GDPR執(zhí)法案例全景白皮書

1、目 錄監(jiān)管執(zhí)法典型案列7執(zhí)法態(tài)勢數(shù)據(jù)統(tǒng)計(jì)11英國701 英國航空公司數(shù)據(jù)泄露事件702 萬豪集團(tuán)數(shù)據(jù)泄露事件803 Doorstep Dispensaree Ltd. 缺乏適當(dāng)?shù)募夹g(shù)措施保障數(shù)據(jù)安全804 DSG Retail Limited905 CRDNN Limited非法撥打自動(dòng)營銷電話906 Cathay Pacific Airways Limited數(shù)據(jù)泄露事件1007 LeoKirk非法泄露數(shù)據(jù)1008 Black Lion Marketing Limited非法撥打自動(dòng)營銷電話 102法國1101 SERGIC數(shù)據(jù)泄露事件1102 ACTIVE ASSURANCES數(shù)據(jù)泄露事件

2、1203 員工投訴某公司監(jiān)控侵犯隱私事件1204 Futura Internationale電話營銷未充分實(shí)現(xiàn)數(shù)據(jù)主體權(quán)利 133保加利亞1401 國家稅務(wù)局?jǐn)?shù)據(jù)泄露事件1402 DSK銀行數(shù)據(jù)泄露事件1503前雇主某公司未保障數(shù)據(jù)主體權(quán)利1504 公用事業(yè)公司錯(cuò)誤提供個(gè)人數(shù)據(jù)164波蘭1601 M數(shù)據(jù)泄露案1602 ClickQuickNow未保障同意撤銷權(quán)的有效實(shí)現(xiàn)1703 Aleksandrw Kujawski市長未簽署數(shù)據(jù)處理協(xié)議1704 Danzig學(xué)校無合法性基礎(chǔ)處理生物識別數(shù)據(jù)1805 Vis Consulting Sp. z o.o.與監(jiān)督機(jī)構(gòu)的合作不足 185荷蘭1801 M

3、enzis使數(shù)據(jù)遭受未經(jīng)授權(quán)的訪問1902 UWV未采用高安保系數(shù)的身份驗(yàn)證1903 荷蘭皇家網(wǎng)球協(xié)會(huì)數(shù)據(jù)處理法律依據(jù)不足1904 某組織非法處理員工特殊類型個(gè)人數(shù)據(jù)206西班牙2101 AVON COSMETICS非法處理個(gè)人數(shù)據(jù)2102 沃達(dá)豐將個(gè)人數(shù)據(jù)發(fā)送給非授權(quán)第三人2103 沃達(dá)豐數(shù)據(jù)處理的法律依據(jù)不足2204 Jocker Premium Invex數(shù)據(jù)處理的法律依據(jù)不足2205 某公司未充分提供關(guān)于其數(shù)據(jù)處理的相關(guān)信息2206 工會(huì)委員會(huì)非授權(quán)公開投訴人個(gè)人數(shù)據(jù)2307 Telfnica處理用戶個(gè)人數(shù)據(jù)違反準(zhǔn)確性原則2308 廣播電視公司數(shù)據(jù)泄漏事件2409 體育酒吧視頻監(jiān)控設(shè)備

4、安裝違反最小范圍原則2410 供水服務(wù)公司數(shù)據(jù)處理的法律依據(jù)不足2411 Cerrajeria Verin S.L.未充分履行信息告知義務(wù)2512 保險(xiǎn)公司數(shù)據(jù)處理的法律依據(jù)不足2513 Megastar SL設(shè)置的視頻監(jiān)控超越最小必要范圍2514 Shop Macoyn, S.L.用抄送所有人的方式進(jìn)行營銷信息 推送2615 沃達(dá)豐向錯(cuò)誤的收件人發(fā)送了含有個(gè)人數(shù)據(jù)的合同. 26 16 Asociacin de Mdicos Demcratas數(shù)據(jù)處理的法. 律依據(jù)不足2617 沃達(dá)豐未及時(shí)響應(yīng)監(jiān)管機(jī)構(gòu)需求2718 Zhang Bordeta 2006, S.L視頻監(jiān)控超越最小必要范圍 271

5、9 Xfera Moviles S.A.非法處理個(gè)人數(shù)據(jù)2820 沃達(dá)豐未經(jīng)授權(quán)處理個(gè)人數(shù)據(jù)以簽署電話訂購轉(zhuǎn)移合同 2821 沃達(dá)豐未經(jīng)授權(quán)處理個(gè)人數(shù)據(jù)2822 沃達(dá)豐錯(cuò)誤發(fā)送個(gè)人數(shù)據(jù)2923 Automocin雇員非法使用利用職務(wù)之便獲取的個(gè)人數(shù)據(jù) 2924 Banco Bilbao Vizcaya Argentaria S.L.數(shù)據(jù)處理的合法 性基礎(chǔ)不足2925 沃達(dá)豐向前客戶寄送發(fā)票3026 Iberia Lineas Aereas de Espana,數(shù)據(jù)處理的合法性依 據(jù)不足3027 某餐廳使用視頻監(jiān)控違反最小化原則3028 沃達(dá)豐未經(jīng)同意處理客戶個(gè)人數(shù)據(jù)3129 Grupo未經(jīng)授權(quán)

6、披露個(gè)人數(shù)據(jù)3130 某學(xué)校未經(jīng)授權(quán)處理個(gè)人數(shù)據(jù)3131 IberdoaClientes電力公司未經(jīng)授權(quán)處理個(gè)人數(shù)據(jù)3232 沃達(dá)豐違反數(shù)據(jù)安全保障義務(wù)3233 Mymoviles違反公開透明原則3234 CASA使用視頻監(jiān)控違反最小化原則3335 HM醫(yī)院未經(jīng)授權(quán)處理個(gè)人數(shù)據(jù)3336 沃達(dá)豐非法處理兒童個(gè)人數(shù)據(jù)3437 AEMA未經(jīng)授權(quán)披露個(gè)人數(shù)據(jù)3438 沃達(dá)豐違反數(shù)據(jù)安全保障義務(wù)3539 某企業(yè)網(wǎng)站缺失隱私政策及Cookies設(shè)置3540 沃達(dá)豐客戶數(shù)據(jù)泄露事件3641 沃達(dá)豐未經(jīng)同意處理客戶個(gè)人數(shù)據(jù)3642 沃達(dá)豐未經(jīng)授權(quán)處理個(gè)人數(shù)據(jù)3643 私人違規(guī)安裝使用監(jiān)控?cái)z像頭3744 某零售

7、商未充分履行信息告知義務(wù)3745 某酒店非法公開個(gè)人數(shù)據(jù)3746 業(yè)主協(xié)會(huì)違規(guī)安裝使用監(jiān)控?cái)z像頭3847 某企業(yè)未經(jīng)數(shù)據(jù)主體同意向第三方發(fā)送個(gè)人數(shù)據(jù)3848 某餐廳違規(guī)安裝使用監(jiān)控?cái)z像頭3949 西班牙電信(Telefnica)不配合監(jiān)管機(jī)構(gòu)調(diào)查3950 西班牙第四大移動(dòng)網(wǎng)絡(luò)運(yùn)營商Xfera Moviles S.A.不配合監(jiān)管機(jī)構(gòu)調(diào)查407德國4001 Delivery Hero未滿足用戶權(quán)利要求4102 某食品公司缺乏對數(shù)據(jù)安全的保障4203 Deutsche Wohnen SE未遵守存儲(chǔ)限制原則4204 某醫(yī)院混淆數(shù)據(jù)主體4205 Rapidata GmbH未任命數(shù)據(jù)保護(hù)官4306 1&1

8、 Telecom GmbH未采用高安保系數(shù)的身份驗(yàn)證438希臘4401 PWC處理員工個(gè)人數(shù)據(jù)違反透明原則4402 希臘電信公司OTE的電話營銷未遵守?cái)?shù)據(jù)處理原則4503 WIND公司的電話營銷未充分實(shí)現(xiàn)數(shù)據(jù)主體權(quán)利4504 愛琴海石油集團(tuán)未采取必要措施保證數(shù)據(jù)處理安全. 4605 Allseas Marine處理員工數(shù)據(jù)未遵守?cái)?shù)據(jù)處理原則. 4606 公共電力公司未充分實(shí)現(xiàn)數(shù)據(jù)主體權(quán)利4707 演講和特別教育中心（Mihou Dimitra）未充分實(shí)現(xiàn)數(shù)據(jù)主體權(quán)利479羅馬尼亞4801 UNICREDIT銀行數(shù)據(jù)泄露事件4902 WORLD TRADE CENTER數(shù)據(jù)泄露事件4903 LE

9、GAL COMPANY & TAX HUB SRL數(shù)據(jù)泄露事件4904 Inteligo Media公司運(yùn)營的網(wǎng)站個(gè)人數(shù)據(jù)處理的法律依據(jù)不足4905 Raiffeisen銀行與Vreau Credit公司聯(lián)合行為導(dǎo)致數(shù)據(jù)泄露5006 UTTIS INDUSTRIES公司安裝視頻監(jiān)控設(shè)備未履行充分性告知義務(wù)5107 BNP Paribas Personal Finance個(gè)人理財(cái)公司未滿足數(shù)據(jù)主體權(quán)利的實(shí)現(xiàn)5108 FAN COURIER EXPRESS快遞服務(wù)公司因技術(shù)組織措施不足造成數(shù)據(jù)泄露5109 與數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)合作不足四起案件5210 ING銀行因技術(shù)組織措施不足造成重復(fù)交易5311

10、 某業(yè)主協(xié)會(huì)因視頻監(jiān)控系統(tǒng)未履行充分性告知義務(wù)及安全保障義務(wù)5312 Royal President公司未滿足數(shù)據(jù)主體權(quán)利的實(shí)現(xiàn)5313 S CNTAR TAROM航空公司未采取充分的安全措施導(dǎo)致未經(jīng)授權(quán)的訪問和披露5414 Hora Credit公司未采取充分的安全措施導(dǎo)致未經(jīng)授權(quán)的訪問和披露5415 Entirely Shipping & Trading公司處理員工個(gè)人數(shù)據(jù)未遵守?cái)?shù)據(jù)處理原則5516 SC Enel Energie 供電公司數(shù)據(jù)處理的法律依據(jù)不足 5517 羅馬尼亞電信因技術(shù)組織措施不足不當(dāng)披露個(gè)人數(shù)據(jù) 5618 沃達(dá)豐未采取足夠安全措施導(dǎo)致數(shù)據(jù)發(fā)生錯(cuò)誤處理. 5619 E

11、nel Energie SA因技術(shù)組織措施不足不當(dāng)披露個(gè)人數(shù)據(jù)5720 Dante International數(shù)據(jù)處理的法律依據(jù)不足5710匈牙利5701 Town of Kerepes選擇的合法性基礎(chǔ)不恰當(dāng)5802 某軍事醫(yī)院未充分履行數(shù)據(jù)泄露通知義務(wù)5803 某公司私自檢查雇員的通訊設(shè)備5804 、某主體未響應(yīng)數(shù)據(jù)主體的權(quán)利請求5905 某公司非法處理前雇員的電子郵件5911意大利6001 Eni Gas e Luce（Egl）在廣告活動(dòng)和未經(jīng)請求的合同啟動(dòng)過程中非法處理了個(gè)人數(shù)據(jù)6002 TIM電信運(yùn)營商電話營銷違反多項(xiàng)數(shù)據(jù)保護(hù)規(guī)定6103 網(wǎng)站公開披露個(gè)人數(shù)據(jù)四起案件6104 某醫(yī)院因

12、技術(shù)組織措施不足導(dǎo)致相關(guān)檔案被非授權(quán)訪問 6205 羅馬大學(xué)因線上舉報(bào)平臺(tái)的技術(shù)組織措施不足導(dǎo)致舉報(bào)人個(gè)人數(shù)據(jù)被公開6306 RTIReti 意大利電視臺(tái)處理個(gè)人數(shù)據(jù)的法律依據(jù)不足 6312奧地利6401 足球教練非法收集個(gè)人數(shù)據(jù)6402 Austrian Post數(shù)據(jù)處理的法律依據(jù)不足6413瑞典6501 學(xué)校使用人臉識別技術(shù)缺乏合法性基礎(chǔ)6502 Nusvar AB運(yùn)營的Mrkoll.se網(wǎng)站非法處理個(gè)人數(shù)據(jù). 6603 Google未實(shí)現(xiàn)數(shù)據(jù)主體被遺忘權(quán)6604 國家政府服務(wù)中未能保障數(shù)據(jù)安全且未充分履行數(shù)據(jù)泄露告知義務(wù)6714比利時(shí)6801 某市長非法處理個(gè)人數(shù)據(jù)6802 某店主過度收

13、集客戶個(gè)人數(shù)據(jù)6903 某市政選舉候選人超越原有目的處理個(gè)人數(shù)據(jù)6904 Website“Y”隱私政策和cookies設(shè)置不符合要求6905 Nursing Care Organisatio沒有響應(yīng)數(shù)據(jù)主體的權(quán)利請求 7006 Proximus SA的數(shù)據(jù)保護(hù)官任命不符合法律要求7115挪威7101 Rlingen市政府在Showbie數(shù)字學(xué)習(xí)平臺(tái)上的數(shù)據(jù)處理未保證安全性7202 Coop Finnmark攝像頭錄像傳播非法處理兒童個(gè)人數(shù)據(jù) 7216丹麥7201 IDdesign A / S 違反數(shù)據(jù)存儲(chǔ)限制原則7302 Hrsholm市工作電腦被盜導(dǎo)致數(shù)據(jù)泄露7303 Gladsaxe市工作

14、電腦被盜導(dǎo)致數(shù)據(jù)泄露7417塞浦路斯7401 三家公司數(shù)據(jù)處理的合法性依據(jù)不足7502 M.L. PRO.FIT SOLUTIONS LTD未獲同意發(fā)送營銷信息 7518冰島7601 某教師錯(cuò)誤發(fā)送學(xué)生訪談資料76 執(zhí)法態(tài)勢數(shù)據(jù)分析執(zhí)法態(tài)勢數(shù)據(jù)分析 PAGE 5 GDPR 執(zhí)法案例全景白皮書GDPR 執(zhí)法案例全景白皮書 PAGE 6 執(zhí)法態(tài)勢數(shù)據(jù)分析本部分根據(jù)所統(tǒng)計(jì)的案例信息，從時(shí)間、國家、違規(guī)類型、違規(guī)主體對相關(guān)案例進(jìn)行歸類整理，通過圖表結(jié)合的方式，對 GDPR 執(zhí)法趨勢進(jìn)行最直觀清晰的呈現(xiàn)。統(tǒng)計(jì)數(shù)據(jù)：時(shí)間注意：僅考慮所收集的年份和月份的有效信息的罰款。 1. 每月罰款總額和總數(shù)（累計(jì)）：年

15、份及月份罰款總額（至月）罰款數(shù)量（至月）2018年7月400,00012018年9月400,30022018年10月400,68832018年11月420,68842018年12月436,388 92019年1月50,437,276122019年2月50,502,384242019年3月50,964,684322019年4月51,273,819402019年5月51,833,345482019年6月52,917,895572019年7月368,275,670652019年8月371,528,505742019年9月372,435,028832019年10月406,947,4021122019年

