GDPR,即《通用数据保护条例》,是欧盟通过的现行隐私法。GDPR 自 2018 年 5 月 25 日起生效。其宗旨是保护欧盟公民(也被定义为数据主体)的隐私和个人数据权利。
个人数据,也称为个人识别数据,是 GDPR 所规定的一个重要术语。个人数据是指与个人相关的、可以直接或间接识别其身份的所有信息。个人数据包括以下内容:
- 姓名
- 邮箱地址
- 此人的位置信息
- 种族
- 性别
- 网站 cookie
- 政治观点等。
根据 GDPR 规定,任何能够识别特定个人的数据均属于个人数据。可以轻松识别个人信息的化名数据也属于个人数据。
GDPR 适用于在欧盟境内注册的所有公司以及所有处理欧盟居民个人数据的公司。
根据 GDPR 规定,公司可以承担两项职责——数据控制者和数据处理者。数据控制者决定个人数据处理的目的和方式。数据处理者是指为数据控制者处理个人数据的个人(法人实体或自然人)。
GDPR 第 5 条定义了个人数据保护和问责的七项原则:
- 合法、公平和透明:个人数据处理必须做到合法、公平和对数据主体透明(易懂)。
- 目的限制:公司必须出于合法目的处理个人数据,并在收集此类数据时明确通知数据主体。
- 数据最小化:公司应仅以个人数据处理为目的收集和处理绝对必要的数据。
- 准确性:公司必须保持个人数据的准确性和最新性。
- 存储限制:公司只能以个人数据处理为目的储存个人数据。
- 完整性和保密性:公司必须以能保证个人数据安全性、完整性和保密性的方式处理个人数据。
- 问责:数据控制者必须能够向一个权威的数据保护机构证明 GDPR 符合所有 GDPR 原则。
如果某家公司未能遵守 GDPR,权威数据保护机构可能会对该公司进行罚款或采取行政措施。
GDPR 第 58 条对行政措施做出了说明。例如,行政措施包括向公司发出警告和申诫,或要求公司遵守数据主体的要求。如未能遵守 GDPR 规定,将处以较高罚款:
- 对于严重违规行为,处以全球年营业额 4% 或最高 2000 万欧元的罚款;
- 对于其他违规行为,处以全球年营业额 2% 或最高 1000 万欧元的罚款。
如果您对 Snov.io 平台有任何其他疑问,请通过 help@snov.io 或实时聊天客服与我们联系。