在本系列的第一篇博客中，我们介绍了GDPR，并探讨了它将对世界各地的公司产生的影响。GDPR被广泛认为是迄今为止最严格的政府隐私法规之一，它概述了组织对个人数据的可接受使用、它们应该如何构建管理个人数据的方法以及不当保护个人数据的罚款（或风险）。罚款数额可能很大，高达全球收入的4%（这将在以后的博客中详细介绍）。GDPR是首个明确定义"个人数据泄露"并要求在发生时通知的欧盟数据隐私法。""个人数据"在GDPR中定义为"与已识别或可识别自然人（"数据主体"）有关的任何信息"。值得注意的是，大数据是啥，没有一组特定的信息（或数据字段）来定义数据主体。从文本本身来看："可识别的自然人是指能够直接或间接地，特别是通过参考诸如姓名、身份证号码、地点数据、在线识别码或一个或多个特定于生理、生理、遗传、心理、经济等方面的一个或多个因素加以识别的人，该自然人的文化或社会身份在列出公共字段时，该定义的关键部分指出，相关数据是那些可以用来（通过任何方式）识别特定个人的数据。举个例子：第一个例子显然是足够的信息来识别数据主体。然而，后者也可以是——即使数据主体的名字不存在，但他们的年龄或性别是，如果这足以识别一个人，这也可以被视为个人数据。例如，一个组织的办公室里可能只有一个23岁或一个男性。因此，被视为受GDPR控制的数据集比最初预期的要广得多。这一挑战会频繁扩展，用户数据可以跨越表（或数据库）。当我们谈到数据假名化时，我们将回顾需要发现和匿名化的内容以及这样做的挑战。GDPR列出了与数据主体和个人数据相关的一些关键控制和活动。前两项是数据泄露通知和一个必需的角色，数据保护官。数据泄露通知简单地说，GDPR要求遭受数据泄露的组织尽快报告。更详细地说，根据《全球数据保护条例》，"个人数据泄露"是指"导致意外或非法销毁、丢失、更改、未经授权披露或访问所传输的个人数据的安全漏洞，请注意，个人数据的定义如上所述——任何能够识别出一个或多个独特个人的信息。如果个人数据泄露，组织必须通知监管机构。GDPR定义了两个单独的概念，它们通常（但不总是）涉及组织-数据控制器（或控制器）和数据处理器（或处理器）。数据控制者是一个实体（在大多数情况下，是一个组织，但有时是个人），它首先指导处理个人数据的原因。例如，一家共享单车公司希望分析其乘客使用模式，以便更好地分配司机。请注意，作为控制器的实体实际上并不一定是分析/处理数据的实体。数据处理者是实际处理或分析数据的实体（同样是：个人、组织等）。例如，银行经常将欺诈分析外包给第三方，在这种情况下，银行是控制者（指导对数据的处理），而第三方是处理者（实际执行分析）。一旦发生违规行为，组织（可能是数据保护专员的责任，淘客平台，将在未来的博客文章中讨论）必须通知数据控制者主要机构所在成员国的监管机构以及受影响的数据主体。也就是说，如果一个组织的总部设在法兰克福，企业管理软件下载，并且其大多数客户都在德国，那么通知应该提交给德国监管机构。GDPR第51条涵盖了各州监督机构的设立。我们将看到这项法律在实践中是如何发挥作用的，但由于许多欧盟国家的业务经常存在，因此假设违规行为会导致通知多个监管机构，淘客qq群，这并非没有道理。通知必须"不得无故拖延，并在可行的情况下，不迟于获悉此事后72小时内"发出。对于熟悉最近Equifax违规事件的人，该组织等了六个星期才公开宣布。这种迟迟不公布的消息似乎只会让情况变得更糟：高管们花时间出售公司股票，公众也被阻止采取行动保护自己的身份。向监管机构发出的通知必须"至少"包括以下内容：个人数据泄露的性质，包括受影响的数据主体和个人数据记录的数量和类别。数据保护专员（我们将在以后的文章中详细介绍这个角色）的联系信息。个人数据泄露的可能后果。控制员如何提议解决违规行为，包括任何缓解措施。在以下情况下，全球数据保护条例确实对通知数据主体个人数据泄露的附加要求提供了一些例外情况：控制员已经实施了适当的技术和组织保护措施，使得任何未经授权访问数据的人都无法理解这些数据（请参阅我们即将发表的关于化名的博客）控制者在个人数据泄露后采取行动，以"确保威胁——数据主体的权利和自由的高风险不太可能实现通知每个数据主体将涉及不成比例的努力，在这种情况下，可以使用替代通信措施遵守上文所述的违约通知要求只是本法规精神的一部分。有效地做到这一点还需要另外两个步骤：评估一个组织拥有哪些被视为"个人数据"的数据，以及了解是否首先发生了违规行为。后者远远超出了我们的专业领域，但我们将在以后的博客中再次讨论个人数据、如何识别这些数据以及可以采取哪些措施来降低违规的风险/处罚。然而，最终，理解这些要求的主要推动力归结为潜在的惩罚。最高限额为全球收入的4%（按上一年计算），云淘，违约的影响是极端的。然而，这一影响更进一步。组织不仅必须确保保护个人的数据，而且还必须在员工中进行组织变革，以真正了解所涵盖的内容以及员工在日常运营中如何为数据主体的最佳利益而行动。请继续关注我们下周的专栏文章，我们将深入了解所需的角色和发现过程！