16、11月408,062,2021322019年12月429,819,7321552020年1月457,930,4421692020年2月458,816,5321982020年3月466,677,5682302020年4月467,471,2682332020年5月467,487,468235 2. 每月罰款的總數(shù)和數(shù)量（非累計(jì) ）：年份及月份罰款總額（以月計(jì)）罰款數(shù)量（以月計(jì)）2018年7月400,00012018年9月30012018年10月38812018年11月20,00012018年12月15,70052019年1月50,000,88832019年2月65,108122019年3月462,

17、30082019年4月309,135 82019年5月559,52682019年6月1,084,55092019年7月315,357,77582019年8月3,252,83592019年9月906,52392019年10月34,512,374292019年11月1,114,800202019年12月21,757,530232020年1月28,110,710142020年2月886,090292020年3月7,861,036322020年4月793,70032020年5月16,2002統(tǒng)計(jì)數(shù)據(jù)：罰款最高的國家（前10名）以下統(tǒng)計(jì)數(shù)據(jù)顯示了每個(gè)國家 / 地區(qū)（僅排名前 10 位的國家）判處的罰款總

18、額和總數(shù)。 1. 罰款總額計(jì)：國家罰款總額英國317,242,423（8次）意大利39,402,000（10次）德國24,460,407（7次）奧地利18,011,000（2次）國家罰款總額瑞典7,072,330（4次）保加利亞3,174,480（13次）荷蘭2,200,000（4次）西班牙1,826,070（63次）法國1,100,000（4次）希臘748,000（8次）表1：執(zhí)法金額前十國家統(tǒng)計(jì)表 2. 按罰款總數(shù)計(jì)： 圖2：執(zhí)法數(shù)量前十國家對比統(tǒng)計(jì)圖國家罰款數(shù)西班牙63（總金額 1,826,070）羅馬尼亞26（總金額 499,706）保加利亞13（總金額 3,174,480）意大利10

19、（總金額 39,402,000）英國8（總金額 317,242,423）希臘8（總金額 748,000）德國7（總金額 24,460,407）比利時(shí)7（總金額 89,000）匈牙利6（總金額 31,366）波蘭5（總金額 710,380）表2：執(zhí)法數(shù)據(jù)前十國家統(tǒng)計(jì)表統(tǒng)計(jì)信息：按違規(guī)類型分類的罰款以下統(tǒng)計(jì)數(shù)據(jù)顯示了每種 GDPR 違規(guī)類型已處的罰款總額以及罰款案件個(gè)數(shù)。 1. 罰款總額計(jì)：違反罰款總額缺乏保障信息安全的技術(shù)和組織措施332,567,289（49次 ）數(shù)據(jù)處理的法律依據(jù)不足61,202,963（68次 ）違反數(shù)據(jù)處理基本原則15,495,940（29次 ）數(shù)據(jù)主體權(quán)利沒有充分實(shí)現(xiàn)7

20、,756,539（13次 ）DPO任命違反法律要求60,000（2次 ）與監(jiān)督機(jī)構(gòu)的合作不足59,911（10次 ）未充分履行信息義務(wù)31,300（10次 ）未簽署數(shù)據(jù)處理協(xié)議9,380（1次 ）未充分履行數(shù)據(jù)泄露通知義務(wù)7,400（1次 ） 2. 按罰款總數(shù)計(jì)：違反罰款數(shù)數(shù)據(jù)處理的法律依據(jù)不足68（總金額 61,202,963）缺乏保障信息安全的技術(shù)和組織措施49（總金額 332,567,289）違反數(shù)據(jù)處理基本原則29（總金額 15,495,940）數(shù)據(jù)主體權(quán)利沒有充分實(shí)現(xiàn)13（總金額 7,756,539）未充分履行信息義務(wù)10（總金額 59,911）與監(jiān)督機(jī)構(gòu)的合作不足10（總金額 31

21、,300）DPO任命違反法律要求2（總金額 60,000）未充分履行數(shù)據(jù)泄露通知義務(wù)1（總金額 9,380）未簽署數(shù)據(jù)處理協(xié)議1（總金額 7,400）統(tǒng)計(jì)信息：最高罰款（前10名）以下統(tǒng)計(jì)數(shù)據(jù)顯示了每個(gè)數(shù)據(jù)控制者施加的最高罰款（僅前 10 名罰款）。控制者國家罰款違規(guī)類型日期1British Airways英國204,600,000技術(shù)和組織措施不足無法確保信息安全2019年07月08日2Marriott英國110,390,200技術(shù)和組織措施不足無法確保信息安全2019年07月09日3TIM意大利27,800,000數(shù)據(jù)處理的法律依據(jù)不足2020年1月15日4Austrian Post奧地利

22、18,000,000數(shù)據(jù)處理的法律依據(jù)不足2019年10月23日5Deutsche Wohnen SE德國14,500,000不遵守一般數(shù)據(jù)處理原則2019年10月30日611 Telecom GmbH德國9,550,000技術(shù)和組織措施不足無法確保信息安全2019年12月09日7Eni Gas e Luce意大利8,500,000數(shù)據(jù)處理的法律依據(jù)不足2019年12月11日8Google LLC瑞典7,000,000數(shù)據(jù)主體權(quán)利的實(shí)現(xiàn)不足2020年3月11日9Eni Gas e Luce意大利3,000,000數(shù)據(jù)處理的法律依據(jù)不足2019年12月11日10National Revenue

23、Agency保加利亞2,600,000缺乏保障信息安全的技術(shù)和組織措施2019年8月28日 監(jiān)管執(zhí)法典型案列監(jiān)管執(zhí)法典型案列 PAGE 9 GDPR 執(zhí)法案例全景白皮書GDPR 執(zhí)法案例全景白皮書 PAGE 10 監(jiān)管執(zhí)法典型案例1 英國 立法概況Access to Health Record Act 1990Access to Medical Reports Act 1988Crime (Overseas Production Orders) Act 2019Data Protection Act 2018Digital Economy Act 2017, UK STATUTE 2017 C

24、. 30Freedom of Information Act 2000Health and Social Care (National Data Guardian) ActIdentity Documents Act 2010Investigatory Powers Act 2016Regulation of Investigatory Powers Act 2000 監(jiān)管機(jī)構(gòu)Information Commissioners Office (ICO, DPA)網(wǎng)址：.uk/ 電話 : 0303 123 1113傳真 : 01625 524510Northern Ireland office：

25、電話：028 9027 8757 / 0303 123 1114 HYPERLINK mailto:ni.uk E-mail: ni.ukWales office：電 話 ：0330 414 6421 HYPERLINK mailto:wales.uk Email: wales.ukScotland office： 電話 : 0303 123 1115 HYPERLINK mailto:Scotland.uk E-mail: Scotland.uk01 英國航空公司數(shù)據(jù)泄露事件 處罰金額約為 2.04 億歐元 處罰依據(jù)GDPR 第 32 條 處罰時(shí)間2019/7/8 案件事實(shí)概述2018 年

