日期：20 August 2020

國家：比利時

關鍵字：當責；撤回同意；合法處理；告知義務

GDPR：§5(2) (accountability)、§6 (lawfulness of processing)、§7(3) (withdraw consent)、§12 (transparent information)、§13 (information obligation)

裁決：行政罰鍰（€20,000）

摘要：

(1) 比利時監管機關對控管者 Proximus 公司——電信業者——課處 €20,000 行政罰鍰，因為該公司在處理個人資料期間，發生多起個資侵害事件。

(2) 當事人是比利時公民，投訴要求公共電話簿的出版商——Proximus 公司——撤回刊登在電話簿裡有關他的個人資料，同時，也包括刊登在其他出版商電話簿的個人資料。Proximus 公司同意當事人的要求，確認不再刊登其個人資料，也將會通知其他出版者不要刊登當事人的個人資料。

(3) 但在幾個月後，當事人發現他的個人資料依舊刊登在 Proximus 公司以及其他公司出版的公共電話簿裡。在與當事人的溝通中，Proximus 公司甚至還提到，已經將當事人的個人資料移轉至其他出版商。

(4) 首先，監管機關認為，由於 Proximus 公司是出版自己所有的公共電話簿，因此，當然是相關處理個人資料行為的控管者，在當事人表示撤回同意之意思表示時，控管者有責任使個人資料的實際處理結果與當事人之意思表示保持一致——即依當事人指示辦理。很明顯的，控管者 Proximus 公司並沒有採取適當措施，以確保當事人的個人資料在撤回同意後，不會被違法處理。本件由於控管者沒有履行前述義務，因此，違反 GDPR §5(2)、6、7、24 等規定。

(5) 其次，控管者在收到當事人撤回同意的意思表示後，在處理個人資料期間，並沒有提供透明的資訊，也沒有適當的促進當事人行使其權利，因此，同時違反 GDPR §12、13 等規定。