SCA连载GDPR 数据处理案件分析 | 德国数据保护局vs德国学术机构,谁是数据控制者?
众所周知2018年5月新发布实施的GDPR将适用主体扩大到数据控制者和数据处理者,且引入了数据联合控制者的感念,并分别规定其不同的数据合规义务。2018年6月5日,德国Schleswig-Holstein数据保护局vs德国学术机构Wirtschaftsakademie Schleswig-Holstein GmbH(系某Facebook页面运营方)(Case C-210/16)案件被判定Facebook和该德国学术机构为联合数据控制者,根据各自的责任共同接受惩罚。
此案符合GDPR监管机构EDPB(欧洲数据保护委员会)建议的采用“目的标准”来确定个人数据的处理是否属于GDPR的管辖范围。在此,如果您的企业是欧盟第三方机构有合作(是被使用或使用关系),那么SCA建议请一定重视您和他的联合责任人关系。因为无论是行政执法机关还是欧盟最高司法机构,针对GDPR的适用,比如适用主体的划分,均会查明各主体在数据处理中担任的角色、使用数据的具体方式,然后判定双方责任。
PS:关于GDPR适应范围的“目标标准”:
GDPR第70条对欧洲数据保护委员会(EDPB)的职责进行了规定,明确EDPB有权发布GDPR指引、建议。正是基于此法律条款,EDPB于2018年11月23日正式发布了《关于GDPR地域管辖的指引-公众版本》,就GDPR第3条“地域管辖”条款详细加以了适用指引的说明。
GDPR第3条根据两个标准确定了“地域管辖”规则,一是“设立标准”,即凡在欧盟境内设立的企业均适用;二是“目的标准”,即凡以提供商品、服务或监控目的的,均适用GDPR。
GDPR对欧盟内实体的管辖自不待言,但其通过“目的标准”,针对欧盟外实体的域外管辖效力,能够将绝大多数全球企业(特别是有全球战略布局的企业)纳入其中,这和以往各方可以通过在线协议排除特定地区或特定法院管辖有了很大的变化。
案件详情:
德国一家名为Wirtschaftsakademie Schleswig-Holstein GmbH的学术机构在Facebook上运营一个粉丝页面,并通过一个名为“Facebook见解仪”(Facebook Insights)的功能利用浏览器缓存(cookies)收集用户数据。数据收集的目的是向粉丝页面的管理员提供统计信息,并发布目标广告。
德国数据保护局在发现该机构数据收集存在缺陷后,命令该机构停止收集数据,并停用该粉丝页面。该机构否认了其在Facebook上处理个人数据的法律责任,从而对该命令提出了抗议。它还否认向Facebook提供了有关数据处理的指示,并声称德国数据保护局应该直接对数据控制者Facebook采取行动,学术机构仅是Facebook的用户。
案件争议点在于判断该学术机构是否具有“数据控制者”的角色,亦或该角色是否仅属于Facebook。2018年6月5日,欧洲法院作出判决,粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。
法院认为:仅仅使用Facebook并不能使该学术机构对处理Facebook上的个人数据负责。但是,Facebook Insights允许粉丝页面的管理员即该学术机构抽取访问该页面的用户cookies数据。即:Facebook根据收集到的这些cookies信息提供给管理员有关用户行为的统计数据,包括年龄、性别、关系网、职业、生活方式及地理位置等信息。根据这些数据,管理员可以针对合适的受众提供特别优惠或组织活动。因此,在欧洲法院看来,粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。
然而,法院并不必然地认为两者在所有情况下的责任都是平等的,因此必须根据案件的具体相关情况评估Facebook和粉丝页面管理员的各自责任程度。
由此可见:
(1)网页页面的“管理员”不能以网络平台公司完全控制其平台为借口来再逃避数据使用的责任。这些网络页面的“管理者”或将被认定为GDPR第26条的“联合控制者”,与网络平台一同被予以处罚。
(2)另外,从该案还可以看出,仅仅依靠第三方数据处理公司进行数据合规是远远不够的,法院会根据案件的具体相关情况评估“数据联合者”各自的责任。“联合控制者”之间应协议安排,应当恰当地反映各自的角色及相互关系,并让数据主体知晓该种安排(GDPR第26.2条)。(关于联合数据控制者各自的责任,建议企业务必咨询数据管理专家及法律人士的建议。)
(3)像Facebook这样的有在线线上运营商的企业,更应当验证他们目前对平台的使用是否以及在多大程度上与欧洲GDPR法案相符。(可以通过要求平台线上运营商定期向平台数据管理者报告的方式进行。)
最后,许多公司在跨境业务往来中利用第三方数据处理工具,例如Tableau、Qlik、Google Analytics或上文提到的Facebook Insights等进行数据储存、处理、分析等行为,但却分不清GDPR 中的controller、Processor,在此SCA结合GDPR关方文档来分别说明三个概念:数据控制者,数据处理者以及数据联合控制者及其相互之间的关系——
根据GDPR第4.7条和第4.8条的规定,
数据控制者是指能单独或联合决定个人数据处理目的或方式的自然人或法人、公共机构、机关或者其他主体。
数据处理者是指代表数据控制者处理个人数据的自然人或法人、公共机构、机关或者其他主体,一般是数据控制者内部部门或其员工之外的主体。数据处理者可能是一家外包公司或第三方,通常是专门从事数据处理、存储和安全的公司,比如,IT服务提供商、支付处理者(如线上支付平台)、薪资公司、会计服务提供者、云服务提供商。
两者的关系:数据控制者可以指示数据处理者如何处理数据,包括保留数据的时间、用户访问数据的权限等,或者授权数据处理者依照其最佳判断和行业标准做法处理数据。
另外,如果两个或更多的控制者联合确定处理数据的目的与方法,那么他们将共同被认定为“联合控制者”(GDPR第26.1条)。“联合控制者”之间协议安排,应当恰当地反映各自的角色及相互关系,并让数据主体知晓该种安排(GDPR第26.2条)。
PS:本文由SCA结合GDPR官方文档整理,转载请注明出处https://gdpr-info.eu/chapter-4/。参考文章《以案释法 | 从多起“涉欧”国际企业被罚看《欧盟一般数据保护条例》GDPR域外执法力量 》http://www.sohu.com/a/296108525_120051855
SCA连载GDPR 数据处理案件分析 | 德国数据保护局vs德国学术机构,谁是数据控制者?相关推荐
- SCA连载GDPR罚单 | 瑞典高中人脸识别被罚,为我们敲响了哪些警钟?
