为确保GDPR在整个EEA范围内适用的一致性,欧盟数据保护委员会(EDPB)发布了通用指南用于澄清欧洲数据保护法。这些指南为公众和利益相关者提供了有关权利和义务的统一解释,并确保成员国监管机构(SA)在GDPR的适用和执行基准上保持一致性。
在2020年,EDPB发布了关于新冠疫情、新技术、个人数据传输和GDPR中特定术语含义等诸多领域中有关数据保护要求的指南和建议,具体如下:
1、第01/2020号指南:《车联网个人数据保护指南》
伴随车联网进入主流生活,它们已成为监管机构的重要课题,特别是考虑到它们需要在复杂的生态系统中进行个人数据处理。
EDPB指南旨在阐明隐私和数据保护中的关键性风险,包括个人数据的安全,确保对处理活动的完全控制,进一步处理活动的合法性基础,以及在多次处理的情况下应如何满足GDPR中的同意要求。
为了减轻数据主体的风险,EDPB确定了三类需要特别关注的个人数据:
位置数据,由于其数据的敏感性,除非为实现处理目的所必需外不应收集;
生物特征数据,应以加密形式存储在本地;
涉及到刑事犯罪和其他违法行为的数据,其处理受GDPR第10条所载安全保障措施的约束。
EDPB还强调了GDPR和e-Privacy指令之间的适用关系,并指出联网车辆及与其连接的任何设备应被视为e-Privacy指令第5条第(3)款中的“终端设备”。
通过日期:2020年1月28日。
2、第02/2020号指南:《公共机构间个人数据传输指南》
EDPB在指南中提供了关于将个人数据从EEA的公共机构传输到第三国公共机构或国际组织的指引,以便在GDPR范围内开展各类政府间合作。
EDPB概述了公共机构对于个人数据传输应采取额外保障措施的一般性建议,并指出了传输各方应遵循的核心数据保护原则。公共机构可以根据GDPR第46(2)(a)条通过具有法律约束力和可执行的文件来落实适当的保障措施,或者根据第46(3)(b)条在行政安排中加入的条款执行。
EDPB指出,EEA和非EEA公共机构之间缔结的国际协定也应当保障数据主体的权利,并提供相应的补救机制以便于数据主体能够在实践中行使其权利。
通过日期:2020年12月15日。
3、第03/2020号指南:《关于新冠疫情中为科学研究目的处理健康数据的指南》
GDPR中有关为科学研究目的处理个人数据的规定也适用于新冠疫情场景。
EDPB的指南解决了在疫情期间为科学研究目的处理健康数据的关键性问题。
4、第04/2020号指南:《关于在新冠疫情中使用位置数据和接触追踪工具的指南》
为应对新冠疫情实施以数据为驱动的解决方案而需要处理个人数据时,数据保护是确保解决有效方案得到社会认可的关键所在。EDPB阐明了适当使用位置数据和接触跟踪应用程序的条件和原则。
5、第05/2020号指南:《关于GDPR中有关同意的指南》
在过去的十年中,第29条工作组和EDPB发布了关于同意作为个人数据处理合法性基础的指南。过去的指南侧重于将有效同意定义为“自由作出的”、“具体的”、“知情的”和“明确的”。
EDPB为了避免误解又更新了第29条工作组发布的指南,并进一步澄清了同意在cookie walls和用户行为(如滚动或滑动)中的含义。在这些场景中,数据控制者必须做到如下几点:
Cookie walls必须向用户提供明确和平等的选择用于接受或拒绝Cookie;
Cookie walls必须允许用户无需点击“接受Cookie”即可访问内容。如果没有对cookies做出选择就无法访问内容,那么用户就不会得到真正的选择,因此也不属于“自由作出”同意;
滚动页面等行为不构成合法同意中所需要的明确和肯定性的行动;
撤回同意必须与作出同意一样容易。
通过日期:2020年5月4日。
6、第06/2020号指南:《关于<支付服务指令ii>和GDPR协调适用关系的指南》
《支付服务指令II》(下称PSD II)废除了2007/64/EC指令,并为在EEA内提供支付服务的实体提供了法律上的明确性。
该指南是对有关GDPR和PSD II之间协调适用关系问题上更为周详的回应。指南对落入支付服务机构的实体在收集和处理个人数据中涉及到的相关问题作出了澄清。更具体地说,PSD II为具有落实PSD II相关法律义务的数据控制者提供了明确规则。EDPB认为支付服务机构中的数据控制者应始终确保遵守GDPR的要求,并反复强调这一重要性。然而,鉴于GDPR和PSD II之间在协调适用上的复杂性,EDPB认为保持一定的监管不确定性是必要的。
指南更关注这两个法律框架之间若干重要问题的相互关系,并针对以下主题提供了明确性指引:
合法性基础和进一步的处理活动;
明确同意;
“沉默方”的数据处理活动;
