2019欧盟GDPR合规指引重点解读(2)

编辑: 发布时间:2019-11-20 15:30:59 来源:

  问:在线活动标志符(Online Identifier)具体包括什么?

  答:GDPR 在个人信息的定义中特别地包括了“在线活动识别符”这一概念,其包括与个人使用的设备、应用、工具及互联网协议等相关的信息。

  GDPR 序言第30条中对在线活动识别符进行了一个非穷尽式的列举:

  互联网协议地址(IP 地址)

  Cookie 识别符

  射频识别(RFID)标签等其他识别符

  其他可能属于个人数据的在线活动识别符包括:

  MAC 地址

  广告 ID

  像素标签

  设备指纹

  对于上述在线活动识别符所留下的与服务器所接收的特殊识别符或其他信息相结合后,可以用来识别个人。

  在评估个人是否可识别时必须考虑在线活动识别符自身或者与其他信息结合后是否会被用来其他人区分,区分的方法可能是对用户进行画像以识别个人。

  3.如何理解数据处理的6个合法事由?

  问:什么是履行合同之必要?

  答:GDPR 第6条规定了处理数据的6种合法事由,其中包括数据主体为履行合同之必要,或者在合同订立前应数据主体的要求而采取某些与订立合同相关的行动而处理数据。

  通常在以下两种情况下,可以将履行合同之必要作为合法事由:

  企业与个人之间存在着一份合同,为了履行该合同项下的义务,企业需要处理某些数据主体的个人数据。

  企业与个人之间尚未达成一份合同,但数据主体要求企业采取某些行为作为第一步(例如,提供一个报价),为了完成数据主体所要求的行为,企业需要处理其个人数据。

  问:什么场景下可以使用数据控制者的正当利益作为数据处理合法事由?

  答:正当利益是GDPR下的另一事由。GDPR第6条规定,如果个人数据的处理对于控制者或第三方正当利益是必要的,企业可以处理个人信息,除非要求对个人数据进行保护的数据主体利益或基本权利及自由超过了上述正当利益,尤其是数据主体为儿童时。正当利益事由可以被拆解成以下三个层面加以理解:

  目的测试:企业所追求的是否是正当利益?

  必要性测试:对于该目的而言,个人数据处理是否必要?

  权衡测试:个人权益的保护是否胜过企业追求的正当利益?

  GDPR尤其将“对于客户或雇员数据的使用”、“推广营销”、“欺诈防护”、

  “集团内部转移”或“IT 安全”列为潜在的正当利益,但这并非穷尽式的列举。

  GDPR 还规定,向政府机关披露与可能的刑事犯罪行为或安全威胁有关的信息,对企业来说也构成正当利益。

  (来源:中国信息通信研究院)

  深圳企业咨询深圳市国际贸易促进委员会法律事务部

  联系人: 杨锐 88100039 yangrui669@126.com

评论()】【加入收藏夹】【打印】【关闭
联系我们 - 版权声明 - 诚征合作