2018年5月25日,欧洲联盟出台了《通用数据保护条例》。
对违法企业的罚金高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。
企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。
明文规定了用户的“被遗忘权”(rightto be forgotten),即用户个人可以要求责任方删除关于自己的数据记录。
【广东昊霖企业管理有限公司】
通用数据保护管理体系认证证书申报 通用数据保护条例
欧盟议会于2016年4月14日通过的《通用数据保护条例(GeneralData ProtectionRegulations)》(“GDPR”)将于2018年5月25日在欧盟成员国内正式生效实施。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如,即使一个主体不属于欧盟成员国的公司(包括免费服务),只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,其就受到GDPR的管辖。
GDPR的地域适用范围
欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大,位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。GDPR要求这些组织及时对GDPR的“合规”要求作出回应。
,GDPR适用于在欧盟境内设有业务机构(establishment)的组织,只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。
对“场地(location)”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动(小型活动即可)。法律形式(例如分公司或具有法人资格的子公司)并不是决定性因素。因此,在欧盟境内设有唯一代表即足以符合适用条件。
并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的(通常是同时具备上述两个特点,但必须始终满足此句所述条件)。如果业务机构的活动与母公司的活动密不可分(例如,业务机构存在的目的就是为了母公司的经济效益),则相关的个人数据处理行为就应当受到GDPR的规制。
因此,如果业务机构(例如分公司或联络代理)的活动与位于欧盟境外的组织进行的个人数据处理密不可分,则应当适用GDPR。
第二,如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。
如果非欧盟组织机构意图向欧盟境内个人提供商品或服务,则其将被视为在欧盟境内提供商品或服务。仅仅是能从欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多个成员国的语言和/或货币、来自欧盟客户(例如在网站上)的推荐、使用搜索引擎中针对一个或多个成员国的广告和/或使用域名(例如.eu或.nl)可能导致商品或服务被视为在欧盟境内提供。
第三,GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。
如果(尤其是)为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度,而在互联网上追踪这些个人,且在此过程中使用了处理技术来形成画像等,则构成监控行为。
目前尚不清楚监控行为到何种程度才适用GDPR。原则上,使用所谓的“追踪cookies”和监控使用的应用程序的网站在GDPR的适用范围内(只要该等网站处理个人数据)。欧洲法院近裁定,在某些情况下,动态IP地址也可视为个人数据。因此,存储动态IP地址日志数据的网站的所有者也可能受GDPR的规制。