这 2016年4月27日的一般数据保护条例(GDPR)(欧盟)2016/679 这将在2018年5月生效,将对欧洲联盟的个人数据处理法律产生重大变革。在未来几个月内,我们与我们密切合作的欧盟和美国律师事务所将加入我们为您提供有关GDPR的更多信息。将不同的主题按月处理,以帮助您为GDPR截止日期准备。
这个GDPR系列的第3部分被带到你身边 格拉夫·韦斯特威伦伦。本系列中的后续博客参赛作品将由米尔斯律师事务所带给您&Reeve,Fidal(法国)和vanbenthem&奎恩(荷兰)以及罗宾逊&科尔(美国)。
作为数据处理的合法基础
每个数据处理活动都需要合法的基础。如此合法的基础可以直接由法律提供,也可以根据数据主体授予的同意,这都根据法定要求授予 指令95/46 / EC 而且,重要的是,国家数据保护法。这一总体原则在GDPR下保持不变,但新的监管规定了这种同意的新规定或额外的要求是为处理和转移个人数据的合法依据。
有效同意 - 公平处理通知的先决条件
第一的 ,GDPR要求有关使用其个人数据的数据的任何同意必须是 “自由地给出,具体,知情和明确的” 并且,与指令相比,它将额外的障碍在要求同意的人面前施加了额外的障碍:必须具体到各自的数据处理行动,因此需要是 "清楚可区分" 从任何其他可能涉及同一文件,第7(2)条的任何其他事项。第七(4)条和第四次协宪43明确表示,如果合同或提供服务的履行,则没有自由发出同意,或者在此类同意下进行有条件,或者 "数据主体和控制器之间的不平衡"。此外,第7(3)条要求数据主题随时撤回其同意的权利,并尽可能容易地赠送,以及将其个人数据删除的权利,从而从进一步加工中删除,文章 17.
第二 ,这些要求征用了控制员的严格义务,以便在给出同意之前完全通知有关相关问题及其权利的数据。正如该指令下所要求的,必须通知个人关于要处理的个人数据类别,处理的目的和期限,控制器的身份以及任何可能的数据收件人。缺乏透明,完整,及时的信息将使同意无效。
第三 ,GDPR要求数据受到其同意的信号 “声明或明确的肯定行动”。因此,在指令95/46 / EC控制器下可以依赖隐式或 “选择退出” 同意,GDPR要求必须表达同意 “通过声明或明确的肯定行动”,见文章 4(11)。只要个人同意明确表明,这些行动可能包括 “选择信息社会服务技术设置” 或者 “另一个陈述或行为”,包括例如,在网站上勾选一个框,看起来首页 32条例。但是,沉默,不活动或预勾选的盒子将不再作为数据主题的有效同意。
明确同意是合规的可能性之一
GDPR扩展了特别敏感的特殊类别的特殊类别的定义 “与基本权利和自由相关” 个人和要求 “具体保护”,见文章 9.除了在现有的指令下已经提到的那些,如关于种族或族裔的信息,政治意见,宗教或哲学信仰,或工会会员资格,在文章中的GDPR 4还包括遗传数据,生物识别数据和个人性取向的数据。在每种情况下处理这些敏感数据 “明确” 同意,可能不包括个人进行或使用技术设置的同意。
同样将根据儿童要求的同意申请GDPR。文章 8阐述了儿童在16岁时没有父母授权的情况下同意的违约职位。但是,该监管允许成员国偏离该规则,只要最低年龄不低于13岁。也可能需要明确的同意,其中控制员计划仅基于自动处理,包括分析(文章)对数据主体进行决定(文章 22)或者个人数据转移到不提供适当的保护程度的国家(文章) 49).
证据和行政惩罚的负担
不言而喻,控制器承担了证据的负担,即遵守上述有效同意的要求,这本身可能导致控制器的成本和行政负担增加。违反这些要求的最高罚款范围为1000万欧元至2000万欧元,或者如果较大,占全球营业额的4%。
必须遵守什么?
本文讨论的指令95/46 / EC到GDPR的变更主要影响依赖数据主体同意作为合法基础的组织。 (当然,在许多情况下,依赖于替代工艺之一,例如合法利益,更合适。)他们将不得不彻底审查他们到位的同意机制,以确保信息职责是完全遵守有效的公平处理通知,同意机制是适合所寻求的同意的性质,这一同意明显 “选择参加” 即使数据主体处于依赖状态,也可自由地给出,例如,与员工,并且同意可以轻易撤回。请注意,直到通过分组数据监管机构的详细指导,WP29,目前尚不清楚雇主/员工或类似关系中的同意将获得多远。最后,过去给出的同意可能不会符合新的要求,因此,控制器可能需要寻求新的同意,可能导致相当大的工作负荷。