当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >
CJEU规定个人有权免费复制其个人数据
2023-11-17 15:15:07
浏览量:0
欧盟法院在英国《金融时报》诉德国之声案(C‑307/22案)中的判决已经公布,说明了有关数据主体访问请求的一些关键条款。这起案件涉及一名患者,DW,他要求牙医FT免费提供他们的医疗记录的初始副本。这一要求引发了一场法律纠纷,同时引发了关于数据访问和个人权利的重要问题。
这名病人接受了牙医的牙科治疗,并怀疑治疗中存在渎职行为。他要求免费提供第一份病历,但牙医拒绝了,理由是德国国家法律要求患者支付获取病历副本的费用。患者拒绝付款,纠纷通过法律体系提交给了欧盟法院。 初审法院和上诉法院都支持患者的请求,引用了《欧盟通用数据保护条例》第12(5)条、第15(1)条和第15(3)条。该案最终提交给德国联邦法院,该法院认为该决定取决于对《通用数据保护条例》的解释,并将该案提交给欧盟法院。 问题一:访问个人数据的权利 在这种情况下,核心问题围绕着控制者,如处理患者数据的医生,是否有义务向个人提供其个人数据的免费副本,即使GDPR的陈述63中没有明确列出请求的原因。 在这种情况下,患者似乎要求将个人数据作为证据,以对治疗提供者提起法律诉讼。这种方法在数据主体访问请求中很常见,数据主体进行“钓鱼探险”以获得证据,起诉他们感到不满的另一方。控制者通常会自然对此感到不安;陈述63解释说,访问权是为了了解和核实处理的合法性,而不是提供起诉的弹药。 欧盟法院审议了《通用数据保护条例》第12条和第15条。第12条第(5)款解释说,个人访问个人数据通常应免费。 第15条第(3)款指出,应向个人提供其个人数据的免费初始副本。法院考虑了这些条款,认定第63条并不限制提出请求的理由。 GDPR不要求个人提供请求访问其个人数据的理由,控制者也无权要求提供理由。透明度是GDPR的基本原则,不允许通过请求的目的对个人数据进行保密访问。 法院得出结论,GDPR要求控制者向个人免费提供处理后的个人数据的第一份副本,无论请求的原因是什么。这并不影响在请求“明显没有根据或过度”的情况下拒绝的权利。 然而,应该禁止个人使用访问请求来获取法律案件的文件,而不是使用既定的法律调查方法的论点不再有多大分量。 问题二:平衡经济利益 第二个问题集中在GDPR第23(1)(i)条是否允许在GDPR生效前制定的国家立法要求数据主体承担其处理后的个人数据的第一份副本的费用。 第23(1)条允许成员国限制GDPR规定的义务和权利,前提是这些限制符合基本权利,并且是保护他人权利和自由所必需的。 这位牙医辩称,允许患者查阅医疗档案的国家立法是在保护医疗服务提供者的经济利益。欧盟法院认为,虽然第23(1)(i)条可能适用于GDPR实施前通过的立法,但它不允许此类立法要求数据主体为其处理后的个人数据的第一份副本付费,以保护控制者的经济利益。 问题三:获取完整的医疗记录 最后,欧盟法院探讨了《通用数据保护条例》第15(3)条的解释,以及患者应获得其医疗数据的性质。具体而言,患者是否有权获得医疗记录中包含其个人数据的完整文件副本,或仅获得该数据的摘要。 CJEU强调,第15(3)条确保个人获得其个人数据的准确复制。它发现,GDPR中的“副本”一词并不是指实体文件本身,而是指它所包含的全面的个人数据,这些数据必须是完整的。 GDPR的目的是允许数据主体访问,以确保他们的数据是正确和合法的。因此,患者应获得其所有数据的准确、清晰的副本。这可能意味着,如果控制者有助于数据主体有效行使其权利,则控制者有义务提供完整的文件。仅仅提供摘要可能会有遗漏或歪曲关键信息的风险,使患者难以验证和理解他们的数据。 欧盟首席法官解释说,所需要的是上下文。在某些情况下,复制文件摘录可能就足够了。在其他情况下,应提供完整的文件。最重要的是提供数据的忠实和可理解的再现。陈述63具体涵盖了医疗信息,因此有必要为诊断、检查结果、医生评估、治疗等提供直接来源的材料。 结论 欧盟法院在英国《金融时报》诉德国之声案中的判决是指导数据主体访问请求方法的一个有用决定。 欧盟首席法官明确表示,无论出于何种目的,个人都有权免费获得个人数据的初始副本,对首次访问个人数据征收费用的国家立法不太可能被允许,患者有权全面复制其医疗数据,而不仅仅是摘要。
如何学习法律、IT、人力资源、销售和营销、采购、财务和信息安全?一起了解注册信息隐私专家IAPP CIPP!
注册信息隐私专家CIPP
基本概念: 注册信息隐私专家(CIPP)是首个信息隐私方面的认证资质,它将向世界展示你知道隐私法律和法规以及如何应用它们,并且你知道如何确保在信息经济中的地位。 因各国(地区)数据安全政策不同,CIPP认证又分为CIPP/E(Europe)、CIPP/A(Asia)、CIPP/US(U.S. private-sector)、CIPP/C(Canada)和CIPP/G(U.S. Government)注释2等4个子类。 注释2:由于考试人数少且政策变化大,IAPP在2018年9月30日暂停了CIPP/G认证。 学习内容: CIPP/E Introduction to European Data Protection欧洲数据保护导论 European Regulatory Institutions欧洲监管机构 Legislative Framework立法框架 Compliance with European Data Protection Law and Regulation符合欧洲数据保护法律法规 International Data Transfers国际数据传输 CIPP/A Fundamental Privacy Principles基本隐私原则 Singapore Privacy Laws and Practices新加坡隐私法律和实践 Hong Kong Privacy Laws and Practices香港私隐法和实践 India Privacy Law and Practices印度隐私法和实践 Common Themes Among Principle Frameworks原则框架中的共同主题 CIPP/US(U.S. private-sector) Introduction to the U.S. Privacy Environment美国隐私环境简介 Limits on Private-sector Collection and Use of Data私营部门收集和使用数据的限制 Government and Court Access to Private-sector Information政府和法院对私人部门信息的访问 Workplace Privacy工作场所隐私 State Privacy Laws州隐私法 CIPP/C Canadian Privacy Fundamentals加拿大隐私基础 The Canadian Government and Legal System加拿大政府与法律制度 Enforcement Agencies and Powers执法机构和权力 Canadian Privacy Laws and Practices in the Private Sector加拿大私营部门的隐私法律和实践 Canadian Privacy Laws and Practices in the Public Sector加拿大公共部门的隐私法律和实践 CIPP认证主要适用于隐私保护法律法规、合规性审查、信息管理、数据治理、人力资源等领域的从业人员
适用群体:
👇👇更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00👇👇
*文章来源:iapp.org
*原标题:CJEU rules individuals have right to free copy of their personal data
*整理编辑:A隐小私(yinxiaosi00)
-END-
✅IAPP国际隐私证书目前不限专业,不限学历,在读生均可参与考试。所以,大家在校的时候就可以报名。
IAPP考试 | 考试 时间 | 考试地点 | 考试形式 | 考试 时长 |
| 一年多次 | Pearson VUE国际考试中心授权考 点国内一线城市基本都有考点。 | 机考,按照考试类别分别有85-90道单选题 (其中15-25道不计分) 主要为英文考试,部分认证 如CIPP/E、CIPM也提供法文和德文考试。 | 150分钟 | |
| 📬证书申请:通过考试之后,4-6周能拿到电子版证书,协会不提供纸质版证书的申请。 | ||||
