向赞助商收取费用转移体育协会会员数据
欧洲法院在最近的一项裁决( 2024 年 10 月 4 日判决,C-621/22 )中对 GDPR 第 6 条第 (1) 款 (f) 项的解释以及为保护控制者或第三方的合法利益而进行处理的必要性问题发表了评论。这是关于什么的?
主要诉讼的主题是荷兰网球联合会的行为。网球协会会员是该协会所属的网球俱乐部及其会员。如果加入网球协会下属的网球俱乐部,该网球俱乐部的会员将自动成为网球协会的会员。
该网球协会向其两家赞助商披露了其会员的个人数据。该网球协会向其赞助商收取了提供相关个人数据的费用。
该网球协会向一家赞助商(一家销售体育用品的公司)提供了其会员的姓名、地址和居住地,以便通过邮寄方式发送宣传信。
该网球协会向另一家赞助商——荷兰最大的赌博和赌场游戏提供商——提供了其会员的姓名、地址和居住地,以及他们的出生日期、座机号码、手机号码和电子邮件地址,以及这些会员所属网球俱乐部的名称。赞助商希望利用这些数据开展电话广告活动。
监管机构的罚款
荷兰监管机构对该体育协会处以525,000欧元的罚款。监管机构认为,该体育协会在未经会员同意且没有合法依据的情况下披露了其会员的个人数据,违反了《GDPR》第 6 条第 1 款 a 项和 f 项以及第 5 条第 1 款 a 项的规定。
该体育协会向提交该裁决的法院——阿姆斯特丹地方法院——提起了针对罚款的诉讼。在本案中,体育协会没有获得同意这一点毫无争议。然而,网球协会依据的是 GDPR 第 6(1)(f)条。合法利益一方面在于建立协会与其会员之间的密切联系,另一方面在于能够以合作伙伴的折扣和优惠形式为会员提供附加值,使这些会员能够以合理且可承受的价格打网球(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 13 段)。
监督机构认为,只有属于法律一部分的、合法的、法律规定的利益才是《条例》所定义的合法利益。 GDPR 第 6(1)(f)条。这些利益必须被联盟立法机构或国家立法机构认为值得保护,并且必须根据“积极标准”进行评估。本案中不涉及此类利益(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 16 段)。
网球协会辩称,合法利益不一定源于基本权利或法律原则,任何利益均可构成合法利益,除非该利益是非法的,爱尔兰商业传真列表 因此必须参考“否定标准”来评估此类利益(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 17 段)。
提交给欧洲法院的问题
阿姆斯特丹地方法院中止了诉讼程序,并将以下问题提交欧洲法院作出初步裁决:
提交法院应如何解释 GDPR 第 6(1)(f) 条中“合法权益”一词的含义?
这个术语是否应按照被告的解释来解释?它是否仅涵盖属于法律一部分的、合法的和法律中定义的利益?
或者说,只要不与法律相冲突,任何利益都可以是合法利益吗?更具体地说:纯粹的商业利益和当前的利益,即在未经数据主体同意的情况下有偿提供个人数据,在某些情况下是否可以归类为合法利益?如果是的话,什么情况下可以决定纯粹的商业利益是否是合法利益? (欧洲法院,2024 年 10 月 4 日判决,C-621/22,19)
欧洲法院的裁决
欧洲法院裁定,GDPR 第 6(1)(f) 条必须解释为,为追求控制者的经济利益而披露体育协会成员的个人数据的处理,只有在处理对于实现相关合法利益而言是严格必要的,并且考虑到所有相关情况,这些成员的利益或基本权利和自由不超过合法利益的情况下,才可被视为在该条款的含义范围内维护该控制者的合法利益所必需。虽然该规定并不要求此类利益必须由法律确定,但它要求所主张的合法利益是合法的(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 25 段)。
欧洲法院的推理
欧洲法院在其论证中首先指出,GDPR 第 6(1)(b) 至 (f) 条规定的理由必须严格解释,因为它们可能导致个人数据的处理在未经数据主体同意的情况下合法进行(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 31 段)。
欧洲法院强调了第 3 条规定下的合法数据处理的三个必要累积条件。 GDPR 第 6(1)(f)条:
首先,控制者或第三方必须追求合法利益。
其次,处理个人数据必须是实现合法利益所必需的,并且
第三,受保护数据主体的利益或基本权利和自由不得超过控制者或第三方的合法利益(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 37 段)。
关于追求“合法利益”的要求,欧洲法院澄清说,由于 GDPR 未对该术语进行定义,因此原则上可以将广泛的利益视为合法利益(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 38 段)。 GDPR 第 47 条关于“合法利益”概念的规定也明确指出,欧盟立法者并不要求控制者的利益必须受到法律管制,以便该控制者对个人数据的处理符合 GDPR 第 6(1)(f) 条的规定。鉴于本陈述将直接营销的目的一般性地作为控制者可以追求的合法利益的一个例子(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 39 段),这一点尤其正确。
但是,GDPR 第 6 条第 1 款 f 项中“合法利益”一词,即使不限于法律确立的特定利益,也要求所主张的合法利益必须合法(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 40 段)。
欧洲法院认为,只要经济利益不违法,它就可以构成 GDPR 第 6 条第 (1) 款 (f) 项所定义的合法利益。然而,欧洲法院认为,考虑到适用的法律框架,对此类利益的存在进行审查是作为提交法院的阿姆斯特丹地方法院的责任。无论如何,欧洲法院并未排除控制者为营销目的而推广和销售广告空间的经济利益可被视为《第 14 条》意义内的合法利益。 GDPR 第 6(1)(f)条(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 48 段)。
关于为实现相关利益而进行相关处理的必要性,特别是是否存在同样适当且较少干涉数据主体基本权利和自由的处理方式,欧洲法院认为,希望向第三方披露其成员个人数据以获取报酬的体育协会可以提前通知其成员,并询问他们是否希望将其数据披露给第三方用于广告或营销目的(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 51 段)。
欧洲法院认为,该解决方案将使相关成员能够根据数据最小化原则保留对其个人数据披露的控制权,从而将此类数据的披露限制在与传输和处理这些数据的目的实际必要和相关的范围内(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 52 段)。
欧洲法院认为,此类措施可以减少对数据主体个人数据保密权的干涉,同时使控制者能够同样有效地追求其声称的合法利益。但是,提交案件的法院也有责任审查这一点(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 53 段)。
在第三个条件,即平衡各自的冲突权利和利益的背景下,欧洲法院指出,阿姆斯特丹地方法院必须特别考虑数据主体的合理期望以及相关处理的程度及其对该人的影响(参见欧洲法院,2024 年 10 月 4 日判决,C-621/22,第 54 段)。
頁:
[1]