GDPR符合性对欧盟竞争至关重要

2018年，欧盟(EU)颁布了《通用数据保护条例》(General Data Protection Regulation, GDPR)，可以说是世界上最强有力的数据保护法规。现在我们开始看到影响了——在2019年，欧盟对违反GDPR规定的公司处以超过4.77亿美元的罚款。

虽然这项法规似乎只关注欧洲及其公民，但这项立法的整体影响和影响遍及全世界，尤其是对那些在欧洲提供商品和服务的组织，无论其国籍或原籍国。除了行政罚款外，侵犯GDPR权利的公司还可能因侵犯GDPR而向数据主体赔偿物质或非物质损害。

遵从性策略至关重要

对于在欧洲运营的制药和医疗设备制造商来说，实施和维护一个可持续的GDPR计划是非常必要的。理想情况下，您已经开始了该流程，因为它的范围很大，可能需要几年时间才能完成，这取决于您公司处理个人信息的现有流程。

为了取得成功，您应该围绕GDPR规定中概述的数据主体的权利，特别是与数据收集过程的收集和植入相关的权利，构建遵从性框架。在新法规的背景下，数据控制器和数据处理器有关键的责任和义务。明确你们的数据保护实践，这涉及保护对数据的未经授权的访问(即技术)，而数据隐私属于法律领域，例如，GDPR或加拿大的个人信息保护和电子文档法案(PIPEDA)。

风险评估、质量保证和审计将在您的隐私和数据保护程序的建立和持续实施中发挥重要作用。请记住，GDPR是整个组织的共同责任，因此请确保:

• 与内部和外部的利益相关者合作
• 找到符合组织需求的系统和工具
• 在适当的地方利用您现有的系统和过程
• 站在全球的角度

知道的术语

了解立法中使用的一些关键术语和概念是很重要的:

个人资料是与个人或“数据主体”相关的信息的广义术语，可用于直接或间接地识别此人。例如，一个人的姓名、地址或财务信息。相关:PI =个人信息;个人身份信息

生物识别数据是指通过与一个人的身体、生理或行为特征相关的特定技术处理而产生的个人数据，这些技术处理允许或确认该人的独特身份，例如面部图像或指纹数据。

数据控制器是一个法律实体，它单独或与他人共同决定处理任何个人资料的目的及处理该等资料的方式。

数据处理器是具有GDPR所定义的特定职责的第三方。它们代表数据控制器处理数据，包括IT服务提供商和处理数据的其他类型的供应商。

数据处理是对个人数据的自动或手动操作，如收集、组织或记录。为了在GDPR下合法处理个人数据，企业必须为这一行动确定一个合法的基础。

同意是欧盟数据保护法的基础概念。一般而言，这通知资料当事人，以及为收集及处理个人资料而须取得该资料当事人的许可的必要性。

数据保护机构(DPA)是每个国家的国家权威机构，负责保护数据和隐私，以及实施和执行数据保护法。例如，法国有国家信息委员会Libertés (CNIL)，德国有联邦beauftragter für den Datenschutz und die Informationsfreiheit (BfD)。

数据保护官员(DPO)是指在企业内正式负责数据保护合规的人员。DPO的主要职责是确保其组织按照适用的资料保护规则处理其员工、客户、供应商或任何其他个人(亦称为资料当事人)的个人资料。一些，但不是所有的组织被要求指定一个DPO。

结合公司规则(BCRs)是指在欧盟设立的公司所遵守的资料保护政策，用以将个人资料在欧盟以外的一组事业或企业内转移。此类规则必须包括所有一般数据保护原则和可强制执行的权利，以确保对数据传输采取适当的保障措施。它们必须具有法律约束力，并由团体的每个成员强制执行。

跨境处理时处理个人数据的控制器或处理器建立在多个成员国,以及数据处理发生在多个成员国,或处理活动发生在一个建立在欧盟,但是影响数据对象从多个成员国。

处理活动记录(RoPA)是维护书面文件和个人数据处理和使用程序概述的义务。处理活动的记录必须包括关于数据处理的重要信息，包括数据类别、数据主体的组、处理的目的和数据接受者。这必须在当局要求时提供。

