標籤:

[GDPR] 歐盟一般數據保護法律指引與實踐

07-25
[GDPR] 歐盟一般數據保護法律指引與實踐

來自專欄約翰魏法律頻道7 人贊了文章

GDPR 法案的適用範圍

歐盟一般數據保護法案是歐盟議會推出一部處理個人信息框架性法律,所謂框架性法律就是歐盟範圍內確立基礎性的一些原則和處理方法,歐盟成員國根據GDPR一般原則來立法,標準不低於GDPR的規定。GDPR管轄的範圍涵蓋所有處理歐盟居民數據的公司,在歐盟地區的企業肯定需要遵守GDPR,歐盟之外的企業只要處理歐盟居民的數據也需要尊重GDPR。

任何違反GDPR的違法行為將導致最高2000萬美金或母公司所有營業額4%的罰金,二者取金額大者。這項法律對於用戶保護是最嚴格的,一定程度上將加重企業的合規成本,精神是值得讚揚的,但企業如果真的實施起來成本奇高,尤其對於中國出海創業企業更是如此。

GDPR基本原則

GDPR法案一般11章99條款,88頁,將於2018年5月25日在歐盟範圍內生效,雖然條款眾多,但是GDPR基本原則也是比較簡單的:

  1. 合法,公平,透明三原則:與數據主體個人相關的數據信息應當以合法,公正,透明方式處理
  2. 數據收集應當有明確的目的: 個人信息收集應當目的特定,明確和合法,任何與上述目的不符合的方式將不能繼續處理數據。
  3. 數據收集的最小化原則:個人數據收集應當僅僅限於一切與數據處理目的相關的必要的數據。
  4. 準確性:個人數據應當準確,如果需要儘可能保持最新的數據。
  5. 存儲限制:在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;
  6. 完整性與機密性:以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(「完整性和機密性」)。
  7. 問責制:控制者(企業或組織)應該對並且能夠證明其企業符合GDPR的規定。

GDPR 個人數據定義 Personal Data

「個人數據」是指任何指向一個已識別或可識別的自然人(「數據主體」)的信息。該可識別的自然人能夠被直接或間接地識別,尤其是通過參照諸如姓名、身份證號碼、定位數據、在線身份識別這類標識,或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。

個人信息實例:

  • a name and surname; (名字)
  • a home address; 地址
  • an email address such as name.surname@company.com; 郵箱
  • an identification card number; 身份證號
  • location data (for example the location data function on a mobile phone)*; 地理位置
  • an Internet Protocol (IP) address; IP地址
  • a cookie ID*; COOKIE ID
  • the advertising identifier of your phone; 廣告ID
  • 根據用戶畫像可以確定某一類人的信息,均為個人信息。

用戶畫像 PROFILING

「用戶畫像」是指為評估與自然人相關的某些個人情況,對個人數據進行任何自動化處理、利用的方式,特別是針對與自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、信度、習性、位置或行蹤相關的分析和預測。

用戶畫像的三個構成要素:

  • 自動處理形式 (支付寶根據你的個人使用情況,進行用戶評級就是屬於用戶畫像,根據GDPR法律規定應該徵求用戶的同意)
  • 必須針對個人信息

根據GDPR第22款的規定,數據主體(用戶)有權利不受一個僅依靠包括自動化技術處理的決定的限制包括用戶畫像,這會產生關於他/她或僅僅影響他/她的法律後果。 上述規定在以下三種情況並不適用:

  1. 如果僅僅是為了數據控制者與數據主體之間簽署或履行合同;
  2. 根據歐盟或成員國法律的授權的控制者
  3. 數據主體明確同意的

數據主體的權利:

  1. 信息透明度和信息機制:數據處理者或控制者必須保證數據主體行使權利的透明度、交流和模式,也就是讓用戶知道你在收集那些數據,為什麼收據數據,用於何種目的,另外也需要讓用戶可以隨時對自己的數據進行控制。
  2. 數據訪問權,控制者應當保證數據主體可以隨時訪問自己的數據。
  3. 糾正權:數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式。
  4. 被遺忘權:數據主體有權要求控制者刪除其數據,比如谷歌的用戶可以要求谷歌移除關於其個人不利的搜索結果。
  5. 限制處理權:數據主體有許可權制數據主體處理其個人數據
  6. 關於糾正或刪除個人數據或限制處理的通知義務: 除非被證明不可能完成或者包含不成比例的工作量,控制者應當將根據對個人數據進行的任何糾正、刪除或者處理限制,傳達給已向其披露個人數據的接收者。 如果數據主體請求,控制者應當通知數據主體這些接收者。
  7. 反對權:如果為了直接營銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理,其中包括與此類直接營銷相關的概況分析。如果數據主體反對以直接營銷為目的的處理,則個人數據不得再為此目的而被處理。
  8. 拒絕權和自主決定權
  9. 自主化的個人決策分析

