歐盟《通用數據保護條例》(GDPR)實務指引(全文版)
來源:電子政務網 更新時間:2021-09-10

摘要:《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)為歐洲聯盟于2018年5月25日出臺的條例,前身是歐盟在1995年制定的《計算機數據保護法》。
關鍵詞: GDPR 通用數據保護條例


導讀

本文除開篇給大家重磅推薦明日即將實施的歐盟《一般數據保護條例》GDPR(漢英對照)這部新作外,還將于生效后GDPR對企業的數據保護義務提出了全新的監管要求,將對中國企業在歐盟市場的投資、銷售和運營產生顯著影響,并成為中國企業必須直面的重大法律障礙作指引匯總。指引整理來自于大成數據保護團隊的歐盟與中國律師聯合推出11篇系列原創文章,以協助中國企業從實務角度理解和遵從GDPR,并為中國正在制定的《網絡安全法》實施細則和指南提供立法參考。歡迎轉需分享。

 

歐盟《通用數據保護條例》

(GDPR)實務指引

作者丨Dentons Boekel、Marc Elshof、Barry Breedijk、 Celine van Es 來源丨個人信息與數據保護實務評論

【目次】

壹.序言

貳. GDPR的地域適用范圍

叁.個人敏感數據

肆.問責機制—從設計著手隱私保護和默認隱私保護

伍. 數據主體的權利(知情權)

陸.數據主體的權利(訪問權、更正權和可攜權)

柒.數據主體的權利(刪除權、限制處理權、反對權和自動化個人決策相關權利)

捌.數據處理者

玖.數據泄露和通知

拾. 數據保護官

拾壹. GDPR下的數據處理者

 

認領說明:礙于微信字節限制,無法安放11章指引內容,故小編已將該《指引》整理精編成文本供諸位下載,具體下載通道和方法敬請點擊識別下述部落格二維碼獲取。

 

【壹】

序言

歐盟議會于2016年4月14日通過的《通用數據保護條例(General DataProtectionRegulations)》(“GDPR”)將于2018年5月25日在歐盟成員國內正式生效實施。該條例的適用范圍極為廣泛,任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受該條例的約束。比如,即使一個主體不屬于歐盟成員國的公司(包括免費服務),只要滿足下列兩個條件之一:

(1)為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。

(2)為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息,其就受到GDPR的管轄。

毫無疑問,GDPR將對中國企業在歐盟市場的投資、銷售和運營產生顯著影響,并成為中國企業必須直面的重大法律監管障礙。違反該條例將會導致嚴重的法律后果;其中,重大違反(Most Severe Infringement)所遭致的行政罰款的上限是2000萬歐元或該企業上一財年全球年度營業總額的4%(以較高者為準)。

為協助中國企業應對GPDR的合規要求以及潛在的法律風險,自2018年1月起,大成數據保護團隊將于每周四通過公眾號“個人信息與數據保護實務評論”,定期推送GDPR實務指引系列專業文章,供讀者參考。本系列實務文章的英文版本是由大成荷蘭辦公室(Dentons Boekel N. V.)的合伙人律師Marc Elshof團隊完成。針對本系列文章有相關問題,請與鄧志松律師(北京,zhisong.deng@dentons.cn)或戴健民律師(上海,jianmin.dai@dentons.cn)聯系。

 

【貳】

GDPR的地域適用范圍

歐洲隱私法律的地域適用范圍正在通過GDPR不斷擴大。而正是由于這種適用范圍的擴大,位于歐盟境外、不受現行歐洲隱私法律規制的許多組織也將隨著GDPR的實施而不得不適用歐盟隱私法律。GDPR要求這些組織及時對GDPR的“合規”要求作出回應。

第一,GDPR適用于在歐盟境內設有業務機構(establishment)的組織,只要這些組織在業務機構在歐盟境內的活動中處理個人數據(而不論此類處理行為是否實際發生在歐盟境內)。

對“場地(location)”這一概念的解釋必須寬泛、靈活。要求是通過可持續場地進行有效、真實的活動(小型活動即可)。法律形式(例如分公司或具有法人資格的子公司)并不是決定性因素。因此,在歐盟境內設有唯一代表即足以符合適用條件。

并不要求個人數據處理行為必須由該業務機構自身進行。但是要求此類處理行為必須是在業務機構的活動中發生的(通常是同時具備上述兩個特點,但必須始終滿足此句所述條件)。如果業務機構的活動與母公司的活動密不可分(例如,業務機構存在的目的就是為了母公司的經濟效益),則相關的個人數據處理行為就應當受到GDPR的規制。

因此,如果業務機構(例如分公司或聯絡代理)的活動與位于歐盟境外的組織進行的個人數據處理密不可分,則應當適用GDPR。

第二,如某一組織雖不在歐盟境內設立業務機構,但卻處理歐盟境內個人的個人數據,并且此類處理行為與向歐盟境內個人提供商品或服務相關,無論該等商品或服務是否收費,則也應當適用GDPR。

如果非歐盟組織機構意圖向歐盟境內個人提供商品或服務,則其將被視為在歐盟境內提供商品或服務。僅僅是能從歐盟境內訪問網站或其聯系方式或使用該組織設立國家常用的語言原則上不足以被視為有上述意圖。使用一個或多個成員國的語言和/或貨幣、來自歐盟客戶(例如在網站上)的推薦、使用搜索引擎中針對一個或多個成員國的廣告和/或使用頂級域名(例如.eu或.nl)可能導致商品或服務被視為在歐盟境內提供。

第三,GDPR適用于非歐盟組織處理歐盟境內個人的個人數據,只要此類處理行為涉及對這些個人的行為進行監控,且該處理行為發生在歐盟。

如果(尤其是)為了作出與這些個人有關的決定或者為了分析或預測其個人喜好、行為和態度,而在互聯網上追蹤這些個人,且在此過程中使用了處理技術來形成畫像等,則構成監控行為。

目前尚不清楚監控行為到何種程度才適用GDPR。原則上,使用所謂的“追蹤cookies”和監控使用的應用程序的網站在GDPR的適用范圍內(只要該等網站處理個人數據)。歐洲法院最近裁定,在某些情況下,動態IP地址也可視為個人數據。因此,存儲動態IP地址日志數據的網站的所有者也可能受GDPR的規制。

后續措施

各類組織最好確認其活動是否在GDPR的地域適用范圍內。鑒于“業務機構”和“提供商品或服務”標準的解釋較為寬泛,所以更應如此。貫徹落實GDPR需要大量的時間、規劃和資源。

同意——處理個人數據的正當理由

根據荷蘭《個人數據保護法》(Personal Data Protection Act,“DPA”),“同意”是處理個人數據的六項法律依據之一。在沒有法律依據的情況下處理個人數據是不被允許的。歐盟《一般數據保護條例》(General Data Protection Regulation,“GDPR”)也規定,“同意”是數據處理的法律基礎。GDPR的多個部分都提到了同意機制。基于此,本文主要對DPA和GDPR在以下方面的差異進行闡述:(1)同意機制的法律框架和(2)有效同意的構成要件。

同意的法律框架

DPA下“同意”的概念完全依照歐盟第95/46/EC號指令中的定義,即“數據主體的同意是指:數據主體依照其意愿自由作出的特定的、知情的指示。通過該等指示,數據主體表明其同意處理與其相關的個人數據。”

