SCA连载系列之GDPR合规 | 对个人数据删除权,企业有哪些责任?
“被遗忘权”源于Google西班牙诉v.AgenciaEspa oladeProtecciónde Datos和Mario CostejaGonzález案(2014年)。2018年GDPR正式实施后,赋予了个人要求删除其数据的权利,并且规定组织有义务这样做。现在,欧洲法院规定——互联网领域的“被遗忘权”是正当的,这引起了全世界的关注。
众所周知,GDPR被称为史上最严个人数据保护法,适用范围非常广泛。实际事务中,如果有人提出要删除个人数据,企业该怎么办?必须删除个人数据吗?可以不删除吗?是否必须告知其他组织有关个人数据的删除?多长时限内删除?能收处理费吗?个人数据删除权和访问权同属于数据主体的权利,企业对其处理的共同之处在哪里?今天SCA结合GDPR官方文档为大家整理的是:对个人数据删除权,企业有哪些责任。
一、什么情况下企业必须删除个人数据?
GDPR第三章数据主体的权利第17条删除权(也被称为“被遗忘权”)对企业必须应要求删除数据的义务做了详细的规定。第17条删除权第1、2项原文如下:
1、在下列情形之一时,数据主体有权要求数据控制者无不当迟延的删除有关其个人数据,数据控制者有义务无不当迟延地删除个人数据:
(a)该个人数据被收集或其他处理的目的而言已无必要的;
(b)当处理依据是本条例第6条第1款(a)项或第9条第2款(a)项时,数据主体撤回同意,且没有其他有关该处理的法律依据的;
(c)数据主体依据本条例第21条第1款的规定拒绝处理,且该处理没有显著优先的正当理由的,或者数据主体依据本条例第21条第2款的规定拒绝处理的;
(d)个人数据被非法处理的;
(e)在对数据控制者生效的欧盟或欧盟成员国法律规定的义务下,该个人数据必须删除的;
(f)个人数据是依据本条例第8条第1款规定的为提供信息社会服务而收集的。
2、如果数据控制者已经将个人数据公开并且依据第一款的规定有义务删除该个人数据的,数据控制者在考量现有技术和实施成本后,应该采取包括技术措施的合理步骤,通知正在处理该数据的数据控制者,数据主体已要求这些数据控制者删除该个人数据的任何链接、副本或复制件。
根据以上规定,如果个人数据不再需要用于原始处理目的,或者数据主体已经撤回其同意,并且没有其他法律依据进行处理,数据主体已经提出反对,并且没有压倒一切的合法依据进行处理,或者需要删除来履行欧盟法律规定的法定义务或成员国的权利,则必须立即删除个人数据。此外,如果处理本身违反法律,数据必须自然删除。
另外,根据第17条第2项,如果数据控制者已经公开了个人数据,并且如果存在上述删除原因之一,企业必须考虑采取合理措施,通知数据处理中的所有其他数据控制者,必须删除与该个人数据有关的所有链接以及个人数据的副本。
例如:企业运行社交媒体平台。未成年人上传照片;但是,几年后,他认为这些照片可能会损害他的职业前景。由于个人在上传时是未成年人,因此企业有义务删除上述照片。此外,如果照片已经在其他网站上处理过,则企业必须采取合理的步骤通知他们数据主体已提出删除照片的请求。
是否必须告知其他组织有关个人数据的删除?
GDPR规定以下2种情况,企业应告知其他组织有关个人数据的删除:
(a)个人数据已被泄露给他人;
(b)个人数据已在在线环境中公开(例如在社交网络、论坛上)。
除非事实证明这是不可能的或付出了过多的努力。如果被要求,企业还需要将这些收件人告知个人。
是否必须从备份系统中删除个人数据?
如果收到了有效的删除请求,并且没有任何豁免,那么企业应该采取步骤以确保从备份系统以及实时系统中删除个人数据。
关于实时系统,删除请求可能会立即得到满足,但通常数据将在备份环境中保留一定的时间,直到被新数据覆盖为止。因此,企业必须确保不要将备份中的数据用于任何其他目的,即,备份仅保留在企业的系统上,直到按照既定时间表替换备份为止。
二、什么情况下企业可以不遵从删除权?
