GDPR执法案例全景白皮书.docx-得力文库

资源描述

《GDPR执法案例全景白皮书.docx》由会员分享，可在线阅读，更多相关《GDPR执法案例全景白皮书.docx（109页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、执法态势数据统计01英国航空公司数据泄露事件702万豪集团数据泄露事件8 03 Doorstep Dispensaree Ltd.缺乏适当的技术措施保障数据平安804DSG Retail Limited905CRDNN Limited非法拨打自动营销 906Cathay Pacific AirwaysLimited数据泄露事件.1007LeoKirk非法泄露数据10 08 Black Lion Marketing Limited非法拨打自动营销电话09体育酒吧视频监控设备安装违反最小范围原那么.24 10供水服务公司数据处理的法律依据缺乏2411 Cerrajeria Verin S. L.未

2、充分履行信息告知义务.25 12保险公司数据处理的法律依据缺乏2513 Megcistar SL设置的视频监控超越最小必要范围.25 14 Shop Macoyn, S. L.用抄送所有人的方式进行营销信息推送2615沃达丰向错误的收件人发送了含有个人数据的合同.26 16 Asociacidn de Medicos DemGcratas数据处理的法. 律依据缺乏2617沃达丰未及时响应监管机构需求2718 Zhang Bordeta 2006, S. L视频监控超越最小必要范围1621102 法国101 SERGIC数据泄露事件1102 ACTIVE ASSURANCES数据泄露事件120

3、3员工投诉某公司监控侵犯隐私事件1204 Futura Internationale 营销未充分实现数据主体权利 13利亚401国家税务局数据泄露事件1402 DSK银行数据泄露事件1503前雇主某公司未保障数据主体权利1504公用事业公司错误提供个人数据164波兰01M数据泄露案1602ClickQuickNow未保障同意撤销权的有效实现1703人121$加16讨1(11月%市长未签署数据处理协议.1704Danzig学校无合法性基础处理生物识别数据1805 Vis Consulting Sp. z o. o.与监督机构的合作缺乏185 荷兰801 Menzis使数据遭受未经授权的访问190

4、2 UWV未采用高安保系数的身份验证1903荷兰皇家网球协会数据处理法律依据缺乏1904某组织非法处理员工特殊类型个人数据206西班牙01 AVON COSMETICS非法处理个人数据2102沃达丰将个人数据发送给非授权第三人2103沃达丰数据处理的法律依据缺乏2204 Jocker Premium Invex数据处理的法律依据缺乏.2205某公司未充分提供关于其数据处理的相关信息. 2206工会委员会非授权公开投诉人个人数据2307 Telf6nica处理用户个人数据违反准确性原那么2308广播电视公司数据泄漏事件242719 Xfera Moviles S.A.非法处理个人数据2820沃达

5、丰未经授权处理个人数据以签署订购转移合同2821沃达丰未经授权处理个人数据2822沃达丰错误发送个人数据2923 Automoci6n雇员非法使用利用职务之便获取的个人数据2924 Banco Bilbao Vizcaya Argentaria S. L.数据处理的合法性基础缺乏2925沃达丰向前客户寄送发票3026 Iberia Lineas Aereas de Espana,数据处理的合法性依据缺乏3027某餐厅使用视频监控违反最小化原那么3028沃达丰未经同意处理客户个人数据3129 Grupo未经授权披露个人数据3130某学校未经授权处理个人数据3131 IberdoaCliente

6、s电力公司未经授权处理个人数据.3232沃达丰违反数据平安保障义务32Mymoviles违反公开透明原那么 3233 CASA使用视频监控违反最小化原那么3335 医院未经授权处理个人数据3336沃达丰非法处理儿童个人数据3437 AEMA未经授权披露个人数据3438沃达丰违反数据平安保障义务3539某企业网站缺失隐私政策及Cookies设置3540沃达丰客户数据泄露事件3641沃达丰未经同意处理客户个人数据3642沃达丰未经授权处理个人数据3643私人违规安装使用监控摄像头3744某零售商未充分履行信息告知义务3745某酒店非法公开个人数据3746业主协会违规安装使用监控摄像头3847某企业

7、未经数据主体同意向第三方发送个人数据.3848某餐厅违规安装使用监控摄像头39监管执法典型案列此外，ICO作为牵头监督机构，代表其他欧盟成员国数据保护机构调查此案件。它还与其他监管机构联络。根据GDPR “一站式服务”规定，受影响的欧盟数据保护机构也将有机会对ICO的调查结果发表评论。针对此次事件，ICO拟对英国航空作出2. 04亿欧元的罚款决定。X违规分析英国航空公司缺乏保障信息平安的技术和组织措施。X合规启示1 .企业应当在日常的经营活动中重视并定期开展合规性检查，在系统平安方面采取更多、有效的保护措施；2 .应对数据泄露事件时，事前形成相对完善的数据管理制度，采取防护措

8、施，事中采取及时调查、主动上报、积极止损的方式，与监管机构保持良好密切的沟通，并将数据泄露的事实告知数据主体，有助于将影响控制在尽可能小的范围内。X场景化红线禁止采用平安系数低、过时的平安保障技术。禁止瞒报数据泄露事件。02万豪集团数据泄露事件X处分金额1. 1亿欧元X处分依据GDPR第32条X处分时间2019/7/9派案件事实概述2018年11月，万豪国际集团公开披露其旗下喜达屋酒店客房预订系统数据泄露事件。该事件导致3. 39亿酒店客户信息被黑客窃取，涉及到3000万来自31个欧洲经济区(EEA)国家的居民, 其中包括700万英国居民。万豪国际在2016年9 月收购了喜达屋酒

9、店。据ICO调查，喜达屋酒店客房预订系统因黑客攻击导致的数据漏洞自2014 年7月起便存在，直到2018年才发现此漏洞。针对此次事件，ICO拟对万豪国际集团作出L1亿欧兀的罚款决定。X违规分析1 .收购喜达屋酒店时未作充分的尽职调查发现系统漏洞；2 .在保证酒店系统平安方面，万豪国际缺乏保障信息平安的技术和组织措施。X合规启示1 .企业须在兼并和收购背景下重视数据共享的重要性，将其视为潜在的“优先事项”。只要标的公司的业务涉及数据，那么应当把数据合规尽职调查放到与公司其他资产尽职调查同等重要的地位，遵守GDPR治理和责任要求，从而防止日后发生数据漏洞给企业带来的巨额损失；2

10、 .企业应当在日常的经营活动中重视并定期开展合规性检查，在系统平安方面采取更多、有效的保护措施；3 .应对数据泄露事件时，事前形成相对完善的数据管理制度，采取防护措施，事中采取及时调查、主动上报、积极止损的方式，与监管机构保持良好密切的沟通，并将数据泄露的事实告知数据主体，有助于将影响控制在尽可能小的范围内。X场景化红线禁止采用平安系数低、过时的平安保障技术。03 Doorstep Dispensaree Ltd.缺乏适当的技术措施保障数据平安派处分金额GDPR执法案例全景白皮书监管执法典型案列27, 500英镑（约320, 000欧元）X处分依据GDPR第5 （1）（f）条

11、，第13条第14条，第24 （1）条，第32条 X处分时间2019/12/17派案件事实概述一家医药公司在其大楼后面的非密封容器中储存了约50万份文件，内含姓名、地址、出生日期、NIIS号码、医疗信息和处方，未能按照其数据处理程序将含有病人个人信息的文件撕碎后清理。同时其隐私通知书未明确说明数据控制者的身份、联系方式、处理数据的合法性基础等等。综合受影响数据主体范围、医疗健康数据敏感性等因素，监管机构作出了 27, 500欧元的罚款。X违规分析未采用适当的技术措施使数据免遭意外的丢失、销毁或破坏，违反了 GDPR第5 （1）（f）、第24条（1）所规定的数据控制者的义务以

12、及第 32条规定的处理平安。此外未按照GDPR要求，向数据主体提供与数据处理有关的信息。X合规启示企业应采取适当的技术和组织措施以确保并证明数据处理是符合GDPR的规定，且应在必要情况下进行评估和更新。X场景化红线禁止将含有个人数据的文件存储在开放的容器中。04 DSG Retail LimitedX处分金额500, 000 英镑（约 580, 000 欧元） X处分依据1998数据保护法案Section 55AX处分时间2020/1/9 派案件事实概述ICO调查发现，在2017年7月至2018年 4月期间，攻击者在DSG的CurrysPC世界和 Dixons差旅商店安装了 5390分

13、片恶意软件，并且在DSG检测到攻击之前的9个月内收集了个人数据。该公司未能确保该系统的平安，允许未经授权访问交易中使用的560万张支付卡详细信息和大约1400万人的个人信息（包括姓名、邮政编码、电子邮件地址等）。X违规分析未采用适当的技术措施保障其系统平安，造成了大量数据的非授权访问。X合规启示企业应采取适当的技术措施保障数据平安，防止数据非授权访问。X场景化红线禁止采取平安系数较低的平安保障技术。05 CRDNN Limited非法拨打自动营销 X处分金额500, 000 英镑（约 580, 000 欧元）派处分依据PECR第19条，第24条X处分时间2020/2/26 派案

14、件事实概述一家英国的发电机公司未经数据主体同意就拨打超过193,606,544项自动营销，且在该中未提供公司的信息或联系方式，也未提供拒绝接收此营销的方法，被英国数据保护监管机构处以PECR （隐私和电子通信法）下的最高罚款500, 000英镑。 -9GDPR执法案例全景白皮书监管执法典型案列X违规分析未经数据主体同意就拨打营销，缺乏数据处理的合法性基础，并且没有提供退出的方式，违反了 PECR第19条。未向数据主体提供拨打营销的主体的信息或联系方式，违反了 PECR第 24条。X合规启示企业应在具备合法性基础的情况下进行营销活动，应在营销活动中披露退出的方法以及企

15、业的联系方式。X场景化红线禁止未经数据主体同意拨打营销。06 Cathay Pacific Ainvays Limited数据泄露事件 X处分金额500, 000 英镑（约 573, 303 欧元） X处分依据1998数据保护法案Section 55AX处分时间2020/3/4 派案件事实概述在2014年10月至2018年5月期间，国泰航空的计算机系统缺乏适当的平安措施，导致了包括护照号码等个人数据在内的泄露，直至2018年 3月，其4个系统被攻击后才意识到这个问题，影响了大约9, 400, 000 AoX违规分析未采用适当的技术措施使数据泄露，违反了数据的平安性和保密性原那么。X

16、合规启示企业应采取适当的技术措施保障数据平安，防止数据泄露。X场景化红线禁止采取平安系数较低的平安保障技术。07 LeoKirk非法泄露数据派处分金额483英镑（约560欧元）X处分依据1998数据保护法案Section 55AX处分时间2020/3/13派案件事实概述一名前社会工作者非法披露16-18岁弱势青年寄宿或寄养的相关信息给第三方，其中包含一些敏感个人数据。X违规分析未经授权将个人数据披露给其他第三方，违反了数据的平安性和保密性原那么。X合规启示企业应采取适当的组织措施防止处理个人数据的员工泄露数据，同时应进行相应的数据保护培训提升员工意识。X场景化红线禁止非授权披露个人

17、数据。08 Black Lion Marketing Limited非法拨打自动营销 X处分金额171,000 英镑（约 198, 360 欧元）X处分依据PECR第21条、第24条X处分时间2020/3/27派案件事实概述该公司以直接营销的目的使用公众电信服务，在未获取同意的情况下，直接呼叫了在TPS （ Telephone Preference Service Ltd ）上至少提前28天注册了的用户，拨打超过240, 576通。GDPR执法案例全景白皮书监管执法典型案列且在中意图隐瞒公司的真实名称，未向数据主体披露明确且真实的信息。X违规分析根据PECR第21条的使用公众电信

