“数据坟墓”第一案！德国柏林数据保护机构因“数据坟墓”开出1450万欧元的巨额罚单！ - 传媒教育网

2019年10月30日，德国柏林数据保护和信息自由专员（Berlin DPA）对Deutsche Wohnen SE（德国住宅公司）因违反《通用数据保护条例》（ GDPR），处以约1450万欧元的行政罚款。

作为一家房地产公司，Deutsche Wohnen SE被指控利用不能删除且不再需要的数据储存系统来存储租户的个人数据。根据Berlin DPA调查，此类数据包括租户的个人和金融状况的信息，例如工资单，自我披露表，就业和培训合同摘要，税收数据，社保、医保数据以及银行对帐单。

2017年6月，Berlin DPA在现场审查中，对涉嫌违反数据保护规则的行为进行了标记。在2019年3月的审查中，Deutsche Wohnen SE仍然无法证明完成了数据库的清理工作或继续储存数据的法律依据。虽然Deutsche Wohnen SE确实采取了措施，试图从技术上纠正这些潜在违法现象，但监管机构认为这些措施未能建立合法的数据存储状态。然而，监管机构还不能证明个人数据被非法获取或披露给第三方。

尽管如此，Berlin DPA认为存储不能删除且不再需要的数据或者收集最初没有法律依据的数据，都违反了GDPR第25条第1款的数据保护规定，以及GDPR第5条的一般处理原则。GDPR第25条第1款要求数据控制者（在满足附加前提条件下）实施适当的技术和组织措施，以有效落实数据保护原则，例如数据最小化，并采取符合GDPR规定的必要安全保障措施，保护数据主体的权利。GDPR第5条第1款还特别规定了如下义务：个人数据应充分、相关以及以该个人数据处理目的之必要为限度进行处理（“数据最小化”），且在不超过个人数据处理目的之必要的情形下，允许以可识别数据主体的形式保存（“存储限制”）。

根据Deutsche Wohnen SE 2018年营业额“超过10亿欧元”（确切营业额为14.38亿欧元），罚款上限应为“约2800万欧元”。此外，Berlin DPA显然仅适用了最高年营业收入的2％，作为违反GDPR第25条（参见 Article 83 (4) (a) GDPR）的处罚金额，而不是违反GDPR第5条的4％（参见Article83 (5) (a)GDPR第83条）。如果适用4％，那该案件最高罚款将达到约5700万欧元。然而，Berlin DPA似乎意识到（至少在德国）GDPR第5条的一般原则不能精确地作为处罚依据。

为减少罚款，该公司已采取初步纠正措施，并积极配合监管机构。考虑到无法证明该公司不当存取了未经授权的存储数据，在预定罚款限额内确定中等额度比较适当。

除了对结构性不合规行为（Structural Non-compliance）进行罚款之外，还针对15项未经授权存储租户个人数据的案件，分别处以6,000至17,000欧元不等的罚款。

新闻发布会上，BerlinDPA负责人Maja Smoltczyk说道：“很不幸，我们经常在监管实践中遇到像Deutsche Wohnen SE的数据坟墓。这种严重违法行为只有在不当访问大量储存数据时才能被发现，例如网络攻击。这即使没有造成严重后果，也公然违反了保护数据主体免受侵害的数据保护原则。令人欣慰的是，立法者已经引入了在最坏情况下发生数据泄露之前，根据GDPR对此类结构性缺陷进行制裁的可能性。我建议所有处理个人数据的组织都要检查其数据储存是否符合GDPR。”

行政制裁尚未最终确定，Deutsche Wohnen SE已经声明将在法庭上对罚款提出质疑。一审管辖法院为柏林地方法院（Landgericht）。该公司声称已采取措施改变了争议的储存方案，并再次强调，没有未经授权向第三方披露租户的个人数据。