GDPR 与《互联网趋势报告》（一）

发展历程

• 1981年，欧洲议会就通过了有关个人数据保护的《保护自动化处理个人数据公约》，这是世界上首个有约束力的有关规范数据使用、保护个人隐私、促进数据交流的国际公约。
• 1995年，欧洲议会和欧盟理事会通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（简称《个人数据保护指令》）。
• 2016年4月欧洲议会和欧洲理事会通过GDPR，取代了1995年数据保护指令的条例。
• 2018 年 5 月 25 日，GDPR正式生效

管辖对象

GDPR是一项新法律，规定了企业如何收集、使用和处理欧盟公民的个人数据。不仅适用于欧盟的组织，也适用于在欧盟拥有客户和联系人的组织，这将对全球各地的企业产生影响。

• 不仅仅是欧盟内部，包括与欧盟做生意的人，在欧盟的企业，或者在欧盟有分部的企业；

• 处理欧盟公民数据的非欧盟企业也需遵守。

重点关注

数据泄露强制通知的规定

GDPR规定，在发生个人数据泄露时，除非个人数据的泄露不会产生危及自然人权利和自由的风险，否则数据控制者应在获知泄露之时起的 72 小时内向监管机构发送通知报告。另外，当个人数据泄露可能对自然人的权利和自由产生高风险时，数据控制者还应当向数据主体告知数据泄露的相关情况。

组织应注意如发生个人数据泄露等安全事件，需履行的通报和告知义务。