我以我心记真实
文/情绪化的大笨蛇
第[232]篇
图片采自网络,向原作者致谢
欧盟《一般数据保护法案》(General Data Protection Regulation, 简称“GDPR”)自2018年5月25日生效以来,引起了欧盟国家相关企业的极大重视。但对于国内大部分企业来说,内部并没有严格按照GDPR规定开展合规工作,甚至很多企业还不清楚该规定的具体要求及不遵守该规定导致的后果。那么,实务中,企业应如何做呢?
一、GDPR的相关规定
1.GDPR保护的是自然人的基本权利和自由,尤其是自然人的个人数据保护权。适用范围包括:
(1)设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。
(2)适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:
a发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或
b是对数据主体发生在欧盟内的行为进行的监控的。
(3)适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。
通俗来说,任何与欧盟监管下的企业进行的业务,都需要遵守GDPR;任何存储或处理欧盟境内有关欧盟公民个人数据的企业也必须遵守GDPR。即,中国企业在欧盟境内开展工作收集的数据;或中国企业在欧盟境内没有业务,但发生的收集个人数据处理行为,都在GDPR的适用范围内。
2.个人数据及处理行为的定义
个人数据包括但不限于姓名、身份证号码、定位数据、在线身份识别这类标识,或者物理、生理、遗传、心理、经济、文化或社会身份的敏感信息。处理的行为包括但不限于收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁等。
3. 违反GDPR规定的处罚措施
结合相关处理的性质、范围或目的,从被影响的数据主体的数量;损害程度而确定违法的性质、严重性与持续时间;违法的性质是基于故意还是过失;控制者或处理者为了减轻数据主体损失而采取的所有行动等方面判定,企业最高可处相当于其上一年全球最高2000万欧元的行政罚款,或相当于其上一年全球总营业额4%的金额的罚款,两者取其高的一项进行罚款。
二、企业适用GDPR的自行评估方式
根据上述规定,企业可以从以下几个方面来简单评估是否可能成为GDPR适用的对象:
1.从处理方式看,是否有GDPR规定的处理内容(不论是否采用自动化的手段);
2.收集的数据是否为个人数据;
3.建设的系统是否具备存档系统,或者计划设立存档系统,进行过大数据分析;
4.企业在欧盟境内是否设有分支机构、办事处、联络点,或者为欧盟境内个人提供产品或服务或进行检测等行为。
三、企业可参考的合规工作
1.制定符合跨境传输要求的隐私政策
(1)可以结合国内外网站的做法
例如制定伴随一定网络服务内容的隐私政策,建立网站和网络用户双方的协议。用规范、专业的方式阐释对用户隐私保护的具体方法,诸如:明确用户个人信息采集、使用、保密、分享的流程,设置高效链接模式,关联网站服务客户联系方式,定期排查数据采集情况,增加未成年人网络信息保护条款等。
(2)内容更新
在隐私政策内容上,针对性根据企业提供的服务进行更新、调整,依据自身数据处理情况并符合欧盟境内或网站覆盖地当地法律要求,切忌将同一个版本的隐私政策不加修改地使用。
2.构建数据保护制度及设立专职数据保护人员
企业内部可按照GDPR的规定,构建个人数据隐私保护的合规制度。同时,必须指派数据合规官/数据保护官等数据保护人员。基于对企业长期发展的考量,企业可以成立专职部门,明确数据保护规范与制度,确立数据保护人员职责,调配资源、统筹预算,确保数据保护的合法合规进行。
3.结合前后端技术
在GDPR管辖范围内,企业实际的行为也要及时跟进,符合GDPR要求,能提供遵守隐私政策的证据。诸如内部落实数据保护人员的权责分配,对员工进行专项GDPR培训,根据国内外法律、政策的变化及时做出调整,申请与监管机构的认证或开展合作避免风险等。
4.选择能够采取相应手段保护个人数据的供应商
企业内部的管理处理好,下游供应商也需要严格把控和选择,在下游供应商出现数据保护违规或数据泄露时,企业可能也需要承担一定的责任。因此,对外应强化对下游供应商的筛选和监管。
四、总结
GDPR出台以来,目前尚未有我国企业被欧盟委员会处以行政处罚的实例。一方面是欧盟与我国管辖权利的约定尚不明确,一方面我国对于个人数据保护也尚未立法(《网络安全法》侧重点在保护网络安全和社会公共利益),另一方面国内大型企业在应对GDPR规定时也有充分应对措施。
对中小企业及尚未做好GDPR合规工作的企业来说,通过分析GDPR的具体规定,参照不同国家的法律规定,全面认识GDPR的数据保护规则及其具体业务流程,GDPR合规也并非不可能完成的任务。
网友评论