概览

欧盟《一般数据保护条例》(GDPR)于2018年5月25日在全欧盟生效。GDPR取代欧洲现行数据保护法律,并引入重大变化及额外要求。是次改动将对世界各地的企业,无论在何处经营,均产生广泛影响。

GDPR:该等转变将影响您的业务 
以下是GDPR引入的关键变化及附加要求:

  1. 欧洲数据保护法将全球适用。相对于目前的规定出现了显著不同的一点是,除了在欧盟成立的企业之外,任何位于欧盟境外,但就向欧盟境内人士提供商品或服务或由于监察欧盟境内人士,因而处理个人数据的企业,也将须遵守欧洲数据保护法。。非欧盟企业须考虑自身是否受新条例规限以及如何遵守相关条例。
  2. 对不遵守行为加重制裁。违反欧洲数据保护法的最高罚款额将大幅增加至企业全球营业额的4% ,或每次侵权罚款2,000万欧元,以较高者为准。
  3. 新设数据泄露通知义务。企业现在必须在没有不当拖延及可行的情况下于72小时内把泄露事件通知相关的欧洲数据保护官方机构。如事故属于高风险,企业还必须向受影响的个人发出通知,不得无故拖延。
  4. 新的数据隐私管治、数据配置及影响评估的要求。企业现在須委任一名数据保护专员负责实施和监测企业遵守GDPR的情况,并评估企业在某些情形下的数据处理情况。此外,企业必须就较高风险的数据处理筹划记录个人数据处理程序,并进行数据保护影响评估。
  5. 要求实施“订造隐私”。企业须采取积极主动的措施,以确保在处理个人数据时,所依据的预设数据保护标准达到适当的水平。
  6. 加强个人就其个人数据享有的权利。个人将有权要求其个人数据从系统或网上内容中删除(“被遗忘权”)、不受自动数据分析(如此举将产生法律效力),以及有权要求获取其个人数据以常用格式展示的相关副本和将该信息传送予另一方(“数据可携权”)。企业必须决定个人行使该等权利的方式。
  7. 加强对供应链的合规要求。企业必须只选用能确保可实行并满足GDPR要求的安全措施的第三方為其处理个人数据。如今此等个人数据服务供应商须就维持适当的数据保安措施负上责任,而且须按GDPR规定的同等要求记录处理数据的活动,并且必须事先获得相关同意方可使用分包处理商。企业将需要审查及修订与这些供应商之间的合同以回应有关责任的改动。

为应对GDPR做好准备:遵循GDPR须采取的10个步骤 
如企业经初步评估认定须遵循GDPR规定,则须采取以下10个关键步骤:

  1. 通知领导层并制订计划。高级管理层应该了解数据保护法律的变化及其对业务的影响。 高级管理层应指定相关人员制定计划以落实GDPR的各项要求,并教育更多员工,使之了解其对业务运营的影响。
  2. 委任数据保护专员。根据GDPR而決定是否需要指定一名数据保护专员来实施GDPR合规计划并监测合规情况。此人应担任数据保护管治架构的主管,直接向领导层报告,负责推出各项措施以实践和监测合规计划。
  3. 配置个人数据。企业应对所收集的个人数据的创建记录、其处理的目的、其获取方式,以及其分享对象进行详细调查。
  4. 检查影响。从个人数据配置工作所收集的信息,评估哪些业务活动和数据处理行动必须符合GDPR要求。
  5. 化解风险。企业须进行数据保护影响评估,特别是在有关个人权利和自由因正在或拟进行的活动而面临高风险的情况下,找出及设法减少处理个人数据相关的风险。
  6. 检视处理个人数据的理据。收集个人数据的方式和处理个人数据的基准应根据GDPR进行检视,以决定是否需要进行调整,尤其是依据“同意”和“合法利益”(在GDPR规管下更难以实諓)进行个人数据处理的情况下,重新检视则显得更为必要。
  7. 更新数据管治系统。企业应更新相关政策、程序和管治措施,以仔细说明如何遵守GDPR的新规定。员工须就此接受培训,并定期获悉有关更新。
  8. 实施新合规体系。相关计划和机制必须到位,以确保企业可应对数据泄露的情况和新数据泄露通知要求、被遗忘权、数据可携权、不受自动数据分析的权利、获取个人数据的权利以及其他有关个人数据的可行使权利。
  9. 审查供应链合同。企业须就与其共享个人数据的服务供应商和其他第三方重新审查所签订的合同,并在必要时重新谈判內容,以确保企业可以适当监督第三方处理个人数据的方式和切实遵守其在GDPR下的法律义务。
  10. 评估夸国传输数据的情况。评估企业目前开展个人数据跨境传输的方式,決定是否需要更新个人数据内部传输或向第三方传输的相关机制,以符合欧洲数据保护的要求。

