日期：18 December 2019

國家：瑞典

關鍵字：信用資訊；逾期付款紀錄；刑事犯罪紀錄

GDPR：§6 (lawfulness of processing)、§9 (processing of special categories of personal data)

裁決：行政罰鍰（€35,000）

摘要：

(1) 瑞典監管機關對控管者Nusvar課處 35,000 歐元之行政罰鍰。

(2) 該公司經營 Mrkoll.se 網站，並提供信用資訊查詢服務，使用者可以在網站上查詢瑞典 16 歲以上公民的個人資料，而該網站的資料庫內，儲存超過八百萬瑞典公民的個人資料。

(3) 負責調查本案的 Hans Kärnlöf 表示，本案涉及到信用資訊服務、個人資料保護，以及憲法上言論自由等權利的交互關係。

(4) 首先，該網站獲有出版許可，這表示該網站大部分的發表活動都受到憲法保障，在此領域內，GDPR並不適用。

(5) 不過，該網站資料庫也包含了一些個人逾期付款紀錄的資訊，關於個人逾期付款的訊息，屬於信用資訊，公布該等資訊必須遵守信用資訊法（the Credit Information Ac），以及該法引用的GDPR 規定。

(6) 甚者，該網站資料庫也包括個人的刑事犯罪紀錄，根據 GDPR 以及信用資訊法規定，除非事前獲得瑞典監管機關的核准，該等資訊不得對外公布，而本件控管者並未取得核准。

(7) 獲得出版許可之人可以從事信用資訊提供服務，但仍然必須遵守信用資訊法的規定，本件控管者並未遵守法律規定，監管機關據此認定控管者違法公布個人資料，並課處如上之行政罰鍰。