众所周知2018年5月新发布实施的GDPR将适用主体扩大到数据控制者和数据处理者,且引入了数据联合控制者的感念,并分别规定其不同的数据合规义务。2018年6月5日,德国Schleswig-Holstein数据保护局vs德国学术机构Wirtschaftsakademie Schleswig-Holstein GmbH(系某Facebook页面运营方)(Case C-210/16)案件被判定Facebook和该德国学术机构为联合数据控制者,根据各自的责任共同接受惩罚。
此案符合GDPR监管机构EDPB(欧洲数据保护委员会)建议的采用“目的标准”来确定个人数据的处理是否属于GDPR的管辖范围。在此,如果您的企业是欧盟第三方机构有合作(是被使用或使用关系),那么SCA建议请一定重视您和他的联合责任人关系。因为无论是行政执法机关还是欧盟最高司法机构,针对GDPR的适用,比如适用主体的划分,均会查明各主体在数据处理中担任的角色、使用数据的具体方式,然后判定双方责任。
PS:关于GDPR适应范围的“目标标准”:
GDPR第70条对欧洲数据保护委员会(EDPB)的职责进行了规定,明确EDPB有权发布GDPR指引、建议。正是基于此法律条款,EDPB于2018年11月23日正式发布了《关于GDPR地域管辖的指引-公众版本》,就GDPR第3条“地域管辖”条款详细加以了适用指引的说明。
GDPR第3条根据两个标准确定了“地域管辖”规则,一是“设立标准”,即凡在欧盟境内设立的企业均适用;二是“目的标准”,即凡以提供商品、服务或监控目的的,均适用GDPR。
GDPR对欧盟内实体的管辖自不待言,但其通过“目的标准”,针对欧盟外实体的域外管辖效力,能够将绝大多数全球企业(特别是有全球战略布局的企业)纳入其中,这和以往各方可以通过在线协议排除特定地区或特定法院管辖有了很大的变化。
案件详情:
德国一家名为Wirtschaftsakademie Schleswig-Holstein GmbH的学术机构在Facebook上运营一个粉丝页面,并通过一个名为“Facebook见解仪”(Facebook Insights)的功能利用浏览器缓存(cookies)收集用户数据。数据收集的目的是向粉丝页面的管理员提供统计信息,并发布目标广告。
德国数据保护局在发现该机构数据收集存在缺陷后,命令该机构停止收集数据,并停用该粉丝页面。该机构否认了其在Facebook上处理个人数据的法律责任,从而对该命令提出了抗议。它还否认向Facebook提供了有关数据处理的指示,并声称德国数据保护局应该直接对数据控制者Facebook采取行动,学术机构仅是Facebook的用户。
案件争议点在于判断该学术机构是否具有“数据控制者”的角色,亦或该角色是否仅属于Facebook。2018年6月5日,欧洲法院作出判决,粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。
法院认为:仅仅使用Facebook并不能使该学术机构对处理Facebook上的个人数据负责。但是,Facebook Insights允许粉丝页面的管理员即该学术机构抽取访问该页面的用户cookies数据。即:Facebook根据收集到的这些cookies信息提供给管理员有关用户行为的统计数据,包括年龄、性别、关系网、职业、生活方式及地理位置等信息。根据这些数据,管理员可以针对合适的受众提供特别优惠或组织活动。因此,在欧洲法院看来,粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。
然而,法院并不必然地认为两者在所有情况下的责任都是平等的,因此必须根据案件的具体相关情况评估Facebook和粉丝页面管理员的各自责任程度。
由此可见:
(1)网页页面的“管理员”不能以网络平台公司完全控制其平台为借口来再逃避数据使用的责任。这些网络页面的“管理者”或将被认定为GDPR第26条的“联合控制者”,与网络平台一同被予以处罚。
(2)另外,从该案还可以看出,仅仅依靠第三方数据处理公司进行数据合规是远远不够的,法院会根据案件的具体相关情况评估“数据联合者”各自的责任。“联合控制者”之间应协议安排,应当恰当地反映各自的角色及相互关系,并让数据主体知晓该种安排(GDPR第26.2条)。(关于联合数据控制者各自的责任,建议企业务必咨询数据管理专家及法律人士的建议。)
(3)像Facebook这样的有在线线上运营商的企业,更应当验证他们目前对平台的使用是否以及在多大程度上与欧洲GDPR法案相符。(可以通过要求平台线上运营商定期向平台数据管理者报告的方式进行。)
最后,许多公司在跨境业务往来中利用第三方数据处理工具,例如Tableau、Qlik、Google Analytics或上文提到的Facebook Insights等进行数据储存、处理、分析等行为,但却分不清GDPR 中的controller、Processor,在此SCA结合GDPR关方文档来分别说明三个概念:数据控制者,数据处理者以及数据联合控制者及其相互之间的关系——
根据GDPR第4.7条和第4.8条的规定,
数据控制者是指能单独或联合决定个人数据处理目的或方式的自然人或法人、公共机构、机关或者其他主体。
数据处理者是指代表数据控制者处理个人数据的自然人或法人、公共机构、机关或者其他主体,一般是数据控制者内部部门或其员工之外的主体。数据处理者可能是一家外包公司或第三方,通常是专门从事数据处理、存储和安全的公司,比如,IT服务提供商、支付处理者(如线上支付平台)、薪资公司、会计服务提供者、云服务提供商。
两者的关系:数据控制者可以指示数据处理者如何处理数据,包括保留数据的时间、用户访问数据的权限等,或者授权数据处理者依照其最佳判断和行业标准做法处理数据。
另外,如果两个或更多的控制者联合确定处理数据的目的与方法,那么他们将共同被认定为“联合控制者”(GDPR第26.1条)。“联合控制者”之间协议安排,应当恰当地反映各自的角色及相互关系,并让数据主体知晓该种安排(GDPR第26.2条)。
PS:本文由SCA结合GDPR官方文档整理,转载请注明出处https://gdpr-info.eu/chapter-4/。参考文章《以案释法 | 从多起“涉欧”国际企业被罚看《欧盟一般数据保护条例》GDPR域外执法力量 》http://www.sohu.com/a/296108525_120051855
SCA关注安全通信和身份认证领域,为信息安全领域提供中立、专业的认证咨询服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。更多GDPR相关内容请点击下方文字链接:
SCA连载系列之| GDPR个人数据处理的6大原则包含哪些内容?
SCA连载系列之| GDPR哪些情况下会对企业征收行政罚款?
SCA连载系列之| GDPR个人“同意”后才能收集用户信息,要怎样操作才合规?
SCA连载系列之GDPR合规| 从数据主体处收集信息时的信息提供,应包含哪些内容?
SCA连载系列之| GDPR“数据处理”、“处理安全”、“加密”分别对应哪些内容?
SCA连载系列之GDPR合规| 企业应该怎样履行“设计”和“默认”数据保护的义务?
SCA连载系列之GDPR合规| 企业应如何进行数据保护影响评估(DPIA)?
SCA连载系列之GDPR合规| 数据处理记录是必须的吗?小企业也要做吗?
SCA连载系列之GDPR合规| 对个人数据删除权,企业有哪些责任?
SCA连载GDPR罚单之 | 德国首例GDPR 数据处理案件,为啥罚单是2万欧元?轻罚的依据是什么?
