荷兰数据保护局（Autoriteit Persoonsgegevens，简称 AP）是荷兰的独立隐私监管机构。该机构负责确保在荷兰运营或以荷兰为目标市场的组织遵守 GDPR，调查涉嫌违规行为，发出罚款和命令，并解释个人数据的处理方式。如果个人的数据被不当处理或组织忽视其隐私权，个人可以向 AP 寻求帮助。组织必须在 72 小时内将符合条件的数据泄露事件通知 AP，并证明其对个人数据处理方式的责任，包括依赖特殊类别或将数据传输到海外的情况。

本实用指南将解释授权人 (AP) 的职责和介入时间、GDPR 是否适用于您，以及何时以及如何联系授权人。您将了解授权人 (AP) 协助维护的权利、分步投诉流程、组织的数据泄露报告、GDPR 的核心义务，以及数据保护官 (DPO) 和欧盟代表在实践中的职责。我们还将介绍跨境案件和一站式服务机制、近期执法案例、官方资源和联系渠道，以及如何准备授权人 (AP) 调查。我们将帮助您了解情况，并让您对后续步骤充满信心。

Autoriteit Persoonsgegevens (AP) 的授权和权力

荷兰数据保护局是负责监督 符合 与荷兰的GDPR保持一致。该机构负责监督处理荷兰公民个人数据的公共和私人机构，处理投诉和违规行为，并在必要时采取纠正措施。

• 调查权力： 请求信息、进行检查并调查涉嫌违反 GDPR 的行为。
• 纠正权力： 发布合规命令（包括定期罚款命令）、给予谴责并处以行政罚款。
• 违反监督： 接收并评估强制性数据泄露通知（如有需要，在 72 小时内）并检查受影响的个人是否已获知。
• 权利执行： 确保组织促进访问和其他数据主体权利；当请求被忽略或处理不当时采取行动。
• 指导和监督重点： 发布指导并监督高风险处理，包括特殊类别数据和国际转移。
• 代表执行： 要求针对荷兰境内人员的非欧盟控制者在适用的情况下任命一名欧盟代表。

GDPR 在荷兰适用于您吗？

如果你 在荷兰运营 或针对特定人群并处理个人数据，GDPR 很可能适用——无论您的服务器位于何处。荷兰数据保护局 (AP) 负责监督各种规模的组织（从自由职业者到跨国公司）的合规性。

• 欧盟地区： 您在欧盟成立并处理个人数据。
• 非欧盟国家： 您向欧盟人民提供商品/服务或监控他们在欧盟的行为。

范围内的非欧盟组织必须任命一名欧盟代表。

何时以及为何联系美联社

如果隐私风险严重，或您与组织机构解决问题的尝试无果，请联系荷兰数据保护局 (AP)。个人可以就个人数据处理不当提出投诉。组织机构必须在 72 小时内报告符合条件的数据泄露事件，并且某些高风险活动可能需要获得 AP 的批准。

• 非法处理或特殊类别滥用： 例如，没有法律依据的生物特征数据。
• 忽略权利请求： 访问、删除、反对或透明度失败。
• 数据泄露（组织）： 必须在 72 小时内通知 AP。
• 不向个人发出违规通知： 当人们应该被告知的时候。
• 无欧盟代表（非欧盟控制者）： 同时针对荷兰人民。
• 共享黑名单： 何时需要 AP 的许可证。

您的 GDPR 权利受到 AP 的保障

荷兰数据保护局 (AP) 保障您的核心 GDPR 权利，确保各机构清晰地通知您、及时回复并合法处理数据。如果公司忽视或错误处理请求，荷兰数据保护局 (AP) 可以展开调查并责令其遵守规定。这些是 AP 在实践中执行的关键权利。

