オランダのプライバシー権を擁護する非営利団体The Privacy Collectiveは、2020年8月14日、米国上場企業SalesforceおよびOracleに対して集団訴訟を提起したことを発表した。データ主体の同意なく、クッキーを使用して大規模にWebサイトの訪問者からデータを収集し、各インターネットユーザーの個人プロファイルを作成し、アドテック企業を含む多数の営利団体と何百万ものプロファイルを共有し、オンライン広告に使用していることがGDPRに反する、という理由によるものである。
この訴訟を担当する弁護士によると、少なくとも1,000万人のオランダのインターネットユーザーがいるため「それぞれの企業は50億ユーロの莫大な損害賠償を支払う可能性がある」としている。
The Privacy Collectiveによると、オランダのデータ保護監督機関(AP)は人員不足と限られた予算のために大規模なデータ取引をほとんど制御できず、GDPRが施行された2018年5月以降、タクシーアプリUberを含む5つの企業と組織に300万ユーロ以上の制裁金が課されただけだとしている。そして、今年2020年1月1日、オランダでは「集団訴訟による大量の請求権を解決するための法律」(Wet afwikkeling massaschade in collectieve actie)が施行され、集団訴訟で損害賠償を請求することも可能になった。「集団訴訟で損害賠償を請求することは、GDPRの重要な執行ツールです」と、情報法の教授であり、The Privacy Collectiveの理事であるJoris van Hoboken氏も述べている。このため、オランダでは、今後もGDPR違反について集団訴訟を提起される可能性がある。
また、このSalesforceおよびOracleに対する集団訴訟はInnsworthが訴訟資金を提供しており、InnsworthのサイトによるとイングランドとウェールズでもSalesforceおよびOracleに対して訴訟を提起している。イングランドおよびウェールズについても、改正されたCivil Procedure Rules 19.6により、集団訴訟が認められており、現在Googleを被告とするrepresentative actionの適格を争うケースがSupreme Courtに係属している。
さらに、イタリアでも集団訴訟の範囲を拡大する民事訴訟法の改正が2020年4月18日に施行されている。
したがって、英国、オランダ、イタリアでは、GDPR違反が集団訴訟に及ぶケースが増えると考えられる。集団訴訟においては、1件あたりの損害額が少額であっても、参加人数が多数に上ることによって膨大な額の損害賠償を請求されるリスクがあるので、企業はGDPRの遵守について一層警戒する必要がある。
【Googleに対する集団訴訟の記事】
https://blog.bizrisk.iij.jp/401
【Innsworthのサイト】
https://www.innsworth.com/
【The Privacy Collectiveのサイト】
https://theprivacycollective.nl/nederlandse-massaclaim-tegen-amerikaanse-techreuzen-vanwege-privacyschending/
ライセンス料は月額4,800円から
豊富な無料マニュアル・ガイドがあるから自社だけで導入・運用が可能