根据 GDPR 存储个人数据
Posted: Mon Feb 10, 2025 5:04 am
了解数据保护——按照 GDPR 存储个人数据
简短摘要
在存储个人数据(例如在 IT 系统中)时,必须考虑欧洲通用数据保护条例 (GDPR) 等数据保护法的某些要求。在这篇博文中,您将了解个人数据一词的具体含义,以及在存储个人数据和个人信息时必须考虑 GDPR 中的哪些原则。
个人数据是与已识别或可识别的自然人有关的任何信息。
个人数据的存储构成处理,因此属于《通用数据保护条例》(GDPR)的规定。
个人数据的合法存储必须有适当的法律依据。
在存储个人数据时,必须遵守并遵循个人数据处理的原则以及技术和组织措施。
内容:
什么是个人数据?
个人信息的存储
何时可以处理个人数据?
个人数据可以保存多长时间?
处理个人数据适用哪些原则?
违反 GDPR 的处罚
什么是个人数据?
首先,明确个人数据的定义十分重要。 GDPR 第 4 条第 1 款对该术语进行了法律定义:根据该定义,个人数据是与已识别或可识别的自然人(以下简称“数据主体”)相关的所有信息。
如果自然人能够被直接或间接地识别,特别是通过姓名、身份证号、位置数据、在线标识符或特定于自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素来识别,则该自然人被视为可识别。
因此,这些信息必须始终能够分配给自然人。因此,只要有关公司或法人实体(例如 GmbH)的信息不包含有关自然人的信息,就不属于个人信息。相反,法人实体联系人的信息,例如名字、姓氏、电话号码和电子邮件地址,属于个人数据。
示例 – 个人数据类别
为了更好地概述 GDPR 含义内的个人数据示例,可将其分为以下一般术语或类别,但并不详尽:
一般个人数据,如姓名、出生日期、出生地点、地址、电子邮件地址
身体信息,如性别、地位、衣服尺寸、头发和眼睛颜色
社会保险号、健康保险号和税务识别号等身份识别号码
银行详细信息,例如账号、账户余额以及其他有关银行详细信息的信息,例如 IBAN
在线信息,例如 IP 地址或浏览器或设备的指纹信息
证书或成绩等评估
客户数据,例如订单详情或付款数据
资产信息,例如收入、财产、净资产
示例——特殊类别的个人数据
特殊个人数据包括宗教或政治观点等
健康数据和相关患者数据
遗传或生物特征数据
个人信息的存储
个人数据的存储(例如在CRM 系统或云端或 SaaS 系统中)受到 GDPR 和新 BDSG 的若干法律要求的影响:首先,需要为个人数据的存储提供适当的法律基础。这已经符合 GDPR 第 6 条的规定。对于特殊类别的个人数据,需要根据 GDPR 第 9 条制定特定的法律依据。另一方面,在存储个人数据时,必须考虑根据 GDPR 第 5 条处理个人数据的原则。存储个人数据时还必须遵守 GDPR 第 25 条、第 32 条及后续条款规定的技术和组织措施。
何时可以处理个人数据?
许多公司都在问自己,什么时候个人 菲律宾号码数据 数据会被收集和处理。如果有适当的法律依据,则允许处理个人数据。例如,该法律依据可以来自数据保护法,如欧盟通用数据保护条例(GDPR)和/或联邦数据保护法(BDSG-new)。
一方面,个人数据的存储是GDPR第6条、第4条第2款含义内的个人数据的处理,因此需要个人数据存储的法律基础。根据 GDPR 第 6 (1) (a) 条,如果已根据 GDPR 第 7 和 8 条获得数据主体的同意,则允许存储个人数据。另一个法律依据来自《GDPR》第 6 (1) (b) 条:如果为了履行数据主体作为一方当事人的合同或为了实施根据数据主体要求采取的合同前措施而有必要存储,则存储个人数据是合法的。
此外,如果处理对于履行控制者所承担的法律义务是必要的,则存储个人数据也是合法的,请参阅《GDPR》第 6(1)(c)条。如果为了保护数据主体或其他自然人的重大利益有必要存储个人数据,则另一个法律依据是 GDPR 第 6 (1) (d) 条。如果为了执行公共利益任务或行使控制者所拥有的官方权力而必须存储,则存储个人数据的法律依据源自《GDPR》第 6 条第 (1) 款 (e) 项。
如果为了维护控制者或第三方的合法利益有必要存储个人数据,则除非数据主体的利益或基本权利和自由需要保护个人数据,特别是如果数据主体是儿童,则存储是合法的,参见 GDPR 第 6 (1) (f) 条。
简短摘要
在存储个人数据(例如在 IT 系统中)时,必须考虑欧洲通用数据保护条例 (GDPR) 等数据保护法的某些要求。在这篇博文中,您将了解个人数据一词的具体含义,以及在存储个人数据和个人信息时必须考虑 GDPR 中的哪些原则。
个人数据是与已识别或可识别的自然人有关的任何信息。
个人数据的存储构成处理,因此属于《通用数据保护条例》(GDPR)的规定。
个人数据的合法存储必须有适当的法律依据。
在存储个人数据时,必须遵守并遵循个人数据处理的原则以及技术和组织措施。
内容:
什么是个人数据?