26、6 月起英國航空公司網(wǎng)站發(fā)生了數(shù)據(jù)泄露事件，9 月英國航空公司向 ICO 通報(bào)該數(shù)據(jù)泄露事件。該事件導(dǎo)致約 50 萬名英航乘客的個(gè)人信息被泄露。在該事件中，用戶流量被移轉(zhuǎn)到虛假網(wǎng)站，攻擊者通過這個(gè)虛假網(wǎng)站收集了客戶詳細(xì)信息，包括客戶個(gè)人信息和銀行卡信息，如姓名、地址、郵箱，以及信用卡的號碼、有效期和背面的驗(yàn)證碼（CVV）等。事件爆發(fā)后，英國航空公司配合 ICO 調(diào)查并對安全系統(tǒng)進(jìn)行整改，獲得向ICO 提出有關(guān)擬議調(diào)查結(jié)果和制裁的陳述機(jī)會(huì)。此外，ICO 作為牽頭監(jiān)督機(jī)構(gòu)，代表其他歐盟成員國數(shù)據(jù)保護(hù)機(jī)構(gòu)調(diào)查此案件。它還與其他監(jiān)管機(jī)構(gòu)聯(lián)絡(luò)。根據(jù) GDPR“一站式服務(wù)”規(guī)定，受影響的歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)也

27、將有機(jī)會(huì)對 ICO 的調(diào)查結(jié)果發(fā)表評論。針對此次事件，ICO 擬對英國航空作出 2.04 億歐元的罰款決定。 違規(guī)分析英國航空公司缺乏保障信息安全的技術(shù)和組織措施。 合規(guī)啟示企業(yè)應(yīng)當(dāng)在日常的經(jīng)營活動(dòng)中重視并定期開展合規(guī)性檢查，在系統(tǒng)安全方面采取更多、有效的保護(hù)措施；應(yīng)對數(shù)據(jù)泄露事件時(shí)， 事前形成相對完善的數(shù)據(jù)管理制度，采取防護(hù)措施，事中采取及時(shí)調(diào)查、主動(dòng)上報(bào)、積極止損的方式，與監(jiān)管機(jī)構(gòu)保持良好密切的溝通，并將數(shù)據(jù)泄露的事實(shí)告知數(shù)據(jù)主體，有助于將影響控制在盡可能小的范圍內(nèi)。 場景化紅線 禁止采用安全系數(shù)低、過時(shí)的安全保障技術(shù)。禁止瞞報(bào)數(shù)據(jù)泄露事件。02 萬豪集團(tuán)數(shù)據(jù)泄露事件 處罰金額1.1 億歐

28、元 處罰依據(jù)GDPR 第 32 條 處罰時(shí)間2019/7/9 案件事實(shí)概述2018 年 11 月，萬豪國際集團(tuán)公開披露其旗下喜達(dá)屋酒店客房預(yù)訂系統(tǒng)數(shù)據(jù)泄露事件。該事件導(dǎo)致 3.39 億酒店客戶信息被黑客竊取，涉及到3000 萬來自 31 個(gè)歐洲經(jīng)濟(jì)區(qū)（EEA）國家的居民，其中包括 700 萬英國居民。萬豪國際在 2016 年 9 月收購了喜達(dá)屋酒店。據(jù) ICO 調(diào)查，喜達(dá)屋酒店客房預(yù)訂系統(tǒng)因黑客攻擊導(dǎo)致的數(shù)據(jù)漏洞自 2014年 7 月起便存在，直到 2018 年才發(fā)現(xiàn)此漏洞。針對此次事件，ICO 擬對萬豪國際集團(tuán)作出 1.1 億歐元的罰款決定。 違規(guī)分析收購喜達(dá)屋酒店時(shí)未作充分的盡職調(diào)查發(fā)現(xiàn)系

29、統(tǒng)漏洞；在保證酒店系統(tǒng)安全方面，萬豪國際缺乏保障信息安全的技術(shù)和組織措施。 合規(guī)啟示企業(yè)須在兼并和收購背景下重視數(shù)據(jù)共享的重要性，將其視為潛在的“優(yōu)先事項(xiàng)”。只要標(biāo)的公司的業(yè)務(wù)涉及數(shù)據(jù)，則應(yīng)當(dāng)把數(shù)據(jù)合規(guī)盡職調(diào)查放到與公司其他資產(chǎn)盡職調(diào)查同等重要的地位，遵守 GDPR 治理和責(zé)任要求，從而避免日后發(fā)生數(shù)據(jù)漏洞給企業(yè)帶來的巨額損失；企業(yè)應(yīng)當(dāng)在日常的經(jīng)營活動(dòng)中重視并定期開展合規(guī)性檢查，在系統(tǒng)安全方面采取更多、有效的保護(hù)措施；應(yīng)對數(shù)據(jù)泄露事件時(shí)， 事前形成相對完善的數(shù)據(jù)管理制度，采取防護(hù)措施，事中采取及時(shí)調(diào)查、主動(dòng)上報(bào)、積極止損的方式，與監(jiān)管機(jī)構(gòu)保持良好密切的溝通，并將數(shù)據(jù)泄露的事實(shí)告知數(shù)據(jù)主體，有助

30、于將影響控制在盡可能小的范圍內(nèi)。 場景化紅線 禁止采用安全系數(shù)低、過時(shí)的安全保障技術(shù)。03 Doorstep Dispensaree Ltd. 缺乏適當(dāng)?shù)募夹g(shù)措施保障數(shù)據(jù)安全 處罰金額27,500 英鎊（約 320,000 歐元） 處罰依據(jù)GDPR 第 5（1）（f）條，第 13 條，第 14 條， 第 24（1）條，第 32 條 處罰時(shí)間2019/12/17 案件事實(shí)概述一家醫(yī)藥公司在其大樓后面的非密封容器中儲(chǔ)存了約 50 萬份文件，內(nèi)含姓名、地址、出生日期、NHS 號碼、醫(yī)療信息和處方，未能按照其數(shù)據(jù)處理程序?qū)⒑胁∪藗€(gè)人信息的文件撕碎后清理。同時(shí)其隱私通知書未明確說明數(shù)據(jù)控制者的身份、聯(lián)

31、系方式、處理數(shù)據(jù)的合法性基礎(chǔ)等等。綜合受影響數(shù)據(jù)主體范圍、醫(yī)療健康數(shù)據(jù)敏感性等因素，監(jiān)管機(jī)構(gòu)作出了 27,500 歐元的罰款。 違規(guī)分析未采用適當(dāng)?shù)募夹g(shù)措施使數(shù)據(jù)免遭意外的丟失、銷毀或破壞，違反了 GDPR 第 5（1）（f）、第 24 條（1）所規(guī)定的數(shù)據(jù)控制者的義務(wù)以及第32 條規(guī)定的處理安全。此外未按照 GDPR 要求， 向數(shù)據(jù)主體提供與數(shù)據(jù)處理有關(guān)的信息。 合規(guī)啟示企業(yè)應(yīng)采取適當(dāng)?shù)募夹g(shù)和組織措施以確保并證明數(shù)據(jù)處理是符合 GDPR 的規(guī)定，且應(yīng)在必要情況下進(jìn)行評估和更新。 場景化紅線禁止將含有個(gè)人數(shù)據(jù)的文件存儲(chǔ)在開放的容器中。04 DSG Retail Limited 處罰金額500,

32、000 英鎊（約 580,000 歐元） 處罰依據(jù)1998 數(shù)據(jù)保護(hù)法案 Section 55A 處罰時(shí)間2020/1/9 案件事實(shí)概述ICO 調(diào) 查 發(fā) 現(xiàn)， 在 2017 年 7 月 至 2018 年4 月 期 間， 攻 擊 者 在 DSG 的 CurrysPC 世 界 和Dixons 差旅商店安裝了 5390 分片惡意軟件，并且在 DSG 檢測到攻擊之前的 9 個(gè)月內(nèi)收集了個(gè)人數(shù)據(jù)。該公司未能確保該系統(tǒng)的安全，允許未經(jīng)授權(quán)訪問交易中使用的 560 萬張支付卡詳細(xì)信息和大約 1400 萬人的個(gè)人信息（包括姓名、郵政編碼、電子郵件地址等）。 違規(guī)分析未采用適當(dāng)?shù)募夹g(shù)措施保障其系統(tǒng)安全，造成了