• 知情权： 清晰、透明的通知，包括从他人处获取数据时。
• 访问权： 您的数据和处理详情的副本；及时回复（通常在一个月内）。
• 权利便利化： 组织必须使请求变得简单且及时——不得无理拒绝或拖延。
• 特殊类别数据的保护： 对生物特征或健康数据的额外保护；非法使用将触发 AP 行动。
• 违规信息： 当泄漏造成高风险时，必须通知人们；美联社会检查是否发生这种情况。

如何提交隐私投诉（分步说明）

如果某个机构对您的个人数据处理不当或忽视您的权利请求，您可以向荷兰数据保护局 (Autoriteit Persoonsgegevens, AP) 投诉。在大多数情况下，请先尝试与该机构解决问题，并保留清晰的书面记录。重点明确、记录详尽的投诉有助于 AP 更快地评估情况，尤其是在涉及特殊类别数据或跨境处理的情况下。

1. 尝试直接解决： 写信给该组织（或其 DPO）解释问题和您所援引的权利；给他们最多一个月的时间回复。
2. 收集证据： 保留您的请求、任何回复、日期、屏幕截图、隐私声明以及您所遭受的任何伤害的副本。
3. 向美联社提交您的投诉： 使用 AP 的投诉渠道并描述谁、什么、何时、涉及的 GDPR 权利以及影响。
4. 配合后续工作： 授权机构可能会要求提供更多信息或与其他欧盟机构协调处理跨境案件。
5. 考虑采取类似的补救措施： 授权人可以责令其遵守规定并处罚组织；赔偿则需要采取单独的民事行动。

如何向美联社报告数据泄露（针对组织）

当发生个人数据泄露时，组织 在荷兰运营或针对荷兰 必须迅速采取行动：如有需要，请在72小时内通知荷兰数据保护局（Autoriteit Persoonsgegevens，AP），告知受影响的个人并记录事件。跨境违规行为通常会报告给欧盟总部所在国家的DPA。逾期通知可能会被罚款。

1. 评估并包含： 确定该事件是否属于可报告的个人数据泄露。
2. 通知 AP（72 小时）： 使用美联社的数据泄露报告渠道提交您的通知。
3. 在需要时通知个人： 告知受影响的人们并提供切实可行的指导。
4. 内部文件： 在违规登记册中记录事实、影响和补救措施。
5. 跨境协调： 通知牵头机构（欧盟总部的数据保护机构）并协调后续行动。

保留决定和时间表的证据；AP 可能会要求提供更多信息。

美联社对组织的期望：GDPR 的核心义务

Autoriteit Persoonsgegevens 希望组织能够展现真正的 GDPR 责任：选择有效的法律依据、清楚地解释您的处理方式、将数据保持在最低限度、适当保护数据、及时尊重权利请求、评估高风险活动、在需要时报告违规行为，并仅在采取适当的保护措施的情况下将数据传输到国外。

• 合法依据和透明度： 明确说明目的、法律依据以及与谁共享数据；提供可访问的隐私信息。
• 数据最小化和保留： 仅收集必要的信息并设置/遵守保留期。
• 安防措施： 实施适当的技术和组织控制并限制内部访问。
• 高风险处理： 在需要的地方运行 DPIA；为特殊类别数据添加保护措施。
• 权利便利化： 使行使权利变得容易；及时作出回应（通常在一个月内）。
• 违规管理： 在需要时在 72 小时内通知 AP；在风险较高时通知个人；保留违规登记册。
• 国际转账： 使用充分性决定或适当的保障措施（例如示范条款）。
• 监管要求： 获得某些共享黑名单的 AP 许可证；在强制性规定下任命 DPO；非欧盟控制者在针对荷兰时必须有欧盟代表。

DPO、欧盟代表和实践中的问责

GDPR 下的问责是一项长期义务，而非一项可有可无的义务。如有需要，应任命一名数据保护官 (DPO)，负责监督个人数据的处理方式、为员工提供建议，并作为荷兰数据保护局 (AP) 的联系人。如果您是向欧盟境内人员提供商品/服务或进行监控的非欧盟控制者，则必须任命一名欧盟代表。AP 期望提供证据证明这些职责在实践中有效——未能任命代表的情况已导致执法部门的执法，正如 Clearview 案所示。

