패션 ID 판단 및 데이터 주체의 권리에 미치는 영향

September 23, 2019

원본링크

이 게시물은 IsabelData Han이 PersonalData.IO에서 짧은 인턴십의 일환으로 작성했습니다.

“이사벨은 런던 경제 대학에서 LLB 법의 마지막 해를 시작하려고합니다. 그녀는 데이터 보호 및 데이터 권한, 개인 정보 보호 및 사이버 보안에 중점을 둔 조직과 협력하고 싶습니다.

이것은 PersonalData.IO에서 이사벨의 두 번째 인턴쉽입니다. 작년에 그녀는 개인 데이터 생태계의 체계적인 투명성을 창출하기위한 변화의 대리인으로서 데이터 주체의 권리에 초점을 두었습니다. 최근의 패션 ID 판단에 비추어, 그녀에게 그 관점을 다시 방문하도록 요청하는 것은 당연한 일이었습니다.

또한 Isabel은 https://forum.personaldata.io 에서 새 포럼을 설정하고 시작하는 데 도움을 주었으며 전문가의 도움을 받아 여기에서 탐구 한 아이디어를 구체적인 행동으로 변환하는 데 도움을 줄 것입니다. 이사벨의 도움에 감사 드리며 이제 그녀를 인계 받게 해주세요.”

Paul-Olivier Dehaye 씀

사진

룩셈부르크, 유럽 연합 재판소

2019 년 7 월 29 일, 유럽 연합 재판소 (“CJEU”) 는 EU 데이터 보호법에 따라“공동 통제” 매개 변수를 명확히 하는 패션 ID 사례 ( C-40 / 17 사례 )에 대한 결정을 발표했습니다.

이 글에서 우리 는 패션 ID 가 데이터 주제의 관점에서 갖는 의미에 대한 이해를 설명합니다 . 이 글은 사건의 배경과 그 발견 및 데이터 주체가 자신의 데이터 권리를 행사할 수있는 방식에 대한 판결의 파급 효과에 대해 논의 할 것입니다.

PersonalData.IO가 수행하는 작업은 개인이 액세스 권한을 체계적으로 사용하여 (GDPR 제 15 조) 과거 데이터 처리 이벤트 전체를 소급 적으로 조사 할 수 있도록하는 데 중점을두고 있습니다. 이를 고려하여, 패션 ID 판단 의 특별한 중요성은 개인이 자신의 개인 데이터 처리를 설명하기 위해 보유 할 수있는 사람에 대한 명확성을 제공한다는 것입니다.

Like

사건의 배경

독일 온라인 의류 소매업 체인 Fashion ID는 웹 사이트에 Facebook ‘좋아요’ 버튼을 삽입했습니다. 그 결과 사용자가 Fashion ID의 웹 사이트를 방문 할 때마다 내장 플러그인이 해당 사용자의 개인 데이터를 Facebook Ireland로 전송했습니다. 이 전송은 사용자가 Facebook ‘좋아요’버튼을 클릭했는지 여부 및 Facebook 계정이 있는지 여부에 관계없이 방문자가 알지 못하고 발생했습니다 (이 경우 개인 데이터가 아니라고 주장 할 수 있음) 반드시 식별 할 수있는 것은 아닙니다). 독일 소비자 보호 협회 (Verbraucherzentrale NRW eV)는 데이터 주체의 동의없이 그리고 개인 정보 보호와 관련된 조항에 따라 정보를 제공 할 의무를 위반하지 않고 데이터를 Facebook Ireland에 전송하기 위해 Fashion ID에 대해 법적 조치를 취했습니다. 결정은 최근의 일반 데이터 보호 규정 (GDPR) 이 아니라 이전의 데이터 보호 지침 95 / 46 / EC (DPD)에 따라 결정되었지만, 해당 정책이 다루는 개념은 규정 (GDPR에 따라)으로 유지되었습니다. 제 26 조)에 따라서 결정은 분명합니다.

판결, 1 부 — 공동 통제 체제 확립

이 판단은 자신의 목적을 위해 개인 정보 처리에 영향을 미치는 자연인 또는 법인이 개인 정보 처리의 목적과 수단의 결정에 참여하는 관념으로 간주 될 수 있음을 재확인한다 [68]. 컨트롤러를 광범위하게 정의하면 데이터 주제를 효과적이고 완전하게 보호 할 수 있습니다 [66]. 더 중요한 것은 Fashion ID 가 공동 통제 개념을 재확인하는 것입니다.

판단 결과 웹 사이트 운영자 가 개인 데이터를 다른 웹 사이트로 전송하는 플러그인을 웹 사이트에 내장하면 컨트롤러로 간주 됩니다 . Fashion ID 는 웹 사이트 운영자와 데이터를 전송하는 후속 당사자 모두 가 공동 컨트롤러가 될 것임을 분명히합니다 [85].

이런 의미에서, Fashion ID 는 법원이 팬 페이지 운영자가 공동 컨트롤러임을 확인한 Facebook 팬 페이지 결정 ( Wirtschaftsakademie Schleswig-Holstein , (C 210/16))을 포함한 공동 컨트롤러 쉽을 다루는 이전 ECJ 사례를 기반으로합니다. 페이스 북 아일랜드는“데이터 처리의 목적과 수단을 결정하는 데 기여”했기 때문입니다. 데이터 주제의 관점에서, 공동 통제 개념의 재확인은 웹 사이트 운영자와 플랫폼이 데이터 처리에 중요한 역할을했을 때 단순히 책임을 회피 할 수 없다는 것을 의미하기 때문에 승리입니다. 그러나 Fashion ID 법원은 “공동 책임의 존재 가 개인 정보 처리에 종사하는 다양한 운영자의 책임 을 반드시 똑같이 의미하지는 않는다 ”고 밝혔습니다 [70]. 법원 은 개인 정보의 수집 및 전송으로 인해 Facebook과의 공동 관제사 임에도 불구하고, Facebook이 후속 처리 에 Fashion ID 의 책임을 적용하지 않았다고 판결함에 따라 판결 자체에 설명되어 있습니다.

GDPR 제 26 조는 공동 관리자가 통제자로서의 각자의 책임과 데이터 주체의 권리를 투명하게 제시 할 수있는 조치를 취해야한다는 것을 분명히하고있다. 이 결정에 따라 변호사는 계약을 업데이트하여 이러한 의무를 더 좁고 구체적으로 만들 것입니다. 그러나 패션 ID는 불행히도이 요구 사항의 구현이나 실제로 얼마나 엄격한지를 밝히지 않습니다. 제 26 조는 공동 관리 협정이 데이터 주체에 대한 접점을 지정할 수는 있지만 명시 할 필요는 없다고 규정하고있다. 양 당사자가 공동 관리자가되는 것은 공정하고 잘 이루어 지지만, 사용자의 데이터 및 개인 정보를 보호하는 방법에 대한 상호 합의가 결여 된 경우, 데이터 주체가 자신의 권리를 적절하게 활용할 수 있도록하려면 어떻게해야합니까? 아마도이 토론은 현재 판단의 범위를 벗어나지 만 Fashion ID는 분명히 이러한 질문을 떠올리게합니다. 이러한 관점에서, 판단은 데이터 주제를 다소 어두운 물에 남겨 둡니다.

판결, 2 부 — 조인트 컨트롤러의 책임 범위

이전에는 웹 사이트 운영자가 웹 사이트 방문자의 개인 데이터를 수집 하여 Facebook에 전송 하는 경우 Facebook과의 공동 컨트롤러가되는 방법에 대해 논의했습니다 . 그러나 위에서 언급 한 바와 같이, 웹 사이트 운영자의 책임은 ‘실제로 처리 목적과 수단을 결정’하는 개인 데이터의 처리로 제한됩니다. 이것은 의미 명백한 데이터 주제에 컨트롤러를 보유 할 수없는, 계정 그들은 그들이에 관련된 주장하는 그 이상 데이터 처리에 대한합니다. 책임이 제한적인 것 같습니다.

아아, 웹 사이트 운영자의 책임은 제한적일뿐 아니라 동의를 얻는 의무와 데이터 주체에게 처리 사실을 알리는 의무도 있습니다. 처리가 웹 사이트 운영자가 주요 플레이어 인 운영 영역을 넘어 서면 [85], 운영자가 발생할 수있는 전체 처리 범위를 공개 할 의무는 없다 [105]. 그렇다고해서 해당 처리에 대한 동의를 얻어 데이터 주체에게 처리를 알리는 데이터를 수신하는 제 2 컨트롤러에 대한 의무가 없음을 의미하지는 않습니다. 실제로, 두 번째 컨트롤러는 반드시 준수해야하는 데이터 주제에 대한 자체 의무 세트를 갖습니다. 판단이 가리키는 것은 첫 번째 컨트롤러가이 추가 처리가 발생할 수 있음을 데이터 주체에게 공개 할 의무가 없다는 것입니다. 데이터 주체는 첫 번째 컨트롤러가 더 넓은 범위를 대신하여 투명성을 제공 할 것으로 기대할 수없는 것 같습니다. 생태계.

실제로, 책임, 동의 및 정보 제공 의무는 웹 사이트 운영자가“ 실제로 처리의 수단과 목적을 결정하는 정도”에 달려 있습니다 [85, 100, 102]. 다시 말하면, 웹 사이트 운영자의 의무는 그들이 포함하는 프로세스까지만 진행됩니다. 데이터 주제의 경우 양날의 칼입니다. 한편으로, 데이터 주체는 어느 컨트롤러가 그들에 대한 의무가 있는지를 알고 우선 순위를 제공 하는 패션 ID 판단에 책임 이 있음을 의미합니다. 그러나, 일단 처리가 초기 웹 사이트 운영자를 넘어 후속 컨트롤러로 이동하면, 불투명도는 투명성을 대체 할 가능성이 있으며, 데이터에 대한 책임을 묻기 위해 데이터를 처리 할 대상을 파악해야합니다.

CJEU의 판단은 여러 계층의 처리에 대한 책임, 동의 및 통보 의무가 어떻게 수립되는지에 대해서는 침묵하는 것으로 보인다. 간단히 말해, 판단은 더 큰 생태계로 확장 가능한 투명성을 확립 할 것을 요구하지 않습니다. 이것은 패션 ID 에서 추가 처리가 사건의 법적 당사자가 아닌 플랫폼 (Facebook)에 의해 수행 되었기 때문에 위에서 언급 한 질문이 제기되지 않았기 때문일 수 있습니다 . 그러나 데이터 주체의 관점에서 볼 때 Fashion ID 는 개인 데이터 처리의 첫 번째 사례에서 누가 책임을 져야하는지 명확하게 해 주지만 , 데이터 주체에게 데이터의 추가 처리를 밝혀내는 데 필요한 법적 자극을 제공하는 것은 거의 없습니다. 그 후에 일어났다.

예를 들어, 데이터 주체가 웹 사이트 운영자에 대한 액세스 권한을 행사하여 데이터가 어디서 어떻게 사용되었는지 이해하기로 결정한 경우에 발생할 수 있습니다. 이 판단은 웹 사이트 운영자가 제공해야하는 정보가 단지 그들이 목적과 처리 수단을 결정하는 운영에만 관련되어 있음을 다시 한번 강조한다 [106]. 이것은 웹 사이트 운영자가 데이터 주체의 정보가 더 처리되고 있음을 공유해야하는지 여부에 대한 질문을 열어 둡니다. 긍정적으로 대답하면, 웹 사이트 운영자가 누구 를 처리 해야하는지 와 처리의 효과 를 공개해야하는지 여부에 대한 두 번째 질문을 제기합니다 .

데이터 주제의 관점에서, 패션 ID 판단이 완전히 긍정적이지 않을 수 있다고 주장 됩니다. 데이터 주체가 자신의 데이터를 처리하는 사람을 해독 할 수단이 없다면, 그들의 권리를 행사하기가 훨씬 더 어렵습니다.

패션 ID — 선, 악, 미지

그렇다면 데이터 생태계에 대한 통찰력을 높이기 위해 자신의 권리를 행사하고자하는 데이터 주체 집단에게 이것이 무엇을 의미합니까? Fashion ID를 사용하면 웹 사이트 운영자와 플랫폼이 점점 공동 컨트롤러로 간주 될 가능성이 높아져 일부 형태의 책임을 회피하기가 더 어려워집니다. 좋은 소식은 데이터 주체가 첫 번째 인스턴스에서 데이터 처리를 담당 할 컨트롤러를 알고 있다는 것입니다. 액세스 권한 요청에 대해 책임을 져야 할 사람을 알 수 있습니다. 나쁜 소식은이 첫 번째 책임을 넘어서서, Fashion ID 는 제 15 조의 수령인 (범주)을 공개 할 의무를 넘어 컨트롤러가 후속 처리를 공개 할 의무가 없다는 것입니다. 공동 통제 개념이 광범위 해 보이지만, 판결은 데이터 주체가 처리 된 데이터를 추적하는 데 도움이되는 방식으로 공동 제어기 간의 관계를 다루지 않습니다. 이는 생태계 투명성에 부정적인 영향을 미치며, 데이터 주체는 다음에 데이터가 어떻게, 누구에게 사용되었는지 독립적으로 조사해야 할 것입니다. 그리고 그 외에도 Fashion ID 는 알려지지 않은 부분, 즉 책임을 설정하는 방법, 동의를 얻는 의무 및 여러 계층의 데이터 처리에 대한 정보를 제공 할 의무가 있습니다. 이 결정은 중개자를 통해 광고주에게 공간을 판매하는 웹 사이트 운영자 및 게시자에게 큰 영향을 줄 수 있습니다. 당사자 간의 계약을 통해 데이터 책임이 웹 사이트 운영자에게 전달 될 수 있지만 이것이 보장되지는 않습니다. 데이터 주제의 경우 이러한 질문을 공중에 두는 것은 데이터 권한을 체계적으로 사용하여 데이터 처리 이벤트의 전체 기록을 조사하는 전투가 끝나지 않았다는 것을 의미합니다.

원본 저자: Paul-Olivier Dehaye

Chris Lee

Created by MyData Korea Hub.
MyData Korea Hub Official 웹사이트입니다.
트위터 계정 @MyDataKorea를 팔로우하고 최신 소식을 받아보세요.