申请数量是否为“过多”的决定性标准？

fabiha01

2025 年 1 月 9 日，欧洲法院 (ECJ) 就基于“过度请求”的数据保护投诉限制作出裁决(C-416/23)。

原则上，如果数据主体认为其个人数据的处理侵犯了 GDPR，则每个数据主体都有权根据 GDPR 第 77 条向监管机构提出投诉。

一名奥地利公民在 2019 年和 2020 年共计 77 次试图行使此权利，最终导致奥地利监管机构以请求过多为由拒绝了该请求（GDPR 第 57（4）条）。投诉人的申请针对的是不同的事实和不同的责任人。

奥地利联邦行政法院的意见
投诉人最初就这一拒绝向奥地利联邦行政法院提起上诉，该法院主要认为，“根据 GDPR 第 57(4) 条的规定，请求的过度性不仅要求频繁重复，还要求请求具有明显的骚扰或辱骂性质”。然而，法院认为，这种滥用行为并没有在拒绝通知中体现出来。

奥地利法院中止了诉讼程序，并将以下问题提交欧洲法院作出初步裁决：

“GDPR 第 57(4) 条中的‘请求’或‘请求’一词是否应解释为包括 GDPR 第 77(1) 条规定的‘投诉’？
GDPR 第 57(4) 条是否可以解释为，只要数据主体在一定时期内向监管机构提出一定数量的请求（根据 GDPR 第 77(1) 条提出的投诉），比利时商业传真列表 就足以构成“过度请求”，而不管所涉事项是否不同和/或请求（投诉）是否涉及不同的控制者，或者频繁重复请求（投诉）是否也需要数据主体有滥用意图？
GDPR 第 57(4) 条是否可以解释为，在“明显毫无根据”或“过分”的请求（投诉）的情况下，监管机构可以自由选择是否根据处理请求的行政成本收取合理费用，或者从一开始就拒绝处理？如果答案是否定的，那么监管机构必须考虑哪些情况和标准，特别是监管机构是否有义务收取合理的费用作为侵入性较小的措施，并且只有在没有收费前景的情况下才有权拒绝处理明显毫无根据或过分的请求（投诉）？
欧洲法院对提出的问题作出了如下裁决：
关于 1：根据相关条款的措辞和上下文，可以得出结论：GDPR 第 57(4) 条中的“查询”一词应解释为也包括根据 GDPR 第 77(1) 条提出的投诉。

关于2：仅仅因为一定时期内投诉数量较多，并不能说明申请过多。相反，必须证明有关人员确实存在虐待行为。

关于3：监管机构在行使自由裁量权时，必须确保考虑到个案的相关情况，并确保“所选择的方案是适当、必要和相称的”。

结论
该判决确保合法投诉不会仅因数量而被驳回，从而加强了数据主体的权利。

该决定强调需要单独审查每起投诉，并确保限制请求的措施不会一概而论，而仅在实际滥用的情况下才采取。对于监管机构来说，此前他们认为申请数量太多就足以拒绝申请，而这意味着未来处理成本会更高。

对于数据主体来说，这意味着他们可以继续充分行使 GDPR 赋予的权利，而不必担心他们的投诉仅仅因为其编号而被拒绝。这促进了个人数据的有效保护，并增强了对欧盟内部数据保护权利执行的信任。