目录
引言
| GDPR 官方网页 | https://ec.europa.eu/info/law/law-topic/data-protection_en | ||
| 完整法律文本 | https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679 | ||
| 指导文件(EDPB) | https://www.edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en | ||
思维导图
 |
1. Recital 序言概述
| 文档 | 条款 | 核心内容 | 关键内容 | 关联条款 |
| 立法基础与核心原则 | Recitals 1-11 | 数据保护作为基本权利 | Recital 1:数据保护是《欧盟基本权利宪章》第8条和《欧洲人权公约》第16条保障的基本权利。 Recital 2:GDPR旨在确保个人数据自由流动的同时保护隐私权。 Recital 3:数字时代的技术进步(如大数据、云计算)要求更严格的数据保护框架。 Recital 4:数据保护权并非绝对,需与其他权利(如言论自由、商业自由)平衡 | Article 1(立法目的)Article 8(基本权利) |
| Recitals 5-10 | 统一欧盟数据保护规则 | Recital 5:成员国数据保护法的差异阻碍内部市场运作,需统一标准。 Recital 6:GDPR采用技术中立原则,适应未来技术发展(如AI、物联网)。 Recital 7:强化数据主体权利与控制者义务,取代1995年指令(Directive 95/46/EC)。 Recital 8-9:允许成员国在特定领域(如雇佣关系)制定补充规则。 Recital 10:公共机构的数据处理需符合欧盟和成员国法律。 | Article 2(适用范围)Article 6(合法性基础) | |
| Recital 11 | 法规的适用范围与例外 | Recital 11:GDPR不适用于纯个人或家庭活动(如私人通讯录),但若数据公开或用于商业目的则受约束。 | Article 2(2)(c)(豁免范围) | |
| 适用范围与定义 | Recitals 12-15 | 地域适用范围 | Recital 12:明确GDPR适用于欧盟境内设立的数据控制者/处理者,无论数据处理行为是否发生在欧盟境内。 Recital 13:对"在欧盟境内设立"进行解释,包括通过稳定安排实际开展业务的情形。 Recital 14:保护范围不限于欧盟公民,包括所有在欧盟境内的自然人(如游客、短期居留者)。 Recital 15:成员国法院对GDPR相关案件拥有管辖权。 | Article 3(地域适用范围) |
| Recitals 16-18 | 不适用范围 | Recital 16:明确不适用于国家安全相关活动(属成员国主权范畴)。 Recital 17:不适用于自然人纯粹个人或家庭活动(如私人通讯录、家庭相册)。 Recital 18:不适用于与刑事犯罪调查、起诉相关的数据处理(由专门指令规范)。 | Article 2(适用范围限制) | |
| Recitals 19-30 | 关键定义解释 | Recital 19:对"个人数据"定义进行扩展解释,包括所有可识别或已识别自然人的信息。 Recital 20:明确匿名化数据的处理不受GDPR约束(需满足不可逆标准)。 Recital 21:对"基因数据"进行专门定义,包括染色体、DNA/RNA序列等。 Recital 22:解释"生物识别数据"包括指纹、面部识别等独特生物特征。 Recital 23-25:详细说明"健康数据"的范围,包括生理/心理健康状况、医疗记录等。 Recital 26:明确"数据主体同意"必须是具体、知情且明确的。 Recital 27-30:对"儿童数据"、"科研数据"等特殊类别进行界定。 | Article 4(定义条款) | |
| Recitals 31-33 | 特殊数据处理场景 | Recital 31:允许为历史、统计或科研目的处理特殊类别数据。 Recital 32:明确雇主处理员工健康数据的限制条件。 Recital 33:规定宗教/工会等组织处理成员数据的特殊规则。 | Article 9(特殊类别数据处理) | |
| 合法性基础与同意 | Recitals 34-37 | 合法性基础总则 | Recital 34:强调所有数据处理必须基于Article 6规定的六项合法基础之一 Recital 35:说明合同履行作为合法基础时,需严格限定在合同必要范围内 Recital 36:解释法定义务作为基础时,需明确具体的法律依据 Recital 37:界定公共利益任务的范围,包括公共卫生、社会保障等领域 | Article 6(1)(a)-(f)(合法性基础) |
| Recitals 38-45 | 同意(Consent)的特别规定 | Recital 38:明确儿童同意的特殊规则(13-16岁需监护人授权) Recital 39:强调同意必须通过清晰肯定的行动(opt-in) Recital 40:禁止将同意与其他声明捆绑(如合同条款) Recital 41:规定撤回同意必须与给予同意同样简便 Recital 42:详细说明"自由给予"同意的标准(无权力不平衡) Recital 43:禁止通过默认选项(如预勾选框)获取同意 Recital 44:区分一般同意与特殊类别数据的"明确同意" Recital 45:说明同意不能作为公共机构处理数据的合法基础 | Article 7(同意条件)、Article 8(儿童同意) | |
| Recitals 46-50 | 合法利益(Legitimate Interests)的适用 | Recital 46:列举可构成合法利益的典型情形: 欺诈预防 、网络信息安全 、直接营销 集团内部数据传输 Recital 47:强调必须进行"利益平衡测试"的三要素: 数据处理目的 、数据主体合理预期 、数据主体权利影响 Recital 48:规定控制者需记录利益评估过程 Recital 49:限制在敏感数据场景下的适用 Recital 50:明确公共机构一般不能依赖此基础 | Article 6(1)(f)(合法利益) | |
| 数据主体权利 | Recitals 51-59 | 透明性原则 | Recital 51:确立透明性为GDPR核心原则,要求信息提供清晰、易懂 Recital 52:规定隐私通知需分层呈现(如弹出式摘要+完整政策链接) Recital 53:特殊强调对儿童信息的透明性要求(使用儿童可理解语言) Recital 54:要求向监管机构公开处理活动的记录 Recital 55-57:细化信息提供的时间要求:直接收集数据时(Article 13):收集时立即提供间接收集数据时(Article 14):合理期限内(最迟1个月) Recital 58:允许电子化提供信息(如PDF、网页),但需确保可访问性 Recital 59:豁免重复提供信息的义务(如用户已持有该信息) | Article 12(透明沟通)、Article 13-14(信息提供义务) |
| Recitals 60-64 | 访问权(Right of Access) | Recital 60:确立访问权是数据主体行使其他权利的基础 Recital 61:规定响应时限(原则上1个月,复杂情况可延长至3个月) Recital 62:明确可收取合理费用的情形(仅限重复/过量请求) Recital 63:详细说明访问权包含的三要素:确认是否处理数据、访问被处理的数据、获取处理相关信息(目的、存储期等) Recital 64:允许提供数据副本(电子形式优先) | Article 15(访问权) | |
| Recitals 65-68 | 更正与删除权 | Recital 65:更正权适用于不准确或不完整数据(需提供补充声明) Recital 66:删除权(被遗忘权)的五大触发情形: 数据不再需要 、撤回同意 、非法处理 、遵守法定义务 、儿童数据 Recital 67:规定删除权的技术实现要求(包括备份数据) Recital 68:限制删除权的例外(如言论自由、法律诉讼需要) | Article 16(更正权)、Article 17(删除权) | |
| Recital 69 | 限制处理权 | 规定四种适用情形: 质疑数据准确性 、处理非法但拒绝删除 、不再需要但需法律用途 、待验证反对请求 、强调限制期间数据仅可存储(除非用户同意或法律需要) | Article 18(限制处理) | |
| Recitals 70-73 | 数据可携权 | Recital 70:界定可携数据的范围(仅限用户主动提供的数据) Recital 71:要求提供通用电子格式(如CSV、JSON) Recital 72:禁止利用可携权获取他人数据 Recital 73:明确不影响原始控制者的数据保留义务 | Article 20(数据可携权) | |
| 控制者与处理者的义务 | Recitals 74-81 | 责任原则与合规要求 | Recital 74:确立"责任原则"(Accountability),要求控制者主动证明合规 Recital 75:规定风险管理需考虑处理活动的性质、范围、目的和风险 Recital 76:明确数据保护影响评估(DPIA)的强制触发情形: 大规模处理敏感数据 、系统性监控公共区域 、自动化决策产生法律效力 Recital 77:要求记录处理活动(ROPA)包含6项核心要素 Recital 78:鼓励采用认证机制和行业行为准则 Recital 79:规定数据保护官(DPO)的独立性要求 Recital 80:强调集团企业可指定单一DPO Recital 81:豁免中小企业部分记录义务(员工少于250人且低风险处理) | Article 5(2)(责任原则)、Article 24-31(控制者义务) |
| Recitals 82-85 | 数据处理协议 | Recital 82:规定处理协议必须包含的11项强制性条款 Recital 83:明确处理者转包需获得控制者事先书面授权 Recital 84:要求处理者协助控制者履行数据主体权利 Recital 85:规定云服务等复杂场景需特别约定安全责任 | Article 28(处理者义务)、Article 29(子处理) | |
| Recitals 86-90 | 安全义务与数据泄露 | Recital 86:要求安全措施考虑"状态技术"(state of the art) Recital 87:列举典型安全措施: 加密/假名化 、系统弹性能力 、应急恢复程序 Recital 88:定义数据泄露的三种类型: 机密性破坏(如黑客入侵) 、完整性破坏(如数据篡改) 、可用性破坏(如勒索软件攻击) Recital 89:规定72小时泄露通知的起算时点(首次确认时) Recital 90:豁免通知的情形(泄露不会导致风险) | Article 32(安全保障)、Article 33-34(泄露通知) | |
| Recitals 91-93 | 数据保护影响评估(DPIA) | Recital 91:规定DPIA至少包含: 处理活动系统描述 、必要性评估 、风险分析 、应对措施 Recital 92:要求咨询监管机构对高风险处理的意见 Recital 93:允许采用标准化DPIA模板(如欧盟委员会发布的指南) | Article 35(DPIA)、Article 36(事前咨询) | |
| 数据跨境传输 | Recitals 94-103 | 传输原则与充分性认定 | Recital 94:确立跨境传输的基本原则——确保与欧盟同等保护水平 Recital 95:定义"充分性认定"的评估要素: 法治状况 、人权保障 、独立监管机构 Recital 96:规定充分性决定需每4年复审 Recital 97:允许部分行业/地区针对性认定(如仅认定某国金融业) Recital 98:说明充分性决定的法律效力(自动覆盖所有企业) Recital 99:列举欧盟现有充分性认定国家/地区(如日本、英国) Recital 100:明确监控计划作为维持认定的条件 Recital 101:规定紧急中止认定的程序 Recital 102:允许成员国对公共部门数据实施额外限制 Recital 103:确立欧盟委员会对充分性认定的专属权限 | Article 45(充分性决定) |
| Recitals 104-110 | 适当保障措施 | Recital 104:列举可采用的保障工具: 标准合同条款(SCC) 、有约束力的公司规则(BCR) 、认证机制 Recital 105:规定SCC需包含6项核心义务 Recital 106:细化BCR的批准流程(需主监管机构+EDPB双重认可) Recital 107:强调保障措施需考虑第三国法律访问权风险 Recital 108:允许行业组织制定特定领域传输方案 Recital 109:规定保障措施失效时的应急计划 Recital 110:豁免特定一次性传输的事先授权要求 | Article 46(适当保障) | |
| Recitals 111-115 | 克减情形(Derogations | Recital 111:列举9种克减情形(Article 49(1)): 数据主体明确同意 、履行合同必需 、重大公共利益 、法律索赔需要 、保护数据主体重大利益 、公共登记数据 、一次性少量传输 Recital 112:强调克减不得用于大规模系统性传输 Recital 113:要求记录克减使用情况备查 Recital 114:规定监管机构可禁止高风险克减传输 Recital 115:说明与第三国执法请求的特殊冲突规则 | Article 49(克减情形) | |
| 监管机制与法律责任 | Recitals 116-125 | 独立监管机构 | Recital 116:确立监管机构完全独立的法律地位 Recital 117:规定成员国需确保监管机构的3项核心能力: 调查权 、纠正权 、授权咨询权 Recital 118:细化监管机构组成要求(至少5名全职成员) Recital 119:禁止任意罢免监管机构成员(需司法审查) Recital 120:要求建立投诉处理在线平台 Recital 121:赋予监管机构主动调查权(无需依赖投诉) Recital 122:规定跨境案件"一站式"机制(主监管机构牵头) Recital 123:明确监管合作的信息共享义务 Recital 124:确立EDPB的争议裁决权 Recital 125:规定监管机构经费保障(不低于GDP的0.04%) | Article 51-59(监管机构) |
