将个人数据传输给第三方是 GDPR 的核心内容,并受到严格的规则约束。了解何时以及在什么条件下可以与第三方共享个人数据非常重要。我们解释了 GDPR 有关将个人数据传输给第三方的法律依据和要求。
GDPR规定,只有在某些条件下才允许将个人数据传输给第三方。其中包括数据主体的同意、合同的履行或法律义务。在某些情况下,公司共享个人数据的合法利益(GDPR 第 6(1)(f)条)可能会超过受影响者的利益。
如果雇主想要将个人数据传递给第三方,他或她通常需要征得员工的同意。仅在法律允许的情况下才允许未经同意的披露,例如揭露刑事犯罪。新《联邦数据保护法》第 26 条规定了 为雇佣关系目的的数据处理。
为了确保向第三方传输或传送数据的正确合法性,公司应该咨询数据保护官。未经授权向第三方披露个人数据可能导致公司被处以最高达全球营业额 4% 的罚款。
何时可以处理个人数据?
一般而言,仅当满足 GDPR 第 6 (1) 条中的至少一个条件时,才允许处理个人数据。
其中一个条件是数据主体的同意,对他们来说也适用某些条件,这些条件在 GDPR 第 7 条中有所规定。
可能会处理个人数据以履行合同义务,即公司与客户之间的合同。
为了履行法律义务(根据欧盟或国家法律),也允许处理个人数据。
如果为了执行公共利益任务(根据欧盟或国家法律)有必要进行处理,则也允许进行处理。
如果处理能够保护某人的切身利益,则是允许的。例如,在发生事故时,救援人员可能被允许处理个人数据。
如果组织有合法利益,也允许处理个人数据。但是,前提是基本权利和自由不受损害。为此,数据保护官必须始终检查利益平衡。
个人数据的存储构成处理,这就是为什么存储个人数据必须有法律依据。此外,存储个人数据时必须遵守数据处理原则以及技术和组织措施。
什么时候必须删除个人数据?
如果指定了截止日期,则必须在此期限内删除存储的个 查看新加坡数字数据 人数据。根据 GDPR 第 17 条,受影响者也有权进行删除。还必须区分数据的匿名化和假名化。通过假名化,可以用假名代替姓名,这样就很难将数据分配给个人,或者无法识别个人。假名通常是由数字和字母组合组成的代码。
在匿名化过程中,个人数据会发生改变,使得数据不再能够分配给个人,或者只能通过不成比例的努力才能分配给个人。如果由于数据主体的权利主张或由于期限而没有删除数据,则可能会处以高额罚款。
个人数据只能在有目的的时间内存储,因此删除概念对公司来说非常重要。它指定何时以及如何删除已处理的数据。那里也遵守法律规定的保留义务。
在终止的情况下,必须删除不再用于预期用途的员工数据,但适用许多保留义务。出于税收原因,某些文件必须保存 6 年,例如工作时间文件。