GDPR执法案例全景白皮书.docx
《GDPR执法案例全景白皮书.docx》由会员分享,可在线阅读,更多相关《GDPR执法案例全景白皮书.docx(109页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、执法态势数据统计01英国航空公司数据泄露事件702万豪集团数据泄露事件8 03 Doorstep Dispensaree Ltd.缺乏适当的技术措施保障数据平安804DSG Retail Limited905CRDNN Limited非法拨打自动营销 906Cathay Pacific AirwaysLimited数据泄露事件.1007LeoKirk非法泄露数据10 08 Black Lion Marketing Limited非法拨打自动营销电话09体育酒吧视频监控设备安装违反最小范围原那么.24 10供水服务公司数据处理的法律依据缺乏2411 Cerrajeria Verin S. L.未
2、充分履行信息告知义务.25 12保险公司数据处理的法律依据缺乏2513 Megcistar SL设置的视频监控超越最小必要范围.25 14 Shop Macoyn, S. L.用抄送所有人的方式进行营销信息推 送2615沃达丰向错误的收件人发送了含有个人数据的合同.26 16 Asociacidn de Medicos DemGcratas数据处理的法. 律依据缺乏2617沃达丰未及时响应监管机构需求2718 Zhang Bordeta 2006, S. L视频监控超越最小必要范围1621102 法国101 SERGIC数据泄露事件1102 ACTIVE ASSURANCES数据泄露事件120
3、3员工投诉某公司监控侵犯隐私事件1204 Futura Internationale 营销未充分实现数据主体权利 13利亚401国家税务局数据泄露事件1402 DSK银行数据泄露事件1503前雇主某公司未保障数据主体权利1504公用事业公司错误提供个人数据164波兰01M数据泄露案1602ClickQuickNow未保障同意撤销权的有效实现1703人121$加16讨1(11月%市长未签署数据处理协议.1704Danzig学校无合法性基础处理生物识别数据1805 Vis Consulting Sp. z o. o.与监督机构的合作缺乏185 荷兰801 Menzis使数据遭受未经授权的访问190
4、2 UWV未采用高安保系数的身份验证1903荷兰皇家网球协会数据处理法律依据缺乏1904某组织非法处理员工特殊类型个人数据206西班牙01 AVON COSMETICS非法处理个人数据2102沃达丰将个人数据发送给非授权第三人2103沃达丰数据处理的法律依据缺乏2204 Jocker Premium Invex数据处理的法律依据缺乏.2205某公司未充分提供关于其数据处理的相关信息. 2206工会委员会非授权公开投诉人个人数据2307 Telf6nica处理用户个人数据违反准确性原那么2308广播电视公司数据泄漏事件242719 Xfera Moviles S.A.非法处理个人数据2820沃达
5、丰未经授权处理个人数据以签署 订购转移合同2821沃达丰未经授权处理个人数据2822沃达丰错误发送个人数据2923 Automoci6n雇员非法使用利用职务之便获取的个人数据2924 Banco Bilbao Vizcaya Argentaria S. L.数据处理的合法性基础缺乏2925沃达丰向前客户寄送发票3026 Iberia Lineas Aereas de Espana,数据处理的合法性依据缺乏3027某餐厅使用视频监控违反最小化原那么3028沃达丰未经同意处理客户个人数据3129 Grupo未经授权披露个人数据3130某学校未经授权处理个人数据3131 IberdoaCliente
