Redian新闻
>
EDPB数据主体访问权指南:摘要及40个案例

EDPB数据主体访问权指南:摘要及40个案例

公众号新闻

领取优惠,立即加入DPOHUB会员!

执行摘要
数据主体的访问权在《欧盟基本权利宪章》第8条中有规定。《欧盟基本权利宪章》第8条规定了数据主体的访问权。它从一开始就是欧洲数据保护法律框架的一部分,现在由GDPR第15条中更具体和精确的规则进一步发展。
访问权的目的和总体结构
访问权的总体目标是向个人提供关于其个人数据处理的充分、透明和易于获取的信息,以便他们能够了解并核实处理的合法性和所处理数据的准确性。这将使个人更容易行使其他权利(但不是前提条件),如删除或纠正的权利。
根据数据保护法,访问权应区别于具有其他目的的类似权利,例如查阅公共文件的权利,其目的是保证公共当局决策的透明度和良好的行政做法。
然而,数据主体不需要为查阅请求提供理由,也不需要由控制者来分析该请求是否真的有助于数据主体核实相关处理的合法性或行使其他权利。控制者必须处理该请求,除非该请求显然是根据数据保护规则以外的其他规则提出的。
访问权包括三个不同的组成部分:
  • 确认关于个人的数据是否被处理;
  • 查阅这些个人数据;以及
  • 查阅有关处理的信息,如目的、数据的类别和对象、处理的期限、数据主体的权利以及在向第三国转移时的适当保障措施。
评估数据主体要求的基本因素
在分析请求的内容时,控制者必须评估该请求是否涉及提出请求的个人的个人数据,该请求是否属于GDPR第15条的范围。在分析请求的内容时,控制者必须评估该请求是否涉及提出请求的个人的个人数据,该请求是否属于GDPR第15条的范围,以及是否有其他更具体的规定来规范某个部门的访问。它还必须评估该请求是否涉及所有或只有部分关于数据主体的数据处理。
对请求的格式没有具体要求。控制者应提供适当的和用户友好的沟通渠道,使数据主体能够轻松使用。然而,数据主体不需要使用这些特定的渠道,而是可以将请求发送到控制者的官方联络点。控制者没有义务对发送到完全随机或明显不正确的地址的请求采取行动。
如果控制者无法识别涉及数据主体的数据,它应告知数据主体这一点,并可以拒绝提供访问,除非数据主体提供用于识别的额外信息。此外,如果控制者对数据主体是否是他们声称的人有疑问,控制者必须要求提供额外的信息,以确认数据主体的身份。对额外信息的要求必须与所处理的数据类型、可能发生的损害等因素相称,以避免过度收集数据。
访问权的范围
访问权的范围由第4条规定的个人数据概念的范围决定。GDPR第4(1)条中定义的个人数据的范围。除了基本的个人数据,如姓名、地址、电话号码等,各种各样的数据都可能属于这一定义范围,如医疗结果、购买历史、信用度指标、活动记录、搜索活动等。经过假名化处理的个人数据仍然是个人数据,而不是匿名数据。访问权指的是关于提出请求的人的个人数据。这不应该被过度限制地解释,也可能包括可能涉及其他人的数据,例如涉及收发信息的通信历史。
除了提供对个人数据的访问外,控制者还必须提供有关处理和数据主体权利的额外信息。这些信息可以基于控制者的处理活动记录(第30条)和隐私通知(第13和14条)中已经汇编的内容。然而,这种一般信息可能必须更新到请求的时间,或进行调整以反映对提出请求的特定人员所进行的处理操作。
如何提供访问
提供访问的方式可能会有所不同,这取决于数据的数量和处理的复杂性。除非另有明确说明,否则请求应被理解为指有关数据主体的所有个人数据,如果数据主体处理的数据量很大,控制者可能会要求数据主体具体说明请求。
控制者将不得不根据反映信息结构方式的搜索标准,在所有IT系统和非IT档案系统中搜索个人数据,例如姓名和客户号码。数据的交换和其他有关处理的信息必须以简洁、透明、可理解和容易获得的形式提供,使用清晰和通俗的语言。这方面更精确的要求取决于数据处理的情况以及数据主体掌握和理解沟通的能力(例如考虑到数据主体是儿童或有特殊需要的人)。如果数据由代码或其他“原始数据”组成,可能需要对这些数据进行解释,以便让数据主体明白。
提供访问的主要方式是向数据主体提供其数据的副本,但如果数据主体要求,也可以其他方式(如口头信息和现场访问)提供。数据可以通过电子邮件发送,前提是考虑到所有必要的保障措施,例如,数据的性质,或以其他方式,例如自助服务工具。
有时,当数据量非常大,如果一次性提供所有的信息,数据主体将很难理解这些信息(特别是在在线情况下)最合适的措施可能是分层方法。提供不同层次的信息可能有助于数据主体对数据的理解。控制者必须能够证明分层方法对数据主体有附加价值,如果数据主体要求,应同时提供所有层次的信息。
数据和附加信息的副本应以永久形式提供,如书面文本,可以是常用的电子形式,以便数据主体可以方便地下载。只要所有的信息都包括在内,数据可以以抄本或汇编的形式提供。只要包括所有的信息,并且不改变或更改信息的内容。
该请求必须尽快得到满足,而且无论如何要在收到请求后一个月内完成。考虑到请求的复杂性和数量,必要时可再延长两个月。然后必须告知数据主体延迟的原因。控制者必须采取必要的措施,尽快处理请求,并使这些措施适应处理的情况。如果数据只存储了很短的时间,必须有措施保证在处理请求的过程中,可以满足访问请求而不删除数据。在处理大量数据的情况下,控制者必须建立适应处理的复杂性的常规和机制。
对请求的评估应反映控制者收到请求时的情况。即使是可能不正确或被非法处理的数据也必须提供。已经被删除的数据,例如根据保留政策已经到期,进而控制者不再能获得的数据,则不必提供。
限度与限制
GDPR允许对访问权进行某些限制。没有进一步的豁免或减损。在控制者为满足数据主体的要求所做的努力方面,访问权没有任何一般性的保留。
根据第GDPR第15(4)条,获得副本的权利不应对他人的权利和自由产生不利影响。EDPB认为,在通过提供副本允许访问时,以及在通过其他方式(例如现场访问)提供数据访问时,都必须考虑到这些权利。然而,第15条第(4)款不适用于第15条第(1)款a至h项所述的关于处理的补充信息。控制者必须能够证明他人的权利或自由在具体情况下会受到不利影响。适用第15(4)条不应导致完全拒绝数据主体的请求;这只会导致遗漏或使可能对他人权利和自由产生负面影响的部分难以辨认。
第12(5)条允许控制者拒绝明显没有根据或过度的请求,或对此类请求收取合理的费用。这些概念必须被狭义地解释。由于关于访问请求的先决条件非常少,认为请求明显没有根据的范围相当有限。过度的请求取决于控制者所处的部门的具体情况。控制者的数据库越是经常发生变化,数据主体就越可能被允许在不过度的情况下请求访问。控制者可以决定向数据主体收取费用,而不是拒绝访问。这仅适用于过度请求的情况,以支付此类请求可能导致的行政费用。控制者必须能够证明某项请求明显缺乏依据或过度的性质。
成员国的国家法律中也可能存在对访问权的限制,如根据GDPR第23条的限制。打算依赖此类限制的控制人员必须仔细检查国家规定的要求,并注意可能适用的任何具体条件。这些条件可能是访问权只是暂时延迟,或者限制只适用于某些类别的数据。
GDPR相关法条
第12条 信息与通信的透明以及数据主体行使权利的形式
……

