?

?

正如前文所述，GDPR具有一定的域外適用效力，GDPR適用于在EEA內(nèi)設(shè)立的數(shù)據(jù)控制者和數(shù)據(jù)處理者對(duì)于個(gè)人數(shù)據(jù)的處理。同時(shí)，如果數(shù)據(jù)控制者和數(shù)據(jù)處理者設(shè)立于EEA外，但其在向位于EEA內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)、或監(jiān)控位于EEA內(nèi)的數(shù)據(jù)主體的行為時(shí)處理了該數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，那么GDPR也同樣適用。

?

?

GDPR的保護(hù)對(duì)象為數(shù)據(jù)主體，即已識(shí)別的或可識(shí)別的自然人。GDPR旨在賦予數(shù)據(jù)主體相關(guān)權(quán)利并為其提供相關(guān)保護(hù)。相關(guān)權(quán)利包括知情權(quán)（即數(shù)據(jù)主體有權(quán)得知其個(gè)人信息被收集及使用）、刪除權(quán)（即數(shù)據(jù)主體有權(quán)要求個(gè)人數(shù)據(jù)被刪除）以及信息獲取權(quán)（即數(shù)據(jù)主體有權(quán)獲取其個(gè)人數(shù)據(jù)及其他相關(guān)信息）等。

?

?

?

GDPR僅適用于個(gè)人數(shù)據(jù)，其并不適用于除自然人外的任何其他法律實(shí)體的數(shù)據(jù)。個(gè)人數(shù)據(jù)是一個(gè)非常寬泛的概念，包括了任何與數(shù)據(jù)主體相關(guān)的信息，例如：

?

姓名

身份證件編號(hào)

定位信息

網(wǎng)絡(luò)身份識(shí)別信息

其他任何有關(guān)個(gè)人身份的信息

?

除了上述個(gè)人數(shù)據(jù)之外，GDPR還適用于"特殊種類"的個(gè)人數(shù)據(jù)（以下簡(jiǎn)稱"特殊數(shù)據(jù)"），例如涉及到數(shù)據(jù)主體的種族、民族、政治傾向、宗教信仰、基因信息、生物信息和健康方面的數(shù)據(jù)。如果企業(yè)需要處理任何特殊數(shù)據(jù)，那么除了需要建立數(shù)據(jù)處理的合法基礎(chǔ)外（詳見(jiàn)下文），還需要確保GDPR規(guī)定的額外條件得以滿足，常見(jiàn)的額外條件包括取得數(shù)據(jù)主體的明示同意。

?

?

廣義地說(shuō)，GDPR下責(zé)任與義務(wù)的承擔(dān)主體為任何位于EEA內(nèi)的，或在滿足一定條件時(shí)位于EEA外的，處理個(gè)人數(shù)據(jù)的自然人或法人。

?

如果要明確企業(yè)是否處理個(gè)人數(shù)據(jù)，企業(yè)需要充分了解企業(yè)對(duì)個(gè)人數(shù)據(jù)所實(shí)施的任何單一或一系列的行為。GDPR中列舉了一些屬于數(shù)據(jù)處理的行為，其中甚至包括對(duì)個(gè)人數(shù)據(jù)進(jìn)行儲(chǔ)存、限制及銷毀等行為。

?

如果根據(jù)GDPR的規(guī)定企業(yè)確實(shí)涉及到處理個(gè)人數(shù)據(jù)的，那么企業(yè)所負(fù)的義務(wù)將取決于企業(yè)在處理個(gè)人數(shù)據(jù)過(guò)程中所扮演的角色。如果企業(yè)可以決定個(gè)人數(shù)據(jù)處理的目的和方法，那么其將被歸類為"數(shù)據(jù)控制者"。而如果企業(yè)僅代表數(shù)據(jù)控制者來(lái)處理個(gè)人數(shù)據(jù)，那么企業(yè)則被歸類為"數(shù)據(jù)處理者"。如果企業(yè)在代表數(shù)據(jù)控制者處理個(gè)人數(shù)據(jù)的同時(shí)，又可以自主決定個(gè)人數(shù)據(jù)處理的目的和方法，則企業(yè)很可能既是"數(shù)據(jù)控制者"也是"數(shù)據(jù)處理者"。

?

一旦企業(yè)明確了其在處理個(gè)人數(shù)據(jù)過(guò)程中所扮演的角色及其所負(fù)的相應(yīng)義務(wù)后，企業(yè)應(yīng)當(dāng)考慮如何建立并實(shí)施GDPR合規(guī)制度。

?

?

在簡(jiǎn)要介紹企業(yè)應(yīng)如何建立GDPR合規(guī)制度之前，需要注意的是，無(wú)論企業(yè)是數(shù)據(jù)控制者還是數(shù)據(jù)處理者，均須遵守以下GDPR中的數(shù)據(jù)保護(hù)原則。

?

