下载文档原格式
欧盟《通用数据保护条例》(GDPR)2018.5.25第一章一般条款 (5)第1条主要事项与目标 (5)第2条适用范围 (5)第3条地域范围 (5)第4条定义 (6)第二章原则 (9)第5条个人数据处理原则 (9)第6条处理的合法性 (9)第7条同意的条件 (10)第8条信息社会服务中适用儿童同意的条件 (11)第9条对特殊类型个人数据的处理 (11)第10条处理涉及犯罪定罪与违法的个人数据 (12)第11条不需要识别的处理 (12)第三章数据主体的权利 (13)第一部分透明性与模式 (13)第12条信息、交流与模式的透明性——保证数据主体权利的行使 (13)第二部分信息与对个人数据的访问 (14)第13条收集数据主体个人数据时应当提供的信息 (14)第14条未获得数据主体个人数据的情形下,应当提供的信息 (15)第15条数据主体的访问权 (16)第三部分更正与擦除 (17)第16条更正权 (17)第17条擦除权(“被遗忘权”) (17)第18条限制处理权 (18)第19条关于更正或擦除或限制处理中的通知责任 (18)第20条数据携带权 (19)第四部分反对的权利和自动化的个人决策 (19)第21条反对权 (19)第22条自动化的个人决策,包括用户画像 (20)第五部分限制 (20)第23条限制 (20)第四章控制者和处理者 (21)第一部分一般性责任 (21)第24条控制者的责任 (21)第25条通过设计的数据保护和默认的数据保护 (21)第26条共同控制者 (22)第27条不在欧盟所设立的控制者或处理者的代表 (22)第28条处理者 (23)第29条代表控制者或处理者进行的处理 (24)第30条处理活动的记录 (24)第31条和监管机构的合作 (25)第二部分个人数据的安全 (25)第33条向监管机构报告对个人数据的泄露 (26)第34条向数据主体传达个人数据泄露 (26)第三部分数据保护影响评估与提前咨询 (27)第35条数据保护影响评估 (27)第36条提前咨询 (28)第四部分数据保护官(DPO) (29)第37条数据保护官的委任 (29)第38条数据保护官的职位 (30)第39条数据保护官的任务 (30)第五部分行为准则与认证 (31)第40条行为准则 (31)第41条对已生效行为准则的监控 (32)第42条认证 (33)第43条认证机构 (34)第44条转移的一般性原则 (35)第45条基于认定具有充足保护的转移 (35)第46条转移所需要的适当安全保障 (37)第47条有约束力的公司规则 (37)第48条未经欧盟法授权的转移或披露 (39)第49条特殊情形下的克减 (39)第50条为保护个人数据的国际合作 (40)第六章独立监管机构 (41)第一部分独立性地位 (41)第51条监管机构 (41)第52条独立性 (41)第53条监管机构成员的一般性要求 (41)第54条设立监管机构的规则 (42)第二部分职权、任务与权力 (42)第55条职权 (42)第56条领导性监管机构的职权 (43)第57条任务 (43)第58条权力 (45)第59条活动报告 (46)第七章合作与一致性 (46)第一部分合作 (46)第60条领导性监管机构和其他相关监管机构的合作 (46)第61条互相协助 (47)第62条监管机构的联合行动 (48)第二部分一致性 (49)第63条一致性机制 (49)第64条欧盟数据保护委员会的意见 (49)第65条欧盟数据保护委员会的纠纷解决 (50)第66条紧急程序 (51)第三部分欧盟数据保护委员会(EDPB) (52)第68条欧盟数据保护委员会 (52)第69条独立性 (52)第70条欧盟数据保护委员会的任务 (53)第71条报告 (55)第72条程序 (55)第73条主席 (55)第74条主席的任务 (55)第75条秘书 (55)第76条机密性 (56)第77条向监管机构提起申诉的权利 (56)第78条针对监管机构的有效司法救济权 (56)第79条针对控制者或处理者的有效司法救济权 (57)第80条对数据主体的代表 (57)第81条法律诉讼的中止 (57)第82条获取赔偿的权利与责任 (58)第83条行政罚款的一般条件 (58)第84条惩罚 (60)第九章和特定处理情形相关的条款 (60)第85条处理、表达自由与信息 (60)第86条处理与公众对官方文件的访问 (61)第87条对全国性身份识别号码的处理 (61)第88条雇佣语境下的处理 (61)第89条为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减 . 61第90条保密责任 (62)第91条现有的的对教会和宗教协会的数据保护规则 (62)第十章授权法案与实施性法案 (62)第92条对授权的行使 (62)第93条委员会程序 (63)第十一章最后条款 (63)第94条 95/46/EC指令的废止 (63)第95条与2002/58/EC的关系 (63)第96条和之前已经达成的协议的关系 (63)第97条委员会报告 (63)第98条对欧盟其他数据保护法案的审查 (64)第99条生效与适用 (64)经过欧盟议会长达四年的讨论,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于在2018年5月25日生效。
欧盟《通用数据保护条例》影响研究【摘要】欧盟《通用数据保护条例》是一项重要的立法,对企业和个人数据隐私都产生了深远影响。
