GettyImages-169937464_SMALL即使仅提供移动应用程序,该应用程序的提供者是否可以使该应用程序的提供者遵守欧盟(EU)国家/地区的隐私法(即使提供者在欧盟没有任何机构或存在)?海牙地方法院对这个问题的回答是肯定的。法院于2016年11月22日确认,应用程序提供商应遵守《荷兰隐私法》 仅通过提供在荷兰用户手机上可用的应用程序,即使他们在那里没有公司或员工。

语境。欧盟隐私法通常基于两个触发因素而适用:(i)公司在欧盟有实体存在(以营业所,办公室或其他形式)并且实体存在涉及收集或以其他方式处理个人信息;或(ii)如果公司没有实际存在,但使用位于欧盟的设备和手段来处理个人信息。

背景。 2013年,荷兰数据保护局(DPA)对WhatsApp的行为进行了调查,该行为要求包括荷兰在内的用户将其电子通讯录访问WhatsApp,并使其能够记录电话号码,包括非WhatsApp的电话号码用户在其美国服务器上。在调查之后,DPA命令公司根据该法第4条任命一名荷兰代表负责遵守《荷兰隐私法》(即,处理用户个人信息的公司在该公司中没有营业所)荷兰,但在那里使用设备)。

主要发现。法院裁定,仅通过在荷兰提供应用程序,该公司即可在荷兰“使用设备”(即安装了该应用程序的智能手机),即使该设备不是公司自己的或不是专门购买的设备。法院还发现,此类设备用于处理个人信息(例如,访问用户的通讯录并将某些信息转移到美国)。结果,这触发了通过《荷兰隐私法》在荷兰实施的欧盟隐私规则的应用。

法院还驳回了该公司的论点,即仅在欧盟向DPA负责信息和报告职责的情况下任命代表,而不能实质性遵守《荷兰隐私法》。相反,法院认为该代表必须遵守《荷兰隐私法》的整个范围。

为了支持其观点,法院提到了 适用法律 and 智能设备上的应用 )(第29条工作组(WP29,欧盟成员国DPA的财团)),并向欧洲法院解释了欧盟隐私权规则的适用范围, Google诉西班牙 情况(即,即使Google的搜索引擎是在美国境外管理的,它也要遵守欧盟的隐私权规则, C-131 / 12)。

有趣的是,法院在做出裁决时依赖WP29。尽管法院将WP29的工作称为“建议”,从而承认它不具有约束力,但法院还是引用了此类建议以支持其自身的调查结果和裁决。

结论。应用程序开发人员将需要注意海牙地区法院 WhatsApp的 这项决定,因为它似乎大大拓宽了欧盟隐私规则的范围。

应用程序几乎总是在全球范围内提供。在下面 WhatsApp的 这项决定,仅是应用程序开发人员在欧盟拥有客户,并且可以访问(甚至在一定距离之外)此类用户的个人信息这一事实,可能意味着该应用程序开发人员需要遵守欧盟的隐私规则,包括任命欧盟的代表。想要避免这种义务的应用程序开发人员可能需要地理限制其应用程序的可用性(例如,应用程序商店中的限制),或者避免收集用户的信息(例如,.,这可能仅适用于信息丰富的应用)。

最后,尽管在新的欧盟隐私制度(通用数据保护条例,于2018年5月25日生效)下,这种“设备使用”标准将消失,但将由适用性新标准代替,包括提供产品或向欧盟居民提供的服务。这很有可能(尽管法院尚未在法庭上 WhatsApp的 案),法院也将在新的欧盟隐私制度下得出类似的结论。

海牙地方法院的决定可以得到 这里.

* * * *

有关欧洲移动应用的更多信息,请参见以下内容 社交意识 博客文章: 在欧洲启动移动应用程序?起草条款时要考虑的七件事& Conditions; 欧洲隐私管理者对应用程序的使用发表重要意见.