中译完整版:欧盟EDPB《基于正当利益规则处理个人数据的指南》

 

 

《基于GDPR第6(1)(f)条处理个人数据的指南》
整理:何渊
 
2024年第1号指南   版本1.0
2024年10月8日通过
 
执行摘要
 
本指南分析了GDPR第6(1)(f)条中规定的标准,控制者必须满足这些标准,才能合法地进行“为控制者或第三方追求的正当利益所必需的”个人数据处理。GDPR第6(1)(f)条是GDPR设想的六个合法处理个人数据的法律依据之一。第6(1)(f)条不应被视为在其他法律依据不适用时的“最后手段”,也不应自动选择或基于其限制较少的错误认识而不适当地扩大使用。
 
为了基于GDPR第6(1)(f)条进行处理,必须满足三个累积条件:
 
- 首先,控制者或第三方追求的正当利益;
- 其次,为追求正当利益所必需的个人数据处理;
- 第三,数据主体的利益或基本权利和自由没有超过控制者或第三方的正当利益。
 
为了确定某一特定的个人数据处理是否可以基于第6(1)(f)条,控制者应仔细评估并记录这三个累积条件是否满足。该评估应在进行相关处理操作之前完成。
 
关于追求正当利益的条件,并非控制者或第三方的所有利益都可被视为正当;只有那些合法的、明确表达的、现实存在的利益才能被有效地作为依据来依赖第6(1)(f)条作为法律依据。控制者还有责任通知数据主体,说明处理是基于第6(1)(f)条所追求的正当利益。
 
关于为追求正当利益所必需的个人数据处理的条件,应当确定是否可以通过其他不太限制数据主体基本权利和自由的方式,以同样有效的方式实现所追求的正当利益,同时还要考虑GDPR第5(1)条中规定的原则。如果存在这样的其他方式,则不应基于第6(1)(f)条进行处理。
 
关于数据处理不应超越控制者或第三方正当利益的条件,这一条件要求对相关权利和利益进行权衡,这在原则上取决于具体处理的具体情况。只有在这种权衡的结果是正当利益没有被数据主体的利益、权利和自由所超越时,处理才可以进行。
 
对GDPR第6(1)(f)条的适当评估并非简单的工作。相反,这种评估,特别是对相对立的利益和权利进行平衡,要求充分考虑多个因素,如相关正当利益的性质和来源、处理对数据主体的影响以及他们对处理的合理期望,以及是否存在额外的保障措施可以限制对数据主体的不当影响。本指南提供了关于如何在实践中进行这种评估的指导,包括在某些特定情境中(例如,防止欺诈、直接营销、信息安全等)可以考虑这种法律依据的使用。
 
本指南还解释了GDPR第6(1)(f)条与GDPR下若干数据主体权利之间的关系。
 
---
 
目录
 
I. 引言 4
 
II. 评估GDPR第6(1)(f)条适用性时应考虑的要素 6
 
A. 第一步:控制者或第三方追求的正当利益 7  
1. 控制者或第三方追求的利益的“正当”性质 7  
2. 控制者或第三方追求的利益 9  
 
B. 第二步:为追求正当利益而进行处理的必要性分析 12  
 
C. 第三步:平衡测试的方法论 12  
1. 数据主体的利益、基本权利和自由 13  
2. 处理对数据主体的影响 14  
   2.1. 所处理数据的性质 14  
   2.2. 处理的背景 14  
   2.3. 处理的进一步后果 15  
3. 数据主体的合理期望 16  
4. 完成平衡测试 18  
 
III. GDPR第6(1)(f)条与数据主体权利之间的关系 19  
1. 数据主体权利的引言 19  
2. 向数据主体提供的透明度和信息 20  
3. 查阅权 21  
4. 反对权 21  
5. 删除权 23  
6. 自动化个人决策,包括分析 24  
7. 更正权 25  
8. 限制处理权 25  
 
IV. GDPR第6(1)(f)条的具体应用背景 26  
1. 儿童个人数据的处理 26  
2. 公共当局的处理 28  
3. 防止欺诈的目的处理 28  
4. 直接营销目的的处理 29  
   4.1. 直接营销的概念 29  
   4.2. 特定法律要求的合规性,排除依赖第6(1)(f)条 31  
   4.3. 在法律未排除依赖第6(1)(f)条时进行个案评估 32  
   4.4. 反对直接营销处理的权利 33  
5. 集团内为内部行政目的进行处理 33  
6. 为确保网络和信息安全进行的处理 34  
7. 向主管当局传输个人数据 35  
   7.1. 向主管当局指明可能的犯罪行为或公共安全威胁 35  
   7.2. 来自第三国当局的请求和向其披露信息 36
 
