如今,SCA安全通信聯盟整理了GDPR個人數據處理的六大原則——合法性、公平透明、目的限制、數據最小化、準確性、存儲限制、完整性和保密性。互聯網讓我們的世界變得越來越互聯互通。為了在以後的經營活動中不觸犯法律的底線,做正當的經營活動,我們先來看看這六條原則具體包含了什麽。
1.個人數據必須合法、誠信並以合理的方式提供給數據主體(“合法、公平和透明”);
以合法、公平和透明的方式處理數據主體(“合法、公平和透明”);
即在個人數據處理過程中,無論是收集、傳輸還是使用,都要求遵守法律和透明的要求。關於數據處理的公平性,有壹個典型的例子,就是旅行社收集用戶登錄網站的機票、酒店等信息,分析用戶的喜好,然後通過程序自動為用戶需求設定機票、酒店漲價,這是不公平的。
2.為特定、明確和合法的目的而收集,不得以不符合這些目的的方式進壹步加工;根據第89條(1),以公共檔案、科學或歷史研究或統計為目的的進壹步加工,不得視為與原目的不符(“目的限制”)。
為特定、明確和合法的目的收集,並且不以與這些目的不相容的方式進壹步處理;根據第89條(1),出於公共利益、科學或歷史研究目的或統計目的的存檔目的的進壹步處理不應被視為與最初目的不相容(“目的限制”);
即意味著對個人數據的處理必須符合正當目的的要求,其後續的數據處理不得違反原目的的要求。
比如壹個用於健康監測的APP,需要收集用戶的各種身體指標。如果數據隨後被分發給藥品或醫療設備的銷售者進行推廣,則超出了最初的處理目的,違反了GDPR。
3.合理並限於與處理它們的目的相關的必要條件(“數據最小化”);
充分、相關並僅限於處理目的所需的內容(“數據最小化”)。
也就是說,要處理的個人數據量被限制在滿足業務需要的最小量,並且不得收集不必要的個人數據。
4.準確並在必要時保持更新,必須采取所有適當的措施確保及時刪除或更正出於處理目的而不準確的個人數據(“準確性”);
準確,並在必要時不斷更新;必須采取壹切合理措施,確保不準確的個人數據(考慮到處理這些數據的目的)立即被刪除或更正(“準確性”)。
即明確使用個人數據應當保持數據真實準確,個人數據更新時必須同步更新或者及時刪除。
5.存儲形式只允許在處理目的所需的時間內識別數據主體;個人數據可以長期保存,前提是個人數據受到本法要求的適當技術和組織措施的保護,以保護數據主體的權利和自由,並且僅用於公共利益或科學和歷史研究目的或根據第89條(1)(存儲限制)用於統計處理。
以允許識別數據主體的形式保存,保存時間不超過處理個人數據所需的時間;根據第89條(1)的規定,在實施本法規要求的適當技術和組織措施以保護數據主體的權利和自由(“存儲限制”)的前提下,個人數據可以存儲更長時間,前提是個人數據只能出於公共利益、科學或歷史研究目的或統計目的進行處理;
也就是說,歐盟GDPR明確了個人數據可以超期限保存的情形,包括為了實現公眾的利益而進行科學或歷史研究,但為了保護數據主體的權利和自由,要求采取本條例規定的合理的技術和組織措施。
6.以確保適當安全性的方式處理個人數據,包括使用適當的技術或組織措施(“完整性和保密性”)來防止未經授權或非法處理以及意外丟失、破壞或損壞。GDPR第4章對數據安全有特殊規定。
使用適當的技術或組織措施(“完整性和保密性”),以確保個人數據適當安全的方式進行處理,包括防止未經授權或非法的處理以及防止意外丟失、破壞或損壞。
即明確在個人數據處理過程中,必須對獲取數據的人進行嚴格授權,避免數據被非法處理或不當泄露。