欧盟法院打脸奥地利DPA：投诉频率与有效性无关！

点评：有那味儿了。

欧盟法院（CJEU）周四发布了一项初步裁决，认为根据GDPR向数据保护机构提出的投诉频率与投诉的有效性无关。

如果该方法被认为合法，它可能会限制活动人士推动更严格的GDPR执行的能力，这意味着今天的裁决对于信息自由权利的倡导者来说是个好消息。

“根据该条款的含义，请求不能仅因为其在特定期间的数量而被归类为‘过度’”，裁决中写道。

奥地利数据保护局（ADPA）曾因投诉过多——2018年至2020年间共有77起投诉——而拒绝了一名数据主体的投诉，并补充说该人还经常通过电话向他们提出额外请求。他们希望将每月每位数据主体的投诉数量限制为最多两次。

但在2022年12月22日，奥地利一家法院撤销了ADPA的拒绝，称频率不足以使投诉被认定为“过度”，因为它必须“明显是无理取闹或滥用性质的”。

ADPA向CJEU提出上诉，但CJEU今天也表示，必须有“提交这些请求的人的滥用意图”。

noyb对裁决作出反应，称这是对ADPA的一记耳光，同时指出CJEU已经明确，只要投诉不是无理取闹，所有用户都有权要求纠正任何GDPR违规行为。

他们还补充说，这不仅仅是奥地利的问题，它影响整个欧盟。

ADPA告诉Euractiv，该裁决表明“当拒绝采取行动时，当局需要证明投诉人的滥用意图”，同时也表明它“原则上可以自由地拒绝采取行动或在投诉明显无根据或过度时收取合理费用”。

当被问及在今天裁决之前他们基于频率拒绝了多少请求，以及裁决后这些请求将如何处理时，他们提到了他们的年度数据保护报告。

ADPA表示，2023年进行了4030起诉讼（2389起国内投诉，876起跨境投诉和765起主动诉讼）。然而，全年仅实施了55笔罚款。这意味着，从统计学上讲，只有1.36%的所有诉讼以罚款告终。相比之下：2021年奥地利发出了834万张交通罚单。在2023年的高峰期，仅维也纳每月就发出了7000多张因电动滑板车违规停放的罚单。从统计学上讲，DSB需要127年才能发出这7000张罚单。然而，许多GDPR违规行为与停车违规一样微不足道。用户请求根本没有得到处理，没有获得同意，或者数据没有被删除。

不仅仅是奥地利的问题。这个问题并不局限于奥地利，而是涉及整个欧洲的数据保护机构。2022年（欧盟范围内有数字的最后一年），所有欧洲数据保护机构共进行了140106起诉讼——但只对公司发出了1819笔罚款。这意味着只有1.3%的案件有严重后果。这清楚地表明，整个欧盟都存在数据保护机构不作为和拖延诉讼的问题。

程序需要数年——而不是数月。根据《通用数据保护条例》第73条，ADPA必须在6个月内做出决定。实际上，程序几乎总是需要更长的时间。例如，对一个非法的cookie横幅做出决定需要3年并不罕见。noyb的奥地利统计数据显示，许多案件等待决定的时间远远超过6个月。进一步向联邦行政法院上诉也需要数年，而不是法律规定的6个月。因此，奥地利的执法情况完全不符合欧盟法律。

Max Schrems表示：“如果ADPA终于从沉睡中醒来，并获得足够的预算去做这件事，它可以很快得到回报。例如，对谷歌的GDPR罚款比我们对布伦纳基线隧道的份额还要多——这只是为了让你了解规模。但ADPA也需要变得更加高效。你不能仅仅要求更大的预算，然后继续结构性地未能处理案件。”

来源：

1.https://www.euractiv.com/section/tech/news/eu-court-rules-gdpr-complaints-cant-be-rejected-based-on-frequency/

2.https://noyb.eu/en/austrian-data-protection-authority-slammed-cjeu

文件：C-0416-2023-EN