資訊洞見

仔細比較歐盟《通用數據保障條例》及香港《個人資料私隱條例》

香港個人資料私隱專員公署(「私隱專員公署」)近日發行了有關討論歐洲聯盟(「歐盟」)2016年《通用數據保障條例》(「歐盟新條例」)將對香港機構/企業可能產生影響的小冊子。於2018年5月25日施行的《歐盟新條例》取代歐盟1995年的《歐盟資料保護指令》並推出適用於歐盟所有成員國以及收集或處理任何歐盟居民的個人資料之非歐盟機構的單獨一套保障資料規則。香港機構/企業如屬以下情形者,將需遵守《歐盟新條例》:

  • 在歐盟設有處理個人資料的機構;或
  • 向居於歐盟的任何人士提供貨品或服務或監察其行爲的。

由於香港《個人資料(私隱)條例》(第486章)(「私隱條例」)受現時已被取代的1995年《歐盟資料保護指令》之影響頗大,因此香港機構/企業應注意《私隱條例》與《歐盟新條例》之間的分別。其中較重大的分別列舉如下: 

  1. 反對權利– 《歐盟新條例》給予所有人士在任何時間反對其個人資料被處理(包括個人概況彙編[7]的機構,必須盡快或在該機構獲悉該事件後72小時內(如情況許可)[9]

    在香港提供該等通知的規定屬自願;並無有關此等做法之具約束力之責任或規定時限[11]。簡而言之,個人之同意必須屬自願、具體、知情及不含糊的指示
    作爲盡忠於香港的律師行,本行致力於協助香港企業遵守香港法律以及其他適用法律。


    [2] 《歐盟新條例》第21條。

    [4] 見由個人資料私隱公署所發布的《私隱管理系統最佳行事方式指引》

    [6] 「大規模」在《《歐盟新條例》下並未被界定,但是根據歐盟的《保障資料主任指引》,在確定規模時若干因素應予以評估:

    • 資料當事人之數目;
    • 將獲處理的資料數量及/或資料項目之範圍;
    • 資料處理活動之持續時間或固定性;及
    • 資料處理活動之地理範圍。

    [8] 《歐盟新條例》第33條。

    [10] 私隱專人公署發布《資料外洩事故的處理及通報指引》,該指引解釋發出通知的步驟(建議將「盡快」向受影響的個人或機構)發出通知。

    [12] 《歐盟新條例》第7(4)條説明在評估同意是否由某人自由給予時,須考慮…「…合約之履行,包括服務之提供是否就是以同意處理對於履行合約非屬必需的個人資料為條件」。

    [14] 《歐盟新條例》第35條。

    [16] 《歐盟新條例》第35(3)條。

    [18] 根據《私隱條例》第50條。

    [20] 直接促銷罪行在《私隱條例》第6A部下加以討論。

Portfolio Builder

Select the 本行服務 that you would like to download or add to the portfolio

Download    Add to portfolio   
Portfolio
職務 Type CV 電郵

Remove All

Download


Click here to share this shortlist.
(It will expire after 30 days.)