達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

• 英國資訊委員辦公室(Information Commissioner's Office, ICO)更新《資料主體近用權指引》：資料近用權（SAR）之豁免適用要件摘要。
  ​​英國資訊委員辦公室(ICO)於2025年12月8日根據《資料（使用與存取）法》（Data (Use and Access) Act）更新《資料主體近用權指引》(Guidance of Right of access)，其中針對資料主體行使資料近用權之請求(Subject Access Request, SAR)，詳細說明在特定情況下，受請求之機構得援引豁免條款(Exemptions)，拒絕提供全部或部分資訊。以下為該部分內容之重點摘要：
  （一）豁免權的基本原則
       1.須個案評估：受請求之機構不得概括拒絕(blanket refusal)資料主體之請求，須依據個案
         情形(case-by-case)評估
       2.問責制：若援引豁免規定，受請求之機構須紀錄拒絕之理由並提出證明文件。
       3.拒絕後之程序：若拒絕提供資訊，受請求之機構須告知資料主體原因，並說明其有權向
          資料控制者或ICO投訴，或循司法救濟管道強制執行其權利。
  （二）判斷豁免與否的關鍵概念：「損害(Prejudice)」
                         豁免條款之適用是建立在「揭露資訊是否會造成損害」之基礎，例如：揭露資訊將
          削弱、阻礙特定功能或目的，或損害他人之權利與自由。若資訊揭露僅會造成輕微無關
          緊要的後果，通常不符合「損害（prejudice）」之定義。
                       當機構是基於對特定目的、功能或權利可能造成「損害（prejudice）」而適用豁免
          規定時，應明確識別並記錄下列事項：
  • 損害的具體內容。
  • 資訊揭露與可能發生之損害間，具有清楚且直接之關聯。
  • 該等可能發生之損害係實際存在、真實且具實質性影響。

         （三）常見的具體豁免情境

           1.犯罪與稅務：若揭露資訊可能妨礙犯罪預防、調查、偵查或稅收追繳（例如：告知犯罪嫌疑
             人調查進度可能導致其逃亡或銷毀證據）。

                2.法律專業保密特權（Legal Professional Privilege）：涉及法律建議或因法律訴訟而產生的
              機密溝通資訊可予豁免。

          3.公益保護與監管職能：為了保護公共利益、法律服務、衛生服務或兒童福利相關的監管功能。

               4.司法獨立：若揭露資訊會損害司法獨立或訴訟程序的公平性。

          5.新聞、學術或文學創作目的：用於新聞、學術、藝術或文學創作，且遵守SAR會與這些目的不
            相容時。

          6.研究或統計目的：當提供資訊會嚴重阻礙研究目的，且已設有適當安全維護措施時。

          7.其他：資訊若屬策略性管理規劃、機密內部意見、第三方敏感資訊等，也可能適用豁免。

• 資料來源：https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/exemptions-when-can-we-refuse-a-sar/#WhatDoesPrejudiceMean

 

▶ 司法動態 ◀

• 歐盟普通法院(General Court)重申個資近用權不包含已合法刪除資料之復原義務
  事實：
       本案原告 WS 曾參與四項歐盟人員甄選程序，並於 EPSO（European Personnel Selection Office）之Talent system建立個人帳號，另因通過其中一項考試，其資料亦被登錄於 recruitment portal。Talent system會記錄誰曾查詢帳戶，但不會記錄精確之查詢目的；recruitment portal則會記錄存取資料的人員，但不會記錄個別候選人的具體查詢紀錄。歐盟普通法院於2025年12月3日做成判決，認定EPSO並未違反 Regulation (EU) 2018/1725 之相關規定，駁回原告全部訴訟請求，並命其負擔訴訟費用。
        原告多次依據 Regulation (EU) 2018/1725第17條向EPSO請求行使個資近用權，要求取得：
  • 其個人資料之完整副本
  • 所有 log files（含查閱時間、目的、查閱者身分）
  • 涉及其個人資料之會議紀錄、內外部通訊
  • 已刪除個人資料之回復（restoration）與刪除證明
    ​​​​​ EPSO部分拒絕上述請求，理由包含：
  • 部分資料依法已逾保存期間並合法刪除
  • log files不包含或無法提供查閱者身分與詳細目的。
  • 不存在含有原告個資之會議紀錄或通訊不存在含有原告個資之會議紀錄或通訊
  • 法規並未賦予資料主體請求「回復已刪除資料」之權利

             原告不服，提起撤銷訴訟，主張 EPSO 違反 Regulation 2018/1725 多項規定，包括第4條
    （資料處理原則）、第14條（程序與期限）、第17條（近用權）、第20條（限制處理）、第23條
    （反對權）等。

          爭點：

       1.個資近用權範圍
         資料主體是否得依Regulation 2018/1725第17條，請求取得：

• log files中查閱者（EPSO 員工）之身分？
• 每次資料查閱之具體目的？
• 文件本身（如會議紀錄、內部通訊），而非僅其中所含之個人資料？

     2.資料刪除與回復

• EPSO依法刪除保存期間屆滿之個人資料後，是否仍負有「回復」該等資料供資料主體近用之義務？

     3.資料處理原則與舉證責任

• 在機關主張「資料不存在或未持有」的情形下，是否須主動提出具體證明？
• 或應由資料主體負舉證責任加以反駁？

     4.程序瑕疵是否構成違法？

• EPSO回覆近用請求逾越法定期限，是否當然導致決定違法

      判決理由：

       1.關於近用權與log files範圍：

• 法院重申，近用權之客體是「個人資料」，而非文件本身。資料控制者僅須提供文件中所包含之個人資料，無須交付整份文件。
• 就log files而言，法院依據C-579/21 Pankki S判決見解指出：
  log files屬於可揭示資料處理活動的資訊，原則上屬近用權範圍。然而，在受控制者指示下處理資料之員工，不構成接收者(recipient)，因此原則上無須向資料主體揭露查閱資料之具體員工身分，除非該資訊「對資料主體有效行使權利屬於必要」，且須兼顧員工之權利與自由。

       2.關於資料刪除與回復請求
             法院認為個人資料依保存期限屆滿而刪除，屬合法處理行為，Regulation 2018/1725 並未
       賦予資料主體請求「回復已合法刪除資料」之權利，因此，EPSO拒絕回復資料，並未違反第17
       條或資料處理原則。

        3.關於資料不存在之主張與舉證
              當歐盟機關主張其未持有特定資料時，原則上推定該主張為真；僅在資料主體提出具體且足
        以動搖該推定之證據時，機關才須進一步說明或舉證。本案中原告僅列舉可能存在之文件類型，
        未能具體證明其確實包含尚未提供之個人資料，因此未能推翻該推定。

        4.關於程序瑕疵

              法院承認 EPSO 確有逾越Regulation 2018/1725第14條所定回覆期限之情形，但依既有判
        例，逾期本身並不足以當然導致行政決定違法，除非可證明已實質侵害資料主體權利。

       結論：法院認定EPSO並未違反 Regulation (EU) 2018/1725 之相關規定，駁回原告全部訴訟請
       求，並命其負擔訴訟費用。

​​                   ​​​​

• 資料來源：https://curia.europa.eu/juris/document/document.jsf;jsessionid=563ADE233A0358553D9A2232EB11A5C2?text=&docid=306790&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=17127644

​​​​​