查看更多
导航
第一章 總則 (1-4)
第 1 條. 主旨與立法目的第 2 條. 實體適用範圍第 3 條. 領土適用範圍第 4 條. 定義
第二章 原則 (5-11)
第 5 條. 個人資料處理原則第 6 條. 處理之合法性第七條. 同意條件第 8 條. 涉及資訊社會服務適用兒童同意之條件第 9 條. 特殊類型之個人資料處理第 10 條. 涉及前科及犯罪之個人資料處理第 11 條. 不須識別之處理
第三章 資料主體之權利 (12-23)
第 12 條. 資料主體為行使其權利之透明資訊、溝通及管道第 13 條. 蒐集資料主體之個人資料時所提供之資訊第 14 條. 尚未自資料主體取得個人資料時所應提供之資訊第 15 條. 資料主體之接近使用權第 16 條. 更正權
第 17 條. 刪除權(「被遺忘權」)
第 18 條. 限制處理權第 19 條. 關於更正或刪除個人資料或限制處理之通知義務第 20 條. 資料可攜性權利第 21 條. 拒絕權第 22 條. 個人化之自動決策,包括建檔第 23 條. 限制
第四章 控管者及處理者 (24-43)
第 24 條. 主旨與立法目的第 25 條. 設計及預設之資料保護第 26 條. 共同控管者第 27 條. 非設立於歐盟境內控管者或處理者之代表第 28 條. 處理者第 29 條. 控管者或處理者之處理權限第 30 條. 處理活動之紀錄第 31 條. 與監管機關之合作第 32 條. 處理之安全第 33 條. 向監管機關進行個人資料侵害之通報第 34 條. 向資料主體為個人資料侵害之溝通第 35 條. 資料保護影響評估第 36 條. 事前諮詢第 37 條. 資料保護員之指定第 38 條. 資料保護員之職位第 39 條. 資料保護員之職務第 40 條. 行為守則第 41 條. 經核准之行為守則之監管第 42 條. 認證第 43 條. 認證機構
第五章 個人資料移轉至第三國或國際組織 (44-50)
第 44 條. 移轉之一般原則第 45 條. 基於充足程度保護決定之移轉第 46 條. 須遵守適當保護措施之移轉第 47 條. 有拘束力之企業守則第 48 條. 未獲歐盟法授權之移轉或揭露第 49 條. 特定情形下之例外第 50 條. 個人資料保護之國際合作
第六章 獨立監管機關 (51-59)
第 51 條. 監管機關第 52 條. 獨立第 53 條. 監管機關成員之一般條款第 54 條. 監管機關設立之規則第 55 條. 權限第 56 條. 領導監管機關之權限第 57 條. 職務第 58 條. 權力第 59 條. 活動報告
第七章 合作及一致性 (60-70)
第 60 條. 領導監管機關與其他相關監管機關間之合作第 61 條. 互助第 62 條. 監管機關之聯合作業第 63 條. 一致性機制第 64 條. 委員會之意見第 65 條. 委員會之爭議解決第 66 條. 緊急程序第 67 條. 資訊交換第 68 條. 歐洲資料保護委員會第 69 條. 獨立性第 70 條. 委員會之任務第 71 條. 報告第 72 條. 程序第 73 條. 主席第 74 條. 主席之任務第 75 條. 秘書處第 76 條. 保密性
第 8 章 救濟、義務及處罰 (77-84)
第 77 條. 向監管機關提出申訴之權利第 78 條. 對監管機關提起有效司法救濟之權利第 79 條. 對於控管者或處理者提出有效司法救濟之權利第 80 條. 資料主體之代表第 81 條. 停止訴訟程序第 82 條. 賠償請求權及義務第 83 條. 裁處行政罰鍰之一般要件第 84 條. 罰則
第九章 特殊處理情況之規範 (85-91)
第 85 條. 處理與言論及資訊自由第 86 條. 官方文件之處理與公眾接近使用第 87 條. 國民身分證字號之處理第 88 條. 僱傭關係下之處理第 89 條. 為實現公共利益、科學或歷史研究目的或統計目的所為 處理之保護措施及例外規定第 90 條. 保密義務第 91 條. 教會及宗教組織現存之資料保護規定
第十章 授權法及施行法 (92-93)
第 92 條. 授權之行使第 93 條. 執委會之程序
第十一章 最終條款 (94-95)
第 94 條. 歐盟指令第 95/46/EU 號之廢止第 95 條. 與歐盟指令第 2002/58/EC 號之關係第 96 條. 與已締結之協議之關係第 97 條. 執委會報告第 98 條. 對其他資料保護歐盟法案之審查第 99 條. 生效及適用
GDPR > 第 17 條. 刪除權(「被遺忘權」)
下载PDF

第 17 條 GDPR. 刪除權(「被遺忘權」)

1. 有下列情事者,資料主體應有權使控管者刪除其個人資料,不得 無故拖延,且控管者應有義務刪除該個人資料,不得無故拖延:

專家評論
專家評論
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
(EN) Ask a question

(a) 個人資料對於蒐集或處理目的不再需要者;

(b) 處理係依據第 6 條第 1 項第 a 點或第 9 條第 2 項第 a 點者,資料 主體撤回其同意,且該處理已無其他法律依據者;

相关文章
相关文章

(c) 資料主體依第 21 條第 1 項規定對處理提出異議,且該處理無其他 優先適用之法律依據者,或資料主體依第 21 條第 2 項規定對處理提出異議者;

相关文章
相关文章

(d) 該個人資料遭違法處理者;

(e) 控管者依其受拘束之歐盟法或會員國法律有義務應刪除個人資料 者;

(f) 個人資料係依據第 8 條第 1 項所定為提供資訊社會服務所蒐集 者。

相关文章
相关文章

2. 如控管者已將該個人資料公開,且其有義務依據第 1 項規定刪除 該個人資料者,考量現有科技及執行成本,該控管者應採取合理步驟, 包括科技方式,通知正在處理該個人資料之控管者,資料主體已提出 刪去任何該個人資料之連結或複製或仿製之請求。

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 17(2) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract.


访问全文

3. 於下列情形者,不適用第 1 項及第 2 項規定:

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17(3) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


访问全文

(a) 為行使表意自由及資訊權者;

(b) 依據控管者所應遵守之歐盟法或會員國法,遵守其法律義務、或 符合公共利益之職務執行、或委託控管者行使公權力所必須者;

(c) 基於公共衛生領域上之公共利益,且符合第 9 條第 2 項第 h 點及 第 i 點及第 9 條第 3 項規定者;

相关文章
相关文章

(d) 為實現公共利益、科學或歷史研究目的或統計目的,且符合第 89 條第 1 項規定者,但以第 1 項所定權利實際上不可能或嚴重損害該處 理目標之實現者為限;

相关文章
相关文章

(e) 為了建立、行使或防禦法律上之請求者。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

專家評論 ISO 27701 献技 指南和案例法 发表评论
專家評論

(EN) The so-called “right to be forgotten” was hailed as a breakthrough with the adoption of the General Data Protection Regulation, even though it existed in a limited form before. Article 17 provides for a broader “right to erasure”, to take into account the exact wording of the provision. European Union residents have a right to ask for the deletion of their personal data, and the organization that holds the data has a corresponding obligation to erase them “without undue delay” under a certain number of circumstances.


访问全文

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question

(EN)

Data Subject Request Letter Sample

Concern: Request to erase my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to delete…


访问全文

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17 GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.


访问全文

献技

(65) 資料主體應有更正其個人資料之權利、以及當資料保存違反規 範控管者之本規則、歐盟法或會員國法時應有「被遺忘權」。尤其, 資料主體應享有刪除其個人資料之權利,並於該個人資料就資料蒐集 或另為處理之目的已無必要時、於資料主體已撤回其同意或拒絕其個 人資料之處理時、或於其個人資料處理違反本規則時,資料主體應享有請求不再處理其個人資料之權利。該權利尤其涉及該資料主體於兒 童時期所為同意且未完整理解該處理存在之風險,爾後希望移除其個 人資料(特別是網路上資料)之情形。不問其是否仍為兒童,資料主 體應得行使該權利。然而,為了表意自由權之行使、法律義務之遵守、 符合公共利益之職務執行、或委託控管者行使公權力所必須者、在公 共衛生領域上之公共利益的理由、為了實現公共利益、科學或歷史研 究目的或統計目的時、或為了建立、行使或防禦法律上主張時,於必 要範圍內進一步保留個人資料應屬合法。

(66) 為強化網路環境之被遺忘權,刪除權亦應擴張至公開個人資訊 之控管者有義務通知個人資料處理之控管者刪去任何該個人資料之 連結、複製或仿製。透過此種做法,該控管者應採取合理步驟,考量 現有科技與對控管者可行之手段,包括科技方式,通知依該資料主體 之請求而正在處理該個人資料之控管者。

指南和案例法 发表评论
[js-disqus]