GDPR是什么?
《通用数据保护条例》(GDPR)是一项最重要的数据保护立法,它要求组织遵守严格的标准,对不遵守规定将受到重罚。欧盟于2018年5月颁布的GDPR规定了一个强大的框架,规定组织如何收集、处理和存储个人数据。这延伸到保护个人数据免受任何潜在的数据泄露,包括损坏、破坏、非法处理或意外丢失。GDPR非常强调授权欧盟公民控制其个人数据的使用和目的,努力使整个欧盟的数据隐私法规标准化。
GDPR保护个人数据,这些数据不仅包括姓名、地址和识别号码等传统标识符。这还包括数字标识符,如IP地址、电子邮件地址,以及生物标识符,如遗传、生物识别和健康相关信息。通过接受GDPR的原则,组织可以在日益以数据为中心的环境中培养对个人隐私权的信任和尊重。
GDPR适用于谁?
必须明白,遵守GDPR不仅与欧盟内部的组织有关。每个处理欧盟或欧洲经济区(EEA)个人数据的组织都必须遵守GDPR,无论他们身在何处。这包括企业、非营利组织、政府机构和任何其他处理欧盟/欧洲经济区居民个人数据的实体。
例如,让我们考虑一家总部位于美国的跨国公司,该公司为欧盟公民客户提供服务。作为其业务的一部分,他们可能需要存储和处理欧盟公民的个人数据。在这种情况下,即使公司不在欧盟,它也必须遵守GDPR的规定。
图1:GDPR要求
GDPR要求解释
超过75%的监管任务侧重于指导组织如何收集个人数据并保护数据主体的权利。剩下的25%与处理的安全法规有关,这需要安全专业人员的参与。
为了遵守GDPR,组织必须满足一系列旨在保护个人隐私和权利的要求。以下是GDPR要求的概述:
第1章(第1-4条):一般规定
本章确立了该法规的范围和适用性。它概述了一般条款,包括谁有责任遵守本法。此外,第4条提供了解释该法规的关键定义,澄清了个人数据、处理、控制者、处理者和同意等术语。
第2章(第5-11条):原则
本章阐述了个人数据处理的基本原则。第5条概述了核心原则,包括合法性、公平性、透明度、目的限制、数据最小化、准确性、存储限制和个人数据处理的完整性。第6条详细说明了合法的处理条件,如同意和合同必要性。第7-11条详细阐述了个人数据处理和个人权利的各个方面。
第3章(第12-23条):数据主体的权利
本章概述了数据主体的权利。第12条说明了行使数据主体权利的方式,以及建立清晰透明的沟通的方法。它还包括提供有关他们在GDPR下的权利的信息。第13条和第14条指示企业在数据收集期间必须提供的具体细节,如控制者身份和流程目的。第15条至第22条解释了数据主体的权利,包括数据访问、更正、删除数据、处理限制、反对和数据可移植性。
第4章(第24-43条):控制者和处理方
第4章解释了数据控制者和处理方的职责。它授权控制者实施适当措施,确保GDPR合规和数据保护原则。第33条和第34条要求控制者及时向监管机构报表数据泄露,并向受影响的数据主体传达泄露。
第5章(第44-50条):个人数据跨境传输
本章概述了有关在国际国家之间传输个人数据的法规(第44-50条)。本章阐述了从欧盟传输数据时要遵循的一般原则、与此类传输相关的公司规则,并讨论了监管机构之间为促进数据保护实践的一致性而开展的国际合作。
第6章(第51-59条):独立监督机构
GDPR第6章(第51-59条)详细说明了负责执行GDPR合规的独立监管机构。每个欧盟成员国都任命这些当局来监督其管辖范围内的GDPR的执行情况。这些当局是各自司法管辖区内数据隐私和安全的主要监护人,旨在保护个人权利并促进公平合法的数据处理实践。
第7章(第60-76条):合作与一致性
GDPR第7章(第60-76条)解释了监管机构在欧盟中的作用、任务和权力。它概述了监管机构的能力,交换信息和协调活动,以有效执行GDPR。本章还强调了GDPR要求适用时一致性的重要性,以确保监管机构之间做出一致的决定。
第8章(第77-84条):补救措施、责任和处罚
《通用数据保护条例》第8章详细说明了如何向监管机构提出投诉,并对控制者或处理者寻求司法补救措施。概述了暂停诉讼的条件和对违约行为造成的损害进行赔偿的权利。监管机构负责处以与违规严重程度相称的罚款,对较轻和更严重的违规行为处以不同的最高罚款。
第9章(第85-91条):与特定处理情况有关的规定
GDPR第9章涵盖第85-91条,涉及由于处理活动的性质或其社会影响而可能需要特定规则或豁免的领域。此外,它还解决了宗教机构的存档和研究目的、保密义务和数据保护规则的保障措施。
第10章(第92-93条):授权行为和执行行为
第10章包括第92条和第93条,涉及与授权行为和执行行为有关的程序事项。
第11章(第94-99条):最终条款
第11章包含有关该法规的实施和执行的最终条款。它包括废除先前的数据处理指令(第94条),澄清与现有电子通信规则(第95条)的关系,并确保国际数据传输协议的连续性。
资源
遵守欧盟通用数据保护条例,您需要了解和做的一切
一本面向IT安全管理员的解决方案手册,以满足GDPR要求
使用EventLog Analyzer轻松满足GDPR合规性
如何遵守GDPR?