33、大量數(shù)據(jù)的非授權(quán)訪問。 合規(guī)啟示企業(yè)應(yīng)采取適當(dāng)?shù)募夹g(shù)措施保障數(shù)據(jù)安全， 防止數(shù)據(jù)非授權(quán)訪問。 場景化紅線禁止采取安全系數(shù)較低的安全保障技術(shù)。05 CRDNN Limited非法撥打自動(dòng)營銷電話 處罰金額500,000 英鎊（約 580,000 歐元） 處罰依據(jù)PECR 第 19 條，第 24 條 處罰時(shí)間2020/2/26 案件事實(shí)概述一家英國的發(fā)電機(jī)公司未經(jīng)數(shù)據(jù)主體同意就撥打超過 193,606,544 項(xiàng)自動(dòng)營銷電話，且在該電話中未提供公司的信息或聯(lián)系方式，也未提供拒絕接收此營銷電話的方法，被英國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)處以 PECR（）下的最高罰款 500,000 英鎊。 違規(guī)分析未經(jīng)數(shù)據(jù)主體同

34、意就撥打營銷電話，缺乏數(shù)據(jù)處理的合法性基礎(chǔ)，并且沒有提供退出的方式， 違反了 PECR 第 19 條。未向數(shù)據(jù)主體提供撥打營銷電話的主體的信息或聯(lián)系方式，違反了 PECR 第24 條。 合規(guī)啟示企業(yè)應(yīng)在具備合法性基礎(chǔ)的情況下進(jìn)行營銷活動(dòng)，應(yīng)在營銷活動(dòng)中披露退出的方法以及企業(yè)的聯(lián)系方式。 場景化紅線禁止未經(jīng)數(shù)據(jù)主體同意撥打營銷電話。06 Cathay Pacific Airways Limited數(shù)據(jù)泄露事件 處罰金額500,000 英鎊（約 573,303 歐元） 處罰依據(jù)1998 數(shù)據(jù)保護(hù)法案 Section 55A 處罰時(shí)間2020/3/4 案件事實(shí)概述在 2014 年 10 月至 201

35、8 年 5 月期間，國泰航空的計(jì)算機(jī)系統(tǒng)缺乏適當(dāng)?shù)陌踩胧?，?dǎo)致了包括護(hù)照號碼等個(gè)人數(shù)據(jù)在內(nèi)的泄露，直至 2018 年3 月，其 4 個(gè)系統(tǒng)被攻擊后才意識到這個(gè)問題， 影響了大約 9,400,000 人。 違規(guī)分析未采用適當(dāng)?shù)募夹g(shù)措施使數(shù)據(jù)泄露，違反了數(shù)據(jù)的安全性和保密性原則。 合規(guī)啟示企業(yè)應(yīng)采取適當(dāng)?shù)募夹g(shù)措施保障數(shù)據(jù)安全， 防止數(shù)據(jù)泄露。 場景化紅線禁止采取安全系數(shù)較低的安全保障技術(shù)。07 LeoKirk非法泄露數(shù)據(jù) 處罰金額483 英鎊（約 560 歐元） 處罰依據(jù)1998 數(shù)據(jù)保護(hù)法案 Section 55A 處罰時(shí)間2020/3/13 案件事實(shí)概述一名前社會(huì)工作者非法披露 16-18

36、歲弱勢青年寄宿或寄養(yǎng)的相關(guān)信息給第三方，其中包含一些敏感個(gè)人數(shù)據(jù)。 違規(guī)分析未經(jīng)授權(quán)將個(gè)人數(shù)據(jù)披露給其他第三方，違反了數(shù)據(jù)的安全性和保密性原則。 合規(guī)啟示企業(yè)應(yīng)采取適當(dāng)?shù)慕M織措施防止處理個(gè)人數(shù)據(jù)的員工泄露數(shù)據(jù)，同時(shí)應(yīng)進(jìn)行相應(yīng)的數(shù)據(jù)保護(hù)培訓(xùn)提升員工意識。 場景化紅線禁止非授權(quán)披露個(gè)人數(shù)據(jù)。08 Black Lion Marketing Limited非法撥打自動(dòng)營銷電話 處罰金額171,000 英鎊（約 198,360 歐元） 處罰依據(jù)PECR 第 21 條、第 24 條 處罰時(shí)間2020/3/27 案件事實(shí)概述該公司以直接營銷的目的使用公眾電信服務(wù)，在未獲取同意的情況下，直接呼叫了在TPS（

37、Telephone Preference Service Ltd ）上至少提前28 天注冊了的用戶，撥打超過 240,576 通電話。 監(jiān)管執(zhí)法典型案列監(jiān)管執(zhí)法典型案列 PAGE 27 GDPR 執(zhí)法案例全景白皮書GDPR 執(zhí)法案例全景白皮書 PAGE 28 且在電話中意圖隱瞞公司的真實(shí)名稱，未向數(shù)據(jù)主體披露明確且真實(shí)的信息。 違規(guī)分析根據(jù) PECR 第 21 條的使用公眾電信服務(wù)進(jìn)行營銷的例外規(guī)定未獲得數(shù)據(jù)主體預(yù)先的同意，未提供撥打營銷電話的主體的信息或聯(lián)系方式，違反了 PECR 第 24 條。 合規(guī)啟示企業(yè)應(yīng)在具備合法性基礎(chǔ)的情況下進(jìn)行營銷活動(dòng)，應(yīng)在營銷活動(dòng)中披露企業(yè)的聯(lián)系方式。 場景化紅

38、線禁止未經(jīng)數(shù)據(jù)主體同意撥打營銷電話。2 法國 立法概況Data Protection Act (Consolidated 2018)Protection of Personal Data and Amending ActRegulation on Implementation of Biometric Authentication Systems 監(jiān)管機(jī)構(gòu)Commission Nationale de lInformatique et des Liberts (CNIL, DPA)網(wǎng)址 HYPERLINK il.fr/ : il.fr/ 電話：+33 (0)2.22傳真：+33 (0)2.00

39、01 SERGIC數(shù)據(jù)泄露事件 處罰金額400,000 歐元 處罰依據(jù)GDPR 第 32 條 處罰時(shí)間2019/5/28 案件事實(shí)概述SERGIC 公司專門從事房地產(chǎn)的推銷、購買、銷售、租賃和物業(yè)管理服務(wù)，擁有 486 名員工，2017 年?duì)I業(yè)額約為 4,300 萬歐元。CNIL 的處罰決定基于兩個(gè)理由：缺乏基本的安全措施和違反存儲(chǔ)限制原則。關(guān)于第一個(gè)問題， 無需任何身份驗(yàn)證程序便可以在線訪問租賃者上傳的敏感個(gè)人數(shù)據(jù)，包括身份證、健康卡、稅務(wù)通知單、家庭津貼發(fā)放單、離婚判決、賬單報(bào)表等。盡管該漏洞自 2018 年 3 月以來就為公司所知，但直到 2018 年 9 月才最終得到解決。此外，該公司