---
 
 I. 引言
 
1. 根据《欧盟基本权利宪章》第8条,个人数据的处理必须公平、为了特定目的进行,并且必须基于法律规定的正当依据。GDPR第6(1)条规定,只有在至少符合第6(1)(a)至(f)条规定的六种法律依据之一的情况下,数据处理才是合法的。因此,在控制者开始处理个人数据之前,必须确定适用的法律依据,并确保至少符合第6(1)条中的一项法律依据。需要强调的是,GDPR并未在第6(1)条中不同的法律依据之间设立任何优先等级。
 
2. GDPR第6(1)(f)条提供了一个合法处理个人数据的法律依据,前提是“处理是为了控制者或第三方追求的正当利益所必需的,除非这些利益被数据主体需要保护个人数据的利益或基本权利和自由所超越,特别是在数据主体为儿童的情况下。”
 
3. 根据问责原则,除法律另有规定外,确定特定数据处理的法律依据是控制者的责任。因此,本指南的主要目的是帮助控制者评估其是否可以依赖GDPR第6(1)(f)条作为其处理个人数据的合法依据。
 
4. 此外,欧洲数据保护委员会(以下简称“EDPB”)提醒,特定个人数据处理的法律依据需要在GDPR整体框架下进行考虑,结合GDPR第1条所设定的目标,并且应当与控制者在处理个人数据时必须遵守的《数据保护原则》(GDPR第5条)一起考量,如“数据最小化”原则。在这方面,还应注意,根据GDPR第5条,控制者有责任证明数据的收集是出于特定的、明确的和正当的目的,并且数据的处理是合法的、公平的,并且对数据主体是透明的。
 
5. GDPR第6(1)(f)条的法律依据并不是一个新的规定。在《95/46/EC指令》第7条(f)款中也有一个类似的法律依据,该条款规定,如果数据处理对于控制者或被披露数据的第三方追求的正当利益是必需的,且这些利益没有被数据主体的利益或基本权利和自由所超越,则该处理可以被视为合法。因此,本指南是基于并更新了《第29条数据保护工作组》在2014年4月发布的关于控制者正当利益概念的第06/2014号意见。然而,需要强调的是,随着GDPR的通过,欧盟数据保护的法律框架已经发生了变化。特别是,GDPR加强了数据主体的地位,增加了数据主体权利的执行和控制者的义务,包括将工作组的建议和立场编纂为法律。此外,必须注意的是,自从上述工作组意见发布以来,欧洲法院已经对GDPR第6(1)(f)条做出了若干判决,这些判决在评估这一法律依据时必须被考虑。
 
6. 为了基于正当利益作为法律依据进行处理,必须满足三个累积条件:
   - 首先,控制者或第三方必须追
 
求一个正当利益;
   - 其次,必须证明为追求该正当利益而处理个人数据是必要的(即,处理个人数据对于追求这些目的来说是“必需的”);
   - 第三,数据主体的利益或基本权利和自由没有超过控制者或第三方的正当利益。
 
7. 关于第三个条件,控制者必须权衡其正当利益或第三方的正当利益与“数据主体的利益或基本权利和自由”。这种关于基本权利、自由和相关利益的“平衡测试”必须针对每一次依赖正当利益作为法律依据的处理进行,并且必须在进行相关处理操作之前完成。
 
8. 还应强调,GDPR第6(1)(f)条不适用于公共当局在履行其任务时进行的数据处理。
 
9. GDPR第6(1)(f)条不能被视为一种“默认”法律依据。相反,在依赖这一法律依据之前,控制者应仔细评估所计划的处理并遵循具体的方法论。第6(1)(f)条的开放性并不意味着该条款只能作为“最后手段”在稀有或不可预见的情况下使用,或作为当没有其他法律依据适用时的最后选择。同样,第6(1)(f)条也不应被视为控制者的首选项,也不应为规避特定的法律要求或认为它比第6(1)条中的其他法律依据限制性更小而被不当延伸使用。换句话说,第6(1)(f)条不应被视为一扇为所有不属于其他法律依据的数据处理活动打开的大门。相反,需要注意的是,第6(1)(f)条与第6(1)条中列出的其他法律依据一样,必须进行严格解释。
 
