日期：25 September 2020

國家：芬蘭

關鍵字：合法處理個資；反對處理權；行銷

GDPR：§6 (lawfulness of processing)、§21 (right to object)

裁決：告誡、行政罰鍰（€7,000）、命令（適當處理資料）

摘要：

(1) 芬蘭監管機關對控管者 Acc Consulting Varsinais-Suomi ——諮詢公司——課處行政罰鍰，因為該公司進行電子直接行銷行為前，並未事前取得當事人同意，也忽視當事人權利，該公司對當事人提出的請求，既無回應，也未執行，根本無法證明其係合法處理當事人個人資料。

對未經當事人同意的直接行銷行為予以告誡

(2) 在 2019 年春、夏，監管機關收到 11 件關於控管者的投訴。

(3) 在部分投訴中，當事人表示，他們在未經同意的情況下，收到控管者的行銷資訊，根據芬蘭《資訊社會法》（Information Society Act）（917/2014） §200 規定，只有在當事人事前同意，控管者才能對其進行直接行銷，根據 GDPR §4 (11) 規定，所謂同意，必須是資料當事人自由給予的、具體的、知情的和明確的指示。

(4) 某些當事人已經對控管者表示反對直接行銷的意思表示，即使如此，卻仍然收到控管者的行銷訊息，因此，控管者違反 GDPR 有關當事人反對處理權的規定。

(5) 控管者表示，他的目標客戶是針對公司——而非自然人，根據《信息社會法》規定，對公司的直接行銷可以無需取得公司的事前同意，控管者還表示，本案所涉的當事人電話號碼，其實是當事人工作時使用的號碼，這些電話號碼屬於公司所有，而這些公司才是控制者的目標客戶。

(6) 不過，監管機關指出，在進行直接行銷前，控管者仍然應該分別確定各相關人員在公司內的地位，並且特別評估其行銷的課程——例如本案，石綿加工課程——與該個人的工作職責是否相關，因此，控管者針對公司內自然人的直接行銷行為，不能視為針對公司進行，仍應事前取得當事人——即自然人——的同意。

(7) 監管機關對控管者的不當行銷行為予以告誡，並且糾正直接行銷的作業方式。

輕忽當事人權利

(8) 其他投訴則指出，雖然當事人已經依 GDPR 行使其權利，但是控制者並沒有在收到請求後一個月內予以回覆，也沒有依當事人要求辦理。

(9) 監管機關發現，控管者並未制訂相關作業方法，使其得以判斷某當事人是否主張特定權利，或收到特定當事人提出的請求，監管機關認為控管者無法證明其係合法地處理個人資料。

(10) 監管機關對控管者輕忽當事人權利的作法予以告誡，並且糾正其處理個人資料的作業方式。

行政罰鍰

(11) 除了前述告誡予糾正措施外，監管機關也對控管者課以行政罰鍰（€7,000）。