打开微信,扫一扫二维码
订阅我们的微信公众号
打开微信,扫一扫二维码
订阅我们的微信公众号
跨法域隐私政策起草问答(三):欧盟篇 | 耀时数据原创
张晓宇 庄静怡
当企业经营涉及个人信息处理活动时,确保隐私政策的合规性是保证企业个人信息处理合规的优先级要素;在跨境经营时,由于个人信息处理活动可能横跨多个法域,企业将面临跨法域隐私政策起草问题。
耀时所结合我们为客户起草隐私政策的经验,推出三期跨法域隐私政策起草问答,分别为“香港篇”、“新马篇”和“欧盟篇”,供有需要者使用。本篇为第三期“欧盟篇”。
问题一、欧盟主要遵循的数据保护法是什么?
欧盟各成员国统一遵循《通用数据保护条例》(GDPR),GDPR以立法形式更新并统一了欧盟的数据保护和隐私法,并取代 1995 年的《欧盟数据保护指令》。欧盟议会于 2016 年 4 月 14 日批准出台 GDPR 数据保护法,但生效日期推迟到 2018 年 5 月 25 日。因此,很多人将 GDPR 称为 2018 数据保护法。GDPR 统一了欧盟 28 个国家/地区的数据隐私法,推出 99 条规定,授予个人更多的权利,加大了个人数据的保护力度,也顺应了欧盟消费者对数据隐私安全的迫切需求。
GDPR是一部数据保护法,它要求企业保护欧盟公民的数据以及欧盟成员国之间的交易隐私。它还规定了企业将个人数据导出到欧盟以外的地区时应遵守的条例。因此,很多人认为它是全球数据保护力度最大的准则,改进了人们访问信息的方式,进一步强化了企业在处理个人数据时必须遵循的规定。
GDPR 的出台使欧盟各成员国可遵循统一的数据安全法,避免各国单独编写和推行自己的相关法规。尽管 GDPR 是欧盟法律,它也同样也适用在欧盟境内开展业务,收集且处理欧盟居民和公民数据的他国企业。
有以下情况的企业还需遵守特定合规条款:
★ 在欧盟境内开设办事处
★ 有处理欧盟居民数据的实体,即使公司在该地区内未设办事处
★ 员工人数超过 250 人
★ 员工人数少于 250 人,但公司的数据(可能包括/不包括某些类型的个人数据)处理会影响到数据主体的自由和权利。
问题二、GDPR中有哪些重要的角色定义?
GDPR第4条定义了数据活动中的各方参与者:
数据主体:个人数据的所有者
数据控制方:负责确定待收集的个人数据类型以及使用方式
数据处理方:为数据控制方处理个人数据
数据控制方是决策者,对处理个人数据的目的、方式及用途有控制权。有时个人数据由多方联合控制,即由两个或更多实体决定如何处理收集的数据。数据处理方遵照控制方的相关指示,代理他们执行数据的处理。
因此,相比处理方,控制方要遵守更严格的条例规定。
问题三、GDPR对于个人数据的定义是什么?
企业收集和使用用户个人数据前,必须征得其同意。在这种情况下,个人数据指的是可用来识别或确认某个有生命自然人(通常称为数据主体)的信息。
如上定义,个人数据可能包括以下方面:
★ 名称
★ 身份识别码 (ID)
★ 位置数据
★ 与数据主体的身体、遗传、精神、经济、文化、生理或社会身份有关的具体信息
★ 生物识别数据,如指纹或人脸
★ 种族或族裔信息
★ 医疗保健信息
★ 工会会员身份等
GDPR 扩大了个人数据的范围,使之包括与可识别的自然人有关的任何信息。这包括明显属于个人的详细信息,如某人的姓名和地址,但也包括可用于识别某人的任何其他信息,例如他们的 IP 地址以及与 Web 浏览会话相关的某些 Cookie 标识符。
问题四、数据主体拥有哪些权利?(GDPR第15-22条)
GDPR 将数据主体定义为“一个已识别或可识别的自然人”。数据主体拥有以下权利:
★ 知情权:必须以易于理解的方式告知数据主体其个人数据的收集和处理方式
★ 数据可携带权:数据主体可以将其数据从一个数据控制者处转移到另一个数据控制者处
★ 访问权:数据主体有权获得所收集之个人数据的副本
★ 更正权:数据主体可以纠正有关自身的不准确数据
★ 删除权:数据主体可以要求删除其数据(也称为被遗忘权)
★ 限制处理权:在某些情况下,数据主体可以限制其个人数据的处理方式
★ 反对权:数据主体有权反对其个人数据的处理方式,在某些情况下,数据控制者或数据处理者有义务遵守数据主体的反对
★ 反对自动化决策权:数据主体可以反对完全基于自动数据处理的、对其有法律影响的决定
