GDPR案例之波兰
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:GDPR;Facebook;欧盟;波兰;数据保护
本文约1386字,大概需要阅读6分钟。
我们在前几期的推文讨论了欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),本期我们来看一下在GDPR生效后,通过GDPR执法的几个案例。通过执法案例来补充理解数据保护相关概念、明确数据处理基本原则和数据主体权利响应相关的监管要求,可以帮助企业更好地把握GDPR 监管脉搏,也为GDPR 相关的理论研究人员提供丰富的案例资源。本文中将介绍两个波兰的案例。
案例一:Morele.net 数据泄露事件
摘要:
处罚金额:644,780 欧元
处罚依据:Art. 5 (1) f) GDPR,Art. 32 GDPR
处罚时间:2019/9/10
案件事实概述:
2018 年10 月,波兰购物网站Morele.net遭受数据泄露。该事件导致约220 万人的个人数据泄露。泄露的数据类型包括姓名、电话号码、电子邮件、收货地址,还有大约35,000 人的分期贷款申请中涉及到的数据,包括个人ID 号码(PESEL 号码)、身份证明文件的编号和序号、学历、注册地址、通信地址、收入来源、净收入金额、家庭生活费用、婚姻状况以及信用承诺或赡养义务的金额。
针对此次事件,UODO 对该购物网站做出64 万欧元的处罚决定。
违规分析:
1.该购物网站未采取适当的数据保护技术手段,无法有效监控典型在线行为有关的潜在风险,从而违反了第5 条第1 款(f)规定的保密原则。
2.数据泄露影响范围超过220 万人,违规行为严重程度高,对受影响者产生极高的负面影响。
合规启示:
1.企业采取适当的数据保护技术手段,提高数据安全性,有效监控业务场景中典型的潜在风险,对敏感或特殊类型个人数据进行加密等保障措施,及时识别风险并采取措施防范和阻止风险。
2.在发生数据泄露事件后,应当及时消除风险,阻止侵害行为进一步扩散,降低损害后果。
案例二:Bisnode 未履行充分性告知义务
摘要:
处罚金额:219,538 欧元
处罚依据:Art. 14 GDPR
处罚时间:2019/3/26
案件事实概述:
数字营销公司Bisnode 从公开来源(尤其是从中央电子登记册和经济活动信息)获得数据主体数据,并出于商业目的处理该数据。涉及的数据主体超过600 万人,但是只有9 万多人被告知数据处理的情况,超过1.2 万人不同意该公司处理其个人数据。该公司仅向留有邮箱地址的数据主体履行告知义务,对没有邮箱地址的数据主体以高额运营成本为由未履行告知义务,仅在其网站上提供了隐私政策条款。
针对此次事件, UODO 对该公司做出219,538 欧元的处罚决定。
违规分析:
1.未向部分数据主体履行告知义务。该公司收集的数据主体信息包括邮箱地址以及电话
号码。因此可以通过邮箱地址或电话号码联系数据主体,履行告知义务。
2.具有侵权的故意。公司明知需要履行提供相关信息的义务以及直接告知相关人员的义
务,但以部分数据主体没有提供电子邮箱地址为借口逃避责任。
3.配合程度低。在处以罚款时,未采取也不打算采取任何行动制止侵权行为。
合规启示:
1.公开渠道获取数据主体个人数据用于商业目的的,应当向数据主体履行告知义务。应
当采用一切可行的方式履行告知义务,只有在穷尽所有可能办法而无法实现时,才能采用公示告知的方式。
2.在与监管部门的沟通合作中应当积极配合,与监管机构保持良好密切的沟通,有助于
将影响控制在尽可能小的范围内。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
往期回顾