欧盟《通用数据保护条例》概述

alfred leung ytl llp solicitor lawyer law firm data

前言

欧洲联盟(欧盟)颁布的《通用数据保护条例》(GDPR)是世界上最全面、最严格的数据保护框架之一。 GDPR 于 2018 年 5 月 26 日生效。 此外,欧洲经济区(EEA)联合委员会于 2018 年 7 月 6 日将 GDPR 纳入《欧洲经济区(EEA)协定》,扩大了 GPPR 的适用范围。

GDPR 适用于控制者和处理者,并规定了他们的义务。 它引入了一项全面的数据隐私法,对欧盟(EU)和欧洲经济区(EEA)内个人数据的收集、处理和保护进行规范。 

域外适用

值得注意的是,与香港《个人资料(私隐)条例》(第 486 章)(“《私隐条例》”)不同,GDPR包含域外适用的条款。GDPR适用于:

  • 在欧盟机构活动中处理个人数据的控制者和处理者,无论数据处理是否在欧盟进行;及
  • 在欧盟境内没有设立机构,但向欧盟境内的个人提供商品或服务或监控他们在欧盟境内的行为的非欧盟控制者和处理者。

欧洲数据保护委员会发布了关于 GDPR 地域范围的指引,为机构评估其活动是否属于 GDPR 范围提供了更多指导。 一般来说,GDPR 可通过以下方式适用于香港公司:

  • 直接适用 GDPR:
    • GDPR 直接适用于在欧盟设有机构(如子公司、分公司或稳定安排)的香港公司。
    • 如香港公司向欧盟境内的个人提供商品或服务,或监控欧盟境内个人的行为(如通过跟踪 cookies),那么 GDPR 也适用于未在欧盟设立机构的香港公司。
  • 国际数据传输:
    • 如香港公司从欧盟接收个人数据,则必须遵守 GDPR 对国际数据传输的要求,例如制定标准合同条款或具有约束力的公司规则等适当的保障措施。

什么是个人数据

根据 GDPR,个人数据的定义是:

“与已识别或可识别的自然人(‘数据主体’)有关的任何信息;可识别的自然人是指可以直接或间接识别的自然人,特别是通过参考识别符,如姓名、识别号码、位置数据、在线识别符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个特定因素来识别的自然人”。

这一宽泛的定义涵盖了可直接或间接识别个人身份的各种信息,包括:

  • 直接标识符,如姓名、身份证号码、在线标识符(IP 地址、cookie ID 等)
  • 间接标识符,如位置数据、身体、生理、遗传、心理、经济、文化或社会因素
  • IP 地址、cookie ID、广告 ID 等在线标识符
  • 面部图像、指纹等生物识别数据
  • DNA 信息等基因数据
  • 与身体或精神健康有关的健康数据

根据 GDPR,一般禁止处理特殊类别的个人数据,除非满足特定条件;如数据主体的明确同意、重大公共利益原因或与医疗保健、就业或法律索赔相关的目的。 特殊类别的个人数据包括:

  • 显示种族或民族血统的个人数据
  • 揭示政治观点的个人数据
  • 揭示宗教或哲学信仰的个人数据
  • 揭示工会会员身份的个人数据
  • 基因数据
  • 为唯一识别自然人身份而处理的生物识别数据
  • 有关健康的数据
  • 有关自然人性生活或性取向的数据

管理个人数据的原则

根据 GDPR,个人数据处理有七项关键原则:

  1. 合法、公平和透明 

个人数据的处理必须合法、公正,并对数据主体透明。

  1. 目的限制 

个人数据的收集必须有明确、合法的目的,并且不得以与这些目的不符的方式进一 步处理。

3. 数据最小化

所处理的个人数据必须充分、相关,且仅限于为所述目的所必需。

4. 准确性 

个人数据必须准确无误并及时更新。不准确的数据应立即删除或更正。

5. 存储限制 

个人数据的保存形式应能识别数据主体,保存时间不得超过处理目的所需的时间。

6. 完整性和保密性(安全性) 

个人数据的处理方式必须确保适当的安全性,包括防止未经授权/非法处理以及意外丢失、毁坏或损坏。

7. 问责制 

数据控制者负责并必须能够证明遵守了上述原则。

这些原则构成了 GDPR 数据管理的核心。这些原则旨在保护隐私和数据保护等基本权利,同时允许企业为合法目的公平、透明地处理个人数据。

执法和制裁

GDPR 赋予数据主体和国家监管机构执行其规定的重要权力,包括 (i) 调查权和 (ii) 纠错权。 GDPR 允许各国在不与 GDPR 相冲突的情况下赋予本国监管机构更多权力。

行政罚款

GDPR 允许数据保护机构对违规行为处以巨额行政罚款。罚款分为两级--取决于违规类型:

  • Lower Tier Fines:
    • 最高 1,000 万欧元或公司上一财政年度全球年营业额的 2%,以较高者为准。
    • 这适用于违反第 8、11、25-39、42 和 43 条中与数据保护原则、数据主体权利和处理的法律依据有关的控制者和处理者义务的行为。
  • 更高级别的罚款:
    • 不超过 2,000 万欧元或公司上一财政年度全球年营业额的 4%,以较高者为准。
    • 这适用于违反第 5 条、第 6 条和第 9 条规定的个人数据处理核心原则的行为,以及侵犯数据主体基本权利和自由的行为。

对资料当事人的补偿

根据 GDPR 第 79 和 82 条,数据主体有权就因违反 GDPR 而遭受的物质或非物质损失向控制者或处理者索赔。

*** ***

若希望了解我们如何协助您了解法律及监管环境, 或我们如何协助您制订符合GDPR要求的有效措施,联系我们。

best lawyer hong kong solicitor alfred leung

梁延达合伙人

(电邮: alfredleung@hkytl.com 电话:: +852 3468 7202)

  

本文为介绍性文章。其内容以出版日期为准。 它并不构成法律建议,也不应将其作为法律建议来依赖。在采取任何与本文所涉事项有关的行动之前,您应始终根据自己的具体情况获得法律建议。某些信息可能来自外部来源,我们无法保证任何此类信息的准确性或时效性。