Skip to content

歐盟《通用數據保障條例》

歐盟《通用數據保障條例》

I. 歐洲聯盟(歐盟)《通用數據保障條例》

歐盟的《通用數據保障條例》已於2018年5月25日生效,取代原有為處理個人資料及有關資料自由流通的個人保障而制訂的歐盟指令 95/46/EC(歐盟指令),並且涉及新的規定和加強的權利。隨著科技發展,以至歐盟的資料保障的基本權利全球化及憲法化,《通用數據保障條例》旨在協調數碼單一市場的框架,讓個人掌握他們的資料,並制定現代化的資料保障管治。

為何《通用數據保障條例》與香港的機構/企業有關?

在香港,訂立香港法例第486章《個人資料(私隱)條例》(《私隱條例》) 是為保障個人資料方面的私隱。在草擬《私隱條例》時,曾參考經濟合作及發展組織1980年的私隱指引及歐盟指令。由於《通用數據保障條例》為以歐盟指令為本的資料保障法律帶來了重大的發展及改變,因此新的監管框架內包括了《私隱條例》未有的規定。

《通用數據保障條例》對歐盟以外的資料保障局面帶來的其中一項重大發展,是明確規定在非歐盟法域管轄區內成立的機構在特定的情況下須遵從《通用數據保障條例》的規定。由於業務或交易模式多樣化(例如網上交易),香港的機構/企業必須確定《通用數據保障條例》是否對它們適用,並緊貼新的發展。


II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款


III. 《通用數據保障條例》的相關刊物及文章


IV. 歐洲聯盟發出的指引及參考資料


V. 有關《通用數據保障條例》的重要決定及主要發展摘要




II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款

歐盟委員會採納了一套有關轉移個人資料至非歐盟地區的新版標準合約條款 (「新版標準合約條款」),有關條款已於2021年6月27日生效。由2021年9月27日起,資料輸出者及資料輸入者只可就跨境個人資料轉移簽訂採納新版標準合約條款的合約。私隱公署發佈一系列有關的常見問題資料,以介紹新版標準合約條款的實施框架和簽訂包含新版標準合約條款的跨境資料轉移協議的各合約方的責任,供公眾參考。

更多詳情,請參閲有關系列的常見問題資料:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eu_faq.pdf

請按閲覽「歐盟委員會有關國際間資料轉移的新版標準合約條款的簡介」。

請按下載「歐盟的新版標準合約條款下從歐盟轉移個人資料至非歐盟地區」網上講座的演講簡報及觀看有關影片。



III. 《通用數據保障條例》的相關刊物及文章

為了提高香港機構/企業認識《通用數據保障條例》 2016 下新制定的資料保障監管框架對它們可能帶來的影響,公署出版了以下刊物︰

  eu   小冊子:歐洲聯盟《通用數據保障條例》2016 最新資訊  
(2020年5月修訂版)


IV. 歐洲聯盟發出的指引及參考資料

歐洲資料保障委員會

更多的指引及建議可參閱︰https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en?page=0

涉及的事宜 建議/指引
行政罰款 有關根據《通用數據保障條例》計算行政罰款的第04/2022號指引1
同意 有關同意的第05/2020號指引
控制者及處理者 有關《通用數據保障條例》的控制者及處理者概念的第07/2020號指引
資料外洩事故通報
資料可攜性 有關資料可攜權的指引
貫徹資料保障的設計及預設模式 有關第25條貫徹資料保障設計及預設模式的第4/2019號指引
資料保障影響評估 有關資料保障影響評估的指引
資料當事人權利 有關資料當事人權利—查閱權的第01/2022號指引
豁免情況 有關《通用數據保障條例》第49條下的豁免情況的第2/2018號指引
資訊通訊科技
一站式機制
國際轉移及工具
限制 有關《通用數據保障條例》第23條下限制(資料當事人權利及控制者/處理者責任的範圍)的第10/2020號指引
社交媒體
地域範圍 有關《通用數據保障條例》地域範圍(第3條)的第3/2018號指引
透明度 有關第2016/679號規例下的透明度的指引


歐盟委員會

涉及的事宜 建議/指引
資料保障制度 歐盟的資料保障制度概覽
《通用數據保障條例》的規定 《通用數據保障條例》的規定簡介


V. 有關《通用數據保障條例》的重要決定及主要發展摘要

A. 根據《通用數據保障條例》作出的重要決定摘要

(I) 牽涉罰款的決定

作出決定的日期 作出決定的資料保障監管機構 罰則及違反規定
2024年7月22日 荷蘭資料保障監管機構 (The Dutch Data Protection Authority)

荷蘭資料保障監管機構就Uber違反《通用數據保障條例》的規定處以 2.9 億歐元的罰款,原因是Uber將歐洲的士司機的個人資料在未有為其提供適當保障的情況下轉移至美國。

荷蘭資料保障監管機構發現Uber收集歐洲司機的敏感資料(包括戶口資料、的士牌照、位置資料、照片、付款資料、身份證明文件、刑事和醫療資料),並將資料保存在美國的伺服器。有關資料轉移於2021年8月6日至2023年11月27日期間進行。

當時,根據歐洲聯盟法院於2020年的裁決,歐盟-美國「私隱保護盾」已被廢除,不再是跨大西洋資料轉移的基礎。即使標準合約條款仍然是個人資料轉移至歐盟以外國家的有效基礎(如實際上能保證相等程度的保障),Uber自2021年8月起已不再使用標準合約條款,並於接近2023年年底才使用接替歐盟-美國「私隱保護盾」的歐盟-美國數據私隱框架。因此,荷蘭資料保障監管機構認爲於上述期間內被轉移的個人資料沒有得到充分保障,並裁定Uber違反《通用數據保障條例》第44條。

調查期間,荷蘭資料保障監管機構與法國資料保障監管機構緊密合作,並與其他歐洲資料保障監管機構協調該決定。有關詳情,請參閲2024年8月26日荷蘭資料保障監管機構發出的新聞稿及法國資料保障監管機構發出的新聞稿

註: Uber正就荷蘭資料保障監管機構的決定提出上訴。
2024年7月16日1 荷蘭資料保障 監管機構 (The Dutch Data Protection Authority)

荷蘭資料保障監管機構就A.S. Watson Health & Beauty Continental Europe B.V. (A.S. Watson)違反《通用數據保障條例》第5(1)(a)及6條,處以60萬歐元的罰款。

荷蘭資料保障監管機構於2019年10月及11月進行的調查中發現A.S. Watson的附屬公司Kruidvat在未有事先取得用戶有效同意的情況下於其網站「Kruidvat.nl」的用戶的裝置置入cookies。該網站亦將使用cookies的設定預設為已勾選,因此,有關處理用戶個人資料取得的同意並非《通用數據保障條例》第4條所要求的「自由給予的、具體、知情及不含糊的」指示。

此外,調查又發現這些cookies曾經收集用戶的位置、他們所瀏覽的頁面、加入購物車及已購買的產品,以及曾經點擊的推薦項目等資料。荷蘭資料保障監管機構認為Kruidvat所收集的資料甚為敏感。有鑑Kruidvat網站所售賣產品的性質為保健用品,如果與透過追蹤IP地址所獲得的位置資料整合,則可以創建有關瀏覽「Kruidvat.nl」網站人士極為特定而具侵入性的用戶檔案。

有見及此,荷蘭資料保障監管機構裁定處理該網站瀏覽者的個人資料屬不合法,因此違反《通用數據保障條例》第5及6條。

2024年7月1日 挪威資料保障 監管機構 (The Norwegian Data Protection Authority)

2024年7月1日,奧斯陸地方法院維持挪威資料保障監管機構就約會應用程式Grindr未有遵從《通用數據保障條例》下的同意要求所處以的6,500萬克朗(約555萬歐元)罰款。

