什麼是 GDPR ? 不可不知的歐盟資料保護規則 General Data Protection Regulation

IDVIEW 最佳工地管理解決方案

通用數據保護條例(GDPR)是歐盟的一項條例，目的在保護自然人（稱為數據主體）處理和自由移動其個人數據。它於 2016 年正式發佈為「2016 年 4 月 27 日歐洲議會和理事會條例 (EU) 2016/679」，並於 2018 年 5 月 25 日生效。

《通用數據保護條例》是對個人數據保護的巨大變革，影響全球數據被用於充分的商業目的。GDPR 是一個巨大的變化有幾個原因，包括 GDPR 的所謂域外適用性：它的應用擴展到歐盟和 EEA （歐洲經濟區）的邊界之外。

個人數據的處理應目的在為人類服務。個人數據保護權不是絕對權利；必鬚根據其在社會中的功能加以考慮，並根據相稱性原則（通用數據保護條例）與其他基本權利相平衡

歐盟 GDPR 還授予數據主體更多的權利，並對數據控制者（決定處理個人數據的目的和方式）和數據處理者（代表控制者進行處理活動）產生更多和更深遠的影響。

《通用數據保護條例》的地域範圍（適用於個人數據處理類型）和擴大的材料範圍在全球範圍內具有重大影響。

在 Facebook 和 Cambridge Analytica 數據隱私醜聞，以及主要公司的重大個人數據洩露事件之後，《通用數據保護條例》（以及 GDPR 的ePrivacy 條例）的影響引起了全球的廣泛關注。

隨著網路安全風險的增加和多個國家和，通過的個人數據保護立法，GDPR 和數據保護法規總體上也引起了對網路彈性的日益關注。

概括地說通用數據保護條例：範圍、合規性、罰款、處罰和 GDPR 步驟

在開始深入探討之前，簡要介紹為什麼認為歐盟 GDPR 被認為是必要的，以及一些基本方面，從通用數據保護條例的「內容」和「原因」開始。本章涵蓋了一些要點，因此如果 GDPR 對你來說不是那麼新，請使用目錄。

GDPR 的含義和定義是什麼？

沒有真正的 GDPR 定義。GDPR 是通用數據保護條例的縮寫。

如前所述，從技術上講，《通用數據保護條例》文本發表在《歐盟法律和出版物》雜誌上，被稱為「歐洲議會和理事會 2016 年 4 月 27 日關於保護自然人關於個人數據的處理和此類數據的自由流動，並廢除指令 95/46/EC」。

但是，《通用數據保護條例》的文本中對其使用的術語有幾個定義。如果你正在尋找超出本 GDPR 概述範圍的術語的 GDPR 定義，例如個人數據處理、同意、控制者等，GDPR 文本的第 1 章在第 4 條中提供了這些定義。

組合和聚合的個人數據和標識符越多，個人數據就越重要 - GDPR 也包括幾個在線標識符 - 在此處了解有關它們的更多信息 — 組合和聚合的個人數據和標識符越多，個人數據就越重要 —— GDPR 也包括幾個在線上標識符 —— 在此處了解有關它們的更多資訊

為什麼歐盟用通用數據保護條例，取代現有的數據保護條例？

通用數據保護條例的存在有多種原因。第一個是提到的數據保護指令，或指令 95/46/EC，雖然已經過調整，但不再適合應對這些數位時代的個人數據挑戰。

歐盟的數據保護指令自 1995 年就已經存在。1995 年，人們幾乎不使用網路。儘管自 1995 年以來已經有了額外的規定，但歐盟認為是時候取代數據保護指令了。

2012 年初，歐盟委員會表示，歐盟需要在許多方面與數位時代保持一致，而不僅僅是個人數據。同時，出於同樣的原因，它還決定是時候改革現有的數據保護規則框架了。數據保護指令是這些現有數據保護規則的關鍵。

個人數據處理的示例包括個人數據的儲存、收集和收集個人數據（無論以何種方式）、匯總、記錄、交換、分析、公開、數位化、豐富、結構化、更改、搜索、利用、刪除、結構化、銷毀、上傳和簡單地使用/保存個人數據。

此外，《數據保護指令》是一項指令，《通用數據保護條例》是一項法規。2015 年 12 月 15 日，歐洲議會、歐洲理事會和歐盟委員會就新的數據保護規則達成協議，該規則將被稱為 GDPR 並取代數據保護指令。

作為一項指令，歐盟 GDPR 的前身被不同的國家採用。歐盟想要一種更加一致的方法。GDPR 是為單一數位市場而設計的，在這個市場中，處理個人數據的組織，知道他們可以用個人數據做什麼，不能做什麼。透過這種方式，數據非常重要的數位經濟，應該在數據日益密集的世界中蓬勃發展。GDPR 提供了適應當今數位世界現實的監管框架，同時將數據主體置於其個人數據的主導地位。

我們現在所做的幾乎所有事情都是由數據驅動的，而個人數據幾乎存在於我們所做的所有事情中：使用社交媒體、線上購物、開設銀行賬戶、透過 Skype 進行交流、在網站上填寫表格以接收促銷活動、從我們最喜歡的商店，看醫生，訂閱時事通訊，與政府互動，清單是無窮無盡的。

數據控制者擁有大量關於自然人的數據，他們處理、儲存、收集、分析和交換這些數據。儘管很少有公司擁有我們所有的個人數據，但個人數據的聚合，可以讓我們深入瞭解我們的個人生活和隱私，從而導致潛在的濫用。大量的個人數據也容易受到潛在的破壞，而且個人數據的使用方式，通常是人們沒有明確同意的。

例如，在在線廣告和社交媒體中，大量個人數據和所謂的個人數據標識符被用於在許多數位平台上追蹤和定位我們，並且出於我們未同意的目的，或其他法律依據的目的，存在用於合法處理個人數據，除了同意。

什麼是數據主體？

數據主體是已識別或可識別的自然人，其個人數據需要在 GDPR 的背景下得到保護和處理。

已辨識的自然人是被單獨挑選出來的自然人，無需其他元素或標識符即可清楚地辨識為自然人。可辨識的自然人尚未被辨識，但可以被辨識。這可以與其他標識符（例如名稱和地址）相關聯來完成。

