一、個人數據處理的原則
1、 透明性原則
(1)【易得性、易讀性】任何向公眾、數據主體的給予的信息都應是清晰和簡明的語言,以保證簡潔和容易理解的,並且在適當的情況下應使用可視化。這些信息可以以電子形式提供,例如,通過網站向公眾發表。這是特別相關的情況下,演員和技術複雜性的擴散數據主題實踐很難知道和理解,由誰和什麼目的有關他或她的個人數據被收集,如對於在線廣告。
(2)【孩子的特殊保護】考慮到孩子們需要特殊的保護,任何信息和交流,如果處理是針對一個孩子的,應該是在這樣一種清晰和簡單的語言,孩子可以很容易理解。
(3)【控制者的告知義務】公平和透明的處理原則要求數據控制者必須告知數據主體個人數據處理的存在其目的。控制者應向數據主體進一步提供必要的信息,以確保在處理個人數據的進行公平和透明的處理。在收集個人資料但數據主體不願提供時,亦應告知資料當事人是否有義務提供個人資料及後果。這些信息可以與標準化的圖像結合在一起,以便以一種顯而易見的、可理解的、清晰易讀的方式,對預期的數據處理進行有意義的概述。當圖像以電子方式呈現時,它們應該是機器可讀的。
2、合法性原則
(1)【合法之契約授權】個人數據處理應建立在有關資料當事人同意或其他合法基礎之上,根據本條例和成員國法律義務,履行必要的合同締結。即數據控制者應是合同的當事人或是合同履行必要的一方,或是在締結合同前根據數據主體的要求採取相關措施。
(2)【處理與合同相符】數據處理應是合法的,是在合同項下必要的,或符合締結合同的目的。
(3)【有法可據】如果某項數據處理是依照法律義務為公共利益或行政事務而進行的,則其應該擁有一個歐盟或成員國的法律依據。控制者在處理個人數據或行使官方權力時,應以歐盟或會員國法律為依據。本條例不要求對每一項個人數據處理都有特定的法律,只要求在維護公共利益和行使官方權力時做到有法可依。
(4)【依據法範圍】本條例指的是法律依據或立法措施,並不一定是歐洲議會通過的,且不損害有關會員國的憲法秩序的立法。其同時適用於在歐洲聯盟法院和歐洲人權法院的判例法下,在可預見的情況下清晰、準確適用的其他法律措施。
(5)【GDPR規定的一般性】本條例還應為歐盟或會員國法律確定處理個人數據的目的。此外,本條例可以明確規定個人數據處理的合法性的一般條件,例如規定控制者的規格、規定受保護的個人資料的種類、個人數據處理的目的限制、個人數據的儲存期限和其他確保合法和公平處理的措施。歐盟或成員國法律還應當規定,維護公共利益和行使官方權力的控制者是否一定要是公共法律所規定的官方組織、自然人和法人,行為是否出於公共利益考慮,包括公共衛生和社會保護以及衛生服務的管理目的,如專業協會等。
3、 相稱性(最低必要)
(1)【最低必要性】收集的個人數據應適當、與目的相關並限於其處理目的所必需的內容。這尤其需要確保將個人數據儲存的時間限制在嚴格的最低限度之內。只有當處理的目的不能以其他方式合理地滿足時,個人數據才應被處理。
(2)【數據的時間限制】為了確保個人數據不被保存超過必要的時間,應由管制員為刪除或定期審查建立時間限制。
4、 準確、安全與保密
(1)【數據準確性保證】應採取每一個合理的步驟,確保不準確的個人數據被糾正或刪除。
(2)【數據安全與保密】個人數據應以確保個人數據的適當安全及保密的方式處理,包括防止未經授權查閱或使用個人數據及處理所使用的設備。
5、個人數據特別保護
(1)【生物數據】因處理個人數據會威脅到基本人權和自由,所以個人數據需要特別的保護。受保護的個人數據應該包括顯示種族或民族血統的個人數據,本條例使用"種族起源"一詞並不意味著歐盟承認存在不同人種。
對照片的處理不應被認為是對特殊類別的個人數據的處理,因為它們僅在經過專門的技術手段處理後才被定義為生物統計數據。考慮到成員國可能會規定數據保護的具體法律,以便調整本法規的適用規則、符合法律義務或履行在公共利益或在授予控制器的官方權力下執行的任務,此類個人數據不應處理,除非在本法規中規定的特定情況下才允許進行處理。
除了具體要求外,處理個人數據還應該遵守本條例的一般原則和其他規則,特別是關於合法處理的條件。處理特殊類別個人數據的法規應該是明確規定的。
(2)【健康類數據】對特殊類別的個人數據應進行健康相關的處理,僅在必要時進行處理。根據歐盟或會員國法律,"必要"須出於公共利益的目的,特別是在衛生或社會保健服務和系統的管理方面,例如管理和中央國家衛生當局為達到質量控制、信息管理的目的,國家衛生組織出於確保健康或社會保障的連續性、跨國界的醫療衛生安全、監控和警告的目的,或者是為了公共利益、科學或歷史研究的目的處理特殊類別的數據。
