UEDBET西甲赫塔菲 1

据CNET报道,欧盟为保护数据隐私而制定了一部新法,也就是《通用数据保护条例》。今天,这部新法在欧盟28个成员国生效。这部法律改变了那些收集、存储或处理大量欧盟居民信息的公司遵循的规则,要求他们对自己拥有的数据和用于共享的数据更加开放。

UEDBET西甲赫塔菲 2

科学期刊和资助机构通常要求研究人员从研究资料库中研究个体遗传数据,以增加数据共享,以便实现新发现的可重复性,并促进新发现。然而,根据今天(星期一)在欧洲人类遗传学会年会上提交的研究结果,引入欧盟通用数据保护条例(GDPR)等新法规可能会使这一问题复杂化。

这意味着,任何在欧盟拥有数字业务的公司将不得不遵守这部法律,否则将面临巨额罚款处罚。自欧洲议会于2016年4月通过该法案以来,其将在2年内生效的最后期限已经到期。今年3月份,当剑桥分析公司滥用数据丑闻曝光时,隐私权倡导者将其作为最典型例证,说明为什么互联网用户可能想要更多个人数据控制权,包括谁可以访问他们的数据。

欧盟《一般数据保护条例》(GDPR)将于2018年5月25日起正式施行,该条例是近三十年来数据保护立法的最大变动,旨在加强对欧盟境内居民的个人数据和隐私保护。此外,它还将通过统一数据和隐私条例来简化对跨国企业的监管框架。它将取代1995年颁布的《数据保护指令》。

研究人员收集了研究人员面临的实际挑战的经验。他们试图遵守资助者和期刊存放数据的要求经常与GDPR发生冲突,瑞典乌普萨拉大学和意大利博尔扎诺EURAC Research高级研究员Deborah Mascalzoni博士说。如果我们能够遵守法律和资助者的要求,我们需要遵循开放科学的道路,同时考虑道德和法律规则。

今年4月份,Facebook首席执行官马克·扎克伯格在美国国会发表的证词中,GDPR字眼儿曾出现过好几次。不久前,欧洲议会议员在布鲁塞尔对扎克伯格提出质询时,这部法案也是其中一个主要焦点。欧盟官员表示,他们对扎克伯格有关GDPR问题的答复并不满意,后者已经承诺将继续以书面形式给出回答。

1995年的《数据保护指令》95/46/EC是欧盟版的隐私保护条例。其主要目标包括协调数据保护立法,以及规范将个人数据转移到欧盟以外的“第三国”的情形。除了其它一系列措施,各个盟国还各自成立独立的公共机构,监督该指令的实施,并作为与企业和公民互动的监管机构。整体而言,该指令符合经济合作与发展协会(OECD)的最初建议以及隐私权是基本人权的核心概念。

根据GDPR,研究人员有权撤销对进一步使用其数据的同意。为了行使这一权利,必须告知他们在研究资料库中处理他们的数据,但是一些资料库的建立方式可能使研究人员难以遵守法律。另一个挑战在于GDPR要求数据处理仅限于实现研究目标所需的内容,因此排除了长期保留未指定用途的数据。销毁此类数据会消除将来可能有用的资源,从而降低研究效率。

扎克伯格对美国国会议员们说:“我认为,总的来说,GDPR对于互联网来说将是个积极的促进力量。”他接着讨论了Facebook收紧数据政策的计划,保护用户不受进一步数据泄露事件的影响,并使在其网站上打广告变得更加透明。不仅仅是像Facebook这样的家喻户晓的互联网巨头必须遵守新法,医疗保健提供者、保险公司、银行和其他处理敏感个人数据的公司也将面临严格的监管。

虽然《数据保护指令》旨在团结不同盟国的立法,但这只是一项指令,当置换到各国独立的法律时仍有一定的解释空间。加上当今数据格局的快速变化,尤其是Facebook、LinkedIn等社交平台以及云技术的兴起,势必要升级欧盟地区的监管环境。即将到来的GDPR是一项更大的立法,并且在各个成员国即刻可执行。

但是,Mascalzoni博士和她的研究员Heidi Beate Bentzen博士(挪威奥斯陆大学法学硕士)说,这个问题的解决方案很容易获得。目前的困难源于这样一个事实,即法律和道德设计并不总是从一开始就嵌入到系统的规划中。这意味着这通常是作为事后补充添加的,这是一种修复一个案例但不是长期解决方案的补丁。虽然GDPR需要与研究人员的日常工作交织在一起,但它仍然是一个相当新的规则。

GDPR将对我们的网络足迹产生重大影响,以及我们使用的应用程序和服务如何保护或利用这些数据。下面,我们就与GDPR有关的重点问题进行解读:

条例 vs. 指令

UEDBET西甲赫塔菲 ,如果你在实验室中引入一种新技术,你需要考虑它并使其适用于你现有的系统,例如IT和其他实验室设备。它与GDPR相同,本质上是一个很好的部分我们现在面临的储存库是,他们通常不在欧盟之外或在一个欧盟成员国(作为英国模式),而不考虑所有欧盟成员国的法规,Mascalzoni博士说。

何为GDPR?

