欧盟《通用数据保障条例》
欧盟《通用数据保障条例》
I. 欧洲联盟(欧盟)《通用数据保障条例》
欧盟的《通用数据保障条例》已于2018年5月25日生效,取代原有为处理个人资料及有关资料自由流通的个人保障而制订的欧盟指令 95/46/EC(欧盟指令),并且涉及新的规定和加强的权利。随着科技发展,以至欧盟的资料保障的基本权利全球化及宪法化,《通用数据保障条例》旨在协调数码单一市场的框架,让个人掌握他们的资料,并制定现代化的资料保障管治。为何《通用数据保障条例》与香港的机构/企业有关?
在香港,订立香港法例第486章《个人资料(私隐)条例》(《私隐条例》) 是为保障个人资料方面的私隐。在草拟《私隐条例》时,曾参考经济合作及发展组织1980年的私隐指引及欧盟指令。由于《通用数据保障条例》为以欧盟指令为本的资料保障法律带来了重大的发展及改变,因此新的监管框架内包括了《私隐条例》未有的规定。
《通用数据保障条例》对欧盟以外的资料保障局面带来的其中一项重大发展,是明确规定在非欧盟法域管辖区内成立的机构在特定的情况下须遵从《通用数据保障条例》的规定。由于业务或交易模式多样化(例如网上交易),香港的机构/企业必须确定《通用数据保障条例》是否对它们适用,并紧贴新的发展。
II. 欧盟委员会根据《通用数据保障条例》就国际间资料转移采纳的新版标准合约条款
III. 《通用数据保障条例》的相关刊物及文章
IV. 欧洲联盟发出的指引及参考资料
V. 有关《通用数据保障条例》的重要决定及主要发展摘要
II. 欧盟委员会根据《通用数据保障条例》就国际间资料转移采纳的新版标准合约条款
欧盟委员会采纳了一套有关转移个人资料至非欧盟地区的新版标准合约条款 (「新版标准合约条款」),有关条款已于2021年6月27日生效。由2021年9月27日起,资料输出者及资料输入者只可就跨境个人资料转移签订采纳新版标准合约条款的合约。私隐公署发布一系列有关的常见问题资料,以介绍新版标准合约条款的实施框架和签订包含新版标准合约条款的跨境资料转移协议的各合约方的责任,供公众参考。更多详情,请参阅有关系列的常见问题资料:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eu_faq.pdf
请按此阅览「欧盟委员会有关国际间资料转移的新版标准合约条款的简介」。
请按此下载「欧盟的新版标准合约条款下从欧盟转移个人资料至非欧盟地区」网上讲座的演讲简报及观看有关影片。
III. 《通用数据保障条例》的相关刊物及文章
为了提高香港机构/企业认识《通用数据保障条例》 2016 下新制定的资料保障监管框架对它们可能带来的影响,公署出版了以下刊物︰
 |
小册子:欧洲联盟《通用数据保障条例》2016 最新资讯 (2020年5月修订版) |
- 《香港律师》 (2018年6月份) - 欧盟《通用数据保障条例》与香港《个人资料(私隐)条例》有甚么分别?
- 公署新闻稿(2018年 4月 3日)- 香港企业应如何为即将实施的欧盟通用数据保障新条例作好准备
IV. 欧洲联盟发出的指引及参考资料
欧洲资料保障委员会更多的指引及建议可参阅︰https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en?page=0
| 涉及的事宜 | 建议/指引 |
|---|---|
| 行政罚款 | 有关根据《通用数据保障条例》计算行政罚款的第04/2022号指引1 |
| 同意 | 有关同意的第05/2020号指引 |
| 控制者及处理者 | 有关《通用数据保障条例》的控制者及处理者概念的第07/2020号指引 |
| 资料外洩事故通报 | |
| 资料可携性 | 有关资料可携权的指引 |
| 贯彻资料保障的设计及预设模式 | 有关第25条贯彻资料保障设计及预设模式的第4/2019号指引 |
| 资料保障影响评估 | 有关资料保障影响评估的指引 |
| 资料当事人权利 | 有关资料当事人权利—查阅权的第01/2022号指引 |
| 豁免情况 | 有关《通用数据保障条例》第49条下的豁免情况的第2/2018号指引 |
| 资讯通讯科技 | |
| 一站式机制 | |
| 国际转移及工具 | |
| 限制 | 有关《通用数据保障条例》第23条下限制(资料当事人权利及控制者/处理者责任的范围)的第10/2020号指引 |
| 社交媒体 | |
| 地域范围 | 有关《通用数据保障条例》地域范围(第3条)的第3/2018号指引 |
| 透明度 | 有关第2016/679号规例下的透明度的指引 |
欧盟委员会
| 涉及的事宜 | 建议/指引 |
|---|---|
| 资料保障制度 | 欧盟的资料保障制度概览 |
| 《通用数据保障条例》的规定 | 《通用数据保障条例》的规定简介 |
V. 有关《通用数据保障条例》的重要决定及主要发展摘要
A. 根据《通用数据保障条例》作出的重要决定摘要(I) 牵涉罚款的决定
| 作出决定的日期 | 作出决定的资料保障监管机构 | 罚则及违反规定 |
|---|---|---|
| 2024年7月22日 | 荷兰资料保障监管机构 (The Dutch Data Protection Authority) |
荷兰资料保障监管机构就Uber违反《通用数据保障条例》的规定处以 2.9 亿欧元的罚款,原因是Uber将欧洲的士司机的个人资料在未有为其提供适当保障的情况下转移至美国。 荷兰资料保障监管机构发现Uber收集欧洲司机的敏感资料(包括户口资料、的士牌照、位置资料、照片、付款资料、身份证明文件、刑事和医疗资料),并将资料保存在美国的伺服器。有关资料转移于2021年8月6日至2023年11月27日期间进行。 当时,根据欧洲联盟法院于2020年的裁决,欧盟-美国「私隐保护盾」已被废除,不再是跨大西洋资料转移的基础。即使标准合约条款仍然是个人资料转移至欧盟以外国家的有效基础(如实际上能保证相等程度的保障),Uber自2021年8月起已不再使用标准合约条款,并于接近2023年年底才使用接替欧盟-美国「私隐保护盾」的欧盟-美国数据私隐框架。因此,荷兰资料保障监管机构认为于上述期间内被转移的个人资料没有得到充分保障,并裁定Uber违反《通用数据保障条例》第44条。 调查期间,荷兰资料保障监管机构与法国资料保障监管机构紧密合作,并与其他欧洲资料保障监管机构协调该决定。有关详情,请参阅2024年8月26日荷兰资料保障监管机构发出的新闻稿及法国资料保障监管机构发出的新闻稿。 注: Uber正就荷兰资料保障监管机构的决定提出上诉。 |
| 2024年7月16日1 | 荷兰资料保障 监管机构 (The Dutch Data Protection Authority) |
荷兰资料保障监管机构就A.S. Watson Health & Beauty Continental Europe B.V. (A.S. Watson)违反《通用数据保障条例》第5(1)(a)及6条,处以60万欧元的罚款。 荷兰资料保障监管机构于2019年10月及11月进行的调查中发现A.S. Watson的附属公司Kruidvat在未有事先取得用户有效同意的情况下于其网站「Kruidvat.nl」的用户的装置置入cookies。该网站亦将使用cookies的设定预设为已勾选,因此,有关处理用户个人资料取得的同意并非《通用数据保障条例》第4条所要求的「自由给予的、具体、知情及不含糊的」指示。 此外,调查又发现这些cookies曾经收集用户的位置、他们所浏览的页面、加入购物车及已购买的产品,以及曾经点击的推荐项目等资料。荷兰资料保障监管机构认为Kruidvat所收集的资料甚为敏感。有鑑Kruidvat网站所售卖产品的性质为保健用品,如果与透过追踪IP地址所获得的位置资料整合,则可以创建有关浏览「Kruidvat.nl」网站人士极为特定而具侵入性的用户档案。 有见及此,荷兰资料保障监管机构裁定处理该网站浏览者的个人资料属不合法,因此违反《通用数据保障条例》第5及6条。 |
