欧盟GDPR《一般数据保护法案》译文
gdpr标准解读 -回复
gdpr标准解读-回复GDPR标准解读导语:随着网络和数据的普及和快速发展,数据保护和隐私问题引起了广泛关注。
为了应对这一问题,欧洲联盟于2016年制定了一项名为《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的法规。
GDPR的实施为个人数据的保护提供了更加严格的规定和控制。
本文将一步一步回答有关GDPR的问题,帮助读者更好地理解该标准。
第一步:GDPR是什么?GDPR是一项欧洲联盟的法规,于2016年通过,于2018年5月25日生效。
它是一项数据保护和隐私法规,旨在保护个人数据的隐私和安全。
第二步:GDPR的目的是什么?GDPR的主要目的是增强对个人数据的保护和隐私,以及加强对这些数据的处理和交换的控制。
它还旨在建立一个国际间数据交换的统一标准,以促进数字经济的发展和增强公众对数据处理的信任。
第三步:GDPR的适用范围是什么?GDPR适用于任何在欧盟境内收集、处理或存储欧盟居民个人数据的组织,无论该组织是否在欧洲本土设有办事处或是在欧洲境外运营。
这意味着无论在欧盟境内还是在境外的组织都需要遵守GDPR的规定。
第四步:GDPR对组织有哪些要求?根据GDPR的要求,组织需要采取一系列措施来确保对个人数据的合规性和安全性。
其中包括明确获取个人数据的目的和合法依据,仅限于所需的目的处理个人数据,并仅限于与该目的相关的数据。
此外,组织还需要采取适当的技术和组织措施来确保个人数据的安全。
第五步:GDPR对个人权利有哪些保护?根据GDPR,个人享有一系列权利来保护他们的个人数据。
这包括对个人数据的访问权,即个人可以要求组织提供存储、处理和使用他们的个人数据的信息。
个人还享有更正权,即可以要求组织更正不准确的个人数据。
此外,个人还有权利被遗忘,即可以要求组织删除与其相关的个人数据。
第六步:GDPR的违规处罚是什么?在GDPR下,组织对个人数据的滥用和违规处理将面临严厉的处罚。
欧盟实施新数据保障(GDPR)指令
编辑 徐航
欧盟批准修订(EU) No 10/2011关于食品 接触塑胶和制品的授 权物质清单
欧盟日前发布法规(E U) 2018/831,修订(E U)N o 10/2011关于食品接触塑胶材 料和制品授权物质的列表,根 据该法规,修订了(E U)N o 10/2011附录一,自2018年6月 26日起生效。在该修正案生效 之前,符合(E U)N o 10/2011 的塑料食品接触材料和制品, 2019年6月26日前仍可投放市场 直至售罄。
美国ANSI启动复合 木制品甲醛测试试点 方案
美国国家标准协会(A N S I) 发起了一项试点方案,评估认 证机构在环保署关于复合木制 品甲醛测试的最终规则方面的 能力。之前美国环保署修订了 《复合木制品甲醛排放标准条 例》,修订版通过参考已更 新、取代或撤销的多个自愿一 致性标准更新了纳入标准,并 提供了技术修正,以允许面板 制造商将其批准的质量控制试 验方法与A S T M E1333-14,使 用大室测定空气中甲醛浓度和 木材产品排放率的标准试验方 法,或A S T M D6007-14,使用 小室测定木材产品空气中甲醛 浓度的标准试验方法相关联。
2018年泛美标准委员会全体大会在牙买加召开
泛美标准委员会(C O P A N T)全体大会日前在牙买加蒙特哥贝市召 开。本次会议的主题是“同一个声音——区域标准化,全球统一”。会 议的核心重点是制定区域如何通过合作和共识改善标准制定的方式,成 功开展全球竞争。美国、加拿大、墨西哥等23个C O P A N T正式成员标准 化机构以及中国、英国、法国、西班牙等7个联系成员标准化机构参加 会议,国际标准化组织(I S O)、国际电工委员会(I E C)、欧洲标准 化委员会(C E N)、太平洋地区标准大会(P A S C)等国际或区域标准 化组织以及日本工业规格协会(JISC)的代表出席会议。
医疗健康大数据隐私保护法规
医疗健康大数据隐私保护法规随着科技的不断发展和应用,医疗健康大数据成为了如今医疗领域的一大热门话题。
大数据的应用为医疗行业带来了许多便利和机会,但与此同时,也引发了对个人信息隐私保护的担忧。
为了确保医疗健康大数据的安全和合法使用,各国纷纷出台了相关的法规和政策。
本文将介绍一些主要的医疗健康大数据隐私保护法规。
一、欧洲通用数据保护条例(GDPR)欧洲通用数据保护条例(General Data Protection Regulation,简称GDPR)是欧盟出台的一项关于数据保护和隐私的法规。
该法规于2018年正式生效,并适用于所有处理欧盟公民个人数据的组织。
GDPR强调个人数据的合法处理和透明度,要求在收集和使用个人数据时取得明确的同意,同时规定了个人数据的使用和存储的限制。
二、美国《健康保险可移植与责任法案》(HIPAA)美国《健康保险可移植与责任法案》(Health Insurance Portability and Accountability Act,简称HIPAA)于1996年颁布,旨在保护个人健康信息的隐私和安全。
该法案规定了医疗机构、保险公司和其他涉及个人健康信息的组织必须遵守的隐私保护措施,包括限制个人健康信息的使用和披露,并对违反规定者进行惩罚。
三、中国《个人信息保护法》中国《个人信息保护法》是中国政府出台的一项关于个人信息保护的法律。
该法律目前尚在草案阶段,但预计将于不久的将来正式颁布实施。
该法律将为个人信息隐私保护提供更具体和明确的规定,从而保护个人健康信息的安全,并规范其在医疗健康大数据中的使用。
四、日本《个人信息保护法》日本《个人信息保护法》于2003年颁布,旨在保护个人信息隐私,并规定数据处理者必须采取安全措施,确保个人数据不泄露或被滥用。
该法律适用于所有公共部门和私营部门的个人数据处理活动,并规定处理个人健康信息时必须遵守严格的安全标准。
在医疗健康大数据隐私保护方面,各国的法规和政策存在一定的差异。
gdpr条文
gdpr条文GDPR(General Data Protection Regulation),即《全面数据保护规例》,是欧盟在2018年5月25日正式推行的一项新数据保护法律。
该法律主要目的是保护欧盟居民的个人信息免受数据泄露、滥用和非法获取的风险。
其规定了企业在处理欧盟居民个人数据时需要遵守的严格流程和规定。
GDPR的主要条文包括以下几个方面:1.适用范围:GDPR适用于处理欧盟居民的个人数据的任何企业,不论企业是否位于欧盟内部。
2.个人数据的定义:GDPR将个人数据定义为任何与自然人相关的信息,这种信息可以直接或间接地识别该自然人,例如姓名、地址、电子邮件地址、电话号码、IP地址等。
3.数据处理的基础:企业在处理个人数据时,必须遵循以下几个原则:(1)合法、公正且透明:企业必须在明确告知用户的情况下收集和处理个人数据。
(2)目的明确、明确和有限:企业必须在收集个人数据时明确告知用户,其收集个人数据用途和范围。
(3)数据最小化:企业只能收集必要的个人数据,而不能超过所需。
(4)准确性和及时性:企业必须确保个人数据准确无误,且能够在需要的时候及时更新,保证数据的完整性和准确性。
(5)存储期限:企业必须在合理的期限内销毁过期或不再使用的个人数据。
4.用户权利:GDPR规定了用户在个人数据处理中,拥有以下权利:(1)知情权:用户有权选择是否提供个人数据,并要求企业告知其收集的个人数据范围和用途。
(2)访问权:用户可以随时查看其个人数据的处理情况,并可以要求企业提供一份个人数据报告。
(3)更正权:用户有权要求企业更正其个人数据中的任何不准确或不完整的信息。
(4)删除权:用户可以要求企业删除其个人数据,除非企业有法律义务或其他合法正当理由需要保存数据。
(5)限制处理权:用户可以要求企业停止处理其个人数据,并且暂不使用或处理数据,直到问题得到解决。
5.数据安全:GDPR要求企业在收集、存储和处理个人数据时,必须采用安全措施保护数据的机密性、完整性和可用性,避免数据泄露或不当使用和滥用。
欧盟《一般数据保护条例》(GDPR)与中国应对
欧盟《一般数据保护条例》(GDPR)与中国应对吴沈括【期刊名称】《信息安全与通信保密》【年(卷),期】2018(000)006【总页数】5页(P12-16)【作者】吴沈括【作者单位】北京师范大学,北京 100875【正文语种】中文2018年5月25日,关于个人数据(个人信息)保护的欧盟新一代制度规范《一般数据保护条例》(以下简称:GDPR)将全面施行。
这是欧盟数据治理的里程碑事件,在信息系统和数字经济改造人类生活的时代大潮下,其超越成员国个别立法、统一个人数据保护路径、改变个人数据流转走向,进而深度修正欧盟数据治理的规范趋势,也将对全球数据治理生态产生广泛、深刻的影响。
对于我国各类主体(尤其包括网络企业)而言,首先需要正视的是,GDPR对于欧盟境外的数据治理格局所带来的重大发展。
尤其是其明确规定即使是欧盟境外的主体在特定条件下也必须遵循GDPR的相关规范,这在数字化业务乃至交易形式日趋多样化的技术背景下,迫使我们必须考虑、评估GDPR的适用可能性及其实际影响力。
1 GDPR的出台背景以及价值诉求自2012年1月GDPR文本浮出水面、2016年4月GDPR正式通过以来,欧盟委员会乃至欧盟内部经历了前所未见的游说博弈过程,反映了GDPR本身并非纯粹的个人数据规范,而是深层次融合了国际政治博弈、产业经济竞争以及社会文化扩张等诸多元素的复杂综合体。
究其直接目标和价值诉求而言,一方面,欧盟委员会公开宣称GDPR首先旨在建设现代化的个人数据治理规范机制、确保欧盟公民和居民对于自身个人数据享有充分的控制权,同时通过协调、简化现行的“数字单一市场”体系在欧盟体制内建设统一的规范框架进一步改善监管环境,以期降低个人数据处理主体的合规风控成本,进而助益包括跨国企业在内的商业主体的业务运营。
另一方面,在欧盟现行政策法律框架下,个人数据保护问题一贯被统摄于欧盟“数字单一市场”建设进程中,与其他元素共同服务于欧盟在数字经济中谋求世界级领袖地位的总体布局。
欧盟GDPR对我国个人数据保护的启示
欧盟GDPR对我国个人数据保护的启示
欧盟颁布的《通用数据保护条例》(GDPR)是全球最严格的个人数据保护法规之一,对于我国个人数据保护具有较大的启示意义。
一、关注个人数据收集、处理与使用的全过程
GDPR强调数据主体的隐私权,要求个人数据的收集、处理和使用必须遵守透明原则,并得到数据主体的授权。
针对这一点,我国应当加强对企业和机构的数据收集、处理与使用的监管,打通数据使用环节,充分保障个人隐私权,切实维护公民权益。
二、加强机构及监管机构的责任与规范
GDPR对数据处理机构和监管机构都提出了严格的要求,并规定了违反者将面临的巨额罚款。
因此,我国应当加强对个人信息保护机构的监管,对于违反规定的企业必须加强惩罚力度,让企业充分意识到数据处理是一项充满责任和风险的行为。
三、加强个人数据的保密性及安全性
GDPR规定了个人数据保护的最高标准。
无论是数据的存储、处理还是传输,都必须确保数据的安全性和保密性。
我国应当加强个人数据的存储和传输环节的安全保障措施,以充分保障个人隐私,并减少数据泄露的风险。
四、建立个人数据传输的规范
GDPR强调了数据主体行使数据权利的重要性。
在个人数据的传输过程中,GDPR要求机构采取措施,确保数据主体能够在适当的情况下移动其数据,这也对于我国个人数据保障提供了非常重要的借鉴意义。
总之,GDPR针对于个人数据保护提出了一系列的规范和制约,对于我国在个人数据保障方面提供了非常重要的参考和启示,推动了我国个人数据保护制度的不断发展和完善。
英国2018年数据保护法
2018年,英国制定并实施了一项重要的数据保护法,即《数据保护法2018》(Data Protection Act 2018)。
这法律是为了配合欧洲联盟的《通用数据保护条例》(General Data Protection Regulation,GDPR),并确保在英国国内对个人数据的处理和保护都符合高标准。
以下是《数据保护法2018》的主要要点:1. GDPR 的实施:《数据保护法2018》是为了贯彻实施GDPR而制定的,确保英国在欧洲联盟之外依然符合高水平的数据保护标准。
2. 个人权利的保护:该法律强调保护个人数据主体的权利,包括透明度、访问权、更正权、删除权、数据可携带性等。
3. 数据处理的合法性:规定了处理个人数据的合法基础,包括数据主体的同意、履行合同、法定义务、保护生命利益、公共任务、合法权益等。
4. 数据保护官(Data Protection Officer,DPO):法律规定了某些情况下组织需要指定DPO,负责监督数据保护事务。