個人數據保護和 GDPR 適用於，已辨識和可辨識數據主體，及其個人數據，以及所有可能的標識符，因此某些辨識數據被認為非常敏感，甚至受到更多保護。

什麼是個人數據，什麼是敏感數據？

個人數據是指與數據主體相關的資訊，無論數據主體是否在數據處理範圍內被辨識或可以被辨識。

個人數據包括相當常見的數據，例如姓名、電子郵件地址、出生地、出生日期、數據主體的照片等。

個人數據還包括其他不太明顯的數據，包括對數位經濟更為典型的數據和標識符。這可以包括在線標識符，例如 IP 地址、位置數據、透過現代手段（例如物聯網 ( IoT ) 或臉部辨識系統）獲取的行為數據、cookie、RFID 標籤等，還包括與組織相關的數據或政府，例如身份證號碼。

最後，還有一類個人數據，被視為具有額外保護需求和規定的敏感數據。這些是與個人健康和健康史、種族、宗教或政治信仰、整體社會和文化身份、遺傳數據等有關的個人數據。

GDPR 也適用於匿名的個人數據，但不適用於匿名數據。假名化是 GDPR 推薦的一種技術。

什麼是 GDPR 清單？

GDPR 清單是你的組織為符合 GDPR 需要做的事情的清單。但是，沒有普遍有效的 GDPR 清單，你也可以將其視為「GDPR 待辦事項」清單。

由於每個組織都是不同的，有不同的目標和活動，處理不同類型的個人數據，並且有自己的工作方式和自己的流程和挑戰，因此應在跨部門團隊之間合作制定 GDPR 清單，以確保所有 GDPR 風險均已列出，所有 GDPR 保護機制均已到位，並且組織始終瞭解個人數據所在的位置，以及如何獲得同意，以及通常需要符合 GDPR 要求的外部顧問和顧問。

但是，通用的是所有 GDPR 清單，都應包括實現上述目標的步驟。它應該包括重要的職責，例如 GDPR 員工意識培訓，這也意味著你有一個可操作的計劃，並因此進行了 GDPR 作業。這樣的 GDPR 計劃是進行風險分析的結果，根據組織在 GDPR 合規範圍內的職責，列出與當前個人數據處理和保護實踐有關的所有 GDPR 風險，瞭解要解決的問題是什麼，列出如何處理這些問題，並在 GDPR 清單上定義要完成的不同任務的優先級，因為你不能同時做所有事情，並且某些風險高於其他風險，某些類型的個人數據和數據處理活動更多比其他人重要。應該從數據主體風險的角度來處理風險，但你可能還需要考慮 GDPR 罰款和處罰。除了 GDPR 意識計劃和帶有 GDPR 清單或「待辦事項」清單的 GDPR 行動計劃外，組織還表明它已在 GDPR 合規方向上採取了一些步驟，這是必不可少的。

GDPR 規定的罰款和處罰是什麼？

GDPR 規定 GDPR 罰款，最高可達組織全球年營業額的 4% 或最高 2000 萬歐元，另外規定在第 8 章第 83 條中選擇兩者中的最高者。

這並不意味著在不合規和/或個人數據安全漏洞的情況下，組織將不得不支付這些驚人的金額。他們是最高罰款。

在 GDPR 真正生效之前，一些歐盟國家已經出現了非常高額罰款的案例。雖然很難預測在任何特定情況下 GDPR 的罰款和處罰是什麼，但很明顯，像往常一樣，一切都取決於許多因素，例如違規的嚴重程度或不合規，數據主體權利的方式被忽視或妥協，不合規程度（毫無疑問，看看在員工意識水準、風險評估和盡可能合規的步驟方面所做的工作）以及個人數據發生了什麼。

例如，如果它們在未經同意/授權的情況下，進行國際轉移或數據主體訪問它們被系統地拒絕或簡單地忽略，則適用最高 GDPR 罰款。

儘管很難預測 GDPR 為各種類型的違規行為，和不符合 GDPR 的情況提供了明確的罰款機制。

例如，GDPR 不僅規定了最高罰款額，還預見了對組織未能遵守的其他幾種情況的較低罰款（1000 萬歐元或營業額的 2%）。其中包括不以 GDPR 預見的方式報告數據洩露，或透過設計規則忽略隱私。更多關於第 83 條中的行政罰款。附加說明：類似的罰款適用於即將到來的、前面提到的歐盟電子隱私條例。

除了行政罰款外，《通用數據保護條例》還提供多種其他處罰。如果懷疑公司不遵守數據保護規則，適當的數據保護機構 (DPA)可以對其進行調查，如果違反規則，可以 1) 決定處以罰款，2) 決定採取另一種措施（例如，也可以是譴責或禁止數據處理活動）或 3）決定處以罰款並採取另一種措施。

有關本 GDPR 概述中提供的罰款和處罰的更多信息，請單擊下面的按鈕。GDPR 罰款和處罰

《通用數據保護條例》對組織內的角色和責任做出了明確的規定，以便能夠響應數據主體在行使其多項權利中的一項或控制和監視實例的請求時的請求。

GDPR 不僅僅是關於罰款和截止日期。合規是一項持續的工作。你需要制訂一個策略計劃，從數據主體角度的主要風險開始（事實上你當然也會考慮你的風險），以及通用數據保護條例的基本方面和變化，按照 GDPR 文本的規定。

當然，僅此文本並不能回答所有問題。這就是為什麼有數據保護機構、DPA 和其他機構的指導方針（這些機構的作用遠不止罰款），例如歐洲數據保護委員會，當然還有數據保護官員 (DPO)等專家，你可能需要這樣做遵守歐盟 GDPR，但如果你嚴格來說不需要，你也可以僱用（DPO 培訓已滿員，很快將有更多 DPO 可供僱用，例如在已經存在的 DPO 即服務模型中） )超出你的想像。

換句話說：尋求建議，而不僅僅是在有疑問的情況下。GDPR 合規性是端到端的，沒有法律文本或指南涵蓋所有內容。在某些情況下，最終法官需要像往常一樣進行裁決。

重要的是，通往合規的道路是持續存在的，這一切都與風險和管理有關。因此，在以優先方式映射這些風險和基本任務之後，你需要逐漸從解決它們轉向進一步的合規步驟。展示你已經完成和仍計劃做的事情的能力，是這裡的關鍵，始終展示合規性的能力，也是數據控制者的職責之一。

GDPR - 數字時代的歐洲數據保護 - 簡而言之 GDPR 的一些要素 - 來源和歐盟版權委員會 — GDPR – 數位時代的歐洲數據保護 – 一些 GDPR 要素簡而言之 – 來源和歐盟版權委員會

