之前的文章《欧盟<通用数据保护条例>介绍(一)》简要介绍了欧盟GDPR的适用范围、个人数据保护的主要原则、应告知个人的信息范围、敏感数据归类及其数据处理条件、执法机构以及处罚。本篇将进一步介绍欧盟GDPR,主要包括数据控制人/数据处理人的定义及其义务、包括儿童在内的个人所享有的权利及其救济方式。
1. 数据控制人和数据处理人的定义
数据控制人指的是自然人或法人、公共权力机关或其他主体,其单独或与其他主体一起确定个人数据处理的目的和方式。如果系由欧盟或其成员国的法律确定个人数据处理的目的和方式,则数据控制人或相关标准可由欧盟或成员国法律规定。
如果某一公司或组织与一个或多个公司或组织共同决定个人数据处理的目的和方式,那这些公司或组织是共同控制人。
数据处理人是仅仅代数据控制人进行个人数据处理的主体,通常是数据控制人以外的第三方主体。作为集团内的某一公司或组织,其可构成另一公司或组织的数据处理人。
建议公司或组织识别判断自己的身份,即其是否构成数据控制人或数据处理人,或者其是否同时具备数据控制人和数据处理人身份。
2. 数据控制人的主要义务
考虑到数据处理的性质、范围、情境、目的等,数据控制人应当采取恰当的技术和组织手段(包括执行恰当的数据保护规章制度——由代表特定行业数据控制人或数据处理人的协会或其他组织制定、修改)以确保符合欧盟GDPR的要求,并可证明其数据处理符合欧盟GDPR的要求。作为判定其是否履行了数据控制人的义务,数据控制人是否遵守了欧盟GDPR第40条所提及的经批准的行为准则或者是欧盟GDPR第42条所提及的经批准的认证,可作为一个评判因素。
3. 数据处理人的主要义务
数据处理人必须经数据控制人的指示方能处理相关个人数据,欧盟或成员国法律另行规定的除外。数据处理人应保证其采取恰当的技术和组织手段,确保数据处理符合GDPR的要求,确保数据主体的权利得到保护。
未经数据控制人的事先特别书面授权或事先一般书面授权,数据处理人不得聘用其他数据处理人进行数据处理。如有事先一般书面授权,数据处理人应向数据控制人通知其意欲作出的增加或替换其他数据处理人等更改,确保数据控制人有拒绝该等更改的权利。
数据处理人处理数据方面的义务还应依照欧盟或其成员国法律项下的合同或其他规定确定,合同或其他规定列明数据处理的标的、处理时限、数据处理的性质及目的、个人数据的类型、数据主体的类别以及数据控制人的义务和权力。其中有一项义务为,数据处理人应保存数据处理的记录。
4. 个人的权利
个人享有以下权利:
(1) 有权被告知其个人数据被予以处理;
(2) 有权获取被收集的个人数据;
(3) 有权请求修改不正确、不准确或不完整的个人数据;
(4) 当个人数据不再需要或遇非法处理个人数据时,有权请求删除个人数据;
(5) 有权反对基于市场营销目的或根据其具体情况反对处理其个人数据;
(6) 在特定情形下,有权请求限制处理其个人数据;
(7) 有权通过机器可读格式接收个人数据,并将其发送给其他数据控制人(数据携带权——data portability);
(8) 有权请求基于涉及个人或显著影响个人的自动化处理,以及以其个人数据为基础作出的决策经由自然人而非由计算机作出。个人还有权表达其观点,反对该决策。
个人应联系处理其个人数据的公司或组织(即数据控制人)以行使其权利。如果数据控制人设置了数据保护官(Data Protection Officer),则可向数据保护官提出要求。公司或组织应毫无不合理延迟地(最迟不得超过1个月)作出回应。
5. 儿童的个人数据保护
只有在取得规定年龄段儿童的父母或监护人明确同意后,公司或组织方能处理该儿童的个人数据。该规定适用的年龄段为13岁至16岁(不得小于16岁)之间,具体的年龄要求取决于欧盟各成员国确立的标准。
公司或组织必须利用技术手段采取年龄验证措施,以核实所给出的同意确实是符合法律要求的。如果某一组织的经营目标为儿童,则必须确保儿童可较容易获取告知其的信息,沟通的语言应清楚、简单,便于儿童理解。不过,旨在保护儿童最大利益、直接向儿童提供的预防类或者建议类服务无需取得儿童父母的授权。
儿童的个人数据处理须取得其父母或监护人的明确同意,这并不影响各成员国的一般合同法规定,比如,与儿童相关的合同的成立、生效、有效性等不受其影响。
6. 个人权利救济途径
如果个人认为其数据保护权利受到侵害,其享有以下三种救济途径:
(1) 向国家层面的数据保护机关投诉——该机关开展调查并在3个月内告知个人其投诉案件的进度或结果;
(2) 对公司或组织采取法律行动——如果个人认为公司或组织侵害了其权利,个人可直接向法院起诉该公司或组织(与此同时,还可向国家层面的数据保护机关提起投诉);
(3) 向数据保护机关采取法律行动——如果个人认为数据保护机关未能正确处理其投诉或者对数据保护机关的答复不满意,或者数据保护机关未能在提起投诉3个月内告知进度或结果,个人可直接向数据保护机关提起诉讼。