| 2024年7月1日 | 挪威资料保障 监管机构 (The Norwegian Data Protection Authority) |
2024年7月1日,奥斯陆地方法院维持挪威资料保障监管机构就约会应用程式Grindr未有遵从《通用数据保障条例》下的同意要求所处以的6,500万克朗(约555万欧元)罚款。 案件源于挪威消费者委员会于2020年作出的投诉。该委员会发现Grindr曾与多间第三方商业机构分享用户的敏感个人资料,其中几间机构保留与其他公司进一步分享该些资料的权利,以作目标式营销之用。Grindr分享的资料包括用户的全球定位系统位置、IP地址、广告ID、年龄、性别、装置资料及用户在应用程式内的姓名。 法院维持挪威资料保障监管机构所作的决定,裁定Grindr声称已取得有关分享用户个人资料的同意无效,原因是用户必须同意私隐政策的全部条款才能使用应用程式,而且用户并没有明确地被问及是否同意将其个人资料分享予第三方作投放行为定向广告之用。法院同时裁定Grindr未有适当地向用户传达分享个人资料的资讯。因此,Grindr声称已取得的同意未能符合《通用数据保障条例》第4条对有效「同意」的要求。 再者,法院确认挪威资料保障监管机构的调查结果,指一个人作为Grindr(其市场定位特别以LGBTQ+社群为目标)注册用户的资料应被视为与其性取向有关的个人资料,因此,该些资料符合《通用数据保障条例》第9(1)条所定义的特别类别个人资料。由于Grindr声称已取得的同意被裁定无效,Grindr与他人分享上述个人资料违反《通用数据保障条例》。有鑑《通用数据保障条例》第9条较严格的同意要求,法院认为Grindr未有根据《通用数据保障条例》第9(2)(a)条取得「明确同意」。 在厘定罚款金额时,法院已考虑违反《通用数据保障条例》的严重程度、Grindr的规模及财务状况,以及Grindr已采取的补救措施。 |
| 2023年12月27日 | 法国资料保障监管机构 (The French Data Protection Authority) |
法国资料保障监管机构就管理Amazon集团旗下在法国的大型仓库的 Amazon France Logistique (Amazon) 在利用扫瞄器监控员工活动和表现及处理影像监控方面违反《通用数据保障条例》的行为,处以 3,200 万欧元的罚款。 法国资料保障监管机构裁定,就向员工提供扫描器以即时记录分配给他们的工作的执行情况,未能遵从收集最少资料的原则(违反条例第5(1)(c) 条);(ii) Amazon 使用过度侵扰性及非法的指标,包括能够持续监控员工扫描器任何中断情况的指标,有机会导致员工需为每次休息或中断提供理由,因而未能遵从合法处理的原则(违反条例第6条);而且(iii) Amazon 未能确保在以扫瞄器收集或处理临时员工的个人资料之前向有关员工提供其私隐政策(违反条例第 12 条及第 13 条)。 至于处理影像监控方面,法国资料保障监管机构裁定Amazon (i) 未有以告示、其他媒介或文件形式妥善地通知员工及外部访客有关影像监控的安排(违反条例第 12 条及第 13 条),及(ii) 对个人资料的保安措施不足,包括使用低强度的密码,及容许多个用户使用同一登入帐号(违反条例第 32 条)。 有关详情,请参阅法国资料保障监管机构于2024年1月23日发出的新闻稿及决定。 |
| 2023年12月11日 | 荷兰资料保障监管机构 (The Dutch Data Protection Authority)与法国资料保障监管机构 (The French Data Protection Authority) |
荷兰资料保障监管机构与法国资料保障监管机构联合就 Uber Technologies, Inc. and Uber B.V. (Uber) 违反《通用数据保障条例》的规定处以 1,000 万欧元的罚款,原因包括:(i) Uber 未能以清晰及容易存取的方式向司机提供所要求的资料,并仅以英文提供有关资料(违反条例第12(1) 条);(ii) 司机未能简易地在应用程式内获取行使其要求资料的权利的网上表格,因为该表格位于应用程式的深处,并分布在各个选单中,惟该表格本可放置于更合乎逻辑的位置,(违反条例第 12(2) 条); (iii) Uber在其私隐声明中提供有关转移资料至欧盟境外的资讯及相关具体保安措施并不完整(违反条例第13(1)(f) 条及第15(1)(d)条),而有关其资料保留期限的资讯亦过于笼统(违反条例第13(2)(a) 条、第15(1)(a) 及第15(1) (d)条);及(iv) Uber 未有在其私隐声明中明确地提及资料可携权(违反条例第13(2)(b) 条)。 在决定罚款金额时,荷兰资料保障监管机构考虑了该公司的规模以及违规行为的严重程度。在违规行为发生时,欧洲约有 12 万名 Uber 司机。 有关详情,请参阅2024年1月31日荷兰资料保障监管机构发出的新闻稿及法国资料保障监管机构发出的新闻稿。 |
| 2023年9月1日 | 爱尔兰资料保障监管机构 (The Data Protection Commission of Ireland) | 爱尔兰资料保障监管机构就TikTok Technology Limited (TikTok)于2020年7月31日至2020年12月31日期间违反《通用数据保障条例》的规定,对TikTok作出谴责并处以3.45亿欧元的罚款。爱尔兰资料保障监管机构认为 (i) TikTok把儿童用户帐户的个人资料设定预设为公开,令任何人(包括TikTok用户及非TikTok用户)均可以查看儿童用户发布的内容(违反条例第25(1), 25(2), 5(1)(c)及24(1)条);(ii) TikTok 没有实施适当的技术和机构性措施来减低对使用该平台的 13 岁以下儿童造成的风险(违反条例第24(1) 条); (iii) 「家庭配对」设定允许非儿童用户(无法验证是否父母或监护人)连结儿童用户帐户并开启年满16岁的儿童用户的私讯功能,对儿童用户构成了严重风险(违反条例第5(1)(f) 及25(1) 条); (iv) TikTok 未能向儿童用户提供足够及具透明度的资讯(即个人资料接收者的类别、预设公开处理的范围和后果)(违反条例第12(1)及13(1)(e) 条);及 ,根据欧洲资料保障委员会于2023年8月发布具有约束力的决定,(v) TikTok实施的「暗黑模式」促使用户在登记过程和发布影片时选择更多侵犯私隐的选项(违反条例第5(1)(a)条)。除了发出谴责和处以 3.45 亿欧元的罚款外,爱尔兰资料保障监管机构亦指令 TikTok 须于三个月内使其资料处理符合规定。有关详情,请参阅爱尔兰资料保障监管机构作出的决定及于2023年9月15日发出的新闻稿。 |
| 2023年6月15日 | 法国资料保障监管机构 (The French Data Protection Authority) | 法国资料保障监管机构就Criteo (该公司专门从事「行为再定向 (behaviorial retargeting)」,通过cookie收集网上用户的浏览资料,以向用户显示个人化的广告 )违反《通用数据保障条例》的行为处以4,000万欧元的罚款。Criteo被裁定 (i) 未能核实并证明有关资料处理经相关网上用户同意(违反条例第7.1条);(ii) 未能提供清晰的私隐政策,告知用户哪些个人资料被使用及如何使用(违反第条例12及13条);(iii) 未能尊重用户的查阅权利,只容许用户查阅部分个人资料(违反条例第15.1条);(iv) 未能遵从用户撤回同意及删除资料的权利(违反条例第7.3及17.1条);及(v) 未能在Criteo与作为联合控制者的合作夥伴所签订的协议中,按《通用数据保障条例》的规定具体说明控制者的一些各自的责任(违反条例第26条)。有关详情,请参阅法国资料保障监管机构于2023年6月22日发出的新闻稿。 |
