دادگاه عالی اروپا غرامت GDPR و حقوق دسترسی به داده ها را روشن می کند

دادگاه عالی اتحادیه اروپا امروز چند حکم قابل توجه در عرصه حفاظت از داده ها صادر کرده است.

یکی (پرونده C-300/21) به غرامت برای نقض مقررات عمومی حفاظت از داده های بلوک (GDPR) می پردازد. و دومی (پرونده C-487/21) ماهیت اطلاعاتی را که افرادی که از حقوق GDPR برای به دست آوردن نسخه ای از داده های نگهداری شده در آنها استفاده می کنند، باید انتظار دریافت آن را داشته باشند، روشن می کند.

برای خلاصه ای از قضاوت ها و برخی پیامدهای احتمالی به ادامه مطلب بروید.

بدون حق خودکار خسارت – اما هیچ آستانه ای برای آسیب نیز وجود ندارد

حکم غرامت GDPR دیوان عدالت اداری مربوط به ارجاع یک دادگاه اتریشی است که در آن فردی به دنبال استفاده از الگوریتمی برای پیش‌بینی دیدگاه‌های سیاسی شهروندان با توجه به استفاده از خدمات پستی ملی برای جبران خسارت است. معیارهای اجتماعی – جمعیتی بدون اطلاع یا رضایت آنها – بر اساس بیانیه مطبوعاتی دادگاه، فرد احساسی در معرض، ناراحت و با ضربه زدن به اعتماد به نفس آنها ایجاد می کند.

در مورد خسارات منطقه‌ای ناشی از نقض حریم خصوصی، در سال‌های اخیر تلاش‌هایی برای ارائه طرح‌های اقدام دسته‌جمعی برای جبران نقض‌های حفاظت از داده‌ها صورت گرفته است. این حکم دیوان عدالت اداری ممکن است انجام این کار را در اتحادیه اروپا آسان‌تر کند، اگرچه دادگاه برای چنین ادعاهایی یک محدودیت قائل شده است، زیرا قضات حکم کرده‌اند که فقط واقعیت نقض GDPR به طور خودکار حق جبران خسارت را ایجاد نمی‌کند. به این معنی که وظیفه اصحاب دعوا برای اثبات آسیب شخصی وجود دارد.

در عین حال، دادگاه دیوان عدالت اداری حکم داده است که وجود دارد هیچ الزامی برای خسارت غیر مادی متحمل شده برای رسیدن به آستانه معینی از جدیت به منظور اعطای حق جبران خسارت وجود ندارد.

بنابراین، به عبارت دیگر، دادگاه از تعیین محدودیت در مورد میزان/چه نوع خسارتی که برای طرح ادعای غرامت باید نشان داده شود، اجتناب کرده است. که به نظر می رسد یک معامله بزرگ است.

“[T]وی در بیانیه مطبوعاتی همراه با حکم می نویسد که دادگاه معتقد است که حق غرامت محدود به خسارت غیر مادی نیست که به آستانه خاصی از جدیت برسد. «GDPR فاقد چنین الزامی است و چنین محدودیتی مغایر با مفهوم گسترده «خسارت» است که توسط قانونگذار اتحادیه اروپا پذیرفته شده است. در واقع، فارغ‌التحصیلی از چنین آستانه‌ای، که امکان یا عدم دریافت آن غرامت به آن بستگی دارد، طبق ارزیابی دادگاه‌های مورد بررسی، ممکن است نوسان داشته باشد.

از آنجایی که GDPR حاوی قوانینی برای ارزیابی خسارت نیست، قضات می‌گویند که تعیین معیارهایی برای تعیین میزان غرامت قابل پرداخت به عهده دادگاه‌های کشورهای عضو اتحادیه اروپا است – در حالی که اشاره می‌کنند که چنین قوانینی باید با اصول برابری و اثربخشی GDPR مطابقت داشته باشند. ، تا اطمینان حاصل شود که افراد می توانند غرامت کامل و مؤثر برای خسارات متحمل شده دریافت کنند.

این بسته به اینکه کاربر در کجای اتحادیه اروپا می‌تواند شکایت کند، بر اساس نحوه تفسیر دادگاه‌های ملی، مجموعه‌ای از پیامدهای خسارات ناشی از نقض حریم خصوصی را تنظیم می‌کند.

پیتر چرچ، مشاور در زمینه فناوری در شرکت حقوقی Linklaters، در بیانیه ای در مورد نتیجه، پیشنهاد کرد:[I]این امکان وجود دارد که حتی اضطراب یا ناراحتی جزئی نیز ادعای جبران خسارت را توجیه کند. این امر به نوبه خود می تواند راه را برای نه تنها ادعاهای بیهوده یا مزاحم، بلکه همچنین برای اقدامات دسته جمعی بزرگ در صورت نقض داده ها (که در حال حاضر موضوع تصمیم گیری جداگانه در پرونده C-340/21 است) باز کند.

او همچنین اختلاف نظر بین اتحادیه اروپا و بریتانیا (که دیگر در این بلوک نیست) در این موضوع پیش‌بینی کرد، با توجه به اینکه چگونه – در سال 2021 – دادگاه عالی بریتانیا یک دعوای طولانی مدت علیه گوگل را رد کرد. مرحله حیله‌آمیز نشان دادن آسیب‌های فردی به نفع فشار آوردن برای خسارات جمعی در مورد نقض حریم خصوصی مربوط به ردیابی تبلیغات کاربران مرورگر سافاری اپل.

در آن مورد، قضات بریتانیا به این نتیجه رسیدند که اثبات آسیب ضروری است. و به ازای هر کلیسا، که “برای واجد شرایط بودن برای غرامت باید به آستانه جدی برسد”. از این رو، پیش‌بینی او مبنی بر اینکه اتحادیه اروپا و بریتانیا «راه خود را در این موضوع از هم جدا خواهند کرد» از آنجایی که دادگاه دیوان عدالت اداری تصمیم گرفته است که هیچ مانع جدی برای آسیب‌های وارده وجود ندارد، پیش‌بینی کرد.

بنابراین اگر در اتحادیه اروپا زندگی می‌کنید و نقض حریم خصوصی شما توسط غول داده‌کاوی مانند متا باعث شده است که شما کمی آزرده، کمی ناراحت، تا حدودی ناراحت یا کمی نگران باشید، احتمالاً هر یک از این احساسات برای شکایت کافی است. خسارت (و در تابستان امسال، کشورهای عضو قرار است دستورالعمل جبران خسارت جمعی را در قوانین ملی اجرا کنند – بخشی از قانون اتحادیه اروپا که هدف آن آسان‌تر کردن دستیابی به جبران خسارت جمعی از طریق دعوای حقوقی دسته‌ای است.)

گروه حقوق حریم خصوصی noyb، که پشت بسیاری از شکایات مربوط به نقض اطلاعات علیه غول هایی مانند متا و گوگل بوده است، حکم CJEU را تأیید می کند که ادعاهای مربوط به “خسارت عاطفی” تایید شده است. ماکس شرمز موسس و رئیس افتخاری آن در بیانیه ای نوشت: “ما از شفاف سازی های CJEU استقبال می کنیم. یک صنعت کامل سعی کرد GDPR را مجدداً تفسیر کند تا از پرداخت خسارت به کاربرانی که حقوق آنها را نقض کرده اند اجتناب کنند. به نظر می رسد این مورد رد شده است. ما از نتیجه بسیار خوشحالیم.»

کپی وفادار از داده ها

در یک حکم جداگانه امروز، CJEU در مورد دامنه و محتوای حق دسترسی افراد تحت GDPR برای به دست آوردن یک کپی از داده‌هایشان توضیحاتی را صادر کرده است – تصمیم می‌گیرد که عبارت مقررات قصد دارد آنها را به دست آورند.یک بازتولید وفادار و قابل فهم» از داده های آنها، به منظور اینکه آنها بتوانند بررسی های خود را انجام دهند تا اطمینان حاصل کنند که مثلاً اطلاعات آنها صحیح است و به روشی قانونی پردازش می شود.

ارجاع در اینجا مربوط به یک چالش قانونی است که توسط یک فرد پس از آن مطرح شده است یک آژانس مشاوره کسب و کار که اطلاعات مربوط به اعتبار اشخاص ثالث را برای مشتریان خود فراهم می کند، داده های شخصی او را پردازش کرده است. این شخص یک کپی از اسناد مربوط به خود را «در قالب فنی استاندارد» درخواست کرده بود، اما در عوض فهرستی حاوی خلاصه داده ها، نه یک نسخه کامل، به او ارائه شد.