GDPR第 6 条列出了处理的六个“合法依据”个人资料. 必须至少满足其中一项条件才能处理数据合法地. 如果没有合法依据,则组织和处理不符合第 5 条的合法性原则,并且问责制。
如果一个组织不能证明这六个基础之一适用,那么处理这些数据就是违法的……
所以,这非常重要!
1.同意
组织若要将同意作为合 目标电话号码或电话营销数据 法依据,数据主体(即你和我)必须同意处理其个人数据。他们必须可以自由选择是否必须提供同意。
-
- 同意请求必须明确、无歧义且与其他条款区分开
- 个人必须通过勾选方框、签署文件、对口头声明做出肯定的回应等方式主动选择加入。
- 如果出现新的处理目的,则必须向个人请求新的同意
- 撤回同意必须像给予同意一样容易
- 必须记录同意的证据(何时、何地和如何给予)
2. 合同
如果数据对于履行与资料主体. 可以接受过 预算内的数字营销 程在签订合同之前(例如提供保险报价)提供的数据,前提是数据主体已经请求了该信息。
-
- 处理必须是“必要的”。处理必须是实现目的的合理且适当的方式
- 如果数据主体未满 18 岁,则组织必须确保该个人具有足够的能力签订合同
- 如果合同被确定为处理的法律依据,则个人的反对权不适用。同样,个人不受仅基于自动化处理的决定约束的权利也不适用
3.法律义务
如果需要处理个人数据以遵守英 电报号码 国或欧盟法律下的普通法或法定义务,则这被视为合法依据,前提是:
-
- 该组织处理数据的总体目的是遵守法律义务
- 法律义务可以在具体规定或官方指导文件中识别
- 需要处理
个人的删除权当法律义务被定义为处理的基础时,数据可携性和反对权不适用
4. 重大利益
如果数据处理符合数据主体的切身利益,那么这就是合法依据。这一依据可能仅适用于紧急医疗情况,即需要处理医疗数据以保护个人或他人的生命,但个人无法表示同意。
如果有可能以其他替代的、侵扰性较小的方式来保护个人的重大利益,则此依据不适用。
您不能依赖此基础来保证健康或其他特殊类别数据(参见 GDPR 第 9 条)如果个人有能力提供同意,即使他们拒绝提供同意。
5. 公共任务
如果“履行公务”或为了执行法律规定的特定公共利益任务而需要处理个人数据,那么这是合法的。