400-88-27001
service@aryasec.com

欧盟正式发布《GDPR适用地域指南3/2018(条款3)》

来源:    发布日期:2019.11.29   点击量:

《GDPR适用地域指南》简介
欧盟的《通用数据保护规范》(General Data Protection Regulation,GDPR)堪称当今全球最严厉的数据和隐私保护法规,对全球商业形成了严格的约束,受到全球各界广泛关注。其中,GDPR中很关键的一条是地域适用范围(territorial scope),写入GDRP的第3款(Article 3)。为了进一步明确适用范围,2018年11月,欧盟数据保护委员会(European Data Protection Board, EDPB)发布了《GDRP适用地域指南3/2018(条款3)》的征求意见稿。2019年11月12日,欧洲联盟执行委员会(European Commission)结束征求意见,正式发布《GDPR适用地域指南3/2018(条款3)》。



《GDPR适用地域指南》内容解读
一、作为欧盟单一资料保护法令:

现有的欧盟资料保护法,本质上是欧盟对于成员国资料保护法令的框架指南。欧盟仅仅就成员国相关立法提供原则性指导的做法,以至于各成员国的资料保护法规定不能统一,并且带给商贸等经济活动上很多的不方便。 GDPR不再是一个框架性指南,而是会将成为由所有欧盟成员国实施的单一法令。鉴于GDPR将规范全欧盟成员国国内的任何类型资料处理活动,欧盟同时也成立了「欧洲数据保护委员会」(European Data Protection Board)以及相关协调机制,用来确保所有成员国主管机关实施及引用GDPR规定内容上的一致性。


二、适用对象将涵盖外国公司企业:

现今的欧盟资料保护法,仅仅适用于在欧盟境内从事资料处理活动的境外公司企业个体。未来,GDPR适用对象,将涵盖没有以欧盟成员国为营业据点,然后提供产品或服务给欧盟成员国居民、或在欧盟境内从事系统性监控等涉及个人敏感资料搜集活动的境外公司企业。


三、对于「个人数据」(personal data)是一个较广义的诠释:

GDPR将「个人数据」扩大解释为涵盖可直接或间接过滤出特定对象资讯的资料类型,例如网路浏览器Cookies、网路IP位址或可以用来去识别特定个人身份信息或性别乃至基因、生物特征或医疗资料等。


四、在进行个人数据处理等活动前,必须获得个人数据当事人明确同意(unambiguous consent):

GDPR要求敏感个人数据的收集和处理,必须事先获得个人数据当事人明确同意。上述的「明确同意」,必须为「清楚明白的确认反应」(clear affirmative action),例如当事人签署或勾选同意书等。当事人保持沉默、没有表示意见或没有任何行动等情况,皆不构成上述的「同意」。未满16岁(各成员国可选择下放至未满13岁)儿童或青少年个人数据的收集和处理,必须事先获得父母或监护人同意。


五、隐私保护要求及定制化资料保护措施:

GDPR要求公司企业在取得、使用或处理敏感资料问题上,必须确保上述资料受到保护并且个人隐私不会受到侵犯。大规模且系统性地散布或处理敏感资料或对公共区域进行有系统性监控等,此些活动,在存在侵害个人权利及自由的风险下,当事人必须在行动之前进行资料保护影响评估(Data Protection Impact Assessments )。 GDPR同时允许当事人可依据实际风险需要来制定相应的数据保护措施,从而无需满足特定标准要求。


六、个人数据当事人的权利:

GDPR正式赋予个人数据当事人被遗忘权(Right to be forgotten,当事人可要求移除有负面影响或过时的个人数据)、资料可携带权(Right to data portability,保护当事人控制及传输个人数据的权利)及拒绝散布个人数据权(Right to object to profiling)。


七、跨国资料传输规定:

GDPR要求欧盟执委会就第三方国家的资料保护实施情形进行观察。具备适当资料保护规范及机制之国家,将列入欧盟执委会白名单,并为GDPR允许从事跨国资料传输活动的对象国家。上述第三方国家政府或法院如果发布要求提供敏感资料的裁决或行政决定,则仅仅对于该国家和欧盟签署司法互助协定等国际协议的前提下才能够去执行。


八、已经按照协同及审核程序所决定的意见签署完毕的当事人有关资料取得以及使用活动的义务:

GDPR针对从事资料处理活动的当事人进行诸多义务性规范,其中包含当事人必须保存相关资料纪录、必须考虑可能侵犯个人权利或自由的个人数据收集及使用的情形,对于发现上述情形72小时之内,需要告知其所属企业公司个体、行政主管机关及个资当事人,以及必须遵守资料传输相关规定。


作为专业的信息安全咨询服务提供者,我们提供个人信息安全专项评估、信息安全意识教育等服务。更多关于《GDPR适用地域指南3/2018(条款3)》相关内容或业务请持续关注我们。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com

分享到:

相关新闻: