《通用数据保护条例》第三部分:数据控制者和数据处理者
时间:2020-01-15 20:37 来源:普瀚咨询 作者:雅延 点击:
次
34 什么是数据控制者以及什么是数据处理者?(第4条) 数据控制者决定数据处理的目的和方式。数据处理者则代表数据控制者来处理个人数据。不同于《指令》,GDPR不仅将隐私合规义务直接强加于数据控制者身上,数据处理者亦被强制履行隐私合规义务。 35 什么是问责原则?(第24条) GDPR要求数据控制者采取适当的技术和组织措施,并能够证明数据处理活动符合GDPR的规定(问
34 什么是数据控制者以及什么是数据处理者?(第4条)
数据控制者决定数据处理的目的和方式。数据处理者则代表数据控制者来处理个人数据。不同于《指令》,GDPR不仅将隐私合规义务直接强加于数据控制者身上,数据处理者亦被强制履行隐私合规义务。
35 什么是问责原则?(第24条)
GDPR要求数据控制者采取适当的技术和组织措施,并能够证明数据处理活动符合GDPR的规定(“问责”)。每种情况下的适当措施取决于相关处理的性质、范围、内容和目的,以及个体的权利和自由方面的风险。在实践操作中,这项义务复杂繁琐且意义深远,最好通过实施全面隐私管理计划来履行。
36 什么是联合数据控制者?(第26条)
任何一项处理活动,数据控制者都有可能超过一家。当两个或两个以上控制者共同决定处理的方式和目的时,他们就成为了联合数据控制者。根据要求,联合数据控制者须通过一种正式安排的形式,在他们彼此之间分配好数据保护合规责任,并且有关安排必须如实反映他们各自相对于数据主体的角色。而数据主体必须知悉有关安排的主要内容。
37 设立于欧盟之外的数据控制者和数据处理者是否须指定一位代表?(第27条)
如果设立于欧盟以外的数据控制者和处理者将欧盟数据主体列为目标对象,那么他们必须指定一位代表。该代表必须以书面形式指定,并且必须在相关数据主体所在的成员国之一设立。 然而,下列情况下无需委任代表: 处理是偶尔发生的,不包括大规模的对特殊类别数据的处理或第10条项下对有关刑事定罪和犯罪个人数据的处理;以及考虑到有关处理的性质、内容、范围及目的,不太可能对自然人的权利和自由造成风险的情况;或 数据控制者为公共机关或机构。
38 代表是否等同于数据保护官?(第27及37条)
否,代表的要求和职责不同于数据保护官。代表本质上是“提供数据处理的代理服务”,可以代替数据控制者或处理者或与两者一起与监管机构或数据主体进行直接的联系。相反,数据保护官(参见问题48-50)可以是企业内部人员(也可由外部人员担任),其主要职责是针对数据控制者或处理者于GDPR项下的义务向其提供咨询及合规监督。
39 企业具体哪些行为会被视为向欧盟数据主体“提供商品或服务”?
第23条鉴于条款就该问题提供了一些指引,称应确认控制者或处理者向一个或多个成员国提供商品或服务的预期是否明显。单纯能够访问某个网站或电邮地址并不足以确认有关意图。然而,如果使用了某成员国的常用语言或货币,并且可以将该语言设定为用来订购商品或服务的语言,那么在这种情况下可以认为控制者有意向欧盟数据主体提供商品或服务。下列问题可能对实践操作有所帮助:
域名:您的企业是否有基于欧盟的域名,例如.de、.fr、.ie或者.eu?
语言:您的企业网站是否有,比如,法语或德语版?
货币:您的企业是否提供以欧元或其他欧盟货币计的交易?
