罚款仍由酌情决定

fabiha01

有人记得2019年9月12日吗？尽管 GDPR 仍属新法规，但最初的兴奋已经消退，新法律的初步实践经验正在涌现。很多事情一开始都不清楚，但有些事情却慢慢清晰起来。

9 月 12 日，约 200 名数据保护律师齐聚不来梅机场不来梅大厅，在首次成功完成跨大西洋飞行的容克斯 W33 BREMEN 飞机的宏伟布景下，参加德国法律和信息学基金会第 20 届秋季学院会议。

同时受邀的还有不来梅州数据保护和信息自由专员 Summer 博士，他对《通用数据保护条例》实施的前 15 个月进行了总结。

LfDI 的一条评论特别让我印象深刻。索默博士提出了一个大胆的论点，让整个不来梅大厅一片哗然：数据保护监管机构有义务。

监管部门是否必须处以罚款？
Sommer 博士没有深入细节，而是从 GDPR 第 83（2）条第 1 句的措辞中得出了她的论点。它规定“应根据案件情况，印度商务传真列表 在第五十八条第 (2) 款 (a) 至 (h) 项和 (j) 项规定的措施之外或代替措施处以罚款”（原文中没有粗体）。 GDPR 第 58（2）（i）条的措辞也相同。这使得当局可以“根据案件情况，在本段所述措施之外或之外再处以罚款”（原文中没有加粗部分）。

从“附加”或“代替”措施这两个选项中，它得出结论，无论违法行为的严重程度或选择何种措施，都应处以罚款。当局根本没有自由裁量权。

除了忽略了“视个案情况而定”这句话的部分之外，LfDI 的这种解释令人遗憾地放弃了法律方法论为我们律师提供的三种宝贵的解释可能性：系统解释、历史解释和根据意义和目的的解释（目的论解释）。

不，他们没必要这么做。
欧洲法院现已通过 2024 年 9 月 26 日的判决 ( C-768/21 )纠正了这一自我克制。

该案涉及一家储蓄银行的数据保护违规行为：一名员工未经授权访问了客户数据。储蓄银行本身报告了这一事件并采取了纠正措施。黑森州数据保护和信息自由专员认为，此案中没有必要进行制裁/罚款。

欧洲法院在其裁决中明确表示，监管机构可以（而且必须）行使自由裁量权，以确保对个人数据提供充分的保护。法院可以审查自由裁量权是否得到正确行使。然而，完全不行使所赋予的自由裁量权无论如何都是不可接受的。

尽管当局在 2019 年的意见令人震惊且错误，但欧洲法院今天的裁决令人放心，有利于保护个人正义和当局行使自由裁量权。