5.根据第13 条和第14 条提供的信息、通信以及根据第15 至22 条和第34条采取的行动都应当是免费的。数据主体的请求明显不合理或过分的,尤其是重复请求的,数据控制者也可以采取如下行为:

(a)考虑到提供信息、通信或采取数据主体所请求的措施所需要的行政花费,收取合理的费用;或者

(b)拒绝对数据主体的请求采取行动;

数据控制者应当承担证明请求明显不合理或过分的证明责任。

第15条 数据主体的访问权

1. 数据主体有权从数据控制者处获得有关他或她的个人数据是否被处理的确认结果。个人数据被处理的,数据主体有权访问个人数据和以下信息:

(a)处理数据的目的;

(b)相关个人数据的类别;

(c)已经或者将要将个人数据向其披露的数据接收者或其分类,特别是第三国或国际组织的数据接收者;

(d)若有可能,访问个人数据将被存储的预设期限;若不可能,访问决定期限的通常标准;

(e)数据主体享有请求数据控制者更正、清除与数据主体相关的数据的权利,或者限制、拒绝其处理该个人数据的权利;

(f)向监管机构投诉的权利;

(g)若个人数据并非收集自数据主体,则可以访问有关数据来源的任何可获得的信息;

(h)本条例第22条第1款及第4款所规定的包括识别分析在内的自动化决策的存在,同时在这些情况下,至少可以访问关于决策中所运用的逻辑的有用信息以及该处理的重要性和其对数据主体造成的可能后果。

2.当向第三国或某一国际组织转移个人数据时,数据主体应当有权被告知本条例第46条规定的在转移时应当采取的适当安全保障措施。

3.数据控制者应当提供正在处理的个人数据的副本。对数据主体进一步要求获得副本的请求,数据控制者可以要求其支付合理的管理费用。数据主体通过电子方式提出申请的,数据控制者也应当以通用的电子方式提供信息。

