欧盟司法法院已肯定,在某些情况下,即使在一般数据保护条例(GDPR)的一站式店机制(OSS)下,国家DPA也可以追求行动。 - 在会员国中的监督员诉讼中的可能性,这不是特定公司的铅监管机构,而是当地机构认为迫切需要采取行动。
OSS包含在GDPR中,了解在超过一个欧盟市场经营的企业的强制执行,只需要直接处理一个“铅”数据保护机关。然而,该机制受到批评,促成了瓶颈效应,其中多个GDPR投诉正在堆积在几个DPA的几个代表上(最符念最象征的爱尔兰和卢森堡) - 欧盟成员国吸引了大量跨国公司(通常出于税收,如爱尔兰的12.5%的公司税率)。
对欧盟旗舰数据保护制度的执行反对科技巨头已经受到“论坛购物”的看法受到阻碍 - 其中少数欧盟DPA有一个不成比例的主要跨境案件,以处理VS(不可避免地有限他们的国家政府为他们提供的资源。由此产生的瓶颈看起来方便那些面对延迟GDPR执法的公司。
一些欧盟DPA也被认为更积极地在执行集团的隐私规则方面比其他人更加积极 - 这是说爱尔兰不是其中的公平。 (尽管如此,它捍卫其调查和执法记录的步伐,说它必须尽职调查,以确保决策达到任何法律挑战。)
事实上,爱尔兰被批评了(以及其他事情)调查GDPR投诉所采取的时间长度;用于程序问题(如何调查或确实没有调查投诉);为其对技术巨头的执法记录 - 迄今为止的迄今为止仅限于去年年底发布的Twitter仅为55万美元的罚款。
爱尔兰数据保护委员会(DPC)最初希望推特甚至更低,但其他欧盟DPA有争议其决定草案 - 强迫它略有增加罚款。
在它所代表中,分数在DPC的办公桌上仍然开放,包括针对Facebook和Google的主要投诉 - 现在已经三年多了。
这导致委员会呼吁介入并采取对爱尔兰的感知无所作为的行动。虽然现在,欧盟的执行官将其干预有限于敦促爱尔兰的几句话,基本上,赶紧和继续工作。
今天的CJEU裁决可能会减轻围绕GDPR执法的堵塞 - 在一些狭隘的情况下 - 通过使国家DPA能够在牵头机构不在投诉上行事时占据指挥者以争取用户的权利。
然而,裁决看起来不完全取消阻塞OSS机制,奥斯陆大学计算机和法律研究中心的研究员,奥斯陆大学的研究员紧密地遵循这种情况,并被谁的工作被引用CJEU对案件的早些时候意见的倡导者。
“法院基本上证实了倡导者在他舆论中表达的意见:根据GDPR的一站式店铺系统,那些不是”领导权威“的数据保护当局只能开始对大型技术公司的执法行动在非常有限的情况下,包括在紧急情况下,“他告诉TechCrunch。
“然而,不幸的是,法院的裁决不会详细说明评估执法行动紧迫性的标准。特别是,法院尚未明确阐述了倡导者的观点,即未能从领先权力管理局迅速采取行动,可以证明通过其他数据保护当局通过临时紧急措施。因此,这一重要点仍然存在部分不明确,并且可能需要进一步的诉讼来澄清这个问题。
“因此,今天的裁决不太可能完全解决”爱尔兰问题“。”
GDPR第56条允许非领导的DPA在国家一级追求国家一级的诉讼,这与涉及其司法管辖权的仅对用户影响的问题,以及他们认为有必要迫切需要行动(如领导权威没有)。所以它似乎相当狭隘。
最近的一个非引导DPA干预的例子是意大利DPA对Tiktok的紧急行动 - 与据报道的当地女孩死亡后,与平台的儿童安全有关。
“当局希望采用”无法独自“方法......关于(司法)执行GDPR,在不与其他当局合作,不能与该条例的信件或精神进行协调,”在今天的判决中运行一段,强调法院认为,国内生产总值需要在DPA之间进行谨慎和平衡的联合工作。
该裁决确实详细讨论了GDPR的执行情况的“危险” - 随着CJEU提出的关注,但法院认为这太快了解这种关注是否会影响监管或不是。
但是,如果,事实和强劲的论据证明了[实施情况]的情况 - 那么我不相信法院会对任何可能出现的差距视而不见,这些差距被禁止保护宪章保障的基本权利并由主管监管机构的有效实施,“CJEU继续。 “那么,这是否仍然是宪章符合仲裁条款的宪章解释的问题,或者有关条款的有效性问题,甚至是二级法律文书的甚至是另一个案件的问题。”
裁决虽然狭窄,但至少可以解锁比利时DPA通过Cookie和Socel Invice对Facebook对非用户的追踪诉讼,这是对CJEU的OSS范围的问题推荐的路线。
虽然法院还指出,比利时法院将确定DPA的干预是否符合GDPR的律师,以便于这些诉讼程序。
“我们很高兴CJEU支持一站式商店机制的价值和原则,并强调了重视确保GDPR在欧盟的高效和一致应用,”Facebook副总法律顾问Jack Gilbert表示:Jack Gilbert表示一份声明。