案件源於挪威消費者委員會於2020年作出的投訴。該委員會發現Grindr曾與多間第三方商業機構分享用戶的敏感個人資料,其中幾間機構保留與其他公司進一步分享該些資料的權利,以作目標式營銷之用。Grindr分享的資料包括用戶的全球定位系統位置、IP地址、廣告ID、年齡、性別、裝置資料及用戶在應用程式內的姓名。

法院維持挪威資料保障監管機構所作的決定,裁定Grindr聲稱已取得有關分享用戶個人資料的同意無效,原因是用戶必須同意私隱政策的全部條款才能使用應用程式,而且用戶並沒有明確地被問及是否同意將其個人資料分享予第三方作投放行為定向廣告之用。法院同時裁定Grindr未有適當地向用戶傳達分享個人資料的資訊。因此,Grindr聲稱已取得的同意未能符合《通用數據保障條例》第4條對有效「同意」的要求。

再者,法院確認挪威資料保障監管機構的調查結果,指一個人作為Grindr(其市場定位特別以LGBTQ+社群為目標)註冊用戶的資料應被視為與其性取向有關的個人資料,因此,該些資料符合《通用數據保障條例》第9(1)條所定義的特別類別個人資料。由於Grindr聲稱已取得的同意被裁定無效,Grindr與他人分享上述個人資料違反《通用數據保障條例》。有鑑《通用數據保障條例》第9條較嚴格的同意要求,法院認為Grindr未有根據《通用數據保障條例》第9(2)(a)條取得「明確同意」。

在釐定罰款金額時,法院已考慮違反《通用數據保障條例》的嚴重程度、Grindr的規模及財務狀況,以及Grindr已採取的補救措施。

2023年12月27日 法國資料保障監管機構 (The French Data Protection Authority)

法國資料保障監管機構就管理Amazon集團旗下在法國的大型倉庫的 Amazon France Logistique (Amazon) 在利用掃瞄器監控員工活動和表現及處理影像監控方面違反《通用數據保障條例》的行為,處以 3,200 萬歐元的罰款。

法國資料保障監管機構裁定,就向員工提供掃描器以即時記錄分配給他們的工作的執行情況,未能遵從收集最少資料的原則(違反條例第5(1)(c) 條);(ii) Amazon 使用過度侵擾性及非法的指標,包括能夠持續監控員工掃描器任何中斷情況的指標,有機會導致員工需為每次休息或中斷提供理由,因而未能遵從合法處理的原則(違反條例第6條);而且(iii) Amazon 未能確保在以掃瞄器收集或處理臨時員工的個人資料之前向有關員工提供其私隱政策(違反條例第 12 條及第 13 條)。

至於處理影像監控方面,法國資料保障監管機構裁定Amazon (i) 未有以告示、其他媒介或文件形式妥善地通知員工及外部訪客有關影像監控的安排(違反條例第 12 條及第 13 條),及(ii) 對個人資料的保安措施不足,包括使用低強度的密碼,及容許多個用戶使用同一登入帳號(違反條例第 32 條)。

有關詳情,請參閱法國資料保障監管機構於2024年1月23日發出的新聞稿決定
2023年12月11日 荷蘭資料保障監管機構 (The Dutch Data Protection Authority)與法國資料保障監管機構 (The French Data Protection Authority)

荷蘭資料保障監管機構與法國資料保障監管機構聯合就 Uber Technologies, Inc. and Uber B.V. (Uber) 違反《通用數據保障條例》的規定處以 1,000 萬歐元的罰款,原因包括:(i) Uber 未能以清晰及容易存取的方式向司機提供所要求的資料,並僅以英文提供有關資料(違反條例第12(1) 條);(ii) 司機未能簡易地在應用程式內獲取行使其要求資料的權利的網上表格,因為該表格位於應用程式的深處,並分佈在各個選單中,惟該表格本可放置於更合乎邏輯的位置,(違反條例第 12(2) 條); (iii) Uber在其私隱聲明中提供有關轉移資料至歐盟境外的資訊及相關具體保安措施並不完整(違反條例第13(1)(f) 條及第15(1)(d)條),而有關其資料保留期限的資訊亦過於籠統(違反條例第13(2)(a) 條、第15(1)(a) 及第15(1) (d)條);及(iv) Uber 未有在其私隱聲明中明確地提及資料可攜權(違反條例第13(2)(b) 條)。

在決定罰款金額時,荷蘭資料保障監管機構考慮了該公司的規模以及違規行為的嚴重程度。在違規行為發生時,歐洲約有 12 萬名 Uber 司機。

有關詳情,請參閱2024年1月31日荷蘭資料保障監管機構發出的新聞稿及法國資料保障監管機構發出的新聞稿
2023年9月1日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就TikTok Technology Limited (TikTok)於2020年7月31日至2020年12月31日期間違反《通用數據保障條例》的規定,對TikTok作出譴責並處以3.45億歐元的罰款。愛爾蘭資料保障監管機構認為 (i) TikTok把兒童用戶帳戶的個人資料設定預設為公開,令任何人(包括TikTok用戶及非TikTok用戶)均可以查看兒童用戶發布的內容(違反條例第25(1), 25(2), 5(1)(c)及24(1)條);(ii) TikTok 沒有實施適當的技術和機構性措施來減低對使用該平台的 13 歲以下兒童造成的風險(違反條例第24(1) 條); (iii) 「家庭配對」設定允許非兒童用戶(無法驗證是否父母或監護人)連結兒童用戶帳戶並開啟年滿16歲的兒童用戶的私訊功能,對兒童用戶構成了嚴重風險(違反條例第5(1)(f) 及25(1) 條); (iv) TikTok 未能向兒童用戶提供足夠及具透明度的資訊(即個人資料接收者的類別、預設公開處理的範圍和後果)(違反條例第12(1)及13(1)(e) 條);及 ,根據歐洲資料保障委員會於2023年8月發佈具有約束力的決定,(v) TikTok實施的「暗黑模式」促使用戶在登記過程和發布影片時選擇更多侵犯私隱的選項(違反條例第5(1)(a)條)。除了發出譴責和處以 3.45 億歐元的罰款外,愛爾蘭資料保障監管機構亦指令 TikTok 須於三個月內使其資料處理符合規定。有關詳情,請參閱愛爾蘭資料保障監管機構作出的決定及於2023年9月15日發出的新聞稿
2023年6月15日 法國資料保障監管機構 (The French Data Protection Authority) 法國資料保障監管機構就Criteo (該公司專門從事「行為再定向 (behaviorial retargeting)」,通過cookie收集網上用戶的瀏覽資料,以向用戶顯示個人化的廣告 )違反《通用數據保障條例》的行為處以4,000萬歐元的罰款。Criteo被裁定 (i) 未能核實並證明有關資料處理經相關網上用戶同意(違反條例第7.1條);(ii) 未能提供清晰的私隱政策,告知用戶哪些個人資料被使用及如何使用(違反第條例12及13條);(iii) 未能尊重用戶的查閱權利,只容許用戶查閱部分個人資料(違反條例第15.1條);(iv) 未能遵從用戶撤回同意及刪除資料的權利(違反條例第7.3及17.1條);及(v) 未能在Criteo與作為聯合控制者的合作夥伴所簽訂的協議中,按《通用數據保障條例》的規定具體說明控制者的一些各自的責任(違反條例第26條)。有關詳情,請參閱法國資料保障監管機構於2023年6月22日發出的新聞稿
2023年5月12日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) Meta Platforms Ireland Limited (Meta) 的Facebook服務將個人資料從歐盟轉移至美國,違反《通用數據保障條例》第46(1)條的規定,愛爾蘭資料保障監管機構對Meta處以12億歐元的罰款,並命令它作出糾正措施。愛爾蘭資料保障監管機構認為,雖然Meta是依據歐盟委員會於2021年採納的標準合約條款作出有關轉移,並實施補充措施以應對歐洲聯盟法院在Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18)一案就美國監視法而提出的關注,但有關的資料轉移安排在這情況下並沒有對個人資料提供適當的保障。因此,Meta違反了《通用數據保障條例》第46(1)條的規定。

Meta (i) 被指令在五個月內暫停將個人資料轉移至美國;(ii) 被罰款12億歐元;及(iii) 被指令在六個月內使其資料處理業務符合《通用數據保障條例》第V章的規定。有關詳情,請參閱愛爾蘭資料保障監管機構於2023年5月12日作出的決定及於2023年5月22日發出的新聞稿
2023年4月4日 英國資料保障監管機構 (The Information Commissioner’s Office) 英國資料保障監管機構就 TikTok Information Technologies UK Limited 和 TikTok Inc (TikTok)在 2018 年 5 月至 2020 年 7 月期間違反 《英國通用數據保障條例》的行為處以 12,700,000 英鎊的罰款。英國資料保障監管機構裁定TikTok (i) 向13 歲以下的英國兒童提供服務並在未得其父母或照顧者同意或授權下處理兒童的個人資料(違反條例第 6 (1)條和第 8 條); (ii) 未能以易於理解的方式向用戶提供有關收集、使用和共享用戶資料的合適資訊,令用戶,尤其是兒童,不太可能就是否要參與及如何參與作出知情的選擇(違反條例第 12 條);及 (iii) 未能確保以合法、公平和具透明度的方式處理英國用戶的個人資料(違反條例第 5(1)(a) 條)。有關詳情,請參閱英國資料保障監管機構於2023年4月4日發出的新聞文章
2023年1月12日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就WhatsApp Ireland Limited (WhatsApp) 的服務違反《通用數據保障條例》處以550萬歐元的罰款。愛爾蘭資料保障監管機構裁定Whatsapp不能以合約作為其處理用戶個人資料以改善服務和保安的法律基礎,因而違反了《通用數據保障條例》第6條。WhatsApp亦因為未有明確向用戶指出其處理個人資料的法律基礎而違反了公平原則及有關透明度的責任。WhatsApp被指令在六個月內使其資料處理操作符合規定。

該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發布的。有關詳情,請參閲愛爾蘭資料保障監管機構於2023年1月12日發出的決定及2023年1月19日發出的新聞稿
2023年1月4日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就Meta Platforms Ireland Limited (Meta)的Facebook 和 Instagram 服務違反《通用數據保障條例》,分別處以 2.1 億歐元和 1.8 億歐元的罰款。愛爾蘭資料保障監管機構裁定Meta不能以其與Facebook和Instagram用戶的合約作為法律基礎,為用戶提供個人化服務(包括根據用戶的線上活動向用戶投放定向廣告),因而違反了《通用數據保障條例》第6條。Meta亦因為未有明確向用戶指出其處理個人資料的法律基礎而違反了公平原則及有關透明度的責任。Meta被指令在三個月內使其資料處理業務符合規定。

該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定(FacebookInstagram) 及於2023年1月4日發出的新聞稿
2022年11月25日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就早前Facebook用戶個人資料洩漏至互聯網的事件進行調查,裁定Meta Platforms Ireland Limited (Meta) 違反《通用數據保障條例》下有關貫徹資料保障的設計及預設模式的規定,處以2.65億歐元的罰款,及要求Meta作出一系列的糾正措施。有關決定的詳情,請參閲愛爾蘭資料保障監管機構於2022年11月28日發出的新聞稿
2022年11月10日 法國資料保障監管機構 (The French Data Protection Authority)
 
法國資料保障監管機構對提供IP網絡語音和即時通訊服務的 Discord Inc. (Discord) 處以 80萬歐元的罰款,因為Discord未有制定書面資料保留政策,且未能向用戶提供關於資料保留時限的足夠信息,包括沒有列明具體期限或決定保留時限的準則。調查亦發現Discord未有告知用戶在關閉應用程式的視窗後,語音頻道與第三方的連接及傳輸仍會在背景運行,而Discord的密碼管理政策的強度亦有不足。 另外,Discord 未有進行資料保障影響評估。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 11 月17 日發出的新聞稿
2022年11月2日 葡萄牙資料保障監管機構 (The Portuguese Data Protection Authority) 葡萄牙資料保障監管機構就葡萄牙國家統計局在進行2021年人口普查期間違反《通用數據保障條例》的多項規定,處以430萬歐元的罰款。葡萄牙資料保障監管機構經調查發現,人口普查中有關健康和宗教的問題在法律上應定為可選答題目,但這些問題沒有被適當地標記為可選答題目,導致受訪者無法有自由意志地自主決定是否回應收集特別類別個人資料的問題。另外,葡萄牙資料保障監管機構亦裁定國家統計局沒有提供任何有關資料處理的資訊、在選擇資料處理者時違反了盡職調查的責任、違反了有關國際資料轉移的規定,亦沒有對處理過程進行資料保障影響評估。有關決定的詳情,請參閲歐洲資料保障委員會發出的決定摘要
2022年10月17日 法國資料保障監管機構 (The French Data Protection Authority) 法國資料保障監管機構就Clearview AI Inc. (Clearview)在沒有法律依據的情況下收集及使用生物辨識資料,非法處理個人數據,並未能以有效和令人滿意的方式考慮資料當事人的權利,特別是在處理資料當事人的查閱資料要求方面,而處以2000萬歐元罰款。Clearview 於調查期間亦沒有充分與法國資料保障監管機構合作。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 10 月 20 日發出的新聞稿
2022年10月6日 意大利資料保障監管機構 (The Italian Data Protection Authority) 意大利資料保障監管機構就社交平台 Clubhouse 的母公司 Alpha Exploration Co. Inc. 違反《通用數據保障條例》的多項規定,包括在沒有有效的法律依據的情況下以營銷、錄製、與第三方共享音頻、對用戶作出分析和共享帳戶信息為目的進行資料處理活動、未能向用戶提供有關資料處理的信息,以及未能向用戶提供有關個人資料保留期限的足夠信息,而處以 200 萬歐元的罰款並發出多項合規命令。有關決定的詳情,請參閲意大利資料保障監管機構於2022年12月5日發出的新聞稿
2022年10月4日 英國資料保障監管機構 (The Information Commissioner’s Office) 英國資料保障監管機構就Easylife Ltd未經同意而使用 145,400名客戶的個人資料以預測他們的健康狀況並向他們推銷相關的健康產品,而處以135萬英鎊罰款。另外,Easylife Ltd因撥打 1,345,732 個不願接收的促銷電話而被額外罰款 130,000 英鎊。有關決定的詳情,請參閲英國資料保障監管機構於2022年10月6日發出的新聞稿
2022年9月2日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構早前就Meta旗下社交平台Instagram (Meta Platforms Ireland Limited (Meta IE))有關兒童用戶(13 至 17 歲的用戶)個人資料的處理進行調查。調查顯示平台允許兒童用戶使用商業帳號,以致其電郵地址及/或電話號碼被公開展示;同時,平台的用戶註冊系統將兒童用戶的帳號預設為「公開」。Instagram因而被愛爾蘭資料保障監管機構處以4.05億歐元罰款,並須作出一系列的糾正措施。

