欧盟:欧洲数据保护委员会(EDPB)启动了关于基于合法利益处理个人数据的指南的咨询

来源:出海互联网法律观察

文章摘要
2024年10月9日,欧洲数据保护委员会(EDPB)宣布于2024年10月8日采纳了基于《通用数据保护条例》(GDPR)第6(1)(f)条处理个人数据的指南1/2024。

2024年10月9日,欧洲数据保护委员会(EDPB)宣布于2024年10月8日采纳了基于《通用数据保护条例》(GDPR)第6(1)(f)条处理个人数据的指南1/2024。
值得注意的是,这些指南分析了《通用数据保护条例》(GDPR)第6(1)(f)条下的标准。该条款规定了 “为了控制者或第三方所追求的合法利益所必需的”这一个人数据处理情形。
这些指南明确指出,《GDPR》第6(1)(f)条不应被视为在其他法律基础不适用的少数特别情况下的“最后手段”,而且第6(1)(f)条不应被自动选择,或因其被认为比其他法律基础限制性较小而被不当延伸使用。
这些指南概述了基于《GDPR》第6(1)(f)条进行处理需满足的三个条件:
第一,控制者或第三方追求合法利益;
第二,为了追求合法利益,有处理个人数据的必要性;以及
第三,相关数据主体的利益或基本自由和权利不应优先于控制者或第三方的合法利益。
第一步:追求合法利益
这些指南解释了利益的概念与“目的”的概念密切相关,但目的指的是数据被处理的具体原因,例如数据处理的目标或意图,而“利益”则是控制者或第三方在进行特定处理活动时可能拥有的更广泛的利益或好处。
指南列举了几个被认可为合法的利益示例,包括: 在线获取信息;确保公共可访问网站的持续运行;获取破坏他人财产的人的个人信息,以对该人提起损害赔偿诉讼;以及评估个人的信用。
如果满足以下三个标准,则该利益将是“合法的”:利益是合法的;利益被清晰且准确地表述;以及利益是真实且当前的,而不是推测性的。
此外,指南澄清,控制者所追求的利益应与控制者的实际活动相关。在某些情况下,处理个人数据可能同时服务于控制者和第三方的合法利益。指南提供了一些示例,说明个人数据可能在第三方利益下被处理的情况。
第二步:处理的必要性
这些指南具体说明,“必要性”的概念涉及对隐私、个人数据保护的基本权利以及源自数据保护原则的义务的考虑。
“必要”的定义涉及确定所追求的合法数据处理利益是否无法通过对数据主体权利限制较小的其他手段合理地实现。在实践中,控制者更容易证明处理自己合法利益的必要性,而追求第三方利益的处理则较少出现。
第三步:平衡评估
在评估控制者所追求的利益的合法性和处理的必要性时,控制者必须识别并描述:
数据主体的利益、基本权利和自由;
处理对数据主体的影响,包括:
a. 要处理的数据的性质;
b. 处理的背景;以及
c. 处理的任何进一步后果;
数据主体的合理期望;以及
最终对相对立的权利和利益的平衡,包括进一步减轻措施的可能性。
值得注意的是,这些指南详细说明,在评估对数据主体的影响时,控制者应考虑实际或潜在的积极或消极影响。关于处理的背景和处理的任何进一步后果,指南提供了控制者应考虑的处理活动的示例。
简评
这些指南的主要目的是帮助控制者评估是否可以援引 GDPR 第6 条第(1) 款第(f) 项作为其处理个人数据的有效法律依据。指南为控制者如何确定其具有合法利益提供了具体的条件,并进行了相应的指引。
指南强调,GDPR 第6 条第(1) 款第(f) 项不能被视为“默认”的法律依据。相反,在依赖这样的法律依据之前,控制者应该对计划的处理进行仔细评估,并遵循特定的方法。因此,提示作为控制者的企业为了确定个人数据的给定处理是否可以基于 GDPR 第6 条第(1) 款第(f) 项,必须仔细评估是否可以满足指南所规定的三个条件,以确保处理是合法的。
指南提示,尽管在某些情况下,对第二和第三个条件的审查可能会合并,因为评估处理个人数据所追求的合法利益是否无法通过侵入性较小的手段合理地实现,这需要平衡所争议的对立权利和利益。另外,评估应在处理开始时进行, 在数据保护官 (DPO)(如果指定)的参与下,并应由控制者根据 GDPR 第5 条第(2) 款规定的问责制原则进行记录。

技术驱动法律,专业成就未来