涉外法律 | GDPR典型案例之德国
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:GDPR;欧盟;数据保护;德国
本文约1580字,大概需要阅读5分钟。
我们在前几期的推文讨论了欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),本期我们来看一下在GDPR生效后,发生在德国的两个依据GDPR执法的案例,通过执法案例来补充理解数据保护相关概念、明确数据处理基本原则和数据主体权利响应相关的监管要求,可以帮助企业更好地把握GDPR 监管脉搏,也为GDPR 相关的理论研究人员提供丰富的案例资源。
案例一:Knuddels 未加密用户个人数据
摘要:
1. 处罚金额:2 万欧元
2. 处罚依据:Art. 32(1)(a) GDPR,
3. 处罚时间:2018/11/21
案件事实概述:
2018 年夏,Knuddels 公司被黑客攻击。该事件导致大约33 万用户的登录密码和电子邮件地址被窃取并发布。经调查显示,该公司并没有加密其客户的密码及邮件信息,而是将其以纯文本形式存储。
数据泄露事件爆发后,Knuddels 公司立刻以广泛且透明的方式告知用户黑客攻击情况。并以一种“典范方式”向德国巴登符腾堡州数据保护委员会报告了该数据违规事件,披露其数据处理、公司结构、安全漏洞情况。
在审理过程中,公司实施了综合措施,以改善其IT安全架构,并将最新的技术应用于保障其用户数据的安全性。此外,公司承诺与巴登-符腾堡州数据保护局(LfDI)合作,实施额外措施,进一步提高其数据安全水平。
针对此次事件,LfDI 在计算罚款时,考虑到Knuddels 公司在其指导方案和建议方面的高度配合及其合规的强烈意愿,最终按照较低标准定,仅仅罚款2 万欧元。
违规分析:
公司并没有加密其客户的密码及邮件信息,而是将其以纯文本形式存储,违反了GDPR第32.1 条规定的确保个人数据处理安全的义务(“对个人数据进行假名和加密的义务”)。
合规启示:
1. 建立流程以及时检测和报告数据泄露是至关重要的。
2. 在大规模数据泄露事件中,及时通知个人数据泄露情况可能会为接下来的监管调查提供有力证明。
3. 学习如何管理声誉影响。在LfDI 声明中,LfDI 仅提到执法涉及位于巴登- 符腾堡州的社交媒体提供商(尽管媒体很快确定了新闻稿背后的提供商)。从这一点来看,有一个积极的信息:通过与监管机构的合作,仍有可能被描述为 “良好的企业公民” 。
案例二:Delivery Hero 未满足用户权利要求
摘要:
1. 处罚金额:195,407 欧元
2. 处罚依据:Art. 15 GDPR,Art. 17 GDPR,Art. 21 GDPR
3. 处罚时间:2019/8
案件事实概述:
有十名数据主体称已经有十年不曾使用过该公司的交付服务平台,但该公司仍然没有删除前客户的账号。此外,八位前客户抱怨该公司未经授权发送电子邮件广告。其中一位明确反对将其数据用于广告投放,但仍收到了15 封电子邮件广告。有五名前客户抱怨,该公司没有向数据主体提供所需的信息,或者仅在柏林数据保护官员进行干预之后才提供数据。
针对此次事件,柏林数据保护局对该公司做出19.5 万欧元的处罚决定。
违规分析:
1.在前客户要求删除其个人数据时,没有履行删除义务,违反了GDPR 第17 条关于被遗忘权的规定。
2.前客户明确拒绝为广告营销目的处理其个人数据,该公司仍向其推送广告电子邮件,违反GDPR 第21 条关于拒绝权的规定。
3.该公司未在一个月内回应数据主体行使访问权的要求,违反了GDPR 第15 条关于访问权的规定。
合规启示:
1.当数据主体要求删除其个人信息时,数据控制者应当立即履行删除义务。
2.为营销目的处理个人数据,应当征得数据主体同意。当数据主体明确拒绝为广告营销目的处理其个人数据时,数据控制者不得向其推送广告。
3.当数据主体行使访问权时,数据控制者应当在法律规定期限内(一个月内)回应数据主体的行权要求,特殊情况下可以延长至两个月。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
往期回顾