涉外法律|GDPR经典案例之西班牙
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:GDPR;欧盟;数据保护;西班牙
本文约1143字,大概需要阅读4分钟。
我们在前几期的推文讨论了欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),本期我们继续关注在GDPR生效后,欧盟依据GDPR执法的案例,以及该案导致的结果和启示。本期我们将关注西班牙的几个案例。
案例一:LaLiga 未履行充分告知义务
摘要
处罚金额:25 万欧元
处罚依据:Art. 5 (1) a) GDPR,Art. 7 (3) GDPR
处罚时间:不详
案件事实概述
足球联盟(LaLiga)被罚款,原因是其提供的APP 每分钟访问一次用户手机的麦克风。根据AEPD 的意见,LaLiga 没有将这一事实充分告知用户。此外,该应用程序不满足用户可以撤回同意的法律要求。
违规分析
未充分告知用户其提供的APP 每分钟访问一次用户手机的麦克风,且剥夺了用户撤回同意的权利。
合规启示
1.相关APP 的隐私设置中,在获取用户同意时,应当将相关处理事实充分告知用户;
2.采取简单易行的方式以供用户行使撤回同意的权利。
案例二:信贷公司未经授权处理个人数数据
摘要
处罚金额:6 万欧元
处罚依据:Art. 5 (1) f GDPR
处罚时间:不详
案件事实概述
该信贷公司将未还账单委托给收债公司。收债公司为索收欠款不仅向债务人发送电子邮件,还向债务人的工作公共邮箱发送催债通知,债务人的所有同事均可访问该公共邮箱,而债务人从未提供过该公共邮箱地址。
违规分析
催债信息不仅发送到已提供的个人邮箱,还发送到从未提供过的工作公共邮箱。
合规启示
1.委托第三方进行数据处理时,应当签订数据处理协议以规范数据处理者的处理行为合法、合规;
2.对处理者处理行为及责任不清楚,并不能成为免除控制者签署数据处理协议责任的抗辩理由。在该场景下进行的数据处理活动具有非常高的合规风险。
案例三:ENDESA 非法披露个人数据
摘要
处罚金额:6 万欧元
处罚依据:Art. 5 (1) f) GDPR
处罚时间:不详
案件事实概述
投诉人的银行账户被ENDESA 收取一笔费用,该笔费用受益人是第三人,该第三人曾因刑事犯罪被下发两年期的限制令,该限制令禁止其接近投诉人、投诉人的住所及工作场所。ENDESA 没有按照投诉人的要求修改合同,而是错误地删除了她的个人数据,并将第三人的个人数据填入合同中。AEPD 认为,向第三方披露投诉人的个人数据严重违反了保密原则。
违规分析
错误地删除个人数据,并将第三人的个人数据填入合同中,非法向第三方披露个人数据。
合规启示
1.企业应当采用适当的技术组织措施保护数据免遭未经授权或非法的处理以及意外的丢失、销毁和破坏。
2.企业应保持其处理的数据适时地更新,并采取一切合理的措施确保错误数据被及时清除或更正。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
往期回顾