GDPR执法案例精选白皮书.pdf

《GDPR执法案例精选白皮书.pdf》由会员分享，可在线阅读，更多相关《GDPR执法案例精选白皮书.pdf（103页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、- 1 -GDPR 执法案例精选白皮书数 据 法 盟中 兴 通 讯 数 据 保 护 合 规 部联合发布目 录 CONTENTS引言P01GDPR 新兴趋势P02GDPR 执法重点P08GDPR 合规启示P15欧洲主要国家执法典型案例P21P22 英国英国航空公司数据泄露事件万豪集团数据泄露事件P25 法国Google 定向广告推送事件SERGIC 数据泄露事件ACTIVE ASSURANCES 数据泄露事件员工投诉某公司监控侵犯隐私事件P30 保加利亚国家税务局数据泄露事件DSK 银行数据泄露事件电信服务提供商未经授权处理个人数据A.P. EOOD 非法处理个人数据某医疗中心非法处理个人数据某

2、银行违反目的限制原则某雇主未满足雇员行使访问权的要求P34 波兰西里西亚足球协会公开披露数据M 数据泄露事件Bisnode 未履行充分性告知义务P38 荷兰Uber 数据泄露事件Haga Hospital 未采取安全保密措施P41 葡萄牙Barreiro 医院患者档案访问权限过度P43 西班牙LaLiga 未履行充分告知义务信贷公司未经授权处理个人数据ENDESA 非法披露个人数据AVON COSMETICS 非法处理个人数据VODAFONE 未满足客户行使遗忘权要求VODAFONE 违反准确性原则P47 德国Delivery Hero 未满足用户权利要求某银行未经授权处理个人数据某企业数据泄

3、露事件Knuddels 未加密用户个人数据Kolibri Image 未签署数据处理协议个人未经授权披露他人个人数据警官非法处理个人数据P53 希腊PWC 处理员工个人数据违反透明原则P55 罗马尼亚UNICREDIT 银行数据泄露事件WORLD TRADE CENTER 数据泄露事件TAX HUB SRL 数据泄露事件UTTIS 未履行充分告知义务P58 匈牙利音乐节组织者过度收集个人数据匈牙利政党数据泄露事件匿名主体数据泄露事件匿名主体未满足数据主体权利实现要求市长办公室非法处理个人数据某金融机构拒绝删除客户个人数据某金融机构违反数据处理基本原则某银行处理个人数据违反准确性原则P64 捷克

4、某网络购物商城数据泄露事件法国巴黎银行个人理财公司违反数据处理原则某银行未经授权处理客户个人数据INTER-IVCO 未经授权公开披露个人数据汽车租赁公司未履行充分告知义务信贷经纪公司违反数据完整性与保密性要求食品经销商缺乏数据处理合法性基础某公司未满足数据主体权利行使访问权要求Christ Car Wash 数据泄露事件某公司数据泄露事件某学校未满足数据主体权利实现要求某协会未满足数据主体权利实现要求某公司未满足数据主体权利实现要求P78 意大利意大利某政党数据泄露事件P79 奥地利医疗公司未履行充分告知义务足球教练非法收集个人数据博彩商店未履行充分告知义务私人家中安装监控过度收集个人数据P

5、82 瑞典学校使用人脸识别技术缺乏合法性基础P84 比利时某店主过度收集客户个人数据某市长非法处理个人数据P86 挪威奥斯陆市教育局数据泄露事件卑尔根市的市政用户计算机系统安全问题P89 丹麦IDdesign A / S 违反数据存储限制原则Taxa 4x35 违反数据存储限制原则P92 立陶宛UAB MisterTango 数据泄露事件P93 塞浦路斯新闻媒体非法披露个人数据某医院未满足数据主体权利实现要求P95 拉脱维亚某商家未满足数据主体权利实现要求P96 马耳他土地管理局数据泄露事件六附录 案例索引P97七结语P99- 1 -benba引 言2018 年 5 月 25 日，欧盟通用数据

6、保护条例（General Data Protection Regulation，GDPR）正式生效，深刻地影响了欧盟乃至全球范围内个人数据保护和数字经济发展态势。立法层面，GDPR 已成为各主要国家采用或计划采用的数据保护法律法规基准，引发全球立法规则进一步融合；执法层面，GDPR 执法案例作为体现监管态势的重要参照，为跨国企业的数据保护合规工作提供风向标。鉴于 GDPR 生效时间不长，缺乏配套的适用规范和解释，通过执法案例来补充理解数据保护相关概念、明确数据处理基本原则和数据主体权利响应相关的监管要求，可以帮助企业更好地把握 GDPR 监管脉搏，也为 GDPR 相关的理论研究人员提供丰富的案

7、例资源。本白皮书概述了 GDPR 生效以来的新兴趋势，从执法力度、执法依据两个维度进行分析研究，提炼 GDPR 执法重点，给出企业合规启示。核心内容来源于欧洲各国监管部门、研究机构、律所等公开信息，收录了欧洲经济区( European Economic Area, EEA) 22 个国家的立法情况（立法概况、监管机构详情），87 个典型执法案例（处罚金额、依据、时间，案件事实，违规分析以及合规启示），是体现 GDPR 执法和监管态势的较为前沿的学习和参考资料。编者（按姓氏排列）：高瑞鑫、甘亚棋、何渊、石墨翰、王业美、吴以源、徐敏。1- 2 -2新 兴 趋 势2018 年是数据保护具有里程碑意义

8、的年份。自 2018 年 5 月 25 日欧盟通用数据保护条款(General Data Protection Regulation, GDPR)生效以来，深刻影响欧盟乃至全球范围内个人数据保护和数字经济发展态势。许多国家已采用或计划采用 GDPR 数据保护标准进行本国数据保护立法或完善工作，从而导致全球数据保护立法规则进一步融合。GDPR 生效以来，三大主体（监管机构、数据主体、数据控制者）对数据保护的重视程度不断提升。监 管 机 构 执 法 态 势欧 洲 数 据 保 护 委 员 会 (European DataProtection Board, EDPB)在 2019 年 7 月 16日发

9、布其首份 GDPR 年度报告， 揭示了欧洲经济区(European Economic Area, EEA) （欧盟 28 国、冰岛、挪威和列支敦士登）各国家监管机构(Supervisoty Authorities, SA)落实GDPR 的执法态势。尽管 GDPR 可以直接适用于欧盟所有成员国，但它同样要求各成员国将其转化为国内法。目前，除了希腊、斯洛文尼亚，其余 26 个国家均通过不同形式将 GDPR 纳入既有法律体系之中，同时规定了本国数据保护机构（DataProtection Authority, DPA, 又称 SA）的职权，包括但不限于发出违规警告、开展审查、限期纠正、命令删除数据、暂

10、停向第三国传输数据、罚款。为保证欧盟整体数据保护规则的统一适用，促进各成员国 DPA 之间的合作，EDPB 批准了16 份 WP29 工作组发布的指南，通过了 5 份指南，内容涉及 GDPR 适用地域、 第 42 和 43条下的认证及其标准、行为准则及其监督、履行合同所必需的数据处理以及数据跨境的例外情形等。此外，EDPB 已经或正在就进行数据保护影响评估的国家名单、数据控制者与处理者间标准合同、有约束力的公司准则、通过与处理活动有关的行为守则草案、批准认证机构的认证标准等发布 “一致性意见”（Consistencyopinions）。法律框架的统一1G D P R 的- 3 -来自 27 个

11、 EEA 国家 DPA 的统计数据显示，截至 2019 年 3 月，共上报 281,088 例案件。案件主要分为 3 个主要类别，其中近半数（144,376 件）是投诉，近三分之一（89,271件）是数据泄露通知，其余（47,441 件）涉及“其他” 问题。针对其中 164,633 件案件，63%已经审结，37%仍在进行中（图 2）。数据来源见注 1根据 EDPB 统计数据，自 2018 年 5 月 25 日GDPR 生效实施以来，11 家 DPA 采取罚款监管方式共判处了55,955,871欧元的行政罚款。数据来源见注 2据中兴通讯数据保护合规部不完全统计，截止至 2019 年 9 月 24

12、 日， 22 家 DPA 对 87 件案件共做出 373,650,857 欧元的行政处罚决定。其中，英国、法国、保加利亚、波兰、荷兰DPA 共开出 6 件超过 50 万欧元罚款的行政处罚，最大罚单超过 2 亿欧元。经过一段时间的适应期，DPA 处罚力度明显加大，尤其进入2019 年 7 月以来，大额罚单出现的概率明显增加。数据来源 注 1：1 year GDPR taking stock, EDPB,available at:https:/edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en处罚力度加大2数据来源 注 2： Firs

13、t overview on theimplementation of the GDPR and therolesandmeansofthenationalsupervisory authorities ,available at:https:/www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf图 1图 2图 3- 4 -GDPR 要求 EEA 国家 DPA 在涉及数据跨境的情况下密切合作，并通过使用相互帮助、联合行动、一站式合作机制进行支持。此外，

14、为保证 DPA 适用 GDPR 的一致性，EDPB 在特殊领域发布了一致性意见，要求 EEA 各国 DPA 遵守。为了支持 EDPB 成员之间的合作和一致性机制， 欧盟委员会发展部与 EDPB 秘书处和 EDPB 成员定制了内部市场信息系统(IMI)，作为中央数据库收录待处理的案件，进而启动互相帮助、联合行动和一站式机制处理程序。自 2018 年 5 月 25 日以来，30 个 DPA 在 IMI 系统中共登记了 281 起数据跨境案件。大部分未决案件来自个人投诉(194 件)，其余案例(87 件)有其他不同来源。主要涉及三个领域：数据主体权利的行使、消费者权利和数据泄露。监管机构间的合作机制

15、及一致性意见3（1）互相帮助互助程序允许每个 DPA 通过事先授权或调查协作等方式向其他 DPA 收集案件信息。这种互助可用于受一站式程序制约的跨境案件(作为起草决议前收集必要信息的初步阶段的一部分)，也可用于具有跨境特征的国家案件。互相帮助分为正式互助和非正式互助两类。被要求的 DPA 有 1 个月的法定答复期限的情况下可以使用正式互助。被要求的 DPA 没有任何法定期限的情况下可以使用非正式互助。自2018 年 5 月 25 日以来，来自 18 个不同 EEA国家的DPA触发了444项(正式和非正式)互助请求。在 444 项互助请求中，有 353 项在 23天内发出了答复。 其余 91 起

16、案件仍在进行中，尚未得到 DPA 的答复。（2）联合行动GDPR 允许不同成员国的 DPA 开展联合调查和联合执法措施。联合行动可用于受一站式程序制约的跨境案件(作为起草决定前收集必要信息的初步阶段的一部分)， 也可用于包括跨境部分的国家案件。 自2018年5月25日至2019年 1 月 31 日，没有发起任何联合行动。（3）一站式机制一站式机制适用于跨境案件，即数据控制者或数据处理者在不止一个成员国设有机构，或者数据处理活动对不止一个成员国的个人产生重大影响。在一站式机制下，将产生一个主导机构负责领导合作程序，就案件展开调查。在这一调查阶段，它可以通过相互帮助从其他 DPA 处收集信息，或者

17、在各国家法律可预期的情况下进行联合调查。- 5 -（4）一致性机制为保证 DPA 适用 GDPR 的一致性，EDPB 在特殊领域发布了一致性意见，要求 EEA 各国 DPA 遵守。在通过有关数据保护影响评估的国家名单、数据控制者与处理者间标准合同等决议之前，各国DPA 必须事先征求 EDPB 意见。自 2018 年 5 月 25 日以来， EDPB 通过了 28 项关于受数据保护影响评估制约的国家处理清单的意见和 1 项关于金融监管机构(欧洲经济区内和欧洲经济区外)之间个人数据传输行政安排草案的意见。IMI 系统提供不同的程序来处理一站式案件:1.非正式磋商程序；2.主导机构向相关 DPA 提

18、交草案或修订草案；3.相关 DPA 审议和 EDPB 的最终一站式决定。如有必要， 主导机构可以发起与所有相关 DPA的非正式沟通，以收集信息并准备相关草案。主导机构完成调查后，需要准备一份草案，并将其传达给相关 DPA。DPA 可以反对该草案，该反对意见要么导致草案的重新修订，要么触发理事会的争端解决机制。自 2018 年 5 月 25 日以来，来自 14 个 EEA国家的 DPA 启动了 45 个一站式服务程序。 这45 个程序处于不同阶段：23 个处于非正式磋商阶段，16 个处于草案阶段，6 个处于最终决定阶段。这些最后的一站式决策涉及个人权利的行使（如被遗忘权）、数据处理的合法性依据和

19、数据泄露通知。图 4：一站式服务机制流程图- 6 -2019 年 2 月 19 日，EDPB 发布了为期两年（2019-2020）的工作计划，未来 EDPB 将聚焦数据主体权利、数据控制者和数据处理者概念及合法利益，更加关注专业领域和技术。2019-2020 工作计划主要包括以下几方面内容。2019-2020 工作计划4图 5：GDPR IMI 系统初级程序概述目前有 3 个正在进行的程序，涉及具有约束力的公司规则、数据控制者和数据处理者之间的标准合同草案以及 GDPR 指令和 ePrivacy 之间的相互作用，特别是关于国家 DPA 的权限。在 DPA 不遵循 EDPB 的一致性意见的情况下

20、，EDPB 作为争端解决机构进行干预并做出具有约束力的决定。- 7 -（1）数据主体权利EDPB 将为数据主体的访问权、被遗忘权、拒绝权等权利的实现以及儿童数据保护制定指南。此外，还将提供关于在选举中使用个人数据的声明。（2）数据控制者和数据处理者EDPB 将为数据控制者和数据处理者的概念、数据控制者的合法利益制定指南。（3）ePrivacy 和在线服务EDPB 将为 ePrivacy 和 GDPR 之间的相互作用发布一致性指导意见；为社交媒体用户制定指南；为使用在线服务合同制定指南；以及为联网车辆、区块链、人工智能和数字助手、视频监控、搜索引擎、注销、通过设计和默认方式保护数据等新领域、新技

21、术制定指南。（4）跨境传输EDPB 将对为行政合作目的的公共机构之间的数据跨境制定指南。此外，EDPB 还将继续根据商标保护法规定的跨境转移的标准合同条款、处理者的标准合同条款、跨境转移的临时合同条款以及具有约束力的公司规则提供一致性意见和决定。（5）其他EDPB 将为 GDPR 管辖范围制定指南；为数据泄露通知提供指导意见；以及为 DPIA 清单提供一致性意见和决定。个 人 权 利 意 识 提 高保护个人的基本权利是 GDPR 的重要目标。随着 GDPR 执法的深入，公众对数据保护规则及个人权利的了解度有了很大的提升。向 DPA 咨询 GDPR 和提出申诉的人日益增多，来自 27 个 EEA

22、 国家 DPA 的统计数据显示，截至 2019 年 3 月共上报了 281,088 例案件，其中近半数（144,376 件）是投诉。同时，非营利组织代表个人发起的申诉也开始出现。在资源投入方面，越来越多的企业在人力、资金等方面加大投入。根据国际隐私专业人士协会(International Association of Privacy Professionals, IAPP)2019 年 7 月发布的数据显示，目前在 28 个欧盟成员国的 12 个国家中，约有 376,306 个组织注册了 DPO。据估计，整个欧洲总共有500,000 个 DPO 实际注册。根据 IAPP 和安永(Ernst u

23、rpgpdp.it电话：+39-06-6967 71传真：+39-06-6967 73785监管机构01 意大利某政党数据泄露事件处罚金额5 万欧元处罚依据Art. 32 GDPR处罚时间2019/4/17值得一提的是，该违规行为始于 2018 年 5 月或更早，但 Garante 是根据 GDPR 的规定进行罚款的，罚款依据是 Rousseau 平台未采取 GDPR所要求的安全保障措施。另外，有意思的是罚款不是针对数据控制者Movimento 5 Stelle ， 而 是 针 对 数 据 处 理 者Rousseau。违法分析数据处理者缺乏保障数据安全的技术和组织措施。合规启示作为平台型的数据

24、处理者， 也应关注并保证数据处理安全，采取适当的技术组织措施，谨防数据泄露。案件事实概述意大利政党 Movimento 5 Stelle 附属的许多网 站 都 通 过 名 为 Rousseau 的 平 台 运 行 ，Rousseau 为数据处理者。Rousseau 平台在 2017 年夏遭受数据泄露，意大利数据保护机构（Garante）要求实施多项安全措施， 此外还要求其更新隐私政策以提供更高的信息透明度。在隐私政策更新完成的同时，Garante 对 Rousseau 平台上缺少某些 GDPR 规定的安全保障措施表示关注。- 79 -5.14 奥地利Banking ActData Protec

25、tion Act (DSG) (amendments incorporating GDPR)E-Commerce Act, 2002Health Telematics Act, 2012立法概况Data Protection Authority (DSB, DPA)网址：https:/www.dsb.gv.at/E-mail：dsbdsb.gv.at电话：+43 1 52 152-0Austrian Regulatory Authority for Broadcasting and Telecommunications (RTR, NRA)网址：https:/www.rtr.at/en/rtr

26、/RTRGmbHE-mail：mailto: rtrrtr.at电话: +43 1 58058-0传真: +43 1 58058-9191监管机构- 80 -01 医疗公司未履行充分告知义务处罚金额5 万欧元处罚依据Art. 13 GDPRArt. 37GDPR处罚时间2018/8案件事实概述某医疗公司不遵守收集信息告知义务，且没有任命 DPO。针对该事件，奥地利数据保护局对该医疗公司做出 5 万欧元的处罚决定。违规分析该医疗公司作为数据控制者的核心业务涉及大规模特殊类型个人数据 （健康数据等） 的处理，根据 GDPR 第 37 条，应当指定一名数据保护专员。该医疗公司未任命 DPO，违反了

27、GDPR 相关规定。合规启示当企业作为数据控制者或处理者核心业务由数据处理组成或涉及到GDPR规定的特殊类型个人数据或与犯罪记录、 违法行为有关数据组成时，应当任命 DPO。02 足球教练非法收集个人数据处罚金额1.1 万欧元处罚依据Art. 6 GDPR处罚时间2019/7案件事实概述Mostviertel 俱乐部的一名足球教练在一个淋浴间里放置智能手机对女运动员进行偷拍。针对该事件，奥地利数据保护局对该教练作出 1.1 万欧元的处罚决定。违规分析未经授权拍摄属于侵犯个人隐私的行为，违反 GDPR 规定，甚至有可能承担刑事责任。合规启示收集、处理个人数据应当具有合法性基础。- 81 -03

28、博彩商店未履行充分告知义务处罚金额4,800 欧元处罚依据Art.13 GDPR处罚时间2018/12/9案件事实概述2018 年 9 月，一家博彩商店在其店面前安装了一台闭路电视摄像机，同时对其店面前的人行道进行监控拍摄，未提示监控范围。针对该事件，奥地利数据保护局对该商店做出 4800 欧元的处罚决定。违规分析该商店未将监控区域明确标识出来，大范围的公共空间设施被不正当记录。个人以这种方式监控公共区域，是不被允许的。合规启示1.企业在工作环境中应当在监控区域设置提醒，标识监控范围，履行告知义务；2.收集个人数据应当遵守最小范围原则，收集的数据应当是充足的、与处理目的相关的并且限于数据处理目

29、的最小必要范围。04 私人家中安装监控过度收集个人数据处罚金额2,200 欧元处罚依据Art. 5 (1) a) and c) GDPRArt. 6 (1) GDPRArt. 13 GDPR处罚时间2018/12/20案件事实概述某人在家中的门窗区域安装了至少两个摄像头。视频监控覆盖范围超出了监控住宅区的一般用途，即：停车场，人行道，庭院，花园和住宅区的通道；视频监控范围覆盖了相邻物业的花园区域。违规分析1.违反必要性原则。 视频监控收集的信息范围超过监控目的的必要限度，过度收集数据；2.未经授权收集他人个人数据。 视频监控记录了房屋的走廊和进出周围公寓的居民，未经同意记录他人图像数据，侵犯他

30、人高度个人化的生活领域；3.未履行告知义务。 未明确标识监控区域范围。合规启示1.收集个人数据应当遵守必要性原则， 收集的数据类型和范围应当与处理目的相一致；2.收集个人数据应当具有合法性基础。 未经授权且没有其他合法性基础不得收集个人数据；3.采用摄像监控方式的， 应当在监控区域设置提醒，标识监控范围，履行告知义务。- 82 -5.15 瑞 典EU GDPR Supplementary Provisions ActEU GDPR Supplementary Provisions OrdinanceElectronic Communications LawMarketing Act立法概况Sw

31、edish Data Protection Authority (DPA)网址：https:/www.datainspektionen.se/E-mail：datainspektionendatainspektionen.se电话：08-657 61 00Swedish Post and Telecom Authority (PTS, NRA)网址：https:/www.pts.se/en-gb/E-mail：ptspts.se电话：+46 8 678 55 00传真：+46 8 678 55 05监管机构- 83 -01 学校使用人脸识别技术缺乏合法性基础处罚金额18,630 欧元处罚依据A

32、rt. 5 (1) c) GDPRArt. 9 GDPRArt. 35 GDPRArt. 36 GDPR处罚时间2019/8/20案件事实概述一个名为 Anderstorps 的高中学校使用人脸识别技术来记录学生的上课考勤。学校董事会正在考虑将此技术作为标准程序来实施，其目的是进一步简化操作并自动进行课程注册。该学校董事会在一个实验项目中使用面部识别技术对学生的面部信息进行了登记。该实验项目持续了三周，涉及到 22 名学生。学生们的面部生物识别数据及全名被相机以照片的形式捕获，这些信息被存储在没有连接互联网的本地计算机中。学校在收集学生的生物识别数据之前征得了监护人的明确同意。但是，学校的这项

33、行为并没有进行相关的风险评估，也没有事先与瑞典数据保护机构进行协商。违规分析1.违反目的限制和最小范围原则。为满足上课出勤统计的目的，学校可以以侵入性较小的方式实现，面部识别软件的使用与目的不成比例；合规启示1.对于人脸识别等生物特征数据的使用应持谨慎态度。根据数据最小化原则，处理的个人数据应该是充分的、相关的，并且与处理它们的目的相关，而不能过于全面的收集、处理数据。只有在用其他方法无法以令人满意的方式实现处理目的时，才可以考虑使用此类敏感数据，否则将存在较大的合规风险；2.同意作为合法性基础存在较大风险。首先，同意作为合法性基础之一，只有在其他合法性基础不适用的情况下才得以适用。其次，同意

34、需要符合自愿、自由要求。双方地位不平等将导致同意因欠缺自愿要素而失去效力。尤其在雇佣关系中，需谨慎应用同意；3.新技术投入使用时，应当重视风险评估合规工作。形式主义的风险评估无法被监管部门认可，风险评估必须包含对处理目的必要性及相称性的评估和说明、对数据主体权利和自由存在的风险的评估等内容。2.GDPR 原则上禁止以识别自然人身份为目的处理生物特征数据，除非符合例外情形。然而由于学校与学生之间关系的不平等性，监护人同意不能视为自愿， 因此该同意存在瑕疵，不能作为合法性基础；3.学校对人脸识别的风险评估缺乏该数据收集、处理行为对数据主体权利和自由存在的风险的评估，也缺乏与其处理目的相关的比例方面

35、的评估和说明。- 84 -5.16 比利时Data Protection Act立法概况Data Protection Authority (DPA)网址：https:/www.gegevensbeschermingsautoriteit.be/E-mail: contactapd-gba.be电话： +32 (0)2 274 48 00传真： +32 (0)2 274 48 35Belgian Institute for Postal services and Telecommunications (NRA)网址：https:/www.ibpt.be/enE-mail：infobipt.be

36、电话: 02 226 88 88传真: 02 226 88 77监管机构01 某店主过度收集客户个人数据处罚金额1 万欧元处罚依据Art. 5 (1) c) GDPR处罚时间2019/9/19违法分析违反数据最小化原则。收集、处理个人数据应当满足限于处理目的所必要的范围。 使用身份证信息创建会员卡超出了目的范围。合规启示企业应当遵守数据最小化原则。收集、使用个人数据应当与目的相称，不得收集、使用超出目的范围外的数据类型。案件事实概述某店主使用用户的电子身份证（eID）为用户创建会员卡。- 85 -02 某市长非法处理个人数据处罚金额2,000 欧元处罚依据Art. 5 (1) b) GDPRA

37、rt. 6 GDPR处罚时间2019/5/28案件事实概述有一位投诉人向比利时数据保护局提出了对比利时某市长的投诉，认为市长滥用投诉人的个人邮箱向投诉人发送了竞选选举（拉票）信息。问题是，市长之所以会知道投诉人的个人邮箱，是由于投诉人之前曾委托一名建筑师向市长就一房地产交易事项进行了咨询沟通，这位建筑师在其发送的邮件中附上了投诉人的电子邮件地址。于是，市长在该市政选举的前一天，使用了投诉人的电子邮件地址，以“答复”的形式向投诉人发送了竞选（广告）信息。合规启示处理个人信息应当遵守目的限制原则，不得以与该目的相违背的方式处理个人数据。违规分析1.比利时数据保护局认为 GDPR 适用于任何控制者，

38、当然也适用于市长等公共权力拥有人；2.比利时某市长使用数据主体个人电子邮件地址并发送竞选信息的行为，已经超出个人数据主体当时提交个人邮件地址的目的，违反了 GDRP 中目的限制原则，市长获得的电子邮件地址必须收集用于特定目的，不得以与这些目的不相容的方式进一步处理。- 86 -5.17 挪 威Electronic Communications ActPersonal Data ActPersonal Data Regulations立法概况The Norwegian Data Protection Authority (DPA)网址: https:/www.datatilsynet.no/E-

39、mail: postkassedatatilsynet.no.电话：+47 22 39 69 00监管机构01 奥斯陆市教育局数据泄露事件处罚金额20.3 万欧元处罚依据Art. 32 GDPR处罚时间2019/4/29案件事实概述奥斯陆市教育局（UDE）开发了一款新应用“ Skolemelding ”（即学校信息），用于使父母和老师更轻松地交流孩子们在学校的日常生活。该应用启动前未经过适当的测试，存在重大安全漏洞，从而暴露了 63,000 名儿童个人信息和通讯记录。针对该事件，挪威数据保护监管机构对该教育办公室做出 20.3 万欧元的处罚决定。- 87 -合规启示1.在开发移动应用程序时，应

40、当采取安全保护措施，重视产品的安全性和保密性。在投入使用前，应当进行充分测试，防止重大安全漏洞。2.企业应当采取适当的安全措施以保护用户的个人数据。适当的安全措施包括但不限于评估个人数据是否以受保护的形式存储，是否通过安全连接对数据共享进行加密以及应用程序是否应用了受信任的证书等。违规分析该教育办公室开发的该应用程序存在重大安全漏洞， 未在应用程序投入使用前进行测试，也未采取足够的安全措施以确保儿童个人信息和通讯记录的安全。02 卑尔根市的市政用户计算机系统安全问题处罚金额17 万欧元处罚依据Art. 5 (1) f) GDPRArt. 32 GDPR处罚时间2019/3案件事实概述卑尔根市的

41、市政用户计算机系统未对其管理的一所市政小学的小学生及该学校雇员的个人数据采取安全保密措施，导致这些数据处于不受保护和公开的状态。在公共存储区中发现了一个包含 3.5 万名学生和员工登录凭证的文件。任何登录学校信息网站的人都可以访问到该学校小学生及雇员的个人信息。 公开的数据类型包括用户名、密码、出生日期、地址、学校隶属关系和学校成绩的信息。针对该事件，挪威数据保护监管机构对该市做出 17 万欧元的处罚决定。- 88 -合规启示1.企业采取适当的数据保护技术手段，提高数据保护安全性，有效监控业务场景中典型的潜在风险，对敏感或特殊类型个人数据进行加密等保障措施，及时识别风险并采取措施防范和阻止风险

42、。2.对于儿童应当给予特殊保护，对儿童个人信息提供更高的保护力度，例如采取加密、严格管控访问权限等方式。违规分析1.该市政用户计算机系统未采取适当的数据保护技术手段。登录系统的安全性非常差，未经授权的人可以在学习平台和学校的管理系统中访问用户名和密码。2.未对儿童提供特殊保护。GDPR 中将儿童定义为特别脆弱的群体，应给予特殊保护。但该市并没有提供更高的保护力度。- 89 -5.18 丹 麦Danish Data Protection Act(became enforceable on May 25, 2018,the DanishData Protection Act does not ap

43、ply to Greenland and the Faroe Islands.)立法概况Danish Data Protection Agency(Datatilsynet, DPA)网址：https:/www.datatilsynet.dk/电话：+45 33 19 32 00监管机构01 IDdesign A / S 违反数据存储限制原则处罚金额200,850 欧元处罚依据Art. 5 (1) e) and (2) GDPR处罚时间2019/6/3案件事实概述Datatilsynet 发现 IDdesign A / S 处理大约385,000名客户个人数据超出了初始处理目的所需的范围。此外

44、， 该公司在各种 IT 系统中存储了客户发票信息及人员招聘信息，但没有在存储期限结束后删除相关数据。并且，对于其他已删除的数据，IDdesign A / S 也没有对删除个人数据的过程进行记录和存档。请注意：由于丹麦法律没有像 GDPR 那样规定行政罚款（除非是简单的案件并且被告同意），因此罚款将由法院判处。Danish Business Authority (NRA)网址：https:/danishbusinessauthority.dk/E-mail：ersterst.dk电话：+45 35 29 10 00- 90 -02 Taxa 4x35 违反数据存储限制原则处罚金额16 万欧元处罚

45、依据Art. 5(1) e) GDPR处罚时间2019案件事实概述丹麦市场营销法第 10 条规定了客户就收到时事通讯给予同意的两年有效期，两年后应删除相关电话号码。并且，如果客户在系统中删除其个人资料，则有关该人的其他信息应在 6 个月内删除。用于客户订购和结算税款的个人数据由于不再需要识别客户，Taxa 4x35 应在两年后将其匿名化或删除，但 Datatilsynet 在对 Taxa4x35 进行监督访问时发现， Taxa 4x35 只删除了客户的姓名，依然留存着客户的电话号码、乘车记录（约 8,873,333 次出租车行程）。因此，有关客户税收的信息（包括收款及收货地址）仍可以通过电话号

46、码识别到特定自然人。 且根据 Taxa4x35 隐私政策，电话号码仅在五年后才会删除，这直接违反了存储限制原则。合规启示1.严格遵守存储限制原则，个人数据的存储方式不能使识别数据主体的时间长于处理个人数据所需的时间。这意味着，当不再需要个人数据时，通常必须将其删除或匿名化；2.根据责任原则，数据控制者必须记录并对数据处理记录进行存档；3.遵守数据最小范围原则，数据收集与处理应当是与目的相关的，且限于目的的最小必要范围；4.注意丹麦、爱沙尼亚有关部门法关于数据留存期限的具体规定。违规分析未严格遵守数据存储限制原则、最小范围原则、责任原则及丹麦关于数据留存期限的具体规定。- 91 -合规启示1.严

47、格遵守存储限制原则，个人数据的存储方式不能使识别数据主体的时间长于处理个人数据所需的时间。这意味着，当不再需要个人数据时，通常必须将其删除或匿名化.；2.注意丹麦、爱沙尼亚有关部门法关于数据留存期限的具体规定。请注意：由于丹麦法律没有像 GDPR 那样规定行政罚款（除非是简单的案件并且被告同意），因此罚款将由法院判处。违规分析未严格遵守数据存储限制原则及丹麦关于数据留存期限的具体规定。- 92 -案件事实概述在 一 次 检 查 中 ， VDAI 发 现 UABMisterTango 处理的数据超出了实现数据处理目的所必需的范围。此外，由于技术和组织措施不足，2018 年 7 月 9 日至 10

48、 日，支付数据可在网上公开获得，导致来自不同国家的 12 家银行 的 9,000 笔 付 款 受 到 了 影 响 。 UABMisterTango 未按规定上报数据泄露情况。5.19 立陶宛The Law on Legal Protection of Personal Data(Data Protection Law,came into force since July 16, 2018)立法概况State Data Protection Inspectorate (VDAI, DPA)网址：https:/www.ada.lt/E-mail: adaada.lt电话：(8 5) 271 280

49、4, 279 1445传真：(8 5) 261 9494监管机构01 UAB MisterTango 数据泄露事件处罚金额6.15 万欧元处罚依据Art. 5 GDPRArt. 32 GDPRArt. 33 GDPR处罚时间2019/5/16违法分析1.没有足够的技术和组织措施来确保个人数据安全，未履行数据泄露报告义务；2.UAB MisterTango 处理的个人数据超出了付款人发起付款所必需的数量和范围， 违反了最小范围原则。合规启示1. 企业应当采取相关技术和组织措施，确保个人数据的安全性；2. 应对数据泄露事件时， 事前形成相对完善的数据泄露响应制度，采取防护措施，事中采取及时调查、主动上报、积极止损的方式，与监管机构保持良好密切的沟通， 并将数据泄露的事实告知数据主体， 将影响控制在尽可能小的范围内；3.遵守最小范围原则， 数据限于数据处理目的的最小必要范围。- 93 -5.20 塞浦路斯The Law 125(I)/2018The Protection of Physical Persons Against the Processing of Personal D