40、的文檔存儲(chǔ)時(shí)間超過了必要限制。CNIL 在作出處罰決定時(shí)考慮了以下因素：違規(guī)行為的嚴(yán)重性、公司規(guī)模及其財(cái)務(wù)狀況。 違規(guī)分析無需身份驗(yàn)證程序便可在線訪問租賃者上傳的敏感文件，技術(shù)和組織措施不足，無法確保個(gè)人數(shù)據(jù)的安全性和機(jī)密性。數(shù)據(jù)留存及存儲(chǔ)期限超過了處理目的所必要的限制。 合規(guī)啟示采取相關(guān)技術(shù)和組織措施，確保個(gè)人數(shù)據(jù)的安全性和機(jī)密性，例如對訪問數(shù)據(jù)的申請者進(jìn)行身份驗(yàn)證；應(yīng)對數(shù)據(jù)泄露事件時(shí)， 事前形成相對完善的數(shù)據(jù)泄露響應(yīng)制度，采取防護(hù)措施，事中采取及時(shí)調(diào)查、主動(dòng)上報(bào)、積極止損的方式，與監(jiān)管機(jī)構(gòu)保持良好密切的溝通，將影響控制在盡可能小的范圍內(nèi)；遵守?cái)?shù)據(jù)存儲(chǔ)限制原則，以可識別數(shù)據(jù)主體身份形式存儲(chǔ)的

41、個(gè)人數(shù)據(jù)存儲(chǔ)時(shí)間不能超過實(shí)現(xiàn)處理目的所必需的的時(shí)間。 場景化紅線禁止對個(gè)人數(shù)據(jù)不采取足夠的技術(shù)組織措施保證數(shù)據(jù)安全；禁止超過數(shù)據(jù)處理目的所必要的期限存儲(chǔ)個(gè)人數(shù)據(jù)。02 ACTIVE ASSURANCES數(shù)據(jù)泄露事件 處罰金額180,000 歐元 處罰依據(jù)GDPR 第 32 條 處罰時(shí)間2019/7/25 案件事實(shí)概述2018 年 6 月 1 日，CNIL 接到客戶投訴稱其無需事先的身份驗(yàn)證程序就可以訪問該公司網(wǎng)站上其他用戶的個(gè)人數(shù)據(jù)，包括駕駛執(zhí)照副本、車輛登記證、銀行對帳單和有關(guān)吊銷駕照的信息。用戶在設(shè)置帳戶后會(huì)收到一封電子郵件， 其中標(biāo)識了用戶名和密碼，但未進(jìn)行加密。該公司辯稱，向 CNIL

42、 舉報(bào)的投訴人具有 IT 專業(yè)背景，沒有相關(guān)技能的自然人無法識別出此安全缺陷。但 CNIL 對此并不認(rèn)可。想要提高數(shù)據(jù)安全性和更改密碼的客戶被強(qiáng)制采用生日格式的密碼。CNIL 對該公司密碼管理提出了質(zhì)疑， 該公司辯稱對密碼復(fù)雜性的選擇是出于方便客戶以滿足他們輕松訪問其個(gè)人數(shù)據(jù)的愿望。本案還有一個(gè)細(xì)節(jié)值得關(guān)注：2019 年 6 月11 日，該公司提交了異議。但由于這些郵件是在 2019.5.29 法令第 40 條第 3 款規(guī)定的十五天期限屆滿后發(fā)送的，因此 CNIL 宣布不接受該異議。 違規(guī)分析當(dāng)訪問數(shù)據(jù)的請求發(fā)送到服務(wù)器時(shí)，服務(wù)器必須首先驗(yàn)證請求者是否有權(quán)訪問所請求的數(shù)據(jù)。在本案中，投訴人和檢

43、查團(tuán)都可以自由地查閱公司注冊客戶的文件，而該公司沒有采取任何限制措施來阻止訪問；客戶帳戶密碼的保密強(qiáng)度較低。想要提高數(shù)據(jù)安全性和更改密碼的客戶被強(qiáng)制采用生日格式。此外，還通過電子郵件向公司客戶發(fā)送密碼，發(fā)送未加密的電子郵件可能會(huì)導(dǎo)致任何收聽網(wǎng)絡(luò)并了解其中包含的信息的人對其進(jìn)行攔截。沒有采取任何其他措施來驗(yàn)證人員身份，例如限制密碼錯(cuò)誤時(shí)的嘗試次數(shù)。 合規(guī)啟示在客戶注冊個(gè)人賬戶時(shí)應(yīng)充分提示其設(shè)置密級較高的密碼以保護(hù)個(gè)人賬戶的安全，不能強(qiáng)制用戶使用密度低的密碼；充分遵守 GDPR 第 32 條的規(guī)定，采取適當(dāng)?shù)募夹g(shù)和組織措施來保證所處理的個(gè)人數(shù)據(jù)的安全性和保密性；在收到相關(guān)調(diào)查通知時(shí)，應(yīng)密切關(guān)注當(dāng)?shù)?/p>

44、法律的特殊規(guī)定，比如一些時(shí)限要求，以免喪失異議或抗辯權(quán)。 場景化紅線禁止不采取任何訪問限制措施導(dǎo)致個(gè)人數(shù)據(jù)的非授權(quán)方訪問；禁止對賬戶和密碼設(shè)置較低的保密強(qiáng)度。03 員工投訴某公司監(jiān)控侵犯隱私事件 處罰金額20,000 歐元 處罰依據(jù)GDPR 第 5 (1) c) 條，第 12 條，第 13 條， 第 32條 處罰時(shí)間2019/6/13 案件事實(shí)概述在 2013 年至 2017 年期間，CNIL 收到該公司幾名員工的投訴，這些員工稱某公司在他們的工作場所安裝監(jiān)控?cái)z像頭進(jìn)行拍攝。CNIL 兩次提醒該公司注意在工作場所安裝視頻監(jiān)視設(shè)備時(shí)要遵守的規(guī)則，特別是禁止侵犯員工隱私，員工不應(yīng)被連續(xù)拍攝，以及必

45、須提供有關(guān)數(shù)據(jù)處理的合法依據(jù)。但該公司沒有采取適當(dāng)?shù)拇胧?，CNIL 于2018 年 10 月進(jìn)行了第二次檢查，確認(rèn)該公司在使用 CCTV 錄制員工時(shí)仍然違反 GDPR。該公司也不要求員工在計(jì)算機(jī)上使用密碼進(jìn)行保護(hù)，并且所有員工使用唯一且共享的登錄名和密碼來訪問企業(yè)電子郵件（該公用郵箱用于與客戶溝通工作）。在確定罰款金額時(shí)，CNIL 考慮了公司規(guī)模（9 名員工）和公司的財(cái)務(wù)狀況（2017 年的凈利潤為負(fù) 885）。 違規(guī)分析違反最小范圍原則：公司出于確保人員和財(cái)產(chǎn)安全的目的安裝視頻監(jiān)視設(shè)備，那么就應(yīng)當(dāng)充分考慮工作人員的數(shù)量、設(shè)備的安裝位置、方向、操作周期等因素，特別應(yīng)當(dāng)禁止對員工進(jìn)行持續(xù)和永久的

46、監(jiān)控；違反了透明性原則。未按照 GDPR 第 12、13 條以簡潔明了、透明、易獲得的形式向員工提供應(yīng)提供的信息，包括處理數(shù)據(jù)（視頻監(jiān)視設(shè)備錄制）的目的和依據(jù)等；缺乏技術(shù)和組織措施 , 無法保證個(gè)人數(shù)據(jù)的安全性和保密性。 合規(guī)啟示遵守?cái)?shù)據(jù)最小范圍原則，數(shù)據(jù)收集與處理應(yīng)當(dāng)是與目的相關(guān)的，且限于目的的最小必要范圍。公司安裝視頻監(jiān)視設(shè)備應(yīng)當(dāng)是出于確保人員和財(cái)產(chǎn)安全的目的，應(yīng)避免對員工進(jìn)行持續(xù)和永久的拍攝、禁止侵犯員工個(gè)人隱私；收集和處理員工個(gè)人數(shù)據(jù)應(yīng)當(dāng)以簡潔明了、透明、易獲得的形式向員工提供應(yīng)提供的信息， 包括處理數(shù)據(jù)的目的和依據(jù)等；采取適當(dāng)?shù)募夹g(shù)和組織措施以保證員工個(gè)人數(shù)據(jù)的保密性和安全性。場景化

