一、背景说明
在国内经济增长疲软、各行各业愈发内卷、中国企业“走出去” 探索国际新蓝海已成为大势所趋。
当前,中国企业全球化面临前所未有的发展机遇与挑战:一方面,全球化布局加速,亟需构建国际化、多元化的人才体系;另一方面,文化差异、数据合规、属地政策等难题亟待破解;本文将从数据合规视角进行详细说明。
欧盟的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)是欧洲联盟于2018年5月25日正式实施的一项全面且严格的数据保护法规。GDPR对违法企业的罚金非常严厉。对于严重违法行为,企业可能面临相当于全球营业额4%的最高罚款或者2000万欧元的罚款(以高者为准)。此外,如果企业在过去12个月内多次违反GDPR规定,其最高罚款额度将加倍。
GDPR的实施对企业以及全球其他国家产生了深远的影响:企业层面,在进行出海过程中,数据合规成了一项绕不过去的课题;过去的6年多时间里,GDPR 推动了全球100多个国家在个人数据使用方面的治理、意识和战略决策的重大改进。比如,新加坡议会于2020年11月2日通过了《个人数据保护法(修正案)》,美国统一法律委员会(ULC)在2021年7月14日宣布批准《统一个人数据保护法》(UPDPA),《中华人民共和国个人信息保护法》(简称“个保法”)于2021年11月1日起正式施行阿联酋的《个人数据保护法》(PDPL)于2022年1月2日正式生效...
本文将以GDPR通用数据保护条例为例,对个人数据保护法关键处理过程及处理原则进行重点介绍。
二、个人数据及数据主体定义
个人数据的定义:个人数据是指与已识别或可识别的自然人(“数据主体”)相关的任何信息,即定义为个人数据,例如姓名、身份证号码、电子邮件地址、种族、宗教信仰、未公开的违法犯罪记录等;
数据分类定义:GDPR还特别指出了一类特殊的个人数据,例如种族、宗教信仰、未公开的违法犯罪记录、生物识别数据等,该类数据统一定义为“敏感信息”;在GDPR要求之下,原则上仅可基于非敏感信息(比如姓名、教育信息、薪酬信息等)进行数据处理;
数据主体分为权利主体和义务主体:
权利主体:在GDPR中,享有数据权利的主体被称为数据主体;数据主体须为欧盟居民,一般要求具有成员国国籍。所有受雇于该集团欧盟成员国内分子公司的具有欧盟成员国国籍的雇员便是我们需要关注的数据持有者,即数据主体。
义务主体:GDPR主要针对两类义务主体,即数据控制者(Controller)和数据处理者(Processor)
数据控制者是指单独或者与他人一起,决定个人数据处理之目的和方式的自然人、法人或者其他组织。数据处理者是指代表控制者,处理个人数据的自然人、法人或者其他组织。企业总部以及在欧盟境内的所有子分公司显然既是数据控制者,也是数据的处理者;而一般在项目实施过程中,通过企业授权委托代为处理数据持有者相关的数据的乙方公司,也是数据的处理者。
三、组织机构设立
设立数据保护官(DPO:Data Protection Officer):根据GDPR要求,如果控制者或处理者的核心活动包括需要对数据主体进行大规模定期和系统监控的处理操作,企业需设立DPO,来负责监督数据保护策略和程序的实施,以及与相应监管机构进行国内沟通等;值得一提的是,DPO可以是内部或外部法律专家顾问。
组建合规团队:一般在实际业务推进过程中,我们建议成立跨部门的合规团队,包括DPO、法务、IT、业务等部门人员,共同推进数据合规工作。
四、数据处理的原则
在数据处理过程中需要遵循如下原则:
合法性基础:组织处理个人数据必须基于合法的基础,如数据主体的同意、履行合同的需要、法律义务等。
透明度:数据控制者必须向数据主体提供关于数据处理活动的清晰、明确的信息。
目的限制:个人数据的收集和处理必须限于特定、明确且合法的目的,并且不得与这些目的相违背。
数据最小化:收集和处理的数据量必须限于实现处理目的所必需的最小范围。
存储限制:个人数据不得无限期存储,而应根据处理目的在合理的时间内删除或匿名化。
数据主体的权利:数据主体有权访问、更正、删除其个人数据,以及在某些情况下限制或反对数据的处理。
完整性和保密性:数据控制者在处理个人数据时需要采取适当的技术措施,以保护数据免遭意外、未经授权或非法访问、使用、修改、披露、丢失等。
五、隐私影响评估
隐私影响评估(DPIA Data Protection Impact Assessment) |
GDPR第35条规定,数据控制者必须在进行可能对自然人的权利和自由造成“高风险”的个人数据处理活动之前进行DPIA;这些高风险情形包括但不限于进行大规模处理特殊类别数据等情形。
六、数据处理实施
数据采集,数据采集过程中需要遵循如下原则:
1. 合法性:GDPR要求数据的采集必须基于合法、公正和透明的方式,且必须获得数据主体的明确同意,除非存在其他合法依据(如履行合同所必需、法律义务、保护数据主体或他人的重大利益等)。
2. 目的限制:数据控制者必须向数据主体提供关于数据处理的清晰、明确的信息,包括数据将被用于什么目的、数据的接收者是谁等。
3. 最小化原则:数据控制者只能收集实现其处理目的所必需的最少数据。
数据存储:采集的个人数据原则上应尽量存储在欧盟成员国或欧洲经济区(EEA)范围内;
数据处理:
保密性:数据处理过程中必须确保数据的保密性,防止未经授权的访问、披露或使用。
准确性:数据控制者应采取合理措施确保个人数据的准确性,并在必要时进行更新。
可追溯性:数据处理过程应该提供日志记录,以方便后续进行数据处理过程审查;
数据传输:此处指的是数据跨境传输;指的是将个人数据传输到欧洲经济区(EEA)以外的国家或地区的行为;在数据传输过程中,必须采取适当的安全措施,如加密技术,以防止数据泄露或被窃取。
欧洲经济区(EEA)主要包括欧洲联盟(EU)的成员国以及欧洲自由贸易联盟(EFTA)的三个成员国:冰岛、列支敦士登和挪威。
数据保留:
依据不同国家、地区规定,制定数据保留政策,规定适当期限,一旦保留期限到期,数据将会被删除;实际上在欧盟成员国之中,比如德国、捷克等,对于不同类型的数据,比如候选人信息、薪酬信息、人事信息、假期信息等不同国家不同数据类型的保留期限也存在一定差异;
数据销毁:数据保留期结束之后,或数据持有者主动提出需要删除或销毁相关信息时,数据控制者应考虑对其进行删除或销毁。
七、合规监控与审计
合规监控:通过技术手段和人工检查相结合的方式,对数据处理活动进行内部监控。邀请第三方机构进行外部审计,验证企业的合规性,并提供改进建议。
合规审查:定期对数据处理活动进行合规审查,确保持续符合GDPR要求。
风险与应对:制定数据泄露应急预案,确保在发生数据泄露等紧急情况时能够迅速响应并采取有效措施。
八、写在最后
GDPR下的数据合规全过程是一个系统化、结构化的管理流程,涉及从法规学习、组织架构建设、制度制定与实施、培训与意识提升、合规监控与审计到持续改进与优化等多个环节。企业需全面把握这些环节的要求和关键点,确保数据处理活动的合规性,有效保护个人数据权益。
数据合规处理是一项系统性、专业化的工程,若文中有描述不精准的地方,欢迎大家随时指正补充;
若您想进一步了解关于数据合规的详细执行方案,请及时与汉得信息或作者联系。
作者:王士礼
审核:赵 静
编辑:王 锐
