GDPR 的守护者已经到达极限！

fabiha01

《通用数据保护条例》（GDPR）赋予监管机构广泛的权力，特别是惩罚数据保护违法行为。但如果发生此类违法行为，却无法确定责任人，该怎么办？根据 GDPR 第 58(2) 条，当局可以在多大程度上提供补救？

杜塞尔多夫行政法院在 2024 年 11 月 11 日的判决（案件编号 29 K 4853/22）中审查了这些问题。

发生了什么？
在本案中，原告请求北莱茵-威斯特法伦州数据保护和信息自由专员（以下简称“被告”）制裁数据保护违法行为。事情的起因是，在对原告提起逃税罪名的刑事​​诉讼中，包括起诉书在内的法庭卷宗内容在主审宣读之前就被泄露给了媒体并被公开。

数据保护监督机构在 2022 年 6 月 1 日向原告作出的裁决中表示，无法确定该信息是否或由其管辖范围内的哪个机构或其雇员传输给了媒体。检察官办公室的进一步调查也尚无定论。鉴于此，并考虑到成功的可能性较低，监管机构终止了诉讼程序，并未采取进一步行动。

原告抱怨称，监管机构未能采取适当措施，并指控监管机构故意没有充分调查事实，没有适当行使自由裁量权，构成了所谓的未能行使自由裁量权。原告认为当局中止诉讼的决定是非法的，并认为他的基本权利和获得有效法律保护的权利受到了侵犯。

行政法院的裁决
法院认定，该机构2022年6月1日的决定并未侵犯原告的权利。此外，巴西商业传真列表 原告无权要求被告颁布禁令或采取适当的补救措施。

但导致法院做出这一判决的主要原因是什么？
根据 GDPR 第 57 条第 1 款 f 项规定，每个监管机构有义务处理其领土内的投诉。其中包括根据《第 14 条》提出数据主体的投诉。 77（1） GDPR 认为其个人数据的处理违反了 GDPR 的规定。此外，相关部门有义务对投诉事项进行适当程度的调查。当局依据《条例》第 14 条的规定，以广泛的权力进行调查。 GDPR 第 58（1）条。

如果当局发现违反 GDPR 的行为，则有义务采取适当措施纠正已发现的不足。 GDPR 第 58（2）条列出了各种补救措施，这些补救措施的使用由主管部门自行决定。只有法院才能审查当局是否遵守了其自由裁量权的合法限制。

法院在判决中认为，在主听证会上宣读相关程序文件之前向媒体代表披露这些文件，客观上构成了《1989 年数据保护条例》第 14 条规定的非法数据处理行为。 4 第 2 号 GDPR，因为既没有原告的同意（GDPR 第 6（1）条第 1 句 a 项），披露的文件也不是维护司法职能所必需的（GDPR 第 6（1）条第 1 句 c 和 e 项）。然而，法院进一步指出，原告无权采取监管措施，因为对其个人数据保护违规行为负责的控制者尚不清楚。

挑战：明确责任
根据 GDPR 第 58 条第 2 款，监管机构只能针对控制者（或承包商）采取措施。原因是，根据艺术。根据 GDPR 第 4 条第 7 款，控制者决定处理个人数据的目的和方式，从而有可能防止将来发生任何违法行为。

法院认为，涉案地区法院和主管检察院各自独立负责个人数据的处理，因为他们在各自的职责范围内独立决定数据处理的目的和方式。此外，控制者的指定不是基于上级主管部门（例如司法部），而是基于负责其管辖范围内数据处理的相应主管部门或政府机构。法院还否认存在共同责任。因此，地区法院和地区法院检察院分别负责处理数据。

是否存在滥用自由裁量权的情况？
数据主体有权根据《条例》第 14 条提出投诉。 GDPR 第 57（1）（f）条与第 6 条结合。 GDPR 第 77（1）条。这导致了法院可以审查的两阶段索赔：第一步是审查监管机构是否对事实进行了适当的调查。如果后者确定存在违规行为，则原告有权在第二步就行政干预做出不带自由裁量权的错误决定。这仅限于当局是否适当行使自由裁量权、是否考虑到所有相关方面并遵守法律限制。

调查范围取决于个案的具体情况。决定性因素是违规行为的严重性和事项的个别重要性，由监管机构自行决定。

被告监督机构已初步获得了相关地区法院和主管检察院的意见。双方均表示，没有证据表明数据被未经授权披露。总检察院因涉嫌违反官方机密和对身份不明人员的特殊保密义务而发起的调查也未能成功。因此，该机构无法识别这两个法人实体职责范围内的任何非法数据处理行为。

此外，法院指出，虽然理论上可以更深入地澄清事实，但由于涉及时间、物力和人力投入，而且澄清的可能性低且时间流逝，因此可以不这样做。

法院的理由是：“如果原告辩称被告滥用自由裁量权，因为被告甚至没有就可能的制裁做出决定，那么原告的诉求就无法成立。由于责任人尚未确定，因此从一开始就不可能做出采取监管措施的决定。”未能采取进一步澄清措施并不构成因对成功前景进行现实评估而未能行使自由裁量权。

结论
该案例表明，仅仅存在数据保护违规行为不足以证明官方措施或制裁是正当的。一方面，保护数据主体并持续防止数据保护违法行为是合法利益。另一方面，监察机关不得滥用职权，无理举报。

行政法院对开头提出的问题给出了明确的回答：如果没有明确可识别的控制者，监管机构不得根据 GDPR 第 58（2）条采取补救措施。 因此，是否发生了违规行为并不重要，重要的是能否确定哪个机构对数据保护事件负责。

与此同时，作为 GDPR 守护者的监管机构显然正遭遇重重障碍。为了更好地保护数据保护法，如果当局能够制定此类案件的通用最低标准并将其提供给责任人，那将是可取的。这些说明可以作为受影响机构进行内部审查的指南，以确保其在相关案件中的流程符合当前的数据保护要求，并避免将来发生类似的违规行为。