一家零售客户上个月被罚款50万欧元,因为他们无法提供电子邮件营销列表的同意记录。这是一个可以通过简单清单避免的罚款。
## 什么是GDPR?
GDPR(通用数据保护条例)是欧盟的数据保护法。如果你处理欧盟居民的个人数据——无论你是否在欧盟——GDPR都适用于你。
## 为什么重要?
罚款最高可达2000万欧元或全球年收入的4%(以较高者为准)。2024年,总罚款达到27亿欧元。这不是理论上的——公司实际上正在支付。
## 15点合规清单
### 1. 数据清单 - 你收集什么个人数据? - 存储在哪里? - 谁有访问权限? - 保留多久?
### 2. 处理的合法依据 - 你是否有每个处理活动的同意? - 你能证明这种同意吗? - 是否有替代的合法依据(合同、合法利益)?
### 3. 隐私声明 - 你的隐私声明是否清晰易懂? - 它们是否涵盖所有数据处理活动? - 它们是否以适当的语言提供?
### 4. 数据主体权利 - 你能在30天内处理访问请求吗? - 你能处理删除请求吗? - 你能处理数据可携带请求吗?
### 5. 数据保护影响评估 - 你是否对高风险处理进行了DPIA? - 你是否有持续风险评估的流程?
### 6. 数据保护官 - 你需要DPO吗? - 如果需要,你的DPO是否独立且有资源?
### 7. 国际数据传输 - 你是否将数据传输到欧盟以外? - 你是否有适当的保障措施(SCC、充分性决定)?
### 8. 数据泄露通知 - 你能在72小时内检测到泄露吗? - 你是否有向当局和个人的通知流程?
### 9. 隐私设计 - 你是否从设计阶段就实施数据保护? - 默认设置是否对隐私友好?
### 10. 供应商管理 - 你是否与所有处理者签订了数据处理协议? - 你是否定期审计你的供应商?
### 11. 员工培训 - 所有员工是否都接受了GDPR培训? - 培训是否定期更新?
### 12. 处理活动记录 - 你是否维护有记录的ROPA? - 它是否保持最新?
### 13. 儿童数据 - 你是否处理儿童数据? - 如果是,你是否有家长同意机制?
### 14. 自动化决策 - 你是否使用影响个人的自动化决策? - 个人是否可以选择退出或要求人工审查?
### 15. 问责制 - 你能向监管机构证明合规吗? - 你是否有记录在案的政策和程序?
## 最佳实践
1. **从数据映射开始** - 你无法保护你不知道的东西。 2. **记录一切** - 监管机构要求的是证据,而不是承诺。 3. **自动化同意管理** - 手动跟踪容易出错。 4. **定期审查** - GDPR合规不是一次性的项目。
## 结论
GDPR合规很复杂,但上面的清单涵盖了要点。从数据映射和同意管理开始——这些是大多数罚款的来源。然后系统地完成其余部分。
## 常见问题
问:GDPR适用于非欧盟公司吗? 答:是的,如果你处理欧盟居民的个人数据。
问:我们需要DPO吗? 答:如果你是公共机构,或大规模处理敏感数据,是的。
问:我们应该多久审查一次合规性? 答:至少每年一次,以及每当你引入新的处理活动时。
想深入了解更多?探索[Protect 安全服務](/zh/products/protect)、[行業解決方案](/zh/solutions)或[取得安全評估](/zh/contact)。
