(EN) WP29, Guidelines on consent under Regulation 2016/679 (2018).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
(EN) EDPB, Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects (2019).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
Payment services are always provided on a contractual basis between the payment services user and the payment services provider.
Controllers have to assess what processing of personal data is objectively necessary to perform the contract. Justification of the necessity is dependent on:
- the nature of the service;
- the mutual perspectives and expectations of the parties to the contract;
- the rationale of the contract; and
- the essential elements of the contract.
The controller should be able to demonstrate how the main object of the specific contract with the data subject cannot be performed if the specific processing of the personal data in question does not occur. Merely referencing or mentioning data processing in a contract is not enough to bring the processing in question within the scope of Article 6(1)(b) of the GDPR.
(45) 個人資料處理係基於控管者為遵守其法定義務所為,或係基於 公共利益為履行任務所必要,或係公務機關行使公權力所必要者,該 處理應具備歐盟法或會員國法之依據。本規則不要求就每一個別之處 理定有具體法律規定。就控管者為遵守其法定義務所為、因公共利益 為履行任務所必要或公務機關行使公權力所必要之數個處理方式明 定其所依據之法律,可謂充分。其亦應由歐盟法或會員國法決定處理 之目的。此外,該法得具體化規定本規則關於個人資料處理之合法性 規範的一般條款、建構控管者之決定性標準、個人資料處理所涉個人 資料之類型、相關個人資料主體、得向其揭露個人資料之實體、限制 之目的、儲存期間及用以確保處理合法性與公正性之其他措施。歐盟 法或會員國法亦應決定,為公共利益執行任務或行使公權力之控管者 是否為公務機關或其他受公法所規範之個人或法人,或於其為公共利 益所為之者時,是否包括為了如公眾健康與社會保障及健康照顧服務 之管理等健康目的者、或依私法者,如職業工會。
(EN)
WP29, Opinion on the “Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC” (2014).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020):
44. For what concerns the legitimate interest lawful basis, the EDPB recalls that in Fashion ID, the CJEU reiterated that in order for processing to rely on the legitimate interest, three cumulative conditions should be met, namely
- the pursuit of a legitimate interest by the data controller or by the third party or parties to whom the data are disclosed,
- the need to process personal data for the purposes of the legitimate interests pursued, and
- the condition that the fundamental rights and freedoms of the data subject whose data require protection do not take precedence.
The CJEU also specified that in a situation of joint controllership “it is necessary that each of those controllers should pursue a legitimate interest […] through those processing operations in order for those operations to be justified in respect of each of them”.
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
The GDPR may allow for the processing of silent party data when this processing is necessary for purposes of the legitimate interests pursued by a controller or by a third party.
A lawful basis for the processing of silent party data by PISPs and AISPs – in the context of the provision of payment services under the PSD2 – could thus be the legitimate interest of a controller or a third party to perform the contract with the payment service user. The necessity to process personal data of the silent party is limited and determined by the reasonable expectations of these data subjects.
Effective and appropriate measures have to be established by all parties involved. In this respect, the controller has to establish the necessary safeguards for the processing, including technical measures. If feasible, also encryption or other techniques must be applied to achieve an appropriate level of security and data minimisation.
CJEU, TK v Asociaţia de Proprietari bloc M5A-ScaraA, Case C-708/18 (2018).
