今年1月份,EDPB发布了《关于数据主体权利--访问权的01/2022号指南(草案)》并征求公众意见,旨在对数据主体提交访问请求、数据控制者回应访问请求做出规范。该指南对访问权的组成、数据主体请求的评估原则、访问权的范围、如何提供访问以及访问权的限制等方面进行了示例性释义。
根据《通用数据保护条例》(GDPR)第15条,数据主体有权从控制者处获得有关其个人数据是否被处理的确认信息,以及有权在该种情况下访问个人数据和相关信息。数据主体的访问权也是欧洲数据保护法的核心。
访问权的目标是为数据主体提供透明且易于访问的信息,便于个人可以验证其数据处理活动的合法性、数据的准确性,并使其能够行使其他权利。但是,DSAR(data subject access requests;数据主体访问请求)经常给控制数据的组织以及负责接收、调查和响应这些请求的个人带来一些问题,因为DSAR的所有流程都需要在GDPR规定的短暂的一个月时间内进行的。
目前《关于数据主体权利--访问权的01/2022号指南(草案)》处于向公众征求意见阶段,针对指南中的相应规定,立法者需考虑其中是否在重大方面存在不足。本文摘译了爱尔兰最大律所Arthur Cox就指南中提及的9个要点所提出的思考与建议,为个人和企业如何处理数据访问请求这一问题提出了相应建议。
数据主体访问请求的响应效率
当访问请求通过官方渠道到达数据控制者时,响应DSAR的时间就开始计算了(即为期一个月),即使此时数据控制者的雇员还没有收到请求。
鉴于响应DSAR的法定时间紧迫,数据控制者需要确保有适当的程序来促进DSAR被有效识别并被其雇员及时掌握,从而可以尽快准备响应,因此,这也需要数据控制机构对其雇员进行相关培训。
如果DSAR来自数据主体以外的任何人,则数据控制者应确保对方已经获得有效授权。如果数据主体使用第三方门户发出有效的DSAR,数据控制者没有义务向第三方门户提供DSAR响应,其可以选择直接向数据主体提供。
响应访问请求的期限
根据欧盟监管机构的规定,一般情况下,企业最迟应在收到请求后一个月内,无不当延迟地做出响应。如果数据控制者要求提供额外信息以验证请求者的身份,或已要求请求者完成与请求相关的处理操作,时间可以暂停(前提是在数据控制者没有无故拖延的情况下)。如果DSAR具有合理的复杂性和数量,一个月的期限可以再延长两个月。但是,延长应该是例外,而不是规则,并且当数据控制者发现经常出现延长期限的情况时,应该审查其处理DSAR的程序。
数据主体需要明确请求访问的数据范围,从而确保收到的数据是正确的。此外,建议为数据控制者提供足够的响应时间。
身份验证
根据第12条第2款,数据控制者不能拒绝响应DSAR,除非能够证明其无法识别数据主体。应尽可能利用现有的身份验证方法,例如向数据主体注册时预留的联系号码或电子邮件地址发送确认身份的电子邮件或短信。
通常不应要求提供官方身份证明文件,如护照和公民身份证(除非法律要求)。EDPB建议,在审查身份证明文件时,数据控制者应注意身份证明文件是否已检查,而不是进行不必要的处理,例如存储副本。
拟向请求者提供的 "信息"
第15条规定,数据主体有权获得其个人数据的副本,并有权确认其个人数据是否被处理,关于处理的情况及其数据主体权利的相关信息。控制者应注意,EDPB建议控制者有更大的责任提供量身定制的信息;隐私政策只有在其包含的“一般信息”是针对数据主体的情况下才普遍适用。
搜索范围
个人数据可能涵盖的范围很广泛,包括存档和备份数据。EDPB声明,对于数据控制者为满足数据主体的要求所做的努力,访问权没有任何保留,GDPR也承认:保护个人数据的权利不是一项绝对权利,必须考虑其在社会中的作用并应当根据比例性原则与其他基本权利保持平衡。
