企業違反資料保護規範，須證明故意或過失才能受罰

歐洲法院於2023年12月5日對C-21/807 號（“Nacionalinis”）和 C-21/4（“Deutsche Wohnen”）案件作出判決，其核心在於對企業違反資料保護規定的責任問題表示明確態度。歐洲法院認定，資料保護機構要對控制者處以罰款，必須證明控制者有故意或過失的違規行為。此與一些資料保護機構的觀點不同，該些資料保護機構認為只要違反歐盟一般保護規則（General Data Protection Regulation, GDPR），就應該對控制者負有嚴格責任。歐洲法院在判決中明確指出，GDPR第83條所列的處罰標準並沒有一項是採取無過失責任的，因此，只有在控制者有意或疏忽地違反GDPR的情況下，才能對其處以罰款。

資料來源：InforCuria Case-law