【前言】《通用数据保护条例》(GDPR) 是迄今为止覆盖面最广的全球性数据隐私保护法规,其于2016年4月15日在欧洲议会通过,并已于 2018 年 5 月 25 日琥生效。根据该法案,任何处理欧洲公民个人数据的组织都必须遵守该条例,而不合规的企业,可能面临高达 2000 万欧元或 4% 年营业额的罚款。以下为笔者根据GDRP的规定,经综合整理而形成的系列解读文章,今天是第四篇::
1)
2)
3)
4)数据主体的权利及其限制
数据主体的权利及其限制
一、决定权
根据GDPR,对于必须经数据主体同意后方能进行的数据处理,控制者应能证明该数据主体的同意,如以书面文件或其他相关事物,说明数据主体确实知晓其已经同意并在多大范围内给予授权。
根据理事会指令93/13/EEC(10),授权声明应是由控制者提前制定并且通过可理解且容易获取的表格,使用清晰、平白的语言,且不能带有任何不公平条款。
GDPR对"告知"的要求为,数据主体应能知晓控制者的身份和其处理数据的目的。如果数据主体没有真实、自由的选择,或无法拒绝,或如果撤回同意即会受到损害时,该授权将不应被视为自由表达。
为了确保授权是自由的,当数据主体和控制器之间有一个明显不对等,该同意不应该视为对数据处理有法律效力的同意行为,尤其当控制者作为公共机构时,在种情况下给予的同意不太可能是在自由的情况下所作出的。
当数据主体不被允许对不同的个人数据处理分别作出同意时(即使在个别情况下是适当的),或一个包括服务条款合同的履行取决于数据主体的同意(即使这个同意对这个数据处理并不必要)时,该同意均应被视为是不自由的。
二、知情权
根据GDPR,自然人应被告知并认识到其个人数据被处理的风险、规则、保障和权利,以及如何行使其与此类处理有关的权利。
数据主体有权访问与他或她有关的个人数据,并可在合理的时间内轻易行使数据访问权,以便了解并核实数据处理的合法性。
这包括数据主体有权获得有关其健康的数据,例如他们医疗记录中的数据,包括诊断、检查结果、治疗医师的评估以及提供的任何治疗信息。每个数据主体都有权知道和获得关于个人数据处理的目的、个人数据的处理日期、个人数据的接收人等信息。在可能的情况下,控制者应该提供一个能够使数据主体直接访问其个人数据的安全系统。
但数据访问权不应损害他人的权利或自由,包括商业秘密或知识产权,特别是保护软件的版权。但是这不是控制者拒绝提供信息的理由。当控制者大规模处理数据主体信息时,可以要求数据主体在传递信息之前对所涉及的信息或处理活动进行详细说明。
三、数据更正权
根据GDPR,数据主体应当有权要求控制者无不当延误地纠正与其相关的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式。
四、被遗忘权(删除权)
根据GDPR,当保留数据会违反欧盟或会员国法律时,数据主体有权修正或删除关于他的个人数据。尤其是当个人数据处理的目的不再存在,或数据主体撤回同意,或数据处理违反本条例时,数据主体享有删除权也称被遗忘权。
这一权利尤其适用于数据主体在儿童时期的同意,因其未能充分意识到数据处理过程所涉及的风险,在意识到后希望删除这些个人数据,尤其是在互联网上的数据。数据主体也应该能够行使这一权利,尽管他或她不再是孩子。然而,为了行使言论和信息自由的权利、遵守法律义务、履行公共利益的任务或为科学历史研究、统计,或为法律主张的建立、行使或辩护,个人资料的进一步保留是合法的。
GDPR要求,为了加强网络环境中的删除权,公开个人数据的控制者必须告知数据主体,他们将如何处理这些个人数据例如删除链或复制这些个人数据。考虑到可行技术方法,控制者需要采取合理措施通知正在根据数据主体要求处理数据的另一控制者。
五、限制处理权
GDPR规定,限制个人数据处理的方法可能包括:临时将选定的数据移至另一处理系统,使所选的个人资料无法供用户使用,或暂时删除网站公布的资料。在自动归档系统中,原则上应以技术手段确保对数据处理的限制,使个人数据不能被更改、不能被进一步处理。个人资料的处理受到限制的事实应在系统中明确说明。
六、拒绝权
GDPR规定,数据主体有权基于与具体情况有关的任何理由,反对控制者处理其个人数据。控制者不得再处理该个人数据,除非控制者证明其有关(数据)处理的强制性法律依据优先于数据主体的利益、权利和自由,或者为了设立、行使或捍卫其合法权利。
如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理,其中包括与此类直接营销相关的概况分析。
七、可携带权
GDPR要求,为了进一步加强数据主体对其个人数据的控制,控制者应在处理过程中,应以结构化、通用和机器可读的格式,向数据主体提供与其有关的个人数据。应当鼓励数据控制者开发能够支持数据可移植性的可互操作的格式。
当数据处理的法律依据是主体同意或目的是履行合同时,数据主体享有数据可移植性权利,但为公共利益而执行任务进行的数据处理不适用该权利。数据主体发送或接收与他或她有关的个人数据的权利,不得强制控制者开发或维护兼容的处理系统。
同时GDPR也规定,当个人数据的来源于不止一个数据主体时,他们的可移植性权利不应受到权利和自由的偏见。此外,该权利不应损害数据主体删除权和限制处理权 。在技术可行的前提下,数据主体有权将个人数据直接从一个控制者传输给另一控制者。
八、数据权利的法定限制
在数据主体享有权利的同时,GDPR也提到,在欧盟成员国存在相应法律条款的前提下,数据控制者可依法限制数据访问权、纠正权、删除权数据可移植性权利、拒绝权个人决策自动化等权利,以及为保护人类生命,特别是应对自然或人为灾害、防务、刑事犯罪的预防、调查、侦查或起诉,或执行刑事处罚,包括对公共安全威胁的预防和防范,或违反受管制职业的道德规范,以及其他重要的公共利益目标即欧盟或会员国的公共利益,特别是欧盟或会员国的重要经济或财政利益。除此之外,数据主体的权利限制还包括为了公众利益保留公共登记册,进一步处理存档的个人资料,以提供与前国家政权下的政治行为有关的具体资料,或保护数据主体或其他人的权利和自由,包括社会保护、公共卫生和人道主义目的。
GDPR认为,这种限制不但尊重了基本权利和自由的本质,也是民主社会必要且适当的措施。但GDPR同时也强调,上述这些
对数据主体权利的限制,不应违背《欧盟基本权利宪章》和《欧洲保护人权和基本自由公约》的规定和要求。作者∣陈德志 律师,锦天城律所资深律师,上海市律师协会证券业务研究委委员,从事法律行业十余年,主要执业领域为:境内外上市、并购重组、投资融资、企业/个人的合规建设与建议。
上海锦天城法律实习生孙清对本文亦有帮助。
閱讀更多 百律 的文章
