欧盟GDPR一般资料保护规範节节说明.pdfVIP

歐盟GDPR 一般資料保護規範章節說明 整理編譯：BSI 英國標準協會 BS 10012 ISO 29100 產品經理 章 鈺（Oscar Chang ） 第1章 總則 （General provisions ，第1 條至第4 條），主要為說明修法之目 的、個人資料適用之範圍、適用區域，及GDPR 所引用名詞的各項定義， 定義各項名詞包含個人資料、處理、限制處理、剖析、擬匿名化、資料 控制者、資料處理者、資料接收端、第三方、資料外洩、遺傳基因、生 物特徵等。 第2章 原則（Principles ，第5 條至第11 條），主要為說明個人資料處理的六 大原則、處理合法性的成立條件、當事人的同意要件、處理兒童、特種 個人資料，及犯罪紀錄等個人資料處理原則，以及經控制者處理不允許 識別自然人之去識別化要求等。 第3章 資料主體法定權利（Rights of the data subject ，第12 條至第21 條）， 並分為以下五節： 第1節 Transparency and modalities 透明性和形式。 第2節 Information and access to data 資訊與資料主體近用權，包含：直 接或間接蒐集時對其個人資料之近用權。 第3節 Rectification and erasure 限制處理與刪除之要求，包含：第17 條 Right to erasure 刪除權、第18 條Right to restriction of processing 限制處理權、第19 條Notification obligation regarding rectification or erasure of personal data or restriction of processing 通知資料主體限制處理或刪除權要求，及第20 條the data subjects right to data portability 資料可攜權。 1 第4節 Right to object and profiling 反對權與剖析，包含：第21 條Right to object 反對權、第22 條Automated individual decision-making, including profiling 對資料主體的自動化決策分析，包含剖析之反抗 權。 第5節 Restrictions 限制權。 第4章 控制者與處理者（Controller and processor ，第24 條至第43 條），本 章再行細分為以下五節： 第1節 General obligations 一般性義務：針對資料控制者、不在歐盟境內 之資料控制者、協同資料控制者、資料處理者及委外處理者等規範， 並要求記錄處理個人資料之情形，與第25 條the principles of data protection by design and by default 從設計著手保護隱私原則及與 主管機關配合等要求。 第2節 Security of personal data 個人資料安全：包含對處理個人資料安全 保護要求、個人資料外洩通知主管機關與資料主體責任等。 第3節 Data protection impact assessment and prior consultation 個人 資料保護衝擊分析與事前向主管機關諮詢與授權要求 第4節 Data protection officer 資料保護官設計及其責任。 第5節 Codes of conduct and certification 行為準則與