10. 应强调的是,当个人数据因不同目的被处理时,每个目的的处理都必须符合GDPR第6(1)条规定的一个法律依据。处理的目的和法律依据必须在处理之初明确,并且必须通知数据主体。因此,依赖GDPR第6(1)(f)条进行的数据处理不应涵盖多个目的,除非对每个目的都进行了法律依据的有效性评估。
 
11. 本指南不影响《2002/58/EC指令》(“电子隐私指令”),该指令规定了在电子通信领域作为法律依据的同意的角色。
 
---
 
 II. 评估GDPR第6(1)(f)条适用性时应考虑的要素
 
12. 为了确定某个个人数据处理是否可以基于GDPR第6(1)(f)条,控制者必须仔细评估是否可以满足上述三个累积条件,以确保该处理合法。此评估应遵循下述三步流程,尽管在某些情况下,第二和第三个条件的检查可能会合并,因为评估处理个人数据是否是为追求正当利益所必需的,与平衡相关权利和利益往往相关联。此评估应在处理开始时进行,并在需要时由数据保护官员(如果指定了此职位)参与,且应根据GDPR第5(2)条中的问责原则由控制者记录在案。
 
13. 需要从一开始就强调,控制者或第三方追求正当利益的存在与识别本身并不足以依赖GDPR第6(1)(f)条作为法律依据。控制者只有在评估并得出结论认为计划中的处理是为了追求此类正当利益的严格必要时,才可以依赖此法律依据,并且还需要确认数据处理没有超越数据主体的利益或基本权利与自由,如下文将进一步解释。
 
---
 
#### A. 第一步:控制者或第三方追求的正当利益
 
##### 1. 控制者或第三方追求的利益的“正当”性质
 
14. “利益”的概念与“目的”密切相关,但有所不同。“目的”是数据处理的具体原因,即处理的目标或意图。而“利益”则是控制者或第三方可能通过特定处理活动获得的更广泛的利益。例如,控制者可能有推广其产品的利益,而这种利益可以通过为直接营销目的处理个人数据来实现。
 
15. 并非所有的利益都能使控制者引用GDPR第6(1)(f)条作为法律依据。欧洲法院明确指出,在评估是否可以将GDPR第6(1)(f)条作为有效的法律依据时,第一步是检查控制者所追求的利益是否可以被视为“正当”。换句话说,在进行下一步评估之前(即在评估为追求相关正当利益而处理个人数据是否必要之前),控制者需要得出结论,认为所追求的利益是“正当的”。
 
16. 没有一个穷尽的正当利益列表。GDPR中并未对这一概念进行定义,原则上,一系列广泛的利益都可以被视为正当的。GDPR及欧洲法院已明确承认了一些正当的利益,例如:访问在线信息的权利、确保公开可访问网站的持续运行、获取损坏他人财产的个人信息以便起诉该人索赔、保护建筑物共同所有人的财产、健康和生命、产品改进以及评估个人的信用度等。
 
17. 一个利益可以被视为“正当的”,如果满足以下累积标准:
   - 该利益是合法的,即不违反欧盟或成员国的法律。尽管GDPR第6(1)(f)条中的“正当利益”概念并不局限于法律中明文规定的利益,但该利益必须是合法的;
   - 该利益被明确且精确地表述出来。追求的正当利益范围必须清楚地被识别,以确保能够与数据主体的利益或基本权利和自由进行适当的权衡;
   - 该利益是现实存在的,而非假设性的。如欧洲法院所明确的,正当利益必须在数据处理时是现实存在并有效的,而非假设性的。
 
18. GDPR第47条前言明确指出,在某些情况下,控制者和数据主体之间存在相关且适当的关系时,可能存在正当利益,例如数据主体是控制者的客户或为其服务。然而,这仅是一个可能指示某利益可以被视为“正当”的例子,并不影响控制者的义务,即必须评估并确保所有依赖GDPR第6(1)(f)条作为法律依据的处理操作都满足三个累积条件。
 
##### 示例1:
 
一家销售电子烟及其补充液的欧洲公司希望通过向居住在欧盟某个特定地区的客户发送促销邮件来推广其产品。为此,公司需要收集并处理此类客户的个人数据(如电子邮件地址和姓名)。尽管为了直接营销目的而处理个人数据通常可以被视为出于正当利益,但在这些特定情况下,该利益可能无法被视为“正当的”,因为基于欧盟《烟草制品指令》及其国家法令的规定,信息社会服务中的商业通信若旨在直接或间接促销电子烟及其补充液,通常是被禁止的。
 
*注:此示例仅用于说明不正当的利益,不影响此类处理行为在GDPR第6(1)(f)条的其他要素或其他相关法律中的合规性。*
 
##### 示例2:
 
某“邻里守望”组织决定出于“社会公益”,希望在某个社区安装视频监控系统,以监控该区域的犯罪活动。尽管在某些情况下,保护财产、健康和生命可以被视为正当利益,但在当前情况下,控制者提出的正当利益非常模糊,因为它以笼统的术语表达,并未明确具体的安全问题。因此,这一利益未被充分表述,无法评估其正当性并继续GDPR第6(1)(f)条规定的三步评估过程。
 
*注:此示例仅用于说明利益不够明确,不影响此类处理行为在GDPR第6(1)(f)条的其他要素或其他相关法律中的合规性。*
 
##### 示例3:
 
一家报纸计划建立一个由未续订订阅的前订户组成的数据库,以便在将来推出新杂志时能够重新联系这些订户,作为客户关系的一部分。然而,在创建数据库时,该报纸尚未制定推出新杂志的具体计划。
 
在这种情况下,控制者通过创建数据库追求的利益不能被视为现实存在的,因为推出新杂志的计划在此阶段仍然是假设性的。因此,控制者所追求的利益无法被视为“正当的”。
 
*注:此示例仅用于说明利益不现实存在,不影响此类处理行为在GDPR第6(1)(f)条的其他要素。*
 
---
 
 II. 评估GDPR第6(1)(f)条适用性时应考虑的要素(续)
 
##### 2. 控制者或第三方追求的利益
 
19. GDPR第6(1)(f)条提到的是“控制者或第三方”所追求的正当利益。通常情况下,控制者所追求的利益应与控制者的实际活动相关。例如,尽管向执法机构共享信息以防止、检测和起诉犯罪行为本身是一个正当利益,但原则上,它不能构成一个主要从事经济和商业活动的控制者所追求的正当利益,因为这与其经济和商业活动无关。
 
20. 然而,GDPR第6(1)(f)条的措辞中提到了“第三方所追求的利益”,这表明一个或多个具体第三方的利益也可以合法地被追求,因此可以与数据主体的利益或基本权利和自由进行权衡。在某些情况下,个人数据的处理可以同时服务于控制者和第三方的正当利益。第三方利益的正当性应当根据与控制者自身利益相同的标准进行评估。
 
##### 示例4:
 
一名出租车司机把车停在路边。当一辆摩托车经过出租车时,出租车后座的乘客打开了车门,摩托车因此被擦伤并损坏。随后启动了诉讼程序,并作出了报告,出租车司机被认定为事故的责任方。摩托车车主因此要求出租车司机的责任险保险公司进行赔偿。然而,保险公司告知摩托车车主,由于事故是由出租车乘客的行为引起的,而不是司机的行为引起的,因此不会支付赔偿。因此,保险公司建议摩托车车主应对乘客提起民事诉讼。
 
根据这一建议,摩托车车主联系了出租车公司,要求其提供有关出租车乘客身份的信息,以便发起民事诉讼,索赔损失。
 
在这种情况下,出租车公司是控制者,乘客是数据主体。摩托车车主是第三方,并且有正当利益获取导致其财产受损的人的身份信息,以便提出赔偿要求。在这种背景下,数据的披露可被视为为追求第三方的正当利益。因此,GDPR第6(1)(f)条可以作为共享出租车乘客个人数据的有效法律依据,目的是追求摩托车车主的正当利益。
 
