洪延青:今天和大家分享的是CJEU的一个最新判决。其认为消费者保护机构可以起诉公司违反GDPR的行为。

4月28日,欧盟法院(CJEU)发布一个判决,认为允许消费者保护协会对侵犯个人数据保护的行为提起代表诉讼,且诉讼可以"独立于数据主体遭受的对其个人数据权利的具体侵犯,以及没有这方面的授权"(“independently of the specific infringement of a data subject’s right to the protection of his or her personal data and in the absence of a mandate to that effect.”)。

根据判决书,德国联邦消费者组织和协会对一家全球社交媒体公司的爱尔兰分部提起诉讼,要求发布禁令,因为该公司在向用户提供第三方提供的免费游戏时,涉嫌违反《通用数据保护条例》(GDPR)中关于保护个人数据、打击不公平商业行为和保护消费者的规定。

德国联邦法院质疑消费者保护协会是否有资格在没有获得数据被滥用的用户授权的情况下在民事法庭对违反GDPR的行为提起诉讼。德国联邦法院还指出,GDPR应当被推断为"主要由监管机构来核实该法规条款的适用"。

欧盟法院在裁决中认为,欧盟的消费者保护协会可以对社交媒体公司涉嫌违反GDPR的行为提起代表诉讼。

判决写道,GDPR"并不排除国家立法允许消费者保护协会在没有为此目的赋予它的授权和独立于侵犯数据主体具体权利的情况下,对涉嫌违反保护个人数据法律的责任人提起法律诉讼......如果有关的数据处理有可能影响到已识别或可识别的自然人从该法规中获得的权利。" (does not preclude national legislation which allows a consumer protection association to bring legal proceedings, in the absence of a mandate conferred on it for that purpose and independently of the infringement of specific rights of the data subjects, against the person allegedly responsible for an infringement of the laws protecting personal data . . . where the data processing concerned is liable to affect the rights that identified or identifiable natural persons derive from that regulation.)

欧盟法院认为允许协会提起代表诉讼是"符合GDPR所追求的目标......特别是确保对个人数据的高度保护"。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。