關於通用數據保護條例，我應該瞭解哪些信息並開始使用？

雖然罰款不是最好的起點，但關鍵是確保數據主體的權利能夠得到行使，並且有適當的法律依據來合法處理個人數據。

不讓數據主體行使其權利或無視他們的請求會使情況變得更糟，並可能導致更高的罰款，當數據主體提出投訴時，他們每個人都可以這樣做，而適當的數據保護機構需要跟進。

換句話說：沒有理由恐慌，有理由小心，繼續並理解 GDPR、數據主體的權利、控制者和處理者的義務、合法處理的法律依據、一般數據處理原則和規定你的個人業務、各個部門（人力資源、行銷、銷售、客戶服務等）、你處理的個人數據類型、適當的安全業務措施和以端到端方式的基本步驟，從GDPR 意識和（意識)對員工進行培訓，因為人是數據保護中最薄弱的環節（無論是在資訊管理的範圍內）文件共享、使用他們的工作工具等方面；以及在網路安全範圍內）並讓他們意識到（在他們的工作環境中處理個人數據時要遵循的政策）是證明合規性的第一步，也是簡單的一步。其他步驟，例如查看與你的數據處理者的協議（當你是控制者時）和註冊個人數據處理活動，並提供有關處理內容、原因和方式，以及獲取數據的基礎的附加資訊，在此 GDPR 概述中進一步瞭解。

最後，請注意，GDPR 合規性也是一項持續的工作，因為數據保護挑戰不斷發展，法理學也在不斷發展，有關合規性和新技術和風險的規則，也在不斷發展，這些規則在瞬息萬變的世界中構成了挑戰。

在技術方面確實考慮到 GDPR 及其「特別法」，即電子隱私條例，還涵蓋個人數據和 PII （個人身份資訊）以及 IoT （物聯網、可穿戴設備和智慧設備）等領域的標識符家庭自動化，應用到所謂的工業 4.0 應用中的個人數據）、網路、先進的「第三平台」數位技術和電子通信，等等。雖然後兩者也包含在以前的法律中，但它們被擴大以符合當今存在的平台和工具，當然其中有不少（想想社交網路、Skype 等應用、大數據分析、透過在對人進行排名的應用中，賦予社交分數來自動決策，通常與社交活動和其他數據（例如「影響力」等）相結合）。物聯網是新事物。因此，在此需要額外關注，理想情況下，對於該領域的應用以及在新數位技術的背景下，建議進行所謂的數據保護影響評估。它確實不再只是關於 cookie 和電子郵件地址。

GDPR：蓬勃發展的數位經濟的個人數據保護和隱私規則

如前所述，罰款和處罰不是《通用數據保護條例》的目的。此外，它還適用於比消費者關於（使用和保護）其個人數據的基本權利更大的背景。

GDPR 被視為在數位轉型經濟中，保護個人數據及其所有權的框架，其中數據是商業資產、新貨幣、石油和創新加速器；以及透過更廣泛的個人視角，在整個互聯生態系統中，利用個人數據來實現收益，以便在各個學科中取得更好的結果。

在這種經濟、數位和社會背景下，所有組織都有明顯的好處，但也有一些規則需要在個人層面得到尊重，否則我們將看到，不斷增長的數位市場會受到多重挑戰的阻礙。換句話說：儘管 GDPR 對許多人來說似乎很痛苦，但它也需要讓數位和數據驅動的世界，變得更容易和更清晰。由於我們將解決的幾個原因，這也為組織帶來了好處。

歐盟通用數據保護條例 - GDPR 一些關鍵變化的總結 - 注意 - 閱讀詳細信息 — 歐盟通用數據保護條例 – GDPR 的一些關鍵變更摘要 – 注意 – 閱讀條例中的詳細資訊並獲得建議

「處理」是指對個人數據或個人數據集 (GDPR) 執行的任何操作或一組操作

處理涵蓋了廣泛的行動現實，包括個人數據的儲存、傳播、更改和管理。正如我們將看到的，個人數據還涵蓋標準、定義、例外、個人數據標識符、假名數據等廣泛現實。此外，這往往被忽視，它適用於個人數據的處理，無論處理是否以自動化方式進行。換句話說：手動處理個人數據（營運商）也包括在內。

在 GDPR 最終文本第 1 章第 4 條（「定義」）的第二部分中，GDPR 將處理定義如下：

「處理」是指對個人數據或個人數據集執行的任何操作或一組操作，無論是否通過自動化方式，例如收集、記錄、組織、結構化、儲存、改編或更改、檢索、諮詢、使用、透過傳輸、傳播，或以其他方式提供的披露、對齊或組合、限制、刪除或破壞。

如果你開始考慮誰處理個人數據，你就會開始看到冰山一角。處理的定義非常明確，這表明 GDPR 如何涉及有關個人數據的所有活動。這還包括捕獲、掃描和處理硬拷貝文檔包含的個人數據，甚至包括「擁有」個人數據（或者我們不會儲存或處理它們）或「有權訪問它們」的簡單事實。

GDPR 對數據主體和個人數據的定義和範圍

歐盟 GDPR 對個人數據的定義也幾乎沒有解釋的餘地。在第 4 條中，案文規定：

「個人數據」是指與已辨識或可辨識的自然人（「數據主體」）相關的任何資訊；可辨識的自然人是可以直接或間接辨識的人，特別是透過參考諸如姓名、身份證號、位置數據、在線標識符等標識符，或特定於身體、生理、該自然人的遺傳、心理、經濟、文化或社會身份；

GDPR 的定義很明確：如果你處理數據主體的個人數據，一般規則是適用 GDPR。然而，正如我們將看到的，在這個看似簡單的定義下隱藏著很多東西。

另一方面，在公共衛生和科學研究等領域，個人數據存在一些例外情況，因此瞭解 GDPR 對你所在行業的影響非常重要。這又是一個即時準備並瞭解它，如何影響你的個人組織和活動的論點。

經過假名化的個人數據，可以通過使用附加資訊歸於自然人，應被視為有關可辨識自然人的資訊。

歐盟 GDPR 不涵蓋匿名數據。但是，它確實涵蓋了所謂的假名化個人數據，因為假名化是安全和分析等領域中經常使用的「策略」，可以逆轉，並且與匿名數據相反，可以追溯到可辨識的自然人，數據主體。然而，假名以及加密是 GDPR 推薦的方法之一，作為「一種適當的技術和組織措施，以確保與風險相適應的安全級別」。

