gdpr下的数据可移植性:解释了数据可移植性的权利徳赢中国

数据可移植性的权利是数据主体权利一般数据保护规定 (徳赢中国GDPR).数据主体对他/她享有的一些权利个人资料以前存在过,数据可移植性是新的,而且是雄心勃勃的.

数据可移植性权利1)允许数据主体接收其以结构化方式提供给控制器的个人数据,常用和机器可读的格式和2)将这些数据传输到另一个控制器

从本质上讲,数据可移植性是指从一个组织传输个人数据的权利。控制器对另一个组织或数字个人数据上下文中的数据主体(集合和子集)以及自动化处理。这听起来可能很简单,但实际上要少得多。

数据可移植性的权利需要在GDPR给予数据主体更高程度的控制范围内体现出来,这些数据主体具有更严格的规则和原则,旨在确保将个人数据的控制权移交给数据主体,并对控制者就徳赢中国个人数据处理原理 (以及更严格的关于合法处理的法律依据.

关于数据可移植性的WP29指南有效地将数据可移植性的权利置于使用选择的环境中,控制和授权。

GDPR第20条规定的数据可移植性权利创造了新的数据可移植性权利,徳赢中国它允许数据主体接收以结构化、常用和机器可读格式提供给控制器的个人数据,并将这些数据传输给另一个数据控制器。

数据可移植性权利的范围和数字方面

数据可移植性的权利当然也需要在数字时代的背景下看到。数字化vwin中国 个人数据实际上已经成为社会所有领域的一部分,生活,业务和大量流程,从在线购买到寻求在线客户服务以及大数据在无数的数字数据处理活动中进行的处理。

此外,我们需要认识到,例如,vwin免佣百家乐 (物联网)我们确实还处在数据洪流和数字转型经济的初期,数据的类型和数量,徳赢真人娱乐以及与之相关的加工活动的数量,指数增长,具有非结构化数据占主要增长。物联网数据下文将在数据可移植性的背景下进一步提及。

所以,数据可移植性是关于自动化数据处理活动和数字数据的,这并不奇怪。事实上,原来,在gdpr的最终文本准备就绪之前,它提到了社交网络徳赢中国(WP29指南仍然如此,在我们将看到的特定上下文中)。不过,该链接已在文本中删除,数据可移植性已扩展到数字环境中的个人数据处理操作,在这种情况下,它适用于下面提到的特定情况。

因为它允许个人数据从一个数据控制器直接传输到另一个数据控制器,数据可移植性权利也是一个重要的工具,它将支持个人数据在欧盟的自由流动,并促进控制器之间的竞争。 (WP29)

这里以及关于数据可移植性的WP29指南清楚地指出了数据可移植性的数字和IT维度,它们指出新的数据可移植性权利旨在赋予数据主体权力。关于他们自己的个人资料,因为这有助于他们的行动能力,轻松地将个人数据从一个IT环境复制或传输到另一个IT环境。

从一个IT系统到另一个IT系统的数据传输可以是:

  • 从控制器的IT系统到数据主体的系统。
  • 从控制器的IT环境到可信第三方的数据系统。
  • 从一个控制器的IT系统到另一个(新)数据控制器的IT系统。

引入数据可移植性的权利也与访问权的限制有关,已经存在于数据保护指令中(GDPR的前身)徳赢中国是另一种数据主体权利。

数据可移植性的权利当然也被视为避免供应商的一种方式,或者说,控制器锁定。

数据可移植性意味着什么?

我们已经在我们关于gdpr合规性和数据主体权利的文章中讨论了数据可移植性的权利。徳赢中国然而,深入研究数据可移植性不仅是新的,而且是徳赢中国GDPR文章徳赢中国朗诵节目在这个新权利范围内使用混淆的语言,在这个范围内术语没有明确定义。(这无疑与它是新的这一事实有关).

所以,在第一批人中(不具有法律约束力)WP29指南(the欧洲数据保护委员会现在)是关于数据可移植性的指南。第二个毫无疑问的原因是,再次考虑到商业的数字化和数字化程度越来越高,商业,社会,休闲,购买,几乎所有的事情,数据可移植性的权利一直是许多组织头疼的问题,当然是在特定的行业和商业领域。

涉及数据可移植性权徳赢中国利的主要gdpr文章是gdpr第20条。它说什么?

