德国联邦和州独立数据保护机构关于确定企业罚款数额的指南[1]

德国联邦和州独立数据保护机构会议[2]

2019年10月14日

1、引言

2018年5月25日,欧盟数据保护委员会(EDPB)依据《欧盟通用数据保护条例》(以下简称GDPR)第70条第1款k项所规定的任务,在第一次全体会议中通过了由第29条数据保护工作组2017年10月3日发布的《GDPR罚款适用和确定指南》。这份指南对GDPR第83条的规定作出统一解释并概括阐述了确定罚款数额的统一方案。但这份指南并不详尽,有待欧盟数据保护委员会在未来的指南中进行具体化。

本指南仅涉及GDPR所规定的针对企业的罚款的数额确定标准,不适用于协会(Vereine)和个人在经济活动之外的行为。同时,本指南对跨境的案例和欧盟其他数据保护机构不具有约束力,对法院确定罚款数额也没有任何约束力。

德国联邦和州的独立数据保护机构可随时废除、修订和扩充本指南。本指南在欧盟数据保护委员会发布最终版的《罚款金额确定方法指南》后即失效。

2. 罚款指南

德国联邦和州的独立数据保护机构认为,鉴于现代企业制裁法往往设置高额的最高罚款限额,同时要面向各种不同规模的企业,一家企业的营业额是确保制裁有效、合比例和威慑性的一个适当、合理且公平的连接点。

据此,确定对企业的罚款数额时可按以下五个步骤进行:(1)首先对企业按规模大小进行分类;(2)确定不同规模类别下企业的平均年度营业额;(3)核定经济基本值(wirtschaftlicherGrundwert);(4)用此基本值乘以因数,因数取决于违法行为的严重程度;(5)最后,依据与违法行为相关的情形以及其它尚未考虑的情形对步骤(4)中得出的数值进行调整。

本程序确保罚款的确定以一种合理、透明和因案制宜的形式做出。

(1)企业规模分类

根据规模的大小,企业被分为A到D四类(见表格1)。

企业的规模根据企业上一年度全球营业总额确定(参见GDPR第83条第4到6款),分为微型企业、小型企业、中型企业(以上合称“中小微企业”)和大企业。根据GDPR立法理由第150条,“企业”为《欧盟运行条约》(TFEU)第101和102条(所谓功能性企业概念)意义上的企业。

对中小微企业的判别,基本上按上一年营业额参照欧盟2003年5月6日发布的推荐标准(2003/361/EG)进行。

同一规模类别下还划分出更为具体的子类别(A.I到A.III,B.I到B.III,C.I到C.VII,D.I到D.VII)。

(表格一)

中小微企业

大企业

A

B

C

D

微型企业:年度营业额200万欧元以下

小型企业:年度营业额200万~1000万欧元

中型企业:年度营业额1000万~5000万欧元

年度营业额超过5000万欧元

A.I

年度营业额70万欧以下

B.I

年度营业额200万~500万欧

C.I

年度营业额1000万~1250万欧

D.I

年度营业额5000万~7500万欧

A.II

年度营业额70万~140万欧

B.II

年度营业额500万~750万欧

C.II

年度营业额1250万~1500万欧

D.II

年度营业额7500万~1亿欧

A.III

年度营业额140万~200万欧

B.III

年度营业额750万~1000万欧

C.III

年度营业额1500万~2000万欧

D.III

年度营业额1亿~2亿欧

C.IV

年度营业额2000万~2500万欧

D.IV

年度营业额2亿~3亿欧

C.V

年度营业额2500万~3000万欧

D.V

年度营业额3亿~4亿欧

C.VI

年度营业额3000万~4000万欧

D.VI

年度营业额4亿~5亿欧

C.VII

年度营业额4000万~5000万欧

D.VII

年度营业额超过5亿欧

(2) 确定不同规模类别的企业的平均年度营业额

然后,确定各规模类别下企业的平均年度营业额(见表格2)。这一步骤是为了阐明在此基础上确定的步骤(3)中的经济基本值。

(表格2)

