欧盟《通用数据保护条例》GDPR-精排版
GDPR欧洲通用数据保护条例
GDPR欧洲通用数据保护条例GDPR(欧洲通用数据保护条例):保护人们的个人数据在当前信息时代,个人数据的保护问题引起了越来越多的关注。
为了保护欧洲公民的隐私权和数据安全,欧洲通用数据保护条例(General Data Protection Regulation,简称GDPR)于2018年5月25日生效。
GDPR的实施标志着欧洲对数据保护的迈出了重要的一步,影响了各个行业。
第一部分:GDPR的背景和目标GDPR的诞生源于对个人数据保护的日益重视。
在过去的几十年里,互联网技术的快速发展使得个人数据的采集、存储和处理变得异常容易。
然而,这也给个人隐私和数据安全带来了巨大的挑战。
GDPR的目标是通过一系列规定,确保个人数据的合法、公正和透明处理,维护公民的隐私权益。
第二部分:GDPR对企业的影响GDPR的实施对各个行业都产生了深远的影响。
首先,企业需要合规,加强对个人数据的保护。
GDPR要求企业必须获得明确的、可撤销的同意才能处理个人数据,且只能按照约定用途使用数据。
这意味着企业需要在收集和使用个人数据时更加审慎,加强数据风险评估和隐私保护措施。
另外,企业还需要向数据主体提供更多的透明度和信息。
根据GDPR,企业必须向数据主体提供详细的数据处理说明,包括数据处理的目的、数据传输的方式以及数据存储的期限等内容。
此外,数据主体还有权要求企业提供对个人数据的访问、更正、删除和限制处理等操作。
第三部分:各行业对GDPR的应对和挑战不同行业对GDPR的应对和挑战也存在差异。
在金融行业,银行和保险公司需要加强对客户个人信息的保护,确保数据安全,并建立合规的数据处理流程。
而在医疗行业,医院和药企需要加强对患者个人健康数据的保护,防止个人数据泄露和滥用。
在互联网行业,社交媒体和电子商务平台需要加强用户个人数据的安全管理,保护用户的隐私权益。
同时,互联网企业还需要加强对第三方数据处理和合作伙伴的监管,确保数据安全链不断。
欧盟《通用数据保护条例》GDPR-精排版
欧盟《通用数据保护条例》(GDPR)2018.5.25第一章一般条款 (5)第1条主要事项与目标 (5)第2条适用范围 (5)第3条地域范围 (5)第4条定义 (6)第二章原则 (9)第5条个人数据处理原则 (9)第6条处理的合法性 (9)第7条同意的条件 (10)第8条信息社会服务中适用儿童同意的条件 (11)第9条对特殊类型个人数据的处理 (11)第10条处理涉及犯罪定罪与违法的个人数据 (12)第11条不需要识别的处理 (12)第三章数据主体的权利 (13)第一部分透明性与模式 (13)第12条信息、交流与模式的透明性——保证数据主体权利的行使 (13)第二部分信息与对个人数据的访问 (14)第13条收集数据主体个人数据时应当提供的信息 (14)第14条未获得数据主体个人数据的情形下,应当提供的信息 (15)第15条数据主体的访问权 (16)第三部分更正与擦除 (17)第16条更正权 (17)第17条擦除权(“被遗忘权”) (17)第18条限制处理权 (18)第19条关于更正或擦除或限制处理中的通知责任 (18)第20条数据携带权 (19)第四部分反对的权利和自动化的个人决策 (19)第21条反对权 (19)第22条自动化的个人决策,包括用户画像 (20)第五部分限制 (20)第23条限制 (20)第四章控制者和处理者 (21)第一部分一般性责任 (21)第24条控制者的责任 (21)第25条通过设计的数据保护和默认的数据保护 (21)第26条共同控制者 (22)第27条不在欧盟所设立的控制者或处理者的代表 (22)第28条处理者 (23)第29条代表控制者或处理者进行的处理 (24)第30条处理活动的记录 (24)第31条和监管机构的合作 (25)第二部分个人数据的安全 (25)第33条向监管机构报告对个人数据的泄露 (26)第34条向数据主体传达个人数据泄露 (26)第三部分数据保护影响评估与提前咨询 (27)第35条数据保护影响评估 (27)第36条提前咨询 (28)第四部分数据保护官(DPO) (29)第37条数据保护官的委任 (29)第38条数据保护官的职位 (30)第39条数据保护官的任务 (30)第五部分行为准则与认证 (31)第40条行为准则 (31)第41条对已生效行为准则的监控 (32)第42条认证 (33)第43条认证机构 (34)第44条转移的一般性原则 (35)第45条基于认定具有充足保护的转移 (35)第46条转移所需要的适当安全保障 (37)第47条有约束力的公司规则 (37)第48条未经欧盟法授权的转移或披露 (39)第49条特殊情形下的克减 (39)第50条为保护个人数据的国际合作 (40)第六章独立监管机构 (41)第一部分独立性地位 (41)第51条监管机构 (41)第52条独立性 (41)第53条监管机构成员的一般性要求 (41)第54条设立监管机构的规则 (42)第二部分职权、任务与权力 (42)第55条职权 (42)第56条领导性监管机构的职权 (43)第57条任务 (43)第58条权力 (45)第59条活动报告 (46)第七章合作与一致性 (46)第一部分合作 (46)第60条领导性监管机构和其他相关监管机构的合作 (46)第61条互相协助 (47)第62条监管机构的联合行动 (48)第二部分一致性 (49)第63条一致性机制 (49)第64条欧盟数据保护委员会的意见 (49)第65条欧盟数据保护委员会的纠纷解决 (50)第66条紧急程序 (51)第三部分欧盟数据保护委员会(EDPB) (52)第68条欧盟数据保护委员会 (52)第69条独立性 (52)第70条欧盟数据保护委员会的任务 (53)第71条报告 (55)第72条程序 (55)第73条主席 (55)第74条主席的任务 (55)第75条秘书 (55)第76条机密性 (56)第77条向监管机构提起申诉的权利 (56)第78条针对监管机构的有效司法救济权 (56)第79条针对控制者或处理者的有效司法救济权 (57)第80条对数据主体的代表 (57)第81条法律诉讼的中止 (57)第82条获取赔偿的权利与责任 (58)第83条行政罚款的一般条件 (58)第84条惩罚 (60)第九章和特定处理情形相关的条款 (60)第85条处理、表达自由与信息 (60)第86条处理与公众对官方文件的访问 (61)第87条对全国性身份识别号码的处理 (61)第88条雇佣语境下的处理 (61)第89条为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减 . 61第90条保密责任 (62)第91条现有的的对教会和宗教协会的数据保护规则 (62)第十章授权法案与实施性法案 (62)第92条对授权的行使 (62)第93条委员会程序 (63)第十一章最后条款 (63)第94条 95/46/EC指令的废止 (63)第95条与2002/58/EC的关系 (63)第96条和之前已经达成的协议的关系 (63)第97条委员会报告 (63)第98条对欧盟其他数据保护法案的审查 (64)第99条生效与适用 (64)经过欧盟议会长达四年的讨论,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于在2018年5月25日生效。
欧盟通用数据保护法案gdpr合规的20个步骤白皮书
欧盟通用数据保护法案(GDPR)于2018年5月25日正式生效,对全球范围内处理个人数据的组织产生了深远的影响。
GDPR的实施旨在保护欧盟公民的个人数据,并规范数据处理的合规性。
对于涉及欧盟公民数据的组织而言,遵守GDPR是一项重要的法律责任,而不仅仅是一种建议性的合规性要求。
在实施GDPR的过程中,组织需要采取一系列措施来确保其数据处理活动符合GDPR的相关规定。
本白皮书将介绍欧盟通用数据保护法案GDPR合规的20个重要步骤,以帮助相关组织更好地理解和遵守GDPR的要求。
1. 确定组织的角色在GDPR中,数据的处理涉及到“数据控制者”和“数据处理者”两个角色。
数据控制者是指决定个人数据处理目的和方式的组织,而数据处理者是根据数据控制者的委托进行个人数据处理的实体。
组织需要确定自身在数据处理中所处的角色,并相应地履行GDPR规定的责任和义务。
2. 明确数据处理的合法基础根据GDPR的规定,数据处理的合法性基础包括数据主体的同意、合同履行、法律义务、保护数据主体的重要利益、公共利益、以及合法利益等。
组织需要明确其个人数据处理的合法基础,并确保数据处理活动符合其规定。
3. 识别和分类个人数据组织需要对其处理的个人数据进行识别和分类,包括个人身份信息、健康信息、金融信息、地理位置信息等不同类别的个人数据。
通过对个人数据的识别和分类,组织可以更好地了解其数据处理活动所涉及的数据种类和范围,有针对性地进行合规性管理和保护。
4. 明确数据保护官(DPO)的职责根据GDPR的要求,一些处理大量个人数据的组织需要指定数据保护官(DPO),并明确其在数据保护工作中的职责和权利。
组织需要确保其DPO具备相关的专业知识和经验,能够有效地履行数据保护监督和指导的职责。
5. 更新数据处理规范和流程组织需要审查和更新其数据处理规范和流程,确保其符合GDPR的相关要求。
特别是在个人数据处理的目的、方式、范围、存储、安全等方面,组织需要进行全面的审查和调整,确保其数据处理活动合规性和安全性。
GDPR常见问题通用数据保护条例GDPR会对欧盟公民以及伊士...
