摘要:《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟于2018年5月25日出台的条例,前身是欧盟在1995年制定的《计算机数据保护法》。
本文除开篇给大家重磅推荐明日即将实施的欧盟《一般数据保护条例》GDPR(汉英对照)这部新作外,还将于生效后GDPR对企业的数据保护义务提出了全新的监管要求,将对中国企业在欧盟市场的投资、销售和运营产生显着影响,并成为中国企业必须直面的重律障碍作指引汇总。指引整理来自于大成数据保护团队的欧盟与中国律师联合推出11篇系列原创文章,以协助中国企业从实务角度理解和遵从GDPR,并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。欢迎转需分享。
柒.数据主体的权利(删除权、限制处理权、反对权和自动化个人决策相关权利)
认领说明:碍于微信字节限制,无法安放11章指引内容,故小编已将该《指引》整理精编成文本供诸位下载,具体下载通道和方法敬请点击识别下述部落格二维码获取。
欧盟议会于2016年4月14日通过的《通用数据保护条例(General DataProtectionRegulations)》(“GDPR”)将于2018年5月25日在欧盟成员国内正式生效实施。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如,即使一个主体不属于欧盟成员国的公司(包括免费服务),只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,其就受到GDPR的管辖。
毫无疑问,GDPR将对中国企业在欧盟市场的投资、销售和运营产生显着影响,并成为中国企业必须直面的重律监管障碍。违反该条例将会导致严重的法律后果;其中,重大违反(Most Severe Infringement)所遭致的行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)。
为协助中国企业应对GPDR的合规要求以及潜在的法律风险,自2018年1月起,大成数据保护团队将于每周四通过公众号“个人信息与数据保护实务评论”,定期推送GDPR实务指引系列专业文章,供读者参考。本系列实务文章的英文版本是由大成荷兰办公室(Dentons Boekel N. V.)的合伙人律师Marc Elshof团队完成。针对本系列文章有相关问题,请与邓志松律师(北京,zhisong.)或戴健民律师(上海,jianmin.)联系。
欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大,位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。GDPR要求这些组织及时对GDPR的“合规”要求作出回应。
第一,GDPR适用于在欧盟境内设有业务机构(establishment)的组织,只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。
对“场地(location)”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动(小型活动即可)。法律形式(例如分公司或具有法人资格的子公司)并不是决定性因素。因此,在欧盟境内设有唯一代表即足以符合适用条件。
并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的(通常是同时具备上述两个特点,但必须始终满足此句所述条件)。如果业务机构的活动与母公司的活动密不可分(例如,业务机构存在的目的就是为了母公司的经济效益),则相关的个人数据处理行为就应当受到GDPR的规制。
因此,如果业务机构(例如分公司或联络代理)的活动与位于欧盟境外的组织进行的个人数据处理密不可分,则应当适用GDPR。
第二,如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。
如果非欧盟组织机构意图向欧盟境内个人提供商品或服务,则其将被视为在欧盟境内提供商品或服务。仅仅是能从欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多个成员国的语言和/或货币、来自欧盟客户(例如在网站上)的推荐、使用搜索引擎中针对一个或多个成员国的广告和/或使用顶级域名(例如.eu或.nl)可能导致商品或服务被视为在欧盟境内提供。
第三,GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。
如果(尤其是)为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度,而在互联网上追踪这些个人,且在此过程中使用了处理技术来形成画像等,则构成监控行为。
目前尚不清楚监控行为到何种程度才适用GDPR。原则上,使用所谓的“追踪cookies”和监控使用的应用程序的网站在GDPR的适用范围内(只要该等网站处理个人数据)。欧洲法院最近裁定,在某些情况下,动态IP地址也可视为个人数据。因此,存储动态IP地址日志数据的网站的所有者也可能受GDPR的规制。
各类组织最好确认其活动是否在GDPR的地域适用范围内。鉴于“业务机构”和“提供商品或服务”标准的解释较为宽泛,所以更应如此。贯彻落实GDPR需要大量的时间、规划和资源。
根据荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”),“同意”是处理个人数据的六项法律依据之一。在没有法律依据的情况下处理个人数据是不被允许的。欧盟《一般数据保护条例》(General Data Protection Regulation,“GDPR”)也规定,“同意”是数据处理的法律基础。GDPR的多个部分都提到了同意机制。基于此,本文主要对DPA和GDPR在以下方面的差异进行阐述:(1)同意机制的法律框架和(2)有效同意的构成要件。
