1、什么是GDPR？

《欧盟通用数据保护条例》(The EU General Data Protection Regulation,GDPR) 是一项新的欧洲隐私法，2016年5月24日发布，将于 2018 年 5 月 25 日生效。GDPR替代了已经过时的1995年的欧洲数据保护指令《欧盟数据保护指令》（Data Protection Directive 95/46/EC），旨在协调欧盟各成员国的数据隐私法律，保护欧盟公民的个人数据。

2、影响企业

任何存储或处理欧盟国家内有关欧盟公民个人信息（指任何指向一个已识别或可识别的自然人的信息。这是整个GDPR的核心及动机）的公司，即使在欧盟境内没有业务存在，也必须遵守GDPR。有关必须遵守GDPR新规的公司的具体标准如下所示：

1）在欧盟境内拥有业务;

2）在欧盟境内没有业务，但是存储或处理欧盟公民的个人信息;

3、违规处罚

企业未满足GDPR合规性要求会导致的后果:

违规企业将被处罚以1000万欧元或全球营收入的2%（两者取其高），严重者处罚以2000万欧元或全球营收入的4%（两者取其高）。

4、关键要求

1） GDPR要求在欧盟境内经营的任何企业或与欧盟客户打交道的外国企业在欧洲境内存储和处理所有个人数据。（除非数据主体明确许可将其数据保留在欧盟境外）

2）GDPR还要求有一个全面的报告机制，帮助管理员识别存储在其服务器上的个人数据，并在需要时确认其存储位置、加密或删除。外部审计员也必须有一个简单的方法来验证您的报告。

5、云服务商准备

1）云服务提供商必须提供足够的保证，使服务符合新法规的技术和组织要求；

2）控制者和处理者之间的服务合同禁止在未经控制者同意的情况下使用分包商；

3）在终止服务合同时，所有数据必须从云中移除，并且处理者必须提供足够的证据证明已经完成；

来源：520sec