GDPR——如何理解和履行数据主体的权利

GDPR中第三章介绍了数据主体的9项权益，企业应该如何落实以满足用户权益的行使呢？

• 知情权
• 访问权
• 反对权
• 可携带权：数据主体将自己的数据从一家服务商转移到另一家服务商；
• 更正权
• 删除权/被遗忘权/擦除权（不同的叫法）：数据主体要求对个人数据的删除
• 限制处理权
• 不受自动化决策影响的权利

可携带、遗忘权 在实现时对于企业来说存在一定的实操性困难。

1、知情权

1）含义：数据主体有权获知其个人数据的处理情况，包括：数据被收集的目的、数据的种类、处理的合法依据、数据存储时间和共享对象。

2）实践：

• 隐私政策： 在网站、APP或其他服务入口发布简洁透明的隐私政策，详细说明数据处理细节。
• 弹窗通知： 在收集数据前，通过弹窗或表单明确告知数据使用目的（例如Cookies使用声明）。
• 更新机制： 当隐私政策有变更时，通过邮件或公告及时通知用户。

2、访问权

1）含义：数据主体有权访问其个人数据的副本，并了解 数据来源、数据处理目的、数据共享对象。

2）实践：

• 访问请求处理系统：提供专门的在线或线下请求渠道（如客户服务平台），便于数据主体提交数据访问请求。
• 时间限制： 在1个月内完成数据提供（如PDF报告或在线查看）。

3、反对权

1）含义：数据主体可以反对其数据被用于某些处理活动，例如直接营销、数据分析或公共利益处理。

2）实践：

• 反对渠道： 在隐私政策或营销邮件中提供明确的退订或反对按钮。
• 立即停止： 在接到反对请求后，立即停止相关数据处理。
• 内部记录： 记录反对请求，避免后续再度触发相关操作

4、可携带权

1）含义：数据主体有权以常用、结构化的格式获取其个人数据，并可将数据传输给其他控制者。

2）实践：

• 数据导出工具： 提供CSV或JSON格式的数据导出功能，支持数据迁移（如银行客户数据转移）。
• 传输支持： 提供API接口，实现数据的安全传输到其他平台。

Q:原来的企业是否需要删除/匿名化之前的个人数据？

A：取决于用户是否行使“删除权”；

其次，企业对用户数据继续存储和使用的必要性，如：已超过数据使用/存储期限，无必要的业务场景等。

5、更正权

1）含义：数据主体有权要求企业更正或补充其个人数据中的错误或不完整部分。

2）实践：

• 在线编辑功能： 提供账号管理页面，允许用户直接更新其个人信息（如更改电话号码、地址）。
• 人工支持： 通过客服渠道处理需要进一步核实的修改请求。
• 审核流程： 记录修改请求的处理过程，确保符合法律要求。

6、删除权/被遗忘权/擦除权（不同的叫法）

1）含义：在特定情况下（如数据处理目的已完成或数据主体撤回同意），数据主体可以要求企业删除其个人数据。

2）实践：

• 删除机制：
  • 提供用户自主删除账号及其数据的功能。
  • 确保数据删除同步到所有关联系统，包括备份。
• 例外情况： 对有法律合规要求的数据（如财务数据），需明确说明无法删除的原因。

7、限制处理权

1）含义：在某些情形下，数据主体可以要求企业限制对其数据的处理，而非直接删除。

2）实践：

• 冻结功能： 在用户提出限制处理请求后，将数据标记为“限制处理状态”，暂停除存储外的任何操作。
• 内部流程： 在限制条件解除后，通知数据主体并恢复正常处理。

8、不受自动化决策影响的权利

1）含义：数据主体有权拒绝基于自动化处理（如信用评分、行为分析）的决策，除非获得明确同意或基于合同要求。

2）实践：

• 人工复审： 提供人工复核机制，让数据主体可以对自动化决策提出异议。
• 通知义务： 在自动化决策前告知数据主体，并说明决策依据及潜在影响。

*9 、撤回同意权

“撤回同意”的内容在 原则部分的“获取用户同意”部分，在取得用户同意的同时，也需要提供撤回同意的选项。

虽然没有作为用户的一项单独权益，但也属于用户权益的范畴。