DPA下“同意”的概念完全依照欧盟第95/46/EC号指令中的定义,即“数据主体的同意是指:数据主体依照其意愿自由作出的特定的、知情的指示。通过该等指示,数据主体表明其同意处理与其相关的个人数据。”
法律框架由多个可广泛解释的条款构成,这使其产生了法律不确定性。因此,一个由欧洲隐私监管机构组成的独立咨询顾问机构——第29条工作组,在2011年7月对“同意”概念作出了全面分析。工作组的意见解释了同意机制相关法律框架的几个关键要素。这些要素是,并且一直是欧盟数据保护机构解释“同意”概念的重要指南。简而言之:
同意必须是自由作出的。这意味着数据主体在作出同意时,其选择是真实的,例如,不存在受到胁迫或者欺诈的风险。如果数据主体会受到数据控制者的影响(例如,数据控制者是数据主体的雇主,或者是一个公共权威),则考虑到此类关系的性质,同意并不当然被认为是自由作出的。
同意必须是特定的。无明确目的的概括式的同意是无效的。同意应当清晰准确地指明数据处理的范围和结果。特定的同意条款需要与一般条款相区分。
同意必须是在知情的情况下作出的。根据DPA第33、34条,数据控制者必须向数据主体提供一定的关于数据处理的最低限度的信息。被提供的信息应足以保证数据主体能够作出充分知情的选择。至于信息的质量,信息提供必须使用数据主体能够理解的语言。复杂的法律术语是不合适的。
而且,被提供的信息必须是清楚且足够显着的,以使数据主体不能轻易忽略。另外,信息必须是直接提供给数据主体的,仅指示可供访问的信息的地址(例如,网络上的“某处”)是不够的。
同意还须结合DPA中提到的进一步要求。基于同意的数据处理,要求该同意是明确的。数据主体明确作出的指示,不能对其意愿留有不明确的空间。如果存在合理怀疑,则认为不明确。
根据第29条工作组的意见,不明确的同意不适用于基于不作为或者沉默取得同意的方式(例如,不适用于预先勾选的选择框)。
在处理特殊类别的数据(例如,健康数据)时,同意必须是明示的。需要数据主体给予积极回复。
GDPR第4条第11款将“同意”定义为:“数据主体的同意是指,数据主体依照其意愿自由作出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为作出的该等指示,数据主体表明其同意处理与其相关的个人数据。”
从该新法律框架看,欧洲立法者似乎在其对法律框架的整体评估中回应了第29条工作组提出的某些修改。鉴于欧盟第95/46/EC号指令下“同意”的概念被一字不变地移植到DPA中,因此从荷兰法的角度并没有太多改动(与其他欧盟成员国相比)。该定义已变得更加规范,但大部分并非新内容。最主要的修改如下:
同意必须以声明或清晰肯定的行为作出。数据主体的行为是明确被要求的。包括,例如,点击对话框和选择特定的技术网络浏览器设置。因此,预先勾选的选择框并不构成同意。
根据第29条工作组的分析,“同意”似乎要求数据主体作出行为,现在GDPR明确了这一要求。这就需要相关组织重新考虑其目前从数据主体处取得同意的方式。
GDPR第7条规定了有效同意的要件,其中某些在DPA中没有具体规定。有效同意的要件之一是,数据控制者必须能够证明,数据主体确实同意处理其个人数据。书面声明不是必须的,但推荐使用,因为证明责任在数据控制者这边。网上作出同意的充分记录(例如,通过在网站上的联系方式)应当作为标准。
如果数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显着区别的形式呈现。如果信息的提供不符合本规定,同意将可能无效。
根据DPA,数据主体有权随时撤回其同意。撤回同意应当同给出同意一样容易。GDPR的新规定为,数据主体必须在作出同意前被告知其撤回权。此外,数据主体还必须被告知撤回不影响在撤回前基于同意对其个人数据的处理。这不仅需要隐私政策的修订,也可能需要相关组织内部流程的改变,以确保撤回同意与给出同意同样容易。
对于向儿童提供信息社会服务(简而言之:所有在线服务,无论是免费的或付费的,包括社交媒体),应当适用特殊的同意规则。原因是,儿童应被给予额外的保护,因其一般都缺乏对风险、保障措施和与处理个人数据相关权利的了解。这种特殊的保护应适用于,当服务被直接提供给儿童时,儿童的个人数据被用于市场营销或创建个性/用户模型,以及收集儿童的个人数据的情况。任何信息和沟通都应当以清晰且简明的语言表达,使得儿童容易理解。
只有在儿童年满16周岁时,基于同意的数据处理才是合法的。如果儿童未满该年龄,则只有在有监护权的父母同意(或授权)的情况下,数据处理才是合法的。欧盟各成员国可以规定更低的年龄门槛,但不得低于13周岁。荷兰将不会规定更低的年龄(据立法者称,没有理由改变目前的情况)。欧盟范围内的相关组织,在取得同意的基础上处理儿童的个人数据时,应了解欧盟各成员国在这方面的立法。
对于缺乏法律行为能力的其他数据主体,《GDPR荷兰实施法案》(“实施法案”)规定,被接管(curatele)或置于保护令(mentorschap)之下的数据主体,也需要其法定代表人的同意(同意也可由法定代表人撤回)。
考虑到现有技术,数据控制者应作出合理的努力,以证明同意实际是由法定代表人作出或授权的。
“GDPR将取代欧盟第95/46/EC号指令。本条例施行之日已在进行中的数据处理,须在本条例生效之日起两年内符合本条例的规定。若处理是基于欧盟第95/46/EC号指令下的同意,且该同意的形式符合本条例的规定,则数据主体不需要再次给出同意,以使数据控制者在本条例施行之后继续处理。(…)”
主要规则是,如果同意的取得符合GDPR规定,则不需要相关组织再次取得同意。然而,当在DPA下取得的同意不符合GDPR的规定时,该同意是否将在2018年5月25日失去效力,并不完全清楚。可以认为,欧洲立法者最为重视处理的连续性:“以使数据控制者在本条例施行之后继续处理”。另一方面,根据第171条的具体表述(“本条例施行之日已在进行中的数据处理,须在本条例生效之日起两年内符合本条例的规定”以及“如果该同意的形式符合本条例的规定”)所得出的结论是:同意应被重新取得。
