達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、拒絕80名破產公司員工資料查閱權：Timegrip公司因「實質控制資料」被認定為資料控制者並遭挪威資料保護局以違反GDPR第15條為由裁罰25萬挪威克朗。

  1.事實

          挪威資料保護局（Datatilsynet）於 2026年1月16日就Timegrip AS因無正當理由拒絕資料主體行使個
    人資料查詢權，違反GDPR第15條規定，裁處行政罰鍰25萬挪威克朗。
          本案起因於2020年Enklere Liv Retail AS破產後，其前員工（申訴人）為主張2020年3月16日至24日
    間之未給付薪資，依法向破產管理人申請給付，惟破產管理人因無法取得工時資料，請申訴人自行向
    Timegrip AS申請查詢其個人工時紀錄。Timegrip AS為Enklere Liv所使用之工時紀錄系統供應商，原以資
    料處理者身分，代Enklere Liv處理員工之工時資料。
          申訴人遂於2020年6月18日依GDPR第15條向Timegrip AS請求行使個人資料查詢權，請求提供其工時
    表副本。惟Timegrip AS於2020年6月23日正式回覆拒絕，主張Enklere Liv破產後，原資料處理契約已終
    止，且在未有新資料控制者（如破產管理人）重新簽署資料處理契約前，其無權向任何人（包括資料主體
    本人）揭露相關個人資料。

          在Enklere Liv破產後，另有約80名前員工提出相同或類似之查詢請求，Timegrip AS均以相同理由拒
    絕。於此期間，Timegrip AS持續保存並實際控制該等工時資料之存取、揭露與刪除時點，而破產管理人則
    無法取得或指示該等資料之處理。

          申訴人於 2020 年 6 月 30 日向挪威資料保護局（Datatilsynet）提出申訴，主張 Timegrip AS 無正
    當理由拒絕其依法行使個人資料查詢權。挪威資料保護局隨後啟動調查程序。挪威資料保護局於 2026年1
    月16日作成裁罰決定，認定 Timegrip AS 於拒絕資料主體查詢請求時，應就其實際控制之個人資料負擔資
    料控制者責任，並因未依法提供查詢及資料副本，構成對 GDPR 所保障之資料主體權利之侵害，而對其裁
    處行政罰鍰25萬挪威克朗。

 2.違規行為：

        挪威資料保護局認定，Timegrip AS在Enklere Liv破產後，實際上已成為對系爭工時資料具有實質控制
  權之資料控制者，理由在於：

• Enklere Liv破產後，無任何其他主體得實際決定資料之保存、利用、揭露或刪除。
• Timegrip AS自行決定資料保存期間、是否提供資料、以及提供之條件。
• Timegrip AS亦拒絕依破產管理人之指示交付資料，顯示其已不再僅是被動執行指示之資料處理者。

         在此情況下，Timegrip AS 卻仍以「僅為資料處理者」、「無資料控制者存在」為由，拒絕回應資料主
   體依GDPR 第 15 條提出之查詢請求，亦未提供任何個人資料副本，已違反GDPR第15條第1項資料主體之查
   詢權及GDPR第15條第3項提供個資副本之義務。

         挪威資料保護局並明確指出，若資料處理者於無指示下仍持續處理並控制資料，即應依GDPR第28條第
   10項，被視為資料控制者，須負擔法定義務。

 3.裁罰理由

    挪威資料保護局綜合GDPR第83條第1項及第2項各款因素，認定本案有必要科處行政罰鍰，理由摘要如
    下：
  (1)侵害基本權性質嚴重
     查詢權係資料主體行使其他個資權利之前提，屬 GDPR 核心權利。本案中，Timegrip AS明知申訴人及其
     他員工係為主張工資而請求資料，仍拒絕提供，對處於經濟弱勢之勞工影響重大。

  (2)影響人數眾多
      本案並非單一個案，而是約80名前員工之查詢請求均遭一致性拒絕，具制度性、結構性影響。

  (3)故意違法
        Timegrip AS明確知悉其係主動拒絕資料主體之請求，縱其主張係基於錯誤法律見解，仍不構成可原諒之
     法律錯誤。對於以處理個資為核心業務之公司而言，應可合理期待其理解資料控制者／處理者之基本區
     分。

