二 十一世纪的数据就相当于十八世纪的石油,是一份巨大的还未被开发的宝贵资源。我们生活在数据经济时代,数据资料十分珍贵。数据是使得所有事情更加顺畅运作的关键因素。无论政府还是企业,都将数据视作为公司财富。产品数据、消费者数据的共享为向上销售、交叉销售的提高提供了更多的机会;内部数据以及外部(公共)数据的结合使用为全球各地的公司在各种新业务中开创新产品、新服务提供了无限可能。信息时代若没有数据,那么世界的进程将会停滞。
然而,特定的信息常常涉及敏感的个人数据,并且在多数国家隐私权是宪法性权利。隐私权变得越来越重要,同时也引起了欧盟立法者的高度重视。最近几年,隐私合规已经成为隐私安全监管当局以及相关法律部门的第一审核要务。这意味着在欧洲,若公司违反隐私保护相关的法律,将会面临巨额罚款,罚款金额可高达一千万欧元或公司在全球范围内的营业额的百分之二;侵权行为特别严重的,罚款金额甚至高达两千万欧元或公司在全球范围内的营业额的百分之四。
不仅如此,公司还会被列入“黑名单”受到有关机构的重点调查,其侵权行为也将因被媒体曝光而公布于众,相关责任人个人和相关管理层也可能要承担个人连带责任。
我们将从以下三方面简单介绍隐私保护立法是如何具体增加公司隐私保护合规义务的。
1. 数据泄露的风险
若数据使用不当,也会带来负面影响,比如公司或个人遗失了未加密的USB存储盘、手提电脑被盗或者社交网站被侵入等都有可能导致公司或个人巨大的损失。为了防止类似情况发生而导致数据泄露,荷兰《数据泄露通知义务法案》于今年生效并对数据泄露情况进行规定。自二零一六年一月一日起,所有可能导致个人隐私数据被披露给第三方的数据泄露安全事故,都必须向荷兰数据保护当局(以下简称为”DDPA”)报告,在一些情况下,甚至必须向每个数据主体报告。所有企业、组织在发现隐私数据泄露时必须立即采取措施并必须在七十二小时内向DDPA报告。在一些情况下,还必须向与数据主体报告。如果公司没有报告相关数据泄露事故,公司将面临最高高达八十二万欧元或该公司年净营业额的百分之十(每起违反案件)的罚款。根据规定,一旦发现隐私泄露,相关人士必须立即报告,所以当企业发现隐私泄露后再去做行动计划补救为时已晚。因此,我们建议每一个在荷兰经营的企业都需预先准备计划安排以应对和深入了解和准确判断所有可能导致数据泄露的情况,并对员工进行相关的培训。
2. 雇员/消费者隐私保护
DDPA另一关注焦点在雇员以及消费者隐私保护。许多公司已经习惯向外国关联机构或它的母公司披露员工信息(例如姓名、生日、账号信息等)或客户资料。通常这些公司的总部和关联公司位于中国或美国。不论是以电子文件的方式还是以纸质或传真的方式披露客户或员工的隐私数据都会被认定为数据泄露。敏感的隐私数据输出到欧盟以外的国家,都必须采取更加严格的隐私保护措施和有相应的合规合同才可以进行。
唯一能够避免适用更加严格的隐私保护规则的条件是数据流向的国家被欧盟认可且在隐私保护方面与欧盟有着同等的保护水平。遗憾的是,只有少数的几个国家被欧盟认可与欧盟隐私保护水平相当(比如瑞士),而中国和美国都不在该名单上。如果公司没有根据新生效的《欧盟数据保护一般条例》采取相应的合规措施或有任何违规行为,公司将面临最高高达一千万欧元甚至两千万欧元或公司全球年净营业额的百分之二到百分之四的罚款(每起违反案件)。就将数据传输至美国而言,原有的《避风港协议》已经被更加严格的《欧美数据隐私护盾协议》(Privacy Shield)替代。但是据预测在二零一六年五月二十四日《欧盟数据保护一般条例》正式生效之后,《欧美数据隐私护盾协议》将很难再获得欧盟法院的支持。
这意味着那些已习惯向欧洲以外的国家(如中国、美国等)披露传递信息的公司需要制定更加严格的公司内部程序或合同来确保他们的行为符合法律规定。除此以外,许多公司通过使用软件来控制及核实员工的邮件及网络行为以减少数据泄露的风险。在荷兰,若企业使用上述软件,必须经过职工大会或每个员工的同意,否则可能会受到高额的罚款。
3. 减少隐私问题所产生的影响
为避免任何信息泄露以及确保安全使用数据,对于经常处理大量信息流的公司而言,我们建议在产品以及服务开发阶段就考虑隐私限制。这被称为“从设计之初保护隐私”。“从设计之初保护隐私”要求在开发前期,就将隐私和数据保护纳入具体技术设计、商业实践以及基础设施建设里作为保护隐私的一种方法。这意味着在公司开始设计或开发新产品、新服务时就要考虑以及意识到隐私问题可能产生的影响。如果公司根据上述方法操作并采取适当的数据保护措施(尽可能减少隐私问题带来的影响),那么公司已经在这一方面符合了GDPR的规定(GDPR现已替代原有一九九五年的《欧盟数据保护指令》)。
GDPR旨在进一步统一以及加强欧盟范围内的数据保护力度,该规则直接适用于所有欧盟成员国,并且已经在二零一六年五月二十四日正式生效。但由于该新条例引入了许多新义务,在欧盟有经营的企业可以有两年的时间以适应并确保自身符合《欧盟数据保护一般条例》的规定。GDPR将于2018年5月 25日正式在欧盟各国适用,如果公司没有根据新生效的《欧盟数据保护一般条例》采取相应的合规措施或有任何违规行为,公司将面临最高高达一千万欧元甚至两千万欧元或公司全球年净营业额的百分之二到百分之四的罚款(每起违反案件)。
END
关于荷兰凯拓国际律师事务所
荷兰凯拓律师事务所(以下简称凯拓)由荷兰司法部和国防部原部长Korthals先生和荷兰鹿特丹市律师协会原主席、荷兰知名律师Kneppelhout先生于1979年成立。经过数十年的发展,凯拓已拥有近百名律师及其他专业人员,作为荷兰律所中居于领先地位的综合性国际律师事务所之一,在同行和商界中赢得了很高的声誉和评价,是一家公认的服务品质一流、收费合理的律师事务所。
“一站式”法律服务
凯拓为客户提供“一站式”的法律服务,法律领域主要包括工业和国际贸易、物流、知识产权、信息通信和技术、破产法、竞争法、反倾销法、公司法、海关、保险、劳工法、移民法、海商法、行政和房地产法、诉讼与仲裁等。
|