作为对实施法案质询的一部分,这个问题被提交给了荷兰立法者。其可能在下一版本实施法案(解释备忘录)中被进一步澄清。
将数据主体的同意作为数据处理活动的合法依据的相关组织,应当检查当前取得的同意是否符合GDPR的要求。如果不符合,内部流程应当遵照这些要求,数据控制者也应当考虑按照GDPR的要求重新取得同意(以避免在2018年5月25日后同意失效的风险)。此外,相关组织应建立机制以证明同意是有效的,并确保同意可以被容易地撤回。
相关组织可以进一步考虑,其他(也许更适当的)数据处理的法律依据是否可行和理想。
相关组织未能履行新的义务,将面临荷兰数据保护监管机构(de Autoriteit Persoonsgegevens)或者欧盟其他国家活跃的监管机构的严重行政罚款的风险。
本第三份关于《通用数据保护条例》的业务通讯将阐述,荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”)所实施的《数据保护指令》(第95/46/EC号指令)和《通用数据保护条例》(General Data Protection Regulation,“GDPR”)下个人敏感数据处理的差异。
乍看之下,在个人敏感数据处理方面,GDPR(较第95/46/EC号指令)的变化似乎是有限的。与DPA相似,原则上禁止处理个人敏感数据,并且,处理此类数据的依据也与DPA大致相同。
除目前个人敏感数据明确包括基因数据和生物识别数据外,上述类别大致与DPA中的类别相似。此外,根据GDPR,处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理,使其能够识别或认证特定自然人时,照片才被认为是生物识别数据。
1. 数据主体明示同意。该等同意应当是自由作出的,特定的,知情的且明确的(参见2017年2月的业务通讯)。需要注意的是,雇主对员工医疗数据的处理(包括药物或酒精测试)不能以员工的同意为依据。这是因为,考虑到双方的层级关系,这种同意不被视为是自由作出的。
2. 在劳动法、社会保障法或社会保护法领域,雇主对此类数据的处理必须在欧盟或成员国法律或集体协议授权的范围内进行。
3. 在数据主体因为身体上或法律上的原因(紧急情况)不能作出同意时,为保护数据主体或他人的重大利益之目的所必需的处理。
4. 处理是由具有政治、哲学、宗教或工会目的的非营利团体进行的,并且该等处理仅涉及团体成员或前成员,同时,相关数据在未经数据主体同意的情况下不会向第三方披露。
6. 为合法诉求的成立、行使或抗辩或法院行使其司法职能之目的所必需的处理。
7. 根据欧盟或成员国的法律,为重大公共利益所必需的处理。该处理所追求的目的应当是适当的,且包含合理的数据保护措施。
8. 根据欧盟或成员国的法律或与医疗专业人士的合同,为预防医学或职业医学,为评估雇员的工作能力,医疗诊断,提供卫生或社会保健或治疗或卫生社会保健系统和服务管理之目的所必需的处理。
9. 根据欧盟或成员国法律规定以适当的、特定的措施保障数据主体的权利和自由,在公共健康领域中为公共利益之目的所必需的处理。例如抵御严重的跨境卫生威胁,或确保医疗保健和医药产品或医疗器械的高标准。
10. 根据欧盟或成员国法律,为公共利益,统计,科学或历史研究之目的所必需的处理。该处理所追求的目的应当是适当的,尊重数据保护的基本权利,并采取了适当的、特定的措施以保障数据主体的基本权利和利益。
虽然在个人敏感数据的类型和数据处理的依据方面基本复制了DPA,但GDPR仍带来了新的变化。
首先,上述第2,7,8,9,10项参照成员国法作为数据处理的法律依据,同时,GDPR允许欧盟成员国维持或引入更多条件,包括关于处理基因数据,生物识别数据或健康数据的限制。
最近,荷兰政府发布了一项对于实施法案的提议。根据本实施法案,处理个人敏感数据的条件仍与DPA的规定相似。
第二,当个人数据的处理可能给数据主体的权利或自由造成高风险时,相关组织有义务进行隐私影响评估(Privacy Impact Assessment,“PIA”)。PIA的目的是识别此类高风险以及制定应对风险的措施。PIA必须在处理开始之前进行。
GDPR明确规定,在对个人敏感数据或与刑事记录和犯罪相关的个人数据进行大规模处理前,必须进行PIA。(我们将会在后续GDPR业务通讯中更详细地论述PIA)
第三,个人敏感数据的大规模处理可能要求数据控制者(或处理者)委派一位数据保护专员(Data Protection Officer,“DPO”)。我们将在接下来的业务通讯中讲解DPO和PIA。
就个人敏感信息处理而言,GDPR的生效将不会对现行做法产生实质性影响,乍看之下其变化似乎也是有限的。但是,这些变化可能会对相关组织处理个人敏感数据的方式产生影响。因此,涉及个人敏感数据处理的相关组织须审查现有的政策和做法,并确保:
2. 若基于同意处理个人敏感数据,则该等同意应满足GDPR项下的新要求。注意:在雇佣关系中,原则上,同意处理敏感数据不被认为是自愿作出;
根据《荷兰个人数据保护法》(Dutch Personal Data Protection Act, the “DPA”),处理个人数据的组织机构必须就其处理活动通知监管机构。而根据《通用数据保护条例》(General Data Protection Regulation, the “GDPR”),各类组织机构将不再负有报告其数据处理活动的义务,但是他们在这方面须承担更多的责任。GDPR强调“问责”原则,即要求组织机构采取一切技术性和组织性措施遵守GDPR的各项原则和义务。此外,GDPR还要求他们能够证明其合规性。正如预期的那样,新引入的数据保护原则将对他们当前的实践产生重大影响。
根据GDPR的规定,各类组织机构必须(i)保存其个人数据处理活动的详细记录,(ii)在适用的情况下,进行隐私影响评估,并(iii)执行从设计着手数据保护(Privacy by Design)和默认数据保护的原则 (Privacy by Default)。