4.第3款规定的索要副本的权利不应对他人的权利和自由产生不利影响。

EDPB数据主体访问权指引:40个示例

写在前面:在EDPB的指引Guidelines 01/2022on data subject rights - Right of access中,附加了了若干示例,以更好地解读GDPR中相关访问权的规定。这里仅对指引中的示例进行翻译,作为个人的学习笔记。
例1 
一个人被其雇主解雇了。一周后,该人决定收集证据,对其前雇主提起不公平解雇的诉讼。考虑到这一点,他们写信给前雇主,要求查阅前雇主作为控制者所处理的与他们(数据主体)有关的所有个人数据。
控制者不应评估数据主体的意图,数据主体也不需要向控制者提供他们请求的理由。因此,如果该请求符合所有其他要求(见第2节),控制者需要遵守该请求,除非根据GDPR第12(5)条,该请求被证明是明显没有根据或过度的。除非根据GDPR第12(5)条(见第6.3节),控制者需要证明该请求明显没有根据或过度。
变式:数据主体在诉讼过程中对与其有关的个人数据行使查阅权。然而,管辖控制人和数据主体之间雇佣关系的会员国的国内法载有某些规定,限制向正在进行或未来法律程序的当事人提供或交换的信息范围,这些规定适用于数据主体提起的不公平解雇诉讼。在这种情况下,只要这些国家规定符合GDPR第23条的要求,数据主体无权从控制人那里获得比成员国关于双方信息交换的国家法律规定规定的更多的信息法律纠纷。
例2 
顾客向贸易公司提交访问请求。在公司回复一年后,同一顾客根据第15条向同一公司提出访问请求。无论自上一次请求以来双方之间是否有新的商业交易或其他接触,第二次请求都应被视为新的请求。即使公司的数据处理没有发生任何变化(这对数据主体来说不一定明显),数据主体也有权获得数据的免费副本。
变式1:即使在上述情况下,客户在第一次请求后仅一周提出新请求,这不仅仅被解释为对第一次请求的提醒,也可以被理解为第15条第3款第一句。关于短间隔以及根据新请求的具体情况,GDPR第12(5)条规定的过度请求是有争议的(见第6节)。
变式2:作为对先前请求的回应,例如,在客户丢失先前收到的副本的情况下,作为一个问题,应被视为要求提供额外的副本,因为它在处理的范围和时间上提到了先前的请求。
例3 
公共当局在不同的部门处理涉及不同背景的数据主体的数据。档案管理和档案保存部分由非自动化手段处理,大多数数据仅存储在纸质档案中。关于请求的一般措辞,公共当局怀疑数据主体是否知道请求的范围,特别是它将包括的各种处理操作、数据主体将收到的信息量和页数。
例4 
一家大型保险公司收到一个多年来一直是客户的人通过信件提出的一般访问请求。即使删除期得到了充分的尊重,该公司实际上还是处理了大量与客户有关的数据,因为处理这些数据对于履行与客户的合同关系所产生的合同义务(包括例如持续的义务、与客户和第三方就有争议的问题进行沟通……)或遵守法律义务(为税收目的必须保存的存档数据等)仍然是必要的。保险公司可能会怀疑,以非常笼统的措辞提出的要求是否真的要包括所有类型的数据。如果保险公司只有一个数据主体的邮政地址,因此必须以纸质方式发送任何信息,这可能是有问题的。然而,在通过其他方式提供信息时,同样的疑问也可能与之相关。
例5 
在回复访问请求时,控制者意识到,数据主体对控制者公司空缺职位的申请已经超过了保存期限。在这种情况下,控制者不能先删除,然后回复数据主体说没有数据(关于该申请)被处理。它必须先提供访问权限,然后再删除数据。为了防止随后的删除请求,建议增加关于删除的事实和时间的信息。
例6 
数据主体X在一家公司担任部门经理,该公司在公司停车场为其经理提供停车位。虽然数据主体X有一个固定的停车位,但当数据主体到达办公室上第二班时,这个车位往往已经被另一辆车占据。由于这种情况是重复性的,为了识别未经授权占用其车位的司机,数据主体要求覆盖办公室停车场区域的视频监控系统的控制者访问该司机的个人数据。在这种情况下,数据主体X的请求将不是对其个人数据的访问请求,因为该请求不涉及请求人的数据,而是另一个人的数据,因此它不应被视为第15条规定的请求。
例7 
控制者X在其网站和隐私声明中提供了两个电子邮件地址--控制者的一般电子邮件地址:[email protected] 和控制者的数据保护联络点的电子邮件地址:[email protected]。此外,控制者X在其网站上指出,提交任何查询或提出有关个人数据处理的要求,应通过所提供的电子邮件地址联系数据保护联络点。然而,数据主体向控制者的一般电子邮件地址发出请求:[email protected]。在这种情况下,控制者应作出一切合理的努力,使其服务部门了解通过一般电子邮件提出的请求,以便将其转到数据保护联络点,并在GDPR规定的时限内予以答复。此外,控制者无权仅因为数据主体向控制者的普通电子邮件地址,而不是向控制者的数据保护联络点电子邮件地址发送请求而延长对请求的答复期限。
例8 