| 2023年5月12日 | 爱尔兰资料保障监管机构 (The Data Protection Commission of Ireland) |
Meta Platforms Ireland Limited (Meta) 的Facebook服务将个人资料从欧盟转移至美国,违反《通用数据保障条例》第46(1)条的规定,爱尔兰资料保障监管机构对Meta处以12亿欧元的罚款,并命令它作出纠正措施。爱尔兰资料保障监管机构认为,虽然Meta是依据欧盟委员会于2021年采纳的标准合约条款作出有关转移,并实施补充措施以应对欧洲联盟法院在Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18)一案就美国监视法而提出的关注,但有关的资料转移安排在这情况下并没有对个人资料提供适当的保障。因此,Meta违反了《通用数据保障条例》第46(1)条的规定。 Meta (i) 被指令在五个月内暂停将个人资料转移至美国;(ii) 被罚款12亿欧元;及(iii) 被指令在六个月内使其资料处理业务符合《通用数据保障条例》第V章的规定。有关详情,请参阅爱尔兰资料保障监管机构于2023年5月12日作出的决定及于2023年5月22日发出的新闻稿。 |
| 2023年4月4日 | 英国资料保障监管机构 (The Information Commissioner’s Office) | 英国资料保障监管机构就 TikTok Information Technologies UK Limited 和 TikTok Inc (TikTok)在 2018 年 5 月至 2020 年 7 月期间违反 《英国通用数据保障条例》的行为处以 12,700,000 英镑的罚款。英国资料保障监管机构裁定TikTok (i) 向13 岁以下的英国儿童提供服务并在未得其父母或照顾者同意或授权下处理儿童的个人资料(违反条例第 6 (1)条和第 8 条); (ii) 未能以易于理解的方式向用户提供有关收集、使用和共享用户资料的合适资讯,令用户,尤其是儿童,不太可能就是否要参与及如何参与作出知情的选择(违反条例第 12 条);及 (iii) 未能确保以合法、公平和具透明度的方式处理英国用户的个人资料(违反条例第 5(1)(a) 条)。有关详情,请参阅英国资料保障监管机构于2023年4月4日发出的新闻文章。 |
| 2023年1月12日 | 爱尔兰资料保障监管机构 (The Data Protection Commission of Ireland) |
爱尔兰资料保障监管机构就WhatsApp Ireland Limited (WhatsApp) 的服务违反《通用数据保障条例》处以550万欧元的罚款。爱尔兰资料保障监管机构裁定Whatsapp不能以合约作为其处理用户个人资料以改善服务和保安的法律基础,因而违反了《通用数据保障条例》第6条。WhatsApp亦因为未有明确向用户指出其处理个人资料的法律基础而违反了公平原则及有关透明度的责任。WhatsApp被指令在六个月内使其资料处理操作符合规定。 该决定是在欧洲资料保障委员会根据《通用数据保障条例》第65条采纳具有约束力的决定后(即因相关资料保障监管机构持有不同意见而开展的解决争议程序)所发布的。有关详情,请参阅爱尔兰资料保障监管机构于2023年1月12日发出的决定及2023年1月19日发出的新闻稿。 |
| 2023年1月4日 | 爱尔兰资料保障监管机构 (The Data Protection Commission of Ireland) |
爱尔兰资料保障监管机构就Meta Platforms Ireland Limited (Meta)的Facebook 和 Instagram 服务违反《通用数据保障条例》,分别处以 2.1 亿欧元和 1.8 亿欧元的罚款。爱尔兰资料保障监管机构裁定Meta不能以其与Facebook和Instagram用户的合约作为法律基础,为用户提供个人化服务(包括根据用户的线上活动向用户投放定向广告),因而违反了《通用数据保障条例》第6条。Meta亦因为未有明确向用户指出其处理个人资料的法律基础而违反了公平原则及有关透明度的责任。Meta被指令在三个月内使其资料处理业务符合规定。 该决定是在欧洲资料保障委员会根据《通用数据保障条例》第65条采纳具有约束力的决定后(即因相关资料保障监管机构持有不同意见而开展的解决争议程序)所发布的。有关决定的详情,请参阅爱尔兰资料保障监管机构的决定(Facebook;Instagram) 及于2023年1月4日发出的新闻稿。 |
| 2022年11月25日 | 爱尔兰资料保障监管机构 (The Data Protection Commission of Ireland) | 爱尔兰资料保障监管机构就早前Facebook用户个人资料洩漏至互联网的事件进行调查,裁定Meta Platforms Ireland Limited (Meta) 违反《通用数据保障条例》下有关贯彻资料保障的设计及预设模式的规定,处以2.65亿欧元的罚款,及要求Meta作出一系列的纠正措施。有关决定的详情,请参阅爱尔兰资料保障监管机构于2022年11月28日发出的新闻稿。 |
| 2022年11月10日 |
法国资料保障监管机构 (The French Data Protection Authority) |
法国资料保障监管机构对提供IP网络语音和即时通讯服务的 Discord Inc. (Discord) 处以 80万欧元的罚款,因为Discord未有制定书面资料保留政策,且未能向用户提供关于资料保留时限的足够信息,包括没有列明具体期限或决定保留时限的准则。调查亦发现Discord未有告知用户在关闭应用程式的视窗后,语音频道与第三方的连接及传输仍会在背景运行,而Discord的密码管理政策的强度亦有不足。 另外,Discord 未有进行资料保障影响评估。有关该决定的详情,请参阅法国资料保障监管机构于 2022 年 11 月17 日发出的新闻稿。 |
| 2022年11月2日 | 葡萄牙资料保障监管机构 (The Portuguese Data Protection Authority) | 葡萄牙资料保障监管机构就葡萄牙国家统计局在进行2021年人口普查期间违反《通用数据保障条例》的多项规定,处以430万欧元的罚款。葡萄牙资料保障监管机构经调查发现,人口普查中有关健康和宗教的问题在法律上应定为可选答题目,但这些问题没有被适当地标记为可选答题目,导致受访者无法有自由意志地自主决定是否回应收集特别类别个人资料的问题。另外,葡萄牙资料保障监管机构亦裁定国家统计局没有提供任何有关资料处理的资讯、在选择资料处理者时违反了尽职调查的责任、违反了有关国际资料转移的规定,亦没有对处理过程进行资料保障影响评估。有关决定的详情,请参阅欧洲资料保障委员会发出的决定摘要。 |
