دادگاه عالی اتحادیه اروپا امروز چند حکم قابل توجه در عرصه حفاظت از داده ها صادر کرده است.
یکی (پرونده C-300/21) به غرامت برای نقض مقررات عمومی حفاظت از داده های بلوک (GDPR) می پردازد. و دومی (پرونده C-487/21) ماهیت اطلاعاتی را که افرادی که از حقوق GDPR برای به دست آوردن نسخه ای از داده های نگهداری شده در آنها استفاده می کنند، باید انتظار دریافت آن را داشته باشند، روشن می کند.
برای خلاصه ای از قضاوت ها و برخی پیامدهای احتمالی به ادامه مطلب بروید.
بدون حق خودکار خسارت – اما هیچ آستانه ای برای آسیب نیز وجود ندارد
حکم غرامت GDPR دیوان عدالت اداری مربوط به ارجاع یک دادگاه اتریشی است که در آن فردی به دنبال استفاده از الگوریتمی برای پیشبینی دیدگاههای سیاسی شهروندان با توجه به استفاده از خدمات پستی ملی برای جبران خسارت است. معیارهای اجتماعی – جمعیتی بدون اطلاع یا رضایت آنها – بر اساس بیانیه مطبوعاتی دادگاه، فرد احساسی در معرض، ناراحت و با ضربه زدن به اعتماد به نفس آنها ایجاد می کند.
در مورد خسارات منطقهای ناشی از نقض حریم خصوصی، در سالهای اخیر تلاشهایی برای ارائه طرحهای اقدام دستهجمعی برای جبران نقضهای حفاظت از دادهها صورت گرفته است. این حکم دیوان عدالت اداری ممکن است انجام این کار را در اتحادیه اروپا آسانتر کند، اگرچه دادگاه برای چنین ادعاهایی یک محدودیت قائل شده است، زیرا قضات حکم کردهاند که فقط واقعیت نقض GDPR به طور خودکار حق جبران خسارت را ایجاد نمیکند. به این معنی که وظیفه اصحاب دعوا برای اثبات آسیب شخصی وجود دارد.
در عین حال، دادگاه دیوان عدالت اداری حکم داده است که وجود دارد هیچ الزامی برای خسارت غیر مادی متحمل شده برای رسیدن به آستانه معینی از جدیت به منظور اعطای حق جبران خسارت وجود ندارد.
بنابراین، به عبارت دیگر، دادگاه از تعیین محدودیت در مورد میزان/چه نوع خسارتی که برای طرح ادعای غرامت باید نشان داده شود، اجتناب کرده است. که به نظر می رسد یک معامله بزرگ است.
“[T]وی در بیانیه مطبوعاتی همراه با حکم می نویسد که دادگاه معتقد است که حق غرامت محدود به خسارت غیر مادی نیست که به آستانه خاصی از جدیت برسد. «GDPR فاقد چنین الزامی است و چنین محدودیتی مغایر با مفهوم گسترده «خسارت» است که توسط قانونگذار اتحادیه اروپا پذیرفته شده است. در واقع، فارغالتحصیلی از چنین آستانهای، که امکان یا عدم دریافت آن غرامت به آن بستگی دارد، طبق ارزیابی دادگاههای مورد بررسی، ممکن است نوسان داشته باشد.
از آنجایی که GDPR حاوی قوانینی برای ارزیابی خسارت نیست، قضات میگویند که تعیین معیارهایی برای تعیین میزان غرامت قابل پرداخت به عهده دادگاههای کشورهای عضو اتحادیه اروپا است – در حالی که اشاره میکنند که چنین قوانینی باید با اصول برابری و اثربخشی GDPR مطابقت داشته باشند. ، تا اطمینان حاصل شود که افراد می توانند غرامت کامل و مؤثر برای خسارات متحمل شده دریافت کنند.
این بسته به اینکه کاربر در کجای اتحادیه اروپا میتواند شکایت کند، بر اساس نحوه تفسیر دادگاههای ملی، مجموعهای از پیامدهای خسارات ناشی از نقض حریم خصوصی را تنظیم میکند.
پیتر چرچ، مشاور در زمینه فناوری در شرکت حقوقی Linklaters، در بیانیه ای در مورد نتیجه، پیشنهاد کرد:[I]این امکان وجود دارد که حتی اضطراب یا ناراحتی جزئی نیز ادعای جبران خسارت را توجیه کند. این امر به نوبه خود می تواند راه را برای نه تنها ادعاهای بیهوده یا مزاحم، بلکه همچنین برای اقدامات دسته جمعی بزرگ در صورت نقض داده ها (که در حال حاضر موضوع تصمیم گیری جداگانه در پرونده C-340/21 است) باز کند.
او همچنین اختلاف نظر بین اتحادیه اروپا و بریتانیا (که دیگر در این بلوک نیست) در این موضوع پیشبینی کرد، با توجه به اینکه چگونه – در سال 2021 – دادگاه عالی بریتانیا یک دعوای طولانی مدت علیه گوگل را رد کرد. مرحله حیلهآمیز نشان دادن آسیبهای فردی به نفع فشار آوردن برای خسارات جمعی در مورد نقض حریم خصوصی مربوط به ردیابی تبلیغات کاربران مرورگر سافاری اپل.
در آن مورد، قضات بریتانیا به این نتیجه رسیدند که اثبات آسیب ضروری است. و به ازای هر کلیسا، که “برای واجد شرایط بودن برای غرامت باید به آستانه جدی برسد”. از این رو، پیشبینی او مبنی بر اینکه اتحادیه اروپا و بریتانیا «راه خود را در این موضوع از هم جدا خواهند کرد» از آنجایی که دادگاه دیوان عدالت اداری تصمیم گرفته است که هیچ مانع جدی برای آسیبهای وارده وجود ندارد، پیشبینی کرد.
بنابراین اگر در اتحادیه اروپا زندگی میکنید و نقض حریم خصوصی شما توسط غول دادهکاوی مانند متا باعث شده است که شما کمی آزرده، کمی ناراحت، تا حدودی ناراحت یا کمی نگران باشید، احتمالاً هر یک از این احساسات برای شکایت کافی است. خسارت (و در تابستان امسال، کشورهای عضو قرار است دستورالعمل جبران خسارت جمعی را در قوانین ملی اجرا کنند – بخشی از قانون اتحادیه اروپا که هدف آن آسانتر کردن دستیابی به جبران خسارت جمعی از طریق دعوای حقوقی دستهای است.)
گروه حقوق حریم خصوصی noyb، که پشت بسیاری از شکایات مربوط به نقض اطلاعات علیه غول هایی مانند متا و گوگل بوده است، حکم CJEU را تأیید می کند که ادعاهای مربوط به “خسارت عاطفی” تایید شده است. ماکس شرمز موسس و رئیس افتخاری آن در بیانیه ای نوشت: “ما از شفاف سازی های CJEU استقبال می کنیم. یک صنعت کامل سعی کرد GDPR را مجدداً تفسیر کند تا از پرداخت خسارت به کاربرانی که حقوق آنها را نقض کرده اند اجتناب کنند. به نظر می رسد این مورد رد شده است. ما از نتیجه بسیار خوشحالیم.»
کپی وفادار از داده ها
در یک حکم جداگانه امروز، CJEU در مورد دامنه و محتوای حق دسترسی افراد تحت GDPR برای به دست آوردن یک کپی از دادههایشان توضیحاتی را صادر کرده است – تصمیم میگیرد که عبارت مقررات قصد دارد آنها را به دست آورند.یک بازتولید وفادار و قابل فهم» از داده های آنها، به منظور اینکه آنها بتوانند بررسی های خود را انجام دهند تا اطمینان حاصل کنند که مثلاً اطلاعات آنها صحیح است و به روشی قانونی پردازش می شود.
ارجاع در اینجا مربوط به یک چالش قانونی است که توسط یک فرد پس از آن مطرح شده است یک آژانس مشاوره کسب و کار که اطلاعات مربوط به اعتبار اشخاص ثالث را برای مشتریان خود فراهم می کند، داده های شخصی او را پردازش کرده است. این شخص یک کپی از اسناد مربوط به خود را «در قالب فنی استاندارد» درخواست کرده بود، اما در عوض فهرستی حاوی خلاصه داده ها، نه یک نسخه کامل، به او ارائه شد.
“درسته [Article 15(3) of the GDPR] مستلزم حق به دست آوردن نسخه هایی از عصاره از اسناد یا حتی کل اسناد یا گزیده هایی از پایگاه های داده است که شامل آن داده ها هستند، در صورتی که ارائه چنین کپی برای قادر ساختن موضوع داده ها به استفاده مؤثر از حقوق اعطا شده ضروری باشد. او توسط GDPR، با در نظر گرفتن این موضوع که باید حقوق و آزادی های دیگران در نظر گرفته شود.»
در ادامه خاطرنشان میشود که کنترلکننده دادهها باید اقدامات مناسبی را برای ارائه کلیه دادههای موضوع دادهها «به شکل مختصر، شفاف، قابل فهم و به راحتی با استفاده از زبانی ساده و واضح» انجام دهد. ارائه اطلاعات به صورت کتبی یا سایر ابزارها، از جمله، در صورت لزوم، به صورت الکترونیکی.
«به این نتیجه میرسد که نسخهای از دادههای شخصی در حال پردازش، که کنترلکننده باید ارائه کند، باید تمام ویژگیهای لازم برای استفاده مؤثر از حقوق خود تحت آن مقررات را داشته باشد و در نتیجه باید آن دادهها را به طور کامل و صادقانه بازتولید کند. دادگاه می افزاید.
این حکم برای تلاشهای مداوم برای استفاده از GDPR برای روشن کردن مدیریت الگوریتمی اغلب ناکارآمد کارگران پلتفرم مهم به نظر میرسد – مانند چالشهای قانونی در سالهای اخیر علیه Uber و Ola در بریتانیا و هلند که توسط اتحادیهها و اعتماد دادهها مطرح شده است. تبادل اطلاعات کارگران، به نمایندگی از تعدادی از رانندگان، از جمله در مورد ادعای شلیک ربات.
همانطور که گزارش دادیم، رانندگان سواری موفقیت محدودی در به دست آوردن داده های خود از طریق مسیر صحیح دسترسی GDPR داشته اند، با پلتفرم هایی که درخواست ها را به دلایل امنیتی و حریم خصوصی مسدود می کنند و/یا فقط اطلاعات جزئی را ارسال می کنند.
بنابراین جالب است که ببینیم آیا شفاف سازی دیوان عدالت قضایی مبنی بر اینکه حق نسخه برداری از داده ها واقعاً به معنای یک نسخه وفادار است، چنین تلاش هایی را در آینده تقویت می کند یا خیر.
اگرچه، این حکم به موضوع حقوق متضاد می پردازد – یعنی بین حق دسترسی کامل و کامل به داده های شخصی. و حقوق یا آزادی های دیگران – با گفتن قضات “باید تعادل برقرار شود”. بنابراین هنوز هم میتواند برای پلتفرمها فرصتی وجود داشته باشد که به عقب راندن ادامه دهند.
دیوان می افزاید: «تا جایی که امکان دارد، ابزارهای انتقال داده های شخصی که حقوق یا آزادی های دیگران را نقض نمی کند، باید انتخاب شود، با در نظر گرفتن اینکه نتیجه این ملاحظات نباید امتناع از ارائه همه اطلاعات به موضوع داده باشد». در بیانیه مطبوعاتی خود