控制者Y经营着一个健身俱乐部网络。控制者Y在其网站和健身俱乐部客户隐私声明中指出,为了提交任何关于个人数据处理的询问或请求,应通过电子邮件地址与控制者联系:[email protected]。然而,数据主体向更衣室中发现的电子邮件地址发送请求,在那里他发现了一份通知,上面写着“如果您对房间的清洁不满意,请通过:[email protected]联系我们”。受雇于Y的清洁人员显然没有参与处理与数据主体(健身俱乐部顾客)行使权利有关的事项。虽然健身俱乐部的场所有电子邮件地址,但数据主体不能合理地期望这是此类请求的适当联系地址,因为网站和隐私通知明确告知将用于数据主体权利的行使。
例9 
X是与建筑物的视频监控有关的数据控制者。根据GDPR第11(1)条,控制者没有义务识别所有被监控摄像头登记的人,作为监控的一部分(不需要识别的目的)。控制者收到声称被控制者的视频监控记录的人提出的访问个人数据的请求。控制者的行动将取决于所提供的额外信息。如果请求人指出摄像机可能记录了有关事件的特定日期和时间,控制者很可能会提供这些数据(第11条第2款)。然而,如果请求涉及例如一年的记录,无法处理如此大量数据的控制者可以拒绝采取行动,因为他无法确定数据主体(GDPR第12(2)条)。
例10 
数据主体X女士在与一家与她签订了合同的电力公司的服务热线顾问通话时要求访问她的数据。该顾问对提出请求的人的身份有疑问,在公司的系统中生成了一个一次性的唯一代码,作为双重验证系统的一部分发送到用户的手机号码上,在这种情况下,该行动应被视为相称的。
例11 
一个控制者C处理个人数据,目的是向其网络用户提供行为广告。为行为广告收集的个人数据通常通过cookies收集,并与假名随机标识符相关。一个数据主体X先生通过C的网站行使访问权。C能够精确地识别X先生,以显示数据主体的行为广告,方法是将X先生的终端设备与它的广告档案与终端中的cookies联系起来。然后,C也应该能够精确地识别X先生,以允许他访问其个人数据,因为可以找到所处理的数据和数据主体之间的联系。
因此,考虑到GDPR的原则,如公平原则,上述例子将不属于第11条的范围。GDPR第11条的范围。更准确地说,在上述例子中,C的目的需要识别数据主体,而GDPR第11条涉及控制者的情况,他将在GDPR第11(1)条意义上处理额外的数据。GDPR第11(1)条的唯一目的是为了能够遵守GDPR。因此,第11条应特别根据公平原则进行解释。在某些情况下,这可能意味着为了行使数据主体的权利,不应要求提供额外的数据。
然而,如果X先生试图通过电子邮件或普通邮件行使他的访问权,那么在这种情况下,C将没有其他选择,要求X先生提供“额外的信息”(第12(6)条),以便能够识别与X先生相关的广告档案,在这种情况下,额外的信息将是存储在X先生的终端设备中的cookie标识符。
例12 
用户Y女士在网上商店创建了一个账户,提供了她的电子邮件和用户名。随后,账户所有者向控制者询问是否处理其个人数据,如果是,则要求在第15条规定的范围内访问它们。控制者要求提供请求人的身份证以确认其身份。在这种情况下,控制者的行动是不相称的,导致不必要的数据收集。
然而,为了确认请求人的身份,同时防止不必要的数据收集,控制者可以询问(非侵入性的)安全问题,这些问题是在数据主体注册账户时配置的,或者它可以对访问请求采用多因素认证。
例13 
一位银行客户Y先生计划获得消费信贷。为此,Y先生去银行分行获取信息,包括他的个人数据,这是评估他的信用度所必需的。为了核实数据主体的身份,顾问要求对其身份进行公证,以便能够向他提供所需的信息。
控制者不应要求对身份进行公证确认,除非这是严格必要的、合适的和符合国家法律的(例如,一个人暂时没有任何身份文件,而国家法律规定数据主体的身份证明是为了履行法律行为)。这种做法使请求人面临额外的费用,并给数据主体带来过度的负担,妨碍了他们行使查阅权。
例14 
一个人与一家公司进行了一次工作面试。在这种情况下,求职者提交了一份简历和一封申请信。在面试过程中,人力资源部门的工作人员在电脑上做了记录,记录了面试过程。之后,求职者作为数据主体要求查阅公司作为控制者在招聘过程中收集的与他们有关的个人数据。
控制者有义务向数据主体提供他们在简历和求职信中主动告知的个人数据。此外,控制人需要向数据主体提供面试摘要,包括人力资源官员在工作面试中对数据主体行为的主观评论。
例15 
用于决定雇员晋升、加薪或新工作分配的要素(例如年度业绩评估、培训请求、纪律记录、排名、职业潜力)是与该雇员有关的个人数据。因此,在尊重GDPR第15(4)条的情况下,数据主体可以根据要求访问这些内容,例如,个人数据也与另一个人有关(例如,在年度业绩审查中,关于另一名员工的身份或透露其身份的内容可能会受到第15(4)条的限制并因此有可能为了保护上述员工的权利和自由而不能将其传达给数据主体)。然而,国家劳动法的规定可能适用,例如关于雇员查阅人事档案或其他国家规定,如关于职业保密的规定。在任何情况下,国家法律规定的对数据主体行使访问权(或其他权利)的限制必须尊重GDPR第23条的条件(见6.4节)。
