下载文档原格式
GDPR欧洲通用数据保护条例GDPR(欧洲通用数据保护条例):保护人们的个人数据在当前信息时代,个人数据的保护问题引起了越来越多的关注。
为了保护欧洲公民的隐私权和数据安全,欧洲通用数据保护条例(General Data Protection Regulation,简称GDPR)于2018年5月25日生效。
GDPR的实施标志着欧洲对数据保护的迈出了重要的一步,影响了各个行业。
第一部分:GDPR的背景和目标GDPR的诞生源于对个人数据保护的日益重视。
在过去的几十年里,互联网技术的快速发展使得个人数据的采集、存储和处理变得异常容易。
然而,这也给个人隐私和数据安全带来了巨大的挑战。
GDPR的目标是通过一系列规定,确保个人数据的合法、公正和透明处理,维护公民的隐私权益。
第二部分:GDPR对企业的影响GDPR的实施对各个行业都产生了深远的影响。
首先,企业需要合规,加强对个人数据的保护。
GDPR要求企业必须获得明确的、可撤销的同意才能处理个人数据,且只能按照约定用途使用数据。
这意味着企业需要在收集和使用个人数据时更加审慎,加强数据风险评估和隐私保护措施。
另外,企业还需要向数据主体提供更多的透明度和信息。
根据GDPR,企业必须向数据主体提供详细的数据处理说明,包括数据处理的目的、数据传输的方式以及数据存储的期限等内容。
此外,数据主体还有权要求企业提供对个人数据的访问、更正、删除和限制处理等操作。
第三部分:各行业对GDPR的应对和挑战不同行业对GDPR的应对和挑战也存在差异。
在金融行业,银行和保险公司需要加强对客户个人信息的保护,确保数据安全,并建立合规的数据处理流程。
而在医疗行业,医院和药企需要加强对患者个人健康数据的保护,防止个人数据泄露和滥用。
在互联网行业,社交媒体和电子商务平台需要加强用户个人数据的安全管理,保护用户的隐私权益。
同时,互联网企业还需要加强对第三方数据处理和合作伙伴的监管,确保数据安全链不断。
GDPR常见问题《通用数据保护条例》(GDPR)会对欧盟公民以及伊士曼等在欧盟经营业务的公司产生影响。
此条例旨在为公司收集的数据提供保护,让生活在欧盟的人拥有其个人信息处理方式的知情权。
通过下文所列问题,您应该能够对GDPR及其对您和伊士曼的影响有一个大概的了解:GDPR是什么?GDPR即为《通用数据保护条例》,这项全新的欧盟法规旨在于欧盟范围内统一隐私保护问题,并保护数据主体的个人数据。
该法规于2018年5月25日生效,取代可追溯到1996年的旧法令。
此条例适用于哪些人?该法规重点保护与个人数据处理和传送相关的数据主体。
该主体必须为生活在欧盟境内的自然人,不一定取得欧盟公民身份。
该主体不包括公司。
个人数据包含哪些内容?个人数据包括与可识别的自然人相关的任何信息,比如姓名、电话号码(商业或个人)、电子邮件地址(商业或个人)、身份证号码、定位数据、信用卡号码、在线身份识别,或者是针对该数据主体的物理、生理、遗传、心理、经济、文化或者社会身份的一个或多个要素。
该列表扩大后所包含的范围超出了人们通常所认为的个人可识别信息(PII)的内容。
GDPR赋予数据主体哪些权利?此条例赋予数据主体:•获取自身数据的权利•修改自身数据的权利•删除自身数据的权利•限制处理自身数据的权利•数据可携权•反对权伊士曼可以收集并处理个人数据的法律依据是什么?•经由数据主体同意•数据主体基于合同履行同意•用于伊士曼履行欧盟或成员国法律所规定的法律义务•为了保护自然人的切身利益•为了执行欧盟或成员国法律中规定的符合公众利益的任务•用于保护伊士曼或第三方的合法权益GDPR会影响到哪些人?与生活在欧盟的员工、承包商、供应商和客户打交道的任何人。
根据GDPR,伊士曼要承担哪些责任?伊士曼必须确保以合法、公平且透明的方式处理个人数据。
任何个人数据的收集都必须出于具体、明确且合法的理由。
个人数据的收集应仅限于必要的范围内。
为了满足此要求,伊士曼需要了解•哪些个人数据正被收集•个人数据存储在何处•个人数据的存储期限(或决定该存储期限的标准)•处理(使用)个人数据的目的•处理个人数据的合法依据•谁有权查阅个人数据(包括第三方)•如何保护个人数据。
欧盟《通用数据保护条例》(GDPR)2018.5.25第一章一般条款 (5)第1条主要事项与目标 (5)第2条适用范围 (5)第3条地域范围 (5)第4条定义 (6)第二章原则 (9)第5条个人数据处理原则 (9)第6条处理的合法性 (9)第7条同意的条件 (10)第8条信息社会服务中适用儿童同意的条件 (11)第9条对特殊类型个人数据的处理 (11)第10条处理涉及犯罪定罪与违法的个人数据 (12)第11条不需要识别的处理 (12)第三章数据主体的权利 (13)第一部分透明性与模式 (13)第12条信息、交流与模式的透明性——保证数据主体权利的行使 (13)第二部分信息与对个人数据的访问 (14)第13条收集数据主体个人数据时应当提供的信息 (14)第14条未获得数据主体个人数据的情形下,应当提供的信息 (15)第15条数据主体的访问权 (16)第三部分更正与擦除 (17)第16条更正权 (17)第17条擦除权(“被遗忘权”) (17)第18条限制处理权 (18)第19条关于更正或擦除或限制处理中的通知责任 (18)第20条数据携带权 (19)第四部分反对的权利和自动化的个人决策 (19)第21条反对权 (19)第22条自动化的个人决策,包括用户画像 (20)第五部分限制 (20)第23条限制 (20)第四章控制者和处理者 (21)第一部分一般性责任 (21)第24条控制者的责任 (21)第25条通过设计的数据保护和默认的数据保护 (21)第26条共同控制者 (22)第27条不在欧盟所设立的控制者或处理者的代表 (22)第28条处理者 (23)第29条代表控制者或处理者进行的处理 (24)第30条处理活动的记录 (24)第31条和监管机构的合作 (25)第二部分个人数据的安全 (25)第33条向监管机构报告对个人数据的泄露 (26)第34条向数据主体传达个人数据泄露 (26)第三部分数据保护影响评估与提前咨询 (27)第35条数据保护影响评估 (27)第36条提前咨询 (28)第四部分数据保护官(DPO) (29)第37条数据保护官的委任 (29)第38条数据保护官的职位 (30)第39条数据保护官的任务 (30)第五部分行为准则与认证 (31)第40条行为准则 (31)第41条对已生效行为准则的监控 (32)第42条认证 (33)第43条认证机构 (34)第44条转移的一般性原则 (35)第45条基于认定具有充足保护的转移 (35)第46条转移所需要的适当安全保障 (37)第47条有约束力的公司规则 (37)第48条未经欧盟法授权的转移或披露 (39)第49条特殊情形下的克减 (39)第50条为保护个人数据的国际合作 (40)第六章独立监管机构 (41)第一部分独立性地位 (41)第51条监管机构 (41)第52条独立性 (41)第53条监管机构成员的一般性要求 (41)第54条设立监管机构的规则 (42)第二部分职权、任务与权力 (42)第55条职权 (42)第56条领导性监管机构的职权 (43)第57条任务 (43)第58条权力 (45)第59条活动报告 (46)第七章合作与一致性 (46)第一部分合作 (46)第60条领导性监管机构和其他相关监管机构的合作 (46)第61条互相协助 (47)第62条监管机构的联合行动 (48)第二部分一致性 (49)第63条一致性机制 (49)第64条欧盟数据保护委员会的意见 (49)第65条欧盟数据保护委员会的纠纷解决 (50)第66条紧急程序 (51)第三部分欧盟数据保护委员会(EDPB) (52)第68条欧盟数据保护委员会 (52)第69条独立性 (52)第70条欧盟数据保护委员会的任务 (53)第71条报告 (55)第72条程序 (55)第73条主席 (55)第74条主席的任务 (55)第75条秘书 (55)第76条机密性 (56)第77条向监管机构提起申诉的权利 (56)第78条针对监管机构的有效司法救济权 (56)第79条针对控制者或处理者的有效司法救济权 (57)第80条对数据主体的代表 (57)第81条法律诉讼的中止 (57)第82条获取赔偿的权利与责任 (58)第83条行政罚款的一般条件 (58)第84条惩罚 (60)第九章和特定处理情形相关的条款 (60)第85条处理、表达自由与信息 (60)第86条处理与公众对官方文件的访问 (61)第87条对全国性身份识别号码的处理 (61)第88条雇佣语境下的处理 (61)第89条为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减 . 61第90条保密责任 (62)第91条现有的的对教会和宗教协会的数据保护规则 (62)第十章授权法案与实施性法案 (62)第92条对授权的行使 (62)第93条委员会程序 (63)第十一章最后条款 (63)第94条 95/46/EC指令的废止 (63)第95条与2002/58/EC的关系 (63)第96条和之前已经达成的协议的关系 (63)第97条委员会报告 (63)第98条对欧盟其他数据保护法案的审查 (64)第99条生效与适用 (64)经过欧盟议会长达四年的讨论,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于在2018年5月25日生效。
gdpr条文GDPR(General Data Protection Regulation)是欧盟于2016年4月27日通过的一项旨在保护欧盟公民个人数据的法规。
该法规自2018年5月25日起生效,适用于所有在欧盟境内处理欧盟公民个人数据的组织。