| 2022年10月17日 | 法国资料保障监管机构 (The French Data Protection Authority) | 法国资料保障监管机构就Clearview AI Inc. (Clearview)在没有法律依据的情况下收集及使用生物辨识资料,非法处理个人数据,并未能以有效和令人满意的方式考虑资料当事人的权利,特别是在处理资料当事人的查阅资料要求方面,而处以2000万欧元罚款。Clearview 于调查期间亦没有充分与法国资料保障监管机构合作。有关该决定的详情,请参阅法国资料保障监管机构于 2022 年 10 月 20 日发出的新闻稿。 |
| 2022年10月6日 | 意大利资料保障监管机构 (The Italian Data Protection Authority) | 意大利资料保障监管机构就社交平台 Clubhouse 的母公司 Alpha Exploration Co. Inc. 违反《通用数据保障条例》的多项规定,包括在没有有效的法律依据的情况下以营销、录制、与第三方共享音频、对用户作出分析和共享帐户信息为目的进行资料处理活动、未能向用户提供有关资料处理的信息,以及未能向用户提供有关个人资料保留期限的足够信息,而处以 200 万欧元的罚款并发出多项合规命令。有关决定的详情,请参阅意大利资料保障监管机构于2022年12月5日发出的新闻稿。 |
| 2022年10月4日 | 英国资料保障监管机构 (The Information Commissioner’s Office) | 英国资料保障监管机构就Easylife Ltd未经同意而使用 145,400名客户的个人资料以预测他们的健康状况并向他们推销相关的健康产品,而处以135万英镑罚款。另外,Easylife Ltd因拨打 1,345,732 个不愿接收的促销电话而被额外罚款 130,000 英镑。有关决定的详情,请参阅英国资料保障监管机构于2022年10月6日发出的新闻稿。 |
| 2022年9月2日 | 爱尔兰资料保障监管机构 (The Data Protection Commission of Ireland) |
爱尔兰资料保障监管机构早前就Meta旗下社交平台Instagram (Meta Platforms Ireland Limited (Meta IE))有关儿童用户(13 至 17 岁的用户)个人资料的处理进行调查。调查显示平台允许儿童用户使用商业帐号,以致其电邮地址及/或电话号码被公开展示;同时,平台的用户注册系统将儿童用户的帐号预设为「公开」。Instagram因而被爱尔兰资料保障监管机构处以4.05亿欧元罚款,并须作出一系列的纠正措施。 该决定是在欧洲资料保障委员会根据《通用数据保障条例》第65条采纳具有约束力的决定后(即因相关资料保障监管机构持有不同意见而开展的解决争议程序)所发布的。有关决定的详情,请参阅爱尔兰资料保障监管机构的决定及于2022年9月15日发出的新闻稿。 |
| 2022年7月13日 | 希腊资料保障监管机构 (The Hellenic Data Protection Authority of Greece) | 希腊资料保障监管机构就人脸识别技术公司Clearview AI Inc. (Clearview)违反有关合法性及透明度的原则而处以2,000万欧元罚款、禁止Clearview以人脸识别服务的方式收集和处理于希腊境内的资料当事人的个人资料,并命令Clearview删除以有关方式收集及处理的个人资料。有关决定的详情, 请参阅欧洲资料保障委员会发出的决定摘要。 |
| 2022年5月18日 | 英国资料保障监管机构 (The Information Commissioner’s Office) | 英国资料保障监管机构就Clearview AI Inc. (Clearview) 在互联网及社交平台收集英国及其他地区人士的图像并用于人脸识别而处以7,552,800英镑罚款。同时,英国资料保障监管机构命令Clearview停止收集及使用网上公开的英国居民个人资料,并删除其系统中的英国居民资料。有关决定的详情, 请参阅英国资料保障监管机构 于2022年5月23日发出的新闻稿。 |
| 2022年3月15日 | 爱尔兰资料保障监管机构 (The Data Protection Commission of Ireland) | 爱尔兰资料保障监管机构就Meta Platforms (前称 Facebook)违反《通用数据保障条例》第5(2)条(有关目的限制原则)而处以1,700万欧元罚款。有关决定的详情, 请参阅欧洲资料保障委员会发出的决定摘要 。 |
| 2022年2月10日 | 意大利资料保障监管机构 (The Italian Data Protection Authority) | 意大利资料保障监管机构就Clearview AI Inc. 在欠缺适当法律基础下不合法地处理个人资料及违反有关透明度、目的限制及储存限制等原则而处以2,000万欧元罚款。有关决定的详情, 请参阅欧洲资料保障委员会发出的决定摘要。 |
| 2022年1月14日 | 荷兰资料保障监管机构 (The Dutch Data Protection Authority) | DPG Media Magazines因不必要地索取身分証明文件副本而被荷兰资料保障监管机构处以52.5万欧元罚款。有关决定的详情, 请参阅欧洲资料保障委员会发出的决定摘要。 |
| 2021年12月22日 | 奥地利资料保障监管机构 (The Austrian Data Protection Authority) | 奥地利资料保障监管机构裁定奥地利一名网站营运者在网站内使用 Google Analytics,转移个人资料至美国的 Google LLC,违反《通用数据保障条例》第44条。 奥地利资料保障监管机构认为该网站营运者和 Google LLC之间签订的标准合约条款未有提供足够程度的保障予相关个人资料。有关决定的详情, 请参阅奥地利资料保障监管机构发出的决定摘要。 |
| 2021年8月20日 | 爱尔兰资料保障监管机构 (The Data Protection Commission of Ireland) |
爱尔兰资料保障监管机构就 WhatsApp Ireland Ltd.在提供服务资讯予欧洲用家方面违反透明度原则等作出最后决定,向 WhatsApp Ireland Ltd.处以2亿2,500万欧元罚款,并对它作出谴责及命令它执行一连串指定的补救措施,以确保其处理活动符合规定。该决定是在欧洲资料保障委员会根据《通用数据保障条例》第65条采纳具有约束力的决定后(即因相关资料保障监管机构持有不同意见而开展的解决争议程序)所发布的。有关决定的详情,请参阅爱尔兰资料保障监管机构的决定及于2021年9月2日发出的新闻稿。 注: WhatsApp Ireland Ltd.正就爱尔兰资料保障监管机构的决定提出上诉。 |
| 2021年6月21日 | 瑞典资料保障监管机构 (The Swedish Authority for Privacy Protection) | 瑞典资料保障监管机构就于斯德哥尔摩营运公共运输的 SL在公共交通工具上不合法使用随身摄像机而处以1,600万瑞典克朗罚款。有关决定的详情, 请参阅欧洲资料保障委员会发出的决定摘要。 |
| 2021年4月29日 | 荷兰资料保障监管机构 (The Dutch Data Protection Authority) | 荷兰资料保障监管机构就市政府采用无线追踪技术(能够追踪在市中心购物 ˴ 居住或工作的人士)而处以60万欧元罚款。有关决定的详情, 请参阅欧洲资料保障委员会发出的决定摘要。 |
1 法院于2024年5月2日作出实质裁决,并于2024年7月16日公布罚款金额。
(II) 《通用数据保障条例》的诠释
| 日期 | 裁决 |
|---|---|
| 2024年9月26日 |
