违反了GDPR就一定会被罚2千万欧元或者4%的上一财年的全球收入的罚金(两者以最高的为准)吗?
相信许多人对于GDPR最熟悉的部分就是其高昂的罚金——2千万欧元或百分之四的上一财年的全球收入的罚金(两者以最高的为准)。企业犯了“小错”也会面对如此严厉的惩罚吗?
其实,违反GDPR将面临多重法律责任,包括行政责任、民事责任。违反GDPR的行政责任分为两部分,一是纠正违法行为,二是行政罚款。GDPR条例第83条《征收款行政罚款的一般条件》中对行政处罚的罚款条件做出来一般规定,今天就让我们一起深入学习下吧。
GDPR条例第83条主要内容是《征收款行政罚款的一般条件》,共包含9款法律条文,原文如下:
征收行政罚款的一般条件
1、 各监督机关应确保在个案中就违反本条例依据本条第4,5和6款所实施的行政罚款是有效的,合比例的和具有劝诫性的。
即:采用罚金进行对违反GDPR的数据控制者或者处理者的处罚时,罚金的金额要符合 “有效性、比例性以及劝阻性”的要求。
2、 根据每个案件的具体情况,行政罚款应附加于或取代本条例第58(2)条(a)至(h)和(j)项所规定的措施。在个案中决定是否给予行政罚款及决定行政罚款数额时,应当考虑以下因素:
a 侵权的性质,严重程度和持续时间,考虑到有关处理的性质范围或目的,以及受影响之数据主体的数量及其所遭受的损害程度;
b 侵权的性质是故意还是疏忽(过失);
c 数据控制者或数据处理者为减轻数据主体所遭受的损害而采取的任何行动;
d 数据控制者或数据处理者的责任程度,考虑到它们根据第25条和第32 条所采取的技术性和组织性措施;
e 数据控制者或数据处理者之前发生的任何相关侵权行为;
f 与监管机构的配合程度,以补救其违规和减轻其侵权可能造成的不利影响;
g 受侵权影响的个人数据类别;
h 监管机构知道其侵权行为的方式,特别是数据控制人或数据处理人是否通知该侵权行为;
i 先前已依据本条例第58(2)规定命令数据控制者或数据处理者就同一事项采取措施的,对该类措施的遵守程度;
j 遵守根据第40条批准的行为守则或根据第42条规定经批准的认证机制的遵守;
k 适用于案件情况的任何其他加重或减轻因素,例如所获得的经济利益,或直接或间接从侵权中避免的损失。
*由GDPR第83条第2款可知,监管机关在决定是否罚款以及罚款数额时,考虑三类因素:
(1)针对违法行为本身,具体包括:违法行为的性质、严重性、持续时间和受影响的数据主体的数量和损失程度;违法行为基于故意或过失;违法行为涉及的个人数据种类;是否有相关违法行为;就此行为是否采取其他行政措施;其他适用于个案的加重或减轻情节,如获利。
(2)针对违法行为的处理应对措施,具体包括:降低数据主体损失的措施、与监管机构的合作程度、监管机构获知违法行为的方式。
(3)公司内部隐私数据合规管理制度,具体包括:是否采取系统保护和默认保护、是否采取与风险一致的技术措施和组织措施、是否符合行为准则或遵守认证机制。
3、 对于相同或相关的处理操作,如果数据控制者或数据处理者故意或疏忽(过失)违反本条例的若干规定,行政罚款总额不得超过最严重侵权指定的金额。
4、 根据第2款,违反下列规定者将被处以高达10 000 000欧元的行政罚款,当主体为企业时,则高达前一财政年度全球年营业额总额的2%,以较高者为准:
a 第8,11,25到39和42和43 数据控制者或数据处理者的义务;
b 认证机构根据第42条和第43 条承担的义务;
c 监督机构根据第41(4)条承担的义务。
5、 根据第2款的规定,违反下列规定者将被处以高达20 000 000欧元的行政罚款,当主体为企业时,则高达上一财政年度全球年营业额总额的4%,以较高者为准:
a 第5条,6,7和9规定的处理的基本原则,包括同意的条件 ;
b 第12至22 条规定的数据主体的权利;
c 第44至49 条规定的个人数据向第三国或国际组织的数据接收者进行传输的规则;
d 根据第九章通过的欧盟成员国法律规定的任何义务;
e 违反监管机关依据本条例第58(2)规定所作出的命令、临时性或终局性的处理限制或暂停数据流动,或违反第58(1)的规定未向监管机关提供数据访问。
6、 违反监管机构依据第58条第(2)款作出的命令,应按照本条第2款的规定,处以最高20 000 000欧元的行政罚款,当主体为企业时,不超过上一财政年度全球年营业额总额的4%,以较高者为准。
综上,不是违反GDPR任何一条都会直接罚至罚金上限。违反基本原则、违反数据主体权利规定、违反数据跨境转移规定、不遵守监管机关的纠正命令等属于严重的违法行为,行政罚款上限为上财年全球营收4%或2000万欧元中取高者;而违反其他义务的责任较轻,行政罚款上限为上财年全球营收2%或1000万欧元中取高者。(考虑到GDPR适用于各类主体,处罚及罚金措施不仅适用于企业,也包括政府机构、公共事业机构等。)
7、 在不损害监督当局根据第58(2)条规定的纠正权力的情况下,每个成员国可以就是否以及在何种程度上对该成员国内设立的公务机关和机构实施行政罚款制定规则。
8、 监督机关根据本条行使其权力,应根据联盟和成员国法律,受适当的程序性保障措施约束,包括有效的司法补救和正当程序。
9、 如果成员国的法律制度没有规定行政罚款,则本条的适用方式应由主管监督机构发起并由国家主管法院强制执行,同时确保这些法律救济是有效的并与监管机关施加的行政罚款具有同等效力。在任何情况下,罚款应有效,适度和具有劝诫性。该类欧盟成员国应在2018年5月25日之前将其依据本条款通过的法律条款通知欧盟委员会,并无延迟地向欧盟委员会通知任何影响该规定的后续修正法律或法律修正案。
即,根据GDPR第58条规定,欧盟监管机构有调查、改正及处罚及发布指导意见的权力,对违反GDPR的数据控制者或者处理者的处罚也有多种形式。显然,最高罚金仅仅在最严重的违法行为下适用。监管机构的矫正权力也并不仅限于罚金,还包括:警告,申诫,要求数据控制者、处理者改正、要求对个人数据予以更正或擦除等。
例如:除了行政责任外,根据GDPR第82条,因数据控制者或处理者违反GDPR的行为而蒙受财产或非财产损失的个人,可以提起民事诉讼,要求数据控制者或处理者赔偿损失(这里涉及到对数据管理者个人的处罚)。
PS:文章内容由SCA安全通信联盟整理,更多内容请关注 SCA官方微信公众号“奥航智讯”,转载请标注“奥航智讯”。SCA安全通信联盟,主要关注安全通信和安全身份认证领域,为信息安全领域提供中立、专业的认证咨询服务。早在2018年GDPR法案刚刚颁布不久,SCA安全通信联盟就举办了针对GDPR法律法规的解读培训。
文中对应条款来自GDPR官方文档,本文参考资料:违反GDPR的法律责任有哪些?http://lawv3.wkinfo.com.cn/topic/61000000515/19.HTML