欧洲数据保护委员会(EDPB)于2019年4月9日至10日举行了第九届全体会议。EDPB讨论了有关适用《 2016/679通用数据保护条例》(GDPR)的若干问题。 议程.

主要进展之一是通过了草案 指导方针 由EDPB根据GDPR第6(1)(b)条的范围和适用范围而制定,该条在很大程度上被称为“合同必要性”或“履行合同”的法律依据。 GDPR第6(1)(b)条为处理以下情况提供了合法依据“为了执行数据主体所参与的合同,或者为了在数据主体订立合同之前根据数据主体的要求采取步骤,必须进行处理”.

该准则对可能考虑的内容提供了重要的澄清“necessary”,以及在在线服务范围内进行处理的有用指南,以确保仅在适当时才依赖此法律依据。

必要性

控制器的出发点是确定处理目的。处理必须客观 必要 根据数据主体的要求执行合同服务或采取相关的合同前步骤。如果存在现实的,侵入性较小的替代方案,则不会 必要 并且需要依赖GDPR第6(1)条的其他法律依据。

与数据主体签订合同所必需

A controller must establish that the processing takes place in the context of a valid contract and the processing is 必要 to enable that particular contract to be performed.

该准则明确指出,仅引用或提及合同中的数据处理本身不足以确定必要性。这意味着可能不会总是依赖使提供服务以处理为条件的任何术语,尤其是如果该术语是单方面强加于个人的。

在在线服务方面,EDPB强调处理必须 客观地 必要 for a purpose that is 积分 合同服务的交付,例如为了支付服务费用而处理付款明细。

终止

如果依据第6条第(1)款(b)项,控制人应预见如果合同终止,将会发生什么情况。通常,合同终止后,将需要停止处理个人数据,因为不再需要履行该合同。 EDP​​B承认,但是,在某些情况下,终止后可以公平地依靠新的法律依据,例如,数据主体表示同意进一步处理,或者有法律义务保留个人资料。

数据。在这种情况下,控制者将需要在处理开始时确定替代的法律依据,并明确告知个人他们计划在合同终止后保留记录多长时间。

签订合同前必须采取的步骤

该准则阐明“采取合同前步骤的必要性”不会涵盖未经请求的营销或仅在数据控制者的主动下或应第三方的要求而进行的任何其他处理。

第6(1)(b)条在特定情况下的适用性

该准则还讨论了在在线服务的范围内出于某些目的使用第6条第1款(b)项的目的,即服务改进,欺诈预防,在线行为广告和内容个性化。用于服务改善的处理不可能满足必要性阈值。同样,防止欺诈的处理也将是不必要的,但可以在其他基础上进行,例如法律义务或合法利益。

Personalisation of content may, in some instances, be 必要, depending on whether the personalisation of the content is 客观地 必要 for the purpose of the underlying contract.

评论

该准则在广泛依赖法律的基础上为处理个人数据提供了一些有用的说明。 EDP​​B将接受关于这些准则的评论,直到2019年5月24日。

同时,请关注我们的博客,以获取EDPB第九次全体会议涵盖的其他领域的摘要。