• 过去与现在,脚踏实地。 展望美好未来,了然于胸。
  • 精准,时机, 着眼于本质。
  • 合适的时机,正确的选择。 追求卓越,彰显魅力。
  • 与值得信赖的伙伴一起, 达成目标。

新《欧盟数据保护条例》及德国的特别规定

新的欧盟数据保护法已生效并将于2018年5月25日起在欧盟成员国内正式开始实施。该《欧盟数据保护条例》将取代目前实施中的《德国联邦数据保护法》,其不仅对在欧盟内企业有直接效力,也适用于向欧盟境内企业在提供货物或者服务过程中会涉及到数据处理和数据分析的欧盟境外企业。德国也通过了《德国数据保护调整和实施法》并将此作为对现行《德国联邦数据保护法》的修正。

新《欧盟数据保护条例》重点内容归纳

  • 扩大了受影响人权利范围,特别是加强了信息报告义务方面的要求。该信息报告义务要求对客户/供应商和员工进行信息声明和说明。此外,还引入了被遗忘权数据转移权,企业需要相应地采取新的商业流程和技术解决方案
  • 增加了许可的新要求
  • 引入了数据保护影响评估
  • 提高了数据处理者和委托处理人的文件保存义务,如编辑程序目录
  • 扩大了数据意外事件的报告义务,并要求企业内部程序进行相应调整
  • 引入了“设计数据保护”(要求征用和处理尽量少的信息)和“默认数据保护”(在数据处理系统里设置数据保护友好的先行设置)的规定
  • 增加了数据安全﹑文件保存和审计相关的技术和组织措施方面的要求
  • 增加了委托处理的内容,数据处理委托合同需要进行相应调整
  • 引入了“共同控制人

德国的特别规定

尽管《欧盟数据保护条例》在欧盟成员国境内统一实施,在各成员国内还是保留了一定的特别立法空间。《德国数据保护调整和实施法》扩大了《欧盟数据保护条例》下数据保护委托的适用范围。此外企业还需要注意在员工信息保护视频监控档案设置方面以及受影响人权利方面均存在特别规定。

惩罚力度加大

《欧盟数据保护条例》将罚金金额提高到了2亿欧元或集团全球范围年营业额的4%。此外,企业在证明数据保护合规性方面还面临着更严峻的举证义务。《德国数据保护调整和实施法》还额外规定了,在违法数据处理的案件里可以对非财产性损失主张赔偿请求权。在此背景下,我们建议企业对于数据处理进行细致的自我审查,并对内部数据保护管理规范以及数据保护相关文件做出相应调整。

陆德《欧盟数据保护条例》合规审查清单

《欧盟数据保护条例》的合规性审查需要对企业的现行数据处理流程进行审查,包括对企业各部门的处理现状进行一个现行处理方式和推荐处理方式的对比归纳。最后,我们会协助企业实施《欧盟数据保护条例》要求进行的调整和需要采取的措施,包括电脑支持的数据管理系统。如企业有个别需求,如对委托数据处理合同进行调整,我们也会相应做出工作调整和安排

流程

我们的服务模式

全方位审查

全方位审查的服务模式下,我们会对企业关键部门(市场/销售/人事/采购/IT/管理)按照上述提及的审查清单进行排查,并协助企业引入和实施新的数据保护管理体系和《欧盟数据保护条例》合规性措施。

简单审查

对于已经拥有很高数据保护标准的企业,我们会指出需要根据《欧盟数据保护条例》和《德国数据保护调整和实施法》做出的变化,并协助企业实施这些数据保护合规方面的特别措施。

集团模式

我们可以和德国境外的伙伴律所一起对在全球范围内经营的集团企业进行《欧盟数据保护条例》框架下的整体排查。

针对企业的特别需求,我们提供如下服务:

  • 修改调整程序目录,委托处理合同及审查清单等文件模板
  • 帮助选择数据保护管理体系的软件
  • 协助程序目录的设置和管理
  • 引入和实施数据保护影响评估
  • 信息申请抗辩 („Information Request Defense“);
  • 起草设计许可合同
  • 数据保护声明的调整
  • 档案概念的修改
  • 一般商业条款的修改
  • 设计隐私/默认隐私概念的解释
  • 就共同控制人概念/企业内部协议/欧盟/欧共体外转移/有效企业内部规范等提供咨询建议
  • 检查数据云储存

联系人:

Silvia C. Bauer (silvia.c.bauer@luther-lawfirm.com)

Michael Krömker (michael.kroemker(at)luther-lawfirm.com)

谢曦 (xi.xie(at)luther-lawfirm.com)