数据保护 Datenschutz

欧盟数据保护条例

DSGVO

从2018年5月起，新颁布的《欧盟数据保护条例》Die Europäische Datenschutz-Grundverordnung正式开始生效，在此简短的介绍一下。

根据该条例第2条第1款，该条例适用于自动化的和非自动化的数据处理。根据该条例第2条第2款，以下四种情况下，该条例不适用：

a) 不在欧盟法范围内的行为

b) 欧盟成员国在外交和安全方面的措施

c) 个人和家庭的行为。也就是说，该条例只针对于企业和政府部门，不针对于个人。有义务保护数据的人称为数据保护的负责人。

d) 有关当局在打击犯罪行为时采取的措施。

根据该条例第5条，对数据的处理应当遵循如下几个原则：

a) 诚信、公开透明的原则 („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)

b) 用于特定的合法用途(„Zweckbindung“)

c) 根据数据的用途，把数据的处理限制在尽可能小的范围之内(„Datenminimierung“)

d) 采取一切措施保证数据的正确性(„Richtigkeit“)

e) 数据的储存尽可能的限制在数据用途的有限范围内 („Speicherbegrenzung“)

f) 保证数据的安全性、完整性和保密性(„Integrität und Vertraulichkeit“)

g) 数据保护的负责人需要证明遵循了以上原则(„Rechenschaftspflicht“)

根据该条例第6条，只有至少满足以下一个条件，数据的处理才是合法的。

a) 对于个人数据处理的一个或者多个用途，数据所有人给与了许可

b) 数据处理是基于履行合同，或者在签订合同前数据所有人进行了询问

c) 数据保护的负责人需要履行某一个法定的义务

d) 数据处理是基于保护数据所有人的重大利益

e) 数据处理是为了行使公共职权

f) 数据处理是由于数据保护的负责人为了维护自身利益，同时不能损害其他人的利益

《欧盟数据保护条例》第3章对数据所有人的权利进行了规定。根据该条例第15条，数据所有人享有知情权，他有权利知道数据使用用途、收集数据的类别、数据的接受者、在有关当局有申诉的权利。

根据该条例第16条，数据所有人有权利要求数据保护的负责人立即对错误的信息进行修正。

根据该条例第17条，在以下情况下，数据所有人有权利要求数据保护的负责人立即删除所储存的数据，又称之为被遗忘的权利(Recht auf Vergessenwerden)。

a) 原本数据处理的用途失去了必要性

b) 数据所有人撤销了数据处理的许可Einwilligung

c) 数据所有人提出了异议Widerspruch

d) 个人数据的处理不是合法的

e) 数据保护的负责人有义务根据法律要求删除个人数据

一旦违反数据保护条例，主要面临的惩罚来自两方面。一方面是民事上的损害赔偿责任，也就是说数据保护的负责人需要向数据所有人赔偿由于违反条例造成的经济损失。另一方面是行政处罚，罚金最高为整个企业集团世界范围内年营业额的4%或者2000万欧元。