前沿观察,

欧洲《通用数据保护条例》——五大合规要点

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

欧洲《通用数据保护条例》(“GDPR”)自出台以来就引起了诸多恐慌,而现在已生效近四年时间,还应该为之担忧吗?事实上,虽然《通用数据保护条例》引入了一些新概念,但主要的数据保护原则并未发生改变。如果已经具备了适当的合规性,并且政策和培训均保持最新,那么就不必惊慌。

也就是说,看似并未遭受实际经济损失或精神损害的个人会让你承担巨额罚款,并可能对你提起集体诉讼,这意味着既不能忽视数据保护,也不宜固步自封。在这一领域积极采取行动将强有力地推进合规,而且与一旦出现问题所产生的经济损失和名誉损失相比,合规成本微不足道。本文总结了组织进行数据保护合规需要考虑的五个关键要素,而如果能成功落实这五个要素,将会大大降低不合规的风险,同时提高业务效率:

1) 数据保护政策和培训——是否制定了明确的数据保护政策,来说明为组织工作的每个人应如何按照符合适用的数据保护法律规定的方式处理个人数据?

政策的内容是否简明易懂?实质上,数据保护政策应当是一份具有指导作用的行为准则,涵盖一般性要点,比如保护个人数据安全的方式、共享个人数据的方法以及向客户营销时应考虑的问题等。

当然,政策文件还应辅以培训(现场培训或在线培训),提供关于如何处理数据保护权利请求等的实际案例。例如,在个人要求行使信息删除权或访问权的情况下,员工知道应当怎样处理吗?在某案例中,英国南威尔士警察使用的面部识别技术遭到了质疑,而适当的政策文件帮助他们脱离了困境。

2) 隐私声明——隐私声明告知人们按照《通用数据保护条例》透明度要求来收集和使用他们的个人信息的方式和原因。通常,需要有一份内部员工隐私声明。很显然,员工信息将被用于与雇佣相关的事宜,但有一些不太明显的情况,需要告知员工,如信息技术系统监控、电子安全通行证、车辆跟踪等。

此外,还需要考虑一般网站隐私声明,针对的对象为顾客/客户、网站访客以及在外部打交道的任何其他个人。当然,要起草这些非常重要的隐私声明,就需要了解数据在公司内传输的方式,以及外部共享这些数据的人员。这听起来是一项艰巨的任务,实则不然;如果说数据是新石油,那么考虑一下能够开采新石油可能会有哪些益处。

3) 数据泄露——对于因数据泄露而导致个人信息被窃取的情况,组织是否有备无患?是否制定了一份明确的指南,告知人们在发生数据泄露的情况下应当逐步采取什么措施、应当和谁联系?需要注意的是,《通用数据保护条例》规定如果存在因数据泄露对个人造成伤害的风险,需在发现泄露事件后72小时内通知相关监管机构。

各方(如内部信息技术、人力资源沟通团队等)以及外部各方(如保险公司和信用保护供应商)需要迅速有效地进行联络,以评估数据泄露并降低影响,包括决定是否通知监管机构和受影响个人。

请记住,可以通过采取良好的物理和电子安全措施将数据泄露的风险降到最低。既不要像英国航空那样因安全措施不充分而陷入困境(目前可能面临1.83亿英镑的罚款),也不要步英国电信运营商TalkTalk的后尘,在遭到数据泄露后像没头苍蝇一样乱撞。TalkTalk的首席执行官在公开宣布泄露事件前居然未能把事情搞清楚,因此受到批评

4) 合同条款——法律要求确保在与共享任何个人数据的第三方(如服务供应商和联合业务合作者)签订的合同中有充分的数据保护条款。关键在于明确由谁负责个人数据处理的哪些要素,这样才能够确定另一方是否:

1.  仅代为采取行动(处理者);

2.  独立决定如何使用个人数据(独立控制者);或

3.  共同承担责任(联合控制者)。

5) 个人权利——你可能会认为这个话题无关紧要。偶尔有删除或访问个人数据的请求,除了造成一点不便之外,还能有什么害处呢?千万不要掉以轻心!个人越来越熟悉自己拥有的数据保护权利,并且各个组织都收到了大量个人请求,而这些请求通常来自心怀不满的个人,特别是那些要求组织提供所持有的其个人数据的副本的请求。

人们可以要求的内容似乎没有限制,英国国民威斯敏斯特银行2018年就发现这点对其不利。在个人向国民威斯敏斯特银行提出数据主体访问请求时,就连关于个人(权利请求人)的会议的举行时间和出席者等信息,都被认为是相关的个人数据。

