小型企业GDPR合规指南:中小企业指南(2026年)

GDPR适用于每一家处理欧盟境内个人数据的小型企业,不存在基于规模的全面豁免。第30(5)条为员工少于250人的组织设置了一项范围狭窄的记录保存例外,但仅在处理活动属于偶发性质、风险较低且不涉及特殊类别数据时才适用。绝大多数小型企业无法同时满足这三项条件。
GDPR适用于处理欧盟境内个人数据的每一个组织:无论是维也纳的一名个体经营者、华沙一家只有十名员工的电商小店,还是拥有欧洲客户的美国SaaS初创公司,均须遵守该法规。规模并不能决定其适用性。
尽管如此,GDPR并非一套'一刀切'的法规。若干条款是根据处理活动的性质和规模而非仅仅依据员工人数来调整的,而欧盟近期也提议进一步减轻较小规模组织的行政负担。理解哪些义务是完整适用的、哪些是有所简化的、哪些正处于改革之中,是任何一家小型企业开展合规工作的实际出发点。
本指南涵盖:哪些规则适用于您的中小企业、第30(5)条记录保存豁免及其实际限制、数据保护官的相关问题、2025年11月的《数字综合改革方案》提案、行业具体示例、切实可行的低成本措施,以及小型企业应当了解的近期执法动态。有关该法规的基础性概述,请参阅什么是GDPR。
本文仅供参考,不构成法律意见。如需针对您的具体情况提供指导,请咨询具备资质的数据保护律师或隐私专业人士。
GDPR是否适用于您的小型企业?
简短的答案几乎可以肯定是适用,只要您处理任何与欧盟个人相关的个人数据。
欧盟委员会对此明确表态:GDPR的适用性取决于您所从事活动的性质,而非公司的规模或所在地。根据该法规第3条,只要满足以下任一情形,GDPR即适用:
- 您在欧盟境内设有机构,并在其业务活动过程中处理个人数据,无论实际处理行为发生在何处。
- 您虽未在欧盟境内设立机构,但向欧盟境内个人提供商品或服务,包括免费应用程序、接受欧盟订单的网站,或面向欧盟读者发送的通讯。
- 您虽未在欧盟境内设立机构,但监控欧盟境内个人的行为,例如通过网站分析、广告像素或位置追踪等方式。
对小型企业而言,什么算作个人数据?
大多数小型企业所处理的个人数据,往往超出了它们的认知。常见的会引发GDPR义务的处理活动包括:
- 客户姓名、电子邮箱地址、邮寄地址及购买记录
- 员工及承包商记录:薪酬数据、人力资源档案、绩效记录,以及求职者简历
- 网站Cookie、分析工具及行为定向广告像素
- 电子邮件营销订阅名单
- 覆盖您经营场所内部或周边个人的闭路电视及安防监控录像
- 在线预约及预订系统
- 支付记录(即便支付处理由第三方负责)
- 面向欧盟用户投放的社交媒体广告
以上任何一项处理活动只要涉及欧盟个人,就会使您的企业全面受到GDPR的约束。

第30(5)条记录保存豁免:实际涵盖范围
GDPR第30条要求控制者和处理者保存处理活动记录。第30(5)条为较小规模的组织提供了部分豁免:
"第1款和第2款所述义务不适用于雇员少于250人的企业或组织,除非其所进行的处理可能对数据主体的权利与自由造成风险,或该处理并非偶发性质,或该处理涉及第9(1)条所述的特殊类别数据,或涉及第10条所述与刑事定罪和犯罪相关的个人数据。"
简单来说:只有在同时满足以下三项条件的情况下,雇员少于250人的组织才可豁免强制记录保存义务:
- 处理活动不太可能对个人的权利与自由造成风险。
- 处理活动属于偶发性质:非常规或非系统性。
- 处理活动不涉及特殊类别数据(健康、生物特征、基因、种族或民族出身、政治观点、宗教信仰、工会成员身份、性取向)或与刑事定罪相关的数据。
欧洲数据保护委员会关于第30(5)条豁免的立场文件确认,这是一项范围狭窄的豁免。处理客户记录、管理薪酬、维护电子邮件营销名单,或运营带有分析功能的网站,均无法通过'偶发性'这一测试。这些都是持续性、系统性的活动:该豁免并不适用于它们。
