歐盟《通用數據保障條例》
歐盟《通用數據保障條例》
I. 歐洲聯盟(歐盟)《通用數據保障條例》
歐盟的《通用數據保障條例》已於2018年5月25日生效,取代原有為處理個人資料及有關資料自由流通的個人保障而制訂的歐盟指令 95/46/EC(歐盟指令),並且涉及新的規定和加強的權利。隨著科技發展,以至歐盟的資料保障的基本權利全球化及憲法化,《通用數據保障條例》旨在協調數碼單一市場的框架,讓個人掌握他們的資料,並制定現代化的資料保障管治。為何《通用數據保障條例》與香港的機構/企業有關?
在香港,訂立香港法例第486章《個人資料(私隱)條例》(《私隱條例》) 是為保障個人資料方面的私隱。在草擬《私隱條例》時,曾參考經濟合作及發展組織1980年的私隱指引及歐盟指令。由於《通用數據保障條例》為以歐盟指令為本的資料保障法律帶來了重大的發展及改變,因此新的監管框架內包括了《私隱條例》未有的規定。
《通用數據保障條例》對歐盟以外的資料保障局面帶來的其中一項重大發展,是明確規定在非歐盟法域管轄區內成立的機構在特定的情況下須遵從《通用數據保障條例》的規定。由於業務或交易模式多樣化(例如網上交易),香港的機構/企業必須確定《通用數據保障條例》是否對它們適用,並緊貼新的發展。
II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款
III. 《通用數據保障條例》的相關刊物及文章
IV. 歐洲聯盟發出的指引及參考資料
V. 有關《通用數據保障條例》的重要決定及主要發展摘要
II. 歐盟委員會根據《通用數據保障條例》就國際間資料轉移採納的新版標準合約條款
歐盟委員會採納了一套有關轉移個人資料至非歐盟地區的新版標準合約條款 (「新版標準合約條款」),有關條款已於2021年6月27日生效。由2021年9月27日起,資料輸出者及資料輸入者只可就跨境個人資料轉移簽訂採納新版標準合約條款的合約。私隱公署發佈一系列有關的常見問題資料,以介紹新版標準合約條款的實施框架和簽訂包含新版標準合約條款的跨境資料轉移協議的各合約方的責任,供公眾參考。更多詳情,請參閲有關系列的常見問題資料:
https://www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eu_faq.pdf
請按此閲覽「歐盟委員會有關國際間資料轉移的新版標準合約條款的簡介」。
請按此下載「歐盟的新版標準合約條款下從歐盟轉移個人資料至非歐盟地區」網上講座的演講簡報及觀看有關影片。
III. 《通用數據保障條例》的相關刊物及文章
為了提高香港機構/企業認識《通用數據保障條例》 2016 下新制定的資料保障監管框架對它們可能帶來的影響,公署出版了以下刊物︰
 |
小冊子:歐洲聯盟《通用數據保障條例》2016 最新資訊 (2020年5月修訂版) |
- 《香港律師》 (2018年6月份) - 歐盟《通用數據保障條例》與香港《個人資料(私隱)條例》有甚麼分別?
- 公署新聞稿(2018年 4月 3日)- 香港企業應如何為即將實施的歐盟通用數據保障新條例作好準備
IV. 歐洲聯盟發出的指引及參考資料
歐洲資料保障委員會更多的指引及建議可參閱︰https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en?page=0
| 涉及的事宜 | 建議/指引 |
|---|---|
| 行政罰款 | 有關根據《通用數據保障條例》計算行政罰款的第04/2022號指引1 |
| 同意 | 有關同意的第05/2020號指引 |
| 控制者及處理者 | 有關《通用數據保障條例》的控制者及處理者概念的第07/2020號指引 |
| 資料外洩事故通報 | |
| 資料可攜性 | 有關資料可攜權的指引 |
| 貫徹資料保障的設計及預設模式 | 有關第25條貫徹資料保障設計及預設模式的第4/2019號指引 |
| 資料保障影響評估 | 有關資料保障影響評估的指引 |
| 資料當事人權利 | 有關資料當事人權利—查閱權的第01/2022號指引 |
| 豁免情況 | 有關《通用數據保障條例》第49條下的豁免情況的第2/2018號指引 |
| 資訊通訊科技 | |
| 一站式機制 | |
| 國際轉移及工具 | |
| 限制 | 有關《通用數據保障條例》第23條下限制(資料當事人權利及控制者/處理者責任的範圍)的第10/2020號指引 |
| 社交媒體 | |
| 地域範圍 | 有關《通用數據保障條例》地域範圍(第3條)的第3/2018號指引 |
| 透明度 | 有關第2016/679號規例下的透明度的指引 |
歐盟委員會
| 涉及的事宜 | 建議/指引 |
|---|---|
| 資料保障制度 | 歐盟的資料保障制度概覽 |
| 《通用數據保障條例》的規定 | 《通用數據保障條例》的規定簡介 |
V. 有關《通用數據保障條例》的重要決定及主要發展摘要
A. 根據《通用數據保障條例》作出的重要決定摘要(I) 牽涉罰款的決定
| 作出決定的日期 | 作出決定的資料保障監管機構 | 罰則及違反規定 |
|---|---|---|
| 2024年12月20日 | 意大利資料保障監管機構(The Italian Data Protection Authority) |
意大利資料保障監管機構因ChatGPT服務管理事宜,對OpenAI處以1,500萬歐元的罰款。 2023年3月,OpenAI系統中的一個漏洞暴露了ChatGPT Plus高級用戶的姓名、電郵地址及部分信用卡資料給其他用戶。這一事件促使意大利資料保障監管機構對OpenAI展開調查。 意大利資料保障監管機構裁定OpenAI違反以下《通用數據保障條例》的條文:
另外,意大利資料保障監管機構已將此案轉介愛爾蘭資料保障監管機構(即《通用數據保障條例》的一站式機制下的主責監管機構),予後者繼續調查任何持續違反《通用數據保障條例》的行為。 有關裁決詳情,請參閱意大利資料保障監管機構於2024年12月20日發出的新聞稿。 |
| 2024年12月5日 | 愛爾蘭資料保障監管機構(The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構就一宗影響全球約2,900萬個Facebook帳戶的資料外洩事故對Meta Platforms Ireland Limited(Meta)處以2.51億歐元罰款。 2018年9月,Meta通報一宗由第三方未經授權使用Facebook權標導致的資料外洩事故。被外洩的個人資料包括用戶的全名、電話號碼、位置及出生日期等。在受影響的2,900萬個Facebook帳戶當中,約300萬個位於歐盟/歐洲經濟區內。 經過兩次調查,愛爾蘭資料保障監管機構裁定Meta違反以下《通用數據保障條例》的條文:
有關裁決詳情,請參閱愛爾蘭資料保障監管機構於2024年12月17日發出的新聞稿。 |
| 2024年11月13日 | 意大利資料保障監管機構(The Italian Data Protection Authority) |
意大利資料保障監管機構就餐飲外送公司Foodinho處理送遞員的生物辨識資料及位置資料,以及使用自動化決策而違反《通用數據保障條例》,對該公司處以500萬歐元的罰款。 意大利資料保障監管機構裁定Foodinho違反以下《通用數據保障條例》的條文:
有關裁決詳情,請參閱意大利資料保障監管機構於2024年11月22日發出的新聞稿及2024年11月13日發出的完整決定(兩者皆為意大利文)。 |
| 2024年10月24日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構就LinkedIn Ireland Unlimited Company(LinkedIn)在處理個人資料作行為分析及目標式營銷用途方面違反《通用數據保障條例》的規定,處以3.1億歐元的罰款。 愛爾蘭資料保障監管機構裁定LinkedIn未有就處理個人資料確立有效的法律依據,具體而言:
除處以罰款之外,愛爾蘭資料保障監管機構亦根據《通用數據保障條例》第58(2)條對LinkedIn作出譴責並命令其執行補救措施,以確保其處理活動符合《通用數據保障條例》。 有關詳情,請參閱愛爾蘭資料保障監管機構於2024年10月24日發出的新聞稿。 |
| 2024年7月22日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) |
荷蘭資料保障監管機構就Uber違反《通用數據保障條例》的規定處以 2.9 億歐元的罰款,原因是Uber將歐洲的士司機的個人資料在未有為其提供適當保障的情況下轉移至美國。 荷蘭資料保障監管機構發現Uber收集歐洲司機的敏感資料(包括戶口資料、的士牌照、位置資料、照片、付款資料、身份證明文件、刑事和醫療資料),並將資料保存在美國的伺服器。有關資料轉移於2021年8月6日至2023年11月27日期間進行 當時,根據歐洲聯盟法院於2020年的裁決,歐盟-美國「私隱保護盾」已被廢除,不再是跨大西洋資料轉移的基礎。即使標準合約條款仍然是個人資料轉移至歐盟以外國家的有效基礎(如實際上能保證相等程度的保障),Uber自2021年8月起已不再使用標準合約條款,並於接近2023年年底才使用接替歐盟-美國「私隱保護盾」的歐盟-美國數據私隱框架。因此,荷蘭資料保障監管機構認爲於上述期間內被轉移的個人資料沒有得到充分保障,並裁定Uber違反《通用數據保障條例》第44條。 調查期間,荷蘭資料保障監管機構與法國資料保障監管機構緊密合作,並與其他歐洲資料保障監管機構協調該決定。有關詳情,請參閲2024年8月26日荷蘭資料保障監管機構發出的新聞稿及法國資料保障監管機構發出的新聞稿。 註: Uber正就荷蘭資料保障監管機構的決定提出上訴。 |
| 2024年7月16日1 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) |
荷蘭資料保障監管機構就A.S. Watson Health & Beauty Continental Europe B.V. (A.S. Watson)違反《通用數據保障條例》第5(1)(a)及6條,處以60萬歐元的罰款。 荷蘭資料保障監管機構於2019年10月及11月進行的調查中發現A.S. Watson的附屬公司Kruidvat在未有事先取得用戶有效同意的情況下於其網站「Kruidvat.nl」的用戶的裝置置入cookies。該網站亦將使用cookies的設定預設為已勾選,因此,有關處理用戶個人資料取得的同意並非《通用數據保障條例》第4條所要求的「自由給予的、具體、知情及不含糊的」指示。 此外,調查又發現這些cookies曾經收集用戶的位置、他們所瀏覽的頁面、加入購物車及已購買的產品,以及曾經點擊的推薦項目等資料。荷蘭資料保障監管機構認為Kruidvat所收集的資料甚為敏感。有鑑Kruidvat網站所售賣產品的性質為保健用品,如果與透過追蹤IP地址所獲得的位置資料整合,則可以創建有關瀏覽「Kruidvat.nl」網站人士極為特定而具侵入性的用戶檔案。 有見及此,荷蘭資料保障監管機構裁定處理該網站瀏覽者的個人資料屬不合法,因此違反《通用數據保障條例》第5及6條。 |
| 2024年7月1日 | 挪威資料保障監管機構 (The Norwegian Data Protection Authority) |
2024年7月1日,奧斯陸地方法院維持挪威資料保障監管機構就約會應用程式Grindr未有遵從《通用數據保障條例》下的同意要求所處以的6,500萬克朗(約555萬歐元)罰款。 案件源於挪威消費者委員會於2020年作出的投訴。該委員會發現Grindr曾與多間第三方商業機構分享用戶的敏感個人資料,其中幾間機構保留與其他公司進一步分享該些資料的權利,以作目標式營銷之用。Grindr分享的資料包括用戶的全球定位系統位置、IP地址、廣告ID、年齡、性別、裝置資料及用戶在應用程式內的姓名。 法院維持挪威資料保障監管機構所作的決定,裁定Grindr聲稱已取得有關分享用戶個人資料的同意無效,原因是用戶必須同意私隱政策的全部條款才能使用應用程式,而且用戶並沒有明確地被問及是否同意將其個人資料分享予第三方作投放行為定向廣告之用。法院同時裁定Grindr未有適當地向用戶傳達分享個人資料的資訊。因此,Grindr聲稱已取得的同意未能符合《通用數據保障條例》第4條對有效「同意」的要求。 再者,法院確認挪威資料保障監管機構的調查結果,指一個人作為Grindr(其市場定位特別以LGBTQ+社群為目標)註冊用戶的資料應被視為與其性取向有關的個人資料,因此,該些資料符合《通用數據保障條例》第9(1)條所定義的特別類別個人資料。由於Grindr聲稱已取得的同意被裁定無效,Grindr與他人分享上述個人資料違反《通用數據保障條例》。有鑑《通用數據保障條例》第9條較嚴格的同意要求,法院認為Grindr未有根據《通用數據保障條例》第9(2)(a)條取得「明確同意」。 在釐定罰款金額時,法院已考慮違反《通用數據保障條例》的嚴重程度、Grindr的規模及財務狀況,以及Grindr已採取的補救措施。 |
| 2023年12月27日 | 法國資料保障監管機構 (The French Data Protection Authority) |
法國資料保障監管機構就管理Amazon集團旗下在法國的大型倉庫的 Amazon France Logistique (Amazon) 在利用掃瞄器監控員工活動和表現及處理影像監控方面違反《通用數據保障條例》的行為,處以 3,200 萬歐元的罰款。 法國資料保障監管機構裁定,就向員工提供掃描器以即時記錄分配給他們的工作的執行情況,未能遵從收集最少資料的原則(違反條例第5(1)(c) 條);(ii) Amazon 使用過度侵擾性及非法的指標,包括能夠持續監控員工掃描器任何中斷情況的指標,有機會導致員工需為每次休息或中斷提供理由,因而未能遵從合法處理的原則(違反條例第6條);而且(iii) Amazon 未能確保在以掃瞄器收集或處理臨時員工的個人資料之前向有關員工提供其私隱政策(違反條例第 12 條及第 13 條)。 至於處理影像監控方面,法國資料保障監管機構裁定Amazon (i) 未有以告示、其他媒介或文件形式妥善地通知員工及外部訪客有關影像監控的安排(違反條例第 12 條及第 13 條),及(ii) 對個人資料的保安措施不足,包括使用低強度的密碼,及容許多個用戶使用同一登入帳號(違反條例第 32 條)。 有關詳情,請參閱法國資料保障監管機構於2024年1月23日發出的新聞稿及決定。 |
| 2023年12月11日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority)與法國資料保障監管機構 (The French Data Protection Authority) |
荷蘭資料保障監管機構與法國資料保障監管機構聯合就 Uber Technologies, Inc. and Uber B.V. (Uber) 違反《通用數據保障條例》的規定處以 1,000 萬歐元的罰款,原因包括:(i) Uber 未能以清晰及容易存取的方式向司機提供所要求的資料,並僅以英文提供有關資料(違反條例第12(1) 條);(ii) 司機未能簡易地在應用程式內獲取行使其要求資料的權利的網上表格,因為該表格位於應用程式的深處,並分佈在各個選單中,惟該表格本可放置於更合乎邏輯的位置,(違反條例第 12(2) 條); (iii) Uber在其私隱聲明中提供有關轉移資料至歐盟境外的資訊及相關具體保安措施並不完整(違反條例第13(1)(f) 條及第15(1)(d)條),而有關其資料保留期限的資訊亦過於籠統(違反條例第13(2)(a) 條、第15(1)(a) 及第15(1) (d)條);及(iv) Uber 未有在其私隱聲明中明確地提及資料可攜權(違反條例第13(2)(b) 條)。 在決定罰款金額時,荷蘭資料保障監管機構考慮了該公司的規模以及違規行為的嚴重程度。在違規行為發生時,歐洲約有 12 萬名 Uber 司機。 有關詳情,請參閱2024年1月31日荷蘭資料保障監管機構發出的新聞稿及法國資料保障監管機構發出的新聞稿。 |
| 2023年9月1日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) | 愛爾蘭資料保障監管機構就TikTok Technology Limited (TikTok)於2020年7月31日至2020年12月31日期間違反《通用數據保障條例》的規定,對TikTok作出譴責並處以3.45億歐元的罰款。愛爾蘭資料保障監管機構認為 (i) TikTok把兒童用戶帳戶的個人資料設定預設為公開,令任何人(包括TikTok用戶及非TikTok用戶)均可以查看兒童用戶發布的內容(違反條例第25(1), 25(2), 5(1)(c)及24(1)條);(ii) TikTok 沒有實施適當的技術和機構性措施來減低對使用該平台的 13 歲以下兒童造成的風險(違反條例第24(1) 條); (iii) 「家庭配對」設定允許非兒童用戶(無法驗證是否父母或監護人)連結兒童用戶帳戶並開啟年滿16歲的兒童用戶的私訊功能,對兒童用戶構成了嚴重風險(違反條例第5(1)(f) 及25(1) 條); (iv) TikTok 未能向兒童用戶提供足夠及具透明度的資訊(即個人資料接收者的類別、預設公開處理的範圍和後果)(違反條例第12(1)及13(1)(e) 條);及 ,根據歐洲資料保障委員會於2023年8月發佈具有約束力的決定,(v) TikTok實施的「暗黑模式」促使用戶在登記過程和發布影片時選擇更多侵犯私隱的選項(違反條例第5(1)(a)條)。除了發出譴責和處以 3.45 億歐元的罰款外,愛爾蘭資料保障監管機構亦指令 TikTok 須於三個月內使其資料處理符合規定。有關詳情,請參閱愛爾蘭資料保障監管機構作出的決定及於2023年9月15日發出的新聞稿。 |
| 2023年6月15日 | 法國資料保障監管機構 (The French Data Protection Authority) | 法國資料保障監管機構就Criteo (該公司專門從事「行為再定向 (behaviorial retargeting)」,通過cookie收集網上用戶的瀏覽資料,以向用戶顯示個人化的廣告 )違反《通用數據保障條例》的行為處以4,000萬歐元的罰款。Criteo被裁定 (i) 未能核實並證明有關資料處理經相關網上用戶同意(違反條例第7.1條);(ii) 未能提供清晰的私隱政策,告知用戶哪些個人資料被使用及如何使用(違反第條例12及13條);(iii) 未能尊重用戶的查閱權利,只容許用戶查閱部分個人資料(違反條例第15.1條);(iv) 未能遵從用戶撤回同意及刪除資料的權利(違反條例第7.3及17.1條);及(v) 未能在Criteo與作為聯合控制者的合作夥伴所簽訂的協議中,按《通用數據保障條例》的規定具體說明控制者的一些各自的責任(違反條例第26條)。有關詳情,請參閱法國資料保障監管機構於2023年6月22日發出的新聞稿。 |
| 2023年5月12日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
Meta Platforms Ireland Limited (Meta) 的Facebook服務將個人資料從歐盟轉移至美國,違反《通用數據保障條例》第46(1)條的規定,愛爾蘭資料保障監管機構對Meta處以12億歐元的罰款,並命令它作出糾正措施。愛爾蘭資料保障監管機構認為,雖然Meta是依據歐盟委員會於2021年採納的標準合約條款作出有關轉移,並實施補充措施以應對歐洲聯盟法院在Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18)一案就美國監視法而提出的關注,但有關的資料轉移安排在這情況下並沒有對個人資料提供適當的保障。因此,Meta違反了《通用數據保障條例》第46(1)條的規定。 Meta (i) 被指令在五個月內暫停將個人資料轉移至美國;(ii) 被罰款12億歐元;及(iii) 被指令在六個月內使其資料處理業務符合《通用數據保障條例》第V章的規定。有關詳情,請參閱愛爾蘭資料保障監管機構於2023年5月12日作出的決定及於2023年5月22日發出的新聞稿。 |