*注:此示例仅用于说明由第三方追求的正当利益的概念,不影响此类处理行为在国家法律下的合法性,或受害者如何通过其他方法获得对未追踪到的车辆的赔偿。*
 
21. 以下列出了一些主要的情境,在这些情境下,个人数据可能会为了第三方的利益而被处理。
 
22. **确立、行使或抗辩法律主张。** 第三方可能有确立、行使或抗辩法律主张的正当利益。例如,在**Rīgas satiksme**案中,欧洲法院认定“第三方为了获得损坏其财产的人的个人信息,以便起诉该人索赔的利益,可以被视为正当利益”。
 
23. **为透明度和问责目的披露数据。** 另一个重要的情境是出于透明度和问责目的披露数据(例如,在某些情况下披露公司高管的薪酬信息),即使法律或合同没有明确要求这样做。在这种情况下,可以认为数据的披露主要不是为了控制者的利益,而是为了那些获取该信息的人的利益,如公司的员工或股东。
 
24. **历史或其他类型的科学研究。** 历史或其他类型的科学研究是另一个重要的情境,在这个情境下,第三方的正当利益可能相关。
 
25. **公众利益或第三方利益。** GDPR第6(1)(f)条提到的第三方利益不应与更广泛的社区利益(公共利益)相混淆,尽管在某些情况下,特定控制者或特定第三方追求的利益也可能服务于更广泛的利益。公共利益主要由GDPR第6(1)(e)条或第6(1)(c)条中的正当理由进行解释,如果控制者的任务是由法律规定或要求的。例如,私人运营商可能有义务协助执法机构打击某些非法活动。如果控制者的进一步活动未在法律法规中明确列出,则需要证明这些活动是为了控制者自身或特定第三方的正当利益进行的。在任何情况下,正当利益不能用于规避法律要求。
 
26. 在这种背景下需要回顾的是,如果个人数据将用于与最初收集目的不同的目的,控制者必须检查并确保新目的与原目的兼容(根据GDPR第6(4)条)。因此,通常情况下,当个人数据最初是为了控制者的正当利益而收集的,而后为了第三方的正当利益进行进一步处理时,需要进行兼容性评估。
 
27. 然而,必须强调的是,只有在下述必要性和权衡测试(参见本章的B节和C节)也已完成,并且这些测试的结果对控制者有利的情况下,GDPR第6(1)(f)条才可以作为有效的法律依据。
 
---
 
#### B. 第二步:分析处理是否为追求正当利益所必需
 
28. 有关“处理的必要性”的条件并不仅限于依赖GDPR第6(1)(f)条作为法律依据进行的处理。首先需要明确的是,“为了控制者或第三方追求的正当利益所必需”的概念不只是指为了追求该利益而有用。必要性的概念在欧盟法律中有其独立的含义,必须以充分反映数据保护法目标的方式进行解释。因此,它还涉及对隐私和个人数据保护的基本权利的考虑,以及数据保护原则的要求。
 
29. 评估什么是“必要的”包括确认在实践中,追求正当数据处理利益不能通过对数据主体的基本权利和自由侵害较少的其他方式以同样有效的方式实现。如果存在合理的、同样有效的、但侵害较少的替代方案,那么处理就不应被视为“必要的”。在这一背景下,欧洲法院明确指出,处理必要性条件必须与GDPR第5(1)(c)条中规定的数据最小化原则一起进行审查,根据该原则,个人数据必须是“适当的、相关的,并且限于为处理目的所必需的”。法院还强调,处理应仅限于为追求识别出的正当利益“严格必要的”范围内。GDPR第47条前言还指出:“为了防止欺诈而进行的个人数据处理,仅限于为防止欺诈所必需的范围内。”
 
30. 需要注意的是,在实践中,控制者为追求自身的正当利益而处理数据时,通常比为追求第三方利益处理数据更容易证明必要性,因为后者通常不在数据主体的预期范围内。
 
---
 
#### C. 第三步:权衡测试的方法论
 
31. 如果控制者所追求的正当利益是合法的,并且处理是出于这些利益的必要性,那么为了依赖GDPR第6(1)(f)条作为法律依据,最后需要满足的条件是,所追求的正当利益不得被数据主体的利益或基本权利和自由所超越。本节指南概述了这一第三步(在本指南中称为“平衡测试”或“权衡测试”)。
 
