数据主体的权利
如果您处理个人数据,您将受到GDPR意义内的影响,并且您对责任人享有以下权利:
GDPR第15条规定的知情权
您可以要求负责人确认我们是否会处理您的个人数据。
如果进行了此类处理,您可以向负责人请求以下信息:
(1) 处理个人数据的目的;
(2) 正在处理的个人数据的类别;
(3) 已向或仍在向其披露与您有关的个人数据的接收人或接收人类别;
(4) 有关您的个人数据的计划存储时间,或者,如果无法提供具体信息,确定存储时间的标准;
(5) 存在纠正或删除与您有关的个人数据的权利、控制者限制处理的权利或反对此类处理的权利;
(6) 存在向监管机构上诉的权利;
(7) 如果个人数据不是从数据主体收集的,关于数据来源的任何可用信息;
(8) 存在自动化决策,包括根据《通用数据保护条例》第22条第1款和第4款进行分析,以及——至少在这些情况下——关于所涉及的逻辑、范围和预期效果的有意义的信息数据主体的此类处理。
您有权要求提供有关您的个人数据是转移到第三国还是国际组织的信息。在这种情况下,您可以要求被告知适当的担保根据GDPR第46条,与传输有关。
GDPR第16条规定的整改权
如果处理的与您有关的个人数据不正确或不完整,您有权向数据控制员进行纠正和/或填写。责任人应立即纠正。
根据GDPR第18条限制加工的权利
在下列情况下,您可以要求限制处理与您有关的个人数据:
(1) 如果您对与您有关的个人数据的准确性存在争议,并且争议持续的时间使数据控制人能够验证个人数据的准确度;
(2) 处理是非法的,您拒绝删除个人数据,而是要求限制个人数据的使用;
(3) 数据控制器不再需要个人数据进行处理,但您确实需要这些数据来主张、行使或辩护法律主张,或
(4) 如果您根据GDPR第21条第1款对处理提出异议,并且尚未确定责任人的合法理由是否超过您的理由。
如果有关您的个人数据的处理受到限制,则只有在您同意的情况下,或者为了主张、行使或维护权利或保护另一自然人或法人的权利,或基于欧盟或成员国的重要公共利益。
如果根据上述条件限制了处理限制,则负责人将在解除限制之前通知您。
根据GDPR第17条取消的权利
a) 删除义务
您可以要求数据控制人立即删除与您相关的个人数据,如果出现以下原因之一,控制人有义务立即删除这些数据:
(1) 有关您的个人数据不再需要用于收集或处理这些数据的目的。
(2) 您撤销了您的同意书,该同意书是根据第6条第1款a项或第9条第2款a项GDPR的规定进行处理的,并且该处理没有其他法律依据。
(3) 您根据《通用数据保护条例》第21条第1款对处理提出异议,并且没有压倒一切的合法理由进行处理,或者您根据第21条2通用数据保护条例。
(4) 有关您的个人数据已被非法处理。
(5) 删除与您相关的个人数据是履行欧盟法律或数据控制人所属成员国法律规定的法律义务所必需的。
(6) 有关您的个人数据是根据GDPR第8条第1款提供的信息社会服务收集的。
b) 向第三方提供的信息
如果数据控制人已经公开了与您有关的个人数据,并且有义务根据GDPR第17条第1款删除该数据,他应采取适当措施,包括技术措施,同时考虑到可用的技术和实施成本,以通知处理个人数据的数据处理者,您作为数据主体已请求删除此个人数据的所有链接或这些个人数据。
c) 例外情况
只要处理是必要的,取消权就不存在
(1) 行使言论和信息自由;
(2) 根据欧盟或控制者所属成员国的法律履行处理所需的法律义务,或为了公共利益或在行使中执行任务授予控制者的官方权力;
(3) 根据第九条第2款h和i项以及第九条通用数据保护条例第3款,出于公共卫生领域的公共利益;
(4) 根据《通用数据保护条例》第89条第1款,出于公共利益、科学或历史研究目的的存档目的,或出于统计目的,只要a)项所指的法律可能使其无法实现或严重损害此类处理目标的实现,或
(5) 主张、行使或捍卫法律主张。
GDPR第19条规定的信息权
如果您行使了让数据控制人更正、删除或限制处理的权利,他/她有义务将此更正或删除通知所有与您相关的个人数据已被披露给的接收人数据或处理限制,除非证明不可能或涉及不成比例的努力。
负责人有权被告知此类接收人。
GDPR第20条规定的数据可转让权
您有权接收以结构化、通用和机器可读格式提供给负责人的有关您的个人数据。此外,您有权将此数据传递给其他人负责人负责,不得阻挠向其提供个人数据,但前提是
(1) 处理基于第6条第1款“通用数据保护条例”或第9条第2款“通用信息保护条例”的同意,或根据第6条第一款“通用数字保护条例”和
(2) 处理是通过自动化方法进行的。
在行使这项权利时,您也有权要求将与您有关的个人数据从一个数据控制器直接传输到另一个数据管理员,只要这在技术上可行。自由和其他人的权利不得受此影响。
可转让权不适用于为公共利益或行使授予控制者的官方权力而执行任务所需的个人数据处理。
GDPR第21条规定的反对权
您有权随时因您的特殊情况而反对根据DSBER第6(1)(e)或(f)条处理与您有关的个人数据;这也适用于基于这些规定。
数据控制员不再处理与您有关的个人数据,除非他能够证明有令人信服的理由值得对处理进行保护,这些理由超过了您的利益、权利和自由,或处理服务主张、行使或捍卫合法权利。
如果您的个人数据是为了直接营销目的而处理的,您有权随时反对为此类广告目的而处理您的个人信息;这也适用与这种直接营销相关的剖析。
如果您反对出于直接营销目的进行处理,则有关您的个人数据将不再出于这些目的进行处理。
尽管有第2002/58/EC号指令的规定,您仍有可能通过使用技术规范的自动化程序行使您对使用信息社会服务的反对权。
根据GDPR第7条第3款撤销数据保护同意声明的权利
您有权随时撤销您的数据保护同意声明。在撤销同意之前,该同意的撤销不得影响基于该同意进行的处理的合法性。
根据《通用数据保护条例》第22条对个别案件进行自动决策,包括剖析
您有权不受完全基于自动处理(包括分析)的决定的约束,该决定对您具有法律效力或以类似方式对您造成重大损害。如果决定
(1) 是您与责任人签订或履行合同所必需的,
(2) 欧盟或责任人所属成员国的立法是可以接受的,并且该立法包含保护您的权利、自由和合法利益的适当措施;或
(3) 得到你的明确同意。
然而,根据GDPR第9条第1款,这些决定可能不会基于特殊类别的个人数据,除非GDPR适用第9条的第2款a或g项,并且已经采取适当措施保护您的权利和自由以及你的合法利益。
在第(1)和(3)款所述的情况下,责任人应采取合理措施维护您的权利、自由和合法利益,至少包括通过负责人,陈述自己的立场并对决定提出质疑。
向监管机构上诉的权利
在不影响任何其他行政或司法补救措施的情况下,如果您认为处理与您有关的个人数据违反GDPR。
收到投诉的监管机构应告知投诉人投诉的状态和结果,包括根据GDPR第78条采取司法补救措施的可能性。