德国联邦和州独立数据保护机构关于确定企业罚款数额的指南[1]
德国联邦和州独立数据保护机构会议[2]
2019年10月14日
1、引言
2018年5月25日,欧盟数据保护委员会(EDPB)依据《欧盟通用数据保护条例》(以下简称GDPR)第70条第1款k项所规定的任务,在第一次全体会议中通过了由第29条数据保护工作组2017年10月3日发布的《GDPR罚款适用和确定指南》。这份指南对GDPR第83条的规定作出统一解释并概括阐述了确定罚款数额的统一方案。但这份指南并不详尽,有待欧盟数据保护委员会在未来的指南中进行具体化。
本指南仅涉及GDPR所规定的针对企业的罚款的数额确定标准,不适用于协会(Vereine)和个人在经济活动之外的行为。同时,本指南对跨境的案例和欧盟其他数据保护机构不具有约束力,对法院确定罚款数额也没有任何约束力。
德国联邦和州的独立数据保护机构可随时废除、修订和扩充本指南。本指南在欧盟数据保护委员会发布最终版的《罚款金额确定方法指南》后即失效。
2. 罚款指南
德国联邦和州的独立数据保护机构认为,鉴于现代企业制裁法往往设置高额的最高罚款限额,同时要面向各种不同规模的企业,一家企业的营业额是确保制裁有效、合比例和威慑性的一个适当、合理且公平的连接点。
据此,确定对企业的罚款数额时可按以下五个步骤进行:(1)首先对企业按规模大小进行分类;(2)确定不同规模类别下企业的平均年度营业额;(3)核定经济基本值(wirtschaftlicherGrundwert);(4)用此基本值乘以因数,因数取决于违法行为的严重程度;(5)最后,依据与违法行为相关的情形以及其它尚未考虑的情形对步骤(4)中得出的数值进行调整。
本程序确保罚款的确定以一种合理、透明和因案制宜的形式做出。
(1)企业规模分类
根据规模的大小,企业被分为A到D四类(见表格1)。
企业的规模根据企业上一年度全球营业总额确定(参见GDPR第83条第4到6款),分为微型企业、小型企业、中型企业(以上合称“中小微企业”)和大企业。根据GDPR立法理由第150条,“企业”为《欧盟运行条约》(TFEU)第101和102条(所谓功能性企业概念)意义上的企业。
对中小微企业的判别,基本上按上一年营业额参照欧盟2003年5月6日发布的推荐标准(2003/361/EG)进行。
同一规模类别下还划分出更为具体的子类别(A.I到A.III,B.I到B.III,C.I到C.VII,D.I到D.VII)。
(表格一)
中小微企业 |
大企业 |
||||||
A |
B |
C |
D |
||||
微型企业:年度营业额200万欧元以下 |
小型企业:年度营业额200万~1000万欧元 |
中型企业:年度营业额1000万~5000万欧元 |
年度营业额超过5000万欧元 |
||||
A.I |
年度营业额70万欧以下 |
B.I |
年度营业额200万~500万欧 |
C.I |
年度营业额1000万~1250万欧 |
D.I |
年度营业额5000万~7500万欧 |
A.II |
年度营业额70万~140万欧 |
B.II |
年度营业额500万~750万欧 |
C.II |
年度营业额1250万~1500万欧 |
D.II |
年度营业额7500万~1亿欧 |
A.III |
年度营业额140万~200万欧 |
B.III |
年度营业额750万~1000万欧 |
C.III |
年度营业额1500万~2000万欧 |
D.III |
年度营业额1亿~2亿欧 |
C.IV |
年度营业额2000万~2500万欧 |
D.IV |
年度营业额2亿~3亿欧 |
||||
C.V |
年度营业额2500万~3000万欧 |
D.V |
年度营业额3亿~4亿欧 |
||||
C.VI |
年度营业额3000万~4000万欧 |
D.VI |
年度营业额4亿~5亿欧 |
||||
C.VII |
年度营业额4000万~5000万欧 |
D.VII |
年度营业额超过5亿欧 |
(2) 确定不同规模类别的企业的平均年度营业额
然后,确定各规模类别下企业的平均年度营业额(见表格2)。这一步骤是为了阐明在此基础上确定的步骤(3)中的经济基本值。
(表格2)
中小微企业 |
大企业 |
||||||
A |
B |
C |
D |
||||
A.I |
35万欧元 |
B.I |
350万欧元 |
C.I |
1125万欧元 |
D.I |
6250万欧元 |
A.II |
105万欧元 |
B.II |
