2019年7月17日,土耳其个人数据保护委员会(以下称“委员会”)在DPA的官网上发布了五项关于隐私的决定摘要。

通过公司电子邮件地址使用私人电子邮件服务(委员会第2019/157号决定)

针对委员会就“关于由外国公司提供的私人电子邮件服务是否可用于通过开放源代码电子邮件服务获得的公司电子邮件地址” 问题发布的指南,数据控制者曾经提出过相关问题和请求,委员会在2019年5月31日发布的2019/157号决定就该问题和请求进行了说明。委员会指出,使用相关私人电子邮件服务基础设施通过相关电子邮件地址发送或接收的电子邮件可能存储在位于世界不同地区的数据中心,这种情况下个人数据将被视为转移到了国外,因此,委员会得出结论认为,愿意使用相关私人电子邮件服务的数据控制者应遵守土耳其数据保护法下的个人数据跨境转移规则(关于保护个人数据的第6698号法律“DPL”第9条,该法区分个人数据转移到土耳其第三方和个人数据转移至第三国。

转移个人数据到第三方:原则上,得到数据主体的明确同意个人数据可以转移到第三方。适用于收集和处理个人数据的条件和豁免适用于将个人数据转移给第三方。个人数据转移至第三国:除了向第三方转让个人数据的条件和豁免外,还应满足以下任一条件才能将数据转移到第三国各方:1、将发送个人数据的国家具有足够的保护水平;2、土耳其和目标国家的数据管理员应以书面形式保护并获得数据保护委员会的许可)。此外,委员会表示,数据控制者/数据处理者通过位于国外的服务器获得的存储服务也应符合DPL第9条的规定。

在没有数据主体明确同意的情况下发送商业电子通信(委员会第2019/162号决定)

委员会于2019年5月31日作出的编号为2019/162的决定,涉及一名数据当事人提出的投诉,理由是未经其明确同意,商业电子通信已被发送至其手机号码。数据当事人称,首先,他/她不知道他/她的个人资料被获取的地点和方式;其次,他/她没有明确同意接收此类通讯;另外,他/她联系了数据控制者要求获取相关信息但在法定时间段内没有收到数据控制者的回应。

数据当事人要求委员会提供以下信息:一是数据控制者是否明确同意发送商业电子通信;二是他/她的个人数据是否已经处理,如果是,处理的目的是什么;三是他/她的个人数据已经在土耳其转移给了哪些主体;四是他/她的个人数据是否已经被转移到国外,如果是,那么是向谁转移的;五是数据控制者是否知道向他/她发送商业电子通讯的事实。

委员会对投诉进行了评估,并得出结论,认为向数据当事人的移动电话号码发送商业电子通讯是一项处理数据的活动,而在目前的个案中,处理这些数据并不是基于《公开数据守则》所列的任何法律理由。因此,委员会对该数据控制者处以行政罚款50,000新土耳其里拉,原因是数据控制者未能采取技术及管理措施,确保足够的安全保障,以保护及防止非法处理及查阅个人数据。

健身中心处理个人生物识别数据(委员会决定2019 / 81,2019 / 165)

委员会2019年3月25日(2019/81)和2019年5月31日(2019/165)的决定涉及两个不同的数据控制者在其会员进出期间处理个人生物识别数据,这两个数据控制者都是健身运营中心。数据当事人多次向委员会发出通知,表示他们关注健身中心如何安全储存他们的生物识别数据,包括指纹和手掌印,以及在电视屏幕上公开展示他们的照片和他们最后一次参观这些设施的时间等做法。

委员会表示,尽管生物识别数据未列入DPL规定下的特殊个人数据类别,但GDPR将“生物识别数据”定义为与自然人的身体、生理或行为特征相关的特定技术处理产生的个人数据,或确认为该自然人的唯一身份,例如面部图像或指纹数据。

此外,委员会还提到了GDPR的规定以及土耳其国务委员会对个人生物识别数据的某些标准作出的决定,并指出有关数据控制者会通过使用成员的生物识别信息处理特殊类别的个人数据标识。

提及其他国务委员会和欧洲人权法院的决定、第29条工作组对生物识别技术发展的看法以及DPL规定的用于合法处理个人数据(如比例性)的原则,委员会得出结论,数据控制者“要求其成员使用手指和指纹扫描方法的做法是获得健身中心提供服务的必要和唯一途径,这是不符合比例和必要原则的。

关于数据控制者是否已获得明确同意的问题,理事会强调,第一,成员必须根据健身中心的在线会员协议明确同意指纹和掌纹的收集和使用方法;第二,除非他们明确表示同意,否则成员无法接受数据控制者提供的服务,因此,明确同意是作为数据控制者提供服务的先决条件;第三,就目前的情况而言,明确的同意并不是通过自由意志给出的。

鉴于上述情况,委员会决定对数据控制者即健身中心实施行政处罚,原因是:第一,没有遵守“个人数据必须与处理目的相关,而且包括收集数据有限且不过量”的原则,根据DPL的第4(2)条,存在成员识别和入口控制的其他替代方法,收集指纹和掌纹就并非必要的;第二,没有采取所有技术和管理措施以确保提供足够的数据保护,防止非法处理个人数据;第三,数据控制者并没有正式取得数据主体的同意;第四,未能遵守委员会的主要决定,数据管理者没有采取技术和行政措施,以防止第三方看到会员的个人信息。

委员会还命令数据控制者采用替代方法进行入口检查并立即停止处理生物识别信息;而且要立即删除先前获得的手指和掌纹信息,并按照DPL立法的规定告知已向其转移相关个人数据的第三方(如果有),以确保数据控制者能够完成所有的清除活动。

向数据主体的电话号码发送包含不相关内容的消息(董事会决定2019/166)

委员会于2019年5月31日作出的2019/166号决定是在一项投诉中提出的,该投诉声称律师向他/她的电话号码发送了一条短信,内容与另一个人(他也恰好是投诉人的侄子/侄女)有关。

申诉人表示他向数据控制者提出了有关事件的申请,数据控制者解释说事件是由于员工操作失误而发生的,因为员工在相关电话号码中错误输入了一位数,因此,短信一直是送错了人。然而,申诉人辩称,事件不可能是由数据控制者的描述而发生的,因为他/她的号码和侄子/侄女的电话号码相差不仅一位数。

数据保护委员会指出,就本案而言,下列两项数据处理活动是由一项行为产生的:一是第三人的姓名、姓氏和电话号码(投诉人的侄女/侄子)被发送给投诉人;二是一条短信被发送给投诉人。因此,投诉人的个人数据在没有DPL中列出的任何法律原因的情况下得到处理。

鉴于上述情况,委员会认为数据控制者未能履行其防止非法处理个人数据的义务,因此对数据控制人处以5万泰铢的行政罚款。

在同一事项上发送多条消息到数据主体的电话号码(理事会的决定2019/159)

委员会2019年5月31日做出的编号为2019/159的决定涉及一家资产管理公司,该公司在未获得数据主体明确同意的情况下,就同一事项多次向有关数据主体额电话号码发送短信。

数据主体表示:第一,短信不包括选择退出选项;第二,他/她不知道数据控制者从何处和如何获得他/她的个人数据;第三,他/她向数据控制者提出了申请,但没有在法定时间内收到数据控制者的回复。

关于未能对数据主体的申请作出回应的问题,委员会决定不对数据控制者采取行动,因为数据控制者通过帖子记录证明了在法律期间已经向数据主体发送了回复,数据主体也接收了答复,并且该回复涵盖了数据主体提出的所有问题。

委员会还决定不对案文内容采取行动,其解释称,在数据主体的银行债务已经被依法适当转移到数据控制者后,这些消息是按照银行立法和金融协议规则发送的。数据控制者发送信息的目的是确保数据主体向正确的对象支付他/她的债务。因此,委员会得出结论认为,本案中的数据处理活动可以在未获得数据主体明确同意的情况下进行。

另一方面,委员会表示,数据控制者通过滥用其可以发送信息的权利在不同日期向数据主体多次发送了具有相同内容的消息而对数据控制者施加了20,000新土耳其里拉的行政处罚,以便确保个人数据被合法、公平地处理以及数据控制者能够采取一切技术和行政措施确保足够的数据保护水平,防止非法处理个人数据。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。