2019年，波蘭監(jiān)管當局首次公布了一項涉及數(shù)據保護案件的裁決，其對未履行《歐洲議會與歐洲理事會關于處理個人數(shù)據時為自然人提供保護以及確保此類數(shù)據的自由流動并廢除第95/46/EC號指令的第2016/679號歐盟法規(guī)》，即《通用數(shù)據保護條例》（GDPR），中第14條所規(guī)定信息義務的公司處以94.3萬波蘭茲羅提（約22萬歐元）的行政罰款。

背景

遭受行政罰款的主體為一家為從事商業(yè)活動的個人以及董事會成員提供數(shù)據處理服務的數(shù)據代理公司。該公司可從公眾可訪問的寄存器中獲取到相關數(shù)據。然而，該公司僅對將自身的郵箱地址披露在寄存器中的68萬人履行了信息義務。而其余所有的個人（超過600萬）并未被告知其數(shù)據已被披露，即使其郵政地址部分已經為公眾所知。

該公司試圖利用GDPR中第14.5（b）條的豁免條款來為自己辯護，其表示自己不應履行信息義務，因為打印所需的信息并進行郵寄的操作費用會非常的高，這將與其期望的收益不成比例。因此，該公司僅在自己的網站里公布了相關信息條款。

個人數(shù)據保護辦公室的裁決

波蘭個人數(shù)據保護辦公室對該公司的做法表示反對，因此對其予以上述行政罰款并要求該公司通過郵寄的形式通知那些郵箱地址已被泄露的數(shù)據主體以此來履行信息義務。此外，該公司無需對郵箱地址未披露在寄存器里的董事會成員來履行這種義務。波蘭監(jiān)管當局認為該數(shù)據代理公司僅在公司網站里展示信息條款是遠遠不夠的。因為在數(shù)據主體的聯(lián)系方式被泄露的情況下，該公司本應該要履行信息義務的。由此而造成的結果就是，相關數(shù)據主體不可能再根據GDPR來行使自身的權利，尤其是反對他人進一步對自己的數(shù)據進行處理或提出對自身數(shù)據進行更正或刪除請求的權利。

后續(xù)進展

該數(shù)據代理公司已經表示其將會對監(jiān)管當局的裁決提起上訴。預計法院將會提出把GDPR第14.5（b）條中的“不成比例”（disproportional effort）的解釋作為信息義務的例外這一問題。而且這一問題將會提交至歐盟法院。

    （編譯自www.lexology.com）