欧盟信息保护条例(GDPR)已于2018年5月25日要欧盟各国生效。这个旨在保护欧盟自然人对于个人信息以及个人信息的自由流动的欧盟统一条例将对欧盟境内的公司和个人产生重大的影响。
该条例适用于所有自动、非自动处理以及储存个人信息的系统。也就是说,若储存信息不涉及个人信息,则不适用该条例。那么哪些数据属于个人信息呢?信息保护条例第四条第一款对个人信息做了比较宽泛的定义,个人信息包括比如姓名、地址、电话号码、车牌号码,还有个人的IP地址。总而言之,只要是能与自然人联系起来的信息,就受欧盟信息保护条例的保护。
自动收集信息系统包括电脑、智能手机、相机、网络相机、复印机、扫描仪和行车记录仪等等。根据信息保护条例第四条第六款的规定,集中、分散或带有地域性的信息都属于信息收集储存系统。非自动收集信息系统指的是手写的档案材料。
欧盟信息保护条例仅适用于欧盟境内。如果收集的个人信息与在欧盟境内销售产品或者提供服务有关,那么收集这些信息行为就受新的欧盟信息保护条例的限制与保护。
-负责人(或代表人)的姓名和联系方式
-数据保护员的姓名或联系方式
-数据处理方式的目的和法律基础
-合法利益(根据欧盟信息保护条例第 6 条对信息进行处理时)
-收件人或收件人的类别
-信息转移到的第三国或国际组织的情况
-信息被储存的时间
-信息的访问权,纠正权,删除权,限制权,反对权和转移权
-允许存在的反对权
-向监督机关提出上诉的权利
-有关数据是法律要求提供还是合同要求提供的
-关于信息的自动决策和分析
-有关数据处理目的和可能会发生的变化
根据欧洲信息保护条例第 30 条,工作活动信息应该包含以下的内容:
-负责人员的姓名和联系方式(代理人或数据保护员)
-信息被用于的工作目的
-数据主题和个人数据的类别
-将数据传输到的第三国或国际组织的情况
-删除各类信息的最后期限
根据欧洲信息保护条例第 35 条,当某种工作具有高风险时,特别是运用新技术,或者基于新的知识领域或目的,公司必须进行数据保护影响评估。例如:基于自动化处理个人信息系统的全面评估,广泛处理个人信息或关于刑事定罪和罪犯的信息,系统远程监控的公共区域等。
-在何种情况下应立即通知数据保护执法部门和个人数据所有者
-在发现数据泄露多长时间内进行通知
-通知内容应该包括哪些信息
比如针对第一条,企业如果评估到,数据泄露可能会给数据所有者带来经济,精神,乃至名誉上的损失,则需要在发现泄露的 72 小时之内通知执法部门。再比如,如果企业评估到,数据泄露可能会带来高风险高损失时,企业除了要通知相关执法部门,还要通知用户。
2.欧洲范围内明确数据保护员的义务:这成为了整个欧洲数据保护的支柱。如果数据保护人员对公司的数据处理流程进行初步控制,就可以确保法律要求不会给公司带来额外的管理负担。
3.公司特权:占主导地位的母公司和其从属公司形成的公司集团,拥有群体特权,在数据保护要求范围内进行数据共享。
4.一站式购物原则:无论在哪个欧洲成员国发生数据滥用的事件,公民都可以随时向其他的成员国的数据保护机构申诉。
5.各成员国数据保护监管当局工作一致:欧洲数据保护委员会建立了一个单独的机构,来解释欧洲数据保护法的各项权利。
6.被遗忘的权利:任何人想要删除自己在网站上的数据,都可以被实现。
7.更好的理解“个人信息”:个人信息的概念变得更容易理解,并适应了现代化的处理流程。
8.罚款更高:对于企业来说,这可能不是什么好处,但对于需要被保护隐私的人来说,欧洲公民可以被很好的保护起来。
无论是社会还是政府,当前的趋势都是希望个人隐私保护越来越严格。但今后人们面临的可能是一个此消彼长的情况,即用户想要通过互联网获得便利的服务,就需要提交出自己的个人信息。相反,若我们不愿意在互联网平台上提供自己的信息,就不得不放弃一些只有通过互联网才能实现的便捷。个人隐私的保护,不仅仅是法律,更需要人们自己有意识去维护。
杜晓明律师事务所
Hüttenstr.1, 40215 Düsseldorf,Deutschland
Email: info@ra-drachen.de
Telefon: +49( 0)211-544 15352
Fax: +49( 0)211-544 15354
Homepage:www.ra-drachen.de
Weixin: deguo_touziyimin