面對國內(nèi)外日益完善的個人隱私立法，企業(yè)如何才能做到合規(guī)？***憑借全球資源對歐盟GDPR以及各國個人數(shù)據(jù)、隱私保護法規(guī)、標準的進行解讀，積累了一定的研究成果。

我們愿與企業(yè)一道，識別與企業(yè)自身活動相關(guān)的個人數(shù)據(jù)狀況、隱私保護風險與差距，并找出應(yīng)對方法，為企業(yè)的合規(guī)經(jīng)營保駕護航。

《通用數(shù)據(jù)保護條例》(GDPR)于2016年4月27日在歐盟官方刊物上發(fā)表。暫緩期為二年，于2018年5月25日正式生效。

GDPR旨在:
 確立個人數(shù)據(jù)的保護是人權(quán)；
 定義個人數(shù)據(jù)保護的原則和規(guī)章；
 加強產(chǎn)品或服務(wù)提供者與他們所服務(wù)的人之間的信任。

個人的7個數(shù)據(jù)權(quán)利
GDPR的核心內(nèi)容是確立在處理個人資料的七項個人權(quán)利。任何正在處理這些數(shù)據(jù)的組織都需要確保這些權(quán)利得到保護。處理在GDPR中被定義為任何自動或手動操作，如收集、記錄、組織、結(jié)構(gòu)、存儲、調(diào)整或變更、檢索、咨詢、使用、傳輸披露、傳播或以其他方式提供、排列或組合、限制、刪除或銷毀。（如下圖）

GDPR包含以下內(nèi)容:
 組織的需求（歐盟代表處，數(shù)據(jù)保護主任，同意記錄之存檔，合同要求等）；
 個人的7個數(shù)據(jù)權(quán)利；
 認證方案；
 成員國監(jiān)督；
 建立歐盟數(shù)據(jù)保護委員會；
 其他法律程序。

GDPR對您的經(jīng)營有影響嗎？如果您的企業(yè)：

備注：GDPR適用于不論國籍或公民資格的歐盟境內(nèi)人士。無論處理或存儲位置，它適用于任何相關(guān)的活動或事務(wù)。

舉例說明
假設(shè)一家中國香港的零售商，在德國的一家商店里提供量身定制的設(shè)計服裝，顧客也可以通過其商店的網(wǎng)站加入他們的會員計劃。該網(wǎng)站的服務(wù)器位于中國香港。在GDPR之下，商店客戶的個人資料（姓名、地址、體型等）應(yīng)該默認存儲在歐盟，他們的網(wǎng)站應(yīng)該構(gòu)建在一個歐盟服務(wù)器，除非商店收到德國法定機構(gòu)——德國信息專員辦公室的批準，所有的GDPR規(guī)定應(yīng)當執(zhí)行。如果在未來，中國香港的零售商改變它的商業(yè)模式，決定關(guān)閉德國零售商店并依賴于德國當?shù)亟?jīng)銷商獲得定制訂單，中國香港的零售商仍需要執(zhí)行其GDPR義務(wù)，因為他們將處理從德國經(jīng)銷商那里獲得的個人數(shù)據(jù)。

為了應(yīng)對及符合GDPR，您應(yīng)立即：
1. 任命一名數(shù)據(jù)保護主任。（第三十七條）
2. 培訓您的員工。（第四十七條）
3. 識別在您的組織的個人資料及相關(guān)處理活動。（第三十條）
4. 確定個人的7個數(shù)據(jù)權(quán)利的處理方案。（第15-22條）
5 .確定您的公司在歐盟的主要辦事處，從而確定帶頭的監(jiān)督機構(gòu)。（第四條）
6. 如果您沒有在歐盟設(shè)立任何機構(gòu)，您仍然需要一個駐歐盟代表（第二十七條）。在這種情況下，從歐盟第二十九條數(shù)據(jù)保護工作組的澄清文件wp244點2.2中，將沒有帶頭的監(jiān)督機構(gòu)。公司將需要遵守所有適用的監(jiān)督機構(gòu)的規(guī)定。
7. 證明合規(guī)。（第5.2、24.3條）

作為國際公認的檢驗、鑒定、測試和認證機構(gòu)，***在IT信息安全領(lǐng)域的解決方案，覆蓋范圍廣泛；并致力于為各行業(yè)機構(gòu)提供全方位管理提升服務(wù)，內(nèi)容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓、認證和審核相關(guān)服務(wù)。

1、ISO22301認證
2、ISO/IEC27001信息安全管理體系認證
3、ISO/IEC20000認證
4、ISO/IEC27017認證&ISO/IEC27018認證
5、ISO/IEC27701
6、CSA STAR
7、TISAX