GDPR Case 008. First fine imposed by the President of the Personal Data Protection Office
GDPR Case 008. First fine imposed by the President of the Personal Data Protection Office
GDPR:§14(information obligation)
日期:26 March 2019
國家:波蘭
關鍵字:告知義務
GDPR:§14(information obligation)
裁決:行政罰鍰(€ 220,000)
摘要:
(1) 波蘭監理機關(UODO)以某公司(控管者)未遵守 GDPR §14 之告知義務(information obligation),而對其課處行政罰鍰(€ 220,000)。
(2) [在間接蒐集的情況下],由於資料主體並不知道其個人資料正在被某公司處理中,如果控管者並未履行告知義務,則無異剝奪資料主體依 GDPR 行使權利的可能性,例如,請求更正或刪除個人資料等。
(3) 監管機關表示,考量到本案涉及的資料主體多達 6,000,000 人,以及違反 GDPR §14 告知義務,影響資料主體的基本權利以及自由權,監管機關決定對某公司課處行政罰鍰。
(4) [某公司並不是完全沒有履行告知義務,]但在受告知的 90,000 人中,有超過 12,000 人表示反對繼續處理他的個人資料,而這足適以顯示該公司善盡告知義務的重要性。
(5) 該公司是從公開來源——特別是從中央電子登記冊(Central Electronic Register)和經濟活動資訊(Information on Economic Activity)——獲取資料主體個人資料,並且基於商業目的進行處理。
(6) 監管機關認為,該公司就處理過程中涉及自然人商業行為的部分,應善盡告知義務,包括:企業主進行中、暫時停止,以及過去進行的此類活動。
(7) 控管者只對留存有電郵地址的資料主體,依 §14 (1) – (3) 履行告知義務;對於其他資料主體,則未個別履行告知義務,而只在網站上公布相關資訊,控管者解釋,這是考量個別告知需費過鉅的原因。
(8) 監管機關認為,公司這樣做的還不夠——在持有特定個人的聯繫方式時,控管者應該履行其告知義務,必須通知資料主體其資料來源、目的,計畫的處理資料期間,以及資料主體在 GDPR 下所享有的權利。
(9) 監管機關認為,控管者並沒有義務以掛號信的方式通知個別資料主體,——這是該公司主張履行告知義務需費過鉅的理由,但在某些情況,因為該公司持有資料主體的郵政地址和電話號碼,因此,仍然可以提供相關資訊予資料主體。
(10) 本案由於控管者明知其負有提供資訊的義務,以及考量直接通知資料主體的必要性,因此,該公司是有意不為通知;基於上述理由,以及迄今沒有採取任何措施以結束該等侵害行為,監管機關因而課以上述金額之行政罰鍰。