| Recitals 126-135 | 合作与一致性机制 | Recital 126:建立欧盟范围内的监管协作网络 Recital 127:规定"主导监管机构"的确定标准(主要营业地) Recital 128:要求成员国监管机构互派观察员 Recital 129:确立EDPB的4项核心职能: 争议解决 、指南制定 、认证认可 、国际协调 Recital 130:规定一致性机制的7类适用情形: 跨国行为准则 、充分性决定 、BCR批准 、认证标准 Recital 131:明确EDPB决定的约束力 Recital 132:设定紧急程序(最短2周作出决定) Recital 133:规定成员国执行EDPB决定的义务 Recital 134:建立监管机构年度联合行动机制 Recital 135:要求委员会每4年评估机制运行效果 | Article 60-67(合作机制) | |
| Recitals 136-150 | 救济与责任 | Recital 136:确立数据主体3项救济途径: 向监管机构投诉 、司法诉讼 、集体诉讼 Recital 137:规定非物质损害赔偿的索赔权 Recital 138:明确控制者/处理者的连带责任 Recital 139:细化举证责任倒置规则(控制者证明无过错) Recital 140:设定最低赔偿标准(不低于诉讼成本) Recital 141:允许非营利组织代表数据主体诉讼 Recital 142:规定成员国惩罚性赔偿制度 Recital 143:确立监管机构处罚的6项考量因素: 违规性质 、故意或过失 、缓解措施 、历史合规记录 、配合程度 、受影响数据类别 Recital 144:明确行政处罚不排除民事责任 Recital 145:规定刑事处罚与行政罚款的衔接规则 Recital 146:确立罚款分级制度(一般企业vs中小企业) Recital 147:要求公开重大处罚决定(隐去商业秘密) Recital 148:设定罚款收入专项用途(数据保护项目) Recital 149:规定时效规则(行政处罚3年/民事索赔5年) Recital 150:确立成员国更严格立法权(不影响跨境适用) | Article 77-84(救济机制)、Article 82-84(责任) | |
| 特殊数据处理与最终条款 | Recitals 151-163 | 特殊数据处理规则 | Recital 151:确立特殊数据的处理原则(禁止为默认,例外需严格论证) Recital 152:细化健康数据的3类合法处理情形: 公共卫生管理(如疫情追踪) 、医疗诊断治疗 、科研目的(需保障数据最小化) Recital 153:规定基因数据的特别保护要求(需单独明确同意) Recital 154:生物识别数据的限定使用场景(如机场安检) Recital 155:雇员数据处理需遵守"雇佣关系特殊性"原则 Recital 156:档案和历史研究数据的豁免规则(50年封闭期) Recital 157:统计数据的4项处理限制: 不可用于个体决策 、需技术隔离措施 、最长存储25年 、发布前匿名化 Recital 158:宗教/政党数据的禁止商业化条款 Recital 159:儿童数据的年龄弹性条款(成员国可在13-16岁间调整) Recital 160:犯罪数据的双层管控体系(官方登记vs民间收集) Recital 161:学术研究数据的宽限规则(可延期响应数据主体请求) Recital 162:规定电子通信元数据的特殊保护(存储最长6个月) Recital 163:公共开放数据的再利用限制(需重新评估合法性) | Article 9(特殊数据)、Article 85-91(特殊场景) |
| Recitals 164-173 | 实施与过渡条款 | Recital 164:规定成员国立法调整期限(2018年5月25日前) Recital 165:明确现存处理活动的合规过渡期(2年) Recital 166:个人数据定义延续 Directive 95/46/EC 判例法 Recital 167:授权欧盟委员会通过实施法案的程序(审查制) Recital 168:保留成员国更严格立法权的5个领域: 雇佣关系 、刑事司法 、学术研究 、宗教活动 、媒体自由 Recital 169:要求每4年评估GDPR实施效果(首评2022年) Recital 170:规定欧盟机构适用单独规则(EUDPR) Recital 171:废除 Directive 95/46/EC 但保留其解释性文件 Recital 172:确立英语等24种语言文本同等效力 Recital 173:规定生效日期(2016年5月24日)与适用日期(2018年5月25日) | Article 94-99(最终条款) |
2. Article 章节概述
| 章节 | 条款 | 核心 | 关键内容 |
| CHAPTER I 总则(General Provisions) | Article 1-4 | 定义法规的主题、目标、适用范围及核心术语 | Article 1:立法目标与主题(保护自然人数据权利与数据自由流动)。 Article 2:适用范围(适用于自动化/非自动化处理的个人数据,除外情形如个人家庭活动)。 Article 3:地域范围(适用于欧盟境内机构的数据处理,及境外机构针对欧盟主体的商品/服务提供或行为监控)。 Article 4:定义(明确“个人数据”“控制者”“处理者”“数据主体”等23项关键术语)。 |
| CHAPTER II: 数据处理原则(Principles) | Article 5-11 | 规定数据处理的基本原则和合法性基础。 | Article 5:数据处理原则(合法性、公平透明性、目的限制、数据最小化、准确性、存储限制、完整性与保密性、责任原则)。 Article 6:合法性基础(同意、合同履行、法定义务、公共利益、正当利益等6类)。 Article 7:同意条件(自由给予、明确、可撤回)。 Article 8:儿童同意(≥13岁可独立同意,否则需监护人授权)。 Article 9:特殊数据(禁止处理种族、健康等敏感数据,除非10类例外如明确同意)。 Article 10:刑事定罪数据(仅官方授权机构可处理)。 Article 11:匿名化(无需识别数据主体时可豁免部分义务)。 |
| CHAPTER III: 数据主体权利(Rights of the Data Subject) | Article 12-23 | 明确数据主体的具体权利及控制者义务。 | Article 12:透明沟通(以简洁清晰方式提供信息)。 Article 13-14:信息告知权(直接/间接收集数据时需披露处理目的、接收方等)。 Article 15:访问权(获取数据副本及处理详情)。 Article 16:更正权(修正不准确数据)。 Article 17:删除权(“被遗忘权”,如数据不再必要)。 Article 18:限制处理权(如数据准确性争议时暂停处理)。 Article 19:删除/更正通知义务(向接收方传达变更)。 Article 20:数据可携权(获取结构化数据并转移至其他控制者)。 Article 21:反对权(反对基于正当利益的营销/画像)。 Article 22:免受纯自动化决策权(如算法拒贷) Article 23:限制数据主体权利(在特定情况下,如国家安全、刑事调查、公共安全等,允许限制数据主体的访问权、纠正权、删除权等权利) |
