隐私政策是一份规定数据处理者义务的基本文件,特别是公司如何收集、使用和保护个人数据,以及如何确保其在这方面的行为符合法律规定。
本文将重点介绍数据处理者在隐私政策方面的义务,特别强调塞尔维亚的适用法规和 GDPR(通用数据保护条例)。
我们还将澄清公司在保护用户个人数据方面遇到的一些基本术语,并概述贵公司为确保客户隐私和履行法律义务而必须采取的步骤。
1. 塞尔维亚通用数据保护条例:基本条款
在塞尔维亚,当企业第一次接触到 GDPR 或《个人数据保护法》时,他们会遇到 “数据控制者”、“数据处理者 ”和 “接收者 ”等令人困惑的术语,而这些术语在涉及个人时并不总是有明确的定义。
因此,我们决定在本文开头用最简单的方式来澄清这些术语:
- 数据控制者: 这可以是个人或法律实体,也可以是公共机构,由其决定处理个人数据的目的和方式。隐私政策是一份解释贵公司如何收集、使用和保护个人数据的文件,当我们谈论隐私政策时,这里的数据控制者就是贵公司。它负责处理客户、供应商、员工和其他人的数据。
- 数据处理者: 如果贵公司是数据控制者,我们可以说数据处理者是公司委托代表其处理数据的实体。因此,公司决定如何处理数据,而数据处理者则根据控制者的指示行事。处理者可以是公司内部处理数据的特定人员,也可以是第三方。
- 接收者: 此人只是接收个人数据,并不一定对其做任何事情。
现在我们以电子商务网站为例进行说明:
数据控制者是电子商务网站背后的在线商店本身,它决定从客户那里收集哪些数据、为什么收集以及如何存储。例如,数据处理者可能是一家提供在线支付服务并处理客户数据(如用于授权和支付处理的信用卡信息)的公司。在这种情况下,个人数据的接收方可能是一家快递服务公司,该公司会访问包裹递送所需的客户地址数据。您向其提供他人个人数据的任何人都是收件人。该接收方也可以是处理方,如快递服务。
所有这些信息都必须包含在电子商务商店的隐私政策中,以及所有其他有义务制定隐私政策的公司的隐私政策中。
2. 资料当事人的权利: 隐私政策中有关被收集资料的个人权利的强制性内容
贵公司的隐私政策不仅要包括数据控制者、处理者和接收者等术语的定义。数据控制者还必须明确规定数据被处理的个人或数据主体的权利。
由于不遵守数据主体的权利可能导致巨额经济罚款,让我们回顾一下隐私政策中必须包含的数据主体的基本权利:
1. 个人数据处理的知情权
个人数据处理的知情权是法律保障的基本权利之一,每个被处理个人数据的个人都享有这一权利。
在贵公司的隐私政策中,应明确规定数据被处理的个人享有以下权利:
- 访问他们的数据
- 数据可携带性(下文将详细介绍)
- 关于处理其数据目的的信息
- 关于数据保留期限的信息
接下来,我们将介绍隐私政策中必须包含的第二项权利,即纠正数据的权利。
2. 数据更正权
数据更正权允许数据被处理的个人在所收集的数据不准确时要求更正。
它还包括填写不完整数据的权利。
3. 限制处理的权利
在某些情况下,限制处理的权利使您处理其数据的个人能够要求停止或限制对其个人数据的处理。
这适用于以下情况:
- 怀疑所收集数据的准确性
- 认为其数据被非法处理
- 认为其数据不再需要用于收集目的
- 对数据处理提出异议
在这种情况下,贵公司仍可保留这些数据,但不能将其用于其他目的。
这些信息应根据企业的具体情况纳入隐私政策。
4. 数据可携带权
数据可携带权允许个人(数据主体)获得他们提供给贵公司的个人数据,并将其转移到另一家公司或另一个数据控制者。
这可确保贵公司处理的数据当事人对其个人数据有更大的控制权。
5. 删除权(被遗忘权)
数据控制者(即公司)的义务之一是告知数据当事人其有权删除或删除其个人数据。
隐私政策必须说明,数据当事人可以要求删除其所有个人数据,特别是在以下情况下:
- 其数据不再需要用于收集数据的目的
- 数据主体撤回对处理的同意
- 数据主体认为其个人数据被非法处理
