GDPR解读(4):处理个人数据的六个法律基础

U2      2020-01-25 16:39      335     

GDPR规定,处理个人数据需要具备以下法律基础中的至少一项(可以同时具备多项):

  1. 数据主体的同意。
  2. 合同义务(比如按照PCI-DSS合同义务,处理用户的支付卡信息及交易数据;又如雇员合同等。)。
  3. 法定义务。
  4. 保护数据主体或他人的核心利益。
  5. 公共利益,如公共安全。
  6. 数据控制者或第三方的合法利益,但不得妨碍数据主体的利益、基本权利和自由,并需要考虑到数据主体的合理期望。

其中,如果数据控制者使用的法律依据属于最后两个,则数据主体拥有较大的控制权,拥有随时提出反对或限制处理的权利。

在实践中产生分歧最多的就是上面第六项“合法利益”了,例如商家为了促销,发送营销邮件、拨打用户电话,经常会招致用户反感并投诉。

在实践中,应尽可能地使用前面两种法律依据,尤其是第一种“用户同意”,而尽量避免使用第六种“合法利益”,除非这属于用户的合理预期。

本文地址: https://www.janusec.com/articles/privacy/1579941560.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.