PSD II下特殊类别数据的处理;
数据最小化、安全性、透明度、问责制和用户画像。
通过日期:2020年7月17日。
7、第07/2020号指南:《关于GDPR中控制者和处理者概念的指南》
根据GDPR实施带来的变化,EDPB的指南在第29条工作组意见01/2010(WP169)基础上对“控制者”和“处理者”的概念进行更新,做出了更为详尽和具体的澄清,并取代了后者。
该指南针对不同数据保护角色的定义和实际后果,澄清了以下概念:
控制者、共同控制者和处理者的概念具有功能性和自治性:需要根据各方的实际角色来分配责任,并主要根据欧盟的数据保护法进行解释。
数据控制者可以由法律定义,或者可以基于处理活动的实际情况而界定。控制者是决定处理目的和处理“方法”的一方(如“为什么”处理及“如何”处理);
数据处理者代表控制者处理个人数据的一方,除根据控制者的指示外,不得处理数据,但处理者也可以具有一定程度的自由裁量权,并可在实际操作中决定包括“非核心方式”在内的处理活动。控制者和处理者之间的数据处理协议应包括关于如何满足GDPR第28条规定要求的具体内容;
共同控制者是两个或两个以上的实体,通过“共同决定”或“联合决定”来确定处理的目的和方式,以使各方的处理活动以不可分割的方式进行。共同控制者之间的义务分配具有一定的灵活性,因为每个控制者都应确保其处理活动符合数据保护的要求。尽管GDPR并未规定共同控制者之间成立法律关系的要式,但EDPB建议应以具有约束力的文件形式作出。
通过日期:2020年9月2日。
8、第08/2020号指南:《关于针对社交媒体用户提供定向服务的指南》
伴随着针对社交媒体用户定向机制的日趋复杂,越来越多的数据源被融合、分析以达到定向服务的目的,这一问题越来越受到公众和监管的关注。
在这种环境下,EDPB确定了三个关键角色:
用户:使用社交媒体的个人;
社交媒体服务提供者:使用户网络得以发展的网络服务提供者;
定向者:使用社交媒体服务向用户发送定向信息的自然人或法人。
EDPB参考了欧盟法院的相关判例,如Case C-40/17 (Fashion ID), Case C-25/17 (Jehovah’s Witnesses)和Case C-210/16 (Wirtschaftsakademie),中的裁判意见,为阐明定向者和社交媒体服务提供者在不同定向机制中所起到的作用提供了具体示例。两者通常被认为属于GDPR第26条中的共同控制者。
EDPB还提出了上述个人数据处理活动中可能对个人权利和自由造成的风险,包括引发歧视和排斥的可能性,以及操纵和影响用户的可能性。在这种场景下,EDPB强调了相关的透明度要求、访问权以及共同控制者在进行“可能对数据主体的权利和自由造成高风险”处理活动时需开展DPIA的义务。
通过日期:2020年9月2日。
9、第09/2020号指南:《关于GDPR中“相关且合理异议”的指南》
伴随着GDPR中“成员国监管机构协作机制”受到越来越多的关注,EDPB的指南在GDPR第4(24)条所载定义的基础上,确立了对“相关且合理异议”概念的共识,并作出解释。
在监管合作机制下,特别是在GDPR第60(3)条中,主要监管机构(LSA)需要向相关监管机构(CSA)提交一份决定草案,后者可以在规定的时间范围内提出“相关且合理的异议”。
在此背景下,EDPB进一步阐明了GDPR第4(24)条定义中各个要件的含义,需要有相关且合理的反对意见,用于确定是否存在违反GDPR的情况,或与控制者或处理者有关的预期行动是否符合GDPR,并明确阐释决定草案可能对数据主体的基本权利和自由以及(如果适用的话)个人数据在欧盟自由流动构成风险的重要性。
有关异议的“相关性”,是指决定草案和反对意见之间应该有直接联系,因为如果反对意见被采纳,将导致对决定草案的修改,从而得出关于是否存在违反GDPR或者控制者或处理者的预期行动是否符合GDPR的不同结论。
有关异议的“合理性”是指通过法律或事实论证对反对理由进行清楚、准确、连贯和详细的阐释。EDPB还规定CSA有义务在其反对意见中明确阐释决定草案可能对数据主体的基本权利和自由以及(如果适用的话)个人数据自由流动造成风险的重要性。
通过日期:2020年10月8日。
10、第10/2020号指南:《关于GDPR第23条限制主体权利的指南》
GDPR允许在特殊情况下对数据主体的权利进行限制。EDPB发布了GDPR第23条有关限制数据主体权利的指南。指南回顾了《欧盟基本权利宪章》和GDPR中规定的施加限制的条件,同时对施加限制的标准、必须遵守的评估、限制解除后数据主体如何行使其权利以及违反GDPR第23条的后果进行了透彻的分析。
