上述第2,7,8,9,10项参照成员国法作为数据处理的法律依据,GDPR允许欧盟成员国维持或引入更多条件,包括关于处理基因数据,生物识别数据或健康数据的限制。
【广东昊霖企业管理有限公司】
通用数据保护管理体系认证证书申报 数据保护管理限制
在这些方面,成员国之间的分歧可能会继续存在,也可能加深。
近,荷兰政府发布了一项对于实施法案的提议。根据本实施法案,处理个人敏感数据的条件仍与DPA的规定相似。
第二,当个人数据的处理可能给数据主体的权利或自由造成高风险时,相关组织有义务进行隐私影响评估(PrivacyImpactAssessment,“PIA”)。PIA的目的是识别此类高风险以及制定应对风险的措施。PIA必须在处理开始之前进行。
GDPR明确规定,在对个人敏感数据或与刑事记录和犯罪相关的个人数据进行大规模处理前,必须进行PIA。(我们将会在后续GDPR业务通讯中更详细地论述PIA)
第三,个人敏感数据的大规模处理可能要求数据控制者(或处理者)委派一位数据保护专员(DataProtection Officer,“DPO”)。我们将在的业务通讯中讲解DPO和PIA。
实务建议
就个人敏感信息处理而言,GDPR的生效将不会对现行做法产生实质性影响,乍看之下其变化似乎也是有限的。这些变化可能会对相关组织处理个人敏感数据的方式产生影响。涉及个人敏感数据处理的相关组织须审查现有的政策和做法,并确保:
1.在大规模处理个人敏感数据之前实施了PIA;
2.若基于同意处理个人敏感数据,则该等同意应满足GDPR项下的新要求。注意:在雇佣关系中,原则上,同意处理敏感数据不被认为是自愿作出;
3.根据需要委派DPO;
4.个人敏感数据的处理须满足相关成员国的条件(包括限制)。