三分钟告诉你GDPR-《通用数据保护规范》？

1、什么是GDPR？

       欧盟议会于2016年4月通过了GDPR新规，用于取代1995年发布的过时的数据保护指令（DPD）。新的指令完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有公民（欧洲经济区公民）数据的公司必须存储安全和管理个人数据的方式。 

        此外，GDPR新规是在28个欧盟成员国统一实施生效的，这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。但是，GDPR的合规要求是相当高的，需要大多数企业投入大量的人力、财力才能得以实现。
        根据Ovum公司提供的调查报告显示，52%的受访IT决策者预计GDPR将会“导致他们公司受到罚款”；三分之二的受访者认为这将“迫使他们改变欧洲业务战略”；超过70%的受访者预计会增加开支来满足数据保护要求，同时，超过30%的受访者预计在未来两年预算将会增加超过10%；甚至有高达85%的受访者认为GDPR将使其在与欧盟公司的竞争中处于劣势。

2、GDPR新规将影响哪些企业？

        任何存储或处理欧盟国家内有关欧盟公民个人信息的公司，即使在欧盟境内没有业务存在，也必须遵守GDPR。有关必须遵守GDPR新规的公司的具体标准如下所示：
     a、在欧盟境内拥有业务；
     b、在欧盟境内没有业务，但是存储或处理欧盟公民的个人信息；
     c、超过250名员工；
     d、少于250名员工，但是其数据处理方式影响数据主体的权利和隐私，或是包含某些类型的敏感个人数据。
这也就意味着，GDPR新规几乎适用于所有的公司。普华永道提供的调查结果显示，92％的美国公司认为GDPR将成为最重要的数据保护措施。

3、GDPR新规截止实施时间？

公司必须在2018年5月25日之前遵守GDPR新规要求。

4、组织是否必须指定数据保护人员遵守GDPR？

       GDPR引入了具体术语来定义组织内的角色和责任，包括数据控制员（Data controller）、数据处理员（Data processor）以及数据保护员（Data Protection Officer，简称DPO）。其中数据控制员（Data controller）定义了个人数据的处理方式和目的，此外，控制员还负责确保外部承包商能够遵守相关规定。
       数据处理员(Data processor)可以是维护和处理个人数据记录的内部团体（如业务分析师或开发商的直接雇员），也可以是执行全部或部分这些活动的任何外部服务提供商（如信用评级机构等）。
       GDPR新规要求数据处理员为违规和不遵守规定的行为负责。那么也就是说，即便事故责任完全在负责数据处理的合作伙伴一方（如云服务提供商），你的公司和该合作伙伴也可能会同时受到处罚。
        此外，GDPR还要求控制员和处理员指定一个数据保护员(DPO)来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定名DPO。DPO主要负责就GDPR规定提供咨询意见，向最高管理层报告。

5、完成GDPR合规要求所需成本？

         根据普华永道的调查数据显示，68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规性要求；另有9%的企业预计将花费超过1000万美元。

6、如果企业没有满足GDPR的合规性要求将导致什么后果？

           每一单GDPR违规行为将受到高达2000万欧元的严重处罚，或者上一年全球年营业额的4％，以较高者为准。根据Ovum公司提供的调查报告显示，52%的受访IT决策者预计他们会因为违规行为而面临罚款。管理咨询公司奥利弗·怀曼（Oliver Wyman）预测，欧盟在第一年可能会收到高达60亿美元的罚款金额。
           目前，一个悬而未决的问题是如何对惩罚进行评估。例如，一个对个人影响最小的违规行为，和一个因暴露个人识别信息（PII）而对个人造成实际损失的违规行为之间的惩罚力度是否存在区别？目前，普遍认知的见解是，监管部门将迅速对一些早期发现不合规的企业采取行动发出一份不合规信息通知。然后，组织就能够更好地评估一旦发生不合规的情况会产生什么后果。

7、哪些类型的隐私数据将受到GDPR保护？

         a、基本的身份信息，如姓名、地址和身份证号码等；
         b、网络数据，如位置、IP地址、Cookie数据和RFID标签等；
         c、医疗保健和遗传数据；
         d、生物识别数据，如指纹、虹膜等；
         e、种族或民族数据；
         f、政治观点；
         g、性取向。

8、GDPR的哪些合规要求将影响你的公司？

           GDPR的合规要求将迫使美国企业改变他们处理、存储和保护用户个人数据的方式。例如，根据GDPR的要求，组织在要求个人资料时将被要求使用“简明语言”，并且必须提供有关它们如何处理的信息。他们必须说出他们是谁，他们为什么要处理数据，谁接收到它，以及它将被存储多长时间。他们必须让个人明确，并肯定地同意处理数据。
            此外，GDPR还要求数据管理员采取合理步骤，确保参与数据共享的第三方删除，扩大了被删除的权利。这一项也被称为“被遗忘的权利”。 有几项合规要求还将对企业的安全团队产生直接影响。其一就是公司必须能够为欧盟公民提供“合理的”数据安全和隐私保护，但是对于“合理的”具体标准，GDPR并没有进行明确规定。
            而对于企业来说，其中最具挑战性的合规要求应该是，公司必须在发现违规事件的72小时内，向监管当局和受到违规事件影响的个人通报数据违规行为。执行影响评估的另一个要求是，通过识别漏洞以及制定漏洞解决方案来帮助减轻漏洞导致的安全风险。