欧洲联盟法院厘清《通用数据保障条例》下监管机构行使纠正权力的酌情权 2024年9月26日,欧洲联盟法院在一宗涉及资料外洩事故的案件中,就监管机构行使《通用数据保障条例》第58(2)条下的纠正权力的酌情权作出初步裁决。 TR(某银行的一名客户)就其个人资料被该银行的一名僱员非法查阅一事,向黑森资料保障监管机构投诉。TR指该银行未有根据《通用数据保障条例》要求通知他有关资料外洩事故,并批评该银行的查阅纪录册的保留时间过短及授予僱员的查阅权限过大。经调查后,黑森资料保障监管机构认为该银行作出「不太可能对TR的权利及自由构成高风险」的评估并非明显地不正确,因此认为该银行并无违反《通用数据保障条例》第34条。黑森资料保障监管机构要求该银行延长查阅纪录册的资料保留时间,但并无诟病其授予僱员的查阅权限。 TR不满黑森资料保障监管机构的决定,尤其是该监管机构并无根据《通用数据保障条例》第58(2)条对该银行采取任何行动,因此在德国威斯巴登行政法院提起诉讼。案件其后被转介至欧洲联盟法院,以厘清当监管机构裁定《通用数据保障条例》被违反时,是否必须行使第58(2)条下的纠正权力。 欧洲联盟法院的裁决强调,监管机构有酌情权去根据每宗案件的特定情况,并在考虑纠正措施的适当性、必要性及相称性后,决定是否行使一项或多项纠正权力。纵然监管机构必须适当地就不足之处作出补救及确保《通用数据保障条例》获全面执行,它们并无义务就每一宗违反行使其纠正权力。例如当已采取适当及必需的措施确保资料外洩遏止并不会再次发生时,监管机构可例外地及视乎案件的个别情况选择不行使其纠正权力。 有关详情,请参阅欧洲联盟法院2024年9月26日的裁决。 |
| 2024年6月20日 |
欧洲联盟法院厘清有关个人身份被盗而导致的非物质损害赔偿的规则 2024年6月20日,欧洲联盟法院就《通用数据保障条例》第82条下因个人身份被盗而造成的非物质损失赔偿作出初步裁决。 该案件源于德国慕尼黑地方法院对两名人士提起的诉讼而提交的初步裁决请求。该两名申请人在一间名为 Scalable Capital 的德国公司开设账户,并各自在账户中输入个人资料。该资料其后被不明第三方窃取,但并无迹象显示资料被用作欺诈用途。申请人就该资料被盗而导致的非物质损害要求赔偿。 该案件被转介至欧洲联盟法院,以厘清以下问题 : (1)《通用数据保障条例》第82条下的赔偿是否纯属补偿性质,抑或同时具有惩罚性及补偿性; (2) 在厘定赔偿金额时,是否必须考虑违反《通用数据保障条例》的严重程度和是否蓄意违反,以及考虑非物质损害本质上较身体伤害为轻是否恰当; (3) 当损害并非严重时,可否判予最低限度的赔偿;及 (4) 就「身份盗窃」的非物质损害赔偿而言,是否须证明身份确实有被滥用。 就问题(1)和(2),欧洲联盟法院强调《通用数据保障条例》第82条的补偿性质与《通用数据保障条例》第83条和第84条的惩罚性质之间的区别,并申明第82条下的赔偿并非具惩罚性或阻吓性,而是属纯补偿性质,旨在全面及有效地补偿因违反《通用数据保障条例》而实际遭受的损害。因此,法院毋须考虑违反的严重程度及是否蓄意违反。此外,非物质损害本质上不比身体伤害为轻,法院在厘定非物质损害的补偿金额时考虑这点是恰当的。 就问题(3),欧洲联盟法院认为《通用数据保障条例》第82(1)条并无就资料当事人所声称的损害设置「最低限度」的门槛,即使损害并非严重,只要足以补偿所受损害,仍可予以判给最低限度的赔偿。 就问题(4),欧洲联盟法院裁定,当个人资料被盗的人的身份实际上被第三方滥用时,才会构成身份盗窃,并可获非物质损害赔偿。不过,法院也强调个人资料被盗所造成的非物质损害赔偿,并不限于因资料被盗而导致身份盗窃或欺诈的情况。 有关判决详情,请参阅欧洲联盟法院 2024 年 6 月 20 日的裁决。 |
| 2024年4月11日 |
欧洲联盟法院就《通用数据保障条例》违反个案中有关非物质损害的获偿权利发表初步裁决 2024年4月11日,欧洲联盟法院就《通用数据保障条例》下有关非物质损害的获偿权利发表初步裁决。 一名人士(资料当事人)对一间公司(资料控制者)提起诉讼,指尽管他向公司提出反对并撤回接收促销资讯的同意,公司仍然使用和处理其个人资料。资料当事人依据《通用数据保障条例》第82(1)条就失去对其个人资料的控制权等事宜提出索偿。德国萨尔布吕肯地区法院将有关非物质损害索偿门槛、资料控制者免除责任以及厘定赔偿金额的问题转介至欧洲联盟法院作初步裁决。 在裁决中,欧洲联盟法院强调,《通用数据保障条例》第82(1)条规定的赔偿必须满足三个条件:(i)资料当事人遭受物质或非物质损害;(ii)违反《通用数据保障条例》;以及 (iii)该违规行为与损害之间存在因果关系。因此欧洲联盟法院认为,即使条例被违反时会赋予资料当事人权利,仅违反该条例的规定本身并不足以构成《通用数据保障条例》第82(1)条含义内的「非物质损害」,不论资料当事人所遭受的损害严重程度如何。 欧洲联盟法院亦裁定,如果个人资料外洩事件是由资料控制者授权下行事的人导致,该资料控制者必须证明其任何违反《通用数据保障条例》第 5 条、第 24 条和第 32 条下资料保障义务的行为与资料当事人蒙受的损害不存在因果关系,才可依据《通用数据保障条例》第82(3)条免除责任,仅声称有关损害是由在其授权下行事的人的疏忽或过失所导致是不足够的。 在厘定非物质损害赔偿金额方面,鉴于《通用数据保障条例》第82条和第83条的功能并不相同,前者属补偿性质,而后者则属惩罚性质,欧洲联盟法院认为 (1)《通用数据保障条例》第83条下有关行政罚款金额的标准不能用于评估《通用数据保障条例》第82条下的赔偿金额,以及 (2)没有必要考虑同一处理操作中涉及多项《通用数据保障条例》违反影响索偿人。 有关详情,请参阅欧洲联盟法院于2024年4月11日的裁决。 |
| 2024年3月7日 |
欧洲联盟法院在一宗涉及广告科技的案件澄清了《通用数据保障条例》下「个人资料」和「共同控制者」的含义 2024年3月7日,欧洲联盟法院在一宗涉及广告科技的案件中,就《通用数据保障条例》下「个人资料」和「共同控制者」的解释作出裁决。 代表数码广告及营销行业的非牟利组织IAB Europe就处理用户资料以提供目标式广告制定了透明度及同意框架(「该框架」)。该框架下有一套标准机制,用于请求、储存和共享用户对将其资料提供予目标式广告的偏好和同意(或反对)。而该些偏好和同意则储存在由字母及符号组成的字串中,称为「TC 字串」。 2022年,比利时资料保障监管机构裁定该框架并不符合《通用数据保障条例》的规定,对IAB Europe施行纠正措施及判处行政罚款。IAB Europe向布鲁塞尔上诉法院提出上诉,指TC字串不构成个人资料及IAB Europe并非资料控制者。布鲁塞尔上诉法院将个案转介欧洲联盟法院作初步裁决。 就个人资料的问题,欧洲联盟法院援引《通用数据保障条例》叙文第26条,指并没有要求所有可识别资料当事人的资讯均须掌握在一个人手中才可被视为《通用数据保障条例》第4(1)条下的个人资料。欧洲联盟法院亦指出,TC字串可与其他资料例如IP地址相结合以识别有关用户。因此,欧洲联盟法院裁定TC字串构成《通用数据保障条例》第4(1)条下的个人资料。即使IAB Europe无法自行取览其成员在该框架下处理的资料并进行有关结合,也不会排除TC字串被归类为个人资料。 就共同控制者的问题,欧洲联盟法院裁定IAB Europe 能被视为《通用数据保障条例》第4(7)条和26(1)条下的「共同控制者」,因为IAB Europe为达到其组织的目的,对个人资料的处理操作施加影响,并与其成员共同决定该处理操作的目的和方式。尽管如此,欧洲联盟法院澄清,IAB Europe所共同控制的范围并不会延伸至该组织没有参与的后续个人资料处理。 欧洲联盟法院重申,共同控制不一定意味着所有共同控制个人资料处理的控制者均须承担相同的责任,各控制者的责任视乎特定个案的所有相关情况而定。 有关详情,请参阅(1)欧洲联盟法院的裁决;及(2)欧洲联盟法院于2024年3月7日发出的新闻稿。 |
