2026年企业数据保护与GDPR合规指南

欧盟《通用数据保护条例》(GDPR)自2018年5月起在包括匈牙利在内的所有EU成员国强制适用。在匈牙利国内法中，2011年第CXII号《信息自决权法》（az információs önrendelkezési jogról szóló 2011. évi CXII. törvény，简称”Info tv.”）对GDPR的规定予以补充。匈牙利国家数据保护与信息自由局（NAIH）的执法实践表明：这些规定不仅适用于大型企业，而是对所有规模的企业均具有约束力。

谁属于数据控制者？

数据控制者（adatkezelő）是指确定个人数据处理目的和方式的自然人或法人。在实务中，几乎所有符合以下情形的企业均属于数据控制者：

• 维护客户数据库
• 处理员工个人数据
• 运营网站（Cookie、联系表单）
• 发送新闻通讯
• 运营监控摄像系统

合法处理的六项法律基础

GDPR规定了六项法律基础：

1. 数据主体的同意 ——自愿的、具体的、知情的且明确的
2. 合同履行 ——例如处理订单所必需的数据处理
3. 法定义务 ——例如根据税务和会计法规进行的保存
4. 重大利益 ——罕见，仅适用于危及生命的情形
5. 公共利益 ——公共机构或履行公共职能的组织
6. 正当利益 ——控制者的商业利益，但须与数据主体的利益进行权衡（利益平衡测试）

企业必备文件

1. 隐私政策

所有企业必须发布清晰易懂的隐私政策，包含以下内容：

• 数据控制者的名称和联系方式
• 处理目的和法律基础
• 所处理数据的范围
• 保存期限
• 数据主体的权利（访问、更正、删除、数据可携、异议）
• 监管机构（NAIH）的联系方式

2. 处理活动记录（ROPA）

根据GDPR第30条，所有数据控制者必须维护处理活动记录。员工人数不足250人的组织可免除该义务——但处理活动经常性进行或涉及特殊类别数据的除外。

实务经验： NAIH检查时，处理活动记录的存在是首先核查的事项。建议所有企业无论规模大小均应维护此记录。

3. 委托处理合同

企业将数据处理委托给第三方服务提供商（如会计师、云服务商、邮件服务商）的，须签订书面委托处理合同（adatfeldolgozói szerződés），其内容须符合GDPR第28条的规定。

网站相关义务

Cookie

根据e-Privacy指令和NAIH的立场：

• 必要Cookie ——可在未经同意的情况下使用（如会话Cookie）
• 功能性和分析Cookie ——需要同意，但收集匿名统计数据的除外
• 营销/追踪Cookie ——仅可基于事先知情的主动同意（opt-in）使用

联系表单

对于网站上的联系表单：

• 须告知数据主体处理目的和保存期限
• 同意意思表示须通过主动行为（勾选复选框）作出
• 须能够证明已获得同意

数据泄露事件应对

根据GDPR第33条，如数据泄露事件可能对数据主体的权利和自由造成风险，须在72小时内向NAIH报告。事件应对步骤：

1. 发现与记录 ——确认事件内容、发生时间、涉及的数据
2. 风险评估 ——分析对数据主体权利和自由的影响
3. NAIH报告 ——必要时72小时内报告
4. 通知数据主体 ——高风险情况下须通知数据主体
5. 纠正措施 ——采取预防措施防止未来事件发生

制裁措施

根据GDPR，监管机构可施加以下制裁：

• 警告、责令整改
• 限制或禁止数据处理
• 罚款： 最高2,000万欧元或企业全球年营业额的4%（以较高者为准）

NAIH在2025年对多家匈牙利企业处以罚款——最常见原因：缺少隐私政策、无法律基础的直接营销以及未报告数据泄露事件。

实务检查清单

• 网站上发布隐私政策
• Cookie同意横幅（非必要Cookie的opt-in）
• 维护处理活动记录
• 签订委托处理合同
• 制定事件应对计划
• 员工数据保护培训
• 建立删除请求处理的内部流程

何时须指定数据保护官（DPO）？

• 公共机构须强制指定
• 定期且大规模监控数据主体时
• 大规模处理特殊类别数据时

小型企业虽非强制要求，但建议指定数据保护负责人。

本所提供从隐私政策起草到数据保护审计的全面数据保护法律咨询服务。欢迎联系我们。