法律框架由多個可廣泛解釋的條款構成,這使其產生了法律不確定性。因此,一個由歐洲隱私監管機構組成的獨立咨詢顧問機構——第29條工作組,在2011年7月對“同意”概念作出了全面分析。工作組的意見解釋了同意機制相關法律框架的幾個關鍵要素。這些要素是,并且一直是歐盟數據保護機構解釋“同意”概念的重要指南。簡而言之:

同意必須是自由作出的。這意味著數據主體在作出同意時,其選擇是真實的,例如,不存在受到脅迫或者欺詐的風險。如果數據主體會受到數據控制者的影響(例如,數據控制者是數據主體的雇主,或者是一個公共權威),則考慮到此類關系的性質,同意并不當然被認為是自由作出的。

同意必須是特定的。無明確目的的概括式的同意是無效的。同意應當清晰準確地指明數據處理的范圍和結果。特定的同意條款需要與一般條款相區分。

同意必須是在知情的情況下作出的。根據DPA第33、34條,數據控制者必須向數據主體提供一定的關于數據處理的最低限度的信息。被提供的信息應足以保證數據主體能夠作出充分知情的選擇。至于信息的質量,信息提供必須使用數據主體能夠理解的語言。復雜的法律術語是不合適的。

而且,被提供的信息必須是清楚且足夠顯著的,以使數據主體不能輕易忽略。另外,信息必須是直接提供給數據主體的,僅指示可供訪問的信息的地址(例如,網絡上的“某處”)是不夠的。

同意還須結合DPA中提到的進一步要求。基于同意的數據處理,要求該同意是明確的。數據主體明確作出的指示,不能對其意愿留有不明確的空間。如果存在合理懷疑,則認為不明確。

根據第29條工作組的意見,不明確的同意不適用于基于不作為或者沉默取得同意的方式(例如,不適用于預先勾選的選擇框)。

在處理特殊類別的數據(例如,健康數據)時,同意必須是明示的。需要數據主體給予積極回復。

GDPR下同意的法律框架

GDPR第4條第11款將“同意”定義為:“數據主體的同意是指,數據主體依照其意愿自由作出的、特定的、知情的、明確的指示。通過以聲明或清晰肯定的行為作出的該等指示,數據主體表明其同意處理與其相關的個人數據。”

從該新法律框架看,歐洲立法者似乎在其對法律框架的整體評估中回應了第29條工作組提出的某些修改。鑒于歐盟第95/46/EC號指令下“同意”的概念被一字不變地移植到DPA中,因此從荷蘭法的角度并沒有太多改動(與其他歐盟成員國相比)。該定義已變得更加規范,但大部分并非新內容。最主要的修改如下:

同意必須以聲明或清晰肯定的行為作出。數據主體的行為是明確被要求的。包括,例如,點擊對話框和選擇特定的技術網絡瀏覽器設置。因此,預先勾選的選擇框并不構成同意。

根據第29條工作組的分析,“同意”似乎要求數據主體作出行為,現在GDPR明確了這一要求。這就需要相關組織重新考慮其目前從數據主體處取得同意的方式。

GDPR下有效同意的要件

GDPR第7條規定了有效同意的要件,其中某些在DPA中沒有具體規定。有效同意的要件之一是,數據控制者必須能夠證明,數據主體確實同意處理其個人數據。書面聲明不是必須的,但推薦使用,因為證明責任在數據控制者這邊。網上作出同意的充分記錄(例如,通過在網站上的聯系方式)應當作為標準。

如果數據主體通過書面聲明的方式作出同意,且書面聲明涉及其他事項,那么同意應以易于理解且與其他事項顯著區別的形式呈現。如果信息的提供不符合本規定,同意將可能無效。

根據DPA,數據主體有權隨時撤回其同意。撤回同意應當同給出同意一樣容易。GDPR的新規定為,數據主體必須在作出同意前被告知其撤回權。此外,數據主體還必須被告知撤回不影響在撤回前基于同意對其個人數據的處理。這不僅需要隱私政策的修訂,也可能需要相關組織內部流程的改變,以確保撤回同意與給出同意同樣容易。

兒童的同意

對于向兒童提供信息社會服務(簡而言之:所有在線服務,無論是免費的或付費的,包括社交媒體),應當適用特殊的同意規則。原因是,兒童應被給予額外的保護,因其一般都缺乏對風險、保障措施和與處理個人數據相關權利的了解。這種特殊的保護應適用于,當服務被直接提供給兒童時,兒童的個人數據被用于市場營銷或創建個性/用戶模型,以及收集兒童的個人數據的情況。任何信息和溝通都應當以清晰且簡明的語言表達,使得兒童容易理解。

只有在兒童年滿16周歲時,基于同意的數據處理才是合法的。如果兒童未滿該年齡,則只有在有監護權的父母同意(或授權)的情況下,數據處理才是合法的。歐盟各成員國可以規定更低的年齡門檻,但不得低于13周歲。荷蘭將不會規定更低的年齡(據立法者稱,沒有理由改變目前的情況)。歐盟范圍內的相關組織,在取得同意的基礎上處理兒童的個人數據時,應了解歐盟各成員國在這方面的立法。

對于缺乏法律行為能力的其他數據主體,《GDPR荷蘭實施法案》(“實施法案”)規定,被接管(curatele)或置于保護令(mentorschap)之下的數據主體,也需要其法定代表人的同意(同意也可由法定代表人撤回)。

考慮到現有技術,數據控制者應作出合理的努力,以證明同意實際是由法定代表人作出或授權的。

目前基于同意處理個人數據的相關組織

GDPR第171條規定:

“GDPR將取代歐盟第95/46/EC號指令。本條例施行之日已在進行中的數據處理,須在本條例生效之日起兩年內符合本條例的規定。若處理是基于歐盟第95/46/EC號指令下的同意,且該同意的形式符合本條例的規定,則數據主體不需要再次給出同意,以使數據控制者在本條例施行之后繼續處理。(…)”

主要規則是,如果同意的取得符合GDPR規定,則不需要相關組織再次取得同意。然而,當在DPA下取得的同意不符合GDPR的規定時,該同意是否將在2018年5月25日失去效力,并不完全清楚。可以認為,歐洲立法者最為重視處理的連續性:“以使數據控制者在本條例施行之后繼續處理”。另一方面,根據第171條的具體表述(“本條例施行之日已在進行中的數據處理,須在本條例生效之日起兩年內符合本條例的規定”以及“如果該同意的形式符合本條例的規定”)所得出的結論是:同意應被重新取得。

作為對實施法案質詢的一部分,這個問題被提交給了荷蘭立法者。其可能在下一版本實施法案(解釋備忘錄)中被進一步澄清。

實務建議

將數據主體的同意作為數據處理活動的合法依據的相關組織,應當檢查當前取得的同意是否符合GDPR的要求。如果不符合,內部流程應當遵照這些要求,數據控制者也應當考慮按照GDPR的要求重新取得同意(以避免在2018年5月25日后同意失效的風險)。此外,相關組織應建立機制以證明同意是有效的,并確保同意可以被容易地撤回。

相關組織可以進一步考慮,其他(也許更適當的)數據處理的法律依據是否可行和理想。

相關組織未能履行新的義務,將面臨荷蘭數據保護監管機構(de Autoriteit Persoonsgegevens)或者歐盟其他國家活躍的監管機構的嚴重行政罰款的風險。

 

【叁】

個人敏感數據

本第三份關于《通用數據保護條例》的業務通訊將闡述,荷蘭《個人數據保護法》(Personal Data Protection Act,“DPA”)所實施的《數據保護指令》(第95/46/EC號指令)和《通用數據保護條例》(General Data Protection Regulation,“GDPR”)下個人敏感數據處理的差異。

乍看之下,在個人敏感數據處理方面,GDPR(較第95/46/EC號指令)的變化似乎是有限的。與DPA相似,原則上禁止處理個人敏感數據,并且,處理此類數據的依據也與DPA大致相同。

什么是個人敏感數據?

