法庭:欧盟法院第一庭
判决日期:2024年9月26日
案件编号:C‑768/21
裁判看点:
数据保护机构在知晓存在违反《通用数据保护条例》(DSGVO)的行为后,不一定必须采取采取处罚措施。
案件背景:
黑森州一家储蓄银行的员工多次未经授权访问了银行客户的个人数据。在银行发现这一情况后,并未立即通知客户。而是咨询了银行的DPO,DPO认为,此次事件对客户的权利和自由没有构成重大风险。
DPO要求该员工书面承诺,阐明她没有复制、保存或向第三方传递数据,并保证今后不会再犯。此外,银行已对该员工采取了纪律处分。
在上述背景下,银行向州数据保护机构报告了这一数据泄露事件。涉事的银行客户在偶然得知了此事,并立即向州数据保护监管机构提交了投诉。
州数据保护监管机构接到客户的投诉后,对储蓄银行进行了听证,最后得出结论认为,对银行采取进一步的处罚措施是没有必要的。
受害者客户不满这样的结论,遂提起诉讼,要求法院命令州数据保护机构对银行采取罚款措施。
裁判理由:
威斯巴登行政法院(VG Wiesbaden)作为本案的管辖法院向欧盟法院进一步提出了问询。
欧盟法院明确指出,即使发现了违反个人数据保护的行为,监督机构也不总是必须采取补救措施,特别是处以罚款。只有当确实需要纠正发现的问题并确保全面遵守DSGVO时,数据保护机构才必须采取行动。
欧盟法院进一步指出,《通用数据保护条例》赋予了监管机构足够的自由裁量权,让其决定如何纠正已发现的问题。如果数据处理方在得知违规后,立即采取了必要的措施,并确保问题得到纠正不会再次发生,那么惩罚可能并不是必须的。
同时,欧洲法院认为,各地的监管机构所拥有的自由裁量权仅受《通用数据保护条例》约束,目的是为了确保个人数据始终保持一致且高效的保护水平。但本案中的州数据保护机构是否如实地遵循了相关的规定程序,需要由威斯巴登行政法院进一步审查。
扫二维码联系专业客服