GDPR Case 008. First fine imposed by the President of the Personal Data Protection Office

日期：26 March 2019

國家：波蘭

關鍵字：告知義務

GDPR：§14（information obligation）

裁決：行政罰鍰（€ 220,000）

摘要：

(1) 波蘭監理機關（UODO）以某公司（控管者）未遵守 GDPR §14 之告知義務（information obligation），而對其課處行政罰鍰（€ 220,000）。

(2) ［在間接蒐集的情況下］，由於資料主體並不知道其個人資料正在被某公司處理中，如果控管者並未履行告知義務，則無異剝奪資料主體依 GDPR 行使權利的可能性，例如，請求更正或刪除個人資料等。

(3) 監管機關表示，考量到本案涉及的資料主體多達 6,000,000 人，以及違反 GDPR §14 告知義務，影響資料主體的基本權利以及自由權，監管機關決定對某公司課處行政罰鍰。

(4) ［某公司並不是完全沒有履行告知義務，］但在受告知的 90,000 人中，有超過 12,000 人表示反對繼續處理他的個人資料，而這足適以顯示該公司善盡告知義務的重要性。

(5) 該公司是從公開來源——特別是從中央電子登記冊（Central Electronic Register）和經濟活動資訊（Information on Economic Activity）——獲取資料主體個人資料，並且基於商業目的進行處理。

(6) 監管機關認為，該公司就處理過程中涉及自然人商業行為的部分，應善盡告知義務，包括：企業主進行中、暫時停止，以及過去進行的此類活動。

(7) 控管者只對留存有電郵地址的資料主體，依 §14 (1) – (3) 履行告知義務；對於其他資料主體，則未個別履行告知義務，而只在網站上公布相關資訊，控管者解釋，這是考量個別告知需費過鉅的原因。

(8) 監管機關認為，公司這樣做的還不夠——在持有特定個人的聯繫方式時，控管者應該履行其告知義務，必須通知資料主體其資料來源、目的，計畫的處理資料期間，以及資料主體在 GDPR 下所享有的權利。

(9) 監管機關認為，控管者並沒有義務以掛號信的方式通知個別資料主體，——這是該公司主張履行告知義務需費過鉅的理由，但在某些情況，因為該公司持有資料主體的郵政地址和電話號碼，因此，仍然可以提供相關資訊予資料主體。

(10) 本案由於控管者明知其負有提供資訊的義務，以及考量直接通知資料主體的必要性，因此，該公司是有意不為通知；基於上述理由，以及迄今沒有採取任何措施以結束該等侵害行為，監管機關因而課以上述金額之行政罰鍰。