“第1款”是指GDPR第5(1)条,该条款列出了个人数据处理有关的原则。根据GDPR第5(1)条的规定,个人数据应:
出于指定、明确、合法的目的而收集,不以不符合这些目的的方式进一步予以处理;
以下列方式保存:允许识别数据主体的期限不超过该等个人数据处理目的所需要的时间;
处理个人数据的组织机构有义务遵守并且必须能够证明其遵守了上述所有原则。此外,他们必须能够提供其就上述原则作出决定的依据并且还必须能够提供相关证明。
“采取适当的技术性和组织性措施确保并能够证明按照GDPR的规定进行处理活动。必要时应对这些措施进行审查和更新。”
就数据控制者必须准确证明按照GDPR的规定进行数据处理的方式,目前尚无具体规定。预计在2018年5月25日(即GDPR开始正式实施之日)之前,第29条工作组可能会就此提供进一步的指引。
GDPR第30条详述了贯彻落实问责机制理念的具体方法,该条款要求大多数数据控制者和数据处理者保存就其职责范围内的处理活动的书面(包括电子)记录。该等书面或电子记录应至少包含:
1. 控制者的名称/姓名和联系方式,以及在适用的情况下,共同控制者、控制者代表和数据保护官的名称/姓名和联系方式;
4. 已经或将要接收个人数据的接收者(包括第三国的接收者或国际组织)之类别;
5. 在适用的情况下,将个人数据传输给第三国或国际组织的情况,包括该第三国或国际组织的身份,以及,在适用的情况下适当保障措施的文件;
处理者也必须保存代表其数据控制者进行的所有类别处理活动的记录。该等电子或书面记录应至少包含:
1. 处理者以及处理者代表其行事的每个控制者的名称和联系方式;在适用的情况下,也应包括控制者或处理者的代表以及数据保护官的名称/姓名和联系方式;
3. 在适用的情况下,将个人数据传输给第三国或国际组织的情况,以及(在适用的情况下)适当保障措施的文件;
从设计着手隐私保护和默认隐私保护原则要求各类组织机构在产品和服务的初始设计阶段以及整个过程中将数据隐私保护考虑在内。
从设计着手隐私保护在开发新产品和服务时非常重要。根据GDPR第25(1)条的规定,控制者在确定处理手段时和在进行处理活动本身时都有义务采取适当的技术性和组织性措施,该等措施旨在有效落实数据保护原则并在处理活动中采取必要的保障措施。
各类组织机构必须确保并能够证明数据保护自设计过程的早期阶段开始就是重点。在较晚的阶段才促使相关系统符合GDPR的规定可能会导致不必要的成本。
GDPR第25(2)条要求数据控制者采取适当的技术性和组织性措施确保在默认情况下只处理每个特定处理目的所必需的个人数据。这一义务适用于所收集的个人数据的数量、处理范围、存储期限和可访问性。具体而言,默认情况下,在没有个人介入的前提下,个人数据不应被无限数量的其他个人访问。
默认隐私保护原则在数据主体选择分享其个人数据的情况下对服务和产品非常重要。默认隐私保护要求各类组织机构通过使用最方便的隐私设置来保护数据主体的隐私。这一原则尤其在与线上和社交媒体平台相关的个人数据处理中发挥着重要作用。原则上,预先框选和自动追踪数据主置的应用程序不符合默认隐私保护要求。
各类组织机构所实行的内部政策和所实施的措施必须符合从设计着手数据保护和默认数据保护原则。这些措施包括:尽量减少个人数据的处理、尽快将个人数据匿名化、个人数据功能和处理透明化、让数据主体能够监控数据处理,并让数据控制者能够建立和改善安全功能。
在开发、设计、选择和使用基于个人数据处理或其用途包含个人数据处理的应用程序、服务和产品时,应鼓励生产者考虑数据保护权,以确保控制者和处理者能够履行其数据保护义务。
经批准的认证机制可被用作证明遵守从设计着手隐私保护和默认隐私保护要求的证据之一。
从GDPR开始实施的那一刻起,保存组织机构内部个人数据处理记录将不再是监管机构的责任。相反,应由控制者在问责机制约束下保存最新的处理记录。在兼顾从设计着手隐私保护和默认隐私保护原则的前提下,理论上大多数组织机构都需要在内部政策和技术系统方面做出相应修改。
梳理所有个人数据处理活动将花费大量时间,特别是对处理大量和不同类别个人数据的大型组织机构而言。所有修改内容都应在2018年5月25日之前实施。自该日起,各监管机构将会积极监督和促进GDPR的实施。监管机构将有权对不遵守GDPR的组织机构处以高额罚款。因此,我们建议相关组织结构及时贯彻落实GDPR。从内部对各类个人数据处理活动进行梳理就是开启这一过程的好方法。
本期主要探讨《通用数据保护条例》(General Data Protection Regulation, the “GDPR”)项下向数据主体提供信息的(新)义务。在接下来两期中,我们将进一步探讨数据主体的其他权利(如访问权、更正权和删除权)。
GDPR的核心原则之一就是,控制者必须以透明的方式如实告知数据主体收集、使用、查阅或以其他方式处理与其有关的个人数据以及处理或将处理该等个人数据的程度。这一透明性原则要求任何与个人数据处理有关的信息和通信都必须易得易取,而且要使用清晰、简明的语言。
根据GDPR的规定,处理个人数据的各类组织机构必须使用清晰、简洁的语言(特别是在数据主体中包括未成年人的情况下),以简明、透明、易懂、易得易取的形式提供下列信息。也可使用适当的可视化方法(例如标准化图标)。
原则上,该等信息必须以书面形式(例如通过隐私政策)和(在适当的时候)以电子手段(例如通过网站)提供。
3. 个人数据处理的目的和法律依据,包括在处理是基于“为了控制者所追求的合法利益目的所需”这一法律依据的情况下控制者所追求的合法利益;
5. 欧盟境外数据传输详情,包括将如何保护数据(例如,采用欧盟标准条款EU Model Clauses或企业约束规则Binding Corporate Rules)以及数据主体如
6. 个人数据保存期限,或在明确保存期限不可行的情况下,用于确定保存期限的标准(例如合同关系结束后一年);
7. 数据主体有权查阅及更正其个人数据,反对或要求删除数据或限制数据处理,以及数据可携带性;
