2019欧盟GDPR合规指引重点解读(1)

编辑: 发布时间:2019-11-19 15:28:20 来源:

  一、GDPR合规体系

  1.风险评估

  两个重点:(1)GDPR是否适用;(2)GDPR所涉及的业务领域及其数据的收集、使用、处理、保存和跨境传输的状态。

  2.组织构架保障

  董事会、高管人员对数据合规的重视与支持;DPO的设置、选任、职责范围以及与现有组织架构的衔接整合等。

  3.合规体系设立与执行

  企业内部GDPR合规制度的设立与健全;GDPR项下外部文本的调整与完善;GDPR合规的流程控制。

  4.合规培训及宣讲

  定期对企业的董事、高管、雇员和第三方开展多元化的GDPR培训。

  5.合规体系执行的监督和审计

  针对特定业务模块的监督和审计;定期全面审计;对合规制度和业务流程的改进和优化;对内部文本和第三方文本的进一步调整和更新。

  二、GDPR疑难点及合规建议

  1.GDPR的域外适用

  Q:在中国境内的欧盟的个人数据管不管?

  A:若信息的采集和处理过程均是在欧盟境外完成,则GDPR不适用,但是,如果数据是企业通过提供面向欧盟的服务而在线收集而来,则适用。例如,某App有法语版本,并在法国宣传其可为法国游客在中国旅行提供服务,则该法国用户的数据受GDPR管辖。

  2.个人数据的范围

  Q:GDPR中的个人数据指的是哪些数据?

  A:个人数据是指任何已识别或可识别的自然人的信息。

  该可识别的自然人能够被直接识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线活动或者是通过参照针对该自然人一个或多个如物理、生理、遗传、文化或社会身份的要素。实践中,个人数据还包括通过任意一种方式或可被分配给某人的所有数据。例如,电话号码、个人的信用卡或人员编号、账户数据、号牌、外貌和客户号或地址,均属于个人数据。

  经过假名化处理的数据可以使识别个人更加困难,从而降低隐私风险,但其仍属于个人数据。如果个人数据可以被真正地匿名化处理,那么经过匿名处理的数据不受GDPR规制。

  在GDPR下,数据保护并不适用于有关诸如公司、基金会以及机构等法律实体的信息。

  除了一般的个人数据以外,还有特殊类别的个人数据(也被称为敏感个人数据)。这些数据包括基因、生物识别和健康数据,以及可被归于某一个人的种族和族裔血统、政治意见、宗教或意识形态信念或某一社群组织的成员关系的个人数据。

  (来源:中国信息通信研究院)

  深圳企业咨询深圳市国际贸易促进委员会法律事务部

  联系人: 杨锐 88100039 yangrui669@126.com

评论()】【加入收藏夹】【打印】【关闭
联系我们 - 版权声明 - 诚征合作