2019年,波兰监管当局首次公布了一项涉及数据保护案件的裁决,其对未履行《欧洲议会与欧洲理事会关于处理个人数据时为自然人提供保护以及确保此类数据的自由流动并废除第95/46/EC号指令的第2016/679号欧盟法规》,即《通用数据保护条例》(GDPR),中第14条所规定信息义务的公司处以94.3万波兰兹罗提(约22万欧元)的行政罚款。
背景
遭受行政罚款的主体为一家为从事商业活动的个人以及董事会成员提供数据处理服务的数据代理公司。该公司可从公众可访问的寄存器中获取到相关数据。然而,该公司仅对将自身的邮箱地址披露在寄存器中的68万人履行了信息义务。而其余所有的个人(超过600万)并未被告知其数据已被披露,即使其邮政地址部分已经为公众所知。
该公司试图利用GDPR中第14.5(b)条的豁免条款来为自己辩护,其表示自己不应履行信息义务,因为打印所需的信息并进行邮寄的操作费用会非常的高,这将与其期望的收益不成比例。因此,该公司仅在自己的网站里公布了相关信息条款。
个人数据保护办公室的裁决
波兰个人数据保护办公室对该公司的做法表示反对,因此对其予以上述行政罚款并要求该公司通过邮寄的形式通知那些邮箱地址已被泄露的数据主体以此来履行信息义务。此外,该公司无需对邮箱地址未披露在寄存器里的董事会成员来履行这种义务。波兰监管当局认为该数据代理公司仅在公司网站里展示信息条款是远远不够的。因为在数据主体的联系方式被泄露的情况下,该公司本应该要履行信息义务的。由此而造成的结果就是,相关数据主体不可能再根据GDPR来行使自身的权利,尤其是反对他人进一步对自己的数据进行处理或提出对自身数据进行更正或删除请求的权利。
后续进展
该数据代理公司已经表示其将会对监管当局的裁决提起上诉。预计法院将会提出把GDPR第14.5(b)条中的“不成比例”(disproportional effort)的解释作为信息义务的例外这一问题。而且这一问题将会提交至欧盟法院。
(编译自www.lexology.com)