47、紅線禁止對員工進(jìn)行持續(xù)和永久的監(jiān)控。04 Futura Internationale電話營銷未充分實(shí)現(xiàn)數(shù)據(jù)主體權(quán)利 處罰金額500,000 歐元 處罰依據(jù)GDPR 第 5 條，第 6 條，第 13 條，第 14 條， 第 21條 處罰時(shí)間2019/11/21 案件事實(shí)概述該公司向現(xiàn)有或潛質(zhì)客戶撥打營銷電話，盡管有幾名投訴人直接告知來電者不希望再收到此類電話，并以郵寄信件的方式宣布不希望這樣做， 但該公司仍然撥打類似電話。 另外，該公司撥打電話時(shí)并未告知有關(guān)通話會(huì)被記錄，或者只是告知了會(huì)記錄對話，而不會(huì)向他們傳達(dá)有關(guān)其個(gè)人數(shù)據(jù)處理的任何其他信息，例如處理的目的，數(shù)據(jù)控制者的身份或他們擁有的權(quán)利。

48、同時(shí)，該公司對數(shù)據(jù)主體進(jìn)行了過多的信息記錄。監(jiān)管機(jī)構(gòu)還發(fā)現(xiàn)，該公司將個(gè)人數(shù)據(jù)跨境傳輸?shù)轿挥跉W洲經(jīng)濟(jì)區(qū)（“ EEA”）之外的呼叫中心，對此跨境轉(zhuǎn)移行為沒有提供足夠的保障措施。 違規(guī)分析該公司未能有效地實(shí)施現(xiàn)有和潛在客戶的退出請求，違反了關(guān)于數(shù)據(jù)主體拒絕權(quán)的相關(guān)規(guī)定； 該公司記錄相關(guān)通話的數(shù)據(jù)處理行為，未能履行充分性告知義務(wù)；該公司對數(shù)據(jù)主體進(jìn)行了過多的信息記錄違反了數(shù)據(jù)處理最小范圍原則；該公司在進(jìn)行個(gè)人數(shù)據(jù)的跨境傳輸過程中，未能履行向歐盟境外傳輸個(gè)人數(shù)據(jù)的相關(guān)義務(wù)。 合規(guī)啟示公司在進(jìn)行電話營銷活動(dòng)時(shí)必須做到：允許個(gè)人有效行使 GDPR 規(guī)定的權(quán)利，包括選擇退出直接營銷的權(quán)利，并制定流程以確保自動(dòng)

49、執(zhí)行此類反對意見；在電話中告知個(gè)人相關(guān)權(quán)利，并通過按電話鍵或接收電子郵件為他們提供訪問整個(gè)隱私政策的選項(xiàng)；向任何第三方運(yùn)營商明確說明必須向消費(fèi)者提供哪些信息以及可能記錄哪些評論，并實(shí)施適當(dāng)?shù)淖詣?dòng)化流程以防止在客戶關(guān)系數(shù)據(jù)庫中進(jìn)行過多的術(shù)語記錄；若將個(gè)人數(shù)據(jù)傳輸?shù)?EEA 以外的任何數(shù)據(jù)中心，須采取適當(dāng)?shù)谋Ｗo(hù)措施，例如訂立標(biāo)準(zhǔn)合同條款。 場景化紅線禁止在電話營銷中對已經(jīng)行使拒絕權(quán)的客戶進(jìn)行持續(xù)電話撥打；禁止在未告知個(gè)人權(quán)利的情況下對個(gè)人數(shù)據(jù)的收集處理；禁止超出范圍收集記錄數(shù)據(jù)主體的相關(guān)信息； 禁止在無相關(guān)適當(dāng)保障措施的情況下將個(gè)人數(shù)據(jù)轉(zhuǎn)移出歐盟境外。3 保加利亞 立法概況Electronic C

50、ommunications ActLaw Amending and Supplementing the Personal Data Protection ActPersonal Data Protection Act 監(jiān)管機(jī)構(gòu)Commission for personal data protection (CPDP, DPA)網(wǎng)址 HYPERLINK http:/www.cpdp.bg/ : http:/www.cpdp.bg/ HYPERLINK mailto:kzldcpdp.bg -mail : kzldcpdp.bg 電話：+359 899 877 156 傳真：+3592/91-53

51、-525DPO：Lyubomir Grancharov Ralitsa Naumova - Assistant HYPERLINK mailto:dpocpdp.bg DPOs e-mail: dpocpdp.bg 01 國家稅務(wù)局?jǐn)?shù)據(jù)泄露事件 處罰金額260,000 歐元 處罰依據(jù)GDPR 第 32 條 處罰時(shí)間2019/8/28 案件事實(shí)概述黑客非法訪問并分發(fā)了國家稅務(wù)局持有的600 萬個(gè)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，包括聯(lián)系信息、納稅申報(bào)信息和其他財(cái)務(wù)信息。數(shù)據(jù)主體包括在世的保加利亞及外國公民和已故者。 違規(guī)分析缺乏保障信息安全的技術(shù)和組織措施。 合規(guī)啟示重視并做定期的數(shù)據(jù)安全檢查，在系統(tǒng)安全方面

52、采取更多、有效的保護(hù)措施；應(yīng)對數(shù)據(jù)泄露事件時(shí)， 事前形成相對完善的數(shù)據(jù)泄露響應(yīng)制度，采取防護(hù)措施，事中采取及時(shí)調(diào)查、主動(dòng)上報(bào)、積極止損的方式，與監(jiān)管機(jī)構(gòu)保持良好密切的溝通，并將數(shù)據(jù)泄露的事實(shí)告知數(shù)據(jù)主體，將影響控制在盡可能小的范圍內(nèi)。 場景化紅線 禁止采用安全系數(shù)低、過時(shí)的安全保障技術(shù)。02 DSK銀行數(shù)據(jù)泄露事件 處罰金額511,000 歐元 處罰依據(jù)GDPR 第 32 條 處罰時(shí)間2019/8/28 案件事實(shí)概述DSK 銀行發(fā)生數(shù)據(jù)泄露事件，該事件導(dǎo)致未經(jīng)授權(quán)的第三方可以訪問 23,000 多條信用記錄，這些信用記錄涉及超過 33,000 個(gè)銀行客戶，包括姓名、國籍、地址、身份證副本、生物

53、識別數(shù)據(jù)及關(guān)聯(lián)的第三方（包括配偶、子女和擔(dān)保人）等個(gè)人數(shù)據(jù)。 違規(guī)分析缺乏保障信息安全的技術(shù)和組織措施。 合規(guī)啟示重視并做定期的數(shù)據(jù)安全檢查，在系統(tǒng)安全方面采取更多、有效的保護(hù)措施。應(yīng)對數(shù)據(jù)泄露事件時(shí)， 事先形成相對完善的數(shù)據(jù)泄露響應(yīng)計(jì)劃，采取防護(hù)措施，事中采取及時(shí)調(diào)查、主動(dòng)上報(bào)、通知數(shù)據(jù)主體、積極止損的方式，與監(jiān)管機(jī)構(gòu)保持良好密切的溝通，將影響控制在盡可能小的范圍內(nèi)。 場景化紅線禁止采用安全系數(shù)低的技術(shù)措施。03前雇主某公司未保障數(shù)據(jù)主體權(quán)利 處罰金額約 511 歐元 處罰依據(jù)GDPR 第 12（3）條、第 15（1）條 處罰時(shí)間2019/10/28 案件事實(shí)概述數(shù)據(jù)主體向其前雇主申請查閱其

