查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
欧盟《通用数据保护条例》(GDPR)实务指引(2/4)
【作者】 邓志松;戴健民【合作机构】 北京大成律师事务所
【中文关键词】 通用数据保护条例;欧盟投资;法律保护【主题分类】 互联网法律
【发布时间】 2018.06.13
【全文】法宝引证码CLI.A.226828    
  导读:
  于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求,将对中国企业在欧盟市场的投资、销售和运营产生显著影响,并成为中国企业必须直面的重大法律障碍。大成数据保护团队的欧盟与中国律师联合推出系列原创文章,以协助中国企业从实务角度理解和遵从GDPR,并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
  问责机制
  ——从设计着手隐私保护和默认隐私保护
  根据《荷兰个人数据保护法》(Dutch Personal Data Protection Act, the “DPA”),处理个人数据的组织机构必须就其处理活动通知监管机构。而根据《通用数据保护条例》(General Data Protection Regulation, the “GDPR”),各类组织机构将不再负有报告其数据处理活动的义务,但是他们在这方面须承担更多的责任。GDPR强调“问责”原则,即要求组织机构采取一切技术性和组织性措施遵守GDPR的各项原则和义务。此外,GDPR还要求他们能够证明其合规性。正如预期的那样,新引入的数据保护原则将对他们当前的实践产生重大影响。
  根据GDPR的规定,各类组织机构必须(i)保存其个人数据处理活动的详细记录,(ii)在适用的情况下,进行隐私影响评估,并(iii)执行从设计着手数据保护(Privacy by Design)和默认数据保护的原则 (Privacy by Default)。
  问责原则
  GDPR第5(2)条规定了问责原则:
  “控制者有义务遵守并应能够证明其遵守第1款(”问责原则“)的规定。”
  “第1款”是指GDPR第5(1)条,该条款列出了个人数据处理有关的原则。根据GDPR第5(1)条的规定,个人数据应:
  以合法、公正、透明的方式处理(对数据主体而言);
  出于指定、明确、合法的目的而收集,不以不符合这些目的的方式进一步予以处理;
  充分、相关并以该等个人数据处理目的所需要的为限;
  准确以及(必要时)保持最新;
  以下列方式保存:允许识别数据主体的期限不超过该等个人数据处理目的所需要的时间;
  以确保个人数据相对安全的方式进行处理。
  处理个人数据的组织机构有义务遵守并且必须能够证明其遵守了上述所有原则。此外,他们必须能够提供其就上述原则作出决定的依据并且还必须能够提供相关证明。
  GDPR第24条列举了问责原则落地的一个示例。要求控制者:
  “采取适当的技术性和组织性措施确保并能够证明按照GDPR的规定进行处理活动。必要时应对这些措施进行审查和更新。”
  就数据控制者必须准确证明按照GDPR的规定进行数据处理的方式,目前尚无具体规定。预计在2018年5月25日(即GDPR开始正式实施之日)之前,第29条工作组可能会就此提供进一步的指引。
  处理活动记录
  GDPR第30条详述了贯彻落实问责机制理念的具体方法,该条款要求大多数数据控制者和数据处理者保存就其职责范围内的处理活动的书面(包括电子)记录。该等书面或电子记录应至少包含:
  1. 控制者的名称/姓名和联系方式,以及在适用的情况下,共同控制者、控制者代表和数据保护官的名称/姓名和联系方式;
  2. 处理的目的;
  3. 对数据主体类别和个人数据类别的描述;
  4. 已经或将要接收个人数据的接收者(包括第三国的接收者或国际组织)之类别;
  5. 在适用的情况下,将个人数据传输给第三国或国际组织的情况,包括该第三国或国际组织的身份,以及,在适用的情况下适当保障措施的文件;
  6. 在可行的情况下,删除不同类别数据的预期时限;
  7. 在可行的情况下,对技术性和组织性安全措施的概述。
  处理者也必须保存代表其数据控制者进行的所有类别处理活动的记录。该等电子或书面记录应至少包含:
  1. 处理者以及处理者代表其行事的每个控制者的名称和联系方式;在适用的情况下,也应包括控制者或处理者的代表以及数据保护官的名称/姓名和联系方式;
  2. 代表每个控制者进行的处理活动之类别;
  3. 在适用的情况下,将个人数据传输给第三国或国际组织的情况,以及(在适用的情况下)适当保障措施的文件;
  4. 在可行的情况下,对技术性和组织性安全措施的概述。
  从设计着手隐私保护和默认隐私保护原则
  从设计着手隐私保护和默认隐私保护原则要求各类组织机构在产品和服务的初始设计阶段以及整个过程中将数据隐私保护考虑在内。
  从设计着手隐私保护
  从设计着手隐私保护在开发新产品和服务时非常重要。根据GDPR第25(1)条的规定,控制者在确定处理手段时和在进行处理活动本身时都有义务采取适当的技术性和组织性措施,该等措施旨在有效落实数据保护原则并在处理活动中采取必要的保障措施。
  各类组织机构必须确保并能够证明数据保护自设计过程的早期阶段开始就是重点。在较晚的阶段才促使相关系统符合GDPR的规定可能会导致不必要的成本。
  默认隐私保护
  GDPR第25(2)条要求数据控制者采取适当的技术性和组织性措施确保在默认情况下只处理每个特定处理目的所必需的个人数据。这一义务适用于所收集的个人数据的数量、处理范围、存储期限和可访问性。具体而言,默认情况下,在没有个人介入的前提下,个人数据不应被无限数量的其他个人访问。
  默认隐私保护原则在数据主体选择分享其个人数据的情况下对服务和产品非常重要。默认隐私保护要求各类组织机构通过使用最方便的隐私

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.226828      关注法宝动态: