(40) 為合法處理個人資料，個人資料之處理應基於相關資料主體之 同意或源自於法律規定（不論其為本規則或本規則所提及之其他歐盟 法或會員國法規定）之其他合法性基礎，此包括控管者為遵守其法定 義務所必要者，或資料主體作為契約當事人為契約履行所必要者，或 於契約簽署前依據資料主體之要求所為者。

(41) 凡本規則所指法律依據或立法措施，不以經議會採取立法行為 為必要，但不得侵害依會員國憲法秩序之要求。惟法律依據或立法措 施應清楚明確且為受規範者可得預見者，並應遵守歐盟法院及歐洲人 權法院所定之判例法。

(42) 個人資料處理係基於資料主體之同意者，控管者應舉證證明資 料主體同意該處理活動。尤其是在為他事件所為書面聲明時，保護措 施應確保資料主體知悉其所為同意之事實及其同意之範圍。根據歐盟 理事會所定第 93/13/EEC 號指令[10]，控管者事先擬定之同意聲明書，應以易懂且方便取得之格式為之，並採用清楚簡易之語言，且不得有不公平條款。為同意所為之告知，資料主體至少應知悉控管者之身分及其個人資料處理所要達成之目的。於資料主體並非出於真意或無從自由選擇或其無法拒絕或無法於不損及其權益之情況下撤銷同意者，該同意應認定為不具自主性。

_{[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC}

(43) 為確保同意係自主作成，於資料主體與控管者間有顯著失衡之 特定情況下，尤其於該控管者為公務機關且於該特定情況之整體情境 下不可能有自主同意時，個人資料處理之同意欠缺有效之合法性基礎。 於個別情況下應屬適當，卻不允許就不同個人資料處理方式為分別同 意，或同意就契約履行非屬必要，卻將契約之履行（包括服務之提供） 依存於該同意時，同意仍應推定為不具自主性。

(44) 於個人資料處理為契約所必要或為簽訂契約而有必要時，其處 理應合乎法令。

(45) 個人資料處理係基於控管者為遵守其法定義務所為，或係基於 公共利益為履行任務所必要，或係公務機關行使公權力所必要者，該 處理應具備歐盟法或會員國法之依據。本規則不要求就每一個別之處 理定有具體法律規定。就控管者為遵守其法定義務所為、因公共利益 為履行任務所必要或公務機關行使公權力所必要之數個處理方式明 定其所依據之法律，可謂充分。其亦應由歐盟法或會員國法決定處理 之目的。此外，該法得具體化規定本規則關於個人資料處理之合法性 規範的一般條款、建構控管者之決定性標準、個人資料處理所涉個人 資料之類型、相關個人資料主體、得向其揭露個人資料之實體、限制 之目的、儲存期間及用以確保處理合法性與公正性之其他措施。歐盟 法或會員國法亦應決定，為公共利益執行任務或行使公權力之控管者 是否為公務機關或其他受公法所規範之個人或法人，或於其為公共利 益所為之者時，是否包括為了如公眾健康與社會保障及健康照顧服務 之管理等健康目的者、或依私法者，如職業工會。

(46) 為保護資料主體或他人生活中之重大利益所必要者，個人資料 之處理亦應被認定為合法。基於他人重大利益所為之個人資料處理， 原則上僅有當該處理明顯無法基於其他法律依據為之者始得為之。有 些處理類型得同時符合公共利益及資料主體重大利益之兩項重要理 由，舉例而言，當個人資料之處理係基於人道目的所必要者，包括監 測傳染病及其蔓延或人道救援之情況，特別是天災人禍之情形。

(47) 控管者（包括個人資料得向其揭露之控管者）或第三方之正當 利益，得作為資料處理之合法依據，但應兼顧該等利益或資料主體之 基本權及自由，且考慮到資料主體基於其與控管者間關係所生之合理 預期。正當利益可存在於諸如資料主體與控管者間具有相關且適當之 關係，例如資料主體係控管者之客戶或由控管者提供其服務等情。無 論如何，正當利益是否存在須審慎評估，包括資料主體於其個人資料 之蒐集過程中及其當下是否能合理預期到該目的之資料處理。於個人 資料處理係在資料主體無法合理預見其資料將被進一步處理之情況 下所為者，資料主體之利益及基本權得特別優先於資料控管者之利益。 鑑於公務機關處理個人資料之合法依據係由立法者以法律規範之，該 合法依據不得適用於公務機關執行職務所為之個人資料處理。基於防 範詐欺之目的而有個人資料處理之絕對需要者，亦得構成相關資料控 管者之正當利益。為直接行銷之目的所為個人資料處理，得被認定係 基於正當利益所為之。

(48) 身為企業集團之一部或隸屬於中央機構之組織之控管者，基於 內部管理之目的，就企業集團內部間之個人資料傳輸，包括客戶或員 工個人資料之處理，得有正當利益。企業集團內部間移轉個人資料之 一般原則，於移轉至設址於第三國之企業者，亦同。

(49) 為確保網路與資訊安全而嚴格遵循必要性及合比例性之個人資 料處理（亦即，具有指定機密級別之網路或資訊系統，以防止突發事 件或違法或惡意行為危害已儲存或已傳輸之個人資料之可用性、真實 性、完整性及機密性，及危害藉由該等網路或系統、公務機關、資安 危機應變小組（CERTs）、資安事件處理小組（CSIRTs）、電子通 訊網路及服務供應商及安全技術服務供應商所提供相關服務之安全 性），構成相關資料控管者之正當利益。舉例言之，此可能包括防止 非經授權之電子通訊網路之存取及阻擋惡意程式碼之散播及阻止「阻 斷服務」攻擊及電腦及電子通訊系統之損害。

(50) 個人資料處理之目的非基於原蒐集該個人資料之目的者，唯有 當處理及蒐集個人資料之目的得相互兼容者，始得為之。於此類案件 中，不需要有獨立於允許蒐集個人資料以外之合法依據。如個人資料 之處理係為符合公共利益執行職務或委託控管者行使公權力所必須 者，歐盟法或會員國法得決定及具體規範何等任務及目的所為之進階 處理得被認定為具備兼容性及合法性。基於公共利益為達成上開目的、 科學或歷史研究目的或統計目的所為之進階處理，應被認為屬於有兼 容性及合法性之處理。歐盟法或會員國法為個人資料處理所訂定之合 法依據亦得作為資料為進階處理之合法依據。為了確保進階處理之目 的與原先蒐集資料之目的相互兼容，控管者於該當於原資料處理之全 部合法性要件後，應考慮到包括但不限於：該等目的與所欲進階處理 目的間之任何連結性；所蒐集個人資料之背景，尤其是資料主體基於 其與控管者間之關係而對於進階使用之合理預見性；個人資料之本身 性質；所欲進階處理對於資料主體造成之後果；及原處理與所欲進階 處理作業中是否存在適當保護措施。

凡經資料主體之同意或係歐盟法或會員國法所定於民主社會中用以 確保特別如一般公眾利益之重要目的所必要且成比例之措施者，不問 目的間之兼容性，進階處理個人資料應予允許。在任何情況下，本規 則所定原則之適用及特別是關於其他目的所知之資料主體之資訊及 其包括拒絕權等權利均應予確保。由控管者指出可能之犯罪行為或對 於公共安全之威脅，以及將特定案件或相同犯罪行為之相關案件或造 成公共安全威脅所涉及之相關個人資料傳輸予主管機關，應被認定係 控管者所作為之正當利益。惟如進階處理未遵守法定、專業或其他有 拘束力之保密義務者，控管者基於正當利益所為之傳輸或進階處理應 予禁止。

(155) 會員國法或團體協約，包括「勞動協議」，得提供關於僱傭關 係下員工個人資料處理之特別規定，尤其是當僱傭關係下個人資料處 理可能係基於下列理由，亦即，包括員工之同意、為徵才目的、包括 履行法律或團體協約所規定之義務等之僱傭契約之履行、工作之管理、 計畫及或組織、工作場所之平等與多元性、工作之健康與安全、個人 或團體與僱傭有關之權利及福利之行使及享有之目的，以及終止僱傭 關係之目的。