| CHAPTER IV: 控制者与处理者义务(Controller and processor) | Article 24-43 | 规定数据控制者与处理者的责任与合规要求 | Article 24:控制者责任(实施技术组织措施确保合规)。 Article 25:设计默认的数据保护(Privacy by Design & Default)。 Article 26:联合控制者(共同责任分配)。 Article 27:欧盟代表(境外控制者需指定代表)。 Article 28:处理者(书面授权、安全承诺、不得转委托)。 Article 29:处理者行为限制(仅按控制者指示处理)。 Article 30:处理活动记录(维护数据处理日志)。 Article 31:监管合作(响应监管机构要求)。 Article 32:安全保障(加密、漏洞管理)。 Article 33-34:数据泄露通知(72小时内报告监管机构及受影响主体)。 Article 35:DPIA(高风险处理需评估影响)。 Article 36:事先咨询(高风险处理前需协商监管机构)。 Article 37-39(内部合规角色):数据保护官DPO(指定、职责与核心任务)。 Article 40-41(外部合规工具): 行为准则&监督机构(SA认可的机构审核是否符合) Article 42-43(外部合规工具): 认证机构(通过SA认可的机构证明企业数据处理合规) |
| CHAPTER V: 跨境数据传输(Transfers of Personal Data to Third Countries) | Article 44-50 | 规范向欧盟境外传输数据的条件。 | Article 44:一般原则(传输需合法保障)。 Article 45:充分性认定(欧盟委员会认可的国家/地区如日本、韩国)。 Article 46:适当保障措施(SCCs、BCRs、行为准则等)。 Article 47:有约束力的公司规则(BCRs的集团内部传输框架)。 Article 48:法院/行政机构要求的传输(非欧盟法律命令无效)。 Article 49:减损情形(明确同意、重大公共利益等例外)。 Article 50:国际合作(推动全球数据保护标准)。 |
| CHAPTER VI: 监管机构与协作(Independent supervisory authorities) | Article 51-59 | 成员国监管机构(SAs)的设立与职能。 | Article 51:监管机构设立(成员国需设立独立机构如法国CNIL)。 Article 52:独立性要求(免受外部干预)。 Article 53:成员资格(专业性与任期保障)。 Article 54:设立规则(法律明确职权)。 Article 55-56:权限范围(主导监管机构机制)。 Article 57:职责(监督合规、处理投诉)。 Article 58:调查与纠正权(审计、罚款、禁令)。 Article 59:年度报告(公开活动总结)。 |
| CHAPTER VII 合作与一致性(Cooperation and Consistency) | Article 60-67 | 建立监管机构协作机制及争议解决框架 | 第一节 合作 Article 60:主导机构协作(跨境案件协调)。 Article 61:互助义务(信息共享与联合调查)。 Article 62:联合行动(跨境执法合作)。 第二节 一致性 Article 63-64:一致性机制(EDPB发布指南与意见)。 Article 65:争议解决(EDPB裁决监管机构分歧)。 Article 66:紧急程序(临时措施应对高风险)。 Article 67:信息交换(建立安全通信渠道)。 第三节 欧盟数据保护董事会 Article 68:EDPB组成(成员国监管机构+EDPS) Article 69:决策独立性(不受外部干预) Article 70:任务清单(指南制定、争议仲裁等) Article 71:向欧盟机构提交年度执行报告 Article 72:决策规则(简单多数/三分之二多数表决) Article 73:主席职能(代表、主持会议) Article 74:秘书处支持(欧盟委员会提供) Article 75:保密义务(涉密信息不公开) Article 76:利益冲突回避(违规决策可无效) |
| CHAPTER VIII: 补救措施与处罚(Remedies, liability and penalties) | Article 77-84 | 数据主体救济途径与违规处罚。 | Article 77:投诉权(向监管机构申诉)。 Article 78-79:司法救济权(起诉监管机构或控制者)。 Article 80:代表诉讼(非营利组织代行权利)。 Article 81:诉讼中止(等待EDPB意见)。 Article 82:损害赔偿(控制者/处理者连带责任)。 Article 83:行政处罚(分两级罚款:最高2,000万欧元或全球营收4%)。 Article 84:刑事处罚(成员国制定补充刑罚)。 |
| CHAPTER IX 特定处理情形 (Specific Processing Situations) | Article 85-91 | 豁免或调整部分义务的特殊场景 | Article 85:言论自由与新闻(媒体处理数据可豁免删除权)。 Article 86:公共访问档案(政府档案披露豁免目的限制)。 Article 87:国民身份证号(限制使用场景)。 Article 88:雇佣场景(成员国可制定细则)。 Article 89:科研/统计/档案(放宽存储限制,需保障措施)。 Article 90:保密义务(法律专业保密优先)。 Article 91:教会规则(宗教机构自有规则效力)。 |
| CHAPTER X 授权与实施法案 (Delegated Acts and Implementing Acts) | Article 92-93 | 授权欧盟委员会制定实施细则 | Article 92:授权法案(委员会可补充技术细节)。 Article 93:委员会程序(成员国专家参与审议)。 |
| CHAPTER XI 最终条款 (Final Provisions) | Article 94-99 | 法规过渡安排与生效时间 | Article 94:废除旧指令(95/46/EC失效)。 Article 95:与ePrivacy指令关系(2002/58/EC并行适用)。 Article 96:现有国际协议(需符合GDPR)。 Article 97:委员会报告(每4年评估法规)。 Article 98:其他法案审查(更新欧盟旧法)。 Article 99:生效时间(2016年5月24日通过,2018年5月25日适用)。 |
3. 逐条解读
| 章节 | 条款 | 优先级 | 模块 | 参考资料(具体出处) | 解读动作 | 落地动作 |
| CHAPTER I - GENERAL PROVISIONS | Art. 1 | 主题与目标 | / | / | / | |
| Art. 2 | P0 | 材料范围 | 《EU - GDPR overview - DG.pdf》概要 | 确认GDPR适用于您的平台。平台通过监控患者睡眠的自动化手段处理个人数据,完全在GDPR管辖范围内。 | 1. 确立合规范围:整个数据管理平台的所有数据处理活动均需符合GDPR。 | |
| Art. 3 | P0 | 地域范围 | 《edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf》 | 无论平台运营者(控制者)是否在欧盟境内,只要平台向欧盟数据主体提供产品或服务(如欧洲患者使用),或监控其在欧盟内的行为(如睡眠),就受GDPR约束。 | 1. 市场评估:若欧洲有患者使用,则必须全面遵守GDPR。 2. 指定代表:若公司在欧盟无设立机构,需根据Art. 27在欧盟指定一名代表。 | |
