奥地利居民要求邮政局披露其个人数据被共享的接收者的身份。奥地利邮政局表示,其在法律允许的范围内使用个人数据,向贸易伙伴提供个人数据用于营销目的,但没有明确说明接收者的具体身份。在诉讼过程中,奥地利邮政局进一步澄清,数据已被转发给处理者和第三方,包括:
- 通过邮购和文具店进行交易的广告商
- IT 公司
- 邮件列表提供商和协会,例如慈善机构、非政府组织或政党
奥地利最高法院随后面临
的问题是:GDPR 是否会让数据控制者可以选择披露接收者的具体身份,或者只披露接收者的类别;或者是否给予资料主体有权知道他们的具体身份?
这是提交给欧洲法院的问题。
在这篇博客中,我们将研究该 手机号码数据 案例,讨论这对您的组织意味着什么,以及您现在应该做些什么来确保遵守新的裁决。
法院的判决
欧盟法院明确表示,数据主体有权知道谁接收了他们的个人数据。法院表示:
“…当个人数据已经或将要披露给接 您是否达到或超出了预期? 收者时,控制者有义务根据要求向数据主体提供接收者的实际身份。只有在尚无法识别接收者的情况下,控制者才可以仅指明相关接收者的类别…”
法院还补充了一条警告,只要控制者能够证明该请求明显毫无根据或过分,就可以拒绝该请求。
在本案中,欧盟法院在更广泛的背景下解释了第 15(1)(c) 条,并考虑了 GDPR 的目标,裁定数据主体有权知道谁拥有他们的数据。为了进一步推进这一裁决,法院强调了以下几点:
- 访问权要求所有处理均符合第 5 条的规定并以透明的方式进行
- 区分了数据主体根据第 15 条请求信息的“真正”权利与第 13 条和第 14 条规定的透明度要求
- 第 63 条规定,数据主体有权了解和获得有关个人数据接收者的通信
- 仍然存在平衡测试,这不是绝对权利,可以拒绝(例如在实际接收者不为人所知的情况下)。第 12(5)(b) 条还允许控制者在认为请求明显毫无根据或过分的情况下拒绝请求
这个决定为什么重要?
这一决定可能会对许多中小型组织产生影响,但从以下方面来看,这也是一项重要决定:数据主体权利欧盟法院明确表示,访问权对于数据主 巴西商业名录 体行使 GDPR 赋予的其他权利至关重要。这包括更正权、删除权、限制处理的权利、反对处理的权利或者如果遭受损害采取行动的权利。
虽然这一判决并没有赋予数据主体新的权利,但它延伸到了数据主体的访问权。它还确认,数据主体有权知道他们的数据流向何处,以及出于什么原因与第三方共享。
你的组织应该做什么?
首先,回到您的数据地图,找出您的数据流向何处以及所有供应商的位置。您需要确保这些数据是最新的,并准确反映您收集的个人数据的旅程。在此阶段,您还应考虑查看您的处理活动记录 (RoPA),并确保它们仍然反映您的处理活动。如果您的数据地图发生了任何重大更改,或者您的流程发生了变化,您的 RoPA 应该更新以反映这一点。您还应确保对任何新供应商进行了供应商尽职调查,因为这将有助于证明您对个人数据的共享和处理负责。