一、 背景介紹
《歐盟個人信息保護條例》(RGPD,以下簡稱《條例》)是一項旨在統一歐盟各成員國有關個人信息保護相關立法的歐盟條例,于2016年初開始生效,2018年5月25日開始直接適用于所有歐盟成員國。
該條例的生效實施意味著數據處理主體(無論是作為數據控制者還是作為分包商)必須在條例規定的期限內完成相應的合規調整。在歐盟設有多家子公司或分支機構的企業需要尤其注意。
按照新條例規定,進行合規調整是一項強制性要求。事實上,法國法規(參見1978年1月6日頒布的第78-17號法律,即《信息與自由法》,后因1995年10月24日的歐盟第95/46/CE指令而修改)已經對個人信息保護規定了嚴格的法律框架,而RGPD則側重于強調責任的概念和將責任落實到個人信息處理者身上,也就是“問責”。企業將被要求采取一些技術性和組織性措施和程序,將其制度化,以實現真正意義上的信息治理,并且能夠證明這些措施的有效性和效率性。當企業在被檢查或出現問題時,需要能夠證明自己遵守了條例的相關規定,采取了恰當的保護措施,履行了其應盡的各項義務。
二、 處罰力度
按照新條例的規定,對于違規企業的處罰罰金最高可達兩千萬歐元或企業全球營業額的4%,并且選兩者中數額較高的適用。
此外,企業還有被追究刑事責任的可能。對企業品牌形象也會造成影響,從而失去客戶甚至企業生態系統(合作伙伴、雇員甚或供應商)的信任。
三、 企業應對措施
面對《條例》提出的這些要求,企業需要對自身現狀進行詳細確認分析,制定合規調整方案并執行。
(一)現狀確認及問題評估分析企業首先需要對所涉及的業務做定性分析,確定相關操作是以數據控制者身份進行還是以分包商的身份進行。確定企業組織結構、規模、主營業務等基礎信息。
新條例對數據控制者(數據收集者)和分包商分別規定了各自應承擔的義務。
企業作為數據控制者應確認企業是否存在以下問題:無法律依據或未經當事人同意處理與其相關的信息;違反條例規定處理特定類別的信息;侵犯當事人的異議權;未遵守“畫像”相關條件要求;未履行問責義務(初始設計、影響評估 );未指定本地代表;違規處理數據;疏乎或未及時舉報或通知信息泄露事件;未進行影響分析;未指定數據保護專員;執行或下令執行將信息轉至未獲準國家的操作;未履行答復主管機關質詢的義務。
企業作為分包商應確認企業是否存在以下問題:超出客戶授權范圍或違背其要求的行為;未向客戶提供能夠證明其操作合規的相關信息;未告知客戶某項信息處理違反了條例規定;分包服務未經客戶的事先許可;保障措施不充分的情況下尋求分包服務;未指定數據保護專員;未設
置數據處理備案簿。
(二)合規調整
合規調整主要涉及四方面內容,即數據處理備案簿的制作;指定數據保護專員;責任的具體落實;強化個人權利保護意識。
1.備案簿的制作
數據處理備案簿的模板可以從法國國家信息技術和自由委員會(CNIL)的網站上下載,但需要根據企業涉及業務的具體情況做相應調整。這一過程的關鍵是對所涉及的業務進行準確的定性分類,確定應跟蹤記載的事項。備案簿需實時更新,處理業務或涉及的信息量較多的情況,相應的工作量會比較大,可以考慮通過專用軟件來完成。
2.數據保護專員
數據保護專員專門負責落實歐盟條例的合規事宜,企業有關個人信息處理的全部操作都受其管轄,并同時負責與監管部門進行溝通。這一職位可以是全職也可以是兼職,可由企業內部人員兼任,但所兼任的職位之間不得有利害沖突。該專員也可以是企業外部人員。
歐盟條例規定三類企業必須指定數據保護專員:
(1) 公共機關和公共機構;
(2) 基本業務性質決定其需要定期系統地對大規模人群的數據進行跟蹤的企業;
(3) 基本業務性質決定其需要處理大規模人群的“敏感”信息或有關刑事或違法記錄的信息的企業。
擔任數據保護專員需要具備以下條件:具備法律基礎知識;了解數據安全和保護的相關法規;受過相關培訓;了解企業所從事的行業;具有充分的獨立性;能夠接觸相關信息;與決策層可以進行有效溝通。
數據保護專員的職能:告知和建議對于條例規定的數據控制者和分包商的義務;保存這一工作的文字記錄及收到的相關回復;監控內部規章有關數據保護的規定的實施和執行情況;職責分工、員工培訓、審計;監督條例的實施;隱私設計,數據安全,通知當事人;確保文檔保持最新狀態;發生個人信息泄露事件時,監控建檔、通知和溝通事宜;確認是否已執行影響分析;確認監管機構提出的要求是否得到了答復;與監管機構的溝通,充當對話者。
3.責任的落實(問責制)
企業需要通過一系列措施將相關權利和責任具體落實。這些措施包括:在企業內部規章中做出相關規定;個人信息泄露事件的文檔記錄;影響分析;設計階段加入隱私保護考量的方式;指定數據保護專員。
其中需特別注意的是:
(1) 影響分析對于數據處理操作可能使當事人的權利和自由面臨特殊風險的情況,企業需要對目標操作事先進行影響分析。
首先對目標操作做出一般性描述,然后對個人權利和自由可能面臨的風險進行評估。風險評估可以采用規范性和方法性評估方式(EBIOS, ISO 27001…)。之后根據評估結果制定相應的風險防范措施。所采取的安全措施,一方面旨在確保信息安全,另一方面也為企業證明其操作符合歐盟條例規定提供證明依據。
(2) 信息安全
數據控制者和分包商都有義務確保個人信息的安全。這一義務要求企業盡到以下職責:
確保數據處理的安全性:進行風險評估,采取適當的技術和組織措施預防數據毀損、遺失和任何形式的非法處理;
通知監管部門信息泄露事件:無正當理由不得拖延;得知事件發生后最晚不得超過 24小時;事先擬定通知的內容;文檔記錄保存;
與當事人溝通信息泄露事件:發生可能違反對當事人信息保護義務或侵犯當事人的個人隱私事件時,應當及時與當事人溝通;事先擬定通知的內容;如果有證據證明企業已經采取適當的技術保護措施,且這些措施已應用于相關數據上,可以不通知;但監管部門可以責令企業通知涉案當事人。
4.強化個人權利保護意識
只有明確了解當事人享有哪些權利,企業在收集和處理相關信息時才能更好地采取恰當的措施,確保當事人的權利得到充分的保護。因此,企業需要強化其員工,尤其是涉及數據處理的操作人員和決策者的個人權利保護意識,可以通過例如專題會議、培訓、發放宣傳冊等方式進行。
需要注意的是,企業的合規調整方案制定并實施后,還需始終執行,既要基于企業自身業務變化,也要注意法律的最新規定,及時進行更新。
百能律師事務所(Bignon Lebray)
傅曉麟律師 郵箱:xlfubourgne@bignonlebray.com
金瓊杰助理 郵箱: qjin@bignonlebray.com
網址:https://www.bignonlebray.com/fr/
中國貿促微信