GDPR的出台是为了应对数字化时代个人数据滥用和泄露的风险,加强对个人数据的保护和隐私权。
1. GDPR的背景和意义GDPR的出台背景是数字化时代个人数据的爆炸式增长,以及相关个人数据滥用、泄露和跨境流动所导致的隐私权和个人数据保护的问题。
随着互联网的普及和信息技术的快速发展,个人数据的获取、存储、处理和传输变得更加便捷,但同时也带来了个人数据的滥用和泄露的风险。
因此,欧盟认为有必要制定一项综合性的法规来加强对个人数据的保护和隐私权的维护,从而维护个人数据的安全和合法使用。
GDPR的重要意义在于,它为个人数据主体赋予了更多的控制权和决策权,要求相关组织在处理个人数据时必须遵守一系列严格的规定,包括明确告知个人数据主体数据处理的目的、方式和期限,取得明确的授权同意,保证数据的安全和保密性,以及提供个人数据主体相关的可控权利等。
通过GDPR的实施,可以更好地保护个人数据的隐私和安全,提高个人数据主体的信任度和满意度,促进数字经济的健康发展。
2. GDPR的基本原则和内容GDPR包括一系列的基本原则和内容,主要包括以下几个方面:2.1.个人数据处理的合法性和公正性原则。
根据GDPR的规定,个人数据的处理必须具有合法性和公正性,即必须有明确的法律依据和合理的处理方式,不能以任何不正当的手段获取或使用个人数据,不能违反个人数据主体的意愿和利益。
2.2.个人数据处理的透明性和公开性原则。
根据GDPR的规定,个人数据的处理必须具有透明性和公开性,即相关组织在处理个人数据时必须向个人数据主体明确告知数据处理的目的、方式和期限,并在数据处理前取得明确的授权同意。
2.3.个人数据处理的目的和必要性原则。
数据保护法律法规解读近年来,随着科技的不断发展和互联网的普及,数据的应用和处理已经成为了现代社会的一个重要议题。
然而,随之而来的是个人隐私和数据安全的泄露问题也日益严重。
为了保障公众的个人隐私权,各国纷纷制定了一系列数据保护法律法规。
本文将深入探讨几个重要的数据保护法律法规,并进行解读。
一、欧盟《通用数据保护条例》(GDPR)欧盟《通用数据保护条例》(GDPR)是欧盟于2018年5月25日正式实施的重要法规。
该法规的目的是保护公民的个人数据隐私权,并规定了数据处理的原则和义务。
GDPR覆盖了处理个人数据的各个环节,包括数据的采集、存储、处理和传输等。
在GDPR的框架下,个人数据必须经过明确的合法性和透明性原则下的明确目的,以及必要性、数据最小化和准确性的原则等。
二、美国《加州消费者隐私法》(CCPA)美国《加州消费者隐私法》(CCPA)于2020年正式生效,是美国历史上最先进的个人隐私保护法律之一。
该法案扩大了对加州居民的个人隐私权的保护范围,并要求企业在收集、使用和共享个人数据时必须遵循严格的规定。
CCPA要求企业提供透明的隐私政策,告知消费者他们如何收集、使用和处理个人数据,并给予消费者对自己数据的控制权。
三、中国《个人信息保护法》(PIPL)中国《个人信息保护法》(PIPL)将于2021年11月1日正式实施,是中国历史上首个专门针对个人信息保护的全面性法律。
该法律规定了个人信息的定义、个人信息处理者的义务和个人权利等方面的具体规定。
PIPL要求个人信息处理者必须经过合法、正当、必要的原则进行处理,并明确规定了个人信息的授权和共享等事项。
此外,PIPL还规定了个人信息保护的违法行为的处罚措施。
四、国际《数据保护指令》(DPI)国际《数据保护指令》(DPI)是一部为逐步建立全球数据保护标准而制定的国际法律文件。
DPI强调了个人隐私权的保护和数据安全的重要性,规定了数据处理者在收集、存储和使用个人数据时的义务和责任。
一般数据保护法(General Data Protection Regulation)全文译文译制工作组:高志民、张大伟、高强裔、居崑、陈聪、白阳、刘吉强、银鹰国家金融IC卡安全检测中心信息安全实验室北京交通大学金融信息安全研究所上海交通大学网络空间安全学院2018年3月30日《一般数据保护法案》General Data Protection RegulationREGULATION(EU)2016/679OF THE EUROPEAN PARLIAMENT AND OF THECOUNCIL of27April2016第一章.总则第1条主题与目标1该法规制定了在处理个人资料方面保护自然人的规则,及与个人资料自由流动有关的规则。
2本法规保护自然人的基本权利和自由,尤其是自然人保护其个人资料的权利。
3不得以保护与个人数据处理相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。
第2条适用范围1本法规完全或部分适用于以自动方式对个人数据的处理,除了以自动方式处理构成或拟构成档案系统一部分的个人资料。
2本法不适用于以下个人数据的处理:a)在一项不属于欧盟法律范围活动的过程中;b)成员国在开展属于“欧盟条约(TEU,th e Treaty on European Union)”第五卷第2章范围内的活动时;c)自然人在纯粹的个人或家庭活动中;d)由主管当局以预防、调查、侦查或起诉刑事犯罪为目的;或执行的刑事处罚,包括防范和防止对公共安全的威胁。
3欧盟各机构、机关、办事处和专门行政部门(代理机构)处理个人数据,适用第45/2001号法规。
第45/2001号法规和其他适用于处理个人资料的欧盟法律应根据本法规第98条的规定对其进行调整。
4本法规不影响第2000/31/EC指令的适用,特别是该指令第12条至第15国家金融IC卡安全检测中心信息安全实验室、北京交通大学金融信息安全研究所、上海交通大学网络空间条对中间服务提供商的责任规则。
欧盟《通用数据保护条例》(GDPR)正式生效经过欧盟议会长达四年的讨论,被成为史上最严数据保护法案的欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于将在2018年5月25日生效。
通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d))有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织精品文档,你值得期待第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第十一章最后条款经过欧盟议会长达四年的讨论,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于在2018年5月25日生效。
第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d) )有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
一般数据保护条例(GDPR)第一章一般条款第一条主题和目的(1)本条例制订了关于个人数据处理方面的自然人保护规则以及关于个人数据自由流动的规则。
(2)本条例保护自然人的基本权利和自由,特别是关于个人数据受保护的权利。
(3)个人数据在欧盟内部的自由流动不应出于有关保护自然人——个人数据处理方面——的原因被限制或禁止。
第二条实质适用范围(1)本条例适用于全部或部分通过自动方法对个人数据的处理,以及通过非自动方式对个人数据的处理,而这些处理将成为或拟成为某一归档系统的一部分。
(2)本条例不适用于以下对个人数据处理的情形:a)在一项不属于欧盟法律管辖范围的活动过程中;b)在欧盟成员国执行属于欧洲联盟条约第五部分第二章管辖范围的活动时进行的;c)在纯私人的或家庭的活动过程中由某一自然人进行的;d)由主管机关为了预防、调查、侦查或起诉刑事犯罪或执行刑事处罚进行的,包括对公共安全威胁进行安全保卫。
(3)由欧盟机构、机关或办事处等进行的个人数据处理,应适用(EC)No 45/2001条例。
(EC)No 45/2001条例及其他适用于个人数据处理的欧盟法律应按照本条例第98条的规定并根据本条例的原则和条款进行修订。
(4)本条例不应影响2000/31/EC指令的适用,特别是其中第12至15条关于中介服务提供商的责任条款。
第三条地域适用范围(1)本条例适用于位于欧盟的某一个人数据控制者(以下简称“控制者”)或个人数据处理者(以下简称“处理者”)的某个实体进行的活动中的个人数据处理行为,而不论对个人数据的处理是否发生在欧盟。
(2)本条例适用于对位于欧盟境内的数据主体信息进行的处理,该处理是由位于欧盟以外的某一控制者或处理者进行的,且处理活动与下列情形之一有关:a)对上述位于欧盟的数据主体提供物品或服务,不论是否要求该数据主体付款;或b)对他们发生在欧盟境内的行为的跟踪记录。
(3)本条例适用于非在欧盟境内的控制者的个人数据处理行为,当该处理依据国际公法适用欧盟成员国法律时。
GDPR–欧洲数据保护法规GDPR(General Data Protection Regulation),即《通用数据保护条例》,是欧洲联盟最新一项关于数据保护和隐私权的法规。
该法规于2018年5月25日生效,并适用于所有在欧洲联盟范围内经营的公司,不论其所在地是否为欧盟成员国。
GDPR的实施旨在增强个人对其个人数据的控制权,提高数据处理方的透明度和责任,并加强对个人数据的保护。
本文将首先介绍GDPR的背景和目标,然后探讨其主要原则、适用范围以及对组织的影响。
接着,将分析GDPR中涉及的主要义务和责任,包括数据处理者和数据受托人之间的关系、敏感数据处理、数据保护官的角色和职责等。
最后,将总结GDPR对组织的重要意义,并提出一些建议来帮助组织顺利遵守GDPR。