GDPR常见问题《通用数据保护条例》(GDPR)会对欧盟公民以及伊士曼等在欧盟经营业务的公司产生影响。
此条例旨在为公司收集的数据提供保护,让生活在欧盟的人拥有其个人信息处理方式的知情权。
通过下文所列问题,您应该能够对GDPR及其对您和伊士曼的影响有一个大概的了解:GDPR是什么?GDPR即为《通用数据保护条例》,这项全新的欧盟法规旨在于欧盟范围内统一隐私保护问题,并保护数据主体的个人数据。
该法规于2018年5月25日生效,取代可追溯到1996年的旧法令。
此条例适用于哪些人?该法规重点保护与个人数据处理和传送相关的数据主体。
该主体必须为生活在欧盟境内的自然人,不一定取得欧盟公民身份。
该主体不包括公司。
个人数据包含哪些内容?个人数据包括与可识别的自然人相关的任何信息,比如姓名、电话号码(商业或个人)、电子邮件地址(商业或个人)、身份证号码、定位数据、信用卡号码、在线身份识别,或者是针对该数据主体的物理、生理、遗传、心理、经济、文化或者社会身份的一个或多个要素。
该列表扩大后所包含的范围超出了人们通常所认为的个人可识别信息(PII)的内容。
GDPR赋予数据主体哪些权利?此条例赋予数据主体:•获取自身数据的权利•修改自身数据的权利•删除自身数据的权利•限制处理自身数据的权利•数据可携权•反对权伊士曼可以收集并处理个人数据的法律依据是什么?•经由数据主体同意•数据主体基于合同履行同意•用于伊士曼履行欧盟或成员国法律所规定的法律义务•为了保护自然人的切身利益•为了执行欧盟或成员国法律中规定的符合公众利益的任务•用于保护伊士曼或第三方的合法权益GDPR会影响到哪些人?与生活在欧盟的员工、承包商、供应商和客户打交道的任何人。
根据GDPR,伊士曼要承担哪些责任?伊士曼必须确保以合法、公平且透明的方式处理个人数据。
任何个人数据的收集都必须出于具体、明确且合法的理由。
个人数据的收集应仅限于必要的范围内。
为了满足此要求,伊士曼需要了解•哪些个人数据正被收集•个人数据存储在何处•个人数据的存储期限(或决定该存储期限的标准)•处理(使用)个人数据的目的•处理个人数据的合法依据•谁有权查阅个人数据(包括第三方)•如何保护个人数据。
欧盟《通用数据保护条例》(GDPR)
欧盟《通用数据保护条例》(GDPR)正式生效经过欧盟议会长达四年的讨论,被成为史上最严数据保护法案的欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于将在2018年5月25日生效。
通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d))有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
欧盟《通用数据保护条例》(GDPR)要求下的数据应用实践
科技管理TECHNOLOGY欧盟《通用数据保护条例》(GDPR)要求下的数据应用实践中国银行(卢森堡)信息科技部 魏来欧盟《通用数据保护条例》或称《一般数据保护条例》(以下简称“GDPR”)已于2018年5月25日正式实施。
GDPR的正式实施,对于欧盟国家个人数据的收集管理、数据的可见性以及使用限制,即个人数据的保护制定了原则和规范。
同时,GDPR合规性不受自然地理的限制,只要存储和处理了欧盟数据主题的数据,都必须遵守该条例。
以此为基础,当前包括金融机构在内,尤其是置身于欧盟国家的B2B、B2C等各类中外资机构和企业,都制定了相应的数据安全管理办法和数据使用操作流程以符合相应的监管要求。
此外,大数据时代背景下的数字化转型、社会数字化迅速发展,这些存储和处理了包括个人数据在内的金融机构或企业在改善业务决策、总部集团并表、内部精细化管理、外部监管报送、经营业绩分析并可视化、建立客户单一视图和客户画像等方面都有各类基于数据沉淀、深入分析和充分挖掘的数据应用需求。
本文并不针对GDPR条例进行政策解读和深入分析,仅基于GDPR的合规要求,针对企业内部并非高数据量和高并发的通用需求场景,结合目前主流应用体系架构,充分利用企业现有资源提升效率、安全可控、优化流程,以实现轻量级企业数据结果集定时自动生成、并通过企业内部邮件系统,向数据使用的提出方定向完成数据的主动推送功能,提出一种可行性解决方案。
一、基本的数据使用和处理流程为符合GDPR的合规要求,一般情况下,企业内部的数据使用和处理流程主要包括以下几个方面:首先,前提是数据主体同意在有限的范围和周期内保存数据信息;其次,对于数据使用的提出方,必须明确数据使用用途和时间范围,并承诺数据使用完毕后及时删除,在62FINANCIAL COMPUTER OF CHINA632019 . 04 中国金融电脑科技管理Technology Management得到预先制定的审批流程和指定的数据保护官批准后,数据管理方再进行生产数据向测试环境的迁移拷贝,按照数据使用提出方的要求生成数据信息,然后通过加密邮件的方式发送给具体的数据需求提出者,并通过电话方式告知加密文件的密码;最后,数据使用提出方在使用完毕后,及时删除数据,数据管理方释放测试环境,抹掉迁移拷贝的生产数据。