中小微企业

大企业

A

B

C

D

A.I

35万欧元

B.I

350万欧元

C.I

1125万欧元

D.I

6250万欧元

A.II

105万欧元

B.II

625万欧元

C.II

1375万欧元

D.II

8750万欧元

A.III

170万欧元

B.III

875万欧元

C.III

1750万欧元

D.III

1.5亿欧元

C.IV

2250万欧元

D.IV

2.5亿欧元

C.V

2750万欧元

D.V

3.5亿欧元

C.VI

3500万欧元

D.VI

4.5亿欧元

C.VII

4500万欧元

D.VII

实际年度营业额*

*年度营业额5亿以上的企业,对其进行罚款的最高限额为其年度营业额的2%~4%,罚款根据各企业的实际营业额计算。

(3)核定经济基本值

经济基本值是将各类别企业的平均年度营业额除以360(天)得到的四舍五入成整数的每日罚款金额(见表格3)。

(表格3)

中小微企业

大企业

A

B

C

D

A.I

972 欧元

B.I

9722 欧元

C.I

31250 欧元

D.I

173611 欧元

A.II

2917 欧元

B.II

17361 欧元

C.II

38194 欧元

D.II

243056 欧元

A.III

4722 欧元

B.III

24306 欧元

C.III

48611 欧元

D.III

416667 欧元

C.IV

62500 欧元

D.IV

694444 欧元

C.V

76389 欧元

D.V

972222欧元

C.VI

97222 欧元

D.VI

125万 欧元

C.VII

125000 欧元

D.VII

实际每日罚款额*

* 年度营业额5亿以上的企业,对其进行罚款的最高限额为其年度营业额的2%~4%,罚款根据各企业的实际营业额计算。

(4)依据违法行为严重程度对基本值进行倍乘

然后根据个案中违法行为的具体情况(参见GDPR第83条第2款第2句)对行为的严重程度进行分类:严重程度分为轻度、中度、严重和非常严重。

根据GDPR第83条第2款的标准以及考虑个案情形,按照如下表格4确定违法行为严重程度及其对应的因数,将因数与基本值相乘。鉴于不同的罚款范围,对于形式违反(GDPR第83条第4款)和实质违反(GDPR第83条第5、6款)行为,应选择与之对应的不同的因数。对于非常严重的违法行为,在选择其因数时,要注意不应超过个案的罚款范围。

(表格4)

行为严重程度

根据GDPR第83条第4款的形式违反行为的因数

根据GDPR第83条第5、6款的实质违反行为的因数

轻度

1 至 2

1至4

中度

2至4

4至8

严重

4至6

8至12

非常严重

大于6

大于12

(5)依其它情形对基本值进行调整

最后,根据所有在步骤(4)中未曾考虑的对企业有利或不利的情形,对依据步骤(4)所计算出的数额进行调整。在此需要考虑的情形包括违法行为的整体情形(参见GDPR第83条第2款),以及其他情形,例如程序持续时间较长,以及企业面临丧失支付能力的威胁。(主要译者刘文丽为北京安理律师事务所律师助理、智联出行研究院研究员,王棋为德国哥廷根大学硕士研究生,感谢上海交通大学法学院张陈果副教授对译文提出细致的修改意见


[1]德国联邦和州独立数据保护机构关于确定企业罚款数额的指南(Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen), 是由德国联邦和州独立数据保护机构会议(DSK)发布的关于GDPR适用的指导性文件。该指南不具有法律约束力,但基于DSK及其成员机构的权威地位,DSK发布的文件实际上会对数据保护的实践产生一定影响。

[2]德国联邦和州独立数据保护机构会议(Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder,简称Datenschutzkonferenz,缩写DSK),是由德国联邦和各州数据保护机构组成的非正式委员会,其任务和目标是保障公民个人数据受保护的基本权利,协调欧盟和国内数据保护法的统一适用,共同致力于促进委员会的发展。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。