本节解释了GDPR对组织在处理个人数据时应采取的安全措施的要求。它还说明了ManageEngine的SIEM解决方案Log360如何帮助组织满足这些要求并遵守GDPR。
第2章-原则
GDPR第5条(1B):收集和监控个人数据访问
出于具体、明确的目的收集个人数据,确保透明度,并避免进一步处理与初衷不符,同时遵守法律和公平原则。如果为了公共利益、科学研究或统计目的而进行进一步处理,则必须遵守第89(1)条。组织可以遵守这一要求,在在线表格中明确说明数据收集的目的,并获得数据主体的明确同意。
使用ManageEngine满足这一要求
ManageEngine Log360监控数据库中的关键变化,并为未经授权选择、创建、更改或删除个人数据等异常活动提供即时告警。任何偏离既定模式的行为都可以标记以进行进一步调查,确保数据不会以与其所述目的不符的方式进行处理。借助预定义的告警配置文件,每当有可疑活动时,Log360可以生成即时电子邮件或短信通知。
GDPR第5条(1D):保持数据准确性
它要求保持准确和最新的个人数据,及时纠正不准确之处,并确保持有的有关个人的信息的可靠性和正确性。组织必须建立强大的系统,通过更新数据来保持准确性,并使用工具或软件来识别任何不准确之处。他们还应该深入了解他们的数据存储实践,包括实施跟踪数据存储持续时间的系统。一旦达到指定的存储期限,就可以及时删除数据。
使用ManageEngine满足这一要求
通过实时监控,ManageEngine Log360提醒管理员任何数据篡改,提高准确性。此外,Log360有助于进行数据库审计,以确定数据存储的持续时间,一旦满足存储阈值,就可以删除个人数据,从而确保遵守保持数据准确和最新的要求。
GDPR第5条(1F):确保个人数据的完整性和机密性
它要求实施安全措施来保护个人数据,包括加密和定期测试,确保数据的机密性、完整性和可用性,并遵守经批准的行为准则或认证机制。组织必须采取技术措施来保护个人数据免受未经授权或非法处理、意外丢失、破坏或损坏。这涉及实施数据加密技术、备份系统和其他适当的安全措施。
使用ManageEngine满足这一要求
通过预定义的告警配置文件,ManageEngine Log360及时通知管理员未经授权的访问、修改或删除数据,以保护其完整性。它还提供了有关未经授权更改的详细信息,在必要时促进事件报表。此外,Log360提供关于在SQL和Oracle数据库上执行的数据机器语言(DML)和数据定义语言(DDL)操作的审计报表,以确保存储在这些数据库中的个人数据的处理是合法的。
ManageEngine AD360提供全面的审计功能,允许组织实时监控和跟踪其AD环境的变化。这包括更改用户权限、组成员身份和其他与安全相关的配置,有助于确保个人数据的完整性。AD360的MFA通过建立一个集中和统一的IAM平台,有助于保护数据访问。通过这样做,组织确保只有拥有授权访问权限的用户才能控制某些资源。
第3章-数据主体的权利
GDPR第15(1)条:提供对个人数据的访问
组织必须确保他们有系统来满足数据主体访问其个人数据的请求。这包括确认个人数据是否正在处理,提供对个人数据本身的访问,以及披露具体信息,如处理目的、涉及的数据类别、数据接收者和存储持续时间。
GDPR第17条:删除权
根据这一要求,组织必须应数据主体的要求及时删除个人数据。如果不再需要数据或撤销同意,控制者必须删除数据。他们还必须将擦除请求通知处理相同数据的其他数据控制者。
第4章-控制者和处理方
GDPR第24(1)条:控制者的责任
组织必须实施适当的技术和组织措施,以确保遵守法规。为了遵守,控制者应考虑到数据处理的性质、范围、背景和目的,以及对个人权利的潜在风险,进行彻底的评估。基于这一评估,控制者应实施适当的措施和协议,以有效保护个人数据。
使用ManageEngine满足这一要求
AD360提供强大的审计功能,允许组织实时监控和跟踪其AD环境的变化。这包括更改用户帐户、组成员身份和安全配置,以确保数据处理活动的问责制和透明度。
GDPR第25(2)条:将隐私构建到流程中
为了遵守规定,组织应仔细评估收集的个人数据数量、处理范围、存储时间及其可访问性。组织应采取数据最小化、假名化和加密等做法,以确保在没有个人干预的情况下,个人数据不会被无限数量的个人访问,从而加强个人的隐私和数据保护。