例16 
一个人以欺诈的方式使用他人的身份在网上玩扑克。犯罪者使用从受害者那里偷来的信用卡向网上赌场付款。当受害人发现身份被盗时,受害人要求在线赌场的提供者向他或她提供与他或她有关的个人数据,更具体地说,是与所玩的在线游戏和犯罪人所使用的信用卡有关的信息。
所收集的数据与B之间存在着联系,因为后者的身份被使用了。在发现欺诈行为后,上述个人数据由于其内容(受害者的信用卡显然是关于受害者的)、目的和效果(例如,关于犯罪者所玩的在线游戏的信息可能被用来向受害者开具发票),仍然存在联系。因此,网上赌场应允许受害者访问上述个人数据。
例17 
一家公司处理与数据主体有关的个人数据,以处理他们的购买订单并安排运送到数据主体的家庭地址。在收集个人数据的这些最初目的不复存在后,控制者保留一些个人数据只是为了履行其与保存记录有关的法律义务。
数据主体要求访问与他们有关的个人数据。为了遵守GDPR第15(1)条规定的义务,控制者需要向数据主体提供所要求的个人数据,这些数据的保存是为了遵守其法律义务。
例18 
在第14条中提到的信息方面,保险公司表示他们会处理一些类别的客户数据(姓名、地址、出生日期、电话号码、电子邮件地址、银行账户等)。如果根据GDPR第15条,提出请求的数据主体除了可以访问正在处理的实际数据(组成部分2)外,还必须根据第15(1)(b)条的规定,在被告知特定情况下正在处理的特定类别的数据(例如,只有电子邮件地址,而不是电话号码)。
例19 
根据GDPR第13(1)(e)条和第14(1)(e)条,雇主在其隐私通知中提供了关于商务旅行中哪些类别的数据被传递给“旅行社”或“酒店”的信息。如果雇员在出差后要求访问个人数据,雇主应根据第15(1)(c)条在答复中说明旅行社和酒店接收数据的人。虽然雇主根据第13条和第14条在其隐私通知中合法地提到了接受者的类别,但由于现阶段尚不可能说出接受者的姓名,它应根据透明和公平的原则,提供以下信息员工提出访问请求时的特定接收者(旅行社、酒店等的名称)。
例20 
一家大公司的隐私政策声明:
“信用检查帮助我们防止支付交易中出现问题。它们保证我们公司免受金融风险的影响,金融风险也可能影响中长期的销售价格。当我们要发货而不同时收到各自的购买价格时,必须进行信用检查,例如在临时购买的情况下。无需进行信用检查,只有预付款付款选项(立即银行转账、在线支付提供商、信用卡)是可能的。
为了进行信用检查,我们将把您的姓名、地址和出生日期发送给以下服务提供商,例如:(1)金融信息机构X;(2)商业信息提供商Y;(3)商业信用咨询机构Z。
数据仅在法律允许的范围内传递给上述信贷机构,仅用于分析您过去的付款行为以及基于数学统计评估违约风险使用地址数据以及验证您的地址的程序(送货检查)。根据信用检查的结果,我们可能不再能够为您提供个人付款方式,如购买发票。”
因此,隐私通知载有关于根据第13条和第14条从所列经济信息办公室获得信息的可能性的一般信息。如果事先不清楚哪些公司将参与处理,在隐私政策中提及公司的名称就足够了。在根据第15条提出请求的情况下,除了已经获得信誉信息之外,还需要(事后)披露所提到的哪些公司确实参与了。第15(1)(g)条明确表示,在个人数据不是从数据主体收集的情况下,关于数据处理的信息包括“关于其来源的任何可用信息”。
例21 
一家当地的书店保存了一份已订购送货上门的顾客的姓名和地址的记录。一位顾客访问了书店并提出了访问请求。在这种情况下,直接从商业系统中打印出有关客户的个人资料就足够了,同时也提供了第15条第1和第2款中的补充信息。
例22 
一个慈善组织的月捐人通过电子邮件提出了访问请求。该慈善组织持有过去12个月的捐款信息,以及捐款人的姓名和电子邮件地址。控制人可以通过回复电子邮件提供个人数据和补充信息的副本,前提是采取了所有必要的保障措施,例如考虑到数据的性质。
例23 
控制者指定一名管理员来处理有关访问请求的实际问题。当收到请求时,管理员通过电子邮件向该组织的不同部门发出询问,要求他们收集有关数据主体的个人数据。每个部门的代表向管理员提供他们部门处理的个人数据。然后,管理员将所有的个人数据连同必要的补充信息,例如,在适当的时候,通过电子邮件发送给数据主体。
例24 
社交媒体服务有一个处理访问请求的自动程序,使数据主体能够从其用户账户中访问其个人数据。为了检索个人数据,社交媒体用户可以在登录其用户账户时选择“下载您的个人数据”选项。这个自助选项允许用户直接从用户账户中下载包含其个人数据的文件到自己的电脑上。
例25 
