欧洲数据保护委员会(EDPB)于2019年10月8日和9日为其第十四届全体会议见面。

其中一个关键发展是通过其在一般数据保护条例第6(1)(b)条(GDPR)第6(1)(b)条的关于在线服务范围内加工个人数据的合同合法基础的最终版本,更俗称为合同法律依据的“表现”。

指南的最终版本没有从我们讨论的之前的草稿改变 这里 在4月份我们的博客。

作为提醒,我们已经概述了指南中的一些关键点。

指南的范围

EDP​​B指出,指南涉及第6(1)(B)第6(1)(b)条的适用性在在线服务合同中处理个人数据。在线服务是任何信息社会服务,也定义为“正常为薪酬的任何服务,距离电子手段和个人请求的服务”。该定义延伸到社交媒体和电子商务领域。它还涵盖了收件人不直接支付的服务,例如通过广告资助的在线服务。

第六条第6(1)(b)GDPR为加工个人数据提供了合法的基础,其中两个条件中的任何一个条件:(1)加工是与数据主体的合同或(2)的合同所必需的在数据主题的请求请求的预合同步骤是必要的。

edpb澄清了 以前的指导 第29条工作组出版仍然有关,任何个人数据的处理都必须遵守整个GDP。

处理与数据主体合同的履行所需的处理

必要性是依赖第6(1)(b)第6(1)(b)条的先决条件。 EDP​​B提醒控制器,即必要性的概念涉及审议欧洲联盟基本权利宪章第7和第8条下的隐私权和保护个人资料的基权。

必须为与数据主体进行合同的性能所需的数据处理。 edpb指出,如果与实现相同目标的其他选项相比,如果有更少的侵入性替代方案,则处理不是“必要”。因此,EDPB澄清了第6(1)(b)条不会涵盖有用但未客观必要的处理。

EDP​​B建议控制人员通过询问以下问题进行第6(1)(b)条是否适用:

  1. 提供给数据主题的服务的性质是什么?它的特点是什么?
  2. 合同的确切理由是什么(即它的物质和基本对象)?
  3. 合同的基本要素是什么?
  4. 缔约方对合同的相互观点和期望是什么?如何向数据主题推广或宣传服务?如果服务的普通用户会合理预期,考虑到服务的性质,将进行设想的处理,以便履行他们是派对的合同?

在数据主题的请求时进行预合同步骤所需的处理

第6(1)(b)条的第二部分GDPR涵盖在与数据主体签订合同之前进行预订步骤所需的个人数据的处理。这解决了处理个人数据的情况,以促进实际进入合同所必需的情况。艾普澄清说,这一规定不会涵盖未经请求的营销或其他处理,这些处理是在数据控制人的倡议或第三方的要求下进行的。

合同终止

EDP​​B注意到,如果使用第6(1)(b)条作为处理个人数据的法律依据,则控制员应预测合同终止时会发生什么。

在终止后,作为一般规则,个人数据的处理将不再是履行合同的必要条件。因此,控制器需要停止处理。虽然EDPB认识到“当原始基础不停止存在时,它通常不公平地交换到新的法律依据“如果有保留某些记录的法律义务,有可能适用的情况。

第6(1)(b)条在特定情况下的适用性

该指南还解决了第6(1)(b)条在特定情况下的适用性,例如服务改进,欺诈预防,在线行为广告以及内容的个性化。

服务改进的处理不太可能满足必要性阈值。同样,欺诈预防的处理也将是不必要的,但可以在另一种基础下进行,例如法律义务或合法利益。

在某些情况下,内容的个性化可能取决于内容的个性化是否有必要以逻辑合同的目的是必要的。

评论

处理个人数据的基础必须依赖于在GDPR第6(1)(a)(a) - (f)条中提供的六个法律基础之一。这些准则是对正确做法的欢迎澄清,其中适当使用第6(1)(b)条作为处理个人数据的合法依据。我们预计EDPB将在未来发布进一步的指导方针,以解决处理个人数据的其他合法基础,以纠正第6(1)条法律基础的过度广泛应用。与此同时,留意我们的博客以获取更新。