波兰数据保护办公室开出GDPR第一罚

编者按：2019年3月26日，波兰数据保护机关（DPA）——波兰数据保护办公室（the Personal Data Protection Office,UODO）主席对违反GDPR告知义务的一家公司开出第一罚，罚款金额超过943 000波兰兹罗提。对于本次处罚，值得注意是，所涉数据控制者仅仅向留有电子邮件地址的数据主体进行电子邮件告知，而对未留有电子邮件地址但留有其它联系方式（比如邮寄地址和电话号码）的数据主体没有进行告知通知，仅仅在其网站展示信息条款。波兰数据保护办公室认为，这种告知方式是不充分的，也应该也向这些数据主体发送告知通知，而不应该以高成本为借口。

以下为编译内容：

一、本次处罚所针对的数据处理行为

UODO主席作出的处罚决定，针对的是：该公司从公开可获得的数据来源（尤其是从商业活动电子登记和信息中心，the Central Electronic Register and Information on Economic Activity）那里获取的所涉数据主体的个人数据并对这些个人数据为商业目的进行处理的行为。UODO证实确认了该公司向从事商业活动的个人（包括正在从事商业活动或已经停止商业活动的企业家，以及在过去从事商业活动的企业家）履行关于处理其个人数据的信息告知义务的不合规性。

二、开出本次处罚的具体理由阐释

波兰数据保护办公室（UODO）主席Edyta Bielak-Jomaa博士，认为开出本次处罚是必要的，因为该数据控制者没有遵守GDPR等相关法律。具体处罚理由如下：

1.没有履行GDPR告知义务

许多所涉数据主体没有意识到该公司的此次数据违规行为，该数据控制者也没有告知他们关于处理其人数据的相关信息，所以首先侵犯了所涉数据主体的知情利益。

2.违反GDPR告知义务的故意性

UODO主席发现该数据控制者此次数据违规行为是故意的，因为其已经意识到其有提供数据处理相关信息的告知义务以及直接通知到所涉数据主体个人的必要性（就如投诉处理和处罚判定过程中所确认的那样）。

3.告知的不充分性

该数据控制者依据GDPR 第 14 (1) – (3)条款要求，仅仅向在公司留有电子邮件地址的个人（大约9万人）通过发送电子邮件告知了有关处理其个人数据的信息。在本次投诉处理和处罚判定过程中，数据控制者抗辩道：对于剩下没有留有电子邮件地址的个人（超过600万）进行告知通知的操作成本（邮递成本）过高，因此，其仅仅在其网站展示了相关数据处理信息条款。

UODO主席认为，这种操作是不充分的，在拥有特定个人的联系方式（数据）的情况下，数据控制者本可以向这些特定个人履行告知义务，本可以特别向其告知以下信息：所处理的个人数据内容，获取其个人数据的来源，计划数据处理的目的和期限，以及GDPR规定的数据主体的权利。

UODO主席认为，GDPR等相关条款没有规定对数据主体发送挂号信（correspondence by registered mail）的义务，这往往被数据控制者抗辩援引为不履行昂贵的告知义务的一个借口理由。

该案中，该公司已经有了所涉数据主体的邮寄地址和电话号码，因此本可以通过（邮递信件或打电话）向所涉数据主体提供有关数据处理的信息以达成对GDPR告知义务的合规性。因此，该起案件应该不同于波兰数据保护机关（the Polish DPA，即UODO）数年之前处理的另一个案件，当时所涉另一家公司没有这种可供通知的邮寄地址或电话号码。

4.违反告知义务的严重性

波兰数据保护办公室（UODO）主席认为此次该公司违反GDPR告知义务的行为性质和影响非常严重，因为其关涉所涉数据主体的基本权利和自由，即一项关键性问题和基本性义务——即GDPR规定的关于数据处理的信息告知义务，这是保障数据主体的基本权利和自由以及数据主体履行GDPR所赋诸项数据权利的前提。数据控制者未正确履行该项数据处理信息告知义务，也就剥夺了所涉数据主体行使GDPR赋予的数据权利的可能性。没有获得告知，数据主体就不可能反对进一步处理其个人数据，要求更正或删除其个人数据。

就如UODO分析和战略部门主管Piotr Drobe所解释的那样，该公司没有履行向超过所涉600多万数据主体提供有关数据处理信息的告知义务。而且，在公司已告知有关其个人数据处理的信息的区区大约9万人中，超过1万2千人反对处理其个人数据。这表明正确履行告知义务以便能数据主体行使GDPR赋予的诸项数据权利（如反对权）是多么重要！

5.未停止侵权，也未做相应说明

当开出这次处罚之时，波兰数据保护机关也考虑到了数据控制者“没有采取任何措施来停止违规和侵权行为”这一事实，也没有对其选择这样做的目的（争取减轻处罚）进行说明。

来源：波兰数据保护办公室官网uodo.gov.pl

编译：刘元兴，京东数字科技研究院法律与政策中心研究员

声明：本文来自京东数字科技研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。