歐盟個資保護委員會公布GDPR裁罰金額計算指引

歐盟個人資料保護委員會 (European Data Protection Board, EDPB)在徵詢公眾意見後,於今(2023)年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」(Guidelines 04/2022 on the calculation of administrative fines under the GDPR)。此一指引,旨在協調各國資料保護主管機關(Data Protection Authorities, DPAs)計算行政罰鍰的方法,以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」(Starting Point)。

時值我國於今(2023)年5月29日甫通過《個人資料保護法》之修法,將違反安全措施義務的行為提高裁罰數額至最高1500萬,金額之提高更需要一個明確且透明的定裁罰基準,因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟,說明如下:

1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時,應分別裁罰;而如以一行為因故意或過失違反數GDPR規定者,罰鍰總額不得超過最嚴重違規情事所定之數額(指引第三章)。

2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別,並界定不同級別的起算金額範圍,個案依照違反GDPR行為嚴重程度決定金額範圍後,尚需考量企業的營業額度以定其確切金額作為裁罰數額起點(指引第四章)。

3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額(指引第五章)。

4.針對各違反行為,參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額,而是對不同違反行為規範了裁罰最高額度上限,EDPB提醒,適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制(指引第六章)。

5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰,必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則,而予以相應調整裁罰額度,而如果有客觀證據表明裁罰金額可能危及企業的生存,可以考慮依據成員國法律減輕裁罰金額(指引第七章)。

EDPB重申其將不斷審查這些步驟與方法,其亦提醒上述所有步驟必須牢記,罰鍰並非簡單數學計算,裁罰金額的關鍵因素應取決具體個案實際情況。

相關連結
你可能會想參加
※ 歐盟個資保護委員會公布GDPR裁罰金額計算指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9024&no=57&tp=1 (最後瀏覽日:2026/07/12)
引註此篇文章
你可能還會想看
愛看Meme的網友們注意了!歐盟新著作權指令「迷因禁令」(Meme Ban)

  歐盟數位單一市場著作權指令(Directive on Copyright in the Digital Single Market 2016/0280,簡稱COD)中最具爭議性的草案為第13條,被稱為「上傳過濾器」(upload filter),其課予如YouTube、Facebook 及Twitter等內容產業業者,具有防止著作權侵權內容於其平臺被上傳與分享之責任,故平臺須以有效的內容辨識科技(effective content recognition technologies)對所有使用者的上傳內容進行監督與審查,因此又被稱為「迷因禁令」(Meme Ban)。據此,所有二次創作內容均會被禁止上傳於平臺。   所謂「謎因(Meme)」在牛津字典被定義為「具幽默本質並可迅速被複製、散布於網路使用者間,且通常會輕微改作的圖片、影片或文本等(An image, video, piece of text, etc., typically humorous in nature, that is copied and spread rapidly by Internet users, often with slight variations.)」。不少公開平臺甚至以提供觀看、上傳Meme為主要內容,如國際知名Meme網站- 9GAG。若該法通過,對這些大量分享二創內容的網路平臺,將造成全面性的衝擊;此外,也有不少平臺巨頭如YouTube的CEO針對這項草案發出將侵害人權與言論和創作的憂心建言。   該草案自2016年提出歷經歐洲議會多次表決,預定於明年(2019)元月進行最終表決,這個極具爭議性的條款未來將如何發展,是否即將翻轉現有網路二創環境值得關注,社群網路也已經發展出#SaveYourInternet的主題標籤,呼籲大眾的重視。

EU要求OFCOM落實固網批發價格管制

  在2009年6月26日,英國電信業者Opal Telecom針對英國電信(BT) 的固網批發價格的問題(Fixed Termination rate),向OFCOM提起爭議仲裁。不過在OFCOM做出裁決之前,歐盟執委會(The European Commission)已要求OFCOM應該就固定網路的批發價為適當之價格管制,並提供所有通訊業一致性的固定費率。   執委會做出這樣要求的原因,是著眼於今日英國在終端服務(termination services),業者仍然處於壟斷狀態,且有調高終端服務費用之可能,恐不利於促進競爭。   基於改善這樣的現象,並為促進市場競爭和歐盟規範的一致性,執委會提出要求: 應無差別(non-discrimination)使所有業者均得利用原有之固定網路來提供服務,並確保在相同環境、相同條件下進行公平競爭;同時,建議採取對於固定網路費率之管制,以促進市場競爭,其結果對固定通訊服務的競爭者與消費者而言,最為有利。   OFCOM已在2009年10月23日公布裁決結果,基於通訊市場公平競爭和歐洲市場一致的發展的原則下,BT提供Opal固定網路通路(network access)和服務互通(service interoperability)尚屬適當,至於費率部份,則以適用BT在電信業者價格表(Carrier Price List)的批發價為宜。

何謂「專利審查高速公路」?

  「專利審查高速公路(Patent Prosecution Highway, PPH)」係指專利審查機關加速專利審查之程序。藉著各國專利局間合約之簽署,當某專利申請在第1間專利局取得至少1請求項(claim)之核准後,申請人得請求加速第2間專利局就該已經核准之請求項之審查程序。申請人得縮短取得專利之期間,參與之專利局亦得藉著利用第1間審查之專利局已有資料,降低審查工作之負荷。但此並不代表於第1間專利局獲准之專利之發明於第2間專利局亦會當然獲准。   台灣目前已與美國、日本、韓國及西班牙簽署備忘錄進行專利審查高速公路之計畫,日後專利申請人得利用此機制,縮短取得專利之時程,專利局的審查速度亦會加快。根據智財局之統計,至2016年6月底,平均首次OA(office action)期間(自PPH文件齊備至首次OA平均期間)為57.6天,平均審結期間(自PPH文件齊備至審結平均期間)則為136.6天。

紐西蘭隱私專員辦公室「揭露涉及隱私案件之機關名稱」政策生效

  紐西蘭隱私專員辦公室日前針對「是否及如何揭露涉及隱私案件之機關(公務機關或非公務機關)名稱」發布政策;該政策自2014年12月1日起生效。   根據紐西蘭1993年隱私法的規定,隱私專員可決定公開有助於貫徹隱私法立法意旨的資訊等;只要符合此規定,原則上隱私專員也可揭露涉及所調查隱私案件之機關名稱。據此,紐西蘭隱私專員辦公室即於日前針對是否及如何揭露上述機關名稱制定並公布政策。   須說明的是,即使機關確有違法情事,其名稱亦不必然會被揭露,如果有法律上原因或有理由認定不適揭露時,則隱私專員將不會簽署授權揭露之文件。   根據該政策,如機關違反隱私法之行為將導致難以回復之損害、其行為將導致嚴重之後果、該機關被認定為故意違反法律、揭露機關名稱有利於公益,或存在不揭露機關名稱將導致同領域、產業之其他機關受到不合理之牽連或不利益等情形時,則違反機關之名稱較可能被揭露。反之,如果僅屬單一事件、機關之行為較不至於致不利影響,或存在揭露機關名稱反不利於公益等情形時,則機關名稱則較可能不會被揭露。

TOP