控制者或數據處理者的義務

  1. 控制者應該在確定處理手段和在處理的同時,實施適當的技術和組織措施,如匿名化,即目的是實施數據保護原則,如數據最小化,以有效的方式,在處理時實施必要的保障措施,以符合法律要求,保護數據主體的權利。
  2. 控制者應該實施適當的技術和組織措施以確保,在默認情況下只有對每個特定處理目的有必要的個人數據才能被處理。該義務適用於收集的個人數據的數量,數據處理的程度,數據的存儲期限和數據的可及性。特別是,這些措施應確保在沒有個人對無限數量自然人的干預下,個人數據在默認情況是不可訪問的。
  3. 在歐盟成員國的範圍內指派歐盟代表,可以為合作夥伴,客戶或第三方中介等。
  4. 數據處理者應當以數據控制者名義處理數據。
  5. 數據處理活動應當有記錄
  6. 和監督機構合作和配合,應當積極配合監管機構的調查
  7. 處理過程的安全性:(a)個人數據的匿名化和加密; (b)數據系統保持持續的保密性、完整性、可用性以及彈性的能力; (c)在發生自然事故或者技術事故發的情況下,存儲有用信息以及及時獲取個人信息的能力; (d)定期對測試、訪問、評估技術性措施以及組織性措施的有效性進行處理,力求確保處理過程的安全性。
  8. 數據泄露72小時報告義務:在個人數據泄露的情況下,控制者不能不當延誤,而且至少應當在知道之時起 72 小時以內,根據第 55 條向監管機構進行通知,除非個人數據的泄露不會導致自然人權利和自由的風險。如果通知遲於 72 小時,需要對遲延原因進行解釋。
  9. 與數據主體進行交流:個人數據泄露可能對自然人權利和自由形成很高的風險時,控制者應當毫不延誤地就個人數據泄露的主體進行交流。
  10. 數據保護影響評估以及事先諮詢

轉移個人數據(歐盟)到第三國或國際組織

  1. 數據轉移到第三國或國際組織,第三國或國際組織應當對用戶數 據隱私和安全提供足夠的保護。
  2. 歐盟數據委員會會在官網及歐洲聯盟公報上公布第三國或國際組 織是否能夠對個人數據提供足夠的保護。
  3. 數據處理者或控制者擬向第三國或國際組織轉移數據,而第三國 或國際組織沒有列入符合歐盟個人數據保護要求的,通過提供適 當的安全措施,以及在可強制執行的數據主體權利和對數據主 題的有效法律補救措施時就緒的條件下,一個控制者或處理者可 以將個 人數據轉移到第三個國家或國際組織。
  4. 轉移數據通過如 下方式傳輸,無需取得任何歐盟當局批准和授權: a) 政府當局或公共機構之間具有法律約束力的、可執行的工 具; b) 依照第 47 條制定的具有約束力的公司規則; c) 歐洲委員會根據第 93 條第 2 款所述審查程序通過的標準數 據保護條 款; d) 監察機構根據第 93 條第 2 款所述審查程序通過的標準數據 保護條款; e) 根據第 40 條的規定批准的行為準則,以及第三國控制者 或處理者的 具有約束力的、可執行的,用以採用適當保障 措施約定,包括關於 數據主體權利的;或 f) 根據第 42 條獲得批准的認證機構,以及第三國控制者或 處理者的具 有約束力的、可執行的,用以採用適當保障措 施約定,包括關於數 據主體權利的。

評估措施,數據安全與數據泄露通知義務

評估措施與安全措施

  • GDPR要求所有公司或組織實施最廣泛的措施降低違反GDPR的風險,並保證合規處理數據。
  • 這包括可評估的措施比如數據隱私影響評估,審計,政策檢查,活動記錄,任命數據官等一些列可衡量的措施。
  • 公司或組織需要部署人員和財力來準備合規工作
  • Privacy Impact Assessments (PIAs) 隱私影響評估工作,需要形成書面文檔
  • 記錄數據處理工作

數據泄露通知義務

  • 數據控制者和處理者應履行數據泄露通知義務
  • 數據處理者必須把數據泄露通知給數據控制者
  • 數據控制者必須把數據泄露通知給監管當局
  • 數據泄露必須72小時通知監管當局,並根據情況通知到數據泄露的用戶
  • 必須確保有現成的數據泄露發現,調查,內部報告機制 (內部要有規範性文檔,流程等)
  • 數據泄露必須保存記錄,無論是否有報告義務

GDPR企業合規實踐步驟

  1. 事先評估:The Assessment
  • What personal data do we collect/store? 我們需要存儲和收集那些數據?
  • Have we obtained it fairly? Do we have the necessary consents required and were the data subjects informed of the specific purpose for which we』ll use their data? Were we clear and unambiguous about that purpose and were they informed of their right to withdraw consent at any time? 我們是否公平獲取數據? 我們是否獲得必要授權,數據主體是否已被通知我們使用數據的特定目的? 我們是否清晰沒有模糊向他們說明目的,並告知他們可以隨時撤回授權。
  • Are we ensuring we aren』t holding it for any longer than is necessary and keeping it up-to-date? 我們是否遵循了不超過必要限度的保留數據。
  • Are we keeping it safe and secure using a level of security appropriate to the risk? For example, will encryption or pseudonymisation be required to protect the personal data we hold? Are we limiting access to ensure it is only being used for its intended purpose? 我們是否採取足夠安全的數據保護機制
  • Are we collecting or processing any special categories of personal data, such as 『Sensitive Personal Data』, children』s data, biometric or genetic data etc. and if so, are we meeting the standards to collect, process and store it? 我們是否在收集敏感信息?
  • Are we transferring the personal data outside the EU and if so, do we have adequate protections in place? 我們是否轉移數據到歐盟境外,是否有採取足夠的管理措施。

The GDPR Project Plan GDPR規劃

  • Have we put a project plan together to ensure compliance by the May 2018 deadline? 我們是否已經制定合規計劃?
  • Have we secured buy-in at executive level to ensure we have the required resources and budget on hand to move the project forward? 我們是否準備實施計劃所必須資源和預算用來執行計劃。
  • Do we require a Data Privacy Impact Assessment? 我們是否已經要求一個數據隱私影響評估?
  • Do we need to hire a Data Privacy Officer? 我們是否需要僱傭數據隱私官

步驟和控制The Procedures and Controls

  • Are our Security team informed to ensure they』re aware of their obligations under the GDPR and do they have sufficient resources to implement any required changes or new processes? 安全團隊是否被告知GDPR規定的義務,是否有足夠資源執行必要的改變或採取新的處理手段。
  • Do we have procedures in place to handle requests from data subjects to modify, delete or access their personal data? Do these procedures comply the new rules under the GDPR? 我們是否有現成可以處理來自數據主體關於修改,刪除,訪問他們數據的手段? 這些程序是否符合GDPR的規定。
  • Do we have security notification procedures in place to ensure we meet our enhanced reporting obligations under the GDPR in case of a data breach in a timely manner? 我們是否有現成安全通知程序來保證我們的彙報義務符合GDPR的規定,以防數據違規。
  • Are our staff trained in all areas of EU data privacy to ensure they handle data in a compliant manner? 我們員工是否已經接受了關於歐盟數據隱私各個方面的培訓,保證他們可以處理數據符合GDPR的規範。
  • Do we review and audit the data we hold on a regular basis?我們是否經常審核和審計我們保留數據。

隱私條款

我們需要一份符合歐盟GDPR規定的隱私條款,這份條款應當通過明確的方式通知到用戶,並存檔,保證傳達到所有用戶。隱私條款使用的語言但應當與數據控制者提供服務的語言保持一致,因為用戶如果使用你的服務,說明一定可以看懂你的語言,所以GDPR並沒有規定隱私條款的語言一定是歐洲本地語言。

作者簡介:約翰魏,跨境法律研究愛好者

微信公眾號:約翰魏 (關注公眾號獲取微信聯繫方式)

提供 勞動法,投融資,知識產權和跨境法律諮詢等專項諮詢服務。

推薦閱讀:

法律英語、法律翻譯書籍購買指南(2018年版)
典型法律英語句式翻譯
對法律英語學習者有幫助的一些網站

TAG:法律英語 | 法律 | 數據保護 |