GDPR案例之奥地利
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:GDPR;Facebook;欧盟;奥地利;数据保护
本文约1180字,大概需要阅读4分钟。
2018 年5 月25 日,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,深刻地影响了欧盟乃至全球范围内个人数据保护和数字经济发展态势。立法层面,GDPR 已成为各主要国家采用或计划采用的数据保护法律法规基准,引发全球立法规则进一步融合;执法层面,GDPR 执法案例作为体现监管态势的重要参照,为跨国企业的数据保护合规工作提供风向标。
鉴于GDPR 生效时间不长,缺乏配套的适用规范和解释,通过执法案例来补充理解数据保护相关概念、明确数据处理基本原则和数据主体权利响应相关的监管要求,可以帮助企业更好地把握GDPR 监管脉搏,也为GDPR 相关的理论研究人员提供丰富的案例资源。本文中将介绍三个奥地利的案例。
案例一:医疗公司未履行充分告知义务
摘要:
处罚金额:5 万欧元
处罚依据:Art. 13 GDPR, Art. 37GDPR
处罚时间:2018/8
案件事实概述:
某医疗公司不遵守收集信息告知义务,且没有任命DPO。
针对该事件,奥地利数据保护局对该医疗公司做出5 万欧元的处罚决定。
违规分析:
该医疗公司作为数据控制者的核心业务涉及大规模特殊类型个人数据(健康数据等)的处理,根据GDPR 第37 条,应当指定一名数据保护专员。该医疗公司未任命DPO,违反了GDPR 相关规定。
合规启示
当企业作为数据控制者或处理者核心业务由数据处理组成或涉及到GDPR 规定的特殊类型个人数据或与犯罪记录、违法行为有关数据组成时,应当任命DPO。
案例二:足球教练非法收集个人数据
摘要:
处罚金额:1.1 万欧元
处罚依据:Art. 6 GDPR
处罚时间:2019/7
案件事实概述:
Mostviertel 俱乐部的一名足球教练在一个淋浴间里放置智能手机对女运动员进行偷拍。
针对该事件,奥地利数据保护局对该教练作出1.1 万欧元的处罚决定。
违规分析:
未经授权拍摄属于侵犯个人隐私的行为,违反GDPR 规定,甚至有可能承担刑事责任。
合规启示:
收集、处理个人数据应当具有合法性基础。
案例三:博彩商店未履行充分告知义务
摘要:
处罚金额:4,800 欧元
处罚依据:Art.13 GDPR
处罚时间:2018/12/9
案件事实概述:
2018 年9 月,一家博彩商店在其店面前安装了一台闭路电视摄像机,同时对其店面前的人行道进行监控拍摄,未提示监控范围。
针对该事件,奥地利数据保护局对该商店做出4800 欧元的处罚决定。
违规分析:
该商店未将监控区域明确标识出来,大范围的公共空间设施被不正当记录。个人以这种方式监控公共区域,是不被允许的。
合规启示:
1.企业在工作环境中应当在监控区域设置提醒,标识监控范围,履行告知义务;
2.收集个人数据应当遵守最小范围原则,收集的数据应当是充足的、与处理目的相关的并且限于数据处理目的最小必要范围。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
往期回顾