GDPR

EU Data Compliance Statement

1. Overview of EU Personal Data Protection Legislation

The European Union enacted the General Data Protection Regulation (GDPR) in 2016, which came into effect in 2018. The GDPR aims to protect the privacy and data protection rights of all individuals within the EU. The GDPR applies to all businesses and organizations that process personal data, regardless of their geographic location, as long as their data processing activities involve the personal data of EU citizens.

(I) Relevant Definitions

1. A data controller is a natural person, legal person, public institution, administrative agency or other unincorporated organization that can decide, alone or jointly, the purpose and manner of processing personal data. However, the specific standards should be stipulated by the laws of the European Union or its member states.

2. A digital processor refers to a natural person, legal person, public institution, administrative agency, or other unincorporated organization that processes personal data for a data controller. However, it can sometimes be difficult to determine whether an entity is a data controller or a processor.

3. Personal data refers to any information that points to an identified or identifiable natural person (“data subject”). The GDPR broadens the scope of personal data. According to the GDPR definition, personal data also includes digital fingerprints (such as IP addresses and cookies). In addition, genetic or biometric data is also included in the category of “sensitive data”.

4. The GDPR explicitly states that sensitive personal data should be highly protected. This data includes: an individual’s race and ethnic origin, political opinion, religious and philosophical beliefs, trade union membership, genetic data, biometric data, health data, information about sexual activity or sexual orientation, and criminal record information. Healthcare facilities are typically required to meet even higher standards of data protection.

1. Main content

(a) Enterprises need to follow these steps to achieve GDPR compliance:

(1) Data audit : Audit existing data processing activities to ensure that you understand the source, purpose and storage period of personal data.

(2) Privacy Policy Update: Update the privacy policy to ensure that its content complies with GDPR requirements and clearly inform users how their data is processed.

(3) Establish a compliance mechanism: Establish a data protection management system to ensure that all data processing activities comply with the principles of GDPR.

(4) Employee training: Provide employees with training on GDPR and data protection to improve their compliance awareness.

Monitoring and review: Regularly monitor data processing activities to ensure continued compliance with GDPR requirements.

2. When is it legal to process personal data ?

According to Article 6 of the GDPR, the processing of personal data must comply with the following six legal bases:

(1) The data subject consents to the processing of his or her personal data for one or more specific purposes;

(2) The processing is necessary to fulfill the contract in which the data subject participates, or the processing is a measure taken at the request of the data subject before the contract was entered into;

(3) The handling is necessary to fulfill the legal obligations that the controller must obey;

(4) The processing is necessary to protect the vital interests of the data subject or another natural person;

(5) The handling is necessary to perform tasks in the public interest or to exercise the established public authority of the controller;

(6) Processing is necessary for the controller or a third party to pursue a legitimate interest, except where such interest is required to protect the interests, fundamental rights, and freedoms of the data subject, particularly in cases where the data subject is a child. (Note: This does not apply to processing carried out by government authorities in the performance of their duties.)

Obtaining prior consent is the most important prerequisite for companies to legally process the personal data of EU citizens. For example, when facing GDPR compliance, Facebook should seek consent rather than adhere to the principle of data minimization.

Consent obtained must be verifiable, clearly distinguishable from other matters, and revocable. It is important to note that explicit consent is required for processing sensitive data. Vague or “blanket consent” agreements are considered invalid. Companies must present data subjects with clearly understandable language, allowing them to choose whether to consent to the processing of their personal data. Therefore, at least in theory, requests for vague, jargon-laden, and long-term consent will no longer be necessary.

Furthermore, silence, pre-selection, or lack of engagement do not constitute valid consent. When users are required to check a box or consent is given via telephone, this constitutes an explicit choice.

Minors under the age of 16 do not have the legal right to consent, but EU member states can relax this age limit to 13.

(ii) Cross-border transfer of personal data

1. Intra-EU transfer

In cases of personal data transfer within the EU, the GDPR does not impose any additional requirements on the direct applicability of the GDPR. However, when a controller hires a processor, the relationship between the data controller and the data processor needs to be governed by an agreement and must comply with the minimum standards set forth in the GDPR in these cases. The agreement between the processors (Article 28 of the GDPR) specifies the subject matter and duration of the processing, the nature and purpose of the processing, the type of personal data and the categories of data subjects, and the obligations and rights of the controller.

2. Non-EU data transfer: Follow the steps outlined in the GDPR.

Regarding non-EU data transfers, the GDPR anticipates specific circumstances under which such transfers may be made. In particular, organizations engaged in the transfer of non-EU personal data will be required to undergo verification .

Does the European Commission have a sufficient decision, and if not, provide additional guarantees through a contractual agreement?

(1) The European Commission may issue decisions on the level of data protection in non-EU countries (e.g., the EU-US Privacy Shield). These decisions are based on a comprehensive assessment of whether a third country has adequate data protection legal safeguards equivalent to those in the EU. The result of an adequacy decision is the removal of any barriers to data transfer from the EU (as well as Norway, Liechtenstein and Iceland) to that third country without any further data protection requirements.

(2) The transfer must be carried out in accordance with appropriate safeguards.

If a third country is not within the scope of a suitability decision, the European Organization should consider one of the following alternative approaches:

1) Standard Contractual Clauses . The European Commission may also adopt standard contractual clauses to facilitate adequate data protection measures for EU controllers when transferring personal data to non-EU controllers or processors. To date, the European Commission has published two sets of standard contractual clauses: for data transfers from EU controllers to non-EU or EEA controllers, and from EU controllers to non-EU or EEA processors. Model clauses may also be adopted by data protection authorities. However, these clauses require Commission approval. Last but not least, cross-border transfers can also be made under provisional contractual clauses agreed upon between the data exporter and data importer, which must be approved by the competent DPA.

2) Binding Companies Rules (BCR) . If personal data is transferred from one corporate entity to another (regardless of region), the data transfer will be conducted in accordance with the Binding Companies Rules (BRC). A Binding Companies Rule is a legally binding rule approved by a competent regulatory authority that governs the transfer and processing of personal data within a group of enterprises or its members engaged in joint economic activities and their employees (including companies located outside the EU). The advantage of the BCR over standard contractual terms is that, once approval from a data protection authority is obtained, all future intra-group transfers can be made regardless of region without any additional requirements.

In addition to the options mentioned above, the GDPR introduces two alternative adequacy tools for data transfer: approved certification mechanisms and approved codes of conduct. Both mechanisms allow data transfer provided that the data importer makes a binding and enforceable commitment to apply appropriate safeguards for data protection.

(3) Data transmission exemption

In many cases, personal data transfer can be performed without the aforementioned transmission mechanisms. These cases are limited and include the following:

1) The data subject gives explicit consent;

2) The assignment is necessary for the conclusion or performance of the contract;

3) There are important reasons related to the public interest;

4) It is necessary to establish, exercise, or defend legal claims;

5) It is necessary for the vital interests of the data subject or other persons;

6) It involves public registration data;

Furthermore, the GDPR introduces new restrictions on non-duplication transfers involving a limited number of data subjects, namely, mitigation. Transfers are permitted in the absence of other legal grounds, when they are intended to compel the legitimate interests of the data exporter without being supported by the legitimate interests of the data subject or by the exporter providing sufficient safeguards for the transferred data. In such cases, the exporter must inform the relevant data protection authority and the data subject of the transfer.