該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及於2022年9月15日發出的新聞稿
2022年7月13日 希臘資料保障監管機構 (The Hellenic Data Protection Authority of Greece) 希臘資料保障監管機構就人臉識別技術公司Clearview AI Inc. (Clearview)違反有關合法性及透明度的原則而處以2,000萬歐元罰款、禁止Clearview以人臉識別服務的方式收集和處理於希臘境內的資料當事人的個人資料,並命令Clearview刪除以有關方式收集及處理的個人資料。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要
2022年5月18日 英國資料保障監管機構 (The Information Commissioner’s Office) 英國資料保障監管機構就Clearview AI Inc. (Clearview) 在互聯網及社交平台收集英國及其他地區人士的圖像並用於人臉識別而處以7,552,800英鎊罰款。同時,英國資料保障監管機構命令Clearview停止收集及使用網上公開的英國居民個人資料,並刪除其系統中的英國居民資料。有關決定的詳情, 請參閲英國資料保障監管機構 於2022年5月23日發出的新聞稿
2022年3月15日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就Meta Platforms (前稱 Facebook)違反《通用數據保障條例》第5(2)條(有關目的限制原則)而處以1,700萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要 
2022年2月10日 意大利資料保障監管機構 (The Italian Data Protection Authority) 意大利資料保障監管機構就Clearview AI Inc. 在欠缺適當法律基礎下不合法地處理個人資料及違反有關透明度、目的限制及儲存限制等原則而處以2,000萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要
2022年1月14日 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) DPG Media Magazines因不必要地索取身分証明文件副本而被荷蘭資料保障監管機構處以52.5萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要
2021年12月22日 奧地利資料保障監管機構 (The Austrian Data Protection Authority) 奧地利資料保障監管機構裁定奧地利一名網站營運者在網站内使用 Google Analytics,轉移個人資料至美國的 Google LLC,違反《通用數據保障條例》第44條。 奧地利資料保障監管機構認爲該網站營運者和 Google LLC之間簽訂的標準合約條款未有提供足夠程度的保障予相關個人資料。有關決定的詳情, 請參閲奧地利資料保障監管機構發出的決定摘要
2021年8月20日 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) 愛爾蘭資料保障監管機構就 WhatsApp Ireland Ltd.在提供服務資訊予歐洲用家方面違反透明度原則等作出最後決定,向 WhatsApp Ireland Ltd.處以2億2,500萬歐元罰款,並對它作出譴責及命令它執行一連串指定的補救措施,以確保其處理活動符合規定。該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及於2021年9月2日發出的新聞稿

註: WhatsApp Ireland Ltd.正就愛爾蘭資料保障監管機構的決定提出上訴。
2021年6月21日 瑞典資料保障監管機構 (The Swedish Authority for Privacy Protection) 瑞典資料保障監管機構就於斯德哥爾摩營運公共運輸的 SL在公共交通工具上不合法使用隨身攝像機而處以1,600萬瑞典克朗罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要
2021年4月29日 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) 荷蘭資料保障監管機構就市政府採用無線追蹤技術(能夠追蹤在市中心購物 ˴ 居住或工作的人士)而處以60萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要

1 法院於2024年5月2日作出實質裁決,並於2024年7月16日公布罰款金額。


(II) 《通用數據保障條例》的詮釋

日期 裁決
2024年6月20日 歐洲聯盟法院釐清有關個人身份被盜而導致的非物質損害賠償的規則
 
2024年6月20日,歐洲聯盟法院就《通用數據保障條例》第82條下因個人身份被盜而造成的非物質損失賠償作出初步裁決。
 
該案件源於德國慕尼黑地方法院對兩名人士提起的訴訟而提交的初步裁決請求。該兩名申請人在一間名為 Scalable Capital 的德國公司開設賬戶,並各自在賬戶中輸入個人資料。該資料其後被不明第三方竊取,但並無跡象顯示資料被用作欺詐用途。申請人就該資料被盜而導致的非物質損害要求賠償。
 
該案件被轉介至歐洲聯盟法院,以釐清以下問題 :
(1)《通用數據保障條例》第82條下的賠償是否純屬補償性質,抑或同時具有懲罰性及補償性;
(2) 在釐定賠償金額時,是否必須考慮違反《通用數據保障條例》的嚴重程度和是否蓄意違反,以及考慮非物質損害本質上較身體傷害為輕是否恰當;
(3) 當損害並非嚴重時,可否判予最低限度的賠償;及
(4) 就「身份盜竊」的非物質損害賠償而言,是否須證明身份確實有被濫用。
 
就問題(1)和(2),歐洲聯盟法院強調《通用數據保障條例》第82條的補償性質與《通用數據保障條例》第83條和第84條的懲罰性質之間的區別,並申明第82條下的賠償並非具懲罰性或阻嚇性,而是屬純補償性質,旨在全面及有效地補償因違反《通用數據保障條例》而實際遭受的損害。因此,法院毋須考慮違反的嚴重程度及是否蓄意違反。此外,非物質損害本質上不比身體傷害為輕,法院在釐定非物質損害的補償金額時考慮這點是恰當的。
 
就問題(3),歐洲聯盟法院認為《通用數據保障條例》第82(1)條並無就資料當事人所聲稱的損害設置「最低限度」的門檻,即使損害並非嚴重,只要足以補償所受損害,仍可予以判給最低限度的賠償。
 
就問題(4),歐洲聯盟法院裁定,當個人資料被盜的人的身份實際上被第三方濫用時,才會構成身份盜竊,並可獲非物質損害賠償。不過,法院也強調個人資料被盜所造成的非物質損害賠償,並不限於因資料被盜而導致身份盜竊或欺詐的情況。
 
有關判決詳情,請參閱歐洲聯盟法院 2024 年 6 月 20 日的裁決
2024年4月11日

歐洲聯盟法院就《通用數據保障條例》違反個案中有關非物質損害的獲償權利發表初步裁決

2024年4月11日,歐洲聯盟法院就《通用數據保障條例》下有關非物質損害的獲償權利發表初步裁決。

一名人士(資料當事人)對一間公司(資料控制者)提起訴訟,指儘管他向公司提出反對並撤回接收促銷資訊的同意,公司仍然使用和處理其個人資料。資料當事人依據《通用數據保障條例》第82(1)條就失去對其個人資料的控制權等事宜提出索償。德國薩爾布呂肯地區法院將有關非物質損害索償門檻、資料控制者免除責任以及釐定賠償金額的問題轉介至歐洲聯盟法院作初步裁決。

在裁決中,歐洲聯盟法院強調,《通用數據保障條例》第82(1)條規定的賠償必須滿足三個條件:(i)資料當事人遭受物質或非物質損害;(ii)違反《通用數據保障條例》;以及 (iii)該違規行為與損害之間存在因果關係。因此歐洲聯盟法院認為,即使條例被違反時會賦予資料當事人權利,僅違反該條例的規定本身並不足以構成《通用數據保障條例》第82(1)條含義內的「非物質損害」,不論資料當事人所遭受的損害嚴重程度如何。

歐洲聯盟法院亦裁定,如果個人資料外洩事件是由資料控制者授權下行事的人導致,該資料控制者必須證明其任何違反《通用數據保障條例》第 5 條、第 24 條和第 32 條下資料保障義務的行為與資料當事人蒙受的損害不存在因果關係,才可依據《通用數據保障條例》第82(3)條免除責任,僅聲稱有關損害是由在其授權下行事的人的疏忽或過失所導致是不足夠的。

在釐定非物質損害賠償金額方面,鑒於《通用數據保障條例》第82條和第83條的功能並不相同,前者屬補償性質,而後者則屬懲罰性質,歐洲聯盟法院認為 (1)《通用數據保障條例》第83條下有關行政罰款金額的標準不能用於評估《通用數據保障條例》第82條下的賠償金額,以及 (2)沒有必要考慮同一處理操作中涉及多項《通用數據保障條例》違反影響索償人。

有關詳情,請參閱歐洲聯盟法院於2024年4月11日的裁決

2024年3月7日 歐洲聯盟法院在一宗涉及廣告科技的案件澄清了《通用數據保障條例》下「個人資料」和「共同控制者」的含義

2024年3月7日,歐洲聯盟法院在一宗涉及廣告科技的案件中,就《通用數據保障條例》下「個人資料」和「共同控制者」的解釋作出裁決。

代表數碼廣告及營銷行業的非牟利組織IAB Europe就處理用戶資料以提供目標式廣告制定了透明度及同意框架(「該框架」)。該框架下有一套標準機制,用於請求、儲存和共享用戶對將其資料提供予目標式廣告的偏好和同意(或反對)。而該些偏好和同意則儲存在由字母及符號組成的字串中,稱為「TC 字串」。

2022年,比利時資料保障監管機構裁定該框架並不符合《通用數據保障條例》的規定,對IAB Europe施行糾正措施及判處行政罰款。IAB Europe向布魯塞爾上訴法院提出上訴,指TC字串不構成個人資料及IAB Europe並非資料控制者。布魯塞爾上訴法院將個案轉介歐洲聯盟法院作初步裁決。

就個人資料的問題,歐洲聯盟法院援引《通用數據保障條例》敘文第26條,指並沒有要求所有可識別資料當事人的資訊均須掌握在一個人手中才可被視為《通用數據保障條例》第4(1)條下的個人資料。歐洲聯盟法院亦指出,TC字串可與其他資料例如IP地址相結合以識別有關用戶。因此,歐洲聯盟法院裁定TC字串構成《通用數據保障條例》第4(1)條下的個人資料。即使IAB Europe無法自行取覽其成員在該框架下處理的資料並進行有關結合,也不會排除TC字串被歸類為個人資料。

就共同控制者的問題,歐洲聯盟法院裁定IAB Europe 能被視為《通用數據保障條例》第4(7)條和26(1)條下的「共同控制者」,因為IAB Europe為達到其組織的目的,對個人資料的處理操作施加影響,並與其成員共同決定該處理操作的目的和方式。儘管如此,歐洲聯盟法院澄清,IAB Europe所共同控制的範圍並不會延伸至該組織沒有參與的後續個人資料處理。

歐洲聯盟法院重申,共同控制不一定意味著所有共同控制個人資料處理的控制者均須承擔相同的責任,各控制者的責任視乎特定個案的所有相關情況而定。

有關詳情,請參閱(1)歐洲聯盟法院的裁決;及(2)歐洲聯盟法院於2024年3月7日發出的新聞稿
 
2024年1月30日 歐洲聯盟法院裁定警方不應無限期儲存生物辨識資料

2024年1月30日,歐洲聯盟法院裁定,執法機構無限期保留(即除有關人士的死亡以外沒有任何時限)被刑事定罪人士的生物辨識資料和基因數據違反了歐盟法律。該案涉及一名被定罪及後來在法律上得已自新的人士要求從警方記錄中刪除其個人資料。

歐洲聯盟法院裁定,即使被定罪人士的個人資料的儲存屬一般性和不加區分,以及因應防止、偵測、調查及檢控刑事罪行或執行刑罰而屬於合理,國家當局也須規定資料控制者定期檢視是否仍然有必要保留有關資料,並授予資料當事人可要求刪除不再必要保留的資料的權利。

歐洲聯盟法院亦裁定,當國家當局有責任就資料儲存期限設定適當的時限,當局應考慮所犯罪行的性質和嚴重性,以及被定罪人士帶來的風險等相關情況,該時限才能被視為「適當」。

有關判決詳情,請參閱(1)歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2024年1月30日發出的新聞稿
2023年12月14日

歐洲聯盟法院釐清判定「非物質損害」的條件

2023年12月14日,歐洲聯盟法院裁定在網絡攻擊後個人資料被濫用構成《通用數據保障條例》下的「非物質損害」。 該案件源於 2019 年保加利亞國家稅務局遭網絡攻擊,隨後網絡犯罪分子公開了數以百萬計人士的個人資料。保加利亞最高行政法院請求歐洲聯盟法院確定判定非物質損害的條件,以及資料控制者需要在多大程度上證明已採取足夠的安全措施 。
歐洲聯盟法院在判決書中對所提及的問題回答如下︰

  • 在個人資料被未經授權披露或未經授權存取的情況下,法院必須具體地評估資料控制者所實施的保護措施的適當性,而不能單憑有關未經授權披露或未經授權存取的情況以推斷資料控制者所實施的保護措施不適當。
  • 資料控制者需要證明其所實施的保護措施是適當的。
  • 如果個人資料的未經授權披露或未經授權存取是由「第三方」(例如網絡犯罪分子)作出,除非資料控制者能夠證明它對資料當事人蒙受的損害完全沒有任何責任,否則資料控制者或須對該些資料當事人作出賠償。
  • 資料當事人對其個人資料就第三方違反《通用數據保障條例》 而可能被濫用的擔憂,本身可構成「非物質損害」。
有關詳情,請參閱(1)歐洲聯盟法院的裁決;及(2)歐洲聯盟法院於2023年12月14日發出的新聞稿
2023年12月7日

歐洲聯盟法院就信貸評分的合法性作出裁決

2023年12月7日,歐洲聯盟法院作出兩項裁決以反對信貸資料機構處理資料的做法。兩項裁決針對德國信貸資料機構SCHUFA根據資料當事人的個人資料而自動建立有關他未來履行還款承諾的能力的機率分數的做法,以及SCHUFA 就客戶破產資料的保留期間。

德國威斯巴登行政法院要求歐洲聯盟法院釐清信貸評分(即用於預測償還貸款等未來行為的機率的數學統計方法)是否構成《通用數據保障條例》第 22 條規定的「自動化決策」,以及 SCHUFA 保留有關免除剩餘債務的資料三年是否合法。

歐洲聯盟法院裁定,信貸評分必須被視為「自動化個人決定」,而在原則上這是《通用數據保障條例》第 22 條所禁止的,只要第三方(包括 SCHUFA 的客戶,例如銀行)認為該信貸評分在批出信貸方面具有決定性作用。威斯巴登行政法院應評估與資料保護相關的德國聯邦法律下是否有任何有效的例外條文適用於該依據《通用數據保障條例》下禁止的情況,而如有,《通用數據保障條例》處理資料的一般條件是否已符合。

關於保留債務清償資料方面,歐洲聯盟法院認為私人機構保留此類資料的時間超過德國法律對公共破產登記冊規定的六個月,違反了《通用數據保障條例》。由於保留有關資料超過六個月被視為不合法,資料當事人有權要求刪除資料,而機構則有責任盡快刪除資料。即使儲存有關資料六個月是合法的,資料當事人仍然有權反對機構處理其資料,並有權要求機構刪除資料,除非機構能夠提出更優先的合法理由。

有關詳情,請參閱(1)歐洲聯盟法院於就第C-634/21號案件及第C‑26/22 及C‑64/22號聯合案件的裁決;及(2)歐洲聯盟法院2023年12月7日發出的新聞稿
2023年12月5日

歐洲聯盟法院就施加及計算行政罰款作出裁

2023年12月5日,歐洲聯盟法院重申監管機構可以根據《通用數據保障條例》對資料控制者處以行政罰款的條件︰除非資料控制者是「故意地或疏忽地」違反《通用數據保障條例》,否則不應被罰款。該決定源於立陶宛和德國的案件,涉及立陶宛國家公共衛生中心 2019冠狀病毒病監察應用程式處理的公民資料,以及德國一間地產公司保留租戶的個人資料超過所需的時間。

立陶宛法院和德國法院要求歐洲聯盟法院解釋《通用數據保障條例》第 83 條有關對違規行為施加和計算行政罰款的規定。

就根據第 83 條施加行政罰款,歐洲聯盟法院裁定監管機構不得因資料控制者違反《通用數據保障條例》而對資料控制者施加罰款,除非該違規行為是不當地作出,即故意或疏忽。如果資料控制者不可能不知道其行為的違規性質,則無論它是否意識到該行為違反《通用數據保障條例》,該資料控制者亦可能就該違規行為被罰款。

此外,歐洲聯盟法院認為,如果資料控制者是法人,違規行為不一定是由其管理組織作出的,也不一定是該管理組織知悉的。相反,法人不但要為其代表、董事或經理作出的違規行為承擔責任,亦須為在該法人業務過程中或代表其行事的任何其他人作出的違規行為負上責任。另外,施加罰款並不取決於違規行為是由已識別的自然人作出的。資料控制者也可能要為其資料處理者的操作負責,而被罰款。

就根據條例第 83 條計算行政罰款,歐洲聯盟法院裁定,如果罰款對象是企業或構成企業的一部分,監管機構必須以歐盟競爭法中的「企業」概念為基礎,即縱然企業在法律上由多個自然人或法人組成,該企業仍是一個經濟單位。因此,在計算罰款時,監管機構必須以整個「企業」上一營業年度的全球總營業額作為基礎。

有關詳情,請參閱(1)歐洲聯盟法院就第C-683/21號案件及第C-807/21號案件的裁決;及(2) 歐洲聯盟法院於2023年12月5日發出的新聞稿
2023年7月4日 歐洲聯盟法院裁定國家競爭規管機構可以判定競爭案件中違反《通用數據保障條例》的行為

2023年7月4日,歐洲聯盟法院裁定在濫用支配優勢的調查中,(相關歐盟成員國的)競爭規管機構可能有必要審查公司的行為是否符合競爭法以外的規則,包括《通用數據保障條例》。

不過,歐洲聯盟法院亦指出,競爭規管機構不會取代相關歐盟成員國的資料保障機構。事實上,在考慮是否有遵從《通用數據保障條例》時,競爭規管機構必須與資料保障機構真誠協商和合作,考慮它曾否在類似案件中作過決定,並且不得背離這些決定。

在目前關於德國聯邦卡特爾辦公室於2019年禁止Meta的Facebook服務在未經用戶的同意下結合不同來源的用戶資料進行個人化廣告的案件中,歐洲聯盟法院對Meta的資料處理做法作出總體評論。它指出,只有在資料處理對合約的主要事宜屬客觀上不可或缺時,才可以援引合約履行作為根據《通用數據保障條例》處理資料的法律基礎。就這一點而言,歐洲聯盟法院懷疑Meta的個人化廣告是否符合準則,並將個案發回德國法院裁決。

有關判決詳情,請參閱(1) 歐洲聯盟法院裁決;及(2) 歐洲聯盟法院於202374日發出的新聞稿
2023年6月22日 歐洲聯盟法院裁定資料當事人有權查閱其個人資料曾被查看的日期和原因

2023 年 6月 22 日,歐洲聯盟法院就《通用數據保障條例》第15(1)條(資料當事人的查閱權)的解釋等作出裁決。案件涉及Pankki S(銀行)的一名同時是其前僱員及客戶的資料當事人,要求該銀行告知他曾查看其客戶資料的人士的身份、確實的查看日期,以及處理該些資料的目的(要求的資料)。

由於未能從該銀行獲得要求的資料,也未能從芬蘭資料保護監察辦公室尋求同等效力的命令,該資料當事人向東芬蘭行政法院提起訴訟。東芬蘭行政法院把案件轉介至歐洲聯盟法院,以澄清《通用數據保障條例》第15(1)條的解釋,包括︰(i) 由於相關的處理活動在 《通用數據保障條例》生效(即2018年5月25日)之前進行,《通用數據保障條例》是否適用於該查閱要求;(ii) 該資料當事人是否有權根據《通用數據保障條例》第15(1)條獲取要求的資料;及(iii) 控制者是銀行,以及資料當事人是銀行的客戶兼僱員,在界定查閱權的範圍上是否有關。

歐洲聯盟法院裁定,即使相關處理是在《通用數據保障條例》生效之前進行,《通用數據保障條例》第15條適用於該條例生效後作出的查閱要求,並裁定跟查看個人資料的日期及目的有關的資料,屬於資料當事人有權向控制者獲取的資料。然而,《通用數據保障條例》並沒有確立查閱依從控制者的指示而進行上述資料查閱的人士身份的權利,除非 (i) 有關資料是令資料當事人有效地行使《通用數據保障條例》賦予他們的權利所必需的,及(ii) 有關僱員的權利及自由已獲充分考慮。最後,歐洲聯盟法院裁定,資料控制者從事銀行業並在受監管活動的框架內行事,而資料當事人是該資料控制者的客戶兼僱員,在原則上不影響《通用數據保障條例》第15條賦予該資料當事人的權利的範圍。有關判決詳情,請參閱(1) 歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2023年6月22日發出的新聞稿
 
2023年5月4日 歐洲聯盟法院裁定僅僅違反《通用數據保障條例》並不會引致獲得賠償的權利

2023 年 5 月 4 日,歐洲聯盟法院就《通用數據保障條例》下有關非物質損失的賠償作出裁決。案件涉及一名資料當事人投訴奧地利郵政於2017年收集有關奧地利居民政治傾向的個人資料。這些資料其後被售予不同機構,令它們得以發送有關政治選舉的目標式廣告。該資料當事人根據《通用數據保障條例》第82條申索1,000歐元的非物質損失賠償。

該案件被轉介至歐洲聯盟法院,以澄清 (1) 如資料當事人沒有因對方違反《通用數據保障條例》而受到傷害,他/她是否有權根據第82條僅因對方違反《通用數據保障條例》而獲得賠償;及(2) 非物質損害的賠償申索是否必須達到某嚴重程度的門檻,而非純粹因違反《通用數據保障條例》而引起的情感傷害便可作出賠償申索。

歐洲聯盟法院裁定第82條規定的賠償須符合三項條件︰(1) 處理個人資料的方式違反《通用數據保障條例》;(2) 資料當事人遭受物質或非物質損害;及(3) 該項違規與所蒙受的損害之間存在因果關係。因此,並非所有違反《通用數據保障條例》的情況都會引致獲得賠償的權利。

法院亦裁定,資料當事人不一定要蒙受一定嚴重程度的非物質損害才享有獲得賠償的權利。《通用數據保障條例》並不包含任何此規定,如設下此限制會違反歐盟立法機構對「損害」所採用的廣泛概念。

最後,法院留意到《通用數據保障條例》並不包含任何規管損害評估的規則。因此,在符合等同性及有效性的原則下,各成員國的法律體系應就擬為保障個人在《通用數據保障條例》下的權利而採取的行動訂明詳細的規則,尤其是訂明在相關的情況下應支付的賠償範圍的準則。

歐洲聯盟法院表明是次裁決確保《通用數據保障條例》為所蒙受的損害提供充分有效的賠償。有關判決詳情,請參閱(1) 歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2023年5月4日發出的新聞稿
2023年3月2日 歐洲聯盟法院釐清在民事訴訟中呈堂包含個人資料的證據的規則

2023 年 3 月 2 日,歐洲聯盟法院就 《通用數據保障條例》在民事訴訟中的披露程序的適用性作出裁決。一間建築公司與其客戶發生付款糾紛,當中的爭議是為稅務目的而收集的個人資料是否可以在民事訴訟中呈堂。該議題由瑞典最高法院提交歐洲聯盟法院作初步裁決。

歐洲聯盟法院裁定,任何個人資料的處理,包括由法院等公共機構所作出的處理,都必須基於《通用數據保障條例》第 6 條規定的法律依據而作出。歐洲聯盟法院檢視了《通用數據保障條例》第 6(1)(e) 條(為公共利益而作出的處理)和第 6(3) 條(歐洲聯盟成員國可就為公共利益而作出的個人資料處理採取更具體的規定,前提是此更具體的法律符合《通用數據保障條例》的公共利益目標並且與所追求的公共利益相稱),認為由於瑞典法律規定有義務向法院提交可被視為具有證明價值的證據,因此符合了《通用數據保障條例》第 6(3) 條的要求。

歐洲聯盟法院亦裁定,該些文件的披露為《通用數據保障條例》第 6(4) 條下所允許的進一步處理,而該進一步處理如為基於國家法律並且為民主社會為了保障 《通用數據保障條例》 第 23(1) 條的目標之一而作出的必要和相稱的措施便會獲允許。在其決定中,歐洲聯盟法院指出,該些目標包括《通用數據保障條例》第 23(1)(f) 條(保護司法獨立和司法程序)和第 23(1)(j) 條(民事索償的執行)。然而,歐洲聯盟法院強調,應由轉介法院檢視《通用數據保障條例》 第 6(4) 條及第 23(1) 條的要求是否經已符合。

有關判決詳情,請參閱歐洲聯盟法院2023年3月2日的裁決
2023年2月9日 歐洲聯盟法院就解僱保障資料主任及利益衝突作出裁決

2023年2月9日,歐洲聯盟法院就根據《通用數據保障條例》第38(3)條解僱保障資料主任的條件及第38(6)條下利益衝突的定義作出一項裁決。案件涉及一名德國企業集團的保障資料主任於2018年5月《通用數據保障條例》剛生效時遭到解僱,他同時亦是該集團的「勞資聯合委員會主席」。該保障資料主任向德國法院提出法律訴訟,尋求法院宣布有關解僱無效,而該公司則援引利益衝突作為解僱的正當理由。德國聯邦最高勞工法院把案件轉介至歐洲聯盟法院作出澄清,當中包括︰(i)第38(3)條是否禁止成員國進一步訂立解僱保障資料主任的條件;及 (ii)第38(6)條所指的利益衝突在多大程度上能夠成為解僱保障資料主任的合理理由。

就第38(3)條,歐洲聯盟法院裁定成員國可自由「就解僱保障資料主任訂立更多保護性的具體條文」,只要這些條文不會「損害實現《通用數據保障條例》的目的」。至於第38(6)條,歐洲聯盟法院裁定保障資料主任應該「以獨立態度履行其職責及工作」,而在保障資料主任被「分派會促使[他們]決定處理個人資料的目的及方式的工作或職責」時,才產生第38(6)條所定義的利益衝突。

有關判決詳情,請參閱歐洲聯盟法院2023年2月9日的裁決
2023年1月12日 歐洲聯盟法院裁定《通用數據保障條例》的行政和民事補救方法可同時並獨立行使

2023年1月12日,歐洲聯盟法院就《通用數據保障條例》的行政和民事補救方法之間的關係作出裁決。該案件涉及一名股東要求公司提供股東大會的錄音。該公司僅向該股東提供了他於會議上發言的錄音。該股東其後向匈牙利資料保障監管機構要求該公司提供有關錄音。在匈牙利資料保障監管機構拒絕其要求後,該股東就該決定提出行政上訴,並同時於匈牙利的民事法院提出訴訟,反對該公司的決定。雖然行政上訴程序仍在進行中,但民事法院已裁定該公司侵犯了該股東查閱其個人資料的權利。布達佩斯高等法院因此將有關案件轉介至歐洲聯盟法院,以澄清在審視國家監管機構所作決定的合法性下,它是否受民事法院就相同事實背景及相同侵權指控的最終判決約束,以及其中一種補救措施是否優先於另一種補救措施。

在判決中,歐洲聯盟法院認為《通用數據保障條例》沒有規定任何優先權或專屬權限或管轄權,也沒有規定任何關於監管機構或法院就是否存在侵權進行的評估的排名。因此,《通用數據保障條例》規定的行政和民事補救方法可以同時並獨立行使。每個成員國須確保同時並獨立行使的補救方法不會影響《通用數據保障條例》的有效性及對權利的有效保護、其條款被一致地應用,以及在法庭上獲得有效補救的權利。

有關判決的詳情,請參閱(1) 歐洲聯盟法院的裁決; 及(2) 歐洲聯盟法院於2023年1月12日發出的新聞稿
2023年1月12日 歐洲聯盟法院確認資料當事人有權獲知其個人資料已被披露或將會被披露予的特定接收者的資料

2023年1月12日,歐洲聯盟法院就歐盟《通用數據保障條例》第15(1)(c)條下資料當事人查閱有關已經接收或將會接收其個人資料的接收者或接收者類別的資料的權利作出裁決。在該案件中,負責奧地利郵政服務的Österreichische Post AG,在回應一名資料當事人有關其個人資料的接收者的查閱資料要求時,僅提供了接收者類別的描述,而沒有透露特定接收者的身分。奧地利最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第15(1)(c)條作出詮釋。

在判決中,歐洲聯盟法院裁定,為確保歐盟《通用數據保障條例》賦予資料當事人的其他權利(包括歐盟《通用數據保障條例》第 16 條、第 17 條、第 18 條和第 21 條下的更正權、刪除權、限制處理權和反對權)的有效性,資料當事人必須有權獲知其個人資料已被披露或將會被披露予的特定接收者的資料。

儘管如此,歐洲聯盟法院指出有關權利在特定的情況下可能會受到限制,例如無法披露特定接收者的身分,尤其是在未知他們的身分的情況下,或者資料控制者可以證明資料當事人的要求,按照歐盟《通用數據保障條例》 第 12(5) 條的含義,是明顯沒有根據或過度的。

有關判決的詳情,請參閱(1) 歐洲聯盟法院裁決; 及(2) 歐洲聯盟法院於2023年1月12日發表的新聞稿
2022年12月8日 歐洲聯盟法院確立「刪除權」(「被遺忘權」)涵蓋刪除明顯不實資訊

2022年12月8日,歐洲聯盟法院作出有關「刪除權」(「被遺忘權」)的裁判。該案件中的兩名投資經理要求Google移除根據他們的名字進行搜尋所顯示有關批評他們投資模式的某些文章的連結。他們表示有關文章包含不實的指控。他們同時要求Google從搜尋結果中刪除他們的照片縮圖。Google拒絕有關要求,並聲稱未有察覺該些文章包含不實資訊。德國聯邦最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第17(3)(a)條有關行使刪除權和言論及資訊自由權作出詮釋。

在判決中,歐洲聯盟法院指出保障個人資料的權利並非絕對,行使有關權利必須要考慮它在社會的功能,以及根據相稱原則與其他基本權利取得平衡。雖然歐盟《通用數據保障條例》明確規定,如處理有關資料是行使言論及資訊自由權所必需的,則刪除權被排除在外,但言論及資訊自由的權利並不包括發表至少有一部分(非為不重要的事實)被證實為不實的資訊。

歐洲聯盟法院裁定,如果提出要求者提出相關及足夠的證據證明有關資訊明顯不實,搜尋引擎營運商必須要刪除有關被連結的不實資料。為免加重提出要求者的舉證責任,歐洲聯盟法院表示,有關證明不必來自對有關網絡發布者的司法判決,提出要求者只需要提供可以合理要求他/ 她試圖找到的證據。

關於照片縮圖的搜尋結果,歐洲聯盟法院認為有關展示對資料當事人的私生活及他們的個人資料構成重大影響。因此,歐洲聯盟法院需按有關照片的個別發布情況(是否在原有的文章以闡述資訊或發表意見,抑或是在其他情況發布),單獨權衡各方的權利和利益。

有關判決的詳情,請參閱(1) 歐洲聯盟法院的裁決; 及(2) 歐洲聯盟法院於2022年12月8 日發出的新聞稿


B.《通用數據保障條例》下的主要發展

日期 主要發展
2024年1月15日

歐盟委員會保留所有現有的足夠保障程度決定

2024 年 1月 15 日,歐盟委員會根據 1995 年《資料保障指令》和《通用數據保障條例》完成了對現有 11 項足夠保障程度決定的審查和評估。

歐盟委員會在發布的報告中表示,從歐盟轉移到安道爾、阿根廷、加拿大、法羅群島、根西島、馬恩島、以色列、澤西、新西蘭、瑞士和烏拉圭的個人資料繼續受到足夠的資料保障措施保護。 因此,就這 11 個國家和地區所作出的足夠保障程度決定會保持不變,有關資料可以繼續自由流向這些司法管轄區。

該審查表明,這些國家和地區的資料保障框架與歐盟的框架進一步接軌,並加強了其管轄範圍內對個人資料的保障。該審查亦顯示,這11 個司法管轄區的公共機關在獲取資料方面受到適當的保障,特別是出於執法或國家安全的目的。

有關該審查的詳情,請參閱歐盟委員會於2024年1月15日公布的報告全文。

2023年7月10日 有關歐盟-美數據私隱框架的足夠保障程度決

2023年7月10日歐盟委員會採納關於歐盟-美國數據私隱框架(數據私隱框架)的足夠保障程度決定,作出美國會向由歐盟的資料控制者或處理者根據數據私隱框架轉移至美國認證機構的個人資料提供與歐盟基本上相同的保護水平的結論。具體而言,足夠保障程度決定容許此類資料轉移可於無需取得任何進一步授權的情況下進行。

數據私隱框架引入了一些具約束力的新保護措施,包括︰
  • 限制美國情報部門只可查閱必需及適度的歐盟資料當事人的個人資料,以保護國家安全(根據美國《關於加強美國信號情報活動的保障措施》的行政命令);
  • 向其資料將根據數據私隱框架轉移到美國的歐盟資料當事人提供多項新權利(即查閱其資料、改正或刪除不準確或被非法處理的資料);及
  • 為歐盟資料當事人設立兩級申訴機制(即歐盟資料當事人的投訴首先會由美國情報機構的公民自由保護官調查,其後資料當事人可以就公民自由保護官的決定向獨立且新成立的數據保護審查法院提出上訴)。
美國機構可以根據數據私隱框架進行自我認證,承諾遵守一系列詳盡的私隱責任(例如︰限制目的、蒐集最少資料、不再需要時立即刪除資料、有關資料安全及與第三方共享資料的具體責任等)。認證必須每年更新一次。機構如被發現持續不遵守這些原則,會從數據私隱框架名單中被刪除,並且必須歸還或刪除根據數據私隱框架獲取的個人數據。

足夠保障程度決定即時生效,而數據私隱框架會在美國機構認證後開始適用。同時,歐盟委員會將定期檢討足夠保障程度決定,第一次檢討將於生效後一年內進行。

有關數據私隱框架的詳情請參閱2023年7月10日公布的歐盟-美國數據私隱框架的足夠保障程度決定全文
2022年3月25日 歐盟及美國之間新的跨大西洋數據私隱框架

2020年7月16日,歐洲聯盟法院在Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems and intervening parties一案中推翻了歐盟-美國「私隱保護盾」 的框架(常稱為「Schrems II判決」)。該框架自2016年實施以來為歐盟公司轉移個人資料至美國公司的主要機制。

歐盟委員會與美國經持續討論後,於2022年3月25日宣布雙方原則上已就一個新的跨大西洋數據私隱框架達成協議( 「新框架」),以期重新建立一個從歐盟轉移個人資料至美國的法律機制。

重點來說,新框架確保(i) 由美國進行的信號情報活動須在以達致合法的國家安全目標方面而言屬必要及相稱的;(ii) 將設立一個獨立及具約束力的申訴機制,為受影響的歐盟公民制訂補救措施;及(iii) 美國的情報機關將採取程序以確保能有效地監督新的私隱及公民自由標準的執行。

就下一階段而言,歐盟委員會與美國將會繼續準備雙方為落實新框架所需的法律文件。

有關新框架的詳情,請參閱(1) 歐盟委員會與美國有關跨大西洋數據私隱框架的聯合聲明;及(2) 美國白宮發出的新聞稿。該兩份文件均於2022年3月25日發出。
2022年3月21日 適用於從英國轉移個人資料的新轉移文件

《通用數據保障條例》被保留為英國的當地法律,稱為《英國通用數據保障條例》。《英國通用數據保障條例》第46(1)條容許在指定的情況下在國際間轉移個人資料,其中包括資料輸出者提供適當的保障措施(包括採納由資訊專員發出的標準數據保障條款等)。

2022年3月21日,兩項新轉移文件,即由資訊專員發出的(i) 國際數據轉移協議及(ii) 國際數據轉移附錄 (附於歐盟委員會在2021年6月就國際間轉移資料採納的標準合約條款) ,開始生效。其中,新轉移文件的目的是取代英國現行的標準合約條款,即歐盟在《通用數據保障條例》生效前採納的標準合約條款( 「舊版標準合約條款」)。

採納國際數據轉移協議及國際數據轉移附錄對資料轉移者及資料接收者的實際影響如下:

  • 於2022年9月21日或之前依據舊版標準合約條款簽訂的合約就《英國通用數據保障條例》而言,將會繼續提供適當的保障措施(前提是作為合約主題事項的處理活動維持不變),直至2024年3月21日。
  • 由2022年9月22日起,有關根據《英國通用數據保障條例》在國際間轉移個人資料的新合約必須採納國際數據轉移協議或國際數據轉移附錄。
  • 由2024年3月22日起,舊版標準合約條款就《英國通用數據保障條例》而言,將不再被視為提供「適當的保障措施」。所有採納舊版標準合約條款的合約須於2024年3月21日或之前以國際數據轉移協議或國際數據轉移附錄替代。
有關國際數據轉移協議及國際數據轉移附錄的詳情,請參閱英國資訊專員辦公室的介紹
2021年12月17日 有關南韓的足夠保障程度決定

2021年12月17日,歐盟委員會採納有關由歐盟轉移個人資料至南韓機構的足夠保障程度決定,相關個人資料受《個人資料保護法》保障,有關額外保障措施以及官方的申述 ˴ 保證和承諾反映在決定當中。

有關南韓的足夠保障程度決定的詳情,請參閲歐盟委員會法律事務委員Didier Reynders與南韓個人資料保護委員會主席Yoon Jong In共同發出的新聞稿
2021年6月28日 有關英國的足夠保障程度決定

2021年6月28日,歐盟委員會採納兩個分別根據《通用數據保障條例》及執法指令所作的有關轉移個人資料至英國的足夠保障程度的決定。當英國確保個人資料得到歐盟法律所保證的相等程度的保障,個人資料便可從歐盟自由流通至英國。

有關英國的足夠保障程度決定的詳情,請參閲歐盟委員會發出的新聞稿

1 歐洲資料保障委員會於指引中臚列了五個計算行政罰款的步驟︰
(1) 識別相關的處理程序,並評估《通用數據保障條例》第83(3)條的應用;
(2) 確定進一步計算罰款的起點,方法包括︰考慮《通用數據保障條例》第83(4)-(6)條下的違規類別、違規性質及嚴重程度,以及企業的營業額;
(3) 衡量《通用數據保障條例》第83(2)條所列的加重處罰或減輕處罰因素;
(4) 確定罰款的法定最高金額(固定及動態最高金額)(以較高者為準);及
(5) 考慮罰款的有效性、相稱性及警示性。
有關詳情,請參閱該指引。