ZH 
EN 
IT 
很快,2018 年 5 月 25 日,歐盟通用數據保護條例(GDPR) 將生效。 GDPR 旨在協調整個歐盟的數據隱私法並保護歐盟“數據主體”的數據隱私。
這對澳大利亞企業意味著什麼?
GDPR 適用於任何持有、控製或處理歐盟數據主體的個人數據,或監控歐盟數據主體行為(包括網站跟踪)的企業,無論該企業位於何處。這意味著任何在歐盟設立企業、經營向歐盟個人提供商品或服務的企業(無論是否需要付款)或處理歐盟數據主體的個人信息的任何澳大利亞實體都可能需要遵守法律(您可以在此處查看歐盟成員國列表,現階段仍包括英國 [ https://europa.eu/european-union/about-eu/countries_en])。沒有做出任何努力向澳大利亞境外的任何人推銷或提供服務的澳大利亞企業,其費用必須以澳元支付,將不受歐盟 GDPR 的約束,僅僅因為歐盟數據主體要求該企業將產品運送到他們在歐盟。
誰是歐盟“數據主體”? GDPR 沒有給出該術語的具體定義,但將 GDPR 的各個條款放在一起閱讀時,可提供以下指導:
- 數據主體是指在處理其個人數據時實際在歐盟境內的任何人。這包括在假期訪問歐盟國家的任何人;和
- 如果數據主體移出歐盟邊界(暫時或永久),則他們在歐盟以外處理的個人數據不受歐盟 GDPR 的保護,並且就該數據而言,他們不再是數據主體,除非數據正在由在歐盟成立的組織處理或控制。
雖然澳大利亞幾十年來一直有隱私立法( 1988 年隱私法 (Cth)) 並且最近推出了一項應通報的數據洩露計劃,GDPR 更為全面,超出了澳大利亞隱私法規的要求。遵守的時間框架要短得多,對不遵守的懲罰要高得多。
GDPR 包括以下義務:
- 進行數據保護影響評估;
- 獲得個人自由給予的、具體的、知情的和明確的同意(GDPR 不允許預先打勾或選擇退出的同意);
- 為數據處理和保護實施適當的技術和組織措施;
- 在具有某些規定條款的合同中記錄數據控制者和數據處理者之間的關係(IT 服務提供商可被視為數據處理者);
- 任命數據保護官員以監督合規性並提供建議;
- 數據最小化(即停止收集任何非必要數據);
- 允許個人撤回同意並要求刪除數據(包括“被遺忘權”義務);
- 個人數據的海外傳輸(只能向提供足夠數據保護水平的國家或組織進行);和
- 強制性數據洩露通知計劃(要求在 72 小時內通知,與澳大利亞的“盡快”要求不同)。
GDPR 還要求 GDPR 涵蓋但未在歐盟設立的數據控制者和處理者指定一名在歐盟成員國設立的代表作為歐盟監管機構和個人就與數據處理相關的所有問題(某些例外情況確實適用)。
重要的是,對於僱傭歐盟數據主體(直接或通過歐盟子公司)、將員工借調到歐盟或經營全球薪資業務的澳大利亞企業而言,GDPR 下的豁免與 GDPR 下的豁免類似 1988 年隱私法 (Cth) 免除員工個人信息的法律。位於歐盟的個人的所有個人身份信息都屬於 GDPR 的範圍。
GDPR 在收集數據(包括收集員工數據)之前對披露提出了更嚴格的要求。必須向歐盟數據主體提供隱私聲明,其中包括:
- 收集的個人資料類別;
- 處理個人數據的預期目的;
- 處理個人數據的法律依據;
- 個人數據的預期接收者;
- 個人資料的保留期限;
- 該人要求訪問、更正或刪除個人數據的權利;和
- 該人有權限制個人數據的處理。
與澳大利亞立法一樣,某些類別的信息被視為敏感信息,並受到更嚴格的保護(例如,生物特徵數據、種族或民族血統、性取向、健康數據、宗教、工會會員資格、政治觀點)。對於雇主而言,除非處理屬於例外情況,否則將禁止處理此類數據。
不遵守 GDPR 的後果很嚴重,最高可處以 2000 萬英鎊或 4% 全球營業額的罰款(以較高者為準),此外還有其他制裁措施,包括停止在歐盟交易的能力。
澳大利亞企業需要仔細考慮他們是否持有、控製或處理歐盟數據主體的個人數據,因此他們是否需要遵守 GDPR。如果此類活動對商業活動不是必需的,澳大利亞企業應重新考慮進行此類活動。如果此類活動對商業活動必不可少,則澳大利亞企業需要問自己以下問題:
- 我們是否可以控制收集到的歐盟公民的個人數據?
- 如何以及何時同意收集、持有和使用獲得的數據?
- 數據是如何使用的?
- 數據如何以及向誰披露?
- 我們是否準備在監管機構要求時向其提供 GDPR 合規性的證據?
- 我們是否進行了數據保護影響評估?
- 我們是否有符合 GDPR 72 小時通知要求的數據洩露響應計劃?
- 到 2018 年 5 月 25 日,我們是否有 GDPR 合規路線圖?
SLF Lawyers 可以幫助您確定您是否必須遵守 GDPR 並製定合規策略。如果您需要有關本文中任何內容的任何建議或更多信息,請聯繫我們辦公室的 Steven Morris 或 Jennifer Ingrey。
