Article 83 📖 GDPR. General conditions for imposing administrative fines

第 83 條 GDPR. 裁處行政罰鍰之一般要件

1. 依本條規定對於違反本規則處以第 4 項、第 5 項及第 6 項所定之行政罰鍰者，各監管機關應確保於個案中係有效、適當且具懲戒性。

2. 依個案情形，行政罰鍰應附加或取代第 58 條第 2 項第 a 至 h 點及第 j 點所定措施。於個案中決定是否處以行政罰鍰及決定其數額時，應考慮下列因素：

第 58 條 GDPR. 權力

[…]

2. 各監管機關應有下列全部之糾正權力：

(a) 當欲進行之資料處理可能會違反本規則之規定時，向控管者或處理者發布警告；

(b) 當資料處理已違反本規則之規定時，對控管者或處理者發布告誡；

(c) 命令控管者或處理者遵循資料主體行使其依本規則之權利的要求；

(d) 命令控管者或處理者以適當之特定方法及於特定期間內使資料處理符合本規則之規定；

(e) 命令控管者向資料主體通知個人資料之侵害；

(f) 課予暫時或終局之限制，包括對資料處理之禁令；

(g) 命令依第 16 條、第 17 條及第 18 條對個人資料之更正或刪除，或對資料處理之限制，以及對個人資料依照第 17 條第 2 項及第 19 條被揭露之接收者就該等行動之通知；

(h) 撤銷或命令認證機構撤銷依第 42 條及第 43 條所為之認證，或若認證之要件不具備或不再具備時，命令認證機構不得核發認證；

[…]

(j) 命令對位於第三國之接收者或國際組織停止資料流通。

(a) 違規之性質、嚴重性及持續期間，並考量到處理之性質範圍或目的，以及受影響之資料主體人數及其受損程度；

(b) 違規之故意或過失；

(c) 控管者或處理者所採減少資料主體損害之任何行為；

(d) 控管者或處理者之責任程度，並考量到其依第 25 條及第 32 條所實施之技術上及組織上之措施；

第 25 條 GDPR. 設計及預設之資料保護

第 32 條 GDPR. 處理之安全

(e) 控管者或處理者先前任何相關之違規情事；

(f) 與監管機關之配合程度，以糾正其違規及減輕其違規所可能造成之不利影響；

(g) 違規所影響之個人資料類型；

(h) 監管機關知悉其違規之方式，尤其是控管者或處理者是否通知該違規或其通知之程度；

(i) 先前已依照第 58條第 2項規定命控管者或處理者就同一標的採取措施者，該等措施之遵循；

第 58 條 GDPR. 權力

[…]

2. 各監管機關應有下列全部之糾正權力：

(a) 當欲進行之資料處理可能會違反本規則之規定時，向控管者或處理者發布警告；

(b) 當資料處理已違反本規則之規定時，對控管者或處理者發布告誡；

(c) 命令控管者或處理者遵循資料主體行使其依本規則之權利的要求；

(d) 命令控管者或處理者以適當之特定方法及於特定期間內使資料處理符合本規則之規定；

(e) 命令控管者向資料主體通知個人資料之侵害；

(f) 課予暫時或終局之限制，包括對資料處理之禁令；

(h) 撤銷或命令認證機構撤銷依第 42 條及第 43 條所為之認證，或若認證之要件不具備或不再具備時，命令認證機構不得核發認證；

(i) 依個案情形，額外或不以本項所提及之其他方式而依第 83 條處以行政罰鍰；

(j) 命令對位於第三國之接收者或國際組織停止資料流通。

[…]

(j) 第 40 條所定經核准之行為守則或依第 42 條所定經核准之認證機制之遵循；及

第 40 條 GDPR. 行為守則

第 42 條 GDPR. 認證

(k) 任何其他適用於該個案情形之加重或減輕因素，例如因違約而直接或間接獲得之經濟利益或避免之損失；

3. 對於相同或相關之處理作業，如控管者或處理者因故意或過失違反本規則之數個規定者，行政罰鍰總額不得超過最嚴重違規情事所定之數額。

4. 依照第二項規定，違反下列規定者，最高處以 10,000,000 歐元之行政罰鍰，或如為企業者，最高達前一會計年度全球年營業額之百分之二，並以較高者為準：

Guidelines & Case Law

In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)

* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)

Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)

(a) 第 8 條、第 11 條、第 25 條至第 39 條及第 42 條及第 43 條所定控管者及處理者之義務；

第 11 條 GDPR. 不須識別之處理

第 25 條 GDPR. 設計及預設之資料保護

第 26 條 GDPR. 共同控管者

第 27 條 GDPR. 非設立於歐盟境內控管者或處理者之代表

第 28 條 GDPR. 處理者

第 29 條 GDPR. 控管者或處理者之處理權限

第 30 條 GDPR. 處理活動之紀錄

第 31 條 GDPR. 與監管機關之合作

第 32 條 GDPR. 處理之安全

第 33 條 GDPR. 向監管機關進行個人資料侵害之通報

第 34 條 GDPR. 向資料主體為個人資料侵害之溝通

第 35 條 GDPR. 資料保護影響評估

第 36 條 GDPR. 事前諮詢

第 37 條 GDPR. 資料保護員之指定

第 38 條 GDPR. 資料保護員之職位

第 39 條 GDPR. 資料保護員之職務

第 42 條 GDPR. 認證

第 43 條 GDPR. 認證機構

(b) 第 42 條及第 43 條所定認證機構之義務；

第 42 條 GDPR. 認證

第 43 條 GDPR. 認證機構

(c) 第 41 條第 4 項所定監管機構之義務。

第 41 條 GDPR. 經核准之行為守則之監管

[…]

4. 在不損及主管監管機關之任務及權力且第 8 章規定之情況，本條第 1 項所定機構應在適當保護措施下，對於控管者或處理者違反行為守則事件採取適當行動，包括將控管者或處理者停權或於行為守則中剃除。其對於控管者或處理者所為行為及其理由應通知主管監管機關。

[…]

5. 依照第二項規定，違反下列規定者，最高處以 20,000,000 歐元之行政罰鍰，或如為企業者，最高達前一會計年度全球年營業額之百分之四，並以較高者為準：

Guidelines & Case Law

In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)

* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)

Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)

(a) 第 5 條、第 6 條、第 7 條及第 9 條所定處理之基本原則，包括同意之條件；

第 5 條 GDPR. 個人資料處理原則

第 6 條 GDPR. 處理之合法性

第七條 GDPR. 同意條件

第 9 條 GDPR. 特殊類型之個人資料處理

(b) 第 12 至 22 條所定資料主體之權利；

第 12 條 GDPR. 資料主體為行使其權利之透明資訊、溝通及管道

第 13 條 GDPR. 蒐集資料主體之個人資料時所提供之資訊

第 15 條 GDPR. 資料主體之接近使用權

第 16 條 GDPR. 更正權

第 17 條 GDPR. 刪除權（「被遺忘權」）

第 18 條 GDPR. 限制處理權

第 19 條 GDPR. 關於更正或刪除個人資料或限制處理之通知義務

第 20 條 GDPR. 資料可攜性權利

第 21 條 GDPR. 拒絕權

第 22 條 GDPR. 個人化之自動決策，包括建檔

(c) 第 44 條至第 49 條所定個人資料移轉至第三國或國際組織之接收者；

第 44 條 GDPR. 移轉之一般原則

第 45 條 GDPR. 基於充足程度保護決定之移轉

第 46 條 GDPR. 須遵守適當保護措施之移轉

第 47 條 GDPR. 有拘束力之企業守則

第 48 條 GDPR. 未獲歐盟法授權之移轉或揭露

第 49 條 GDPR. 特定情形下之例外

(d) 依照第 9 章通過之會員國法律所定之任何義務；

(e) 違反監管機關依第58條第2項規定之命令或暫時性或終局性之處理限制或停止資料傳輸，或未提供進入而違反第 58 條第 1 項規定；

第 58 條 GDPR. 權力

1. 各監管機關應有下列全部調查之權力：

2. 各監管機關應有下列全部之糾正權力：

(a) 當欲進行之資料處理可能會違反本規則之規定時，向控管者或處理者發布警告；

(b) 當資料處理已違反本規則之規定時，對控管者或處理者發布告誡；

(c) 命令控管者或處理者遵循資料主體行使其依本規則之權利的要求；

(d) 命令控管者或處理者以適當之特定方法及於特定期間內使資料處理符合本規則之規定；

(e) 命令控管者向資料主體通知個人資料之侵害；

(f) 課予暫時或終局之限制，包括對資料處理之禁令；

(h) 撤銷或命令認證機構撤銷依第 42 條及第 43 條所為之認證，或若認證之要件不具備或不再具備時，命令認證機構不得核發認證；

(i) 依個案情形，額外或不以本項所提及之其他方式而依第 83 條處以行政罰鍰；

(j) 命令對位於第三國之接收者或國際組織停止資料流通。

[…]

6. 違反監管機關依第 58 條第 2 項規定之命令者，依照本條第 2 項規定，最高處以 20,000,000 歐元之行政罰鍰，或如為企業者，最高達前一會計年度全球年營業額之百分之四，並以較高者為準。