| Art. 4 | P0 | 定义 | 《edpb_guidelines_202005_consent_en.pdf》 (全文);《EU - GDPR overview - DG.pdf》 (概要) | 明确关键概念: 1. 个人数据:患者信息、睡眠数据均为个人数据。 2. 健康数据:睡眠数据是特殊类别的个人数据(Art. 9)。 3. 处理:采集、存储、分析、转发均属于处理。 4. 同意:必须是自由给出、具体、知情且明确的(见Guidelines 05/2020)。 | 1. 数据分类:标识所有处理的数据类型,特别是健康数据。 2. 同意管理:确保获取用户同意的流程符合“明确”要求(如单独勾选,而非预勾选),并参考EDPB同意指南设计流程。 | |
| CHAPTER II - PRINCIPLES | Art. 5 | P0 | 数据处理原则 | 《EU - GDPR overview - DG.pdf》 (概要,数据处理原则);《edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf》 (引用Art. 5(1)(e), (f)) | 所有处理活动必须遵循以下原则: 1. 合法、公平、透明 (1)(a) 2. 目的限制 (1)(b):收集用于睡眠报告的数据,不能随意用于其他目的(如营销)。 3. 数据最小化 (1)(c):只收集与睡眠报告相关的必要数据。 4. 准确性 (1)(d) 5. 存储限制 (1)(e):数据不能无限期存储。 6. 完整性与保密性 (1)(f):必须保证数据安全。 | 1. 隐私政策:撰写并发布清晰的政策,说明数据处理如何遵守这些原则。 2. 数据清单(ROPA):建立数据处理记录,记录每个处理活动的目的、数据类型、法律依据等。 3. 数据保留策略:制定并执行数据归档和删除时间表。 4. 安全措施:实施加密、访问控制等安全技术(见Art. 32)。 |
| Art. 6 | P0 | 处理的合法性 | 《edpb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf》 (全文);《edpb_guidelines_202005_consent_en.pdf》 (第6节) | 为处理个人数据提供法律依据。转发数据给第三方通常需要明确同意。为提供核心服务(报告)可能基于合同履行。 | 1. 确定法律依据: - 核心服务(提供报告):评估是否基于合同履行(Art. 6(1)(b))或同意(Art. 6(1)(a))。 - 数据转发第三方:必须获得用户的明确同意(Art. 6(1)(a))。 2. 记录:在ROPA中明确记录每项处理活动的法律依据。 | |
| Art. 7 | P1 | 同意的条件 | 《edpb_guidelines_202005_consent_en.pdf》 (第3, 4节);《EU - GDPR overview - DG.pdf》 (概要) | 同意必须能被证明是自由给出、具体、知情且明确的。不能与合同条款捆绑。必须能方便地撤回。 | 1. 同意管理:设计流程,确保每次征求同意时都清晰说明目的,并记录同意的时间和文本。 2. 撤回机制:在用户界面提供显眼的“撤回同意”按钮,撤回应与给予同样容易。 | |
| Art. 8 | 适用于儿童的条件 | / | / | / | ||
| Art. 9 | P0 | 特殊类别数据处理 | 《EU - GDPR overview - DG.pdf》 (概要);《edpb_guidelines_202005_consent_en.pdf》 (第8.3节) | 睡眠数据是健康数据,属于特殊类别,处理原则上是禁止的,除非有特定例外情况。 | 1. 依赖例外条款:最相关的例外是用户的明确同意(Art. 9(2)(a)) 或 预防医学、医疗诊断(Art. 9(2)(h))(需由医疗专业人员执行)。 2. 显式同意:获取处理健康数据的同意必须是“显式”的,要求更高,通常需要单独、明确的声明。 | |
| Art. 10 | 刑事定罪和犯罪的数据处理 | / | / | / | ||
| Art. 11 | P1 | 无需识别的处理 | 《edpb_guidelines_202501_pseudonymisation_en.pdf》 (全文) | 如果数据经过匿名化或伪匿名化处理,无法识别个人,则许多GDPR义务不再适用。伪匿名化是推荐的安全措施。 | 1. 探索伪匿名化:考虑在数据用于分析或转发给研究第三方时,使用伪匿名化技术(如用假名替换直接标识符),以降低合规风险。 2. 注意:伪匿名化数据仍属个人数据,需保护,但风险已降低。 | |
| CHAPTER III - RIGHTS OF THE DATA SUBJECT | Art. 12 | P0 | 透明度与沟通模式 | 《edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf》 (第8, 128, 157段);《DSR - GDPR - DG.pdf》 (“Format of response”) | 这是履行所有数据主体权利的基础。要求您以简洁、透明、易懂、易于访问的形式,使用清晰平实的语言提供所有信息和沟通,并协助数据主体行使其权利。必须在1个月内回复请求,复杂情况可延长2个月。 | 1. 设立专用请求通道:在平台内设置并公布一个专用电子邮件地址(如 dpo@yourcompany.com)或功能入口,专门用于接收用户的权利请求。 2. 制定标准化响应流程: - 建立内部工单系统,确保所有请求被记录、跟踪并在法定期限(1+2个月) 内响应。 - 培训客服团队如何识别和转发这些请求。 3. 准备响应模板:为提供数据访问包、拒绝请求、通知延期等常见场景准备标准化回复模板,确保语言符合要求。 4. 身份验证:建立安全、最小化的身份验证流程,以防冒名请求。 |
| Art. 13 | P0 | 从数据主体收集数据时需提供的信息 | 《DSR - GDPR - DG.pdf》 (第4.1节);《wp251rev_01_en_...pdf》 | 当您直接从患者那里收集数据时(如注册账户、填写信息),必须立即提供大量信息,包括:您的身份、处理目的、法律依据、数据接收者、存储期限、用户权利等。 | 1. 编写隐私声明/通知:制定一份详细的隐私政策,包含Art. 13要求的所有信息点。 2. 主动提供:在用户注册流程中,在收集任何数据之前,主动弹出此隐私政策链接,并要求用户明确勾选同意(对于基于同意的处理)。 | |
| Art. 14 | P1 | 未从数据主体处收集数据时需提供的信息 | 《DSR - GDPR - DG.pdf》 (第4.1节) | 如果您从第三方(如医院)而非直接从未患者处获得数据,您需在合理期限内(通常不超过1个月)提供类似Art. 13的信息。 | 1. 建立通知流程:如果您的数据来源是第三方,制定一个流程,在获得数据后的规定时间内向患者发送包含所需信息的通知。 2. 记录来源:在您的ROPA中清晰记录数据的来源。 | |
