自2018年5月25日起,《通用数据保护条例》(GDPR,即欧盟2016/679号法规)在整个欧盟范围内正式生效。 无论企业在哪里注册,只要其收集、处理或存储欧盟境内自然人的个人数据,就必须遵守GDPR。 违规将面临最高2000万欧元或全球年营业额4%(取较高值)的罚款。
哪些企业须遵守GDPR
GDPR适用于任何处理欧盟境内个人数据的组织,无论该组织设立于何处。 这意味着:向意大利客户在线销售产品的中国企业、在意大利管理员工的中国企业,或通过可在欧洲访问的网站收集数据的中国企业,均须遵守GDPR。
企业的主要合规义务
— 隐私告知:每次收集个人数据时,必须向数据主体提供清晰完整的隐私告知,说明处理目的、法律依据、保存期限及数据主体权利。
— 处理的法律依据:所有数据处理活动必须具备有效的法律依据,包括:同意、合同履行、法律义务、重大利益保护、公共利益或合法利益。
— 处理活动记录:员工超过250人、或系统性处理敏感数据的企业,须建立并维护内部数据处理活动记录。
— 数据保护官(DPO):部分类别的企业被要求任命数据保护官。 即使非强制要求,处理大量数据的企业也建议设置此职位。
— 数据泄露通知:发生数据泄露时,企业须在获悉后72小时内向监管机构报告。
— 向第三国传输数据:将个人数据传输至中国须满足额外的安全保障要求,因为欧盟尚未认定中国具备充分的数据保护水平。
中国企业面临的核心挑战:向中国传输数据
许多在欧洲运营的中国企业,会定期将员工、客户、供应商的数据传输至国内母公司的IT系统。 这类数据跨境传输受到GDPR的严格限制。 常见合规解决方案包括:采用欧盟委员会批准的标准合同条款(SCC),或针对跨国企业集团的约束性公司规则(BCR)。
榕轩事务所与法律合作伙伴协作,协助中国企业评估自身GDPR合规状态,编制所需文件,并建立符合欧盟法规要求的数据处理流程。
