2019年10月30日,德国柏林数据保护机构(Berliner Beauftragte für Datenschutz und Informationsfreiheit,以下简称“柏林DPA”)对德国上市房产公司Deutsche Wohnen因违反欧盟《通用数据保护条例》(General DataProtection Regulation,以下简称“GDPR”)做出了1450万欧元的罚款,是迄今为止德国数据保护机构对外做出的最高额罚款。 一、案件背景及分析 Deutsche Wohnen是一家房地产公司,被指使用没有删除功能的存储系统存储租户个人数据,进而导致数据的超期存储。被超期储存的数据包括租户的个人和财务状况信息,例如工资单、自我披露表、雇佣和培训合同摘要、税收数据、社保和健康保险数据以及银行对账单。2017年6月,柏林DPA对该公司进行了现场调查后,即向该公司发出了违规警告。然而在2019年3月进行的另一次调查中,Deutsche Wohnen仍无法解释为何没有清理租户个人数据或就超期储存租户存在任何法律依据。 柏林DPA认定,Deutsche Wohnen超期存储不必要的、甚至是非法收集而得的个人数据的行为违反了GDPR第25条第(1)款以及GDPR第5条规定的处理的合法性原则。GDPR第25条第(1)款规定,控制者在决定和实施数据处理的方法时,应当采取有效的、适当的技术、组织措施,例如数据匿名化和数据最小化,并且将必要的保障措施融入到处理之中以使数据处理既符合本条例的要求又能保护数据主体的权利。GDPR第5条第(1)款规定,处理的个人数据应当是充足的、相关的、并且限于数据处理的最小必要范围(最小必要原则);并且,以可识别数据主体身份形式存储的数据的存储时间不能长于实现个人数据处理目的所必须的时间(存储限制原则)。