法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南
《通用数据保护条例》(“GDPR”)第14条对个人数据并非自数据主体处获取时,数据控制者应满足的条件进行了规定,与之相对应,法国数据保护局(CNIL)在2018年12月28日发布了指南,该指南针对组织机构向其商业伙伴或数据代理共享数据时应当满足的条件作出了进一步规定。两位DPO沙龙成员(何国锋、谭德芳)已经翻译了该指南的相关要点,特此感谢并以飨读者。
法国数据保护局(CNIL)发布针对与商业伙伴或数据代理共享数据的指南
2018年12月28日,法国数据保护局(CNIL)发布了关于组织机构为合法地与商业伙伴或其他第三方如数据代理共享个人数据所须满足条件的指南。该指南尤其关注欧盟《通用数据保护条例》(GDPR)中的这种情形。CNIL指南提出了以下5个条件:
事先同意:组织机构在与其合作伙伴共享个人数据前必须先征求该个人的同意。
合作伙伴识别:数据收集表必须提供可能会接收个人数据的特定合作伙伴的通知。根据CNIL指南,首先收集数据的组织机构可以(1)直接在数据收集表中发布一份详尽的定期更新的合作伙伴清单,或(2)在表中插入关于该清单以及合作伙伴隐私政策的链接。
合作伙伴清单变更的通知:个人必须获得任何有关合作伙伴清单更新的通知,尤其是有关他们的个人数据可能会被共享给新的合作伙伴的事实。该信息可以在两个层级上提供:(1)组织机构发送的收集数据的营销信息必须提供一份最新的合作伙伴清单(如上所述);并且(2)接收个人数据的新合作伙伴在其与数据主体的第一次沟通中必须通知该个人该等处理。(请见下文最后一个要点)。
针对未经同意的进一步分享行为的限制:合作伙伴在未获得个人知情同意的情况下不得与其自己的合作伙伴分享该个人数据。
合作伙伴在首次与个人沟通时提供的通知:处理个人数据以发送其营销信息的合作伙伴必须通知相关的个人其数据来源(通过提供与其分享该等数据的组织机构的名称),以及个人如何行使其数据保护的权利,尤其是其拒绝基于直接营销目的而处理其个人数据的权利。CNIL指南声明个人可以通过直接联系合作伙伴或联系首次收集该等数据的组织机构的方式来行使其拒绝的权利。该组织机构必须将该等拒绝传达给其接收该个人数据的合作伙伴。
如需阅读原文,请访问CNIL官方网页:https://www.cnil.fr/fr/transmission-des-donnees-des-partenaires-commerciaux-ou-des-courtiers-de-donnees-quels-sont-les