| 2024年1月30日 |
欧洲联盟法院裁定警方不应无限期储存生物辨识资料 2024年1月30日,欧洲联盟法院裁定,执法机构无限期保留(即除有关人士的死亡以外没有任何时限)被刑事定罪人士的生物辨识资料和基因数据违反了欧盟法律。该案涉及一名被定罪及后来在法律上得已自新的人士要求从警方记录中删除其个人资料。 欧洲联盟法院裁定,即使被定罪人士的个人资料的储存属一般性和不加区分,以及因应防止、侦测、调查及检控刑事罪行或执行刑罚而属于合理,国家当局也须规定资料控制者定期检视是否仍然有必要保留有关资料,并授予资料当事人可要求删除不再必要保留的资料的权利。 欧洲联盟法院亦裁定,当国家当局有责任就资料储存期限设定适当的时限,当局应考虑所犯罪行的性质和严重性,以及被定罪人士带来的风险等相关情况,该时限才能被视为「适当」。 有关判决详情,请参阅(1)欧洲联盟法院的裁决;及(2) 欧洲联盟法院于2024年1月30日发出的新闻稿。 |
| 2023年12月14日 |
欧洲联盟法院厘清判定「非物质损害」的条件
2023年12月14日,欧洲联盟法院裁定在网络攻击后个人资料被滥用构成《通用数据保障条例》下的「非物质损害」。 该案件源于 2019 年保加利亚国家税务局遭网络攻击,随后网络犯罪分子公开了数以百万计人士的个人资料。保加利亚最高行政法院请求欧洲联盟法院确定判定非物质损害的条件,以及资料控制者需要在多大程度上证明已采取足够的安全措施 。
|
| 2023年12月7日 |
欧洲联盟法院就信贷评分的合法性作出裁决 2023年12月7日,欧洲联盟法院作出两项裁决以反对信贷资料机构处理资料的做法。两项裁决针对德国信贷资料机构SCHUFA根据资料当事人的个人资料而自动建立有关他未来履行还款承诺的能力的机率分数的做法,以及SCHUFA 就客户破产资料的保留期间。 德国威斯巴登行政法院要求欧洲联盟法院厘清信贷评分(即用于预测偿还贷款等未来行为的机率的数学统计方法)是否构成《通用数据保障条例》第 22 条规定的「自动化决策」,以及 SCHUFA 保留有关免除剩余债务的资料三年是否合法。
欧洲联盟法院裁定,信贷评分必须被视为「自动化个人决定」,而在原则上这是《通用数据保障条例》第 22 条所禁止的,只要第三方(包括 SCHUFA 的客户,例如银行)认为该信贷评分在批出信贷方面具有决定性作用。威斯巴登行政法院应评估与资料保护相关的德国联邦法律下是否有任何有效的例外条文适用于该依据《通用数据保障条例》下禁止的情况,而如有,《通用数据保障条例》处理资料的一般条件是否已符合。 |
| 2023年12月5日 |
欧洲联盟法院就施加及计算行政罚款作出裁决 2023年12月5日,欧洲联盟法院重申监管机构可以根据《通用数据保障条例》对资料控制者处以行政罚款的条件︰除非资料控制者是「故意地或疏忽地」违反《通用数据保障条例》,否则不应被罚款。该决定源于立陶宛和德国的案件,涉及立陶宛国家公共卫生中心 2019冠状病毒病监察应用程式处理的公民资料,以及德国一间地产公司保留租户的个人资料超过所需的时间。 立陶宛法院和德国法院要求欧洲联盟法院解释《通用数据保障条例》第 83 条有关对违规行为施加和计算行政罚款的规定。 就根据第 83 条施加行政罚款,欧洲联盟法院裁定监管机构不得因资料控制者违反《通用数据保障条例》而对资料控制者施加罚款,除非该违规行为是不当地作出,即故意或疏忽。如果资料控制者不可能不知道其行为的违规性质,则无论它是否意识到该行为违反《通用数据保障条例》,该资料控制者亦可能就该违规行为被罚款。 此外,欧洲联盟法院认为,如果资料控制者是法人,违规行为不一定是由其管理组织作出的,也不一定是该管理组织知悉的。相反,法人不但要为其代表、董事或经理作出的违规行为承担责任,亦须为在该法人业务过程中或代表其行事的任何其他人作出的违规行为负上责任。另外,施加罚款并不取决于违规行为是由已识别的自然人作出的。资料控制者也可能要为其资料处理者的操作负责,而被罚款。 就根据条例第 83 条计算行政罚款,欧洲联盟法院裁定,如果罚款对象是企业或构成企业的一部分,监管机构必须以欧盟竞争法中的「企业」概念为基础,即纵然企业在法律上由多个自然人或法人组成,该企业仍是一个经济单位。因此,在计算罚款时,监管机构必须以整个「企业」上一营业年度的全球总营业额作为基础。 有关详情,请参阅(1)欧洲联盟法院就第C-683/21号案件及第C-807/21号案件的裁决;及(2) 欧洲联盟法院于2023年12月5日发出的新闻稿。 |
| 2023年7月4日 |
欧洲联盟法院裁定国家竞争规管机构可以判定竞争案件中违反《通用数据保障条例》的行为 2023年7月4日,欧洲联盟法院裁定在滥用支配优势的调查中,(相关欧盟成员国的)竞争规管机构可能有必要审查公司的行为是否符合竞争法以外的规则,包括《通用数据保障条例》。 不过,欧洲联盟法院亦指出,竞争规管机构不会取代相关欧盟成员国的资料保障机构。事实上,在考虑是否有遵从《通用数据保障条例》时,竞争规管机构必须与资料保障机构真诚协商和合作,考虑它曾否在类似案件中作过决定,并且不得背离这些决定。 在目前关于德国联邦卡特尔办公室于2019年禁止Meta的Facebook服务在未经用户的同意下结合不同来源的用户资料进行个人化广告的案件中,欧洲联盟法院对Meta的资料处理做法作出总体评论。它指出,只有在资料处理对合约的主要事宜属客观上不可或缺时,才可以援引合约履行作为根据《通用数据保障条例》处理资料的法律基础。就这一点而言,欧洲联盟法院怀疑Meta的个人化广告是否符合准则,并将个案发回德国法院裁决。 有关判决详情,请参阅(1) 欧洲联盟法院的裁决;及(2) 欧洲联盟法院于2023年7月4日发出的新闻稿。 |
| 2023年6月22日 |
欧洲联盟法院裁定资料当事人有权查阅其个人资料曾被查看的日期和原因 2023 年 6月 22 日,欧洲联盟法院就《通用数据保障条例》第15(1)条(资料当事人的查阅权)的解释等作出裁决。案件涉及Pankki S(银行)的一名同时是其前僱员及客户的资料当事人,要求该银行告知他曾查看其客户资料的人士的身份、确实的查看日期,以及处理该些资料的目的(要求的资料)。 由于未能从该银行获得要求的资料,也未能从芬兰资料保护监察办公室寻求同等效力的命令,该资料当事人向东芬兰行政法院提起诉讼。东芬兰行政法院把案件转介至欧洲联盟法院,以澄清《通用数据保障条例》第15(1)条的解释,包括︰(i) 由于相关的处理活动在 《通用数据保障条例》生效(即2018年5月25日)之前进行,《通用数据保障条例》是否适用于该查阅要求;(ii) 该资料当事人是否有权根据《通用数据保障条例》第15(1)条获取要求的资料;及(iii) 控制者是银行,以及资料当事人是银行的客户兼僱员,在界定查阅权的范围上是否有关。 欧洲联盟法院裁定,即使相关处理是在《通用数据保障条例》生效之前进行,《通用数据保障条例》第15条适用于该条例生效后作出的查阅要求,并裁定跟查看个人资料的日期及目的有关的资料,属于资料当事人有权向控制者获取的资料。然而,《通用数据保障条例》并没有确立查阅依从控制者的指示而进行上述资料查阅的人士身份的权利,除非 (i) 有关资料是令资料当事人有效地行使《通用数据保障条例》赋予他们的权利所必需的,及(ii) 有关僱员的权利及自由已获充分考虑。最后,欧洲联盟法院裁定,资料控制者从事银行业并在受监管活动的框架内行事,而资料当事人是该资料控制者的客户兼僱员,在原则上不影响《通用数据保障条例》第15条赋予该资料当事人的权利的范围。有关判决详情,请参阅(1) 欧洲联盟法院的裁决;及(2) 欧洲联盟法院于2023年6月22日发出的新闻稿。 |
