PDF《GDPR》

4 如符合以下任一情况可获豁免:a.负责实体已采取适当的组织和技术措施,尤其所采 取的措施能阻止未经许可的人接触到相关资料;

b.负责实体有采取后续措施确保所预期 对资料当事人的权利和自由造成的高度风险已不太可能发生;

c.如执行上过於困难,则 可透过公开告示或类似方式通知当事人. 4.资料外泄强制通报

4 负责实体必须在没有不当拖延及在可行的情况下於72小 时内将资料外泄事故通报所属的权限部门,通报内容至 少应包括: a.外泄事故的性质,例如受影响的个人资料记录的种类 及数量,以及受影响资料当事人的数目;

b.资料保护专责人员或相关人员的姓名及联络方式;

c.可能引致的后果;

d.负责实体已采取或将采取的措施. 注: 当预计外泄事故会对资料当事人的权利和自由造成高风 险的损害时,负责实体尚应在不得无故拖延的情况下通 报受影响人士4 . a.被遗忘权 - 资料当事人有权在不被拖延的情况下要求 负责实体删除与其有关的个人资料,只要: i.已不再需要实现原收集目的;

ii.当事人撤回同意,且负责实体不具有其他正当性条件;

iii.当事人反对;

iv.个人资料被不法处理;

v.删除是为遵守欧盟或负责实体所处的成员国的规定;

vi.收集的个人资料是与资讯社会服务的儿童有关. 正确例子: 当事人在某网站讨论区删除帐户后,经申请,讨论区 删除所有透过该帐户发出的帖文. 错误例子: 当事人要求某网站删除其照片后,网站仍保留相关照 片并供他人浏览. b.资料可携性权利-为进一步强化资料当事人对自己资 料的掌控,当以自动化方式处理个人资料时,资料当事 人有权以结构的、广泛使用的、机器可读的,以可共同 操作的格式向负责实体取得其资料,并有权将之传送予 其他负责实体.为使资料具可携性,应鼓励负责实体发 展可共同操作及处理的格式.资料当事人有权在技术可 行的前提下,将个人资料由一个负责实体传送至另一负 责实体. 例子:当客户转换保险公司时,经客户要求下,原保险 公司将保单资料以自动化方式传送予新保险公司. 5.资料当事人享有更多权利

5 负责实体及次合同人须指定代表人,主要负责: a.向负责实体及次合同人通知和提醒其所负的义务;

b.检视有关个人资料处理是否符合法律规定;

c.对於个人资料保护的评估及绩效提供建议;

d.与监管当局合作;

e.担任联络人. 注: -专责人员应对个人资料保护具备足够的专业知识;

-可以是从负责实体或次合同人的员工中任命;

-应向监管当局提供专责人员的详细联络资料;

-负责实体应向专责人员提供履行职责所需的资源;

-专责人员应直接向最高管理层蟊. 6.指定个人资料保护专责人员

6 最高罚款额将大幅增加到企业全球营业额的4%或2000 万欧元,以较高者为准. 以下情况可导致被科处最高罚款额: -不遵守个人资料处理的正当性及处理原则,以及处理 敏感资料的相关规定;

-不尊重资料当事人的权利;

-不符合转移个人资料的规定;

-不履行监管当局发出的命令等. 注: 对於具规模的大企业而言,全球营业额的4%罚款起着一 定的阻吓作用. 7.增加处罚金额

7 注: 为便於公众理解,本小册子仅列出新规定的主要特点,如需了 解详情,可参阅欧盟《资料保护总规章》原文. 先判断欧盟的新规定会否适用於企业,包括企业 有否在欧盟设立分支机构,又或向欧盟提供货品 或服务;