通过易捷航空(EasyJet)数据泄露事件重温《通用数据保护条例》(GDPR)

更多精采内容请下载官方APP: 苹果(iPhone)安卓(Android)安卓国内下载(APK)
我们如今生活在一个由数据驱动的世界,对个人数据的保护变得尤为重要。近期发生的易捷航空(EasyJet)数据泄露事件导致了易捷航空约900万用户的个人信息被泄露。
在引起被涉及个人及广大围观群众震惊之余,此事件也给众多在英中资企业敲响了警钟,提醒企业应当重新检查现有的安全系统,以确保其安全系统无论在任何情况下均能安全地处理和储存个人信息。

引言

我们了解到,在英国疫情封锁期间,英国信息专员办公室(Information Commissioner’s Office,以下简称“ICO”)延迟了对英国航空(British Airways)以及万豪国际(Marriot International)因数据泄露相关问题而被处以巨额罚款(分别为1亿8939万英镑和9920万的罚款)的最终决定日期。但这并不意味着在英中资企业可以在此期间忽视企业对个人数据保护的合规工作。即使是在当前全球疫情大流行的背景下,企业也应当时刻遵守于2018年5月生效的欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)。
事实上,由疫情导致的封锁为在英中资企业创造了一个评估其是否GDPR合规的最佳时机。相关企业可以借助疫情封锁期间对其目前的数据保护情况进行充分评估,并采取相应措施使其GDPR合规,以避免自身遭受ICO的调查及罚款。
根据GDPR的相关规定,GDPR的适用效力并不仅局限于欧洲经济区(European Economic Area,以下简称“EEA”)内,其在一定程度上具有域外适用效力。本文旨在通过易捷航空数据泄露事件,帮助读者重温GDPR,并从在英企业的角度,协助在英中资企业了解如何做到GDPR合规。

GDPR的适用范围

正如前文所述,GDPR具有一定的域外适用效力,GDPR适用于在EEA内设立的数据控制者数据处理者对于个人数据的处理。同时,如果数据控制者数据处理者设立于EEA外,但其在向位于EEA内的数据主体提供商品或服务、或监控位于EEA内的数据主体的行为时处理了该数据主体的个人数据,那么GDPR也同样适用。

GDPR的保护对象

GDPR的保护对象为数据主体,即已识别的或可识别的自然人。GDPR旨在赋予数据主体相关权利并为其提供相关保护。相关权利包括知情权(即数据主体有权得知其个人信息被收集及使用)、删除权(即数据主体有权要求个人数据被删除)以及信息获取权(即数据主体有权获取其个人数据及其他相关信息)等。

GDPR适用的数据类型

GDPR仅适用于个人数据,其并不适用于除自然人外的任何其他法律实体的数据。个人数据是一个非常宽泛的概念,包括了任何与数据主体相关的信息,例如:
·   姓名
·   身份证件编号
·   定位信息
·   网络身份识别信息
·   其他任何有关个人身份的信息
除了上述个人数据之外,GDPR还适用于“特殊种类”个人数据(以下简称“特殊数据”),例如涉及到数据主体的种族、民族、政治倾向、宗教信仰、基因信息、生物信息和健康方面的数据。如果企业需要处理任何特殊数据,那么除了需要建立数据处理的合法基础外(详见下文),还需要确保GDPR规定的额外条件得以满足,常见的额外条件包括取得数据主体明示同意。

GDPR下责任和义务的承担主体

广义地说,GDPR下责任与义务的承担主体为任何位于EEA内的,或在满足一定条件时位于EEA外的,处理个人数据的自然人或法人。
如果要明确企业是否处理个人数据,企业需要充分了解企业对个人数据所实施的任何单一或一系列的行为。GDPR中列举了一些属于数据处理的行为,其中甚至包括对个人数据进行储存、限制及销毁等行为。
如果根据GDPR的规定企业确实涉及到处理个人数据的,那么企业所负的义务将取决于企业在处理个人数据过程中所扮演的角色。如果企业可以决定个人数据处理的目的和方法,那么其将被归类为“数据控制者”。而如果企业仅代表数据控制者来处理个人数据,那么企业则被归类为“数据处理者”。如果企业在代表数据控制者处理个人数据的同时,又可以自主决定个人数据处理的目的和方法,则企业很可能既是“数据控制者”也是“数据处理者”
一旦企业明确了其在处理个人数据过程中所扮演的角色及其所负的相应义务后,企业应当考虑如何建立并实施GDPR合规制度。

GDPR中的数据保护原则

在简要介绍企业应如何建立GDPR合规制度之前,需要注意的是,无论企业是数据控制者还是数据处理者,均须遵守以下GDPR中的数据保护原则。
(1)   合法、公正和透明原则 – 即个人数据的处理必须合法、公正和透明。
(2)   目的限制原则– 即个人数据收集的目的必须明确且合法,且个人数据的使用必须与该目的保持一致。
(3)   数据最小化原则– 即个人数据必须充分且有相关性并限制在数据处理目的所必需的范围内。
(4)   准确性原则 – 即个人数据必须准确且及时更新。
(5)   存储限制原则– 即个人数据的存储期限不得长于实现其处理目的所必需的时间。
(6)   完整性和保密性原则 –即个人数据必须通过安全的方式被处理,包括防止个人数据被未经授权地处理或非法地处理以及个人数据被意外丢失、破坏及损毁等。
(7)   问责制度原则 – 即数据控制者既要遵守上述原则,又要能够证明其行为符合上述原则。
遵守上述原则不仅可以确保企业GDPR合规,还可能降低企业受到ICO高额罚款*的风险。
*罚款最高可达2000万欧元或者企业该年度全球营业额的4%,两者取其高。

如何做到GDPR合规

7.1 合法处理个人数据的法定要求
如上文所述,根据GDPR,处理个人数据必须合法。因此企业在处理个人数据时,必须至少满足下列一项法定要求:
(1)   数据主体的“同意”;
(2)   为达成数据控制者或第三方所寻求的合法利益所必要;
(3)   为履行数据主体作为合同一方的合同所必要;
(4)   为履行数据控制者的法定义务所必要;
(5)   为保护某一自然人(包括数据主体)的重大利益所必要;以及
(6)   为了实现公共利益而执行任务或履行数据控制者的公职所必要。
一直以来,数据主体的“同意”是企业在处理个人数据时依据的主要法定要求。但自GDPR生效以来,其大幅度地提高了“同意”标准的门槛,使达到GDPR项下“同意”的标准更加困难。很多企业已经不再将数据主体的“同意”作为其处理个人数据时所依据的默认合法基础,转而寻找其他可依据的法定要求。
即便企业能够基于“同意”这一法定要求来处理个人数据,其还需注意“同意”必须明确并有针对性,且是经数据主体在充分知情的情况下自由作出。此外,数据主体表示其“同意”的行为必须明确且主动,例如勾选相关选项或者点击相关链接。
7.2 告知数据主体
根据GDPR,当数据控制者收集个人数据时,数据控制者需要告知数据主体其个人数据将会被如何处理,以符合GDPR所要求的合法、公平及透明的原则。
因此,当作为数据控制者的企业在收集个人数据时,应当向数据主体(如企业的客户或顾客)提供其个人数据将被如何处理的相关信息。通常企业会通过一份简洁易懂且易于获取的“隐私声明”提供相关信息。该隐私声明可以以书面或电子的形式提供给数据主体。
根据Privacy and Electronic Communications Regulations 2003,如果作为数据控制者的企业的网站使用了cookies*,除某些例外情况外,企业应当告知数据主体cookies的存在并向数据主体解释cookies存在的目的以及使用cookies的原因。一份详细的cookies政策可以帮助企业实现上述目的,但企业在数据主体的电子设备(如电脑、智能手机等)上放置cookies之前,还须获得数据主体的同意
通常,使用cookies的网站都会设计一个弹窗,当网站访问者访问网站时,窗口自动弹出,并询问访问者是否同意网站对其cookies信息的采集。网站访问者可以通过该弹窗主动表示是否同意cookies的设定。
* Cookies是网站向访问者的浏览器的cookie文件传输的一段纯文本信息串。该信息串在访问者再次访问该网站时,被用以识别访问者的身份并记录其某些信息。这些被记录的信息包括访问者访问的页面、菜单选择、输入的具体信息等。根据GDPR,cookies 一旦被用于识别网站用户,则被视为个人数据。
7.3 采取适当的技术和管理措施
为符合GDPR项下的“问责”原则,作为数据控制者的企业不仅要遵守GDPR,还需要进一步证明其行为符合GDPR的规定。
为满足这个条件,企业应当采取适当的技术和管理措施。常见的措施之一就是根据企业的实际情况制定并实施企业内部与GDPR相关的政策与程序。除此之外,企业可以根据实际情况自愿地设置数据保护官(Data Protection Officer)并定期对员工开展培训,使员工了解GDPR的相关内容和企业内部与GDPR相关的政策与程序从而提高企业员工的GDPR合规意识。企业可能实施的GDPR政策与程序包括(但不限于):
(1)   提供给企业员工的隐私声明;
(2)   与数据保护相关的企业员工义务政策;
(3)   数据泄露事件处理流程;
(4)   关于数据保存与清除的政策;以及
(5)   员工作为数据主体获取其个人数据的流程。
作为责任主体,企业应当持续遵守“问责”原则,因此企业应当定期审核、调整并更新这些措施。
7.4 共享个人数据时应当考虑的因素
需要提示的是,根据GDPR的规定,“共享”数据也是“处理”数据的一种形式。在共享个人数据之前,企业至少应当考虑以下几个方面:
(1)   企业可以基于哪些法定要求与第三方共享个人数据?
(2)   企业是否已经告知了数据主体其个人数据将被共享?
(3)   企业为何需要共享个人数据?
(4)   企业将要共享何种类别的个人数据?
(5)   企业将与哪些第三方共享个人数据?
(6)   接受共享的个人数据的第三方是否在欧盟境内?
(7)    企业期待接受个人数据的第三方将会如何使用共享的个人数据?
(8)    接受个人数据的第三方是否采取了适当技术和管理措施以满足GDPR的要求?
如果企业会与第三方共享个人数据,那么企业需要明确其与该第三方在个人数据共享过程中分别扮演的角色,即明确数据控制者和/或数据处理者,因为这关系着企业与该第三方在GDPR项下的义务分配,同时也决定着哪些条款应当被包括在企业与该第三方关于个人数据共享的协议中。
此外,企业只有在满足GDPR要求的、关于数据传输的相关规定时才能将个人数据传输至EEA之外的国家(例如中国)。如果在英企业希望将其全部数据(包括收集到的个人数据)传输至其位于中国的总部,或是希望使用位于中国的云端服务器来处理(包括存储)数据,那么企业必须在数据跨境传输前提供适当的保障,并且确保数据主体可以行使GDPR所赋予其的权利并得到救济。签订一份包含欧盟委员会(European Commission)认可的标准合同条款的合同为大多数企业选择的做法,以满足提供适当的保障的要求。

