2023年5月,爱尔兰数据保护委员会(DPC)宣布,对Facebook母公司Meta处以12亿欧元(约合13亿美元)罚款,原因是未能在将个人数据从欧盟或欧洲经济区(EEA)转移到美国的过程中提供足够的数据隐私保护。
早在2021年7月,零售巨头亚马逊就因未充分获得用户同意,被卢森堡国家数据保护委员会(CNDP)开出7.46亿欧元(约合8.77亿美元)罚款,原因也是违反了GDPR。
同年7月,中国企业字节跳动旗下,海外短视频平台TikTok,因违反GDPR第12条被荷兰数据保护局以侵犯儿童隐私为由罚款75万欧元。
对于准备进军欧洲市场的企业而言,GDPR似乎成了史上最严酷立法。律意作为中国出海企业的护航者,将为你揭开GDPR的神秘面纱,助你在国际市场中合法合规,稳步前行。
1. 什么是GDPR?
GDPR,全称是《一般数据保护条例》(General Data Protection Regulation),于2018年5月25日正式实施。该条例旨在保护欧盟公民的个人数据权利,并对数据的跨境传输作出具体规定。
2. GDPR是否适用于您的业务?
GDPR适用于所有处理个人数据的欧盟组织。由于几乎所有业务都会涉及个人数据处理,可以合理地假设您的组织受GDPR约束。此外,GDPR还适用于向欧盟个人提供商品或服务的欧盟以外的组织。
根据GDPR第3(1)条的规定,该法规适用于在欧盟内进行的个人数据处理活动,无论该处理活动是由欧盟内部的数据控制者还是数据处理者所进行,甚至无论这些处理活动是否发生在欧盟之外。
3. GDPR适用哪些数据?
GDPR适用于个人数据。
根据GDPR第4(1)条的定义,“个人数据”是指与已被识别或可识别的自然人(“数据主体”)有关的任何信息。可识别的自然人是指,能够直接或间接被识别的自然人,尤其是通过姓名、身份识别号码、位置数据、在线识别符等,或者通过参照该自然人的一个或多个身体、生理、遗传、精神、经济、文化或社会身份等要素后可识别的人。
4. 哪些个人或实体会被认定为数据控制者和数据处理者?
根据GDPR第4条的定义,控制者指的是能够决定(不论是单独决定还是共同决定)个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
处理者指的是为数据控制者处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
GDPR适用于数据控制者和处理者。它对数据处理者施加了某些法律义务,例如,维护个人数据和处理活动的记录。然而,涉及处理者时,数据控制者的义务并不会被免除。
5. 数据控制者应支付的费用
数据控制者需要支付数据保护费用,并向信息专员办公室(ICO)提交指定的信息,但在某些情况下可能享有豁免权。
(1)需要向ICO提供的信息
控制者的名称和地址(对于注册公司,应为您的注册办公地址;对于从事商业活动的其他人,应为您在英国的主要营业地点)
员工人数
营业额
其他交易的详细信息
以下人员的姓名和联系方式:
完成注册过程的人员
ICO可以联系的人员,处理注册续期等监管事宜(如果与完成注册的人员不同)
您的数据保护官(DPO)的姓名(如有)
(2)数据保护费
数据保护费根据组织的规模而不同,有三个费率:
(3)费用豁免
在某些情况下,像非营利组织、政府机构以及法律职能部门这样的组织,如果他们处理数据的目的只是出于个人或家庭原因,或者是为了员工管理、少量的市场营销、以及核心业务功能如会计和审计,那么它们可能会被免除一些费用。不过,这种豁免一般只适用于规模较小的组织。
6. 针对中国出海企业的合规建议
实施和遵守GDPR可能会对资源造成重大影响,尤其是对于规模较大和更复杂的组织。为了符合GDPR规定,企业需考虑以下建议:
(1)树立GDPR意识
确保决策者、组织内的关键人物和员工了解数据保护制度带来的广泛义务。
定期向董事会提供有关组织GDPR合规性的简报和更新,以了解需要改进的领域。
对员工进行培训,以确保他们了解并遵守GDPR意识。
(2)建立数据地图
每个组织都应了解并记录:
持有的个人数据。
如何处理这些数据、处理发生在哪里以及基于什么标准?
向数据主体提供了什么样的信息。
这些问题是数据保护风险管理的核心。如果您不知道持有哪些数据以及如何处理它们,就无法评估或监控您对国内、欧盟和国际要求的合规性。
确定您持有的个人数据并记录在数据处理登记册中——这通常被称为数据地图。一旦您了解组织持有的个人数据,应考虑:
如何处理这些数据?
处理数据的目的是什么?
是否传输或共享数据?如果是,向谁以及如何传输?
数据在组织内如何流动?
是否将数据传输到欧洲经济区以外?
如何确保数据保持准确和最新?
数据保留的时间有多长?
如何销毁数据?
(3)任命数据保护官
根据GDPR,大多数公共部门组织需要一个数据保护官(DPO)。私企也需要任命DPO如果其核心活动包括:
需要大规模定期或系统地监控数据主体的处理操作。
大规模处理敏感或与犯罪相关的数据。
(4)获取同意
根据GDPR的规定,处理个人数据时应获得积极的同意,即不能从沉默、预选框或不作为中推断出来。
企业应审查寻求、获取和记录“同意”的方式,确保符合GDPR,并能够证明“同意”的授予。
此外,还应审查当前获取“同意”的系统,是否从默许、预选框或不作为中推断“同意”?
如果是,请进行必要的技术和其他流程更改以确保:
“同意”是通过明确的积极行动给予的,例如,书面声明、电子方式或口头声明。
为不同的处理义务给予单独的“同意”。
您的当前系统提供有效的审计追踪以证明“同意”的给予,并提供简单的方法以撤回“同意”。
(5)儿童保护
GDPR为儿童的个人数据提供了特别保护,特别是在商业互联网服务(如社交网络)的背景下。
企业在处理与儿童相关的个人数据,应建立系统以确保符合GDPR,例如:
在直接向儿童提供服务时,必须确保隐私声明以儿童可以理解的清晰、简洁的方式撰写。
可能需要验证个人的年龄并收集父母或监护人的同意进行数据处理活动。
可能需要完成数据保护影响评估(DPIA)以帮助识别和减轻对儿童的数据保护风险。
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7层728
