Avrupa Adalet Divanı, bireylerin Genel Veri Koruma Tüzüğü (GDPR) kapsamında yaptığı şikayetlerin sıklığının, bu şikayetlerin geçerliliğinde tek başına etkisi olamayacağına hükmetmiştir. Kararda, şikayetlerinin reddedilmesi için, bunların “bariz şekilde kötü niyetli” veya “istismara yönelik” olduğunun kanıtlanması gerektiği vurgulanmıştır.
Süreç bir bireyin 2018 ile 2020 yılları arasında Avusturya Veri Koruma Otoritesi’ne (ADPA) yaptığı 77 şikayetin reddedilmesiyle başlamıştır. ADPA ret kararına gerekçe olarak şikayetlerin sıklığını ve kişinin telefon yoluyla öne sürdüğü ek talepleri göstermiş ve ayda en fazla iki şikayet sınırı getirilmesi gerektiğini öne sürmüştür. Ancak, 2022 yılının aralık ayında Avusturya mahkemesi bu kararı iptal etmiş ve şikayetlerin sıklığının tek başına, onları “aşırı” veya “temelsiz” saymak için yeterli olmadığına hükmetmiştir. Bunun üzerine ADPA, kararını savunmak için ABAD’a başvurmuştur.
ABAD, GDPR’ın temel ilkelerine atıflar yaptığı kararında şikayetlerin yalnızca sıklığı gerekçe gösterilerek reddedilemeyeceğini vurgulamıştır. Karara göre;

• Şikayetlerin reddedilmesi için, bunların “bariz şekilde kötü niyetli” veya “istismara yönelik” olduğunun kanıtlanması gerekmektedir.
• Veri koruma otoriteleri, bu tür niyetleri kanıtlamadan bir şikayeti reddedemez.

Bu karar, özellikle veri koruma aktivistleri tarafından olumlu karşılanmıştır. noyb gibi kuruluşlar, ABAD’ın kararını bireylerin veri koruma haklarını savunma gücünü artıran önemli bir adım olarak değerlendirmiştir.