在荷兰投资,企业保护数据隐私必须知道的三件事

在数据经济时代,当今的数据就相当于18世纪的石油,是一份尚未被充分开发的宝贵资源。任何企业都将数据视作为重要的财富。因为数据资源的利用,是企业运作更加顺畅的关键因素。

产品数据、消费者数据的共享为向上销售、交叉销售的提高提供了更多机会;内部数据以及外部(公共)数据的结合使用则为全球公司在各种新业务中开创新产品、新服务提供了无限可能。

信息时代如果没有数据,世界的进程将会停滞。然而,特定的信息常常涉及敏感的个人数据。而在多数国家,隐私权都是受到宪法保护的基本权利。随着隐私权重要性的增加,欧盟立法者也开始高度重视。最近几年,隐私合规已经成为隐私安全监管当局以及相关法律部门的第一审核要务。这意味着在欧洲,如果公司违反隐私保护相关法律,将会面临巨额罚款,罚款金额可高达一千万欧元或公司在全球范围内的营业额的百分之二;侵权行为特别严重的,罚款金额甚至高达两千万欧元或公司在全球范围内的营业额的百分之四。

除了罚款,公司还会被列入”黑名单”,受到有关机构的重点调查,其侵权行为也将因被媒体曝光而公布于众,相关责任人个人和相关管理层也可能要承担个人连带责任。

具体来说,荷兰以及欧盟的立法如何保护数据隐私?在当地经营的公司又要符合哪些规定?

如何应对数据泄漏风险

如果数据使用不当,如此重要的资源必然也会产生严重的负面影响。比如公司或个人遗失了未加密的USB存储盘、手提电脑被盗或者社交网站被侵入等,都有可能导致公司或个人的巨大损失。

为了防止类似情况发生而导致数据泄露,荷兰《数据泄露通知义务法案》于今年生效并对数据泄露情况进行规定。自2016年1月1日起,所有可能导致个人隐私数据被披露给第三方的数据泄露安全事故,都必须向荷兰数据保护当局(以下 简称为”DDPA”)报告,在一些情况下,甚至必须向每个数据主体报告。

所有企业、组织在发现隐私数据泄露时都必须立即采取措施并在72小时内向DDPA报告。在一些情况下,还必须向数据主体报告。如果公司没有报告相关数据泄露事故,公司将面临最高达82万欧元或该公司年净营业额的10%(每起违反案件)的罚款。

根据规定,一旦发现隐私泄露,相关人士必须立即报告,毕竟当企业发现隐私泄露后再去补救就会太迟。在此也建议每一个在荷兰经营的企业都预先做好准备计划,以准确判断所有可能导致数据泄露的情况并对员工进行相关的培训,以在数据泄漏的情况下及时应对。

如何保护雇员和消费者隐私

DDPA另一关注的焦点是雇员以及消费者隐私保护。许多公司已经习惯向外国关联机构或它的母公司披露员工信息(例如姓名、生日、账号信息等)或客户资料。通常这些公司的总部和关联公司位于中国或美国。不论是以电子文件的方式还是以纸质或传真的方式披露客户或员工的隐私数据都会被认定为数据泄露。敏感的隐私数据输出到欧盟以外的国家,都必须采取更加严格的隐私保护措施并且满足相应的合规合同才可以进行。

唯一可以避免适用更加严格的隐私保护规则的情况是数据流向的国家被欧盟认可为在隐私保护方面与欧盟有着同等的保护水平。遗憾的是,只有少数几个国家被欧盟认可为与欧盟隐私保护水平相当(比如瑞士),而中国和美国都不在该名单上。

如果公司没有根据新生效的《欧盟数据保护一般条例》采取相应的合规措施或有任何违规行为,公司将面临最高高达1000万欧元甚至2000万欧元或公司全球年净营业额的2%~4%的罚款(每起违反案件)。

就将数据传输至美国而言,原有的《避风港协议》已经被更加严格的《欧美数据隐私护盾协议》(Privacy Shield)替代。但据预测,在2016年5月24日《欧盟数据保护一般条例》正式生效之后,《欧美数据隐私护盾协议》将很难再获得欧盟法院的支持。

这意味着那些已习惯向欧洲以外国家(如中国、美国等)披露传递信息的公司需要制定更加严格的公司内部程序或合同来确保他们的行为符合法律规定。除此以外,许多公司会使用特定软件来控制及核实员工的邮件及网络行为以减少数据泄露的风险。在荷兰,如果企业使用上述软件,必须经过职工大会或每个员工的同意,否则也可能会面临高额罚款。

如何减少隐私问题所产生的影响

为避免任何信息泄露以及确保数据的安全使用,对于经常处理大量信息流的公司而言,建议在产品以及服务开发阶段就考虑隐私限制。这被称为”从设计之初保护隐私”。

“从设计之初保护隐私”要求在开发前期就将隐私和数据保护纳入具体技术设计、商业实践以及基础设施建设,作为保护隐私的一种方法。这意味着,在公司开始设计或开发新产品、新服务时就要考虑并且意识到隐私问题可能产生的影响。如果公司根据上述方法操作并采取适当的数据保护措施(尽可能减少隐私问题带来的影响),那么公司就已符合GDPR的规定(GDPR现已替代原有1995年的《欧盟数据保护指令》)。

GDPR旨在进一步统一以及加强欧盟范围内的数据保护力度,该规则直接适用于所有欧盟成员国,并且已经在2016年5月24日正式生效。但由于该新条例引入了许多新义务,在欧盟有经营业务的企业可以有2年时间适应并确保自身符合《欧盟数据保护一般条例》的规定。2年后,如果公司没有根据新生效的《欧盟数据保护一般条例》采取相应的合规措施或有任何违规行为,公司将面临最高达1000万欧元甚至2000万欧元或公司全球年净营业额的2%~4%的罚款(每起违反案件)。建议企业可以利用刚开始的2年合规期,提前把企业的合规工作做好。如果等到两年之后再开始准备或者被调查时再去补救,将会存在较大的风险。

(资料来源:荷兰凯拓国际律师事务所2016年11月)

2017年02月17日

联系我们

NYC

New York Office

666 Third Avenue, 19th floor
New York, NY 10017

跳至工具栏