欧盟关于数据保护的法律框架已与为个人数据处理建立尽可能高度标准化的高水平数据保护的目标相协调。新的《欧盟一般数据保护条例》（EU-GDPR）于2018年5月25日生效，旨在提高对个人数据的保护。

确保您的组织合规

EU-GDPR的引入要求所有企业审查现有的数据流程并创建大量的新流程。此外，必须修订现有的模型、清单和合同文件。此外，还须对技术和组织措施进行调整。未能遵守新条例的组织将面临高达2000万欧元或其全球年营业额的4%的罚款。

EU-GDPR的主要要求

以下列出了EU-GDPR的一些核心方面。

个人数据处理仅用于清晰合法的流程：通常，个人数据必须以一种形式和方式保存，以便只有在必要时以及在以处理该等数据为目的时，才能识别数据主体。若收集的目的不再适用，必须删除个人数据。若数据主体撤回同意对其个人数据的使用或处理，组织有责任删除（“清除”）相关信息。

文件的扩展责任：GDPR为企业，特别是文件领域，引入了额外的责任。虽然组织已无须保持程序的公共目录，但保持内部处理活动的记录的责任得到了保留甚至扩展。

最大程度降低风险：EU GDPR奉行基于风险的方法，重点关注“自然人权利和自由的风险”。在个人数据外泄的情况下，可能会出现此类风险。鉴于此，条例规定，个人数据外泄须在72小时内报告有关监管部门。组织应明确规定其数据保护组织内的角色和职责，并建立和记录减轻现有风险所需的流程。

在某些情况下，EU GDPR要求在引入数据处理之前进行详细的风险评估。在这种情况下，风险评估的范畴从对个人数据处理的计划活动和目的的系统描述扩展至为减轻风险和确保对个人数据的保护而计划采取行动的文件。

TÜV南德意志集团如何为您提供帮助？

TÜV 南德建议组织识别属于GDPR范畴内的流程，并通过校准现有流程与新要求进行初步检查。由于EU GDPR已生效，现在正是完成实施合规流程和体系的时刻。

TÜV南德是监管框架和流程优化方面的领先专家，可为正在争取符合EU-GDPR要求的企业提供支持。立即联系我们，了解更多有关服务的信息。