32. 该条件涉及对相关权利和利益的平衡,这主要取决于特定处理的具体情况。在对控制者或第三方追求的正当利益的正当性进行评估并分析处理的必要性后,控制者必须识别并描述以下几个方面:
 
   i) 数据主体的利益、基本权利和自由;  
   ii) 数据处理对数据主体的影响,包括:  
       a. 所处理的数据的性质,  
       b. 处理的背景,和  
       c. 处理的进一步后果;  
   iii) 数据主体的合理期望;  
   iv) 权衡相对权利和利益的最终步骤,包括进一步减轻影响的可能措施。
 
33. 需要记住的是,平衡测试的目的不是避免对数据主体的利益和权利造成任何影响,而是要避免过度的影响,并评估这些方面相互之间的权重。
 
34. 最后需要提醒的是,随着GDPR的生效,许多曾经可以被视为减少对数据主体影响的措施或在《95/46/EC指令》下被认为是缓解措施的行动,现在已成为控制者的法律义务。这对平衡测试尤为重要,平衡测试的前提是控制者已经遵守GDPR中规定的原则和义务。因此,以下小节仅在控制者的行动超出GDPR所要求的情况下,才将这些行动视为限制影响或缓解措施。
 
---
 
III. GDPR第6(1)(f)条与数据主体权利之间的关系
 
#### 1. 数据主体权利
 
60. GDPR第三章规定了数据主体的权利,并列出了行使这些权利的要求,向控制者施加了义务。值得强调的是,根据GDPR第12(1)条,控制者应采取适当措施,以简明、透明、易懂和容易获取的形式,使用清晰明了的语言向数据主体提供有关处理的信息和通信。控制者还应根据GDPR第12(2)条的规定,促进数据主体权利的行使。针对数据主体提出的要求行使GDPR第15至22条中的权利,控制者应在不延误的情况下,并且在收到请求后不超过一个月的时间内,提供处理情况的相关信息,或说明为何未采取行动。
 
61. 在某些情况下,这一处理期限可能会延长,详情请见GDPR第12(3)条。
 
62. 尽管遵守GDPR中的数据主体权利是一项法定义务(因此控制者不能将其视为在平衡测试中考虑的缓解措施),但某些条款所规定的权利是有特定条件的。超出GDPR严格要求的合规可能会被视为额外的保障,可以在平衡测试中加以考虑。
 
63. 此外,在这种背景下,GDPR第25条明确规定,控制者有责任在确定处理方式时采取适当的技术和组织措施,以有效的方式整合必要的保障措施,确保在处理时保护数据主体的权利。
 
---
 
#### 2. 向数据主体提供透明度和信息
 
64. 正如任何落入GDPR范围内的个人数据处理活动一样,基于GDPR第6(1)(f)条进行处理的控制者必须遵守其在第12、13和14条规定的透明度义务。控制者有义务向数据主体提供处理的相关信息,包括处理的正当利益和对数据主体权利的影响。
 
---
 
#### 3. 查阅权
 
65. 根据GDPR第15条,数据主体有权请求控制者提供其个人数据是否正在处理的确认,并获得有关处理的信息,包括处理的目的、个人数据的类别、数据接收者或接收者类别,以及数据存储期等。控制者应向数据主体提供一份其正在处理的个人数据的副本。如果控制者基于GDPR第6(1)(f)条进行处理,则数据主体可以利用查阅权来获取与处理相关的具体信息。
 
---
 
#### 4. 反对权
 
66. GDPR第21条赋予数据主体在某些条件下的反对权。具体来说,如果个人数据的处理基于GDPR第6(1)(e)或第6(1)(f)条,数据主体有权在任何时候基于其具体情况反对该处理,除非控制者能够证明处理是基于令人信服的合法理由,且这些理由凌驾于数据主体的利益、权利和自由之上,或者该处理是用于确立、行使或抗辩法律主张的。在直接营销目的下的数据处理方面,数据主体有权随时反对处理,不论其具体情况如何。
 
---
 
#### 5. 删除权
 
67. 数据主体还根据GDPR第17条享有删除权,即要求控制者在某些情况下删除其个人数据。这些情况下包括数据处理不再必要,或数据主体撤回同意且没有其他合法依据进行处理等。然而,删除权并非绝对的。如果数据处理基于GDPR第6(1)(f)条,控制者需要考虑数据主体的删除要求,并权衡其正当利益是否能够凌驾于数据主体的权利之上,尤其是在控制者能够证明其正当利益有令人信服的理由时。
 
