一、行使“删除权” 基本条例的一大创新,正是对“删除权”③ 的增设,根据基本条例的规定,数据主体可以在以下情形对数据掌管者( für die Verarbeitung Verantwortlicher)④行使“删除权”,要求删除与其有关的信息或停止此信息的进一步传播: ( 1) 此信息已不再有被收集或以其他方式处理的必要;( 2) 数据主体不再同意其信息为实现一个或多个具体目的被处理,或被收集的信息存储期届满,且不存在处理该信息的其他法律依据; ( 3) 数据主体可在任何时候由于自身特别情况的原因提出拒绝处理其个人信息,除非该处理对于保护数据主体的基本权益至关重要,或者是履行公共利益的活动所必需的,或者对信息的处理是数据掌管者行使国家权力; ( 4) 欧盟范围内的一个法庭或者监督机关已经做出了相关数据必须删除的最终裁定。( 5) 相关数据被非法处理。 数据主体一旦根据以上情况提出反对,数据掌管者应当立刻停止对其个人信息的使用和处理,从而有效防止侵害扩大。 二、向独立监督机关提出控诉( Beschwerde) 基本条例在第六章提出了欧盟每个成员国应当设立至少一个独立的监督机关( Aufsichtsbehrde) ⑤,该机关的任务是监督基本条例在本国内的实施情况并为欧盟范围内的统一实施服务⑥。依照基本条例第73条的规定,在不影响任何其他的行政救济或司法救济的情况下,当认为对其相关的个人信息的处理没有遵守基本条例时,每个数据主体都有权向成员国内的监督机关提出控诉。监督机关因数据主体控诉权的行使,有权在合理的范围内做出调查,并应在合理的期限内( 3 个月) 告知数据主体控诉的进展和结果。 监督机关在查明事实后,对于没有履行基本条例规定的义务的,可以做出至少一种以下的行政处罚: ( 一) 如果是第一次且非故意不遵守,可以提出书面的警告; ( 二) 定期的数据保护审查; ( 三) 最高处以1 亿欧元或企业每年全球营业额5%的罚金,按数额较大者处罚。⑦ 三、起诉监督机关 当监督机关对于数据主体的控诉没有做出合理的保护裁决,或保护裁决没有按照第52 条第1 款b 的规定在3 个月内使数据主体知道时,为使监督机关履行积极的作为义务,数据主体可以行使司法救济权,起诉监督机关。对监督机构提起的诉讼程序,由欧盟各成员国监督机构所在地法院管辖⑧。 四、起诉违法者 此外,基本条例也规定了对抗数据掌管者或数据处理者( Auftragsverarbeiter)⑨的司法救济。当数据掌管者或数据处理者违反基本条例收集和处理个人信息的行为侵害了基本条例赋予的权利时,数据主体可以提起诉讼。数据掌管者为私主体时,由民事法院管辖,涉及到行政机关,则由行政法院管辖。数据掌管者或者数据处理者分部所在地的法院均有权管辖,数据主体也可以向成员国内其经常居住地的法院提起诉讼,但数据掌管者是行使国家权力的机关时除外⑩。 目前我国对个人信息保护的研究仍处在起步阶段,个人信息保护相关法律尚不健全,有必要学习和参考其他国家或地区的立法经验。通过立法的方式明确多重救济途径,从而建立完善的法律救济体系,以期全面有效的保护信息主体的合法权益,基本条例的这种立法选择对筹划已久的我国个人信息保护法的立法工作起到了很好的示范作用,希望不久之后我国也能构建一整套针对个人信息保护的完善有效的法律救济体系。 |
3982228081