欧洲法院裁决:豁免 GDPR 信息义务
在今天的博客文章中,我们将讨论间接数据收集情况下提供信息的义务以及欧洲法院 (ECJ) 最近就此事作出的裁决。欧洲法院于 2024 年 11 月 28 日对C-169/23 号案件作出的判决涉及向匈牙利最高法院作出初步裁决的请求。重点是对 GDPR 第 14(5)(c)条的解释,其中涉及控制者向数据主体提供信息的义务的例外情况。
事实
根据国家规定,原告获得了 Covid 证书(疫苗接种证明)。由于发证机构未提供任何数据保护信息,且依据《GDPR》第14(5)(c)条规定下的例外,原告最初根据《GDPR》第77(1)条启动了投诉程序。他向主管监督机构申请指示发证机构按照 GDPR 的数据保护要求开展处理操作。具体来说,他反对
“[...]签发机构没有准备和发布与签发豁免证书有关的个人数据保护声明,并辩称没有关于处理此类数据的目的和法律依据的信息,以及数据主体的权利及其如何行使这些权利的信息。” (第22段)
在国家监督机构驳回申请后,他向有管辖权的国家法院提起诉讼,法院批准了他的申请。国家法院认为,巴西商业传真列表 该例外仅适用于控制者从其他来源接收数据的情况。但这不适用于数据由控制者自己生成的情况。
监管机构就该判决向匈牙利最高法院提出上诉,最高法院中止了诉讼程序,并将以下问题提交欧洲法院作出初步裁决:
提及的问题
GDPR 第 14 条第 5 款 c 项中的例外是否也适用于控制者在履行职责过程中产生的数据?
监管机构是否可以在投诉程序的背景下审查控制者根据 GDPR 第 14(5)(c) 条规定的例外情况所依赖的国家法律是否规定了适当措施来保护数据主体的合法利益?并且,此次审查是否还包括控制者根据《条例》必须实施的措施的适用性? 32 GDPR?
欧洲法院裁决
1.:
GDPR 第 14(5)(c)条应解释为“[…]本条款规定的控制者告知数据主体义务的例外情况不加区分地适用于控制者未直接从数据主体收集的所有个人数据,无论控制者是从数据主体以外的其他人处获得这些数据,还是在执行其任务的过程中生成的这些数据。” (第55段)
2.:
“[...] 监管机构可以在投诉程序中,审查控制者所属成员国的法律是否规定了适当的措施来保护数据主体的合法利益,以便适用本条例第 14(5)(c) 条规定的例外情况。但是,该审查不应涉及控制者根据该条例第 32 条为确保个人数据处理安全而必须采取的措施的适当性。” (第75段第2点)
结论
这个决定可能会让人感到意外。虽然在 GDPR 的例外框架内反复建议采取非常严格的做法,但GDPR 第 14 条第 (5) 款 (c) 项中的例外应该被非常广泛地解释。同时,数据主体的权利和自由得到进一步加强,因为控制者有义务对国家立法进行具体审查,以确定是否有适当的措施来保护数据主体的合法利益。监管机构也可以在投诉的背景下审查这些内容。
頁:
[1]