根據GDPR,涉及以下一種或一種以上類別的個人數據視為敏感數據:

1.種族或民族出身

2.政治觀點

3.宗教/哲學信仰

4.工會成員身份

5.涉及健康、性生活或性取向的數據

6.基因數據(新)

7.經處理可識別特定個人的生物識別數據(新)

除目前個人敏感數據明確包括基因數據和生物識別數據外,上述類別大致與DPA中的類別相似。此外,根據GDPR,處理照片并不當然地被認為是處理個人敏感數據。僅在通過特定技術方法對照片進行處理,使其能夠識別或認證特定自然人時,照片才被認為是生物識別數據。

禁止處理敏感數據的例外

根據GDPR,敏感數據的處理僅在下列例外情況下才被允許:

1. 數據主體明示同意。該等同意應當是自由作出的,特定的,知情的且明確的(參見2017年2月的業務通訊)。需要注意的是,雇主對員工醫療數據的處理(包括藥物或酒精測試)不能以員工的同意為依據。這是因為,考慮到雙方的層級關系,這種同意不被視為是自由作出的。

2. 在勞動法、社會保障法或社會保護法領域,雇主對此類數據的處理必須在歐盟或成員國法律或集體協議授權的范圍內進行。

3. 在數據主體因為身體上或法律上的原因(緊急情況)不能作出同意時,為保護數據主體或他人的重大利益之目的所必需的處理。

4. 處理是由具有政治、哲學、宗教或工會目的的非營利團體進行的,并且該等處理僅涉及團體成員或前成員,同時,相關數據在未經數據主體同意的情況下不會向第三方披露。

5. 涉及已由數據主體公開的個人數據的處理。

6. 為合法訴求的成立、行使或抗辯或法院行使其司法職能之目的所必需的處理。

7. 根據歐盟或成員國的法律,為重大公共利益所必需的處理。該處理所追求的目的應當是適當的,且包含合理的數據保護措施。

8. 根據歐盟或成員國的法律或與醫療專業人士的合同,為預防醫學或職業醫學,為評估雇員的工作能力,醫療診斷,提供衛生或社會保健或治療或衛生社會保健系統和服務管理之目的所必需的處理。

9. 根據歐盟或成員國法律規定以適當的、特定的措施保障數據主體的權利和自由,在公共健康領域中為公共利益之目的所必需的處理。例如抵御嚴重的跨境衛生威脅,或確保醫療保健和醫藥產品或醫療器械的高標準。

10. 根據歐盟或成員國法律,為公共利益,統計,科學或歷史研究之目的所必需的處理。該處理所追求的目的應當是適當的,尊重數據保護的基本權利,并采取了適當的、特定的措施以保障數據主體的基本權利和利益。

雖然在個人敏感數據的類型和數據處理的依據方面基本復制了DPA,但GDPR仍帶來了新的變化。

首先,上述第2,7,8,9,10項參照成員國法作為數據處理的法律依據,同時,GDPR允許歐盟成員國維持或引入更多條件,包括關于處理基因數據,生物識別數據或健康數據的限制。

因此,在這些方面,成員國之間的分歧可能會繼續存在,也可能進一步加深。

最近,荷蘭政府發布了一項對于實施法案的提議。根據本實施法案,處理個人敏感數據的條件仍與DPA的規定相似。

第二,當個人數據的處理可能給數據主體的權利或自由造成高風險時,相關組織有義務進行隱私影響評估(Privacy Impact Assessment,“PIA”)。PIA的目的是識別此類高風險以及制定應對風險的措施。PIA必須在處理開始之前進行。

GDPR明確規定,在對個人敏感數據或與刑事記錄和犯罪相關的個人數據進行大規模處理前,必須進行PIA。(我們將會在后續GDPR業務通訊中更詳細地論述PIA)

第三,個人敏感數據的大規模處理可能要求數據控制者(或處理者)委派一位數據保護專員(Data Protection Officer,“DPO”)。我們將在接下來的業務通訊中講解DPO和PIA。

實務建議

就個人敏感信息處理而言,GDPR的生效將不會對現行做法產生實質性影響,乍看之下其變化似乎也是有限的。但是,這些變化可能會對相關組織處理個人敏感數據的方式產生影響。因此,涉及個人敏感數據處理的相關組織須審查現有的政策和做法,并確保:

1. 在大規模處理個人敏感數據之前實施了PIA;

2. 若基于同意處理個人敏感數據,則該等同意應滿足GDPR項下的新要求。注意:在雇傭關系中,原則上,同意處理敏感數據不被認為是自愿作出;

3. 根據需要委派DPO;

4. 個人敏感數據的處理須滿足相關成員國的條件(包括限制)。

 

【肆】

問責機制—從設計著手隱私保護和默認隱私保護

引言

本期主要探討(新)數據保護問責原則:從設計著手隱私保護和默認隱私保護。

根據《荷蘭個人數據保護法》(Dutch Personal Data Protection Act, the “DPA”),處理個人數據的組織機構必須就其處理活動通知監管機構。而根據《通用數據保護條例》(General Data Protection Regulation, the “GDPR”),各類組織機構將不再負有報告其數據處理活動的義務,但是他們在這方面須承擔更多的責任。GDPR強調“問責”原則,即要求組織機構采取一切技術性和組織性措施遵守GDPR的各項原則和義務。此外,GDPR還要求他們能夠證明其合規性。正如預期的那樣,新引入的數據保護原則將對他們當前的實踐產生重大影響。

根據GDPR的規定,各類組織機構必須(i)保存其個人數據處理活動的詳細記錄,(ii)在適用的情況下,進行隱私影響評估,并(iii)執行從設計著手數據保護(Privacy by Design)和默認數據保護的原則 (Privacy by Default)。

問責原則

GDPR第5(2)條規定了問責原則:

“控制者有義務遵守并應能夠證明其遵守第1款(“問責原則”)的規定。”

“第1款”是指GDPR第5(1)條,該條款列出了個人數據處理有關的原則。根據GDPR第5(1)條的規定,個人數據應:

以合法、公正、透明的方式處理(對數據主體而言);

出于指定、明確、合法的目的而收集,不以不符合這些目的的方式進一步予以處理;

充分、相關并以該等個人數據處理目的所需要的為限;

準確以及(必要時)保持最新;

以下列方式保存:允許識別數據主體的期限不超過該等個人數據處理目的所需要的時間;

以確保個人數據相對安全的方式進行處理。

處理個人數據的組織機構有義務遵守并且必須能夠證明其遵守了上述所有原則。此外,他們必須能夠提供其就上述原則作出決定的依據并且還必須能夠提供相關證明。

GDPR第24條列舉了問責原則落地的一個示例。要求控制者:

