查看更多
导航
第一章 總則 (1-4)
第 1 條. 主旨與立法目的第 2 條. 實體適用範圍第 3 條. 領土適用範圍第 4 條. 定義
第二章 原則 (5-11)
第 5 條. 個人資料處理原則第 6 條. 處理之合法性第七條. 同意條件第 8 條. 涉及資訊社會服務適用兒童同意之條件第 9 條. 特殊類型之個人資料處理第 10 條. 涉及前科及犯罪之個人資料處理第 11 條. 不須識別之處理
第三章 資料主體之權利 (12-23)
第 12 條. 資料主體為行使其權利之透明資訊、溝通及管道第 13 條. 蒐集資料主體之個人資料時所提供之資訊第 14 條. 尚未自資料主體取得個人資料時所應提供之資訊第 15 條. 資料主體之接近使用權第 16 條. 更正權第 17 條. 刪除權(「被遺忘權」)第 18 條. 限制處理權第 19 條. 關於更正或刪除個人資料或限制處理之通知義務第 20 條. 資料可攜性權利第 21 條. 拒絕權第 22 條. 個人化之自動決策,包括建檔第 23 條. 限制
第四章 控管者及處理者 (24-43)
第 24 條. 主旨與立法目的第 25 條. 設計及預設之資料保護第 26 條. 共同控管者第 27 條. 非設立於歐盟境內控管者或處理者之代表第 28 條. 處理者第 29 條. 控管者或處理者之處理權限第 30 條. 處理活動之紀錄第 31 條. 與監管機關之合作第 32 條. 處理之安全第 33 條. 向監管機關進行個人資料侵害之通報第 34 條. 向資料主體為個人資料侵害之溝通第 35 條. 資料保護影響評估第 36 條. 事前諮詢第 37 條. 資料保護員之指定第 38 條. 資料保護員之職位第 39 條. 資料保護員之職務第 40 條. 行為守則第 41 條. 經核准之行為守則之監管第 42 條. 認證第 43 條. 認證機構
第五章 個人資料移轉至第三國或國際組織 (44-50)
第 44 條. 移轉之一般原則第 45 條. 基於充足程度保護決定之移轉第 46 條. 須遵守適當保護措施之移轉第 47 條. 有拘束力之企業守則第 48 條. 未獲歐盟法授權之移轉或揭露第 49 條. 特定情形下之例外第 50 條. 個人資料保護之國際合作
第六章 獨立監管機關 (51-59)
第 51 條. 監管機關第 52 條. 獨立第 53 條. 監管機關成員之一般條款第 54 條. 監管機關設立之規則第 55 條. 權限第 56 條. 領導監管機關之權限第 57 條. 職務第 58 條. 權力第 59 條. 活動報告
第七章 合作及一致性 (60-70)
第 60 條. 領導監管機關與其他相關監管機關間之合作第 61 條. 互助第 62 條. 監管機關之聯合作業第 63 條. 一致性機制第 64 條. 委員會之意見第 65 條. 委員會之爭議解決第 66 條. 緊急程序第 67 條. 資訊交換第 68 條. 歐洲資料保護委員會第 69 條. 獨立性第 70 條. 委員會之任務第 71 條. 報告第 72 條. 程序第 73 條. 主席第 74 條. 主席之任務第 75 條. 秘書處第 76 條. 保密性
第 8 章 救濟、義務及處罰 (77-84)
第 77 條. 向監管機關提出申訴之權利第 78 條. 對監管機關提起有效司法救濟之權利第 79 條. 對於控管者或處理者提出有效司法救濟之權利第 80 條. 資料主體之代表第 81 條. 停止訴訟程序第 82 條. 賠償請求權及義務第 83 條. 裁處行政罰鍰之一般要件第 84 條. 罰則
第九章 特殊處理情況之規範 (85-91)
第 85 條. 處理與言論及資訊自由第 86 條. 官方文件之處理與公眾接近使用第 87 條. 國民身分證字號之處理第 88 條. 僱傭關係下之處理
第 89 條. 為實現公共利益、科學或歷史研究目的或統計目的所為 處理之保護措施及例外規定
第 90 條. 保密義務第 91 條. 教會及宗教組織現存之資料保護規定
第十章 授權法及施行法 (92-93)
第 92 條. 授權之行使第 93 條. 執委會之程序
第十一章 最終條款 (94-95)
第 94 條. 歐盟指令第 95/46/EU 號之廢止第 95 條. 與歐盟指令第 2002/58/EC 號之關係第 96 條. 與已締結之協議之關係第 97 條. 執委會報告第 98 條. 對其他資料保護歐盟法案之審查第 99 條. 生效及適用
GDPR > 第 89 條. 為實現公共利益、科學或歷史研究目的或統計目的所為 處理之保護措施及例外規定
下载PDF

第 89 條 GDPR. 為實現公共利益、科學或歷史研究目的或統計目的所為 處理之保護措施及例外規定

1. 為實現公共利益、科學或歷史研究目的或統計目的之處理,應受 本規則為資料主體之權利及自由所定適當保護措施之拘束。該等保護 措施應確保已備妥技術上及組織上之措施,特別是用以確保資料最少 蒐集原則之落實。只要上開目的得以實現,措施得包括假名化。當透 過進階處理得實現上開目的,且進階處理不允許或不再允許識別資料 180 主體者,上開目的應以該方式實現。

2. 為科學或歷史研究目的或統計目的處理個人資料者,歐盟法或會 員國法得就第 15 條、第 16 條、第 18 條及第 21 條所定之權利訂定例 外規定,但須符合本條第一項所定要件及保護措施,且該權利不可能 或不會嚴重損害特定目的之實現,且該等例外係為實現上開目的所必 要者。

相关文章
相关文章

3. 為實現公共利益處理個人資料者,歐盟法或會員國法得就第 15條、 第 16 條、第 18 條、第 19 條、第 20 條及第 21 條所定之權利訂定例 外規定,但須符合本條第一項所定要件及保護措施,且該權利不可能 或不會嚴重損害特定目的之實現,且該等例外係為實現上開目的所必 要者。

相关文章
相关文章

4. 第 2 項及第 3 項所定之處理同時適用於不同目的者,該例外規定 僅適用於該項規定所定目的之處理。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

專家評論 献技 指南和案例法 发表评论
專家評論

(EN) Article 89 details the appropriate safeguards to process sensitive data for archiving, research, and statistics purposes under article 9 2) (j) and possible derogations to rights granted to individuals by the General Data Protection Regulation. There is indeed a legal exception allowing the processing of special categories of personal data. It must be provided for by a Union or Member State law and the law itself must meet certain conditions that I have already discussed in a previous commentary.

Appropriate safeguards under article 89 concern technical and organizational measures put in place by Member States and respecting the data minimization, proportionality, and necessity principles (recital 156). They may include the possibility of resorting to pseudonymization, where applicable, or further processing “which does not permit or no longer permits the identification of data subjects”. The measures involved must take into account the impact on individuals, like physical or psychological potential damages they might suffer.

Member States law may provide for derogations, in the case of scientific research, historical research or statistics, to the right of access (article 15), the right to rectification (article 16), the right to restriction of processing (article 18), and the right to object (article 21). It is possible to refuse to grant these rights to individuals only if respecting them would hinder or “seriously impair” the achievement of the desired goals, that is to say, conducting scientific or historical research or producing statistics.


访问全文

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
献技

(156) 為符合公共利益、達成科學或歷史研究目的或統計目的所為個 人資料之處理應受本規則為資料主體之權利或自由所定適當保護措 施之拘束。該等保護措施應確保已備妥技術上及組織上之措施,用以 確保,特別是資料最少蒐集原則之落實。為符合公共利益、達成科學 或歷史研究目的或統計目的,當控管者已評估實現該等目的之可行性, 且藉由不允許或不再允許識別資料主體為該處理,並有適當的保護措 施存在(例如,資料之假名化)時,個人資料將得進行進階處理。會 員國對於為達成公共利益目的之個人資料處理,應提供適當之保護措施。在進行符合公共利益、達成科學或歷史研究目的或統計目的之個 人資料處理時,會員國在符合特定條件且有提供資料主體適當保護措 施時,應有權具體化及除外化關於資訊之要求,以及關於更正、刪除、 被遺忘、限制處理、資料可攜性及拒絕之權利。若依照特定資料處理 所追求之目的為適當,且其技術上及組織上之措施係為落實適當性及 必要性原則而減少個人資料處理時,其條件及保護措施可能需要有特 定程序使資料主體得行使該等權利。為科學目的之個人資料處理亦應 遵守其他相關之法規,例如對於臨床試驗之規範。

(157) 藉由結合資料庫之資訊,研究者得取得普遍醫療條件下高價值 之新知識,例如心血管疾病、癌症及抑鬱症。當有更多的人口數時, 在資料庫之基礎上,研究結果可被提升。在社會科學中,以資料庫為 基礎之研究使研究者能取得關於取得數個社會條件之長期關連性基 礎知識,例如失業及教育與其他生存條件之相關性。透過資料庫得出 之研究結果提供堅實、高品質之知識,可作為依據知識形成政策之基 礎,並增進一定數量之人之生活品質,以及促進社會服務之效能。為 了促進科學研究,若依照歐盟法或會員國法所規定之適當條件及保護 措施,可為科學研究目的而處理個人資料。

(158) 當個人資料處理係為達成某些目的,本規則亦應適用於該處理, 惟須特別注意本規則不應適用於死者。依照歐盟法或會員國法,持有 公共利益紀錄之公務機關或公務機構或私人應有提供服務之法律義 務,亦即有義務取得、保存、評估、安排、描述、溝通、促進、宣傳 及提供對於一般公共利益有持久價值之記錄的存取。會員國亦應被授 權規範為達成某些目的所為個人資料之進階處理,例如規範在早期極 權主義國家政權、種族滅絕、納粹大屠殺等違反人類罪、或戰爭罪之 下的政治行為之相關特定資訊。

(159) 當個人資料係為科學研究目的而為處理,本規則亦應適用於該 等資料之處理。為本規則之目的,對於為科學研究目的所為個人資料 之處理應採較寬鬆之解釋,包括如科技發展及成果、基礎研究、應用 研究及私人贊助之研究。此外,應考量歐盟在歐洲聯盟運作條約第 179 條第 1 項達成歐洲研究區域之目的。科學研究目的亦應包括為符 合公共利益在公共衛生領域所進行之研究。為滿足處理個人資料用於 科學研究目的之特殊性,尤其是關於出版或以其他方式在科學研究目 的下揭露個人資料時,應適用特定之條件。若科學研究結果(尤其是 在公共衛生領域者)為符合資料主體利益提供了進一步措施之理由, 本規則之一般規定應適用該等措施。

(160) 為歷史研究目的進行個人資料處理時,本規則亦應適用於該資 料處理。此亦應包括歷史研究及家族史研究,尤應注意本規則不應適 用於死者。

(161) 為同意參與臨床試驗科學研究活動之目的,歐洲議會及歐盟理 事會之歐盟規則第 536/2014 號[15]應適用之。

[15] Regulation (EU) No 536/2014 of the European Parliament and of the Council of 16 April 2014 on clinical trials on medicinal products for human use, and repealing Directive 2001/20/EC (OJ L 158, 27.5.2014, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2014:158:TOC

(162) 當為統計目的進行個人資料處理時,本規則應適用於該等資料 處理。在本規則之限制範圍內,歐盟法或會員國法應決定統計內容、 存取控制、對為統計目的之個人資料處理的詳述、以及保護資料主體 權利與自由之適當措施,並確保統計機密性。統計目的係指任何蒐集 活動以及統計調查或產生統計結果所必須之個人資料處理。此等統計 結果可能進一步被用於不同的目的,包括科學研究目的。統計目的意 味著為統計目的之資料處理結果不是個人資料,而係總體資料,且該 結果或該個人資料並非用於支持關於任何特定當事人之措施或決 定。

(163) 歐盟及國家統計機關為產生歐洲官方及各國官方統計資料而 蒐集之機密資訊應被保護。歐洲統計資料應依歐洲聯盟運作條約第338 條第 2 項所定之統計原則為研製、製作及宣傳,但國家統計資料 亦應遵守會員國法律。歐洲議會及歐盟理事會之歐盟規則第 223/2009 號[16]規定關於歐洲統計資料統計機密性之進一步細節。

[16] Regulation (EC) No 223/2009 of the European Parliament and of the Council of 11 March 2009 on European statistics and repealing Regulation (EC, Euratom) No 1101/2008 of the European Parliament and of the Council on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities, Council Regulation (EC) No 322/97 on Community Statistics, and Council Decision 89/382/EEC, Euratom establishing a Committee on the Statistical Programmes of the European Communities (OJ L 87, 31.3.2009, p. 164). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2009:087:TOC

指南和案例法 发表评论
[js-disqus]