这项变化的一个重要特征就是欧盟GDPR是一项条例取代原有的指令。条例直接适用于欧盟各成员国,而对于指令,各成员国有权酌情决定数据保护法的实施。因而,除了严格的数据和隐私保护,条例的实施还将通过在欧盟地区统一数据和隐私法规而简化监管框架。对于跨国企业来说,这将帮助他们在与多个数据和隐私保护机构沟通时消除当地法律之间的不一致性,从而降低行政成本和负担。

由于法律限制阻止他们在期刊库中共享个人级别的遗传数据,研究人员目前可能会面临将问题提交给某些期刊的问题。他们可能能够与审阅者和编辑人员共享数据,在某些情况下还可以与其他研究人员共享数据,这些研究人员为特定目的请求数据,但不是更广泛。在这些案件中,期刊需要重新考虑他们的政策,Mascalzoni博士说。由于参与者的信任对研究的未来至关重要,我们惊讶地发现,研究资料库尚未改变他们的运作方式,而且期刊和资助者没有修改他们的政策来解释GDPR。

《通用数据保护条例》是一项全面的法律,赋予欧盟居民更多的个人数据控制权,并试图澄清在线服务对欧洲用户数据收集、存储以及使用的规则和责任。GDPR取代了1995年通过的欧盟数据保护法律,并对现有的公约进行了大幅修改。新法扩大了企业必须考虑的个人数据范围,并要求它们密切跟踪存储的欧盟居民个人数据。如果欧盟某个人想要某家公司删除他或她的数据、发送数据拷贝或者更正数据中的错误,这些公司都必须照做。

处罚力度加大

研究人员说,另一种方法是承认相互对等的政策。如果法律禁止某种做法,则很难要求个别科学家不服从或被排除在外,因此应适用例外和豁免。

不仅如此,欧盟居民现在可以反对公司使用他们数据的具体方式。但只要公司停止使用这些数据,他们不会介意这些数据的特定用途。更重要的是,新法要求公司在数据泄露的72小时内通知用户,目前很少有公司这么做。例如,美国个人信用评估机构Equifax遭到黑客袭击,美国和其他地区数百万用户个人信息被泄露,该公司先花了数周时间来阻止攻击,然后在告知公众之前制定好如何处理损害的计划。

GDPR将继续通过监管机构和法院执行,除了民事补救还有刑事和行政处罚。然而,根据国际隐私专业人士协会的数据,GDPR加大了行政处罚的力度,根据案情情况最高可罚款两千万欧元,或公司年营业额的4%。

我们希望我们的工作能够展示建立符合GDPR标准的研究资料库的紧迫性,并使资助机构和期刊的要求适应GDPR。如果我们要在一个开放,高效的科学环境中运作,我们需要建立一个安全的地方Mascalzoni博士总结说,研究人员和患者可以参与,知道人权和研究同时得到认真对待。

欧盟如何实施GDPR?

新扩大的管辖权将影响在欧盟地区开展业务的中国企业

ESHG会议主席,英国泰恩河畔纽卡斯尔纽卡斯尔大学遗传医学研究所所长Joris Veltman教授说:数据共享对于科学进步至关重要,特别是在我们需要结合的人类遗传学领域临床和遗传数据,以了解每个人的基因组中存在的数百万种遗传变异的临床影响。本研究调查了新的欧盟数据保护法规如何影响数据共享,以及应该采取哪些措施来实现这一目标。负责任的态度。

欧盟的每个成员国都有自己的执行机制,每个国家都有自己的GDPR主管。居民可以向各自国家的管理机构投诉,违反法律的公司将面临可能非常严重的处罚。违反GDPR法律的最高罚款金额为2000万欧元,或相当于该公司年度全球收入的4%,届时哪个数额更高,就会按照哪个标准计算。

该条例的一个重要特征是新扩大的管辖权,可能会影响到欧盟以外的企业。新条例适用于为欧盟境内的个人提供商品和服务,或监控个人行为(如商业网站或移动应用的运营商)的企业。这一规定将影响很多中国企业。

GDPR只适用于欧盟的公司吗?

GDPR规定同意书将仍是处理个人数据的一个要求,并为同意书设立了更严格的条件。EUDataProtectionLaw.com指出,对这些条件的定义是“数据主体通过申明或一个清晰的肯定动作,在知情的情况下自主、具体而明确地表明自己的意愿,即表示他们同意个人相关数据被处理。”

并非如此,这也是它为何引发国际关注的原因之一。GDPR适用于任何收集、处理、管理或存储欧洲公民数据的组织。这包括大多数主要的在线服务和企业,它们靠收集、处理、管理或存储数据为生。正因为如此,GDPR实际上为数据保护设定了一个新的全球标准。

规定新权利

GDPR保护哪些数据?