现实情况
该豁免原本是为真正的一次性处理活动而设计的,例如一个小型组织偶尔处理一次某场活动的参会人员名单,此后不再有其他常规个人数据处理行为。但在实践中,几乎没有正在运营的企业能够完全符合该豁免条件。
**无论技术上是否适用该豁免,我们的建议都是一致的:保存处理活动记录。**这些记录是您履行问责义务的证明,是监管机构询问时您可以参考的依据,也是您管理数据主体请求的工具。对于大多数小型企业而言,一份简单的表格,记录您处理哪些数据、原因是什么、存储在何处、谁有权访问,以及保留多长时间,就已经足够。
小型企业何时需要设立数据保护官
第37条规定的数据保护官要求并不与员工人数挂钩,而是取决于核心处理活动的性质和规模。以下三种情形须强制设立数据保护官:
- 该组织是公共机构或公共部门(不适用于大多数小型企业)。
- 组织的核心活动要求对个人进行定期、系统性的大规模监控,例如以行为定向广告技术或大规模用户监控为主要产品的企业。
- 组织的核心活动涉及大规模处理特殊类别数据(健康、生物特征、性取向等)或与刑事定罪相关的个人数据。
欧洲数据保护委员会针对中小企业关于数据保护官的指南明确表示:小型组织通常不太可能需要设立数据保护官。一家本地零售店、一家小型营销代理公司、一家十人规模的软件公司,或一家两名合伙人的律师事务所,通常都不符合上述标准。
行业细微差别
一些中小企业所处的行业中,数据保护官的问题并不那么明确:
- **小型诊所或全科医生诊所:**处理患者健康数据属于第9条项下的特殊类别处理。是否属于'大规模'取决于具体的量级与背景。一家为本地患者群体提供服务的两名医生诊所,通常不构成大规模处理。但一家拥有数万份患者记录的地区连锁诊所,则是一个更接近临界点的问题。许多欧盟成员国已针对医疗服务提供者发布了行业专门指南。
- **人力资源软件初创公司:**如果您的产品为大型客户组织系统性地处理员工数据,那么您自身的核心活动可能就涉及大规模处理特殊类别数据。建议就此寻求具体的专业意见。
- **营销代理公司:**为客户开展的大规模用户画像与行为定向活动,相较于典型的中小企业,更接近于系统性监控的门槛。
自愿设立
即便不属于强制要求的情形,您也可以自愿设立数据保护官。一旦设立,有关数据保护官独立性、资源配备、职责范围以及免受解雇保护的完整GDPR规则将自动适用。许多小型企业发现,在内部指定一名隐私负责人(负责处理咨询及请求的指定人员),而不使用正式的'数据保护官'头衔,在实践中更为可行。

2025年11月《数字综合改革方案》:拟议的中小企业简化措施
2025年11月19日,欧盟委员会发布了《数字综合改革方案》,这是一套针对GDPR、《电子隐私指令》、《数据法》、《网络与信息安全指令二》(NIS2)以及《人工智能法案》的一系列有针对性的修正提案。该方案是欧盟委员会更广泛的竞争力议程的一部分,旨在减轻欧洲企业的监管负担,中小企业被视为其中的重点对象。
欧盟委员会针对GDPR第30(5)条提出的方案
欧盟委员会的提案拟对记录保存豁免作出两项重大变更:
- 提高员工人数门槛,从少于250人提高到少于750人,将优惠范围扩大至欧盟委员会所称的'小型中型市值企业'(SMC)。
- **重构适用条件:**不再沿用当前的三项排除因素(风险、非偶发性、特殊类别数据),豁免将改为适用于处理活动不'可能导致高风险'(依据第35条数据保护影响评估的门槛)的情形。该提案取消了'偶发处理'及将特殊类别数据作为独立排除因素的表述。
欧盟理事会的立场(2025年9月)
在欧盟委员会2025年11月正式发布提案之前,欧盟理事会于2025年9月提出了一项范围更广的立场:员工少于1000人且从事高风险处理活动的组织,只需就那些可能导致高风险的特定处理活动保存记录,而无需保存全部处理活动的完整记录。
