什么是GDPR 通用數據保護條例

面對國內外日益完善的個人隱私立法，企業如何才能做到合規？***憑借全球資源對歐盟GDPR以及各國個人數據、隱私保護法規、標準的進行解讀，積累了一定的研究成果。

我們愿與企業一道，識別與企業自身活動相關的個人數據狀況、隱私保護風險與差距，并找出應對方法，為企業的合規經營保駕護航。

《通用數據保護條例》(GDPR)于2016年4月27日在歐盟官方刊物上發表。暫緩期為二年，于2018年5月25日正式生效。

GDPR旨在:
 確立個人數據的保護是人權；
 定義個人數據保護的原則和規章；
 加強產品或服務提供者與他們所服務的人之間的信任。

個人的7個數據權利
GDPR的核心內容是確立在處理個人資料的七項個人權利。任何正在處理這些數據的組織都需要確保這些權利得到保護。處理在GDPR中被定義為任何自動或手動操作，如收集、記錄、組織、結構、存儲、調整或變更、檢索、咨詢、使用、傳輸披露、傳播或以其他方式提供、排列或組合、限制、刪除或銷毀。（如下圖）

GDPR包含以下內容:
 組織的需求（歐盟代表處，數據保護主任，同意記錄之存檔，合同要求等）；
 個人的7個數據權利；
 認證方案；
 成員國監督；
 建立歐盟數據保護委員會；
 其他法律程序。

GDPR對您的經營有影響嗎？如果您的企業：

備注：GDPR適用于不論國籍或公民資格的歐盟境內人士。無論處理或存儲位置，它適用于任何相關的活動或事務。

舉例說明
假設一家中國香港的零售商，在德國的一家商店里提供量身定制的設計服裝，顧客也可以通過其商店的網站加入他們的會員計劃。該網站的服務器位于中國香港。在GDPR之下，商店客戶的個人資料（姓名、地址、體型等）應該默認存儲在歐盟，他們的網站應該構建在一個歐盟服務器，除非商店收到德國法定機構——德國信息專員辦公室的批準，所有的GDPR規定應當執行。如果在未來，中國香港的零售商改變它的商業模式，決定關閉德國零售商店并依賴于德國當地經銷商獲得定制訂單，中國香港的零售商仍需要執行其GDPR義務，因為他們將處理從德國經銷商那里獲得的個人數據。

為了應對及符合GDPR，您應立即：
1. 任命一名數據保護主任。（第三十七條）
2. 培訓您的員工。（第四十七條）
3. 識別在您的組織的個人資料及相關處理活動。（第三十條）
4. 確定個人的7個數據權利的處理方案。（第15-22條）
5 .確定您的公司在歐盟的主要辦事處，從而確定帶頭的監督機構。（第四條）
6. 如果您沒有在歐盟設立任何機構，您仍然需要一個駐歐盟代表（第二十七條）。在這種情況下，從歐盟第二十九條數據保護工作組的澄清文件wp244點2.2中，將沒有帶頭的監督機構。公司將需要遵守所有適用的監督機構的規定。
7. 證明合規。（第5.2、24.3條）

作為國際公認的檢驗、鑒定、測試和認證機構，***在IT信息安全領域的解決方案，覆蓋范圍廣泛；并致力于為各行業機構提供全方位管理提升服務，內容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓、認證和審核相關服務。

1、ISO22301認證
2、ISO/IEC27001信息安全管理體系認證
3、ISO/IEC20000認證
4、ISO/IEC27017認證&ISO/IEC27018認證
5、ISO/IEC27701
6、CSA STAR
7、TISAX