1. 背景和目标GDPR的出台是为了回应数字时代对数据保护和隐私的新挑战。
随着大数据和云计算的兴起,个人数据的规模和敏感性不断增加,而传统的数据保护法律已经无法满足这些新问题。
因此,GDPR旨在创造一个统一的、强大的数据保护框架,以保障个人信息的安全和隐私。
2. 主要原则GDPR建立在一系列基本原则之上,包括合法性、公正性和透明性、目的限制、数据最小化、准确性、存储限制、完整性和机密性、责任和问责制。
这些原则要求数据处理者对个人数据进行合法、透明和安全的处理,并仅在明确的目的下使用数据。
3. 适用范围GDPR适用于欧洲联盟成员国内及其境外的组织,只要该组织处理与欧洲联盟居民相关的个人数据。
不论组织是否位于欧盟内,只要其处理活动涉及欧盟居民的个人数据,均需要遵守GDPR的规定。
4. 对组织的影响GDPR对组织的影响非常深远。
首先,组织需要进行数据保护风险评估,识别和解决可能存在的数据安全风险。
其次,组织需要与数据处理者和数据受托人签署合同,确保数据处理过程合法且符合GDPR的要求。
此外,GDPR还规定了数据处理者和数据受托人之间的责任和义务,包括对数据泄露和违规处理的及时通知和报告。
欧盟GD P R《通用数据保护条例》(上)第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TE U)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d))有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(E C)第45/2001条例。
根据本条例第98条,(E C)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/E C指令的适用,特别是2000/31/E C指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第4条定义就本条例而言:(1)“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。
(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
(3)“限制处理”是指对存储的个人数据进行标记,以限制此后对该数据的处理行为。
(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。
(5)“匿名化”指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。
此类额外信息应当单独保存,并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。
(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。
(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体,不论其是否为第三方。
然而,公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据,则不应当被视为接收者;公共机构对此类数据的处理,应当根据处理目的遵循可适用的数据保护规则。
(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。
(11)数据主体的“同意”指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。
(12)“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。
(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据,这些数据可以提供自然人生理或健康的独特信息,尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。
(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。
(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据,包括和卫生保健服务相关的服务。
(16)“主要营业机构”指的是:(a)如果控制者在不止一个成员国内有多处营业机构,那么其在欧盟的管理中心所在地是主要营业机构,除非个人数据处理的目的与方式是由控制者的另一个机构决定的,并且这一机构有权实施此决定,在这种情况下,做出此类决定的机构应当被认为是主要营业机构;(b)如果处理者在不止一个成员国内具有多处机构,那么其在欧盟的管理中心所在地是主要营业机构。