结语

企业在处理个人数据之前,应当首先明确其以及其处理个人数据的行为是否受GDPR的规制。在确认GDPR适用于该企业后,企业需要建立并落实一套切实可行的GDPR合规制度,以确保其GDPR合规。
为建立GDPR合规制度,企业首先应当根据自身开展的商业活动,分析其进行个人数据处理的目的,确定可依据的法定要求,并计划个人数据处理的方式及流程。该过程有助于该企业明确其在个人数据处理过程中所扮演的角色,以及其应当履行的GDPR项下的相关义务。
GDPR合规制度建立的基础是GDPR中的数据保护原则,企业在收集和处理数据时应始终遵循GDPR中的数据保护原则。在收集个人数据之前,企业可以通过一份“隐私声明”,充分告知数据主体其个人数据将被如何处理的相关信息。在数据处理的过程中,企业需确保其处理行为与告知数据主体的数据处理目的相一致,同时确保数据主体的相关权利得以保护。为符合GDPR项下的“问责”原则,企业应当采取适当的技术及管理措施,在实施相关内部数据保护政策和程序的同时,其还需要定期对员工进行GDPR合规培训以增强其合规意识。当企业计划将个人数据与位于EEA外的第三方共享,企业应当为数据的跨境传输提供“适当的保障”
中伦伦敦办公室已为多家在英中资企业提供了全方位的GDPR合规服务,包括GDPR合规审计,起草声明文件,起草企业网站相关合规文件,起草公司内部的GDPR政策及程序,提供GDPR合规培训等服务。如果您的企业有任何相关需求,欢迎联系我们。
· The End ·
关于中伦伦敦:

中伦律师事务所创立于1993年,是中国领先的综合性律师事务所。中伦拥有 310 多名合伙人和 2100 多名专业人员,在北京、上海、深圳、广州、武汉、成都、重庆、青岛、杭 州、南京、海口、东京、香港、伦敦、纽约、洛杉矶、旧金山和阿拉木图设有办公室。

中伦律师事务所伦敦办公室(“中伦伦敦“) 设立于 2012 年 5 月,是中国律师事务所在欧洲设立的第一家分所,亦是迄今为止唯一一家于英国法学会注册的可独立运营的未经合并、 未经收购的中国律师事务所。

特别声明:

以上所刊登的文章仅代表作者本人观点,仅提供一般信息且仅供参考之用,不代表中伦律师事务所伦敦办公室或其律师出具的任何形式之法律意见或建议。本文所包括的链接并不代表链接信息经中伦律师事务所核证。

如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦律所伦敦办公室(微信号:zhonglun-london)”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

中伦伦敦联系方式:

邮箱:info@zhonglun.co.uk

电话:+44 20 7382 1579

微信:zhonglun-london

地址:10-11 Austin Friars London EC2N 2HG

分享: