爱尔兰数据保护委员会(The Irish Data Protection Commission,DPC)于1月4日对Meta公司做出了一系列处罚决定,这一决定既反映了欧盟数据保护委员会(European Data Protection Board,EDPB)决定的约束力,也体现了欧洲成员国在数据保护方面的执法权力。
欧盟法院随后于1月12日发布一项判决结果,判决中明确要求数据控制者应当根据欧盟《通用数据保护条例》(GDPR)的要求识别和必要地披露他们向何实体出售了用户的个人数据。
该判决是由一名奥地利男子提出诉讼后做出的,该奥地利男子向物流和邮政公司(Österreichische Post)寻求他的个人数据之后,发现其个人数据被物流和邮政公司出售。该公民根据欧盟《通用数据保护条例》(GDPR)有关法规规定,即数据主体有权从控制者处获取其个人数据已经或将要被出售给的(已披露)接收方或接收方所属类别的信息,要求奥地利邮政和物流服务的主要运营商Österreichische Post向他告知个人数据接收方的身份。
在回应该公民的要求时,Österreichische Post声明其是在法律允许的范围内进行的出售行为——它作为电话簿出版商的活动过程中使用个人数据,并将这些个人数据提供给贸易伙伴是出于营销目的,因此其所做出的将该公民个人数据出售的行为并未违反相关规定,而自身也没有义务向该公民披露其个人数据的接收方。而后,该公民向奥地利法院提起了对Österreichische Post的诉讼。在司法程序中,Österreichische Post进一步告知该公民其数据已转发给客户,包括通过邮购和固定网点进行交易的广告商、IT公司、邮件列表提供商、慈善组织、非政府组织(NGO)或政党等协会等。
奥地利最高法院(Oberster Gerichtshof)在终审中审理了上述争议,从而进一步厘清了GDPR是否让数据控制者选择披露接收方的具体身份或仅披露接收方的类别,或者是否赋予数据主体知道其特定身份的权利等相关权利义务关系。法院认为,当无法识别接收方、或请求明显没有根据、或可以被认为是一种过分的请求时,控制者可以仅指明接收方的类别;但如果个人数据已经或将要披露给接收方,控制者有义务应要求向数据主体提供这些接收方的实际身份,只有在无法识别这些接收方的情况下,控制者才可能仅指出相关接收方的类别。法院指出:数据主体的访问权是必要的,以使数据主体能够行使GDPR赋予的其他权利,即他/她的纠正权、删除权(“被遗忘权”)、限制处理权、反对处理权或他或她遭受损害时的行动权。
除了强调“每个人都有权知道他/她的个人数据被披露给谁”这一对个人数据权利的保护,明确数据控制者向数据主体披露所出售的个人数据的接收方实际身份的义务外,该判决同时还以判决的形式确定了欧盟GDPR的执法决定可以与欧盟成员国的行政和民事法院“同时且独立”的行使,即GDPR判决可以与国内法院同时进行。可以看出,欧盟对Meta公司的有关处罚决定作为重要且典型的判例,对欧盟国家以后处理个人数据保护案件影响巨大,也具有一定的里程碑意义。能够预见的是,爱尔兰和欧盟对Meta公司违反GDPR中公司处理欧盟公民数据规定一案的后续进展,将为欧盟个人数据保护体制机制造成深远的影响。(祁楚云)
信息来源 / Source of Information
https://iapp.org/news/a/cjeu-requires-companies-to-disclose-personal-data-buyers-rules-gdpr-decisions-can-run-concurrently-and-independently-with-domestic-courts/
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
