欧洲法院 (ECJ) 已裁定,针对美国科技巨头的隐私投诉不仅必须提交给爱尔兰数据保护专员,而且可以由整个欧盟的任何国家数据保护机构处理。
到目前为止,任何欧洲公民对 Facebook 的隐私投诉都必须提交给爱尔兰 DPC 海伦·迪克森 (Helen Dixon),因为 Facebook 的欧洲总部位于爱尔兰。
但是,欧洲法院裁定,在某些情况下,任何国家监管机构或国家法院都可以处理数据隐私投诉。
该判决可能会导致对其他成员国科技巨头的大量投诉,因为这些投诉不需要通过爱尔兰监管机构进行。
但这也可能导致其他欧盟隐私监管机构质疑爱尔兰监管机构对一家总部位于爱尔兰的大型科技跨国公司所做的任何裁决。
在 Facebook 质疑比利时数据保护监管机构可以就隐私投诉对多家 Facebook 公司采取行动的想法后,最初的案件由比利时法院提交给欧洲法院。
2015 年 9 月,比利时监管机构要求 Facebook INC、Facebook Ireland Ltd 和 Facebook Belgium 被勒令在比利时互联网用户浏览 Facebook.com 域中的网页时,停止在未经他们同意的情况下在其设备上放置 cookie,或当他们最终出现在第三方网站上时。
用户抱怨 Facebook 使用存储在所谓“社交插件”上的 cookie 跟踪他们的活动,即使他们不是社交媒体网络的成员。
比利时监管机构还要求销毁 Facebook 通过 cookie 和社交插件从比利时互联网用户那里获得的所有个人数据。
在法庭诉讼中,Facebook 辩称比利时监管机构无权听取有关跨境数据处理的投诉,因为爱尔兰监管机构应该妥善处理这些投诉。
当案件进入比利时上诉法院时,其范围仅限于 Facebook 比利时,因为法官裁定他们对 Facebook INC 和 Facebook Ireland Ltd 没有管辖权。
然而,比利时上诉法院随后询问欧洲法院 GDPR 是否真的阻止了国家数据保护机构采取法庭行动。
今天,欧洲法院裁定,在某些条件下,国家数据保护机构可以将侵犯隐私的案件提交当地法院,即使主要监管机构在爱尔兰,Facebook 和其他全球科技巨头的情况也是如此。
消费者团体对裁决表示欢迎。
欧洲消费者组织 (BEUC) 总干事莫妮克·戈恩斯 (Monique Goyens) 表示:“无论公司在欧盟的哪个地方成立,我们的隐私都得到尊重,这是一项积极的进展。”
“鉴于GDPR跨境执法体系存在的瓶颈,所有国家主管部门必须能够在一定条件下,在我们的权利受到践踏时,积极主动地将事情掌握在自己的手中,并充分发挥其作用。
“大多数大型科技公司都设在爱尔兰,保护欧盟 5 亿消费者不应该由该国的权力单独决定,特别是如果它不迎接挑战的话。”
GDPR 规定了一名“首席监督员”来调查跨境数据隐私侵权投诉,只要该数据保护机构与整个欧盟的对应机构进行“真诚有效的合作”。
然而,欧洲法院今天裁定,只要 GDPR 授予国家数据监管者权限,他们也可以在侵犯个人数据跨越任何欧盟边界的情况下采取行动。
欧洲法院表示,主要监管机构——在 Facebook 的案例海伦·迪克森 (Helen Dixon) 中——“可能不会忽视其他监管机构的意见”。
法院认为,如果另一个欧盟数据保护机构提出“相关且合理的反对意见”,那么这可能会暂时阻止爱尔兰监管机构(在这种情况下)可能做出的任何决定。