GDPR实施倒计时：欧盟委员会发布直接适用指南| 互联网法律观察

Original 2018-02-13 江智茹 享法互联网JoyLegal

鉴于欧盟《一般数据保护条例》（“GDPR”）即将于2018年5月25日施行，欧盟于2018年1月24日发布了《更有力的保护、新机遇—欧盟委员会关于一般数据保护条例直接适用指南》（“GDPR指南”），就欧盟成员国及利益相关方在GDPR施行前的2年过渡期内针对合规遵从事宜所做的筹备工作（以下简称“筹备工作”）进行评估，并说明欧盟委员会在接下来几个月里的工作安排以确保GDPR的有效施行。

「享法」享说要点

GDPR即将于2018年5月施行，留给企业们的准备时间真的不多了，从本文发布算起，可以说倒计时100天即将拉开序幕。

中国企业和相关法律工作人员，早已认识到GDPR对中国企业数据合规的重要意义，若业务范围涉及到欧盟境内，如向欧盟消费者提供商品或服务过程中采集或处理其个人数据，尤其是敏感个人数据的，也应遵从GDPR的有关要求。

为此，建议前述中国企业对已有数据进行审核，确认是否在业务经营过程中涉及到对欧盟境内数据主体的监测、数据采集和处理。如涉及，则亦须按照GDPR指南的要求及时做好有关准备工作，如建立或完善数据保护规则，按要求任命数据保护专员，审查业务合同（尤其是涉及数据处理、数据共享等方面的合同），完善产品设计以使其满足GDPR的要求等等，确保企业全面遵从GDPR的要求。

为了更好理解自GDPR颁布以来，欧盟对GDPR的理解、已进行的准备工作和实施要求，享法精心准备了《GDPR指南要点》中文摘要，与各位分享如下：

回顾新的欧盟数据保护框架所带来的更有力的保护和新机遇

GDPR在以往20年的欧盟数据保护立法及判例法的基础上，引入了一些新的规定，尤其是如下规定，加强了对个人权利的保护，并进一步为企业和企业带来了新机遇：

构建一个协调统一的法律框架，以利于相关规则统一适用于欧盟单一数字市场。引入“一站式机制”，确保相关规则在所有成员国适用的一致性。
为在欧盟市场运营的所有企业提供一个公平的竞争环境。GDPR规定，若一家企业虽设立在欧盟境外，但其在向欧盟内的数据主体提供商品或服务的过程中涉及个人数据或对数据主体发生在欧盟内的行为进行监控的，则该等企业应与欧盟境内设立的企业遵从相同的规则。
设计并默认数据保护原则，激励创造创新解决方案，从源头解决数据保护问题。
更强的个人权限: GDPR引入了新的透明度要求; 增强了信息权、访问权和被遗忘权、要求明示同意，并保护儿童在线权利。
增强了个人对其个人数据的控制权，规定了数据可携带权。
加强防范数据泄露，引入强制性的数据泄露通告义务。
赋予所有数据保护部门对数据控制者和数据处理者进行罚款的权利；
从通知原则转换为问责原则，使数据控制者与数据处理者在数据处理过程中具有更大的灵活性；
明确数据处理者与数据控制者各自应承当的责任；
确立可以保障GDPR统一适用并强有力执行的现代化治理体系；
确保流通至欧盟境外的个人数据也可以受到高水平的保护。

评估迄今为止在欧盟一级进行的筹备工作

2.1 欧盟委员会进行的筹备工作

自2016年中开始，欧盟委员会一直与成员国有关部门、数据保护部门和利益相关方保持密切合作，为其提供支持和咨询意见，以筹备GDPR施行后的合规遵从事宜，具体包括成立专家组与成员国共同开展有关筹备工作，举行双边会议讨论国家一级出现的问题等以支持成员国及其当局在过渡时期的有关工作；建立欧盟数据保护委员会，积极支持第29条工作小组的工作以确保其与欧盟数据保护委员会的顺利过渡；欧盟数据保护规则设立了国家最高的一些数据保护标准而日益得到国际层面的认可，并日益成为许多国家、地区在建立和完善相关数据保护法律制度的参考，为此，欧盟委员会积极向国际方面（尤其是其主要贸易伙伴）推广其数据保护规则以确保数据跨境流通至有关国家时可以适用更高水平的保护，并与利益相关方合作以促进数据的跨境流通；并且，欧盟委员会组织了许多活动以接触到利益相关方，以确保利益相关方具备对有关规则的适当程度的认知。