欧盟GDPR还建立了两项新的个人隐私权,“删除权”和“移植权”。删除权是对“被遗忘权”的扩充,让个人有权要求删除其个人数据。而移植权则让个人可以更轻松地访问自己的数据。个人可以要求将其数据从一个供应商转移到另一个供应商。此类数据转移将为个人创造更多方便,而加大了供应商之间的竞争。

该条例适用于广泛的个人数据,包括个人姓名、身份证号码。它也保护可以显示某人在线和现实世界活动的信息,包括位置信息、IP地址、cookie以及其他数据,这些数据可以让公司在用户浏览互联网时跟踪他们。

如何确保合规

GDPR将如何影响Facebook和其他社交媒体公司?

GDPR不止适用于欧盟内的企业,还适用于欧盟以外的企业——如果他们为欧盟境内的数据主体提供商品或服务,或者监控其行为。GDPR也适用于处理或持有欧盟境内数据主体数据的企业,不论该企业位于何处。

许多大型在线服务和社交媒体公司正在更新他们的隐私政策和服务条款,以准备应对新法。鉴于刚刚爆发了剑桥分析公司滥用数据丑闻以及过去对该公司收集数据的担忧,Facebook的回应肯定会受到欧洲监管机构的密切关注。其中包括2007年该公司有争议的Beacon广告计划,即在合作伙伴网站上播放用户活动。此外,当Facebook及其子公司Instagram声称拥有用户个人资料和照片时,不要忘记用户的喧嚣。GDPR将更明确地表明态度:这类活动不合适。

很多企业之前并未遵循过欧盟数据和隐私法,因而很多细节(如范围、实施等)都不清楚。对于在欧盟境内运营的企业,或是向欧洲个人提供商品、服务或监控其行为的企业,您可以通过以下步骤提前为明年做准备。

4月10日,在参议院司法与商业委员会的联合听证会上作证时,扎克伯格表示,在用户同意放弃自己的数据之前,他“原则上”支持为用户提供类似GDPR的选择标准,但他没有许下承诺,并补充说“细节很重要”。

根据现有资料深入解读GDPR

GDPR将如何影响非欧盟居民?

理解GDPR规定下个人数据的广泛范围

Facebook、微软、Twitter、苹果以及其他公司都向欧盟以外的用户提供了些额外的数据权限。但这些权利并没有法律效力,这意味着如果你不是欧盟居民,你就不能起诉微软违反了GDPR。而当你享受这些权利的时候,它确实表明欧洲的新法规正在改变大公司处理用户数据的方式。

创建、更新或审查有关个人信息和安全措施的文档

另一种影响你的方式是:在过去几个月里,你可能收到的大量隐私政策更新信息,许多公司在GDPR生效之前制定了新的隐私政策,然后同时告诉你自己的改变。

根据GDPR,创建、更新或审查有关违规行为、事件报告以及风险评估的政策和程序的文档

欧盟会因Facebook过去所做的事情而处罚它吗?

创建、更新或审查任何必要的合同和协议语言

似乎不能。在接受彭博社采访时,欧盟司法专员维拉·儒罗瓦表示,新的GDPR规则“不能应用在剑桥分析公司丑闻中,因为它没有任何追溯能力。”

判断使用云端人力资源或薪酬供应商是否有利于公司减轻合规风险。

GDPR如何影响黑客行为和违规行为?

人力资源领导者需要注意居住在欧洲的中国公民将受到GDPR保护,而居住在欧盟以外的欧盟公民则不受这些法规保护。

GDPR要求那些对客户数据失去控制的公司,或者已经被黑客入侵的公司,在72小时内通知用户。这是最高刑罚的规则之一。例如,如果Facebook被发现未能遵守规定,那么它将面临16亿美元的罚款。

虽然很多公司已经采取数据和隐私措施以遵守《数据保护指令》,然而GDPR包含了新的保护措施,并适用于更广泛的领域,包含欧盟境内外的企业,这将需要额外的合规措施。企业必须尽快采取行动为2018年5月GDPR的正式生效做好准备。

GDPR对未成年人有特殊保护吗?

点击此处下载IDC对GDPR的独家解读报告《云、合规以及人力资源转型:支持您的HCM策略》,与ADP数据隐私专家一起探讨GDPR将给您的职能带来的变化。

GDPR要求企业和组织获得父母同意,才能处理16岁以下儿童的个人资料。

美国有相当于GDPR的法律吗?

还没有,大多数州都有自己的关于数据泄露和通知要求的法律,而大多数法律只适用于有限类型的数据,即社会保险号码、健康或财务信息。美国证券交易委员会最近发布指导意见,指导上市公司应该如何披露数据泄露和风险事件。加州人可能会在今年对一项数据隐私法进行投票,即《加州消费者个人信息披露和销售倡议》。当地居民可以要求公司提供他们的数据拷贝,找出自己的数据被卖给了哪些第三方公司,并要求公司不要出售或分享他们的个人数据。