第 58 條 GDPR. 權力

2. 各監管機關應有下列全部之糾正權力：

(a) 當欲進行之資料處理可能會違反本規則之規定時，向控管者或處理者發布警告；

(b) 當資料處理已違反本規則之規定時，對控管者或處理者發布告誡；

(c) 命令控管者或處理者遵循資料主體行使其依本規則之權利的要求；

(d) 命令控管者或處理者以適當之特定方法及於特定期間內使資料處理符合本規則之規定；

(e) 命令控管者向資料主體通知個人資料之侵害；

(f) 課予暫時或終局之限制，包括對資料處理之禁令；

(h) 撤銷或命令認證機構撤銷依第 42 條及第 43 條所為之認證，或若認證之要件不具備或不再具備時，命令認證機構不得核發認證；

(i) 依個案情形，額外或不以本項所提及之其他方式而依第 83 條處以行政罰鍰；

(j) 命令對位於第三國之接收者或國際組織停止資料流通。

7. 在不損及監管機關依第 58 條第 2 項所定糾正權力之情況下，各會員國得制定是否及如何對設立於該會員國之公務機關及機構處以行政罰之規定。

第 58 條 GDPR. 權力

[…]

2. 各監管機關應有下列全部之糾正權力：

(a) 當欲進行之資料處理可能會違反本規則之規定時，向控管者或處理者發布警告；

(b) 當資料處理已違反本規則之規定時，對控管者或處理者發布告誡；

(c) 命令控管者或處理者遵循資料主體行使其依本規則之權利的要求；

(d) 命令控管者或處理者以適當之特定方法及於特定期間內使資料處理符合本規則之規定；

(e) 命令控管者向資料主體通知個人資料之侵害；

(f) 課予暫時或終局之限制，包括對資料處理之禁令；

(h) 撤銷或命令認證機構撤銷依第 42 條及第 43 條所為之認證，或若認證之要件不具備或不再具備時，命令認證機構不得核發認證；

(i) 依個案情形，額外或不以本項所提及之其他方式而依第 83 條處以行政罰鍰；

(j) 命令對位於第三國之接收者或國際組織停止資料流通。

[…]

8. 監管機關依本條規定實施權力者，應遵守歐盟法及會員國法律，採取適當程序保障，包括有效之司法救濟及正當程序。

9. 如會員國之法律體系未規範行政罰鍰，而該體系確保有效之司法救濟且監管機關所裁處之行政罰鍰具有相同效力者，本條規定得由主管監管機關裁處之，並由國內管轄法院執行。無論如何，該等罰鍰應有效、適當且具懲戒性。該等會員國應於 2018 年 5 月 25 日前將其依本項規定通過之法律規定及任何後續之修法或影響該等規定之修正案通知執委會，不得遲延。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

Recitals Guidelines & Case Law Leave a comment

Recitals

(148) 為強化本規則之執行，對於本規則之任何違反，應被處以包括行政罰鍰等處罰，此不問係外加於監管機關依照本規則實施之適當措施，或取代該等措施。在僅有輕微之違反，或欲處以之罰鍰會造成對當事人不相當之負擔，得採用告誡之方式取代罰鍰。然而，仍應就該違反之性質、嚴重性、持續期間、是否為故意、有無降低損害之行為、責任程度或先前任何相關違反之程度、監管機關知悉其違法行為後之態度、命控管者或處理者所為措施之遵循、對行為守則之遵守以及有無任何使之加重或減輕之因素，為相當之考慮。實施包括行政罰鍰之處罰，應遵循歐盟法及憲章一般法律原則之適當程序保障，包括有效之司法保護及正當程序。

(150) 為強化及協調違反本規則所處以之行政罰，各監管機關應有權力處以行政罰鍰。本規則應指出何者構成違反，以及相關行政罰鍰的上限及裁罰基準，此應由每個個案中之主管監管機關決定之，並考量該個案情形所有相關之情狀，並適當考量該違反之性質、嚴重性及持續期間及其後果，及確保遵循本規則所定義務所採取之措施及預防或減輕該違反所造成之後果。對企業處以行政罰時，企業應被依照歐洲聯盟運作條約第 101 條及第 102 條所定義之目的為理解。對個人而非企業處以行政罰時，監管機關在考量適當之罰鍰金額時，應考量該會員國之平均所得，以及該個人之經濟狀況。一致性機制亦得被運用，以促使行政罰鍰適用之一致性。此應由會員國決定是否得對公務機關處以行政罰，以及至何程度。處以行政罰或給予警告並不影響監管機關其他權力之行使，或本規則下其他處罰之實施。

(151) 丹麥及愛沙尼亞之法律體系不允許本規則所規範之行政罰鍰。行政罰之規範在丹麥得以該國管轄法院裁判處以刑罰之方式行之；在愛沙尼亞得以監管機關處理輕罪程序之架構處以罰金之方式行之；惟上開會員國該等規範之適用，應與監管機關處以罰鍰之效果相當。因此，內國管轄法院應考慮監管機關處以罰鍰之建議。在任何情況下，處以罰鍰應係有效、適當且具懲戒性的。

Guidelines & Case Law

Document

Article 29 Working Party, Guidelines on the Application and Setting of Administrative Fines for the Purposes of the Regulation 2016/679 (2017).

Dutch data protection authority (Autoriteit Persoonsgegevens), Policy rules of 19 February 2019 with regard to determining the level of administrative fines (In Dutch, 2019).