(47) 控管者(包括個人資料得向其揭露之控管者)或第三方之正當 利益,得作為資料處理之合法依據,但應兼顧該等利益或資料主體之 基本權及自由,且考慮到資料主體基於其與控管者間關係所生之合理 預期。正當利益可存在於諸如資料主體與控管者間具有相關且適當之 關係,例如資料主體係控管者之客戶或由控管者提供其服務等情。無 論如何,正當利益是否存在須審慎評估,包括資料主體於其個人資料 之蒐集過程中及其當下是否能合理預期到該目的之資料處理。於個人 資料處理係在資料主體無法合理預見其資料將被進一步處理之情況 下所為者,資料主體之利益及基本權得特別優先於資料控管者之利益。 鑑於公務機關處理個人資料之合法依據係由立法者以法律規範之,該 合法依據不得適用於公務機關執行職務所為之個人資料處理。基於防 範詐欺之目的而有個人資料處理之絕對需要者,亦得構成相關資料控 管者之正當利益。為直接行銷之目的所為個人資料處理,得被認定係 基於正當利益所為之。
(40) 為合法處理個人資料,個人資料之處理應基於相關資料主體之 同意或源自於法律規定(不論其為本規則或本規則所提及之其他歐盟 法或會員國法規定)之其他合法性基礎,此包括控管者為遵守其法定 義務所必要者,或資料主體作為契約當事人為契約履行所必要者,或 於契約簽署前依據資料主體之要求所為者。
(50) 個人資料處理之目的非基於原蒐集該個人資料之目的者,唯有 當處理及蒐集個人資料之目的得相互兼容者,始得為之。於此類案件 中,不需要有獨立於允許蒐集個人資料以外之合法依據。如個人資料 之處理係為符合公共利益執行職務或委託控管者行使公權力所必須 者,歐盟法或會員國法得決定及具體規範何等任務及目的所為之進階 處理得被認定為具備兼容性及合法性。基於公共利益為達成上開目的、 科學或歷史研究目的或統計目的所為之進階處理,應被認為屬於有兼 容性及合法性之處理。歐盟法或會員國法為個人資料處理所訂定之合 法依據亦得作為資料為進階處理之合法依據。為了確保進階處理之目 的與原先蒐集資料之目的相互兼容,控管者於該當於原資料處理之全 部合法性要件後,應考慮到包括但不限於:該等目的與所欲進階處理 目的間之任何連結性;所蒐集個人資料之背景,尤其是資料主體基於 其與控管者間之關係而對於進階使用之合理預見性;個人資料之本身 性質;所欲進階處理對於資料主體造成之後果;及原處理與所欲進階 處理作業中是否存在適當保護措施。
2. 會員國得維持或採用更具體之規範,使其與本規則所定本條第 1 項第 c 點及第 e 點之適用相符,為處理及用以確保處理合法性與公正 性之其他措施,包括為第九章所規定之其他特定處理情形,訂定更具 體化之特定規範。
處理之目的應在該法律依據上被確立,或如第1項第 e點所定之處理, 應為符合公共利益執行職務或委託控管者行使公權力所必須者。該法 律依據可能包含與本規則規定適用相符之具體規範,包括但不限於: 規範控管者之個人資料處理合法性的一般條款;處理所涉及之個人資 料之類型;相關資料主體;得向其揭露個人資料之主體及其目的;目 的限制;儲存期間;及處理方式與處理程序,包括例如第九章所規定 之其他特定處理情形,用以確保處理合法性與公正性之其他措施。歐 盟法或會員國法律應符合公共利益之目標,並應與所追求之正當目標 相適當。
4. 如處理係出於蒐集個人資料目的以外之目的且非基於資料主體同 意,或非依據歐盟法或會員國法律在民主社會中為確保第 23 條第 1 項所定目的構成必要且適當方法所為時,控管者為確保處理之目的與 原先蒐集個人資料之目的相互兼容應考慮包括但不限於下列事項:
(EN) Documents
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
(EN) The article outlines six legal grounds for lawfulness of processing personal data, including consent, contract, legal obligations, public, vital, and legitimate interests.
The order of the legal grounds has sometimes been seen as a hint about the importance of each ground. But as it was pointed out by European or national supervisory authorities the text doesn’t make a legal distinction between the six grounds or say that one is more important than the other. The order of the legal grounds does not imply any hierarchy.
Instead, “each instance of processing should be based on the legal basis which is most appropriate in the specific circumstances” (DPC, Guidance Note: Legal Bases for Processing Personal Data (2019))
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6 GDPR:
7.2.2 Identify lawful basis
Control
The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.
Implementation guidance
Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.
The legal basis for the processing of PII can include:
(EN) […]
(EN) Sign in
to read the full text
(40) 為合法處理個人資料,個人資料之處理應基於相關資料主體之 同意或源自於法律規定(不論其為本規則或本規則所提及之其他歐盟 法或會員國法規定)之其他合法性基礎,此包括控管者為遵守其法定 義務所必要者,或資料主體作為契約當事人為契約履行所必要者,或 於契約簽署前依據資料主體之要求所為者。
(41) 凡本規則所指法律依據或立法措施,不以經議會採取立法行為 為必要,但不得侵害依會員國憲法秩序之要求。惟法律依據或立法措 施應清楚明確且為受規範者可得預見者,並應遵守歐盟法院及歐洲人 權法院所定之判例法。
(42) 個人資料處理係基於資料主體之同意者,控管者應舉證證明資 料主體同意該處理活動。尤其是在為他事件所為書面聲明時,保護措 施應確保資料主體知悉其所為同意之事實及其同意之範圍。根據歐盟 理事會所定第 93/13/EEC 號指令[10],控管者事先擬定之同意聲明書,應以易懂且方便取得之格式為之,並採用清楚簡易之語言,且不得有不公平條款。為同意所為之告知,資料主體至少應知悉控管者之身分及其個人資料處理所要達成之目的。於資料主體並非出於真意或無從自由選擇或其無法拒絕或無法於不損及其權益之情況下撤銷同意者,該同意應認定為不具自主性。
[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(43) 為確保同意係自主作成,於資料主體與控管者間有顯著失衡之 特定情況下,尤其於該控管者為公務機關且於該特定情況之整體情境 下不可能有自主同意時,個人資料處理之同意欠缺有效之合法性基礎。 於個別情況下應屬適當,卻不允許就不同個人資料處理方式為分別同 意,或同意就契約履行非屬必要,卻將契約之履行(包括服務之提供) 依存於該同意時,同意仍應推定為不具自主性。
(45) 個人資料處理係基於控管者為遵守其法定義務所為,或係基於 公共利益為履行任務所必要,或係公務機關行使公權力所必要者,該 處理應具備歐盟法或會員國法之依據。本規則不要求就每一個別之處 理定有具體法律規定。就控管者為遵守其法定義務所為、因公共利益 為履行任務所必要或公務機關行使公權力所必要之數個處理方式明 定其所依據之法律,可謂充分。其亦應由歐盟法或會員國法決定處理 之目的。此外,該法得具體化規定本規則關於個人資料處理之合法性 規範的一般條款、建構控管者之決定性標準、個人資料處理所涉個人 資料之類型、相關個人資料主體、得向其揭露個人資料之實體、限制 之目的、儲存期間及用以確保處理合法性與公正性之其他措施。歐盟 法或會員國法亦應決定,為公共利益執行任務或行使公權力之控管者 是否為公務機關或其他受公法所規範之個人或法人,或於其為公共利 益所為之者時,是否包括為了如公眾健康與社會保障及健康照顧服務 之管理等健康目的者、或依私法者,如職業工會。
(46) 為保護資料主體或他人生活中之重大利益所必要者,個人資料 之處理亦應被認定為合法。基於他人重大利益所為之個人資料處理, 原則上僅有當該處理明顯無法基於其他法律依據為之者始得為之。有 些處理類型得同時符合公共利益及資料主體重大利益之兩項重要理 由,舉例而言,當個人資料之處理係基於人道目的所必要者,包括監 測傳染病及其蔓延或人道救援之情況,特別是天災人禍之情形。
(47) 控管者(包括個人資料得向其揭露之控管者)或第三方之正當 利益,得作為資料處理之合法依據,但應兼顧該等利益或資料主體之 基本權及自由,且考慮到資料主體基於其與控管者間關係所生之合理 預期。正當利益可存在於諸如資料主體與控管者間具有相關且適當之 關係,例如資料主體係控管者之客戶或由控管者提供其服務等情。無 論如何,正當利益是否存在須審慎評估,包括資料主體於其個人資料 之蒐集過程中及其當下是否能合理預期到該目的之資料處理。於個人 資料處理係在資料主體無法合理預見其資料將被進一步處理之情況 下所為者,資料主體之利益及基本權得特別優先於資料控管者之利益。 鑑於公務機關處理個人資料之合法依據係由立法者以法律規範之,該 合法依據不得適用於公務機關執行職務所為之個人資料處理。基於防 範詐欺之目的而有個人資料處理之絕對需要者,亦得構成相關資料控 管者之正當利益。為直接行銷之目的所為個人資料處理,得被認定係 基於正當利益所為之。
