第5条 个人数据处理原则
1.对于个人数据,应遵循下列规定:
(a)对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理(“合法性、合理性和透明性”);
(b)个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。根据第89(1)条,因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的(“目的限制”);
(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化”);
(d)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正(“准确性”);
(e)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。(“限期储存”);
(f) 处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。
2.控制者有责任遵守以上第1段,并且有责任对此提供证明。(“可问责性”)。
第6条 处理的合法性
1.只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:
(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理;
(b)处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;
(c) 处理是控制商履行其法定义务所必需的;
(d)处理对于保护数据主体或另一个自然人的核心利益所必要的;
(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;
(f)处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。
第1段(f)点不适用公共机构在履行其任务时的处理。