(1) 合法、公正和透明原則 – 即個(gè)人數(shù)據(jù)的處理必須合法、公正和透明。

(2) 目的限制原則 – 即個(gè)人數(shù)據(jù)收集的目的必須明確且合法，且個(gè)人數(shù)據(jù)的使用必須與該目的保持一致。

(3) 數(shù)據(jù)最小化原則 – 即個(gè)人數(shù)據(jù)必須充分且有相關(guān)性并限制在數(shù)據(jù)處理目的所必需的范圍內(nèi)。

(4) 準(zhǔn)確性原則 – 即個(gè)人數(shù)據(jù)必須準(zhǔn)確且及時(shí)更新。

(5) 存儲(chǔ)限制原則 – 即個(gè)人數(shù)據(jù)的存儲(chǔ)期限不得長(zhǎng)于實(shí)現(xiàn)其處理目的所必需的時(shí)間。

(6) 完整性和保密性原則 –即個(gè)人數(shù)據(jù)必須通過(guò)安全的方式被處理，包括防止個(gè)人數(shù)據(jù)被未經(jīng)授權(quán)地處理或非法地處理以及個(gè)人數(shù)據(jù)被意外丟失、破壞及損毀等。

(7) 問(wèn)責(zé)制度原則 – 即數(shù)據(jù)控制者既要遵守上述原則，又要能夠證明其行為符合上述原則。

?

遵守上述原則不僅可以確保企業(yè)GDPR合規(guī)，還可能降低企業(yè)受到ICO高額罰款[1]的風(fēng)險(xiǎn)。

?

?

?

如上文所述，根據(jù)GDPR，處理個(gè)人數(shù)據(jù)必須合法。因此企業(yè)在處理個(gè)人數(shù)據(jù)時(shí)，必須滿足下列至少一項(xiàng)法定要求：

?

(1) 數(shù)據(jù)主體的"同意"；

(2) 為達(dá)成數(shù)據(jù)控制者或第三方所尋求的合法利益所必要；

(3) 為履行數(shù)據(jù)主體作為合同一方的合同所必要；

(4) 為履行數(shù)據(jù)控制者的法定義務(wù)所必要；

(5) 為保護(hù)某一自然人（包括數(shù)據(jù)主體）的重大利益所必要；以及

(6) 為了實(shí)現(xiàn)公共利益而執(zhí)行任務(wù)或履行數(shù)據(jù)控制者的公職所必要 。

?

一直以來(lái)，數(shù)據(jù)主體的"同意"是企業(yè)在處理個(gè)人數(shù)據(jù)時(shí)依據(jù)的主要法定要求。但自GDPR生效以來(lái)，其大幅度地提高了"同意"標(biāo)準(zhǔn)的門檻，使達(dá)到GDPR項(xiàng)下"同意"的標(biāo)準(zhǔn)更加困難。很多企業(yè)已經(jīng)不再將數(shù)據(jù)主體的"同意"作為其處理個(gè)人數(shù)據(jù)時(shí)所依據(jù)的默認(rèn)合法基礎(chǔ)，轉(zhuǎn)而尋找其他可依據(jù)的法定要求。

?

即便企業(yè)能夠基于"同意"這一法定要求來(lái)處理個(gè)人數(shù)據(jù)，其還需注意"同意"必須明確并有針對(duì)性，且是經(jīng)數(shù)據(jù)主體在充分知情的情況下自由作出。此外，數(shù)據(jù)主體表示其"同意"的行為必須明確且主動(dòng)，例如勾選相關(guān)選項(xiàng)或者點(diǎn)擊相關(guān)鏈接。

?

?

根據(jù)GDPR，當(dāng)數(shù)據(jù)控制者收集個(gè)人數(shù)據(jù)時(shí)，數(shù)據(jù)控制者需要告知數(shù)據(jù)主體其個(gè)人數(shù)據(jù)將會(huì)被如何處理，以符合GDPR所要求的合法、公平及透明的原則。

?

因此，當(dāng)作為數(shù)據(jù)控制者的企業(yè)在收集個(gè)人數(shù)據(jù)時(shí)，應(yīng)當(dāng)向數(shù)據(jù)主體（如企業(yè)的客戶或顧客）提供其個(gè)人數(shù)據(jù)將被如何處理的相關(guān)信息。通常企業(yè)會(huì)通過(guò)一份簡(jiǎn)潔易懂且易于獲取的"隱私聲明"提供相關(guān)信息。該隱私聲明可以以書面或電子的形式提供給數(shù)據(jù)主體。

?

根據(jù)Privacy and Electronic Communications Regulations 2003，如果作為數(shù)據(jù)控制者的企業(yè)的網(wǎng)站使用了cookies[2]，除某些例外情況外，企業(yè)應(yīng)當(dāng)告知數(shù)據(jù)主體cookies的存在并向數(shù)據(jù)主體解釋cookies存在的目的以及使用cookies的原因。一份詳細(xì)的cookies政策可以幫助企業(yè)實(shí)現(xiàn)上述目的，但企業(yè)在數(shù)據(jù)主體的電子設(shè)備（如電腦、智能手機(jī)等）上放置cookies之前，還須獲得數(shù)據(jù)主體的同意。通常，使用cookies的網(wǎng)站都會(huì)設(shè)計(jì)一個(gè)彈窗，當(dāng)網(wǎng)站訪問(wèn)者訪問(wèn)網(wǎng)站時(shí)，窗口自動(dòng)彈出，并詢問(wèn)訪問(wèn)者是否同意網(wǎng)站對(duì)其cookies信息的采集。網(wǎng)站訪問(wèn)者可以通過(guò)該彈窗主動(dòng)表示是否同意cookies的設(shè)定。

?

