欧盟《通用数据保护条例》(GDPR)

 

《通用数据保护条例》也许是迄今为止最全面的数据隐私标准,对于处理欧盟公民个人数据的组织(无论组织总部位于何处)而言,是一项重大挑战。

 

欧盟《通用数据保护条例》(GDPR) 自 2018 年 5 月起生效,旨在改善个人数据保护并增强组织对数据泄露的责任。 《通用数据保护条例》的可能罚款高达全球收入的百分之四或 2000 万欧元(以较高者为准),因此,《通用数据保护条例》无疑是有效力的。 无论您的组织位于何处,如果处理或控制欧盟居民的个人数据,就必须遵守《通用数据保护条例》,否则将被处以巨额罚款,并需按要求向受影响方通报数据泄露情况。

《通用数据保护条例》内容广泛,包括以下章节和条款

第 1 章: 一般条款

  • 第 1 条: 主题和目标
  • 第 2 条: 适用范围第 3 条: 地域范围第 4 条: 定义

第 2 章: 原则

  • 第 5 条: 与个人数据处理有关的原则
  • 第 6 条: 处理的合法性
  • 第 7 条: 同意的条件
  • 第 8 条: 信息社会服务方面适用于儿童同意的条件
  • 第 9 条: 特殊类别个人数据的处理
  • 第 10 条: 刑事定罪和犯罪相关数据的处理
  • 第 11 条: 不需要身份识别的处理

第 3 章: 数据主体的权利

第 1 节: 透明度与模式

  • 第 12 条: 数据主体行使权利的信息透明度、传达和模式
  • 第 2 节: 信息和数据访问
  • 第 13 条: 收集数据主体的个人数据时应提供的信息
  • 第 14 条: 尚未获得数据主体的个人数据时应提供的信息
  • 第 15 条: 数据主体的访问权
第 3 节: 更正和删除
  • 第 16 条: 更正权
  • 第 17 条: 删除权(“被遗忘权”)
  • 第 18 条: 限制处理权
  • 第 19 条: 有关更正或删除个人数据或限制处理的通知义务
  • 第 20 条: 数据可移植性权利
第 4 节: 拒绝权和自动化的个人决策
  • 第 21 条: 拒绝权
  • 第 22 条: 自动化的个人决策,包括分析
第 5 节: 限制
  • 第 23 条: 限制

第 4 章: 控制者和处理者

第 1 节: 一般义务
  • 第 24 条: 控制者的责任
  • 第 25 条: 设计和默认的数据保护
  • 第 26 条: 联合控制者
  • 第 27 条: 未在欧盟设立的控制者的代理人
  • 第 28 条: 处理者
  • 第 29 条: 在控制者或处理者的授权下进行处理
  • 第 30 条: 处理活动的记录
  • 第 31 条: 和监管机构的合作
第 2 节: 个人数据的安全
  • 第 32 条: 处理的安全性
  • 第 33 条: 向监管机构通知个人数据泄露
  • 第 34 条: 向数据主体传达个人数据泄露
第 3 节: 数据保护影响评估和事先咨询
  • 第 35 条: 数据保护影响评估
  • 第 36 条: 事先咨询
第 4 节: 数据保护官
  • 第 37 条: 指定数据保护官
  • 第 38 条: 数据保护官的职位
  • 第 39 条: 数据保护官的任务
第 5 节: 行为准则和认证
  • 第 40 条: 行为准则
  • 第 41 条: 监控已批准的行为准则
  • 第 42 条: 证书
  • 第 43 条: 认证机构

第 5 章: 将个人数据转移到国际组织的第三国

  • 第 44 条: 转移的一般原则
  • 第 45 条: 基于充分决定的转移
  • 第 46 条: 转移所需的适当保障措施
  • 第 47 条: 有约束力的公司规则
  • 第 48 条: 未经欧盟法授权的转移或披露
  • 第 49 条: 特定情况的减损
  • 第 50 条: 保护个人数据的国际合作