(48) 身為企業集團之一部或隸屬於中央機構之組織之控管者,基於 內部管理之目的,就企業集團內部間之個人資料傳輸,包括客戶或員 工個人資料之處理,得有正當利益。企業集團內部間移轉個人資料之 一般原則,於移轉至設址於第三國之企業者,亦同。
(49) 為確保網路與資訊安全而嚴格遵循必要性及合比例性之個人資 料處理(亦即,具有指定機密級別之網路或資訊系統,以防止突發事 件或違法或惡意行為危害已儲存或已傳輸之個人資料之可用性、真實 性、完整性及機密性,及危害藉由該等網路或系統、公務機關、資安 危機應變小組(CERTs)、資安事件處理小組(CSIRTs)、電子通 訊網路及服務供應商及安全技術服務供應商所提供相關服務之安全 性),構成相關資料控管者之正當利益。舉例言之,此可能包括防止 非經授權之電子通訊網路之存取及阻擋惡意程式碼之散播及阻止「阻 斷服務」攻擊及電腦及電子通訊系統之損害。
(50) 個人資料處理之目的非基於原蒐集該個人資料之目的者,唯有 當處理及蒐集個人資料之目的得相互兼容者,始得為之。於此類案件 中,不需要有獨立於允許蒐集個人資料以外之合法依據。如個人資料 之處理係為符合公共利益執行職務或委託控管者行使公權力所必須 者,歐盟法或會員國法得決定及具體規範何等任務及目的所為之進階 處理得被認定為具備兼容性及合法性。基於公共利益為達成上開目的、 科學或歷史研究目的或統計目的所為之進階處理,應被認為屬於有兼 容性及合法性之處理。歐盟法或會員國法為個人資料處理所訂定之合 法依據亦得作為資料為進階處理之合法依據。為了確保進階處理之目 的與原先蒐集資料之目的相互兼容,控管者於該當於原資料處理之全 部合法性要件後,應考慮到包括但不限於:該等目的與所欲進階處理 目的間之任何連結性;所蒐集個人資料之背景,尤其是資料主體基於 其與控管者間之關係而對於進階使用之合理預見性;個人資料之本身 性質;所欲進階處理對於資料主體造成之後果;及原處理與所欲進階 處理作業中是否存在適當保護措施。
(EN)
Article 29 Working Party, Opinion 6/2014 on the Notion of Legitimate Interests of the Data Controller Under Article 7 of Directive 95/46/EC (2014).
EDPB, Assessing the Necessity of Measures That Limit the Fundamental Right to the Protection of Personal Data: A Toolkit (2017).
WP29, Opinion on data processing at work (2017).
Data Protection Commission of Ireland, Guidance Note: Legal Bases for Processing Personal Data (2019).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEC, Rechnungshof/Österreichischer Rundfunk, C-465/00, C-138/01 and C-139/01 (2003).
CJEC, Huber/Germany, C-524/06 (2008).
CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
ECHR, Antović and Mirković v. Montenegro, no. 70838/13 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Norwegian DPA, issues fine to Aquateknikk AS (2021).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6(4)(e) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
(EN) […]
(EN) Sign in
to read the full text