数据主体有权接收与其相关的个人数据,并以结构化的方式向控制者组织提供这些数据,常用的和机器可读的格式。

本质上,权利描述的这一部分已经暗示了从控制器的IT系统到数据主体的系统的转移。

此外,数据主体也有权将这些数据传输给另一个控制器。因此,对于最初接收并要求提供个人数据的数据控制者,不应存在任何阻碍,是否要把它们传送到另一个控制器(可以是交换服务范围内的另一个提供者,但如果考虑到GDPR的所有规则,则可以是另一种类型的服务)徳赢中国,简单地将它们作为数据主体接收(因此是一项权利)并将它们存储在数据主体拥有的系统上,无论是存储设备,他们使用的基于云的应用程序,等。

徳赢中国GDPR第20条数据可移植性权利

在这方面,关于数据可移植性的WP29指南认为,数据可移植性权利是对访问权的补充:数据主体不仅拥有访问权,由于数据可移植性,他还拥有接收这些数据的权利,这使得管理和重用个人数据子集变得更加容易。(同样地,“数字”概念是“结构化的,常用和机器可读格式').

数据可移植性上下文中经常引用的一个例子与音乐流服务Spotify有关。显然,gdpr没有提到spo徳赢中国tify,但是wp29的数据可移植性指南给出了数据主体如何在使用音乐流服务的情况下利用易于重用和管理个人数据子集的例子。通过提到spotify,当人们想要解释这个例子时,它只会使它更加具体。

不管是不是Spotify,数据主体可以,正如WP29指南所说,有兴趣检索当前播放列表或收听曲目的历史记录,以便他们能够,例如,检查他们听歌曲的频率,在使用其他平台时,找到一些他们可能想购买或收听的相册。

当然,这不仅仅是音乐流服务。其他示例包括数据主体通过在线书店或通用电子商务平台购买的图书的数字数据,有关他们使用特定应用程序的联系人的数据(因此公司和数据管理员)为了准备邀请参加另一个平台的活动,能源使用数据(以能源公司为数据控制器)为了检查他们的碳足迹,从其服务提供商处获取有关其位置历史的数据,他们的在线搜索历史,你可以想象更多的例子。

哪些个人数据属于数据可移植性权利?

很明显,数据可移植性权利并不涵盖所有个人数据。然而,当个人数据不属于数据可移植性权利时,当然,他们仍然有权进入。

术语“提供人”包括与数据主体活动相关的个人数据或观察个人行为的结果,但不包括对该行为的后续分析产生的数据 (WP29)

这里重要的是,它们可以接收的数据子集既与它们提供给数据控制器的数据有关,也与控制器通过让系统跟踪数据主体活动合法收集的某些数据有关。

关于数据可移植性的wp 29指南详细阐述了“提供数据”的确切含义,以及哪些类型的个人数据属于数据可移植性的权限,哪些不属于。

第一,该指南提供了两类被认为是提供给数据管理员的个人数据。(因此,数据可移植性权利得以发挥):

  • 数据主体主动和故意提供的明显的个人数据类别。
  • 观察到的数据,数据主体在使用服务时间接提供数据,设备等等。这些包括与数据主体相关的原始数据,如位置,可穿戴设备跟踪的数据,通过智能仪表和其他连接设备(物联网数据又来了。),活动日志,关于网站使用和搜索的历史记录,等。

相反,所谓的推断数据和派生数据通常不属于数据可移植性的范畴。示例:风险管理范围内的健康评估结果,信用评分等。

这是《全球发展政策报告》第20条第一款第一部分的实质内容。徳赢中国“数据主体有权接收与其有关的个人数据,他或她提供给控制者的,在结构上,常用和机器可读的格式,并有权将这些数据传输给另一个控制器,而不受已提供个人数据的控制器的阻碍。”.

行使数据可移植性权利的条件

然而,如上所述,数据可移植性的权利不是绝对的,受到限制,或者,另一种方式,只有在满足特定条件时才能调用around,在GDPR第20条第一款的其余部分中。徳赢中国

所以,以下是可以行使数据可移植性权利的条件:

  • 当合法处理的法律依据为:
    • 同意 (GDPR第6条所述的几种可能的法律依据之一)。徳赢中国
    • 明确同意 (在gdpr第9条中特殊类别的个人数据或“敏感数据”中的同意)。徳赢中国
    • 合同必要性 (如GDPR第6条所述)。徳赢中国
  • 只有在以下情况下才能行使数据可移植性权利:在征得同意之前,作为合法处理的依据的明确同意或合同必要性,实际的个人数据处理也采用自动化手段进行。,这让我们回到了IT系统和数字方面的数据可移植性。
数据控制器向数据控制器传输的技术可行性,在数据主体的控制下,应该根据具体情况进行评估 (WP29)

在交换特定服务提供者的情况下,应用程序等,将数据从一个控制器移植到另一个控制器的权利实质上意味着,控制器有特定的职责,必须尝试直接传输到另一个控制器。

然而,情况并不总是这样

  1. 第一,正如我们以前看到的,数据主体可以以结构化的方式接收数据,常用的机器可读格式,他或她可以存储或使用它们(鉴于GDPR原则上将个人数据的控制权移交给数据主体,这一点非常明显)徳赢中国但如果需要,也可以将这些数据传输到另一个数据控制器。
  2. 此外,这是GDPR第20条第2款的主题:数据主体有权将属于数据可移植性的个人数据直接从一个徳赢中国控制器传输到另一个控制器,什么时候这在技术上是可行的。

数据可移植性,擦除权和公共利益

就像所有数据主体权利一样,数据可移植性权利的行使不影响其他数据主体权利。第二十条第三项规定,其中提到擦除权,A.K.A.被遗忘的权利.