研究表明，相當多的公司事實上使用技術對數據進行去識別化，以降低風險敞口。

請注意，一般來說，合併的數據越多，去辨識化變得越困難，風險就越高。如果涉及特殊類別的數據（「敏感數據」），則會產生額外的風險和措施。

瞭解數據保護原則以及有關已辨識和可辨識人員的資訊

GDPR 第 26 條是理解數據保護原則的關鍵，並規定 GDPR 適用於與已辨識或可辨識人員有關的任何資訊。

它對通用數據保護條例適用於已辨識，或可辨識自然人的資訊類型，進行了基本概述。它還概述了應如何確定數據主體，或自然人何時變得可辨識，並指出假名數據也屬於 GDPR，而匿名資訊則不屬於。所有這些主題都在 GDPR 中更多的獨奏會和文章中得到了進一步的深入確立。

線上標識符、基因數據和個人健康數據

在 GDPR 中，個人數據的定義已經擴大（對於同意和保護都很重要）。

它包括標識符，例如遺傳數據和與數據主體健康狀況有關的所有數據。科學研究的數據也包括在內，但只是在一定程度上。

基因數據包括 DNA 分析結果，健康狀況數據包括治療、病史、疾病等數據——如下圖所示。標識符是可以使自然人可識別的數據元素，並且有很多。有些更籠統，有些則「敏感」。瞭解所有這些標識符以及自然人如何成為數據主體（他/她變得可辨識的各種方式）非常重要。給你一個想法：下圖中的一種標識符，即在線標識符，由多種類型和形式組成，從 IP 地址和 cookie 到 RFID 標籤。

圖表中的個人數據、數據主體、數據控制者、數據處理者和標識符關於醫療保健數據 - 更多信息請點擊此處 — 圖形中的個人數據、數據主體、數據控制者、數據處理者和標識符

《通用數據保護條例》第 30 條介紹了在線標識符，例如 IP 地址、cookie、RFID 標籤等，但並不詳盡。然而，在文本中，GDPR 進一步放大了它們。

要記住的關鍵是，上述那些線上標識符被視為個人數據，因為與唯一標識符相結合，它們可以導致數據主體的辨識，並且因為此類在線標識符再次與其他標識符相結合，可以並且確定 facto 用於分析，這在 GDPR 中明確提到。

我們看到很多人不知道這一點，甚至經常看到調查顯示，各個行業的專業人士不將其他標識符視為 GDPR 範圍內的標識符，例如電子郵件地址或照片。必須瞭解它們是（以及它們在什麼情況下）。

正如你可以在 Recital 34 中閱讀的那樣，遺傳數據被明確視為個人數據。此外，遺傳數據被視為敏感數據，應受到特殊保護。個人健康數據也是如此，其中包括來自基因數據的資訊，但更進一步，正如 GDPR 的 Recital 35 中所解釋的那樣，它總結了 GDPR 下各種形式的與醫療保健相關的個人數據（並且有特殊保護規則）。

GDPR 擴大的地域範圍

與現有指令相比，GDPR 的一個重大變化是其所謂的域外適用性，即 GDPR 不僅僅影響歐盟公司，這一事實的技術術語。

GDPR 涉及所有處理居住在歐盟的公民（「數據主體」）個人數據的公司，無論這些公司（「數據處理者」和「數據控制者」）位於何處。

當歐盟數據主體的個人數據處理由不在歐盟的控制者或處理者完成時，GDPR 適用於與向歐盟公民提供商品或服務（免費和付費服務）和歐盟行為監控相關的活動數據主體。

此外，處理歐盟公民數據的非歐盟公司需要在歐盟任命一名代表。

有關此領土範圍的相關鏈接和文本包括：

GDPR Recital 22 規定，在歐盟建立控制者或處理者的活動中，對個人數據的任何處理都應按照《通用數據保護條例》進行，無論處理髮生在歐盟境內還是不是。
GDPR 文本的第 23 條主要規定，歐盟以外的組織在提供商品和服務（有償或無償）方面對數據主體的個人數據的處理受 GDPR 的約束。
Recital 24，其中說 GDPR 適用於不在歐盟但監控歐盟數據主體行為的組織。
Recital 25，涵蓋了 GDPR 在國際公法範圍內的領土適用，例如歐盟以外的外交使團在適用歐盟規則的情況下屬於 GDPR。
《通用數據保護條例》第 3 條（「地域範圍」）總結了所有內容，並具體解決了 GDPR 的地域範圍。

GDPR 下的數據控制器與數據處理器 - 處理器的位置 — GDPR 下的數據控制者與數據處理者 —— 處理者和控制者的位置

我們專門為數據處理者的角色設置了一個特別頁面，因為在 GDPR 下數據處理者的義務很多，並且在侵權或個人數據洩露的情況下，存在事實上的共同責任。

處理者必須遵循與控制者完全相同的個人數據處理原則。最重要的是，處理器等，

必須記錄他們為控制者完成的所有處理活動（審計跟蹤）以及他們為其進行數據處理活動的所有控制者，
必須有一份合同或法律依據，清楚地描述他們為數據控制者所做的事情、持續多長時間、出於何種原因、數據類型和數據主體類別等等，
必須協助控制者履行許多義務，例如安全數據處理、個人數據洩露時的通知義務（從處理者到控制者的個人數據洩露通知義務）、對數據保護影響評估或事先諮詢的潛在需求，
在使用或考慮使用其他數據處理者的服務時，必須通知數據控制者，並有額外義務，對所描述的個人數據處理活動有明確的授權。

換句話說：GDPR 對數據處理者影響很大，因此對行銷、數據服務、人力資源、物流等領域的各種外包公司都有影響。

上面的處理器義務列表遠未完成。他們必須以安全和合規的方式自己工作，他們必須以比以前更透明的方式與數據控制器操作，數據控制器反過來必須更加關注與他合作的處理器的合規程度，必須有一個明確的數據處理協議，和處理者以比以往更多（直接）的方式承擔責任。

注意：在某些情況下，組織可以同時充當數據處理者和數據控制者。Jessica Lam 在下面的資訊圖和關於該主題的全文中解釋了這種情況。

雙重角色 - 在 GDPR 信息圖中充當數據處理者和數據控制者 Jessica Lam Lawinfographic - 閱讀全文 — 雙重角色——在 GDPR 資訊圖中充當數據處理者和數據控制者 Lawinfographic.com 的 Jessica Lam—— 閱讀全文

GDPR 在同意方面比其前身更為嚴格。同意仍然是合法處理個人數據的幾個法律依據之一。但是，當它被選為法律依據時，它增加了我們在本 GDPR 合規指南中進一步介紹的一般數據主體權利，因此實現 GDPR 合規意味著能夠滿足數據主體權利的要求，當他們想要行使這種權利時正確的。

