欧盟《通用数据保护条例》(GDPR)
GDPR《通用数据保护条例》研究报告
04 问责机制
问责原则
GDPR第5(2)条规定了问责原则: “控制者有义务遵守并应能够证明其遵守第1款(“问责原则”)的规 定。” “第1款”是指GDPR第5(1)条,该条款规定: 以合法、公正、透明的方式处理(对数据主体而言); 出于指定、明确、合法的目的而收集,不以不符合这些目的的方式进一 步予以处理; 充分、相关并以该等个人数据处理目的所需要的为限; 准确以及(必要时)保持最新; 以下列方式保存:允许识别数据主体的期限不超过该等个人数据处理目 的所需要的时间; 以确保个人数据相对安全的方式进行处理。 处理个人数据的组织机构有义务遵守并且必须能够证明其遵守了上述所 有原则。此外,他们必须能够提供其就上述原则作出决定的依据并且还 必须能够提供相关证明。 GDPR第24条列举了问责原则落地的一个示例。要 求控制者: “采取适当的技术性和组织性措施确保并能够 证明按照GDPR的规定进行处理活动。必要时应对这 些措施进行审查和更新。”
⚫ 个人数据保护认知的变化
国际社会普遍认可个人隐私是公民基本人权的一部分。联合国1948年发 布的《世界人权宣言》第 12条规定:“任何人的隐私、家庭、住宅和通信不 受任意干涉,对他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免 受这种干涉或攻击。” 1953年《欧洲人权公约》第8条“私人和家庭生活获得 尊重的权利” 也移植了第12条的内容。1981年欧洲委员会制定《数据保护公 约》也是希望通过保护数据主体对个人数据及其处理的控制权来保护数据主体 的基本人权和自由。而《欧盟基本人权宪章》则明确地将个人数据保护权作一 项独立的人权加以保护,其在第8条明确规定:“人人有权保护涉及他或她的个 人数据。”2009年《里斯本条约》的签署使得宪章的规定具有了法律效力。 这不仅体现在《欧洲联盟条约》第6条,还体现于《建立欧洲联盟条约》第16 条,该条重申了个人数据保护权,为对各个领域的个人数据进行全面保护提供 了坚实的法律基础。这意味着1995年《指令》的主要内容从此升级为欧盟基 本法律。这进一步推动了欧盟制定普遍适用于公共领域和私人领域的统一数据 保护法,以表现欧盟在保护基本人权问题上的态度和决心。GDPR所要保护的 对象是个人数据处理和流通过程中所涉及到的自然人的基本权利与自由,尤其 保护其个人数据保护权。这正是GDPR制定的目的之一。
gdpr标准解读 -回复
gdpr标准解读-回复GDPR标准解读导语:随着网络和数据的普及和快速发展,数据保护和隐私问题引起了广泛关注。
为了应对这一问题,欧洲联盟于2016年制定了一项名为《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的法规。
GDPR的实施为个人数据的保护提供了更加严格的规定和控制。
本文将一步一步回答有关GDPR的问题,帮助读者更好地理解该标准。
第一步:GDPR是什么?GDPR是一项欧洲联盟的法规,于2016年通过,于2018年5月25日生效。
它是一项数据保护和隐私法规,旨在保护个人数据的隐私和安全。
第二步:GDPR的目的是什么?GDPR的主要目的是增强对个人数据的保护和隐私,以及加强对这些数据的处理和交换的控制。
它还旨在建立一个国际间数据交换的统一标准,以促进数字经济的发展和增强公众对数据处理的信任。
第三步:GDPR的适用范围是什么?GDPR适用于任何在欧盟境内收集、处理或存储欧盟居民个人数据的组织,无论该组织是否在欧洲本土设有办事处或是在欧洲境外运营。
这意味着无论在欧盟境内还是在境外的组织都需要遵守GDPR的规定。
第四步:GDPR对组织有哪些要求?根据GDPR的要求,组织需要采取一系列措施来确保对个人数据的合规性和安全性。
其中包括明确获取个人数据的目的和合法依据,仅限于所需的目的处理个人数据,并仅限于与该目的相关的数据。
此外,组织还需要采取适当的技术和组织措施来确保个人数据的安全。
第五步:GDPR对个人权利有哪些保护?根据GDPR,个人享有一系列权利来保护他们的个人数据。
这包括对个人数据的访问权,即个人可以要求组织提供存储、处理和使用他们的个人数据的信息。
个人还享有更正权,即可以要求组织更正不准确的个人数据。
此外,个人还有权利被遗忘,即可以要求组织删除与其相关的个人数据。
第六步:GDPR的违规处罚是什么?在GDPR下,组织对个人数据的滥用和违规处理将面临严厉的处罚。
欧盟gdpr白名单规则
欧盟gdpr白名单规则欧盟GDPR白名单规则随着数字化时代的来临,个人数据的保护变得尤为重要。
为此,欧盟于2018年颁布了一项重要的法规——《通用数据保护条例》(General Data Protection Regulation,简称GDPR),旨在加强对个人数据的保护和隐私权。
GDPR的白名单规则是其中的重要组成部分,本文将对其进行详细解读。
GDPR白名单规则是指欧洲委员会制定的一份名单,列出了被认定为能够确保适当数据保护水平的国家、领地、地区和组织。
这一名单的建立旨在促进欧盟与其他国家和地区之间的数据传输,并确保数据的安全与保护。