个人信息的存储
何时可以处理个人数据?
个人数据可以保存多长时间?
处理个人数据适用哪些原则?
违反 GDPR 的处罚
什么是个人数据?
首先,明确个人数据的定义十分重要。 GDPR 第 4 条第 1 款对该术语进行了法律定义:根据该定义,个人数据是与已识别或可识别的自然人(以下简称“数据主体”)相关的所有信息。
如果自然人能够被直接或间接地识别,特别是通过姓名、身份证号、位置数据、在线标识符或特定于自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素来识别,则该自然人被视为可识别。
因此,这些信息必须始终能够分配给自然人。因此,只要有关公司或法人实体(例如 GmbH)的信息不包含有关自然人的信息,就不属于个人信息。相反,法人实体联系人的信息,例如名字、姓氏、电话号码和电子邮件地址,属于个人数据。
示例 – 个人数据类别
为了更好地概述 GDPR 含义内的个人数据示例,可将其分为以下一般术语或类别,但并不详尽:
一般个人数据,如姓名、出生日期、出生地点、地址、电子邮件地址
身体信息,如性别、地位、衣服尺寸、头发和眼睛颜色
社会保险号、健康保险号和税务识别号等身份识别号码
银行详细信息,例如账号、账户余额以及其他有关银行详细信息的信息,例如 IBAN
在线信息,例如 IP 地址或浏览器或设备的指纹信息
证书或成绩等评估
客户数据,例如订单详情或付款数据
资产信息,例如收入、财产、净资产
示例——特殊类别的个人数据
特殊个人数据包括宗教或政治观点等
健康数据和相关患者数据
遗传或生物特征数据
个人信息的存储
个人数据的存储(例如在CRM 系统或云端或 SaaS 系统中)受到 GDPR 和新 BDSG 的若干法律要求的影响:首先,需要为个人数据的存储提供适当的法律基础。这已经符合 GDPR 第 6 条的规定。对于特殊类别的个人数据,需要根据 GDPR 第 9 条制定特定的法律依据。另一方面,在存储个人数据时,必须考虑根据 GDPR 第 5 条处理个人数据的原则。存储个人数据时还必须遵守 GDPR 第 25 条、第 32 条及后续条款规定的技术和组织措施。
何时可以处理个人数据?
许多公司都在问自己,什么时候个人 菲律宾号码数据 数据会被收集和处理。如果有适当的法律依据,则允许处理个人数据。例如,该法律依据可以来自数据保护法,如欧盟通用数据保护条例(GDPR)和/或联邦数据保护法(BDSG-new)。
一方面,个人数据的存储是GDPR第6条、第4条第2款含义内的个人数据的处理,因此需要个人数据存储的法律基础。根据 GDPR 第 6 (1) (a) 条,如果已根据 GDPR 第 7 和 8 条获得数据主体的同意,则允许存储个人数据。另一个法律依据来自《GDPR》第 6 (1) (b) 条:如果为了履行数据主体作为一方当事人的合同或为了实施根据数据主体要求采取的合同前措施而有必要存储,则存储个人数据是合法的。
此外,如果处理对于履行控制者所承担的法律义务是必要的,则存储个人数据也是合法的,请参阅《GDPR》第 6(1)(c)条。如果为了保护数据主体或其他自然人的重大利益有必要存储个人数据,则另一个法律依据是 GDPR 第 6 (1) (d) 条。如果为了执行公共利益任务或行使控制者所拥有的官方权力而必须存储,则存储个人数据的法律依据源自《GDPR》第 6 条第 (1) 款 (e) 项。
如果为了维护控制者或第三方的合法利益有必要存储个人数据,则除非数据主体的利益或基本权利和自由需要保护个人数据,特别是如果数据主体是儿童,则存储是合法的,参见 GDPR 第 6 (1) (f) 条。