在特定条件下,GDPR第23条允许成员国或EEA立法机构通过立法限制GDPR第三章(数据主体权利)以及第5条和第34条规定的相关义务,前提是这种限制应尊重相关基本权利和自由的本质,在民主社会中维护国家安全或公共利益等重要目标的措施具有必要性和适当性。颁布限制规定的立法者以及实施这些限制的数据控制者都应认识到这些限制的例外性质。
指南详细阐释了对每项要求的解释,还强调了如何满足立法措施的要求,以及这种措施需要根据所追求的目标加以调整,通过需要通过充分明确来满足可预见性标准,以便使个人充分了解控制者有权诉诸权利限制的情况。
根据GDPR第23条作出的权利限制还需要通过必要性和适当性测试,一般意味着需要基于数据主体的权利和自由风险进行评估。“必要性测试”是以追求普遍利益为目标的。只有在满足必要性测试的情况下,才会评估措施的适当性。
指南还提供了有关GDPR第23(2)条中规定的具体要求,其中规定权利限制的立法措施需要包含关于要素清单的具体规定,包括处理的目的、限制的范围以及对数据主体权利和自由可能造成的风险。
控制者应当遵循问责制对具体案件适用权利限制的情况进行记录,并在适用条件不复存在时尽快取消限制。一旦解除限制,必须允许数据主体行使其与数据控制者有关的所有权利。在通过施加权利限制的立法措施之前需要向SA进行咨询,SA有权要求GDPR得到强制遵从。
通过日期:2020年12月15日。
11、第01/2020号建议:《关于确保符合欧盟个人数据保护水平而采取数据跨境传输工具补充措施的建议》
正如欧盟法院在其对C-311/18案(Schrems II)的判决中所阐明的那样,EDPB希望根据这些建议帮助数据出口方遵守欧盟有关数据跨境传输的法律。这些建议为数据出口方提供了六个步骤,以确保所传输的个人数据得到了基本上等同于欧盟内部的保护水平。这些建议还列举了一些“补充措施”的例子,这些措施在某些情况下有助于确保达到欧盟法律所要求的个人数据保护水平。
12、第03/2019号指南:《关于通过视频设备处理个人数据的指南》
视频设备在人们日常生活中的激增对数据和隐私保护产生了相当大的影响。人脸识别和分析软件的使用可能会加剧社会上存在的偏见,而视频监控的系统性应用可能会导致人们对缺乏隐私保护习以为常。
EDPB在其指南中指出,处理视频监控数据最有可能依赖的合法性基础是GDPR第6(1)(f)条规定的合法利益以及第6(1)(e)条规定的同意。在以合法利益为法律依据的情况下,需要证明部署视频监控系统的必要性,并根据具体情况进行平衡性测试。而在依赖同意时,则需要满足“自由给出的、具体的、知情的和明确的”要求。
指南强调在处理包括生物特征等特殊类别的个人数据时需要特别注意。在根据GDPR第35(1)条开展DPIA时可以确定这些因素。评估结果可给出数据控制者应采取的数据保护措施。
EDPB指出,透明度要求和向数据主体告知视频监控活动的义务至关重要。指南详细说明了控制者如何履行这些义务,并确保数据主体的权利在实践中得到行使。
通过日期:2020年1月29日。
13、第05/2019号指南:《关于GDPR搜索引擎案件中被遗忘权认定标准的指南》
EDPB就搜索引擎处理个人数据以及数据主体主张擦除权的问题颁布了最终版本的指南。
指南深入剖析了GDPR第17(1)条有关擦除权的六个场景,包括当个人数据对于实现处理目的而言不再必要时,数据主体撤回同意时,个人数据被非法处理时,或当数据提供者行使反对权时等,此外还澄清了GDPR第17(3)条有关主张擦除权的例外情况。
通过日期:2020年7月7日。
14、第04/2019号指南:《关于 GDPR第25条的设计和默认隐私保护指南2.0》
GDPR第25条规定了设计和默认隐私保护原则(DPbDD),这些原则构成了个人数据保护立法的关键部分,也是作为数据控制者的关键性义务。虽然指南主要针对数据控制者,但其他参与者(如产品和服务的处理者和设计师)也可以从中受益。
EDPB指出,管制者必须在早期通过适当的技术和组织保障措施来落实DPbDD,并在其数据的全生命周期内将必要的保障措施整合到处理过程中。这些措施将确保数据主体的权利和自由得到保护,以及数据保护原则得到有效实施。
该指南还就生态系统中的控制者、处理者和第三方如何通过合作来实现DPbDD提供了一些建议。特别是,建议他们从一开始就引入DPO对员工进行基本的“网络安全”培训,并遵循行为准则来证明其合规性。
通过日期:2020年10月20日。——上文节译自EDPB2020年度报告
声明:本文来自互联网mate,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
