范围内进行个人信息收集的,即合法,真实,透明,精准,最小限度的做了收集个人信息的工作。同时还需证明其尽了最大努力的对收集到的个人信息进行了保护,包括制定了严格的数据管理方案,数据保护计划,以及危机应对办法等。
对于数据传输者来说,其必须证明是在数据所有者规定的范围能进数据的收集,传输,存储以及管理等要求。必须按照数据所有者的要求,证明其尽到了数据保护责任。
总的来说,对于GDPR的合规,绝不是IT部门一个单位的事。相反,管理层制定的各种政策才是保证合规的关键所在。如果作为数据所有者的管理层在收集个人信息的政策上就已违规,那么无论IT部门如何努力,也是无法达到GDPR相关要求的。
931
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
