《通用数据保护条例》(GDPR)系列解读二：个人七大数据权利，企业违反或面临2000万罚款

GDPR的推出对数字时代个人数据保护具有重要意义，它赋予数据主体七项数据权利，极大地保障了个人对其数据的控制权。GDPR第三章规定，数据主体享有的七项数据权利分别是：访问权、更正权、删除权（“被遗忘权”）、限制处理权、可携带权、反对权，以及不受制于自动化决策的权利。

01 访问权

GDPR第15条规定，数据主体有权要求数据控制者告知其个人数据是否正在被处理；如果是，数据主体有权获取其个人信息以及以下相关信息：

（1）处理目的；

（2）正在处理的数据类别；

（3）将接收其数据的第三方或第三方的类别，尤其是位于欧盟以外的第三方或国际组织；

（4）如果有的话，须告知数据的预估存储期限；如果没有，也应告知用户影响存储期限的决定因素；

（5）告知用户拥有更正权、被遗忘权、限制处理权、反对权；

（6）用户有权向监管机构投诉；

（7）如果个人数据不是从数据主体处收集，应告知数据来源；

（8）告知其数据将被用于自动化决策，以及有关自动化决策逻辑的有用信息、决策的重要性及预估后果。

GDPR规定，如果个人数据被传输到欧盟以外的第三国或“国际组织”，数据主体有权被告知与这一传输有关的现行保障措施。

数据控制者应免费提供一份正在处理的个人数据的副本。如果数据主体索要多份副本，数据控制者可以按照管理成本收取合理费用。如果数据主体通过电子方式提出请求，数据应当以常用的电子形式提供。

02 更正权

GDPR第16条规定，“数据主体有权要求控制者对其不准确的个人数据做出更正，并不得无故拖延。考虑到处理目的，数据主体有权要求将不完整的个人数据补充完整，包括以提供补充说明的方式。”

简言之，用户可在两种情况下要求企业更正个人数据：1）数据不准确；2）数据不完整。 在收到用户提交的更正数据请求后，企业应及时响应，在收到用户请求一个月之内完成更正。此外，GDPR也规定，企业不仅有义务配合用户进