使用ManageEngine满足这一要求
在AD360的帮助下,组织可以构建自定义工作流程,并自动化耗时的常规AD任务,如用户配置和取消配置、密码重置、创建和修改AD组以及权限更改。
GDPR第32(1B)条:保护处理系统和服务
GDPR第32条(1D):处理安全性
它需要一个定期测试、评估和评估技术和组织措施的有效性的过程,以确保数据处理的安全性。这涉及定期检查和验证已到位的安全措施,以识别任何漏洞,并确保它们随着时间的推移保持有效。
使用ManageEngine满足这一要求
ManageEngine Log360将来自处理个人数据的各种设备和应用程序的日志数据相关化,包括防火墙、漏洞扫描仪、文件服务器、数据库、Linux/Unix系统和IBM AS400系统。然后,它分析这些数据,以实时识别并提醒用户任何可疑活动。
GDPR第32(2)条:确保数据处理的安全性
通过考虑与数据处理活动相关的风险来评估适当的安全水平,例如意外或非法破坏、丢失、更改、未经授权披露或访问个人数据。这涉及评估因相应处理和定制安全措施而对个人权利和自由构成的潜在风险,以有效减轻这些风险。
使用ManageEngine满足这一要求
借助ManageEngine Log360的预定义报表和实时告警,组织可以及时检测未经授权的活动,如数据库修改、登录失败和权限更改,从而增强数据安全性并遵守GDPR要求。它还提供集中和相关的安全数据,以快速识别潜在的数据泄露。
AD360的SSO通过允许用户进行一次身份验证并访问多个应用程序和系统,而无需反复输入凭据,从而增强了安全性并简化了访问管理。通过集中身份验证,SSO可以帮助组织实施更强大的身份验证方法和访问控制,降低未经授权访问个人数据的风险。
GDPR第33条:数据泄露通知
GDPR第35条:进行数据保护影响评估(DPIA)
如果处理涉及以下,组织必须在处理个人数据之前进行DPIA:
- 新技术或大规模处理:这包括对影响人员的个人方面(剖析)的系统评估或对健康信息或犯罪记录等敏感数据的大规模处理。
- 公共监测:定期大规模监测公共区域。
GDPR还允许监管机构发布一份总是需要DPIA或豁免的处理活动清单。DPIA本身应该是一份记录在案的评估,评估处理、其对个人隐私权的风险以及为减轻这些风险而采取的步骤。
第5章:将个人数据传输到国际边界
为了遵守GDPR关于国际数据传输的要求,组织应首先审查其当前和未来的业务运营。他们需要仔细识别个人数据传输到欧洲经济区以外的所有情况。对于这些传输,组织必须确保实施符合GDPR标准的数据传输机制。这涉及评估目的地国数据保护措施的充分性,并建立适当的保障措施,如具有约束力的公司规则或标准合同条款。
第6章:了解监管机构的作用
组织应首先确保他们了解监管机构(SA)在其成员国内的作用和权威。他们应该与监管机构(SA)充分合作,并应要求提供必要的信息。此外,他们应该将数据处理实践与GDPR要求保持一致,并准备好及时回应监管机构发起的任何投诉或调查。
第7章:合作与一致性
各组织应优先考虑与SA的合作,并遵守第60条至第76条中概述的机制。他们必须确保与牵头监管机构和其他相关SA公开透明地共享信息,必要时积极参与联合行动。
第8章:补救措施、责任和处罚
组织必须在数据处理实践中优先考虑透明度、问责制和响应性。他们应该实施影响评估,以确定违反GDPR的潜在风险。他们必须制定全面的政策和流程,以满足所有隐私要求,包括安全措施、投诉处理程序、数据准确性协议和违规报表机制。更新参照先前指令起草的现有政策并确保与GDPR法规保持一致至关重要。定期监控和更新政策和程序将有助于保持对GDPR要求的持续遵守。
第9章:与特定处理情况相关的规定
组织应遵守成员国关于处理国家身份证号码、就业背景下的数据处理以及为存档、研究或统计目的而处理的法规。根据第89条,实施适当的保障措施和减损至关重要,确保必要时采取匿名或其他保护措施。
第10章:授权行为和执行行为
组织应随时了解欧盟委员会通过的任何可能影响其运营的授权行为或执行行为。他们必须监测法律的更新和变化,以确保遵守通过授权法案制定的任何新法规或程序。
第11章:最终条款
组织应确保他们了解GDPR与被废除或现有的欧盟法律之间的关系。他们还应该确保他们了解GDPR与被废除或现有的欧盟法律之间的关系。他们必须承认,第95/46/EC号指令已被GDPR所取代。
