返回首页

欧盟通用数据保护条例?

264 2024-01-25 06:30 admin

条例全文

欧盟《通用数据保护条例》

目次

壹。序言。

贰. GDPR的地域适用范围。

叁。个人敏感数据。

肆。问责机制—从设计着手隐私保护和默认隐私保护。

伍. 数据主体的权利(知情权)。

陆。数据主体的权利(访问权、更正权和可携权)。

柒。数据主体的权利(删除权、限制处理权、反对权和自动化个人决策相关权利)。

捌。数据处理者。

玖。数据泄露和通知 。

拾. 数据保护官。

拾壹. GDPR下的数据处理者。

序言

欧盟议会于2016年4月14日通过的《通用数据保护条例(General Data Protection Regulations)》(“GDPR”)将于2018年5月25日在欧盟成员国内正式生效实施。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如,即使一个主体不属于欧盟成员国的公司(包括免费服务),只要满足下列两个条件之一:

(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。

(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,其就受到GDPR的管辖。

GDPR的地域适用范围

欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大,位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。GDPR要求这些组织及时对GDPR的“合规”要求作出回应。

第一,GDPR适用于在欧盟境内设有业务机构(establishment)的组织,只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。

对“场地(location)”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动(小型活动即可)。法律形式(例如分公司或具有法人资格的子公司)并不是决定性因素。因此,在欧盟境内设有唯一代表即足以符合适用条件。

并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的(通常是同时具备上述两个特点,但必须始终满足此句所述条件)。如果业务机构的活动与母公司的活动密不可分(例如,业务机构存在的目的就是为了母公司的经济效益),则相关的个人数据处理行为就应当受到GDPR的规制。

因此,如果业务机构(例如分公司或联络代理)的活动与位于欧盟境外的组织进行的个人数据处理密不可分,则应当适用GDPR。

第二,如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。

如果非欧盟组织机构意图向欧盟境内个人提供商品或服务,则其将被视为在欧盟境内提供商品或服务。仅仅是能从欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多个成员国的语言和/或货币、来自欧盟客户(例如在网站上)的推荐、使用搜索引擎中针对一个或多个成员国的广告和/或使用顶级域名(例如.eu或.nl)可能导致商品或服务被视为在欧盟境内提供。

第三,GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。

如果(尤其是)为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度,而在互联网上追踪这些个人,且在此过程中使用了处理技术来形成画像等,则构成监控行为。

目前尚不清楚监控行为到何种程度才适用GDPR。原则上,使用所谓的“追踪cookies”和监控使用的应用程序的网站在GDPR的适用范围内(只要该等网站处理个人数据)。欧洲法院最近裁定,在某些情况下,动态IP地址也可视为个人数据。因此,存储动态IP地址日志数据的网站的所有者也可能受GDPR的规制。

后续措施

各类组织最好确认其活动是否在GDPR的地域适用范围内。鉴于“业务机构”和“提供商品或服务”标准的解释较为宽泛,所以更应如此。贯彻落实GDPR需要大量的时间、规划和资源。

同意——处理个人数据的正当理由

根据荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”),“同意”是处理个人数据的六项法律依据之一。在没有法律依据的情况下处理个人数据是不被允许的。欧盟《一般数据保护条例》(General Data Protection Regulation,“GDPR”)也规定,“同意”是数据处理的法律基础。GDPR的多个部分都提到了同意机制。基于此,本文主要对DPA和GDPR在以下方面的差异进行阐述:(1)同意机制的法律框架和(2)有效同意的构成要件。

同意的法律框架

DPA下“同意”的概念完全依照欧盟第95/46/EC号指令中的定义,即“数据主体的同意是指:数据主体依照其意愿自由作出的特定的、知情的指示。通过该等指示,数据主体表明其同意处理与其相关的个人数据。”

法律框架由多个可广泛解释的条款构成,这使其产生了法律不确定性。因此,一个由欧洲隐私监管机构组成的独立咨询顾问机构——第29条工作组,在2011年7月对“同意”概念作出了全面分析。工作组的意见解释了同意机制相关法律框架的几个关键要素。这些要素是,并且一直是欧盟数据保护机构解释“同意”概念的重要指南。简而言之:

同意必须是自由作出的。这意味着数据主体在作出同意时,其选择是真实的,例如,不存在受到胁迫或者欺诈的风险。如果数据主体会受到数据控制者的影响(例如,数据控制者是数据主体的雇主,或者是一个公共权威),则考虑到此类关系的性质,同意并不当然被认为是自由作出的。

同意必须是特定的。无明确目的的概括式的同意是无效的。同意应当清晰准确地指明数据处理的范围和结果。特定的同意条款需要与一般条款相区分。

同意必须是在知情的情况下作出的。根据DPA第33、34条,数据控制者必须向数据主体提供一定的关于数据处理的最低限度的信息。被提供的信息应足以保证数据主体能够作出充分知情的选择。至于信息的质量,信息提供必须使用数据主体能够理解的语言。复杂的法律术语是不合适的。

而且,被提供的信息必须是清楚且足够显著的,以使数据主体不能轻易忽略。另外,信息必须是直接提供给数据主体的,仅指示可供访问的信息的地址(例如,网络上的“某处”)是不够的。

同意还须结合DPA中提到的进一步要求。基于同意的数据处理,要求该同意是明确的。数据主体明确作出的指示,不能对其意愿留有不明确的空间。如果存在合理怀疑,则认为不明确。

