?
GDPR培訓與咨詢,GDPR技術解讀
大綱
l?1、GDPR概述
l?2、GDPR基本內容
l?3、技術解讀
幻燈片3
GDPR是什么
l?GDPR是關于自然人的個人數據處理和個人數據流動的法律
l?設定個人數據處理和個人數據流動的原則
l?規定各相關方(數據主體、數據控制者、數據處理者)的權利、義務以及違法責任
l?設置執法機構并賦予權力
l?
l?是對當前《數據保護指令》的改革
l?
l?直接適用于歐盟成員國及部分歐盟境外實體
l?
?
幻燈片4
GDPR的發展史
1950-歐洲人權公約:私人、家庭生活權利
?
1980-經合組織(OECD):隱私保護和個人數據自由流動
?
1981-斯特拉斯堡條約:保護個人數據
?
1995-95/ 46/EC指令:數據保護指令
?
2000-歐盟基本權利憲章:保護隱私和個人數據
?
2016-通用數據保護條例:GDPR 2016年5.25生效,2年寬限期
?
2018-通用數據保護條例:GDPR 2018年5.25全面實施95/ 46/EC指令廢除
?
?
幻燈片5
條例VS 指令
針對對象法規有效性
指令每個成員國而不是當事人(組織或者機構)發布后通常給與成員國一定的時限,成員國有權選擇并決定適合自己意圖的形式和手段,并以國家法律法規形式的將歐盟指令落實到本國法規系統后方對具體的當事人(組織或者機構)發生法律效應
條例無論成員國,還是當事人(組織或者機構)一經發布立即生效,無須經過歐盟成員國內以國家法律法規形式的落實措施,即條例無論對于成員國還是當事人(組織或者機構)具備同等法律效應
?
幻燈片6
GDPR概覽
GDPR
?
99條法章、173條法規:①?11章節,99條法章
??????????????????????② 9個主題, 173條法則
?
2塊模型:①?9個用戶權益
?????????② 9個控制者和處理者職責
?
幻燈片7
GDPR適用范圍
????來源:《通用數據保護條例》(歐盟)2016 第2條
本條例適用于:
全自動個人數據處理、半自動個人數據處理,以及形成或旨在形成用戶畫像的非自動個人數據處理。
?
本條例不適用以下情形:
(a)歐盟法管轄之外的活動中所進行的個人數據處理;
(b)自然人在純粹個人或家庭活動中所進行的個人數據處理;
(c)有關主管部門為預防、調查、偵查、起訴刑事犯罪、執行刑事處罰、防范及預防公共安全威脅而進行的個人數據處理。
案例:
Q:德國慕尼黑大學計算機學院學生Paul為自己開發了一款記賬軟件,主要記錄每個月的消費,如日常用餐,購物等消費;此場景下Paul開發的記賬軟件適用于GDPR嗎?
A:不適用。GDPR不適用于自然人在純粹個人或家庭活動中所進行的個人數據處理。
?
?
幻燈片8
GDPR適用區域
????來源:《通用數據保護條例》(歐盟)2016 第3條
1.本例適用于在歐盟內部設立的數據控制者或處理者對個人數據的處理,不論其實際數據處理行為是否在歐盟內進行。
2.本條例適用于如下相關活動中的個人數據處理,即使數據控制者或處理者不在歐盟設立:
(a)為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;或
(b)對發生在歐洲范圍內的數據主體的活動進行監控。
3.本條例適用于在歐盟之外設立,但基于國際公法成員國的法律對其有管轄權的數據控制者的個人數據處理。
?GDPR適用于EEA(European Economic Area,歐洲經濟區):歐盟28國,再加上冰島、挪威、列支敦士登(位于瑞士和奧地利之間,面積160.5平方公里),共31個成員國構成。
歐盟28國包括:奧地利、比利時、保加利亞、塞浦路斯、克羅地亞、捷克共和國、丹麥、愛沙尼亞、芬蘭、法國、德國、希臘、匈牙利、愛爾蘭、意大利、拉脫維亞、立陶宛、盧森堡、馬耳他、荷蘭、波蘭、葡萄牙、羅馬尼亞、斯洛伐克、斯洛文尼亞、西班牙、瑞典、英國。
?
幻燈片9
大綱
l?1、GDPR概述
l?2、GDPR基本內容
l?3、技術解讀
?
?
?
幻燈片10
隱私
隱私(“ the right to be left alone”)
?
信息系統涉及的隱私保護主要聚焦在“個人數據”
物理空間:搜查、搜身、監視、采集生物信息……
個人數據:姓名、電話號碼、IP地址、位置信息……
?
?