GDPR白名单规则明确了哪些国家、地区或组织可以被认定为数据保护水平适当的国家。
这些国家必须符合GDPR设定的一系列标准,包括但不限于:法律框架必须与GDPR保护个人数据的核心原则一致;数据主体在这些国家享有与GDPR相当的权利;这些国家设有独立的数据保护机构等等。
只有在满足这些条件的情况下,这些国家或地区才有资格被列入白名单。
GDPR白名单规则对于被列入白名单的国家、地区或组织给予了一定的优待和便利。
根据白名单规则,欧盟的个人数据可以自由地传输至被列入白名单的国家或地区,无需再进行特殊的授权或审查。
这为欧盟企业与这些国家或地区的合作提供了便利,促进了跨境数据流动和经济交流。
然而,值得一提的是,白名单规则并非只有一份名单,而是可以根据需要进行不断的更新和调整。
欧洲委员会将根据相关国家和地区的数据保护水平情况,以及与这些国家或地区之间的合作进行评估,并决定是否将其列入白名单。
这意味着,一些国家或地区可能会被从白名单中移除,而一些新的国家或地区也可能会被加入其中。
GDPR白名单规则还涉及到数据转移的具体方式。
根据规则,个人数据的转移必须符合GDPR中的相关规定,并且有必要采取适当的安全措施,以确保数据的保密性、完整性和可用性。
这要求数据传输双方必须达成一致,并确保在数据传输过程中不会产生任何安全风险或数据泄露的情况。
GDPR常见问题通用数据保护条例GDPR会对欧盟公民以及伊士...
GDPR常见问题《通用数据保护条例》(GDPR)会对欧盟公民以及伊士曼等在欧盟经营业务的公司产生影响。
此条例旨在为公司收集的数据提供保护,让生活在欧盟的人拥有其个人信息处理方式的知情权。
通过下文所列问题,您应该能够对GDPR及其对您和伊士曼的影响有一个大概的了解:GDPR是什么?GDPR即为《通用数据保护条例》,这项全新的欧盟法规旨在于欧盟范围内统一隐私保护问题,并保护数据主体的个人数据。
该法规于2018年5月25日生效,取代可追溯到1996年的旧法令。
此条例适用于哪些人?该法规重点保护与个人数据处理和传送相关的数据主体。
该主体必须为生活在欧盟境内的自然人,不一定取得欧盟公民身份。
该主体不包括公司。
个人数据包含哪些内容?个人数据包括与可识别的自然人相关的任何信息,比如姓名、电话号码(商业或个人)、电子邮件地址(商业或个人)、身份证号码、定位数据、信用卡号码、在线身份识别,或者是针对该数据主体的物理、生理、遗传、心理、经济、文化或者社会身份的一个或多个要素。
该列表扩大后所包含的范围超出了人们通常所认为的个人可识别信息(PII)的内容。
GDPR赋予数据主体哪些权利?此条例赋予数据主体:•获取自身数据的权利•修改自身数据的权利•删除自身数据的权利•限制处理自身数据的权利•数据可携权•反对权伊士曼可以收集并处理个人数据的法律依据是什么?•经由数据主体同意•数据主体基于合同履行同意•用于伊士曼履行欧盟或成员国法律所规定的法律义务•为了保护自然人的切身利益•为了执行欧盟或成员国法律中规定的符合公众利益的任务•用于保护伊士曼或第三方的合法权益GDPR会影响到哪些人?与生活在欧盟的员工、承包商、供应商和客户打交道的任何人。
根据GDPR,伊士曼要承担哪些责任?伊士曼必须确保以合法、公平且透明的方式处理个人数据。
任何个人数据的收集都必须出于具体、明确且合法的理由。
个人数据的收集应仅限于必要的范围内。
为了满足此要求,伊士曼需要了解•哪些个人数据正被收集•个人数据存储在何处•个人数据的存储期限(或决定该存储期限的标准)•处理(使用)个人数据的目的•处理个人数据的合法依据•谁有权查阅个人数据(包括第三方)•如何保护个人数据。
GPDR对企业的影响
GPDR对企业的影响随着数据在现代社会经济中的日益重要地位,各国政府也相继出台数据保护法规,以保障公众利益和个人隐私权。
欧盟制定的《通用数据保护条例》(GDPR)作为其中最为严格和全面的法规之一,其对企业的影响也是非常重大的。
一、GPDR简介通用数据保护条例是欧洲联盟发行的一项全新的隐私保护法规,其作为一项针对全球企业的数据隐私法规,对所有处理欧洲公民数据的企业都有适用。
该法规于2018年5月25日起生效,法规主要的目的是通过加强个人隐私权保护措施,保障公众权益并支持公平竞争。
GPDR要求企业确保以透明的方式使用和处理个人数据信息,并对多方面的组织如社交网络公司、在线广告商以及其他在线企业进行更严格的监管。
GPDR还赋予了个人一系列权利,包括撤销许可、访问他们的数据、更正他们的数据以及有权要求第三方删除其数据等。
二、GPDR对企业产生的影响1.数据收集、使用和保护GPDR明确规定了企业必须获得有效的数据许可,且不得泄漏个人信息,对个人信息的使用和保护作出了严格的规定,同时对于企业处理数据的透明度和信息安全也提出了更高的要求。
2.处罚力度加大GPDR违反者既可能面临高达2%至20%年度全球营业额的罚款,并有风险遭到个体或集体对公司提起的民事诉讼,这对企业的经营和声誉都会带来严重的影响。
3.数据延续存储周期缩短根据GDPR的规定,实施数据延续存储周期缩短的企业将必须在数据保留期满后及时清除过期的数据以保护受感染的数据。
4.数据的共享和携带权GPDR授予公民和在欧洲居住的第三国人士更多控制自己数据的权利,为公民更多的隐私保护扫清道路。
并且数据许可在换手的情况下也会发生变化。
