GDPR哪些情况下会对企业征收行政罚款?
文章来源:奥航智讯微信公众号 作者:网喵 发布时间:2019-08-14 浏览次数:592
违反了GDPR就一定会被罚2千万欧元或者4%的上一财年的全球收入的罚金(两者以最高的为准)吗?
其实,违反GDPR将面临多重法律责任,包括行政责任、民事责任。违反GDPR的行政责任分为两部分,一是纠正违法行为,二是行政罚款。GDPR条例第83条《征收款行政罚款的一般条件》中对行政处罚的罚款条件做出来一般规定,今天就让我们一起深入学习下吧。
GDPR条例第83条主要内容是《征收款行政罚款的一般条件》,共包含9款法律条文,原文如下:
征收行政罚款的一般条件
1、 各监督机关应确保在个案中就违反本条例依据本条第4,5和6款所实施的行政罚款是有效的,合比例的和具有劝诫性的。
a 侵权的性质,严重程度和持续时间,考虑到有关处理的性质范围或目的,以及受影响之数据主体的数量及其所遭受的损害程度;
b 侵权的性质是故意还是疏忽(过失);
c 数据控制者或数据处理者为减轻数据主体所遭受的损害而采取的任何行动;
d 数据控制者或数据处理者的责任程度,考虑到它们根据第25条和第32 条所采取的技术性和组织性措施;
e 数据控制者或数据处理者之前发生的任何相关侵权行为;
f 与监管机构的配合程度,以补救其违规和减轻其侵权可能造成的不利影响;
g 受侵权影响的个人数据类别;
h 监管机构知道其侵权行为的方式,特别是数据控制人或数据处理人是否通知该侵权行为;
i 先前已依据本条例第58(2)规定命令数据控制者或数据处理者就同一事项采取措施的,对该类措施的遵守程度;
j 遵守根据第40条批准的行为守则或根据第42条规定经批准的认证机制的遵守; k 适用于案件情况的任何其他加重或减轻因素,例如所获得的经济利益,或直接或间接从侵权中避免的损失。
(1)针对违法行为本身,具体包括:违法行为的性质、严重性、持续时间和受影响的数据主体的数量和损失程度;违法行为基于故意或过失;违法行为涉及的个人数据种类;是否有相关违法行为;就此行为是否采取其他行政措施;其他适用于个案的加重或减轻情节,如获利。
(2)针对违法行为的处理应对措施,具体包括:降低数据主体损失的措施、与监管机构的合作程度、监管机构获知违法行为的方式。
(3)公司内部隐私数据合规管理制度,具体包括:是否采取系统保护和默认保护、是否采取与风险一致的技术措施和组织措施、是否符合行为准则或遵守认证机制。
4、 根据第2款,违反下列规定者将被处以高达10 000 000欧元的行政罚款,当主体为企业时,则高达前一财政年度全球年营业额总额的2%,以较高者为准:
a 第8,11,25到39和42和43 数据控制者或数据处理者的义务;
b 认证机构根据第42条和第43 条承担的义务;
c 监督机构根据第41(4)条承担的义务。
5、 根据第2款的规定,违反下列规定者将被处以高达20 000 000欧元的行政罚款,当主体为企业时,则高达上一财政年度全球年营业额总额的4%,以较高者为准:
e 违反监管机关依据本条例第58(2)规定所作出的命令、临时性或终局性的处理限制或暂停数据流动,或违反第58(1)的规定未向监管机关提供数据访问。
6、 违反监管机构依据第58条第(2)款作出的命令,应按照本条第2款的规定,处以最高20 000 000欧元的行政罚款,当主体为企业时,不超过上一财政年度全球年营业额总额的4%,以较高者为准。
8、 监督机关根据本条行使其权力,应根据联盟和成员国法律,受适当的程序性保障措施约束,包括有效的司法补救和正当程序。
9、 如果成员国的法律制度没有规定行政罚款,则本条的适用方式应由主管监督机构发起并由国家主管法院强制执行,同时确保这些法律救济是有效的并与监管机关施加的行政罚款具有同等效力。在任何情况下,罚款应有效,适度和具有劝诫性。该类欧盟成员国应在2018年5月25日之前将其依据本条款通过的法律条款通知欧盟委员会,并无延迟地向欧盟委员会通知任何影响该规定的后续修正法律或法律修正案。
例如:除了行政责任外,根据GDPR第82条,因数据控制者或处理者违反GDPR的行为而蒙受财产或非财产损失的个人,可以提起民事诉讼,要求数据控制者或处理者赔偿损失(这里涉及到对数据管理者个人的处罚)。
