一般数据保护条例（一般数据保护条例顶象网）

## 一般数据保护条例 (GDPR)### 简介一般数据保护条例 (GDPR) 是欧盟于 2016 年 4 月通过并于 2018 年 5 月开始生效的数据保护法案。它取代了 1995 年的数据保护指令，旨在协调整个欧盟的个人数据保护法律，赋予个人对其个人数据的更多控制权。GDPR 不仅适用于欧盟内的组织，也适用于向欧盟公民提供商品或服务的组织，无论其地理位置如何。### 主要内容#### 1. 适用范围GDPR 适用于：

在欧盟境内运营的组织；

在欧盟境外运营但处理欧盟居民个人数据的组织；

处理与在欧盟境内提供的商品或服务相关的个人数据的组织，无论付款是否发生。#### 2. 个人数据的定义GDPR 将个人数据定义为与已识别或可识别的自然人（“数据主体”）相关的任何信息，例如：

姓名、地址、身份证号码；

位置数据、IP 地址；

种族、政治观点、宗教信仰；

健康数据、遗传数据、生物识别数据。#### 3. 数据主体权利GDPR 赋予数据主体以下权利：

知情权：了解其个人数据如何被收集、使用和保护；

访问权：访问其个人数据；

更正权：要求更正不准确或不完整的个人数据；

删除权 (“被遗忘权”)：在特定情况下要求删除其个人数据；

限制处理权：在特定情况下限制对其个人数据的处理；

数据迁移权：以结构化、常用和机器可读的格式接收其个人数据，并有权将这些数据传输给另一个控制者。#### 4. 数据控制者和处理者的义务GDPR 对数据控制者和处理者规定了以下义务：

合法性、公平性和透明度：以合法、公平和透明的方式处理个人数据；

目的限制：仅将个人数据用于特定、明确和合法的目的；

数据最小化：仅收集和处理实现处理目的所需的个人数据；

准确性：确保个人数据的准确性和最新性；

存储限制：仅在实现处理目的所需的时间内存储个人数据；

完整性和机密性：采取适当的技术和组织措施，保护个人数据免遭未经授权的访问、使用、披露、更改或破坏。#### 5. 数据保护影响评估 (DPIA)对于可能对个人权利和自由构成高风险的处理活动，数据控制者必须进行数据保护影响评估 (DPIA)。 DPIA 应评估处理活动的必要性和相称性，以及对个人权利和自由构成的风险。#### 6. 数据泄露通知如果发生可能损害个人权利和自由的数据泄露事件，数据控制者必须在 72 小时内通知监管机构。如果数据泄露事件可能对个人权利和自由构成高风险，数据控制者还必须通知受影响的个人。#### 7. 处罚违反 GDPR 的组织可能会面临高达 2000 万欧元或其全球年营业额 4% 的罚款，以较高者为准。### 总结GDPR 是一项重要的数据保护法案，它对组织如何收集、使用和保护个人数据产生了重大影响。组织必须了解其在 GDPR 下的义务，并采取必要的步骤以确保合规性。

一般数据保护条例 (GDPR)

简介一般数据保护条例 (GDPR) 是欧盟于 2016 年 4 月通过并于 2018 年 5 月开始生效的数据保护法案。它取代了 1995 年的数据保护指令，旨在协调整个欧盟的个人数据保护法律，赋予个人对其个人数据的更多控制权。GDPR 不仅适用于欧盟内的组织，也适用于向欧盟公民提供商品或服务的组织，无论其地理位置如何。

主要内容

1. 适用范围GDPR 适用于：* 在欧盟境内运营的组织； * 在欧盟境外运营但处理欧盟居民个人数据的组织； * 处理与在欧盟境内提供的商品或服务相关的个人数据的组织，无论付款是否发生。

2. 个人数据的定义GDPR 将个人数据定义为与已识别或可识别的自然人（“数据主体”）相关的任何信息，例如：* 姓名、地址、身份证号码； * 位置数据、IP 地址； * 种族、政治观点、宗教信仰； * 健康数据、遗传数据、生物识别数据。

3. 数据主体权利GDPR 赋予数据主体以下权利：* 知情权：了解其个人数据如何被收集、使用和保护； * 访问权：访问其个人数据； * 更正权：要求更正不准确或不完整的个人数据； * 删除权 (“被遗忘权”)：在特定情况下要求删除其个人数据； * 限制处理权：在特定情况下限制对其个人数据的处理； * 数据迁移权：以结构化、常用和机器可读的格式接收其个人数据，并有权将这些数据传输给另一个控制者。

4. 数据控制者和处理者的义务GDPR 对数据控制者和处理者规定了以下义务：* 合法性、公平性和透明度：以合法、公平和透明的方式处理个人数据； * 目的限制：仅将个人数据用于特定、明确和合法的目的； * 数据最小化：仅收集和处理实现处理目的所需的个人数据； * 准确性：确保个人数据的准确性和最新性； * 存储限制：仅在实现处理目的所需的时间内存储个人数据； * 完整性和机密性：采取适当的技术和组织措施，保护个人数据免遭未经授权的访问、使用、披露、更改或破坏。

5. 数据保护影响评估 (DPIA)对于可能对个人权利和自由构成高风险的处理活动，数据控制者必须进行数据保护影响评估 (DPIA)。 DPIA 应评估处理活动的必要性和相称性，以及对个人权利和自由构成的风险。

6. 数据泄露通知如果发生可能损害个人权利和自由的数据泄露事件，数据控制者必须在 72 小时内通知监管机构。如果数据泄露事件可能对个人权利和自由构成高风险，数据控制者还必须通知受影响的个人。

7. 处罚违反 GDPR 的组织可能会面临高达 2000 万欧元或其全球年营业额 4% 的罚款，以较高者为准。

总结GDPR 是一项重要的数据保护法案，它对组织如何收集、使用和保护个人数据产生了重大影响。组织必须了解其在 GDPR 下的义务，并采取必要的步骤以确保合规性。