“采取適當的技術性和組織性措施確保并能夠證明按照GDPR的規定進行處理活動。必要時應對這些措施進行審查和更新。”

就數據控制者必須準確證明按照GDPR的規定進行數據處理的方式,目前尚無具體規定。預計在2018年5月25日(即GDPR開始正式實施之日)之前,第29條工作組可能會就此提供進一步的指引。

處理活動記錄

GDPR第30條詳述了貫徹落實問責機制理念的具體方法,該條款要求大多數數據控制者和數據處理者保存就其職責范圍內的處理活動的書面(包括電子)記錄。該等書面或電子記錄應至少包含:

1. 控制者的名稱/姓名和聯系方式,以及在適用的情況下,共同控制者、控制者代表和數據保護官的名稱/姓名和聯系方式;

2. 處理的目的;

3. 對數據主體類別和個人數據類別的描述;

4. 已經或將要接收個人數據的接收者(包括第三國的接收者或國際組織)之類別;

5. 在適用的情況下,將個人數據傳輸給第三國或國際組織的情況,包括該第三國或國際組織的身份,以及,在適用的情況下適當保障措施的文件;

6. 在可行的情況下,刪除不同類別數據的預期時限;

7. 在可行的情況下,對技術性和組織性安全措施的概述。

處理者也必須保存代表其數據控制者進行的所有類別處理活動的記錄。該等電子或書面記錄應至少包含:

1. 處理者以及處理者代表其行事的每個控制者的名稱和聯系方式;在適用的情況下,也應包括控制者或處理者的代表以及數據保護官的名稱/姓名和聯系方式;

2. 代表每個控制者進行的處理活動之類別;

3. 在適用的情況下,將個人數據傳輸給第三國或國際組織的情況,以及(在適用的情況下)適當保障措施的文件;

4. 在可行的情況下,對技術性和組織性安全措施的概述。

從設計著手隱私保護和默認隱私保護原則

從設計著手隱私保護和默認隱私保護原則要求各類組織機構在產品和服務的初始設計階段以及整個過程中將數據隱私保護考慮在內。

從設計著手隱私保護

從設計著手隱私保護在開發新產品和服務時非常重要。根據GDPR第25(1)條的規定,控制者在確定處理手段時和在進行處理活動本身時都有義務采取適當的技術性和組織性措施,該等措施旨在有效落實數據保護原則并在處理活動中采取必要的保障措施。

各類組織機構必須確保并能夠證明數據保護自設計過程的早期階段開始就是重點。在較晚的階段才促使相關系統符合GDPR的規定可能會導致不必要的成本。

默認隱私保護

GDPR第25(2)條要求數據控制者采取適當的技術性和組織性措施確保在默認情況下只處理每個特定處理目的所必需的個人數據。這一義務適用于所收集的個人數據的數量、處理范圍、存儲期限和可訪問性。具體而言,默認情況下,在沒有個人介入的前提下,個人數據不應被無限數量的其他個人訪問。

默認隱私保護原則在數據主體選擇分享其個人數據的情況下對服務和產品非常重要。默認隱私保護要求各類組織機構通過使用最方便的隱私設置來保護數據主體的隱私。這一原則尤其在與線上和社交媒體平臺相關的個人數據處理中發揮著重要作用。原則上,預先框選和自動追蹤數據主體位置的應用程序不符合默認隱私保護要求。

如何遵守?

各類組織機構所實行的內部政策和所實施的措施必須符合從設計著手數據保護和默認數據保護原則。這些措施包括:盡量減少個人數據的處理、盡快將個人數據匿名化、個人數據功能和處理透明化、讓數據主體能夠監控數據處理,并讓數據控制者能夠建立和改善安全功能。

在開發、設計、選擇和使用基于個人數據處理或其用途包含個人數據處理的應用程序、服務和產品時,應鼓勵生產者考慮數據保護權,以確保控制者和處理者能夠履行其數據保護義務。

經批準的認證機制可被用作證明遵守從設計著手隱私保護和默認隱私保護要求的證據之一。

實務建議和結論

從GDPR開始實施的那一刻起,保存組織機構內部個人數據處理記錄將不再是監管機構的責任。相反,應由控制者在問責機制約束下保存最新的處理記錄。在兼顧從設計著手隱私保護和默認隱私保護原則的前提下,理論上大多數組織機構都需要在內部政策和技術系統方面做出相應修改。

梳理所有個人數據處理活動將花費大量時間,特別是對處理大量和不同類別個人數據的大型組織機構而言。所有修改內容都應在2018年5月25日之前實施。自該日起,各監管機構將會積極監督和促進GDPR的實施。監管機構將有權對不遵守GDPR的組織機構處以高額罰款。因此,我們建議相關組織結構及時貫徹落實GDPR。從內部對各類個人數據處理活動進行梳理就是開啟這一過程的好方法。

【伍】

數據主體的權利(知情權)

引言

本期主要探討《通用數據保護條例》(General Data Protection Regulation, the “GDPR”)項下向數據主體提供信息的(新)義務。在接下來兩期中,我們將進一步探討數據主體的其他權利(如訪問權、更正權和刪除權)。

GDPR的核心原則之一就是,控制者必須以透明的方式如實告知數據主體收集、使用、查閱或以其他方式處理與其有關的個人數據以及處理或將處理該等個人數據的程度。這一透明性原則要求任何與個人數據處理有關的信息和通信都必須易得易取,而且要使用清晰、簡明的語言。

在這方面,GDPR顯著增加了需提供給數據主體的信息種類的數量。

透明性

根據GDPR的規定,處理個人數據的各類組織機構必須使用清晰、簡潔的語言(特別是在數據主體中包括未成年人的情況下),以簡明、透明、易懂、易得易取的形式提供下列信息。也可使用適當的可視化方法(例如標準化圖標)。

原則上,該等信息必須以書面形式(例如通過隱私政策)和(在適當的時候)以電子手段(例如通過網站)提供。

從數據主體處收集個人數據時需提供的信息

如果直接從數據主體處收集個人數據,則控制者必須向數據主體提供下列信息:

1. 其自身以及其代表(如適用)的身份和聯系方式;

2. 如適用,數據保護官的聯系方式;

3. 個人數據處理的目的和法律依據,包括在處理是基于“為了控制者所追求的合法利益目的所需”這一法律依據的情況下控制者所追求的合法利益;

4. 接收者或接收者類別;

5. 歐盟境外數據傳輸詳情,包括將如何保護數據(例如,采用歐盟標準條款EU Model Clauses或企業約束規則Binding Corporate Rules)以及數據主體如

何獲得所實施的保障措施之副本;

6. 個人數據保存期限,或在明確保存期限不可行的情況下,用于確定保存期限的標準(例如合同關系結束后一年);

7. 數據主體有權查閱及更正其個人數據,反對或要求刪除數據或限制數據處理,以及數據可攜帶性;

8. 如果該等處理是基于同意,數據主體有權隨時撤回其就該等處理給予的同意;

9. 數據主體可向監管機構提起投訴;

10. 提供數據是法律要求還是合同要求,或提供數據是否為訂約所需,或數據主體有無義務提供數據,以及不提供數據的后果;

