歐盟《通用數據保障條例》
歐盟《通用數據保障條例》
I. 歐洲聯盟(歐盟)《通用數據保障條例》
歐盟的《通用數據保障條例》已於2018年5月25日生效,取代原有為處理個人資料及有關資料自由流通的個人保障而制訂的歐盟指令 95/46/EC(歐盟指令),並且涉及新的規定和加強的權利。隨著科技發展,以至歐盟的資料保障的基本權利全球化及憲法化,《通用數據保障條例》旨在協調數碼單一市場的框架,讓個人掌握他們的資料,並制定現代化的資料保障管治。
為何《通用數據保障條例》與香港的機構/企業有關?
在香港,訂立香港法例第486章《個人資料(私隱)條例》(《私隱條例》) 是為保障個人資料方面的私隱。在草擬《私隱條例》時,曾參考經濟合作及發展組織1980年的私隱指引及歐盟指令。由於《通用數據保障條例》為以歐盟指令為本的資料保障法律帶來了重大的發展及改變,因此新的監管框架內包括了《私隱條例》未有的規定。
《通用數據保障條例》對歐盟以外的資料保障局面帶來的其中一項重大發展,是明確規定在非歐盟法域管轄區內成立的機構在特定的情況下須遵從《通用數據保障條例》的規定。由於業務或交易模式多樣化(例如網上交易),香港的機構/企業必須確定《通用數據保障條例》是否對它們適用,並緊貼新的發展。
II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款
III. 《通用數據保障條例》的相關刊物及文章
IV. 歐洲聯盟發出的指引及參考資料
V. 有關《通用數據保障條例》的重要決定及主要發展摘要
II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款
歐盟委員會採納了一套有關轉移個人資料至非歐盟地區的新版標準合約條款 (「新版標準合約條款」),有關條款已於2021年6月27日生效。由2021年9月27日起,資料輸出者及資料輸入者只可就跨境個人資料轉移簽訂採納新版標準合約條款的合約。私隱公署發佈一系列有關的常見問題資料,以介紹新版標準合約條款的實施框架和簽訂包含新版標準合約條款的跨境資料轉移協議的各合約方的責任,供公眾參考。
更多詳情,請參閲有關系列的常見問題資料:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eu_faq.pdf
請按此閲覽「歐盟委員會有關國際間資料轉移的新版標準合約條款的簡介」。
請按此下載「歐盟的新版標準合約條款下從歐盟轉移個人資料至非歐盟地區」網上講座的演講簡報及觀看有關影片。
III. 《通用數據保障條例》的相關刊物及文章
為了提高香港機構/企業認識《通用數據保障條例》 2016 下新制定的資料保障監管框架對它們可能帶來的影響,公署出版了以下刊物︰
 |
小冊子:歐洲聯盟《通用數據保障條例》2016 最新資訊 (2020年5月修訂版) |
- 《香港律師》 (2018年6月份) - 歐盟《通用數據保障條例》與香港《個人資料(私隱)條例》有甚麼分別?
- 公署新聞稿(2018年 4月 3日)- 香港企業應如何為即將實施的歐盟通用數據保障新條例作好準備
IV. 歐洲聯盟發出的指引及參考資料
歐洲資料保障委員會
| 涉及的事宜 | 建議/指引 |
|---|---|
| 行爲守則 | 有關以行爲守則作爲轉移工具的第04/2021號指引 |
| 同意 | 有關同意的第05/2020號指引 |
| 控制者及處理者 | 有關《通用數據保障條例》下控制者及處理者的概念的第07/2020號指引 |
| 資料外洩事故通報 | |
| 資料可攜性 | 有關資料可攜權的指引 |
| 貫徹資料保障的設計及預設 | 有關第25條貫徹資料保障的設計及預設的第4/2019號指引 |
| 資料保障影響評估 | 有關資料保障影響評估的指引 |
| 豁免情況 | 有關《通用數據保障條例》第49條下豁免情況的第2/2018號指引 |
| 在提供網上服務時處理個人資料 | 有關在提供網上服務予資料當事人時根據《通用數據保障條例》第6(1)(b)條處理個人資料的第2/2019號指引 |
| 利用視像器材處理個人資料 | 有關利用視像器材處理個人資料的第3/2019號指引 |
| 限制 | 有關《通用數據保障條例》第23條下限制(資料當事人權利及控制者/處理者責任的範圍)的第10/2020號指引 |
| 針對社交媒體使用者 | 有關針對社交媒體使用者的第8/2020號指引 |
| 地域範圍 | 有關《通用數據保障條例》地域範圍(第3條)的第3/2018號指引 |
| 轉移工具 | 有關補充轉移工具以確保符合歐盟個人資料保障程度的措施的第01/2020號建議 |
| 透明度 | 有關透明度的指引 |
歐盟委員會
| 涉及的事宜 | 建議/指引 |
|---|---|
| 資料保障制度 | 歐盟的資料保障制度概覽 |
| 《通用數據保障條例》的規定 | 《通用數據保障條例》的規定簡介 |
V. 有關《通用數據保障條例》的重要決定及主要發展摘要
A. 根據《通用數據保障條例》作出的重要決定摘要
| 作出決定的日期 | 作出決定的資料保障監管機構 | 罰則及違反規定 |
|---|---|---|
| 2022年3月15日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) | Meta Platforms (前稱 Facebook)因違反《通用數據保障條例》第5(2)條(有關目的限制原則)而被愛爾蘭資料保障監管機構處以1,700萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要 。 |
| 2022年2月10日 | 意大利資料保障監管機構 (The Italian Data Protection Authority (GPDP)) | Clearview AI Inc. 因在缺乏適當法律基礎的情況下不合法地處理個人資料及違反有關透明度 ˴目的限制及儲存限制等原則而被意大利資料保障監管機構(GPDP)處以2,000萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2022年1月27日 | 希臘資料保障監管機構 (The Hellenic Data Protection Authority of Greece) | 經接獲一宗個人資料外洩事故通報後,希臘資料保障監管機構就電訊公司 Cosmote及 OTE違反合法性及透明度的原則 ˴ 執行不足的保安措施等,向其處以共925萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2022年1月14日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) | DPG Media Magazines因不必要地索取身份証明文件副本而被荷蘭資料保障監管機構處以52.5萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2021年12月22日 | 奧地利資料保障監管機構 (The Austrian Data Protection Authority (DSB)) | 奧地利資料保障監管機構 (DSB)裁定奧地利一名網站營運者在網站内使用 Google Analytics,轉移個人資料至位於美國的 Google LLC,違反《通用數據保障條例》第44條。 DSB認爲該網站營運者和 Google LLC之間簽訂的標準合約條款未有提供足夠程度的保障予相關個人資料。有關決定的詳情, 請參閲 DSB 發出的決定摘要。 |
| 2021年12月16日 | 意大利資料保障監管機構 (The Italian Data Protection Authority (GPDP)) | Enel Energia因進行積極的電話推銷及不恰當地處理資料當事人提出查閲資料要求及反對處理其個人資料作推銷用途的個案,而被意大利資料保障監管機構(GPDP)處以2,650萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2021年8月20日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構就 WhatsApp Ireland Ltd.在提供服務資訊予歐洲用家方面違反透明度原則等作出最後決定,向 WhatsApp Ireland Ltd.處以2億2,500萬歐元罰款,並對它作出譴責及命令它執行一連串指定的補救措施,以確保其處理活動符合規定。該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及其於2021年9月2日發出的新聞稿。