问题五、违反GDPR将会面临哪些处罚?(GDPR第83-84条)
GDPR 描述了对违反其政策的企业所处的罚金。
GDPR 规定了两级罚款,每级对应不同的违规类别:
★ 第一级:违规行为将被处以最高 1000 万欧元或企业全球年收入 2% 的罚款,以较高者为准。
★ 第二级:违规行为将被处以最高 2000 万欧元或企业全球年收入 4% 的罚款,以较高者为准。
除了这些罚款外,当企业违反 GDPR 时,数据主体可要求损害赔偿。
问题六、数据控制者和处理者处理个人数据应遵循哪些关键原则?(GDPR第5条)
GDPR 规定了数据控制者和处理者应如何处理个人数据的七个关键原则(GDPR第5条):
★ 合法性、公平性和透明性
★ 目的限制
★ 数据最小化
★ 准确性
★ 存储限制
★ 完整性和保密性(安全性)
★ 问责制
除了详细描述这些原则外,GDPR 还要求数据控制者和处理者采取一些具体行动。其中包括:
★ 保存记录:数据处理者必须保存其处理活动的记录。(GDPR第30条)
★ 安全措施:数据控制者和处理者必须定期使用和测试适当的安全措施,以保护他们收集和处理的数据。(GDPR第30条)
★ 数据泄露通知:遭受个人数据泄露的数据控制者必须在 72 小时内通知有关当局,例外情况除外。通常情况下,他们还必须通知其个人数据受到泄露影响的个人。(GDPR第33-34条)
★ 数据保护官 (DPO):处理数据的公司可能需要雇用一名数据保护官 (DPO)。DPO 领导并监督所有的 GDPR 合规工作。(GDPR第37-39条)
对数据控制者和处理者的所有要求都在 GDPR 中进行了说明。
问题七、数据控制者和处理者应采取哪些措施确保数据安全?(GDPR第32条)
GDPR第32条主要强调了在处理个人数据时,控制者和处理者必须采取适当的技术和组织措施来确保数据的安全性。这包括:
(1) 风险评估:根据当前技术水平、成本、处理的性质、范围和目的,以及可能对个人自由和权利造成的风险,采取合理的安全措施。
(2) 数据保护措施:实施数据匿名化和加密,确保处理系统的保密性、完整性、可用性和可恢复性。
(3) 应对事故的能力:在发生物理或技术事故时,能够恢复数据的可用性并及时获取个人信息。
(4) 定期检测:定期测试、评估和评价技术和组织措施的有效性,以确保处理过程的安全性。
(5) 合规性证明:可以通过参考批准的法律行为或通过的认证机制来证明符合本条要求。
(6) 访问控制:控制者和处理者应采取措施,确保只有在控制者指示或法律要求的情况下,才能处理个人数据。
总的来说,这条法规要求在处理个人数据时,必须考虑到安全性,并采取一系列措施来保护数据不被非法处理或意外损失,同时确保在必要时能够恢复数据。
问题八、针对数据转移与跨境数据传输,有哪些具体规则?(GDPR第44至50条)
针对数据转移与跨境数据传输的具体规则主要涉及以下的几个方面:
(1)“充分保护水平”:将个人数据从欧盟转移到第三国的活动仅限于欧盟委员会决定具有“充分保护水平”的国家。GDPR同时提供了评估保护程度的充足性时会考虑的相关因素。
(2)“受适当保障措施约束”:数据控制者或处理者必须对数据提供适当的保障措施,以及为数据主体提供可执行的权利以及有效的救济措施,才能进行数据跨境转移。适当的保障措施包括数据控制者或数据处理者与数据控制者、数据处理者或第三国或国际组织的个人数据接收者之间的合同条款。
(3)“有约束力的公司规则”:GDPR对公司规则是否具有足够的约束力给出了具体的评价标准,同时明确了欧盟委员会可以明确数据控制者、数据处理者和监管机构之间为了约束性公司规则而进行信息交换的形式和程序。
(4)“未经欧盟法授权的转移或披露”:明确了在经法庭判决、仲裁裁决或第三国行政机构决定的情况下,进行数据转移或披露的条件。
(5)“特殊情形下的克减”:明确了在不满足前述“充分保护水平”“受适当保障措施约束”以及“有约束力的公司规则”,但仍可以进行数据跨境的情形。从数据合规的角度来看,企业需要在现有的法律框架下完成相关的合规工作以避免潜在的处罚风险。那么,GDPR中其他与企业合规相关性更高的条款就值得引起企业的注意。
