关於我们 | 新闻中心 | 联络我们 | 采购清单 采购清单 () | 我的HKTDC |
English 繁體
Save As PDF 列印本页
QQ空间

欧盟颁布新个人资料保护法指引

2018年1月24日,欧洲委员会颁布指引,协助市民及企业为《一般资料保护规例》(第2016/679号规例)做好准备。《一般资料保护规例》将于2018年5月25日生效。

协调统一及地域适用:欧委会阐明,与欧盟现有的资料保护规定比较,《一般资料保护规例》一项主要革新目的就是令法例更为协调统一。这套资料保护法例尽管较为严格,却为在欧盟经营的企业确立了一个公平竞争的环境。《一般资料保护规例》不单为欧盟成员国提供一套统一的法规,同时也具备「地域适用」(territorial application)的性质,换言之,没有在欧盟设立机构,但有向欧盟提供商品和服务,或是监察欧盟居民的企业,都必须遵守同样的规则。因此,香港贸易商也须遵守这些资料保护法例。

提高市民的意识:已颁布的各种指引工具,包括有关《一般资料保护规例》的问与答,以及关于资料当事人权利的小册子,解释了资料保护规则如何有助市民掌控他们的个人资料,例如,市民(即资料当事人)有权向机构查询他们的个人资料。指引列举一个例子:「你从网上零售商购买了货品,有权要求该公司告知所持有关于你的个人资料,包括名字、联络方法、信用卡资料,以及购物的日期和种类。」公司必须作好准备处理此类要求。

企业须做些甚么? 在欧盟设有机构,或有向欧盟市民提供商品和服务,又或监察欧盟居民的香港企业,须遵守《一般资料保护规例》。首先,企业须确定《一般资料保护规例》对他们的适用程度。欧委会也提供有用的指引,指出机构先要认清他们持有甚么个人资料、作何等用途及依据甚么法律基础使用这些资料。

此外,机构须与他们的资料处理服务供应商签妥所需的合约,并对资料的国际转移实施充分的保障措施。有些机构或须任命一名资料保护主任。

机构管理层须支持和致力遵守资料保护规例,并记录合规情况(例如政策、程序和认证)。

准许个人资料作国际转移的不同方式:虽然个人资料可以在欧盟成员国以及欧洲经济区国家(即挪威、冰岛和列支敦士登)之间自由流通,但《一般资料保护规例》覆盖的个人资料,必须符合以下其中一个准则,才能转移至第三国家(即欧盟/欧洲经济区以外的国家):

  1. 获认定有充分保护:欧委会可宣布,某个第三国通过其国家法例,已提供充分的个人资料保护。香港及中国内地仍未被欧盟认可。
  2. 有适切的保障措施:在未获认定有充分保护的情况下,若有关机构能举出第三国已有适当的个人资料保障措施,则可获准许跨境转移个人资料。这些适切的保障措施包括:
    1. 具约束力的企业规则(即跨国集团制订并经欧盟监管机构授权的具约束力政策);
    2. 与个人资料的接收者有适当的合约安排,例如,采用经欧委会批准的标准合约条款(Standard Contractual Clauses);
    3. 遵守行为守则或认证机制,同时得到资料接收者作出具约束力和可执行的承诺,答应应用适切的保障措施保护转移的个人资料。
  3. 其他条件:若上述准则都不适用,机构在特定情况下要转移个人资料,可依靠其他条件,例如:获得资料当事人明确同意;因执行合约而必需得到这些资料;为了设立、行使或捍卫一个法律声明;机构为了令人信服的合法利益而需要这些资料,也没有被资料当事人以其利益、权利和自由为理由作出否决。以这些除外条件为基础而进行个人资料转移,仅适用于「某些特定情况」,不适用于大量、结构性和重复性的资料转移。
  4. 此外,《一般资料保护规例》准许国家监管机构采用附加标准条款(须获得欧洲委员会批准)。

与欧盟成员国的资料处理公司合作:香港企业与欧盟公司合作,处理个人资料,必须采取措施以确保转移获《一般资料保护规例》保护的个人资料时,符合该规例的要求。举例,香港企业若使用一家欧盟资料处理商(即为该香港企业处理个人资料的第三方),必须评估这项活动是否需要转移个人资料。若要把个人资料从欧盟转移至欧盟以外的接收人,该企业便要采取充分的保障措施。企业必须根据当下的具体情况,评估适切的保障措施。

国家法例能否阻止使用标准合约条款? 到目前为止,欧委会采纳了3套标准合约条款,其中两套为欧盟的资料管控机构转移资料至欧盟以外的另一家资料管控机构而设;余下1套是为欧盟的资料管控机构转移资料到非欧盟的资料处理机构而设。

理论上,所有国家监管机构均受欧委会的决议(认定保障是否充分)和标准合约条款所约束。不过,由于在第三国的保护或未能得到保障,监管机构或须对资料当事人所作的投诉进行调查。事实上,这是基于欧盟法院的一次判决(Schrems, C 362/14),当资料当事人声称在第三国的现行法例和措施未能提供足够的资料保护,监管机构可调查针对国际转移而提出的索赔,并按照有关的索赔,裁定欧委会的决议和保障措施未能对相关个案的个人资料提供足够保护。

不过,国家的监管机构不能推翻欧委会的决议,只有欧盟法院才有此权力。

香港企业如欲了解关于如何处理欧盟个人资料保护规例的问题,请参阅2018年1月24日颁布的指引详情,以及欧委会提供的其他工具。假如仍未能找到答案,建议找律师事务所的专家帮忙。请注意,不遵守规例的公司,欧盟成员国当局征收的罚款额可高达1,000万欧元或企业全球营业额的2%,以较高者为准;或高达2,000万欧元或企业全球营业额的4%,以较高者为准。罚款额是基于所违反的《一般资料保护规例》具体条款而定(请参阅《一般资料保护规例》第83条)。

资料提供 图片:香港贸发局经贸研究
评论 (0)
显示香港本地时间(格林尼治标准时间+8小时)

香港贸发局欢迎您发表意见。请尊重其它读者,避免离题。
查看本局的发表评论政策

*发表评论(最多2,500字)