18、服务进行营销的例外规定未获得数据主体预先的同意，未提供拨打营销的主体的信息或联系方式，违反了 PECR第24条。X合规启示企业应在具备合法性基础的情况下进行营销活动，应在营销活动中披露企业的联系方式。 X场景化红线禁止未经数据主体同意拨打营销。2法国 Data Protection Act (Consolidated2018) Protection of Personal Data andAmending Act Regulation on Implementation ofBiometric Authentication Systems监管机构Commission Nationa

19、le de 1 Informatique et des Libertes (CNIL, DPA) ：+33 (0) 1. 53. 73. 22. 22 ：+33 (0) 1.53.73. 22. 0001 SERGIC数据泄露事件X处分金额400, 000 欧元派处分依据GDPR第32条X处分时间2019/5/28 派案件事实概述SERGIC公司专门从事房地产的推销、购买、销售、租赁和物业管理服务，拥有486名员工， 2017年营业额约为4, 300万欧元。CNIL的处分决定基于两个理由：缺乏基本的安全措施和违反存储限制原那么。关于第一个问题，无需任何身份验证程序便可以在线访问租赁者上

20、传的敏感个人数据，包括身份证、健康卡、税务通知单、家庭津贴发放单、离婚判决、账单报表等。尽管该漏洞自2018年3月以来就为公司所知，但直到2018年9月才最终得到解决。此外，该公司的文档存储时间超过了必要限制。CNIL在作出处分决定时考虑了以下因素：违规行为的严重性、公司规模及其财务状况。X违规分析1 .无需身份验证程序便可在线访问租赁者上传的敏感文件，技术和组织措施缺乏，无法确保个人数据的平安性和机密性。2 .数据留存及存储期限超过了处理目的所必要的限制。X合规启示L采取相关技术和组织措施，确保个人数据的平安性和机密性，例如对访问数据的申请者进行身份验证；3 .应对数据

21、泄露事件时，事前形成相对完善的数据泄露响应制度，采取防护措施，事中采 11- |GDPR执法案例全景白皮书监管执法典型案列取及时调查、主动上报、积极止损的方式，与监管机构保持良好密切的沟通，将影响控制在尽可能小的范围内；4 .遵守数据存储限制原那么，以可识别数据主体身份形式存储的个人数据存储时间不能超过实现处理目的所必需的的时间。X场景化红线禁止对个人数据不采取足够的技术组织措施保证数据平安；禁止超过数据处理目的所必要的期限存储个人数据。02 ACTIVE ASSURANCES数据泄露事件 X处分金额180, 000 欧元X处分依据GDPR第32条X处分时间2019/7/25派案

22、件事实概述2018年6月1日，CNIL接到客户投诉称其无需事先的身份验证程序就可以访问该公司网站上其他用户的个人数据，包括驾驶执照副本、车辆登记证、银行对帐单和有关撤消驾照的信息。用户在设置帐户后会收到一封电子邮件，其中标识了用户名和密码，但未进行加密。该公司辩称，向CNIL举报的投诉人具有IT专业背景，没有相关技能的自然人无法识别出此安全缺陷。但CNIL对此并不认可。想要提高数据平安性和更改密码的客户被强制采用生日格式的密码。CNIL对该公司密码管理提出了质疑，该公司辩称对密码复杂性的选择是出于方便客户以满足他们轻松访问其个人数据的愿望。本案还有一个细节值得关注：20

23、19年6月11日，该公司提交了异议。但由于这些邮件是在2019. 5. 29法令第40条第3款规定的十五天期限届满后发送的，因此CNIL宣布不接受该异议。X违规分析1 .当访问数据的请求发送到服务器时，服务器必须首先验证请求者是否有权访问所请求的数据。在本案中，投诉人和检查团都可以自由地查阅公司注册客户的文件，而该公司没有采取任何限制措施来阻止访问；2 .客户帐户密码的保密强度较低。想要提高数据平安性和更改密码的客户被强制采用生日格式。此外，还通过电子邮件向公司客户发送密码，发送未加密的电子邮件可能会导致任何收听网络并了解其中包含的信息的人对其进行拦截。没有采取任何其他

24、措施来验证人员身份，例如限制密码错误时的尝试次数。X合规启示1 .在客户注册个人账户时应充分提示其设置密级较高的密码以保护个人账户的平安，不能强制用户使用密度低的密码；2 .充分遵守GDPR第32条的规定，采取适当的技术和组织措施来保证所处理的个人数据的平安性和保密性；3 .在收到相关调查通知时，应密切关注当地法律的特殊规定，比方一些时限要求，以免丧失异议或抗辩权。X场景化红线禁止不采取任何访问限制措施导致个人数据的非授权方访问；禁止对账户和密码设置较低的保密强度。03员工投诉某公司监控侵犯隐私事件 X处分金额GDPR执法案例全景白皮书监管执法典型案列20, 000欧元X处分依

25、据GDPR第5 （1） c）条,第12条，第13条, 第32条X处分时间2019/6/13派案件事实概述在2013年至2017年期间，CNIL收到该公司几名员工的投诉，这些员工称某公司在他们的工作场所安装监控摄像头进行拍摄。CNIL两次提醒该公司注意在工作场所安装视频监视设备时要遵守的规那么，特别是禁止侵犯员工隐私，员工不应被连续拍摄，以及必须提供有关数据处理的合法依据。但该公司没有采取适当的措施，CNIL于 2018年10月进行了第二次检查，确认该公司在使用CCTV录制员工时仍然违反GDPRo该公司也不要求员工在计算机上使用密码进行保护，并且所有员工使用唯一且共享的登录名和

26、密码来访问企业电子邮件（该公用邮箱用于与客户沟通工作）。在确定罚款金额时，CNIL考虑了公司规模（9 名员工）和公司的财务状况（2017年的净利润为负 885） oX违规分析1 .违反最小范围原那么：公司出于确保人员和财产平安的目的安装视频监视设备，那么就应当充分考虑工作人员的数量、设备的安装位置、方向、操作周期等因素，特别应当禁止对员工进行持续和永久的监控；2 .违反了透明性原那么。未按照GDPR第12、 13条以简洁明了、透明、易获得的形式向员工提供应提供的信息，包括处理数据（视频监视设备录制）的目的和依据等；3 .缺乏技术和组织措施，无法保证个人数据的平安性和保密性。X合

27、规启示1 .遵守数据最小范围原那么，数据收集与处理应当是与目的相关的，且限于目的的最小必要范围。公司安装视频监视设备应当是出于确保人员和财产平安的目的，应防止对员工进行持续和永久的拍摄、禁止侵犯员工个人隐私；2 ,收集和处理员工个人数据应当以简洁明了、透明、易获得的形式向员工提供应提供的信息，包括处理数据的目的和依据等；3 .采取适当的技术和组织措施以保证员工个人数据的保密性和平安性。场景化红线禁止对员工进行持续和永久的监控。04 Futura Internationale 营销未充分实现数据主体权利X处分金额500, 000 欧元X处分依据GDPR第5条，第6条，第13条，第

28、14条，第21条X处分时间2019/11/21派案件事实概述该公司向现有或潜质客户拨打营销，尽管有几名投诉人直接告知来电者不希望再收到此类，并以邮寄信件的方式宣布不希望这样做，但该公司仍然拨打类似。另外，该公司拨打时并未告知有关通话会被记录，或者只是告知了会记录对话，而不会向他们传达有关其个人数据处理的任何其他信息，例如处理的目的，数据控制者的身份或他们拥有的权利。同时，该公司对数据主体进行了过多的信息记录。监管机构还发现，该公司将个人数据跨境传输到位于欧洲GDPR执法案例全景白皮书监管执法典型案列经济区（“ EEA” ）之外的呼叫中心，对此跨境转移行为没有提供足够

29、的保障措施。X违规分析该公司未能有效地实施现有和潜在客户的退出请求，违反了关于数据主体拒绝权的相关规定；该公司记录相关通话的数据处理行为，未能履行充分性告知义务；该公司对数据主体进行了过多的信息记录违反了数据处理最小范围原那么；该公司在进行个人数据的跨境传输过程中，未能履行向欧盟境外传输个人数据的相关义务。X合规启示公司在进行营销活动时必须做到：1允许个人有效行使GDPR规定的权利，包括选择退出直接营销的权利，并制定流程以确保自动执行此类反对意见；2在中告知个人相关权利，并通过按电话键或接收电子邮件为他们提供访问整个隐私政策的选项；3向任何第三方运营商明确说明必须向消费

30、者提供哪些信息以及可能记录哪些评论，并实施适当的自动化流程以防止在客户关系数据库中进行过多的术语记录；4假设将个人数据传输到EEA以外的任何数据中心，须采取适当的保护措施，例如订立标准合同条款。X场景化红线禁止在营销中对已经行使拒绝权的客户进行持续拨打；禁止在未告知个人权利的情况下对个人数据的收集处理；禁止超出范围收集记录数据主体的相关信息；禁止在无相关适当保障措施的情况下将个人数据转移出欧盟境外。3保加利亚COMMISSION FOR PERSONAL DATA PROTECTION立法概况 Electronic Communications Act Law Amendi

31、ng and Supplementing thePersonal Data Protection Act Personal Data Protection Act监管机构Commission for personal data protection (CPDP, DPA)网址 :E-mai1 : kzldcpdp. bg ：+359 899 877 156 ：+3592/91-53-525DPO： Lyubomir GrancharovRalitsa Naumova -AssistantDPO, s e-mail: dpocpdp. bg01国家税务局数据泄露事件派处分金额260, 000 欧

32、元X处分依据GDPR第32条X处分时间2019/8/28GDPR执法案例全景白皮书监管执法典型案列X案件事实概述黑客非法访问并分发了国家税务局持有的600 万个数据主体的个人数据，包括联系信息、纳税申报信息和其他财务信息。数据主体包括在世的保加利亚及外国公民和已故者。X违规分析缺乏保障信息平安的技术和组织措施。X合规启示1 .重视并做定期的数据平安检查，在系统安全方面采取更多、有效的保护措施；2 .应对数据泄露事件时，事前形成相对完善的数据泄露响应制度，采取防护措施，事中采取及时调查、主动上报、积极止损的方式，与监管机构保持良好密切的沟通，并将数据泄露的事实告知数据主体，将影响控

33、制在尽可能小的范围内。X场景化红线禁止采用平安系数低、过时的平安保障技术。02 DSK银行数据泄露事件X处分金额511, 000 欧元X处分依据GDPR第32条X处分时间2019/8/28X案件事实概述DSK银行发生数据泄露事件，该事件导致未经授权的第三方可以访问23, 000多条信用记录，这些信用记录涉及超过33, 000个银行客户，包括姓名、国籍、地址、身份证副本、生物识别数据及关联的第三方(包括配偶、子女和担保人)等个人数据。X违规分析缺乏保障信息平安的技术和组织措施。X合规启示1 .重视并做定期的数据平安检查，在系统安全方面采取更多、有效的保护措施。2 .应对数据泄露事件

34、时，事先形成相对完善的数据泄露响应计划，采取防护措施，事中采取及时调查、主动上报、通知数据主体、积极止损的方式，与监管机构保持良好密切的沟通，将影响控制在尽可能小的范围内。X场景化红线禁止采用平安系数低的技术措施。03前雇主某公司未保障数据主体权利X处分金额约511欧元X处分依据GDPR 第 12 (3)条、第 15 (1)条X处分时间2019/10/28派案件事实概述数据主体向其前雇主申请查阅其个人数据，要求前雇主提供其哪些个人数据在被处理，目的是什么，基于什么理由，在什么时期，另外还要求退还两份职业培训证书原件。前雇主拒绝回答，也没有退还原件。X违规分析前雇主在无合法理由的

35、情况下拒绝了数据主体的请求，没有保障数据主体的权利。X合规启示企业应及时响应数据主体的权利请求，在无合法理由支撑的情况下不得拒绝。X场景化红线禁止在无合法理由的情况下拒绝数据主体的权利请求。GDPR执法案例全景白皮书监管执法典型案列04公用事业公司错误提供个人数据X处分金额：5, 110欧元X处分依据GDPR 第 5 (1) (a)条、第 6 (1)条X处分时间2020/1/6派案件事实概述数据主体和其他债务人有相同的名字但是拥有不同的PIN码，保加利亚公用事业公司错误地将数据主体的PIN码提供给私人执法代理，随后被用于提起针对数据主体的强制执行诉讼，指控他未履行付款义务。在执行

