GDPR罚款高达公司全球营业额的4%？非欧盟企业也得遵守！

【科技讯】4月24日消息，在互联网时代的大背景下，数据缩短了信息传递的链条，相应地，数据隐私的保护成??了一个棘手的课题。欧盟委员会于2016年4月14日，投票通过了商讨四年的《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR）。

今年5月25日，GDPR将正式生效，要求不论是政府或是民间组织，都有义务保护其所搜集、处理、利用的个人数据。对于GDPR很多企业还有疑问，科技讯研读现有资料，整理如下，可以帮助大家更加充分的了解GDPR。

什么是一般数据保护法案？

GDPR是为欧盟公民数???处理制定了一套统一的法律和更严格的规定，要求掌握（或处理）数据的组织必须依法建立一套系统化的管理机制，符合GDPR条款中所要求的个人数据保护原则。

一旦违反该法案。将被处以高额的行政罚款，违规行为还包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元，或企业全球年营业额的2%到4%，并且以较大数额为准。

公司不在欧盟也得遵守？

GDPR与其前身《数据保护指令》相比，适用于更大范围的组织，所有处理欧盟26个国家公民数据的组织，也都必须遵守该法案，这意味着凡是要跟欧盟打交道的机构，都必须遵守该法案。

比如，如果在亚马逊或淘宝上的卖家存储了欧盟客户的个人信息、订单历史、付款偏好等网站活动，这些行为将构成“监控”。卖家和该电商平台都将受到GDPR的监管。

欧盟这则最严厉的数据保护法规，为大数据时代裸奔的大众穿上了衣服。可以预见的是，对个人隐私数据执行严厉的保护法案，也将成为未来的趋势，相信类似GDPR的法案也会迅速扩展到欧盟以外的其他地区，甚至中国??从这个层面上来说，企业必须增加数据保护的额外成本，在使用大数据时，也要承担相应的法律风险。

大数据业务如何继续推进？

GDPR正式生效后，业务涉及欧盟的中国互联网企业该怎么办？如何处理欧盟居民的个人数据？企业应该从以下几个方面做好准备。

一方面，按照GDPR的规定执行

1）是否需要配置数据保护官(DPO)？

组织的数据保护官(DPO)需要向执行委员会报告，并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定，拥有少于250名员工的组织可能也需要指定DPO。

2）是否有程序响应删除/修改/提供数据副本的请求？

除了数据保护指令规定的权利，例如访问数据副本，修改??和限制处理权。GDPR还包括在线信息删除和数据可移植性的权利(允许人们将其数据传输到另一个服务提供商)。这意味着组织必须制定完整的程序来回应这些类型的请求。

3）是否有符合GDPR要求的事件响应计划？

GDPR包括数据泄露通知要求。如果有危害人身的风险，数据违规将会受到监督机构的通知，限72小时内改正。受影响的数据科目也必须在没有“不当延误”的情况下通知。

另一方面，采纳第三方数据平台原生数据保护的SaaS方案

组织可以采纳专业的第三方数据平台提供的原生数据保护SaaS的解决方案。

比如，美国的PalantirTechnologies、CivisAnalytics等大数据分析公司，或者国内的北京数字联盟，他们都可以给客户提供包括网络安全服务、数据分析和数据保护在内的服务，能有效规避DGPR法规。