【GDPR执法】GDPR第83条规定的行政罚款

作为我们关于爱尔兰监管法中行政罚款的一系列简报的一部分，我们考察了数据保护委员会（“DPC”）根据《通用数据保护条例》（“GDPR”）和《2018年数据保护法案》（“2018年法案”）对违反GDPR的行为处以行政罚款的权力。

GDPR第83条

GDPR规定，监管机构可对违反其规定的行为处以行政罚款，并规定此类罚款在每种情况下均应有效、相称且具有劝阻性。在规定可处以的最高罚款时，GDPR承认违反某些规定可能比违反其他规定更严重。因此，违反第83（4）条规定的某些规定，最高罚款为1000万欧元，或上一年相关业务全球年营业额的2%，以较高者为准。根据第83条第（5）款和第（6）款，违反某些其他规定，或不遵守监管机构命令的纠正权，最高罚款为2000万欧元，或相关企业上一年全球年营业额的4%。

GDPR第83（2）条规定了监管机构在决定是否征收行政罚款和决定罚款金额时应考虑的因素。除其他因素外，这些因素包括：

• 侵权的性质、严重性和持续时间；
• 受影响的数据主体数量及其遭受的损害程度；
• 侵权行为的故意或过失性质；
• 控制者或处理者为减轻损害而采取的任何行动；
• 任何相关的先前侵权行为；和
• 与监管机构的合作程度。

DPC的决定

DPC的决定为其计算行政罚款的方法提供了一些见解。DPC于2020年4月对Tusla儿童和家庭机构处以第一次行政罚款，DPC因个人数据泄露而违反第32（1）条和第33（1）款，处以75000欧元罚款。随后的决定导致了更高的行政罚款，最明显的是，20211年8月，WhatsApp爱尔兰有限公司被罚款2.25亿欧元（目前正在上诉中），2022年9月，Meta Platforms爱尔兰有限公司因Instagram平台被罚款4.05亿欧元。

关于WhatsApp和Instagram的罚款，值得注意的是，这些决定受GDPR第60条规定的合作机制的约束，根据该机制，主要监管机构（在这些情况下，DPC）必须与“其他相关监管机构”（即其他成员国的监管机构）分享决定草案，征求其意见，并适当考虑其意见。在这两种情况下，监管机构都未能达成共识，因此欧洲数据保护委员会（“EDPB”）需要根据GDPR第65条通过具有约束力的决定。在WhatsApp案中，EDPB公布的裁决导致DPC重新评估后所处行政罚款水平大幅提高，在Instagram案中，DPC重新考虑了所处罚款的某些方面，并选择了其在决定草案中确定的最高罚款范围。这两起案件都深入了解了其他监管机构对行政罚款的看法，并为EDPB采取的方法提供了指导。

 

EDPB指南

2022年5月12日，EDPB通过了关于GDPR下行政罚款计算的新指南（“EDPB指南”）。EDPB指南旨在补充2017年通过的早期指南（第29条工作组关于行政罚款申请和设定的指南（WP253）），并与之一起阅读。

虽然在特定情况下，罚款金额的计算由监管机构决定，但EDPB指南规定了EDPB为计算罚款而设计的方法。总之，该方法应采取的步骤如下：

步骤1：确定案例中的处理操作，并评估GDPR第83（3）条的适用情况。

第83条第（3）款规定，“如果控制者或处理者故意或过失地为相同或关联的处理操作违反了本条例的若干规定，则行政罚款总额不得超过规定的最严重侵权金额”。第83（3）条的正确适用是EDPB在WhatsApp决定中考虑的一个问题。其他监管机构不同意DPC适用第83（3）条的方式，认为这实际上意味着WhatsApp只因一次侵权而被罚款。EDPB的决定规定，在计算罚款金额时，应考虑所有侵权行为。现在，《EDPB指南》提供了关于应对并发犯罪的方法的进一步指导，这不是一个简单的问题。

步骤2：根据以下评估，找到进一步计算的起点：

• GDPR第83（4）-（6）条中的分类；
• 根据GDPR第83（2）（a）、（b）和（g）条，侵权的严重性；和
• 根据GDPR第83（1）条的规定，为了处以有效的、劝阻性的和相称的罚款，企业的营业额。

EDPB指南规定，根据侵权行为的严重程度，每种情况的起点应为最高罚款的百分比（根据第83（4）、（5）或（6）条）；低级别严重的最高罚款为0–10%，中等级别严重的罚款为10–20%，高级别严重的为20–100%。如果企业的年营业额特别小，则可以减少这些起点。

步骤3：评估与控制者/处理者过去或现在行为相关的加重和减轻情节，并相应增加或减少罚款。

EDPB指南中确定的缓解因素包括为缓解数据主体遭受的损害而采取的措施以及与监管机构的合作。虽然以前的侵权行为可能是一个加重因素，但《指南》指出，没有以前的侵权并不是一个减轻因素，因为遵守GDPR应该是规范。

步骤4：通过参考静态和动态最大金额，确定不同处理操作的相关法定最大金额。

在上一步或下一步中应用的增量不能超过此值。GDPR规定了静态最高罚款（1000万欧元或2000万欧元，取决于侵权行为）。对于企业而言，可以根据营业额（上一财政年度全球年营业额总额的2%或4%），以更高的最高金额取代该金额。EDPB指南为确定“承诺”和确定营业额提供了指导，包括澄清确定“上一年”的相关事件是监管机构发布的罚款决定，而不是侵权日期。

第5步：根据GDPR第83（1）条的要求，分析计算出的罚款最终金额是否符合有效性、劝阻性和比例性的要求，并相应增加或减少罚款。

EDPB WhatsApp决定中的一个原则是，营业额不仅与确定最高罚款的目的相关，而且与计算适当罚款和确保罚款有效相关。

观看此空间

2018年法案第143条规定，如果控制人或处理人对行政罚款的决定不提出上诉，DPC必须向巡回法院申请确认该决定。巡回法院在审理此类申请时，应确认该决定，除非法院认为有充分理由不这样做。迄今为止，根据第143条提出的申请都很低调，没有任何评论或争议。

WhatsApp判决和Instagram判决在爱尔兰高等法院的上诉将不可避免地对DPC的行政罚款施加司法监督。关于WhatsApp的决定，除了根据2018年法案提起法定上诉外，Whats应用还针对该决定提起了司法审查程序。根据关于发布司法审查程序许可申请的新闻报道，WhatsApp提出的一个问题是2018年法案某些条款的合宪性以及这些条款与《欧洲人权公约》的兼容性。WhatsApp还向CJEU申请撤销EDPB根据GDPR第65条做出的决定。

此外，Meta还就Instagram的决定发出了法定上诉，根据Meta的声明，该上诉包括如何计算该决定中的罚款的问题。

这些上诉的结果无疑将对GDPR/2018法案下的行政罚款的未来具有重大意义，并可能具有更广泛的适用性。

本文：https://cioctocdo.com/administrative-fines-under-article-83-gdpr