接下来要考虑的是确定某一特定的处理活动是否符合GDPR 规定。根据 GDPR 规定,由控制者或处理者执行的每项数据处理活动都需要有法律依据。GDPR总共认可六项适用于处理欧盟个人的个人数据的法律依据(在 GDPR 中,欧盟个人是指“数据主体”)。
【广东昊霖企业管理有限公司】
通用数据保护管理体系认证证书申报数据保护管理的法律依据
这六项法律依据按照 GDPR 第 6 (1)条从 (a) 到 (f) 的顺序依次为:
1.数据主体已同意出于一个或多个特定目的对他/她的个人数据进行处理;
2.履行合同需要对数据进行处理,其中数据主体是合同一方,或者在签订合同之前为了应数据主体的要求采取措施,需要对数据进行处理;
3.遵守法律义务需要对数据进行处理,其中控制者是主体;
4.保护数据主体的切身利益需要对数据进行处理;
5.为公共利益或行使官方权利而执行任务,需要对数据进行处理;或者
6.实体追寻合法利益,需要对数据进行处理,数据主体要求个人数据保护且其利益或基本权利和自由比此类利益更为重要的情况除外。
GDPR许可处理列表和《数据保护指令》中所包含的列表有相似之处。然而,也存在明显分歧。
当与《数据保护指令》进行比较时,常提到的GDPR 变化就是许可要求更加严格(上述列表中第1项)。GDPR 许可要求包括下列部分
例如 (i)许可要求可验证,(ii) 许可要求必须与其他事项存在明显区别,以及 (iii)数据主体必须接到其有权撤回许可的通知。就敏感数据的处理而言,会实行较高的许可要求(“明确许可”),注意这一点也很重要
需要强调的另一个重要项目是合法利益项目(上述列表中第6项)。若公司依靠“合法利益”作为个人数据处理的支持条件,则需要注意均衡与此法律依据相关的考量要求。为了遵循GDPR项下的责任原则,公司必须以文件形式记录其符合均衡考量标准,其中,其在做出符合均衡考量标准这一结论之前所考虑的方法和论据需包括在内。