  (4)未採取即時補救措施
      Timegrip AS自始至終未向資料主體提供資料，亦未採取任何補救措施以降低對資料主體之不利影響。

  (5)衡酌比例原則
      監管機關亦考量本案行政程序歷時較長，且違規行為發生於數年前，最終將原擬裁罰金額大幅調降，決定
      裁罰25 萬挪威克朗，以兼顧有效性、相當性及嚇阻性。

• 資料來源：https://www.datatilsynet.no/contentassets/fd51778709a14285a13d4cca9fc481f6/20206-01-16-vedtak---timegrip-offentlig-versjon.pdf

 

▶ 新聞動態 ◀

一、隱私與國安的紅線之爭：瑞士《郵政及電信通訊監控條例》VÜPF修法引發無差別監控與人權寒蟬效應爭
      議

   1.案件背景
           瑞士政府近年研議修正《郵政及電信通訊監控條例》（VÜPF: VÜPF:Verordnung über die
     Überwachung des Post- und Fernmeldeverkehrs），擬擴大電信與網路服務提供者的資料保留義務。依
     修正方向，電信業者、網路通訊服務、即時通訊軟體及VPN等服務提供者，將被要求長期保存使用者的通
     訊元資料（communications metadata），包括IP位址、連線時間、位置資訊及使用者識別資料，並於特
     定情況下提供予執法或情報機關使用。
           此一修正草案引發國內外高度關注。2025年底至2026年初，包含European Digital Rights（EDRi）
     在內的19個國際與瑞士本地公民社會與人權團體，聯名致函瑞士聯邦司法與警政部，公開呼籲撤回或實質
     修正該資料保留制度。同時，國際科技與隱私媒體TechRadar亦報導此一爭議，指出該提案已被多個隱私
     權與數位權利團體視為對基本權利的重大威脅。

    2.主要爭議
           本案的核心爭議，在於瑞士政府是否得以「維護治安、刑事偵查及國家安全」為由，對所有使用者一
     體適用、未經區分的通訊資料保留義務。爭議重點包括：

• 是否對人民的隱私權與個人資料保護權造成過度干預？
• 該制度是否符合比例原則與必要性原則？
• 是否對言論自由、思想自由與結社自由產生寒蟬效應？
• 是否影響瑞士在國際間，特別是與歐盟之間的資料保護適足性地位？

​​​​​​​  3.核心反對理由
   (1)無差別資料保留侵害隱私與個資基本權
      公開信指出，草案要求服務提供者對所有使用者，不論是否涉及任何犯罪嫌疑或具體風險，一律保存通訊
      元資料，屬於典型的「廣泛且無差別的資料保留」。此類制度已多次被歐洲司法實務認定為對隱私權與個
      人資料保護權的嚴重干預，難以符合民主法治國家對基本權利限制的要求。相較於僅針對特定對象或個案
      所採取的資料保存命令，全面性資料保留欠缺具體風險基礎，也未能證明其不可替代性。

  (2)對民主社會造成寒蟬效應
      公民社會團體及相關新聞均指出，長期且全面的通訊監控，將使人民在使用加密通訊、匿名服務或 VPN 
      時，產生「隨時可能被監控」的心理壓力。此種寒蟬效應不僅影響個人行為，更可能削弱民主社會中公共
      討論與批判的空間。

  (3)增加資安風險
      反對團體亦指出，強制保存大量通訊元資料，將迫使業者建立高度集中的敏感資料庫。此類資料庫本身即
      成為駭客攻擊與內部濫用的高風險目標，一旦發生外洩或遭濫用，對使用者隱私與安全將造成難以回復的
      損害。

  (4)可能衝擊瑞士的國際資料保護地位
      公開信特別警告，若瑞士進一步擴大無差別的資料保留制度，將可能背離歐盟長期建立的基本權利與資料
      保護標準，進而影響瑞士目前所享有的歐盟「資料保護適足性」地位。一旦適足性受到質疑，將對瑞士企
      業與歐盟間的個人資料跨境流通造成實質影響。

• 資料來源：https://edri.org/wp-content/uploads/2025/12/Civil-Society-Open-Letter-Swiss-Ordinance-Data-Retention.pdf