欧洲 Meta 的更多坏消息:这家科技巨头试图取消欧洲数据保护委员会 (EDPB) 去年夏天根据欧盟通用数据保护条例 (GDPR) 对其消息应用程序 WhatsApp 做出的具有约束力的决定,但未能成功-一年多前,WhatsApp 的主要欧盟数据保护监管机构爱尔兰数据保护委员会 (DPC)做出了最终决定(并处以巨额罚款)。
根据爱尔兰法律,Meta 仍然对爱尔兰的 WhatsApp GDPR 执法提出上诉——DPC 于去年 9 月在爱尔兰就这项调查发布了最终决定——因此这家科技巨头的法律挑战仍有待解决。
但在今天公布的一项判决中,欧盟普通法院裁定 WhatsApp Ireland 的撤销诉讼不可受理。
EDPB 的具有约束力的决定导致 WhatsApp 因违反 GDPR 透明度义务而被处以 2.25 亿欧元的罚款——这一金融制裁远大于DPC 在其决定草案中最初提出的 3000 万至 5000 万欧元的罚款,突显了董事会的重要性干预即可。
根据 GDPR 的一站式机制,对在多个欧盟成员国拥有用户的数据处理商的监管调查通常是通过欧盟主要机构所在国家/地区(在 Meta 的案例中是爱尔兰)的首席监管机构进行的。但他们制定的任何决定草案都必须提交给其他欧盟数据保护机构进行审查——如果提出异议,争端解决机制就会启动,如果 DPA 之间没有达成共识,最终可能会导致 EDPB 做出具有约束力的决定。
因此,委员会在确保欧盟旗舰数据保护法规的执行不会因监管机构之间无休止的争吵而停滞不前方面发挥着至关重要的作用。
例如,就在昨天,EDPB 证实它已介入,就针对 Facebook、Instagram 和 WhatsApp 的不同 GDPR 投诉对 Meta 旗下公司做出三项更具约束力的决定。这些“法律依据”案件的最终决定将于明年初由爱尔兰的 DPC 作出。
在 DPA 未能就许多问题达成一致后,EDPB 也在去年夏天介入,就上述 WhatsApp 透明度调查发布了具有约束力的决定。它的干预给 WhatsApp 带来了额外的麻烦——在董事会发现比 DPC 更多的违规行为并发现爱尔兰监管机构计算拟议罚款水平的方式存在问题,导致它要求 DPC 在其最终决定中发布更大的经济制裁决定。
委员会的干预还缩短了 WhatsApp 执行执法命令的纠正措施的时间——将时间减半,从 DPC 建议的 6 个月缩短至 3 个月。因此,再次强调,它在形成最终决定方面的作用可能很重要,尤其是在更复杂、有争议的 GDPR 案件中。
但是,尽管委员会对于保持 GDPR 执法的流畅性至关重要,但它仍然是主要的数据保护机构,最终负责对他们领导的案件做出最终决定——只是规定他们的最终决定必须包含 EDPB 约束性决定,如果有的话。
这种细微差别——关于部分决定与最终决定之间的区别——看起来是 Meta 试图取消董事会具有约束力的决定的部分原因,但在欧盟法院失败了。法院认为,根据欧盟程序法,也没有理由承认该诉讼。
法院还指出,考虑到 Meta 正在通过质疑 DPC 的最终决定来对爱尔兰的 WhatsApp 执法提出上诉,允许审理该诉讼将造成两个司法程序(“有很大重叠”)并行进行的情况 – 并进一步说明如果爱尔兰法院对 EDPB 决定的有效性有疑问,则它可以参考欧盟法院的能力。因此,这个问题仍然有一条途径可以返回到(更高级别的)欧盟法院。
作为对今天被撤销的欧盟法律诉讼的回应,WhatsApp 发言人向我们发送了以下简短声明:
本案涉及四年前的隐私政策,该政策后来多次更新,并明确详细说明了 WhatsApp 提供的行业领先的隐私保护措施。我们仍然强烈反对 EDPB 的决定,并将考虑所有可用的选项。
WhatsApp 对导致欧盟法院根据 GDPR 罚款 2.67 亿美元的决定提出异议Natasha Lomas最初发表于TechCrunch
原文: https://techcrunch.com/2022/12/07/whatsapp-edpb-decision-appeal-tossed/