6、s电力公司未经授权处理个人数据.3232沃达丰违反数据平安保障义务32Mymoviles违反公开透明原那么 3233 CASA使用视频监控违反最小化原那么3335 医院未经授权处理个人数据3336沃达丰非法处理儿童个人数据3437 AEMA未经授权披露个人数据3438沃达丰违反数据平安保障义务3539某企业网站缺失隐私政策及Cookies设置3540沃达丰客户数据泄露事件3641沃达丰未经同意处理客户个人数据3642沃达丰未经授权处理个人数据3643私人违规安装使用监控摄像头3744某零售商未充分履行信息告知义务3745某酒店非法公开个人数据3746业主协会违规安装使用监控摄像头3847某企业
7、未经数据主体同意向第三方发送个人数据.3848某餐厅违规安装使用监控摄像头39监管执法典型案列此外,ICO作为牵头监督机构,代表其他欧盟成 员国数据保护机构调查此案件。它还与其他监管 机构联络。根据GDPR “一站式服务”规定,受影 响的欧盟数据保护机构也将有机会对ICO的调查 结果发表评论。针对此次事件,ICO拟对英国航 空作出2. 04亿欧元的罚款决定。X违规分析英国航空公司缺乏保障信息平安的技术和组 织措施。X合规启示1 .企业应当在日常的经营活动中重视并定期 开展合规性检查,在系统平安方面采取更多、有 效的保护措施;2 .应对数据泄露事件时,事前形成相对完 善的数据管理制度,采取防护措
8、施,事中采取及 时调查、主动上报、积极止损的方式,与监管机 构保持良好密切的沟通,并将数据泄露的事实告 知数据主体,有助于将影响控制在尽可能小的范 围内。X场景化红线禁止采用平安系数低、过时的平安保障技术。 禁止瞒报数据泄露事件。02万豪集团数据泄露事件X处分金额1. 1亿欧元X处分依据GDPR第32条X处分时间2019/7/9派案件事实概述2018年11月,万豪国际集团公开披露其旗 下喜达屋酒店客房预订系统数据泄露事件。该事 件导致3. 39亿酒店客户信息被黑客窃取,涉及到3000万来自31个欧洲经济区(EEA)国家的居民, 其中包括700万英国居民。万豪国际在2016年9 月收购了喜达屋酒
9、店。据ICO调查,喜达屋酒店 客房预订系统因黑客攻击导致的数据漏洞自2014 年7月起便存在,直到2018年才发现此漏洞。针 对此次事件,ICO拟对万豪国际集团作出L1亿 欧兀的罚款决定。X违规分析1 .收购喜达屋酒店时未作充分的尽职调查发 现系统漏洞;2 .在保证酒店系统平安方面,万豪国际缺乏 保障信息平安的技术和组织措施。X合规启示1 .企业须在兼并和收购背景下重视数据共享 的重要性,将其视为潜在的“优先事项”。只要 标的公司的业务涉及数据,那么应当把数据合规尽 职调查放到与公司其他资产尽职调查同等重要的 地位,遵守GDPR治理和责任要求,从而防止日后 发生数据漏洞给企业带来的巨额损失;2
10、 .企业应当在日常的经营活动中重视并定期 开展合规性检查,在系统平安方面采取更多、有 效的保护措施;3 .应对数据泄露事件时,事前形成相对完 善的数据管理制度,采取防护措施,事中采取及 时调查、主动上报、积极止损的方式,与监管机 构保持良好密切的沟通,并将数据泄露的事实告 知数据主体,有助于将影响控制在尽可能小的范 围内。X场景化红线禁止采用平安系数低、过时的平安保障技术。03 Doorstep Dispensaree Ltd.缺乏适当的技术 措施保障数据平安派处分金额GDPR执法案例全景白皮书监管执法典型案列27, 500英镑(约320, 000欧元)X处分依据GDPR第5 (1) (f)条
11、,第13条第14条, 第24 (1)条,第32条 X处分时间2019/12/17派案件事实概述一家医药公司在其大楼后面的非密封容器中 储存了约50万份文件,内含姓名、地址、出生日期 、NIIS号码、医疗信息和处方,未能按照其数据处 理程序将含有病人个人信息的文件撕碎后清理。 同时其隐私通知书未明确说明数据控制者的身 份、联系方式、处理数据的合法性基础等等。综合受 影响数据主体范围、医疗健康数据敏感性等因素 ,监管机构作出了 27, 500欧元的罚款。X违规分析未采用适当的技术措施使数据免遭意外的丢 失、销毁或破坏,违反了 GDPR第5 (1) (f)、 第24条(1)所规定的数据控制者的义务以