如果处理者在欧盟没有管理中心,那么在处理者需要遵守本条例所规定的特殊责任的前提下,其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。
(17)“代表”指的是控制者或处理者根据第27条在欧盟书面委任,代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。
(18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人,包括经常进行经济活动的合伙企业或协会;(19)“企业集团”的含义是控股企业和被控股企业;(20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者,为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者,所遵循的个人数据保护政策。
(21)“监管机构”指的是成员国根据第51条而设立的独立性公共机构。
(22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构:(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的;(b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响;或者(c)该监管机构已经收到一项申诉;(23)“跨境处理”指的是:(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内;或者(b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的,但其对不止一国的数据主体具有实质性影响。
(24)“相关和合理的异议”指的是对是否存在违反本条例的情形,或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明,这种初步设想的决定会对数据主体的基本权利和自由,以及在某些情形下对欧盟的个人数据的自由流通会带来风险。
(25)“信息社会服务”指的是欧洲议会和欧盟理事会的(E U) 2015/1535指令在第1(1)条(b)点所定义的服务。
(26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。
1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第二章原则第5条个人数据处理原则1.对于个人数据,应遵循下列规定:(a)对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理(“合法性、合理性和透明性”);(b)个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。
根据第89(1)条,因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的(“目的限制”);(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化”);(d)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正(“准确性”);(e)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。
(“限期储存”);(f)处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。
2.控制者有责任遵守以上第1段,并且有责任对此提供证明。
(“可问责性”)。
第6条处理的合法性1.只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理;(b)处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;(c)处理是控制商履行其法定义务所必需的;(d)处理对于保护数据主体或另一个自然人的核心利益所必要的;(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;(f)处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。
第1段(f)点不适用公共机构在履行其任务时的处理。
2.对于第1段(c)和(e)所规定的处理,成员国可以维持或新制定更多具体条款,以适应本条例规则的适用,成员国为了确保合法与合理处理,可以制定更为明确的规定,包括第9章所规定的其他特定的处理情形。