| 2023年5月4日 |
欧洲联盟法院裁定仅仅违反《通用数据保障条例》并不会引致获得赔偿的权利 2023 年 5 月 4 日,欧洲联盟法院就《通用数据保障条例》下有关非物质损失的赔偿作出裁决。案件涉及一名资料当事人投诉奥地利邮政于2017年收集有关奥地利居民政治倾向的个人资料。这些资料其后被售予不同机构,令它们得以发送有关政治选举的目标式广告。该资料当事人根据《通用数据保障条例》第82条申索1,000欧元的非物质损失赔偿。 该案件被转介至欧洲联盟法院,以澄清 (1) 如资料当事人没有因对方违反《通用数据保障条例》而受到伤害,他/她是否有权根据第82条仅因对方违反《通用数据保障条例》而获得赔偿;及(2) 非物质损害的赔偿申索是否必须达到某严重程度的门槛,而非纯粹因违反《通用数据保障条例》而引起的情感伤害便可作出赔偿申索。 欧洲联盟法院裁定第82条规定的赔偿须符合三项条件︰(1) 处理个人资料的方式违反《通用数据保障条例》;(2) 资料当事人遭受物质或非物质损害;及(3) 该项违规与所蒙受的损害之间存在因果关系。因此,并非所有违反《通用数据保障条例》的情况都会引致获得赔偿的权利。 法院亦裁定,资料当事人不一定要蒙受一定严重程度的非物质损害才享有获得赔偿的权利。《通用数据保障条例》并不包含任何此规定,如设下此限制会违反欧盟立法机构对「损害」所采用的广泛概念。 最后,法院留意到《通用数据保障条例》并不包含任何规管损害评估的规则。因此,在符合等同性及有效性的原则下,各成员国的法律体系应就拟为保障个人在《通用数据保障条例》下的权利而采取的行动订明详细的规则,尤其是订明在相关的情况下应支付的赔偿范围的准则。 欧洲联盟法院表明是次裁决确保《通用数据保障条例》为所蒙受的损害提供充分有效的赔偿。有关判决详情,请参阅(1) 欧洲联盟法院的裁决;及(2) 欧洲联盟法院于2023年5月4日发出的新闻稿。 |
| 2023年3月2日 |
欧洲联盟法院厘清在民事诉讼中呈堂包含个人资料的证据的规则 2023 年 3 月 2 日,欧洲联盟法院就 《通用数据保障条例》在民事诉讼中的披露程序的适用性作出裁决。一间建筑公司与其客户发生付款纠纷,当中的争议是为税务目的而收集的个人资料是否可以在民事诉讼中呈堂。该议题由瑞典最高法院提交欧洲联盟法院作初步裁决。 欧洲联盟法院裁定,任何个人资料的处理,包括由法院等公共机构所作出的处理,都必须基于《通用数据保障条例》第 6 条规定的法律依据而作出。欧洲联盟法院检视了《通用数据保障条例》第 6(1)(e) 条(为公共利益而作出的处理)和第 6(3) 条(欧洲联盟成员国可就为公共利益而作出的个人资料处理采取更具体的规定,前提是此更具体的法律符合《通用数据保障条例》的公共利益目标并且与所追求的公共利益相称),认为由于瑞典法律规定有义务向法院提交可被视为具有证明价值的证据,因此符合了《通用数据保障条例》第 6(3) 条的要求。 欧洲联盟法院亦裁定,该些文件的披露为《通用数据保障条例》第 6(4) 条下所允许的进一步处理,而该进一步处理如为基于国家法律并且为民主社会为了保障 《通用数据保障条例》 第 23(1) 条的目标之一而作出的必要和相称的措施便会获允许。在其决定中,欧洲联盟法院指出,该些目标包括《通用数据保障条例》第 23(1)(f) 条(保护司法独立和司法程序)和第 23(1)(j) 条(民事索偿的执行)。然而,欧洲联盟法院强调,应由转介法院检视《通用数据保障条例》 第 6(4) 条及第 23(1) 条的要求是否经已符合。 有关判决详情,请参阅欧洲联盟法院2023年3月2日的裁决。 |
| 2023年2月9日 |
欧洲联盟法院就解僱保障资料主任及利益冲突作出裁决 2023年2月9日,欧洲联盟法院就根据《通用数据保障条例》第38(3)条解僱保障资料主任的条件及第38(6)条下利益冲突的定义作出一项裁决。案件涉及一名德国企业集团的保障资料主任于2018年5月《通用数据保障条例》刚生效时遭到解僱,他同时亦是该集团的「劳资联合委员会主席」。该保障资料主任向德国法院提出法律诉讼,寻求法院宣布有关解僱无效,而该公司则援引利益冲突作为解僱的正当理由。德国联邦最高劳工法院把案件转介至欧洲联盟法院作出澄清,当中包括︰(i)第38(3)条是否禁止成员国进一步订立解僱保障资料主任的条件;及 (ii)第38(6)条所指的利益冲突在多大程度上能够成为解僱保障资料主任的合理理由。 就第38(3)条,欧洲联盟法院裁定成员国可自由「就解僱保障资料主任订立更多保护性的具体条文」,只要这些条文不会「损害实现《通用数据保障条例》的目的」。至于第38(6)条,欧洲联盟法院裁定保障资料主任应该「以独立态度履行其职责及工作」,而在保障资料主任被「分派会促使[他们]决定处理个人资料的目的及方式的工作或职责」时,才产生第38(6)条所定义的利益冲突。 有关判决详情,请参阅欧洲联盟法院2023年2月9日的裁决。 |
| 2023年1月12日 |
欧洲联盟法院裁定《通用数据保障条例》的行政和民事补救方法可同时并独立行使 2023年1月12日,欧洲联盟法院就《通用数据保障条例》的行政和民事补救方法之间的关系作出裁决。该案件涉及一名股东要求公司提供股东大会的录音。该公司仅向该股东提供了他于会议上发言的录音。该股东其后向匈牙利资料保障监管机构要求该公司提供有关录音。在匈牙利资料保障监管机构拒绝其要求后,该股东就该决定提出行政上诉,并同时于匈牙利的民事法院提出诉讼,反对该公司的决定。虽然行政上诉程序仍在进行中,但民事法院已裁定该公司侵犯了该股东查阅其个人资料的权利。布达佩斯高等法院因此将有关案件转介至欧洲联盟法院,以澄清在审视国家监管机构所作决定的合法性下,它是否受民事法院就相同事实背景及相同侵权指控的最终判决约束,以及其中一种补救措施是否优先于另一种补救措施。 在判决中,欧洲联盟法院认为《通用数据保障条例》没有规定任何优先权或专属权限或管辖权,也没有规定任何关于监管机构或法院就是否存在侵权进行的评估的排名。因此,《通用数据保障条例》规定的行政和民事补救方法可以同时并独立行使。每个成员国须确保同时并独立行使的补救方法不会影响《通用数据保障条例》的有效性及对权利的有效保护、其条款被一致地应用,以及在法庭上获得有效补救的权利。 有关判决的详情,请参阅(1) 欧洲联盟法院的裁决; 及(2) 欧洲联盟法院于2023年1月12日发出的新闻稿。 |
| 2023年1月12日 |
欧洲联盟法院确认资料当事人有权获知其个人资料已被披露或将会被披露予的特定接收者的资料 2023年1月12日,欧洲联盟法院就欧盟《通用数据保障条例》第15(1)(c)条下资料当事人查阅有关已经接收或将会接收其个人资料的接收者或接收者类别的资料的权利作出裁决。在该案件中,负责奥地利邮政服务的Österreichische Post AG,在回应一名资料当事人有关其个人资料的接收者的查阅资料要求时,仅提供了接收者类别的描述,而没有透露特定接收者的身分。奥地利最高法院将有关案件转介至欧洲联盟法院,要求就欧盟《通用数据保障条例》第15(1)(c)条作出诠释。 在判决中,欧洲联盟法院裁定,为确保欧盟《通用数据保障条例》赋予资料当事人的其他权利(包括欧盟《通用数据保障条例》第 16 条、第 17 条、第 18 条和第 21 条下的更正权、删除权、限制处理权和反对权)的有效性,资料当事人必须有权获知其个人资料已被披露或将会被披露予的特定接收者的资料。 尽管如此,欧洲联盟法院指出有关权利在特定的情况下可能会受到限制,例如无法披露特定接收者的身分,尤其是在未知他们的身分的情况下,或者资料控制者可以证明资料当事人的要求,按照欧盟《通用数据保障条例》 第 12(5) 条的含义,是明显没有根据或过度的。 有关判决的详情,请参阅(1) 欧洲联盟法院裁决; 及(2) 欧洲联盟法院于2023年1月12日发表的新闻稿。 |