| Art. 15 | P0 | 数据访问权 | 《edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf》 (全文);《DSR - GDPR - DG.pdf》 (第4章) | 用户有权确认您是否在处理其个人数据,如果是,有权访问该数据并获得一份副本。访问权是核心权利之一。 | 1. 开发数据导出功能:在平台后台开发功能,能一键导出某个用户的所有个人数据(包括账户信息、设备ID、所有睡眠报告数据等),并以常用电子格式(如JSON, CSV)提供。 2. 流程整合:将此功能与您的Art. 12请求响应流程整合,确保能在收到请求后快速提供数据包。 | |
| Art. 16 | P1 | 更正权 | 《DSR - GDPR - DG.pdf》 (第5章);《wp251rev_01_en_...pdf》 | 用户有权要求您更正其不准确的个人数据。 | 1. 提供用户自助修改功能:允许用户在其账户页面直接修改个人信息(如姓名、联系方式)。 2. 设立手动更正流程:对于用户无法直接修改的数据(如睡眠报告中的注释),通过Art. 12的请求通道接收更正要求,并由管理员在后台执行。 | |
| Art. 17 | P1 | 删除权(被遗忘权) | 《DSR - GDPR - DG.pdf》 (第6章) | 在特定条件下(如数据不再需要、用户撤回同意),用户有权要求您删除其个人数据。注意:医疗数据可能因履行法定义务(如法定保存期限)而不能立即删除。 | 1. 开发数据删除功能:在后台开发安全的数据删除功能,能清除用户的所有相关数据。 2. 制定删除策略:明确在什么条件下执行删除,什么条件下可以依法拒绝(并记录拒绝理由)。将删除功能与数据保留策略关联。 | |
| Art. 18 | P1 | 限制处理权 | 《DSR - GDPR - DG.pdf》 (第7章) | 在特定争议期(如用户质疑数据准确性),用户有权要求您暂时停止处理其数据(存储除外)。 | 1. 理解该权利:培训团队识别什么情况下用户要求的是“限制处理”而非删除。 2. 技术实现:在数据库或应用层面设计功能,能够对特定用户的数据打上“限制处理”标签,使其在业务处理中不被使用。 | |
| Art. 19 | P1 | 关于更正或删除的个人数据通知义务 | 《DSR - GDPR - DG.pdf》 (第4.1, 6.8节) | 如果您更正或删除了个人数据,您必须通知曾接收该数据的每个第三方(如您转发过的研究机构),除非不可能或需要 disproportionate effort(付出不相称的努力)。 | 1. 记录数据接收方:在您的ROPA或数据流转记录中,明确记录哪些数据被发送给了哪些第三方。 2. 建立通知流程:当根据用户请求执行更正或删除后,制定流程通知相关第三方。 | |
| Art. 20 | P1 | 数据可携权 | 《DSR - GDPR - DG.pdf》 (第9章) | 用户有权以结构化、常用、机器可读的格式接收他们提供给您的数据,并有权将这些数据传输给另一个控制者。这对您基于同意处理的数据尤其相关。 | 1. 与技术实现:这与Art. 15的访问权类似,但更强调互操作性。确保您提供的数据导出格式是通用的(如CSV, JSON)。 2. 区分数据:此权利主要适用于用户主动提供的、基于同意的数据,可能不适用于您通过分析得出的衍生数据。 | |
| Art. 21 | P1 | 反对权 | 《DSR - GDPR - DG.pdf》 (第8章) | 用户有权反对基于合法利益(Art. 6(1)(f))或公共利益/官方权威(Art. 6(1)(e))的处理,包括为直接营销目的而进行的处理。 | 1. 提供退出选项:如果在隐私政策中声称基于合法利益进行任何处理(如数据分析以改进产品),必须提供明确的“选择退出”机制。 2. 处理营销反对:如果进行营销,所有营销邮件必须包含清晰的“取消订阅”链接。 | |
| Art. 22 | P1 | 自动化决策和画像 | 《DSR - GDPR - DG.pdf》 (第11章);《wp251rev_01_en_...pdf》 | 用户有权不受完全基于自动化处理(包括画像) 的决定的约束,如果该决定会产生法律或类似重大影响(如自动拒绝信贷、自动医疗诊断)。 | 1. 评估业务逻辑:审查您的平台是否使用算法自动生成具有重大影响的诊断结论。如果是,必须: - 告知用户。 - 提供人工干预途径,允许用户表达观点和对决定提出异议。 2. 提供替代方案:确保用户可以选择退出自动化决策。 | |
| Art. 23 | P1 | 限制 | 《edpb_guidelines202010_on_art23_adopted_after_consultation_en.pdf》 (全文);《DSR - GDPR - DG.pdf》 (多处引用) | 成员国或欧盟法律可以立法限制第12至22条的权利,但必须是为了保障国家安全、公共利益等特定目标,且是民主社会中所必需和相称的措施。 | 1. 知晓可能性:了解您业务所在欧盟成员国的法律,看是否有相关限制条款。 2. 通知义务:如果依赖了某国的限制条款来拒绝用户的权利请求,您必须告知用户此事(除非该告知本身会损害限制的目的)。 | |
| CHAPTER IV - CONTROLLER AND PROCESSOR | Art. 24 | P0 | 控制者的责任 | 《EU - GDPR overview - DG.pdf》 (概要) | 作为控制者,您必须实施适当的技术和组织措施(TOMs),以确保并能证明您的处理活动符合GDPR。这需要贯穿数据处理的全生命周期。 | 1. 建立合规框架:制定内部数据保护政策、流程和指南。 2. 实施并记录:执行TOMs(如加密、访问控制、员工培训)并持续记录这些措施,以构建您的“证明”证据链。 3. 定期审查:定期(如每年)审查和更新这些措施。 |
| Art. 25 | P1 | 数据保护的设计与默认设置 | 《wp29-gdpr-dpia-guidance_final.pdf》 (DPIA清单) | 您必须在决定处理手段之初(设计阶段)和实施处理时(默认设置),就融入数据保护原则(如数据最小化)。 | 1. 隐私设计(Privacy by Design):在开发新功能或产品时,让法务/合规团队提前介入,评估隐私影响。 2. 默认隐私(Privacy by Default):确保平台默认设置只处理为实现特定目的所必需的最少量数据。 | |
| Art. 26 | P1 | 联合控制者 | 提供的文档中未对此条进行具体解读。 | 如果您的平台与其他公司(如医院)共同决定数据处理的目的和方式,你们是联合控制者,必须以透明的方式订立协议,明确各自的责任。 | 1. 评估关系:审视您与合作伙伴的关系,判断是否为“联合控制者”。 2. 订立协议:如果是,必须签订联合控制者协议,明确各自的责任划分,特别是向数据主体提供核心信息的责任。 | |
| Art. 27 | P1 | 欧盟代表 | 《edpb_guidelines_05-2021...》 (第3.3节) | 如果您(控制者或处理者)在欧盟内没有设立机构,但处理活动受GDPR第3(2)条管辖(如监控欧盟数据主体),则必须书面指定一名欧盟代表。 | 1. 自我评估:确认您的公司是否在欧盟境内有分支机构。 2. 指定代表:如果没有,必须联系并委托一家专业的机构担任您的欧盟代表,并将代表的联系方式公开在隐私政策中。 | |
