防损信息

LP 11/2024 红海航运危机相关法律问题分析(二)—— 合同条款解读

LP 11/2024 红海航运危机相关法律问题分析(二)—— 合同条款解读

红海航运危机背景下,船东是否能够拒绝前往某一水域,损失如何承担等等问题都离不开考察合同的约定。 ...

LP 10/2024 港口罚款防不胜防

LP 10/2024 港口罚款防不胜防

针对船舶、船员以及公司的港口罚款形形色色,有的比较轻微,而有的则罚款金额巨大,甚至在某些地区,罚款被...

LP 09/2024 红海航运危机相关法律问题分析(一)——船公司风险评估

LP 09/2024 红海航运危机相关法律问题分析(一)——船公司风险评估

红海航运危机下,船东在期租下及航次租约下能否拒绝租船人前往红海、亚丁湾水域相关水域的航次指示;是否有...

LP 08/2024 船舶在格鲁吉亚港口违反分道通航和防污染处罚的风险提示

LP 08/2024 船舶在格鲁吉亚港口违反分道通航和防污染处罚的风险提示

格鲁吉亚通代提醒,在格鲁吉亚水域或港口停泊和作业的会员船舶应特别留意该国航行安全和防污染的有关规定。...

搜索

通代查询

 data-1.jpg

CPI 资讯 No. 404

GDPR简介

2018年5月25日,GDPR - General Data Protection Regulation,即《通用数据保护条例》在欧盟及欧盟经济区(EU/EEA) 范围内正式生效实施,英国虽然已经启动脱欧程序,但同样也于2018年5月25日批准实施了GDPR。GDPR建立了对数据控制者(controller)和数据处理者(processor)的责任机制,旨在通过可执行的权利、监督等框架和机制来保护个人的隐私和信息,遏制个人信息被滥用。GDPR的适用范围极为广泛,任何收集、存储、处理、访问、使用、传输及消除涉及到EU/EEA范围内个人信息的组织或单位均受该条例的约束,即便该组织或单位在EU/EEA 范围之外,但可能会提供商品或服务给EU/EEA 的个人,或者可能会将个人信息发给EU/EEA 范围内的组织或单位,也可能受到该条例的约束。

高昂的罚金额

对违法组织或单位的罚款标准将会取决于一系列因素,包括违法行为的性质、程度、持续时间、以及减少损失方面的努力。但是在特定情况下,对于违反GDPR的组织或单位的最高罚款金额可达2000万欧元或者其前一年度全球年营业额的4%(注意,不是利润,而是营业额),二者中以高者为准。

对于会员和协会的影响

对于协会和亚洲会员而言,最可能适用到GDPR并受其约束的情况是在处理发生在EU/EEA范围内的人员伤病亡的案件,或者处理会涉及到个人信息采集的案件时。而且分保协会、通代、检验人、律师、专家、Brokers等也有可能独立地决定相关数据的用途而被视为数据控制者,数据控制者有义务向GDPR证明其符合要求。此外,协会的P&I保险、H&M保险等险种有可能在欧洲市场安排再保险,协会在伦敦也设有办公室,从这个角度上来看,同样可能受到GDPR的影响。

对于个人数据的处理原则

1、合法性:只有基于合法性才可以处理个人数据,而合法性可以来源于基于同意、合同产生的法律义务;

2、公平性:应当给数据主体提供详细的关于数据处理的信息并告知数据主体的权利;

3、透彻性:提供信息应当以一种简明、容易理解的方式;

4、目的性:只有基于特定、明确及合法的目的才可以处理个人数据,如与本身的使用目的无关则不可处理;

5、简洁性:数据尽量简化,仅提供需要的部分;

6、准确性:数据应当准确并实时更新;

7、必要性:数据的存储应基于其必要性,如不需要时,则不应再存储;

8、安全性:需采取合适的措施,避免数据在未经授权情况下被不合法地使用和处理。

微信图片_20190806111138.png

此外,根据GDPR的规定,只要涉及到种族或民族出身、宗教信仰、政治观点、健康或医疗信息、基因数据等信息的个人数据,均被视为敏感数据(sensitive data),GDPR对个人敏感数据的要求更加严格。

对于案件处理者的具体建议

处理涉及到人员伤病亡的案件时,无论是会员还是协会的理赔人员,均可能和相关的通代、检验人、律师等交换个人数据甚至是个人敏感数据,且案情往往会比较紧急,此时遵守GDPR的原则和要求就显得更为重要。以下几项良好做法仅供业内参考:

1、尊重数据: 如同对待自己的个人敏感数据一样对待其他人的自身数据;

2、减少频率:减少在电邮或其他书面形式上对个人数据的使用,并妥善处理文件。使用的越少,越容易保护,因此处理案件时,最好只发送与案件相关的信息;

3、网络安全:确保邮件系统、邮件服务器是安全的,尤其是发送关于护照、医疗报告、雇佣合同等个人敏感数据时;

4、匿名替代:通过其他标识来避免个人的姓名、性别、出生日期等出现,比如说通过案件号、船舶名称、船员级别、事故情况、下船时间、检验人信息等。如果不得不提及人名的话,那么也应当尽量少地提及;

5、新建邮件:如果已有邮件中已经包含了个人数据,无论是转发还是回复均不可避免地重复这些个人数据,那么可以考虑写一封新的邮件;

6、全部答复:点击“全部答复,Reply all”时务必慎重。至少要检查一遍是不是所有的收件人都适合收到这封邮件;

7、邮件地址:使用官方的、正式的邮件地址,不要用个人的或不安全的邮箱账户来发送工作邮件;

8、文件保护:开启文件保护模式并使用密码保护你的电脑,同时涉及到个人机密数据的纸质文件,也一定要安全地保存好;

9、沟通交流:多与同事、同行进行交流沟通,熟悉了解GDPR的规定,掌握GDPR的新信息。

结语

目前,在EU/EEA范围内至少有5亿人的个人信息数据受到GDPR的保护,但同时GDPR给众多的企业和公司在具体数据处理业务中也带来了巨大的影响,包括像会员和协会这样从事国际性业务的,但并非在EU/EEA范围内的组织和机构,因此建议会员公司对GDPR应保持持续关注。

以上内容仅供会员公司参考。如需具体建议,请与协会相关人员联系。