關於我們 | 新聞中心 | 聯絡我們 | 採購清單 採購清單 () | 我的HKTDC |
English 简体
Save As PDF 列印本頁
QQ空間

歐盟頒布新個人資料保護法指引

2018年1月24日,歐洲委員會頒布指引,協助市民及企業為《一般資料保護規例》(第2016/679號規例)做好準備。《一般資料保護規例》將於2018年5月25日生效。

協調統一及地域適用:歐委會闡明,與歐盟現有的資料保護規定比較,《一般資料保護規例》一項主要革新目的就是令法例更為協調統一。這套資料保護法例儘管較為嚴格,卻為在歐盟經營的企業確立了一個公平競爭的環境。《一般資料保護規例》不單為歐盟成員國提供一套統一的法規,同時也具備「地域適用」(territorial application)的性質,換言之,沒有在歐盟設立機構,但有向歐盟提供商品和服務,或是監察歐盟居民的企業,都必須遵守同樣的規則。因此,香港貿易商也須遵守這些資料保護法例。

提高市民的意識:已頒布的各種指引工具,包括有關《一般資料保護規例》的問與答,以及關於資料當事人權利的小冊子,解釋了資料保護規則如何有助市民掌控他們的個人資料,例如,市民(即資料當事人)有權向機構查詢他們的個人資料。指引列舉一個例子:「你從網上零售商購買了貨品,有權要求該公司告知所持有關於你的個人資料,包括名字、聯絡方法、信用卡資料,以及購物的日期和種類。」公司必須作好準備處理此類要求。

企業須做些甚麼? 在歐盟設有機構,或有向歐盟市民提供商品和服務,又或監察歐盟居民的香港企業,須遵守《一般資料保護規例》。首先,企業須確定《一般資料保護規例》對他們的適用程度。歐委會也提供有用的指引,指出機構先要認清他們持有甚麼個人資料、作何等用途及依據甚麼法律基礎使用這些資料。

此外,機構須與他們的資料處理服務供應商簽妥所需的合約,並對資料的國際轉移實施充分的保障措施。有些機構或須任命一名資料保護主任。

機構管理層須支持和致力遵守資料保護規例,並記錄合規情況(例如政策、程序和認證)。

准許個人資料作國際轉移的不同方式:雖然個人資料可以在歐盟成員國以及歐洲經濟區國家(即挪威、冰島和列支敦士登)之間自由流通,但《一般資料保護規例》覆蓋的個人資料,必須符合以下其中一個準則,才能轉移至第三國家(即歐盟/歐洲經濟區以外的國家):

  1. 獲認定有充分保護:歐委會可宣布,某個第三國通過其國家法例,已提供充分的個人資料保護。香港及中國內地仍未被歐盟認可。
  2. 有適切的保障措施:在未獲認定有充分保護的情況下,若有關機構能舉出第三國已有適當的個人資料保障措施,則可獲准許跨境轉移個人資料。這些適切的保障措施包括:
    1. 具約束力的企業規則(即跨國集團制訂並經歐盟監管機構授權的具約束力政策);
    2. 與個人資料的接收者有適當的合約安排,例如,採用經歐委會批准的標準合約條款(Standard Contractual Clauses);
    3. 遵守行為守則或認證機制,同時得到資料接收者作出具約束力和可執行的承諾,答應應用適切的保障措施保護轉移的個人資料。
  3. 其他條件:若上述準則都不適用,機構在特定情況下要轉移個人資料,可依靠其他條件,例如:獲得資料當事人明確同意;因執行合約而必需得到這些資料;為了設立、行使或捍衛一個法律聲明;機構為了令人信服的合法利益而需要這些資料,也沒有被資料當事人以其利益、權利和自由為理由作出否決。以這些除外條件為基礎而進行個人資料轉移,僅適用於「某些特定情況」,不適用於大量、結構性和重複性的資料轉移。
  4. 此外,《一般資料保護規例》准許國家監管機構採用附加標準條款(須獲得歐洲委員會批准)。

與歐盟成員國的資料處理公司合作:香港企業與歐盟公司合作,處理個人資料,必須採取措施以確保轉移獲《一般資料保護規例》保護的個人資料時,符合該規例的要求。舉例,香港企業若使用一家歐盟資料處理商(即為該香港企業處理個人資料的第三方),必須評估這項活動是否需要轉移個人資料。若要把個人資料從歐盟轉移至歐盟以外的接收人,該企業便要採取充分的保障措施。企業必須根據當下的具體情況,評估適切的保障措施。

國家法例能否阻止使用標準合約條款? 到目前為止,歐委會採納了3套標準合約條款,其中兩套為歐盟的資料管控機構轉移資料至歐盟以外的另一家資料管控機構而設;餘下1套是為歐盟的資料管控機構轉移資料到非歐盟的資料處理機構而設。

理論上,所有國家監管機構均受歐委會的決議(認定保障是否充分)和標準合約條款所約束。不過,由於在第三國的保護或未能得到保障,監管機構或須對資料當事人所作的投訴進行調查。事實上,這是基於歐盟法院的一次判決(Schrems, C 362/14),當資料當事人聲稱在第三國的現行法例和措施未能提供足夠的資料保護,監管機構可調查針對國際轉移而提出的索賠,並按照有關的索賠,裁定歐委會的決議和保障措施未能對相關個案的個人資料提供足夠保護。

不過,國家的監管機構不能推翻歐委會的決議,只有歐盟法院才有此權力。

香港企業如欲瞭解關於如何處理歐盟個人資料保護規例的問題,請參閱2018年1月24日頒布的指引詳情,以及歐委會提供的其他工具。假如仍未能找到答案,建議找律師事務所的專家幫忙。請注意,不遵守規例的公司,歐盟成員國當局徵收的罰款額可高達1,000萬歐元或企業全球營業額的2%,以較高者為準;或高達2,000萬歐元或企業全球營業額的4%,以較高者為準。罰款額是基於所違反的《一般資料保護規例》具體條款而定(請參閱《一般資料保護規例》第83條)。

資料提供 圖片:香港貿發局經貿研究
評論 (0)
顯示香港本地時間(格林尼治標準時間+8小時)

香港貿發局歡迎您發表意見。請尊重其他讀者,避免離題。
查看本局的發表評論政策

*發表評論(最多2,500字)