新《通用数据保护条例》与个人数据的处理

《通用数据保护条例》（GDPR）是欧洲一项新的隐私和数据保护条例，将于2018年5月25日生效。其目的是统一成员国有关数据处理的国家法律，并充分保证个人对于控制个人数据的权利。

根据GDPR，个人数据是指与已识别或可识别的自然人（’数据主体’）有关的任何信息，包括：（a）基本身份信息，如姓名，地址和身份证号码; （b）网站数据，例如位置，IP地址，Cookie数据和无线射频识别（RFID）标签; （c）健康和遗传信息数据; （d）生物识别数据; （e）种族或民族信息数据; （f）政治意见; （g）性取向。

正如新法规所预设的那样，个人在保护其数据方面被赋予了很多权利，例如访问权，即用户有权要求访问个人数据并询问公司收集数据后如何使用;删除权，即用户有权要求完全删除其个人资料;数据转移权，即个人将数据从一个服务提供者转移到另一个服务提供者的权利;知情权，即处理个人数据的公司有义务在24小时内书面通知用户，以防数据泄露。

GDPR适用于欧盟或欧盟以外地区存储或处理有关欧盟公民个人信息的数据控制者（从欧盟居民收集数据的公司/组织）或处理者（代表数据控制者处理数据的公司/组织）。

GDPR要求控制者和处理者指定一个DPO（数据保护官）来监督数据安全策略和与GDPR的合规性。如果公司处理或存储大量欧盟公民数据、特殊个人数据，则必须设置DPO。某些公共机构（如执法机构）可免除设置DPO要求。

与其他欧洲法规一样，无论成员国实施情况如何，GDPR将直接适用于欧盟的每一个成员国。这意味着公司必须在5月25日之前做好系统和流程的安排，以遵守新规定，避免罚款和其他处罚。

监管部门有权在数据控制者和处理者违反GDPR的情况下处以行政罚款。根据GDPR的规定，行政罚款最高可达2000万欧元，甚至罚款数额更高，可达到该组织全球年营业额的4％。数据控制者和处理者都有可能遭受此罚款。例如，数据控制者和处理者因设计（缺陷）或违约违反了保护隐私的要求将受到最高1000万欧元或全球年营业额的2%的罚款。违反处理数据的基本原则，包括授予有效同意的条件以及不遵守监管机构的要求，可能导致最高2000万欧元的罚款或全球年营业额的4％的罚款。

对于在欧盟境内以及欧盟境外（在处理欧盟公民数据过程中）运营的公司确保自身完全符合新通用数据保护条例的规定是非常重要的。如果您需要关于新法规的咨询，请不要犹豫，通过info@dandreapartners.com与我们联系。