11. 是否會作出任何自動化決策、決策的邏輯,以及對數據主體的意義和后果。

從數據主體處收集時即應把上述信息提供給數據主體。

非直接從數據主體處收集個人數據時需提供的信息

除上述信息外,如果不是直接從數據主體處收集個人數據,則控制者還須提供以下信息:

1. 相關個人數據類別;

2. 個人數據來源,以及個人數據是否來自可公開訪問的來源(如適用)。

這些信息必須在以下期限內提供給數據主體:

1. 獲得個人數據后的合理期限內(最長期限為一個月);

2. 如果數據將被用于與數據主體進行通信,則最遲在第一次通信發生時;

3. 如果預期向其他接收者披露個人數據,則最遲在該等披露之前。

進一步處理

如果控制者預期將出于收集個人數據的初始目的以外的其他目的進一步處理個人數據,在進行此類進一步處理之前,控制者必須向數據主體提供該等目的有關的信息,及其他有關信息。

例外情形

如果個人數據是直接從數據主體處收集的,且數據主體已擁有該等信息(信息只須提供一次即可),不適用信息告知義務。

如果個人數據不是直接從數據主體處收集,則在下列情況下,不適用信息告知義務:

1. 數據主體已擁有該等信息;

2. 提供該等信息不可行或者需要付出的努力超出了合理的比例,但前提是控制者采取適當措施保護數據主體的權利、自由和合法利益,包括公開提供該等信息;

3. 歐盟或成員國的法律規定有義務獲取/披露個人數據并規定有適當措施保護數據主體的合法利益;

4. 根據歐盟或成員國法律規定的職業保密義務(例如律師-委托人之間或醫生-患者之間的保密特權),必須對個人數據保密。

實務建議

GDPR將對數據控制者的現有信息告知義務產生實質性影響,因此我們建議各組織機構分析其處理活動并更新其現有(隱私)政策、聲明、(員工)手冊等,以遵守GDPR下的信息告知義務。此外,處理非直接從數據主體處收集的個人數據的組織機構應確保在合理的期限內履行信息告知義務。

 

【陸】

數據主體的權利(訪問權、更正權和可攜權)

引言

上一期我們討論了數據主體的知情權,接下來我們將進一步探究數據主體的其他一些權利。本期我們將探討訪問權、更正權和數據可攜權。

處理個人數據時,相關組織機構有義務告知數據主體其享有的各項權利。如上期實務指引中所提到的,GDPR的實施對數據控制者的現有信息告知義務有實質性影響。這可能——且很有可能——會導致現有的(隱私)政策、聲明、(員工)手冊等需要被進行必要的修改。GDPR要求控制者對數據主體的請求及時作出回應,一般在收到請求后一個月內,無故不得拖延。如果相關組織機構逾期不作回應,數據主體可尋求司法救濟,并可向荷蘭隱私監管機構投訴,監管機構可考慮采取相應的后續措施。如果相關組織機構收到大量的請求或者特別復雜的請求,回應的時限可延長,但最多只能延長兩個月。

訪問權

根據《個人數據保護法》的規定,數據主體有權要求確認是否正在處理與其有關的個人數據以及(在確認答案是肯定的情況下)訪問其個人數據并獲得特定信息。GDPR擴大了控制者需提供的信息范圍。控制者必須應請求向數據主體提供以下方面的信息:

1.處理目的;

2.相關個人數據類別;

3.已經或將要接收個人數據的接收者或接收者之類別,尤其是第三國或國際組織的接收者;

4.(在可確定的情況下)個人數據的預期存儲期限或者(在不可確定的情況下)用于確定該等期限的標準;

5.存在以下權利:要求控制者更正或刪除與數據主體有關的個人數據或者限制處理與數據主體有關的個人數據,或者反對此類處理;

6.向監管機構提起投訴的權利;

7.(在個人數據不是從數據主體處收集的情況下)可獲得的有關個人數據來源的任何信息;

8.自動化決策(包括畫像)的存在以及(至少在這些情況下)與相關邏輯有關的有意義的信息,以及此類處理對數據主體的重要性和預期后果。

第4、5、6、8項是新增加的信息告知義務。新增的規定還包括在適用的情況下,控制者有義務告知數據主體與將其個人數據傳輸給歐洲經濟區以外的國家或國際組織有關的適當保障措施。因此,相較于《個人數據保護法》,GDPR下的信息請求很可能會給相關組織機構造成更大的行政管理負擔。

與《個人數據保護法》不同的是,在GDPR下,控制者有義務向數據主體免費提供其個人數據副本一份。只有數據主體要求提供一份以上的其個人數據副本時,控制者方可收取合理的費用(根據內部行政管理成本)。如果控制者處理大量與數據主體有關的信息,其可要求數據主體指明該項請求所涉及的信息或處理活動。

控制者必須采取一切合理措施來驗證請求訪問的數據主體的身份,尤其是在在線服務和在線識別的情況下。但是,控制者不得僅僅為了能夠回應潛在的請求而處理個人數據。

限制

數據主體必須能夠在合理的時間間隔內不費力地行使其訪問權,以了解和核實與其數據有關的處理的合法性。出于非數據保護目的而提出的請求可能會被拒絕。如果數據主體以電子形式提出請求,則除非數據主體另有要求,否則信息必須以常用電子形式提供。此外,在可行的情況下,鼓勵控制者提供對安全系統的遠程訪問權限,授予數據主體直接訪問其個人數據的權利。該訪問權不得對其他主體的權利和自由(包括商業秘密和知識產權,尤其是保護(用于授予訪問權限的系統的)軟件的著作權)產生不利影響。但是,這不得導致拒絕向數據主體提供所有信息(即在這種情況下控制者應該尋找替代方案)。

更正權

根據GDPR的規定,更正權是指數據主體有權要求更正與其有關的不準確個人數據。同時,數據主體有權要求對其不完整的個人數據進行補充,包括通過提供補充聲明要求補充。

與本期討論的其他兩項權利相反,GDPR下的更正權不會導致相關組織機構面臨許多新增的要求。

數據可攜權

GDPR中新增了數據可攜權條款。為了進一步加強數據主體對其自身數據的控制,在以下情況下,數據主體有權從控制者處接收回其提供給控制者的個人數據:

1.處理系基于同意(也適用于特殊類別個人數據)或合同;

2.處理是以自動方式進行的。

數據應以結構化、常用和機器可讀的格式提供。這項權利旨在使數據主體能夠將數據傳輸給另一控制者,而不受前一控制者的阻礙。

如果處理系基于同意或合同以外的任何其他法律依據,例如出于控制者合法利益所需或出于為公眾利益而執行任務所需,可攜權便不適用。

在技術上可行的情況下,數據主體亦可要求控制者將個人數據直接傳輸給另一控制者。

這一要求在控制者之間傳輸個人數據的新權利很可能給控制者帶來額外的行政管理和技術負擔,需要在新(技術)系統和(內部)流程方面進行大量投入。GDPR表示希望控制者受激勵開發可互操作的格式來實現數據可攜性。