内容:您的网站是否载有来自,比如,希腊的个人引荐或推荐? 如果上述任一问题的回答是肯定的,那么GDPR可能完全适用于您企业的任何相关数据处理。
40 数据控制者和数据处理者是否须更新其数据处理协议?(第28及29条)
GDPR为数据处理协议引入了若干重大新规定,这可能会要求大多数数据控制者和数据处理者更新其数据处理协议。与《指令》相比,GDPR对协议必须要涵盖的内容的规定性更强。例如,有必要在协议中增加条款,要求处理者协助数据控制者遵守数据泄露通知规定及执行数据保护影响评估。数据控制者亦须要求数据处理者按照合同的规定(根据控制者的指示),在处理服务完成之后删除或返还全部个人数据。此外,数据处理者应当向数据控制者提供所有证明第28条项下合规的必要信息,并允许和配合合规审计。
41 谁须留存处理活动的记录?(第30条)
作为一般性条款,根据GDPR的规定,数据控制者和数据处理者(及其代表<如适用>)须留存有关处理活动的详细书面记录并在监管机构要求时出具有关记录,这一点是能够证明GDPR合规的重要基础。从积极的角度看,企业将不再需要像大多数成员国以往那样,须根据《指令》定期通知监管机构其数据处理活动。此外,雇佣人数少于250人的企业可豁免遵守该义务,除非: 有关处理可能会给数据主体的权利和自由造成风险(例如评分、全面监控、使用新技术等); 有关处理并非偶尔发生;或 有关处理包含特殊类别数据(参见问题7)或与刑事定罪和犯罪有关的个人数据(参见问题8)。 在实践操作中,大量雇佣人数少于250人的企业可能仍须留存处理活动的记录。
42 记录处理活动时应当包含哪些信息?(第30条)
有关处理活动的记录必须为书面形式(包括电子形式)且包含详细信息。至于必须记录哪些信息,GDPR对数据控制者和数据处理者分别做出了规定。我们强烈建议企业参考第30条和监管机构公布的指引来准确了解其记录保存义务。广义而言,GDPR要求必须记录以下信息:
数据控制者、数据处理者及任何代表(如适用)的详细信息
有关处理的目的
数据主体的类别及个人数据的分类
接收者的类别
有关跨境传输的详情
数据存储时限
对用来保障个人数据的技术和组织安全措施的描述
43 数据处理须采取哪些安全措施?(第32条)
根据第32条条款,为保障个体的权利和自由,数据控制者和数据处理者须根据数据处理中的固有风险,采取适当的技术和组织措施在一定程度上确保与之相匹配的数据的安全。这是一项宽泛的义务,但在实际操作中却须详细评估各种因素,包括数据处理活动的目的、潜在风险、安全现状,以及实施成本等。GDPR并未明确规定具体的安全措施,而是高屋建瓴地提供了若干选择,即: 假名化或加密 根据公认标准和企业风险水平,确保处理系统和服务具备持续保密、可用和快速恢复的能力 在发生物理或技术事故的情况下,及时恢复个人数据可用性和可及性的能力 对安全措施的有效性进行测试、评估和评价的流程 企业亦可考虑遵守经批准的行为准则或获取认证,两者均可就企业对GDPR项下安全规定的合规予以证明。
44 如果发生数据泄露,企业需要做些什么?(第33及34条)
GDPR为数据控制者引入了数据泄露通知义务,而根据《指令》,以往只有极少数成员国须履行此项义务。遵守此项义务至关重要,如若不合规可能会导致巨额罚款和名誉损失。尽管该项义务仅直接适用于数据控制者,但数据处理者如获悉有关数据泄露,其亦有责任在不造成不当延误的情况下通知数据控制者。、
数据泄露被广泛定义为导致所传输、存储或处理的个人信息发生意外的状况,或非法损毁、丢失、篡改、未授权披露或访问的任何安全违规事件。 如发生数据泄露,数据控制者必须:
在不造成不当延误的情况下及,如可行,在获悉有关泄露后的72小时之内,通知主管监管机构。
若有关泄露可能会令数据主体的权利和自由面临高风险,在不造成不当延误的情况下,就有关泄露向受影响的数据主体做出沟通;
有限例外情形除外。 在下列情况下无需就数据泄露向受影响的个体做出沟通(但如果数据控制者决定不通知受影响的个体,则应注意确保数据控制者能够证明有关情形):
数据控制者通过实施适当的技术和组织保护措施(例如加密),为相关数据提供了充分的安全保障;
