達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、Amadeus未經同意將 GDS 資料用於新產品開發，遭西班牙資料保護局重罰1,440萬歐元。  

1.事實
     本案源於西班牙資料保護局AEPD於2023年9月26日接獲匿名檢舉，指稱Amadeus IT Group, S.A.作為歐盟主要全球訂位系統（GDS）業者之一，可能將旅客訂位資料整合至特定資料平台，並藉由不同旅行社、航空公司所產生之旅遊紀錄，對旅客進行分析或建立輪廓，且未向旅客取得同意或充分告知。AEPD調查後認定，Amadeus就其GDS取得之旅客姓名紀錄（Passenger Name Record, PNR）資料，在特定平台測試專案中作為資料控制者，將原本為完成旅遊服務預訂而取得之資料，進一步用於測試、分析及開發新產品；該處理具有跨境性，涉及多個歐盟成員國旅客，西班AEPD因Amadeus主要營業據點在西班牙而作為主要監管機關。AEPD最終認定Amadeus違反GDPR第14條及第6條，原各裁罰900萬歐元，合計1,800萬歐元；Amadeus於2025年5月29日選擇自願繳納罰鍰並適用20% 減額，但未承認責任，因此最終繳納金額為1,440萬歐元，程序因自願繳納而終結。

2.違規行為   
(1)Amadeus違反GDPR第14條的告知義務。AEPD認為，Amadeus並非直接向旅客取得個人資料，因此在將GDS旅客資料進一步用於平台測試專案前，應依GDPR第14條向當事人提供資料來源、處理目的、法律依據、資料類別、保存期間、權利行使方式等資訊；尤其該後續處理目的已不同於原本的旅遊服務預訂目的，更應在後續處理前提供明確資訊。Amadeus 雖主張其已透過網站上的隱私權政策提供資訊，但AEPD認為，僅在網站隱私權政策中作一般性揭露並不足以滿GDPR第14條要求，特別是GDS屬B2B服務，旅客通常不會直接與Amadeus接觸，難以合理預期其訂位資料會在多年後被用於新產品測試或資料分析。

(2)Amadeus違反GDPR第6條的合法性基礎要求。AEPD認為，Amadeus將GDS中的PNR資料用於特定平台測試專案，屬於不同於原始蒐集目的的後續處理，Amadeus主張以「正當利益」作為法律依據，但該機關認為旅客對此並無合理期待，Amadeus內部文件是否得以正當利益作為處理依據亦有矛盾。AEPD進一步指出，該處理不僅未能構成正當利益，也未證明取得旅客特定同意，或符合契約履行、法律義務、重大利益、公共利益等其他GDPR第6條法律基礎，因此構成無合法依據處理個人資料。

3.裁罰理由
      AEPD在裁罰時，首先考量違規行為的性質、嚴重性、期間、處理目的與受影響人數。就 GDPR 第 6 條違規部分，AEPD特別指出，Amadeus為進行平台測試專案，在2022年3月15日至6月15日間處理GDS資料，且影響數百萬名當事人；又正當利益本身需要審慎進行利益衡量，Amadeus在內部文件已有明顯矛盾的情況下，仍未重新檢視其法律基礎是否適當。
      其次，AEPD將Amadeus過往違規紀錄及其業務高度仰賴個人資料處理列為加重因素。AEPD指出，Amadeus曾於2022年因違反GDPR第12條遭裁罰；此外，Amadeus是全球重要GDS業者之一，其業務本質即涉及大量旅客訂位資料處理，理應具備更高程度的個資法遵意識與處理能力。基於上述因素，AEPD就違反GDPR第14條裁罰900萬歐元，就違反GDPR第6條另裁罰900萬歐元，合計1,800萬歐元；後因Amadeus 自願繳納罰鍰，依西班牙行政程序規定減額20%，最終金額為1,440萬歐元，並終結本程序

• 資料來源：https://www.aepd.es/documento/ps-00005-2025.pdf

二、從慕尼黑高等地方法院最新裁定，看GDPR國際傳輸中「標準契約條款」與「履行契約必要性」之適用。

1.事實   
      本案原告為被告所經營社群網路服務之使用者，主張自2020年7月16日起，被告將其個人資料傳輸至美國，或使第三人，特別是美國偵查機關得以取得其個人資料，違反GDPR有關國際傳輸之規範，因此請求損害賠償、停止侵害、確認未來損害賠償責任、資訊揭露及律師費用等。第一審Ingolstadt地方法院駁回原告全部請求，原告不服提起上訴。慕尼黑高等地方法院於2026年5月11日作成裁定，認為原告上訴顯無成功可能，依德國民事訴訟法第522條第2項駁回上訴，並指出本案不具原則重要性，也無須為發展法律或維持裁判一致性而進行上訴審判決。

2.爭點
(1)被告於2020年7月16日至2023年7月9日間，將原告個人資料傳輸至美國，是否違反GDPR第44條以下之國際傳輸規範？
(2)在Schrems II判決宣告原歐盟對美國之適足性決定無效後，被告是否仍得依GDPR 第46條標準契約條款及補充措施作為傳輸依據？
(3)被告是否得另依GDPR第49條第1項第b款，以資料傳輸係履行與原告間契約所必要為由，作為例外傳輸依據？
(4)原告請求禁止被告將資料傳輸至美國、提供予第三人或在未經同意下處理個人資料，是否具備停止侵害請求權之要件？
(5)原告依GDPR第15條請求資訊揭露，是否仍有理由，或被告是否已履行資訊提供義務？
(6)在損害賠償請求不成立時，原告請求確認未來損害賠償責任及請求訴訟前律師費用，是否仍有依據？

3.判決理由
      法院首先指出，原告依GDPR第82條請求損害賠償，必須以被告違反GDPR為前提，但本案並未成立此等違法情形。雖然在Schrems II判決後、歐盟委員會於2023年7月 10日作成新的EU-U.S. Data Privacy Framework適足性決定前，美國並無有效之GDPR 第45條適足性決定，但法院認為，被告在此期間仍可依GDPR第46條，以2010 及2021年標準契約條款作為傳輸基礎。法院並強調，Schrems II判決本身並未否定標準契約條款之效力，而是要求資料輸出者在必要時採取補充措施，以確保資料保護水準。
      其次，法院認為被告已具體主張其採取補充保障措施，例如使用加密演算法、僅向請求機關傳輸嚴格必要之資料，並透過半年一次的透明度報告通知使用者。原告於第一審並未實質爭執此點，至上訴審才主張被告未充分說明補充措施，法院認為此主張已屬逾時，且即使實質觀察，EDPB建議中亦明確認可強加密作為補充措施之一。因此，被告依標準契約條款搭配補充措施進行傳輸，尚難認定違反GDPR第46條。
      法院進一步認為，被告就資料傳輸至美國，亦可能得依GDPR第49條第1項第b款主張傳輸係履行契約所必要。法院接受被告之說明，即Facebook、Instagram等服務本質上是全球性通訊及內容分享服務，歐盟使用者與美國使用者若要互動，勢必涉及跨境資料交換；且基於服務架構，無法按管轄區完全切割歐盟使用者資料與其他使用者資料。法院認為，該服務之契約目的即在於連結全球使用者，被告已具體說明例行性傳輸歐盟使用者資料至美國之必要性，而原告於第一審未實質爭執，因此本事實應視為不爭執。
      關於原告請求禁止被告將資料傳輸至美國或提供予第三人，法院認為該請求雖屬適法，但無理由。因為停止侵害請求通常需要有重複侵害之虞；本案既未認定過去存在違法侵害，即不能推定有重複侵害危險。尤其自2023年7月10日歐盟委員會作成對美國之新適足性決定後，資料傳輸至美國原則上已可依GDPR第45條為之，因此更難認為有再度發生違法傳輸之虞。
      關於原告請求禁止被告在未經同意下處理其個人資料，法院認為此項請求過於不明確。原告僅概括主張不得「未經同意」處理個人資料，但未具體說明所指資料範圍、處理行為或侵害態樣，導致被告無法明確防禦，法院也難以確定判決效力及執行範圍。即使將此請求理解為針對資料傳輸至美國，法院亦認為現行傳輸已有GDPR第45條適足性決定作為依據，並不需要再以GDPR第49條之同意作為傳輸基礎。
      關於原告依GDPR第15條請求資訊揭露，法院雖不同意第一審認為該請求不合法之見解，而認為請求本身具備明確性且有權利保護必要，但實體上仍無理由。法院指出，被告已透過2024年2月27日之信函及自助工具，向原告提供GDPR第15條第1項所要求之資訊，且被告亦說明如使用者受到官方資料請求影響，原則上會通知使用者；若因法律禁止通知，則得依GDPR第15條第4項或相關德國法規限制提供資訊。法院並認為，遠端自助工具可作為提供資訊之適當方式，原告也未具體指出仍缺漏哪些資訊，因此資訊請求權已因履行而消滅。
      最後，法院認為，既然原告之損害賠償請求不成立，其請求確認被告就未來損害負賠償責任亦無理由；而在主要請求均不成立之情況下，原告亦不得請求被告負擔訴訟前律師費用。整體而言，法院認定原告上訴顯無理由，並建議其撤回上訴
 

• 資料來源：https://rewis.io/urteile/urteil/v28-11-05-2026-21-u-388225-e/

 

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

• 本週無重大新聞動態