接收個人數據的權利不妨礙其他數據主體的權利和自由。此外,數據可攜權不妨礙數據主體獲取刪除其個人數據的權利以及GDPR下對該等權利的限制。

數據可攜權(尤其)不意味著數據主體在履行合同所必需的程度和時間范圍內有權要求刪除其為履行該合同而提供的個人數據。

實務建議和結論

本期實務指引主要探討了數據主體的訪問權、更正權和數據可攜權。各組織機構有義務告知數據主體上述權利,并履行其在這些權利下的義務,且無故不得拖延。數據主體訪問權的擴大和數據主體數據可攜權的引入可能導致內部(技術)系統和流程的更改,并且可能給處理大量個人數據的組織機構帶來額外的行政管理負擔。

數據控制者(尤其是那些處理大量數據主體的個人數據的控制者)有必要開始更新其內部流程和IT系統以遵守上述新要求。效率是關鍵,因為控制者不得因數據主體行使上述權利而向數據主體收取費用。對此,在線門戶網站可能是一個不錯的解決方案,數據主體(客戶,但也包括員工)可通過該等門戶網站修改(和下載)其個人數據,不過,與此同時還應該在這一解決方案與這些系統可能帶來的潛在弊端之間仔細權衡。

 

【柒】

數據主體的權利

(刪除權、限制處理權、反對權和自動化個人決策相關權利)

引言

我們在前兩期中對數據主體的知情權、訪問權、更正權和可攜權等權利進行了討論,本期我們將繼續討論數據主體的其他權利:刪除權、限制處理權、反對權和自動化個人決策相關權利。

刪除權

刪除權也稱“被遺忘權”。刪除權并不是給予數據主體要求刪除數據的絕對權利。《通用數據保護條例》(General Data Protection Regulation, the “GDPR”)規定,數據主體有權在以下情況下要求刪除其數據:

1.個人數據對最初收集該等個人數據的目的而言不再是必需的;

2.數據處理系基于同意且該等同意被撤回(且數據處理無其他法律依據);

3.數據主體反對處理,且數據處理無令人信服的正當處理理由;

4.個人數據系非法收集;

5.為了遵守法定義務,必須刪除個人數據;

6.個人數據處理涉及向兒童提供信息社會服務(特別是在其未充分意識到處理風險的情況下,以兒童的身份作出的同意,尤應刪除其在互聯網上的個人數據)。

《荷蘭數據保護法》(Dutch DataProtection Act, the “DDPA”)目前也規定有刪除權。但是,根據《數據保護法》,只有在個人數據不正確、不完整或不相關的情況下,刪除權方才適用。而根據GDPR的規定,如果存在上述一個或多個限制性理由,則適用刪除權。

如數據控制者已公開個人數據并有義務刪除個人數據,則控制者必須采取合理措施(包括技術性措施)將數據主體已要求刪除其個人數據的事宜通知其他控制者。因該等個人數據已處于公眾知悉的領域,這一義務的影響可能非常廣泛。

刪除個人數據的義務也存在一些例外,即如果數據處理對于以下任一情形而言是必需的,則無需履行這一義務:

1.行使言論和信息自由的權利;

2.遵守歐盟或成員國的法律義務或執行為公共利益或為行使控制者被授予的官方權力而進行的任務;

3.出于公共衛生領域內公共利益的原因;

4.出于公共利益的歸檔目的、科學或者歷史研究目的或者統計目的,只要刪除權可能導致不能實現此類處理目的或者對該等目的的實現造成嚴重影響;

5.為建立、行使或辯護法律請求之目的(尤其是為證據目的)。

限制處理權

根據GDPR的規定,數據主體在以下情況下有權要求(暫時)限制處理其個人數據:

數據主體正在對正被處理的個人數據的準確性提出質疑,但限制處理須以控制者核實個人數據準確性所需的時間為限;

處理是非法的,但數據主體反對刪除其個人數據,而要求限制處理;

數據控制者不再為處理目的而需要個人數據,但數據主體因建立、行使或辯護法律請求之目的而需要個人數據;

在核實控制者的正當理由是否優先于數據主體的正當理由之前,數據主體反對處理。

在限制處理期間,“標記的”個人數據只能由控制者存儲。禁止進行其他與“標記的”數據有關的處理活動。如果個人數據處于“處理受限”狀態,則控制者在數據主體同意的情況下或者該等處理行為時為了建立、行使或辯護法律請求,保護第三方所必需的情況下,或者為維護相關成員國和/或歐盟的重大公共利益所必需,則仍可進一步處理這些數據。

處理限制必須在控制者的系統中明確標示。控制者組織內部可以用來限制個人數據處理的方法包括暫時從網站上刪除或屏蔽已發布的數據或將“標記的”個人數據臨時轉移到另一處理系統,使“標記的”個人數據不再可獲得。處理限制原則上應該通過技術手段來保證實現,并且個人數據應當以不允許進一步處理和更改的方式記錄在控制者的IT系統中。

解除任何處理限制之前,控制者必須通知數據主體。

反對權

根據GDPR規定,數據主體有權在以下三種情況下反對處理其個人數據:

1.個人數據處理是基于“維護公共利益所必需”或“維護控制者所追求的合法利益所必需”這兩個理由;

2.個人數據處理是出于直接營銷目的;

3.個人數據處理是出于科學、歷史研究或統計目的。

1.個人數據處理是基于“維護公共利益所必需”或“維護控制者所追求的合法利益所必需”這兩個理由

就本項情況而言,如果數據主體反對數據處理行為,則控制者必須停止處理個人數據,除非其能證明其擁有令人信服的、優先于數據主體利益的正當理由,或者是為了建立、行使或辯護法律請求。

較之目前,這是變化之一。根據DDPA的規定,數據主體必須給出與其特定情況相關的令人信服的正當理由,才可反對處理其個人數據。而GDPR不再作此要求:如果數據主體提出反對,控制者必須證明為什么其仍能夠處理個人數據。

2.個人數據處理是出于直接營銷目的

就本項情況而言,反對權是絕對的:如果數據主體提出反對,控制者必須停止為直接營銷目的(包括與直接營銷目的有關的畫像)處理該數據主體的個人數據。

GDPR強調,反對為直接營銷目的進行處理的權利應明確地告知數據主體,并與其他任何信息分開獨立、清晰地列明(例如,不能“隱藏”在適用的一般條款和條件中)。最遲應該在與數據主體初次聯系時告知數據主體該權利。

3.個人數據處理是出于科學、歷史研究或統計目的

就本項情況而言,只有在存在與數據主體的特定情況有關的理由時,數據主體才有權提出反對。此外,如果對于執行為了維護公共利益而進行的任務而言處理是必需的,則屬反對權的例外。

自動化個人決策相關權利

根據GDPR的規定,數據主體有權不適用完全基于自動化處理(包括畫像)的決策,如果前述決策產生與數據主體有關的法律效果或者對數據主體產生類似的重大影響。舉例而言,此類決策包括無人為干預下的拒絕在線信貸申請、網絡招聘或在線績效評估。

根據荷蘭的執行法草案的解釋性備忘錄草案,該條款禁止使數據主體適用完全基于自動化處理活動的決策。該條款并不禁止畫像或使用自動化處理活動,但是——如果用于作出針對數據主體的決策——這些活動應該與人為干預結合使用。

在歐盟或成員國法律明確授權的情況下(包括出于監控欺詐和逃稅目的),如果對于在控制者和數據主體之間簽訂或履行合同而言是必需的,或者如果數據主體已給予明確同意,則允許進行自動化決策。荷蘭立法者擬在控制者履行法定義務所需的情況下或者在執行為了維護公共利益而進行的任務時允許自動化處理(畫像除外)。舉例而言,這一類別包括與政府津貼(如兒童津貼和學習津貼)有關的自動化決策。

