奧地利:維也納高等法院確認對 Facebook 提出的損害賠償要求

刊物: March 09, 2021

Back to overview

作者

相關專家指南

2020 年 12 月 7 日(於 2020 年 12 月 28 日送達),高等地方法院(Oberlandesgericht Wien, OLG)就 Schrems v Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b) 一案的上訴程序作出裁決。(GZ 11 R 153 / 20f, 154 / 20b)。[1]在確認民事區域法院 (Landesgericht für Zivilrechtssachen) 的判決後,法院認為社交媒體平台有義務提供原告完整的資料存取權,因此要求該公司支付 500 歐元的賠償金(GDPR 第 82 條)。

儘管如此,法院也得出結論,依據歐盟資料保護法 (Article 6(1)(a) GDPR) 的規定,資料處理的行為並不需要平台取得使用者明確、獨立的同意,但這樣的資料使用權是 Facebook 憑藉其合約條款與條件所固有賦予的。

該判決以多項法律申訴為中心,並引起以下三個不同的問題。

資料保護法下的各方角色分配

原告

  • 原告認為,平台使用者被視為其為個人目的所操作的資料應用程式的負責方或「控制者」(GDPR 第 4(7)條);
  • 被告依據合約作為「處理者」,阻止他在沒有或違反原告指示的情況下執行任何資料應用程式;
  • 儘管原告人有權訂立符合 GDPR 第 28(3)條規定的合約,但該合約尚未訂立。

被告

被告應被視為與原告有關的唯一責任方,原告對宣告性濟助缺乏興趣。

OLG (pp 21-23)

  • 僅僅使用社交網路平台本身並不會使使用者對該網路進行的個人資料處理負上共同責任;
  • 對於粉絲頁面應有所區分,粉絲頁面的經營者會協助處理訪客的個人資料,使其成為控制者 (ECJ C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. para.35、36 和 41 段)。
  • 因此,Facebook 使用者僅是第三方個人資料的共同責任人(GDPR 第 4(7)條),而僅是其個人資料的資料當事人。

對個人資料處理的有效同意

原告

  • 同意社交媒體平台的使用條款及相關資料使用指引,並不構成 GDPR 第 6(1) 及 7 條所指的有效同意;
  • 與自 2018 年 5 月 25 日起生效的 GDPR 條文相反,舊資料保護法所規範的民法合約中並沒有明確的「同意」要求;
  • 透過在 GDPR 生效前將事先同意整合至公司的條款與條件,使用者無意間被迫簽訂新合約,讓平台得以規避現行 GDPR 規定下更嚴格的資料保護標準;
  • 因此,原告並未就被告進行的資料處理給予 GDPR 所指的有效同意。

被告

平台進行的資料處理符合 GDPR 第 6(1)(b)條的規定,因為這是履行合約的必要部分。

OLG (pp 23-24)

  • GDPR 允許不同的個人資料處理基準,尤其是在資料當事人為一方的契約有必要履行時 (GDPR 第 6(1)(b) 條);
  • 在此根據個別情況決定必要性,並適當考慮合約目的和合約內容所產生的義務;
  • Facebook 商業模式的精髓及其契約目的的重心在於
    • 對使用者而言:取得個人化通訊平台的存取權;
    • 對平台而言:無需額外費用即可使用;
  • 因此,經營平台的公司可能會訴諸其他資金來源,例如針對特定使用者量身打造的廣告;
  • 個人使用者資料的處理是平台與使用者之間協議的基本支援支柱,因為這是允許針對個別使用者的興趣量身打造廣告的基礎;
  • 資料處理的必要性在於,這些資訊的使用一方面塑造了使用者的個人化體驗,同時也構成了平台獲取利潤的財務渠道。

要求提供資訊

原告

  • 根據 GDPR 第 15 條的規定,原告已提出提供資訊的請求,但尚未獲得答覆;
  • 被告僅提供部分使用和處理 (個人) 資料的資訊,並未履行其法律責任;
  • 資料處理的不確定性造成原告的精神痛苦,原告有權獲得 500 歐元的非實質損害賠償。

被告

  • 被告沒有失職;
  • 原告並未就損害賠償申索提出具決定性的指控。

OLG (24-29)

  • Facebook 未允許其使用者存取其存取工具中的資料,因此原告有權根據 GDPR 第 15(1) 條提起訴訟;
  • 原告有權獲得以下相關資訊
    • Facebook 正在處理的個人資料及其目的(GDPR 第 15(1)(a)條);
    • 個人資料之揭露對象,即(類別)接收者(GDPR 第 15(1)(b)條);
    • 若非從原告處收集的資料,其來源(GDPR 第 15(1)(g)條);
  • 500 歐元的金額反映原告所遭受的輕微不適並證明是合理的。

意見

與原告的意見一致,歐洲資料保護局之前已明確禁止處理特殊類別的個人資料,除非獲得明 確同意或基於相當大的公眾利益原因而有必要處理 (GDPR第9(2)(g)條)。雖然資料使用的合約條款仍可用於資料轉移,但不足以取代提供此類同意的必要性[2]

雖然 OLG 已允許向奧地利最高法院提出上訴的權利,但預計所提出的法律問題將在適當時候再次提交歐盟法院審理。

資源

  1. 判詞德文版請參閱:https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf。
  2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34.Plenartagung:Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen."Europäischer Datenschutzausschuss - European Data Protection Board。網址為:edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-i-interplay_de[accessed 05.02.2021]。

本文內容旨在提供相關主題的一般指南。有關您的具體情況,應尋求專家建議。

Back to overview