不侵权字体_最新发明专利产品大全

2020-11-17 采集侠 网络整理
浏览

欧盟新数据保护制度的影响及其对非欧盟实体的扩大适用

欧盟新数据保护制度影响及其对非欧盟实体的扩大适用出版物资本市场博格曼。克里斯托弗·博伊宁杰查尔斯·约翰逊·洛林L.赖斯内里查德C.塔洛丹尼尔·J·托尔分享这个另请参见资本市场博格曼。克里斯托弗·博伊宁杰查尔斯·约翰逊·洛林L.赖斯内里查德C.塔洛丹尼尔·J·托尔分享这个2018年4月26日下载PDF欧盟于2016年4月批准并通过的《欧盟通用数据保护条例》("GDPR")[1]于2018年5月25日在欧盟所有成员国生效[2]。GDPR取代了1995年欧盟数据保护指令[3],旨在通过对参与处理此类数据的实体施加扩展义务,为欧盟内已识别或可识别自然人的个人数据提供更大的保护。《全球数据保护条例》值得注意的是,它大大扩展了欧盟数据隐私法的地域适用性(该法现在也将适用于在欧盟设立"控制者"或"处理者"或在欧盟从事自然人个人数据处理的非欧盟实体,无论是否《全球数据保护条例》还加强了同意个人数据处理的条件,为个人数据处理者规定了直接的义务和责任,并大大增加了对不遵守规定的处罚。我们在下文概述修订后的欧盟数据保护制度下的主要规定和义务,强调其对非欧盟实体的潜在影响,著作权就是版权吗,特别是那些在欧盟没有存在,但与欧洲联盟中的自然人有互动关系的实体。GDPR范围和适用性GDPR适用于处理已识别或可识别自然人(在GDPR中称为"数据主体")个人数据的控制者或处理者(定义见下文)。更具体地说,GDPR扩大了欧盟个人数据保护法的范围,涵盖了以下类别的控制器和处理器:那些在欧盟维持机构并"在[此类]机构的活动范围内处理个人数据的机构,著作权版权,无论处理是否实际发生在[欧洲]联盟";未在欧盟建立并处理"在[欧盟]的数据主体"个人数据的机构,前提是其"处理活动与向[欧盟]境内的此类主体提供商品或服务(……)"有关,国立公证处,即使是免费的;以及未在欧盟建立并处理"在[欧盟]的数据主体"个人数据的机构,前提是处理活动与监测此类数据主体的行为有关,"只要他们的行为发生在[欧盟]欧盟"GDPR不适用于自然人在与专业或商业活动无关的纯个人或家庭活动过程中处理个人数据(如通信和持有地址或社交网络),也不适用于主管当局出于预防目的对个人数据的处理,对刑事犯罪的调查、侦查或起诉。"成立"《全球发展政策》没有明确界定"设立"一词,什么是知识产权?,但解释说,它将意味着"通过稳定的安排切实有效地开展活动",尽管这种安排的法律形式(例如,它是分公司还是子公司)并不是一个决定因素。在欧洲联盟注册的企业属于定义范围,但最终确定一个实体是否在欧洲联盟设有机构必须以个别事实为基础,考察该实体与欧洲联盟的关系。迄今为止,欧盟法院(以下简称"CJEU")在之前欧盟数据保护制度的背景下,对"建立"一词进行了非常广泛的解释。例如,在谷歌西班牙(2014)案中,欧盟法院认为,欧盟数据隐私法适用于由在欧盟设立机构的外国数据控制机构(美国母公司谷歌公司)在欧盟境外进行的处理(通过子公司,欧盟法院认为,只要是在"其活动的背景下"进行,争议处理就不必由该机构自己(在本案中是谷歌西班牙)进行。最终,专利专利,法院认为"搜索引擎运营商及其机构的活动位于在有关成员国,由于与广告空间有关的活动构成使有关搜索引擎具有经济利润的手段,而该引擎同时也是使这些活动得以开展的手段。""正在处理"处理被定义为"对个人数据或对个人数据集执行的任何操作或操作集"。这是一个广泛的定义,包括一系列数据使用,如收集、记录、组织、结构化、存储、改编,通过传输和使用或删除与数据主体有关的任何信息而进行的披露。"提供商品或服务"为了确定控制者或处理者是否"向[欧盟]内的数据主体提供商品或服务",应确定控制者或处理者是否有意或打算向一个或多个欧盟成员国的数据主体提供服务。如《全球数据保护条例》序言所述,"控制者、处理者或中介机构在[欧盟]的网站、电子邮件地址或其他联系方式的可访问性,或使用控制者设立地第三国普遍使用的语言,"很可能不足以表明这种意图。但是,如果个人数据的控制者或处理者使用欧盟成员国的语言或货币,并方便以该其他语言或货币订购货物或服务,并允许将货物运送至当地地址或提及在欧盟的客户,它可能"表明控制者设想向[欧盟]的数据主体提供商品或服务。""行为监控"为了确定一项处理活动是否涉及对数据主体行为的监测,应确定数据主体"是否在互联网上被跟踪,包括随后可能使用的个人数据处理技术,包括对自然人的分析,尤其是为了对她或他作出决定,或分析或预测她或他的个人喜好、行为和态度。"实际上,控制者和处理者使用cookies和应用程序或IP地址来跟踪其在欧盟的网站用户的活动,可能被归类为对欧盟数据主体行为的监控,如果不是在欧盟设立的控制者或处理者只是维持一个网站,而欧盟数据主体可能会访问该网站,则该控制者或处理者很可能不会被视为参与监测欧盟数据主体的行为,控制者或处理者未采取进一步措施处理通过网站获得的关于此类数据主体的信息。"个人资料"个人数据被定义为与数据主体相关的数据,这些数据主体可以从数据中识别或识别。GDPR对个人数据的定义包括更广泛的数据类型,因为它不仅包括传统的个人数据,例如姓名、地址、出生日期或电话号码,而且还包括使用在线标识符,例如登录信息、IP地址和Cookie。此外,如《全球数据保护条例》序言部分所述,任何经过假名化但可以通过使用附加信息归属于自然人的数据应被视为个人数据。另一方面,全球数据保护条例不适用于任何匿名信息的处理(即。,与已识别或可识别的自然人无关的信息,包括用于统计或研究的信息。GDPR的基本原则《全球数据保护条例》第5条列出了与数据主体个人数据处理相关的关键原则:合法性、公平性和透明度原则——必须以与数据主体相关的方式合法、公平和透明地处理个人数据;目的限制原则——个人资料的收集应符合特定、明确和合法的目的,且仅以与该目的相符的方式进行处理;最小化原则——收集和处理的个人数据应仅限于与数据处理目的相关的必要内容;准确性原则-处理的个人数据必须准确,其中