如果搜索涉及大量数据,数据控制者可以请求数据主体缩小搜索范围,尽管数据主体没有义务这样做。此类请求不应理所当然地进行,并且数据控制者不能将其用作“隐藏”某些个人数据的方式。
数据控制者应检查其掌握的能够识别数据主体的数据,如果数据的结构使这些标识符有可能返回结果,则应对照标识符(包括直接和间接标识符)进行搜索。
个人数据
个人数据不仅包括数据主体提供给数据控制者的数据,还包括围绕该个人数据所做的任何评估、总结或评论。指南中提及的数据包含被视为个人数据的指示性列表,其中包括由连接对象处理的数据、交易历史、笔迹、特定的行走或说话方式、录音以及从数据主体提供的数据中衍生或推断的信息,例如健康评估结果、信用比率。
数据控制者应记住,仅搜索直接标识符不足以遵守GDPR第15条,还应使用适当的间接标识符。
提供访问渠道
指南提醒控制者,制定最合适的数据主体访问方法时,应该考虑到控制者所能意识到的任何漏洞或特殊的访问要求。指南提到,在以电子方式提供数据的情况下,以数据主体可以下载的“常用电子形式”提供数据;对以电子方式提出的DSAR作出回应,并在提供“原始数据”的情况下,或在数据主体为儿童的情况下,对数据进行背景说明,使数据主体能够充分理解个人数据。在数据主体难以完整理解信息的情况下,数据控制者可以考虑以分层格式提供个人数据以解释数据。然而,数据控制者不能以提交新的访问请求为条件来获取更多的数据,也不能为数据主体的访问施加不相称的负担。
适用于访问权的相应限制
数据主体获取其个人数据副本的权利不得对他人的权利和自由产生不利影响(第15条第4款)。因此,数据控制者虽然不能完全拒绝DSAR,但需要对数据中那些会对他人的权利和自由产生负面影响的部分进行删除或进行去标识化处理,并且数据控制者需要及时告知数据主体关于访问限制的原因。
EDPB指出,欧盟或成员国法律规定的任何权利或自由都可能触发第15条第4款中的限制,例如在就业背景下对私人电子邮件通信的通信保密权。相反,EDPB表示,在商业秘密和知识产权(根据Recital 63被认为是有效的权利和自由)之外,公司不披露个人数据的经济利益与第15条第4款的目的无关。
在考虑是否援引第15(4)条时,数据控制者应参与EDPB概述的分步评估。数据控制者应首先评估遵守DSAR是否会对权利或自由产生不利影响。其次,应根据事项的具体情况和各方面临的风险的严重程度,权衡有关各方的权利和自由,并尝试协调竞争权利,包括通过缓解措施。只有在不可能调和的情况下,数据控制者才应确定哪项相互竞争的权利和自由优先。
无理要求或过度要求
对于“明显没有根据”或“过度”的请求,数据控制者可以收取合理的费用或拒绝采取行动(第12条第5款)。虽然没有定义上述请求,但其最常出现在同一数据主体的后续DSAR中。指南警告,在可以远程或通过电子方式访问个人数据的情况下,后续的DSAR不太可能被视为过度。EDPB认为重复DSAR的数据主体“仅意图对数据控制者造成损害或伤害”是“过度的”并构成对第15条程序的滥用。(爱尔兰数据保护委员会的立场是,必须根据具体情况对每个DSAR进行评估,而不要猜测数据主体在提出请求时的意图。)
如果数据主体在提交DSAR的同时提出撤回DSAR以换取某些利益,或者是出于恶意提出要求,并被用来骚扰控制者或处理者或其雇员,除了造成干扰外没有其他目的,那么DSAR也可能是过度的。严格的法律条文意味着数据控制者可以询问DSAR背后的动机,以确定它是否“过度”以及是否适用欧盟或国家法律限制。
如果数据控制者认为请求明显没有根据或请求过度,则应询问并记录请求的原因,虽然数据控制者无权就数据主体提出DSAR的原因发表意见,但可以通过询问DSAR意图来确定该请求是否属于“明显没有根据”或“过度”的情形,或者国家法律豁免是否适用于相关数据。
(部分内容来源网络,如有侵权请联系删除)