对企业而言,这项法规增加了数据处理的成本和复杂性,但也提高了数据安全性和信任度。
对个人数据隐私的保护方面,条例强化了个人数据的权利和隐私保护,限制了数据的滥用和泄露。
条例还规范了数据处理的流程和标准,确保数据的合法、透明和安全处理。
条例也对数据的跨境流动做了一定限制,加大了企业的运营难度。
欧盟《通用数据保护条例》的执行和监管机制将确保法规得到有效执行,提升数据保护的水平。
这项条例对数据保护起到了积极作用,但未来还需不断完善和调整以适应不断变化的数据环境。
【关键词】欧盟《通用数据保护条例》、影响研究、企业、个人数据隐私、数据处理规范、数据跨境流动、执行监管机制、数据保护、积极作用、展望1. 引言1.1 欧盟《通用数据保护条例》影响研究的背景欧盟《通用数据保护条例》(GDPR)于2018年5月25日正式实施,这是欧盟个人数据保护史上的里程碑事件。
GDPR的实施对全球数据保护事务产生了深远影响,不仅在欧盟内部引发了数据保护法律框架的大改革,也对全球数据治理提出了新的标准和要求。
GDPR的制定起源于数字时代个人数据隐私受到严重侵犯的现实需求。
在数字化进程中,个人数据被大量收集、存储和操纵,而数据泄露和滥用等问题频繁发生,引起了社会广泛关注。
欧盟通过GDPR的实施,旨在加强对个人数据的保护,保障个人数据主体的权益,推动数据安全和隐私保护的全球化进程。
GDPR作为当今最严格的数据保护法规之一,其实施对企业和个人都带来了重大影响。
欧盟各成员国和全球跨国企业都面临着符合GDPR要求的数据处理挑战,GDPR的实施也促使其他国家和地区出台相关法规,形成了全球数据保护合规的新趋势。
通过研究欧盟《通用数据保护条例》的影响,可以更深入了解数字时代数据保护的挑战与机遇,推动全球数据治理和隐私保护的进步。
1.2 欧盟《通用数据保护条例》的重要性欧盟《通用数据保护条例》的重要性在当前数字化时代尤为突出。
GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟为保护其居民的个人数据而制定的一项法律。
它于2018年5月25日开始执行,旨在为个人数据提供更加坚实的安全保障,并赋予个人更多关于自己数据的控制权。
以下是GDPR 的一些主要执行条款:1. 适用范围:GDPR适用于所有处理欧盟居民个人数据的公司,不论该公司是否位于欧盟境内。
2. 数据主体权利:GDPR确认了数据主体的多项权利,包括:- 知情权:个人有权知道他们的数据是如何被处理的。
- 访问权:个人有权访问他们的个人数据。
- 反对权:个人有权反对他们的数据被用于营销目的,且数据控制者必须遵守这一反对。
- 个人数据可携权:个人有权将他们的数据从一个服务提供者转移到另一个服务提供者。
- 被遗忘权:在某些情况下,个人有权要求删除他们的个人数据。
3. 数据最小化原则:个人数据的收集应当仅限于与数据处理目的相关的信息。
4. 合法、公平、透明:数据的处理应当基于合法、公正、透明的原则。
5. 数据保护影响评估:在进行新的数据处理活动之前,必须进行数据保护影响评估。
6. 数据泄露通知:如果发生数据泄露,数据控制者必须在72小时内通知相关监管机构,并在某些情况下通知数据主体。
7. 数据保护官:某些组织必须任命数据保护官。
8. 跨境数据传输:GDPR对跨境数据传输提出了严格的规定,确保欧盟居民的数据在转移到欧盟以外的国家时,仍能受到足够的保护。
9. 罚款:违反GDPR的规定可能会导致高额罚款,最高可达到2000万欧元或公司全球营业额的4%,以较高者为准。
10. 透明度和责任:GDPR要求企业对个人数据的处理提供透明度,并对违规行为承担相应的责任。
这些执行条款共同构成了GDPR的框架,旨在加强对个人数据的保护,并促进数字经济的信任和公平。
欧盟《通用数据保护条例》影响研究欧盟《通用数据保护条例》(GDPR)是旨在加强个人数据保护和隐私权的一项重要法规。
该条例于2016年4月经欧洲议会通过,并于2018年5月正式生效。
GDPR的实施对于欧洲内外的企业和组织都产生了深远的影响,其要求涉及到数据收集、处理和存储等方方面面,不仅对企业自身业务运营产生了影响,也对跨境流动的数据传输和全球互联网服务带来了挑战。
本文将从不同维度分析GDPR的影响,以期为相关企业和组织提供更好的理解和应对方案。
一、GDPR对企业的影响1. 数据收集和处理严格监管GDPR要求企业在收集和处理用户数据时需获得用户的明确同意,并在明确定义目的的前提下进行。
这对于许多依赖大数据和用户个人信息的企业来说是一项重大挑战,尤其是社交媒体、电商平台和广告商等。
他们需要重新审视其数据收集和处理的合规性,并做出相应的调整。
这意味着需要制定新的隐私政策和条件,以明确地通知用户他们的数据将如何被使用,并为他们提供选择和控制的权利。
2. 数据安全和保护的要求加强据保护不仅包括获取用户数据的合法性,还涉及到数据的安全存储和保护。
GDPR要求企业必须确保在处理个人数据时采取合理的技术和组织措施,以保障个人数据的安全。
这些措施包括加密、匿名化以及制定灾难恢复计划等。
对于数据处理所涉及的云服务提供商和其他第三方服务商也提出了严格的合规要求。
这对企业来说无疑是一项庞大的挑战,需要投入更多的人力和财力来满足GDPR的要求。
3. 对外部合作伙伴的合规要求根据GDPR,企业对于其外部合作伙伴也需负有合规责任。
如果企业的外部合作伙伴违反了GDPR的规定,企业自身也可能会受到处罚。
企业需要审视其现有的合作伙伴关系,确保他们也符合GDPR的要求,并可能需要修改合同条款以满足相关法规。
1. 数据传输受限GDPR对于跨境数据传输提出了一系列的制约。
只有在欧盟委员会确认目的国有足够的保障时,才允许向该国传输个人数据。
欧盟《一般数据保护条例》监管实效与应对策略欧盟2016年5月24日通过的《一般数据保护条例》(GDPR),于2018年5月25日正式实施,其前身是欧盟1995年制定的《计算机数据保护法》。
GDPR实施以来,因为其严格的规定、高昂的罚款、广泛的适用范围,被称为史上最严格个人数据保护法案,GDPR的出台从正面来看有助于推动我国跨国企业的数据治理水平,值得我们学习借鉴,但从另一个方面来看,欧美发达国家单方面以立法形式,强迫他国遵守本国法律的行为,对国际贸易活动产生了深远影响,我们需要尽快予以有效应对。
一、GDPR对个人信息保护的主要内容一是强化监管机构的监督力度。
打破传统立法管辖权,明确了GDPR长臂管辖原则,同时在欧盟辖内设立专门的监管机构,并赋予其欧盟数据监管的最高机构的地位,为增强监管机构的执法权,赋予了其对违法行为进行巨额罚款的权利。
二是强化个人数据主体权利,明确数据主体的司法救济、赔偿权、被遗忘和删除权,提高了数据主体授权数据处理的有效标准。
三是强化企业数据管理的义务,明确企业有接受检查和信息披露的义务,并以制度方式要求企业实行数据文档化管理,并强制要求企业以规定形式设立数据保护官(DPO)职位,一旦数据发生数据泄漏,企业必须在规定时间内向社会公众履行告知义务。
二、GDPR的监管实效(一)以巨额罚款倒逼企业提升个人数据处理水平。
GDPR 实施以来,一部分企业为避免高昂的处罚成本,选择暂时撤出了欧盟市场,而另一部分有实力的大型企业为继续在欧盟范围内开展业务,选择积极谋求与GDPR的合作,不断改进和完善自身个人数据处理的综合水平。
GDPR定义了个人在互联网背景下拥有的信息权利,保护了自然人的信息权益,并以巨额的罚金倒逼信息采集机构、处理机构、使用机构积极维护个人享有的信息权利。
从GDPR近年来罚款原因看,逾三成罚款源于数据处理机构的数据处理行为缺乏合适的依据,还有近三成的罚款源于处理机构没有采取有效的技术手段保护个人数据安全。
欧盟GDPR对我国涉欧企业的合规挑战及对策1. 引言1.1 了解欧盟GDPR欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)是一项于2018年5月25日正式实施的数据保护法规,旨在加强个人数据保护,提高数据处理透明度,同时规范数据处理及跨境数据流动。
GDPR对数据的处理和保护提出了严格要求,要求企业在收集、存储、处理以及删除个人数据时需要获得用户明示同意,同时要明确告知用户数据处理的目的和方式。
GDPR还规定了个人数据的权利,包括访问、更正和删除数据的权利,以及数据的可携带性和限制数据处理等。
欧盟GDPR的实施给我国涉及欧企业带来了挑战,要求这些企业需要全面了解并遵守GDPR的相关规定,确保个人数据的合规处理和保护。
只有深入理解GDPR,才能避免因个人数据处理不当而导致的罚款和损害企业声誉的风险。
了解欧盟GDPR是企业在合规挑战中的首要步骤。
1.2 我国涉欧企业面临的合规挑战我国涉欧企业面临的合规挑战主要来自于欧盟GDPR对数据处理和保护的严格要求。
根据GDPR的规定,企业必须合法、公正、透明地处理个人数据,保证数据的安全和机密性。
这对于一些在数据处理和保护上存在不足的我国企业来说是一项较大的挑战,需要他们进行系统的改进和升级。
GDPR还规定了个人数据跨境传输的限制,企业需要确保在数据传输过程中符合严格的要求,这对于一些依赖跨境数据传输的企业来说也是一项考验。
GDPR对违规行为的处罚和制裁机制十分严格,一旦企业违反规定将面临高额罚款和声誉损失。
我国涉欧企业需要加强对GDPR的理解和遵守,并采取有效的对策来提升数据安全管理和保护措施,以确保符合GDPR的要求,避免因违规而受到处罚和损失。
2. 正文2.1 数据处理和保护要求数据处理和保护要求是欧盟GDPR的核心内容之一,对我国涉欧企业来说,合规挑战也主要集中在数据处理和保护方面。
根据GDPR 的规定,企业在处理个人数据时必须遵守一系列严格的要求,以确保数据的安全和隐私。
欧盟《通用数据保护条例》(GDPR)正式生效经过欧盟议会长达四年的讨论,被成为史上最严数据保护法案的欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于将在2018年5月25日生效。
通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d))有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
科技管理TECHNOLOGY欧盟《通用数据保护条例》(GDPR)要求下的数据应用实践中国银行(卢森堡)信息科技部 魏来欧盟《通用数据保护条例》或称《一般数据保护条例》(以下简称“GDPR”)已于2018年5月25日正式实施。
GDPR的正式实施,对于欧盟国家个人数据的收集管理、数据的可见性以及使用限制,即个人数据的保护制定了原则和规范。