泄露发生后,数据控制者已采取措施确保不再可能产生有关数据主体权利和自由的高风险;
或 通知个体数据主体需付出不成比例的工作量——在这种情况下须通过公开渠道进行披露。 GDPR在第33和34条条款中规定了任何数据泄露通知都必须包含的内容(例如有关数据泄露性质的具体信息、泄露可能造成的后果、所采取的风险缓解措施),并且对面向监管机构和受影响主体的通知进行了区分。无论如何,企业都需仔细衡量应在这些通知中披露哪些信息。
GDPR规定的通知时间非常短,并且要求数据控制者对任何实际或可疑的数据泄露给予迅速和最大程度的关注。但在实际操作中,数据控制者“意识到”有关泄露的时间节点可能并不总是那么一目了然。
第29条工作组刊发的指引表示,当数据控制者“能够合理确定导致个人数据受损的安全事故已经发生”时,他便意识到了数据泄露。
围绕此,该指引进一步指出: “数据控制者究竟何时可以被认为‘意识到’某泄露事件,取决于该具体泄露事件当时的情形。在有些情况下,从一开始就可以比较清楚地确定已发生泄露;而有些情况,则可能需要一些时间才能确定个人数据是否已经受损。然而,重点应当放在迅速采取行动进行调查来判断个人数据是否真的被泄露,以及如果确定数据确已泄露,须采取补救措施并根据要求做出通知。”
45 什么是数据保护影响评估及何时须执行该评估?(第35条)
数据保护影响评估(DPIA)是一套正规的、系统的流程,用以评估拟进行的数据处理操作对个人数据保护的影响。GDPR要求企业在特定情形下开展数据保护影响评估,目的在于最大程度地降低可能对数据主体的权利和自由造成的风险。数据控制者在开始进行相关个人数据处理活动之前,应执行此项评估。 当出现“在考虑了有关处理的性质、范围、内容和目的之后,如果某种类型的处理,特别是采用新技术的处理,可能会对自然人的权利和自由造成高风险”的情形时,就必须执行数据保护影响评估。GDPR列出了下列须执行数据保护影响评估的几种情形: 开展旨在评价数据主体的个性化特征,以建立数据画像为目的的自动化处理及类似活动 大规模处理特殊类别数据或与刑事定罪及犯罪有关的数据 大规模、系统化监控公共访问领域 监管机构还应当公布须执行数据保护影响评估的处理操作清单。此外,第29条工作组就实际操作中何时可能需要执行数据保护影响评估刊发了指引,并且建议只要心存疑问就应执行数据保护影响评估。
46 我应如何执行数据保护影响评估及有关数据保护影响评估的文档必须包括哪些信息?
GDPR并未规定开展数据保护影响评估须遵循的流程或格式。相反,它意在向数据控制者提供灵活的操作。第29条工作组指引(实际操作中应进行咨询以获得更多指南)确认,数据控制者可以选择适合其数据保护影响评估目的的方法论。 然而,GDPR明确规定数据保护影响评估至少须包含下列内容: 对拟进行的处理操作和处理目的的描述 对处理必要性和合理性的评估 对数据主体权利和自由风险的评估 拟实施的用以应对风险和证明GDPR合规的措施(包括确保个人数据得到保护的保障、安全措施和机制)
47 如果数据保护影响评估表明数据主体的权利/自由将面临高风险,数据控制者在开始处理之前还必须采取哪些额外措施?(第36条)
如果数据保护影响评估表明在数据控制者缓解措施缺失的情况下,拟进行的数据处理将会导致高风险,那么数据控制者必须在开始数据处理之前咨询主管监管机构。作为咨询流程的一部分,数据控制者必须向监管机构提供详细的信息。作为一般性规则,监管机构必须在接到咨询请求后的八周内(该期限可以延长)做出响应,并确认拟进行的处理是否会违反GDPR。
48 我的企业是否须指派一名数据保护官?(第37条)
GDPR规定,在下列情形下,数据控制者和数据处理者须任命一名数据保护官(DPO): 有关处理由公共机关或机构执行,基于司法权进行数据处理的法院除外。 数据控制者或处理者的核心活动所包含的处理操作要求对数据主体进行定期和系统的大规模监控。 数据控制者或处理者的核心活动包含对特殊类别数据以及有关刑事定罪和犯罪个人数据的大规模处理。 重要的是,除上述规定情形之外,成员国可以制定条款要求企业在其他情形下亦任命数据保护官,因此国家立法也必须予以考虑。仅以举例而言,德国就拥有更严格的规定,因此对于在德国开展核心活动的企业,其必须任命一位数据保护官的可能性就高于比如,总部设于英国的企业。 第29条工作组提供下列指引,以帮助企业确定在实际操作中是否必须指派一名数据保护官:
