準備遵守歐盟《一般資料保護規例》

新的歐洲《一般資料保護規例》(“GDPR”)將於2018年5月25日在整個歐盟生效。GDPR將取代整個歐洲的現有資料保護法,並引入重大變化及額外要求,將對世界各地的企業,無論他們在何處經營,均有廣泛影響。

GDPR:該轉變將影響你們的業務

GDPR引入的關鍵變化及額外要求是:

1. 歐洲資料保護法現將在全球範圍內適用。在歐盟成立的機構和位於歐盟境外但要處理歐盟內的個人資料或監察歐盟內個人的機構,現在必須遵守歐洲資料保護法。

2. 對不遵守規例的更嚴厲制裁。違反規例的最高罰款額將大幅增加到企業全球營業額的4%,或每次侵權2000萬歐元,以較高者為準。

3. 新設的資料洩露通知義務。機構現在必須在沒有不當拖延及在可行的情況下於72小時內把洩露事件通知相關的歐洲資料保護機構。在有關個人面臨高風險的情況下,還必須向受影響的個人發出通知,亦不得無故拖延。

4. 新的對私隱資料管治、資料按排及影響的評估要求。機構現在需要任命一名資料保護職員(“DPO”)來實施和監測GDPR的遵守情況。現在還要求機構籌劃安排其個人資料處理程序,並對更高風險的處理進行私隱影響評估。

5. 要求實施“經設計的私隱保護”。企業現在必須採取積極主動的方法,以確保在處理個人資料時,其適當的資料保護標準是處於預設的水平。

6. 加強個人對其個人資料的權利。個人有權將其個人資料從系統或網上內容中刪除(“被遺忘的權利”)、避免自動資料分析的權利(這將產生法律效力)以及被給予或指定接收人以收取其個人資料的可接觸副本的權利(“資料的可轉移性權利”)。

7. 增強對供應鏈的要求。企業必須確保第三方資料處理器實行符合GDPR的安全措施。此等服務提供商將對自己的適當安全級別負責,必須記錄其處理個案並且必須事先獲得同意才能使用子處理器。機構可能需要修改與此等當事方的合約以解決此等問題。

為應對GDPR做好準備:你們的企業應該採取的十個以備遵守的步驟

1. 通知你們的領導層並制定計劃。高級管理層應該了解GDPR以及該規例將如何影響你們的業務。高級管理層應指定負責制定符合GDPR要求的人員,並教育其他人了解其對業務的影響。

2. 指定資料保護職員。確定是否需要根據GDPR或其他可取方式指定一個資料保護職員來實施和監測你們的GDPR合規計劃。此人應擔當你們的資料保護管治架構的主管,並直接向領導層報告。

3. 籌劃安排你們的個人資料。應對你們的企業所收集的個人資料、其處理目的、獲取方式以及分享對象進行詳細調查並創建記錄。

4. 檢視影響。從個人資料籌劃安排工作收集的信息應用於評估哪些業務活動必須符合GDPR要求。

5. 解決風險。應該進行私隱影響評估,特別是在有關個人權利面臨高風險的情況下,以確定和盡量減少與你們處理個人資料相關的風險。

6. 檢討處理個人資料的理據。收集和處理個人資料的基礎應根據GDPR進行審視,特別是在依賴“同意”和“合法利益”(若根據GDPR則更難以證明)的情況下。

7. 更新資料管治。應更新政策、程序和管治控制,以詳細說明你們的機構將如何遵守GDPR。員工應定期接受培訓。

8. 實施新的合規系統。必須制定計劃,以符合新的GDPR要求和個人可以對其個人資料行使的額外權利。

9. 檢討你們的供應鏈合約。與第三方共享個人資料的合約應進行審查,並在必要時重新談判,以確保對個人資料的處理有適當監督和遵守GDPR的要求。

10. 評估資料的國際轉移。檢視目前你們的機構有關跨境轉移個人資料或把個人資料轉移至第三方的機制,並評估是否需要更新機制以符合GDPR要求。

Jurisdictions: 

合夥人,孖士打律師行

合夥人,孖士打律師行