合法处理个人数据的六项法律依据
Posted: Sat Apr 19, 2025 4:56 am
GDPR 要求,为了使处理合法,个人数据应在有关数据主体的同意或其他合法基础的基础上进行处理。
该“合法依据”应由法律规定,具体法律可以是 GDPR,也可以是其他欧盟或成员国法律,具体取决于受影响的数据控制者所受的欧盟成员国。
任何个人数据处理都必须合法、公平,并且对于被处 扎洛数据库 理个人数据的数据主体而言,应当透明。透明原则要求,任何与个人数据处理相关的信息和沟通都必须易于理解、易于获取。
GDPR第6(1)条规定了个人数据处理合法性必须满足的条件。这六个条件如下:
数据主体已同意为一个或多个特定目的处理其个人数据;
处理是履行数据主体作为一方当事人的合同所必需的,或者是为了在签订合同之前根据数据主体的要求采取措施;
处理对于遵守控制者所承担的法律义务是必要的;
为了保护数据主体或其他自然人的切身利益,处理是必要的;
处理对于执行公共利益任务或行使控制者所拥有的官方权力是必要的;
为了控制者或第三方追求的合法利益,处理是必要的,除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所取代,特别是当数据主体是儿童时。
在实际处理开始之前,为每项合法处理活动建立最合适的法律依据至关重要。这本身就要求对所有个人数据处理活动进行强制性记录。
信息专员办公室 (ICO) 警告称:“您不应在日后无正当理由的情况下更换为其他合法依据。特别是,您通常不能从同意更换为其他依据。”
另一个重点是确保隐私声明明确说明处理目的。如果声明的目的发生变化,只要新目的与原始目的兼容,则可能可以在原有的合法依据下继续处理(除非您最初的合法依据是同意)。
尽管目前大多数企业倾向于将同意作为处理个人数据的合法依据,但它仅仅是使个人数据处理合法化的六个法律依据之一。当数据控制者开始涉及个人数据的处理活动时,应考虑同意是否实际上是合法处理的最合适的法律依据。在某些情况下,其他法律依据可能更为合适。然而,当为特定处理活动选择同意时,必须严格遵守所有与同意相关的规则和权利,例如告知数据主体其处理个人数据所依据的法律依据。
该“合法依据”应由法律规定,具体法律可以是 GDPR,也可以是其他欧盟或成员国法律,具体取决于受影响的数据控制者所受的欧盟成员国。
任何个人数据处理都必须合法、公平,并且对于被处 扎洛数据库 理个人数据的数据主体而言,应当透明。透明原则要求,任何与个人数据处理相关的信息和沟通都必须易于理解、易于获取。
GDPR第6(1)条规定了个人数据处理合法性必须满足的条件。这六个条件如下:
数据主体已同意为一个或多个特定目的处理其个人数据;
处理是履行数据主体作为一方当事人的合同所必需的,或者是为了在签订合同之前根据数据主体的要求采取措施;
处理对于遵守控制者所承担的法律义务是必要的;
为了保护数据主体或其他自然人的切身利益,处理是必要的;
处理对于执行公共利益任务或行使控制者所拥有的官方权力是必要的;
为了控制者或第三方追求的合法利益,处理是必要的,除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所取代,特别是当数据主体是儿童时。
在实际处理开始之前,为每项合法处理活动建立最合适的法律依据至关重要。这本身就要求对所有个人数据处理活动进行强制性记录。
信息专员办公室 (ICO) 警告称:“您不应在日后无正当理由的情况下更换为其他合法依据。特别是,您通常不能从同意更换为其他依据。”
另一个重点是确保隐私声明明确说明处理目的。如果声明的目的发生变化,只要新目的与原始目的兼容,则可能可以在原有的合法依据下继续处理(除非您最初的合法依据是同意)。
尽管目前大多数企业倾向于将同意作为处理个人数据的合法依据,但它仅仅是使个人数据处理合法化的六个法律依据之一。当数据控制者开始涉及个人数据的处理活动时,应考虑同意是否实际上是合法处理的最合适的法律依据。在某些情况下,其他法律依据可能更为合适。然而,当为特定处理活动选择同意时,必须严格遵守所有与同意相关的规则和权利,例如告知数据主体其处理个人数据所依据的法律依据。