---
 
#### 6. 自动化决策,包括分析
 
68. 根据GDPR第22条,数据主体有权不受仅基于自动化处理(包括分析)而作出的决策的约束,除非该决策对于履行或签订合同是必要的,或法律允许,或获得了数据主体的明确同意。如果处理是基于GDPR第6(1)(f)条,控制者应特别注意,自动化决策带来的影响可能超出其正当利益所能合理覆盖的范围,尤其是在此类决策会对数据主体产生显著影响时。
 
---
 
#### 7. 更正权
 
69. 数据主体有权根据GDPR第16条要求控制者更正不准确的个人数据或完成不完整的数据。在基于GDPR第6(1)(f)条处理个人数据的情况下,控制者应确保其所处理的个人数据是准确的,并且在必要时进行更正。
 
---
 
#### 8. 限制处理权
 
70. 根据GDPR第18条,在特定情况下,数据主体有权要求限制其个人数据的处理。例如,当数据主体对数据的准确性提出质疑时,或者数据主体已提出反对,而控制者正在验证其正当利益是否凌驾于数据主体的权利和自由之上时。如果处理基于GDPR第6(1)(f)条,数据主体可以在这些特定情况下行使限制处理权。
 
---
 
 IV. GDPR第6(1)(f)条的具体应用背景
 
71. GDPR第6(1)(f)条作为数据处理的合法依据,可能在多个不同的背景中应用。以下将介绍一些具体的应用情境。
 
#### 1. 儿童个人数据的处理
 
72. 根据GDPR第6(1)(f)条,控制者可以为正当利益处理儿童的个人数据,但需要特别注意相关的风险以及这些风险对儿童基本权利和自由的潜在影响。GDPR第38条前言明确指出,儿童应当在数据处理方面得到特别保护,因为他们可能不完全了解数据处理带来的风险、后果、保障措施及其权利。
 
73. 对于儿童的个人数据处理,尤其是在涉及直接营销、创建用户档案或向儿童提供服务时,控制者应更加谨慎地进行平衡测试。GDPR第8条还规定了在某些情况下处理儿童个人数据时需要获得父母或监护人的同意,尤其是在信息社会服务中。这些规定反映了儿童在面对数据处理时的特殊脆弱性和需要的特殊保护。
 
#### 2. 公共当局的处理
 
74. 根据GDPR第6(1)(f)条,公共当局在执行其法定任务时不能依赖该条款作为合法依据。然而,在非公共任务领域,公共当局也可以基于正当利益来处理个人数据,前提是他们进行的处理行为不涉及其作为公共权力的行使。这种情况下,公共当局应与私营部门的控制者一样,遵循相同的正当利益评估标准。
 
#### 3. 防止欺诈的目的处理
 
75. 防止欺诈是GDPR第6(1)(f)条中明确提到的正当利益之一。控制者可以出于防止欺诈的目的处理个人数据,前提是该处理对于识别和防止欺诈行为是严格必要的。GDPR第47条前言也指出,防止欺诈的处理活动应限于为防止欺诈所绝对必要的范围。
 
76. 控制者在依赖第6(1)(f)条进行防止欺诈的数据处理时,仍然需要进行平衡测试,并确保其正当利益没有超越数据主体的基本权利和自由。在进行该类处理时,数据最小化原则和处理的透明度尤为重要。
 
#### 4. 直接营销目的的处理
 
##### 4.1 直接营销的概念
 
77. 直接营销是GDPR第6(1)(f)条下另一个明确提到的正当利益。例如,公司可以依赖正当利益向客户发送与其现有服务相关的营销信息。然而,控制者仍然需要在依赖正当利益进行直接营销时进行平衡测试,以确保该处理不会对数据主体的基本权利和自由产生过大的影响。
 
78. 在某些情况下,控制者可能需要依赖GDPR第6(1)(a)条(同意)作为进行直接营销的法律依据,尤其是在针对非客户或潜在客户进行营销时。正当利益通常适用于已有客户关系的情况下,而在没有直接关系的情况下,通常需要获得明确的同意。
 
