后GDPR时代关键——企业如何与欧洲监管机构建立有效沟通渠道

  

    基于协助多家“往外走”企业实现GDPR全面合规工作的经验，本文将为您总结及阐述GDPR最新监管动态、企业目前急需关注的合规要点：

• 受GDPR管辖的企业如何确定主管数据保护监管机构？

• 企业需要准备哪些资料应对数据保护监管机构检查？

• 如何联系数据保护监管机构？

 01

  —

 背景

    2018年5月25日，欧盟《一般数据保护条例》（以下称GDPR）正式生效，引发全球关注。为了保证GDPR在欧洲经济区各国有效落地执行，GDPR中规定各国设定专门机构作为本国个人信息保护的“数据保护监管机构”。“数据保护监管机构”有义务回应企业针对GDPR提出的咨询、接受针对侵犯个人信息行为提出的投诉、有权监督及检查企业GDPR的落地情况，并向不合规的企业/个人开出罚单。

    近期，英国信息监管司（InformationCommissioner’s Office，以下称ICO）向加拿大数据公司（AggregateIQ，以下称AIQ）发出首张GDPR执行通知，要求该数据公司在限期内做出整改，否则将面临2000万欧元或者全球营业额4%的巨额罚款。此前，ICO已经依据GDPR生效前的数据保护相关法律对Facebook等相关公司做出处罚决定，但AIQ案作为GDPR生效后首例发的‍‍出执行通知的案件，无疑值得业界重点关注。据悉，GDPR生效后，ICO以及其他欧盟国家的数据保护监管机构每天都要收到数百个侵犯个人信息案件的投诉。

    除欧盟之外，全球其他国家和地区的企业也因存在个人数据保护体系漏洞，甚至出现个人数据泄露事件而遭到国家监管机构的处罚，譬如：

• 西班牙数据保护监管部门AEPD日前发布公告称，2017年9月，Facebook因收集了西班牙数百万用户包括性别、宗教信仰、浏览历史等在内的个人信息，且未告知用户这些数据的使用途径，违反了当地的数据保护法，遂罚款120万欧元（约合140万美元）；

• 美国征信机构Equifax于2017年9月8日称遭遇黑客攻击，致使大量的客户信息遭到泄露，粗略估计将影响到1.43亿美国人的信息数据。该应用漏洞的调查中，Equifax还被发现了对某些英国和加拿大居民部分个人信息的未授权访问。Equifax将与英国和加拿大监管机构合作，商定恰当的下一步措施；

• 2018年10月25日，香港国泰航空公司称约940万份乘客数据曾被未获授权浏览。股价在25日应声下跌7%，香港个人资料隐私专员公署PCPD称将展开全面调查。

                    

    ‍由上述事件可见，一旦发生大规模的数据泄漏事件，企业会首先受到监管机构的调查，造成严重后果且勒令不改者会遭到监管机构的严格处罚。此外，由于GDPR授权成员国在本国内设立数据保护监管机构，所以针对个别企业的个人数据处理行为，可能出现多家监管机构同时管辖的情况，此时同多家监管机构进行沟通就显得尤为重要。对于受到GDPR管辖的中国企业，了解监管机构的职权、确定主管监管机构、明确同监管机构的沟通内容和模式是同监管机构建立稳定沟通渠道的关键。

 02

  —

什么是“数据保护监管机构”？

  ‍ GDPR规定，各成员国应当规定一个或多个独立政府机关（“监管机构”）负责监督本条例的适用，以保护自然人与数据处理相关的基本权利和自由，并促进个人数据在欧盟境内的自由流动。监管机构有调查权、咨询权、纠正权等权利。一个成员国境内设有多家监管机构的，该成员国应当指定一家监管机构，在欧洲数据保护委员会代表所有监管机构。监管机构应当全力相互合作，并与欧盟委员会相配合。

03

—

企业如何确定主管“数据保护监管机构”？

（1）在欧盟成员国设立分支机构的企业

    中国在欧洲地区设立分支机构的企业，首先要明确如何确定主管监管机构。对于跨境处理个人数据的数据控制者和数据处理者来说，其业务范围“会涉及超过一个欧盟成员国的数据主体”。事实上，这是一个严峻的挑战，主管监管机构“对跨境处理个人数据的行为负有首要责任”。

    作为在欧盟某国有“主营业所”的跨国企业，该国的数据保护监管机构即作为主要监管机构。“主营业所”需要是该企业在欧盟所有分支机构中的“管理机构”，这意味着“关于收集个人数据的目的和使用方式的决策必须由该机构做出”。

（2）在欧盟成员国不设立分支机构的企业

   在欧盟地区不设分支机构，但是受到GDPR管辖的跨国企业，必须选聘一名“欧盟代表人”。“欧盟代表人”必须“有能力同数据主体和当地监管机构沟通”，“熟练使用数据主体和监管机构的官方语言”。“欧盟代表人”负责在数据控制者、数据主体、和监管机构之间传递消息。

04

—

企业如何同监管机构进行有效沟通？

    在同欧盟数据监管机构建立体系化联系之前，隐私保护专家需要清楚的认识并了解如何同监管机构沟通。例如，GDPR要求数据控制者记录数据处理活动，并且及时向‍监管机构报告个人数据泄漏事件，并首先向他们咨询泄露事件处理方案。

（1）提供数据处理记录

    GDPR第30条规定，数据处理记录需要包含同监管机构的沟通合作内容，数据控制者和处理者需要应监管机构要求，及时提交上述记录。同监管机构合作的责任，由数据保护合规官或者欧盟代表承担。

（2）向数据保护监管机构通报数据泄露事宜

    GDPR规定，数据控制者需要向数据监管机构“毫不迟疑的，在发现数据泄露事件的72小时之内”汇报情况，除非“该事件不会对自然人的权利和自由造成危害”。数据控制者如果违反72小时通知规定，需要向数据保护监管机构说明理由。数据泄露上报应包含以下内容：

• 关于泄露的信息（包含对其性质的描述、受其影响个人的大致数目，以及受其影响的资料种类)；

• 该分支机构信息（企业数据保护官的姓名及联系信息，或者可以提供必要信息的负责人的联系信息）；

• 数据泄露可能造成的影响评估报告。

 （3）准备好相关材料应对数据保护机构检查

   目前，距GDPR颁布已有接近两年的时间，企业要从个人数据保护合规体系建设的单一合规工作思路，向主动迎接和应对数据保护监管机构检查的工作思路转变。由于监管机构的检查可能是突然的，不会事先通知的，所以企业从现在开始要对以往数据保护工作从组织架构、人事任命、政策发布、风险识别、系统改造、组织技术措施、行业资质认证、合同及协议签署、员工能力提升及专业培训等方面进行体系化梳理：

05

—

欧洲保护监管机构联系方式

‍

    ‍为了便于各大出海企业同监管机构沟通，普华永道赛博星人谨整理及提供欧盟各国监管机构清单及联系信息（因篇幅限制，详细清单请联系作者获取）：

06

—

普华永道已协助众多“往外走”企业

实现了针对GDPR的全面合规

    ‍除中国外，普华永道在欧洲经济区多个国家，如德国、意大利、法国、比利时、卢森堡等国都设有个人数据保护团队。团队由资深的数据保护专家、法律专家技术专家构成，并有不同行业如能源、医疗、通讯、零售、房地产等领域的GDPR专家。普华永道华南区网络安全及隐私保护服务团队将会协同海外专家，充分发挥专业优势和地缘优势，为中国企业提供专业的应对数据保护及隐私保护监管机构方案，并为中国企业在欧盟的分支机构搭建同监管机构的沟通渠道。

    以下是普华永道在欧盟经济区的隐私保护服务团队一览图：

本文部分信息来源：

1.范睿，武汉大学国经评论，《欧盟<一般数据保护条例>（GDPR）首案介评》。

2.http://www.sohu.com/a/191700458_400678， 2018年11月2访问。

3.http://news.sina.com.cn/o/2018-10-29/doc-ifxeuwws9108467.shtml，11月4日访问。

4.https://edpb.europa.eu/about-edpb/board/members_en，11月4日访问。

本文始发于微信公众号（赛博星人）：后GDPR时代关键——企业如何与欧洲监管机构建立有效沟通渠道