一个社交媒体供应商处理大量关于数据主体的信息。这些个人数据的很大一部分是包含在数百页的日志文件中的信息,数据主体在网站上的活动被登记在日志文件中。如果数据主体要求访问他们的个人数据,这些日志文件确实属于访问权的范围。因此,如果将这几百页的日志文件提供给数据主体,访问权就可以正式实现了。然而,如果不采取措施促进对日志文件的理解,数据主体的访问权在实践中可能不会得到满足,因为从日志文件中不容易得出任何知识,因此不符合第12(1)条的要求。因此,控制者在选择向数据主体展示信息和个人数据的方式时,必须谨慎和彻底。
例26 
一个电子商务网站为营销目的收集有关在其网站上浏览或购买的物品的数据。这些数据中的一部分将由原始格式的数据组成,这些数据未经分析,可能对读者没有直接意义(代码、活动历史等)。这种与数据主体活动有关的数据也属于访问权的范围,因此应根据访问要求向数据主体提供。当提供原始格式的数据时,重要的是控制者采取必要的措施,以确保数据主体理解数据,例如,提供一份解释性文件,将原始格式翻译成用户友好的形式。另外,可以在这样的文件中解释缩写和其他首字母缩写,例如“A”意味着购买已经中断,“B”意味着购买已经通过。
例27 
一个控制者分析了大数据集,根据客户的在线行为将其放入不同的细分市场。在这种情况下,可以假设数据主体获得的最重要的信息是关于他们被置于哪个细分市场的信息。因此,这一信息应该被包含在第一层中。尚未被分析或进一步处理的原始格式的数据,如用户在网站上的活动,也是访问权所涵盖的个人数据。然而,在某些情况下,在另一层提供这些信息就足够了。
例28 
数据主体向视频流服务发出访问请求。请求是通过一个选项发出的,当数据主体登录到他们的账号时,该选项可用。数据主体有两个网页上显示的选项按钮。选择一是下载第一部分的个人数据和补充数据。这包含例如最近的流传输历史、账户信息和支付信息。选项二是下载个人数据的第二部分,其中包含关于数据主体活动和账户历史信息的技术日志文件。在这种情况下,控制者使数据主体能够以不给数据主体造成额外负担的方式行使其权利。
情况1:如果数据主体只选择了下载个人数据第1部分的按钮,控制者有义务只提供数据的第1部分。
情况2:在数据主体选择按钮下载数据的第1部分和第2部分的情况下,控制者不能只传达数据的第1部分,并在传达数据的第2部分之前要求重新确认。相反,数据的两个部分都必须提供给数据主体,因为它是由所提出的要求而产生的。
例29 
一个数据主体已经在一家保险公司投保多年了。发生过几次保险事故。在每个案例中,数据主体和保险公司之间都有一些通过电子邮件进行的书面通信。由于数据主体必须提供每个事件的具体情况,通信中包含了很多关于数据主体的个人信息(爱好、室友、日常习惯等)。在某些情况下,对保险公司赔偿数据主体的义务产生了分歧,这造成了大量的来回沟通。所有这些信件都由保险公司保存。数据主体提出了访问请求。在这种情况下,控制者不一定非要以原始形式提供电子邮件,把它们转发给数据主体。相反,控制者可以选择将包含数据主体的个人数据的电子邮件通信编入一个文件,并提供给数据主体。
例30 
在收到请求后,控制者立即作出反应,并询问它所需要的信息,以确认提出请求者的身份。后者几天后才回复,而数据主体为核实身份而发送的信息似乎并不充分,这就需要控制者要求澄清。在这种情况下,时间上会有暂停,直到控制者获得足够的信息来验证数据主体的身份。
例31 
一个组织在3月5日收到一个请求。时间限制从同一天开始。这使得该组织最迟在4月5日之前(包括4月5日)遵守该请求。
例32 
如果该组织在8月31日收到请求,由于下个月较短,没有相应的日期,那么最晚的答复日期是下个月的最后一天,即9月30日。
例33 
一个现在已经成年的人在过去的若干年中受到青少年福利办公室的照顾。相应的档案可能包含其他人员(父母、社会工作者、其他未成年人)的敏感信息。然而,根据GDPR第15(4)条的规定,一般不能因为这个原因而拒绝数据主体的信息请求。相反,其他人的权利和自由必须由作为控制者的青少年福利局详细审查和证明。根据相关的利益及其相对权重,提供此类具体信息可能会被拒绝(例如,通过编辑姓名)。
例34 
一家零售商为其客户提供了通过其客户服务热线订购产品的可能性。为了证明商业交易,该零售商根据适用法律的严格要求,储存了一份通话记录。一个客户希望收到他与客服人员的对话的副本。在第一步,零售商分析了这一请求,并意识到该记录包含的个人数据也与其他人有关,即与客户服务人员有关。在第二步,为了评估提供副本是否会影响他人的权利和自由,零售商必须平衡相互冲突的利益,特别是考虑到客户服务代理人的权利和自由可能面临的风险的可能性和严重性,这些风险在向客户传达记录时存在。零售商的结论是,记录中与客户服务人员有关的个人数据非常有限,只有他的声音。零售商/控制者发现,该代理人不容易被识别。此外,讨论的内容是专业性质的,数据主体是对话者。基于上述情况,控制者客观地得出结论,访问权不会对客户服务代理人的权利和自由产生不利影响,因此,数据控制者可以向数据主体提供完整的记录,包括与客户服务代理人有关的语音记录部分。
例35 