8. 如果该等处理是基于同意,数据主体有权随时撤回其就该等处理给予的同意;
10. 提供数据是法律要求还是合同要求,或提供数据是否为订约所需,或数据主体有无义务提供数据,以及不提供数据的后果;
11. 是否会作出任何自动化决策、决策的逻辑,以及对数据主体的意义和后果。
除上述信息外,如果不是直接从数据主体处收集个人数据,则控制者还须提供以下信息:
如果控制者预期将出于收集个人数据的初始目的以外的其他目的进一步处理个人数据,在进行此类进一步处理之前,控制者必须向数据主体提供该等目的有关的信息,及其他有关信息。
如果个人数据是直接从数据主体处收集的,且数据主体已拥有该等信息(信息只须提供一次即可),不适用信息告知义务。
如果个人数据不是直接从数据主体处收集,则在下列情况下,不适用信息告知义务:
2. 提供该等信息不可行或者需要付出的努力超出了合理的比例,但前提是控制者采取适当措施保护数据主体的权利、自由和合法利益,包括公开提供该等信息;
3. 欧盟或成员国的法律规定有义务获取/披露个人数据并规定有适当措施保护数据主体的合法利益;
4. 根据欧盟或成员国法律规定的职业保密义务(例如律师-委托人之间或医生-患者之间的保密特权),必须对个人数据保密。
GDPR将对数据控制者的现有信息告知义务产生实质性影响,因此我们建议各组织机构分析其处理活动并更新其现有(隐私)政策、声明、(员工)手册等,以遵守GDPR下的信息告知义务。此外,处理非直接从数据主体处收集的个人数据的组织机构应确保在合理的期限内履行信息告知义务。
上一期我们讨论了数据主体的知情权,接下来我们将进一步探究数据主体的其他一些权利。本期我们将探讨访问权、更正权和数据可携权。
处理个人数据时,相关组织机构有义务告知数据主体其享有的各项权利。如上期实务指引中所提到的,GDPR的实施对数据控制者的现有信息告知义务有实质性影响。这可能——且很有可能——会导致现有的(隐私)政策、声明、(员工)手册等需要被进行必要的修改。GDPR要求控制者对数据主体的请求及时作出回应,一般在收到请求后一个月内,无故不得拖延。如果相关组织机构逾期不作回应,数据主体可寻求司法救济,并可向荷兰隐私监管机构投诉,监管机构可考虑采取相应的后续措施。如果相关组织机构收到大量的请求或者特别复杂的请求,回应的时限可延长,但最多只能延长两个月。
根据《个人数据保护法》的规定,数据主体有权要求确认是否正在处理与其有关的个人数据以及(在确认答案是肯定的情况下)访问其个人数据并获得特定信息。GDPR扩大了控制者需提供的信息范围。控制者必须应请求向数据主体提供以下方面的信息:
3.已经或将要接收个人数据的接收者或接收者之类别,尤其是第三国或国际组织的接收者;
4.(在可确定的情况下)个人数据的预期存储期限或者(在不可确定的情况下)用于确定该等期限的标准;
5.存在以下权利:要求控制者更正或删除与数据主体有关的个人数据或者限制处理与数据主体有关的个人数据,或者反对此类处理;
7.(在个人数据不是从数据主体处收集的情况下)可获得的有关个人数据来源的任何信息;
8.自动化决策(包括画像)的存在以及(至少在这些情况下)与相关逻辑有关的有意义的信息,以及此类处理对数据主体的重要性和预期后果。
第4、5、6、8项是新增加的信息告知义务。新增的规定还包括在适用的情况下,控制者有义务告知数据主体与将其个人数据传输给欧洲经济区以外的国家或国际组织有关的适当保障措施。因此,相较于《个人数据保护法》,GDPR下的信息请求很可能会给相关组织机构造成更大的行政管理负担。
与《个人数据保护法》不同的是,在GDPR下,控制者有义务向数据主体免费提供其个人数据副本一份。只有数据主体要求提供一份以上的其个人数据副本时,控制者方可收取合理的费用(根据内部行政管理成本)。如果控制者处理大量与数据主体有关的信息,其可要求数据主体指明该项请求所涉及的信息或处理活动。
控制者必须采取一切合理措施来验证请求访问的数据主体的身份,尤其是在在线服务和在线识别的情况下。但是,控制者不得仅仅为了能够回应潜在的请求而处理个人数据。
数据主体必须能够在合理的时间间隔内不费力地行使其访问权,以了解和核实与其数据有关的处理的合法性。出于非数据保护目的而提出的请求可能会被拒绝。如果数据主体以电子形式提出请求,则除非数据主体另有要求,否则信息必须以常用电子形式提供。此外,在可行的情况下,鼓励控制者提供对安全系统的远程访问权限,授予数据主体直接访问其个人数据的权利。该访问权不得对其他主体的权利和自由(包括商业秘密和知识产权,尤其是保护(用于授予访问权限的系统的)软件的着作权)产生不利影响。但是,这不得导致拒绝向数据主体提供所有信息(即在这种情况下控制者应该寻找替代方案)。
根据GDPR的规定,更正权是指数据主体有权要求更正与其有关的不准确个人数据。同时,数据主体有权要求对其不完整的个人数据进行补充,包括通过提供补充声明要求补充。
与本期讨论的其他两项权利相反,GDPR下的更正权不会导致相关组织机构面临许多新增的要求。
GDPR中新增了数据可携权条款。为了进一步加强数据主体对其自身数据的控制,在以下情况下,数据主体有权从控制者处接收回其提供给控制者的个人数据:
数据应以结构化、常用和机器可读的格式提供。这项权利旨在使数据主体能够将数据传输给另一控制者,而不受前一控制者的阻碍。
如果处理系基于同意或合同以外的任何其他法律依据,例如出于控制者合法利益所需或出于为公众利益而执行任务所需,可携权便不适用。
在技术上可行的情况下,数据主体亦可要求控制者将个人数据直接传输给另一控制者。
这一要求在控制者之间传输个人数据的新权利很可能给控制者带来额外的行政管理和技术负担,需要在新(技术)系统和(内部)流程方面进行大量投入。GDPR表示希望控制者受激励开发可互操作的格式来实现数据可携性。
接收个人数据的权利不妨碍其他数据主体的权利和自由。此外,数据可携权不妨碍数据主体获取删除其个人数据的权利以及GDPR下对该等权利的限制。
数据可携权(尤其)不意味着数据主体在履行合同所必需的程度和时间范围内有权要求删除其为履行该合同而提供的个人数据。
