德国法院称罚款“高的离谱”,裁定削减一项针对该国最大电信服务提供商违反GDPR的罚款
文章系本公众号独家首发,未经授权不得转载、摘编
近日,德国波恩一家上诉法院裁定将一项针对该国最大电信服务提供商1&1 Telecom GmbH 违反GDPR的罚款削减90%以上,称其“高的离谱”。
2019年,德国联邦数据保护和信息自由专员(the Federal Commissioner for Data Protection andFreedom of Information,BfDI)接到投诉,称1&1 Telecom GmbH 的电话客服在不额外核实个人信息的情况下,仅需要提供用户名和出生日期两项信息,就可以获取该用户其他的账户信息,导致个人信息泄露。经调查认定后,BfDi于2019年12月决定依据GDPR对1&1 Telecom GmbH 处以955万欧元罚款。1&1 Telecom GmbH随即向德国波恩一家上诉法院提交了诉讼。
尽管BfDI声称,1&1 Telecom GmbH的安全漏洞“对客户基本信息安全构成了风险”,但上诉法院在审查后裁定,认为:
1)未经授权的一方可能获得的信息有限。虽然可以得到用户的电话号码,但缺乏其他必要与个人关联信息的访问权限,所以因信息泄露导致的损失有限,并且不可能通过这种方法“将数据大量移交给非授权人员”。
2)在这个特殊的案例中,有可能会有人滥用客户服务漏洞,但目前只有一个记录显示有人这样做了;
3)该电信公司制定该政策的初衷是为了方便客户访问帐户;
4)该电信公司在调查期间充分合作,也是该公司第一次被处以GDPR罚款,并且该公司的声誉因媒体对该事件的报道而受到损害。
最终上诉法院决定将罚款金额从955万欧元降至90万欧元。
1&1 Telecom GmbH在一份公开声明中对GDPR罚款的减少表示欢迎,但也表示,它认为新的金额还是太高了,将对该裁决进行详细的审查。
媒体评论认为,德国数据保护部门就确定GDPR罚款金额设置了五步程序,这也是欧盟国家中少数几个从国家层面设立的正式程序之一。在这五步程序中,监管部门需要考虑公司规模、年营业额、数据泄露的严重程度,以及减轻处罚的因素来计算最终的罚金。波恩上诉法院的裁决表明,处罚金额不应将年度收入作为唯一主要的考虑因素,否则一个相对微不足道的违规行为仅仅因为所涉公司的规模大就迅速演变成巨额罚款。
本文作者:H.ZhY
公司合规监察官机制研究(第一期):合规监察官机制概述
公司合规监察官机制研究(第二期):合规监察官机制的应用现状分析
公司合规监察官机制研究(第三期):合规监察官应对建议
Turkeys And Turkey -- “感恩节”回顾涉及土耳其的FCPA执法案例
OECD发布对美国反贿赂公约义务第四阶段审查报告
让我知道你在看