54、個(gè)人數(shù)據(jù)， 要求前雇主提供其哪些個(gè)人數(shù)據(jù)在被處理，目的是什么，基于什么理由，在什么時(shí)期，另外還要求退還兩份職業(yè)培訓(xùn)證書原件。前雇主拒絕回答， 也沒有退還原件。 違規(guī)分析前雇主在無合法理由的情況下拒絕了數(shù)據(jù)主體的請求，沒有保障數(shù)據(jù)主體的權(quán)利。 合規(guī)啟示企業(yè)應(yīng)及時(shí)響應(yīng)數(shù)據(jù)主體的權(quán)利請求，在無合法理由支撐的情況下不得拒絕。 場景化紅線禁止在無合法理由的情況下拒絕數(shù)據(jù)主體的權(quán)利請求。 04 公用事業(yè)公司錯(cuò)誤提供個(gè)人數(shù)據(jù) 處罰金額： 5,110 歐元 處罰依據(jù)GDPR 第 5（1）（a）條、第 6（1）條 處罰時(shí)間2020/1/6 案件事實(shí)概述數(shù)據(jù)主體和其他債務(wù)人有相同的名字但是擁有不同的 PIN 碼，

55、保加利亞公用事業(yè)公司錯(cuò)誤地將數(shù)據(jù)主體的 PIN 碼提供給私人執(zhí)法代理，隨后被用于提起針對數(shù)據(jù)主體的強(qiáng)制執(zhí)行訴訟，指控他未履行付款義務(wù)。在執(zhí)行案件中，法警扣押了數(shù)據(jù)主體的工資，而數(shù)據(jù)主體由于非法處理而受到損害。 違規(guī)分析雖然表面上是一個(gè)數(shù)據(jù)錯(cuò)誤地提供，其實(shí)是該公用事業(yè)公司在沒有合法性基礎(chǔ)的前提下處理了數(shù)據(jù)主體的數(shù)據(jù)。 合規(guī)啟示企業(yè)應(yīng)在合法性基礎(chǔ)存在的前提下處理數(shù)據(jù)主體的個(gè)人數(shù)據(jù)。 場景化紅線 禁止在不滿足合法性基礎(chǔ)要求的情況下處理個(gè)人數(shù)據(jù)。4 波蘭 立法概況Processing Passenger Name Record Data ActProtection of Personal Data A

56、ct 監(jiān)管機(jī)構(gòu)The President of the Office for Personal Data Protection (UODO, DPA)網(wǎng)址 HYPERLINK .pl/ : .pl/ HYPERLINK mailto:kancelaria.pl E-mail: kancelaria.pl 電話：22 531 03 00傳真：22 531 03 0101 M數(shù)據(jù)泄露案 處罰金額2,800,000 波蘭茲羅提（約 645,000 歐元） 處罰依據(jù)GDPR 第 5.1（f）條，第 32 條 處罰時(shí)間2019/9/10 案件事實(shí)概述M 采用了無效的身份驗(yàn)證措施和缺少監(jiān)測異常在線行為等相

57、關(guān)潛在威脅的制度，導(dǎo)致約 220 萬人個(gè)人數(shù)據(jù)的未經(jīng)授權(quán)的訪問。并且部分泄露的數(shù)據(jù)被用于網(wǎng)絡(luò)釣魚，如通過在 SMS 消息中模擬 M 并利用客戶下達(dá)訂單的事實(shí)將款項(xiàng)存入銀行帳戶 違規(guī)分析M 未采用有效的技術(shù)措施并且沒有適當(dāng)?shù)募夹g(shù)措施來防止未經(jīng)授權(quán)的訪問，造成數(shù)據(jù)泄露，違反了 GDPR 第 5 條第 1 款（f）規(guī)定的完整性和保密性原則以及第 32 條規(guī)定的數(shù)據(jù)處理安全。 合規(guī)啟示企業(yè)應(yīng)采用安全系數(shù)較高的身份驗(yàn)證措施并且建立動(dòng)態(tài)、有效的監(jiān)測機(jī)制時(shí)刻防范數(shù)據(jù)泄露。 場景化紅線 禁止采用安全系數(shù)低的身份驗(yàn)證程序。02 ClickQuickNow未保障同意撤銷權(quán)的有效實(shí)現(xiàn) 處罰金額201,000 波蘭茲

58、羅提（約 46,302 歐元） 處罰依據(jù)GDPR 第 5（1）（a） 條， 第 7 條第 3 款， 第12 條第 2 款，第 17 條 處罰時(shí)間2019/10/16 案件事實(shí)概述該公司用一個(gè)包含有商業(yè)信息的鏈接進(jìn)行同意的撤銷，并未導(dǎo)致快速撤銷的實(shí)現(xiàn)，并且在鏈接建立后，發(fā)給有意撤銷同意的人的郵件具有誤導(dǎo)性。此外，該公司強(qiáng)行要求有意撤銷同意的數(shù)據(jù)主體說明其撤銷同意的原因，如果未能說明原因，會(huì)導(dǎo)致撤銷同意程序中斷。對于已經(jīng)要求刪除其個(gè)人數(shù)據(jù)的客戶而言，該公司還在繼續(xù)處理其個(gè)人數(shù)據(jù)。 違規(guī)分析未采用合適的技術(shù)措施保障數(shù)據(jù)主體撤銷同意與作出同意一樣容易，違反了 GDPR 第 7 條第 3 款。未響應(yīng)數(shù)據(jù)

59、主體的被遺忘權(quán)請求權(quán)，違反了第 12 條第 2 款，第 17 條。對于要求數(shù)據(jù)主體要求刪除的那部分個(gè)人數(shù)據(jù)而言已喪失合法性基礎(chǔ)，該公司的處理行為違反了第 5（1）（a）的合法性原則。 合規(guī)啟示企業(yè)應(yīng)采取適當(dāng)?shù)拇胧┍Ｕ贤獾某蜂N與作出一樣容易；企業(yè)應(yīng)積極地幫助數(shù)據(jù)主體行使其權(quán)利； 對于已經(jīng)要求行使的刪除權(quán)，應(yīng)及時(shí)響應(yīng)。 場景化紅線禁止以任何方式阻止數(shù)據(jù)主體行使其權(quán)利。 03 Aleksandrw Kujawski市長未簽署數(shù)據(jù)處理協(xié)議 處罰金額40,000 波蘭茲羅提（約 9,214 歐元） 處罰依據(jù)GDPR 第 5（1）（a）條，第 5（1）（e）條， 第 5（1）（f）條，第 5（2）條，第

60、 28 條第 3 款 處罰時(shí)間2019/10/18 案件事實(shí)概述Aleksandrw Kujawski 市長沒有與托管了市政府的公共信息公告（BIP）資源服務(wù)器的公司簽訂數(shù)據(jù)處理協(xié)議，也沒有與另一家提供用于創(chuàng)建BIP 軟件及服務(wù)的公司達(dá)成這樣的協(xié)議。內(nèi)部的程序中沒有規(guī)定 BIP 中存儲(chǔ)的數(shù)據(jù)的保存期限。沒有市議會(huì)會(huì)議錄音的副本，只能通過 YouTube 鏈接訪問。 違規(guī)分析由于沒有達(dá)成這樣的協(xié)議，市長實(shí)施了無法律依據(jù)的共享個(gè)人數(shù)據(jù)的行為，這違反了處理合法性的原則，同時(shí)因缺乏作為協(xié)議保障的組織措施，違反了安全性和保密性原則。未規(guī)定數(shù)據(jù)的保存期限，違反了存儲(chǔ)限制原則。沒有錄音的副本， 因此在丟失存