欧洲数据保护综述- 2022年12月和2023年1月

12月和1月的主要数据包括:

• 饼干:在CNIL对微软(6000万欧元)和TikTok(500万欧元)处以巨额罚款后，企业应考虑审查其cookie合合性，要求企业确保用户同意是最重要的，拒绝cookie和接受cookie一样容易;
• 更多关于cookie的信息:根据欧洲数据保护委员会(“EDPB”)通过的cookie横幅工作组报告，建议网站实施用户友好的cookie同意机制，如突出的“拒绝”按钮，并放弃使用预先勾选的选择框;
• GDPR访问权:根据最近欧洲法院(“CJEU”)的判决和瑞典法院的裁决，响应数据主体访问请求的控制者可能需要披露个人个人数据的具体接收者，而不仅仅是接收者的类别;
• 用户同意:鉴于CNIL对苹果(800万欧元)和Voodoo(300万欧元)的罚款，企业可能希望审查其同意流程，确保用于广告目的的所有跟踪器和标识符都获得同意，且设置易于访问和更改;
• 科技广告:在爱尔兰DPC对Facebook(2.1亿欧元)、Instagram(1.8亿欧元)和WhatsApp(550万欧元)罚款后，依赖合同必要性作为处理个人数据以提供个性化广告或服务改进和普遍安全的合法基础的公司可能希望考虑其他合法基础;
• ICO透明度变化:在英国ICO发布违规通知、投诉、谴责和审计记录的新做法后，组织面临数据泄露通知和执法行动的宣传风险增加;
• 身份盗窃数据保护义务和身份盗窃预防控制应同时考虑，西班牙AEPD最近对一家电信供应商罚款3万欧元，原因是未经同意处理身份盗窃受害者的数据;而且
• 员工监测:在爱沙尼亚AIK和意大利Garante最近实施了禁止雇主依赖同意的dpa的趋势之后，雇主应确保适当评估员工监控做法，并考虑同意以外的合法基础。

这些发展，以及更多，将在下面介绍。

CNIL因涉嫌非法cookie行为对微软和TikTok分别罚款6000万欧元和500万欧元

发生了什么事: 2022年12月19日，法国CNIL罚款微软爱尔兰运营有限公司6000万欧元用于:

1. 当用户未经用户同意连接到bing.com时，存储用于多种目的的cookie，包括定向广告和避免广告欺诈;而且
2. 未能实现一种机制，允许用户像接受cookie一样容易地拒绝cookie。

2022年12月29日，CNIL罚款TikTok英国和爱尔兰作为联合控制人，因未能:

1. 为用户提供拒绝cookie的能力，就像接受cookie一样容易(拒绝所有cookie需要多次点击，而不是一次点击就可以接受);而且
2. 以足够精确的方式告知用户cookie的用途。

国家信访委在计算罚款金额时指出，数据处理规模大、未成年人比例高(13 ~ 17岁占38%)是加重处罚的因素。

在罚款之前，CNIL向60家组织发出了不合规通知，这些组织不允许用户像接受cookie一样容易地拒绝cookie。

该怎么做:企业应考虑根据CNIL的cookies检讨其cookies政策的指导方针特别是要确保拒绝cookies和接受cookies一样容易。

EDPB的cookie横幅任务小组报告强调了用户友好的设计选择

发生了什么事:教育局于2023年1月通过了最终报告Cookie Banner特别小组的工作该工作组是在欧洲数字权利中心收到数百起与cookie横幅相关的投诉后于2021年9月成立的。

该报告旨在反映符合欧盟成员国实施的GDPR和电子隐私指令的“最低门槛”，强调了用户知情同意的必要性。最佳实践包括:

• 放置一个足够突出的拒绝按钮在cookie横幅，吸引用户注意;
• 没有使用预先打勾的方格取得选择同意;
• 避免欺骗性的设计选择，如误导颜色和对比;
• 实现一个清晰可见的图标或链接，允许用户随时撤回同意;
• 不使用多级横幅，可能会误导用户认为拒绝cookie是不可能的;
• 将cookie归类为“必要的”或“严格必要的”，仅当它们根据电子隐私指令或GDPR服务于必要或必要的目的时;而且
• 确保只有在存在压倒一切的合法利益的情况下，后续数据处理活动才依赖“合法利益”的概念。

该怎么做:机构可能希望将其现有的cookie横幅设计与报告的建议相对应，以确保与报告中体现的最新监管期望保持一致。

CJEU和瑞典法院认为，控制者必须根据要求披露个人数据接收者的具体信息

发生了什么事: 2023年1月12日，CJEU发现当数据主体在查阅请求中被要求时，控制者必须尽可能精确地向数据主体提供有关其个人数据接收者的信息。仅披露受赠人的类别被认为不足以回应有关具体受赠人的要求。

相关的，瑞典法院支持瑞典的IMY是2022年谴责因Klarna Bank AB未能向提出要求的资料当事人披露有关个别个人资料接收者的资料;仅提供接受者的类别是不够的。

该怎么做:公司应确保其现有的资料当事人查阅要求程序会根据草案概述上述内容EDPB指南，答复应指明具体的收件人，除非只能指明收件人的类别，或要求显然毫无根据或过分，在这种情况下，此类例外应是合理的，并有文件记录。

CNIL罚款苹果800万欧元，巫毒300万欧元，原因是未经事先同意在设备上使用广告和技术标识符

发生了什么事: 2022年12月29日，CNIL罚款苹果国际分销公司因未能收集法国iPhone用户(iOS 14.6)的同意，在他们的手机上存储或写入标识符，随后用于广告目的而被罚款800万欧元。CNIL发现，这种做法对于提供服务并不是严格必要的，未经用户同意，标识符不应该被保存，用户必须执行大量操作才能禁用此设置。在计算罚款时，CNIL考虑了受影响的用户数量以及通过使用这些标识符进行定向广告所获得的巨大利润，同时承认苹果公司已经遵守了规定。

CNIL也罚款智能手机视频游戏发行商Voodoo因未经用户同意在广告中使用技术标识符而被罚300万欧元。虽然Voodoo提供了禁用广告跟踪的选项，但禁用后，Voodoo还是会使用用户的技术标识符，并出于广告目的处理与用户浏览习惯相关的信息——未经用户同意，也与向用户指示的内容相反。在计算罚款时考虑了受影响的个人数量、处理结果所获得的经济利益以及公司最近的年度营业额。

该怎么做:企业应考虑验证其流程，以获得用于广告目的的任何跟踪器和标识符的同意。企业不应依赖预先选中的复选框，并确保设置易于访问和更改。

爱尔兰DPC完成对脸书、Instagram和WhatsApp的调查

发生了什么事: 2023年1月4日，爱尔兰DPC发布了一项新闻稿证实在EDPB于2022年12月干预后，它已经完成了对Meta Ireland的两项调查。这两项调查都涉及为投放个性化广告而处理用户数据所依据的法律依据。EDPB维持了爱尔兰DPC最初决定的部分内容，但在几位dpa的干预下，也确定Meta不能依赖其基于合同的理由来提供个性化广告，并指示DPC将相应的罚款增加到2.1亿欧元(Facebook)和1.8亿欧元(Instagram)。

DPC随后发布了一份新闻稿证实该公司已完成对WhatsApp Ireland的类似调查，并开出了550万欧元的罚单。DPC合并了EDPB的一项发现，即WhatsApp不能依赖其基于合同的论点，要求用户同意使用数据来实现“服务改进”和“安全”，并为“IT安全”预留了空间，这反映出对合同服务性质的看法比DPC最初发现的要狭隘。

该怎么做:商界不妨检讨，在处理个人资料以投放个性化广告或改善服务和普遍安全时，在哪些情况下他们依赖合同必要性作为合法依据，并考虑在哪些情况下可能需要其他合法依据，以确保这种依赖符合环境保护局的新期望。

英国ICO启动透明度推动

发生了什么事:英国ICO的新政策，即从2022年1月起在其网站上发布所有的谴责网站在2022年11月之后公告英国信息专员约翰·爱德华兹就这一主题发表了一篇文章，详细阐述了ICO发布监管意见书细节的发展方法。

除非有充分的理由，否则将会公开谴责。 关长解释称，改变有关训斥的规定，是希望加强问责制，并让经济界别了解采取执法行动的原因。训诫的发布将进一步深入了解ICO的监管期望和优先事项，以及不合规的潜在后果。

这反映了一个明显的变化，从以前的政策“不经常”发布谴责，但与ICO现在发布关于“数据保护投诉它收到，自我报告的漏洞那不包括调查跟进，网络事故及调查包括ICO调查和个性化服务审计发现等等。

该怎么做:组织在深入了解ICO的期望和执行实践时，在考虑与数据主体投诉、违规通知和执行行动相关的宣传风险时，以及在挑战ICO行动可能符合组织利益时，应牢记ICO的发布实践。

西班牙AEPD罚款电信公司€因消费者身份盗窃而违反GDPR，罚款3万英镑

发生了什么事:西班牙AEPD罚款电信提供商Orange Espagne, S.A.U.(“Orange”)在未经知情同意的情况下进行数据处理。Orange在没有充分验证客户数据的情况下建立了手机合同和SIM卡，导致了未经同意的身份盗窃和受害者个人数据的数据处理。

AEPD对Orange处以5万欧元罚款，在承认有罪并自愿付款后，罚款降至3万欧元。

为强调保障资料和防止欺诈职能之间协调的重要性，环保署概述了广泛适用于消费者业务的补救措施，包括:

• 确保在整个产品/服务生命周期内控制身份盗窃的风险;
• 根据公共数据源(例如，全国人口普查)验证客户信息;
• 监测以发现可疑的未付款客户、账户或电子商务交易集中;
• 指定内部团队专门升级有关未确认订单、可疑交易和资产偿付能力的投诉;而且
• 在注册阶段使用外部身份检查平台拒绝或接受申请。

该怎么做:公司应考虑重新审视现有的数据处理和欺诈预防政策和程序，以确保这些政策和程序符合AEPD的建议措施，特别是那些与产品-服务生命周期开始时的身份检查和验证有关的措施。

dpa继续反对在同意的基础上对员工进行监控

发生了什么事: 2022年12月，意大利的DPA，加兰特,爱沙尼亚的DPA, AKI，宣布决定起诉两家公司非法监控员工。两家监管机构都拒绝将同意作为监控的合法依据。

的Garante罚款Sportitalia 2万欧元用于使用生物指纹采集考勤系统。Sportitalia声称，它寻求知情同意，并为那些不同意的人提供了另一种徽章系统，但加兰特认为，该公司未能向员工提供足够的信息，并且不允许撤回同意。

的阿基命令酒店公司OÜ Laidoneri KV要求停止使用闭路电视摄像机监控其员工，直到进行合法利益评估，发现标识不够充分，并且除了担保之外，还发现同意不是在雇佣关系中处理个人数据的合法基础。在这方面，没有必要进行监测以履行合同或法律义务，只有正当利益可以作为合法的基础。

该怎么做如我们先前所述在这里，在这里,在这里，继续密切监察工作地点的监察措施。各公司不妨检讨其监察措施，以确保建立适当的合法基础，并向雇员提供足够的资料。鉴于对于在雇佣情况下是否可以自由同意进行监察的意见众说纷纭，雇主不妨考虑其他的法律依据。的EDPB的指导方针视频监控和英国ICO指导草案对员工的监控可以作为有用的指导。

订阅数据博客，请点击这里．

本文的封面由DALL-E制作。