GDPR合规清单
有90多篇文章,遵守GDPR是一个费力的过程。这是一份清单,可以帮助您完成合规流程。
- 了解GDPR要求:熟悉GDPR法规及其对组织的意义。
- 数据审计:对您收集、存储和处理的个人数据进行彻底审计。
- 数据最小化:仅收集和处理预期目的所需的数据。
- 同意管理:获得收集、保留和擦除等数据处理活动的明确同意。确保它是自由提供、具体、知情和明确的。
- DPIA:为高风险处理活动进行DPIA(第35条)。
- 数据传输机制:为在欧盟/欧洲经济区以外传输个人数据实施适当的保障措施。
- 办公室数据处理(DPO):如果组织规模(超过250名员工)或处理活动需要,请指定DPO。
- 处理活动记录:如果您的组织至少有250名员工或按照GDPR的要求参与高风险数据处理,请保留您的数据处理活动记录。
- 定期合规审计:进行定期审计,以确保持续遵守GDPR要求。
- 跨境传输法:如果将个人数据传输到非欧盟国家,请遵守GDPR第45条规定的严格要求。该组织可能需要根据隐私保护框架获得认证。
- 欧盟代表:非欧盟组织需要任命一名驻欧盟成员国之一的代表。
- 隐私影响评估(PIA):进行PIA以识别个人数据处理所涉及的潜在风险,并制定缓解这些风险的策略是一项至关重要的行动。这一步需要评估处理对个人的影响,并确定风险最小化的措施。
- 数据泄露应对计划:制定数据泄露应对计划(第33条和第34条),包括在规定的时间内(发现后72小时内)检测、报表和应对泄露的程序。
- 实施强有力的安全措施:通过全面的风险评估来识别漏洞和风险,确保数据保护。利用加密或假名化(第6条)和访问控制来保护个人数据,定期更新系统,并对员工进行安全协议培训。
- 实施事件管理系统,以评估和分析数据泄露的影响:建立一个事件管理系统,具有评估和应对泄露的明确角色和责任。制定沟通计划,通知相关方,并进行彻底的调查,以记录调查结果并实施纠正措施。
用例
不合规的影响
不遵守GDPR可能会对组织产生重大影响,包括巨额罚款和声誉损害。GDPR罚款根据违规行为的严重程度分为两个等级:
- 对较不严重的违规行为处以第1级罚款,最高可达到1000万欧元或违规公司前一年全球年收入(第83(4)条)的2%,以较高者为准。这些违规行为通常涉及负责GDPR评估和投诉处理的控制者、处理方和监督机构。
- 第2级罚款适用于与隐私权和同意有关的更严重侵权行为,最高可达到2000万欧元或侵犯公司前一年全球年收入(第83条第5款)的4%,以较高者为准。这些违规行为侧重于确保合法、准确和安全的数据处理,包括遵守有关同意和透明度的法律。
例如,Meta,以前称为Facebook,因违反与数据保护相关的GDPR而被爱尔兰数据保护委员会(DPC)罚款13亿欧元。另一个例子涉及WhatsApp,爱尔兰数据保护委员会因其用户数据处理实践缺乏透明度而被罚款2.25亿欧元。
总体而言,不遵守GDPR可能会对组织产生深远的后果,包括经济处罚、失去信任、影响业务、法律挑战和监管审查。因此,公司必须优先考虑GDPR合规性,并确保他们采取强有力的数据保护措施来保护个人数据并避免潜在影响。
免责声明:本指南是使用官方GDPR文档提供的信息创建的。
管理引擎解决方案
关于Log360
Log360是一个统一的SIEM解决方案,具有集成的DLP和CASB功能,可以检测、确定优先次序、调查和应对安全威胁。Vigil IQ是该解决方案的TDIR模块,结合了威胁情报、分析事件工作台、基于ML的异常检测和基于规则的攻击检测技术来检测复杂的攻击,并提供事件管理控制台,以有效补救检测到的威胁。Log360通过其直观和高级的安全分析和监控功能,为本地、云和混合网络提供整体安全可见性。
试用我们30天关于AD360
ManageEngine AD360是一个统一的身份和访问管理(IAM)解决方案,有助于管理身份、保护访问并确保合规性。它具有强大的功能,如自动身份生命周期管理、访问认证、风险评估、安全单点登录、自适应MFA、基于批准的工作流程、UBA驱动的身份威胁保护以及AD、Exchange Server和Microsoft 365的历史审计报表。AD360的直观界面和强大的功能使其成为满足您IAM需求的理想解决方案,包括培养零信任环境。
试用我们30天