- 有其他法律义务要求您删除特定个人数据
一般来说,如果个人在使用在线服务时提供了自己的个人数据,他们有权要求删除该数据,但在不能行使该权利时有一定的限制(例如,如果处理该数据有其他法律依据,如合法利益或行使言论和信息自由)。
为确保贵公司妥善处理数据删除请求,避免因违规操作而被处以巨额罚款,建议聘请数据保护方面的专业律师。
6. 资料当事人的同意权
数据主体的同意权,也称知情同意权,是指数据主体——您处理其数据的个人——必须自愿(自由)、知情且明确地表示同意。
欧盟机构要求,这种同意必须是一种主动行为(选择加入),因此,例如,您网站上访客必须点击 “我同意 ”的复选框,不得预先勾选;相反,访客必须主动勾选复选框,然后点击同意。
将这一权利纳入公司运营至关重要,因为公司必须能够证明个人已表示同意,这意味着必须有相关记录。
这项权利还包括随时撤销同意的权利,但撤销同意并不影响基于知情同意已经进行的处理的合法性。
7. 异议权和投诉权
贵公司的隐私政策还必须规定数据当事人的反对权。
因此,如果数据当事人不希望收到广告材料,认为其个人数据被非法用于个人资料分析,或其数据处理方式侵犯了其权利,他们有权提出异议。
在这种情况下,贵公司有义务停止处理所收集的数据,除非有令人信服的理由继续处理。
投诉权是对反对权的补充。因此,如果您处理其数据的个人对贵公司处理其反对意见的方式不满意,他们可以就此问题联系公共信息和个人数据保护专员。
将这些权利纳入隐私政策是数据控制者的另一项义务。
8. 向资料当事人收集个人资料时的知情权
公司向数据主体收集个人数据时,必须在收集时提供以下信息:
- 数据控制者的身份和联系方式
- 数据保护官(DPO)的联系方式
- 数据处理的目的(例如,对于电子商务公司而言,这可能是为了完成交付任务)
- 处理的法律依据(如用户同意)
- 公司将向哪些第三方披露这些个人数据(如快递服务)
- 数据接收方
- 国际数据传输
- 数据的保留期限或确定保留期限的标准
- 数据主体的上述权利
- 提供个人数据是否是一项法律义务或合同义务,或签订合同的必要条件
- 数据主体是否有义务提供其个人数据,以及不提供数据可能产生的后果
- 自动决策(如适用),保障人工干预的权利。
所有这些信息都必须包含在贵公司的隐私政策中。
3. 违反个人数据保护规定的罚款
违反个人数据保护规定的基本罚款有三种,均为罚款:
- 轻罪法庭可对违反个人数据保护规定的法律实体处以 50 000 至 2 000 000 第纳尔的罚款。如果多次违规,罚款可加倍。
- 未将个人数据作为商业秘密或其他职业秘密的个人可被处以 5,000 至 150,000 第纳尔的罚款。
- 对于不履行《个人数据保护法》规定义务的法律实体,公共信息和个人数据保护专员可通过轻罪令对其处以 100 000 第纳尔的额外罚款。
注:由于有评论认为目前规定的罚款金额对 “巨头 ”来说不够高,塞尔维亚的专家公众以及专员一致认为有必要对该领域的法律进行修订。在这方面,有计划使我们的法律在罚款金额方面与 GDPR 保持一致,这可能意味着对大公司的罚款可能高达 20,000,000 欧元或其年营业额的 4%,取决于哪个金额更高。
为避免贵公司因个人数据处理不当而成为高额罚款的目标,请尽快联系个人数据保护律师,根据法律和其他适用法规起草隐私政策。
数据保护律师
鉴于有关个人数据保护的丑闻层出不穷,包括前 Facebook(现为 Meta)数百万用户数据落入不法分子之手的丑闻,网络隐私已成为用户要求公司提供的必要条件。为了维护消费者的信任,企业不得不提供这样的服务。
隐私政策曾经是一份微不足道的法律文件,如今已成为公司与用户之间信任的关键因素,也是所有处理客户个人数据的公司 “必备 ”的文件。
无论您是想聘请律师担任公司的数据保护官,还是在制定隐私政策时需要帮助,请随时联系Pekic律师事务所: [email protected].