首先需要明确的是,相对于数据处理者,数据控制者对GDPR下的数据保护合规性负有相对而言更高的责任。例如根据第28条第1款的要求,数据控制者负有保证其所使用的数据处理者应当提供充分保证,以执行适当的技术和组织措施,使处理满足GDPR的要求,并确保数据主体的权利得到保护。第28条第3款所规定的数据处理者处理个人数据只能基于数据控制者的书面指示,包括有关个人数据向第三国或国际组织的转移,也印证了二者在GDPR下所负的义务不同。这将直接影响到企业在不同语境下所应尽的合规义务。同时第28条第4款、第5款所涉及的数据控制者与数据处理者之间的合同安排、被认可的行为准则的履行及遵守状况,也将影响到企业是否符合“受适当保障措施约束”的判断。
其次,“有约束力的公司规则”是针对企业,特别是跨国企业的一项制度,该规则要求企业通过内部设置规则的方式实现自我约束,从而满足合规要求,达到数据跨境传输的要求从而可以实现数据跨境。总体而言,约束性企业规则与GDPR问责制是具有逻辑一致性的,它可以保证企业在GDPR的总体框架下通过其内部的制度保证内部适用统一的标准来实现统一标准下对数据主体的保护,以此来达到防范数据跨境可能引发的潜在风险的目的。而企业如何保证其所设置的公司规则具有足够的约束力以达到GDPR的要求,则是企业数据合规的重要课题之一。
问题九、GDPR对数据保护影响评估(DPIA)的要求有哪些?(GDPR第35条)
数据影响评估,以下简称DPIA,是一个旨在帮助企业系统地分析、识别和最小化项目的数据保护风险的过程。同时是在GDPR下履行问责义务的关键部分,如果做得恰当,可帮助企业证明合规性。
企业进行DPIA并不意味着能消除所有风险,但却可以帮助企业最小化风险,以及确定在这种情况下风险等级是否可接受,同时可兼顾到企业希望实现的好处。
DPIA旨在成为一种灵活且可扩展的工具,企业可以将其应用于各种项目的风险评估。它可以涵盖单个处理操作或一组类似的处理操作。但DPIA不是一次性的练习。企业应该将其视为一个持续的过程,定期审核。在此,建议企业使用本指南作为起点,开发自己的模板和流程以满足企业的特定需求。
综上可知,尤其在以下情况下需要DPIA:
★ 对个人特征数据进行系统和广泛的评估和分析;
★ 大规模处理敏感数据;
★ 大规模公共区域的系统监测。
另外,GDPR工作组规定:“评分/特征分析、对受影响者产生法律后果的自动决定、系统监测、特殊个人数据的处理、大规模处理的数据、通过各种程序收集的数据的合并或组合、关于无行为能力的人或行动能力有限的人的数据、使用新技术或生物识别程序、向欧盟/欧洲经济共同体以外国家的数据传输以及妨碍行使其权利的数据处理。”以上处理是对自然人的权利和自由具有很高风险的处理。
如果处理操作仅满足以上规定之一,隐私影响评估(PIA)不是绝对必要的。但是,如果同时满足几个高风险处理规定,数据主体的风险预计会很高,就需要进行数据保护影响(DPIA)评估。且这一过程至少应该每三年进行一次。
需要DPIA的数据处理如:银行根据信用参考数据库对其客户进行筛选; 一家医院即将实施一个新的健康信息数据库,其中包含患者的健康数据; 公交运营商即将实施车载摄像头,以监控驾驶员和乘客的行为。
不需要DPIA的数据处理如:社区医生处理患者的个人数据。在这种情况下,不需要DPIA,因为在患者数量有限的情况下,社区医生的处理不是大规模的。
问题十、关于第三方个人数据,GDPR有哪些规定?数据处理协议(GDPR第28条)
关于第三方个人数据,即来自欧盟数据主体之外第三方的数据,以及在该地区外共享的个人数据,GDPR 也做出了多项规定。GDPR规定:
数据控制方在将个人数据传输到国际组织机构或其他国家/地区之前必须征得许可;
数据控制方必须详细说明,除数据主体外还从哪些来源收集了何种数据。
值得注意的是,GDPR 要求数据处理方和控制方承担同等责任。这意味着,不合规的第三方数据处理方会影响整个组织机构的合规状态。法案还对举报数据链条中的违规行为提出了严格要求。
【本文作者】
地址:江苏省南京市建邺区云龙山路89号龙湖天街2号楼1301
电话:(025)83707073
咨询及合作:请发送邮件至xeoninfo@163.com
应聘及实习:请发送邮件至xeonhr@163.com
投诉或特别情况:请发送邮件至主任合伙人邮箱xeonzxy@163.com