5. 通知数据泄露:规定在发生数据泄露时,有时需要向数据保护监管机构和/或受影响的个人及时通报。
6. 处罚和罚款:《数据保护法2018》规定了对于违反数据保护规定的组织可能面临的处罚和罚款。
7. 儿童的数据保护:对于儿童的个人数据的处理设置了特殊的保护要求,包括需要获取父母或监护人的同意等。
8. 国际数据转移:规定了如何合法地进行跨境数据传输,以确保目的国家的数据保护水平足够。
9. 监管机构:确立了英国信息专员办公室(Information Commissioner's Office,ICO)作为数据保护的监管机构。
总体而言,《数据保护法2018》是为了加强个人数据保护,提高数据处理的透明度和责任,确保数据主体在数字化时代能够更好地掌握自己的数据权利。
值得注意的是,数据保护法律可能会根据时间而进行修改和更新,建议查阅最新的法规文本或相关机构的官方信息以获取最准确的信息。
通用数据保护条例GDPR-与欧盟国家做生意的我们应该如何准备
为何选择SGS如何应对GDPR 相关服务GDPR 介绍与欧盟国家做生意的我们应该如何准备?共创卓越管理GDPR介绍《通用数据保护条例》(GDPR)于2016年4月27日在欧盟官方刊物上发表。
暂缓期为二年,于2018年5月25日正式生效。
GDPR不同于其前身《数据保护指令95/46 / EC》,它不是一个指令而是一个法规。
这意味着它将直接生效并且应用到欧盟所有的成员国,因此可缩短实施时间并确保实现一致性。
如果您的公司无法符合GDPR, 就可能面临高达全球营业额的4%或2000万欧元的行政处罚(取两者之一更高)。
GDPR旨在:• 确立个人数据的保护是人权• 定义个人数据保护的原则和规章• 加强产品或服务提供者与他们所服务的人之间的信任个人的7个数据权利GDPR的核心内容是确立在处理个人资料的七项个人权利。
任何正在处理这些数据的组织都需要确保这些权利得到保护。
处理在GDPR中被定义为任何自动或手动操作,如收集、记录、组织、结构、存储、调整或变更、检索、咨询、使用、传输披露、传播或以其他方式提供、排列或组合、限制、删除或销毁。
GDPR包含以下内容:• 组织的需求(欧盟代表处,数据保护主任,同意记录之存档,合同要求,等等)。
• 个人的7个数据权利• 认证方案• 成员国监督• 建立欧盟数据保护委员会• 其他法律程序数据权利描述例子访问权允许个人索取本人资料的副本银行客户有权请求个人数据记录的副本,包括地址,电话等。
纠正权允许个人更改本人信息宽带客户有权要求ISP提供持有的信息,以更新他的联系电话。
删除权允许个人删除本人信息一位美容店的顾客有权要求他的信息被删除,因为他不再是商店的会员或者顾客,因此他不会被要求进行新的促销活动限用权除非法律相关需求,允许个人禁止本人信息被使用建筑师有权要求他的前任雇主在投标时不使用他的简历,但可保留他的名字在旧记录上,以记录法律责任。
可携权允许个人将本人信息从一个机构带到另一个机构保险客户有权要求将其个人资料转移到另一家保险公司。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
译文|欧盟GDPR《一般数据保护法案》 编者按:2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation,GDPR),该法案将于2018年5月25日正式生效。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。 GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具重要意义。
新法案由11章共99条组成,中文译本由中国政法大学互联网金融法律研究院(Internet financial law research institute of CUPL ,IFLRI)组织翻译。
第一章 一般规定 第1条 主题与目标 1. 本法就对与个人数据的处理相关的自然人的保护及个人数据的自由流动订立规则。
2. 本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。 3. 不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。
第2条 适用范围 1. 本法适用于完全或部分以自动方式对个人数据的处理,构成或拟构成整理汇集系统一部分的自动方式除外。
2. 本法不适用于以下个人数据的处理: (a) 发生在联盟法律范围之外的活动过程中; (b) 由成员国在欧洲联盟条约第五卷第2章范围内进行活动时; (c) 由自然人在纯粹的个人或家庭活动的过程中; (d) 由主管当局为预防、调查、侦查或起诉的刑事犯罪,执行的刑事处罚的目的,包括防范和阻止公共安全受到威胁。
3. 欧盟机构、委员会、办事处和专业行政部门(代理机构)处理个人数据,适用第45/2001号条例。 根据本法第98条,处理个人数据适用第45/2001号条例和其他联盟法律法规的,应当符合本法的原则和规则。
4. 本法不影响2000/31 / EC指令的适用,特别是该指令第12条至第15条中的中间服务提供商的责任规则。
第3条 地域范围 1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。
2. 本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:
(a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或
(b) 是对数据主体发生在欧盟内的行为进行的监控的。 3. 本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。
第4条 定义 为本法之目的: (1) “个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
(2)“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段。
(3)“处理限制”是指对已存储的个人数据的标识,用于在将来限制他们的处理行为;
(4)“剖析”是指为评估与自然人相关的某些个人情况,对个人数据进行任何自动化处理、利用的方式,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信度、习性、位置或行踪相关的分析和预测。 (5)“匿名化”是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。
(6)“整理汇集系统”是一种依照特定标准,如集中、分散或功能分布或地域基准存取个人数据的结构化集合。
(7)“控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式,以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。
(8)“处理者”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
(9)“接收者”是指接收到被传递的个人数据的,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。但是,政府因在欧盟或其成员国法律框架内特定调查接收到个人数据的,不得被视为“接收者”;政府处理这些数据应当根据数据处理的目的,遵循可适用的数据保护规则。
(10)“第三方”是指数据主体、控制者、处理者以及在控制者或处理者直接授权处理个人数据者以外的自然人、法人、公共机构、行政机关或其他非法人组织。
(11)数据主体的“同意”是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示。通过声明或明确肯定的行为作出的这种指示,意味着其同意与他或她有关的个人数据被处理。
(12)“个人数据外泄”是指个人数据在传输、存储或进行其他处理时的安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。
(13)“基因数据”是指与自然人先天或后天的遗传性特征相关的个人数据。这类数据传达了与该自然人生理机能或健康状况相关的独特信息,并且上述数据往往来自于对该自然人生物样本的分析结果。