36、案件中，法警扣押了数据主体的工资，而数据主体由于非法处理而受到损害。X违规分析虽然外表上是一个数据错误地提供，其实是该公用事业公司在没有合法性基础的前提下处理了数据主体的数据。X合规启示企业应在合法性基础存在的前提下处理数据主体的个人数据。X场景化红线禁止在不满足合法性基础要求的情况下处理个人数据。4波兰Urzd Ochrony Danych Osobowych立法概况 Processing Passenger Name RecordData Act Protection of Personal Data Act监管机构The President of the Office for

37、 PersonalData Protection (UODO, DPA)网址 :E-mail: kancelariauodo. gov. pl ：22 531 03 00 ：22 531 03 0101 M数据泄露案X处分金额2, 800, 000波兰兹罗提(约645, 000欧元) X处分依据GDPR 第 5. 1 (f)条,第 32 条X处分时间2019/9/10 派案件事实概述Molel. net采用了无效的身份验证措施和缺少监测异常在线行为等相关潜在威胁的制度，导致约220万人个人数据的未经授权的访问。并且局部泄露的数据被用于网络钓鱼，如通过在SMS 消息中模拟M并利用客户下达订

38、单的事实将款项存入银行帐户X违规分析GDPR执法案例全景白皮书监管执法典型案列M未采用有效的技术措施并且没有适当的技术措施来防止未经授权的访问，造成数据泄露，违反了 GDPR第5条第1款(f)规定的完整性和保密性原那么以及第32条规定的数据处理平安。X合规启示企业应采用平安系数较高的身份验证措施并且建立动态、有效的监测机制时刻防范数据泄露。X场景化红线禁止采用平安系数低的身份验证程序。02 ClickQuickNow未保障同意撤销权的有效实现 X处分金额201,000波兰兹罗提(约46, 302欧元)X处分依据GDPR第5(1) (a)条，第7条第3款，第 12条第2款，第17条

39、X处分时间2019/10/16派案件事实概述该公司用一个包含有商业信息的链接进行同意的撤销，并未导致快速撤销的实现，并且在链接建立后，发给有意撤销同意的人的邮件具有误导性。此外，该公司强行要求有意撤销同意的数据主体说明其撤销同意的原因，如果未能说明原因，会导致撤销同意程序中断。对于已经要求删除其个人数据的客户而言，该公司还在继续处理其个人数据。X违规分析未采用合适的技术措施保障数据主体撤销同意与作出同意一样容易，违反了 GDPR第7条第3 款。未响应数据主体的被遗忘权请求权，违反了第 12条第2款，第17条。对于要求数据主体要求删除的那局部个人数据而言已丧失合法性基础，该公司

40、的处理行为违反了第5 (1) (a)的合法性原那么。X合规启示企业应采取适当的措施保障同意的撤销与作出一样容易；企业应积极地帮助数据主体行使其权利；对于已经要求行使的删除权，应及时响应。X场景化红线禁止以任何方式阻止数据主体行使其权利。03 Aleksandr6w Ku jawski市长未签署数据处理协议 X处分金额40, 000波兰兹罗提(约9,214欧元) X处分依据GDPR 第 5 (1) (a)条，第 5 (1) (e)条，第5(1) (f)条，第5 (2)条，第28条第3款 X处分时间2019/10/18X案件事实概述Aleksandrow Kujawski市长没有与托管了市