第 6 章: 独立监管机构

第 1 节: 独立地位
  • 第 51 条: 监管机构
  • 第 52 条: 独立性
  • 第 53 条: 监管机构成员的一般条件
  • 第 54 条: 设立监管机构的规则
第 2 节: 权限、任务和职权
  • 第 55 条: 权限
  • 第 56 条: 主管监管机构的权限
  • 第 57 条: 任务
  • 第 58 条: 职权
  • 第 59 条: 活动报告

第 7 章: 合作与一致性

第 1 节: 合作
  • 第 60 条: 主管监管机构与其他有关监管机构之间的合作
  • 第 61 条: 互助
  • 第 62 条: 监管机构的联合行动
第 2 节: 一致性
  • 第 63 条: 一致性机制
  • 第 64 条: 欧洲数据保护委员会的意见
  • 第 65 条: 欧洲数据保护委员会解决纠纷
  • 第 66 条: 紧急程序
  • 第 67 条: 信息交换
第 3 节: 欧洲数据保护委员会
  • 第 68 条: 欧洲数据保护委员会
  • 第 69 条: 独立性
  • 第 70 条: 欧洲数据保护委员会的任务
  • 第 71 条: 报告
  • 第 72 条: 程序
  • 第 73 条: 主席
  • 第 74 条: 主席的任务
  • 第 75 条: 秘书
  • 第 76 条: 机密性

第 8 章: 补救措施、责任和制裁

  • 第 77 条: 向监管机构提出申诉的权利
  • 第 78 条: 针对监管机构的有效司法救济权
  • 第 79 条: 针对控制者或处理者的有效司法救济权
  • 第 80 条: 数据主体的代表
  • 第 81 条: 暂停诉讼
  • 第 82 条: 获得赔偿的权利与责任
  • 第 83 条: 处以行政罚款的一般条件
  • 第 84 条: 处罚

第 9 章: 与特定数据处理情况有关的条款

  • 第 85 条: 处理和言论与信息自由
  • 第 86 条: 官方文件的处理和公开访问
  • 第 87 条: 国民身份证号码的处理
  • 第 88 条: 雇用语境下的处理
  • 第 89 条: 与出于公共利益、科学或历史研究目的或统计目的而进行存档处理有关的保障措施和减损
  • 第 90 条: 保密义务
  • 第 91 条: 教会和宗教协会的现有数据保护规则

第 10 章: 授权法案和实施法案

  • 第 92 条: 授权的行使
  • 第 93 条: 委员会程序

第 11 章: 最终条款

  • 第 94 条: 95/46/EC 指令的废止
  • 第 95 条: 与 2002/58/EC 指令的关系
  • 第 96 条: 与之前达成的协议的关系
  • 第 97 条: 委员会报告
  • 第 98 条: 对其他欧盟数据保护法案的审查
  • 第 99 条: 生效和适用

第 32 条的关键条款

《通用数据保护条例》第 32 条的一些关键条款要求:

a. 个人数据的匿名化和加密;
b. 能够确保处理系统和服务具有持续的保密性、完整性、可用性和可恢复性;c. 在发生物理性或技术性事件的情况下,能够及时恢复个人数据的可用性和访问权限;d. 定期对确保处理安全的技术措施和组织措施的有效性进行测试、评估和评价的流程。

第 34 条的关键条款

该条例第 34 条详细说明了组织必须采取哪些措施以避免在发生泄漏时必须通知主体。
当个人数据泄露很可能会对自然人的权利和自由造成高风险时,控制者应立即将个人数据泄露情况传达给数据主体。
向本条第 1 款中提到的数据主体进行传达时,应以清晰明了的语言描述个人数据泄露的性质...
如果满足以下任何条件,则不需要向第 1 款中提到的数据主体进行传达:

a. 控制者已采取适当的技术和组织保护措施,且这些措施已应用于受个人数据泄露影响的个人数据,尤其是那些使任何未获授权访问的人无法理解个人数据的措施,例如加密;
b. 控制者已采取后续措施,确保第 1 款中提到的数据主体的权利和自由面临的高风险不再可能实现;
c. 通知将需要付出不相称的努力。 在这种情况下,应采取公开传达或类似措施,以同样有效的方式通知数据主体。