数据保护影响评估(DPIA)是GDPR要求的，任何时候您开始一个可能对其他人的个人信息有“高风险”的新项目。作为“设计保护”原则的一部分，DPIA是一个新的GDPR要求，其要求如下:

• 使用新技术
• 跟踪人们的位置或行为
• 对公共场所进行大规模系统监控
• 处理与"种族或民族出身、政治观点、宗教或哲学信仰或工会成员身份有关的个人数据，以及为唯一确定自然人身份而处理遗传数据、生物特征数据、有关健康的数据或有关自然人性生活或性取向的数据"
• 数据处理被用于对可能产生法律(或类似重大)影响的人进行自动决策
• 处理孩子的数据
• 如果数据被泄露，可能会对数据主体造成物理伤害的处理

违反个人资料指对安全的破坏导致意外或非法的破坏、丢失、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。在个人数据被泄露的情况下，机构必须向监管机构报告个人数据被泄露的情况，除非该个人数据被泄露不会对人们的权利和自由造成威胁。未在72小时内通知监察机关的，须说明延迟的原因。

理解个人权利

许多人认为，消费者拥有的与个人数据有关的八项权利是新法规的关键目标之一。资料当事人可通过这些权利提出具体要求，并可确保其个人资料不会被不当收集、分享或误用于其最初提供的合法目的以外的任何其他用途。权利如下:

1.知情权具体规定公司和组织需要告知个人正在收集什么数据、如何使用数据、将保存多长时间以及是否将与其他各方共享数据。在收集数据之前，这些信息必须用简单明了的语言简明扼要地传达。

2.访问权规定个人可以提交主题查阅请求，这就要求组织提供它们所持有的有关该个人的任何个人资料的副本。这项权利使资料当事人有权查阅其正在处理的个人资料，包括取得副本。公司可以根据管理费用收取合理的费用。如资料当事人以电子方式提出要求，除资料当事人另有要求外，资料须以常用的电子形式提供。

3.正确的改正容许资料当事人在认为该等个人资料并非最新或不准确的情况下，要求修改其个人资料。

4.被遗忘的权利也被称为“擦除权”，允许数据主体要求删除(擦除)其数据。需要注意的是，这并不是一项绝对的权利。可能还涉及到其他依赖关系，如公司的保留时间表/期限和其他适用法律法规的要求。

5.限制加工权意味着数据对象可以请求组织限制的方式使用他/她的个人资料(这可能成为另一个请求的数据擦除,和个人比赛时可能会使用他们的个人资料的准确性或当他们不再需要的信息,但该公司需要建立,行使或辩护合法的要求)。

6.数据可携性权利确保资料当事人有能力要求转移其个人资料。作为该等要求的一部分，资料当事人可要求将他或她的个人资料提供回(给他或她)或转移给另一个资料控制人。数据传输应以常用的电子格式提供。

7.正确的对象表示资料当事人有权在任何时候，反对根据合法利益或根据行使官方权力而执行某项任务而收集的个人资料的处理。数据控制人不能再处理该个人数据，除非该数据控制人证明该处理具有压倒数据主体的利益、权利和自由的令人信服的合法理由，或为建立、行使或辩护法律索赔。

8.与自动决策制定和分析相关的权利为无需人工参与的决策提供条款，例如使用个人数据对个人做出计算假设的profiling。数据主体有能力反对基于自动处理的决策。例如，使用这项权利，如果客户认为在某些情况下可能需要人为干预决策过程，则可以要求对其请求进行手动审核。

结论

消费者生活的几乎每个方面都与数据有关，包括智能手机、信用卡和借记卡、数字身份、社交媒体和政府身份;基本上每一项商品和服务的使用都涉及个人数据的收集和分析。

数字数据是未来的趋势，随着大量数据被收集和存储，数据泄露变得不可避免。GDPR旨在反映我们现在所生活的世界。

我们需要将关于个人数据、隐私和同意的法律纳入当前和未来的计划。毕竟，技术创新不是静态的，这一点从不断增长的数据保护行业就可以明显看出。举个例子，在美国，有14个州正在等待法案来加强对其居民的隐私保护，我们应该期待这种趋势在全球范围内继续下去。企业必须能够制定计划，使其在商业中具有弹性。

想知道更多关于GDPR遵守的信息吗?现在Actalent联系。