數據保護指令

向右隱私是法律在歐洲高度發達的區域。 ^[1]  歐洲聯盟（歐盟）的所有成員國也是“歐洲人權公約”（ECHR）的簽署國。“歐洲人權公約”第8條規定了尊重一個人的“私人和家庭生活，他的家和他的通信”的權利，但受到某些限制。在歐洲人權法院已經給這篇文章在其判例中一個非常寬泛的解釋。

1980年，為了在整個歐洲建立全面的數據保護系統，經濟合作與發展組織（經合組織）發佈了“理事會關於保護個人數據隱私和跨境流動指南的建議”。經合組織關於保護個人數據的建議的七項原則是：

在經合組織準則，然而，非約束性和數據隱私法仍然在歐洲差別很大。與此同時，美國在贊同經合組織的建議的同時，並未在美國實施這些建議。然而，所有七項原則都納入了歐盟指令。

該指令規定了個人數據的處理，無論這種處理是否自動化。

個人數據被定義為“與已識別或可識別的自然人有關的任何信息（”數據主體“）；可識別的人是可以直接或間接識別的人，特別是通過參考識別號或一個或多個特定於他的身體，生理，心理，經濟，文化或社會身份的因素。

這個定義意味着非常廣泛。當有人能夠將信息鏈接到某個人時，即使持有該數據的人不能建立此鏈接，數據也是“個人數據”。“個人數據”的一些例子是：地址，信用卡號，銀行對賬單，犯罪記錄等。

概念處理是指“對個人數據執行的任何操作或一組操作，無論是否通過自動方式，例如收集，記錄，組織，存儲，改編或更改，檢索，諮詢，使用，通過傳輸，傳播進行披露或以其他方式提供，對齊或組合，阻止，擦除或破壞；“ 。

合規責任在於“控制人”的肩上，這意味着自然或人為的人，公共權力機構，機構或任何其他單獨或與他人共同確定個人數據處理目的和方式的機構；

數據保護規則不僅適用於歐盟內部建立控制器，也適用於控制器使用位於歐盟內部的設備以處理數據的情況。（第4條）來自歐盟以外的歐盟處理數據的控制者必須遵守數據保護法規。原則上，與歐盟居民進行的任何在線商業交易都會處理一些個人數據，並且會使用歐盟的設備來處理數據（即客户的計算機）。因此，網站運營商必須遵守歐洲數據保護規則。該指令是在互聯網取得突破之前編寫的，迄今為止，關於這一主題的判例很少。

除非滿足某些條件，否則不應處理個人數據。這些條件分為三類：透明度，合法目的和相稱性。

1）透明度

數據主體有權在處理其個人數據時獲得通知。控制人必須提供他的姓名和地址，處理目的，數據的接收者以及確保處理公平所需的所有其他信息。

只有在滿足下列條件之一時才能處理數據（第7條）：

2）合法目的

個人數據只能出於指定的明確和合法目的進行處理，並且不得以與這些目的不相容的方式進一步處理。個人數據必須具有防止濫用和尊重“歐盟法律保障的數據所有者的某些權利”的保護。

3）比例

個人數據只能在與其收集和/或進一步處理的目的相關且足夠，相關且不過量的情況下進行處理。數據必須準確，並在必要時保持最新;必須採取一切合理步驟，以確保在考慮到收集目的或進一步處理的目的後，刪除或糾正不準確或不完整的數據;不應將數據保存在允許識別數據主體的時間長於收集數據或進一步處理數據的目的所需的數據中。會員國應為長期存儲的個人數據制定適當的保障措施，以供歷史，統計或科學使用。

如果敏感的個人數據（可能是：宗教信仰，政治觀點，健康，性取向，種族，過去組織的成員資格）正在處理中，則需要額外的限制。數據主體可以隨時反對處理個人數據以進行直接營銷。基於算法的決策產生法律效果或顯着影響數據主體可能不僅僅基於數據的自動處理。在使用自動決策程序時，應提供上訴形式。