| 2023年4月4日 | 英國資料保障監管機構 (The Information Commissioner’s Office) | 英國資料保障監管機構就 TikTok Information Technologies UK Limited 和 TikTok Inc (TikTok)在 2018 年 5 月至 2020 年 7 月期間違反 《英國通用數據保障條例》的行為處以 12,700,000 英鎊的罰款。英國資料保障監管機構裁定TikTok (i) 向13 歲以下的英國兒童提供服務並在未得其父母或照顧者同意或授權下處理兒童的個人資料(違反條例第 6 (1)條和第 8 條); (ii) 未能以易於理解的方式向用戶提供有關收集、使用和共享用戶資料的合適資訊,令用戶,尤其是兒童,不太可能就是否要參與及如何參與作出知情的選擇(違反條例第 12 條);及 (iii) 未能確保以合法、公平和具透明度的方式處理英國用戶的個人資料(違反條例第 5(1)(a) 條)。有關詳情,請參閱英國資料保障監管機構於2023年4月4日發出的新聞文章。 |
| 2023年1月12日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構就WhatsApp Ireland Limited (WhatsApp) 的服務違反《通用數據保障條例》處以550萬歐元的罰款。愛爾蘭資料保障監管機構裁定Whatsapp不能以合約作為其處理用戶個人資料以改善服務和保安的法律基礎,因而違反了《通用數據保障條例》第6條。WhatsApp亦因為未有明確向用戶指出其處理個人資料的法律基礎而違反了公平原則及有關透明度的責任。WhatsApp被指令在六個月內使其資料處理操作符合規定。 該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發布的。有關詳情,請參閲愛爾蘭資料保障監管機構於2023年1月12日發出的決定及2023年1月19日發出的新聞稿。 |
| 2023年1月4日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構就Meta Platforms Ireland Limited (Meta)的Facebook 和 Instagram 服務違反《通用數據保障條例》,分別處以 2.1 億歐元和 1.8 億歐元的罰款。愛爾蘭資料保障監管機構裁定Meta不能以其與Facebook和Instagram用戶的合約作為法律基礎,為用戶提供個人化服務(包括根據用戶的線上活動向用戶投放定向廣告),因而違反了《通用數據保障條例》第6條。Meta亦因為未有明確向用戶指出其處理個人資料的法律基礎而違反了公平原則及有關透明度的責任。Meta被指令在三個月內使其資料處理業務符合規定。 該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定(Facebook;Instagram) 及於2023年1月4日發出的新聞稿。 |
| 2022年11月25日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) | 愛爾蘭資料保障監管機構就早前Facebook用戶個人資料洩漏至互聯網的事件進行調查,裁定Meta Platforms Ireland Limited (Meta) 違反《通用數據保障條例》下有關貫徹資料保障的設計及預設模式的規定,處以2.65億歐元的罰款,及要求Meta作出一系列的糾正措施。有關決定的詳情,請參閲愛爾蘭資料保障監管機構於2022年11月28日發出的新聞稿。 |
| 2022年11月10日 |
法國資料保障監管機構 (The French Data Protection Authority) |
法國資料保障監管機構對提供IP網絡語音和即時通訊服務的 Discord Inc. (Discord) 處以 80萬歐元的罰款,因為Discord未有制定書面資料保留政策,且未能向用戶提供關於資料保留時限的足夠信息,包括沒有列明具體期限或決定保留時限的準則。調查亦發現Discord未有告知用戶在關閉應用程式的視窗後,語音頻道與第三方的連接及傳輸仍會在背景運行,而Discord的密碼管理政策的強度亦有不足。 另外,Discord 未有進行資料保障影響評估。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 11 月17 日發出的新聞稿。 |
| 2022年11月2日 | 葡萄牙資料保障監管機構 (The Portuguese Data Protection Authority) | 葡萄牙資料保障監管機構就葡萄牙國家統計局在進行2021年人口普查期間違反《通用數據保障條例》的多項規定,處以430萬歐元的罰款。葡萄牙資料保障監管機構經調查發現,人口普查中有關健康和宗教的問題在法律上應定為可選答題目,但這些問題沒有被適當地標記為可選答題目,導致受訪者無法有自由意志地自主決定是否回應收集特別類別個人資料的問題。另外,葡萄牙資料保障監管機構亦裁定國家統計局沒有提供任何有關資料處理的資訊、在選擇資料處理者時違反了盡職調查的責任、違反了有關國際資料轉移的規定,亦沒有對處理過程進行資料保障影響評估。有關決定的詳情,請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2022年10月17日 | 法國資料保障監管機構 (The French Data Protection Authority) | 法國資料保障監管機構就Clearview AI Inc. (Clearview)在沒有法律依據的情況下收集及使用生物辨識資料,非法處理個人數據,並未能以有效和令人滿意的方式考慮資料當事人的權利,特別是在處理資料當事人的查閱資料要求方面,而處以2000萬歐元罰款。Clearview 於調查期間亦沒有充分與法國資料保障監管機構合作。有關該決定的詳情,請參閱法國資料保障監管機構於 2022 年 10 月 20 日發出的新聞稿。 |
| 2022年10月6日 | 意大利資料保障監管機構 (The Italian Data Protection Authority) | 意大利資料保障監管機構就社交平台 Clubhouse 的母公司 Alpha Exploration Co. Inc. 違反《通用數據保障條例》的多項規定,包括在沒有有效的法律依據的情況下以營銷、錄製、與第三方共享音頻、對用戶作出分析和共享帳戶信息為目的進行資料處理活動、未能向用戶提供有關資料處理的信息,以及未能向用戶提供有關個人資料保留期限的足夠信息,而處以 200 萬歐元的罰款並發出多項合規命令。有關決定的詳情,請參閲意大利資料保障監管機構於2022年12月5日發出的新聞稿。 |
| 2022年10月4日 | 英國資料保障監管機構 (The Information Commissioner’s Office) | 英國資料保障監管機構就Easylife Ltd未經同意而使用 145,400名客戶的個人資料以預測他們的健康狀況並向他們推銷相關的健康產品,而處以135萬英鎊罰款。另外,Easylife Ltd因撥打 1,345,732 個不願接收的促銷電話而被額外罰款 130,000 英鎊。有關決定的詳情,請參閲英國資料保障監管機構於2022年10月6日發出的新聞稿。 |
| 2022年9月2日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構早前就Meta旗下社交平台Instagram (Meta Platforms Ireland Limited (Meta IE))有關兒童用戶(13 至 17 歲的用戶)個人資料的處理進行調查。調查顯示平台允許兒童用戶使用商業帳號,以致其電郵地址及/或電話號碼被公開展示;同時,平台的用戶註冊系統將兒童用戶的帳號預設為「公開」。Instagram因而被愛爾蘭資料保障監管機構處以4.05億歐元罰款,並須作出一系列的糾正措施。 該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及於2022年9月15日發出的新聞稿。 |
| 2022年7月13日 | 希臘資料保障監管機構 (The Hellenic Data Protection Authority of Greece) | 希臘資料保障監管機構就人臉識別技術公司Clearview AI Inc. (Clearview)違反有關合法性及透明度的原則而處以2,000萬歐元罰款、禁止Clearview以人臉識別服務的方式收集和處理於希臘境內的資料當事人的個人資料,並命令Clearview刪除以有關方式收集及處理的個人資料。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2022年5月18日 | 英國資料保障監管機構 (The Information Commissioner’s Office) | 英國資料保障監管機構就Clearview AI Inc. (Clearview) 在互聯網及社交平台收集英國及其他地區人士的圖像並用於人臉識別而處以7,552,800英鎊罰款。同時,英國資料保障監管機構命令Clearview停止收集及使用網上公開的英國居民個人資料,並刪除其系統中的英國居民資料。有關決定的詳情, 請參閲英國資料保障監管機構 於2022年5月23日發出的新聞稿。 |
| 2022年3月15日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) | 愛爾蘭資料保障監管機構就Meta Platforms (前稱 Facebook)違反《通用數據保障條例》第5(2)條(有關目的限制原則)而處以1,700萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要 。 |
| 2022年2月10日 | 意大利資料保障監管機構 (The Italian Data Protection Authority) | 意大利資料保障監管機構就Clearview AI Inc. 在欠缺適當法律基礎下不合法地處理個人資料及違反有關透明度、目的限制及儲存限制等原則而處以2,000萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2022年1月14日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) | DPG Media Magazines因不必要地索取身分証明文件副本而被荷蘭資料保障監管機構處以52.5萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2021年12月22日 | 奧地利資料保障監管機構 (The Austrian Data Protection Authority) | 奧地利資料保障監管機構裁定奧地利一名網站營運者在網站内使用 Google Analytics,轉移個人資料至美國的 Google LLC,違反《通用數據保障條例》第44條。 奧地利資料保障監管機構認爲該網站營運者和 Google LLC之間簽訂的標準合約條款未有提供足夠程度的保障予相關個人資料。有關決定的詳情, 請參閲奧地利資料保障監管機構發出的決定摘要。 |
| 2021年8月20日 | 愛爾蘭資料保障監管機構 (The Data Protection Commission of Ireland) |
愛爾蘭資料保障監管機構就 WhatsApp Ireland Ltd.在提供服務資訊予歐洲用家方面違反透明度原則等作出最後決定,向 WhatsApp Ireland Ltd.處以2億2,500萬歐元罰款,並對它作出譴責及命令它執行一連串指定的補救措施,以確保其處理活動符合規定。該決定是在歐洲資料保障委員會根據《通用數據保障條例》第65條採納具有約束力的決定後(即因相關資料保障監管機構持有不同意見而開展的解決爭議程序)所發佈的。有關決定的詳情,請參閲愛爾蘭資料保障監管機構的決定及於2021年9月2日發出的新聞稿。 註: WhatsApp Ireland Ltd.正就愛爾蘭資料保障監管機構的決定提出上訴。 |
| 2021年6月21日 | 瑞典資料保障監管機構 (The Swedish Authority for Privacy Protection) | 瑞典資料保障監管機構就於斯德哥爾摩營運公共運輸的 SL在公共交通工具上不合法使用隨身攝像機而處以1,600萬瑞典克朗罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
| 2021年4月29日 | 荷蘭資料保障監管機構 (The Dutch Data Protection Authority) | 荷蘭資料保障監管機構就市政府採用無線追蹤技術(能夠追蹤在市中心購物 ˴ 居住或工作的人士)而處以60萬歐元罰款。有關決定的詳情, 請參閲歐洲資料保障委員會發出的決定摘要。 |
1 法院於2024年5月2日作出實質裁決,並於2024年7月16日公布罰款金額。
(II) 《通用數據保障條例》的詮釋
| 日期 | 裁決 |
|---|---|
| 2025年3月13日 |
歐洲聯盟法院就有關性別認同的更正權作出裁決 2025年3月13日,歐洲聯盟法院頒布案件C-247-23的裁決,該裁決與《通用數據保障條例》下就更正權所設的條件有關。 案件源於匈牙利布達佩斯高等法院就VP(一名在匈牙利擁有難民身分的伊朗公民)提出廢止由匈牙利國家移民政策總署(庇護機關)作出的決定所提起的訴訟而提交的初步裁決請求。該決定與VP要求庇護機關根據《通用數據保障條例》第16條更正他們在庇護登記冊的性別資料有關,庇護機關以VP並未證明他們曾經進行性別重置手術為由拒絕該要求。 歐洲聯盟法院裁定,《通用數據保障條例》第16條必須詮譯為,根據《通用數據保障條例》第5(1)(d)條所定義,在與自然人的性別認同有關的個人資料不準確的情況下,負責備存公眾登記冊的國家機關必須更正相關資料。更正權只可受限於《通用數據保障條例》第23條所列明的條件,並按條例敘文第73條理解。成員國不得以其國家法律沒有跨性別認同的法律認可程序為依據而限制其行使更正權。 此外,歐洲聯盟法院裁定,在行使《通用數據保障條例》第16條下有關載於公眾登記冊內有關一名自然人的性別認同的個人資料的更正權時,雖然該名人士可能需要提供相關及充分證據以合理證明該些資料不準確,但在任何情況下,成員國均不得以行政慣例方式將出示性別重置手術的證據作為行使該更正權的條件。這樣的要求會削弱該名人士持正及尊重私生活的權利的要素,而且對確保庇護登記冊等公眾登記冊的可靠性及一致性而言並非必要或相稱。 有關詳情,請參閱 (1) 歐洲聯盟法院的裁決及 (2) 歐洲聯盟法院於2025年3月13日發出的新聞稿。 |
|
2025年2月27日 |
歐洲聯盟法院釐清資料當事人在自動化決策及個人檔案分析的查閱權 2025年2月27日,歐洲聯盟法院就有關《通用數據保障條例》第15(1)(h)條下資料當事人在自動化決策及個人檔案分析的查閱權作出裁決。 案件源於奧地利維也納行政法院就CK(一名個人)與納也納市議會之間有關執行法院命令的法律爭議而提交的初步裁決請求。CK因為Dun & Bradstreet Austria GmbH(「D&B」)作出的自動化信用評估而被拒絕向其提供手提電話合約,並將該事宜提交致奧地利資料保障監管機構。D&B被命令向CK提供根據CK的個人資料進行自動化決策時「所涉及邏輯的有意義的資訊」。然而,D&B聲稱當中使用的相關演算法受商業秘密保障。 歐洲聯盟法院確認資料控制者必須以扼要、具透明度、清楚易明及易於查閱的方式,解釋在自動化處理中使用資料當事人的個人資料以得出某個特定結果(例如信用狀況)時實際應用的程序及原則,方可構成在《通用數據保障條例》第15(1)(h)條下自動化決策中「所涉及邏輯的有意義的資訊」。法院強調,「有意義的資訊」必須能讓資料當事人明白所使用的個人資料種類,以及該資料如何影響決策,從而令他們可以根據《通用數據保障條例》第22(3)條有效地行使其表達觀點及就決定提出爭議的權利。 雖然資料控制者不需要完整地披露複雜的數學公式或演算法,或自動化決策中所有處理步驟的詳細描述,歐洲聯盟法院指出該資訊應充分地描述達致自動化決策所依據的理由及準則。 此外,歐洲聯盟法院亦裁定,當資料控制者聲稱待提供的資料包含商業機密(歐盟指令2016/943下歐盟《商業秘密指令》第2(1)條所指)或第三方的個人資料,該資料控制者必須向合資格的監管機構或法院提供所指稱的受保障資料,以供後者權衡議題中的權利與權益,從而決定資料當事人的查閱權的範圍。法院強調,如《通用數據保障條例》第63條訂明,商業秘密不應作為拒絕向資料當事人提供所有資料的理由。 有關詳情,請參閱歐洲聯盟法院於2025年2月27日就案件C-203/22頒布的裁決。 |
| 2025年2月13日 |
歐洲聯盟法院就附屬公司違反《通用數據保障條例》的罰款計算方式釐清「企業」的概念 2025年2月13日,歐洲聯盟法院就在《通用數據保障條例》第83(4)至(6)條下計算附屬公司違反《通用數據保障條例》的行政罰款時,如何詮釋「企業」的概念作出裁決。 案件源於西丹麥高等法院(Vestre Landsret)就連鎖傢俱店ILVA A/S(資料控制者)因保留最少35萬名前顧客的資料而被指稱違反《通用數據保障條例》的刑事法律程序而提交的初步裁決請求。ILVA是總部位於丹麥的Lars Larsen Group的附屬公司。 丹麥刑事檢控辦公室採納丹麥資料保障機構(Datatilsynet)的建議,以Lars Larsen Group的整體營業額作為計算基準,尋求對ILVA處以150萬丹麥克朗(約201,000歐元)的罰款。其後,奧胡斯地區法院裁定ILVA的罪名成立,並認為ILVA是一家獨立的零售實體,及Lars Larsen Group並非只為處理該集團的資料而成立,因此在只考慮ILVA的營業額的情況下處以遠較為低的10萬丹麥克朗(約13,400歐元)罰款。丹麥刑事檢控辦公室就地區法院的裁決提出上訴。 地區法院向歐洲聯盟法院尋求對「企業」一詞的恰當詮釋,以釐清「企業」一詞在《通用數據保障條例》第83(4)至(6)條下,應否與《歐洲聯盟運作條約》第101及102條下的概念保持一致,如答案是應保持一致的話,在計算罰款時應否考慮整個企業實體的全球年度營業額。 歐洲聯盟法院裁定《通用數據保障條例》第83(4)至(6)條的「企業」一詞與《歐洲聯盟運作條約》中「企業」的概念相通,並同時與《通用數據保障條例》敘文第150條一致。歐洲聯盟法院進一步裁定,就違反《通用數據保障條例》向身為企業一部分的資料控制者判處罰款時,最高罰款額必須以整個企業上一營業年度的全球年度總營業額的百份比作為基準。而歐洲聯盟法院強調,罰款必須「有效、相稱及具警示作用」,並須考慮受罰者的實際或實質經濟能力。 有關詳情,請參閱歐洲聯盟法院於2025年2月13日就案件C-383/23頒布的裁決。 |
| 2025年1月9日 |
歐洲聯盟法院釐清《通用數據保障條例》下「過量要求」的含義 2025年1月9日,歐洲聯盟法院作出了一項初步裁決,釐清根據《通用數據保障條例》第57(4)條向監管機構提出「過量要求」的判定標準。 F R(一名個人)以某公司(資料控制者)並未在一個月內回應他的查閱資料要求為由,向奧地利資料保障監管機構作出投訴。該監管機構留意到F R在約20個月內,曾向不同的資料控制者作出77項類似投訴,因而根據第57(4)條,以過量要求為由,拒絕就其投訴採取行動(該決定)。F R不滿該決定,遂向奧地利資料保障監管機構提起訴訟。 該案件其後被轉介至歐洲聯盟法院,以釐清 (i) 監管機構可否單憑資料當事人向其提出大量要求這一事實,不論資料當事人的意圖為何,而視該些要求為「過量」;及 (ii) 若資料當事人向監管機構提出過量的要求,監管機構是否可以自由選擇根據行政成本收取合理費用或拒絕就該些要求採取行動。 就問題 (i) ,歐洲聯盟法院裁定,監管機構不可單憑資料當事人作出大量要求(包括投訴)而將其要求視為第57(4)條下的「過量要求」。相反,監管機構須確定客觀而言資料當事人沒有必要提出大量要求以保障其在《通用數據保障條例》下的權利,而其提出要求的目的與保障這些權利無關(即資料當事人有濫用的意圖)。例如其目的是要以濫用方式佔用監管機構的資源,以干擾監管機構的正常運作。 就問題 (ii) ,歐洲聯盟法院裁定,應對過量要求(包括投訴)時,監管機構在其決定有理可依並確保選項是適當、必須及相稱的情況下,可以選擇按行政成本收取合理費用或拒絕就該些要求採取行動。 有關詳情,請參閱歐洲聯盟法院於2025年1月9日發出的裁決。 |
| 2024年11月28日 |
歐洲聯盟法院釐清資料控制者在處理並非直接從資料當事人收集的資料時提供資訊的責任 2024年11月28日,歐洲聯盟法院就《通用數據保障條例》下間接收集個人資料時提供資訊的責任的例外情況作出初步裁決。 該案件源於匈牙利最高法院就一名個人對匈牙利布達佩斯都會政府辦公室(負責向已經注射2019冠狀病毒病疫苗或曾經感染該病人士發出免疫證明的當局)提起的訴訟提交的初步裁決請求。該名個人指控該辦公室未有就發出免疫證明草擬及發布任何有關保障個人資料私隱的聲明,亦未有就處理該些資料的目的及法律基礎或資料當事人的權利提供任何資訊。 該案件被轉介至歐洲聯盟法院,以釐清以下問題: (1) 《通用數據保障條例》第14(5)(c)條訂明向資料當事人提供資訊的責任的例外情況,是否只適用於資料控制者從另一人取得的資料,而不適用於資料控制者在其處理過程中產生的資料; (2) 如果條例第14(5)(c)條同樣適用於資料控制者在其處理過程中產生的資料,當一名自然人根據條例第77(1)條向監管機構行使其投訴權並聲稱資料控制者違反提供資訊的責任時,是否有權要求檢視成員國法律有否根據條例第14(5)(c)條提供「適當措施」保障資料當事人的合法權益;及 (3) 如果第二條問題的答案為是,條例第14(5)(c)條所指的「適當措施」又可否詮釋為要求國家立法機關就條例第32條所規定與資料安全有關的措施立法。 就問題(1)而言,歐洲聯盟法院裁定條例第14(5)(c)條必須詮釋為意指,該條例所訂明資料控制者向資料當事人提供資訊的責任的例外情況,無差別地適用於所有並非由資料控制者直接從資料當事人收集的個人資料,包括資料控制者從並非資料當事人的人士所取得的資料及資料控制者進行其工作時產生的資料。 至於問題(2)及(3),歐洲聯盟法院裁定條例第14(5)(c)條及第77(1)條必須詮釋為,就應用條例第14(5)(c)條下的例外情況而言,在處理投訴時,監管機構有資格確認規管資料控制者的成員國法律是否已提供適當措施保障資料當事人的合法權益。然而,這並不涵蓋確認資料控制者是否已根據條例第32條的要求採取適合的措施,以保證個人資料處理的安全。 有關判決詳情,請參閱歐洲聯盟法院2024年11月28日的裁決。 |
| 2024年10月4日 |
歐洲聯盟法院裁定網上社交平台不能不設時限及不分資料類別地使用所有取得的個人資料作目標式營銷 2024年10月4日,歐洲聯盟法院頒布案件C-446/21的裁決,該裁決與《通用數據保障條例》下不設時限及不分資料類別地非法處理為目標式營銷用途而取得的個人資料有關。 該案件源於奧地利最高法院就Maximilian Schrems投訴Meta Platforms Ireland(Meta)涉嫌非法處理其個人資料而提交的初步裁決請求。Schrems先生指控Meta非法處理其個人資料,包括他在一次公開小組討論中所作出有關其性取向的陳述。 歐洲聯盟法院裁定,根據《通用數據保護條例》第5(1)(c)條的收集最少資料原則,資料控制者(例如網上社交平台的營運商)不得為目標式營銷用途,不設時限及不分資料類別地整合、分析及處理所有從資料當事人或第三方所取得,及從平台上或平台以外所收集的個人資料。法院同時認為,為目標式營銷用途而無限期儲存個人資料對《通用數據保護條例》賦予的權利構成不相稱的影響。 至於敏感資料,雖然根據《通用數據保護條例》第9(2)(e)條,禁止處理特別類別個人資料(例如性取向)的規定不適用於資料當事人已明顯地公開的個人資料,但歐洲聯盟法院裁定一個人在公開的小組討論上陳述自己的性取向,並不代表授權網上社交平台的營運商處理其他從平台以外透過合作第三方網站及應用程式所取得有關該人性取向的資料,以期整合及分析這些資料,並向該人提供個人化廣告。 有關裁決詳情,請參閱 (1) 歐洲聯盟法院的裁決及 (2) 歐洲聯盟法院於2024年10月4日發出的新聞稿。 |
| 2024年10月4日 |
歐洲聯盟法院就在商業登記冊中披露個人資料及刪除權作出裁決 2024年10月4日,歐洲聯盟法院就在商業登記冊中披露個人資料及《通用數據保障條例》下的刪除權作出初步裁決。 該案件源於保加利亞最高行政法院就一名資料當事人對負責備存商業登記冊的保加利亞當局提起的訴訟而提交的初步裁決請求。資料當事人要求刪除其公司的成立文書中某些公開於商業登記冊的個人資料。 歐洲聯盟法院裁定,歐洲議會及歐洲聯盟理事會於2017年6月14日發布的第2017/1132號關於公司法某些方面的指令第21(2)條,並沒有規定成員國有責任容許商業登記冊披露,受該指令所規限而需要強制披露以外,該成員國的法律沒有規定需要披露的公司成立文書及所載的個人資料(最少量所需的個人資料除外)。而負責備存商業登記冊的當局在《通用數據保障條例》第4(7)及(9)條下既是「接收者」,亦是「控制者」。 此外,歐洲聯盟法院裁定《通用數據保障條例》第17條與第2017/1132號指令第16條一併理解時,禁止全國性法律或常規引致負責備存商業登記冊的當局拒絕刪除在商業登記冊中公布的公司成立文書中未受法律規定需要的個人資料的要求。法院同時裁定手寫簽名構成《通用數據保障條例》第4(1)條所指的個人資料。 有關損害問題,歐洲聯盟法院認為,根據《通用數據保障條例》第82(1)條,因資料已經在網上公開,而暫時失去對在商業登記冊中的個人資料的控制權,可能足以構成非物質損害。然而,資料當事人必須證明實質(即使很少的)損害,但毋須證明額外的有形後果。 最後,歐洲聯盟法院裁定監管機構根據《通用數據保障條例》第58(3)(b)條發出的意見不足以豁免成員國內負責備存商業登記冊的當局在《通用數據保障條例》第82(3)條下的責任。 有關裁決詳情,請參閱歐洲聯盟法院於2024年10月4日就案件C-200/23頒布的裁決。 |
| 2024年10月4日 |
歐洲聯盟法院釐清違反《通用數據保障條例》的賠償規則 2024年10月4日,歐洲聯盟法院就《通用數據保障條例》第82(1)條涉及非法處理個人資料而造成的非物質損害的賠償之詮釋作出初步裁決。 該案件源於拉脫維亞最高法院就一宗案件提交初步裁決請求,在該案中,一名記者對拉脫維亞消費者權利保障中心在一條消費者認知宣傳影片中未經授權使用及分發其個人資料而提起訴訟。 歐洲聯盟法院重申僅僅違反《通用數據保障條例》本身不足以構成第82(1)條所指的「損害」。要達致賠償的權利必須累積滿足三項條件:(i) 違反《通用數據保障條例》、(ii) 遭受損害,及 (iii) 該違規行為與損害之間存在因果關係。即使被違反的條例賦予自然人權利,違反該條例本身並不足以構成「非物質損害」。 此外,歐洲聯盟法院裁定,根據《通用數據保障條例》第82(1)條,道歉可構成非物質損害的足夠賠償,包括在無法還原至發生該損害前存在的情況下,前提是這種補償方式能夠完全補償資料當事人所遭受的損害。國家法院必須考慮每宗個案的情況,並確保這種賠償方式符合等同性及有效性的原則。 另外,歐洲聯盟法院認為《通用數據保障條例》第82(1)條排除考慮資料控制者的態度及動機而向資料當事人提出低於其實際遭受損害的賠償。歐洲聯盟法院強調第82(1)條的作用純屬補償性質,其與《通用數據保障條例》第83及84條下具有懲罰性的行政罰款及其他懲罰有所區分。因此,在決定賠償時只應考慮資料當事人實際遭受的損害。 有關裁決詳情,請參閱歐洲聯盟法院於2024年10月4日就案件C-507/23頒布的裁決。 |
| 2024年9月26日 |
歐洲聯盟法院釐清《通用數據保障條例》下監管機構行使糾正權力的酌情權 2024年9月26日,歐洲聯盟法院在一宗涉及資料外洩事故的案件中,就監管機構行使《通用數據保障條例》第58(2)條下的糾正權力的酌情權作出初步裁決。 TR(某銀行的一名客戶)就其個人資料被該銀行的一名僱員非法查閱一事,向黑森資料保障監管機構投訴。TR指該銀行未有根據《通用數據保障條例》要求通知他有關資料外洩事故,並批評該銀行的查閱紀錄冊的保留時間過短及授予僱員的查閱權限過大。經調查後,黑森資料保障監管機構認為該銀行作出「不太可能對TR的權利及自由構成高風險」的評估並非明顯地不正確,因此認為該銀行並無違反《通用數據保障條例》第34條。黑森資料保障監管機構要求該銀行延長查閱紀錄冊的資料保留時間,但並無詬病其授予僱員的查閱權限。 TR不滿黑森資料保障監管機構的決定,尤其是該監管機構並無根據《通用數據保障條例》第58(2)條對該銀行採取任何行動,因此在德國威斯巴登行政法院提起訴訟。案件其後被轉介至歐洲聯盟法院,以釐清當監管機構裁定《通用數據保障條例》被違反時,是否必須行使第58(2)條下的糾正權力。 歐洲聯盟法院的裁決強調,監管機構有酌情權去根據每宗案件的特定情況,並在考慮糾正措施的適當性、必要性及相稱性後,決定是否行使一項或多項糾正權力。縱然監管機構必須適當地就不足之處作出補救及確保《通用數據保障條例》獲全面執行,它們並無義務就每一宗違反行使其糾正權力。例如當已採取適當及必需的措施確保資料外洩遏止並不會再次發生時,監管機構可例外地及視乎案件的個別情況選擇不行使其糾正權力。 有關詳情,請參閱歐洲聯盟法院2024年9月26日的裁決。 |
| 2024年6月20日 |
歐洲聯盟法院釐清有關個人身份被盜而導致的非物質損害賠償的規則 2024年6月20日,歐洲聯盟法院就《通用數據保障條例》第82條下因個人身份被盜而造成的非物質損失賠償作出初步裁決。 該案件源於德國慕尼黑地方法院對兩名人士提起的訴訟而提交的初步裁決請求。該兩名申請人在一間名為 Scalable Capital 的德國公司開設賬戶,並各自在賬戶中輸入個人資料。該資料其後被不明第三方竊取,但並無跡象顯示資料被用作欺詐用途。申請人就該資料被盜而導致的非物質損害要求賠償。 該案件被轉介至歐洲聯盟法院,以釐清以下問題 : (1)《通用數據保障條例》第82條下的賠償是否純屬補償性質,抑或同時具有懲罰性及補償性; (2) 在釐定賠償金額時,是否必須考慮違反《通用數據保障條例》的嚴重程度和是否蓄意違反,以及考慮非物質損害本質上較身體傷害為輕是否恰當; (3) 當損害並非嚴重時,可否判予最低限度的賠償;及 (4) 就「身份盜竊」的非物質損害賠償而言,是否須證明身份確實有被濫用。 就問題(1)和(2),歐洲聯盟法院強調《通用數據保障條例》第82條的補償性質與《通用數據保障條例》第83條和第84條的懲罰性質之間的區別,並申明第82條下的賠償並非具懲罰性或阻嚇性,而是屬純補償性質,旨在全面及有效地補償因違反《通用數據保障條例》而實際遭受的損害。因此,法院毋須考慮違反的嚴重程度及是否蓄意違反。此外,非物質損害本質上不比身體傷害為輕,法院在釐定非物質損害的補償金額時考慮這點是恰當的。 就問題(3),歐洲聯盟法院認為《通用數據保障條例》第82(1)條並無就資料當事人所聲稱的損害設置「最低限度」的門檻,即使損害並非嚴重,只要足以補償所受損害,仍可予以判給最低限度的賠償。 就問題(4),歐洲聯盟法院裁定,當個人資料被盜的人的身份實際上被第三方濫用時,才會構成身份盜竊,並可獲非物質損害賠償。不過,法院也強調個人資料被盜所造成的非物質損害賠償,並不限於因資料被盜而導致身份盜竊或欺詐的情況。 有關判決詳情,請參閱歐洲聯盟法院 2024 年 6 月 20 日的裁決。 |
| 2024年4月11日 |
歐洲聯盟法院就《通用數據保障條例》違反個案中有關非物質損害的獲償權利發表初步裁決 2024年4月11日,歐洲聯盟法院就《通用數據保障條例》下有關非物質損害的獲償權利發表初步裁決。 一名人士(資料當事人)對一間公司(資料控制者)提起訴訟,指儘管他向公司提出反對並撤回接收促銷資訊的同意,公司仍然使用和處理其個人資料。資料當事人依據《通用數據保障條例》第82(1)條就失去對其個人資料的控制權等事宜提出索償。德國薩爾布呂肯地區法院將有關非物質損害索償門檻、資料控制者免除責任以及釐定賠償金額的問題轉介至歐洲聯盟法院作初步裁決。 在裁決中,歐洲聯盟法院強調,《通用數據保障條例》第82(1)條規定的賠償必須滿足三個條件:(i)資料當事人遭受物質或非物質損害;(ii)違反《通用數據保障條例》;以及 (iii)該違規行為與損害之間存在因果關係。因此歐洲聯盟法院認為,即使條例被違反時會賦予資料當事人權利,僅違反該條例的規定本身並不足以構成《通用數據保障條例》第82(1)條含義內的「非物質損害」,不論資料當事人所遭受的損害嚴重程度如何。 歐洲聯盟法院亦裁定,如果個人資料外洩事件是由資料控制者授權下行事的人導致,該資料控制者必須證明其任何違反《通用數據保障條例》第 5 條、第 24 條和第 32 條下資料保障義務的行為與資料當事人蒙受的損害不存在因果關係,才可依據《通用數據保障條例》第82(3)條免除責任,僅聲稱有關損害是由在其授權下行事的人的疏忽或過失所導致是不足夠的。 在釐定非物質損害賠償金額方面,鑒於《通用數據保障條例》第82條和第83條的功能並不相同,前者屬補償性質,而後者則屬懲罰性質,歐洲聯盟法院認為 (1)《通用數據保障條例》第83條下有關行政罰款金額的標準不能用於評估《通用數據保障條例》第82條下的賠償金額,以及 (2)沒有必要考慮同一處理操作中涉及多項《通用數據保障條例》違反影響索償人。 有關詳情,請參閱歐洲聯盟法院於2024年4月11日的裁決。 |
| 2024年3月7日 |
歐洲聯盟法院在一宗涉及廣告科技的案件澄清了《通用數據保障條例》下「個人資料」和「共同控制者」的含義 2024年3月7日,歐洲聯盟法院在一宗涉及廣告科技的案件中,就《通用數據保障條例》下「個人資料」和「共同控制者」的解釋作出裁決。 代表數碼廣告及營銷行業的非牟利組織IAB Europe就處理用戶資料以提供目標式廣告制定了透明度及同意框架(「該框架」)。該框架下有一套標準機制,用於請求、儲存和共享用戶對將其資料提供予目標式廣告的偏好和同意(或反對)。而該些偏好和同意則儲存在由字母及符號組成的字串中,稱為「TC 字串」。 2022年,比利時資料保障監管機構裁定該框架並不符合《通用數據保障條例》的規定,對IAB Europe施行糾正措施及判處行政罰款。IAB Europe向布魯塞爾上訴法院提出上訴,指TC字串不構成個人資料及IAB Europe並非資料控制者。布魯塞爾上訴法院將個案轉介歐洲聯盟法院作初步裁決。 就個人資料的問題,歐洲聯盟法院援引《通用數據保障條例》敘文第26條,指並沒有要求所有可識別資料當事人的資訊均須掌握在一個人手中才可被視為《通用數據保障條例》第4(1)條下的個人資料。歐洲聯盟法院亦指出,TC字串可與其他資料例如IP地址相結合以識別有關用戶。因此,歐洲聯盟法院裁定TC字串構成《通用數據保障條例》第4(1)條下的個人資料。即使IAB Europe無法自行取覽其成員在該框架下處理的資料並進行有關結合,也不會排除TC字串被歸類為個人資料。 就共同控制者的問題,歐洲聯盟法院裁定IAB Europe 能被視為《通用數據保障條例》第4(7)條和26(1)條下的「共同控制者」,因為IAB Europe為達到其組織的目的,對個人資料的處理操作施加影響,並與其成員共同決定該處理操作的目的和方式。儘管如此,歐洲聯盟法院澄清,IAB Europe所共同控制的範圍並不會延伸至該組織沒有參與的後續個人資料處理。 歐洲聯盟法院重申,共同控制不一定意味著所有共同控制個人資料處理的控制者均須承擔相同的責任,各控制者的責任視乎特定個案的所有相關情況而定。 有關詳情,請參閱(1)歐洲聯盟法院的裁決;及(2)歐洲聯盟法院於2024年3月7日發出的新聞稿。 |
| 2024年1月30日 |
歐洲聯盟法院裁定警方不應無限期儲存生物辨識資料 2024年1月30日,歐洲聯盟法院裁定,執法機構無限期保留(即除有關人士的死亡以外沒有任何時限)被刑事定罪人士的生物辨識資料和基因數據違反了歐盟法律。該案涉及一名被定罪及後來在法律上得已自新的人士要求從警方記錄中刪除其個人資料。 歐洲聯盟法院裁定,即使被定罪人士的個人資料的儲存屬一般性和不加區分,以及因應防止、偵測、調查及檢控刑事罪行或執行刑罰而屬於合理,國家當局也須規定資料控制者定期檢視是否仍然有必要保留有關資料,並授予資料當事人可要求刪除不再必要保留的資料的權利。 歐洲聯盟法院亦裁定,當國家當局有責任就資料儲存期限設定適當的時限,當局應考慮所犯罪行的性質和嚴重性,以及被定罪人士帶來的風險等相關情況,該時限才能被視為「適當」。 有關判決詳情,請參閱(1)歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2024年1月30日發出的新聞稿。 |
| 2023年12月14日 |
歐洲聯盟法院釐清判定「非物質損害」的條件
2023年12月14日,歐洲聯盟法院裁定在網絡攻擊後個人資料被濫用構成《通用數據保障條例》下的「非物質損害」。 該案件源於 2019 年保加利亞國家稅務局遭網絡攻擊,隨後網絡犯罪分子公開了數以百萬計人士的個人資料。保加利亞最高行政法院請求歐洲聯盟法院確定判定非物質損害的條件,以及資料控制者需要在多大程度上證明已採取足夠的安全措施 。
|
| 2023年12月7日 |
歐洲聯盟法院就信貸評分的合法性作出裁決 2023年12月7日,歐洲聯盟法院作出兩項裁決以反對信貸資料機構處理資料的做法。兩項裁決針對德國信貸資料機構SCHUFA根據資料當事人的個人資料而自動建立有關他未來履行還款承諾的能力的機率分數的做法,以及SCHUFA 就客戶破產資料的保留期間。 德國威斯巴登行政法院要求歐洲聯盟法院釐清信貸評分(即用於預測償還貸款等未來行為的機率的數學統計方法)是否構成《通用數據保障條例》第 22 條規定的「自動化決策」,以及 SCHUFA 保留有關免除剩餘債務的資料三年是否合法。
歐洲聯盟法院裁定,信貸評分必須被視為「自動化個人決定」,而在原則上這是《通用數據保障條例》第 22 條所禁止的,只要第三方(包括 SCHUFA 的客戶,例如銀行)認為該信貸評分在批出信貸方面具有決定性作用。威斯巴登行政法院應評估與資料保護相關的德國聯邦法律下是否有任何有效的例外條文適用於該依據《通用數據保障條例》下禁止的情況,而如有,《通用數據保障條例》處理資料的一般條件是否已符合。 |
| 2023年12月5日 |
歐洲聯盟法院就施加及計算行政罰款作出裁決 2023年12月5日,歐洲聯盟法院重申監管機構可以根據《通用數據保障條例》對資料控制者處以行政罰款的條件︰除非資料控制者是「故意地或疏忽地」違反《通用數據保障條例》,否則不應被罰款。該決定源於立陶宛和德國的案件,涉及立陶宛國家公共衛生中心 2019冠狀病毒病監察應用程式處理的公民資料,以及德國一間地產公司保留租戶的個人資料超過所需的時間。 立陶宛法院和德國法院要求歐洲聯盟法院解釋《通用數據保障條例》第 83 條有關對違規行為施加和計算行政罰款的規定。 就根據第 83 條施加行政罰款,歐洲聯盟法院裁定監管機構不得因資料控制者違反《通用數據保障條例》而對資料控制者施加罰款,除非該違規行為是不當地作出,即故意或疏忽。如果資料控制者不可能不知道其行為的違規性質,則無論它是否意識到該行為違反《通用數據保障條例》,該資料控制者亦可能就該違規行為被罰款。 此外,歐洲聯盟法院認為,如果資料控制者是法人,違規行為不一定是由其管理組織作出的,也不一定是該管理組織知悉的。相反,法人不但要為其代表、董事或經理作出的違規行為承擔責任,亦須為在該法人業務過程中或代表其行事的任何其他人作出的違規行為負上責任。另外,施加罰款並不取決於違規行為是由已識別的自然人作出的。資料控制者也可能要為其資料處理者的操作負責,而被罰款。 就根據條例第 83 條計算行政罰款,歐洲聯盟法院裁定,如果罰款對象是企業或構成企業的一部分,監管機構必須以歐盟競爭法中的「企業」概念為基礎,即縱然企業在法律上由多個自然人或法人組成,該企業仍是一個經濟單位。因此,在計算罰款時,監管機構必須以整個「企業」上一營業年度的全球總營業額作為基礎。 有關詳情,請參閱(1)歐洲聯盟法院就第C-683/21號案件及第C-807/21號案件的裁決;及(2) 歐洲聯盟法院於2023年12月5日發出的新聞稿。 |
| 2023年7月4日 |
歐洲聯盟法院裁定國家競爭規管機構可以判定競爭案件中違反《通用數據保障條例》的行為 2023年7月4日,歐洲聯盟法院裁定在濫用支配優勢的調查中,(相關歐盟成員國的)競爭規管機構可能有必要審查公司的行為是否符合競爭法以外的規則,包括《通用數據保障條例》。 不過,歐洲聯盟法院亦指出,競爭規管機構不會取代相關歐盟成員國的資料保障機構。事實上,在考慮是否有遵從《通用數據保障條例》時,競爭規管機構必須與資料保障機構真誠協商和合作,考慮它曾否在類似案件中作過決定,並且不得背離這些決定。 在目前關於德國聯邦卡特爾辦公室於2019年禁止Meta的Facebook服務在未經用戶的同意下結合不同來源的用戶資料進行個人化廣告的案件中,歐洲聯盟法院對Meta的資料處理做法作出總體評論。它指出,只有在資料處理對合約的主要事宜屬客觀上不可或缺時,才可以援引合約履行作為根據《通用數據保障條例》處理資料的法律基礎。就這一點而言,歐洲聯盟法院懷疑Meta的個人化廣告是否符合準則,並將個案發回德國法院裁決。 有關判決詳情,請參閱(1) 歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2023年7月4日發出的新聞稿。 |
| 2023年6月22日 |
歐洲聯盟法院裁定資料當事人有權查閱其個人資料曾被查看的日期和原因 2023 年 6月 22 日,歐洲聯盟法院就《通用數據保障條例》第15(1)條(資料當事人的查閱權)的解釋等作出裁決。案件涉及Pankki S(銀行)的一名同時是其前僱員及客戶的資料當事人,要求該銀行告知他曾查看其客戶資料的人士的身份、確實的查看日期,以及處理該些資料的目的(要求的資料)。 由於未能從該銀行獲得要求的資料,也未能從芬蘭資料保護監察辦公室尋求同等效力的命令,該資料當事人向東芬蘭行政法院提起訴訟。東芬蘭行政法院把案件轉介至歐洲聯盟法院,以澄清《通用數據保障條例》第15(1)條的解釋,包括︰(i) 由於相關的處理活動在 《通用數據保障條例》生效(即2018年5月25日)之前進行,《通用數據保障條例》是否適用於該查閱要求;(ii) 該資料當事人是否有權根據《通用數據保障條例》第15(1)條獲取要求的資料;及(iii) 控制者是銀行,以及資料當事人是銀行的客戶兼僱員,在界定查閱權的範圍上是否有關。 歐洲聯盟法院裁定,即使相關處理是在《通用數據保障條例》生效之前進行,《通用數據保障條例》第15條適用於該條例生效後作出的查閱要求,並裁定跟查看個人資料的日期及目的有關的資料,屬於資料當事人有權向控制者獲取的資料。然而,《通用數據保障條例》並沒有確立查閱依從控制者的指示而進行上述資料查閱的人士身份的權利,除非 (i) 有關資料是令資料當事人有效地行使《通用數據保障條例》賦予他們的權利所必需的,及(ii) 有關僱員的權利及自由已獲充分考慮。最後,歐洲聯盟法院裁定,資料控制者從事銀行業並在受監管活動的框架內行事,而資料當事人是該資料控制者的客戶兼僱員,在原則上不影響《通用數據保障條例》第15條賦予該資料當事人的權利的範圍。有關判決詳情,請參閱(1) 歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2023年6月22日發出的新聞稿。 |
| 2023年5月4日 |
歐洲聯盟法院裁定僅僅違反《通用數據保障條例》並不會引致獲得賠償的權利 2023 年 5 月 4 日,歐洲聯盟法院就《通用數據保障條例》下有關非物質損失的賠償作出裁決。案件涉及一名資料當事人投訴奧地利郵政於2017年收集有關奧地利居民政治傾向的個人資料。這些資料其後被售予不同機構,令它們得以發送有關政治選舉的目標式廣告。該資料當事人根據《通用數據保障條例》第82條申索1,000歐元的非物質損失賠償。 該案件被轉介至歐洲聯盟法院,以澄清 (1) 如資料當事人沒有因對方違反《通用數據保障條例》而受到傷害,他/她是否有權根據第82條僅因對方違反《通用數據保障條例》而獲得賠償;及(2) 非物質損害的賠償申索是否必須達到某嚴重程度的門檻,而非純粹因違反《通用數據保障條例》而引起的情感傷害便可作出賠償申索。 歐洲聯盟法院裁定第82條規定的賠償須符合三項條件︰(1) 處理個人資料的方式違反《通用數據保障條例》;(2) 資料當事人遭受物質或非物質損害;及(3) 該項違規與所蒙受的損害之間存在因果關係。因此,並非所有違反《通用數據保障條例》的情況都會引致獲得賠償的權利。 法院亦裁定,資料當事人不一定要蒙受一定嚴重程度的非物質損害才享有獲得賠償的權利。《通用數據保障條例》並不包含任何此規定,如設下此限制會違反歐盟立法機構對「損害」所採用的廣泛概念。 最後,法院留意到《通用數據保障條例》並不包含任何規管損害評估的規則。因此,在符合等同性及有效性的原則下,各成員國的法律體系應就擬為保障個人在《通用數據保障條例》下的權利而採取的行動訂明詳細的規則,尤其是訂明在相關的情況下應支付的賠償範圍的準則。 歐洲聯盟法院表明是次裁決確保《通用數據保障條例》為所蒙受的損害提供充分有效的賠償。有關判決詳情,請參閱(1) 歐洲聯盟法院的裁決;及(2) 歐洲聯盟法院於2023年5月4日發出的新聞稿。 |
| 2023年3月2日 |
歐洲聯盟法院釐清在民事訴訟中呈堂包含個人資料的證據的規則 2023 年 3 月 2 日,歐洲聯盟法院就 《通用數據保障條例》在民事訴訟中的披露程序的適用性作出裁決。一間建築公司與其客戶發生付款糾紛,當中的爭議是為稅務目的而收集的個人資料是否可以在民事訴訟中呈堂。該議題由瑞典最高法院提交歐洲聯盟法院作初步裁決。 歐洲聯盟法院裁定,任何個人資料的處理,包括由法院等公共機構所作出的處理,都必須基於《通用數據保障條例》第 6 條規定的法律依據而作出。歐洲聯盟法院檢視了《通用數據保障條例》第 6(1)(e) 條(為公共利益而作出的處理)和第 6(3) 條(歐洲聯盟成員國可就為公共利益而作出的個人資料處理採取更具體的規定,前提是此更具體的法律符合《通用數據保障條例》的公共利益目標並且與所追求的公共利益相稱),認為由於瑞典法律規定有義務向法院提交可被視為具有證明價值的證據,因此符合了《通用數據保障條例》第 6(3) 條的要求。 歐洲聯盟法院亦裁定,該些文件的披露為《通用數據保障條例》第 6(4) 條下所允許的進一步處理,而該進一步處理如為基於國家法律並且為民主社會為了保障 《通用數據保障條例》 第 23(1) 條的目標之一而作出的必要和相稱的措施便會獲允許。在其決定中,歐洲聯盟法院指出,該些目標包括《通用數據保障條例》第 23(1)(f) 條(保護司法獨立和司法程序)和第 23(1)(j) 條(民事索償的執行)。然而,歐洲聯盟法院強調,應由轉介法院檢視《通用數據保障條例》 第 6(4) 條及第 23(1) 條的要求是否經已符合。 有關判決詳情,請參閱歐洲聯盟法院2023年3月2日的裁決。 |
| 2023年2月9日 |
歐洲聯盟法院就解僱保障資料主任及利益衝突作出裁決 2023年2月9日,歐洲聯盟法院就根據《通用數據保障條例》第38(3)條解僱保障資料主任的條件及第38(6)條下利益衝突的定義作出一項裁決。案件涉及一名德國企業集團的保障資料主任於2018年5月《通用數據保障條例》剛生效時遭到解僱,他同時亦是該集團的「勞資聯合委員會主席」。該保障資料主任向德國法院提出法律訴訟,尋求法院宣布有關解僱無效,而該公司則援引利益衝突作為解僱的正當理由。德國聯邦最高勞工法院把案件轉介至歐洲聯盟法院作出澄清,當中包括︰(i)第38(3)條是否禁止成員國進一步訂立解僱保障資料主任的條件;及 (ii)第38(6)條所指的利益衝突在多大程度上能夠成為解僱保障資料主任的合理理由。 就第38(3)條,歐洲聯盟法院裁定成員國可自由「就解僱保障資料主任訂立更多保護性的具體條文」,只要這些條文不會「損害實現《通用數據保障條例》的目的」。至於第38(6)條,歐洲聯盟法院裁定保障資料主任應該「以獨立態度履行其職責及工作」,而在保障資料主任被「分派會促使[他們]決定處理個人資料的目的及方式的工作或職責」時,才產生第38(6)條所定義的利益衝突。 有關判決詳情,請參閱歐洲聯盟法院2023年2月9日的裁決。 |
| 2023年1月12日 |
歐洲聯盟法院裁定《通用數據保障條例》的行政和民事補救方法可同時並獨立行使 2023年1月12日,歐洲聯盟法院就《通用數據保障條例》的行政和民事補救方法之間的關係作出裁決。該案件涉及一名股東要求公司提供股東大會的錄音。該公司僅向該股東提供了他於會議上發言的錄音。該股東其後向匈牙利資料保障監管機構要求該公司提供有關錄音。在匈牙利資料保障監管機構拒絕其要求後,該股東就該決定提出行政上訴,並同時於匈牙利的民事法院提出訴訟,反對該公司的決定。雖然行政上訴程序仍在進行中,但民事法院已裁定該公司侵犯了該股東查閱其個人資料的權利。布達佩斯高等法院因此將有關案件轉介至歐洲聯盟法院,以澄清在審視國家監管機構所作決定的合法性下,它是否受民事法院就相同事實背景及相同侵權指控的最終判決約束,以及其中一種補救措施是否優先於另一種補救措施。 在判決中,歐洲聯盟法院認為《通用數據保障條例》沒有規定任何優先權或專屬權限或管轄權,也沒有規定任何關於監管機構或法院就是否存在侵權進行的評估的排名。因此,《通用數據保障條例》規定的行政和民事補救方法可以同時並獨立行使。每個成員國須確保同時並獨立行使的補救方法不會影響《通用數據保障條例》的有效性及對權利的有效保護、其條款被一致地應用,以及在法庭上獲得有效補救的權利。 有關判決的詳情,請參閱(1) 歐洲聯盟法院的裁決; 及(2) 歐洲聯盟法院於2023年1月12日發出的新聞稿。 |
| 2023年1月12日 |
歐洲聯盟法院確認資料當事人有權獲知其個人資料已被披露或將會被披露予的特定接收者的資料 2023年1月12日,歐洲聯盟法院就歐盟《通用數據保障條例》第15(1)(c)條下資料當事人查閱有關已經接收或將會接收其個人資料的接收者或接收者類別的資料的權利作出裁決。在該案件中,負責奧地利郵政服務的Österreichische Post AG,在回應一名資料當事人有關其個人資料的接收者的查閱資料要求時,僅提供了接收者類別的描述,而沒有透露特定接收者的身分。奧地利最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第15(1)(c)條作出詮釋。 在判決中,歐洲聯盟法院裁定,為確保歐盟《通用數據保障條例》賦予資料當事人的其他權利(包括歐盟《通用數據保障條例》第 16 條、第 17 條、第 18 條和第 21 條下的更正權、刪除權、限制處理權和反對權)的有效性,資料當事人必須有權獲知其個人資料已被披露或將會被披露予的特定接收者的資料。 儘管如此,歐洲聯盟法院指出有關權利在特定的情況下可能會受到限制,例如無法披露特定接收者的身分,尤其是在未知他們的身分的情況下,或者資料控制者可以證明資料當事人的要求,按照歐盟《通用數據保障條例》 第 12(5) 條的含義,是明顯沒有根據或過度的。 有關判決的詳情,請參閱(1) 歐洲聯盟法院裁決; 及(2) 歐洲聯盟法院於2023年1月12日發表的新聞稿。 |
| 2022年12月8日 |
歐洲聯盟法院確立「刪除權」(「被遺忘權」)涵蓋刪除明顯不實資訊 2022年12月8日,歐洲聯盟法院作出有關「刪除權」(「被遺忘權」)的裁判。該案件中的兩名投資經理要求Google移除根據他們的名字進行搜尋所顯示有關批評他們投資模式的某些文章的連結。他們表示有關文章包含不實的指控。他們同時要求Google從搜尋結果中刪除他們的照片縮圖。Google拒絕有關要求,並聲稱未有察覺該些文章包含不實資訊。德國聯邦最高法院將有關案件轉介至歐洲聯盟法院,要求就歐盟《通用數據保障條例》第17(3)(a)條有關行使刪除權和言論及資訊自由權作出詮釋。 在判決中,歐洲聯盟法院指出保障個人資料的權利並非絕對,行使有關權利必須要考慮它在社會的功能,以及根據相稱原則與其他基本權利取得平衡。雖然歐盟《通用數據保障條例》明確規定,如處理有關資料是行使言論及資訊自由權所必需的,則刪除權被排除在外,但言論及資訊自由的權利並不包括發表至少有一部分(非為不重要的事實)被證實為不實的資訊。 歐洲聯盟法院裁定,如果提出要求者提出相關及足夠的證據證明有關資訊明顯不實,搜尋引擎營運商必須要刪除有關被連結的不實資料。為免加重提出要求者的舉證責任,歐洲聯盟法院表示,有關證明不必來自對有關網絡發布者的司法判決,提出要求者只需要提供可以合理要求他/ 她試圖找到的證據。 關於照片縮圖的搜尋結果,歐洲聯盟法院認為有關展示對資料當事人的私生活及他們的個人資料構成重大影響。因此,歐洲聯盟法院需按有關照片的個別發布情況(是否在原有的文章以闡述資訊或發表意見,抑或是在其他情況發布),單獨權衡各方的權利和利益。 有關判決的詳情,請參閱(1) 歐洲聯盟法院的裁決; 及(2) 歐洲聯盟法院於2022年12月8 日發出的新聞稿。 |
B.《通用數據保障條例》下的主要發展
| 日期 | 主要發展 |
|---|---|
| 2024年1月15日 |
歐盟委員會保留所有現有的足夠保障程度決定 2024 年 1月 15 日,歐盟委員會根據 1995 年《資料保障指令》和《通用數據保障條例》完成了對現有 11 項足夠保障程度決定的審查和評估。 歐盟委員會在發布的報告中表示,從歐盟轉移到安道爾、阿根廷、加拿大、法羅群島、根西島、馬恩島、以色列、澤西、新西蘭、瑞士和烏拉圭的個人資料繼續受到足夠的資料保障措施保護。 因此,就這 11 個國家和地區所作出的足夠保障程度決定會保持不變,有關資料可以繼續自由流向這些司法管轄區。 該審查表明,這些國家和地區的資料保障框架與歐盟的框架進一步接軌,並加強了其管轄範圍內對個人資料的保障。該審查亦顯示,這11 個司法管轄區的公共機關在獲取資料方面受到適當的保障,特別是出於執法或國家安全的目的。 有關該審查的詳情,請參閱歐盟委員會於2024年1月15日公布的報告全文。 |
| 2023年7月10日 |
有關歐盟-美國數據私隱框架的足夠保障程度決定 2023年7月10日,歐盟委員會採納關於歐盟-美國數據私隱框架(數據私隱框架)的足夠保障程度決定,作出美國會向由歐盟的資料控制者或處理者根據數據私隱框架轉移至美國認證機構的個人資料提供與歐盟基本上相同的保護水平的結論。具體而言,足夠保障程度決定容許此類資料轉移可於無需取得任何進一步授權的情況下進行。 數據私隱框架引入了一些具約束力的新保護措施,包括︰
足夠保障程度決定即時生效,而數據私隱框架會在美國機構認證後開始適用。同時,歐盟委員會將定期檢討足夠保障程度決定,第一次檢討將於生效後一年內進行。 有關數據私隱框架的詳情,請參閱2023年7月10日公布的歐盟-美國數據私隱框架的足夠保障程度決定全文。 |
| 2022年3月25日 |
歐盟及美國之間新的跨大西洋數據私隱框架 2020年7月16日,歐洲聯盟法院在Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems and intervening parties一案中推翻了歐盟-美國「私隱保護盾」 的框架(常稱為「Schrems II判決」)。該框架自2016年實施以來為歐盟公司轉移個人資料至美國公司的主要機制。 歐盟委員會與美國經持續討論後,於2022年3月25日宣布雙方原則上已就一個新的跨大西洋數據私隱框架達成協議( 「新框架」),以期重新建立一個從歐盟轉移個人資料至美國的法律機制。 重點來說,新框架確保(i) 由美國進行的信號情報活動須在以達致合法的國家安全目標方面而言屬必要及相稱的;(ii) 將設立一個獨立及具約束力的申訴機制,為受影響的歐盟公民制訂補救措施;及(iii) 美國的情報機關將採取程序以確保能有效地監督新的私隱及公民自由標準的執行。 就下一階段而言,歐盟委員會與美國將會繼續準備雙方為落實新框架所需的法律文件。 有關新框架的詳情,請參閱(1) 歐盟委員會與美國有關跨大西洋數據私隱框架的聯合聲明;及(2) 美國白宮發出的新聞稿。該兩份文件均於2022年3月25日發出。 |
| 2022年3月21日 |
適用於從英國轉移個人資料的新轉移文件 《通用數據保障條例》被保留為英國的當地法律,稱為《英國通用數據保障條例》。《英國通用數據保障條例》第46(1)條容許在指定的情況下在國際間轉移個人資料,其中包括資料輸出者提供適當的保障措施(包括採納由資訊專員發出的標準數據保障條款等)。 2022年3月21日,兩項新轉移文件,即由資訊專員發出的(i) 國際數據轉移協議及(ii) 國際數據轉移附錄 (附於歐盟委員會在2021年6月就國際間轉移資料採納的標準合約條款) ,開始生效。其中,新轉移文件的目的是取代英國現行的標準合約條款,即歐盟在《通用數據保障條例》生效前採納的標準合約條款( 「舊版標準合約條款」)。 採納國際數據轉移協議及國際數據轉移附錄對資料轉移者及資料接收者的實際影響如下:
|
| 2021年12月17日 |
有關南韓的足夠保障程度決定 2021年12月17日,歐盟委員會採納有關由歐盟轉移個人資料至南韓機構的足夠保障程度決定,相關個人資料受《個人資料保護法》保障,有關額外保障措施以及官方的申述 ˴ 保證和承諾反映在決定當中。 有關南韓的足夠保障程度決定的詳情,請參閲歐盟委員會法律事務委員Didier Reynders與南韓個人資料保護委員會主席Yoon Jong In共同發出的新聞稿。 |
| 2021年6月28日 |
有關英國的足夠保障程度決定 2021年6月28日,歐盟委員會採納兩個分別根據《通用數據保障條例》及執法指令所作的有關轉移個人資料至英國的足夠保障程度的決定。當英國確保個人資料得到歐盟法律所保證的相等程度的保障,個人資料便可從歐盟自由流通至英國。 有關英國的足夠保障程度決定的詳情,請參閲歐盟委員會發出的新聞稿。 |
1 歐洲資料保障委員會於指引中臚列了五個計算行政罰款的步驟︰
(1) 識別相關的處理程序,並評估《通用數據保障條例》第83(3)條的應用;
(2) 確定進一步計算罰款的起點,方法包括︰考慮《通用數據保障條例》第83(4)-(6)條下的違規類別、違規性質及嚴重程度,以及企業的營業額;
(3) 衡量《通用數據保障條例》第83(2)條所列的加重處罰或減輕處罰因素;
(4) 確定罰款的法定最高金額(固定及動態最高金額)(以較高者為準);及
(5) 考慮罰款的有效性、相稱性及警示性。
有關詳情,請參閱該指引。