欧盟《通用数据保护条例》GDPR-高质量译文(全)
通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织精品文档,你值得期待第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第十一章最后条款经过欧盟议会长达四年的讨论,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于在2018年5月25日生效。
第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d) )有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
欧盟 《一般数据保护条例》
欧盟《一般数据保护条例》来源:公众号“数据法律资讯”(ID:DATA_AND_LAW;Email:dataprotection@)译作者:丁晓东(中国人民大学法学院副教授,中国人民大学法学院未来法治研究院副院长。
中山大学电子与通信工程专业学士,北京大学、耶鲁大学法学博士、中国人民大学法学博士后)文档制作:公众号“顶象业务安全”(ID:dingxiang-tech)第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d) )有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
欧盟《通用数据保护条例》(GDPR)2018.5.25第一章一般条款 (5)第1条主要事项与目标 (5)第2条适用范围 (5)第3条地域范围 (5)第4条定义 (6)第二章原则 (9)第5条个人数据处理原则 (9)第6条处理的合法性 (9)第7条同意的条件 (10)第8条信息社会服务中适用儿童同意的条件 (11)第9条对特殊类型个人数据的处理 (11)第10条处理涉及犯罪定罪与违法的个人数据 (12)第11条不需要识别的处理 (12)第三章数据主体的权利 (13)第一部分透明性与模式 (13)第12条信息、交流与模式的透明性——保证数据主体权利的行使 (13)第二部分信息与对个人数据的访问 (14)第13条收集数据主体个人数据时应当提供的信息 (14)第14条未获得数据主体个人数据的情形下,应当提供的信息 (15)第15条数据主体的访问权 (16)第三部分更正与擦除 (17)第16条更正权 (17)第17条擦除权(“被遗忘权”) (17)第18条限制处理权 (18)第19条关于更正或擦除或限制处理中的通知责任 (18)第20条数据携带权 (19)第四部分反对的权利和自动化的个人决策 (19)第21条反对权 (19)第22条自动化的个人决策,包括用户画像 (20)第五部分限制 (20)第23条限制 (20)第四章控制者和处理者 (21)第一部分一般性责任 (21)第24条控制者的责任 (21)第25条通过设计的数据保护和默认的数据保护 (21)第26条共同控制者 (22)第27条不在欧盟所设立的控制者或处理者的代表 (22)第28条处理者 (23)第29条代表控制者或处理者进行的处理 (24)第30条处理活动的记录 (24)第31条和监管机构的合作 (25)第二部分个人数据的安全 (25)第33条向监管机构报告对个人数据的泄露 (26)第34条向数据主体传达个人数据泄露 (26)第三部分数据保护影响评估与提前咨询 (27)第35条数据保护影响评估 (27)第36条提前咨询 (28)第四部分数据保护官(DPO) (29)第37条数据保护官的委任 (29)第38条数据保护官的职位 (30)第39条数据保护官的任务 (30)第五部分行为准则与认证 (31)第40条行为准则 (31)第41条对已生效行为准则的监控 (32)第42条认证 (33)第43条认证机构 (34)第44条转移的一般性原则 (35)第45条基于认定具有充足保护的转移 (35)第46条转移所需要的适当安全保障 (37)第47条有约束力的公司规则 (37)第48条未经欧盟法授权的转移或披露 (39)第49条特殊情形下的克减 (39)第50条为保护个人数据的国际合作 (40)第六章独立监管机构 (41)第一部分独立性地位 (41)第51条监管机构 (41)第52条独立性 (41)第53条监管机构成员的一般性要求 (41)第54条设立监管机构的规则 (42)第二部分职权、任务与权力 (42)第55条职权 (42)第56条领导性监管机构的职权 (43)第57条任务 (43)第58条权力 (45)第59条活动报告 (46)第七章合作与一致性 (46)第一部分合作 (46)第60条领导性监管机构和其他相关监管机构的合作 (46)第61条互相协助 (47)第62条监管机构的联合行动 (48)第二部分一致性 (49)第63条一致性机制 (49)第64条欧盟数据保护委员会的意见 (49)第65条欧盟数据保护委员会的纠纷解决 (50)第66条紧急程序 (51)第三部分欧盟数据保护委员会(EDPB) (52)第68条欧盟数据保护委员会 (52)第69条独立性 (52)第70条欧盟数据保护委员会的任务 (53)第71条报告 (55)第72条程序 (55)第73条主席 (55)第74条主席的任务 (55)第75条秘书 (55)第76条机密性 (56)第77条向监管机构提起申诉的权利 (56)第78条针对监管机构的有效司法救济权 (56)第79条针对控制者或处理者的有效司法救济权 (57)第80条对数据主体的代表 (57)第81条法律诉讼的中止 (57)第82条获取赔偿的权利与责任 (58)第83条行政罚款的一般条件 (58)第84条惩罚 (60)第九章和特定处理情形相关的条款 (60)第85条处理、表达自由与信息 (60)第86条处理与公众对官方文件的访问 (61)第87条对全国性身份识别号码的处理 (61)第88条雇佣语境下的处理 (61)第89条为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减 . 61第90条保密责任 (62)第91条现有的的对教会和宗教协会的数据保护规则 (62)第十章授权法案与实施性法案 (62)第92条对授权的行使 (62)第93条委员会程序 (63)第十一章最后条款 (63)第94条 95/46/EC指令的废止 (63)第95条与2002/58/EC的关系 (63)第96条和之前已经达成的协议的关系 (63)第97条委员会报告 (63)第98条对欧盟其他数据保护法案的审查 (64)第99条生效与适用 (64)经过欧盟议会长达四年的讨论,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于在2018年5月25日生效。
第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d))有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第4条定义就本条例而言:(1)“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。
(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
(3)“限制处理”是指对存储的个人数据进行标记,以限制此后对该数据的处理行为。
(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。
(5)“匿名化”指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。
此类额外信息应当单独保存,并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。
(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。
(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体,不论其是否为第三方。
然而,公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据,则不应当被视为接收者;公共机构对此类数据的处理,应当根据处理目的遵循可适用的数据保护规则。
(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。
(11)数据主体的“同意”指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。
(12)“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。
(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据,这些数据可以提供自然人生理或健康的独特信息,尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。
(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。
(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据,包括和卫生保健服务相关的服务。
(16)“主要营业机构”指的是:(a)如果控制者在不止一个成员国内有多处营业机构,那么其在欧盟的管理中心所在地是主要营业机构,除非个人数据处理的目的与方式是由控制者的另一个机构决定的,并且这一机构有权实施此决定,在这种情况下,做出此类决定的机构应当被认为是主要营业机构;(b)如果处理者在不止一个成员国内具有多处机构,那么其在欧盟的管理中心所在地是主要营业机构。