1、GDPR 权利:数据主体的权利是什么?
GDPR 赋予数据主体以下基本权利:
• 有权了解公司如何收集其个人数据、公司将保留多长时间、如何使用以及将与谁共享。
• 有权访问公司收集的个人信息,包括有权请求获取数据副本。
• 有权在数据不完整或不准确时对其进行更正(修正)。
• 有权要求公司删除个人数据,包括“被遗忘权”。
• 有权限制数据控制者处理个人数据,即使个人无法请求删除。
• 有权进行数据可携性,这意味着数据主体可以获取和使用其个人数据,并要求公司以电子方式将其发送给第三方。
• 有权反对处理个人数据,例如用于科学研究。
• 有权不接受自动决策并要求人工审核,包括在算法做出决策时有权获得通知。
这些权利中的每一项都有例外,例如,即使数据主体已请求删除,适用法律也可能要求数据控制者保留个人数据。例如,当地法律可能要求雇主保留其前雇员的个人数据 10 年。在这种情况下,如果前雇员要求删除,雇主将需要仔细评估其相互冲突的法律义务并确定适当的行动。在某些情况下,雇主可能会删除一些数据并保留其他数据以履行其相互冲突的法律义务。然而,在每种情况下,数据控制者都应向数据主体透明地说明正在采取的行动以及数据主体可能拥有的上诉权利。
2、GDPR 的关键条款
GDPR 包含 99 篇描述数据保护和执行规则的文章。以下是 GDPR 中的精选文章,可用于了解合规风险。
• 第 9 条 - 特殊类别个人数据的处理。
• 第 25 条 - 设计和默认的数据保护。
• 第 28 条 – 处理者
• 第 30 条 – 处理记录
• 第 32 条 – 数据处理安全性。
• 第 33 条 – 向监管机构通知个人数据泄露。
• 第 34 条 – 向数据主体通报个人数据泄露。
• 第 35 条 – 数据保护影响评估。
• 第 44 条 – 转移的一般原则。
3、什么是 GDPR 数据泄露通知?
当 GDPR 涵盖的组织发生个人数据泄露时,公司必须向数据保护机构报告泄露情况。这适用于可能导致个人数据泄露的个人的权利和自由面临高风险的个人数据泄露。
GDPR 要求在 72 小时内向数据保护机构通知泄露情况。此外,在某些情况下,组织必须亲自通知受泄露影响的个人。