欧洲数据保护委员会及欧洲数据保护监督员的回应
欧洲数据保护委员会及欧洲数据保护监督员在联合声明中对简化措施表示欢迎,支持减轻中小企业行政负担这一总体目标。他们指出,该提案是有针对性且范围有限的,并就其与问责义务之间的相互作用要求作出进一步澄清。至关重要的是,他们强调其他义务(包括透明度、法律依据、数据主体权利及安全保障)无论记录保存方面是否简化,仍将全面适用。
当前状态:正在积极协商,尚未成为正式法律
截至2026年5月,《数字综合改革方案》对GDPR的修正案正处于欧洲议会与欧盟理事会之间根据立法进程表进行的积极协商之中。预计三方协商将持续至2026年下半年。在正式通过以及修正案生效前的过渡期结束之前,当前第30(5)条的文本(250人门槛及三项排除条件)仍然是现行有效的法律。
**请勿根据拟议中的变更调整您的合规方式。**在修正案正式通过并生效之前,请继续按照现行规则运营。
全面适用于所有小型企业的核心义务
尽管某些行政性义务是按规模调整的,但以下GDPR要求对任何规模的组织都无一例外地全面适用。
1. 每项处理活动均须具备合法依据
依据第6条,每项处理活动都需要有留存文件记录的合法依据。与小型企业最相关的三种依据是:
- **合同必要性(第6(1)(b)条):**为履行与个人的合同所必需的处理,例如为发货处理配送地址,或为支付薪酬处理员工薪资数据。
- **合法利益(第6(1)(f)条):**一项真实的、比例适当的商业利益,且不凌驾于个人权利之上,例如面向现有客户的基本直接营销、防欺诈或网络安全。需要留有文件记录的合法利益评估。
- **同意(第6(1)(a)条):**个人为特定、明确表述的目的自愿选择加入。同意是可撤回的,并会产生持续的管理义务。小型企业常常在其他依据本可以更简单、更持久时,过度使用同意作为依据。
有关同意何时适用、何时不适用的完整论述,请参阅GDPR同意要求。
2. 隐私声明
您所收集数据的每一位个人,都必须在数据收集时被告知:您是谁、您收集了哪些数据、原因是什么、法律依据为何、保留期限多长、与谁共享数据,以及他们享有哪些权利。这适用于您的网站、店内表格、雇佣文件,以及任何其他数据收集环节。
隐私声明不必冗长,但必须清晰、易于获取且内容完整。欧洲数据保护委员会的实用资源专区提供了免费模板。
3. 数据主体权利
GDPR的八项个人权利适用于所有组织。小型企业必须:
- 为个人提供一种清晰、易于使用的请求提交方式(电子邮件即可满足要求)。
- 在一个日历月内识别并响应请求(对于复杂请求,可延长两个月,但须通知请求人)。
- 对于访问请求,免费提供第一份个人数据副本。
- 妥善处理删除、更正、反对及可携带性请求,并记录响应情况。
一家罗马尼亚公司曾专门因未在三个月内响应某项访问请求,且后来提供的信息不完整,而被处以15,000欧元的罚款。这正是常常波及小型企业的执法类型。
4. 技术与组织安全措施
第32条要求采取与风险及数据性质相适应的适当安全措施。所谓'适度',意味着对于一家两人规模的会计师事务所而言的适当措施,与对一家拥有200名员工的医疗服务提供者而言的适当措施有所不同,但两者都必须有所落实。
小型企业的实用基础措施包括:
- 在所有业务账户(电子邮箱、云存储、会计软件)上启用多重身份验证。
- 使用密码管理工具并强制要求使用强而唯一的密码。
- 对存有个人数据的笔记本电脑、外部硬盘及移动设备进行加密。
- 将个人数据的访问权限限定给确实因职责需要而使用数据的员工。
- 及时安装软件及操作系统更新。
- 保持定期且经过测试的备份,并与主数据分开存放。
- 制定书面的个人数据处理政策,并确保员工理解相关内容。
- 对存有个人信息的实体文件进行上锁保管。
5. 数据泄露通知
如果发生个人数据泄露且可能对个人造成风险,您必须在获知后72小时内通知您的监管机构。如果该泄露可能对个人造成高风险,您还必须直接通知受影响的个人。完整流程请参阅GDPR数据泄露通知:72小时规则。
小型企业常见的一个误区是,认为只有大规模黑客攻击才构成数据泄露。被盗的、装有未加密客户数据的笔记本电脑、误发给错误收件人且包含敏感信息的邮件,或针对共享驱动器的勒索软件攻击,都构成可能需要通知的数据泄露事件。
6. 与供应商签订的数据处理协议
依据第28条,只要您与代表您处理数据的第三方共享个人数据(云托管服务商、电子邮件营销平台、薪酬服务、会计软件、支付处理商、网站分析工具),就需要签订数据处理协议。目前大多数主要供应商已在其标准服务条款中包含符合GDPR要求的数据处理协议,或可应要求提供。请审查这些协议并确认其已就位。

GDPR在实践中的应用:三个行业示例
一家小型电子商务商店(10名员工)
一家向欧盟客户销售服装的十人规模在线零售商,每天都在处理客户姓名、地址、电子邮箱地址及购买记录。其处理活动并非偶发性质,而是每笔交易的核心环节。
主要义务包括:订单处理的法律依据(合同必要性)、营销邮件的独立法律依据(同意或合法利益)、针对分析及广告像素的Cookie同意横幅、网站隐私声明、与支付处理商及电子邮件平台之间的数据处理协议,以及处理访问和删除请求的明确流程。
由于处理活动并非偶发性质,第30(5)条豁免不适用。该零售商应保存一份记录表格。无需设立数据保护官。可由一名指定员工负责处理权利请求。
一家本地诊所或全科医生诊所(5名员工)
一家小型医疗诊所每天处理患者健康数据。健康数据属于第9条项下的特殊类别数据,需要同时依据第6条及第9(2)条确立法律依据。对于治疗患者的医疗服务提供者而言,通常适用的第9条依据是第9(2)(h)条:医疗诊断与治疗。
由于处理活动涉及特殊类别数据(健康记录),第30(5)条豁免不适用。该诊所必须保存完整的处理记录。是否需要设立数据保护官,取决于该处理在具体背景下是否属于'大规模';大多数欧盟数据保护机构认为一家小型本地诊所不构成大规模处理,但各成员国的具体指导有所不同。
其他关键义务包括:对患者记录实施严格的访问控制、采取与敏感健康数据相适应的安全措施、与所使用的任何第三方系统(化验结果、预约平台)签订数据共享协议,并谨慎处理任何以电子邮件方式进行的患者沟通。
一家小型数字营销代理公司(15名员工)
一家为客户开展活动并处理欧盟消费者数据的营销代理公司,处境更为复杂。该代理公司同时扮演控制者(对其自身员工数据及业务联系人数据而言)和处理者(在代表客户处理客户数据时)的角色。
作为处理者,该代理公司必须:与每一位客户签订数据处理协议,明确规定处理的性质、目的及期限;按照控制者的指示落实适当的安全措施;在发生任何数据泄露时及时通知客户;未经控制者授权不得使用次级处理者。
对于使用追踪像素和Cookie开展的行为定向广告活动,GDPR针对Cookie的同意要求同样适用。该代理公司还应注意,自2024年3月起使用Google Ads需要实施同意模式v2(Consent Mode v2),以正确传达用户的同意选择。
常见的中小企业合规误区
认为规模较小就意味着豁免
'我们是一家小公司'并非GDPR项下的法定抗辩理由。监管机构已经对个体经营者及微型企业因基本违规行为处以罚款。罚款金额会按比例调整,但仍然会被处罚。
过度依赖同意作为法律依据
许多小型企业在每一张表格上都添加同意勾选框,因为看起来比较'安全'。但在实践中,同意往往是错误的选择:它会带来复杂的撤回权管理问题,并且只应在个人确实拥有自由选择时使用。凡是可以依赖合同必要性或合法利益的情形,这些依据通常更为实用且持久。
无效的Cookie同意
在页脚提示中声明'使用本网站即表示您接受Cookie',并不构成有效的GDPR同意。针对非必要Cookie的同意,需要提供明确的选择加入机制,使用户能够在Cookie被设置之前选择接受或拒绝。预先勾选的框以及默示同意均不符合合规要求。
缺乏数据保留政策
第5(1)(e)条项下的存储限制原则要求个人数据的保留时间不得超过必要的期限。无限期保留客户记录,或从不删除离职员工档案,均违反了这一原则。请为每一类数据设定保留期限,并落实相应流程,在期限届满时删除数据。
忽视员工数据
GDPR对员工数据的适用与对客户数据的适用同等重要。员工记录、薪资信息、纪律处分档案,以及求职者提交的简历,均须获得同等保护。许多小型企业将合规重点集中在客户数据上,而完全忽视了人力资源方面的义务。
缺乏数据泄露应对预案
如果没有预案,一旦发生数据泄露,很可能在员工还在商讨对策的过程中就超过了72小时的通知期限。制定一份基本的书面流程,涵盖如何发现泄露、如何评估其严重程度、由谁负责通知,以及如何控制和记录事件,几乎不需要任何成本,却能够避免罚款。
遗漏供应商数据处理协议
在未审查是否已就位数据处理协议的情况下使用云存储、电子邮件营销工具或薪酬软件,是一个常见的疏漏。这也是监管机构容易锁定的执法目标,因为缺失的文件很容易被证实。
小型企业的低成本合规措施
合规工作并不需要庞大的预算或专业软件。以下六个步骤以最低的成本应对了最高优先级的GDPR要求。
**第一步:数据清点(免费):**列出您处理的每一类个人数据:内容是什么、属于谁、为何持有、存储在何处、谁可以访问,以及保留多长时间。一份表格即可满足要求。每当引入新工具或新流程时,请及时更新。
**第二步:隐私声明(免费):**撰写一份使用通俗语言的隐私声明,涵盖第13条和第14条要求的全部信息。将其发布在您的网站上,并在每一个数据收集环节都能获取到。可使用欧洲数据保护委员会的免费模板作为起点。
**第三步:Cookie同意(免费或低成本):**如果您的网站使用非必要Cookie(分析、广告、社交媒体按钮),请部署一个符合规定的选择加入横幅。目前有多种免费或低成本工具可提供符合GDPR要求的同意管理功能。
**第四步:供应商数据处理协议审查(免费):**梳理您的服务提供商清单,确认与每一家代表您处理个人数据的供应商都已签订数据处理协议。大多数主要供应商在其条款中提供数据处理协议,或可应要求提供。
**第五步:基础安全措施(免费或低成本):**在所有业务账户上启用多重身份验证。部署密码管理工具。对设备进行加密。保持软件更新。这些措施大多免费,且能应对小型企业最常见的泄露途径。
**第六步:权利请求及数据泄露应对流程(免费):**指定一名负责处理数据主体请求的联系人。建立一份简单的日志,记录请求的类型、收到日期及解决日期。撰写一份一页纸的数据泄露应对清单,涵盖72小时通知要求。
中小企业GDPR义务概览
| 义务 | 是否适用于中小企业? | 说明 |
|---|---|---|
| 处理的法律依据 | 是 | 须为每项活动留存文件记录 |
| 隐私声明 | 是 | 内容清晰且易于获取 |
| 数据主体权利(八项权利) | 是 | 一个月内响应 |
| 处理记录(第30条) | 通常是 | 豁免范围狭窄;建议无论如何都保存记录 |
| 安全措施(第32条) | 是 | 与风险相适应 |
| 数据泄露通知(72小时) | 是 | 如泄露对个人构成风险 |
| 设立数据保护官 | 很少需要 | 大多数中小企业不需要 |
| 数据保护影响评估 | 有时需要 | 仅针对高风险处理活动 |
| 数据处理协议 | 是 | 与处理您数据的每一个处理者签订 |
| 国际传输机制 | 是 | 如向欧盟/欧洲经济区以外传输数据 |
| Cookie同意 | 是 | 针对非必要Cookie |
面向小型企业的免费官方资源
欧洲数据保护委员会中小企业数据保护指南:欧洲数据保护委员会的中小企业指南是最全面的免费官方资源,涵盖所有主要GDPR议题,并配有视频、互动流程图、信息图表及实际案例。实用资源专区提供可下载的模板,涵盖处理记录、隐私声明、同意表格及数据处理协议。截至2024年,已提供17种欧盟语言版本。
**英国信息专员办公室对小型组织的指导:**英国信息专员办公室(ICO)提供专门面向中小型组织的指导以及一个数据保护自我评估工具,可生成量身定制的行动计划。
您的欧洲商业门户网站:您的欧洲门户网站以所有欧盟官方语言提供针对在单一市场内运营企业的GDPR指导。
**各国监管机构:**每个欧盟成员国的数据保护机构都会发布本国的中小企业资源。爱尔兰数据保护委员会、法国国家信息与自由委员会(CNIL)、荷兰数据保护局,以及德国各州的数据保护机构,均为本辖区内的小型企业提供免费工具包及咨询热线。
拟议《数字综合改革方案》生效后将带来哪些变化
如果《数字综合改革方案》的修正案按提案获得通过,对中小企业而言的实际变化将包括:
- 员工少于750人的组织将不再需要保存处理活动记录,除非处理活动可能导致高风险(依据第35条数据保护影响评估的门槛)。
- 常规低风险处理活动(客户邮件列表、员工记录、在线预订)将不再需要由这些组织正式留存书面记录。
- 其他所有义务保持不变:法律依据、隐私声明、数据主体权利、安全保障、数据泄露通知及供应商合同,均将继续全面适用。
简化措施是真实存在的,但范围有限。您绝大多数的合规义务不会受到影响。请继续保持当前的合规做法,并留意立法进展,再决定是否作出任何调整。
相关GDPR指南
- 什么是GDPR:全面了解该法规
- GDPR合规检查清单:分步合规指南
- GDPR同意要求:有效同意的标准,以及何时同意才是正确的依据
- GDPR数据主体权利:全部八项个人权利
- GDPR罚款与处罚:执法数据及罚款计算方法
- GDPR 72小时数据泄露通知规则:数据泄露报告流程
- 欧盟Cookie法(《电子隐私指令》):Cookie同意要求
- 欧盟数据隐私法:了解欧盟数据保护体系全貌
Frequently Asked Questions
GDPR是否适用于小型企业?
适用。GDPR适用于处理欧盟境内个人数据的任何组织,无论其规模大小。无论是个体经营者、初创公司,还是拥有200名员工的公司,只要处理欧盟个人数据,都受该法规约束。不存在针对小型企业的全面豁免。合规义务的调整依据是处理活动的性质和风险,而非您的员工人数。
小型企业是否需要设立数据保护官?
大多数不需要。根据第37条,只有公共机构,以及核心活动要求对个人进行定期、系统性大规模监控的组织,或核心活动涉及大规模处理特殊类别数据(健康、生物特征、基因等)的组织,才强制要求设立数据保护官。典型的小型零售、服务或科技企业通常不符合这些标准。也可以自愿设立数据保护官,但一旦设立,完整的GDPR关于数据保护官独立性及保护的规则将随之适用。
小型企业是否免于GDPR的记录保存义务?
针对员工少于250人的组织,第30(5)条豁免的范围比许多人以为的要狭窄。该豁免仅在同时满足以下三项条件时适用:处理活动属于偶发性质、不对个人构成风险,且不涉及特殊类别数据。绝大多数小型企业需要经常处理客户或员工数据,这意味着它们无法通过'偶发性'测试,仍须保存记录。建议无论如何都保存记录,将其作为良好实践的一部分。
什么是GDPR《数字综合改革方案》,它对小型企业有帮助吗?