41、政府的公共信息公告(BIP)资源服务器的公司签订数据处理协议，也没有与另一家提供用于创立 BIP软件及服务的公司达成这样的协议。内部的程序中没有规定BIP中存储的数据的保存期限。没有市议会会议录音的副本，只能通过YouTube 链接访问。X违规分析由于没有达成这样的协议，市长实施了无法律依据的共享个人数据的行为，这违反了处理合法性的原那么，同时因缺乏作为协议保障的组织措施，违反了平安性和保密性原那么。未规定数据的保存期限，违反了存储限制原那么。没有录音的副本，因此在丧失存储在YouTube上的数据的情况下，该市将不会拥有记录，违反了完整性和保密性原GDPR执法案例全景白皮书4

42、01871727649西班牙电信(Telefdnica)不配合监管机构调查3950西班牙第四大移动网络运营商Xfera Moviles S. A.不配合监管机构调查407德国01 Delivery Hero未满足用户权利要求4102某食品公司缺乏对数据平安的保障4203 Deutsche Wohnen SE未遵守存储限制原那么4204某医院混淆数据主体4205 Rapidata GmbH未任命数据保护官43 06 l&l Telecom GmbH未采用高安保系数的身份验证.438 希腊01 PWC处理员工个人数据违反透明原那么4402希腊电信公司0TE的营销未遵守数据处理原那么.4503 W

43、IND公司的营销未充分实现数据主体权利.4504爱琴海石油集团未采取必要措施保证数据处理平安.4605 Allseas Marine处理员工数据未遵守数据处理原那么.4606公共电力公司未充分实现数据主体权利4707演讲和特别教育中心(Mihou Dimitra)未充分实现数据主体权利479罗马尼亚01 UNICREDIT银行数据泄露事件4902 WORLD TRADE CENTER数据泄露事件4903 LEGAL COMPANY & TAX HUB SRL数据泄露事件4904 Inteligo Media公司运营的网站个人数据处理的法律依据缺乏4905 Raiffeisen银行与Vreau

44、 Credit公司联合行为导致数据泄露5006 UTTIS INDUSTRIES公司安装视频监控设备未履行充分性告知义务5107 BNP Paribas Personal Finance个人理财公司未满足数据主体权利的实现5108 FAN COURIER EXPRESS快递服务公司因技术组织措施缺乏造成数据泄露5109与数据保护监管机构合作缺乏四起案件5210 ING银行因技术组织措施缺乏造成重复交易5311某业主协会因视频监控系统未履行充分性告知义务及平安保障义务5312 Royal President公司未满足数据主体权利的实现.53S CNTAR TAR0M航空公司未采取充分的平安措施

45、导致未经授权的访问和披露5413 Hora Credit公司未采取充分的平安措施导致未经授权的访问和披露54Entirely Shipping & Trading公司处理员工个人数据未遵守数据处理原那么5514 SC Enel Energie供电公司数据处理的法律依据缺乏 55 17罗马尼亚电信因技术组织措施缺乏不当披露个人数据 5618沃达丰未采取足够平安措施导致数据发生错误处理.5619 Enel Energie SA因技术组织措施缺乏不当披露个人数据5720 Dante International数据处理的法律依据缺乏.5701 Town of Kerepes选择的合法性基础不恰

46、当5802某军事医院未充分履行数据泄露通知义务5803某公司私自检查雇员的通讯设备5804、某主体未响应数据主体的权利请求5905某公司非法处理前雇员的电子邮件 5911 意大利01 Eni Gas e Luce (Egl)在广告活动和未经请求的合同启动过程中非法处理了个人数据6002 TIM电信运营商营销违反多项数据保护规定.6103网站公开披露个人数据四起案件6104某医院因技术组织措施缺乏导致相关档案被非授权访问6205罗马大学因线上举报平台的技术组织措施缺乏导致举报人个人数据被公开6306 RTI-Reti意大利电视台处理个人数据的法律依据不足631 奥地利01足球教练非法收集个人数据6402 Austrian Post数据处理的法律依据缺乏6401学校使用人脸识别技术缺乏合法性基础6502 Nusvar AB运营的Mrkoll. se网站非法处理个人数据.6603 Google未实现数据主体被遗忘权6604国家政府服务中未能保障数据平安且未充分履行数据泄露告知义务671 利时01某市长非法处理个人数据6802某店主过度收集客户个人数据6903某市政选举候

展开阅读全文