##### 4.2 合规与特定法律要求
 
79. 某些法律要求可能限制控制者依赖第6(1)(f)条作为直接营销的法律依据。例如,《电子隐私指令》对电子邮件营销活动有明确规定,要求在发送未经请求的电子邮件时,必须事先获得收件人的同意。控制者在计划进行直接营销活动时,必须确保遵守所有相关的法律规定,而不仅仅是依赖GDPR第6(1)(f)条。
 
##### 4.3 当法律未排除依赖第6(1)(f)条时的个案评估
 
80. 在法律未明确排除使用第6(1)(f)条作为法律依据的情况下,控制者可以依赖此条
 
款进行直接营销,但必须逐个案例进行评估。控制者应进行详细的平衡测试,以确保数据主体的权利没有被超越。此外,控制者应向数据主体提供明确的反对权,使其能够轻松地选择不再接收此类营销信息。
 
##### 4.4 反对直接营销处理的权利
 
81. 根据GDPR第21(2)条,数据主体有权随时反对其个人数据用于直接营销目的的处理,而无需提供具体理由。控制者在收到反对请求后,必须立即停止处理数据主体的个人数据以用于此类目的。此外,控制者必须确保在首次与数据主体进行通信时明确告知其反对此类处理的权利,并为数据主体提供行使该权利的简便途径。
 
#### 5. 集团内为内部行政目的进行的处理
 
82. 集团内的公司可能会基于GDPR第6(1)(f)条进行数据共享,以便出于内部行政目的处理个人数据,例如集团内的人力资源管理或IT支持。然而,控制者仍然需要确保所追求的正当利益不超越数据主体的权利和自由。此外,集团内的数据共享应遵循数据最小化原则,并确保仅处理为达到特定行政目的所必需的数据。
 
83. 在进行集团内的数据共享时,控制者还应特别注意透明度要求,确保数据主体了解其个人数据在集团内部被共享的情况,并告知他们如何行使自己的权利。
 
#### 6. 为确保网络和信息安全进行的处理
 
84. GDPR第6(1)(f)条还可以作为处理个人数据以确保网络和信息安全的法律依据。控制者可以处理个人数据,以确保其网络和信息系统的安全性,防止未经授权的访问、网络攻击或其他安全威胁。
 
85. 在这种背景下,控制者需要证明其处理行为对于确保系统的安全性是必要的,并且在进行处理之前,已进行了充分的平衡测试。此外,控制者应采取适当的技术和组织措施,确保其处理活动符合GDPR第32条规定的安全要求。
 
#### 7. 向主管当局传输个人数据
 
##### 7.1 向主管当局指明可能的犯罪行为或公共安全威胁
 
86. 在某些情况下,控制者可能需要向主管当局披露个人数据,以报告可能的犯罪行为或对公共安全的威胁。GDPR第6(1)(f)条可以作为这种数据传输的法律依据,前提是控制者可以证明其传输数据的行为是为追求正当利益所必需的,且这些利益未被数据主体的权利和自由所超越。
 
87. 然而,控制者应确保数据传输严格限于为报告犯罪行为或安全威胁所必需的范围。为了确保数据主体的权利得到充分保护,控制者还应采取适当的安全措施,防止数据的滥用或不当披露。
 
##### 7.2 来自第三国当局的请求和向其披露信息
 
88. 当来自第三国的主管当局请求提供个人数据时,控制者应特别谨慎。在进行此类数据传输之前,控制者需要确保相关的第三国提供了GDPR第45条所要求的充分保护水平,或者采取了第46条规定的适当保障措施。如果这些条件未得到满足,控制者则必须获得数据主体的明确同意,或根据GDPR第49条的例外情况进行数据传输。
 
---
 
V. 总结
 
89. 本指南旨在为控制者在依赖GDPR第6(1)(f)条作为处理个人数据的合法依据时提供清晰的框架。控制者必须仔细评估所追求的正当利益是否满足GDPR规定的条件,并在必要时记录评估过程。同时,控制者还应注意与数据主体的权利、自由和利益之间的平衡,以确保在保护个人数据的同时实现其正当利益。
 
90. 在进行任何处理操作之前,控制者应确保遵循适当的评估流程,并考虑到可能需要的透明度和信息提供要求,以维护数据主体的基本权利和自由。

 

 

 

 

首页    政策法规    法规标准    中译完整版:欧盟EDPB《基于正当利益规则处理个人数据的指南》
创建时间:2024-10-18 09:05
浏览量:0