- 合法合规前提/原则
- (PbD)Privacy by design
- DPIA
- 数据出境
- 数据共享/委托
- DPO(必须设立的三个场景、工作职责内容等)
- 数据保护措施(加密、匿名化、去标识化等)
- 履行数据主体的权利
- 事件披露:数据泄漏上报72H内。流程?哪个机构?入口?文档模板?
- 合作和监管
1)组织建设
- 欧盟境内设立代理人角色(企业注册地不在欧盟但处理欧盟境内人员信息的场景);
- DPO,设立数据保护官角色
2)PBD 理念,“数据保护设计与默认”
GDPR在第25条中明确提到了“数据保护设计与默认”(Data Protection by Design and by Default),这一要求与“Privacy by Design”的理念紧密相关。GDPR规定,数据控制者应在设计数据处理活动时,采取适当的技术和组织措施,确保数据保护原则在整个数据处理过程中得到落实。
3)DPIA风险评估
当数据处理可能对个人权利和自由带来高风险时,数据控制者必须进行数据保护影响评估(DPIA),以识别和减轻这些风险。
- 评估的必要性
DPIA是强制性的,特别是在处理可能导致高风险的个人数据时。例如,大规模处理敏感数据、系统化的监控、或使用新技术进行处理等情况下,DPIA是必要的。
- 内容要求
处理活动的描述:DPIA应包括对处理活动的详细描述,包括处理的性质、范围、上下文和目的。
风险评估:评估该处理对个人数据的隐私风险,包括对数据主体权利和自由的潜在影响。
风险管理措施:详细说明为应对这些风险所采取的安全措施和控制措施,以确保数据保护和合规性。
4)数据跨境(传输到第三国和国际组织)
欧盟国家之间的数据传播,不算数据跨境,各成员国间遵循GDPR要求(如:合法性原则、数据最小化、透明性和告知义务、数据安全保护措施、数据主体权利等)。
- 充分性决定(Adequacy Decisions)又称“GDPR白名单”
欧盟委员会会评估数据接收国是否提供足够的数据保护水平。如果一个国家(白名单中的国家和区域)被认为的数据保护措施与欧盟标准相当,就会被授予“充分性决定”。
举个例子:
如果你要将个人数据传输到一个被欧盟认可的国家,比如日本,那么你不需要采取额外的保护措施,因为该国的数据保护水平已经被认可。
-
GDPR白名单列表
安道尔、阿根廷、加拿大(限于商业组织)、法罗群岛、以色列、日本、新西兰、瑞士、乌拉圭、韩国、英国(在英国脱欧后,欧盟仍然给予了英国充分性决定)、美国(限于“隐私盾框架”,但请注意这一框架已被欧洲法院于2020年7月宣布无效,目前新的框架讨论中)
- 适当的保护措施(Appropriate Safeguards)
当没有充分性决定时怎么办?
如果目标国家没有被认定为“充分”,你需要采取额外的措施来保护数据。这些措施被称为“适当的保护措施”。
常见的适当保护措施包括:
- 标准合同条款(Standard Contractual Clauses, SCCs): 这些是由欧盟委员会批准的合同条款,确保接收数据的国家也能提供足够的数据保护。
- 约束性公司规则(Binding Corporate Rules, BCRs): 适用于跨国公司内部的数据传输,确保集团内所有子公司在数据传输时遵守相同的保护标准。
- 认证机制或代码(Codes of Conduct): 遵守特定行业标准或获得相关认证,证明你有足够的数据保护措施。
- 特定情况的例外(Derogations for Specific Situations)
在某些情况下,即使没有充分性决定或适当保护措施,也可以传输数据。这些例外情况包括:
- 数据主体的明确同意: 个人明确同意将数据传输到特定国家。
- 合同的需要: 为了履行与个人签订的合同,必须传输数据。
- 重要的公共利益: 传输数据是为了保护公共利益,如公共卫生或安全。
- 法律声明: 为了应对法律程序或要求。
- 转移后监管
确保数据传输后,接收方继续遵守保护措施。即使采取了适当的保护措施,数据控制者还需要监控接收方是否仍然遵守这些保护措施。
- 数据控制者的责任
确保合规: 数据控制者(即决定如何处理数据的组织)必须确保所有跨境传输符合GDPR规定。
记录和文件: 必须记录所有数据传输活动,并保持相关的合规证明。
评估和更新: 随时评估传输目的地的法律环境,确保数据保护水平没有下降。
- 用户的权利
告知义务: 必须向用户明确告知其数据将被传输到哪个国家,及该国的数据保护情况。
透明性: 确保用户了解他们的数据如何被保护。
5)事件披露职责(监管和数据主体)
发生数据泄露后,数据控制者需要在72H内报告EDPB、需要通知数据主体。
