查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
欧盟《通用数据保护条例》(GDPR)实务指引(1/4)
【作者】 邓志松;戴健民【合作机构】 北京大成律师事务所
【中文关键词】 通用数据保护条例;欧盟投资;法律保护【主题分类】 互联网法律
【发布时间】 2018.06.13
【全文】法宝引证码CLI.A.226827    
  导读:
  于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求,将对中国企业在欧盟市场的投资、销售和运营产生显著影响,并成为中国企业必须直面的重大法律障碍。大成数据保护团队的欧盟与中国律师联合推出系列原创文章,以协助中国企业从实务角度理解和遵从GDPR,并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
  序言
  欧洲议会于2016年4月14日通过的《通用数据保护条例》(General Data Protection Regulations,“GDPR”)于今年的5月25日在欧盟成员国内正式生效实施。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如,即使一个主体不属于欧盟成员国的公司(包括免费服务),只要满足下列两个条件之一:(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,其就受到GDPR的管辖。
  毫无疑问,GDPR将对中国企业在欧盟市场的投资、销售和运营产生显著影响,并成为中国企业必须直面的重大法律监管障碍。违反该条例将会导致严重的法律后果;其中,重大违反(Most Severe Infringement)所遭致的行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)。
  为协助中国企业应对GPDR的合规要求以及潜在的法律风险,自今日起,大成律师事务所将通过本公众号陆续推送GDPR实务指引系列专业文章,供读者参考。本系列实务文章的英文版本是由大成荷兰办公室(Dentons Boekel N. V.)的合伙人律师Marc Elshof团队(Marc Elshof、Barry Breedijk和Celine van Es)完成,本中文版本由戴健民律师和邓志松律师翻译。针对本系列文章有相关问题,请与戴健民律师(上海,jianmin.dai@dentons.cn)或邓志松律师(北京,zhisong.deng@dentons.cn)联系。
  GDPR的地域适用范围
  欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大,位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。GDPR要求这些组织及时对GDPR的“合规”要求作出回应。
  第一,GDPR适用于在欧盟境内设有业务机构(establishment)的组织,只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。
  对“场地(location)”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动(小型活动即可)。法律形式(例如分公司或具有法人资格的子公司)并不是决定性因素。因此,在欧盟境内设有唯一代表即足以符合适用条件。
  并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的(通常是同时具备上述两个特点,但必须始终满足此句所述条件)。如果业务机构的活动与母公司的活动密不可分(例如,业务机构存在的目的就是为了母公司的经济效益),则相关的个人数据处理行为就应当受到GDPR的规制。
  因此,如果业务机构(例如分公司或联络代理)的活动与位于欧盟境外的组织进行的个人数据处理密不可分,则应当适用GDPR。
  第二,如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。
  如果非欧盟组织机构意图向欧盟境内个人提供商品或服务,则其将被视为在欧盟境内提供商品或服务。仅仅是能从欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多个成员国的语言和/或货币、来自欧盟客户(例如在网站上)的推荐、使用搜索引擎中针对一个或多个成员国的广告和/或使用顶级域名(例如。eu或。nl)可能导致商品或服务被视为在欧盟境内提供。
  第三,GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。
  如果(尤其是)为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度,而在互联网上追踪这些个人,且在此过程中使用了处理技术来形成画像等,则构成监控行为。
  目前尚不清楚监控行为到何种程度才适用GDPR。原则上,使用所谓的“追踪cookies”和监控使用的应用程序的网站在GDPR的适用范围内(只要该等网站处理个人数据)。欧洲法院最近裁定,在某些情况下,动态IP地址也可视为个人数据。因此,存储动态IP地址日志数据的网站的所有者也可能受GDPR的规制。
  后续措施
  各类组织最好确认其活动是否在GDPR的地域适用范围内。鉴于“业务机构”和“提供商品或服务”标准的解释较为宽泛,所以更应如此。贯彻落实GDPR需要大量的时间、规划和资源。
  “同意”概念
  同意——处理个人数据的正当理由
  根据荷兰《个人数据保护法》(Personal Data Protection Act,“DPA”),“同意”是处理个人数据的六项法律依据之一。在没有法律依据的情况下处理个人数据是不被允许的。GDPR也规定,“同意”是数据处理的法律基础。GDPR的多个部分都提到了同意机制。基于此,以下主要对DPA和GDPR在以下方面的差异进行阐述:
  (1)同意机制的法律框架和(2)有效同意的构成要件。
  同意的法律框架
  DPA下“同意”的概念完全依照欧盟第95/46/EC号指

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.226827      关注法宝动态: