同裁判所は、欧州委員会が2022年にイベントに参加したドイツ人男性の個人データを適切に保護しなかったとして、400ユーロ(約6万5000円)の損害賠償を支払うように命じた。男性は、欧州委員会の認証サービス「EU Login」を利用し、イベントのサイトで登録を行っていた。
しかし、男性によると登録に用いた彼の個人データは、アマゾンのAWSが管理するコンテンツ配信ネットワークを介して外部に転送され、米国のメタが運営するサーバーに保管されたという。男性は、自身の個人データが、米国の諜報機関にアクセスされるリスクにさらされていると主張している。
EUの裁判所は、ドイツ人男性の主張を完全に認めたわけではないが、男性が最初にこの問題を提起した際に、彼の懸念に十分な対応が行われなかったことや、欧州委員会がGDPRの第三国への個人データ転送規則に完全には準拠していなかった点を問題視した。
その結果、裁判所は欧州委員会に賠償金の支払いを命じている。
この判決は、単なる興味深いニュースにも思えるが、小規模なGDPR違反の訴えが大量に発生する前例となる可能性があると、国際プライバシー専門家協会(IAPP)のジョー・ジョーンズは指摘している。
「今回の賠償金の額は、控えめなものかもしれないが、それが膨大な数に増えた場合には、深刻な事態に発展する可能性がある」と、ジョーンズは述べている。
(forbes.com 原文)