数据保护和隐私服务

数据保护和隐私服务(GDPR / PDPB)

我们相信保护敏感数据和保护个人隐私

对于其他所有业务而言,保护敏感数据仍然是头等大事,尤其是在当今时代,在当今时代,大多数时候人们不小心处理个人数据。通过建立您敏感数据的整体视图,我们KIPG可以帮助避免数据泄漏并最大程度降低GDPR / PDPB罚款的风险。我们为您的业务做准备以满足最强大的需求 数据保护法 通过提出找出差距和漏洞并了解数据隐私维度的最佳策略。

GDPR概述

简要回顾GDPR的创建和背景

GDPR(通用数据保护法规)是有关欧洲一级数据保护的新参考文本。它于2016年5月发布,并于2018年5月25日生效。

它的性质是由一条法规而不是一条指令组成,意味着它可以直接适用,并且同时适用于欧洲联盟的所有成员国,无需换位。

此外,GDPR条例679/2016取代了先前的指令95/46 / EC(1995年发布),因为技术发展需要新的和更现代的法律框架来适应新的要求。

因此,GDPR旨在允许欧洲公民再次控制其个人数据。总而言之,这是个人基本的“隐私权”的延伸。

PDPB概述

简要回顾PDPB的创建和背景

2018年7月27日,印度通过宣布保密是一项基本权利,向往成为数字空间的主要经济强国的目标迈出了一步。场合是尊敬的最高法院在Puttusamy大法官针对印度联邦的一案中的裁决。结果是发布了《 2018年个人数据保护法案》。该法案从《通用数据保护条例》(GDPR)的指南和框架中汲取其影响力。

印度的PDPB是全球最全面,最严格的数据隐私法之一。而且,它在某些方面甚至比欧盟的GDPR更严格。目前,PDPB处于草案形式,并将提交议会审议。它将对该国几乎所有其他业务施加义务。它应要求商业公司和组织重新评估其数据处理实践,保护措施和政策。

关键定义和术语

GDPR

个人资料

GDPR第4条规定了个人数据的定义...

阅读更多
具有约束力的公司规则(BCR)

它包括一套内部规则和规定...

阅读更多
处理中

它是指对个人数据执行的手动或自动操作。

阅读更多
数据控制器

他或她是决定任何个人数据的目的的人...

阅读更多
数据处理器

它包括代表数据处理的第三方...

阅读更多
数据保护官

他或她是负有正式责任的人...

阅读更多
数据保护局(DPA)

它是负责数据...

阅读更多
生物特征数据

它指的是通过特定处理产生的个人数据...

阅读更多
数据主体

当一条数据或信息与特定个人有关时...

阅读更多
被遗忘的权利

``被遗忘的权利''或删除个人数据的权利...

阅读更多
假名数据

它包括数据集,可以用某种方式进行修改...

阅读更多
跨境处理

当数据控制器...

阅读更多

PDPB

个人资料

它指的是与个人有关的信息,可以有效地...

阅读更多
敏感的个人资料

它包括密码,财务数据,健康数据,官方标识符...

阅读更多
数据主体

他或她是数据的生命个体...

阅读更多
数据信托

可以由个人,企业或组织来决定需要...

阅读更多
数据处理器

它是指代表数据受托人处理个人数据的个人...

阅读更多
数据保护局(DPA)

它指的是一个独立的公共机构,其职责如下:

阅读更多

范围

GDPR

GDPR期待以平等的方式确定整个欧盟领土上的数据处理方式。

特别是,该法规应适用于在欧盟范围内安装的负责处理或表演的人员的活动范围内的任何个人数据处理。

该法规还应适用于负责处理或处理未在欧盟内安装的数据的人员进行的处理,前提是该法规满足某些条件。

PDPB

GDPR期待以平等的方式确定整个欧盟领土上的数据处理方式。

该法案的重点是处理个人数据和敏感个人数据,跨境数据传输以及建立数据保护局(“ DPA”)。该法案一旦实施,将控制13亿人的个人数据。

符合GDPR

公司在收集,处理和存储数据时应遵守透明性原则,并应始终能够证明其符合GDPR。

公司必须采取的行动如下:

  • 更新/识别对个人数据的处理
  • 记录数据
  • 遵守管理数据合法处理的原则
  • 通过以下方式审查程序和数据保护政策:
    • 数据主体针对每个预期处理目的的事先同意
    • 处理请求
    • 满足公民访问或删除数据的权利(被遗忘的权利)
  • 对潜在风险及其对所管理个人数据的后果进行影响评估和审核的研究
  • 法律指定的数据保护官员的指定

GDPR与PDPB 2018之间的比较

原则
范围 范围 范围
资料类型 资料类型 资料类型 资料类型

常见问题

GDPR

为什么建议遵守GDPR?

建议遵循GDPR,因为它可以有效地改善对欧洲数据主体权利的保护,并阐明公司如何处理个人数据以维护此类权利

谁都必须遵守GDPR中规定的法律?

所有拥有和处理欧盟公民个人数据的公司,无论是否居住在28个欧盟成员国中的一个,都必须遵守GDPR中规定的法律。

公司在GDPR下的职责是什么?

根据GDPR,公司需要确保其对个人数据的使用始终保持公平,合法和透明。他们必须保护个人数据和信息不被滥用和利用。在发生数据泄露或信息被盗或丢失的情况下,公司也需要在意识到该事件的72小时内,将特定事件报告给相关的监管机构。

公司可以使用任何GDPR合规工具吗?

公司可以使用以下三种类型的工具:

法律研究软件 -帮助了解公司的要求。

隐私办公室支持软件 -帮助开发和维护公司的隐私程序。

隐私管理软件 -帮助公司记录合规计划。

在大多数情况下,只有在公司拥有复杂的数据处理业务时,这些工具才被证明是有益的。例如,如果一家公司在多个司法管辖区工作。

公司必须有数据保护官(DPO)吗?

不,公司任命DPO并非强制性的,因为这取决于多个因素。但是,如果公司满足以下条件,则应任命DPO:

  • 是公共机构;
  • 对个人进行系统的监控,例如大规模的在线行为跟踪;和
  • 在很大程度上处理特殊类别的数据或与刑事犯罪和定罪有关的数据

如果愿意,任何公司都可以任命DPO。如果公司选择任命DPO,即使上述要点不一致,它仍需要确保其有足够的人员和技能来履行GDPR规定的义务。

PDPB

为什么建议遵循PDPB?

由于大多数公司都大举数字化,因此PDPB是解决印度数据安全问题的宝贵且可持续的解决方案。它还将授予个人专有权利,以妥善管理其个人数据。因此,维护个人的这种权利成为公司的责任。

非印度公司需要遵守PDPB吗?

是的,PDPB适用于印度以外的非印度公司。

如果您的公司在印度没有任何业务,则在以下情况下,PDPB仍适用:

  • 贵公司向印度的个人提供产品和服务;要么
  • 贵公司介绍了印度境内的个人

如果满足以下任一条件,则您的公司可能会向印度的个人提供产品和服务:

  • 贵公司以卢比付款;
  • 您的公司将产品运送到印度;要么
  • 贵公司向印度客户做广告

注意-分析是指预测或分析个人属性,兴趣或行为的任何活动。个性化广告是配置文件的一个示例;因此,如果您的官方商业网站使用个性化广告并且可以在印度访问该广告,则您必须遵守PDPB。

PDPB是否包含针对小型企业的豁免?

PDPB仅对从事手工处理(不在计算机或任何其他自动化设备上执行的数据处理)的小型实体(包括企业)具有有限的豁免。

小实体不受PDPB的以下部分约束:

  • 数据质量,声明和数据存储限制的义务
  • 数据原则权,不包括“更正权”和“确认和访问权”下的基本信息。
  • 问责制和透明度的要求,以及任命数据保护官(DPO)和维护隐私政策的要求
数据保护官的职责是什么?

每家公司都必须任命一名数据保护官,负责以下工作:

  • 为公司员工提供有关数据保护问题和关注的建议
  • 监控和评估公司对PDPB的遵守情况
  • 与数据保护局合作

注意 -数据保护官可以是已经在公司内部工作的人员。他或她必须居住在印度,非印度公司也是如此。

当PDPB成为印度法律时,公司可以做些什么来为实施奠定坚实的基础?

作为一家商业公司,您可以有效地考虑采取以下行动来做好准备:

  • 审查贵公司的数据处理活动,以确保遵守PDPB规定的数据保护义务
  • 收集客户的个人详细信息时,请查看提供给客户的信息
  • 考虑您的数据处理活动如何适合PDPB的处理
  • 查看您的业务运营如何获得客户的同意(如果适用)
  • 考虑您的公司应如何回应数据主体权利要求
  • 提出符合PDPB的隐私权政策
  • 查看您用来保护个人数据安全的方法
  • 任命一名数据保护官