對該條款所涉及的任何處理,都應當采取適當的保障措施,包括向數據主體提供具體信息以及要求人為干預、表達其觀點、要求對此類評估后作出的決策進行解釋以及質疑此類決策的權利。

基于敏感數據的自動化決策進一步受到限制,只有在獲得明確同意的情況下或者根據歐盟或成員國法律對于維護重大公共利益處理是必需的情況下才能進行。

實務建議和結論

各組織機構應審核其隱私聲明和政策,以確保數據主體充分了解其反對權、刪除權和限制處理權。各組織機構還應該確定其系統是否能符合在投訴處理期間將個人數據“標記”為處理受限的要求。此外,還應該確認其是否以及在何種程度上使用自動化決策,并確定是否適用限制性理由之一。所需采取的行動可能多為技術層面上的,因此可能需要IT部門參與以及對現有IT系統做出改變。如果進行自動化決策,還應對內部程序進行評估并在必要時進行更新。

 

【捌】

數據處理者

數據控制者和數據處理者之間的區別

本期我們將討論數據處理者的角色。我們將從處理者自身角度以及數據控制者的角度分析數據處理者的角色。

與歐盟《數據保護指令》95/46/EC(Data Protection Directive, “《指令》”)和《荷蘭數據保護法》(Dutch Data Protection Act, the “DPA”)不同,《通用數據保護條例》(General Data Protection Regulation, the “GDPR”)規定,處理者也負有一些特定的責任,這意味著遵守(荷蘭)的隱私法規不再只是控制者的責任。自2018年5月25日起,處理者也可能因為不符合GDPR的要求以及這方面的其他法律而被追究責任。相較于以前,對數據處理者和控制者的角色加以區分更為必要。

控制者是決定個人數據處理目的和方式的(法)人。而處理者是代表控制者處理個人數據的(法)人,這意味著處理者并不負責決定處理目的和方式。一般而言,這涉及組織機構內部特定數據處理的外包,例如,薪酬和員工管理、客戶管理、云和托管服務和/或攝像頭監控。

處理者有義務在控制者設定的任務范圍內行事。如果處理者行事超出任務范圍,為了其自身或其他的目的處理個人數據,則就該特定部分的數據處理而言,處理者將被視為數據控制者。例如,出于統計分析目的處理個人數據,以供內部使用。請注意,對于同一組個人數據,相關組織機構可能擁有不同的角色職責。

根據DPA的規定,只有數據控制者受法定義務的約束(以合同的方式對處理者約定類似的義務是實踐中常見的做法)。隨著GDPR的生效,處理者也需要承擔許多法定義務,這意味著荷蘭監管機構可直接對數據處理者進行監管。此外,從GDPR實施的那一刻起,處理者可因對第三方的損害而被追究責任。為了對處理者和控制者的法律概念進行深入分析,我們參考了第29條(工作組)第1/2010號意見(pdf),工作組是指由歐盟各數據保護監管機構成員組成的核心監管機構。

從處理者角度來看GDPR地域適用范圍

DPA適用于荷蘭境內的數據控制者的營業機構在其經營活動過程中處理個人數據的情形。GDPR適用于歐盟境內的數據控制者或處理者的營業機構在其經營活動過程中處理個人數據的情形,而不管此類處理是否在歐盟境內進行。數據處理者將面臨的是歐洲隱私法規地域適用范圍的擴大。此外,GDPR也適用于非在歐盟境內設立的數據控制者或處理者處理歐盟境內數據主體個人數據的情況,只要此類處理涉及:

1.向該等數據主體提供商品和/或服務;或

2.監控該等數據主體的行為。

在上述情況下,數據處理者有義務以書面形式在歐盟境內指定一名代表,除非處理是偶然性的,且不可能對數據主體的權利和自由構成風險。公共機構和機關不受這一義務的約束。數據處理者必須授權該代表配合監管機構和數據主體解決與數據處理有關的所有問題。在歐盟境內指定代表的義務對數據處理者而言是一項新增加的義務。

數據處理協議

GDPR規定了一條與DPA類似的義務,即必須在數據處理協議中明確數據控制者和數據處理者之間的個人數據處理安排。不同的是,GDPR明確確定了數據處理協議的內容。GDPR第28條概述了各項強制性要求。

GDPR第28條規定,若無數據控制者事先以書面形式作出的一般或特定同意,數據處理者不得與其他處理者就該數據處理事項簽署合同。此種同意可在雙方之間的數據處理協議中規定。在獲得一般同意(而非特定同意)的情況下,處理者有義務聯系并通知控制者處理者是否以及何時有意變更其(部分)其他處理者名單。在這方面應給予控制者反對處理者相關選擇的機會。這背后的理由是,控制者始終是負有全面責任的一方,通常應該是數據主體的首要聯絡點(數據主體甚至可能不知道數據控制者正在使用處理者處理數據)。

如果處理者就特定部分的處理與次級處理者訂約,則控制者與處理者之間的處理協議中規定的義務必須以合同的方式同樣施加于相關次級處理者。如果次級處理者未能履行其在次級處理協議下的義務,就原處理協議項下的義務履行,處理者將繼續對控制者承擔全部責任。因此,處理者有必要仔細、審慎地選擇其次級處理者。根據GDPR的規定,處理者只能與就遵守GDPR規定提供足夠保證的其他處理者進行合作。

處理協議必須包含對個人數據處理的一般性描述,包括(i)處理的主要內容和持續時間,(ii)處理的性質和目的,(iii)個人數據的類型和所涉及的數據主體的類別,以及(iv)控制者的權利和義務。

此外,處理協議還應明確規定處理者:

1.只能按照控制者的書面指示處理個人數據。處理者不得為其自身目的處理個人數據;

2.確保被授權處理個人數據的人員已經承諾保密或者負有適當的法定保密義務;

3.采取適當的技術性和組織性措施確保按風險等級制定相應的安全等級(這包括個人數據假名化和加密,并定期測試系統);

4.遵守其與其他處理者訂約時應遵守的義務,包括采用書面形式簽署合同的義務以及(上文所述的)將其義務施加予其他處理者的義務;

5.協助控制者履行控制者應對數據主體行使其權利請求的義務;

6.對確保控制者遵守其在GDPR項下的一些特定義務提供協助,包括通知個人數據泄露事件,進行隱私影響評估以及可能就隱私影響評估向監管機構發出事先通知;

7.在與數據處理有關的服務提供完畢后,根據控制者的選擇,將所有個人數據刪除或返還給控制者,并刪除既存副本,除非法律要求存儲個人數據(例如納稅義務或特定行業法律要求);

8.向控制者提供證明遵守GDPR第28條規定的義務所必需的一切信息,并允許和配合由控制者或任何第三方進行的包括檢查在內的審計工作。

GDPR為國內監管機構提供了起草數據處理協議范本的機會。然而,荷蘭監管機構已經表示,目前其不會利用這一機會,這意味著相關組織機構將不得不自行起草其標準數據處理協議。處理協議不一定非得是一個單獨的協議。有關數據保護的具體規定可作為更廣泛協議的一部分(例如服務水平協議)。

