GDPR – 信息隐私标准 – 第 P.3 章 – 客户义务
我们的关于 GDPR 的博客系列——信息隐私标准准则目录即将进入下一轮。在上一篇文章中,我们讨论了第 P.2 章 - 原则。今天我们来看下一章:P.3 – 客户义务。第 P.3 章 – 客户义务
本章涉及控制者对数据主体必须履行的信息义务。这些义务源于 GDPR 第 12 条第 (1)、(5) 和 (7) 款以及 GDPR 第 13 条和第 14 条的规定。
由于这些信息义务 – 如图所示 – 由法律标准化,因此它们可以与例如B. 第 P.2 章 – 原则 – 不能被部分排除。必须由负责机构或者受委托的处理者实施。
提供有关流程和应用程序设计信息的义务
控制者和处理者必须以这样的方式设计流程和应用程序,即以简单语言以准确、透明、易理解和易于访问的形式告知数据主体有关其个人数据处理的信息。标准化图标也可用于此目的。
必须区分直接从数据主体收集数据和间接收集数据。
直接收集个人数据
如果数据直接从数据主体收集,则控制者必须提供以下信息:
控制者的姓名和联系方式,以及(如果有)数据保护官的联系方式
数据处理的目的和基本法律依据
根据第 14 条基于合法利益进行处理的情况。 GDPR 第 6(1)(f)条:合法利益的表明
收件人或收件人类别的信息
关于可能的第三国转移的信息,包括充分性决定或其他适当的保障措施
数据存储期限
数据主体权利的存在(删除、信息、反对)
在基于同意进行处理的情况下提及撤回权
存在向监管机构投诉的权利,最好说明主管监管机构
关于提供数据是自愿还是强制的以及不提供的后果的信息
存在自动决策,包括分析
如果需要进一步处理:指明新的目的以及上述所有信息
遵守提供信息义务的证据尤其涉及:数据保护声明、印记、同意书、信息表和处理活动清单。此外,美国商业传真列表 还应保存与数据主体权利相关的法律依据、合法利益平衡和员工培训证据的内部文件。
间接收集个人数据
如果数据不是直接从数据主体收集的,则控制者必须在收到数据后的一个月内提供第 1.2 点所列的信息。如果数据要用于特定目的或传递给第三方,则存在例外——在这种情况下最迟在第一次沟通或披露时。根据第 14 条的规定, GDPR 第 14(5)条不受影响。
典型的证据包括信息信函(包括发货证明)或可公开访问的数据保护声明和印记。特别是,数据来源的文件,以及如果适用的话,根据艺术规定的合理例外情况。 GDPR 第 14(5)条可以作为证明。
提供信息和识别数据主体
负责机构必须以适当的方式和适当的格式提供信息。必须考虑所使用的设备、用户界面和可访问性。
为此,必须进行明确的识别,除非存在以下例外情况之一:
数据主体已经拥有该信息。
该提供的成本过高或不可能(例如,根据 GDPR 第 89 (1) 条,出于存档、研究或统计目的)。
该规定将使处理的目的变得不可能实现或严重损害处理的目的。在这种情况下:
已采取适当的保护措施,并且
将会公布相应信息。
收集和/或披露由联盟或成员国法律规定,并对数据主体采取适当的保护措施。
个人数据受法定保密义务或职业保密的约束。
可以通过内部身份验证流程和信息表来证明符合要求。处理上述例外情况的内部指南也适合作为支持文件。
条款形式
无需事先识别数据主体,信息即可向公众公开,例如例如。通过网站或应用程序。
需要注意的是,信息必须以书面或电子形式提供。仅当数据主体明确要求并且事先已明确识别其身份时才允许提供口头信息。
可以通过可公开访问的隐私政策和印记提供证据。应记录口头信息的内部指南。
頁:
[1]