EU-GDPR 的關鍵改變

作者簡介

吳宗海：法律碩士，英語專業八級，擅長法律翻譯、比較研究。

歐盟GDPR（通用數據保護規範）的目的是保護所有歐盟公民在這日益依靠數據驅動的時代免受隱私和數據入侵的侵害，而這一時代與建立1995指令的那個時代已經截然不同。雖然數據隱私的關鍵原理仍然適用於先前的指令，但是在監管政策方面，有很多改變被加以提出。以下是GDPR的關鍵要點以及其對商業影響的信息：

（一）領域範圍擴大(領土外適用性)

可以說在數據隱私監管領域方面，最大的變化是GDPR的管轄領域的擴展。因為它適用於對位於歐盟的數據主體的個人數據進行處理的所有公司，而並不考慮公司的物理位置。在此之前，該指令的領域適用範圍是模糊的，並指的是「在建立的背景下」的數據處理。

這一話題已出現在許多知名訴訟案件中。GDPR的適用性非常明確——它將適用於在歐盟內部設立的數據控制者或處理者對個人數據的處理，不論其數據處理的行為是否在歐盟內進行；在歐盟涉及的活動包括：向歐盟公民提供商品或服務（無論是否需要支付對價）和監控發生在歐盟內部的行為。處理歐盟公民數據的非歐盟企業也將必須在歐盟任命一名代表。

（二）處罰

按照GDPR規定，任何違反GDPR的組織可能被處以高至4%的企業年度全球營業額或€2000萬的罰款(兩者相比取其重)。這是對最嚴重的侵權行為所能施加的最大罰款。例如，沒有客戶的完全同意就處理數據或通過設計概念這一方式侵犯隱私。規定中也有一種分級的罰款方式，例如，公司因未按法定程序記錄(條款第28條)，未通知監管機構和數據主體關於違反的問題或不進行影響評估而被罰款2%。非常值得注意的是，這些規則同時適用於控制者或處理者——這意味著「雲」將不能免於GDPR的強制執行。

（三）許可

獲得許可的條件已被提高，各公司將不再能使用冗長而難以辨認的條款和充滿法律術語的條件，因為對許可的請求必須以一種容易理解的、易於接受的形式提供，並將數據處理的目的附與許可之上。同意事項必須明確清晰，並可與其他事項區分開來，而且以清晰易懂的語言，提供容易理解和易於接受的形式。許可的撤銷必須和授予一樣容易。

（四）數據主體權利

1、違反告知

按照GDPR規定，因為成員國數據泄露可能會「導致個人權利和自由的風險」 ，違反告知將成為所有成員國的強制要求。而該通知必須在第一次發現違約後的72小時內完成。在第一次發現數據泄露之後，數據的處理者也將被要求「沒有不適當延遲」地通知他們的客戶和控制者。

2、訪問權

GDPR概述的數據主體的部分擴展權利是數據主體從數據控制者那獲得確認是否正在處理與他們有關的個人數據的權利，以及處理數據的地點和目的。此外，控制者應以電子格式提供免費的個人資料副本，這一變化也極大地轉變了數據透明度和數據主體的權力。

3、被遺忘權

也被稱為數據刪除，被遺忘權使數據主體有權讓數據控制者刪除他/她的個人數據，停止進一步傳播數據，也有可能使第三方停止對數據的處理。如條款第17條所述，刪除的條件包括不再與原始處理目的有關的數據，或撤銷許可的數據主體。值得注意是，被遺忘權要求控制者在考慮這類請求時，將權力主體的權利與「數據可用性中的公眾利益」進行比較。

4、數據可移植性

GDPR引入了數據可移植性，即數據主體有權接收與他們有關的個人數據的權利，這些數據曾被他們以一種「通常使用和機器可讀的格式」提供過，並有權將數據傳輸給另一個控制者。

5、通過設計的隱私保護

作為概念，通過設計的數據保護已經存在很多年了，但它只是正在成為GDPR法律要求的一部分。從設計著手保護隱私這一概念的核心是要求將數據保護從系統的設計開始融入其中，而不是停留於附加。更具體地說，「控制者應該……實施適當的技術和組織性措施，以一個有效的方法來滿足本規範的要求，保障數據當事人的權利」。條款第23條要求控制者只掌握和處理完成其職責(數據最小化)所必需的數據，並限制對處理需求外的個人數據的訪問。

6、數據保護官員

目前，控制者需要將其數據處理活動通知本地DPAs（數據保護機構），對於跨國公司來說，這可能是一場官僚主義的噩夢，因為大多數成員國都有不同的通知要求。而按照GDPR規定，則不需要向每個本地DPA提交數據處理活動的通知/註冊，也不需要根據模範合同條款(MCCs)通知或者獲得傳輸的批准。反而，對於內部記錄的要求將會繼續保持，進一步來說，如果控制者和處理者的主要活動包含對大規模的數據主體，特別種類的數據以及有關刑事定罪和罪行的數據進行常規以及系統性的監察，那麼數據保護官的任命將成為必須的要求。

重要的是，DPO（數據保護官）：

（1）必須在有專業素質的基礎上進行任命，特別是在數據保護法律和實踐方面的專門知識

（2）可以是工作人員或外部服務提供者

（3）聯繫方式必須提供給相關的DPA（數據保護機構）

（4）必須提供合適的資源來執行任務並保持他們的專門知識

（5）必須直接向最高管理層彙報

（6）絕對不能執行任何其他可能導致利益衝突的任務

?文章資料來源於GDPR官網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！