(3)【選舉資料】在選舉活動的過程中,歐盟成員國的民主制度要求各政黨編制人民政治意見的個人資料。如果建立了適當的保障措施,可以出於公共利益考慮對這些數據進行處理。
(4)【個人數據的脫敏】如果受處理的個人數據不允許控制者識別自然人,則控制者不應被要求獲取額外的信息,以識別數據主體。然而,控制器不應拒絕接受數據主體提供的額外信息,可以支持他或她行使權利的信息。識別應該包括數據主體的數字識別,例如通過認證機制的憑證(數據主體使用的登錄到數據控制器提供的在線服務的相同憑證)。
1、【合法明確目的】在收集個人數據時,就應確定處理個人數據的具體目的,且該目的應該是明確的、合法的。
2、【數據與使用情況告知】同時為確保公平、透明,對個人數據的收集、使用、諮詢,以及對哪些數據作如何程度的處理都應是透明的。自然人有權瞭解數據控制者身份、數據處理的目的和進一步的信息。對此,自然人有權溝通、確認他們的個人數據會被處理。
3、【處理風險與權利告知】自然人應被告知並認識到處理其個人數據的風險、規則、保障和權利,以及如何行使其與此類處理有關的權利。
4、【同意應能被證明】對於必須經數據主體同意後方能進行的數據處理,控制者應能證明該數據主體的同意,如以書面文件或其他相關事物,說明數據主體確實知曉其已經同意並在多大範圍內給予授權。
5、【授權聲明的格式】根據理事會指令93/13/EEC(10),授權聲明應是由控制者提前制定並且通過可理解且容易獲取的表格,使用清晰、平白的語言,且不能帶有任何不公平條款。
6、【授權聲明的內容】就告知而言,數據主體應能知曉控制者的身份和其處理數據的目的。並且如果數據主體沒有真實、自由的選擇,或無法拒絕,或如果撤回同意即會受到損害時,該授權將不應被視為自由表達。
7、【不對等下的不合格授權】為了確保授權是自由的,當數據主體和控制器之間有一個明顯不對等,該同意不應該視為對數據處理有法律效力的同意行為,尤其當控制者作為公共機構時,在種情況下給予的同意不太可能是在自由的情況下所作出的。當數據主體不被允許對不同的個人數據處理分別作出同意時(即使在個別情況下是適當的),或一個包括服務條款合同的履行取決於數據主體的同意(即使這個同意對這個數據處理並不必要)時,該同意均應被視為是不自由的。
三、數據控制者的合法利益
1、【控制者的合法利益】對可能會洩露個人數據的控制者和第三方來說,控制者的合法利益是其進行數據處理的法律依據。考慮到數據主體對於控制者的合理保密期望,其合法利益、數據基本權利和自由是高於一切的。
2、【合法利益的】控制者的合法利益確實存在,例如當數據主體是委託人或為控制者服務的人時,控制者與數據主體之間就會發生關係。無論如何,合法權益的存在都需要仔細評估,包括數據主體是否能在當時或蒐集個人信息時預計可能會發生個人數據處理。邊界當數據主體不期望個人數據被進一步處理時,數據主體的利益和基本權利高於數據控制器的利益。鑑於立法者依法為公共當局處理個人數據提供法律依據,法律依據不應適用於公共當局在執行其任務時對個人數據的處理。
3、【合法利益之防止欺詐】為了防止欺詐,必須對個人數據進行處理,這也構成了有關數據控制者的合法利益。為直接營銷進行的的個人資料處理,也可能被視為出於合法利益。
4、【合法利益之公共利益】合法處理個人數據受到法律支持,因為保護數據主體和特定自然人利益是至關重要的。原則上,只有在個人數據處理無法適用其他理由時,才能根據特定自然人的切身利益而處理個人數據。必要個人數據處理可以滿足公共利益的需求、維護數據主體的利益,例如出於人道目的的數據處理是必要的,包括監測傳染病的傳播或其他天災人禍。但出於公共利益的理由,官方當局處理個人數據的目的應是為了實現經憲法法律或國際公法規定的官方承認宗教社團的目標。
5、【合法利益之管理目的】屬於中央機關的事業單位或事業單位的管理人員,可以出於管理目的將個人資料傳送至企業內部,包括客戶或僱員的個人資料。在企業之間,或向第三國的企業傳輸個人數據不受影響。
作者∣陳德志律師,錦天城律所資深律師,上海市律師協會證券業務研究委委員,從事公司證券行業近十年,主要執業領域為境內外上市、併購重組、企業投融資及企業合規。
閱讀更多 百律 的文章
