International德国

欧盟《通用数据保护条例》解读

Klaus Beck
源图像: www.ec.europa.eu

欧盟的新《通用数据保护条例》(GDPR)将会在2018年5月25日生效。大多数人可能已经从银行、电信供应商、社交网络那里了解到了;其它提供服务的组织或机构最近也通知了数据保护制度方面的变化。必须承认之前也不是没有过先例,此次变化可能很快也会淡出视线。但本次的变化很重要,几乎对在欧盟做生意的每个人都有深远的影响。与此同时,新的《电子隐私法》(ePR)也在起草过程中。

《通用数据保护条例》的重要性主要体现在惩罚力度上,违法的成本可能会很高,即使中小企业也可能会面临四到五位数的惩罚。大公司早已经按照新规进行了调整,而中小企业似乎没有意识到《通用数据保护条例》的重要性。2018年4月18日对德国中小企业的调查显示仅有五分之一的企业作出或计划作出相应安排。

在这种背景下,本文试图对该新规的含义做个总结,同时也对应对措施提出建议。新规适用的是整个欧盟地区。在欧盟成员国被赋予弹性条款适用成员国自己法律条款的情况,本文指的是德国的法律条款。本文中在没有专指德国法律条款情况下,指的是《通用数据保护条例》中的条款。

  1. 适用范围

个人数据的处理是新规适用的主要范围。个人数据指的是已识别或可识别的个人信息。完全(或部分)自动或非自动处理(第4.2条)基本发生在任何使用数据的过程中。

地域范围(第2条)指欧盟内公司的活动及欧盟外向欧盟境内客户提供服务或货物的公司,而不管数据是否在欧盟境内处理、数据是由控制人或处理人提供(见如下第4条)。

(注:在处理非个人数据处理的情况下也适用《电子隐私法》。《电子隐私法》生效后,应查阅下适用范围,在此之前《欧盟指令2002/58/2002》仍有效。在德国,应查阅下《联邦数据保护法》及其它法律。)

  1. 合法处理

通常情况下是禁止对个人数据进行处理,除非在满足第6条的情形(有保留的禁止):

(i) 相关人员同意(第6.1条);

(ii) 基于合同关系(第6.2条);

(iii) 履行其它法律要求的义务(第6.3条)

(iv) 具有重大利益(第6.4条)

(v) 涉及公共利益的义务(第6.5条)

(vi) 涉及个人的根本利益(第6.6条)

同意(第6.1条)必须是明确、自愿以通知形式作出。此外,删除权是绝对必要的。在平衡利益关系时(第6.6条)会适当考虑相关人员的合理期待。

除此之外,不管是基于什么法律关系的数据处理都必须是为特定、明确的合法目的才可以(第5(1b)款),但相关数据必须是真实/更新的且数据存储是为达到特定目的。在这种情况下,应采取技术和管理措施(第25条)。对如健康、性取向、宗教信仰等特殊种类的数据(第9条)的安全要求越来越高。

数据控制人必须能提供证据证明按照相关机构的要求遵守以上合规要求(第58条)。此外,控制人也有通知相关人员和第三方的义务(第13和14条;德国《联邦数据保护法第29-37条)。相关人员应有权删除和限制数据量流量(第17和18条),也就意味着相关人员有权接触一切相关信息(第15条)。因此我们强烈建议保留相关记录。

  1. 处理活动记录

《通用数据保护条例》规定每个公司必须保留处理活动的记录(第30条)。对员工少于250人的公司来说如果数据处理没有对隐私权造成威胁、数据处理不仅仅是偶尔、处理的不是特殊种类数据,则公司可以豁免保留记录的义务。有此针对性的任何人都可以考虑以下两点:1. 工资单视为常规处理;2. 在以命名文档形式保留合适存档的情况下,在被检查或违法的情况下,才可能免责。记录不对外公开,记录的保存也应符合特定的内容要求。

  1. 控制人和处理人

控制人为处理他人个人数据的人员,其决定数据的处理方式(第4.7条)。公司必须指定一人为控制人,在有外部服务供应商处理数据的情况下,也应指定一个控制人。

服务供应商代表控制人处理数据(第7.(8)条)。在没有相关机构发出指示的情况下,不能将其定义为处理人(如:税务顾问)。控制人通常对处理人的过失承担责任。我们因此强烈建议仔细挑选服务供应商、小心起草相关协议。

仅在特定公司的核心活动是处理特殊种类数据(敏感数据)或在经常大量、系统监视自然人的情况下,才要求指定数据保护官(第37-39条)。

  1. 数据安全和保护缺陷

《通用数据保护条例》明确规定数据安全(第32条)。未获授权人员不得接触数据,不能操作信息。尤其加密起着重要的作用,实际是管理问题。

公司通常应告知相关机构违反数据保护的情况(第33条),否则公司会被重罚。在没有采取足够的技术和管理措施(存档)进行安全保护的情况下,在面临披露风险的时候,也应通知相关人员。如果非故意或非法原因导致没有采取安全措施,导致损失、删除数据、更改或未经授权披露数据,就假定有违法责任。

  1. 机构、处罚和责任

有权监管机构(第52条)具有独立性,不仅有很大的权力也有义务帮助控制人和相关人员,我们建议您咨询监管机构。如果控制人不遵守《通用数据保护条例》的规定,会被处以高额罚款(第83条)。相关人员就其(可能更多的是非物质性的)损害有权获得赔偿(第82条)。

(注:《电子隐私法》中的机构同《通用数据保护条例》中的相同,其责任范围可能会类似。

     实用措施

实用措施因不同情况而异。德国独立的数据保护机构一般来说建议如下:

  • 修订相关的结构和流程;
  • 确定法律依据、数据处理的目的以及记录利益平衡(如果发生的话);
  • 履行提供信息的义务、实现有关人员的合法权益和删除数据的概念;
  • 修订数据保护制度;
  • 如有必要,任命数据保护专员;
  • 数据泄露的响应机制;
  • 报告义务的组织;
  • 修改服务关系;
  • 发展全面的文件/记录;
  • 修改IT安全;
  • 如有必要,修订有关操作的协议。

 

本文内容仅做一般性指引,就您特殊情况请咨询专业人士。