欧盟委员会拟简化中小企业的GDPR合规义务

近日，欧盟委员会发布了一项旨在简化单一市场规则并减少行政负担的一揽子措施，目标包括降低企业的合规成本、提高欧盟规则和法规的清晰度和一致性以及增强中小企业（SMEs）和中型企业（SMCs）的竞争力和增长机会等。

其中包括进一步优化（Regulation (EU) 2016/679，简称 GDPR）对企业尤其是中小企业（SMEs）和中型企业（SMCs）的适用效果。对此，欧盟委员会提出对GDPR的若干条款进行修订，重点涉及第30条（处理活动记录）、第40条（行为守则）及第42条（认证机制）。

01. 覆盖的企业范围

根据当前欧盟的规则，当中小企业员工超过 250 人时，将成为大型企业，进而面临合规义务的急剧增加。这个门槛可能会抑制增长并限制竞争力。

因此，欧洲委员会正在确定一个新的企业类别“中小型企业（SMC）“，员工人数不超过 750 人，营业额不超过 1.5 亿欧元或总资产不超过 1.29 亿欧元的公司。

02. 简化的GDPR合规义务

A. 处理活动记录豁免

GDPR 第30条规定，每一数据控制者和处理者应保留其数据处理活动的记录，并列出了该记录应包含的信息。该条第5款为中小企业（SMEs）和员工人数少于250人的组织设立了例外条款，前提是满足某些条件，这些实体可免于保留该记录。

第30条 处理活动的记录

1．每个控制者——以及如果有的话——每个控制者的代表，都应当保持其所负责的处理活动的记录。这种记录应当包含所有如下信息：

(a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、详细联系方式；

(b)处理的目的；

(c)对数据主体的类型以及个人数据的类型的描述；

(d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收者——的类型；

(e)如果适用的话，将个人数据转移到第三国或国际组织的记录，包括识别此第三国或国际组织的记录，以及在第49（1）条第二分段所提到转移的情形中，对适当保障措施的记录；

(f)如果适用的话，擦除不同种数据类型的预计期限；

(g)如果适用的话，对第32（1）条所规定的技术性与组织性安全措施的一般性描述。

2．每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处理都应当保持保存一份记录，包含如下信息：

(a)处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者以及——如果有的话——控制者或处理者的代表、数据保护官；

(b)代表每个控制者进行处理的类型；

(c)如果适用的话，将个人数据转移到第三国或国际组织的记录，包括识别此第三国或国际组织的记录，以及在第49（1）条第二分段所提到转移的情形中，对适当保障措施的记录；

(d)如果有的话，对第32（1）条所规定的技术性和组织性安全措施的一般性描述。

3．第1段和第2段所规定的记录应当是书面的，包括以电子形式作出的书面记录。

4．基于监管机构的要求，控制者或处理者以及——在有的情况下——控制者或处理者的代表，应当提供可获取的记录。

5．第1和第2段所规定的责任不适用于雇员少于250人的经济主体或组织，除非其进行的处理不是偶尔性的，而且可能会对数据主体的权利与自由带来风险，或者其处理包含了第9（1）条规定的特定种类的数据或第10条规定的和刑事犯罪和违法相关的个人数据。

此次提案旨在对GDPR第30条第5款作出相应修订，包括：

• 简化和澄清第30条第5款中关于记录保存义务的例外条款，将仅在处理活动可能对数据主体的权利和自由造成“高风险”时，才强制要求保存记录。

• 同时，例外条款的适用范围将扩大至中型企业（SMCs）和员工人数少于750人的组织。

B. 纳入行为守则制定的考量范围

GDPR第40条规定，成员国、监管机构、数据保护委员会和欧盟委员会必须鼓励代表控制者或处理者类别的协会及其他机构制定行为守则，考虑到各类处理领域的具体特点以及中小微企业的特殊需求。

第40条 行为准则

1．成员国、监管机构以及欧盟数据保护委员会与欧盟委员会鼓励在考虑不同处理部门的特征以及微型、小型以及中型经济主体的特定需求的基础上起草促进本条例合理适用的行为准则。

2．协会以及其它代表某类控制者或处理者的实体为了对适用本规则进行细化，可以起草行为准则，或修正或延长此类准则，例如，它们可以起草涉及到如下事项的准则：

(a)合理与透明的处理；

(b)在特定情境下控制者所追求的正当利益；

(c)对个人数据的收集；

(d)对个人数据进行匿名化处置；

(e)提供给公众与数据主体的信息；

(f)数据主体权利的行使；

(g)提供给儿童和保护儿童的信息，以及为了获取儿童监护人同意所采取的形式；

(h)第24条和第25条所规定的措施与程序，以及为了保障第32条所规定的处理安全所采取的措施；

(i)向监管机构通报个人数据泄露，以及将此类个人数据泄露告知数据主体；

(j)将个人数据转移到第三国或国际组织；或者

(k)不影响第77条和第99条所规定的数据主体权利的庭外诉讼性活动，以及为了解决控制者与数据主体在处理相关事项中争议的纠纷解决程序。

3．控制者或处理者除了受本条例约束之外，对于根据第3条不受本条例约束的情形，为了保证在第46（2）条（e）点所规定的将个人数据转移到第三国或国际组织的框架中提供合适的安全措施，也可以受本条第5段所规定的已生效的行为准则约束，或者受本条第9段规定的具有一般性效力的行为准则所约束。为了提供此类合适的安全措施，包括和数据主体权利相关的安全措施，此类控制者或处理者应当通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺。

4．在不影响第55或56条所规定的有权监管机构的任务与权利的前提下，本条第2段所规定的行为准则应当包括使第41（1）条所规定的实体能履行其监管任务的有效措施，保证负责实施行为准则的控制者或处理者遵循其条款的规定。

5．本条第2段所规定的计划起草、修改行为准则或延长现有准则的协会或其他实体，应当将准则草案、修正案或延期提议提交给符合第55条的有权监管机构。监管机构应当提供一份意见书，表明草案、修正案或延期提议是否符合本条例的规定，如果监管机构认定已经采取了足够和适当的安全保障，其应当批准草案、修正案或延期提议。

6．当准则草案、或修正案或延期提议是根据第5段的规定而被批准的，并且行为准则不涉及多个成员国的处理活动，监管机构应当进行登记并发表准则。

7．当行为准则的草案涉及到多个国家的处理活动，第55条所规定的有权监管机构应当在批准准则草案、修订或延期之前将其按照第63条规定的程序提交给欧盟数据保护委员会，并应提供一份意见书，表明准则草案、修正案或延期是否遵循了本条例，或者——在第3段所规定的情形中——是否提供了恰当的安全措施。

8．当第7段中规定的意见书确认了准则草案、修正案或延期遵循了本条例，或者——在第3段所规定的情形中——提供了恰当的安全措施，欧盟数据保护委员会应当将意见书提交给欧盟委员会。

9．欧盟委员会应当通过制定实施法案确定，根据第8段规定而提交的已生效的行为准则、修正案或延期是否在欧盟具有一般效力。此类法案的制定应当符合第94（2）条所规定的核查程序。

10．对于已经被认定符合第9段中所规定的具有一般有效性的已生效准则，欧盟委员会应当保证其具有适当的公开性。

11．欧盟数据保护委员会应当核查所有登记的已生效行为准则、修正案以及延期，并且应当以恰当的方式使得公众能够获取。

更多EDPB关于行为守则的指南：EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评（附征求意见前后对比中译本全文）

此次提案拟在第40条第1款中增加关于SMCs的表述，以将该条的适用范围应扩大至中型企业（SMCs），以便在制定行为守则时也能考虑其具体需求。

C.纳入认证机制设计的考量范围

GDPR第42条规定，成员国、监管机构、数据保护委员会和欧盟委员会特别应在欧盟层面鼓励建立数据保护认证机制，以及由第43条所提及的认证机构或有权监管机构授予的数据保护印章和标识，并在此过程中考虑中小企业的具体需求。

第42条 认证

1．成员国、监管机构、欧盟数据保护委员会和欧盟委员会应当鼓励——尤其是在欧盟层面——建立数据保护认证机制、数据保护印章和标记，以证明控制者和处理者的处理操作符合本条例。对此应当考虑微型、小型以及中型经济主体的特定需求。

2．控制者或处理者除了受本条例约束之外，也可以设立符合本条第5段的数据保护认证机制、印章或标记，以便证明，对于根据第3条不受本条例约束的情形，已经对第46（2）条（f）点所规定的将个人数据转移到第三国或国际组织的情形采取了合适的安全措施。为了提供此类合适的安全措施，包括和数据主体权利相关的安全措施，此类控制者或处理者应当通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺。

3．认证应当是自愿的，而且可以通过透明程序而获得。

4．根据本条而进行的认证，不能减轻控制者或处理者遵循本条例的责任，而且也不对第55条或56条所规定的有权监管机构的任务和权利产生影响。

5．符合本条的认证应当为第43条所规定的认证机构所批准，应当建立在第58（3）条的有权监管机构或第63条的欧盟数据保护委员会所批准的标准之上。当标准被欧盟数据保护委员会所批准，这可以产生一个通用性认证——欧盟数据保护印章。

6．那些将其处理提交认证机制的控制者或处理者，应当将进行认证程序所必需的所有信息与访问权提交给第43条规定的认证机构，在适用的情形下，还应当提交给有权监管机构。

7．颁发给控制者或处理者的认证的有效期最长是三年，如果相关条件满足，同样的情形下有效期可以延长。当认证的条件不满足或不再满足时，在适用的情形下，第43条规定的认证实体或有权监管机构可以撤回认证。

8．欧盟数据保护委员会应当核查所有已登记的验证机制、数据保护印章和标记，而且应当以恰当的方式使得公众能够获取。

更多EDPB关于认证的指南：EDPB《关于认证作为数据跨境传输工具的第07/2022号指南》中译本

此次提案拟在第42条第1款中加入关于SMCs的表述，将该条的适用范围亦应扩大至中型企业（SMCs），以便在发放认证时也考虑其特殊需求。

参考资料：

https://ec.europa.eu/commission/presscorner/api/files/attachment/881208/Factsheet%20-%20Small%20mid-caps.pdf

https://single-market-economy.ec.europa.eu/document/download/d88a75de-b620-4d8b-b85b-1656a9ba6b8a_en?filename=Proposal%20for%20a%20Regulation%20-%20Small%20mid-caps.pdf

GDPR中译文：https://www.zhichanli.com/p/856573259

声明：本文来自数据信任与治理，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。