人脸识别在瑞典被罚,中国美国试水引争议 2019年8月20日,瑞典数据检查局对使用摄像头人脸识别记录学生出勤率的Anderstorps 高中收取200,000瑞典克朗(约合2万欧元,15万元人民币)的 ...
- SCA连载GDPR罚单之保加利亚国家税务局(NRA)信息泄露事件
2018年8月29日,保加利亚个人数据保护委员会根据本国个人数据保护法第87条第3款的规定,由时任保加利亚税个人数据保护委员会主席Ventsislav Karadjov先生向NRA(保加利亚国家税务局 ...
- SCA连载GDPR罚单之 | 英国航空公司数据泄露事件
结合 GDPR 规定及欧盟地区各个国家监管机构的执法案例,企业在处理(包括但不限于收集.使用.转移.披露)个人数据时应当遵守数据处理七大基本原则,并且应当考量现有的技术.实施成本和处理的性质.范围.背 ...
- 线程导入大数据入库_大数据处理及分析该怎么做?用这款数据分析软件轻松搞定...
对大数据的重视让很多企业都在纷纷寻找更好的大数据处理及分析方法?这款数据分析软件轻松搞定! 一.数据采集 虽然每天互联网都会产生大量的数据,对于企业来讲,要搜集对自己企业有用的数据才是真的大数据.首 ...
- 用python处理excel数据做函数_如何使用python通过函数式编程完成excel中的数据处理及分析工作...
Excel是数据分析中最常用的工具,本篇文章通过python与excel的功能对比介绍如何使用python通过函数式编程完成excel中的数据处理及分析工作.在Python中pandas库用于数据处理 ...
- Python+大数据-数据处理与分析-pandas快速入门
Python+大数据-数据处理与分析-pandas快速入门 1.Pandas快速入门 1.1DataFrame和Series介绍 1)DataFrame 用来处理结构化数据(SQL数据表,Excel表 ...
- gdpr数据处理_关于GDPR下数据同意的知识
gdpr数据处理 The European Union's General Data Protection Regulation (GDPR) provides unprecedented level ...
- 长时间序列遥感数据植被物候提取/遥感数据产品分析暨MODIS NDVILAI多年产品数据批处理分析/Python长时间序列遥感数据处理及在全球变化、物候提取、植被变绿与固碳分析、生物量估算与趋势分析
基于MATLAB长时间序列遥感数据植被物候提取与分析 1.本课程基于matlab语言 2.提供所有代码 3.以实践案例为课程内容主线,原理与操作相结合 4.根据讲解内容,布置作业,巩固所学内容及拓展在 ...
- Python+大数据-数据处理与分析(三)-数据清洗
Python+大数据-数据处理与分析(三)-数据清洗 1. 数据组合 1.1 数据聚合简介 在动手进行数据分析工作之前,需要进行数据清理工作,数据清理的主要目标是: 每个观测值成一行 每个变量成一列 ...
最新文章
- 使用bitblt提高GDI+绘图的效率(转)
- 浅谈JavaScript中的对象和类型(上)
- 1、程序员常用工具网站
- Flutter路由管理代码这么长长长长长,阿里工程师怎么高效解决?(实用)
- jmeter正则中常见的转义字符-笔记三
- 【转】关于OnPaint的工作机制
- 微信小程序图片上传和裁剪
- scratch3.0发布作品生成封面图
- MPB:中科院微生物所蔡磊组-运用可培养组技术开展难培养真菌的分离和鉴定
- 软件测试报告怎么编写?第三方性能报告范文模板来了
- python模拟微信登录公众号_python通过手机抓取微信公众号
- roaringbitmap java,BitMap与RoaringBitmap、JavaEWAH
- 牛血清白蛋白刺槐豆胶壳聚糖缓释纳米微球/多西紫杉醇的纳米微球DTX-DHA-BSA-NPs
- The retrospective material for unit_4 Survival
- UL 2271-2018 标准轻型电动车用锂电池 最新发行中文、英文版,ANSI/CAN/ULC/UL 2271-2018
- 常用的字符串方法大全
- intuitionistic fuzzy set 运算规则python实现
- 微信视频号推出“创作者流量包”
- 传统企业互联网转型升级新玩法:技术合伙
- 蓝牙耳机哪款打游戏最好用?值得入手的四款低延迟游戏蓝牙耳机