欧盟数据保护条例GDPR-EmploymentLawAlliance.PDFVIP

u 君合律师事务所 卢珍 ：欧盟数据保护条例（GDPR ）施行对中国企业的影响 欧盟《通用数据保护条例》（General Data Protection Regulation ，GDPR ） 于 2018 年 5 月 25 日正式实施，引起了市场广泛关注。我们针对 GDPR 有 关内容总结了以下简要问答，谨供中国企业初步了解参考。 一、什么是 GDPR ？ GDPR 是一部关于欧盟境内个人信息和隐私保护的欧盟法律，取代了其前身 1995 年欧盟《数据保护指令》(Data Protection Directive) ，成为当前欧盟 个人信息数据保护的核心法律规定。 二、GDPR 的适用范围？ 根据 GDPR 第三条规定，欧盟境内设立的数据控制者或数据处理者进行个人 信息的处理，无论该等处理行为是否实际发生在欧盟境内，均适用 GDPR。 此外，欧盟境外的数据控制者或数据处理者进行个人信息的处理，在两种情 形下也需要遵守 GDPR ：（1 ）向欧盟境内个人提供商品或服务，无论是否 有偿；（2 ）监控个人在欧盟境内的活动。即GDPR 的域外适用情形。 因此，GDPR 不仅会直接影响在欧盟开设分支机构的中国企业，在一定条件 下也会影响在欧盟开展或发展业务但未设立分支机构的中国企业。 三、GDPR 对中国境内企业有什么影响？ 欧盟境内个人信息，如欧盟员工信息、供应商或合伙伙伴个人信息等很可能 跨境传输至在欧盟设立分支机构的中国母公司，在此情形下，中国母公司应 符合数据跨境传输等要求，可以采取签署符合相关要求的格式合同等方式。 此外，中国母公司可能作为数据处理者承担 GDPR 中相关责任和义务。 对于在欧盟未设立分支机构、但向欧盟境内个人提供商品或服务，或因发展 业务等原因监控个人在欧盟境内的活动，从而处理欧盟境内个人信息的中国 企业，需要履行 GDPR 中相关责任和义务。 对于跨国公司中国子公司，如果中国子公司不直接与欧盟客户发生交易，中 国子公司未处理欧盟境内员工、供应商等的个人信息，GDPR 原则上不适用 于跨国公司中国子公司。反而中国个人信息保护相关法律法规应为其主要适 用法律。 四、GDPR 对中国在欧洲企业有什么影响？ 中国企业在欧盟分支机构处理个人信息应全面遵守 GDPR 要求，可重点关注 以下方面：（1 ）欧盟员工个人信息管理，包括建立员工个人信息详细档案、 向候选人及员工提供符合要求的个人信息处理通知、制定个人信息保护和信 息留存的公司规章制度和合同约定等；（2 ）供应商/合作伙伴的个人信息处 理管理；以及（3 ）向中国母公司跨境传输欧盟个人信息数据管理等。 1 五、GDPR 的主要合规要求有哪些？ 序号 合规事项 合规要求 个人信息是指与一个确定的或可识别的自然人相关 的任何信息。 1 个人信息 企业应识别其处理个人信息或特殊类别（敏感）个 人信息的具体类型。 个人信息处理的基本原则，包括合法、公正、透明、 个人信息处 数据最小化、目的限定、存储限制、完整性和必威体育官网网址 2 理的基本原 性、问责等。 则 企业应保证其数据处理活动遵循基本的原则。 个人对其个