?
GDPR培訓(xùn)與咨詢,GDPR技術(shù)解讀
大綱
l?1、GDPR概述
l?2、GDPR基本內(nèi)容
l?3、技術(shù)解讀
幻燈片3
GDPR是什么
l?GDPR是關(guān)于自然人的個人數(shù)據(jù)處理和個人數(shù)據(jù)流動的法律
l?設(shè)定個人數(shù)據(jù)處理和個人數(shù)據(jù)流動的原則
l?規(guī)定各相關(guān)方(數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者)的權(quán)利、義務(wù)以及違法責(zé)任
l?設(shè)置執(zhí)法機構(gòu)并賦予權(quán)力
l?
l?是對當(dāng)前《數(shù)據(jù)保護(hù)指令》的改革
l?
l?直接適用于歐盟成員國及部分歐盟境外實體
l?
?
幻燈片4
GDPR的發(fā)展史
1950-歐洲人權(quán)公約:私人、家庭生活權(quán)利
?
1980-經(jīng)合組織(OECD):隱私保護(hù)和個人數(shù)據(jù)自由流動
?
1981-斯特拉斯堡條約:保護(hù)個人數(shù)據(jù)
?
1995-95/ 46/EC指令:數(shù)據(jù)保護(hù)指令
?
2000-歐盟基本權(quán)利憲章:保護(hù)隱私和個人數(shù)據(jù)
?
2016-通用數(shù)據(jù)保護(hù)條例:GDPR 2016年5.25生效,2年寬限期
?
2018-通用數(shù)據(jù)保護(hù)條例:GDPR 2018年5.25全面實施95/ 46/EC指令廢除
?
?
幻燈片5
條例VS 指令
針對對象法規(guī)有效性
指令每個成員國而不是當(dāng)事人(組織或者機構(gòu))發(fā)布后通常給與成員國一定的時限,成員國有權(quán)選擇并決定適合自己意圖的形式和手段,并以國家法律法規(guī)形式的將歐盟指令落實到本國法規(guī)系統(tǒng)后方對具體的當(dāng)事人(組織或者機構(gòu))發(fā)生法律效應(yīng)
條例無論成員國,還是當(dāng)事人(組織或者機構(gòu))一經(jīng)發(fā)布立即生效,無須經(jīng)過歐盟成員國內(nèi)以國家法律法規(guī)形式的落實措施,即條例無論對于成員國還是當(dāng)事人(組織或者機構(gòu))具備同等法律效應(yīng)
?
幻燈片6
GDPR概覽
GDPR
?
99條法章、173條法規(guī):①?11章節(jié),99條法章
??????????????????????② 9個主題, 173條法則
?
2塊模型:①?9個用戶權(quán)益
?????????② 9個控制者和處理者職責(zé)
?
幻燈片7
GDPR適用范圍
????來源:《通用數(shù)據(jù)保護(hù)條例》(歐盟)2016 第2條
本條例適用于:
全自動個人數(shù)據(jù)處理、半自動個人數(shù)據(jù)處理,以及形成或旨在形成用戶畫像的非自動個人數(shù)據(jù)處理。
?
本條例不適用以下情形:
(a)歐盟法管轄之外的活動中所進(jìn)行的個人數(shù)據(jù)處理;
(b)自然人在純粹個人或家庭活動中所進(jìn)行的個人數(shù)據(jù)處理;
(c)有關(guān)主管部門為預(yù)防、調(diào)查、偵查、起訴刑事犯罪、執(zhí)行刑事處罰、防范及預(yù)防公共安全威脅而進(jìn)行的個人數(shù)據(jù)處理。
案例:
Q:德國慕尼黑大學(xué)計算機學(xué)院學(xué)生Paul為自己開發(fā)了一款記賬軟件,主要記錄每個月的消費,如日常用餐,購物等消費;此場景下Paul開發(fā)的記賬軟件適用于GDPR嗎?
A:不適用。GDPR不適用于自然人在純粹個人或家庭活動中所進(jìn)行的個人數(shù)據(jù)處理。
?
?
幻燈片8
GDPR適用區(qū)域
????來源:《通用數(shù)據(jù)保護(hù)條例》(歐盟)2016 第3條
1.本例適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理,不論其實際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行。
2.本條例適用于如下相關(guān)活動中的個人數(shù)據(jù)處理,即使數(shù)據(jù)控制者或處理者不在歐盟設(shè)立:
(a)為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)——不論此項商品或服務(wù)是否要求數(shù)據(jù)主體支付對價;或
(b)對發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動進(jìn)行監(jiān)控。
3.本條例適用于在歐盟之外設(shè)立,但基于國際公法成員國的法律對其有管轄權(quán)的數(shù)據(jù)控制者的個人數(shù)據(jù)處理。
?GDPR適用于EEA(European Economic Area,歐洲經(jīng)濟(jì)區(qū)):歐盟28國,再加上冰島、挪威、列支敦士登(位于瑞士和奧地利之間,面積160.5平方公里),共31個成員國構(gòu)成。
歐盟28國包括:奧地利、比利時、保加利亞、塞浦路斯、克羅地亞、捷克共和國、丹麥、愛沙尼亞、芬蘭、法國、德國、希臘、匈牙利、愛爾蘭、意大利、拉脫維亞、立陶宛、盧森堡、馬耳他、荷蘭、波蘭、葡萄牙、羅馬尼亞、斯洛伐克、斯洛文尼亞、西班牙、瑞典、英國。
?
幻燈片9
大綱
l?1、GDPR概述
l?2、GDPR基本內(nèi)容
l?3、技術(shù)解讀
?
?
?
幻燈片10
隱私
隱私(“ the right to be left alone”)
?
信息系統(tǒng)涉及的隱私保護(hù)主要聚焦在“個人數(shù)據(jù)”
物理空間:搜查、搜身、監(jiān)視、采集生物信息……
個人數(shù)據(jù):姓名、電話號碼、IP地址、位置信息……
?
?
