六个合法依据是什么以及何时适用?

GDPR第 6 条列出了处理的六个“合法依据”个人资料. 必须至少满足其中一项条件才能处理数据合法地. 如果没有合法依据,则组织和处理不符合第 5 条的合法性原则,并且问责制

如果一个组织不能证明这六个基础之一适用,那么处理这些数据就是违法的……

所以,这非常重要!

1.同意

组织若要将同意作为合 目标电话号码或电话营销数据 法依据,数据主体(即你和我)必须同意处理其个人数据。他们必须可以自由选择是否必须提供同意。

    • 同意请求必须明确、无歧义且与其他条款区分开
    • 个人必须通过勾选方框、签署文件、对口头声明做出肯定的回应等方式主动选择加入。
    • 如果出现新的处理目的,则必须向个人请求新的同意
    • 撤回同意必须像给予同意一样容易
    • 必须记录同意的证据(何时、何地和如何给予)

2. 合同

如果数据对于履行与资料主体. 可以接受预算内的数字营销 在签订合同之前(例如提供保险报价)提供的数据,前提是数据主体已经请求了该信息。

    • 处理必须是“必要的”。处理必须是实现目的的合理且适当的方式
    • 如果数据主体未满 18 岁,则组织必须确保该个人具有足够的能力签订合同
    • 如果合同被确定为处理的法律依据,则个人的反对权不适用。同样,个人不受仅基于自动化处理的决定约束的权利也不适用

3.法律义务

如果需要处理个人数据以遵守英 电报号码 国或欧盟法律下的普通法或法定义务,则这被视为合法依据,前提是:

    • 该组织处理数据的总体目的是遵守法律义务
    • 法律义务可以在具体规定或官方指导文件中识别
    • 需要处理

个人的删除权当法律义务被定义为处理的基础时,数据可携性和反对权不适用

4. 重大利益

如果数据处理符合数据主体的切身利益,那么这就是合法依据。这一依据可能仅适用于紧急医疗情况,即需要处理医疗数据以保护个人或他人的生命,但个人无法表示同意。

如果有可能以其他替代的、侵扰性较小的方式来保护个人的重大利益,则此依据不适用。

您不能依赖此基础来保证健康或其他特殊类别数据(参见 GDPR 第 9 条)如果个人有能力提供同意,即使他们拒绝提供同意。

5. 公共任务

如果“履行公务”或为了执行法律规定的特定公共利益任务而需要处理个人数据,那么这是合法的。

滚动至顶部