资讯洞见
欧盟的General Data Protection Regulation《通用数据保护条例(2016)》(简称“GDPR”)于2018年5月25日起生效。但是,许多香港企业并未意识到该条例会对其业务带来重大变化。
GDPR是什么?
GDPR是一部新的隐私保护法律,旨在协调整个欧洲数据保护规则。其一方面赋予个人更大的权利,另一方面对组织机构违规行为定下更高罚则,加大惩处力度。GDPR是最近20年来欧洲数据隐私保护法方面出现的最大变化。
GDPR如何影响香港公司?
GDPR主要影响在欧盟运营的组织机构。但是,GDPR并非局限于此,任何与欧盟开展业务或涉及欧盟境内个人信息的组织机构也可能需要遵守GDPR。
违反GDPR将面临严重处罚,罚款会按照违规公司上一财政年度的年营业总额进行计算,罚款金额最高可达4%或2000万欧元(以较高者为准),对情节较轻者,也可达2%或1000万欧元(以较高者为准)。
在什么情况下GDPR适用于欧盟之外?
如属以下情况,GDPR适用于位于欧盟以外的组织机构:
数据收集方的所在地并非重要考虑因素,只要在个人信息收集和处理时,数据主体身处欧盟成员国境内,GDPR便适用。不仅是欧盟公民,该数据主体可以是任何人。同样,GDPR不适用于数据收集和处理时不在欧盟境内的欧盟公民。
您的业务涉及“提供货物或服务”吗?
已经拥有欧盟客户群或打算向欧盟主体提供货物和服务的企业,即使企业不在欧盟境内,也会受GDPR规管。
其他企业组织,如果明显地计划向欧盟境内的个人提供货物或服务或将欧盟境内的个人视为目标,也有可能受到GDPR的规管。这种情况将按照事实进行个案判断。以互联网为例,由于绝大多数网站均可在全球范围内进行访问,即便欧盟境内的个人亦可访问非欧盟公司的网站,仅凭这一事实并不构成向欧盟境内的数据主体提供货物或服务。具体情况还要看网站是否:使用某种欧盟语言或以欧元作为交易货币、是否提及欧盟用户或客户、是否存在针对欧盟用户的营销行为、使用欧盟电话号码或使用欧盟顶级域名等因素。
实践中,如果非欧盟企业在其网站允许欧盟客户下单并将产品发往欧盟境内,这家企业就有可能落入GDPR管辖范围,除非该企业表明其并没有向欧盟数据主体提供货物或服务的意图。企业应该在其网站明确指出其货物/服务并不向欧盟地区供应,又或者主动排除/禁止来自欧盟的订单。
值得注意的是,即使货物和服务是免费的,也同样可能适用GDPR。
您在“监控”欧盟的数据主体吗?
GDPR明确指出,对欧盟数据主体行为进行“监控”包括在互联网上对某人进行追踪,以及潜在利用收集到的信息对其进行识别,以分析或预测他们的喜好、行为和态度等。
换言之,利用cookies或其他技术实行网络用户跟踪(包括用户网络行为分析)来支持电子商务或在线广告等行为,将受GDPR的管辖。此外,非欧盟社交网络提供商允许欧盟个人成为用户,或者非欧盟的应用软件开发商通过身处欧盟的个人所使用的智能手机收集其位置数据也可能被要求遵守GDPR。
您在“处理数据”吗?
如果处理和获取个人信息的组织机构在欧盟设有办事处,不论处理过程是否在欧盟境内进行,均适用GDPR。
“办事处”的定义非常广泛,只要在欧盟境内通过稳妥安排进行“任何真实有效的活动”均有可能被视为在欧盟境内设立办事处。“安排”的法律形式并非决定性因素。出于向欧盟居民推广或提供服务目的而在欧盟境内设立营业处或指定代理人均有可能被视设立办事处。
这对香港企业意味着什么?
落入GDPR规管范畴的香港企业所承担的数据保护义务可能会远远大于目前香港《个人资料(私隐)条例》的要求。知情同意和重度惩罚仅仅是GDPR的两个方面。我们把GDPR的八个要点概括如下:-
GDPR将对欧盟境内外的企业带来影响。虽然GDPR于2018年5月25日已生效,但近期一些研究表明,许多公司在2018年底之前也未必能合规。即使不是在欧盟境内,如果您涉及欧盟业务并处理欧盟境内个人的信息,您应该及时评估您本身或您的数据收集和处理活动是否落入GDPR的管辖范畴。