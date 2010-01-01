GDPR 定义了公司可以用于处理个人数据的法律依据。必须至少满足这些条件之一，否则即为非法处理。

数据主体同意处理其数据。如果个人同意，则公司可以处理其数据。只有在知情、确认且自由提供的情况下，同意才有效。

为了能够在知情的条件下同意，公司必须明确解释其收集的内容以及将如何使用这些数据。为了确认同意，用户必须采取意向明确的行动来表明他们同意，例如签署声明或选中复选框。同意不得设置为默认选项，因此预先选中复选框之类的方式会违反 GDPR。为了自由提供同意意见，公司不得以任何方式影响或胁迫数据主体。除非这种处理方式是相关服务正常运行的必要条件，公司不得要求用户同意才能使用某项服务。例如，公司可能需要某人的信用卡号才能向其出售某些产品，但可能不需要其 IP 地址。

如果是出于多种目的处理数据，公司不得捆绑同意意见。数据主体必须能够单独接受或拒绝每个处理活动。组织必须保留同意记录。数据主体可以随时撤销同意。如果撤销，则公司必须停止处理。

必须处理数据，才能与数据主体或代表主体签订合同。例如，如果有人申请贷款，银行可能需要处理他们的财务数据和雇佣记录。

控制者有处理数据的法律义务。例如，一些医疗卫生法规要求医院将患者数据存档。

必须对数据进行处理以保护数据主体或其他人的切身利益。这是指必须处理数据以挽救他人生命或防止伤害的情况。

必须处理数据以执行符合公共利益或控制者官方部分权力的任务。新闻行业是出于公共利益原因处理个人数据的典型案例。政府机构可以处理个人数据以履行其官方职能。

必须对数据进行处理以追求控制者或第三方的合法权益。合法权益是指公司可以通过数据处理获得的利益。例如，出于网络安全目的对员工进行背景调查或跟踪公司网络上的 IP 地址。处理属必要的，才能算作合法权益。如果公司能够在没有相关数据的情况下完成任务，则不得主张合法权益。数据主体还必须对处理情况有合理预期。如果数据主体获悉以某种方式使用他们的数据而感到意外，该公司可能并没有合法的利益理由。数据主体的权利通常高于公司的合法权益。

收集数据之前，组织必须建立并记录其基础。他们必须将这些基础传达给用户。未经数据主体同意，公司不得事后改变其基础。