数据保护

在荷兰，数据保护是每个公司都需要重视且都会面临的问题。个人数据保护适用的主要法规包括： 

• 2016年欧盟第679号关于自然人个人数据保护以及处理与自由流动的条例（“通用数据保护条例”） 
• 2018年5月颁布的《荷兰通用数据保护条例执行法》(Uitvoeringswet AVG) 

《通用数据保护条例》是一部统一的数据保护法，本条例适用于欧盟成员国以及欧洲经济共同体，并且它可以在荷兰直接适用。本条例允许欧盟成员国另行颁布实施条款，例如在《通用数据保护条例》第9条第1款中提及的对特殊类型个人数据的处理，以及对出于科学或者历史研究或者统计目的、认证和安全目的等提供某些豁免。荷兰在引入《通用数据保护条例执行法》中行使了这项权利。 

《通用数据保护条例》对“个人数据”做了较为广义的定义。任何一些可以直接或间接方式追溯到特定个体（数据主体）的数据都应被视为个人数据。这里的个人数据包括姓名、化名、钥匙码、电子邮件地址、互联网IP地址、车辆牌照或者在信息包中储存的身份信息。健康数据、基因遗传数据、种族或者族裔数据以及其他特殊类别的个人数据，刑事犯罪相关的个人数据则享有额外的保护。 

《通用数据保护条例》将能狗决定数据处理目的和方式的主体定义为“控制者”，将代表控制者处理个人数据的主体定义为“处理者”。控制者和处理者都受《通用数据保护条例》的约束，但是处理者的义务更为有限。 

《通用数据保护条例》规定，为能证明合规性，控制者必须采用符合通过设计、违约规则实现的数据保护原则下的内部政策和实施措施。 

对于个人数据的处理（包括将数据向第三方披露）必须合法，透明和公正。数据的处理必须限于特定的目的和必要性（数据的极小化）。其他原则是数据必须准确，必须保持安全，并且不能存储超过需要的时间（存储限制）。《通用数据保护条例》还要求企业告知数据主体，其数据是如何被使用的，以及记录企业遵循了《通用数据保护条例》。在某些情况下，数据主体有访问其个人数据，请求更正，以及要求删除（或者限制）其数据的权利。 

在下列情况下，数据控制者和处理者必须指定数据保护官员（DPO） 

• 他们是政府机构； 
•  他们的核心活动包括大规模得定期、系统地监测数据主体；或者 
• 他们的核心活动包括大规模处理敏感的个人数据（包括处理刑事犯罪信息）。 

数据保护官员可以是雇员或外部服务提供商。   

其他关于通讯情境下的数据和隐私保护被规定在2002年7月12日欧洲议会和理事会关于欧盟电子通信部门个人数据处理和隐私保护的第2002/58/EC号指令和荷兰Cookie法中载有关于电信领域数据保护和隐私的补充规定中。 

《电子隐私指令》已在《荷兰电信法案》中得到实施。该法案禁止出于商业、非商业或慈善目的通过电子邮件（以及传真和自动通信系统）进行未经请求的通信，除非发送方能够证明事先已经收到接收方的同意。发件人的身份、地址（自主管理）和电子商务信息必须提供。 

根据《Cookie法》，Cookie的使用需要知情同意，除非Cookie的使用是为了方便交流，是用户所要求的服务所绝对必需的，或者是为了获得关于所提供服务的质量以及/或者信息的有效性，并且对用户的个人生活造成的影响很小，甚至没有影响。这些规则适用于第一方cookie和第三方cookie。 

地理范围 

根据第3条第（1）款，《通用数据保护条例》适用于在欧洲经济区设立的处理个人数据的控制者或者处理者，但不论这些处理过程是否发生在欧洲经济区。“设立”一词延伸到贯穿欧洲经济区的任一真正有效的活动——即使是很小型的活动。这意味着，在某些情况下，如果一个非欧盟实体的雇员或者代理人的行为具有足够的稳定性，那么该雇员或真代理人的存在就足以构成一个机构。 

如果是没有在欧洲经济区建立的企业向欧洲经济区内的个人提供商品和服务，或者由它们来监测欧洲经济区内数据主体的行为，这些企业也将受到《通用数据保护条例》的制约。这些定期或者与某些高风险活动联系的非欧洲经济区的企业必须在欧洲经济区指定一名代表。根据这些规则，面向欧洲经济区观众或跟踪欧洲经济区访问者的网站必须遵守《通用数据保护条例》规则。注意只有个体位置具有重要性；国籍不是一个相关因素。 

从荷兰向其它欧洲经济区国家传递数据并不适用特殊要求。然而，存在少数例外情形，向欧洲经济区以外的国家传输个人数据则需要——欧盟委员会决定目的地国确保足够的保护水平（例如，瑞士、加拿大和日本以及——仅限于欧盟-美国隐私保护框架——美国），或者保护数据主体权利的适当保障措施（例如，欧盟委员会的标准数据保护条款或监管机构批准的有约束力的公司规则）。 

数据保护机构的角色和权限 

荷兰数据保护局(Autoriteit Persoonsgegevens)是根据《通用数据保护条例执行法》设立的，如《通用数据保护条例》第51条第1款中提到的，它是一个独立的监督机构。该机构负责根据《通用数据保护条例》的规定监督个人数据的处理 

荷兰数据保护局以信息和咨询的形式向个人和组织提供指导，通过提供实用工具支持组织，审查和处理刑事犯罪相关数据、事先咨询请求和许可证申请，并促进行为守则的制定等。 

该机构有权调查违规行为，做出停止违规行为的命令，处以2000万欧元或者全球年营业额4%的罚款，以较高者为准。 

荷兰数据保护局代表荷兰名义参与在欧洲数据保护委员会。 

如果您希望了解更多相关信息，欢迎与我们联系。