GDPR赋予个人要求删除其数据的权利,并且企业有义务这样做,但是数据主体的删除权并不是一成不变的。尤其是在与言论和信息自由权相冲突时,出于公共利益、科学或历史研究目的或统计目的,或者为了维护法律权利要求,必须处理需要删除请求的数据时。GDPR第17条第3项规定本条第1、2项不适用于以下必要的处理:
(a)为了行使言论和信息自由权的;
(b)为了遵守对数据控制者生效的欧盟或欧盟成员国法律规定的义务,为公共利益执行职务或受托行使公权力的;
(c)本条例第9条第2款(h)、(i)项和第9条第3款,为了公共卫生领域的公共利益的;
(d)符合本条例第89条第1款规定的为了公共利益的存档目的、科学或历史研究目的或统计目的所进行的数据处理,本条例第1款规定的义务可能使该处理目的无法实现或受到严重损害的;
(e)为了确立、行使或抗辩法律请求的。
例如:企业经营在线报纸。一位记者发表了一个政治人物如何在国外银行洗钱的故事。政客要求删除该故事,因为他的个人资料正在处理中。由于个人数据用于行使言论自由权,因此,企业原则上没有义务删除此类数据。但这还取决于现有的国家立法。
即,如果出于以下原因之一需要进行处理,则删除权不适用:行使言论和信息自由权;遵守法律义务;为了公共利益或行使官方权力而执行的任务;为了公共利益的存档目的,科学研究历史研究或统计目的,删除后可能无法实现或严重损害该处理的实现;用于建立,行使或抗辩法律请求的。
另外GDPR还规定了2种删除权不适用于特殊类别数据:
(a)如果出于公共利益目的或出于公共卫生目的,进行的必要的处理(例如,防止疾病的国际间威胁,或确保医疗保健和医药产品或医疗设备的高质量和安全标准);
(b)如果出于预防或职业医学的目的,处理是必要的(例如,对于雇员的工作能力;用于医学诊断;提供健康或社会护理;或者用于健康或社会护理系统或服务的管理)。这仅适用于由专业人员(如卫生专业人员)处理数据或由专业人员负责处理数据的情况。
如果拒绝遵守删除要求,该怎么办?
必须在收到请求后的一个月内立即通知该个人,向其说明企业不采取行动的原因,和个人有权向其他监管机构投诉,以及他们可以寻求司法补救措施执行这项权利。
三、处理数据访问权和删除权的共同之处
对个人数据删除权和个人数据访问权同属于数据主体的权利,GDPR规定企业有义务遵守,履行删除权的义务同样需要企业“识别”,并在一个月之内处理,一般为不收费的予以处理。
首先,“识别”是指,确认请求者身份是否真实,和识别个人的数据删除请求。如果对提出请求的人的身份有疑问,可以要求更多信息,但仅能要求提供确认其身份所必需的信息。
对大多数企业来说,识别个人数据删除请求是一个挑战,因为GDPR没有指出如何提出有效请求。因此企业的任何员工都可以收到有效的请求。可能是口头或也可能是书面形式的,且只要个人明确要求企业删除自己的个人数据,请求就不必包含“删除请求”或“GDPR第15条”等字样。
因此,建议企业:
1、对定期与个人互动的员工,进行可能的特定培训,帮助他们来识别请求,并做出应对处理。
2、如果可以制定一条政策来记录企业收到的请求的详细信息,尤其是通过电话或亲自提出的请求,建议企业保留口头请求的日志。
其次,在一个月内处理是指,企业在确认请求者的身份或者确定收费后,应在一个月内给予处理。企业应该计算从收到请求之日(无论是否是工作日)到下个月相应的日历日期的时间限制。例如:一个组织在9月3日收到请求。时间限制将从同一天开始。这使组织可以在10月3日之前遵守该要求。
如果由于下个月较短(并且没有相应的日历日期)而无法这样做,则响应日期为下个月的最后一天。如果相应的日期是在周末或公共假日,则您必须在下一个工作日之前做出答复。
最后,“一般不收费”,因为企业有义务应数据主体的要求删除个人数据,如果请求毫无根据或过多,可以为执行请求的管理成本收取“合理费用”。但企业必须及时向其说明收费的原因,以及个人有权向其他监管机构投诉,并且同时可以寻求司法补救措施执行这项权利。
PS:本文由SCA安全通信联盟结合GDPR官方文案翻译整理,转载请注明出处。https://gdpr-info.eu/issues/right-to-be-forgotten/