关於我们 | 新闻中心 | 联络我们 | 采购清单 采购清单 () | 我的HKTDC |
English 繁體
Save As PDF 列印本页
QQ空间

欧盟实施新数据保障条例 港商势受影响

今年5月25日,新的《通用数据保障条例》(General Data Protection Regulation)在欧盟各国直接实施。新法例为保障个人数据建立整套协调一致的规则,取代原有关于数据保障的第95/46/EC号指令及各成员国的实施法例。

在欧盟成员国有利益或活动的香港卖家都受到新规则影响,违反相关规则可能会被重罚。该法例的要点如下。

《通用数据保障条例》适用范围广:该法例对个人数据提供保障。个人数据是指任何有关已识辨或可识辨的自然人(数据当事人)之数据。个人数据包括姓名、电话号码、电邮地址、IP地址及Cookie等直接识辨数据,以及兴趣、简历和位置数据等间接信息。上述定义与原有的第95/46/EC号指令一致。

重要的是,在《通用数据保障条例》下,欧盟数据保障法例框架涵盖的地域范围有所扩大,而在全球经营的香港公司也会受到影响。如果公司在欧盟提供商品或服务,或者监控数据当事人在欧盟内的行为,即使在欧盟没有实体存在,也须遵守该条例。监控行为包括使用Cookie来监控网上活动,并建立用户档案(即使不知道用户姓名)。

违规后果:《通用数据保障条例》属强制性,公司必须遵守,而且对其声誉至关重要。公司若未能履行该条例下的法律义务,可被处罚,包括罸款高达2,000万欧元,或其全球营业额的4%(以较高者为准)。数据保障主管当局也有权命令公司放弃或修改其违规的数据处理操作,此举可能导致公司的业务中断,损失不菲。

此外,任何数据当事人若因公司违规而受损,可通过集体诉讼等方式向该公司索偿。再者,世界各地日益认识到保障个人数据的重要性,因此,如果公司未能充分保障这些数据,不可避免会损害其声誉和业务。

遵守《通用数据保障条例》:在欧盟经营的香港企业很可能属于《通用数据保障条例》的适用范围,因此应评估这些规则对其业务的影响。尚未采取相关行动者,现应开始检讨及审核其数据保障政策和做法,以遵守条例列明的各项义务。

《通用数据保障条例》建基于现有理念之上,加强对收集和使用个人数据的要求。此外,条例还引入一些重大变化,特别是:

  • 管控人有义务记录为遵守《通用数据保障条例》所采取的措施和决定,以证明合规(即问责原则)。认证和行为守则可以帮助企业证明其遵守条例。
  • 许多公司应就处理个人数据的所有活动保存内部登记册。另一方面,欧盟多个成员国现行的数据处理活动强制登记或通报规定则予取消。
  • 关于取得个人「同意」的要求进一步收紧。因此,公司或要对取得同意的机制作出检讨和调整。
  • 《通用数据保障条例》更详细地说明须向当事人提供的信息,以及提供信息的方式。因此,香港企业应更新其向欧洲数据当事人发出的通告,包括网站政策、用户条款和细则,及/或员工通知。
  • 数据当事人的权利得到加强,并获授予新的权利。其中包括数据当事人有权将数据转移予另一处理人(即资料可携性),以及有权要求数据管控人在某些情况下(如撤回同意或没有其他处理其数据的法律依据时)删除其个人数据,不得无故拖延。香港企业须建立程式和流程来处理这些要求。
  • 公司必须就数据泄露(如个人数据意外或非法遗失、遭窃取、查阅或披露)发出通报。即是说,个人数据泄露情况须在72小时报告主管当局,特定情况下应通知有关个人。
  • 此外,数据处理人(即代表其他公司处理个人数据的公司)应就遵守《通用数据保障条例》下的各项义务直接负责,并承担责任,包括确保个人数据在技术及组织上得到保障。管控人也须更新与处理人之间的合同。
  • 对香港公司而言,重要的是《通用数据保障条例》规定在欧盟以外成立的公司须在欧盟成员国委任代表。

个人数据存放地点:《通用数据保障条例》没有规定所有个人数据必须保存在欧盟内,然而,如果个人数据传送到欧盟以外地区,管控人应确保这些数据在技术和法律上得到与欧盟类似的保障水平。如果公司将个人数据从欧盟转移到没有列入白名单的第三国(地区),除非适用特殊的减损条款,否则他们必须订立数据转移协议,包含欧委会(或某成员国的主管当局)的标准合同条款;遵循经批准的行为守则;或采用集团内部的企业自我约束规则(Binding Corporate Rules)。欧洲委员会没有把香港或中国内地列入白名单。

总之,从2018年5月25日起,欧盟数据保障规则的适用范围及其影响发生重大变化,可能适用于香港公司及其在欧盟的附属公司。香港企业必须采取适当措施以遵守《通用数据保障条例》,并作好准备,以防欧盟成员国主管当局加强执法以及数据当事人提出质疑或投诉。

资料提供 图片:香港贸发局经贸研究
评论 (0)
显示香港本地时间(格林尼治标准时间+8小时)

香港贸发局欢迎您发表意见。请尊重其它读者,避免离题。
查看本局的发表评论政策

*发表评论(最多2,500字)