Discuz! Board

 找回密碼
 立即註冊
搜索
熱搜: 活動 交友 discuz
查看: 1|回復: 0
打印 上一主題 下一主題

欧洲法院裁决 C-768/21:监管机构是否有义务采取行动?

[複製鏈接]

17

主題

17

帖子

53

積分

註冊會員

Rank: 2

積分
53
跳轉到指定樓層
樓主
發表於 2025-5-12 14:59:32 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
“公平竞争”的座右铭不仅适用于体育运动,也适用于数据保护。如果球员的行为违反比赛规则,裁判将给予警告或(在最坏的情况下)罚下场。这与数据保护类似。如果有人违反数据保护法规,监管机构通常会进行干预。但监管机构是否像体育裁判一样,每次出现“犯规”都要采取行动,还是也可以“睁一只眼闭一只眼”呢?时任不来梅州数据保护和信息自由专员 Sommer 博士以及欧洲法院法官最近在 2024 年 9 月 26 日的判决 ( C-768/21 ) 中表示。

以下博客文章旨在概述监管机构的权力、判决的事实和判决的理由。

关于监管机构权力的一般信息
监管机构及其活动受《条例》的管制。 51 及以下GDPR。 GDPR 第 58 条全面规范了监管机构的权力。警告(参见 GDPR 第 58(2)(b)条)和罚款(参见 GDPR 第 58(2)(i)条)可能是众所周知的。不过,当局还有其他选择。例如,主管部门可以对处理施加临时或永久限制,包括禁令(参见 GDPR 第 58(2)(f)条)或下令暂停向(不安全的)第三国或国际组织的接收者传输数据(参见 GDPR 第 58(2)(j)条)。

事实
一名银行员工多次未经授权访问客户的数据。尽管储蓄银行注意到了这一事件,但并未通知客户。据 Sparkasse 的数据保护官称,由于没有复制个人数据,也没有将数据存储在其他地方,因此相关客户的权利和自由不会受到太大风险。作为补救措施,已对该员工采取纪律处分。

该数据保护事件还被报告给了负责的监管机构——黑森州数据保护和信息自由专员公署(HBDI)。客户得知其个人客户资料被未经授权访问后,根据《条例》第 14 条提出投诉。 77 GDPR。

HBDI 认为本案无需制裁或罚款,并在通知中告知了受影响的客户。监管机构为其决定辩解称,爱尔兰商业传真列表 此次违规行为并未对《第 14 条》所规定的权利和自由造成高风险。 34 GDPR。特别是,没有证据表明数据已被传递给第三方或被用于损害有关客户的利益。此外,还对该员工采取了纪律处分。

然而,这对于顾客来说还不够。他希望迫使监管机构对储蓄银行采取行动。他特别希望根据 GDPR 第 58(2)条对这家储蓄银行处以罚款。在此基础上,当事人向威斯巴登行政法院(VG)提起诉讼,该法院责成监管机构采取行动(另见beck-aktuell)。原告认为,“一旦发现侵权行为,[...]机会原则将不适用,因此,HBDI 没有自由裁量权,最多只能选择采取哪些措施。”(欧洲法院判决 C-768/21,第 19 段)

威斯巴登行政法院随后根据《欧洲联盟运作条约》第 267 条的规定,在初步裁决程序中将此问题提交给欧洲法院,具体如下:

“GDPR 第 57(1)(a) 和 (f) 条以及第 58(2)(a) 至 (j) 条与第 77(1) 条相结合,是否可以解释为,当监管机构确定数据处理侵犯了数据主体的权利时,监管机构始终有义务根据该条例第 58(2) 条进行干预?” (欧洲法院判决 C-768/21,第 23 段)

欧洲法院裁决
因此,法官认为,GDPR 的规定应这样解释:监管机构不一定需要在发生数据保护违规行为时处以罚款。

判决理由表明,主管监督机构有义务根据《条例》第14条的规定,采取补救措施进行干预。 GDPR 第 58 条第 (2) 款,即

“考虑到案件的所有情况,实施 GDPR 第 58(2) 条规定的一项或多项补救措施是适当、必要和相称的,以纠正已发现的不足并确保完全遵守本条例。” (欧洲法院判决 C-768/21,第 42 段)

不过,欧洲法院也表示,在特殊情况下,即使发生了数据保护违规行为,监管机构也可能不必干预个案。欧洲法院认为,可能会出现这样的特殊情况,

“如果发现的违规行为不具有持续性,例如,控制者原则上已根据本条例第 24 条的规定实施了适当的技术和组织措施,并考虑到其在 GDPR 第 5(1) 条和第 24 条下的义务,采取了适当和必要的措施,以确保违规行为终止并且不再发生。” (欧洲法院判决 C-768/21,第 43 段)

此外,欧洲法院强调,尽管存在违反 GDPR 的行为,但监管机构未能采取行动,这符合 GDPR 的目标,特别是 GDPR 第 58(2) 条和第 83 条。

EC 129 规定,如果数据保护违规行为已经得到补救,则无需采取补救措施:

“特别是,为确保遵守本条例而采取的任何措施都应是适当、必要和相称的,同时考虑到每个个案的情况,在采取可能对该人产生不利影响的个别措施之前尊重每个人的听取意见的权利,并避免给受影响的人带来不必要的费用和过度的不便。” (GDPR 第 129 条,第 4 页)

第 148 条还规定,如果“违法行为轻微或者罚款可能对自然人造成不成比例的负担”,监管机构可以不处以罚款,而是发出警告(参见 GDPR 第 148 条,第 2 页和第 3 页)。

结论
最后需要注意的是,即使监管机构在发生违反 GDPR 的情况时有全面的措施,但也并不总是必须使用这些措施。尤其是如果这种措施不适当、不必要或不相称。就像体育比赛中的裁判一样,监管机构可以在个别情况下先发出警告,然后再处以罚款。
回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

Archiver|手機版|自動贊助|GameHost抗攻擊論壇  

GMT+8, 2025-7-26 09:41 , Processed in 0.061381 second(s), 6 queries , File On.

抗攻擊 by GameHost X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
一粒米 | 中興米 | 論壇美工 | 設計 抗ddos | 天堂私服 | ddos | ddos | 防ddos | 防禦ddos | 防ddos主機 | 天堂美工 | 設計 防ddos主機 | 抗ddos主機 | 抗ddos | 抗ddos主機 | 抗攻擊論壇 | 天堂自動贊助 | 免費論壇 | 天堂私服 | 天堂123 | 台南清潔 | 天堂 | 天堂私服 | 免費論壇申請 | 抗ddos | 虛擬主機 | 實體主機 | vps | 網域註冊 | 抗攻擊遊戲主機 | ddos |