GDPR欧盟通用数据保护条例

面对国内外日益完善的个人隐私立法，企业如何才能做到合规？SGS凭借全球资源对欧盟GDPR以及各国个人数据、隐私保护法规、标准的进行解读，积累了一定的研究成果。

我们愿与企业一道，识别与企业自身活动相关的个人数据状况、隐私保护风险与差距，并找出应对方法，为企业的合规经营保驾护航。

《通用数据保护条例》(GDPR)于2016年4月27日在欧盟官方刊物上发表。暂缓期为二年，于2018年5月25日正式生效。

GDPR旨在:
 确立个人数据的保护是人权；
 定义个人数据保护的原则和规章；
 加强产品或服务提供者与他们所服务的人之间的信任。

个人的7个数据权利
GDPR的核心内容是确立在处理个人资料的七项个人权利。任何正在处理这些数据的组织都需要确保这些权利得到保护。处理在GDPR中被定义为任何自动或手动操作，如收集、记录、组织、结构、存储、调整或变更、检索、咨询、使用、传输披露、传播或以其他方式提供、排列或组合、限制、删除或销毁。（如下图）

GDPR包含以下内容:
 组织的需求（欧盟代表处，数据保护主任，同意记录之存档，合同要求等）；
 个人的7个数据权利；
 认证方案；
 成员国监督；
 建立欧盟数据保护委员会；
 其他法律程序。

GDPR对您的经营有影响吗？如果您的企业：

备注：GDPR适用于不论国籍或公民资格的欧盟境内人士。无论处理或存储位置，它适用于任何相关的活动或事务。

举例说明
假设一家中国香港的零售商，在德国的一家商店里提供量身定制的设计服装，顾客也可以通过其商店的网站加入他们的会员计划。该网站的服务器位于中国香港。在GDPR之下，商店客户的个人资料（姓名、地址、体型等）应该默认存储在欧盟，他们的网站应该构建在一个欧盟服务器，除非商店收到德国法定机构——德国信息专员办公室的批准，所有的GDPR规定应当执行。此外，如果在未来，中国香港的零售商改变它的商业模式，决定关闭德国零售商店并依赖于德国当地经销商获得定制订单，中国香港的零售商仍需要执行其GDPR义务，因为他们将处理从德国经销商那里获得的个人数据。

为了应对及符合GDPR，您应立即：
1. 任命一名数据保护主任。（第三十七条）
2. 培训您的员工。（第四十七条）
3. 识别在您的组织的个人资料及相关处理活动。（第三十条）
4. 确定个人的7个数据权利的处理方案。（第15-22条）
5 .确定您的公司在欧盟的主要办事处，从而确定带头的监督机构。（第四条）
6. 如果您没有在欧盟设立任何机构，您仍然需要一个驻欧盟代表（第二十七条）。然而，在这种情况下，从欧盟第二十九条数据保护工作组的澄清文件wp244点2.2中，将没有带头的监督机构。然后公司将需要遵守所有适用的监督机构的规定。
7. 证明合规。（第5.2、24.3条）

作为国际公认的检验、鉴定、测试和认证机构，SGS在IT信息安全领域的解决方案，覆盖范围广泛；并致力于为各行业机构提供全方位管理提升服务，内容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培训、认证和审核相关服务。

1、ISO22301认证
2、ISO/IEC27001信息安全管理体系认证
3、ISO/IEC20000认证
4、ISO/IEC27017认证&ISO/IEC27018认证
5、ISO/IEC27701
6、CSA STAR
7、TISAX