• 必要时： DPO 负责监控处理过程、通知和建议工作人员，并且是 AP 的联系人。
• 欧盟代表（非欧盟控制者）： 当针对欧盟/荷兰的人们时指定一名代表。
• 高风险处理： 在需要的地方执行 DPIA，并为特殊类别数据添加保护措施。
• 权利处理： 使请求易于执行并且及时做出回应（通常在一个月内）。
• 突破准备： 保存违规记录并在需要时在 72 小时内通知 AP。
• 国际转账： 依赖充分性决定或适当的保障措施（例如， 示范合同).

跨境案件和一站式处理机制

当数据处理或违规行为影响多个欧盟国家的人员时，GDPR 的一站式服务将适用。牵头监管机构是您所在欧盟“主要机构”（通常是总部）的数据保护机构 (DPA)。如果该机构位于荷兰，则由荷兰数据保护局 (AP) 牵头；否则，AP 将作为相关机构。对于跨境违规行为，组织通常会通知牵头数据保护机构 (DPA)。

• 确定您的主要 DPA： 确定主要机构并确认由谁领导。
• 通过首席 DPA 报告： 使用其违规/沟通渠道并保存记录。
• 坐标： 期待与其他欧盟 DPA 的信息请求和联合处理。

执法实践：罚款、命令和值得注意的案例

荷兰数据保护局 (Dutch Data Protection Authority) 结合使用调查和纠正工具来快速改变行为。预计会受到行政罚款、谴责和合规命令的处罚，通常还会定期支付罚款以终止持续的违规行为。典型的触发因素包括非法处理、滥用特殊类别数据、忽视权利请求、非欧盟控制者缺少欧盟代表，以及违规通知延迟或不充分（可能会被处以罚款）。

• 行政罚款和命令： AP 可以命令补救并附加定期罚款以确保合规。
• 常见违规行为： 没有法律依据，生物特征处理非法，透明度差，无法方便获取信息，违规处理薄弱。
• 值得关注的案例——Clearview AI（2024 年）： 因非法数据收集和生物识别处理、透明度和访问失败以及没有欧盟代表而被罚款 30,500,000 欧元；另外还有四项合规命令以停止正在进行的违规行为。

官方资源和联系渠道

如需权威指南和表格，请使用荷兰数据保护局 (Autoriteit Persoonsgegevens, AP)。这是获取信息、投诉和违规报告的官方渠道。

• AP 网站（英文/荷兰文）： 指导、更新和新闻。
• 投诉表（个人）： 提出隐私投诉；添加证据。
• 数据泄露门户（组织、NL）： 如有需要，请在 72 小时内通知；内部记录。
• 联系页面： 一般查询或案件跟进。
• 指导： 安全措施、DPIA 和国际转移。

准备 AP 询问或检查

个人所得税局的问询不必变成消防演习。降低风险最有效的方法是做好充分准备，并尽早弥补不足。利用这种有针对性的准备，为信息请求、远程检查或现场调查做好准备。

• 指定响应负责人： DPO/EU 代表作为单一联系人；跟踪所有截止日期。
• 整理您的责任文件： 目的、法律依据、通知、保留、访问控制。
• 证据权利处理： 请求日志、响应模板和一个月的周转记录。
• 演示 安全和DPIA: 涵盖高风险/特殊类别的处理和记录的缓解措施。
• 制作违规文件： 事件登记、72 小时通知以及任何用户通信。
• 验证国际转移和代表： 充分性或示范条款，加上欧盟代表的证明（如果需要）。

关键要点和后续步骤

底线：AP 是荷兰 GDPR 的监管机构。个人可以升级投诉；组织必须提供合法处理的证据、维护权利、保护数据安全，并在 72 小时内报告违规行为，尤其要特别注意特殊类别数据和跨境设置。需要定制帮助或紧急响应计划？请联系我们的 隐私律师 Law & More.