2.2 第29条工作小组/欧洲数据保护委员会进行的筹备工作

第29条工作小组（包括欧洲数据保护监管部门）通过组织所有国家数据保护部门向企业及其他利益相关方发布了GDPR适用的各种指南发挥其在合规遵从筹备工作的关键性的作用。截至目前，已发布的指南包括：

数据可携权指南；

数据保护专员指南；

数据保护影响评估指南；

行政罚款指南

正在制定的指导性文件包括：数据泄露指南、数据同意指南、数据透明度指南、数据控制企业规则、数据处理企业规则等文件。

概述欧洲数据保护委员会、成员国数据保护部门和有关行政部门接下来应完成的有关工作

3.1 成员国应建立国家层面的个人数据保护立法框架

成员国应建立国家数据保护部门，选择认证机构，并通过废除和修订现行有关法律规定来保障GDRP在整个欧盟范围内适用的同时性和一致性。

3.2 欧洲数据保护委员会将于2018年5月25日替代第29条工作小组全面运行

欧洲数据保护委员会是负责监督欧盟有关部门和机构的数据保护机构，其作为欧洲数据保护中心，有助于数据保护法适用（包括条例解释、案件处理等）的一致性，并为数据保护部门 (包括欧洲数据保护监管部门) 之间的合作提供强有力的基础。

3.3 成员国应向其国家数据保护部门提供必要的财政和人力资源支持

成员国应建立完全独立的国家数据保护监管部门，作为社会公众、企业和公共行政部门就GDPR的有关疑问进行对话的第一联络点。国家数据保护部门的职责包括向数据控制者和数据处理者通报其义务，提高公众对数据处理方面的风险、规则、保障和权利的认识和理解。鼓励成员国履行法律义务，向其国家数据保护部门提供有效履行其职责和行使其权力所需的人力、技术和财政资源、房地产和基础设施。

3.4 企业、公共行政部门及其他数据处理组织应做好适用GDPR的准备

由于GDPR并未实质改变1995年施行的数据保护立法的核心概念和原则，因此，对于大多数的数据控制者和处理者而言，只要其符合现行相关规定，就不需要为满足GDPR的有关要求而对其数据处理业务进行重大调整。

对于那些核心业务涉及（敏感）数据处理或定期、系统地、大规模监测个人的运营方而言，GDPR的施行必定会对其产生影响。因此，这些运营方必须指定一名数据保护专员，对数据保护影响进行评估并在个人权利存在风险时履行数据泄露通知义务。

对于数据控制者和数据处理者而言，应定期彻底审查其数据政策以确认其基于何种目的及法律依据而持有数据；同时，应对现有合同进行评估，尤其是数据控制者和数据处理者签署的合约、数据跨境流通和治理、数据保护专员的任命文件等。这一过程的一个基本要素是确保最高管理层参与此类审查,并定期更新和咨询业务数据政策的变化。

对于所有运营方而言，其均有义务来为GDPR的施行进行准备和调整，开发注重隐私和数据保护的优良产品，建立问责制，并积极开展合规遵从工作。

3.5 通知利益相关方, 特别是公民和中小型企业

数据保护部门已开始按照具体国家的相应方式通知利益相关方有关GDPR所带来的变化及对公民个人权利的加强，以确保利益相关方尤其是公民和中小企业对GDPR具有正确的认知。但数据保护部门仍应继续并加强有关GDPR的培训和认知活动，以确保利益相关方对GDPR具有足够深入的认知。

说明欧盟委员会接下来的工作安排

欧盟委员会接下来将采取下列行动，以继续积极支持所有行动者（包括政府、相关国家部门、企业及其他利益相关方等）对于GDPR施行的筹备工作:

4.1 针对成员国

欧盟委员会将继续与成员国合作，促进成员国间对于GDPR适用的一致性，同时考虑到在新立法下成员国的规范空间；

2018年5月以后，欧盟委员会将密切监督成员国对GDPR的适用情况，并在必要时采取的适当行动，包括诉诸侵权行为。

4.2 针对数据保护部门

2018年5月之前，欧盟委员会将支持数据保护部门在第29条工作小组范围内和向欧洲数据保护委员会过渡方面的工作；2018年5月以后，欧盟委员会将支持欧洲数据保护委员会的工作；

2018年至2019年,，欧盟委员会将资助(总额高达 EUR 200万) 由国家数据保护部门开展的提高GDPR认识的行动(从 2018年年中开始实施的项目)。

4.3 针对利益相关方