查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
欧盟《通用数据保护条例》(GDPR)实务指引(3/4)
【作者】 邓志松;戴健民【合作机构】 北京大成律师事务所
【中文关键词】 通用数据保护条例;欧盟投资;法律保护【主题分类】 互联网法律
【发布时间】 2018.06.13
【全文】法宝引证码CLI.A.226829    
  导读:
  于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求,将对中国企业在欧盟市场的投资、销售和运营产生显著影响,并成为中国企业必须直面的重大法律障碍。大成数据保护团队的欧盟与中国律师联合推出系列原创文章,以协助中国企业从实务角度理解和遵从GDPR,并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
  数据主体的权利
  ——删除权、限制处理权、反对权和自动化个人决策相关权利
  删除权
  删除权也称“被遗忘权”。删除权并不是给予数据主体要求删除数据的绝对权利。《通用数据保护条例》(General Data Protection Regulation, the “GDPR”)规定,数据主体有权在以下情况下要求删除其数据:
  1.个人数据对最初收集该等个人数据的目的而言不再是必需的;
  2.数据处理系基于同意且该等同意被撤回(且数据处理无其他法律依据);
  3.数据主体反对处理,且数据处理无令人信服的正当处理理由;
  4.个人数据系非法收集;
  5.为了遵守法定义务,必须删除个人数据;
  6.个人数据处理涉及向儿童提供信息社会服务(特别是在其未充分意识到处理风险的情况下,以儿童的身份作出的同意,尤应删除其在互联网上的个人数据)。
  《荷兰数据保护法》(Dutch DataProtection Act, the “DDPA”)目前也规定有删除权。但是,根据《数据保护法》,只有在个人数据不正确、不完整或不相关的情况下,删除权方才适用。而根据GDPR的规定,如果存在上述一个或多个限制性理由,则适用删除权。
  如数据控制者已公开个人数据并有义务删除个人数据,则控制者必须采取合理措施(包括技术性措施)将数据主体已要求删除其个人数据的事宜通知其他控制者。因该等个人数据已处于公众知悉的领域,这一义务的影响可能非常广泛。
  删除个人数据的义务也存在一些例外,即如果数据处理对于以下任一情形而言是必需的,则无需履行这一义务:
  1.行使言论和信息自由的权利;
  2.遵守欧盟或成员国的法律义务或执行为公共利益或为行使控制者被授予的官方权力而进行的任务;
  3.出于公共卫生领域内公共利益的原因;
  4.出于公共利益的归档目的、科学或者历史研究目的或者统计目的,只要删除权可能导致不能实现此类处理目的或者对该等目的的实现造成严重影响;
  5.为建立、行使或辩护法律请求之目的(尤其是为证据目的)。
  限制处理权
  根据GDPR的规定,数据主体在以下情况下有权要求(暂时)限制处理其个人数据:
  数据主体正在对正被处理的个人数据的准确性提出质疑,但限制处理须以控制者核实个人数据准确性所需的时间为限;
  处理是非法的,但数据主体反对删除其个人数据,而要求限制处理;
  数据控制者不再为处理目的而需要个人数据,但数据主体因建立、行使或辩护法律请求之目的而需要个人数据;
  在核实控制者的正当理由是否优先于数据主体的正当理由之前,数据主体反对处理。
  在限制处理期间,“标记的”个人数据只能由控制者存储。禁止进行其他与“标记的”数据有关的处理活动。如果个人数据处于“处理受限”状态,则控制者在数据主体同意的情况下或者该等处理行为时为了建立、行使或辩护法律请求,保护第三方所必需的情况下,或者为维护相关成员国和/或欧盟的重大公共利益所必需,则仍可进一步处理这些数据。
  处理限制必须在控制者的系统中明确标示。控制者组织内部可以用来限制个人数据处理的方法包括暂时从网站上删除或屏蔽已发布的数据或将“标记的”个人数据临时转移到另一处理系统,使“标记的”个人数据不再可获得。处理限制原则上应该通过技术手段来保证实现,并且个人数据应当以不允许进一步处理和更改的方式记录在控制者的IT系统中。
  解除任何处理限制之前,控制者必须通知数据主体。
  反对权
  根据GDPR规定,数据主体有权在以下三种情况下反对处理其个人数据:
  1.个人数据处理是基于“维护公共利益所必需”或“维护控制者所追求的合法利益所必需”这两个理由;
  2.个人数据处理是出于直接营销目的;
  3.个人数据处理是出于科学、历史研究或统计目的。
  1.个人数据处理是基于“维护公共利益所必需”或“维护控制者所追求的合法利益所必需”这两个理由
  就本项情况而言,如果数据主体反对数据处理行为,则控制者必须停止处理个人数据,除非其能证明其拥有令人信服的、优先于数据主体利益的正当理由,或者是为了建立、行使或辩护法律请求。
  较之目前,这是变化之一。根据《荷兰个人数据保护法》(Dutch Personal Data Protection Act, the “DPA”)的规定,数据主体必须给出与其特定情况相关的令人信服的正当理由,才可反对处理其个人数据。而GDPR不再作此要求:如果数据主体提出反对,控制者必须证明为什么其仍能够处理个人数据。
  2.个人数据处理是出于直接营销目的
  就本项情况而言,反对权是绝对的:如果数据主体提出反对,控制者必须停止为直接营销目的(包括与直接营销目的有关的画像)处理该数据主体的个人数据。
  GDPR强调,反对为直接营销目的进行处理的权利应明确地告知数据主体,并与其他任何信息分开独立、清晰地列明(例如,不能“隐藏”在适用的一般条款和条件

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.226829      关注法宝动态: