已结课!最后的最大优惠!扫码立享!
仅供学习,如有侵权,请联系删除!
2024年10月8日,欧洲数据保护委员会(European Data Protection Board,下称“EDPB”)发布了《基于合法利益处理数据指南》(Guidelines 1/2024 on processing of personal data based on Article6(1)(f)GDPR,下称“指南”)的征求意见稿。本指南分析了《通用数据保护条例》(General Data Protection Regulation,下称“GDPR》)第6条第1款f项中规定的标准,数据控制者必须满足这些标准,才能合法地基于“为控制者或第三方追求的合法利益所必需的”这一理由处理个人数据。
组织在基于合法利益处理个人数据时,应当进行合法利益评估(Legitimate Interests Assessment,下称“LIA”)。LIA流程包括追求利益的合法性、数据处理的必要性、利益平衡和实施缓解措施,以及所有这些都必须记录在案,作为组织履行GDPR问责要求的依据。以下是LIA完整流程的详细说明。
追求合法利益:控制者或第三方必须追求合法利益。这些利益必须是合法的、明确表述的,并且是现实存在的,而不仅仅是假设性的。控制者有责任证明这些利益是合法的,并且与他们的活动相关。
处理个人数据的必要性:处理个人数据必须是为了追求这些合法利益所必要的。这意味着,如果存在其他同样有效但对数据主体基本权利和自由限制较少的手段,那么就不能基于GDPR第6条第1款f项进行处理。 利益平衡:数据主体的利益或基本权利和自由不应当优先于控制者或第三方的合法利益,特别是当数据主体是儿童时。这需要进行权衡,以确保处理不会对数据主体的权利和自由造成不合理的影响。
评估合法利益主张的条件是否得到满足,从而根据问责要求证实数据处理的合法性;
识别和评估数据主体隐私风险;
实施适当措施降低风险;以及
记录并证明组织为何做出某些有关合法利益的选择。
预防欺诈和滥用; 确保网络和信息安全; 企业集团内部的行政管理目的; 评估个人的信用状况; 产品改进;以及 为了起诉某人并获取损害赔偿,获取该人的个人数据。
受影响的数据主体的利益和基本权利: 数据处理可能影响的数据主体利益或权利非常广泛,如财务利益、隐私权、言论自由等; 数据主体的法律地位也可能发生变化,这同样是一个有影响的后果; 预期的数据处理对数据主体的影响。
处理的持续时间、规模及将要处理的个人数据量; 组织的地位及组织与数据主体之间的关系(例如,是否存在层级关系); 个人数据是否可以与其他数据集一起处理; 个人数据的可访问性和/或公开程度; 数据主体的脆弱程度。
除了已有的必要措施外,采取技术性和组织性安全措施(如加密、日志记录等);
进一步限制个人数据的数量和处理的时长;
提供更多关于数据处理的额外信息。
组织的合法利益是什么;
为什么选择合法利益作为数据处理的依据;
为什么数据处理对于追求正当利益是必要的;
数据主体和组织的利益如何相互权衡,以及为什么利益平衡结果有利于组织;
组织已采取哪些适当措施来降低数据主体的风险,并且在多大程度上保障了数据主体的权利。
。。。。。。
全部AI及数据中译本及资讯请加入
