导航
GDPR > 第 2 條. 實體適用範圍
下载PDF

第 2 條 GDPR. 實體適用範圍

1. 本規則適用於全部或一部以自動化方式處理之個人資料,且適用 於其他非自動化方式處理而構成檔案系統之一部分或旨在構成檔案 系統之一部分的個人資料。

專家評論

(EN) This article limits the scope of the GDPR. The European legislators have decided not to burden the majority of the population with numerous rules in the household and private life. They removed from the Regulation the processes of processing that do not pose a big threat (not automated processing where personal data is not collected in the system).

The combination “automated means” covers primarily…


访问全文

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
指南和案例法 献技

(15) 為防止產生規避之嚴重風險,當事人之保護應屬技術中立,且 不應依賴於已使用之技術。如檔案系統中已包含或旨在包含個人資料者,當事人之保護均有適用,而不問其係透過自動化及手動化方式處理之個人資料。未依照特定標準建構之檔案或檔卷及其等封面則不在本規則之適用範圍內。

2. 下列個人資料處理,不適用本規則:

(a) 於歐盟法外治權領域之活動;

献技

(16) 本規則並不適用於個人資料涉及在歐盟法外治權領域活動(例 如國家安全之活動)所生之基本權及自由保護議題或其自由流通。本 規則不適用於會員國在進行歐盟共同外交及安全政策活動中所為之 個人資料處理。

(b) 由會員國所進行屬於歐盟條約第二章第 5 節範圍內之活動;

(c) 當事人所為單純之個人或家庭活動;

指南和案例法 献技

(18) 本規則並未適用於當事人於其單純的個人或家庭活動中所為, 並因此不涉及職業行為或商務活動之個人資料處理。個人或家庭活動 得包括通信交流及持有地址資料,或社交網絡及此等活動範圍內所進 行之網路活動。然而,本規則適用於此等個人或家庭活動中為個人資 料處理提供媒介之控管者或處理者。

(d) 主管機關為達預防、調查、偵查或追訴刑事犯罪或執行刑罰之目 的(包括為維護及預防對於公共安全造成之威脅)所為之個人資料處 理。

献技

(19) 主管機關為達預防、調查、偵查及追訴刑事犯罪或執行刑罰之 目的所為當事人受保護之個人資料處理,包括為維護及預防此等資料 對公共安全及個人資料自由流通造成之威脅,乃係特定歐盟法律之主 題。因此,本規則不適用於有關上開目的所為之個人資料處理。惟公 務機關依本規則處理個人資料時,如其使用係為上開目的,則應受更 為具體之歐盟法案之拘束,即歐洲議會及歐盟理事會所制定之歐盟第 2016/680 號指令[7]。對於歐盟第 2016/680 號指令所定之主管機關, 會員國得委託其非必然為上開預防、調查、偵查及追訴刑事犯罪或執 行刑罰,包括為維護及預防對公共安全造成威脅之目的之職務,而該 等非基於上開目的所處理之個人資料,仍屬於歐盟法之範疇,亦有本 規則之適用。

關於主管機關在本規則之目的範圍內所處理之個人資料,會員國應得 維持或採用更具體之規範,使其與本規則規定之適用相符。各會員國 得自行斟酌其憲法、組織及行政法架構,為該等機關因上開目的以外 所為個人資料之處理,訂定更具體化之特定規範。如私人處理個人資 料在本規則之目的範圍內者,本規則應使會員國得於特定情況下以法 律限制其權利義務,且該限制屬在民主社會中所必要且適度之措施, 並係為維護特定重要利益,包括公共安全及預防、調查、偵查或追訴 刑事犯罪或執行刑罰,包括維護及預防對公共安全之威脅。舉例而言, 此關係到洗錢防制架構或鑑識實驗活動等。

[7] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data and repealing Council Framework Decision 2008/977/JHA (see page 89 of this Official Journal).

3. 歐盟規則第 45/2001 號適用於歐盟當局、機構、辦事處及局處所為 之個人資料處理。歐盟規則第 45/2001 號及其他涉及個人資料處理之 歐盟法案應依本規則第 98 條規定,按本規則之原則與規定調整修正 之。

献技

(17) 歐洲議會及歐盟理事會[6]所訂定 45/2001 號規則適用於歐盟當 局、機構、辦事處及局處所為之個人資料處理。歐盟規則第 45/2001 號及其他涉及個人資料處理之歐盟法案應依本規則所建立之原則與 規定加以調整修正,並按本規則予以解釋適用。為在歐盟內建構強力且一致之資料保護框架,歐盟規則第 45/2001 號應隨本規則通過後作 必要調整,以使其適用同於本規則。

[6] Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.1.2001, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2001:008:TOC

(172) 歐盟資料保護監管機關依歐盟規則第 45/2001 號第 28條第 2項 接受諮詢,並於 2012 年 3 月 7 日發表其意見[17]。

4. 本規則不得影響歐盟指令第 2000/31/EC 號之適用,特別是中介服 務商依該指令第 12 至 15 條規定所負之義務。

献技

(21) 本規則不影響歐洲議會及歐盟理事會 [8]所定歐盟指令第 2000/31/EC 號之適用,特別是中介服務商依該指令第 12 至 15 條規定 所負之義務。該指令旨在確保會員國間資訊社會服務之自由流通,以 促進歐洲市場之正常運作。

[8] Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (‘Directive on electronic commerce’) (OJ L 178, 17.7.2000, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2000:178:TOC

專家評論 献技 指南和案例法 发表评论
專家評論

(EN)

Article 2 of the GDPR limits its scope and excludes many common situations from the obligation to comply with the law. European legislators decided not to impose numerous rules on most individuals within their household and private lives. They excluded …


访问全文

Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
献技

(14) 本規則所保護者,係不論當事人之國籍或住居所,凡涉及其個 人資料之處理均屬之。本規則並未涵蓋法人及具法人資格之特定事業 的個人資料處理(包括法人名稱、設立形式及其聯繫方式)。

(15) 為防止產生規避之嚴重風險,當事人之保護應屬技術中立,且 不應依賴於已使用之技術。如檔案系統中已包含或旨在包含個人資料者,當事人之保護均有適用,而不問其係透過自動化及手動化方式處理之個人資料。未依照特定標準建構之檔案或檔卷及其等封面則不在本規則之適用範圍內。

(16) 本規則並不適用於個人資料涉及在歐盟法外治權領域活動(例 如國家安全之活動)所生之基本權及自由保護議題或其自由流通。本 規則不適用於會員國在進行歐盟共同外交及安全政策活動中所為之 個人資料處理。

(17) 歐洲議會及歐盟理事會[6]所訂定 45/2001 號規則適用於歐盟當 局、機構、辦事處及局處所為之個人資料處理。歐盟規則第 45/2001 號及其他涉及個人資料處理之歐盟法案應依本規則所建立之原則與 規定加以調整修正,並按本規則予以解釋適用。為在歐盟內建構強力且一致之資料保護框架,歐盟規則第 45/2001 號應隨本規則通過後作 必要調整,以使其適用同於本規則。

[6] Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.1.2001, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2001:008:TOC

(18) 本規則並未適用於當事人於其單純的個人或家庭活動中所為, 並因此不涉及職業行為或商務活動之個人資料處理。個人或家庭活動 得包括通信交流及持有地址資料,或社交網絡及此等活動範圍內所進 行之網路活動。然而,本規則適用於此等個人或家庭活動中為個人資 料處理提供媒介之控管者或處理者。

(19) 主管機關為達預防、調查、偵查及追訴刑事犯罪或執行刑罰之 目的所為當事人受保護之個人資料處理,包括為維護及預防此等資料 對公共安全及個人資料自由流通造成之威脅,乃係特定歐盟法律之主 題。因此,本規則不適用於有關上開目的所為之個人資料處理。惟公 務機關依本規則處理個人資料時,如其使用係為上開目的,則應受更 為具體之歐盟法案之拘束,即歐洲議會及歐盟理事會所制定之歐盟第 2016/680 號指令[7]。對於歐盟第 2016/680 號指令所定之主管機關, 會員國得委託其非必然為上開預防、調查、偵查及追訴刑事犯罪或執 行刑罰,包括為維護及預防對公共安全造成威脅之目的之職務,而該 等非基於上開目的所處理之個人資料,仍屬於歐盟法之範疇,亦有本 規則之適用。

關於主管機關在本規則之目的範圍內所處理之個人資料,會員國應得 維持或採用更具體之規範,使其與本規則規定之適用相符。各會員國 得自行斟酌其憲法、組織及行政法架構,為該等機關因上開目的以外 所為個人資料之處理,訂定更具體化之特定規範。如私人處理個人資 料在本規則之目的範圍內者,本規則應使會員國得於特定情況下以法 律限制其權利義務,且該限制屬在民主社會中所必要且適度之措施, 並係為維護特定重要利益,包括公共安全及預防、調查、偵查或追訴 刑事犯罪或執行刑罰,包括維護及預防對公共安全之威脅。舉例而言, 此關係到洗錢防制架構或鑑識實驗活動等。

[7] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data and repealing Council Framework Decision 2008/977/JHA (see page 89 of this Official Journal).

(20) 本規則之適用範圍雖包括但不限於法院及其他司法機關之活動, 但歐盟法或會員國法仍得具體化規範該等法院及其他司法機關於處 理個人資料時所應遵守之要點及程序。法院基於行使其司法權限所為 個人資料之處理,為確保法院履行其司法任務時得以獨立審判,包括 作成判決,監管機關不應干涉之。於會員國特別確保本規則所定規範 之遵守,強化司法人員認知其於本規則下所負之義務,並受理關於處理此類個人資料所生之申訴時,該會員國得於其司法系統下設立監控 此類個人資料處理之單位。

(21) 本規則不影響歐洲議會及歐盟理事會 [8]所定歐盟指令第 2000/31/EC 號之適用,特別是中介服務商依該指令第 12 至 15 條規定 所負之義務。該指令旨在確保會員國間資訊社會服務之自由流通,以 促進歐洲市場之正常運作。

[8] Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (‘Directive on electronic commerce’) (OJ L 178, 17.7.2000, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2000:178:TOC

指南和案例法 发表评论
[js-disqus]