同意應通過明確的肯定行為給予同意，該行為建立自由、具體、知情和明確的指示，顯示數據主體同意處理與其有關的個人數據，例如透過書面聲明，包括透過電子方式，或口頭陳述。

以同意為法律依據，適用附加規則，數據主體對其個人數據的控製程度更高，同時控制者和處理者的職責增加，額外的特定同意相關權利加入一般數據主體權利，例如作為撤回同意的權利。在實踐中，這很困難，需要同意管理的可能性。因此，在任何時候，關鍵是要看什麼是最好的法律依據，因為同意當然不是聖杯，也不是在公園裡散步。然而，在某些情況下，這將是最合適的法律依據，或者可能是特定個人數據處理活動的唯一（有效）依據。

根據 GDPR，當在任何數據處理活動中選擇同意作為合法處理依據時，數據控制者需要證明同意。同意還需要自由、具體、知情、明確，並透過聲明或明確的肯定行動給予。所有這些元素都非常重要。

透過選擇基於行動的同意方法 GDPR 合規性，不僅意味著在選擇時更難證明同意，還意味著獲得同意的方式，需要真正基於數據主體的明確行動，而不是透過預先勾選的框、不活動、沈默，和其他幾個可能使數據主體，更難自由同意的理由獲得。其他提到的關於同意的要素顯然與主動同意的概念有關，即自由給予、具體、知情和明確的事實交織在一起。

自由同意 GDPR - 權力損害不平衡捆綁同意條件粒度 — 只有在遵循非常具體的規則，並且不存在使同意不能自由給予的條件時，才被認為是自由給予的

如果對數據處理活動的同意與使用服務，或合同的其他條款和條件捆綁在一起，則在未將特定數據處理活動的同意與這些條款分開的情況下，則認為同意不是自由給予的，因為需要對每個條款和條件給予同意單一活動（粒度）。

此外，數據控制者必須使用清晰和簡單的語言，來說明尋求同意的處理活動的目的，並且同意需要暗示真正的肯定和自由選擇，其中有幾個概念會使自由給予的同意無效。

這方面的一個例子：當在數據控制者和數據主體之間的權力，明顯不平衡的情況下給予同意時，同意將不被視為自由給予。

某些形式的數據處理的使用也存在限制，因此需要明確同意，這是一種更嚴格的同意形式，嚴格來說僅適用於某些條件。

如前所述，關於處理個人數據的同意需要清晰明瞭，且語言通俗易懂。

在實踐中，這意味著採用法律術語且易於區分，和易於理解的方式，來描述數據主體給予什麼同意，以及如何給予同意。同樣的簡單程度必須適用於撤回同意。此外，未經同意，不得與其他方共享個人數據。

同意和關於同意的後果/義務的詳細資訊

GDPR 說明和文章決定了應如何給予同意、何時適用、何時不適用、組織在同意方面的職責、數據主體如何撤回同意等等。

這一切都始於 GDPR 的第 30 條，其中明確提到數據主體同意處理他/她的個人數據的同意必須通過「明確的肯定行為」發生，正如剛才提到的。它不僅必須明確和肯定，還必須是該協議的自由給出、具體、知情和明確的指示。

這一切都會帶來更多後果。

自由給予意味著絕不存在強迫、壓力或無法行使自由意志的情況。自由同意也意味著同意，當用作合法處理個人數據的法律依據時，數據主體可以在任何給定時間自由（並且輕鬆）撤回，而不會產生任何負面後果或損害。
知情意味著數據主體確實知道他/她同意什麼，這是任何徵求同意的人的義務。
明確意味著組織不能以合法或模稜兩可的方式，隱藏對個人數據處理的同意，以及處理的目的和數據主體的權利。
具體是指為特定目的和在特定範圍內徵求同意的原因、個人數據，將如何使用等給予同意。
肯定行為是我們之前提到的，關於數據主體方面的活動維度的內容，其中，預先勾選的框是「不行的」。

換句話說：它延伸得很遠，並且真正將知情的數據主體置於中心位置。Recital 32 清楚地表示同意的預先勾選框的結束，因為這些並不意味著同意。清晰和透明是關鍵。GDPR 文本第 3 章（主要是第 1 節）中的數據主體權利範圍進一步解決了透明度問題。

有許多關於同意的獨奏會和文章，因此請檢查你的具體情況的規則。舉個例子：GDPR 的獨奏會 33 著眼於科學研究範圍內的同意和個人數據。

除其他外，GDPR 文本的第 2 章（第 5-11 條）更詳細地處理了同意的主題，包括同意的條件、同意和 16 歲以下的兒童、撤回同意的權利等。

明確同意和具體/明確之間的區別

對於明確同意的含義，經常存在誤解。如上所述，同意的定義中未提及明確同意。

在明確同意的情況下，建議使用兩階段驗證方法作為一個不錯的選擇。

然而，明確同意一詞在 GDPR 中多次出現，其中包括關於特殊數據類別的第 9 條、關於自動決策和分析的 GDPR 第 22 條，以及關於國際數據傳輸減損的 GDPR 第 49 條。

在 2017 年 12 月 GDPR第 29 條數據保護工作組的同意指南中，明確同意是提到的幾個與同意相關的主題之一。

在個人數據保護存在嚴重風險的特定情況下，需要明確同意，並且認為對個人數據進行更高級別的個人控制是適當的。

換句話說：明確同意與具體同意不同，也不同於 GDPR 同意定義中使用的任何其他術語。上述指南進一步詳細說明了，獲得明確同意的機制，以及在哪些情況下你需要它，你可以在我們的文章中閱讀。

GDPR 合規性和合法處理個人數據的法律依據

同意只是合法處理的法律依據之一，儘管是最常提到的。這絕不意味著同意在 GDPR 眼中更重要，即使規則更嚴格。

我們一直在說：為個人數據處理活動擁有最適當的法律依據是最重要的。除了同意之外，合法處理個人數據的其他法律依據如下所述。它們是合同必要性、法律義務、切身利益、公共利益和合法利益。