5.外包合同的监管对于企业与第三方提供者之间的合同,GDPR规定将成为一种必须遵守的合规性要求。
如果处理者不遵守许可条件,则处理者将同样需要承担责任。
三、企业如何顺应GPDR1.加强数据安全控制包括设置访问控制、强化身份认证、加密、审计日志、数据备份等环节。
欧盟GDPR对我国个人数据保护的启示
欧盟GDPR对我国个人数据保护的启示随着信息技术的快速发展和互联网的普及,个人数据保护问题已经成为全球范围内的热点话题。
欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)是目前全球最严格的个人数据保护法规之一,该法规于2018年5月25日正式生效。
GDPR 的实施为全球范围内的个人数据保护立下了新的标杆,也给我国个人数据保护工作提出了新的挑战和启示。
一、加强个人数据保护法律法规建设随着我国信息化程度的不断提高,个人数据的收集、传输、存储和使用已经成为各行各业的常态。
我国的个人数据保护法律法规相对滞后,对个人数据的收集和使用缺乏严格的约束和监管。
相比之下,GDPR强调了个人数据主体的权利,要求数据处理者在收集和使用个人数据时必须获取数据主体的明确同意,明确告知数据处理目的和方式,以及保障数据主体的权益。
这给我国个人数据保护法律法规建设提出了新的要求,需要更加注重保护个人数据主体的合法权益,明确数据的收集和使用规则,建立更加完善的个人数据保护法律体系。
二、加强个人数据保护意识和教育三、加强个人数据保护技术手段和管理体系建设GDPR规定数据处理者必须采取合理的技术和管理措施,确保个人数据的安全和保护。
这包括加密技术、数据最小化原则、数据保密性和完整性保护、数据安全管理体系的建立等。
这也为我国企业和组织提出了新的要求,需要加强个人数据保护技术手段和管理体系建设,提高个人数据安全保护水平,遵守相关的个人数据保护法律法规和政策要求,保障个人数据的安全和合法使用。
也需要加强个人数据保护技术的研发和创新,提高个人数据的安全性和可控性,为个人数据的合法使用提供更加可靠的技术保障。
四、加强个人数据跨境流动和合作随着全球化的发展,个人数据的跨境流动已经成为了全球经济的一部分,而个人数据的跨境流动也带来了新的挑战和问题。
GDPR对涉及欧盟个人数据的跨境流动提出了严格的限制和要求,要求数据处理者必须获得数据主体的明确同意,并采取合理的技术和管理措施,确保个人数据的安全和保护。
保护个人数据的GDPR和隐私法规
保护个人数据的GDPR和隐私法规随着科技的飞速发展和信息时代的到来,个人数据的保护和隐私已经成为全球范围内关注的重要问题。
为了解决这一问题,欧盟于2018年5月25日正式实施了《通用数据保护条例》(General Data Protection Regulation,简称GDPR),而其他国家也相继制定了相应的隐私法规。
本文将重点介绍GDPR和其他隐私法规对于保护个人数据的重要性以及其具体内容。
GDPR被誉为欧洲最重要的个人数据保护法规,它的实施旨在统一整个欧洲联盟内个人数据的处理标准,以确保个人数据的合法性、公平性和透明性。
GDPR将个人数据分为个人识别信息和个人敏感信息,要求所有收集和处理个人数据的机构必须获取数据主体明确的同意,并提供充分的信息透明,确保个人数据的安全和保密。
同时,GDPR还规定了数据主体的权利,包括访问自己的个人数据、更正错误的个人数据等。
除了GDPR,其他国家也实施了自己的隐私法规。
例如,美国的加州隐私权法(California Consumer Privacy Act,简称CCPA)于2020年1月1日正式生效。
CCPA要求收集和处理个人数据的商业机构必须向数据主体提供关于数据收集和处理活动的透明度,并为数据主体提供拒绝销售个人数据的权利。
此外,加州隐私权法还规定了对于未成年人个人数据的特殊保护措施。
在全球范围内,个人数据的保护已经成为各个国家和地区关注的焦点。
例如,日本的《个人信息保护法》(Personal Information ProtectionAct,简称PIPA)于2005年实施,旨在确保个人信息的正当处理和安全保护。
加拿大的《个人信息保护与电子文件法》(Personal Information Protection and Electronic Documents Act,简称PIPEDA)于2000年实施,强调了对个人数据隐私的保护。
这些法规的实施标志着各国对于个人数据保护的高度重视,并为个人数据的合法性、安全性和隐私性确立了具体的法律框架。
欧盟gdpr合规指引
欧盟gdpr合规指引(原创实用版)目录1.GDPR 概述2.GDPR 的适用范围3.GDPR 的主要内容4.GDPR 的合规要求5.GDPR 的执法案例6.我国企业如何应对 GDPR正文一、GDPR 概述GDPR,全称为“欧盟通用数据保护条例”,是欧洲联盟制定的一部数据保护法例。
GDPR 于 2018 年 5 月 25 日正式生效,旨在加强对欧盟境内居民的个人数据和隐私保护,并直接适用于欧盟各成员国。
它取代了 1995 年颁布的《数据保护指令》,成为欧洲最新的数据保护法规。
二、GDPR 的适用范围GDPR 适用于在欧盟成员国境内设立的公司,以及在欧盟境外设立但涉及接触欧盟成员国居民的个人隐私信息的公司。
