2018年GDPR条例实施以后很多企业认识到,GDPR虽是欧盟法律,但有广泛的域外效力。根据GDPR第3条,对于在欧盟境内设有机构的企业,如其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR。对于未在欧盟境内设立机构的企业,如其向欧盟境内的个人提供商品或服务(无论是否需要付费)的过程中,或其对欧盟境内的个人发生于欧盟境内的行为进行监测的过程中,涉及对该等个人数据的处理,也应适用GDPR。鉴于GDPR广泛的区域范围,企业学习GDPR已经成为必要选择。
在一般人看来,企业为从用户处收集个人数据,要求用户在使用前阅读服务条款的做法是企业规避法律风险的选择,那么GDPR实施之后,企业按照规定,从数据主体处收集数据信息时的信息提供,应包含哪些内容?怎样做才合规?
GDPR第三章数据主体的权利第13条对此做了详细的说明。从数据主体处收集信息时的信息提供法律原文中共包含了4款主要内容, 其中第1款包含7点内容,主要讲,若数据控制者要向数据主体收集其个人数据,必须提供相应的信息以供数据主体确认其个人数据提供的安全性,第2款7点内容是在细节层面上,基于对于该个人数据透明性及程序性处理的要求。让我们结合GDPR条例原文一起来学习吧。
1、从数据主体处收集有关数据主体的个人数据时,数据控制者应当在获得个人数据时向数据主体提供以下所有信息:
a数据控制者的身份和详细联系方式,以及数据控制者代表人的身份和详细联系方式;
b数据保护官员的联系方式(如适用);
c个人数据的处理目的以及处理的法律依据;
d当处理是依据第6条第1款(f)项时,数据控制者或第三方追求的正当利益;
e个人数据的接收者或者接收者的类别(如果有的话);
f 数据控制者打算将个人数据转移到第三国或国际组织的事实,以及欧盟委员会是否就此问题做出过充分决议,或在本条例第46或47 条或第49条第1款第2小段规定的传输情形下,所采取的保护个人信息的合理且适当的安保措施以及获取该副本或该副本可共获取的方式(如适用)。
此项主要说明:根据欧盟GDPR,若数据控制者要向数据主体收集其个人数据,必须提供相应的信息以供数据主体确认其个人数据提供的安全性。
要向数据主体说明的内容包括:数据控制者(及其代表)自身的具体身份及联系方式;对该个人数据承担保护责任的数据保护官的具体联系方式;该个人数据的使用目的及合理的法律依据;必要时需提供数据控制者举动所基于的正当利益予以佐证;若存在个人数据的接收方,需提供接收者的类型或者具体个人;若控制者意图未来将该个人数据转移至第三国或者其他国际组织,必须提供详实的第三方保障措施、如何获取该个人数据等具体内容。
2、除第1款所述信息外,数据控制者应在获得个人数据时,为保证处理的公开和透明,应当向数据主体提供以下进一步信息:
a个人数据的储存期限,在无法确定的情形下,应当提供确定该期间的标准;
b向数据控制者请求访问、更正、删除个人数据或限制、拒绝其处理与数据主体相关的数据的权利,以及数据可携权;
c当处理基于第6条第1款(a)或第9条第2款(a)点时,则有随时撤回同意的权利,但此种权利不影响同意撤回前进行的处理的合法性;
d向监管机构提出申诉的权利;
e提供个人资料是否为法定或合约规定,或订立合约的必要条件,以及数据主体是否有责任提供个人数据,和无法提供数据时的可能后果;
f包括数据画像在内的本条例第22条第1款和第4款所述的自动决策机制,至少在这些情况下提供对数据主体的处理过程所涉及逻辑的有用信息以及处理的重要性和预计结果。
本项内容是说除了第一项所述数据控制者在获取数据主体个人数据时需要提供的信息外,细节层面上,基于对于该个人数据透明性及程序性处理的要求,数据控制者还应向数据主体提供第2款规定中更有针对性的信息。
内容包括:该个人数据即将被储存的期限,以及数据控制者以何种标准对确认该期限;数据主体所应享有的包括对个人数据的访问、更正、删除或者其他相关权利;当数据控制者的处理部位需要数据主体同意时,数据主体在特定情形下有撤回权利;数据主体在数据控制者不合规操作后对其监管机构进行申诉的权利;数据主体提供其个人数据的法律依据,是否为义务提供,以及其提供数据后可能导致的后果;在自动化决策情形下可能对数据主体的个人数据造成的影响。
3、如果数据控制者计划基于与收集个人数据目的不同的其他目的进一步处理个人信息的,数据控制者应当在进一步处理前向数据主体提供该其他目的信息以及第2款规定的任何相关的进一步信息。
本项主要是讲:数据控制者在变更或者超越数据主体最初同意的使用目的情形下,对数据进行操作时必须再次向数据主体提供该个人数据的最新处理方式,并获取数据主体的同意。
4、第1款第2款第3款不适用于数据主体已已经获得该类信息的情形。
由上可知 GDPR从数据主体处收集信息时的信息提供的合规工作涉及众多内容,从内部数据安全到跨境传输,以及事后的隐私政策和产品调整,是一个系统的工程。中小企业或欧盟业务量不大的公司可参考行业内领先公司的做法,但欧盟用户量大且用户不断增加的企业就要逐步进行系统的调整。GDPR合规不是一个人的工作,公司可以请外部律师或法务对公司涉及欧盟业务线的高管和骨干进行培训,同时也应对产品线和技术线员工进行GDPR相关内容的培训学习。
最后,文章内容由SCA安全通信联盟参考GDPR官方文档整理,欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。SCA始终关注安全通信和身份认证领域,为信息安全领域提供中立、专业的认证咨询服务。更多GDPR相关内容请点击下方链接查看。
