《通用数据保护条例》(GDPR)是欧盟的一项全面的数据保护法,旨在保护个人数据的隐私和安全。以下是对这一法规的详细介绍:
基本定义
- 法规背景:GDPR于2016年由欧洲议会和欧盟理事会通过,并于2018年5月25日正式生效。它取代了之前的数据保护指令,成为欧盟内部统一的数据保护法规[^1^]。
- 适用范围:GDPR适用于所有在欧盟内外处理欧盟居民个人数据的组织,无论这些组织的所在地点如何[^1^]。
核心原则
- 合法性:数据的收集和使用必须有法律依据,如数据主体的同意或合同需要[^2^]。
- 最小化:只收集实现特定目的所必需的最少数据量[^2^]。
- 限制性:数据保存不应超过实现其收集目的所需的时间[^2^]。
- 准确性:必须确保数据的准确性和及时更新[^2^]。
- 完整性和保密性:采取适当的技术和组织措施保护数据免受未经授权或非法的处理和意外丢失[^2^]。
- 问责制:数据控制者必须能够证明其遵守GDPR的规定[^2^]。
数据主体权利
- 知情权:数据主体有权知晓其个人数据的处理情况[^2^]。
- 访问权:数据主体可以要求获取其个人数据的副本[^2^]。
- 更正权:数据主体可以要求纠正不准确的个人数据[^2^]。
- 删除权:在一定条件下,数据主体可以要求删除其个人数据[^2^]。
- 限制处理权:数据主体可以要求限制对其个人数据的处理[^2^]。
- 反对权:数据主体有权反对基于其个人数据的某些处理活动[^2^]。
- 数据可携带权:数据主体可以将其数据从一个控制器转移到另一个控制器[^2^]。
企业义务
- 数据处理记录:企业必须保存其数据处理活动的详细记录[^2^]。
- 数据保护影响评估:在进行高风险数据处理活动前,企业需进行数据保护影响评估[^2^]。
- 数据泄露通知:发生个人数据泄露时,企业必须在72小时内通知相关监管机构[^2^]。
- 数据保护官:某些情况下,企业需要指定数据保护官来监督GDPR的遵守情况[^2^]。
违规处罚
- 罚款制度:违反GDPR的企业可能面临高达1000万欧元或全球年营业额2%的罚款,对于更严重的违规行为,罚款可达2000万欧元或全球年营业额的4%[^2^]。
总的来说,GDPR为个人数据提供了强有力的保护,同时也对企业提出了严格的合规要求。随着技术的发展和全球化的推进,GDPR的影响范围和重要性将持续增长。