如何应对史上最严欧盟数据保护条例（DSGVO）？

admin

2018年5月25日起，欧盟数据保护条例（DSGVO）（英文名称General Data Protection Regulation， GDPR）正式生效，DSGVO的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，是欧盟20多年来对数据保护法进行的力度最大的改革。从此所有相关方面都必须满足法律要求。基于该条例所应采取的准备以及调整将给在德国（欧洲）的企业和个人带来巨大的压力。为了能够及时并且有条不紊的应对新数据保护法下带来的法律上的重大变化，我们将手把手协助您理解以及应对新数据保护法。

欧盟数据保护新规的历史背景
这部新规是对1995年的《数据保护指令》的修订、拓宽以及升级。随着互联网在过去20多年的快速发展，当时制定的法律也在不断显现出其漏洞，更新和拓展法律的需求逐渐加剧。在过去20多年中欧盟在1995年的《数据保护指令》基本框架上，不断通过了不同的数据保护修正指令来完善对个人用户数据的保护。

2012年1月25日，欧盟委员会开始了对DSGVO草案的讨论。2018年5月25日，欧盟数据保护条例正式生效。新的数据保护法在对用户数据的保护范围、法规管辖范围、罚金数额等方面都有了巨大的变化。

欧盟数据保护条例的适用范围
1.   适用于完全或者部分以全自动和半自动个人数据的处理。这表示，任何电子数据处理工作，包括通过电脑、服务器网络、笔记本、智能手机、移动平板电脑、摄像机、打印机等。
2.   适用于对（存储在一个文件系统的）个人数据的非自动方式的处理，包括电子化存储个人数据以及模拟、手动存档和类似的文件档案和索引卡。
3.   个人数据是指任何指向一个已识别或者可识别的自然人的信息。可识别的自然人能够被直接或者间接的识别。对于法人来讲，适用于其作为联系人或者负责人的自然人。
4.   不适用于由自然人在纯粹的个人或家庭活动的过程中。
5.   本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不管其实际数据处理行为是否在欧盟内进行。
6.   本例适用于为欧盟内的数据主体提供商品或者服务，或对发生在欧盟范围内的数据主体的活动进行监控，即使数据控制者或处理者不在欧盟设立。这意味着：非欧盟企业也需考虑自身是否受新法规规限，以及如何做到合规。

对违规行为的处罚
违反欧洲数据保护条例的最高罚款将最高达2000万欧元，或者企业全球营业额的4%。

如何应对？遵循新数据保护法，企业必须采取的步骤：
1. 公司领导层和员工必须重视、了解数据保护法律法规的变化，以及对其公司业务的影响。管理层应该指定相关人员制定计划以落实各项要求，对员工进行培训，使员工了解如何在业务过程中做到合规以及如何去做。我们ECOVIS Beijing可以为您和您的公司制定计划，计划包括：对现今状况的评估，包括审查公司是否已有数据保护文档（程序指南、事先核查、数据保护方针、信息技术安全方针、工作以及工作程序指南）；适用的法律依据；是否有数据保护管理架构（技术上和组织上的措施）；委托了哪些服务商进行数据处理；公司内部是否就雇员数据保护制定协议等。

2. 新数据保护条例对个人数据处理做出了更严格以及详细的规定：应当以合法的、合理的和透明的方式处理个人数据；个人数据的收集应该具有具体的、清晰的和正当的目的；个人数据的处理应当是为了实现目的适当的、相关的、必要的（数据最小化）；个人数据应当是准确的，如有必要（特别是服务商）必须及时更新客户个人数据。对于能够识别数据个体的个人数据，其储存时间不得超过实现其处理目的所必需的时间，我们建议企业，尽量将数据存储时间缩短，一旦数据不再对公司有用，就应该及时删除；处理过程应确保数据安全，避免发生外泄、意外损坏等。新条例规定，数据控制者还必须对遵守以上规定提供证明。

3. 根据数据保护条例的规定来决定是够需要指定一名数据保护专员（Datenschutzbeauftragte）来实施DSGVO合规计划并检测合规情况。此专员应担任数据保护管理架构的负责人，直接向公司管理层汇报，制定各项措施来确保合规，对雇员进行告知、培训、提供建议。例如在已下任一情形下，应当委任数据保护专员：由公共机构或公共实体进行数据处理操作的；公司内大规模（例如超过10名雇员）长期以自动方式处理个人数据的；处理特殊种类数据，比如健康信息数据等的。数据保护专员可以是内部雇员（除了公司持有人、总经理、代理人、人事部主管、信息技术部主管、行政管理人员、电子数据处理人员、销售部主管以及配偶），或者指定外部人员。数据保护专员必须具有数据保护法律与实践的专业知识。如果是属于外聘的、以合约方式指定的数据保护专员，企业应将其聘请合同按照新的法律框架进行更新。ECOVIS Beijing有专业的律师以及信息技术专家团队作为您的数据保护专员。

4. 处理者开展数据处理时应该受合同与协议的约束，这类合同应当规定处理者所负责任、主题事项、处理期限、处理性质和目的、个人数据类型、数据主体类型和控制者的责任和权力。此类合同应规定，只有在收到控制者的书面指示时才可以处理个人数据，在涉及到将个人数据转移到第三国时同上。因此，企业必须要进行必要的合同管理，检查各项合同中的数据保护规范以及责任。并且，企业应检查与服务商的委托合同。如果委托了服务商处理个人数据，必须与其订立一份《委托数据处理合同》，所有新合同都要符合新数据保护条例的规定。并且企业要确保服务商依照合同执行一切有必要的措施以满足合规性要求。新条例生效后，向第三国传输数据可能会成为首批被检查的重点对象，因此企业必须确保向第三国的个人数据传递符合法规。

5. 企业应采取适当技术手段与措施，以保证达到同风险相称的数据安全水平：包括个人数据的匿名化和加密；在遭受物理性或技术性事件时，有能力恢复对个人数据的获取和访问；具有以保证安全为目的的常规性测试等。我们建议企业检查其信息技术方面是否有补充或者升级空间，以达到数据安全合规。

6. 建立新的流程，建立数据保护政策，开展适当的技术措施和有组织性的措施保证具有应对风险的合理安全水平。企业必须引入相应流程，比如相关人员权利的实现（比如信息问询），删除数据的期限（被遗忘权）, 经过声明的申诉权，以及数据的可携带性以及当数据外泄时向监管机构的报告义务等。

7. 建立一个数据保护后果评估机制（Datenschutzfolgenabschätzung），当某种类型的处理（特别是新技术的运用）很可能对自然人的权利和自由带来高风险时，控制者应当在处理之前评估计划的处理过程对个人数据保护的影响。如委任数据保护专员的，应向其进行咨询。

ECOVIS BEIJING的服务
面对新数据保护条例带来的变动，我们ECOVIS Beijing协助您和您的企业应对挑战。新数据保护条例要求的并不只是信息技术上的合规，更重要的是法律上的合规，我们的律师团队面向各种规模的企业提供咨询：我们首先会在初步的咨询中针对具体的问题告知您，此些问题是否与数据保护有关以及需要法律咨询的程度。

我们提供以下服务，您可以按照您的需求选择：

·        为公司员工就相关的数据保护条例的更新进行培训（讲座、指南、基本准则以及企业规章）
·        为具体负责人的相关人士的培训研讨会（公司主管、数据保护专员）、能力培训、风险管理、责任问题等
·        数据保护的更新讲座（为公司主管、数据保护专员等相关人士）
·        与法例合规的数据处理的建立、检查以及优化，评估责任风险，评估优化的可能性
·        针对当数据外泄向监管机构报告的责任，提供法律咨询并协助建立合法程序
·        建立一个数据保护后果评估机制





Richard Hoffmann （作者）

理查德·霍夫曼先生是ECOVIS Beijing的合伙人之一，拥有法学硕士学位，是一位处理复杂法律和税务问题的专家。迄今为止，他已经在众多国际性期刊杂志上发表了五十余篇文章，并频繁被邀出席国内外的重要场合。霍夫曼先生有超过十年的与各国公司合作的经验，他熟知英语、德语与中文三门语言。更多详细信息，请联系richard.hoffmann@ecovis-beijing.com

ECOVIS Beijing是来自于德国的国际性咨询集团，在全球68个国家拥有超过7000位专业人员。集团服务重点和核心竞争力在于审计、税务、法律及企业管理领域的专业咨询服务。了解更多关于中国税收和法律的信息，敬请订阅我们的新闻通讯或通过电话(+49 (0) 6221-9985639)及电子邮件(service@ecovis-beijing.com)进行直接沟通。
联系方式：


http://www.ecovis-beijing.com/zh/
中国北京办公室：
北京市朝阳区东方东路19号亮马桥外交办公大厦，D1号楼，1105室，100600
联系电话：0086 10 6561 6609
E-Mail: service@ecovis-beijing.com

德国海德堡办公室：
Lenaustrasse 12, 海德堡，69115， 德国
联系电话：0049 6221 9985 639
E-Mail: richard.hoffmann@ecovis-beijing.com