本期实务指引主要探讨了数据主体的访问权、更正权和数据可携权。各组织机构有义务告知数据主体上述权利,并履行其在这些权利下的义务,且无故不得拖延。数据主体访问权的扩大和数据主体数据可携权的引入可能导致内部(技术)系统和流程的更改,并且可能给处理大量个人数据的组织机构带来额外的行政管理负担。
数据控制者(尤其是那些处理大量数据主体的个人数据的控制者)有必要开始更新其内部流程和IT系统以遵守上述新要求。效率是关键,因为控制者不得因数据主体行使上述权利而向数据主体收取费用。对此,在线门户网站可能是一个不错的解决方案,数据主体(客户,但也包括员工)可通过该等门户网站修改(和下载)其个人数据,不过,与此同时还应该在这一解决方案与这些系统可能带来的潜在弊端之间仔细权衡。
我们在前两期中对数据主体的知情权、访问权、更正权和可携权等权利进行了讨论,本期我们将继续讨论数据主体的其他权利:删除权、限制处理权、反对权和自动化个人决策相关权利。
删除权也称“被遗忘权”。删除权并不是给予数据主体要求删除数据的绝对权利。《通用数据保护条例》(General Data Protection Regulation, the “GDPR”)规定,数据主体有权在以下情况下要求删除其数据:
6.个人数据处理涉及向儿童提供信息社会服务(特别是在其未充分意识到处理风险的情况下,以儿童的身份作出的同意,尤应删除其在互联网上的个人数据)。
《荷兰数据保护法》(Dutch DataProtection Act, the “DDPA”)目前也规定有删除权。但是,根据《数据保护法》,只有在个人数据不正确、不完整或不相关的情况下,删除权方才适用。而根据GDPR的规定,如果存在上述一个或多个限制性理由,则适用删除权。
如数据控制者已公开个人数据并有义务删除个人数据,则控制者必须采取合理措施(包括技术性措施)将数据主体已要求删除其个人数据的事宜通知其他控制者。因该等个人数据已处于公众知悉的领域,这一义务的影响可能非常广泛。
删除个人数据的义务也存在一些例外,即如果数据处理对于以下任一情形而言是必需的,则无需履行这一义务:
2.遵守欧盟或成员国的法律义务或执行为公共利益或为行使控制者被授予的官方权力而进行的任务;
4.出于公共利益的归档目的、科学或者历史研究目的或者统计目的,只要删除权可能导致不能实现此类处理目的或者对该等目的的实现造成严重影响;
根据GDPR的规定,数据主体在以下情况下有权要求(暂时)限制处理其个人数据:
数据主体正在对正被处理的个人数据的准确性提出质疑,但限制处理须以控制者核实个人数据准确性所需的时间为限;
数据控制者不再为处理目的而需要个人数据,但数据主体因建立、行使或辩护法律请求之目的而需要个人数据;
在核实控制者的正当理由是否优先于数据主体的正当理由之前,数据主体反对处理。
在限制处理期间,“标记的”个人数据只能由控制者存储。禁止进行其他与“标记的”数据有关的处理活动。如果个人数据处于“处理受限”状态,则控制者在数据主体同意的情况下或者该等处理行为时为了建立、行使或辩护法律请求,保护第三方所必需的情况下,或者为维护相关成员国和/或欧盟的重大公共利益所必需,则仍可进一步处理这些数据。
处理限制必须在控制者的系统中明确标示。控制者组织内部可以用来限制个人数据处理的方法包括暂时从网站上删除或屏蔽已发布的数据或将“标记的”个人数据临时转移到另一处理系统,使“标记的”个人数据不再可获得。处理限制原则上应该通过技术手段来保证实现,并且个人数据应当以不允许进一步处理和更改的方式记录在控制者的IT系统中。
1.个人数据处理是基于“维护公共利益所必需”或“维护控制者所追求的合法利益所必需”这两个理由;
1.个人数据处理是基于“维护公共利益所必需”或“维护控制者所追求的合法利益所必需”这两个理由
就本项情况而言,如果数据主体反对数据处理行为,则控制者必须停止处理个人数据,除非其能证明其拥有令人信服的、优先于数据主体利益的正当理由,或者是为了建立、行使或辩护法律请求。
较之目前,这是变化之一。根据DDPA的规定,数据主体必须给出与其特定情况相关的令人信服的正当理由,才可反对处理其个人数据。而GDPR不再作此要求:如果数据主体提出反对,控制者必须证明为什么其仍能够处理个人数据。
就本项情况而言,反对权是绝对的:如果数据主体提出反对,控制者必须停止为直接营销目的(包括与直接营销目的有关的画像)处理该数据主体的个人数据。
GDPR强调,反对为直接营销目的进行处理的权利应明确地告知数据主体,并与其他任何信息分开独立、清晰地列明(例如,不能“隐藏”在适用的一般条款和条件中)。最迟应该在与数据主体初次联系时告知数据主体该权利。
就本项情况而言,只有在存在与数据主体的特定情况有关的理由时,数据主体才有权提出反对。此外,如果对于执行为了维护公共利益而进行的任务而言处理是必需的,则属反对权的例外。
根据GDPR的规定,数据主体有权不适用完全基于自动化处理(包括画像)的决策,如果前述决策产生与数据主体有关的法律效果或者对数据主体产生类似的重大影响。举例而言,此类决策包括无人为干预下的拒绝在线信贷申请、网络招聘或在线绩效评估。
根据荷兰的执行法草案的解释性备忘录草案,该条款禁止使数据主体适用完全基于自动化处理活动的决策。该条款并不禁止画像或使用自动化处理活动,但是——如果用于作出针对数据主体的决策——这些活动应该与人为干预结合使用。
在欧盟或成员国法律明确授权的情况下(包括出于监控欺诈和逃税目的),如果对于在控制者和数据主体之间签订或履行合同而言是必需的,或者如果数据主体已给予明确同意,则允许进行自动化决策。荷兰立法者拟在控制者履行法定义务所需的情况下或者在执行为了维护公共利益而进行的任务时允许自动化处理(画像除外)。举例而言,这一类别包括与政府津贴(如儿童津贴和学习津贴)有关的自动化决策。
对该条款所涉及的任何处理,都应当采取适当的保障措施,包括向数据主体提供具体信息以及要求人为干预、表达其观点、要求对此类评估后作出的决策进行解释以及质疑此类决策的权利。
