德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)
德国联邦和州独立数据保护机构关于确定企业罚款数额的指南[1]
德国联邦和州独立数据保护机构会议[2]
2019年10月14日
1、 引言
2018年5月25日,欧盟数据保护委员会(EDPB)依据《欧盟通用数据保护条例》(以下简称GDPR)第70条第1款k项所规定的任务,在第一次全体会议中通过了由第29条数据保护工作组2017年10月3日发布的《GDPR罚款适用和确定指南》。这份指南对GDPR第83条的规定作出统一解释并概括阐述了确定罚款数额的统一方案。但这份指南并不详尽,有待欧盟数据保护委员会在未来的指南中进行具体化。
本指南仅涉及GDPR所规定的针对企业的罚款的数额确定标准,不适用于协会(Vereine)和个人在经济活动之外的行为。同时,本指南对跨境的案例和欧盟其他数据保护机构不具有约束力,对法院确定罚款数额也没有任何约束力。
德国联邦和州的独立数据保护机构可随时废除、修订和扩充本指南。本指南在欧盟数据保护委员会发布最终版的《罚款金额确定方法指南》后即失效。
2. 罚款指南
德国联邦和州的独立数据保护机构认为,鉴于现代企业制裁法往往设置高额的最高罚款限额,同时要面向各种不同规模的企业,一家企业的营业额是确保制裁有效、合比例和威慑性的一个适当、合理且公平的连接点。
据此,确定对企业的罚款数额时可按以下五个步骤进行:(1)首先对企业按规模大小进行分类;(2)确定不同规模类别下企业的平均年度营业额;(3)核定经济基本值(wirtschaftlicherGrundwert);(4)用此基本值乘以因数,因数取决于违法行为的严重程度;(5)最后,依据与违法行为相关的情形以及其它尚未考虑的情形对步骤(4)中得出的数值进行调整。
本程序确保罚款的确定以一种合理、透明和因案制宜的形式做出。
(1)企业规模分类
根据规模的大小,企业被分为A到D四类(见表格1)。
企业的规模根据企业上一年度全球营业总额确定(参见GDPR第83条第4到6款),分为微型企业、小型企业、中型企业(以上合称“中小微企业”)和大企业。根据GDPR立法理由第150条,“企业”为《欧盟运行条约》(TFEU)第101和102条(所谓功能性企业概念)意义上的企业。
对中小微企业的判别,基本上按上一年营业额参照欧盟2003年5月6日发布的推荐标准(2003/361/EG)进行。
同一规模类别下还划分出更为具体的子类别(A.I到A.III,B.I到B.III,C.I到C.VII,D.I到D.VII)。
(表格一)
中小微企业 | 大企业 | ||||||
A | B | C | D | ||||
微型企业:年度营业额200万欧元以下 | 小型企业:年度营业额200万~1000万欧元 | 中型企业:年度营业额1000万~5000万欧元 | 年度营业额超过5000万欧元 | ||||
A.I | 年度营业额70万欧以下 | B.I | 年度营业额200万~500万欧 | C.I | 年度营业额1000万~1250万欧 | D.I | 年度营业额5000万~7500万欧 |
A.II | 年度营业额70万~140万欧 | B.II | 年度营业额500万~750万欧 | C.II | 年度营业额1250万~1500万欧 | D.II | 年度营业额7500万~1亿欧 |
A.III | 年度营业额140万~200万欧 | B.III | 年度营业额750万~1000万欧 | C.III | 年度营业额1500万~2000万欧 | D.III | 年度营业额1亿~2亿欧 |
C.IV | 年度营业额2000万~2500万欧 | D.IV | 年度营业额2亿~3亿欧 | ||||
C.V | 年度营业额2500万~3000万欧 | D.V | 年度营业额3亿~4亿欧 | ||||
C.VI | 年度营业额3000万~4000万欧 | D.VI | 年度营业额4亿~5亿欧 | ||||
C.VII | 年度营业额4000万~5000万欧 | D.VII | 年度营业额超过5亿欧 |
(2) 确定不同规模类别的企业的平均年度营业额
然后,确定各规模类别下企业的平均年度营业额(见表格2)。这一步骤是为了阐明在此基础上确定的步骤(3)中的经济基本值。
(表格2)
中小微企业 | 大企业 | ||||||
A | B | C | D | ||||
A.I | 35万欧元 | B.I | 350万欧元 | C.I | 1125万欧元 | D.I | 6250万欧元 |