?

為符合GDPR項(xiàng)下的"問(wèn)責(zé)"原則，作為數(shù)據(jù)控制者的企業(yè)不僅要遵守GDPR，還需要進(jìn)一步證明其行為符合GDPR的規(guī)定。

?

為滿足這個(gè)條件，企業(yè)應(yīng)當(dāng)采取適當(dāng)?shù)募夹g(shù)和管理措施。常見(jiàn)的措施之一就是根據(jù)企業(yè)的實(shí)際情況制定并實(shí)施企業(yè)內(nèi)部與GDPR相關(guān)的政策與程序。除此之外，企業(yè)可以根據(jù)實(shí)際情況自愿地設(shè)置數(shù)據(jù)保護(hù)官（Data Protection Officer）并定期對(duì)員工開(kāi)展培訓(xùn)，使員工了解GDPR的相關(guān)內(nèi)容和企業(yè)內(nèi)部與GDPR相關(guān)的政策與程序從而提高企業(yè)員工的GDPR合規(guī)意識(shí)。企業(yè)可能實(shí)施的GDPR政策與程序包括（但不限于）：

?

(1) 提供給企業(yè)員工的隱私聲明；

(2) 與數(shù)據(jù)保護(hù)相關(guān)的企業(yè)員工義務(wù)政策；

(3) 數(shù)據(jù)泄露事件處理流程；

(4) 關(guān)于數(shù)據(jù)保存與清除的政策；以及

(5) 員工作為數(shù)據(jù)主體獲取其個(gè)人數(shù)據(jù)的流程。

?

作為責(zé)任主體，企業(yè)應(yīng)當(dāng)持續(xù)遵守"問(wèn)責(zé)"原則，因此企業(yè)應(yīng)當(dāng)定期審核、調(diào)整并更新這些措施。

?

?

需要提示的是，根據(jù)GDPR的規(guī)定，"共享"數(shù)據(jù)也是"處理"數(shù)據(jù)的一種形式。在共享個(gè)人數(shù)據(jù)之前，企業(yè)至少應(yīng)當(dāng)考慮以下幾個(gè)方面：

?

(1) 企業(yè)可以基于哪些法定要求與第三方共享個(gè)人數(shù)據(jù)？

(2) 企業(yè)是否已經(jīng)告知了數(shù)據(jù)主體其個(gè)人數(shù)據(jù)將被共享？

(3) 企業(yè)為何需要共享個(gè)人數(shù)據(jù)?

(4) 企業(yè)將要共享何種類別的個(gè)人數(shù)據(jù)？

(5) 企業(yè)將與哪些第三方共享個(gè)人數(shù)據(jù)？

(6) 接受共享的個(gè)人數(shù)據(jù)的第三方是否在歐盟境內(nèi)？

(7) 企業(yè)期待接受個(gè)人數(shù)據(jù)的第三方將會(huì)如何使用共享的個(gè)人數(shù)據(jù)？

(8) 接受個(gè)人數(shù)據(jù)的第三方是否采取了適當(dāng)技術(shù)和管理措施以滿足GDPR的要求？

?

如果企業(yè)會(huì)與第三方共享個(gè)人數(shù)據(jù)，那么企業(yè)需要明確其與該第三方在個(gè)人數(shù)據(jù)共享過(guò)程中分別扮演的角色，即明確數(shù)據(jù)控制者和/或數(shù)據(jù)處理者，因?yàn)檫@關(guān)系著企業(yè)與該第三方在GDPR項(xiàng)下的義務(wù)分配，同時(shí)也決定著哪些條款應(yīng)當(dāng)被包括在企業(yè)與該第三方關(guān)于個(gè)人數(shù)據(jù)共享的協(xié)議中。

?

此外，企業(yè)只有在滿足GDPR要求的、關(guān)于數(shù)據(jù)傳輸?shù)南嚓P(guān)規(guī)定時(shí)，才能將個(gè)人數(shù)據(jù)傳輸至EEA之外的國(guó)家（例如中國(guó)）。如果在英企業(yè)希望將其全部數(shù)據(jù)（包括收集到的個(gè)人數(shù)據(jù)）傳輸至其位于中國(guó)的總部，或是希望使用位于中國(guó)的云端服務(wù)器來(lái)處理（包括存儲(chǔ)）數(shù)據(jù)，那么企業(yè)必須在數(shù)據(jù)跨境傳輸前提供適當(dāng)?shù)谋Ｕ?/strong>，并且確保數(shù)據(jù)主體可以行使GDPR所賦予其的權(quán)利并得到救濟(jì)。簽訂一份包含歐盟委員會(huì)（European Commission）認(rèn)可的標(biāo)準(zhǔn)合同條款的合同為大多數(shù)企業(yè)選擇的做法，以滿足提供適當(dāng)?shù)谋Ｕ?/strong>的要求。