PDF《GDPR》

欧盟《资料保护总规章》 "General Data Protection Regulation" 认识 GDPR 企业在从事商业活动时,会收集及处理大量客户的 个人资料,如何能更有效地保障客户的资料及赢取客户 的信任,成为国际上关注的课题.

欧洲议会及理事会 1995年10月24日第95/46/EC号指令(Directive 95/46/EC of the European Parliament and of the Council of

24 October

1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data),对个 人资料处理及资料自由流通提供了基本保障.考虑到 上述指令已实施逾20年,随着科技不断进步及社会的 持续发展,个人资料的保护工作面临更多新挑战,亦 有必要对法律进行优化及完善.经历4年的准备及讨论, 欧洲议会於2016年4月通过了欧盟《资料保护总规章》 ("General Data Protection Regulation",简称GDPR), 并於2018年5月25日生效,以取代第95/46/EC号指令, 总规章旨在对个人资料提供更好的保护,赋予资料当事 人更多的权利. 引言 第8/2005号法律《个人资料保护法》於2006年2月19日正式生效,其中大部分内容均 借鉴葡萄牙十月二十六日第67/98号法律《个人 资料保护法》("Lei da Protec??o de Dados Pessoais"). 葡萄牙作为欧洲联盟的其中一名成员,其 《个人资料保护法》是因应上述第95/46/EC号 指令所制定. 因此,澳门《个人资料保护法》是间接源 自欧盟第95/46/EC号指令,故欧盟对於个人资 料保护的相关法律规定及见解,对澳门有着重要 的参考价值. 澳门《个人资料保护法》的渊源 新法适用於欧盟内设立的负责实体1 及次合同人2 开展的所 有个人资料处理,而不论上述处理是否发生在欧盟内.此外,新法也适用於非设於欧盟内的负责实体和次合同人, 只要该等实体向欧盟提供货品或服务,以及监控位处於欧 盟内的资料当事人的行为. 例子:一间澳门企业透过澳门网站收集欧盟境内人士的订 货要求及个人资料,并将货品销售至当地. 欧盟新规定的主要特点 1.扩大适用围

1 原文为「掌控者」,是指就个人资料处理的目的和方法,单独或与他人共同作出决 定的自然人或法人、公共实体、部门或任何其他机构.因应澳门《个人资料保护法》, 在此采用「负责实体」的表述.

2 原文为「处理者」,是指以负责处理个人资料的实体的名义而处理个人资料的自然 人或法人、公共实体、部门或任何其他机构.因应澳门《个人资料保护法》,在此采 用「次合同人」的表述.

1 除原有概念仍继续适用外,更载明了定位资料、网上识别 码、生理、心理、文化、经济、基因等与自然人相关的识 别资料均属个人资料.敏感资料的定义更清晰列明包含性 取向、基因和生物识别资料. 例子:为销售货品而透过网站收集客户的姓名、联络电 话、网际网路协定位址(IP Address)等. 2.个人资料的概念更广泛

2 3 详情可参阅欧洲议会及理事会第2015/1535号指令第1(1)(b)条. 3.提高取得同意的要求

3 Ok! a.明确规定资料当事人可於任何时候撤回同意,但不影 响在撤回同意时对资料处理的合法性. b.如负责实体是以书面方式徵求当事人的同意时,应向 其告知有权撤回同意,且须独立地、以清晰简洁易懂 的语言为之. c.当向16岁以下儿童提供「资讯社会服务」(是指按个 别当事人的要求,以电子方式遥距提供一般性的有偿 服务3 ,例如电子商贸)时,负责实体必须取得行使亲 权或同等责任的人士之同意,且需在现有技术内采取 合理措施核实上述同意. 注: -同意是指资料当事人按其意愿,透过声明或明确肯定 的行动所作的自由、特定、知情及明确的意思表示. -撤回同意的方式应与作出同意的方式一致或更易. 正确例子: 企业向客户发送电邮,载明如收件人希望收取宣传推 广资讯,则可在电邮内回覆. 错误例子: 企业向客户发送电邮,载明如收件人在10日内不提 出反对,则推定同意接收宣传推广资讯. 要求客户就不同处理目的绑式地作出同意.