欧洲普通法院周三对欧盟委员会处以罚款,原因是该委员会违反了欧盟自身的数据隐私法规。欧盟委员会是欧盟的主要执行机构,负责为成员国提出和执行法律。
这是欧盟委员会首次因违反该地区严格的数据保护法而被追究责任。
法院认定,2022 年 3 月,当一名德国公民访问现已停用的 futureu.europa[.]eu 网站时,将其个人数据(包括其 IP 地址和网络浏览器元数据)传输到 Meta 位于美国的服务器,构成了“足够严重的违法行为”。
该个人使用委员会的登录服务注册了网站上的一项活动,该服务包括使用 Facebook 帐户登录的选项。
欧盟法院在一份新闻声明中表示:“通过欧盟登录网页上显示的‘使用 Facebook 登录’超链接,委员会为将相关个人的 IP 地址传输给美国元平台企业创造了条件。 ”
申请人声称,将其信息传输到美国后,他们的个人数据存在被美国安全和情报部门访问的风险。
然而,他们指控这些数据也被传输到位于美国的 Amazon CloudFront 服务器,但经确定这些信息托管在位于德国慕尼黑的服务器上后,这一指控被驳回。涉案网站使用了亚马逊的内容分发网络 (CDN)。
法院表示:“在 2022 年 3 月 30 日进行转移时,委员会尚未做出任何决定,认定美国确保了对欧盟公民个人数据的充分保护。”“此外,委员会既没有证明也没有声称存在适当的保障措施,特别是标准数据保护条款或合同条款。”
普通法院表示,根据2018/1725 号条例第 46 条,此举违反了欧盟机构、团体、办公室或代理机构向第三国转移个人数据的相关法律。
结果,法院命令委员会向该个人支付 400 欧元(412 美元),这是该个人声称因数据传输而遭受的非物质损失的补偿。
2023年7月,在隐私盾失效后,欧盟与美国采用了一项新的个人数据传输机制,即《欧盟-美国数据隐私框架》 ,使两地之间的个人数据传输能够实现跨大西洋转移。
— 欢迎关注 往期回顾 —
