一个有趣的 裁决 欧洲最高法院的裁决可能会对Facebook和Google等数据挖掘技术巨头以及任何管理允许平台收集和处理访客个人数据的页面的人产生重大影响,例如 脸书 粉丝页面,甚至可能是运行Google Analytics(分析)的网站。

欧洲法院通过对与之相关的一系列法律问题的判断,裁定Facebook上的粉丝专页的管理者与Facebook共同负责处理页面访问者的数据-与总检察长的意见一致法院,我们涵盖了 十月.

实际上 裁决 这意味着科技巨头可能会面临来自欧洲数据保护当局的更多挑战。尽管在欧洲piggy带或插入平台服务的任何人都不应想象他们可以将责任转移给平台以确保它们符合隐私规则。

欧洲法院认为双方均应承担责任(在法律术语中也称为“数据控制者”),尽管法院还强调“共同责任的存在并不一定意味着参与处理个人数据的各种运营商应承担同等责任。 ”,并补充说:“相反,这些运营商可能会在个人数据处理的不同阶段和不同程度地参与进来,因此,必须考虑到所有运营商的责任程度,特殊案例。”

最初的案例可以追溯到2011年,当时一家本地数据保护机构命令一家在Facebook上带有粉丝专页的德国教育和培训公司停用该页面,因为该网站和Facebook均未告知用户其个人数据已被收集。这家教育公司对DPA的命令提出了质疑,经过反复的法律纠纷, 被提及 向欧洲最高法院提出初步裁定。

法院今天写道:“粉丝专页的管理员使用Facebook提供的平台以从相关服务中受益的事实不能免除其遵守其有关保护个人数据的义务的责任。”

“此外,必须强调的是,Facebook上托管的粉丝页面也可以由非Facebook用户访问,因此在该社交网络上没有用户帐户。在这种情况下,粉丝页面管理员处理这些人的个人数据的责任似乎更大,因为访问者仅对主页进行咨询就自动开始处理其个人数据。

“在这种情况下,社交网络运营商和该网络上托管的粉丝页面管理员在处理该页面访问者的个人数据方面应承担共同责任,这有助于确保对网站访问者的更全面保护根据第95/46号指令的要求,访问粉丝页面的人员的权利。”

毫无疑问,Facebook与CJEU的决定联系后表示失望。

“我们对该裁定感到失望。欧洲各地各种规模的企业都使用Facebook之类的互联网服务来吸引新客户并发展壮大,”一位发言人通过电子邮件声明告诉我们。 “虽然不会立即影响使用Facebook服务的人员和企业,但我们将努力帮助我们的合作伙伴了解其含义。我们遵守适用的欧洲法律,作为GDPR准备工作的一部分,我们进一步改进了隐私政策,控制措施和工具,以使其更加清晰。”

该公司抵御欧洲数据保护挑战的首选法律策略是声称,由于其国际总部位于爱尔兰,因此仅受爱尔兰数据保护专员管辖。因此,从本质上讲,它是与当地的专业商业DPA建立舒适的关系,以使其免受其他不太友好的欧洲司法管辖区提起的投诉。

但是正如我们去年秋天写的那样 策略似乎要借用时间,随着会员国法院的增加, 主张管辖权的意愿 这些技术巨头的数字服务可以自由跨越欧盟边界,完全有能力影响世界各地的公民权利。

比利时IT和IP法中心的研究人员Jef Ausloos告诉我们:“我确实认为,任何科技公司都越来越难以逃脱法律的约束。” “自GoogleSpain(除名/ rtbf)以来,几乎所有CJEU裁决都体现了这一点-法院希望确保 完整有效 保护。”

他补充说:“从现在开始,您可以通过代理遍历粉丝页面(在同一辖区和/或具有强大DPA的辖区)来攻击Facebook,无论一站式购物如何,对于用户授权来说都是如此,” 。

“(共同)负责的粉丝页面将给Facebook带来巨大压力, 谷歌 -例如,Analytics(分析)可以更好地控制页面管理员和数据主体。”

虽然今天的CJEU裁决可能为在成员国级别上进一步执行欧盟数据保护规则铺平道路,但由于该判决与欧盟先前的数据保护指令有关,因此存在一些警告,该指令现已由更新的隐私框架取代,通用数据保护条例(GDPR)的形式。

而且,Facebook显然正在努力促进对GDPR进行自我服务的解释,力求将监管要素集中在主要数据保护机构的周围-根据该法规所谓的“一站式”原则。因此,它再次试图只向爱尔兰DPA负责。

但是,这似乎是一厢情愿的想法。 GDPR的OSS机制并不是要限制投诉跨越成员国边界的其他DPA的参与,而是要允许多个机构之间进行协调。

而且,欧洲最高法院对数据监管机构的本地能力的观点越来越清晰……

伦敦大学学院的技术政策研究人员迈克尔·韦尔(Michael Veale)表示:“ [CJEU裁定]延续了Google西班牙设定的趋势,即可以在整个联盟范围内带来挑战。 “但是,案件的这一方面专门涉及数据保护指令的解释。

“ GDPR有一个单独的系统来处理跨境处理,并使用诸如EDPB [欧洲数据保护委员会],针对特定类型的协调行动的投票系统,以及“牵头监管机构”可以采取行动但不能控制整个过程的想法。现在,我们将看到在实践中最终会如何分散。”

在淡化该裁决的潜在影响时,Facebook有点讽刺意味的是,这表明GDPR收紧了围绕同意基础处理角色数据的规则,这意味着数据处理者有更多责任明确和干净地向用户传达选择,至少假设同意是他们用来处理人们数据的法律依据。

因此,从理论上讲,这意味着处理欧盟公民个人数据的任何实体都应该已经更加仔细地考虑了其对用户个人数据的责任-比2011年以前的情况更是如此。忽视欧洲隐私规则的惩罚很容易被忽略)。

GDPR对欧盟隐私制度的最大变化不是新规定,而是对违反数据保护的最高刑罚的增加,这使执法部门一向缺乏经验,因此集中精力进行合规。

尽管具有讽刺意味的是,因为就Facebook而言,它已经针对GDPR设计的同意流程面临法律挑战- 早期投诉 针对同名的Facebook平台和另外两个Facebook拥有的服务Instagram和WhatsApp提起诉讼,指控他们通过强迫用户同意来颠覆规则。 (另一起与早期同意相关的投诉也针对Google的Android提出。)

关于欧盟法院裁定造成的损害限制,Facebook表示将与欧洲的合作伙伴和监管机构合作,以限制对其服务和使用服务的人的潜在影响,例如,建议它可以为页面所有者如何遵守义务。

今年开始 它还宣布了在欧洲的一系列数据保护研讨会,该研讨会将于今年全年举行,主要针对中小企业。 GDPR compliance.

因此,它在这方面已经很忙-只有现在才可能变得更忙。

但考虑到Facebook上粉丝页面的数量之多,毫无疑问,CJEU的判决大大增加了该公司承担法律责任的范围。 (当然,该裁决不仅适用于Facebook。)

尽管法院支持地方DPA管辖权为GDPR设置了条件,但对于任何霸道企业试图重塑新规则以适应其自身目的的努力,这似乎是至关重要的检查-牺牲了用户的基本权利。

脸书评论