中国国际贸易促进委员会商事法律服务中心

中方企业如何应对《通用数据保护条例》

中方企业如何应对《通用数据保护条例》
商法中心毛宁
        2016年4月,《通用数据保护条例》(General Data Protection RegulationGDPR)法案在欧盟通过,欧盟给各家公司两年的时间调整运营方式以符合新规,该法案将在2018525日正式生效,该条例将取代1995年发布的《欧盟数据保护指令》,并直接适用于欧盟成员国。《通用数据保护条例》是一套新的欧盟处理、存储和管理个人数据的指导办法,条例对数据的生命周期的每一环节都作出了相应的规定,引入了新的概念、扩大了适用范围并增加了惩罚条款。
        根据《通用数据保护条例》第三条规定第二款规定:本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:(a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或(b) 是对数据主体发生在欧盟内的行为进行的监控的。因此,无论企业是否处于欧盟境内,只要在该地区范围内开展业务,提供产品或服务,都将会受到约束。此外,《通用数据保护条例》第五条详细规定了与个人数据处理相关的原则,需要注意的是个人数据的控制者应对所有数据直接负责,并负有证明其起到合理保管的义务。根据条例规定,在个人数据泄露的情况下,控制者不得延误,应在72小时之内向监管机构报告。同时,《通用数据保护条例》中规定力度较大的惩罚措施,对违反个人信息收集和使用的基本原则以及没有保障数据主体权利的数据控制人或使用人,最高可处以20,000,000欧元或全球营业额的4%(以较高者为准)作为罚款。
        面对如此精确的规定和高额的处罚,中方企业应如何应对即将生效的《通用数据保护条例》。随着互联网和大数据的广泛使用,企业从以下方面注意防范:
        1、评估当前是否符合《通用数据保护条例》。大数据时代,许多企业为了更高效地开发和使用数据,通常将数据处理业务,如数据搜集、分析、管理、储存等外包给数据服务商。企业应从法律、管理、技术角度全面评估,使企业数据符合标准。避免条例一经生效,就成为罚款的对象。
        2、加强数据管理。《通用数据保护条例》要求产品、服务或应用从设计到运营,从最开始就要考虑隐私保护,并以此为基础进行开发设计,搜集的个人信息应少而精,在节约成本的基础上降低合规风险。对数据实行生命周期管理,尽可能实现全流程透明监管。
        3、任命数据保护官。为更好地实现数据管理,充分落实追责制,企业需明确任命专业的数据管理者如数据保护官负责统筹协调数据管理,如经评估非必要设立数据保护官的企业,可考虑聘请数据保护顾问。
        4、注重个人意识。数据管理者在搜集管理数据时,应充分考虑数据所有者的个人意识,提前询问并使数据注意做出申明或者清晰的肯定性动作,如果同意不是数据主体自由做出的,数据管理者应当告知其有收回同意的权利。数字经济企业应当及时更新隐私声明与政策、删除相关协议文本中侵犯数据主体权利的霸王条款、完善数据跨境流动机制等方面积极采取应对措施,减少不合规风险。
       5、建立合规制度。面对个人数据和信息,企业同样需要采用较高的标准,建立跨区域的、统一的公司数据保护准则,制定标准化的数据保护条款,并以此为蓝本在具体适用于某一司法辖区时进行属地化调整,从而满足国际标准与本地化的多重合规要求。
面对《通用数据保护条例》的生效,中方企业应积极应对,尤其是与欧盟有业务往来的企业,应尽早寻求专业人士以提高企业的数据保护水平,避免争端。随着大数据时代的来临,包括个人信息在内的数据已经成为各大机构激烈争夺的资源。注重个人数据的安全合法,不仅可以使企业免受高额罚款,也会成为企业未来一项重要的竞争优势。
中国国际贸易促进委员会/中国国际商会商事法律服务中心
法律顾问业务
        中国国际贸易促进委员会/中国国际商会商事法律服务中心是中国最早从事涉外法律服务的机构之一,拥有专业的涉外法律顾问团队,曾参与国家重要经贸法律法规的立法建言工作,承担了APEC会议、世博会等重大国际活动的法律顾问工作,研究编写了诸多国家的经贸投资法律指南,在帮助企业防范与化解国际贸易、境外投资的法律风险、为企业国际化经营担任常年法律顾问、帮助企业处理国际经贸纠纷、代理涉外商事仲裁与诉讼案件等方面具有丰富的经验。
 
地址:北京市西城区桦皮厂胡同2号国际商会大厦4层
法律咨询电话:010-8221 7055 / 7087/ 7059/ 7155/ 7082/ 7083/ 7097
微信公众号:贸促商法

附件: