CJEU规定个人有权免费复制其个人数据

这名病人接受了牙医的牙科治疗，并怀疑治疗中存在渎职行为。他要求免费提供第一份病历，但牙医拒绝了，理由是德国国家法律要求患者支付获取病历副本的费用。患者拒绝付款，纠纷通过法律体系提交给了欧盟法院。

初审法院和上诉法院都支持患者的请求，引用了《欧盟通用数据保护条例》第12（5）条、第15（1）条和第15（3）条。该案最终提交给德国联邦法院，该法院认为该决定取决于对《通用数据保护条例》的解释，并将该案提交给欧盟法院。

在这种情况下，核心问题围绕着控制者，如处理患者数据的医生，是否有义务向个人提供其个人数据的免费副本，即使GDPR的陈述63中没有明确列出请求的原因。

在这种情况下，患者似乎要求将个人数据作为证据，以对治疗提供者提起法律诉讼。这种方法在数据主体访问请求中很常见，数据主体进行“钓鱼探险”以获得证据，起诉他们感到不满的另一方。控制者通常会自然对此感到不安；陈述63解释说，访问权是为了了解和核实处理的合法性，而不是提供起诉的弹药。

欧盟法院审议了《通用数据保护条例》第12条和第15条。第12条第（5）款解释说，个人访问个人数据通常应免费。

第15条第（3）款指出，应向个人提供其个人数据的免费初始副本。法院考虑了这些条款，认定第63条并不限制提出请求的理由。

GDPR不要求个人提供请求访问其个人数据的理由，控制者也无权要求提供理由。透明度是GDPR的基本原则，不允许通过请求的目的对个人数据进行保密访问。

法院得出结论，GDPR要求控制者向个人免费提供处理后的个人数据的第一份副本，无论请求的原因是什么。这并不影响在请求“明显没有根据或过度”的情况下拒绝的权利。

然而，应该禁止个人使用访问请求来获取法律案件的文件，而不是使用既定的法律调查方法的论点不再有多大分量。

第二个问题集中在GDPR第23（1）（i）条是否允许在GDPR生效前制定的国家立法要求数据主体承担其处理后的个人数据的第一份副本的费用。

第23（1）条允许成员国限制GDPR规定的义务和权利，前提是这些限制符合基本权利，并且是保护他人权利和自由所必需的。

这位牙医辩称，允许患者查阅医疗档案的国家立法是在保护医疗服务提供者的经济利益。欧盟法院认为，虽然第23（1）（i）条可能适用于GDPR实施前通过的立法，但它不允许此类立法要求数据主体为其处理后的个人数据的第一份副本付费，以保护控制者的经济利益。

最后，欧盟法院探讨了《通用数据保护条例》第15（3）条的解释，以及患者应获得其医疗数据的性质。具体而言，患者是否有权获得医疗记录中包含其个人数据的完整文件副本，或仅获得该数据的摘要。

CJEU强调，第15（3）条确保个人获得其个人数据的准确复制。它发现，GDPR中的“副本”一词并不是指实体文件本身，而是指它所包含的全面的个人数据，这些数据必须是完整的。

GDPR的目的是允许数据主体访问，以确保他们的数据是正确和合法的。因此，患者应获得其所有数据的准确、清晰的副本。这可能意味着，如果控制者有助于数据主体有效行使其权利，则控制者有义务提供完整的文件。仅仅提供摘要可能会有遗漏或歪曲关键信息的风险，使患者难以验证和理解他们的数据。

欧盟首席法官解释说，所需要的是上下文。在某些情况下，复制文件摘录可能就足够了。在其他情况下，应提供完整的文件。最重要的是提供数据的忠实和可理解的再现。陈述63具体涵盖了医疗信息，因此有必要为诊断、检查结果、医生评估、治疗等提供直接来源的材料。

欧盟法院在英国《金融时报》诉德国之声案中的判决是指导数据主体访问请求方法的一个有用决定。

欧盟首席法官明确表示，无论出于何种目的，个人都有权免费获得个人数据的初始副本，对首次访问个人数据征收费用的国家立法不太可能被允许，患者有权全面复制其医疗数据，而不仅仅是摘要。

*文章来源：iapp.org

*原标题：CJEU rules individuals have right to free copy of their personal data

*整理编辑：A隐小私(yinxiaosi00)