GDPR Case 068. Belgian DPA imposed a fine of €1,000 on an association that sent direct marketing messages to (former) donors for fundraising

日期：26 June 2020

國家：比利時

關鍵字：正當利益；合法處理；刪除權；反對處理權

GDPR：§6(1)(f) (legitimate interests)、§17 (right to erasure)、§21 (right to object)

裁決：行政罰鍰（€1,000）

摘要：

(1) 比利時監管機關對控管者——某協會——課處行政罰鍰（€1,000），因為控管者對前捐助者（當事人）寄發捐款文宣。

(2) 當事人在控管者寄發文宣前，即已請求刪除其個人資料；而控管者主張其寄發捐款文宣，符合 GDPR §6(1)(f) 規定之正當利益（legitimate interests），而有合法處理當事人個人資料的合法基礎。

(3) 由於控管者並未依當事人要求刪除其個人資料，因此，監管機關首先認定控管者已違反 GDPR §6(1)、17(1)(c)、21(3)、21(4) 等與刪除權、反對處理權有關之規定。

(4) 至於控管者主張，其有寄發捐款文宣的正當利益，監管機關則予以否定，因為——參考 Rigas 案——依歐盟法院判例法，控管者援引 GDPR §6(1)(f) 主張有合法處理個人資料之正當利益，必須證明符合下列三個要件，分別是：

• 目的測試（purpose test）：控管者處理個人資料所追求的利益，可以被認為是合法的；
• 必要測試（necessity test）：控管者擬進行的處理行為，對於達成處理的目的是必須的；以及
• 平衡測試（balancing test）：控管者所獲得的利益與當事人的基本權利及自由之間，兩者是平衡的。

(5) 監管機關認為，本件控管者並不符合上述三要件，其主張並無理由；更具體的說，當事人對於控管者多年前所蒐集的個人資料，能否合理預期在多年後還會再被用來進行直接行銷這件事情，是有疑問的。

Reference

Article 6 Lawfulness of processing

1. Processing shall be lawful only if and to the extent that at least one of the following applies: ……

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.