GDPR, ISS를 만나다: 법원은 데이터 컨트롤러 역할을 어떻게 해석하고 있는가

The intersection of the General Data Protection Regulation (GDPR) and Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes and means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users and third-party content providers, the lines of responsibility blur.

Recent case law from the Court of Justice of the European Union (CJEU) has significantly expanded the interpretation of joint controllership, placing new obligations on platform operators, website owners, and service providers engaged in collaborative data processing. Below, we explore key judgments and their implications for platform accountability.

Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership

In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.

Key Findings:

• Even though the page administrator could not access personal data directly, the CJEU found that it influenced the purposes and means of data processing by configuring the page and selecting target demographics.
• The decision introduced a broad and functional definition of joint controllership, emphasizing actual influence over data use, not just access.

Implications:

• Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
• ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.

Fashion ID Case (C-40/17): Social Plugins and Shared Responsibility

In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.

Key Findings:

• The operator of a website is a joint controller for the collection and transmission of personal data (such as IP addresses and browser information) to Facebook.
• The operator is 아님 a controller for subsequent processing carried out solely by Facebook.

Implications:

• This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
• Websites using embedded tools must disclose data transfers in their privacy notices and, where required, obtain valid consent for third-party data collection.

Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership

Although not focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.

Key Findings:

• The religious community and individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
• The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.

ISS에 대한 시사점:

• 사용자 데이터 수집에 대해 플랫폼과 제휴사가 협력하는 경우(비공식적인 경우에도) 공동으로 책임을 져야 할 수 있습니다.
• 비공식적이거나 분산된 처리 구조는 공동 관리 의무로부터 법인이 보호받지 못함.

Bundeskartellamt 대 Meta (사건 T-201/22): 경쟁, GDPR을 만나다

아직 사법 개발 중이지만, 독일 경쟁 당국의 Facebook(현재 Meta)에 대한 소송은 다음 사항에 이의를 제기합니다. 과도한 데이터 수집 둘 다 하의 연습 GDPR 및 경쟁법. CJEU는 다음 사항을 명확히 해야 합니다. 플랫폼 지배력 및 사용자 동의 데이터 보호 원칙에 따라 상호 작용합니다.

새로운 트렌드:

• 법원과 규제 당국은 점점 더 많은 플랫폼 전체 추적 그리고 서비스 전반의 데이터 통합 정보에 입각하고 자발적으로 제공된 동의 없이 남용적이거나 불법적인 것으로 간주될 수 있습니다.

ISS 제공업체를 위한 주요 내용

1. 합동 관리자 책임을 사전에 평가하십시오
   공유 도구, 플러그인 또는 분석 기능과 관련된 모든 협업은 공동 책임을 발생시킬 수 있습니다. 계약 및 개인 정보 보호 정책을 통해 합의를 공식화하고 역할을 명확히 하십시오.
2. 세그먼트 처리 단계
   책임은 특정 처리 단계에만 적용될 수 있습니다. 귀하의 조직이 데이터 수집 및 전송을 시작하거나 기여하는 위치를 명확하게 식별하십시오.
3. 투명성 및 동의 메커니즘 강화
   타사 도구를 삽입하시나요? 눈에 띄게 공개하고 법적으로 요구되는 경우, 특히 마케팅 및 프로파일링의 경우 사용자 동의를 얻으십시오.
4. Joint Controller Agreements(JCA) 구현
   GDPR 26조에 따라 공동 관리자는 다음을 확립해야 합니다. 공동 통제자 계약데이터 주체에 대한 책임을 할당하고 연락 창구를 제공합니다.
5. 데이터 보호를 넘어 법률 개발 추적
   공동 관리 책임의 문제는 이제 경쟁법, 소비자 보호 및 플랫폼 규제와 교차합니다. 디지털 서비스에 영향을 미치는 광범위한 법적 동향에 대해 계속 주시하십시오.

결론

유럽사법재판소(CJEU)의 진화하는 판례는 다음과 같이 확고히 확립되었습니다. 정보 사회 서비스는 컨트롤러십 책임을 공유할 수 있습니다. 웹사이트 운영자, 파트너, 심지어 사용자와도 데이터 상호 작용의 성격에 따라 달라집니다. 법률 자문과 규정 준수 팀에게는 플랫폼을 중립적인 호스트로 분류하는 것만으로는 충분하지 않습니다. 데이터 수집 및 사용 방식에 대한 실제 영향력이 이제 결정적인 요소입니다.

디지털 서비스법(Digital Services Act), e개인정보보호 규정(ePrivacy Regulation) 및 지속적인 GDPR 시행에 따라 규제 환경이 더욱 복잡해짐에 따라 ISS 제공업체는 다음을 도입해야 합니다. 포괄적이고 문서화된 접근 방식 데이터 거버넌스 및 컨트롤러 책임으로.

데이터 처리 관계 검토 또는 GDPR 준수 공동 관리자 계약 초안 작성에 도움이 필요하십니까? 당사의 데이터 보호 팀은 EU 전역의 플랫폼 및 디지털 서비스 제공업체에 합법적이고 투명한 데이터 관행을 구조화하는 방법에 대해 자문합니다. 상담을 받으려면 연락하십시오.