扫码立即加入学习!
作者:麻策律师
来源:互联网法律匠
故事发生在2024年9月的德国。
一家储蓄银行发现其一名雇员在未获授权的情况下多次查阅客户的个人资料。该储蓄银行没有将此事通知客户,因为其数据保护官认为这对客户没有高风险。该雇员以书面形式确认,她既没有复制也没有保留这些数据,她没有将这些数据转给第三 方,今后也不会这样做。此外,储蓄银行还对她采取了纪律措施。
不过,银行还是向德国黑森州数据保护监管机构通报了这一违规行为。在偶然发现这一违规行为后,客户向数据保护监管机构提出了投诉。在听取了储蓄银行的陈述后,数据保护监管机构告知银行客户,它认为没有必要对储蓄银行行使任何纠正权力。银行客户随后向德国法院提起诉讼,要求法院命令德国数据保护监管机构对该储蓄银行采取行动,特别是对其处以罚款。
德国法院却有些蒙蒙达,于是要求欧盟法院就此项问题基于《一般数据保护条例》(GDPR)进行解释。
欧盟法院的最终回答是,当个人数据被侵犯的事实已经确定时,但对于弥补所发现的缺陷和确保 GDPR 能够得到充分执行并无必要的话,监管机构没有义务行使纠正权,特别是处以行政罚款的权力。即,如果控制者在意识到违规行为后立即采取了必要措施,以确保终止违规行为且不再发生,就属于这种情况。
GDPR 给监管机构留下了一个自由裁量权,即它必须以何种方式弥补发现的缺陷。这种自由裁量权受到了通过强有力地执行 GDPR 来确保个人数据得到一致和高水平保护的需要的限制。
首先,欧盟法院强调,GDPR 为监管机构留出了一定的裁量权,以决定如何弥补所观察到的不足,因为该法规赋予监管机构采取各种纠正措施的权力。事实上,适当和必要手段的选择取决于监管机构,监管机构必须考虑具体案件的所有情况,并尽职尽责地履行其确保完全遵守 GDPR 的使命。
其次,更具体地说,关于行政罚款,欧盟法院指出,根据每个案件的具体特点,行政罚款是与其他补救措施的补充或替代其他补救措施而征收的。此外,在决定是否处以行政罚款和决定罚款金额时,监管机构必须适当考虑每个个案的各种因素,例如侵权的性质、严重程度和持续时间。
因此,欧盟立法机构规定的处罚制度允许监管机构在每种情况下实施最适当和合理的制裁,同时考虑到确保完全遵守 GDPR 的需要,以及确保对个人数据的一致和高水平的保护。不能从 GDPR 中推断出监管机构有义务在所有情况下发现个人数据泄露时采取补救措施,特别是行政罚款,因为在这种情况下,其义务是做出适当反应以补救发现的不足之处。在这些情况下,权利受到侵犯的投诉的作者没有主观权利要求监管机构对控制者处以行政罚款。
最后,欧盟法院指出,当考虑到具体案件的所有情况,采取一项或多项纠正措施对于纠正所指出的缺陷是适当的、必要的和相称的时,监管机构就需要进行干预,并保证完全遵守 GDPR。
在这方面,不排除在特殊情况下,考虑到具体案件的具体情况,尽管发现了个人数据泄露,监管机构仍可能不采取纠正措施。特别是当所指出的违规行为并未持续存在时,例如原则上已实施适当技术和组织措施的控制者一旦意识到这种违规行为,就可能会出现这种情况,考虑到 GDPR 规定的义务,采取了适当且必要的措施,确保违规行为结束且不再发生。
考虑到这些因素,法院得出的结论是,如果发现个人数据泄露,监管机构无需必然需要采取纠正措施,包括行政罚款,因为这种干预措施可能并不适当、必要或不相称。
。。。。。。
全部AI及数据中译本及资讯请加入
