责任：处理个人数据的责任

fabiha01

除夕夜是我们回顾过去一年、庆祝成就、纠正自己所犯的错误或尚未实现的目标的时刻。我还发现，这时我开始后悔购买的一些节日礼物。我原以为黑色星期五的美好事物却变成了一场噩梦；要么这个玩具声音太大，要么它经不起 4 岁孩子的发脾气，要么它就是我孩子之间争吵的根源。在节日购物时，我会努力做出明智的、有根据的决定；考虑噪音水平、固执以及需要多少东西才能让我家里的所有人都满意，但有时无论我事先做了多少研究（有时忽略一两个不好的评论）或事后判断，我为圣诞节购买的东西都只是错误。我怪不了别人，只能怪我自己，我创造了这个孩子，我给他买了一个吵闹讨厌的玩具，他坚持说他需要父母才能玩，但他的兄弟姐妹不能碰。

节日礼物的遗憾提醒我们，选择及其后果会如何影响我们。同样，企业必须考虑其对个人数据安全的责任，失误可能会造成严重后果。公司对其旗下处理个人数据的设备、基础设施和员工负有责任。去年圣诞节期间，欧洲联盟法院（CJEU）在多项判决中阐明，以安全方式处理个人数据的责任不能被转移或抹去。在这些情况下，法院确认控制者或处理者应对数据泄露造成的损害承担责任，除非其能够证明其对造成损害的事件不负有任何责任。这意味着，公司无法逃避将责任归咎于他人的责任，除非他们能证明自己与造成损害的原因无关。

近期欧盟法院案件的教训
在欧盟法院去年 12 月裁决的案件中，控制者试图表明他们属于《第 14 条》规定的例外情况。 82 GDPR，巴西商业传真列表 指出损害来自他人的行为，无论是员工、黑客还是其他方。在VB诉Natsionalna Agentsia za Prihdite（C-340/21）案中，法院就黑客攻击作出了如下陈述：

“根据该条例第 82(1) 和 (2) 条，控制者不能仅仅因为数据主体遭受的损害是由于‘第三方’未经授权披露或访问个人数据而造成的，就免除其对数据主体支付赔偿的义务……”

控制者负责保护其处理的个人数据，并必须建立适合数据可能被第三方访问、更改或删除，从而对数据主体造成损害的风险的技术和组织措施。证明他们的努力对于此类索赔而言是适当的举证责任完全在于控制者。法院在 ZQ v. Medical Service of Health Insurance Nordrhein ( C-667/21 ) 案中表示，“GDPR 规定了基于过错的责任，其中举证责任不在于遭受损害的人，而在于控制者。”

为了加强这一论点，法院在 VB v. Natsionalna Agentsia za Prihdite 案中辩称，欧盟立法机构旨在加强数据主体的权利和控制者的义务，要求后者证明所有安全措施都是适当的，并鼓励他们在处理个人数据时更加谨慎。

法院必须反复确保数据控制者知道何时他们对不遵守《通用数据保护条例》（GDPR）的行为负责。今年 4 月，萨尔布吕肯地区法院对GP vs. Juris GmbH ( C-741/21 ) 案作出判决。本案再次明确了控制者对个人数据处理造成的损害承担责任。在这种情况下，控制者不应对损害负责的论点是，员工的行为导致了数据泄露。然而，法院表示，

“……控制者应采取措施确保任何在控制者授权下行事的自然人，在有权访问此类数据的情况下，不会处理这些数据，除非根据控制者的指示，除非欧盟或成员国法律要求他或她这样做。

控制者的员工确实是根据该控制者的权力行事的自然人。因此，该控制者必须确保其员工正确执行其指示。”

法院再次指出，如果仅仅将行为归咎于控制者控制下的某人就能逃避责任，那么法律的本质就会受到破坏。本案例强调，全面的员工培训和监督在 GDPR 合规性方面是不可协商的。

承担责任
虽然我很高兴看到收到礼物的人眼中闪烁的光芒，但我知道我的选择可能会导致节日购物引起的噪音和争论。正如赠送礼物的喜悦可能会因其意想不到的后果而黯然失色一样，企业从处理个人数据中获得的利益也伴随着沉重的责任。控制者必须对其数据处理选择和结果负责。仅仅责怪他人是不够的，责任在于那些出于自身目的处理个人数据的人，只有承担起责任，才能创造一个更安全的环境。

控制人员必须明白，他们为创建标准操作程序所付出的努力不能超过这些程序的实施。控制者必须培训员工、审核流程并维护最先进的安全性，以便他们正在处理的个人数据的保护始终处于最前沿。

因此，当您回顾过去的一年并展望新的一年时，请确保您的公司不会在法庭上争论谁应承担损害赔偿责任。将数据保护放在首位。审查您的政策，培训您的员工，并确保您的系统安全并准备好应对未来的挑战。确保给予客户的信任和隐私礼物不会成为事后的遗憾。最终，责任不是负担——它是信任的基础，也是更安全的数字世界的关键。