基于敏感数据的自动化决策进一步受到限制,只有在获得明确同意的情况下或者根据欧盟或成员国法律对于维护重大公共利益处理是必需的情况下才能进行。
各组织机构应审核其隐私声明和政策,以确保数据主体充分了解其反对权、删除权和限制处理权。各组织机构还应该确定其系统是否能符合在投诉处理期间将个人数据“标记”为处理受限的要求。此外,还应该确认其是否以及在何种程度上使用自动化决策,并确定是否适用限制性理由之一。所需采取的行动可能多为技术层面上的,因此可能需要IT部门参与以及对现有IT系统做出改变。如果进行自动化决策,还应对内部程序进行评估并在必要时进行更新。
本期我们将讨论数据处理者的角色。我们将从处理者自身角度以及数据控制者的角度分析数据处理者的角色。
与欧盟《数据保护指令》95/46/EC(Data Protection Directive, “《指令》”)和《荷兰数据保护法》(Dutch Data Protection Act, the “DPA”)不同,《通用数据保护条例》(General Data Protection Regulation, the “GDPR”)规定,处理者也负有一些特定的责任,这意味着遵守(荷兰)的隐私法规不再只是控制者的责任。自2018年5月25日起,处理者也可能因为不符合GDPR的要求以及这方面的其他法律而被追究责任。相较于以前,对数据处理者和控制者的角色加以区分更为必要。
控制者是决定个人数据处理目的和方式的(法)人。而处理者是代表控制者处理个人数据的(法)人,这意味着处理者并不负责决定处理目的和方式。一般而言,这涉及组织机构内部特定数据处理的外包,例如,薪酬和员工管理、客户管理、云和托管服务和/或摄像头监控。
处理者有义务在控制者设定的任务范围内行事。如果处理者行事超出任务范围,为了其自身或其他的目的处理个人数据,则就该特定部分的数据处理而言,处理者将被视为数据控制者。例如,出于统计分析目的处理个人数据,以供内部使用。请注意,对于同一组个人数据,相关组织机构可能拥有不同的角色职责。
根据DPA的规定,只有数据控制者受法定义务的约束(以合同的方式对处理者约定类似的义务是实践中常见的做法)。随着GDPR的生效,处理者也需要承担许多法定义务,这意味着荷兰监管机构可直接对数据处理者进行监管。此外,从GDPR实施的那一刻起,处理者可因对第三方的损害而被追究责任。为了对处理者和控制者的法律概念进行深入分析,我们参考了第29条(工作组)第1/2010号意见(pdf),工作组是指由欧盟各数据保护监管机构成员组成的核心监管机构。
DPA适用于荷兰境内的数据控制者的营业机构在其经营活动过程中处理个人数据的情形。GDPR适用于欧盟境内的数据控制者或处理者的营业机构在其经营活动过程中处理个人数据的情形,而不管此类处理是否在欧盟境内进行。数据处理者将面临的是欧洲隐私法规地域适用范围的扩大。此外,GDPR也适用于非在欧盟境内设立的数据控制者或处理者处理欧盟境内数据主体个人数据的情况,只要此类处理涉及:
在上述情况下,数据处理者有义务以书面形式在欧盟境内指定一名代表,除非处理是偶然性的,且不可能对数据主体的权利和自由构成风险。公共机构和机关不受这一义务的约束。数据处理者必须授权该代表配合监管机构和数据主体解决与数据处理有关的所有问题。在欧盟境内指定代表的义务对数据处理者而言是一项新增加的义务。
GDPR规定了一条与DPA类似的义务,即必须在数据处理协议中明确数据控制者和数据处理者之间的个人数据处理安排。不同的是,GDPR明确确定了数据处理协议的内容。GDPR第28条概述了各项强制性要求。
GDPR第28条规定,若无数据控制者事先以书面形式作出的一般或特定同意,数据处理者不得与其他处理者就该数据处理事项签署合同。此种同意可在双方之间的数据处理协议中规定。在获得一般同意(而非特定同意)的情况下,处理者有义务联系并通知控制者处理者是否以及何时有意变更其(部分)其他处理者名单。在这方面应给予控制者反对处理者相关选择的机会。这背后的理由是,控制者始终是负有全面责任的一方,通常应该是数据主体的首要联络点(数据主体甚至可能不知道数据控制者正在使用处理者处理数据)。
如果处理者就特定部分的处理与次级处理者订约,则控制者与处理者之间的处理协议中规定的义务必须以合同的方式同样施加于相关次级处理者。如果次级处理者未能履行其在次级处理协议下的义务,就原处理协议项下的义务履行,处理者将继续对控制者承担全部责任。因此,处理者有必要仔细、审慎地选择其次级处理者。根据GDPR的规定,处理者只能与就遵守GDPR规定提供足够保证的其他处理者进行合作。
处理协议必须包含对个人数据处理的一般性描述,包括(i)处理的主要内容和持续时间,(ii)处理的性质和目的,(iii)个人数据的类型和所涉及的数据主体的类别,以及(iv)控制者的权利和义务。
1.只能按照控制者的书面指示处理个人数据。处理者不得为其自身目的处理个人数据;
2.确保被授权处理个人数据的人员已经承诺保密或者负有适当的法定保密义务;
3.采取适当的技术性和组织性措施确保按风险等级制定相应的安全等级(这包括个人数据假名化和加密,并定期测试系统);
4.遵守其与其他处理者订约时应遵守的义务,包括采用书面形式签署合同的义务以及(上文所述的)将其义务施加予其他处理者的义务;
6.对确保控制者遵守其在GDPR项下的一些特定义务提供协助,包括通知个人数据泄露事件,进行隐私影响评估以及可能就隐私影响评估向监管机构发出事先通知;
7.在与数据处理有关的服务提供完毕后,根据控制者的选择,将所有个人数据删除或返还给控制者,并删除既存副本,除非法律要求存储个人数据(例如纳税义务或特定行业法律要求);
8.向控制者提供证明遵守GDPR第28条规定的义务所必需的一切信息,并允许和配合由控制者或任何第三方进行的包括检查在内的审计工作。
GDPR为国内监管机构提供了起草数据处理协议范本的机会。然而,荷兰监管机构已经表示,目前其不会利用这一机会,这意味着相关组织机构将不得不自行起草其标准数据处理协议。处理协议不一定非得是一个单独的协议。有关数据保护的具体规定可作为更广泛协议的一部分(例如服务水平协议)。