GDPR 合法性處理個人數據 - 處理 GDPR 第 6 條的 6 個法律依據 — 合法處理的六個主要法律依據

除了我們剛剛介紹的同意之外，快速瀏覽一下它們中的每一個。此外，對於同意、明確同意、合法處理的法律依據等，我們在本 GDPR 合規指南中指出了更多文章。

合同必要性

顧名思義，合同必要性確實是合法處理的法律依據，其中為了簽訂合同而執行或採取的步驟需要處理特定的個人數據。

很明顯，如果你不知道與誰簽訂了合同，那麼在幾種類型的合同中很難有一個到位。獲取使合同生效的基本數據是一種處理形式，由於這些數據是個人數據，因此適用 GDPR。

這並不是新的，並且存在於 GDPR 的前身中，因此它不會對現有合同產生太大影響。但是，請確保你在簽訂合同時，要求提供的個人數據，是合同所必需的（不要超出合同範圍內嚴格要求的數據），檢查你在合同中進行的所有數據處理活動合同範圍，檢查特定業務職能（例如人力資源）或行業的合同示例，在有疑問時尋求幫助，並確保你不會在一份合同中，混合多個目的和法律基礎（如果其中一個是同意的）。還請查看特定行業、商業活動、數據處理活動和合同規定的 GDPR 文章和 GDPR 說明會。

法律義務

法律義務，顧名思義，意味著為了履行其法律職責，數據控制者只需處理某些個人數據。

這已經作為法律依據存在，就像法律義務一樣。但是，GDPR 將法律義務限制，在歐盟或歐盟成員國的法律範圍內。

雖然這不是新的，你應該已經有了它，再次檢查是否符合 GDPR，列出法律義務範圍內的各種數據處理活動，看看它何時作為法律依據，並尋找你的行業。此外，對歐盟及其成員國法律的限制確實會帶來後果。

切身利益

切身利益本質上是當你需要獲取一些個人數據，以幫助自然人，並且沒有時間考慮規則和法規時。

換句話說：當你不立即採取行動時，本質上是生死攸關或對人們造成潛在災難的問題。例如，當你需要剛發生事故的人提供緊急資訊時，並且在試圖幫助他們的過程中，這些資訊非常重要。此外，在真正關乎生死和切身利益的情況下，其中一些數據可以服務於公眾利益。真的認為這裡有災難。

公共利益

公共利益主要是在公共當局的任務，和職責範圍內的法律基礎，以及控制者為公共利益或對公共當局，和公共利益所承擔的職責。

公共利益也不是什麼新鮮事物，因此對於大多數人來說，它已經為人所知，並且它也確實存在於非歐盟數據隱私法中。科學研究和公共衛生是這裡的一些活動。

合法權益

在幾種情況下，合法利益是最常提及的同意替代方案之一。它在 GDPR 中並不新鮮，但你在考慮這樣做時需要非常小心，因為有一些例外情況和很容易忽略的微小細節。

合法利益的一個例子是，在數據主體是客戶或為控制者服務的情況下，數據主體與控制者之間，存在相關且適當的關係。合法利益通常被用作營銷範圍內同意的替代方案，其中也存在 GDPR 是否意味著你需要重新同意的問題；意思：請客戶再次同意。一般來說，如果你已經按照 GDPR 前身的規則工作，你就不會這樣做。然而，魔鬼在細節中：只有在你之前所做的符合 GDPR 的情況下才會如此。所以，檢查兩次。

其他合法利益示例，例如網路和資訊安全原因，以及更多關於這些法律依據的更多資訊，請點擊下面的按鈕。

處理個人數據：透明、合法、公平等原則

除了合法處理數據的法律依據之外，還有個人數據處理的透明度、公平性和合法性的一般原則。

因此，請務必查看《通用數據保護條例》第 5 條和第 39 條，因為它涵蓋了根據 GDPR 處理個人數據的透明度、合法性和公平性的本質，以及處理這些數據的組織的若干後果。

說明和文章更詳細地介紹了透明度（例如，為什麼要處理個人數據，讓數據主體易於查找和理解的義務，使用清晰明了的語言的義務），但也著眼於關於個人數據儲存時間限制的基本規則和基本義務，以確保數據主體可以行使他們在 GDPR 下的多項權利（透明度原則、目的限制、儲存限制等）。

GDPR 下的個人數據處理原則 - 與處理個人數據相關的原則 GDPR 第 5 條

數據主體的同意以及在某些情況下，其他法律依據是根據 GDPR 合法處理個人數據的基礎，作為一般規則（通常的例外情況除外），由組織（或控制者）決定能夠證明數據主體，確實同意處理他/她的個人數據，或者有其他合法處理的依據。控制者還應確保遵守若干數據處理原則並得到證明。（責任原則）。

個人數據洩露通知義務

GDPR 對何時以及如何報告對數據主體，構成風險的個人數據洩露有明確的規定。GDPR 合規意味著能夠履行該職責。

違反通知義務意味著幾件事。首先，這意味著需要將個人數據洩露事件傳達給所謂的監管機構。如果可行，該個人數據洩露通知應在不適當的延遲內發出，並且不遲於控制者知道它的 72 小時。

如果控制者提交個人數據洩露通知的時間超過 72 小時，則通知需要附有延遲原因的解釋。

如果個人數據洩露不太可能對各種權利和自由造成風險（這些權利和自由的解釋比 GDPR 單獨的範圍更廣），那麼所有這些都不適用。

個人數據洩露是指安全漏洞導致意外或非法破壞、丟失、更改、未經授權披露或訪問傳輸、存儲或以其他方式處理的個人數據（GDPR 第 4 條，定義）

如果發生個人數據洩露，可能會給數據主體帶來風險，處理者顯然還需要通知控制者。但是，這必須在意識到個人數據洩露後立即發生，不得無故拖延。GDPR 第 33 條對此進行瞭解釋，其中還有關於個人數據洩露通知至少應包含哪些內容的規則。

除了處理者有義務通知控制者，和控制者在個人數據洩露，可能對數據主體的權利和自由造成高風險時，通知監管機構之外，控制者還必須傳達個人數據洩露的資訊數據主體，再次在這裡，不得無故拖延。

GDPR 第 34 條中有關向數據主體，傳達個人數據洩露，以及不需要的情況的基本規則。

GDPR 第 4 條包含 GDPR 定義，定義了個人數據洩露的含義，正如你在引文中所讀到的那樣。

兒童個人資料的特殊保護

《通用數據保護條例》第 38 條，規定了在其個人數據範圍內，對兒童的具體保護。

這裡提到了父母的作用，和關於兒童個人數據保護的一般規則，主要是在行銷、分析和收集兒童個人數據，以提供針對他們的服務的範圍內。

確切的細節在文本中進一步確定。在第 8 條（GDPR 文本的第 2 章）中引入了 16 歲的年齡，儘管歐盟成員國可以預見在特定條件下較低年齡的法律，即較低年齡永遠不會低於 13 歲。