这一规定体现了属地原则和属人原则,确保了欧盟居民的个人数据在全球范围内得到有效保护。
三、GDPR 的主要内容GDPR 主要包括以下内容:1) 数据主体的权利,如知情权、访问权、更正权、删除权等;2) 数据控制者和处理者的责任;3) 数据保护官员的设立;4) 数据泄露通知义务;5) 数据保护影响评估;6) 数据传输规定等。
四、GDPR 的合规要求为确保企业符合 GDPR 的要求,企业需要采取以下措施:1) 完善数据保护政策和程序;2) 对员工进行数据保护培训;3) 确保数据安全,防止数据泄露;4) 遵守数据传输规定,如采用标准合同条款或获得数据保护认证等;5) 设立数据保护官员,负责监督企业的数据保护工作等。
五、GDPR 的执法案例GDPR 生效以来,欧盟各成员国的数据保护监管机构已对多家违反 GDPR 的企业进行了严厉处罚。
这些案例表明,欧盟对于数据保护的监管是严格的,企业必须重视 GDPR 的合规工作,以免遭受高额罚款。
六、我国企业如何应对 GDPR面对 GDPR 的挑战,我国企业需要采取以下措施:1) 提高数据保护意识,了解并掌握 GDPR 的相关规定;2) 对出口欧盟的产品和服务进行合规评估,确保符合 GDPR 的要求;3) 与欧盟境内的合作伙伴建立完善的数据保护机制,共同分担数据保护责任;4) 加强内部数据保护管理,防止数据泄露和滥用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
欧盟《通用数据保护条例》(GDPR)正式生效经过欧盟议会长达四年的讨论,被成为史上最严数据保护法案的欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)终于将在2018年5月25日生效。
通用数据保护条例第一章一般条款第二章原则第三章数据主体的权利第四章控制者和处理者第五章将个人数据转移到第三国或国际组织第六章独立监管机构第七章合作与一致性第八章救济、责任与惩罚第九章和特定处理情形相关的条款第十章授权法案与实施性法案第一章一般条款第1条主要事项与目标1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。
第2条适用范围1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:(a)欧盟法管辖之外的活动中所进行的个人数据处理;(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;(d))有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第45/2001条例。
根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条地域范围1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第4条定义就本条例而言:(1)“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。
(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
(3)“限制处理”是指对存储的个人数据进行标记,以限制此后对该数据的处理行为。
(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。
(5)“匿名化”指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。
此类额外信息应当单独保存,并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。
(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。
(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体,不论其是否为第三方。
然而,公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据,则不应当被视为接收者;公共机构对此类数据的处理,应当根据处理目的遵循可适用的数据保护规则。
(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。
(11)数据主体的“同意”指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。
(12)“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。
(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据,这些数据可以提供自然人生理或健康的独特信息,尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。