625万欧元 |
C.II |
1375万欧元 |
D.II |
8750万欧元 |
A.III |
170万欧元 |
B.III |
875万欧元 |
C.III |
1750万欧元 |
D.III |
1.5亿欧元 |
C.IV |
2250万欧元 |
D.IV |
2.5亿欧元 |
||||
C.V |
2750万欧元 |
D.V |
3.5亿欧元 |
||||
C.VI |
3500万欧元 |
D.VI |
4.5亿欧元 |
||||
C.VII |
4500万欧元 |
D.VII |
实际年度营业额* |
*年度营业额5亿以上的企业,对其进行罚款的最高限额为其年度营业额的2%~4%,罚款根据各企业的实际营业额计算。
(3)核定经济基本值
经济基本值是将各类别企业的平均年度营业额除以360(天)得到的四舍五入成整数的每日罚款金额(见表格3)。
(表格3)
中小微企业 |
大企业 |
||||||
A |
B |
C |
D |
||||
A.I |
972 欧元 |
B.I |
9722 欧元 |
C.I |
31250 欧元 |
D.I |
173611 欧元 |
A.II |
2917 欧元 |
B.II |
17361 欧元 |
C.II |
38194 欧元 |
D.II |
243056 欧元 |
A.III |
4722 欧元 |
B.III |
24306 欧元 |
C.III |
48611 欧元 |
D.III |
416667 欧元 |
C.IV |
62500 欧元 |
D.IV |
694444 欧元 |
||||
C.V |
76389 欧元 |
D.V |
972222欧元 |
||||
C.VI |
97222 欧元 |
D.VI |
125万 欧元 |
||||
C.VII |
125000 欧元 |
D.VII |
实际每日罚款额* |
* 年度营业额5亿以上的企业,对其进行罚款的最高限额为其年度营业额的2%~4%,罚款根据各企业的实际营业额计算。
(4)依据违法行为严重程度对基本值进行倍乘
然后根据个案中违法行为的具体情况(参见GDPR第83条第2款第2句)对行为的严重程度进行分类:严重程度分为轻度、中度、严重和非常严重。
根据GDPR第83条第2款的标准以及考虑个案情形,按照如下表格4确定违法行为严重程度及其对应的因数,将因数与基本值相乘。鉴于不同的罚款范围,对于形式违反(GDPR第83条第4款)和实质违反(GDPR第83条第5、6款)行为,应选择与之对应的不同的因数。对于非常严重的违法行为,在选择其因数时,要注意不应超过个案的罚款范围。
(表格4)
行为严重程度 |
根据GDPR第83条第4款的形式违反行为的因数 |
根据GDPR第83条第5、6款的实质违反行为的因数 |
轻度 |
1 至 2 |
1至4 |
中度 |
2至4 |
4至8 |
严重 |
4至6 |
8至12 |
非常严重 |
大于6 |
大于12 |
(5)依其它情形对基本值进行调整
最后,根据所有在步骤(4)中未曾考虑的对企业有利或不利的情形,对依据步骤(4)所计算出的数额进行调整。在此需要考虑的情形包括违法行为的整体情形(参见GDPR第83条第2款),以及其他情形,例如程序持续时间较长,以及企业面临丧失支付能力的威胁。(主要译者刘文丽为北京安理律师事务所律师助理、智联出行研究院研究员,王棋为德国哥廷根大学硕士研究生,感谢上海交通大学法学院张陈果副教授对译文提出细致的修改意见)
[1]德国联邦和州独立数据保护机构关于确定企业罚款数额的指南(Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen), 是由德国联邦和州独立数据保护机构会议(DSK)发布的关于GDPR适用的指导性文件。该指南不具有法律约束力,但基于DSK及其成员机构的权威地位,DSK发布的文件实际上会对数据保护的实践产生一定影响。
[2]德国联邦和州独立数据保护机构会议(Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder,简称Datenschutzkonferenz,缩写DSK),是由德国联邦和各州数据保护机构组成的非正式委员会,其任务和目标是保障公民个人数据受保护的基本权利,协调欧盟和国内数据保护法的统一适用,共同致力于促进委员会的发展。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。