通用数据保护条例体系认证对企业的好处 办理流程

本公司只提供咨询服务！

欧盟议会于2016年4月14日通过的《通用数据保护条例（General Data Protection Regulations）》（“GDPR”）将于2018年5月25日在欧盟成员国内正式生效实施。该条例的适用范围为广泛，任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人的机构组织均受该条例的约束。比如，即使一个主体不属于欧盟成员国的公司（包括服务），只要满足下列两个条件之一：

（1）为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。

（2）为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息，其就受到GDPR的管辖。

什么是个人敏感数据？

根据GDPR，涉及以下一种或一种以上类别的个人数据视为敏感数据:

1.种族或民族出身

2.政治观点

3.宗教/哲学信仰

4.工会成员身份

5.涉及健康、性生活或性取向的数据

6.基因数据（新）

7.经处理可识别特定个人的生物识别数据（新）

除目前个人敏感数据明确包括基因数据和生物识别数据外，上述类别大致与DPA中的类别相似。此外，根据GDPR，处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理，使其能够识别或认证特定自然人时，照片才被认为是生物识别数据。

根据GDPR，敏感数据的处理仅在下列例外情况下才被允许：

1. 数据主体明示同意。该等同意应当是自由作出的，特定的，知情的且明确的（参见2017年2月的业务通讯）。需要注意的是，雇主对员工医疗数据的处理（包括药物或酒精测试）不能以员工的同意为依据。这是因为，考虑到双方的层级关系，这种同意不被视为是自由作出的。

2. 在劳动法、社会**法或社会保护法领域，雇主对此类数据的处理必须在欧盟或成员国法律或集体协议授权的范围内进行。

3. 在数据主体因为身体上或法律上的原因（紧急情况）不能作出同意时，为保护数据主体或他人的重大利益之目的所必需的处理。

4. 处理是由具有政治、哲学、宗教或工会目的的非营利团体进行的，并且该等处理仅涉及团体成员或前成员，同时，相关数据在未经数据主体同意的情况下不会向三方披露。

5. 涉及已由数据主体公开的个人数据的处理。

6. 为合法诉求的成立、行使或抗辩或法院行使其**职能之目的所必需的处理。

7. 根据欧盟或成员国的法律，为重大公共利益所必需的处理。该处理所追求的目的应当是适当的，且包含合理的数据保护措施。

8. 根据欧盟或成员国的法律或与医疗人士的合同，为预防医学或职业医学，为评估雇员的工作能力，医疗诊断，提供卫生或社会保健或或卫生社会保健系统和服务管理之目的所必需的处理。

9. 根据欧盟或成员国法律规定以适当的、特定的措施**数据主体的权利和自由，在公共健康领域中为公共利益之目的所必需的处理。例如抵御严重的跨境卫生威胁，或确保医疗保健和医药产品或医疗器械的高标准。

10. 根据欧盟或成员国法律，为公共利益，统计，科学或历史研究之目的所必需的处理。该处理所追求的目的应当是适当的，尊重数据保护的基本权利，并采取了适当的、特定的措施以**数据主体的基本权利和利益。

虽然在个人敏感数据的类型和数据处理的依据方面基本复制了DPA，但GDPR仍带来了新的变化。

2018年5月25日，欧洲联盟出台了《通用数据保护条例》。

对违法企业的罚金高可达2000万欧元（约合1.5亿元人民币）或者其**营业额的4%，以高者为准。

网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录，并获得用户的同意，否则按“未告知记录用户行为”作违法处理。

企业不能再使用模糊、难以理解的语言，或冗长的隐私政策来从用户处数据使用许可。

明文规定了用户的“被遗忘权”（right to be forgotten），即用户个人可以要求责任方删除关于自己的数据记录。

经过三年多的讨论，欧盟通用数据保护条例或GDPR框架终于达成共识。该指令将取代当前的1998年数据保护法。与大多数重大立法变一样，该变不会立即实施，并且可能在2018年上半年强制实施。GDPR的主要目的是让个人对自己的个人数据有多的控制权，对处理它的公司施加严格的规定并确保公司采用新技术来处理大量涌入的数据。

地域范围
1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。
2. 本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：
(a) 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或
(b) 是对数据主体发生在欧盟内的行为进行的监控的。
3. 本法适用于设立在欧盟之外，但依据公法欧盟成员国法律可适用地的控制者对个人数据的处理。

与个人数据处理相关的原则
1. 个人数据应：
(a) 以合法、公正、透明的方式处理与数据主体有关的（“合法性、公平性和透明性”）;
(b) 为特定的、明确的、合法的目的收集，并且不符合以上目的不得以一定的方式进行进一步的处理；为公共利益、科学，或历史研究目的，或统计目的而进一步处理，按照89条（1）款，不应被视为不符合初始目的（“目的限制”）；
(c) 充分、相关以及以该个人数据处理目的之必要为限度进行处理（“数据小化”）； 
(d) 准确，必要，及时；为了个人数据被毫不延迟地处理、删除或修正的目的，必须采取一切合理的步骤确保个人数据是不的（“精度”）；
(e) 在不过个人数据处理目的之必要的情形下，允许以数据主体以可识别的形式保存；为了保护数据主体的权利和自由，依据89条（1）予以实施本法所要求的适度的技术和组织措施，只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理，个人数据能被长时间存储（“存储限制”）。
(f) 以确保个人数据适度的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）。

广东昊霖信息络科技有限公司是一家家专注于认证的一站式互联网+认证咨询服务公司，基于客户和合作伙伴的认可与信赖，我们了的发展,服务项目已经覆盖体系认证、产品认证、食品认证、高新认证及资质等100多种国内外认证项目。为客户简化条件、缩短时间、节省费用。在短的时间内，在合理的预算内，为客户提供的解决方案！如有需要欢迎联系。公司愿与诸君共同携手创造加灿烂辉煌的金色未来。