自然人在其私人数据被处理过程中应享有保障属于一项基本权利。私人数据保护权在被考量时应顾及其社会功能,并根据相称原则与其他基本权利平衡。目前技术的快速发展和全球化的趋势都对私人数据的保护形成新的挑战。而私人数据的收集和共享范围已大幅扩张。自然人越来越公开和全球化地提供其私人数据。2016/679法规于2016年4月27日投票通过且其将于2018年5月25日于所有成员国生效。其已经被批准成为一个联合法律框架,将取代旧的法律。该等框架的将在组织中设立涉及以下行为的一系列责任和限制:

  1. 在整个生命周期中处理私人数据
  2. 可能将私人数据转移到其他国家
  3. 保护自然人权利
  4. 私人数据安全(机密性、可得性和完整性)
  5. 出现侵权时需要进行的披露行为。

新法规下组织的责任有所增加,同时还设定了罚金和罚款的规模(不超过2,000万欧元或全球营业额的4%)。

集中、搜集、加工和处理一般性顾客、客户、员工、伙伴或其他自然人相关私人数据的政府组织及公共或私人公司将受该等法规管辖。只要该等数据与欧盟公民相关,不论上述组织成立于欧盟之内或之外,其都应受该等法规管辖。

受该等法规管辖的组织和公司必须:

  1. 遵从及遵守私人数据保护基本准则,并且出于具体及重要原因来收集该等数据。
  2. 不得以更新为理由通过不当方式对该等数据进行额外处理。
  3. 通过电子工具对数据方面的请求进行快速和免费回应;
  4. 若发生任何侵权事件,应保存相关记录并在72个小时内联系私人数据保护局。同时应直接与相关自然人沟通,或者通过公告发布。
  5. 对于在某些情况下于欧盟之外的数据转移而言,参与该等数据转移的控制方或处理方应遵守本规例中有关向第三方国家或国际组织转移私人数据的条款。
  6. 数据存储时间应尽可能短,并且应获得自然人的特别许可。
  7. 确定充分实施所有法规要求。

受GDPR管辖的公司在处理个人数据过程中将承担更多责任。其中包括制定数据保护政策,评估数据保护影响和制定相关数据处理方式文件。

根据GDPR,对个人数据的毁坏、遗失、更改、非授权披露或者获取都必须被报告给相关国家的数据保护监管者。

内部市场的正常运行需要私人数据能够在欧盟内自由流动,能够不受任何因为私人数据处理中对自然人保护的原因而被限制或者禁止。法规要求员工人数少于250的组织无需存档。此外,

法规所提供的保护适用于对自然人的私人数据的处理,不论该等自然人的国籍或居住地址。法规不涉及法人私人数据的处理,尤其是以法人方式成立的某项事业的私人数据,包括法人的名称和形式及其联络方式。

为规避重大风险,对自然人的保护应技术中立并且不得依赖其使用的技术。若私人数据被记录于或者将被用于录入档案系统中,对自然人的保护同样适用于以自动或手动方式对私人数据的处理。档案或者系列档案及其封面页不受具体构建标准管辖,亦不受法规管辖。

对相关措施的执行指引和控制方或处理方合规演示的指引,尤其是涉及到数据处理风险识别,风险来源、性质、概率和严重性评估,以及最佳风险缓解实务的指引,都已经在由理事会所提供的获批行为准则、执照或指导方针中详细列出,或已经由数据保护官员指出。理事会还会发布有较低概率会对自然人权利和自由造成高风险的处理操作指引,并且还会说明应采取何种措施来处理该等风险。

需采取符合法规要求的技术和组织措施以确保自然人的权利和自由在私人数据处理方面能够被保护。为能够证明其遵守法规,控制方的内部政策及措施应在设计上满足数据保护原则并且被默认为对数据进行保护。该等措施可包括(其他之外)简化私人数据处理流程、尽快将私人数据加密、在私人数据的功能和处理方面保持透明性、让数据主体能够监控数据处理以及让控制方能够推出和改善安全功能。在开发、设计、挑选和使用基于私人数据处理或通过处理私人数据来完成其工作的应用、服务和产品时,鼓励该等产品、服务和应用的生产商考虑数据保护权利,并且适当考虑目前技术水平以确保控制方和处理方能够实现其数据保护责任。数据保护设计和默认原则应在公共招标中被考虑。

因此,一个强大和更加连贯的数据保护框架是必须的。法规旨在对自然人提供一致性和高水平的保护,以及消除私人数据流动中的障碍。对权利和自由的保护应该是平等的。详细列明数据权利保护力度看上去是有效果的。与此同时,处理私人数据及决定该等处理流程的人士应遵守法规要求,并且持续监控并且保证合规,以尽量减少侵权。

Category通讯