(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。
(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据,包括和卫生保健服务相关的服务。
(16)“主要营业机构”指的是:(a)如果控制者在不止一个成员国内有多处营业机构,那么其在欧盟的管理中心所在地是主要营业机构,除非个人数据处理的目的与方式是由控制者的另一个机构决定的,并且这一机构有权实施此决定,在这种情况下,做出此类决定的机构应当被认为是主要营业机构;(b)如果处理者在不止一个成员国内具有多处机构,那么其在欧盟的管理中心所在地是主要营业机构。
如果处理者在欧盟没有管理中心,那么在处理者需要遵守本条例所规定的特殊责任的前提下,其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。
(17)“代表”指的是控制者或处理者根据第27条在欧盟书面委任,代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。
(18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人,包括经常进行经济活动的合伙企业或协会;(19)“企业集团”的含义是控股企业和被控股企业;(20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者,为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者,所遵循的个人数据保护政策。
(21)“监管机构”指的是成员国根据第51条而设立的独立性公共机构。
(22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构:(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的;(b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响;或者(c)该监管机构已经收到一项申诉;(23)“跨境处理”指的是:(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内;或者(b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的,但其对不止一国的数据主体具有实质性影响。
(24)“相关和合理的异议”指的是对是否存在违反本条例的情形,或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明,这种初步设想的决定会对数据主体的基本权利和自由,以及在某些情形下对欧盟的个人数据的自由流通会带来风险。
(25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU)2015/1535指令在第1(1)条(b)点所定义的服务。
(26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。
1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第二章原则第5条个人数据处理原则1.对于个人数据,应遵循下列规定:(a)对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理(“合法性、合理性和透明性”);(b)个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。
根据第89(1)条,因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的(“目的限制”);(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化”);(d)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正(“准确性”);(e)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。
(“限期储存”);(f)处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。
2.控制者有责任遵守以上第1段,并且有责任对此提供证明。
(“可问责性”)。
第6条处理的合法性1.只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理;(b)处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;(c)处理是控制商履行其法定义务所必需的;(d)处理对于保护数据主体或另一个自然人的核心利益所必要的;(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;(f)处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。