《数字综合改革方案》是欧盟委员会于2025年11月19日发布的一套针对GDPR的定向修正提案。该方案提议将记录保存豁免的适用范围从少于250名员工的组织扩大至少于750名员工的组织,并将强制记录保存范围限定为仅涉及高风险处理的活动。欧洲数据保护委员会及欧洲数据保护监督员对该简化措施表示欢迎。截至2026年5月,该提案仍处于三方协商阶段,尚未获得通过。在修正案正式通过之前,当前250人门槛及三项条件测试仍然是现行有效的法律。
小型企业是否会被处以GDPR罚款?
会。GDPR罚款适用于任何规模的组织,处罚力度取决于违规行为的严重程度。监管机构必须确保罚款有效、适度且具有威慑力,这意味着小型企业获得的绝对罚款金额通常会低于跨国公司,但处罚仍可能十分可观。对于严重违规行为,罚款最高可达2000万欧元或全球年营业额的4%。已记录在案的案例包括:对将医疗服务与营销同意挂钩的小型医疗服务提供者的罚款,以及对忽视访问请求的小型企业的罚款。
对小型企业而言,最重要的GDPR措施有哪些?
从以下六项优先事项入手:(1)建立数据清单,列出您处理的所有个人数据及原因;(2)撰写并发布一份清晰的隐私声明;(3)确保为每项处理活动确立并留存法律依据;(4)落实基本安全措施,包括多重身份验证及设备加密;(5)建立一套简单的流程,在一个月内处理数据主体权利请求;(6)确认已与所有代表您处理个人数据的供应商签订数据处理协议。
GDPR是否适用于向欧盟客户销售商品的欧盟以外企业?
适用。根据第3(2)条,GDPR适用于向欧盟境内个人提供商品或服务,或监控其行为的欧盟以外组织。一家拥有欧盟客户的美国在线商店、一家拥有欧盟用户的加拿大SaaS服务商,以及一家在英国脱欧后为欧盟客户提供服务的英国企业,均须遵守相关规定。英国脱欧意味着为欧盟客户提供服务的英国企业,其欧盟业务须遵守欧盟GDPR,而其英国业务则须另行遵守独立的英国GDPR。
我的网站是否需要一个Cookie同意横幅?
如果您的网站使用非必要Cookie(包括分析Cookie、广告像素、社交媒体按钮或任何追踪技术),您需要一个符合规定的同意机制。有效的同意要求在设置非必要Cookie之前进行主动选择加入,提供同样便捷的拒绝选项,且不得使用预先勾选的框。仅在页脚注明网站使用Cookie是不够的。完整要求请参阅欧盟Cookie法指南。
Sources and References
- GDPR全文,(EU) 2016/679号法规(eur-lex.europa.eu).gov
- 欧盟委员会:GDPR规则是否适用于中小企业?(commission.europa.eu).gov
- 欧洲数据保护委员会中小企业数据保护指南(edpb.europa.eu).gov
- 欧洲数据保护委员会:中小企业实用资源(模板与工具)(edpb.europa.eu).gov
- 欧洲数据保护委员会中小企业指南:数据保护官(edpb.europa.eu).gov
- 欧洲数据保护委员会:关于第30(5)条豁免的立场文件(edpb.europa.eu).gov
- 欧洲数据保护委员会/欧洲数据保护监督员:欢迎简化记录保存要求(2025年)(edpb.europa.eu).gov
- 欧盟委员会:我的组织是否需要设立数据保护官?(commission.europa.eu).gov
- 欧盟委员会:GDPR综合改革简化提案(2025年11月)(commission.europa.eu).gov
- 您的欧洲:GDPR项下的数据保护(europa.eu).gov
- 英国信息专员办公室:对小型组织的指导(ico.org.uk).gov
- 英国信息专员办公室:谁需要记录其处理活动?(ico.org.uk).gov
- 英国信息专员办公室:面向小型企业的数据保护自我评估(ico.org.uk).gov
- 英国信息专员办公室:营销与数据保护详解(ico.org.uk).gov
- 欧洲数据保护委员会:中小企业常见问题(edpb.europa.eu).gov
- 欧洲议会立法进程表:数字一揽子方案(europarl.europa.eu).gov
- GDPR-Info.eu:第30条处理活动记录(gdpr-info.eu)