Mayer Brown的GDPR就绪服务:可为您提供哪些帮助

通过Mayer Brown提供的GDPR就绪业务,我们可以在以下方面协助您的业务准备应对GDPR新规的要求:

  • 初步评估GDPR是否适用。我们可以进行简单、初步的评估以决定您的业务是否必须遵守GDPR要求以及如何采取对策。
  • 为您量身定制培训内容。我们可向高级管理层、法律及合规团队提供培训,范围涵盖 GDPR要求和遵循相关要求的步骤,还有后续“培训师培训”课程、培训视频、数据保护合规演示文稿和材料,务求让更多员工可投入参与培训计划。
  • 就创建及实践一个数据保护办公室和营运框架提供战略指引。我们就您所在机构是否需要/适合创建数据保护办公室或订立和部署GDPR合规计划提供意见。
  • 协助个人数据配置、评估及记录。 我们能:
    • 协助评估及记录个人数据处理和传输;
    • 就必须遵循GDPR要求的活动提供意见;
    • 合作开展数据保护影响评估,并就如何降低已知风险提供意见;以及
    • 协助记录个人数据处理的依据,并就是否需要调整收集或使用个人数据的方式以符合GDPR规定提供意见。
  • 协助制订数据管治文件及系统。我们可协助起草数据保护政策、程序和公平处理通知,以及创建和测试数据泄露应急方案。我们亦可就行使个人数据相关权利的应对机制的实施提供意见。
  • 分析数据分享合同。我们可审查您与获传输个人数据的第三方订立的合同是否符合GDPR要求并就此提供意见。如有必要,我们亦会在该等合同的更新及重新谈判方面提供协助。
  • 就数据的夸国传输提供意见。我们可核查业务涉及个人数据夸国传输的程度,就其须遵守GDPR的程度提供意见,并协助制订及实施合法落实该等传输的措施。
  • 委任孖士打全球网络安全及数据隐私团队为实施数据保护项目提供持续支持。无论是否涉及数据管治框架部署、 “欧盟-美国隐私保护(EU-US Privacy Shield)” 认证或企业约束规则(Binding Corporate Rules)应用,我们均能提供持续支持,通过孖士打各分所的律师以及我们全球网络安全及数据隐私团队的其他律师行,协助您在全球发展及实施数据保护项目。

孖士打律师行全球网络安全及数据隐私团队简介

凭借孖士打律师行的全球平台,我们得以向全球各地的客户提供卓越服务。孖士打律师行及其位于美洲、欧洲、中东和亚洲的律师团队对各自所在国家和周边地区的网络安全及数据隐私法规和条例有深入切实的了解。本行网络安全及数据隐私团队成员屡获《钱伯斯》、《法律500强》、《国家法律杂志》“先驱者(Trailblazers)”名单及《Law360》认可。

得益于丰富的业务经验及强大的全球团队,我们可从容解决最为复杂的国际网络安全及数据隐私问题,包括就覆盖全企业的隐私框架构建提供法律意见、在全球外包项目中进行跨国数据传输或协助处理渉及多个司法辖区的数据泄露问题。我们的律师将协助客户积极应对国际法规最新改动,如“安全港”协议失效及其替代方案“欧盟-美国隐私保护”的出台、欧洲《一般数据保护条例》的实施,以及香港《个人资料(隐私)条例》的变动。此外,我们拥有广泛的地方顾问网络,可覆盖我们并未设有办事处的国家,如有必要,我们的律师可与之联络。

作为我们全球服务的一部分,我们将在美洲、欧洲、中东、非洲及亚太地区安排主要负责合伙人,作为客户于该等地区任何网络安全及数据隐私事务代表的联系点。

各主要负责合伙人将作为核心团队一员,与当地法律顾问无间合作,以满足客户在该地区的需求,积累有关客户需求的专业知识,深化与客户团队的合作关系。我们的核心团队将成为客户网络安全及数据隐私专员、内部法律顾问、合规及管理层代表的联系点。

我们的核心团队将与行业和地区联系人密切合作,并协调各方工作。如需当地核心团队、行业和地区联系人的协助,主要负责合伙人可以代表接洽驻当地的团队主管。

虽然我们在部分国家未设立办事处,但通过与当地律师行的合作关系,我们亦能满足客户对网络安全及数据隐私的要求。如有需要,我们可提供该等国家及当地合作顾问的清单。