知情权的落实情况——监管机构负责人的落实情况如何？

fabiha01

1月底，欧洲数据保护委员会（EDPB）发布了一份关于数据控制者实施信息权的报告（新闻稿）。 2024 年，欧盟范围内将对《第 14 条》规定的访问权的实施情况进行协调审查。 15 GDPR 和 EDPB 指南01/2022 关于数据主体权利的规定—— 由 EDPB 领导的监管机构的访问权已经生效。 。报告总结了国家监管部门的调查结果。

谁接受了测试？如何接受测试？
2024年，欧盟共有30个监管机构对1185名控制者进行了审计。德国共有8个监管机构参与了审查，包括巴伐利亚州数据保护监督局（BayLDA）、联邦数据保护和信息自由专员公署（BfDI）以及勃兰登堡州数据保护和文件访问权专员公署（LDA Brandenburg），并最终提交了联合报告。 EDP​​B 报告的详细附件包含来自各个国家的详细反馈。在德国，共联系了116名负责人，其中私营部门90人，公共部门25人。负责人来自各行各业，包括中小企业和大公司。大多数负责人来自金融部门，其次是公用事业/基础设施提供商（例如能源）。

一份包含有关落实知情权具体问题的调查问卷已发送给相关负责人。在一个案例中，随后启动了现场检查。

结果如何？

总体印象
调查显示，在调查期间，德国官员收到的信息请求数量很少或非常少。 45% 的负责人在 2023 年没有收到任何信息请求，另有 45% 的负责人只收到 1-10 个请求，只有 15% 的负责人收到了 11-25 个请求。

据德国监管机构称，每年的信息请求数量低，以及由于信息请求数量没有集中记录，一些控制者无法提供这些信息，这可能是造成下文详细描述的许多实施困难的原因。许多负责人还在专业部门内以分散的方式处理信息请求，而不是通过单一办公室。在这些情况下，通常缺乏明确的责任和内部流程来落实受影响者的权利。

监管机构本身也试图解释接受调查的控制者提出的信息请求数量为何如此之少。他们认为，这可能是因为接受调查的许多行业都是 B2B 行业，许多员工可能只会在特定情况下（例如法律纠纷）主张知情权。此外，根据 GDPR 第 9 条，当涉及特殊类别的数据（例如健康数据）时，数据主体似乎更有可能要求获得其数据的副本。

德国监管机构的印象是，私营部门对信息权的要求执行得“很高或非常高”。在公共部门，合规性往往（略）较低，尽管负责人之间存在显著差异。与下级公共机构或处理大量个人数据的机构相比，各部委和上级行政机关往往能更好地遵守要求。

下面总结了已发现的众多问题领域，仅列出最重要的领域。 EDSA 确定的总体结果中的七项“挑战”可在此处找到（第 3 页及后续页面）。

信息请求的记录
没有处理和监控信息请求的系统程序
问题：特别是对于那些每年仅负责处理少量信息请求的机构而言，通常缺乏关于如何处理以及由谁来处理信息请求的内部规定。因此，处理通常由专业部门直接进行，没有统一的指示。

可能的解决方案：应建立适当的程序并对员工进行培训，以便他们能够识别何时数据主体的权利受到侵犯。理想情况下，应该指定一个中央负责机构来处理信息请求并确保数据保护协调员和官员参与其中。

对表格和身份证明要求的误解
问题：我们多次发现，提交信息请求的正式要求太高，因此无法得到处理。这同样适用于申请人的身份识别（GDPR 第 12（3）条）。同样，这里的要求往往太高，无法确保申请人确实是他所声称的那个人。

解决方案：在拒绝处理信息请求之前，应在内部政策中定义要求或与数据保护官员讨论。提交信息请求并无法律上的正式要求。口头的信息请求也必须处理！我们还在此报告了具体的截止日期计算。我们在这里和这里报告了安全识别的程序。

现有程序需要改进
监管机构立即发现，即使在现有的信息请求处理程序中，也存在一些需要改进的地方：

应提前确定哪些数据通常必须根据信息权进行披露。这使得在提出信息请求时可以内部定义和记录必须检查哪些内部库存、数据池和流程。这可以大大简化和加快处理速度，同时也能满足法定期限。
指南应包括在提供信息时必须考虑第三方的权利以及如何处理此类情况（GDPR 第 15（4）条）。例如，这适用于客户想要知道哪位员工处理了他的请求的情况，或者该信息在即将披露的客户帐户数据中最初未被注意到的情况。此处报告了与信息请求相关的第三方的权利。
应明确数据保护官作为内部联络人的职责和法律作用。数据保护官具有支持和咨询作用。但它不是一个执行机构。需要披露的信息通常必须由负责人决定。
该流程应以这样的方式设计，即通过授权的第三方提交信息请求，例如通过处理器或其他授权代表，澳大利亚商业传真列表 也得到了答复。再次强调，明确职责并让员工普遍了解信息请求至关重要。
所提到的缺陷在公共部门尤其频繁地发生。监管机构怀疑，造成这种情况的原因之一是，在许多当局中，个人数据仍然在很大程度上没有自动处理，因此当局认为信息权延伸到（所有）文件和档案。

造成上述错误的另一个原因是，有时信息请求过于复杂，加上技术设计不佳，这使得难以在一个月的期限内完成，并且难以以电子方式（安全地）提供要披露的数据。

信息请求的存储位置
问题：信息请求经常被直接存储在负责人的通用生产系统中，而不是单独存储并具有单独的访问限制。

可能的解决方案：信息请求应在处理期间和处理后存储在特定的归档系统中，例如在中央数据库中请求信息或数据主体的电子文件/帐户。访问权限应仅限于因工作需要而真正需要访问权限的人员。

响应信息请求后过快删除数据
问题：监管部门发现，信息请求的相关信息在答复后立即被反复删除。这也可能是由于数据主体同时提交了信息请求和删除请求（GDPR 第 17 条）。

分类：在履行数据主体的权利时，还必须在一定程度上考虑控制者的义务和利益。控制者可能有兴趣证明信息请求已经得到遵守，例如在发生监管审计或法律纠纷时。据监管机构称，这在数据主体的删除利益和控制者的利益之间造成了“紧张”。

可能的解决方案：BayLDA指出（第 157 段），只要对信息和 Art 的应用仍然可能产生争议，那么保留信息请求的文件就是合理的。 12（5） GDPR 要求了解该流程。对于巴伐利亚州的公共机构，它接受存储两年。原则上，这也适用于私人机构。本案的诉讼时效通常为三年，从提出信息请求的当年年底开始计算。

信息请求的内容
还必须回答一般信息请求
不得要求申请人在一般情况下将其请求限制在某些数据处理活动上，否则根本不处理该申请。尽管在 GDPR 生效后一些监管机构已经批准了这一点，但监管机构现在强调，必须始终处理信息请求，并且只有在特殊情况下才能要求申请人指定请求。GDPR 第 63 条第 7 句中规定了这一点：

“当控制者处理大量有关数据主体的信息时，应该能够要求数据主体在提供信息之前指定其信息请求涉及哪些信息或处理操作。”

这意味着如果申请人拒绝限制，则必须提供完整的信息，并且程序不得终止。

但是，可以提供电子申请选项，让有关人员提前指定应提供哪些部门/分支机构的信息。

现有数据库的搜索不完整
据监管机构称，许多控制者没有充分意识到个人数据也可以包含在非文本文件、元数据或备份数据中。因此，在汇编数据时，只搜索最常见的内部系统，而不是所有数据库，尽管必须提供全面的信息（另见上面的第 3 点）。

控制者提供信息的义务
问题：特别是在提供有关技术上必要和/或自动生成的数据的信息时，例如日志文件或 cookie，这些通常不能直接分配给申请人。为此，控制者需要更多信息，例如 IP 地址，否则所提供的信息将（不知不觉地）不完整。

可能的解决方案：如果控制者必须假设由于其业务模式或特定的处理活动而提供的信息不完整，则控制者应告知请求者是否需要数据主体提供更多信息。负责人应该提前考虑这一点，最好将其纳入上述指南中，并将其作为注释添加到要搜索的数据库中。监管部门表示，没有立即查到数据并不意味着责任人就可以“满意”。

信息太肤浅
监管部门也发现，所提供的信息往往过于肤浅、缺乏区分，甚至不完整，参见上文第2点。例如，更多时候只提到接收者的类型而不是他们的名字，或者意外使用旧的数据记录，或者没有提供数据副本（参见 GDPR 第 15（3）条）。据监管部门称，即使没有明确要求，也必须提供副本。