2017年2月28日
資訊洞見
香港個人資料私隱專員公署(「私隱專員公署」)近日發行了有關討論歐洲聯盟(「歐盟」)2016年《通用數據保障條例》(「歐盟新條例」)將對香港機構/企業可能產生影響的小冊子。於2018年5月25日施行的《歐盟新條例》取代歐盟1995年的《歐盟資料保護指令》並推出適用於歐盟所有成員國以及收集或處理任何歐盟居民的個人資料之非歐盟機構的單獨一套保障資料規則。香港機構/企業如屬以下情形者,將需遵守《歐盟新條例》:
由於香港《個人資料(私隱)條例》(第486章)(「私隱條例」)受現時已被取代的1995年《歐盟資料保護指令》之影響頗大,因此香港機構/企業應注意《私隱條例》與《歐盟新條例》之間的分別。其中較重大的分別列舉如下:
在香港提供該等通知的規定屬自願;並無有關此等做法之具約束力之責任或規定時限[11]。簡而言之,個人之同意必須屬自願、具體、知情及不含糊的指示
作爲盡忠於香港的律師行,本行致力於協助香港企業遵守香港法律以及其他適用法律。
[2] 《歐盟新條例》第21條。
[4] 見由個人資料私隱公署所發布的《私隱管理系統—最佳行事方式指引》。
[6] 「大規模」在《《歐盟新條例》下並未被界定,但是根據歐盟的《保障資料主任指引》,在確定規模時若干因素應予以評估:
[8] 《歐盟新條例》第33條。
[10] 私隱專人公署發布《資料外洩事故的處理及通報指引》,該指引解釋發出通知的步驟(建議將「盡快」向受影響的個人或機構)發出通知。
[12] 《歐盟新條例》第7(4)條説明在評估同意是否由某人自由給予時,須考慮…「…合約之履行,包括服務之提供是否就是以同意處理對於履行合約非屬必需的個人資料為條件」。
[14] 《歐盟新條例》第35條。
[16] 《歐盟新條例》第35(3)條。
[18] 根據《私隱條例》第50條。
[20] 直接促銷罪行在《私隱條例》第6A部下加以討論。