欧盟《一般数据保护条例》(GDPR)将于2018年5月25日起正式施行,该条例是近三十年来数据保护立法的最大变动,旨在加强对欧盟境内居民的个人数据和隐私保护。此外,它还将通过统一数据和隐私条例来简化对跨国企业的监管框架。它将取代1995年颁布的《数据保护指令》。
1995年的《数据保护指令》95/46/EC是欧盟版的隐私保护条例。其主要目标包括协调数据保护立法,以及规范将个人数据转移到欧盟以外的“第三国”的情形。除了其它一系列措施,各个盟国还各自成立独立的公共机构,监督该指令的实施,并作为与企业和公民互动的监管机构。整体而言,该指令符合经济合作与发展协会(OECD)的最初建议以及隐私权是基本人权的核心概念。
虽然《数据保护指令》旨在团结不同盟国的立法,但这只是一项指令,当置换到各国独立的法律时仍有一定的解释空间。加上当今数据格局的快速变化,尤其是Facebook、LinkedIn等社交平台以及云技术的兴起,势必要升级欧盟地区的监管环境。即将到来的GDPR是一项更大的立法,并且在各个成员国即刻可执行。
条例 vs. 指令
这项变化的一个重要特征就是欧盟GDPR是一项条例取代原有的指令。条例直接适用于欧盟各成员国,而对于指令,各成员国有权酌情决定数据保护法的实施。因而,除了严格的数据和隐私保护,条例的实施还将通过在欧盟地区统一数据和隐私法规而简化监管框架。对于跨国企业来说,这将帮助他们在与多个数据和隐私保护机构沟通时消除当地法律之间的不一致性,从而降低行政成本和负担。
处罚力度加大
GDPR将继续通过监管机构和法院执行,除了民事补救还有刑事和行政处罚。然而,根据国际隐私专业人士协会的数据,GDPR加大了行政处罚的力度,根据案情情况最高可罚款两千万欧元,或公司年营业额的4%。
新扩大的管辖权将影响在欧盟地区开展业务的中国企业
该条例的一个重要特征是新扩大的管辖权,可能会影响到欧盟以外的企业。新条例适用于为欧盟境内的个人提供商品和服务,或监控个人行为(如商业网站或移动应用的运营商)的企业。这一规定将影响很多中国企业。
GDPR规定同意书将仍是处理个人数据的一个要求,并为同意书设立了更严格的条件。EUDataProtectionLaw.com指出,对这些条件的定义是“数据主体通过申明或一个清晰的肯定动作,在知情的情况下自主、具体而明确地表明自己的意愿,即表示他们同意个人相关数据被处理。”
规定新权利
欧盟GDPR还建立了两项新的个人隐私权,“删除权”和“移植权”。删除权是对“被遗忘权”的扩充,让个人有权要求删除其个人数据。而移植权则让个人可以更轻松地访问自己的数据。个人可以要求将其数据从一个供应商转移到另一个供应商。此类数据转移将为个人创造更多方便,而加大了供应商之间的竞争。
如何确保合规
GDPR不止适用于欧盟内的企业,还适用于欧盟以外的企业——如果他们为欧盟境内的数据主体提供商品或服务,或者监控其行为。GDPR也适用于处理或持有欧盟境内数据主体数据的企业,不论该企业位于何处。
很多企业之前并未遵循过欧盟数据和隐私法,因而很多细节(如范围、实施等)都不清楚。对于在欧盟境内运营的企业,或是向欧洲个人提供商品、服务或监控其行为的企业,您可以通过以下步骤提前为明年做准备。
- 根据现有资料深入解读GDPR
- 理解GDPR规定下个人数据的广泛范围
- 创建、更新或审查有关个人信息和安全措施的文档
- 根据GDPR,创建、更新或审查有关违规行为、事件报告以及风险评估的政策和程序的文档
- 创建、更新或审查任何必要的合同和协议语言
- 判断使用云端人力资源或薪酬供应商是否有利于公司减轻合规风险。
人力资源领导者需要注意居住在欧洲的中国公民将受到GDPR保护,而居住在欧盟以外的欧盟公民则不受这些法规保护。
虽然很多公司已经采取数据和隐私措施以遵守《数据保护指令》,然而GDPR包含了新的保护措施,并适用于更广泛的领域,包含欧盟境内外的企业,这将需要额外的合规措施。企业必须尽快采取行动为2018年5月GDPR的正式生效做好准备。