A.II | 105万欧元 | B.II | 625万欧元 | C.II | 1375万欧元 | D.II | 8750万欧元 |
A.III | 170万欧元 | B.III | 875万欧元 | C.III | 1750万欧元 | D.III | 1.5亿欧元 |
C.IV | 2250万欧元 | D.IV | 2.5亿欧元 | ||||
C.V | 2750万欧元 | D.V | 3.5亿欧元 | ||||
C.VI | 3500万欧元 | D.VI | 4.5亿欧元 | ||||
C.VII | 4500万欧元 | D.VII | 实际年度营业额* |
*年度营业额5亿以上的企业,对其进行罚款的最高限额为其年度营业额的2%~4%,罚款根据各企业的实际营业额计算。
(3)核定经济基本值
经济基本值是将各类别企业的平均年度营业额除以360(天)得到的四舍五入成整数的每日罚款金额(见表格3)。
(表格3)
中小微企业 | 大企业 | ||||||
A | B | C | D | ||||
A.I | 972 欧元 | B.I | 9722 欧元 | C.I | 31250 欧元 | D.I | 173611 欧元 |
A.II | 2917 欧元 | B.II | 17361 欧元 | C.II | 38194 欧元 | D.II | 243056 欧元 |
A.III | 4722 欧元 | B.III | 24306 欧元 | C.III | 48611 欧元 | D.III | 416667 欧元 |
C.IV | 62500 欧元 | D.IV | 694444 欧元 | ||||
C.V | 76389 欧元 | D.V | 972222欧元 | ||||
C.VI | 97222 欧元 | D.VI | 125万 欧元 | ||||
C.VII | 125000 欧元 | D.VII | 实际每日罚款额* |
* 年度营业额5亿以上的企业,对其进行罚款的最高限额为其年度营业额的2%~4%,罚款根据各企业的实际营业额计算。
(4)依据违法行为严重程度对基本值进行倍乘
然后根据个案中违法行为的具体情况(参见GDPR第83条第2款第2句)对行为的严重程度进行分类:严重程度分为轻度、中度、严重和非常严重。
根据GDPR第83条第2款的标准以及考虑个案情形,按照如下表格4确定违法行为严重程度及其对应的因数,将因数与基本值相乘。鉴于不同的罚款范围,对于形式违反(GDPR第83条第4款)和实质违反(GDPR第83条第5、6款)行为,应选择与之对应的不同的因数。对于非常严重的违法行为,在选择其因数时,要注意不应超过个案的罚款范围。
(表格4)
行为严重程度 | 根据GDPR第83条第4款的形式违反行为的因数 | 根据GDPR第83条第5、6款的实质违反行为的因数 |
轻度 | 1 至 2 | 1至4 |
中度 | 2至4 | 4至8 |
严重 | 4至6 | 8至12 |
非常严重 | 大于6 | 大于12 |
(5)依其它情形对基本值进行调整
最后,根据所有在步骤(4)中未曾考虑的对企业有利或不利的情形,对依据步骤(4)所计算出的数额进行调整。在此需要考虑的情形包括违法行为的整体情形(参见GDPR第83条第2款),以及其他情形,例如程序持续时间较长,以及企业面临丧失支付能力的威胁。(主要译者刘文丽为北京安理律师事务所律师助理、智联出行研究院研究员,王棋为德国哥廷根大学硕士研究生,感谢上海交通大学法学院张陈果副教授对译文提出细致的修改意见)
[1]德国联邦和州独立数据保护机构关于确定企业罚款数额的指南(Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen), 是由德国联邦和州独立数据保护机构会议(DSK)发布的关于GDPR适用的指导性文件。该指南不具有法律约束力,但基于DSK及其成员机构的权威地位,DSK发布的文件实际上会对数据保护的实践产生一定影响。
[2]德国联邦和州独立数据保护机构会议(Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder,简称Datenschutzkonferenz,缩写DSK),是由德国联邦和各州数据保护机构组成的非正式委员会,其任务和目标是保障公民个人数据受保护的基本权利,协调欧盟和国内数据保护法的统一适用,共同致力于促进委员会的发展。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点