爱尔兰监管机构对 Airbnb Ireland UC 展开调查

fabiha01

2018年，Airbnb Ireland UC（以下简称Airbnb）被一位注册房东要求删除属于他的所有个人数据。与此相关，数​​据主体撤销了对其个人数据处理的同意。针对数据主体的请求，Airbnb 表示公司将删除数据，除非根据 GDPR有理由保留数据，而且这可能需要很长时间。有关人员没有收到任何进一步的信息或有关删除请求的更新。

这促使数据主体于 2018 年 12 月向塞浦路斯数据保护局提出投诉。数据主体抱怨说，他的数据被非法存储，并且没有充分考虑数据最小化和透明原则。塞浦路斯监管机构，即第 14 条规定意义内的“有关监管机构”。 60 GDPR，然后于 2019 年 3 月将请求转发给爱尔兰监管机构，该机构在该请求中充当“牵头监管机构”。

—

附录
GDPR 引入了一站式程序来评估跨境处理背后的数据保护问题。 （我们报道过。）

当个人数据由欧盟内的控制者或处理者在多个成员国处理时，或者当处理仅在一个成员国进行但对其他成员国的个人产生重大影响时，就会发生跨境数据处理。原则上，控制者或处理者的主要机构或唯一机构对于评估主要监管机构具有决定性作用（GDPR 第 56 条）。听起来简单的事情，然而在实践中往往会导致问题。

该程序的目的是实现与欧洲范围内的公司监管沟通的更广泛的标准化。目的是避免监管机构在活动过程中相互矛盾。

—

在提交给爱尔兰数据保护局的文件中，数据控制者辩称，投诉人在 Airbnb 上有 8 个账户，印度商务传真列表 这些账户在 2018 年 11 月一名客人遭到袭击后被暂停。数据控制者辩称，这些数据可能会被用于刑事或民事诉讼。在她看来，这意味着她没有义务删除数据。此外，控制者对其平台的安全性拥有合法权益。在此背景下，责任方还委托了塞浦路斯律师出具法律意见，支持该程序。

投诉人则辩称，控制者仍未遵守他的删除请求，也没有提供任何有关请求状态的信息。此外，虽然警方正在调查该事件，但该客人并非通过Airbnb预订平台进行预订。

在数据主体拒绝与控制者寻求友好解决后，爱尔兰监管机构开始处理该投诉。

决定
在初步决定分发给所有欧盟监管机构且无人提出异议后，爱尔兰数据保护局做出了最终决定。首先，监管机构审查控制者是否有处理数据的合法依据。责任人知道这一事件，但从未收到执法部门保留数据的正式请求。因此，问题出现了：控制者是否可以基于合法利益保留账户数据（GDPR 第 6（1）（a）条）。在对数据主体的权利与控制者的利益进行全面平衡后，这一决定最终得到了确认。控制者有兴趣维护警方调查的完整性、保护自己免于承担责任并确保平台安全。数据主体不存在利益冲突。因此，控制者在法律上限制了数据主体删除其数据的权利（GDPR 第 17 条）。