欧盟个人信息保护条例

2021-12-09 00:00:00 编辑:贸促会驻外代表处法国 驻法国代表处发布

一、 背景介绍

《欧盟个人信息保护条例》(RGPD,以下简称《条例》)是一项旨在统一欧盟各成员国有关个人信息保护相关立法的欧盟条例,于2016年初开始生效,2018年5月25日开始直接适用于所有欧盟成员国。

该条例的生效实施意味着数据处理主体(无论是作为数据控制者还是作为分包商)必须在条例规定的期限内完成相应的合规调整。在欧盟设有多家子公司或分支机构的企业需要尤其注意。

按照新条例规定,进行合规调整是一项强制性要求。事实上,法国法规(参见1978年1月6日颁布的第78-17号法律,即《信息与自由法》,后因1995年10月24日的欧盟第95/46/CE指令而修改)已经对个人信息保护规定了严格的法律框架,而RGPD则侧重于强调责任的概念和将责任落实到个人信息处理者身上,也就是“问责”。企业将被要求采取一些技术性和组织性措施和程序,将其制度化,以实现真正意义上的信息治理,并且能够证明这些措施的有效性和效率性。当企业在被检查或出现问题时,需要能够证明自己遵守了条例的相关规定,采取了恰当的保护措施,履行了其应尽的各项义务。

二、 处罚力度

按照新条例的规定,对于违规企业的处罚罚金最高可达两千万欧元或企业全球营业额的4%,并且选两者中数额较高的适用。

此外,企业还有被追究刑事责任的可能。对企业品牌形象也会造成影响,从而失去客户甚至企业生态系统(合作伙伴、雇员甚或供应商)的信任。

三、 企业应对措施

面对《条例》提出的这些要求,企业需要对自身现状进行详细确认分析,制定合规调整方案并执行。

(一)现状确认及问题评估分析企业首先需要对所涉及的业务做定性分析,确定相关操作是以数据控制者身份进行还是以分包商的身份进行。确定企业组织结构、规模、主营业务等基础信息。

新条例对数据控制者(数据收集者)和分包商分别规定了各自应承担的义务。

企业作为数据控制者应确认企业是否存在以下问题:无法律依据或未经当事人同意处理与其相关的信息;违反条例规定处理特定类别的信息;侵犯当事人的异议权;未遵守“画像”相关条件要求;未履行问责义务(初始设计、影响评估 );未指定本地代表;违规处理数据;疏乎或未及时举报或通知信息泄露事件;未进行影响分析;未指定数据保护专员;执行或下令执行将信息转至未获准国家的操作;未履行答复主管机关质询的义务。

企业作为分包商应确认企业是否存在以下问题:超出客户授权范围或违背其要求的行为;未向客户提供能够证明其操作合规的相关信息;未告知客户某项信息处理违反了条例规定;分包服务未经客户的事先许可;保障措施不充分的情况下寻求分包服务;未指定数据保护专员;未设

置数据处理备案簿。

(二)合规调整

合规调整主要涉及四方面内容,即数据处理备案簿的制作;指定数据保护专员;责任的具体落实;强化个人权利保护意识。

1.备案簿的制作

数据处理备案簿的模板可以从法国国家信息技术和自由委员会(CNIL)的网站上下载,但需要根据企业涉及业务的具体情况做相应调整。这一过程的关键是对所涉及的业务进行准确的定性分类,确定应跟踪记载的事项。备案簿需实时更新,处理业务或涉及的信息量较多的情况,相应的工作量会比较大,可以考虑通过专用软件来完成。

2.数据保护专员

数据保护专员专门负责落实欧盟条例的合规事宜,企业有关个人信息处理的全部操作都受其管辖,并同时负责与监管部门进行沟通。这一职位可以是全职也可以是兼职,可由企业内部人员兼任,但所兼任的职位之间不得有利害冲突。该专员也可以是企业外部人员。

欧盟条例规定三类企业必须指定数据保护专员:

(1) 公共机关和公共机构;

(2) 基本业务性质决定其需要定期系统地对大规模人群的数据进行跟踪的企业;

(3) 基本业务性质决定其需要处理大规模人群的“敏感”信息或有关刑事或违法记录的信息的企业。

担任数据保护专员需要具备以下条件:具备法律基础知识;了解数据安全和保护的相关法规;受过相关培训;了解企业所从事的行业;具有充分的独立性;能够接触相关信息;与决策层可以进行有效沟通。

数据保护专员的职能:告知和建议对于条例规定的数据控制者和分包商的义务;保存这一工作的文字记录及收到的相关回复;监控内部规章有关数据保护的规定的实施和执行情况;职责分工、员工培训、审计;监督条例的实施;隐私设计,数据安全,通知当事人;确保文档保持最新状态;发生个人信息泄露事件时,监控建档、通知和沟通事宜;确认是否已执行影响分析;确认监管机构提出的要求是否得到了答复;与监管机构的沟通,充当对话者。

3.责任的落实(问责制)

企业需要通过一系列措施将相关权利和责任具体落实。这些措施包括:在企业内部规章中做出相关规定;个人信息泄露事件的文档记录;影响分析;设计阶段加入隐私保护考量的方式;指定数据保护专员。

其中需特别注意的是:

(1) 影响分析对于数据处理操作可能使当事人的权利和自由面临特殊风险的情况,企业需要对目标操作事先进行影响分析。

首先对目标操作做出一般性描述,然后对个人权利和自由可能面临的风险进行评估。风险评估可以采用规范性和方法性评估方式(EBIOS, ISO 27001…)。之后根据评估结果制定相应的风险防范措施。所采取的安全措施,一方面旨在确保信息安全,另一方面也为企业证明其操作符合欧盟条例规定提供证明依据。

(2) 信息安全

数据控制者和分包商都有义务确保个人信息的安全。这一义务要求企业尽到以下职责:

确保数据处理的安全性:进行风险评估,采取适当的技术和组织措施预防数据毁损、遗失和任何形式的非法处理;

通知监管部门信息泄露事件:无正当理由不得拖延;得知事件发生后最晚不得超过 24小时;事先拟定通知的内容;文档记录保存;

与当事人沟通信息泄露事件:发生可能违反对当事人信息保护义务或侵犯当事人的个人隐私事件时,应当及时与当事人沟通;事先拟定通知的内容;如果有证据证明企业已经采取适当的技术保护措施,且这些措施已应用于相关数据上,可以不通知;但监管部门可以责令企业通知涉案当事人。

4.强化个人权利保护意识

只有明确了解当事人享有哪些权利,企业在收集和处理相关信息时才能更好地采取恰当的措施,确保当事人的权利得到充分的保护。因此,企业需要强化其员工,尤其是涉及数据处理的操作人员和决策者的个人权利保护意识,可以通过例如专题会议、培训、发放宣传册等方式进行。

需要注意的是,企业的合规调整方案制定并实施后,还需始终执行,既要基于企业自身业务变化,也要注意法律的最新规定,及时进行更新。

百能律师事务所(Bignon Lebray)

傅晓麟律师 邮箱:xlfubourgne@bignonlebray.com 

金琼杰助理 邮箱: qjin@bignonlebray.com 

网址:https://www.bignonlebray.com/fr/