日期：18 December 2019

國家：德國

關鍵字：適當安全措施

GDPR：§32 (security of processing)

裁決：行政罰鍰（€9,550,000）

摘要：

(1) 德國監管機關對電信服務提供者 1&1 Telecom GmbH 課處 €9,550,000 的行政罰鍰，因為該公司並未提供充分的技術及組織措施，以防止未經授權之人透過客戶熱線服務獲取其他客戶的個人資料。

(2) 監管機關表示：「資料保護是基本人權。對違法者課處行政罰鍰，是清楚地表明我們將強化對於基本權利的保護，GDPR 讓我們有機會對個人資料保護不足的行為予以果斷地懲罰，而我們在行使這些權力時，必須考慮到比例原則。」

(3) 監管機關發現，任何人撥打控管者 1&1 Telecom GmbH 提供的客戶熱線電話，只需要提供特定客戶的姓名、出生年月日，就可以獲得這位客戶更多的個人資料。

(4) 監管機關認為，這樣的身份驗證程序違反 GDPR §32 規定，該規定要求控管者應該採取適當的技術和組織措施，以系統性地保護個人資料的處理程序。

(5) 對於上述批評，1&1 Telecom GmbH 採取高度配合的態度，並且計畫導入下列改進措施：

･ 第一階段，強化身分驗證程序，要求提供擬查詢對象更多的身分資訊。

･ 第二階段，在諮詢監管機關意見後，1&1 Telecom GmbH 引進新的身分驗證程序，以改進技術及個人資料保護。

(6) 儘管如此，監管機關認為還是必須對控管者課以行政罰鍰，因為這樣的風險，不是僅限於少數客戶，而是對整個客戶群體造成風險，只是考量到 1&1 Telecom GmbH 的高度配合程度，依法課以最低程度的罰鍰。