数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码,加入数字化转型网企业出海研习社:
(1)个人数据/敏感个人数据
根据GDPR第4条,个人数据是指任何与已识别或可识别的自然人相关的信息,如姓名、身份证号、地理位置、在线身份标识符等。GDPR未对敏感个人数据作出定义,但第9条以列举方式规定了特殊类别的个人数据的处理要求。其中,特殊类别个人数据包括:能够揭示种族或民族、政治观点、宗教或哲学信仰、工会身份、遗传数据、生物识别特征、健康信息、性生活或性取向等数据。数字化转型网www.szhzxw.cn
(2)义务主体
GDPR将规制对象分为数据控制者(controller)与数据处理者(processor)。根据GDPR第4条,数据控制者指单独或与他人共同决定处理目的和方式的自然人、法人、公共机构、行政机关或其他实体;数据处理者指代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他实体。
(3)告知与合法性基础
控制者在收集个人数据前应履行告知义务,并具备处理个人数据的合法性基础。
根据GDPR第12、13、14条,控制者应向数据主体告知以下事宜:a)控制者的身份和联系方式,以及控制者代表的身份和联系方式(如适用);b)数据保护官DPO的详细联系方式(如适用);c)个人数据的处理目的,个人数据的类别,以及处理的合法性基础(如适用正当利益这一合法基础,还需说明控制者或第三方追求的正当利益);d)个人数据的存储期限;e)个人数据的接收方名称或数据接收方的类别(如有);f)是否涉及跨境转移,以及针对跨境转移采取的适当的保障措施;g)数据主体权利(包括向数据保护监管机构投诉举报的权利);h)自动化决策及用户画像应用描述、运行逻辑以及对个人产生的影响。
根据GDPR第6条,GDPR项下的合法性基础包括:i)数据主体的同意;ii)为订立或履行数据主体作为一方的合同所必需;iii)为履行控制者所负担的法定义务所必需;iv)为保护数据主体或另一自然人的重大利益所必需;v)为执行公共利益领域的任务所必需或为行使控制者被赋予的公务职权所必需;vi)为实现控制者或第三方的合法利益所必需(正当利益不得违背数据主体的基本权利和自由,且政府机关履行职责处理数据的行为不适用本项)。数字化转型网www.szhzxw.cn
(4)合作方数据交互
根据GDPR第13、14、26、28条,控制者如涉及委托第三方处理数据(controller to processor)或向第三方共享数据(controller to controller),控制者应向数据主体告知合作方的名称或类型,并与合作方订立数据保护协议。如双方均系独立的控制者的情况下,法律未强制要求双方签署协议,但双方通常会签署。
(5)数据本地化存储
GDPR对个人数据无本地化存储要求。
(6)数据跨境转移
GDPR建立了一套阶梯式的数据出境路径。首选路径是欧盟委员会的保护水平认定决定(“白名单国家/地区”)。[7]截至本白皮书发布之日,白名单国家/地区共有15个:包括安道尔共和国、阿根廷、加拿大(仅限《个人信息保护及电子文档法》的适用范围)、瑞士、法罗群岛、根西岛、以色列、英属曼岛、泽西岛、新西兰、乌拉圭、日本、英国、韩国、美国。数字化转型网www.szhzxw.cn
如接收方不属于白名单所在国家/地区,则需选择其他常规出境路径,包括:标准合同条款(SCCs)、约束性公司规则(BCRs)、行为准则、认证机制等。
在无法满足常规路径的例外情况下,数据控制者还可依赖GDPR第49条规定的克减条款。不过,根据EDPB发布的《关于第2016/679号条例项下第49条“克减”的第2/2018号指南》,个人数据出境仅在满足“必要性”(necessity)和“偶然性”(occasional)的条件下,才能够适用克减条款。
(7)数据主体权利
根据GDPR第12-23条,数据主体享有知情权、访问权、更正权、删除权(被遗忘权)、限制处理权、可携权、反对权和拒绝自动化决策权。数字化转型网www.szhzxw.cn
不同权利的行使需满足一定的限制条件。如数据主体有权随时拒绝控制者依据公共利益或正当利益的合法基础处理个人信息的情形,例如以直接营销为目的处理数据的,数据主体有权随时拒绝该等营销目的的数据处理活动(包括画像)。
控制者接收到请求后应及时(不超过1个月)回复用户。如请求较为复杂或数量较大,处理时间可再延长至2个月。延迟需告知数据主体延迟原因。
(8)数据保护负责人/组织
根据GDPR第37条,若控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性的监控,或者控制者或处理者的核心活动包含了对某种特殊类型数据的大规模处理和对定罪和违法相关的个人数据的处理,即应当任命数据保护负责人(DPO)。数字化转型网www.szhzxw.cn
DPO无需在欧盟当地,但其联系方式应上报给数据监管机构,且需保持联系畅通。根据GDPR规定,对于非在欧盟境内设立实体但受GDPR管辖的主体应以书面方式任命一名在欧盟境内的代表(自然人/法人均可),但DPO与本地代表具有不兼容性,无法保障DPO的独立性,因此不建议将本地代表与DPO设置为同一自然人/组织。
(9)数据安全事件处置
根据GDPR第33、34条,在发生数据泄露的情况下,控制者应毫不迟延,在可行的情况下,不迟于发现数据泄露后72小时,将个人数据泄露事件通知监管机构[8],除非个人数据泄露不太可能对自然人的权利和自由造成风险。个人数据泄露可能会对自然人的权利和自由造成高风险,必须及时告知数据主体。
此外,处理者必须在意识到个人数据泄露后立即通知控制者,不得无故拖延。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含哪些内容
数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含:
1、企业出海、全球化外脑支持:100+企业出海、全球化相关专家、100+企业出海、全球化实践者、1000+相关资料
2、企业出海、全球化研习社:与出海、全球化相关的专家、实践者共同探讨相关问题,推动企业全球化发展! 数字化转型网(www.szhzxw.cn)
3、典型案例参考:与数字化转型网企业出海、全球化研习社社员一起学习典型案例,共探企业全球化发展!
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于 北京市竞天公诚律师事务所;编辑/翻译:数字化转型网Jack。