一家医疗用品商店的客户希望根据GDPR第15条获得有关其腿部的测量结果。该医疗用品商店测量了数据对象的腿部,以便制作个人医疗压力袜。显然,该医疗用品商店有很多经验,并建立了一种特殊的技术来准确测量。在医疗用品商店测量后,客户想利用测量结果在其他地方购买更便宜的袜子(在网上商店订购)。医疗用品商店根据第15(4)条的规定,部分地拒绝了对数据的访问,声称由于他们特殊的、精确的测量技术,测量结果作为商业秘密受到保护。如果并且在此范围内,控制者能够证明:
  • 如果不披露测量方法,就不可能向数据主体提供测量结果的信息
  • 关于测量方法的信息,包括相关的测量点的准确确定,都是商业秘密。
那么可以适用第15条第4款。
控制者仍然必须提供任何可能的、不会泄露其商业秘密的测量结果信息,即使这意味着要努力修改和编辑结果。
例36 
玩家X在游戏平台Y上注册为用户。有一天,玩家X被通知他的在线账户被限制。由于他无法再登录,玩家X要求控制者访问所有与他有关的个人数据。此外,玩家X要求获得账户限制的原因。平台Y在其网站上提供的一般条款和条件中通知用户,任何类型的作弊行为(主要是通过使用第三方软件)将导致定期或永久禁止进入其平台。平台Y还在其隐私政策中告知用户将根据GDPR第13条规定的要求,为检测游戏作弊行为而对个人数据进行处理。
在收到玩家X的访问请求后,平台Y应向玩家X提供一份关于玩家X的个人数据处理的副本。关于账户限制的原因,平台Y应向玩家X确认它决定限制玩家X对在线游戏的访问,因为他使用了一个或多个违反一般使用条款的游戏作弊器。除了提供有关为检测游戏作弊行为而进行的处理的信息外,平台Y应允许玩家X访问其储存的有关玩家X的游戏作弊行为的信息,这些信息导致了限制。特别是,平台Y应该向玩家X提供导致账户被限制的信息(例如日志概述,作弊的日期和时间,第三方软件的检测……),以便数据主体验证数据处理是否准确。
然而,根据GDPR第15(4)条和序言第63条,平台Y没有义务透露反作弊软件的任何技术操作,即使这些信息与玩家X有关,只要这些信息可以被视为商业机密。根据第15(4)条进行必要的利益平衡将导致平台Y的商业秘密阻止披露这些个人数据,因为对反欺诈软件的技术操作的了解也可能允许用户规避未来的欺诈或欺诈检测。
例37 
一个数据主体就国家机关处理的数据向一个市政当局提出请求。与其争辩说该请求明显没有根据,不如让被请求的当局确认这些数据没有被当局处理,这样会更合适,也更容易(第15条的第一部分,“是否”处理个人数据)。
例38 
一个数据主体每两个月向为其制造桌子的木匠提出访问请求。木匠完全回答了第一次请求。在决定是否已经过了合理的时间间隔时,应该考虑到木匠只是偶尔,而不是作为其核心活动的一部分来处理和收集个人数据,更不可能是木匠经常向同一个数据主体提供服务。事实上,木匠没有向数据主体提供超过一次的服务,使得有关数据主体的数据集不可能发生变化。值得注意的是,鉴于所处理的个人数据的性质和数量,与处理有关的风险可被视为较低,如处理的目的(计费目的和遵守保存记录的义务)不可能对数据主体造成损害。此外,该请求还涉及与上次请求相同的信息。因此,这种要求可能会因其重复性而被视为过度。
例39 
一个以收集和/或处理数据主体的个人数据为核心业务的社交媒体平台进行了大规模的复杂和持续的处理活动。一个使用该平台服务的数据主体每三个月就提出一次访问请求。在这种情况下,与数据主体有关的个人数据极有可能发生频繁变化,收集的数据范围广泛,包括推断的敏感个人,处理的目的是向数据主体显示相关内容和网络成员。在这种情况下,每三个月一次的访问请求,原则上不会因为重复性而被视为过度。
例40 
关于重复性的数据主体向信用调查机构提出的访问请求。必须考虑到以下因素:
与社交网络类似,不能排除在数据控制者的数据存量中,相关数据的修改会比其他领域的修改间隔短得多。这是由许多因素造成的,由于整个商业模式的复杂性,作为外部人士的数据主体通常不了解这些因素。因此,关于哪些类型的数据是由控制人收集用于分值计算的,哪些是目前包括在计算中的,只能由信用调查机构本身提供答案。此外,具有特殊意义的是,通过信用调查机构进行的数据处理以及由此产生的分数值可能会对数据主体在预定的法律交易方面产生深远的影响,如签订购买、租赁或出租合同。
一般来说,不可能确定任何具体的时间间隔,在这种情况下,提交进一步的访问请求可能被认为根据GDPR第12(5)是过度的。而是需要对个案的情况有一个整体的看法。然而,考虑到数据处理对数据主体的现实日常生活的重要性,可以假设免费提供的信息的一年间隔在任何情况下都会被认为是过度的请求。就信用调查机构而言,只有当从请求者的角度来看,几乎排除了对信用调查机构处理的数据的任何修改,才有理由认为请求被过度提交。通常,这只适用于在短时间内毫无根据地提交数个访问请求的情况。另一方面,如果数据主体在经济生活中的参与使数据的修改成为可能,那么新的请求就不算过分。


