【前言】《通用數據保護條例》(GDPR) 是迄今為止覆蓋面最廣的全球性數據隱私保護法規,其於2016年4月15日在歐洲議會通過,並已於 2018 年 5 月 25 日琥生效。根據該法案,任何處理歐洲公民個人數據的組織都必須遵守該條例,而不合規的企業,可能面臨高達 2000 萬歐元或 4% 年營業額的罰款。以下為筆者根據GDRP的規定,經綜合整理而形成的系列解讀文章,今天是第四篇::
1)
2)
3)
4)數據主體的權利及其限制
數據主體的權利及其限制
一、決定權
根據GDPR,對於必須經數據主體同意後方能進行的數據處理,控制者應能證明該數據主體的同意,如以書面文件或其他相關事物,說明數據主體確實知曉其已經同意並在多大範圍內給予授權。
根據理事會指令93/13/EEC(10),授權聲明應是由控制者提前制定並且通過可理解且容易獲取的表格,使用清晰、平白的語言,且不能帶有任何不公平條款。
GDPR對"告知"的要求為,數據主體應能知曉控制者的身份和其處理數據的目的。如果數據主體沒有真實、自由的選擇,或無法拒絕,或如果撤回同意即會受到損害時,該授權將不應被視為自由表達。
為了確保授權是自由的,當數據主體和控制器之間有一個明顯不對等,該同意不應該視為對數據處理有法律效力的同意行為,尤其當控制者作為公共機構時,在種情況下給予的同意不太可能是在自由的情況下所作出的。
當數據主體不被允許對不同的個人數據處理分別作出同意時(即使在個別情況下是適當的),或一個包括服務條款合同的履行取決於數據主體的同意(即使這個同意對這個數據處理並不必要)時,該同意均應被視為是不自由的。
二、知情權
根據GDPR,自然人應被告知並認識到其個人數據被處理的風險、規則、保障和權利,以及如何行使其與此類處理有關的權利。
數據主體有權訪問與他或她有關的個人數據,並可在合理的時間內輕易行使數據訪問權,以便了解並核實數據處理的合法性。
這包括數據主體有權獲得有關其健康的數據,例如他們醫療記錄中的數據,包括診斷、檢查結果、治療醫師的評估以及提供的任何治療信息。每個數據主體都有權知道和獲得關於個人數據處理的目的、個人數據的處理日期、個人數據的接收人等信息。在可能的情況下,控制者應該提供一個能夠使數據主體直接訪問其個人數據的安全系統。
但數據訪問權不應損害他人的權利或自由,包括商業秘密或知識產權,特別是保護軟件的版權。但是這不是控制者拒絕提供信息的理由。當控制者大規模處理數據主體信息時,可以要求數據主體在傳遞信息之前對所涉及的信息或處理活動進行詳細說明。
三、數據更正權
根據GDPR,數據主體應當有權要求控制者無不當延誤地糾正與其相關的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式。
四、被遺忘權(刪除權)
根據GDPR,當保留數據會違反歐盟或會員國法律時,數據主體有權修正或刪除關於他的個人數據。尤其是當個人數據處理的目的不再存在,或數據主體撤回同意,或數據處理違反本條例時,數據主體享有刪除權也稱被遺忘權。
這一權利尤其適用於數據主體在兒童時期的同意,因其未能充分意識到數據處理過程所涉及的風險,在意識到後希望刪除這些個人數據,尤其是在互聯網上的數據。數據主體也應該能夠行使這一權利,儘管他或她不再是孩子。然而,為了行使言論和信息自由的權利、遵守法律義務、履行公共利益的任務或為科學歷史研究、統計,或為法律主張的建立、行使或辯護,個人資料的進一步保留是合法的。
GDPR要求,為了加強網絡環境中的刪除權,公開個人數據的控制者必須告知數據主體,他們將如何處理這些個人數據例如刪除鏈或複製這些個人數據。考慮到可行技術方法,控制者需要採取合理措施通知正在根據數據主體要求處理數據的另一控制者。
五、限制處理權
GDPR規定,限制個人數據處理的方法可能包括:臨時將選定的數據移至另一處理系統,使所選的個人資料無法供用戶使用,或暫時刪除網站公佈的資料。在自動歸檔系統中,原則上應以技術手段確保對數據處理的限制,使個人數據不能被更改、不能被進一步處理。個人資料的處理受到限制的事實應在系統中明確說明。
六、拒絕權
GDPR規定,數據主體有權基於與具體情況有關的任何理由,反對控制者處理其個人數據。控制者不得再處理該個人數據,除非控制者證明其有關(數據)處理的強制性法律依據優先於數據主體的利益、權利和自由,或者為了設立、行使或捍衛其合法權利。
如果為了直接營銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理,其中包括與此類直接營銷相關的概況分析。
七、可攜帶權
GDPR要求,為了進一步加強數據主體對其個人數據的控制,控制者應在處理過程中,應以結構化、通用和機器可讀的格式,向數據主體提供與其有關的個人數據。應當鼓勵數據控制者開發能夠支持數據可移植性的可互操作的格式。
當數據處理的法律依據是主體同意或目的是履行合同時,數據主體享有數據可移植性權利,但為公共利益而執行任務進行的數據處理不適用該權利。數據主體發送或接收與他或她有關的個人數據的權利,不得強制控制者開發或維護兼容的處理系統。
同時GDPR也規定,當個人數據的來源於不止一個數據主體時,他們的可移植性權利不應受到權利和自由的偏見。此外,該權利不應損害數據主體刪除權和限制處理權 。在技術可行的前提下,數據主體有權將個人數據直接從一個控制者傳輸給另一控制者。
八、數據權利的法定限制
在數據主體享有權利的同時,GDPR也提到,在歐盟成員國存在相應法律條款的前提下,數據控制者可依法限制數據訪問權、糾正權、刪除權數據可移植性權利、拒絕權個人決策自動化等權利,以及為保護人類生命,特別是應對自然或人為災害、防務、刑事犯罪的預防、調查、偵查或起訴,或執行刑事處罰,包括對公共安全威脅的預防和防範,或違反受管制職業的道德規範,以及其他重要的公共利益目標即歐盟或會員國的公共利益,特別是歐盟或會員國的重要經濟或財政利益。除此之外,數據主體的權利限制還包括為了公眾利益保留公共登記冊,進一步處理存檔的個人資料,以提供與前國家政權下的政治行為有關的具體資料,或保護數據主體或其他人的權利和自由,包括社會保護、公共衛生和人道主義目的。
GDPR認為,這種限制不但尊重了基本權利和自由的本質,也是民主社會必要且適當的措施。但GDPR同時也強調,上述這些
對數據主體權利的限制,不應違背《歐盟基本權利憲章》和《歐洲保護人權和基本自由公約》的規定和要求。作者∣陳德志 律師,錦天城律所資深律師,上海市律師協會證券業務研究委委員,從事法律行業十餘年,主要執業領域為:境內外上市、併購重組、投資融資、企業/個人的合規建設與建議。
上海錦天城法律實習生孫清對本文亦有幫助。
閱讀更多 百律 的文章