| Art. 28 | P0 | 处理者 | 《edpb_guidelines_202402_obligations_controller_processor_en.pdf》 (全文);《EU - GDPR overview - DG.pdf》 (概要) | 您只能选用能提供充分保证的处理者。您与处理者之间的合作必须由一份数据处理协议(DPA) 来约束,该协议明确规定了处理者的义务。 | 1. 供应商评估:在选用任何云服务、分析工具等第三方(处理者)前,评估其安全性和合规性。 2. 签订DPA:必须与所有处理者签订DPA。大型云服务商(如AWS, Azure)通常提供标准DPA,需确保签署。 | |
| Art. 29 | 无 | 在处理者授权下的处理 | 提供的文档中未对此条进行具体解读。 | 处理者或其下属处理者只有在获得控制者(您)的明确授权后才能处理数据。 | 此条责任主要在处理者方。您在DPA中应要求处理者保证其下属处理者遵守相同义务。 | |
| Art. 30 | P0 | 处理活动记录 | 《EU - GDPR overview - DG.pdf》 (概要) | 您必须以书面形式(包括电子形式)维护一份处理活动记录(ROPA),其中详细列出您的所有处理活动。 | 1. 创建ROPA:立即启动并创建您的处理活动记录文件(可使用Excel或专用软件)。 2. 持续更新:记录内容需包括:处理目的、数据类别、接收者、转移、存储期限、安全措施等。这是监管机构核查的首要文件。 | |
| Art. 31 | P1 | 与监管机构的合作 | 提供的文档中未对此条进行具体解读。 | 您必须应要求与监管机构(如数据保护局)合作。 | 1. 指定联系人:内部明确谁负责与监管机构沟通(通常是DPO或法务)。 2. 建立流程:制定内部流程,确保在收到监管机构问询时能及时、准确地响应。 | |
| Art. 32 | P0 | 处理的安全性 | 《edpb_guidelines_202401_legitimateinterest_en.pdf》 (引用);《edpb_guidelines_202501_pseudonymisation_en.pdf》 (全文) | 您必须实施适当的技术和组织措施来确保数据安全,考虑最新技术、实施成本、处理性质/范围/目的以及风险。加密和伪匿名化是典型措施。 | 1. 风险评估:对您的数据处理活动进行安全风险评估。 2. 实施安全措施:根据风险,至少实施: - 传输和存储加密(如TLS, AES)。 - 严格的访问控制(权限最小化原则)。 - 系统冗余和备份。 - 员工安全培训。 3. 定期测试:定期评估和测试安全措施的有效性。 | |
| Art. 33 | P0 | 向监管机构通知个人数据泄露 | 《EU - GDPR overview - DG.pdf》 (概要) | 发生数据泄露时,如可能对个人权利自由带来风险,必须在知悉后72小时内向监管机构报告,除非泄露不可能导致风险。 | 1. 制定泄露响应计划:建立包含检测、分析、遏制、通知、评估的完整流程。 2. 准备报告模板:提前准备好数据泄露通知的模板,以确保在紧急情况下能快速填写关键信息上报。 | |
| Art. 34 | P0 | 向数据主体通知个人数据泄露 | 《edpb_guidelines202010_on_art23_adopted_after_consultation_en.pdf》 (第84段,将其列为可被Art.23限制的权利) | 如果数据泄露可能给数据主体带来高风险,您还必须毫不延迟地将泄露情况通知受影响的用户。 | 1. 评估风险:在发生泄露后,评估其对用户的风险(如泄露的是加密数据还是明文健康数据)。 2. 准备通知模板:为用户通知准备模板,内容需清晰描述泄露性质、建议的缓解措施等。 | |
| Art. 35 | P0 | 数据保护影响评估(DPIA) | 《wp29-gdpr-dpia-guidance_final.pdf》 (全文);《EU - GDPR overview - DG.pdf》 (概要) | 当处理(特别是使用新技术)可能带来高风险时,必须在处理之前进行DPIA。系统性大规模监控、处理特殊类别数据(如健康数据)通常需要DPIA。 | 1. 立即启动DPIA:您的业务(处理健康数据)极有可能需要进行DPIA。这是当前最高优先事项之一。 2. 执行评估:按照指南模板,系统性地评估您的处理活动对用户权利的影响,并制定缓解措施。 | |
| Art. 36 | P1 | 事先咨询 | 《wp29-gdpr-dpia-guidance_final.pdf》 (第5.5节) | 如果DPIA显示处理存在高风险且无法通过措施有效缓解,您必须在开始处理前咨询监管机构。 | 1. 评估DPIA结果:完成DPIA后,如果认为风险无法充分控制,应联系监管机构进行咨询。 2. 准备材料:准备好DPIA报告等材料,以备咨询之需。 | |
| Art. 37 | P1 | 数据保护官(DPO)的任命 | 《EU - GDPR overview - DG.pdf》 (概要) | 在三种情况下必须任命DPO:1. 公权机构;2. 核心活动涉及大规模系统性监控;3. 核心活动涉及大规模处理特殊类别数据(如健康数据)。 | 1. 评估义务:您的核心活动是处理健康数据,很可能强制要求您任命一名DPO。 2. 任命DPO:任命内部或外部的专业人士担任DPO,并将其联系方式公开给监管机构和数据主体。 | |
| Art. 38 | P1 | DPO的职位 | 提供的文档中未对此条进行具体解读。 | 确保DPO能够独立履职,并尽早介入所有与数据保护相关的事务。 | 1. 保障独立性:确保DPO不会因履行职责而收到处罚,并可直接向最高管理层汇报。 2. 提供资源:为DPO提供执行任务所需的资源和支持。 | |
| Art. 39 | P1 | DPO的任务 | 提供的文档中未对此条进行具体解读。 | DPO的核心任务包括提供建议、监控合规、培训员工、与监管机构合作等。 | 1. 明确职责:在DPO的职位描述中明确其Art. 39规定的任务。 2. 定期沟通:建立与DPO的定期沟通机制,让其审查所有与数据保护相关的项目。 | |
| Art. 40 | 无 | 行为准则 | 《edpb_guidelines_codes_conduct_transfers_after_public_consultation_en_1.pdf》 (全文) | 行业可以制定行为准则,作为GDPR的具体应用指南。 | 目前可将其视为行业最佳实践参考,非强制要求。 | |
| Art. 41 | 无 | 行为准则的监督 | 提供的文档中未对此条进行具体解读。 | 涉及对遵守行为准则的组织的监督机制。 | / | |
| Art. 42 | 无 | 认证 | 提供的文档中未对此条进行具体解读。 | 机构可以提供数据保护认证,以证明处理的合规性。 | 可将其视为未来增强信任和证明合规性的可选手段,非强制要求。 | |
| Art. 43 | 无 | 认证机构 | 提供的文档中未对此条进行具体解读。 | 涉及认证机构本身的资质和要求。 | / | |
| CHAPTER V - TRANSFERS OF PERSONAL DATA TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS | Art. 44 | P0 | 跨境传输的总原则 | 《edpb_guidelines_05-2021...》 (第1.2节);《EU - GDPR overview - DG.pdf》 (概要) | 任何向第三国或国际组织的传输,都必须遵守本章规定,并确保数据主体权利在第三方得到充分保护。这意味着您必须为每一次跨境传输找到合法的“桥梁”。 | 1. 数据流地图:绘制清晰的数据流地图,精确识别数据从收集、存储到处理的所有环节,明确标注出任何数据跨越欧盟边界的节点。 2. 识别传输法律依据:为每一个跨境传输节点,选择并记录下您所依赖的合法传输工具(如下述条款)。 |
| Art. 45 | P0 (若适用) | 基于充分性决定的传输 | 《edpb_guidelines_05-2021...》 (第3.1节) | 这是最直接的传输机制。如果欧盟委员会认定某个第三国、地区或行业部门能提供“充分”的数据保护水平,则向该地的传输无需额外授权。注意:中国目前不在充分性认定名单上。 | 1. 查询名单:定期查看欧盟委员会的充分性决定最新名单。 2. 优先使用:如果您的数据接收方位于被认定具有充分保护水平的国家(如英国、瑞士、日本、韩国等),这是最便捷的途径。 | |
| Art. 46 | P0 (最常用) | 带有适当保障措施的传输 | 《edpb_guidelines_05-2021...》 (第3.2节);《edpb_guidelines_codes_conduct_transfers_after_public_consultation_en_1.pdf》 (全文) | 这是最常用的跨境传输机制。当没有充分性决定时,您可以通过提供“适当保障措施”来传输数据,并确保数据主体享有可执行的权利和有效的法律救济。 | 您必须实施以下措施之一: 1. 有约束力的公司规则(BCR):适用于集团内部传输,申请流程复杂且耗时。 2. 标准合同条款(SCCs):这是目前最普遍、最实用的解决方案。欧盟委员会已通过新版SCCs。 3. 行为准则、认证机制等(较少用)。 | |
| 落地动作 - SCCs | 1. 签订SCCs:必须与所有位于非充分性认定国家的数据处理者(如云服务商AWS/Azure)签订最新的欧盟SCCs。 2. 补充评估:仅签订SCCs不够。您必须进行 “传输影响评估(TRA)” ,评估数据接收方所在国的法律和实践是否会妨碍SCCs的有效性(特别是政府访问数据的风险)。 3. 补充措施:如果TRA评估发现风险,必须实施额外的技术(如强加密)、合同或组织措施来弥补。 | |||||
| Art. 47 | P2 | 有约束力的公司规则 | 《edpb_guidelines_05-2021...》 (第3.2.1节) | BCR是集团内部批准的一套数据保护政策,适用于跨国企业集团内部的跨境数据传输。需要获得监管机构批准。 | 1. 评估必要性:通常只有大型跨国集团会采用此方案,因其流程复杂、成本高、审批时间长。 2. 申请批准:如需申请,需准备大量文件并向 lead supervisory authority(主导监管机构)提交审批。 | |
| Art. 49 | P1 (例外情况使用) | 特定情况下的豁免 | 《edpb_guidelines_05-2021...》 (第3.3节);《edpb_guidelines_2_2018_derogations_en_0.pdf》 (全文) | 这是一系列例外情况,只有在无法通过Art.45或46进行传输,且传输是偶尔进行的、非重复性的情况下,才能使用。不能作为常规跨境运营的依据。 | 必须谨慎使用,并严格限制范围: 1. 明确同意:数据主体在被告知风险后明确表示同意某次特定传输。 2. 履行合同:为履行与数据主体的合同所必需(如应其要求预订海外酒店)。 3. 重大公共利益等。 重要限制:对于处理健康数据的平台,绝不能依赖“同意”作为常规跨境传输的法律依据,因为EDPB认为同意在这种情况下不可能是“自由的”。 | |
| CHAPTER VI - INDEPENDENT SUPERVISORY AUTHORITIES CHAPTER VII - COOPERATION AND CONSISTENCY | 监管机构 (SA) | P1 | 每个欧盟成员国都设立一个或多个独立的公共机构负责监督GDPR的实施(例如,法国的CNIL,德国的柏林联邦数据保护和信息自由专员)。 | 1. 识别主导监管机构 (Lead SA):如果您的处理活动在多个成员国发生,根据“主要机构”所在地原则,只有一个监管机构作为主导与您进行主要互动。通常,这是您公司在欧盟内的主要决策所在地的机构。 2. 建立联系渠道:明确您的主导监管机构是谁,并关注其发布的任何国家层面的具体指南或要求。 | ||
| 一站式服务 (OSS) | P1 | 这是为了方便在多个成员国运营的企业而设立的机制。您只需要与您的主导监管机构打交道,它将成为您的主要联络点和执法者。 | 1. 利用机制:您的大部分合规事务(如DPIA咨询、数据泄露报告)只需向主导监管机构报告即可,由它协调其他相关机构。 2. 例外情况:对于本地化的、仅限于单一成员国的投诉或处理,当地的监管机构仍有权处理。 | |||
| 欧盟数据保护委员会 (EDPB) | P1 | EDPB由各成员国的监管机构代表组成。它的作用是确保GDPR在欧盟范围内应用的一致性。它发布具有高度参考价值的指南(如您文档中的那些)、意见和决定。 | 1. 关注指南:EDPB发布的指南是解释GDPR条款的最权威实践文件。您必须定期关注EDPB官网,查看与您业务相关的最新指南和意见,并据此调整合规策略。 2. 遵守决定:在特定跨境案件中,EDPB会做出具有约束力的决定,必须遵守。 | |||
| CHAPTER VIII - REMEDIES, LIABILITY AND PENALTIES | Art. 77-84 | P0 | 数据主体的救济与赔偿 | 数据主体有权向监管机构投诉,并有权就因违规行为遭受的物质或非物质损害获得赔偿。 | 1. 尊重权利:建立有效的内部流程,及时响应数据主体的访问、更正、删除等请求,避免引发投诉和索赔。 2. 购买保险:考虑购买网络安全与数据隐私责任保险,以应对潜在的巨额索赔和法律费用。 | |
| Art. 82 | P0 | 责任 | 控制者和处理者都可能为造成的损害承担责任。如果多方参与同一处理,则需承担连带责任以确保数据主体获得全额赔偿。 | 1. 明确合同责任:在与处理者(供应商)的DPA中,明确约定因处理者违约导致违规时的责任划分和赔偿条款,但这不影响您对数据主体的首要责任。 2. 尽职调查:您对处理者的选择和监督(Art. 28)是证明您已尽到责任的关键。 | ||
| Art. 83 | P0 | 一般处罚条件 | 规定了监管机构在决定是否罚款及罚款数额时应考虑的因素,包括违规的性质、严重性、持续时间、意图、采取的缓解措施、合作程度等。 | 1. 文档化一切:您所有的合规努力(DPIA、ROPA、培训记录、安全措施评估、与监管机构合作的记录)都是在可能面临处罚时用于减轻责任的关键证据。 2. 主动合作:如发生事件,积极与监管机构合作,主动报告并采取补救措施。 | ||
| Art. 83 (4)-(6) | P0 | 罚款金额 | 罚款分为两级: 较低级别:最高1000万欧元或全球年营业额的2%(以较高者为准)。适用于程序性违规(如记录保存、DPO任命、DPA签订等)。 较高级别:最高2000万欧元或全球年营业额的4%(以较高者为准)。适用于核心原则性违规(如无合法依据处理、侵犯数据主体权利、跨境传输违规等)。 | 您的健康数据处理业务涉及的核心义务(合法依据、安全措施、DPIA)几乎全部属于较高级别的罚款范畴。 必须将合规提升到最高战略优先级。 |
扫一扫
188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