數據處理活動的記錄

與控制者一樣,處理者有義務保存數據處理活動的記錄。記錄必須采用書面形式,包括電子形式。GDPR概述了必須包含在此類記錄中的特定義務:

1.數據處理者和任何其他(次級)處理者的名稱和聯系方式以及處理者代表其行事的任何控制者的名稱和聯系方式;

2.如適用,數據處理者代表和數據保護官的姓名和聯系方式;

3.代表每個控制者進行數據處理的類別;

4.如適用,如果個人數據被傳輸到歐盟境外的國家,則記錄具體國家的身份,包括與針對此類傳輸的適當保障措施有關的文件(例如將個人數據傳輸到歐盟委員會境外第三國的標準合同或企業約束規則);

5.對相關技術性和組織性措施的一般描述。

經要求,此類記錄必須提供給監管機構。

保存數據處理活動記錄的義務不適用于員工少于250人的組織機構,除非(i)處理活動可能對數據主體的權利和自由構成風險,(ii)處理不是偶然性的,或者(iii)處理涉及特殊類型的數據。提供(個人數據處理是慣常做法的)服務的處理者不太可能屬于例外情形,因此有義務保存處理活動的書面記錄。

數據保護官和數據泄露通知

除上述義務之外,從GDPR實施的那一刻起,處理者還負有以下義務:

1.如果數據處理者是公共機構或機關,或者數據處理者的核心活動包括大量處理特殊類型的個人數據或者與犯罪有關的數據,或者數據處理者的核心活動包括需要對數據主體定期進行大規模系統監控的處理操作,在以上任一情形下,數據處理者都有義務指定一名數據保護官。集團型組織機構可只任命一名數據保護官。但是,該數據保護官必須能夠使用當地國家的語言與數據主體和主管監管機構溝通交流。

2.數據處理者在發現個人數據泄漏后,必須通知控制者(不得無故拖延)。根據數據處理協議,處理者隨后有義務協助控制者確保遵守其對相關監管機構以及數據主體(必要時)承擔的義務。

處罰措施和責任

監管機構有權對違反GDPR項下義務的數據處理者進行處罰。(在歐盟境內)進行跨境處理活動的,主管牽頭監管機構為控制者(而非處理者)的主要營業機構所在成員國的監管機構。但是,牽頭監管機構必須與處理者的主管監管機構相互合作。

建議跨國經營的處理者審閱其數據控制者所在的各成員國的相關國內法律。荷蘭在這方面的相關法律包括:

1.《GDPR實施法案》——至今仍然只是一份草案;

2.一般行政法;

3.(實踐方面)荷蘭監管機構的指南。

如果違反GDPR第28條規定等,行政罰款可高達1000萬歐元或者相關組織機構全球年營業總額的2%(以較高者為準)。如果違反GDPR的其他一些規定——也可能適用于數據處理者——行政罰款可能增至2000萬歐元或相關組織機構全球年營業總額的4%(以較高者為準)。根據GDPR的規定,如有違反,處理者還要承擔行政責任,而不是(DPA規制下的慣常做法)僅僅根據與數據控制者之間的處理協議承擔合同責任。

除了行政責任和合同責任之外,處理者可能也須對因處理者違反GDPR的規定而遭受損害的數據主體承擔責任,除非數據處理者能夠證明違法行為不能歸咎于處理者。損害的概念應該以充分體現GDPR宗旨的方式做廣義的解釋。如有多個控制者和/或處理者參與同一處理活動,每個控制者或處理者可能須承擔全部損害賠償金額,同時對參與同一處理活動的其他控制者或處理者享有追索權。

從數據控制者角度看數據處理者

控制者只能使用提供足夠保證其將采取適當的技術性和組織性措施的處理者。處理者必須確保處理活動符合GDPR的要求且相關數據主體的權利得到保護。這一義務與《指令》第17(2)條和DPA第14條規定的義務相似。

建議控制者控制其數據處理者進行的處理活動以及可能的次級處理者鏈條。最終,控制者仍須負責整個處理過程,并且是主管監管機構和數據主體的(首要)聯絡點。

在委任次級處理者之前,數據處理者有義務征詢控制者的意見。對于數據控制者而言,這是一個要求對數據處理者和潛在次級處理者之間的數據處理協議(草案)發表意見并對該文件作出任何必要修改的合適時機。

此外,為了避免雙方之間責任分工不明確,有必要在處理協議中明確數據處理者的任務。實踐中,雙方最有可能在責任分配方面進行較多討論和協商。受聘執行相對較小任務(因而得到相對較少報酬)的數據處理者應該不愿意就數據處理所引起的數據主體的任何及所有索賠和/或監管機構的處罰對控制者進行賠償。

實務建議

離GDPR的正式實施僅有幾個月的時間。相關組織機構內部已經采取了初步措施來貫徹落實GDPR。2018年5月25日的生效日期正漸行漸近。充分貫徹執行GDPR需要相當長的一段時間。要想完全符合GDPR的規定,僅僅修改隱私政策是不夠的。

建議各組織機構確定其在各類處理活動中的角色,并對相關的責任和義務作出非常明確的評估。應該對組織機構內部參與各類個人數據處理活動的各方當事人及其角色進行仔細梳理。角色的劃分直接影響到特定方在個人數據處理中的職責以及相應的責任。

此外,建議相關組織機構將現有數據處理協議與GDPR第28條規定的義務進行對比,并在必要時及時修改相關文件。

 

【玖】

數據泄露和通知

引言

在《通用數據保護條例》(General Data Protection Regulation, the “GDPR”)中,數據安全發揮著重要作用。就數據安全方面而言,GDPR對數據控制者和數據處理者施加了嚴苛的義務。盡管《荷蘭數據保護法》(Dutch DataProtectionAct, the “DPA”)中已有數據泄露通知制度的規定,但GDPR針對其他各歐盟國家新增加了通知義務。

GDPR規定的數據泄露通知制度與DPA規定的現行的數據泄露通知制度在諸多方面有所區別。本期我們將重點討論GDPR中有關向數據保護監管機構和數據主體通知數據泄露的義務以及其與DPA規定的通知義務的不同之處。

什么是數據泄露?

在GDPR中,數據泄露的定義較為寬泛,包括“違反安全規定導致所傳輸、存儲或以其他方式處理的個人數據遭受意外或非法毀壞、丟失、篡改、未經授權披露或訪問”。

因此,數據泄露的定義不限于黑客訪問IT系統,還包括智能手機、筆記本電腦或U盤丟失或被盜、惡意軟件感染和數據丟失(如數據被意外刪除且沒有備份可用)。

通知監管機構

........

罰款

不遵守上述通知義務可能面臨高達一千萬歐元或相當于全球年營業總額百分之二的罰款(以其中較高者為準)。不遵守監管機構的命令可能會面臨高達兩千萬歐元或相當于全球年營業總額百分之四的罰款(以較高者為準)。

結論與建議

鑒于在數據泄漏發生時,通知監管機構和數據主體的時間有限,各組織機構應做好內部數據泄露應對計劃,列明在發生數據泄露時須采取的行動,計劃應包括有內部和外部主要聯系人、檢查清單和后續措施等內容。全球性組織機構還應該考慮設立區級、地級數據泄露應對小組,小組成員可包括外部法律顧問、計算機取證員、公關專家等外部專家。



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios