日期：27 May 2020

國家：芬蘭

關鍵字：第一案（告知義務、反對處理權）；第二案（資料保護影響評估（DPIA））；第三案（特種個資、資料最小化、雇傭關係）

GDPR：第一案（§12 (transparent information)、§13 (information obligation) 、§21 (right to object)）、第二案（§35 (DPIA)）、第三案（§5(1)(c) (data minimization)、§9 (processing of special categories of personal data)）

裁決：行政罰鍰

摘要：

(1) 芬蘭監管機關公布三起裁罰案件。

第一案：未提供充分資訊，違反告知義務——行政罰鍰（€100,000）

(2) 監管機關收到投訴，投訴人表示在他向控管者 Posti Oy——芬蘭第一大郵政服務運營商——發出地址變更通知後，就陸續收到來自不同公司的行銷廣告與直接行銷（direct marketing）。

(3) 調查顯示，控管者並沒有充分告知投訴人他享有的權利，包括與資訊揭露有關的反對權——指變更後的地址。

(4) 監管機關認為，控管者應該明確告知所有當事人他有權反對控管者（及處理者）處理其個人資料，本件控管者卻只有針對申請變更地址同時，還額外加購其他服務的當事人提供此項資訊——即反對（處理）權，光是 2019 年，受到影響的就有約 161,000 人。

(5) 因此，監管機關對控管者課以 100,000 歐元之行政罰鍰。

第二案：未提供充分資訊，違反告知義務——行政罰鍰（€16,000）

(6) 第二起案件與控管者 Kymen Vesi Oy 運用車輛資訊系統追蹤員工位置有關。

(7) 控管者在處理位置資料前，並未依 GDPR 規定辦理資料保護影響評估（DPIA）。

(8) 監管機關認為，將位置資料用於監控員工工時，如果可能對當事人造成權利、自由的高度風險，就需要辦理資料保護影響評估（DPIA），例如處理弱勢當事人的位置資料，或是將位置資料用於系統性監測行為中。

(9) 因此，監管機關對控管者課以 16,000 歐元之行政罰鍰。

第三案：過度蒐集求職者個人資料——行政罰鍰（€12,500）

(10) 芬蘭《職涯隱私保護法》（Act on the Protection of Privacy in Working Life）規定，雇主僅能處理基於雇傭關係所須的個人資料。

(11) 本案監管機關收到投訴，表示某公司要求應徵者提供關於宗教信仰、健康情況、懷孕狀況以及家庭生活等特種個人資料，基於前述法律規定，監管機關要求該公司刪除不必要的個人資料，對該公司之違法行為予以告誡（reprimand），並課以行政罰鍰。