根据第29条工作组的意见,不明确的同意不适用于基于不作为或者沉默取得同意的方式(例如,不适用于预先勾选的选择框)。

在处理特殊类别的数据(例如,健康数据)时,同意必须是明示的。需要数据主体给予积极回复。

GDPR下同意的法律框架

GDPR第4条第11款将“同意”定义为:“数据主体的同意是指,数据主体依照其意愿自由作出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为作出的该等指示,数据主体表明其同意处理与其相关的个人数据。”

从该新法律框架看,欧洲立法者似乎在其对法律框架的整体评估中回应了第29条工作组提出的某些修改。鉴于欧盟第95/46/EC号指令下“同意”的概念被一字不变地移植到DPA中,因此从荷兰法的角度并没有太多改动(与其他欧盟成员国相比)。该定义已变得更加规范,但大部分并非新内容。最主要的修改如下:

同意必须以声明或清晰肯定的行为作出。数据主体的行为是明确被要求的。包括,例如,点击对话框和选择特定的技术网络浏览器设置。因此,预先勾选的选择框并不构成同意。

根据第29条工作组的分析,“同意”似乎要求数据主体作出行为,现在GDPR明确了这一要求。这就需要相关组织重新考虑其目前从数据主体处取得同意的方式。

GDPR下有效同意的要件

GDPR第7条规定了有效同意的要件,其中某些在DPA中没有具体规定。有效同意的要件之一是,数据控制者必须能够证明,数据主体确实同意处理其个人数据。书面声明不是必须的,但推荐使用,因为证明责任在数据控制者这边。网上作出同意的充分记录(例如,通过在网站上的联系方式)应当作为标准。

如果数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。如果信息的提供不符合本规定,同意将可能无效。

根据DPA,数据主体有权随时撤回其同意。撤回同意应当同给出同意一样容易。GDPR的新规定为,数据主体必须在作出同意前被告知其撤回权。此外,数据主体还必须被告知撤回不影响在撤回前基于同意对其个人数据的处理。这不仅需要隐私政策的修订,也可能需要相关组织内部流程的改变,以确保撤回同意与给出同意同样容易。

儿童的同意

对于向儿童提供信息社会服务(简而言之:所有在线服务,无论是免费的或付费的,包括社交媒体),应当适用特殊的同意规则。原因是,儿童应被给予额外的保护,因其一般都缺乏对风险、保障措施和与处理个人数据相关权利的了解。这种特殊的保护应适用于,当服务被直接提供给儿童时,儿童的个人数据被用于市场营销或创建个性/用户模型,以及收集儿童的个人数据的情况。任何信息和沟通都应当以清晰且简明的语言表达,使得儿童容易理解。

只有在儿童年满16周岁时,基于同意的数据处理才是合法的。如果儿童未满该年龄,则只有在有监护权的父母同意(或授权)的情况下,数据处理才是合法的。欧盟各成员国可以规定更低的年龄门槛,但不得低于13周岁。荷兰将不会规定更低的年龄(据立法者称,没有理由改变目前的情况)。欧盟范围内的相关组织,在取得同意的基础上处理儿童的个人数据时,应了解欧盟各成员国在这方面的立法。

对于缺乏法律行为能力的其他数据主体,《GDPR荷兰实施法案》(“实施法案”)规定,被接管(curatele)或置于保护令(mentorschap)之下的数据主体,也需要其法定代表人的同意(同意也可由法定代表人撤回)。

考虑到现有技术,数据控制者应作出合理的努力,以证明同意实际是由法定代表人作出或授权的。

目前基于同意处理个人数据的相关组织

GDPR第171条规定:

“GDPR将取代欧盟第95/46/EC号指令。本条例施行之日已在进行中的数据处理,须在本条例生效之日起两年内符合本条例的规定。若处理是基于欧盟第95/46/EC号指令下的同意,且该同意的形式符合本条例的规定,则数据主体不需要再次给出同意,以使数据控制者在本条例施行之后继续处理。(…)”

主要规则是,如果同意的取得符合GDPR规定,则不需要相关组织再次取得同意。然而,当在DPA下取得的同意不符合GDPR的规定时,该同意是否将在2018年5月25日失去效力,并不完全清楚。可以认为,欧洲立法者最为重视处理的连续性:“以使数据控制者在本条例施行之后继续处理”。另一方面,根据第171条的具体表述(“本条例施行之日已在进行中的数据处理,须在本条例生效之日起两年内符合本条例的规定”以及“如果该同意的形式符合本条例的规定”)所得出的结论是:同意应被重新取得。

作为对实施法案质询的一部分,这个问题被提交给了荷兰立法者。其可能在下一版本实施法案(解释备忘录)中被进一步澄清。

实务建议

将数据主体的同意作为数据处理活动的合法依据的相关组织,应当检查当前取得的同意是否符合GDPR的要求。如果不符合,内部流程应当遵照这些要求,数据控制者也应当考虑按照GDPR的要求重新取得同意(以避免在2018年5月25日后同意失效的风险)。此外,相关组织应建立机制以证明同意是有效的,并确保同意可以被容易地撤回。

相关组织可以进一步考虑,其他(也许更适当的)数据处理的法律依据是否可行和理想。

相关组织未能履行新的义务,将面临荷兰数据保护监管机构(de Autoriteit Persoonsgegevens)或者欧盟其他国家活跃的监管机构的严重行政罚款的风险。

个人敏感数据

本第三份关于《通用数据保护条例》的业务通讯将阐述,荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”)所实施

顶一下
(0)
0%
踩一下
(0)
0%
相关评论
我要评论
用户名: 验证码:点击我更换图片

网站地图 (共14个专题50222篇文章)

返回首页