百事可乐公司(PepsiCo)因数据泄露而被罚款5,000欧元。的 决定 但是,它具有更广泛的影响,重新定义了数据控制器和数据处理器的概念。

2012年10月,一个土耳其黑客组织曾能够入侵百事可乐的匈牙利域,导致数据泄露,导致50,000个数据对象,包括姓名,出生日期,电话号码和电子邮件地址在Internet上公开了在九个月的时间内。该数据是由代理商Createam结合促销游戏“ 3D观看世界”收集的。针对投诉,百事可乐公司删除了所有数据,并实施了通知和补救程序以减轻违规行为。百事可乐通过互联网名称与数字地址分配机构(ICANN),找到了黑客并发起了针对该组织的刑事诉讼。尽管百事可乐采取了积极措施,NAIH还是发起了调查。 NAIH辩称百事可乐违反了匈牙利数据保护法第7条 2011年第CXII号法,关于信息的自决和信息自由,这要求数据控制者按照该法案执行数据处理操作,包括实施适当的保护措施和安全措施,以保护该数据免遭未经授权的访问,更改,删除,意外丢失或公众暴露。

百事可乐试图辩称,基于与Createam签订的合同中的定义以及所有处理活动均外包给代理商的事实,Createam是应对违反行为负责的数据控制者。为了加强论点,百事可乐公司依靠 欧盟指令95/46 / EC,它将数据控制器定义为 ‘自然人或法人,公共当局或代理机构或任何其他机构,单独或与他人共同决定处理个人数据的目的和意义。” 根据这种解释,百事可乐认为Createam是收集所有数据的实体,而百事可乐无法访问该实体,因此在此基础上应视为数据控制者。 Createam成功地反驳了百事可乐是数据控制者的考虑,因为该机构从百事可乐收到了有关百事可乐的所有有关处理的指示,并且该违规行为本身是由百事可乐的托管服务提供商托管的网站,该网站与该机构没有法律关系。

因此,此案促使人们重新考虑数据控制器和数据处理器的定义。 NAIH转向 第29条数据保护工作组的意见1/2010 以“控制者”和“处理器”的概念为依据,发现作为数据控制者的定义是,实体为自己的目的选择处理个人数据,而与双方之间的合同无关,视为数据控制器。同样,NAIH强调Createam是数据处理者,因为它是代表控制者处理数据的独立法人实体。因此,由于缺乏安全措施,百事可乐因违反匈牙利法律第7条承担责任,罚款50,000欧元。

该决定的意义在于以下事实:当确定当事方之间的责任在哪里时,NAIH在采用欧盟法律中公认的控制者和处理者的定义的同时,进一步保留了根据通过数据处理来确定当事方的角色,而不论合同协议下当事方的定义如何。