奧地利：Schrems vs. Facebook：最新消息

維也納地區民事法院已就行動人士 Max Schrems 與社群媒體平台 Facebook 之間的資料保護訴訟作出裁決。該判決是在今年稍早於奧地利首都舉行的口頭聽證會之後做出的，當時 Facebook 的歐洲隱私權總監 Ceilia Alvarez 面對了圍繞以下幾點的問題：

• 該公司取得使用者同意的能力；
• 該公司是否遵守活躍於該網路網站的使用者所提出的資料要求；以及
• 澄清「刪除資料」一詞及其實際涵義。

判決於 2020 年 6 月 30 日宣判，儘管 Facebook 因違反使用原告個人資料的揭露義務而需支付 500 歐元的損害賠償，但該網路服務在處理原告資料時被視為以合約或法律共犯的方式行事。

裁決

以下法律事項值得強調：

依據一般資料保護規範 (GDPR) 處理資料

• 法院判決，Art.2 GDPR 不適用於因私人或家庭活動而處理個人資料。
• 原告據稱在建立私人帳號時與 Facebook 訂立了合約 (「資料處理協議」)。
• 他對平台的個人使用導致他不在 GDPR 的範圍內。
• 因此，資料處理是根據 GDPR 進行，只要原告不刪除其帳戶，資料處理就會繼續允許。只有這樣，雙方之間的合約才會終止。

條款與條件

• 法院進一步認為，強制性救濟的請求要求相關行為不僅要被禁止，還必須存在重複上述非法行為的現有風險，即被告已經違反了法律上既定的規範。
• 在本案中，原告可以同意被告處理其個人資料。透過接受被告的條件，他已自願同意其條款。
• 被告的經濟模式以透過度身訂造的廣告及商業內容創造收入為基礎。為了向大眾提供免費服務，其收入來自處理用戶資料以出售給廣告商，廣告商可將用戶資料用於有針對性的廣告目的。
• 使用平台會導致使用者有意識地接受商業內容，這些內容的個人化性質是基於個人品味、偏好、興趣，這些資料因此構成使用條款的一部分。
• 由於個人化廣告構成所提供服務的重要組成部分，並且是合約中特定使用條款的結果，因此被告負責指定合約目的，而原告也願意同意。

敏感資料

• 根據法院的判決，違反 Art.9 GDPR 的規定。
• 就政治興趣或性取向的敏感資料而言，法院認為，對政黨或同性的興趣不一定反映被告對特定政治觀點的歸屬或暗示性取向。此外，由於後者已由原告公開，因此並未違反 GDPR。
• 由於被告僅是處理資料，因此法院無法判定被告有任何應負責任的違法行為。

損害賠償

• 15 GDPR 規定，被告有義務在被告認為與使用者相關的適當期間，提供所有個人資料的相關資訊。
• 由於被告違反其責任，原告未獲提供有關所有儲存資料的充分概覽。
• 原告失去控制權及相關的不確定性，使他有權要求損害賠償及釋放所有要求的資料。

評論

本判決書詳細說明 Facebook 建立使用者個人資料的方式，即利用瀏覽網頁的歷史記錄，以及從與朋友或「類似」使用者的連線中取得的資訊。儘管如此，該判決並沒有承認這些資料的敏感性。雖然強制釋出原告的記錄使得 Facebook 極有可能提出上訴，但 Schrems 先生已表示計畫在未來四週內提出上訴。我們希望將此案交由高等法院審理，將可更清楚地瞭解 Facebook 活動的合法性及其 (未) 遵守 GDPR 的情況。就像之前的案例一樣，這也有可能將幾個問題轉介給歐洲法院（ECJ）。

資源

最初於 2020 年 7 月 08 日發佈

本文內容旨在提供相關主題的一般指南。應就您的具體情況尋求專家建議。