在 GDPR 的範圍內，對兒童的特殊保護非常重要，因此它絕對應該在你的 GDPR 合規列表中排名靠前。

GDPR 合規性和數據保護官

GDPR 範圍內的數據保護官，或 DPO 僅在以下情況下，才需要大規模處理特定類別數據的數據。

數據保護官有明確的職責，需要在數據保護法律和實踐方面有經驗，並且需要能夠以完全獨立的方式工作。但是，對於 DPO 的過去經驗，並沒有準確的「職位描述」，也沒有一套固定的規則。可以透過多種方式任命和選擇數據保護官：他或她可以在組織內部（僅在沒有利益衝突和獨立工作能力問題的情況下為內部），甚至可以「共享」由幾個組織。

有關數據保護官的確切職責和角色，以及技能組合，請單擊下面的按鈕，你可以在其中找到比 GDPR 概述更多的資訊。該資訊圖總結了 GDPR 何時需要數據保護官。

GDPR 合規性 - 您何時需要數據保護官以及 DPO 的職責和技能是什麼 — GDPR 合規性 —— 你何時需要數據保護官，以及 DPO 的職責和技能是什麼

此外，如果要求刪除的個人數據，已被控制者以一種或另一種方式公開（例如，將個人數據放在網路上，其他人可以查閱），則控制者必須嘗試確保與該數據的鏈接，副本和復制也被刪除。

然而，這不是絕對的：它必須考慮到這樣做的現有技術，以及實施它的成本和控制者的努力必須是「合理的步驟，包括技術措施」。

被遺忘權或刪除權的例外情況，包括以下需要處理（按比例）的原因：

行使言論和信息自由權，
處理活動以履行法律義務，
公共衛生範圍內的原因，
為公共利益存檔的目的、科學或歷史研究的目的以及統計目的，
法律主張的確立、行使或辯護。

有關 GDPR 第 17 條中刪除權或被遺忘權的全文（帶有鏈接）。

數據主體權利：數據可移植性的權利

數據可移植性的權利是 GDPR 附帶的一個新概念。簡而言之：數據主體有權在特定條件下（如前所述）接收有關他們的個人數據，但除此之外，還有權將其傳輸給另一個數據控制者；這僅在使用自動化方式完成數據處理時才會發生。

數據可移植性的權利賦予數據主體以結構化、常用和機器可讀的格式接收與他或她有關的個人數據的權利，以及將這些數據傳輸到另一個組織的權利。它是數字數據和數字時代的數據主體權利。

控制者有責任使這成為可能，以便數據主體可以將其個人數據傳輸給另一個控制者。
控制者也有責任毫無阻礙地做到這一點。
如果技術上可行，數據主體也應該能夠直接將這些數據從控制者 A 傳輸到控制者 B。換句話說：不需要控制者乾預，但同樣只有在技術上可行的情況下。

數據可移植性的權利意味著：

處理的發生是因為數據主體已經同意（因此同意被用作基礎或合法處理），或者，如果它涉及特殊類別的個人數據，數據主體已經明確同意；
在數據主體為一方的情況下，為履行合同需要進行處理（合法處理的第二個基礎）；
處理是使用自動化手段（因此，數位和電子）完成的。

我們已經提到了其他關鍵方面，例如更高的罰款（處罰）和通過設計原則採用隱私。

GDPR 中的其他關鍵要素和/或變化

上面的列表遠非詳盡無遺。在本文的資源、資訊圖表和其他材料中，你會發現更多變化和元素。

為了能夠證明對本法規的遵守，控制者應採取內部政策並實施措施，特別是符合設計數據保護和默認數據保護 (GDPR) 的原則

其中包括：

正如我們將看到的，設計隱私和默認數據保護 是對許多領域產生影響的兩個關鍵原則。例如，設計隱私在記錄管理層面發揮作用。
所謂的一站式服務意味著，國際組織事實上必須與一個監管數據保護機構合作。
關於特定文章的靈活性。與普遍的看法相反，國家監管機構可以在幾個領域解釋和/或詳細說明 GDPR 中的規定。在敏感數據的背景下，情況尤其如此。
國際數據傳輸原則是 GDPR 的一部分。
組織需要能夠證明已採取適當的技術和組織措施。ISO 27001 等認證有助於證明這一點。
合法處理：如前所述，同意在 GDPR 中提出；然而，在更廣泛的合法處理範圍內，還有更多重要的因素。
GDPR「提倡」降低風險的具體措施，其中加密是主要措施。如前所述，將數據匿名化也是一種降低風險的方法。
關於 DPIA 的新規則：在某些情況下，數據保護影響評估是強制性的，同樣側重於「新技術」。

GDPR 合規策略和 GDPR 清單

優化、（恢復）信任、更全面的方法以及將安全和茲歌，更好地轉化為數位化轉型的推動力，這些只是智慧組織可以透過 GDPR 等框架，實現的一些好處（你將在下面找到更多資訊）。

另一方面，要符合 GDPR 標準，還需要付出艱苦的努力。如前所述，著眼於業務各個方面的策略方法是關鍵。

各種組織，通常與在 GDPR 的實際影響的，一個或多個特定領域具有主題專業知識的其他組織合作，提出了這樣的戰略方法。事實上，這也是整個 GDPR 現實的一部分。GDPR 預見了數據保護影響評估。

它們或多或少都有相同的步驟，並且是任何 GDPR 合規性清單，或數據保護和風險檢測清單的一部分。

數據隱私風險評估和解決方案框架 - 從庫存和評估到分析實施和評估 - 由 sebyde 授權的 GDPR 戰略 - 來源和禮貌介紹 GDPR 由 IRIS 專業解決方案 — 數據隱私風險評估和解決方案框架——從庫存和評估到分析、實施和評估——由 sebyde 授權的 GDPR 戰略 ——來源和禮貌介紹 IRIS 專業解決方案的 GDPR

在進行風險評估時，請查看個人權利和隱私的風險。

在實踐中，評估/審計和意識，你可以想像有些重疊。看到你所做的事情可以讓你意識到你可能忽略的方面，反之亦然。

在實踐中，評估和發現階段還需要對差距進行分析。如前所述，這顯然也意味著你已經了解 GDPR 及其作為一種基準的全面影響，可指導你在考慮差距的情況下以優先方式進行評估。