| 2022年12月8日 |
欧洲联盟法院确立「删除权」(「被遗忘权」)涵盖删除明显不实资讯 2022年12月8日,欧洲联盟法院作出有关「删除权」(「被遗忘权」)的裁判。该案件中的两名投资经理要求Google移除根据他们的名字进行搜寻所显示有关批评他们投资模式的某些文章的连结。他们表示有关文章包含不实的指控。他们同时要求Google从搜寻结果中删除他们的照片缩图。Google拒绝有关要求,并声称未有察觉该些文章包含不实资讯。德国联邦最高法院将有关案件转介至欧洲联盟法院,要求就欧盟《通用数据保障条例》第17(3)(a)条有关行使删除权和言论及资讯自由权作出诠释。 在判决中,欧洲联盟法院指出保障个人资料的权利并非绝对,行使有关权利必须要考虑它在社会的功能,以及根据相称原则与其他基本权利取得平衡。虽然欧盟《通用数据保障条例》明确规定,如处理有关资料是行使言论及资讯自由权所必需的,则删除权被排除在外,但言论及资讯自由的权利并不包括发表至少有一部分(非为不重要的事实)被证实为不实的资讯。 欧洲联盟法院裁定,如果提出要求者提出相关及足够的证据证明有关资讯明显不实,搜寻引擎营运商必须要删除有关被连结的不实资料。为免加重提出要求者的举证责任,欧洲联盟法院表示,有关证明不必来自对有关网络发布者的司法判决,提出要求者只需要提供可以合理要求他/ 她试图找到的证据。 关于照片缩图的搜寻结果,欧洲联盟法院认为有关展示对资料当事人的私生活及他们的个人资料构成重大影响。因此,欧洲联盟法院需按有关照片的个别发布情况(是否在原有的文章以阐述资讯或发表意见,抑或是在其他情况发布),单独权衡各方的权利和利益。 有关判决的详情,请参阅(1) 欧洲联盟法院的裁决; 及(2) 欧洲联盟法院于2022年12月8 日发出的新闻稿。 |
B.《通用数据保障条例》下的主要发展
| 日期 | 主要发展 |
|---|---|
| 2024年1月15日 |
欧盟委员会保留所有现有的足够保障程度决定 2024 年 1月 15 日,欧盟委员会根据 1995 年《资料保障指令》和《通用数据保障条例》完成了对现有 11 项足够保障程度决定的审查和评估。 欧盟委员会在发布的报告中表示,从欧盟转移到安道尔、阿根廷、加拿大、法罗群岛、根西岛、马恩岛、以色列、泽西、新西兰、瑞士和乌拉圭的个人资料继续受到足够的资料保障措施保护。 因此,就这 11 个国家和地区所作出的足够保障程度决定会保持不变,有关资料可以继续自由流向这些司法管辖区。 该审查表明,这些国家和地区的资料保障框架与欧盟的框架进一步接轨,并加强了其管辖范围内对个人资料的保障。该审查亦显示,这11 个司法管辖区的公共机关在获取资料方面受到适当的保障,特别是出于执法或国家安全的目的。 有关该审查的详情,请参阅欧盟委员会于2024年1月15日公布的报告全文。 |
| 2023年7月10日 |
有关欧盟-美国数据私隐框架的足够保障程度决定 2023年7月10日,欧盟委员会采纳关于欧盟-美国数据私隐框架(数据私隐框架)的足够保障程度决定,作出美国会向由欧盟的资料控制者或处理者根据数据私隐框架转移至美国认证机构的个人资料提供与欧盟基本上相同的保护水平的结论。具体而言,足够保障程度决定容许此类资料转移可于无需取得任何进一步授权的情况下进行。 数据私隐框架引入了一些具约束力的新保护措施,包括︰
足够保障程度决定即时生效,而数据私隐框架会在美国机构认证后开始适用。同时,欧盟委员会将定期检讨足够保障程度决定,第一次检讨将于生效后一年内进行。 有关数据私隐框架的详情,请参阅2023年7月10日公布的欧盟-美国数据私隐框架的足够保障程度决定全文。 |
| 2022年3月25日 |
欧盟及美国之间新的跨大西洋数据私隐框架 2020年7月16日,欧洲联盟法院在Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems and intervening parties一案中推翻了欧盟-美国「私隐保护盾」 的框架(常称为「Schrems II判决」)。该框架自2016年实施以来为欧盟公司转移个人资料至美国公司的主要机制。 欧盟委员会与美国经持续讨论后,于2022年3月25日宣布双方原则上已就一个新的跨大西洋数据私隐框架达成协议( 「新框架」),以期重新建立一个从欧盟转移个人资料至美国的法律机制。 重点来说,新框架确保(i) 由美国进行的信号情报活动须在以达致合法的国家安全目标方面而言属必要及相称的;(ii) 将设立一个独立及具约束力的申诉机制,为受影响的欧盟公民制订补救措施;及(iii) 美国的情报机关将采取程序以确保能有效地监督新的私隐及公民自由标准的执行。 就下一阶段而言,欧盟委员会与美国将会继续准备双方为落实新框架所需的法律文件。 有关新框架的详情,请参阅(1) 欧盟委员会与美国有关跨大西洋数据私隐框架的联合声明;及(2) 美国白宫发出的新闻稿。该两份文件均于2022年3月25日发出。 |
| 2022年3月21日 |
适用于从英国转移个人资料的新转移文件 《通用数据保障条例》被保留为英国的当地法律,称为《英国通用数据保障条例》。《英国通用数据保障条例》第46(1)条容许在指定的情况下在国际间转移个人资料,其中包括资料输出者提供适当的保障措施(包括采纳由资讯专员发出的标准数据保障条款等)。 2022年3月21日,两项新转移文件,即由资讯专员发出的(i) 国际数据转移协议及(ii) 国际数据转移附录 (附于欧盟委员会在2021年6月就国际间转移资料采纳的标准合约条款) ,开始生效。其中,新转移文件的目的是取代英国现行的标准合约条款,即欧盟在《通用数据保障条例》生效前采纳的标准合约条款( 「旧版标准合约条款」)。 采纳国际数据转移协议及国际数据转移附录对资料转移者及资料接收者的实际影响如下:
|
| 2021年12月17日 |
有关南韩的足够保障程度决定 2021年12月17日,欧盟委员会采纳有关由欧盟转移个人资料至南韩机构的足够保障程度决定,相关个人资料受《个人资料保护法》保障,有关额外保障措施以及官方的申述 ˴ 保证和承诺反映在决定当中。 有关南韩的足够保障程度决定的详情,请参阅欧盟委员会法律事务委员Didier Reynders与南韩个人资料保护委员会主席Yoon Jong In共同发出的新闻稿。 |
| 2021年6月28日 |
有关英国的足够保障程度决定 2021年6月28日,欧盟委员会采纳两个分别根据《通用数据保障条例》及执法指令所作的有关转移个人资料至英国的足够保障程度的决定。当英国确保个人资料得到欧盟法律所保证的相等程度的保障,个人资料便可从欧盟自由流通至英国。 有关英国的足够保障程度决定的详情,请参阅欧盟委员会发出的新闻稿。 |
1 欧洲资料保障委员会于指引中胪列了五个计算行政罚款的步骤︰
(1) 识别相关的处理程序,并评估《通用数据保障条例》第83(3)条的应用;
(2) 确定进一步计算罚款的起点,方法包括︰考虑《通用数据保障条例》第83(4)-(6)条下的违规类别、违规性质及严重程度,以及企业的营业额;
(3) 衡量《通用数据保障条例》第83(2)条所列的加重处罚或减轻处罚因素;
(4) 确定罚款的法定最高金额(固定及动态最高金额)(以较高者为准);及
(5) 考虑罚款的有效性、相称性及警示性。
有关详情,请参阅该指引。