什么是GDPR
1 什么是GDPR?
欧盟的《一般数据保护条例》(GDPR)的是整个欧洲的数据隐私保护法,制定该法规的主要目的是为所有欧盟公民提供数据保护。GDPR致力于让人们对公司如何使用他们的信息有更多的控制,反映出人们的数据是如何处理、存储和/或销毁的。
第二个目的是通过统一欧盟的数据保护立法,促进商业运作,为国际活动建立一个更简单的监管环境。
2 谁会受到GDPR的影响?
强制遵循GDPR的企业包括:
对于任何在至少一个欧盟国家有实际存在的组织。
对于任何处理或存储居住在欧盟的公民数据的组织。
对于任何使用处理或存储欧盟公民信息的第三方服务的组织。
向欧盟的数据主体提供商品或服务(无论是否需要该数据主体付款)或监控数据主体在欧盟领域内的行为的数据控制者或数据处理者,也在GDPR的适用范围内。
为判断处理活动是否可被认定为监控数据主体的行为,应确认自然人是否在网络上被追踪,特别是为了对其进行决策或者分析或预测其个人偏好、行为和态度的个人数据处理技术和数据画像
不适用范围:
零散纸质文件保存和记录欧盟公民信息的
对自然人实施纯粹个人或家庭活动过程等活动进行了豁免
小微企业和中型企业:GDPR就员工人数少于250人的组织规定了一些豁免条款,以减轻小微企业的负担。如员工人数少于250人的企业就不必负担在记录保存方面的义务。——GDPR第30条。
3 GDPR提到的个人数据是指哪些数据?
特殊类别的数据
特殊类别的个人数据包括揭示种族或民族出身、政治观点、宗教或哲学信仰,或工会成员资格的个人数据,以及用以识别特定自然人的基因数据、生物特征数据,有关健康或有关自然人的性生活或性取向的个人数据。其中,基因数据和生物特征数据两项是GDPR在《个人数据保护指令》基础上新增的种类。
禁止处理特殊类别的数据,除非满足GDPR明确规定的条件,包括数据主体的明确同意、保护他人重大利益、数据主体已明确公开等等。但例外情形将受到严格的审查。
个人数据
当我们提到个人数据时,我们指的是有关可识别到具体某个人的任何信息。在这个意义上,个人数据的定义已经大大增加,因此按照这个定义,例如在线标识符、IP地址、经济信息等都属于个人数据,GDPR还特别提到被视为敏感数据的个人数据,也就是更高一个等级的敏感个人信息(其中包括宗教、政治、种族、民族等数据)。因此,个人数据不仅仅是指可以用于欺诈或身份盗窃的数据,还有跟信仰,身份等相关的信息也属于个人敏感数据。此外,任何在《数据保护法》中被特别点出的个人数据,在GDPR中也将被视为个人数据。在这一点上,我们可以说,数据泄露是一种安全风险,导致必须遵守GDPR的组织受到GDPR的处罚。关于处罚案例可以参见此处。
4 违法成本
对不遵守GDPR的行为不能掉以轻心。罚金可以达到公司年收入的4%或2000万欧元。GDPR 的罚款旨在让不遵守数据安全规定的行为付出高昂代价,罚款可分为两级。较轻的违规行为可被处以 1000 万欧元或公司上一财年年收入 2% 的罚款,具体金额以较高者为准。更严重的违规行为可被处以高达 2000 万欧元或公司上一财年年收入 4% 的罚款,视金额高低而定。
5 GDPR中规定数据主体的权利
知情权
无论是直接收集还是间接收集个人数据时,GDPR都将告知事项分为两大类。一类是数据控制者应当向数据主体告知的“基本信息”,另一类则是“为保证处理的公正和透明”的“附加信息”。前者包括数据控制者的身份和详细联系方式、数据保护官的详细联系方式、拟处理的个人信息的处理目的和处理的法律依据等,在适用的情况下,控制人打算将个人数据转移到第三国或国际组织的接收者,以及委员会是否有充分的决定。后者包括个人数据的储存期间、数据主体相关数据的权利、撤回同意的权利、向监管机关提起申诉的权利等。
注意2点:1. 尽量扩大告知事项范围;2. 尽量减少理解难度
原文:Art. 13 GDPRInformation to be provided where personal data are collected from the data subject
Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information:
the identity and the contact details of the controller and, where applicable, of the controller’s representative;
the contact details of the data protection officer, where applicable;
the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;
where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;
the recipients or categories of recipients of the personal data, if any;
where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available.
In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing:
the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;
the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability;
where the processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;
the right to lodge a complaint with a supervisory authority;
whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data;
the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.
Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.
Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information.
即使没有从数据主体那里获取个人数据,控制者仍需要向数据主体提供一些信息,以确保处理的透明度和公正性。这些信息包括:
控制者的标识和联系方式;
数据保护官的联系方式;
个人数据的用途以及处理的法律依据;
涉及的个人数据类别;
个人数据的接收方或类别(如果有);
控制者打算将个人数据传输到第三方国家或国际组织,并且存在或不存在委员会的充分性决定、或者在第46条或47条所述的转移中,或者在第49条第2款第1项所述的情况下提到适当的保障措施及其获取副本的方式或这些措施是否已经提供。 这些信息的提供可以使数据主体对控制者如何处理其个人数据有一个清晰的认识,并确保控制者遵守适用法律要求,同时保护数据主体的权利和自由。
访问权
数据主体有权利从数据控制者哪里获取以下信息:
处理数据的目的;
个人数据的类型;
已经或将要向其披露个人数据的接收方或接收方类别,特别是第三国或国际组织的接收方;
个人数据存储期限,如果不适用则提供用于确定该期限的标准;
向监管机构提出申诉的权利;
如果个人数据不是从数据主体处收集的,则提供有关其来源的任何可用信息;
是否存在第22(1)和(4)条所述的自动决策,应提供相关的逻辑,以及这种处理对数据主体的重要性,和预期的后果。
更正权
规定数据主体有权在不迟于合理期限内,要求控制者纠正关于其不准确的个人数据。
删除权/遗忘权
删除权是在个人数据对收集目的已无必要、数据主体撤回同意、数据主体拒绝处理、个人数据被非法处理等情况下将数据完全删除的权利。
赋予个人在没有合理理由的情况下从任何地方删除其个人数据的权利。也被称为遗忘权。
限制处理权
赋予个人要求数据被存储但是不能被处理的权利。因此,数据控制者应当注意建立临时存储系统、快速临时移除网站内容的操作流程、以及在相应系统中开发支持限制处理的模式等,以符合GDPR的规范。
个人有权利要求一定时间内,数据控制者核实个人数据的准确性;
处理过程非法,个人有权要求拒绝删除个人数据,并要求限制其使用;
数据控制者不在需要数据用于处理目的,但是个人需要行使法律索赔,可以要求限制其使用;
个人数据只能在征得数据主体的同意后进行处理;
获得限制处理权利的数据主体应该在控制者取消限制处理之前被告知。
注意:控制者应将根据第16条、第17(1)条和第18条进行的任何个人数据纠正或删除或限制处理传达给个人数据被披露的每个接收者,除非这证明不可能或涉及不相称的努力。
可携权
支持个人数据在欧盟内的自由流通,避免个人数据的“锁定”,并鼓励公司之间的竞争。让用户在不同服务提供商之间更便捷地切换。
可携权的对象是数据主体提供的,在同意之下进行自动化处理的数据,包括数据主体主动提供的信息和因使用相关设备或服务而被采集的信息,但经过分析处理的信息不属于数据主体提供的信息。该权利同样不应适用于数据控制者为遵守其法定义务、为公共利益执行职务或数据控制者受托行使公权力所必需进行的个人数据处理。
依据欧盟发布的指引,音乐软件中的歌单、购物网站的消费记录等都属于数据可携权的范围,依靠用户历史记录来获取用户粘性的企业应当尤其重视这一权利可能对其造成的冲击。
拒绝权
在为公共利益执行职务、数据控制者受托行使公权力或基于正当利益而处理个人数据时,数据主体仍应有权拒绝任何与其特定情况有关的个人数据处理,除非数据控制者能证明其重大正当利益(compelling legitimate interest)压倒性地优先于(override)数据主体的利益或基本权利和自由。
反自动决策权
自动化决策有利于降低成本、快速筛选结果,但难免导致对数据主体的错误判断。如果在贷款和招聘过程中仅依据自动化决策,可能使一些人处于严重不利的地位。比如,中国近期探讨的“大数据杀熟”也源于自动化决策”。
数据主体有权不受单纯基于自动化处理(包括个人资料库)做出的决策的影响。
GDPR自查清单
可以参考我们整理的GDPR合规检测自查清单,一条一条的了解法律有什么要求,应该如何满足。
Breach Notification
Guidelines 9/2022 on personal data breach notification under GDPR
Article 33(1) GDPR provides that:
“In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.”
GDPR(General Data Protection Regulation,通用数据保护条例)的违规通知(Breach Notification)是指在发生数据泄露事件时,组织必须遵循的一系列规定和步骤,以确保及时通知相关的监管机构和数据主体(即个人)。
以下是GDPR违规通知的几个关键点:
违规定义:GDPR将违规定义为“违反数据保护规则的行为”,特别是当存储的个人数据被意外或非法地泄露、丢失、更改或访问时。
通知监管机构:在违规发生后72小时内,组织必须向负责数据保护的监管机构(如数据保护机构,DPA)报告违规事件,除非违规不太可能对个人的权利和自由造成风险。
通知数据主体:如果违规对数据主体的权利和自由构成高风险,组织还需要向受影响的个人通知违规事件。通知应在违规发现后72小时内进行,除非采取了有效的保护措施来减轻风险。
通知内容:违规通知应包括违规的性质、受影响的数据类型、采取的补救措施、防止进一步违规的措施,以及数据主体可以采取的任何建议行动。
文档记录:组织应记录所有违规事件,包括已经采取的任何通知措施,并在要求时向监管机构提供这些记录。
违规风险评估:组织应进行违规影响评估,以确定是否需要通知监管机构和数据主体。
违规响应计划:组织应制定并维护一个违规响应计划,以便在发生违规时迅速采取行动。
监管机构的指导:监管机构可能会发布关于违规通知的具体指导和最佳实践,组织应遵循这些指导。
GDPR违规通知的目的是确保个人能够及时了解可能影响其个人数据的违规事件,并采取必要的保护措施。同时,这也为监管机构提供了执行GDPR规定的手段。违反GDPR规定,包括违规通知要求,可能会导致重大的财务处罚。
最后更新于
