2020.12.07（2020.12.28送達）に、高等地方裁判所（Oberlandesgericht Wien, OLG）は、控訴手続きに関する判決を下した。 Schrems v Facebook Ireland Ltd.(GZ 11 R 153 / 20f, 154 / 20b)。¹ 民事問題を扱う地方裁判所（Landesgericht für Zivilrechtssachen）の判決を確認し、ソーシャルメディア・プラットフォームは、原告について保持されているデータへの完全なアクセスを提供する義務があるとし、その結果、企業は500ユーロの賠償金を支払う必要があるとしました（GDPR第82条）。

それにもかかわらず、データ処理の行為は、EUデータ保護法（GDPR第6条(1)(a)）に従い、プラットフォームがユーザーから明確な個別の同意を得ることを必要とせず、そのようなデータ使用の権利は、契約条件によりフェイスブックに本質的に与えられているとも結論づけています。

この判決は、いくつかの法的な不満を中心に、以下の3つの異なる問題を提起しています。

データ保護法における当事者の役割分担

原告

• 原告によれば、プラットフォームの利用者は、個人的な目的のために自らが操作するデータアプリケーションに関して、責任者または「管理者」（GDPR第4条(7)）であると考えられています。
• 被告は、契約により「処理者」としての役割を果たしており、原告の指示なしに、または原告の指示に反して、データアプリケーションを実行することはできません。
• 原告にはそのような契約を結ぶ権利があるにもかかわらず、GDPR第28条(3)の要件を満たす契約が締結されていません。

被告

• 被告は、宣言的救済の利益を欠く原告との関係において、唯一の責任者とみなされる。

OLG（21-23ページ

• ソーシャルネットワークのプラットフォームを利用しただけでは、そのネットワークで行われる個人データの処理に対してユーザーが共同で責任を負うことにはなりません。
• ファンページについては、そのページの運営者が訪問者の個人データの処理に貢献し、管理者となる場合は区別される（ECJ C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. para.35、36、41）。)
• したがって、Facebookユーザーは、第三者の個人データに関する共同責任者（GDPR第4条（7））であり、自身の個人データに関するデータ主体であるに過ぎません。

Effective Consent 個人データの処理について

原告

• ソーシャルメディアプラットフォームの利用規約および関連するデータ利用ガイドラインに同意しても、GDPR第6条(1)および第7条の意味における有効な同意にはなりません。
• 2018.05.25付で施行されたGDPRの規定とは逆に、旧データ保護法に準拠した民法の契約では、明示的な「同意」の要件が定められていませんでした。
• GDPR発効前に事前同意を企業の規約に組み込んだことで、ユーザーは不用意にも新たな契約を強いられ、現行のGDPR規定のもとでより厳しいデータ保護基準を回避することができました。
• そのため、被告が行うデータ処理について、原告からGDPRの意味での有効な同意は得られていませんでした。

被告

• プラットフォームによって行われたデータ処理は、契約履行に必要な部分を構成していたため、GDPR第6条(1)(b)の規定に沿っていました。

OLG（23-24ページ

• GDPRでは、データ対象者が当事者である契約の履行に必要な場合（GDPR第6条(1)(b)）を中心に、個人データの処理についてさまざまな根拠が認められています。
• 必要性は、契約目的や契約内容から生じる義務などを考慮して、個別に判断します。
• Facebookのビジネスモデルの本質とその契約上の目的が中心となっています。
  • ユーザー：パーソナライズド・コミュニケーション・プラットフォームにアクセスするため。
  • プラットフォームの場合：追加コストなしでアクセスを可能にすること。
• そのため、プラットフォームを運営する企業は、特定のユーザー向けにカスタマイズされた広告など、他の資金調達手段に頼ることになります。
• ユーザーの個人情報の処理は、プラットフォームとユーザーの間の契約を支える基本的な柱であり、個々のユーザーの関心事に合わせた広告を可能にする基盤となっています。
• データ処理の必要性は、そのような情報の利用が、一方ではユーザーの個別の体験を形成し、他方ではプラットフォームが利益を得るための金融チャネルを構成するという点で確立されています。

情報提供のお願い

原告

• GDPR第15条に基づき、情報提供の要請が提出されたが、回答が得られなかった。
• 個人）データの使用および処理に関する情報を部分的にしか提供しないことは、被告の法的義務を果たすことにはなりません。
• データ処理に関する不確実性が精神的苦痛をもたらしたため、原告は500ユーロの非物質的損害賠償を受ける権利を有する。

被告

• 被告はその義務を果たさなかったわけではない。
• 原告は、損害賠償請求に関して決定的な主張をしていない。

OLG（24-29

• フェイスブックは、アクセスツールのデータへのアクセスをユーザーに許可していなかったため、原告はGDPR第15条(1)に根ざした訴訟権を得ることができました。
• 原告は、以下に係る情報を得ることができる。
  • Facebookが処理している個人データとその目的（GDPR第15条(1)(a)）。
  • それぞれの個人データが開示される相手、すなわち受取人の（カテゴリー）（GDPR第15条(1)(b)）。
  • 原告から収集していない場合のデータの出所（GDPR第15条(1)(g)）。
• 500ユーロという金額は、原告が被った不快感の程度が小さいことを反映しており、正当であることが証明されました。

コメント

原告の提出した内容に沿って、欧州データ保護庁はこれまで、明示的な同意が与えられるか、またはそのような処理が相当な公共の利益の理由で必要である場合を除き、特別なカテゴリーの個人データの処理を明示的に禁止してきました（GDPR第9条(2)(g)）。データの使用に関する契約条項は、データの移転の際にも使用することができますが、このような同意が提供される必要性に取って代わるには十分ではありません。²

オーストリア最高裁判所への上告権はOLGによって認められていますが、提起された法的問題は、いずれ欧州連合司法裁判所に再び持ち込まれることが予想されます。

脚注

1 判定はドイツ語で行われます。 https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34.Plenartagung:Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEPĎuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen.". 欧州データ保護委員会 (Europäischer Datenschutzausschuss).で利用可能です。 edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [accessed 05.02.2021].

この記事の内容は、一般的な目安を示すことを目的としています。あなたの具体的な状況については、専門家のアドバイスを求めるべきです。