与控制者一样,处理者有义务保存数据处理活动的记录。记录必须采用书面形式,包括电子形式。GDPR概述了必须包含在此类记录中的特定义务:
1.数据处理者和任何其他(次级)处理者的名称和联系方式以及处理者代表其行事的任何控制者的名称和联系方式;
4.如适用,如果个人数据被传输到欧盟境外的国家,则记录具体国家的身份,包括与针对此类传输的适当保障措施有关的文件(例如将个人数据传输到欧盟委员会境外第三国的标准合同或企业约束规则);
保存数据处理活动记录的义务不适用于员工少于250人的组织机构,除非(i)处理活动可能对数据主体的权利和自由构成风险,(ii)处理不是偶然性的,或者(iii)处理涉及特殊类型的数据。提供(个人数据处理是惯常做法的)服务的处理者不太可能属于例外情形,因此有义务保存处理活动的书面记录。
1.如果数据处理者是公共机构或机关,或者数据处理者的核心活动包括大量处理特殊类型的个人数据或者与犯罪有关的数据,或者数据处理者的核心活动包括需要对数据主体定期进行大规模系统监控的处理操作,在以上任一情形下,数据处理者都有义务指定一名数据保护官。集团型组织机构可只任命一名数据保护官。但是,该数据保护官必须能够使用当地国家的语言与数据主体和主管监管机构沟通交流。
2.数据处理者在发现个人数据泄漏后,必须通知控制者(不得无故拖延)。根据数据处理协议,处理者随后有义务协助控制者确保遵守其对相关监管机构以及数据主体(必要时)承担的义务。
监管机构有权对违反GDPR项下义务的数据处理者进行处罚。(在欧盟境内)进行跨境处理活动的,主管牵头监管机构为控制者(而非处理者)的主要营业机构所在成员国的监管机构。但是,牵头监管机构必须与处理者的主管监管机构相互合作。
建议跨国经营的处理者审阅其数据控制者所在的各成员国的相关国内法律。荷兰在这方面的相关法律包括:
如果违反GDPR第28条规定等,行政罚款可高达1000万欧元或者相关组织机构全球年营业总额的2%(以较高者为准)。如果违反GDPR的其他一些规定——也可能适用于数据处理者——行政罚款可能增至2000万欧元或相关组织机构全球年营业总额的4%(以较高者为准)。根据GDPR的规定,如有违反,处理者还要承担行政责任,而不是(DPA规制下的惯常做法)仅仅根据与数据控制者之间的处理协议承担合同责任。
除了行政责任和合同责任之外,处理者可能也须对因处理者违反GDPR的规定而遭受损害的数据主体承担责任,除非数据处理者能够证明违法行为不能归咎于处理者。损害的概念应该以充分体现GDPR宗旨的方式做广义的解释。如有多个控制者和/或处理者参与同一处理活动,每个控制者或处理者可能须承担全部损害赔偿金额,同时对参与同一处理活动的其他控制者或处理者享有追索权。
控制者只能使用提供足够保证其将采取适当的技术性和组织性措施的处理者。处理者必须确保处理活动符合GDPR的要求且相关数据主体的权利得到保护。这一义务与《指令》第17(2)条和DPA第14条规定的义务相似。
建议控制者控制其数据处理者进行的处理活动以及可能的次级处理者链条。最终,控制者仍须负责整个处理过程,并且是主管监管机构和数据主体的(首要)联络点。
在委任次级处理者之前,数据处理者有义务征询控制者的意见。对于数据控制者而言,这是一个要求对数据处理者和潜在次级处理者之间的数据处理协议(草案)发表意见并对该文件作出任何必要修改的合适时机。
此外,为了避免双方之间责任分工不明确,有必要在处理协议中明确数据处理者的任务。实践中,双方最有可能在责任分配方面进行较多讨论和协商。受聘执行相对较小任务(因而得到相对较少报酬)的数据处理者应该不愿意就数据处理所引起的数据主体的任何及所有索赔和/或监管机构的处罚对控制者进行赔偿。
离GDPR的正式实施仅有几个月的时间。相关组织机构内部已经采取了初步措施来贯彻落实GDPR。2018年5月25日的生效日期正渐行渐近。充分贯彻执行GDPR需要相当长的一段时间。要想完全符合GDPR的规定,仅仅修改隐私政策是不够的。
建议各组织机构确定其在各类处理活动中的角色,并对相关的责任和义务作出非常明确的评估。应该对组织机构内部参与各类个人数据处理活动的各方当事人及其角色进行仔细梳理。角色的划分直接影响到特定方在个人数据处理中的职责以及相应的责任。
此外,建议相关组织机构将现有数据处理协议与GDPR第28条规定的义务进行对比,并在必要时及时修改相关文件。
在《通用数据保护条例》(General Data Protection Regulation, the “GDPR”)中,数据安全发挥着重要作用。就数据安全方面而言,GDPR对数据控制者和数据处理者施加了严苛的义务。尽管《荷兰数据保护法》(Dutch DataProtectionAct, the “DPA”)中已有数据泄露通知制度的规定,但GDPR针对其他各欧盟国家新增加了通知义务。
GDPR规定的数据泄露通知制度与DPA规定的现行的数据泄露通知制度在诸多方面有所区别。本期我们将重点讨论GDPR中有关向数据保护监管机构和数据主体通知数据泄露的义务以及其与DPA规定的通知义务的不同之处。
在GDPR中,数据泄露的定义较为宽泛,包括“违反安全规定导致所传输、存储或以其他方式处理的个人数据遭受意外或非法毁坏、丢失、篡改、未经授权披露或访问”。
因此,数据泄露的定义不限于黑客访问IT系统,还包括智能手机、笔记本电脑或U盘丢失或被盗、恶意软件感染和数据丢失(如数据被意外删除且没有备份可用)。
不遵守上述通知义务可能面临高达一千万欧元或相当于全球年营业总额百分之二的罚款(以其中较高者为准)。不遵守监管机构的命令可能会面临高达两千万欧元或相当于全球年营业总额百分之四的罚款(以较高者为准)。
鉴于在数据泄漏发生时,通知监管机构和数据主体的时间有限,各组织机构应做好内部数据泄露应对计划,列明在发生数据泄露时须采取的行动,计划应包括有内部和外部主要联系人、检查清单和后续措施等内容。全球性组织机构还应该考虑设立区级、地级数据泄露应对小组,小组成员可包括外部法律顾问、计算机取证员、公关专家等外部专家。