通用数据保护条例（GDPR）

GDPR 定义

GDPR 是通用数据保护条例的缩写，是针对欧盟 (EU) 和欧洲经济区 (EEA) 中个人公民的数据隐私法律。

GDPR 常见问题

什么是 GDPR？

通用数据保护条例 (GDPR) 是针对在欧盟范围内公民的一项欧洲数据保护法。GDPR 法规由欧洲议会于 2016 年 4 月制定，支持数据安全、数据处理和个人数据在 EU 以外的传输。

GDPR 法律的主要存在是为了让个人对其个人数据拥有控制权，同时通过在欧盟内设定统一的监管标准来简化国际商业的数据监管。GDPR 标准是对数据控制者（处理数据的组织）的要求，要求其采取适当的技术和组织措施来保护个人数据。例如，实施将数据处理工作流程中的保护措施，如假名化或完全匿名化、高隐私设置和知情同意。

什么是 GDPR 合规性？

任何收集、处理或存储欧盟公民个人数据的公司必须遵循严格的 GDPR 合规要求，否则将面临严厉的 GDPR 罚款。处理与 EU 内交易相关的公司或数据出口的安全团队对个人数据的保护和处理现在有着很高的期望。GDPR 数据保护官 (DPO) 是 GDPR 法律规定的企业安全领导角色，负责监督公司的数据保护战略，并确保遵守 GDPR 要求。

GDPR 文本留有很大的解释余地，指出公司需要提供“合理”的个人数据保护，但没有具体说明“合理”的确切定义。这为 GDPR 监督机构评估数据泄露和缺乏合规性所处的罚款留下了空间。

如何实现 GDPR 合规性

个人数据控制者应确保其公司在日常商业流程中实施严格的隐私保护措施和透明度以实现 GDPR 合规性。对于中小型企业来说，完全遵守 GDPR 要求可能是一项非常艰巨的任务。

为了使这一整合更容易，许多网站展示了像这个综合的 数据控制者合规清单。总体而言，该清单涵盖了数据控制者和 GDPR 数据保护官需要完成的任务，包括：

• 进行信息审计，以查看公司与数据相关的人员

• 在数据处理活动和隐私政策通知中创建透明度

• 将“隐私设计原则”确立为所有组织流程的基石

• 建立数据安全意识、评估和泄露的流程

• 指定对 GDPR 标准合规性的责任，赋予负责方评估和实施数据保护政策的权力

• 构建公司与任何涉及个人数据的第三方之间的协议

• 确保数据主体拥有完全的透明度、访问权及其公司所持有的信息的所有权利。

不合规的 GDPR 罚款是多少？

违反设定法规的公司或数据控制者可能面临 GDPR 处罚。各个成员国的监督机构遵循 10 条标准来确定不合规公司应承担的 GDPR 罚款金额（根据 gdpreu.org）：

• * 违反性质 – 受影响人数、他们遭受的损害、违反的持续时间和处理的目的

• 意图 – 违反是否是故意的或疏忽的

• 缓解 – 为减少对数据主体造成的损害所采取的措施

• 预防措施 – 公司之前实施了多少技术和组织准备以防止不合规

• 历史 – 过去的相关违规行为，可以解释为包括根据数据保护指令的违规行为，而不仅仅是 GDPR，以及以前根据 GDPR 的行政纠正措施，从警告到处理和罚款的禁令

• 合作 – 公司与监督机构合作以纠正违规行为的程度

• 数据类型 – 涉及的违规行为影响的数据类型

• 通知 – 该违规行为是否由公司自身或第三方主动报告给监督机构

• 认证 – 公司是否符合批准的认证或遵循经过批准的行为准则

• 其他 – 其他加重或减轻因素可能包括违规行为对公司造成的财务影响

如果一家公司发生多次违规行为，则需根据最严重的违规行为支付罚款，而不是综合起来。较低等级的 GDPR 罚款最高可达 €10 百万或上一财年的国际年收入的 2%，以较高者为准。较高级别的 GDPR 罚款最高可达 €20 百万或上一财年的年收入的 4%，以较高者为准。

为什么会引入 GDPR？

关于通用数据保护条例的背景，欧洲委员会网站简洁地指出：“更严格的数据保护规则意味着 1. 人们对其个人数据拥有更多的控制权，2. 企业将受益于公平竞争环境。”

GDPR 法律旨在通过建立欧盟内所有企业的数据保护标准，以提供对个人的更强保护和权利。通用数据保护条例取代了1995年制定的名为数据保护指令的欧盟之前的一整套数据保护法律。

EMOTIV 是否符合 GDPR？

由 EMOTIV 产品或服务生成的数据自动加密、存储并安全备份到用户账户，通过我们的专有 EMOTIV Cloud 软件。EMOTIV 致力于通过设计实施行政、技术和物理保护措施来确保和处理您的信息，并严格遵循 GDPR 法规，使用行业标准加密。

您可以从任何地方存储和访问您的 EEG 数据，放心地知道它是完全受保护和私密的。所有 EMOTIV 员工都经过培训，以安全和尊重的方式处理个人数据，符合 GDPR 和加利福尼亚消费者隐私法 (CCPA) 的要求。