註: WhatsApp Ireland Ltd.正對愛爾蘭資料保障監管機構針對它作出的決定提出上訴。 |
| 2021年6月21日 | 瑞典資料保障監管機構 (The Swedish Authority for Privacy Protection (IMY)) | 在斯德哥爾摩營運公共運輸的 SL因在公共交通工具上不合法使用隨身攝像機而被瑞典資料保障監管機構(IMY)處以1,600萬瑞典克朗罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2021年4月29日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) | 荷蘭資料保障監管機構就市政府採用無線追蹤技術(當中可追蹤在市中心購物 ˴ 居住及工作的人士)而對其處以60萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
B.《通用數據保障條例》下的主要發展
| 日期 | 主要發展 |
|---|---|
| 2022年3月25日 |
歐盟及美國之間新的跨大西洋數據私隱框架 2020年7月16日,歐洲聯盟法院在Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems and intervening parties一案中推翻了歐盟-美國「私隱保護盾」 的框架(常稱為「Schrems II判決」)。該框架自2016年實施以來為歐盟公司轉移個人資料至美國公司的主要機制。 歐盟委員會及美國經持續討論後,於2022年3月25日宣布雙方原則上已就一個新的跨大西洋數據私隱框架達成協議( 「新框架」),以期重新建立一個從歐盟轉移個人資料至美國的法律機制。 重點來說,新框架確保(一)由美國進行的信號情報活動須在以達致合法的國家安全目標方面而言屬必要及相稱的;(二)將設立一個獨立及具約束力的申訴機制,為受影響的歐盟公民制訂補救措施;及(三)美國的情報機關將採取程序以確保能有效地監督新的私隱及公民自由標準的執行。 就下一階段而言,歐盟委員會及美國將會繼續準備雙方為落實執行新框架所需的法律文件。 有關新框架的詳情,請參閱(一)歐盟委員會及美國有關跨大西洋數據私隱框架的聯合聲明;及(二)美國白宮所發表的新聞稿。該兩份文件均於2022年3月25日發出。 |
| 2022年3月21日 |
適用於從英國轉移個人資料的新轉移文件 《通用數據保障條例》被保留於英國的當地法律作《英國通用數據保障條例》。《英國通用數據保障條例》第46(1)條容許在指定的情況下作國際間的個人資料轉移,其中包括當資料輸出者提供適當的保障措施(包括採納由資訊專員發出的標準數據保障條款等等)。 2022年3月21日,兩項新轉移文件,即由資訊專員發出的(一)國際數據轉移協議及(二) 國際數據轉移附錄 (附於歐盟委員會在2021年6月就國際間資料轉移採納的標準合約條款) ,開始生效。其中,新轉移文件的目的是取代英國現行的標準合約條款,即歐盟在《通用數據保障條例》生效前採納的標準合約條款( 「舊版標準合約條款」)。 採納國際數據轉移協議及國際數據轉移附錄對資料轉移者及資料接收者的實際影響如下:
有關國際數據轉移協議及國際數據轉移附錄的詳情,請參閱英國資訊專員辦公室的介紹。 |
| 2021年12月17日 |
愛爾蘭資料保障監管機構(Data Protection Commission of Ireland)出版有關兒童私隱的指引 2021年12月17日,愛爾蘭資料保障監管機構出版指引“Fundamentals For A Child-oriented Approach To Data Processing”, 就有關在資料處理活動中保障兒童的個人資料私隱提供指引及建議最佳行事方式。有關該指引的詳情,請參閲愛爾蘭資料保障監管機構發出的摘要。 |
| 2021年12月17日 |
有關南韓的足夠保障程度決定 2021年12月17日,歐盟委員會採納有關由歐盟轉移個人資料至大韓民國機構的足夠保障程度決定,相關個人資料受個人資料保護法保障,有關額外保障措施以及官方的申述 ˴ 保證和承諾反映在決定當中。 有關南韓的足夠保障程度決定的詳情,請參閲歐盟委員會法律事務委員Didier Reynders及大韓民國個人資料保護委員會主席Yoon Jong In共同發出的新聞稿。 |
| 2021年6月28日 |
有關英國的足夠保障程度決定 2021年6月28日,歐盟委員會採納兩個分別根據《通用數據保障條例》及執法指令所作的有關轉移個人資料至英國的足夠保障程度的決定。當英國確保個人資料得到歐盟法律所保證的相等程度的保障,個人資料便可從歐盟自由流動至英國。 有關英國的足夠保障程度決定的詳情,請參閲歐盟委員會發出的新聞稿。 |