文中对应条款来自GDPR官方文档,本文参考资料:违反GDPR的法律责任有哪些?http://lawv3.wkinfo.com.cn/topic/61000000515/19.HTML
其实,违反GDPR将面临多重法律责任,包括行政责任、民事责任。违反GDPR的行政责任分为两部分,一是纠正违法行为,二是行政罚款。GDPR条例第83条《征收款行政罚款的一般条件》中对行政处罚的罚款条件做出来一般规定,今天就让我们一起深入学习下吧。
GDPR条例第83条主要内容是《征收款行政罚款的一般条件》,共包含9款法律条文,原文如下:
征收行政罚款的一般条件
1、 各监督机关应确保在个案中就违反本条例依据本条第4,5和6款所实施的行政罚款是有效的,合比例的和具有劝诫性的。
a 侵权的性质,严重程度和持续时间,考虑到有关处理的性质范围或目的,以及受影响之数据主体的数量及其所遭受的损害程度;
b 侵权的性质是故意还是疏忽(过失);
c 数据控制者或数据处理者为减轻数据主体所遭受的损害而采取的任何行动;
d 数据控制者或数据处理者的责任程度,考虑到它们根据第25条和第32 条所采取的技术性和组织性措施;
e 数据控制者或数据处理者之前发生的任何相关侵权行为;
f 与监管机构的配合程度,以补救其违规和减轻其侵权可能造成的不利影响;
g 受侵权影响的个人数据类别;
h 监管机构知道其侵权行为的方式,特别是数据控制人或数据处理人是否通知该侵权行为;
i 先前已依据本条例第58(2)规定命令数据控制者或数据处理者就同一事项采取措施的,对该类措施的遵守程度;
j 遵守根据第40条批准的行为守则或根据第42条规定经批准的认证机制的遵守; k 适用于案件情况的任何其他加重或减轻因素,例如所获得的经济利益,或直接或间接从侵权中避免的损失。
(1)针对违法行为本身,具体包括:违法行为的性质、严重性、持续时间和受影响的数据主体的数量和损失程度;违法行为基于故意或过失;违法行为涉及的个人数据种类;是否有相关违法行为;就此行为是否采取其他行政措施;其他适用于个案的加重或减轻情节,如获利。
(2)针对违法行为的处理应对措施,具体包括:降低数据主体损失的措施、与监管机构的合作程度、监管机构获知违法行为的方式。
(3)公司内部隐私数据合规管理制度,具体包括:是否采取系统保护和默认保护、是否采取与风险一致的技术措施和组织措施、是否符合行为准则或遵守认证机制。
4、 根据第2款,违反下列规定者将被处以高达10 000 000欧元的行政罚款,当主体为企业时,则高达前一财政年度全球年营业额总额的2%,以较高者为准:
a 第8,11,25到39和42和43 数据控制者或数据处理者的义务;
b 认证机构根据第42条和第43 条承担的义务;
c 监督机构根据第41(4)条承担的义务。
5、 根据第2款的规定,违反下列规定者将被处以高达20 000 000欧元的行政罚款,当主体为企业时,则高达上一财政年度全球年营业额总额的4%,以较高者为准:
e 违反监管机关依据本条例第58(2)规定所作出的命令、临时性或终局性的处理限制或暂停数据流动,或违反第58(1)的规定未向监管机关提供数据访问。
6、 违反监管机构依据第58条第(2)款作出的命令,应按照本条第2款的规定,处以最高20 000 000欧元的行政罚款,当主体为企业时,不超过上一财政年度全球年营业额总额的4%,以较高者为准。
8、 监督机关根据本条行使其权力,应根据联盟和成员国法律,受适当的程序性保障措施约束,包括有效的司法补救和正当程序。
9、 如果成员国的法律制度没有规定行政罚款,则本条的适用方式应由主管监督机构发起并由国家主管法院强制执行,同时确保这些法律救济是有效的并与监管机关施加的行政罚款具有同等效力。在任何情况下,罚款应有效,适度和具有劝诫性。该类欧盟成员国应在2018年5月25日之前将其依据本条款通过的法律条款通知欧盟委员会,并无延迟地向欧盟委员会通知任何影响该规定的后续修正法律或法律修正案。
例如:除了行政责任外,根据GDPR第82条,因数据控制者或处理者违反GDPR的行为而蒙受财产或非财产损失的个人,可以提起民事诉讼,要求数据控制者或处理者赔偿损失(这里涉及到对数据管理者个人的处罚)。
文中对应条款来自GDPR官方文档,本文参考资料:违反GDPR的法律责任有哪些?http://lawv3.wkinfo.com.cn/topic/61000000515/19.HTML
