EU’s domstol (CJEU) har truffet en vigtig GDPR-afgørelse
Domstolen har nemlig afgjort, at GDPR-klager ikke kan afvises baseret på hyppigheden af forespørgsler fra en given part.
Sagt med andre ord har det ingen betydning, hvor mange gange en person eller organisation indgiver en GDPR-klage, den skal stadig behandles på lige fod med alle andre klager.
"Anmodninger kan ikke klassificeres som "uforholdsmæssigt store" i denne bestemmelses forstand, alene på grund af deres antal i en bestemt periode", lyder dommen.
Sagen startede, fordi Austrian Data Protection Authority (ADPA) – den østrigske version af Datatilsynet – havde afvist en klage fra en registreret på den baggrund, at vedkommende havde klaget mange gange.
Helt præcist havde personen indsendt 77 klager mellem 2018 og 2020.
Det skriver mediet Euractiv.
Dette førte til, at den østrigske domstol i december 2022 annullerede ADPA’s afvisning, og derfor måtte sagen for EU-retten.
Nu har EU-retten så truffet afgørelse, og antallet af klager er altså ikke grundlag for en afvisning.
Antallet af klager opfattes kun som et problem, hvis der fra klagers side er "en misbrugs-hensigt fra den person, der har indsendt disse anmodninger."
Afgørelsen er en stor sejr for privacy-aktivisten Max Schrems og hans organisation NOYB, som jævnligt sender GDPR-klager mod forskellige selskaber, og som er manden bag flere GDPR-domme i de senere år.
Var dommen gået den anden vej kunne det have betydet meget besvær for Schrems.
NOYB har i en meddelelse frydet sig over afgørelsen og kaldt det ”et slag i ansigtet fra EU-Domstolen” mod ADPA.
”Man har altid grundlæggende rettigheder – ikke kun to gange om måneden. Hvis ADPA konsekvent straffede overtrædelser, ville der også være færre klager. Myndigheden bruger i stedet forskellige teknikker til at komme af med klager. Virksomheder har lært, at der ikke er nogen konsekvenser. Med forskellige processuelle tricks afværges en stor del af klagerne – og virksomheder fortsætter gladeligt med at bryde loven," udtaler Max Schrems i forbindelse med dommen.
Han giver også kritik af den østrigske datamyndighed.
”Vi ser, at databeskyttelsesmyndighederne ikke rigtig griber ind i hele EU. Domstolen har nu gentagne gange fortalt dem, at de skal tage sig sammen, men det afspejler statistikken ikke," udtaler GDPR-aktivisten.
ADPA meddeler til Euractiv, at dommen nu viser, at "myndigheden skal bevise en klagers misbrugende hensigt, når den nægter at handle."