“核心活动”包括实现业务目标所必需的关键业务活动以及与核心活动密不可分的活动(例如对病人数据进行处理就与医院提供医疗保健的核心活动密不可分)。
“大规模”应视具体情况而定,需考虑数据主体的人数、数据量及/或不同数据项目的范围、处理持续的时间及所覆盖的地域范围。
“定期监控”被解释为持续发生或在一定期间内按一定间隔发生;
在固定时间反复或重复发生;或不断地或周期性地发生。
“系统监控”指根据系统进行的监控;
是预先安排、组织或井然有序的;
是数据总收集计划的一部分,或作为战略的一部分被执行。
拥有多家分公司的企业也可以只任命一位数据保护官,只要这位数据保护官可以很方便地联系到。企业可以选择委任一名内部或外部数据保护官。数据保护官必须具备数据保护法和实务方面的专业知识,有能力履行其职责。
49 数据保护官应向谁汇报?(第38条)
数据保护官的独立性必须得到确保,并且数据保护官将直接向企业的“最高管理层”报告。他们不得因其履行职责而被解雇或受到处罚,并且必须向他们提供履行职责所必需的资源。
50 数据保护官的职责有哪些?(第39条)
数据保护官的职责包括: 告知数据控制者/处理者及处理数据的员工须根据GDPR及其他数据保护法所承担的义务,并提供意见 监督企业对GDPR、其他数据保护法及内部政策的遵守情况,包括人员的责任分配、意识强化和培训,以及相关审计工作 应要求就数据保护影响评估提供意见 配合监管机构并充当联系人
51 如何运用GDPR项下的行为准则?(第40条)
GDPR鼓励制定行为准则,以促进本条例的正确运用。该等行为准则将为不同领域的具体处理情形提供指引和最佳实践。遵守该等行为准则将有助数据控制者和数据处理者证明其对GDPR的合规。 GDPR授权能够代表各类数据控制者或数据处理者的协会及其他机构编制这些准则。准则需要获得监管机构的批准,或当处理活动涉及多个成员国时,获得欧洲数据保护委员会的批准。 GDPR为行为准则列出了以下内容: 公正、透明的处理 数据控制者在特定情形下对合法利益的追求 个人数据的收集 个人数据的假名化 向公众和数据主体提供的信息 数据主体权利的行使 向儿童提供的信息及对儿童的保护,以及获取儿童父母的同意 数据控制者的义务,包括隐私设计/默认及用以确保安全处理的措施 个人数据泄露的通知 个人数据向第三国或国际组织的传输 用以解决数据控制者和数据主体之间数据处理争端的庭外程序及其他争端解决程序
52 如何执行行为准则合规?(第41条)
对行为准则相关内容拥有一定专业知识并且能够证明其独立性的机构,在经主管监管机构认可后,可以获得对行为准则合规进行监督的权利。数据控制者和数据处理者若被发现未遵循相关准则,将被暂停参与该准则系统并被报告至监管当局。
53 获得认可须满足什么条件?(第41条)
为获得主管监管机构的认可,从而有权对行为准则的合规进行监督,机构必须: 证明其独立性及其在准则内容方面的专业性。 设置相关程序,允许其评估数据控制者和处理者适用行为准则的资格、监督遵守情况并定期审查准则系统运行情况。 设置相关程序和架构,处理针对准则违规,或针对控制者或处理者已经或正在采用的准则实施方式方面的申诉,并须将有关程序和架构对数据主体和公众公开。 证明其职责不会导致利益冲突并获得主管监管机构的认可。 54 什么是认证?(第42及43条) GDPR鼓励各成员国、监管机构、欧洲数据保护委员会和欧盟委员会设立数据保护认证机制以及数据保护印章与标记。
认证虽属自愿性质,但它能够令数据控制者和处理者证明其对GDPR的合规,特别是证明了其就适当技术和组织措施予以了实施。认证亦有助数据向欧盟外第三国的传输,因为欧盟境外数据控制者和数据处理者可以依赖这些认证证明其能够提供适当保障。 认证将由获得认可的认证机构或主管监管机构根据已建立的标准予以签发,一旦签发,最长有效期将为三年。在同等条件下,认证可获得续延。但如果认证要求得不到满足,认证将被撤销。 欧洲数据保护委员会负责将所有认证机制以及数据保护标记和印章整理在册,并确保其公开可用。