在与擦除权的关系中行使数据可移植性权利,其中包括:

  • 行使数据可移植性权利不会自动导致相关数据被删除,并且只要数据主体的数据被处理,他/她的数据主体仍然可以使用数据控制器的服务。这是相对明显的,因为数据可移植性的权利在定义上并不意味着服务从一个控制器切换到另一个控制器,正如我们所看到的,但即使它适合使用其他控制器的服务等范围。数据主体没有理由不能使用多个控制器,当然,除非这是不可能的。
  • 当数据主体行使数据可移植性和被遗忘的权利时,第一个不能作为数据控制器延迟或拒绝数据擦除的借口。

第3款进一步规定,“该权利不适用于为公共利益或行使赋予控制者的官方权力而执行任务所需的处理”。

简单地说:很明显,当数据控制器有法律义务履行时,为了公共利益而需要处理个人数据的官方机构或任务,那么,数据可移植性的权利就不能适用于特定的数据。

数据可移植性和第三方个人数据的权利——他人的权利和自由

最后但并非最不重要,第20条规定,数据可移植性权利不得对他人的权利和自由产生不利影响,这会影响数据主体在行使其数据可移植性权利时可以接收的个人数据类型的级别。

术语“结构化”,“常用”和“机器可读”是一组最低要求,应促进数据控制器提供的数据格式的互操作性。那样,“结构化的,“常用和机器可读”是指工具的规格,而互操作性是期望的结果

个人数据集可以包含其他人的数据,所以当这些数据传输到另一个数据控制器时,根据定义,“新”或“其他”数据控制器从希望行使其数据可移植性权利的人以外的其他人处获取个人数据。

回想一下前面提到的一些例子:如果服务用于管理联系人数据或利用联系人数据实现特定目的,如果在服务下管理其联系数据的数据主体会阻止他们行使自己的数据主体权利,则数据可移植性权利将不适用。

此外,考虑到目的和基本数据处理原则的目的限制和法律基础上的基本规则,进行合法处理,很明显,数据控制者不能利用数据主体的联系人的数据,以任何其他方式行使其数据可移植性权利,而不是为了特定的损益目的。阿特形式服务和处理操作。

当然这并不意味着,当其他数据主体的数据是需要从一个控制器传输到另一个控制器的一组数据的一部分时,这是不可能的,因为在某些情况下,它会使交换提供者成为不可能的。在大多数情况下,对这些第三方进行合法处理的另一法律依据,比如合法权益,将寻求。

关于数据可移植性的WP29指南指出:

  • 为防止对相关第三方造成不利影响,只有在数据由请求用户单独控制且仅为纯粹的个人或家庭需要而管理的情况下,才允许另一个控制者处理此类个人数据,
  • 接收新控制器不能将这些第三方数据用于其自身目的,
  • 作为一种领先的实践,实施了一些工具,使数据主体能够选择他们想要接收的相关数据,传输和排除,如果包含第三方数据,将进一步降低第三方的风险,
  • 数据管理员应为涉及的其他数据主体实施同意机制,在这些当事人愿意的情况下,简化数据传输同意(提及社交网络).

更多关于数据可移植性的信息

在某些情况下,实现数据可移植性的权利并不是最容易实现的GDPR权利。徳赢中国

当然,在搜索官方的gdpr文章和gdpr引言时,也可以找到更多关于数据可移植性权利的信息。徳赢中国尤其是gdpr-recita徳赢中国l 68在这里是相关的,因为它不仅涵盖数据可移植性的权利,而且还涉及互操作性的问题。(鼓励数据控制开发可互操作的格式以实现数据可移植性)还有更多。

这是我们尚未涉及的一个关键主题:在特定情况下的实际部署以及对IT系统级别的影响,以及对基本术语的附加说明,从“结构化”开始,常用和机器可读的方面。

敬请期待,然而,也可以查看WP29数据可移植性指南。(PDF下载).

注意:这些仍然是指导方针,在某些方面,包括包含第三方数据的数据集,有分歧。

上图:Shutterstock-版权所有:纳塔利玛管理信息系统.虽然我们的gdpr内容已经徳赢中国过仔细验证,我们不负责潜在的错误和建议您在准备GDPR时寻求帮助。徳赢中国