同时,GDPR合规性不受自然地理的限制,只要存储和处理了欧盟数据主题的数据,都必须遵守该条例。
以此为基础,当前包括金融机构在内,尤其是置身于欧盟国家的B2B、B2C等各类中外资机构和企业,都制定了相应的数据安全管理办法和数据使用操作流程以符合相应的监管要求。
此外,大数据时代背景下的数字化转型、社会数字化迅速发展,这些存储和处理了包括个人数据在内的金融机构或企业在改善业务决策、总部集团并表、内部精细化管理、外部监管报送、经营业绩分析并可视化、建立客户单一视图和客户画像等方面都有各类基于数据沉淀、深入分析和充分挖掘的数据应用需求。
本文并不针对GDPR条例进行政策解读和深入分析,仅基于GDPR的合规要求,针对企业内部并非高数据量和高并发的通用需求场景,结合目前主流应用体系架构,充分利用企业现有资源提升效率、安全可控、优化流程,以实现轻量级企业数据结果集定时自动生成、并通过企业内部邮件系统,向数据使用的提出方定向完成数据的主动推送功能,提出一种可行性解决方案。
一、基本的数据使用和处理流程为符合GDPR的合规要求,一般情况下,企业内部的数据使用和处理流程主要包括以下几个方面:首先,前提是数据主体同意在有限的范围和周期内保存数据信息;其次,对于数据使用的提出方,必须明确数据使用用途和时间范围,并承诺数据使用完毕后及时删除,在62FINANCIAL COMPUTER OF CHINA632019 . 04 中国金融电脑科技管理Technology Management得到预先制定的审批流程和指定的数据保护官批准后,数据管理方再进行生产数据向测试环境的迁移拷贝,按照数据使用提出方的要求生成数据信息,然后通过加密邮件的方式发送给具体的数据需求提出者,并通过电话方式告知加密文件的密码;最后,数据使用提出方在使用完毕后,及时删除数据,数据管理方释放测试环境,抹掉迁移拷贝的生产数据。
通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织精品文档,你值得期待第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第十一章最后条款经过欧盟议会长达四年的讨论,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于在2018年5月25日生效。
第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d) )有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
《一般数据保护条例》(General Data Protection Regulation,简称GDPR)欧盟;2018年5月25日生效一般数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d) )有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第4条定义就本条例而言:(1)“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。
(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
(3)“限制处理”是指对存储的个人数据进行标记,以限制此后对该数据的处理行为。
(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。
(5)“匿名化”指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。
此类额外信息应当单独保存,并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。
(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。
(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体,不论其是否为第三方。
然而,公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据,则不应当被视为接收者;公共机构对此类数据的处理,应当根据处理目的遵循可适用的数据保护规则。
(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。
(11)数据主体的“同意”指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。
(12) “个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。
(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据,这些数据可以提供自然人生理或健康的独特信息,尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。
(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。
(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据,包括和卫生保健服务相关的服务。
(16)“主要营业机构”指的是:(a)如果控制者在不止一个成员国内有多处营业机构,那么其在欧盟的管理中心所在地是主要营业机构,除非个人数据处理的目的与方式是由控制者的另一个机构决定的,并且这一机构有权实施此决定,在这种情况下,做出此类决定的机构应当被认为是主要营业机构;(b)如果处理者在不止一个成员国内具有多处机构,那么其在欧盟的管理中心所在地是主要营业机构。
如果处理者在欧盟没有管理中心,那么在处理者需要遵守本条例所规定的特殊责任的前提下,其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。
(17)“代表”指的是控制者或处理者根据第27条在欧盟书面委任,代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。
(18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人,包括经常进行经济活动的合伙企业或协会;(19)“企业集团”的含义是控股企业和被控股企业;(20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者,为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者,所遵循的个人数据保护政策。
(21)“监管机构”指的是成员国根据第51条而设立的独立性公共机构。
(22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构:(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的;(b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响;或者(c)该监管机构已经收到一项申诉;(23)“跨境处理”指的是:(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内;或者(b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的,但其对不止一国的数据主体具有实质性影响。
(24)“相关和合理的异议”指的是对是否存在违反本条例的情形,或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明,这种初步设想的决定会对数据主体的基本权利和自由,以及在某些情形下对欧盟的个人数据的自由流通会带来风险。
(25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU) 2015/1535指令在第1(1)条(b)点所定义的服务。
(26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。
1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第二章原则第5条个人数据处理原则1.对于个人数据,应遵循下列规定:(a)对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理(“合法性、合理性和透明性”);(b)个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。
根据第89(1)条,因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的(“目的限制”);(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化”);(d)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正(“准确性”);(e)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。
(“限期储存”);(f) 处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。
2.控制者有责任遵守以上第1段,并且有责任对此提供证明。
(“可问责性”)。
第6条处理的合法性1.只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理;(b)处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;(c) 处理是控制商履行其法定义务所必需的;(d)处理对于保护数据主体或另一个自然人的核心利益所必要的;(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;(f)处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。
第1段(f)点不适用公共机构在履行其任务时的处理。
2.对于第1段(c)和(e)所规定的处理,成员国可以维持或新制定更多具体条款,以适应本条例规则的适用,成员国为了确保合法与合理处理,可以制定更为明确的规定,包括第9章所规定的其他特定的处理情形。
