耀时观察

更深入的数据合规与保护要求:救济措施

2022年3月23日江苏耀时律师事务所

救济措施

一、初步分析:GDPR对救济措施的规定

GDPR第八章,即救济、责任与惩罚中,确认数据主体相关的救济措施。其中,第82条确认数据主体具有获取赔偿的权利与责任,具体表述为“任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或数据者那里获得对损害的赔偿”。

二、进一步探讨:救济措施的衡量

(一)投诉:向监管机构提起申诉的权利

数据主体认为涉及自身的个人数据处理行为违反了本条例的规定,即享有向监管机构投诉的权利。GDPR第77条确认,在不影响任何其他行政或司法救济的前提下,每个数据主体都有向监管机构进行申诉的权利。在后文中同步确认了管辖的大致情况,“这尤其适用于以下地点的监管机构:数据主体所属的成员国或经常居住地、工作地、或数据主体认为处理其个人数据违反本条例的发生地”。

(二)行政诉讼:针对监管机构的有效司法救济权

这一救济是对投诉的再救济,即每一个自然人或者法人有权就监管机构对其做出的具有法律约束力的决定寻求有效的司法救济,表述为“在不影响其他任何行政或司法救济的前提下,任何自然人或法人都有权对关乎他们的监管机构的有法律约束力的决定获得有效的司法救济”。如第一救济,这一救济同样划分了大致的管辖范围,针对监管机构的法律诉讼应当在监管机构所在的成员国的法庭提起。

(三)民事诉讼:针对控制者或处理者的有效司法救济权

这一救济是是非指向监管机构的救济权。任何数据主体认为,由于违反本条例而处理其个人数据,导致其被本条例所赋予的权利被侵犯,其都有获取司法救济的权利,也应当获得相应损害的赔偿。同样也同步规定了管辖的内容,针对控制者或处理者的法律诉讼应当在它们拥有机构的成员国的法庭提起。在其他情形下,此类法律诉讼可以在数据主体的经常居住地的法庭提起,除非控制者或处理者是成员国行使其公共权力的公共机构。

(四)委托诉讼:委托其他机构代为行使诉权

数据主体有权委托非盈利机构、实体或协会代表其行使第77、78、79条规定的权利,以及在成员国法律规定的情形下,代表其行使第82条规定的获得赔偿的权利。确认非盈利机构、实体或协会应具备如下条件:按照成员国法律设立,其章程目标是实现公共利益,在为了保护数据主体的权利与自由而代表个人提起申诉方面表现积极。

三、内容延伸

GDPR第82条规定了对违反GDPR的“物质或非物质损害”进行赔偿的法定权,其中包括金钱损失和非金钱损失。由于个人数据泄露而遭受的易于识别的金钱损失相对较少,因此探讨的重点往往转向非金钱损失。

在Halliday v. Creation Consumer Finance Ltd案中,法院判赔偿750英镑,原因被描述为“未能删除个人资料”。在AB v. Ministry of Justice中,法院判赔偿2,250英镑,原因被描述为“没有遵守主体对个人数据的访问请求”。较高的赔偿数额通常是针对有具体投诉人的违规,而不是大规模个人数据泄露;更高的赔偿数额常见于造成相当精神和心理伤害痛苦的案例。

GDPR 第85条规定:“如果不以适当和及时的方式解决个人数据泄露,可能会对……例如失去对其个人数据的控制…… ”。“失去控制” 是否可独立构成索赔的理由是一个待解决的问题,Lloyd v. Google案的结果可能对英格兰和威尔士个人数据泄露的未来索赔要求具有极其重要的意义。

本文仅为一般性信息分享,不构成任何法律意见或建议。如您需要针对具体事项的法律意见,请与耀时律师联系。

就本文议题需要专业意见?

耀时律师提供定制化、私密性、可落地的法律服务。

预约咨询