现有的豁免情况非常少,并且解释也很狭隘,特别是英国数据保护监管机构的解释。组织处理这类请求通常要花费数千英镑,更别提耗费的时间和资源了,而且这些因素都不属于豁免的范围。

此外,相当不幸的是,权利请求通常伴有争议性索赔,在个人认为请求的结果不尽如人意的情况下甚至会发生诉讼。重要提示!不要在电子邮件、即时消息或数据库的自由文本字段中记录与业务无关的人员的信息,否则如果有关个人看到的话,可能会给组织带来声誉或诉讼风险。

最新文章
前沿观察
医药行业长期处于反腐关注的重点。不久前,中央纪委国家监委再次发文强调,持续加大对行贿行为的惩治力度,深化重点领域反腐工作,医药领域位列其中。作为反腐败领域的重要法规,修改后的《监察法》将于 2025 年 6 月 1 日起施行。 《监察法》虽然主要规制公职人员,但对于涉嫌行贿犯罪、介绍贿赂犯罪或共同职务犯罪的涉案非公职人员,监察机关同样具有管辖权。而且,中央纪委国家监委官网也曾发文指出,要针对典型行贿行为加大惩治力度。坚持受贿行贿一起查,严肃查处那些老是拉干部下水、危害医药领域政治生态的行贿人,依法追缴行贿所获不正当利益,强化对行贿人的联合惩戒,坚决遏制搞腐败“一本万利”的行为动机。在监察机关坚持行受贿一起查的大背景下,2025 年可能有更多医药企业及人员被要求配合或协助调查。医药企业及相关人员应高度关注《监察法》的修改。 此次修改涉及二十四条,主要包括五方面:一是完善监察派驻规定;二是授予监察机关必要监察措施;三是完善监察程序;四是充实反腐败国际合作规定;五是强化监察机关自身建设。建议医药企业及相关人员重点关注监察派驻、监察措施以及监察程序中的留置时间等关键内容。争议解决与诉讼-合规调查及公司治理-反商业贿赂及合规,医疗健康与医药-医药与医疗器械

2025/02/05

前沿观察
香港金管局(HKMA)近期发布了一项拟议规则,将在香港全面实施巴塞尔委员会对银行持有的通证等加密资产制定的监管资本标准(巴塞尔加密资产监管标准)。 巴塞尔加密资产监管标准对于银行来说至关重要,因为它规定了银行必须为其加密资产风险敞口持有多少监管资本金(regulatory capital)。巴塞尔加密资产监管标准还对银行的加密资产风险敞口提出了杠杆资本、敞口限额、风险管理和信息披露等方面的要求。加密资产包括通证化资产(tokenised assets)、稳定币(stablecoins)以及比特币等无支持的加密资产。 巴塞尔加密资产监管标准对(1)使用无许可区块链(permissionless blockchain)的加密资产(包括使用无许可区块链的通证化资产和稳定币)、(2)无支持的加密资产(如比特币)以及(3)缺乏有效稳定机制的稳定币提出了非常严格的监管资本要求。这意味着银行需要为这些类型的加密资产持有大量的资本金。 香港金管局的银行资本规则适用于在香港成立注册的本地银行和其他受香港金融管理局监管的香港本地银行业金融机构(统称“香港本地银行业机构”,Hong Kong incorporated authorized institutions)。下图概述了巴塞尔加密资产监管标准和香港金管局拟议规则的核心内容。银行与融资-金融科技,数字经济,金融机构-金融市场监管

2025/02/05

前沿观察
根据国家统计局1月17日公布的权威数据,2024年,我国社会消费品零售总额487895亿元,比上年增长3.5%;其中,除汽车以外的消费品零售额437581亿元,增长3.8%。从对经济增长的贡献看,全年最终消费支出拉动经济增长2.2个百分点。 2024年,在政策层面积极提振内需市场活力的同时,监管层面亦同步持续发力。无论是食品、化妆品等传统消费领域,还是数字消费、健康消费等新兴增长极,尤其是面对快消行业新业态、新引擎,国家及地方陆续布局一系列新规,并在执法实践中稳步落地。 本文将基于团队对消费品行业的持续关注与丰富经验,从立法动态和执法实践两个关键维度着眼,对2024年度快消行业 监管的突出亮点进行年度回顾与盘点,旨在与读者共同探寻其中的脉络与意义。公司与并购-公司合规体系,农业和食品

2025/01/27