(14) “生物识别数据”是通过对自然人的物理、生物或行为特征进行特定的技术处理的得到的个人数据。这类数据生成了那个自然人的唯一标识,比如人脸图像或指纹识别数据。
(15)“有关健康的数据”是指与自然人身体或精神健康有关的个人数据,包括能揭示关于他或她的健康状况的健康保健服务所提供的数据。 (16) “主营业地”意味着: (a)对于营业机构在多个成员国的的控制者,除非控制者在欧盟内的另一个营业机构能够决定并有能力贯彻个人数据的处理目的和方式,否则其在欧盟内的主要管理者所在地被视为主营业地。
(b) 对于营业机构在多个成员国的处理者,其在欧盟内的主要管理者所在地,在本法下承担特定义务;如果处理者在欧盟内没有主要管理者,在处理者的营业机构的营业范围内进行主要处理行为的营业地,在本法下承担特定义务。
(17) “代表”指由控制者和处理者依照第27条书面指定的,代表控制者和处理者分别履行本法规定的义务的欧盟内的自然人、法人。
(18) “企业”是指参与经济活动的自然人或法人,无论其为何种组织形式,可以包括合伙或经常性参与经济活动的协会。
(19) “企业团体”是指一个管控性的企业以及受其管控的企业群。 (20) “约束性企业规则”是指成员国领土上的控制者和处理者通过事业集团或企业集团进行的联合经济活动,而致个人数据传输或系列传输到一个或多个第三方国家的控制者或处理者时必须遵循的个人数据保护政策。
(21) “监管机构”是指一个独立的,由成员国依据第51条设立的公权力机构。
(22) “有关监管机构”是与人数据处理有关的监管机构,因为: (a) 控制者或处理者是建立在监管机构所在的成员国领土上的; (b) 居住在监管机构所在成员国的数据主体被或可能被处理行为严重影响;或
(c) 一个由监管机构提交的申诉; (23)“跨境处理”是指以下情形之一: (a) 个人数据处理发生在一个欧盟内的设立在多个成员国的控制者或处理者在多个成员国的营业机构的活动中。
(b) 个人数据的处理发生在一个欧盟内的控制者或处理者的唯一营业机构的活动中,但是这种处理严重影响或可能会严重影响多个成员国的数据主体。
(24) “相关与合理异议”是指一种关于是否存在违反本法情况,或是控制者或处理者是否存在遵守本法的预设行为的异议。这个异议清晰地表明了有关数据主体的基本权利和自由的决议草案所造成的风险的重要影响,以及此种异议也适用于欧盟内的个人数据自由流动。
(25) “信息社会服务”是指欧洲议会和理事会的指令(欧盟)2015/1535 的第一条(1)款的(b)项中定义的服务。
(26) “国际组织”是指依照国际公法设立的组织及其下属机构,或依据或以两个或更多国家之间达成的协议为基础建立的其他机构。
第二章 原则 第5条 与个人数据处理相关的原则 1. 个人数据应: (a) 以合法、公正、透明的方式处理与数据主体有关的(“合法性、公平性和透明性”);
(b) 为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理;为公共利益、科学,或历史研究目的,或统计目的而进一步处理,按照第89条第(1)款,不应被视为不符合初始目的(“目的限制”);
(c) 充分、相关以及以该个人数据处理目的之必要为限度进行处理(“数据最小化”);
(d) 准确,必要,及时;为了个人数据被毫不延迟地处理、删除或修正的目的,必须采取一切合理的步骤确保个人数据是不精确的(“精度”);
(e) 在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;为了保护数据主体的权利和自由,依据第89条(1)予以实施本法所要求的适度的技术和组织措施,只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理,个人数据能被长时间存储(“存储限制”)。
(f) 以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”)。
2. 控制者应该负责,并能够证明符合第一项(“问责制”)。 第6条 处理的合法性 1. 只有在适用以下至少一条的情况下,处理视为合法: