經營FB粉絲頁的GDPR法遵風險

2018-09-19

裁決的法院認為,在FB經營粉絲頁的公司,同樣屬於個人資料的控管者(controller),應履行個資法規定的義務與責任,且即便粉絲頁所進行的個資蒐集、處理活動,並非發生在該公司設立的會員國境內,該國的個資主管機關仍有權採取必要的措施,停止可能的個資侵害情形。

蔡朝安 合夥律師 / 張馨云 副總經理 / 林勇麒 律師 

於今年6月5日間,歐洲聯盟法院(Court of Justice of the European Union, CJEU) 對於會員國所提出,有關個人資料保護指令(Data Protection Directive,95/46/EC)的解釋上疑慮,作出初步裁決(preliminary ruling)。裁決的法院認為,在FB經營粉絲頁的公司,同樣屬於個人資料的控管者(controller),應履行個資法規定的義務與責任,且即便粉絲頁所進行的個資蒐集、處理活動,並非發生在該公司設立的會員國境內,該國的個資主管機關仍有權採取必要的措施,停止可能的個資侵害情形。上開議題及裁決,對於我國經營FB粉絲專頁的企業而言,應是頗值關注的議題。

背景事實

於2011年11月3日,德國什勒斯維希 – 霍爾斯坦邦「獨立資料保護中心」(Unabhängiges Landeszentrum für Datenschuutz Schleswig-Holstein)(下稱「ULD」)主張德國「什勒斯維希-霍爾斯坦經濟研究院」 (下稱「什邦經研院」)所經營的FB粉絲頁,在未告知粉絲頁訪客的情況下,就使用Cookies技術蒐集訪客的個資。ULD以該個資活動違法為由,請什邦經研院關閉其FB粉絲頁。

什邦經研院向德國法院起訴,主張應撤銷ULD的處分,理由主要包括:1)本案中蒐集、處理粉絲頁訪客個資的是FB愛爾蘭公司(下稱「愛爾蘭FB」),什邦經研院並非個資的控管者或處理者;2)個資的處理活動發生在愛爾蘭,ULD對之無管轄權。德國高等行政法院(Oberverwaltungsgericht)雖作出對什邦經研院有利的認定,然再次上訴後,德國聯邦行政法院(Bundesverwaltungsgericht)對相關法條的解釋有疑慮,故暫時停止審理,請歐盟法院先作出裁決。

會員國監管機關的管轄權

個人資料保護指令規定,各會員國應將內國法規適用於「控管者在會員國內組織的個資處理活動」,而當控管者在數個會員國內都設有組織時,各會員國應採取必要的措施,例如透過行使「干預權」(effective powers of intervention)等,來禁止違法的個資處理活動,確保各組織履行其法定之義務。本案的爭議在於,實際上個資處理的活動是由第三人(愛爾蘭FB)進行,此時ULD是否可以對什邦經研院發動干預權,間接地禁止德國境內的個資處理活動。若否,則ULD應請愛爾蘭的監管機關協助,直接禁止愛爾蘭FB處理個資,而非間接強制什邦經研院停止經營粉絲頁。

對此,歐盟法院的答案也是肯定的,理由在於,第一,根據調查,FB將其在歐洲的工作分工如下:愛爾蘭FB負責所有粉絲頁訪客個資的處理,德國的FB則負責對德國住民行銷、銷售廣告版面。歐盟法院認為,因FB個資處理的價值重點就是在銷售廣告版面上,兩者無法脫鉤,則既然FB在德國境內的活動與愛爾蘭FB的個資處理有不可分割的連結,二者都屬於「控管者(FB)在會員國內的組織的個資處理活動」,則ULD對於在德國境內與FB粉絲頁訪客的個資蒐集、處理相關的活動,即有監管的權力。第二,個人資料保護指令賦予各會員國監管機關監管的權力是「獨立」的,該權力之內涵應解釋為,當境外第三人的個資活動違反個資保護規定時,各會員國的監管機關得在不依賴他會員國的情況下,獨立調查該行為的合法性,並行使干預權。

在這樣的解釋下, 本案中ULD在未請愛爾蘭的監管機關協助下,對什邦經研院發動干預權請其關閉粉絲頁,應該不會被認定違反歐盟個人資料保護指令。

從個人資料保護指令到GDPR

在今年5月25日,歐盟個人資料保護指令被新的歐盟「一般資料保護規範(GDPR)」取代,實際來看,GDPR的規範密度與個人資料保護指令相較,實有過之而無不及。

以本案而言,首先,因GDPR並未修正個人資料保護指令對於控管者的定義,故對於有在經營FB粉絲頁的企業而言,在GDPR施行後,至少必須注意是否負有對於訪客的告知義務,以及是否切實履行該等義務。再來,在GDPR下,各會員國的監管機關也享有獨立的監管權力,但GDPR修正刪除原本「干預權」的用語,而是直接揭示並強調,各監管機關在行使職權確保GDPR的遵循時,不受外界直接或間接的影響,也不應尋求或依照任何人的指示行動。

小結

對於我國企業來說,即便有經營FB粉絲頁,除非依粉絲頁的內容可以預期將會蒐集到歐盟居民個資,或是確實有針對歐盟居民有蒐集其個資的意圖,否則在現行GDPR的法規下,尚無須過度擔心上開案例的類似情況。然而,由於我國現下正積極籌劃取得歐盟GDPR的適足性認定,未來國內的個資相關法規勢必將會提昇法遵的規格;另外,在歐盟會員國有分支機構的國內企業,當然有更高的必要對上開議題加以注意。正本清源之道,還是在相關蒐集、處理及利用個資的流程中,即作好每項告知及安全維護等措施,如此作法,一旦法規有更廣泛的適用,或更嚴格的修法,都不致有觸法的風險。

Contact us

蔡 朝安

普華商務法律事務所 主持律師, PwC Taiwan

Tel: +886 2 27295200

張 馨云

副總經理 / 資深律師, PwC Taiwan

Tel: +886 2 27295200, x23613

關注我們