zh.wikipedia.org/wiki/%E6%AD%90%E7%9B%9F%E4%B8%80%E8%88%AC%E8%B3%87%E6%96%99%E4%...
4 corrections found
企業必須在72小時內報告任何資料洩露
GDPR 并不要求企业在 72 小时内报告“任何”资料泄露。只有在泄露“可能对个人权利和自由造成风险”时,控制者才需在 72 小时内通报监管机构。
Full reasoning
这句话把 GDPR 的泄露通报义务说得过宽了。欧盟委员会对 GDPR 的官方说明写明:只有当数据泄露可能对个人的权利与自由造成风险时,企业/组织才必须**“without undue delay, and at the latest within 72 hours”通知主管机关。欧洲数据保护委员会(EDPB)也明确说:并非所有个人数据泄露都要通报,“except for those unlikely to present any risk to individuals”**。
此外,GDPR 还区分了通知对象:
- **控制者(controller)**在满足风险门槛时向监管机关通报;
- **处理者(processor)**是向控制者通报;
- 只有在对个人构成高风险时,才需要通知受影响个人,而且标准表述是“without undue delay”,并不是统一的 72 小时。
所以“72 小时内报告任何资料泄露”不符合 GDPR 的实际规则。
2 sources
- What is a data breach and what do we have to do in case of a data breach? - European Commission
If ... it is likely that the breach poses a risk to an individual's rights and freedoms, your company/organisation has to notify the supervisory authority ... at the latest within 72 hours ... If your company/organisation is a data processor it must notify every data breach to the data controller.
- How to notify a data breach to your DPA? | European Data Protection Board
All data breaches should be notified to the relevant DPA, except for those unlikely to present any risk to individuals, according to Art. 33 GDPR.
隨著英國在2019年脫離歐盟
英国不是在 2019 年脱离欧盟,而是在 2020 年 1 月 31 日正式离开欧盟。
Full reasoning
英国正式脱离欧盟的日期是 2020 年 1 月 31 日,不是 2019 年。英国政府在 2020 年 1 月 31 日首相讲话中明确表示 “Tonight we are leaving the European Union”;英国政府的 HMRC 官方手册也直接写明:“The UK left the European Union on 31 January 2020”。
因此,把英国“脱欧”写成发生于 2019 年,日期上是错误的。
2 sources
- PM address to the nation: 31 January 2020 - GOV.UK
Delivered on: 31 January 2020 ... Tonight we are leaving the European Union.
- TCTM02015 - Withdrawal Agreement - The Immigration and Social Security Co-ordination (EU Withdrawal Act) 2020 - HMRC internal manual - GOV.UK
The UK left the European Union on 31 January 2020 and entered into an implementation period which ended on 31 December 2020.
取得醫療資料的前提是有取得病患的同意
GDPR 并未把“病患同意”规定为取得医疗资料的唯一前提。医疗健康资料在多种法定条件下都可以处理,例如医疗诊断、提供医疗照护、公共卫生或科研。
Full reasoning
这句话把 GDPR 对健康数据的规则说得过于绝对。欧盟委员会关于“敏感数据(sensitive data)”的官方说明明确列出多种可以处理健康数据的条件,其中包括:
- 取得当事人的明确同意;
- 为了医疗诊断;
- 为了提供健康或社会照护或治疗;
- 出于公共卫生领域的公共利益;
- 出于科学研究、历史研究或统计目的(依欧盟或成员国法律并附带保障措施)。
同一页面还举例说明:诊所记录病人的姓名、症状和用药,之所以可以处理这些健康数据,是因为该处理**“is required to treat the person”**,并不是以病人同意作为唯一前提。
因此,说“取得醫療資料的前提是有取得病患的同意”不准确;同意只是 GDPR 允许处理健康数据的多种法定依据之一。
2 sources
- Under what conditions can my company/organisation process sensitive data? - European Commission
Your company/organisation can only process sensitive data if one of the following conditions is met: the explicit consent ... the data is processed for ... medical diagnosis, the provision of health or social care or treatment ... public health ... scientific or historical research purposes or statistical purposes.
- Under what conditions can my company/organisation process sensitive data? - European Commission
The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.
公共主管部門和以核心活動為中心定期或系統地處理個人数据的企業需要雇用数据保護官員(DPO)負責管理GDPR的合規性。
GDPR 并不是要求所有“定期或系统地处理个人资料”的企业都设置 DPO。对私营机构而言,只有核心活动涉及“大规模”敏感资料处理,或“大规模、定期且系统性”监控个人时,才强制要求 DPO。
Full reasoning
这句话遗漏了 GDPR 对 DPO 义务中的关键限制条件——large scale(大规模)。欧盟委员会的官方说明写明:企业/组织必须任命 DPO,前提是其核心活动涉及:
- 大规模处理敏感数据;或
- 大规模、定期且系统性监控个人。
委员会同页还给出反例:地方社区医生和小型律师事务所即使处理个人数据,也不一定必须任命 DPO。公共行政机关通常必须任命 DPO(法院以司法身份行事时例外),但对企业并不是凡“定期或系统地处理个人数据”就一律强制。
因此,原文把企业任命 DPO 的法定义务说得过宽,省略了“大规模”和特定处理类型这些关键条件。
2 sources
- Does my company/organisation need to have a Data Protection Officer (DPO)? - European Commission
Your company/organisation needs to appoint a DPO ... if its core activities involve processing of sensitive data on a large scale or involve large scale, regular and systematic monitoring of individuals.
- Does my company/organisation need to have a Data Protection Officer (DPO)? - European Commission
DPO not mandatory ... you're a local community doctor and you process personal data of your patients; you have a small law firm and you process personal data of your clients.