|
Post by account_disabled on Dec 8, 2023 21:13:20 GMT -7
GDPR 是欧盟制定的一套新法规。它强调保护个人的个人数据。它展示了法规如何保护个人的隐私和尊严,从而为与任何个人相关的“个人”一词提供真正的含义。GDPR 主要关注个人数据卫生,因此任何已经开始实施数据卫生的组织在实施方面不会有太大困难。市场上对遵守 GDPR 的呼声不绝于耳。我们需要明白,GDPR 并不完全是保护个人数据的新法规。欧洲有严格的个人数据保护立法,例如《DPA 法案》,始终尊重个人数据的完整性,并为此类个人数据提供足够的安全性。GDPR 是对现有数据保护立法的增强,因此已经遵守数据保护规定的组织在进一步遵守此类新法规方面不会遇到太大困难。对 GDPR 的广度和广度缺乏认识也引起了市场的激烈抗议和恐慌。许多顾问通过进一步宣传 GDPR 的处罚条款来掩盖这一事实。 许多组织都知道 GDPR 是关于 IT 安全系统的,这是关于 GDPR 最常见的误解。事实上,GDPR 的范围远远超出了 IT 安全系统,它与组织中处理个人数据的所有部门相关。它涉及组织内处理个人数据的所有流 特殊数据 程和控制。《通用数据保护条例》不强制要求使用加密。如果组织选择不使用加密,那么他们需要展示他们计划使用哪些替代机制来保护客户个人数据。尽管 GDPR 没有强制要求加密,但大多数组织仍然要求对数据进行加密,因为这被认为是最佳行业实践,并且其他监管合规性也规定了数据加密。因此,目前市场上对数据加密的呼声很高。因此,基于 SaaS 的行业还需要遵守静态数据和传输数据的加密,因为目前市场对此有需求,尽管 GDPR 并未强制要求。 GDPR 特别规定了在从任何个人获取任何个人信息之前必须获得同意的义务。为了获得个人的同意,应提供一个链接,人们可以在其中仔细阅读隐私政策并了解他们的信息将如何使用以及他们的信息将用于什么目的。此类同意应通过点击机制提供,公司可以保留这些同意的日志,以证明组织获得个人的具体同意。 此外,获得任何个人信息的公司应该有足够的机制来删除任何个人信息,如果任何个人提出删除请求,并且这种删除包括被遗忘的权利。如果任何个人请求删除任何个人信息,则公司应尊重该请求并删除个人的特定个人信息,并且公司还应删除和/或删除网络浏览器中存在的所有 cookie,以便它们未跟踪这些交易。 GDPR 对获取任何个人信息的公司规定了非常严格的合规性。目前,根据不同组织获取的个人信息的数量和类型,它没有任何不同的合规性。任何只需要获取姓名和电子邮件地址等基本个人信息的公司也必须遵守 GDPR 的所有严格规定,就像其他获取大量个人信息的公司可能必须遵循的那样。在未来的几年里,我们预计对于只获取基本个人信息而不需要大量获取个人信息的组织应该采取一些放松措施。
|
|