GDPR生效数小时内的第一例投诉

“通用数据保护条例”（GDPR）于5月25日生效仅仅几个小时后，第一起根据欧盟《通用数据保护条例》（GDPR）的诉讼是针对Facebook和Google以及Facebook的两家子公司Instagram和WhatsApp提起的。

投诉涉及所谓的“强制同意”问题。这些投诉称，上述科技公司没有按照GDPR的要求让用户可以根据自己的意愿进行同意，而不能要求用户的同意附加或捆绑如下条件：

1. 要求用户要么同意他们的服务条款要么他们的帐户被删除，阻止他们使用帐户，直到他们同意（在Facebook，Instagram和WhatsApp的情况下）为止;和

2. 要求新智能手机的所有者同意使用Android操作系统处理他们的个人数据，并且如果未获得同意，则禁止这些用户使用该设备（以Google为例）。

这些投诉（并不是像一些错误报道说的那样是诉讼）由Max Schrems的非营利组织NOYB（简称“不管你的事”）代表用户向奥地利、汉堡、比利时和法国的当地数据保护当局（DPA）提交。Schrrems先生是一位奥地利律师，几年前成功挑战了欧盟和美国之间个人数据转移的安全港机制，该机制现在已被欧盟-美国隐私保护盾取代，紧接着又质疑Facebook使用欧盟委员会的标准合同条款。

Facebook和Google都在公开声明中对这些投诉提出异议，认为他们现有的措施已经足以满足GDPR要求。

GDPR生效后，以下这些投诉是采取的第一项主要行动，并且带来了许多方面有趣的发展:

这是非营利组织第一次代表数据主体行使其在GDPR项下第80条规定的权利. NOYB的投诉将测试该组织是否可以代表个人依据GDPR提出投诉。如果成功的话，它很可能为其他非营利协会代表数据主体行使权利铺平道路。

这也是根据GDPR 项下第77条第一次投诉未提交给公司总部所在的欧盟成员国，而是在数据主体的居住国：对Facebook，WhatsApp，Instagram和Google的投诉已分别提交至奥地利、汉堡、比利时和法国当地的数据保护机构。

数据保护执法机构(DPA)对投诉的处理也将作为一站式机制在实践中应用的初始压力测试。考虑到Facebook及其子公司位于爱尔兰，如果合适的话，奥地利DPA(ÖsterreichischeDatenschutzbehörde)，比利时DPA(Autorité de protection des données)和汉堡DPA(Hamburgische BeauftragtefürDatenschutz und Informationsfreiheit)可根据GDPR的规定将案件转交给爱尔兰数据保护委员会。不同的DPA在面对会影响数据控制者进行跨境数据处理的挑战时的合作能力已被视为GDPR的一项好处。因此，了解牵头机构将如何协调行动以及“有关DPA”将如何参与进来将会是有用的。

就GDPR的效力而言，投诉的结果可能也会产生重大影响。如果投诉得到支持，DPA可能会要求Facebook和Google改变其运营方式的某些方面，并可能对其全球年营业额的4％进行罚款。据报道，如果被施加最高额罚款，这意味着谷歌将面临37亿欧元的行政罚款，Facebook，Instagram和WhatsApp也分别面临13亿欧元的罚款 - 这一数字已经引发了很多头条新闻关注，尽管它强调了目前没有任何内容表明DPA会施加罚款，或者如果DPA这样做，任何罚款将接近这些“最坏情况”金额。尽管如此，DPA在这里实施的任何制裁措施都可以作为DPA将打算如何在GDPR生效之后展开实施其早期指示的参考。考虑到奥地利、汉堡、比利时和法国在数据保护执法方面都以“成熟”出名，所以了解他们如何进行调查以及他们施加了什么制裁（如果有的话）将会很有用。