每天两块钱,实时获取全球数据合规风险预警

👇

招募讲师:欢迎加入DPOHUB课程平台


  • 平台介绍数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。
  • 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。
  • 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。
  • 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。
  • 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
下一个“嫖娼”的会是谁?北京证监局总结9个案例提示审计、评估风险涉及400万人!保险业推动这项改革,利益向一线倾斜!探索佣金发放长期化AmEx 信用卡升级奖励:ED → EDP 40k 升级奖励Freedom限时预付费手机计划:50GB数据+无限通话短信,每年仅99元!中國現在凴什麽在牛找支点,撬增长,用7个案例速讲杠杆思维的使用方法IGCSE英语ESL:摘要写作(Summary writing)高分tips!多伦多房市惨淡:卖家都是怎么割肉的?看看这3个案例!扩散提醒!老人感染新冠后,体温低于35℃要及时转诊房地产ABS最新实务要点全解析(10个案例)10个案例,看解封后的小生意该如何经营【往期】澳洲打工维权指南!专治嚣张欠薪:移民局、FWO、ATO联合讨伐“无偿试工”!ANU免费法律咨询预约,包教包会~研究生论文致谢频用诗词!导师:摘要都写不通你还敢搞文学?非洲峰会首脑集体看世界杯?拜登费尽心机讨好,明年内阁集体访问非洲!AI掀起690亿美元投资热,6个案例展示今后10年新趋势|前哨科技特训营99个案例,前上市审核员为你解答IPO上市审核要点婚姻里的浪漫,就是当我跟你说话时,你要及时回应国产数据库市场横空杀出个巨头?亚信 AntDB数据库凭什么如果男友丁丁变成这样,千万要及时就医!医药行业尽职调查怎么做?6个案例告诉你【财闻联播】超65000家公司的2.4TB数据泄露?微软回应!推特未来几个月将进行大规模裁员UDP 分片 与 丢包,UDP 真的比 TCP 高效吗?UDP 的应用场景大彻大悟:5个人生哲理运动产生多巴胺?3个案例,详解数据分类分级方法论及落地应用未来媒体访谈×童欣:3D视频系统,轻松与朋友在线“确认眼神”学完这几个案例,你就有个地方空空的~理工科研究生论文致谢频用诗词,导师:摘要都写不通你还敢搞文学?Q527:理解Python装饰器的3个案例股权涉税指南:股权代持实务要点及案例解析超65000家公司的2.4TB数据泄露,微软回应重磅首发|2022全域数据驱动增长指南:用户数据主权争夺战,品牌该出手了00后酒桌文化:摘美瞳什么意思??Does the third world benefit from the US-China confrontation?
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。