欧盟运营公司如何遵守 GDPR 标准

在当今的商业环境中,由于新技术的快速发展,隐私和数据保护问题日益成为公司的核心问题。

2018 年起生效的《一般数据保护条例》(GDPR)的出台重申了管理和保护个人数据的重要性。该条例规定了欧盟内外的公司在处理欧盟公民的个人数据或以其他方式在欧盟进行数据处理时必须遵循的模式和保护措施。

本文旨在概述希望在欧洲开展业务的公司应如何处理和管理所持有的个人数据。

为此,首先有必要了解个人数据的含义。个人数据是与已识别或可识别的自然人直接或间接相关的任何信息。根据 GDPR,与数据相关的人被称为 “数据主体”;需要注意的是,数据主体只能是自然人,而不能是公司。

此外,GDPR 对所谓的一般个人数据敏感个人数据进行了区分;后者是一种特殊的个人数据类别,特殊之处在于其揭示了特别敏感的信息,因此需要额外的保护,其处理也要遵守更严格的规则。举例来说,敏感数据主要包括个人的种族、宗教信仰、健康数据或生物特征数据等信息。

还应提及的是,个人数据属于这些数据所涉及的数据主体所有;因此,后者在收集、 使用、存储和保护这些数据方面享有某些特定权利。

在论述公司通常需要处理哪些数据,以及公司为确保遵守 GDPR 规定而必须履行的义务之前,首先有必要解释数据控制者和数据处理者之间的区别。

数据控制者是指决定为何和如何使用个人数据的自然人、公司或组织;数据处理者是指代表数据控制者处理个人数据的自然人、公司或组织。任何收集和处理个人数据的公司都将自动成为数据控制者;事实上,这无需通过正式的任命,因为责任来自处理行为本身。作为数据控制者的公司如果希望将数据处理外包给另一家公司,则必须任命所谓的数据处理者,由其代表控制者精确管理和处理数据。与数据控制者不同,数据处理者必须通过合同正式任命,合同必须明确规定数据处理者的责任。

由此可见,任何拥有自然人个人数据的公司都自动成为数据控制者,必须按照相关条例的规定处理这些数据。随后,公司可以决定是否任命数据处理者。

公司通常会处理不同类型的个人数据。这些数据包括员工数据,如姓名、地址、电话号码和支付工资的银行详情;供应商数据,如联系信息和付款详情;以及消费者数据,如姓名、电子邮件、送货地址和购买记录。

让这些人了解他们的数据将如何被使用至关重要。为此,公司必须提供清晰、简单、易懂的隐私声明。这些披露必须解释:(i) 正在收集哪些数据,(ii) 为什么收集这些数据,(iii) 如何使用这些数据,(iv) 是否会与第三方共享这些数据,以及 (v) 数据主体享有哪些权利(如访问其数据的权利、要求更正或删除的权利、反对处理其数据的权利)。披露应当在收集数据时进行并且易于获取,例如通过网站、合同或数据获取的确认电子邮件。

除了向数据主体提供信息外,为了遵守 GDPR,公司还必须开展以下活动。

首先,公司必须任命一名数据保护官 (DPO)。此人可以是公司员工,也可以是公司外部专门聘用的人员,负责监督公司遵守 GDPR 的情况,并充当公司与数据保护机构之间的联络人。任命 DPO 并非总是必要的,这取决于公司的规模和处理的数据类型;小型公司通常不需要 DPO。但是,只要公司对个人进行定期、大规模、系统性监控,或处理 GDPR 界定为特殊类别的个人数据,则必须任命 DPO。

其次,需要进行数据保护影响评估 (DPIA)。该程序旨在描述将要进行的数据处理,以评估其必要性、相称性和相关风险,从而可以采取一切必要措施来应对这些风险。当将要进行的数据处理对自然人的隐私构成高风险时,则必须进行 DPIA。小型公司通常不需要 DPIA。

最后,应注意所采取的安全措施与所处理数据的性质和潜在风险相称。

公司需要考虑的另一个因素是如何处理数据被处理的个人提出的要求。这些请求包括但不限于访问其数据的请求、修改其数据的请求、反对处理数据的请求和删除数据的请求。公司必须确保在合理期限内(通常为30天)对这些请求做出回应。

另一个关键因素涉及在数据泄露事件发生时执行内部政策和程序,比如及时通知主管当局和相关利益方。事实上,企业在内部实施风险管理措施并通过指导方针来应对此类可能和假设的情况极为重要。

最后,每家公司都应确保其员工接受过有关 GDPR 和公司数据保护程序的充分培训。事实上,培训往往有助于防止错误的发生。

通过细致且持续的管理,公司不仅可以避免遭受制裁,还能展现其对数据保护和透明度的具体承诺。

如果您希望了解该立法的最新进展,请发送电子邮件至 info@dandreapartners.com。

DP 集团旗下公司)提供法律和税务领域的协助和咨询服务。如有任何疑问,请联系我们:info@dpgroup.biz

以上内容仅供参考。本文的发布并不构成对DP集团与读者之间的律师-客户关系,也不构成法律建议。法律建议必须根据每个案件的具体情况而定。