審計還包括收集和分析組織中現有的所有當前文檔策略：從安全和業務連續性策略到可接受的使用和隱私策略。

一些額外的 GDPR 審計提示：

審計以映射風險。建議承擔所有風險要素並從優先級的角度對其進行分類。在進行風險評估時，不要（只是）考慮您組織的風險。GDPR 希望您了解個人權利和隱私的風險。
評估所有框架、組織方面、戰略和安全/數據/事件/報告管理實踐。
關注人：這不僅關乎當前實踐、流程、系統和框架中的風險，還關乎個人數據保護和技能組合的組織文化。
獲取文件。確保您可以訪問所有其他數據和文檔，其中包含有關您的最新安全評估和事件等的資訊。
聽。眾所周知，書面政策與現實生活中的實踐之間往往存在天壤之別。這不可避免地意味著你需要與人們討論，他們在實踐中的工作方式，而不管任何文件和政策如何。

GDPR 評估和方法框架 - 從審計準備到審計報告 - 由 iGuards 授權 - 來源和禮貌介紹 GDPR 由 Iris 專業服務 — GDPR 評估和方法框架——從審計準備到審計報告——由 iGuards授權——Iris Professional Solutions的來源和禮貌介紹 GDPR

Trustmarque 提供的 GDPR 數據保護和風險檢測清單信息圖 - 來源大圖和更多信息 — Trustmarque 提供的 GDPR 數據保護和風險檢測清單資訊圖

端到端戰略業務資訊管理 GDPR 合規方法的 3 個階段：1) 授權你的人員和用戶的意識階段，這是任何 ECM 和安全項目中最薄弱的環節；2) 評估和方法階段，以檢測風險並製定解決方案； 3) 實施階段：推廣、監控和改進。

· 一方面，它著眼於《通用數據保護條例》的戰略業務方面，並提供了一種嚴肅的方法，說明如何盡可能地符合 GDPR，並優先考慮首先要做的事情和如何取得進展，這表明你盡最大努力，將個人數據風險和 GDPR 罰款降至最低。
· 另一方面，它著眼於 GDPR 合規性，以及主要從個人數據和資訊治理，以及資訊管理的角度採取的各種策略步驟。從通用數據保護法規意識的基本階段（和快速獲勝）到風險分析，透過設計有效實施隱私，透過保留方案和記錄管理實現擦除權，以及真正先進的 GDPR 合規性：自動分類！

GDPR：戰略業務和資訊管理視圖

鑑於 GDPR 合規性確實應該從 GDPR 意識和 GDPR 員工意識開始，本文將深入探討原因和方式。

公司能否成功通過 GDPR 法規取決於他們是否願意通過設計來接受隱私。他們還必須了解，良好的安全和隱私流程除了受到監管要求的驅動外，還可以提供巨大的競爭優勢並成為贏得消費者信任的驅動力（Peter Gooch，網絡風險合夥人，德勤）

雖然 GDPR 意識是唾手可得的成果，並且是 GDPR 合規道路上的快速勝利，但它確實需要高管的參與，並明確關注人並讓所有員工參與，因為個人數據保護是整個組織的事情。不幸的是，正如文章所解釋的，最常參與 GDPR 合規的部門是 IT、安全和法律。

那麼，要建立一種透過設計支持隱私的文化和跨組織的 GDPR 意識，從而真正理解個人數據的價值，需要什麼？知道消費者確實希望得到個人數據保護（如果發生違規，對你的商業聲譽造成的後果比罰款更多）並且知道個人數據保護文化甚至必須超越組織邊界（因為你有合作夥伴、供應商等為了避免責任討論等等，誰也需要這樣做），這是一本重要的讀物。

一些組織更願意為自己投保，但即便如此，努力實現合規性也很重要，因為你不希望成為其客戶和全世界，都知道的完全不符合 GDPR 的公司，更不用說遭受額外明確的違規行為了缺乏對個人數據保護的理解和關注，這與領導力、文化、人員、流程和尊重以及安全、資訊管理和其他實現合規的技術方式一樣重要。

是否有具體方法有助於證明 GDPR 合規性？

GDPR 條款中充滿了關於遵守法規，和證明 GDPR 合規性的義務的規則。如果你將 GDPR 最終文本的說明添加到其中，則不僅關於合規職責，而且還關於幫助組織（控制者和處理者）表明他們在證明合規性方面採取了必要步驟的各種方式。

這些證明 GDPR 合規性的方式顯然與成為 GDPR 合規性一樣重要。並不是說在 5 月 25 日所有組織都將接受 GDPR 合規性檢查。然而，當控制措施完成時，數據主體的投訴被提出，個人數據洩露事件發生，數據隱私（設計和默認）和個人數據保護原則明顯受到侵犯，證明 GDPR 合規性變得非常重要。

在每個 GDPR 合規策略中，都應考慮證明合規性的方式，並且從數據主體權利和自由方面的風險角度來看，是其中的關鍵。我們之前已經介紹了很多已知和鮮為人知的方法，來證明 GDPR 合規性。要求 DPIA 被視為證明合規性的一種方式，也可以向監管機構徵求意見，然後是遵守批准的行為準則或認證，不勝枚舉。隨著 GDPR 合規期限的臨近，我們將添加更多內容。我們已經討論了 DPIA 和其他方式，所以這裡有更多關於證明 GDPR 合規性的兩種方式的資訊：行為準則和認證。

遵守經批准的行為準則以證明 GDPR 合規性

行為守則可由監管機構和私人協會起草，這些協會代表進行類似數據處理活動或活躍於允許此類行為守則的特定行業的控制者或處理者類別。

行為準則需要獲得批准，一旦獲得批准，控制者和處理者就可以決定遵守它。如果他們這樣做，這不僅是作為證明 GDPR 合規性的一種方式而被明確考慮的因素，而且還提供了額外的好處，其中包括處理器對控制器的感知可靠性，控制器將根據其程度選擇處理器，足夠的保障措施，和 GDPR 合規性，以及跨境轉移。

請注意，遵守行為準則當然也伴隨著責任。遵守行為準則作為合規性的證明太容易了，然後就不再關心太多了。這就是為什麼還有監督機構檢查你是否遵守行為準則的原因。

證明 GDPR 合規性的認證

有關認證的通用數據保護條例規則與有關批准的行為準則的規則相對可比。但是，認證當然不等同於行為準則。兩者在 GDPR 合規範圍內的共同點是，認證也是證明 GDPR 合規性並明確承認的方式。

你可能已經或打算參加某種 GDPR 認證課程。但是請注意，認證需要滿足某些規範，行為準則也是如此，因此請注意方式和地點。

就像行為準則一樣，《通用數據保護條例》「推廣」認證不僅是證明合規性的一種方式，而且還作為任何利益相關者的象徵，顯示你的組織知道為了進行合法處理需要做什麼個人資料。