12、及第 32条规定的处理平安。此外未按照GDPR要求, 向数据主体提供与数据处理有关的信息。X合规启示企业应采取适当的技术和组织措施以确保并 证明数据处理是符合GDPR的规定,且应在必要情 况下进行评估和更新。X场景化红线禁止将含有个人数据的文件存储在开放的容 器中。04 DSG Retail LimitedX处分金额500, 000 英镑(约 580, 000 欧元) X处分依据1998数据保护法案Section 55AX处分时间2020/1/9 派案件事实概述ICO调查发现,在2017年7月至2018年 4月期间,攻击者在DSG的CurrysPC世界和 Dixons差旅商店安装了 5390分
13、片恶意软件,并且 在DSG检测到攻击之前的9个月内收集了个人数 据。该公司未能确保该系统的平安,允许未经授 权访问交易中使用的560万张支付卡详细信息 和大约1400万人的个人信息(包括姓名、邮政编 码、电子邮件地址等)。X违规分析未采用适当的技术措施保障其系统平安,造 成了大量数据的非授权访问。X合规启示企业应采取适当的技术措施保障数据平安, 防止数据非授权访问。X场景化红线禁止采取平安系数较低的平安保障技术。05 CRDNN Limited非法拨打自动营销 X处分金额500, 000 英镑(约 580, 000 欧元) 派处分依据PECR第19条,第24条X处分时间2020/2/26 派案
14、件事实概述一家英国的发电机公司未经数据主体同意就 拨打超过193,606,544项自动营销 ,且在该 中未提供公司的信息或联系方式,也未提供 拒绝接收此营销 的方法,被英国数据保护监 管机构处以PECR (隐私和电子通信法 )下的 最高罚款500, 000英镑。 -9GDPR执法案例全景白皮书监管执法典型案列X违规分析未经数据主体同意就拨打营销 ,缺乏数 据处理的合法性基础,并且没有提供退出的方式, 违反了 PECR第19条。未向数据主体提供拨打营 销 的主体的信息或联系方式,违反了 PECR第 24条。X合规启示企业应在具备合法性基础的情况下进行营销 活动,应在营销活动中披露退出的方法以及企
15、业 的联系方式。X场景化红线禁止未经数据主体同意拨打营销 。06 Cathay Pacific Ainvays Limited数据泄露事件 X处分金额500, 000 英镑(约 573, 303 欧元) X处分依据1998数据保护法案Section 55AX处分时间2020/3/4 派案件事实概述在2014年10月至2018年5月期间,国泰航 空的计算机系统缺乏适当的平安措施,导致了包 括护照号码等个人数据在内的泄露,直至2018年 3月,其4个系统被攻击后才意识到这个问题, 影响了大约9, 400, 000 AoX违规分析未采用适当的技术措施使数据泄露,违反了 数据的平安性和保密性原那么。X
16、合规启示企业应采取适当的技术措施保障数据平安, 防止数据泄露。X场景化红线禁止采取平安系数较低的平安保障技术。07 LeoKirk非法泄露数据派处分金额483英镑(约560欧元)X处分依据1998数据保护法案Section 55AX处分时间2020/3/13派案件事实概述一名前社会工作者非法披露16-18岁弱势青 年寄宿或寄养的相关信息给第三方,其中包含一 些敏感个人数据。X违规分析未经授权将个人数据披露给其他第三方,违 反了数据的平安性和保密性原那么。X合规启示企业应采取适当的组织措施防止处理个人数 据的员工泄露数据,同时应进行相应的数据保护 培训提升员工意识。X场景化红线禁止非授权披露个人
17、数据。08 Black Lion Marketing Limited非法拨打自动 营销 X处分金额171,000 英镑(约 198, 360 欧元)X处分依据PECR第21条、第24条X处分时间2020/3/27派案件事实概述该公司以直接营销的目的使用公众电信服 务,在未获取同意的情况下,直接呼叫了在TPS ( Telephone Preference Service Ltd ) 上至少提 前28天注册了的用户,拨打超过240, 576通 。GDPR执法案例全景白皮书监管执法典型案列且在 中意图隐瞒公司的真实名称,未向数据 主体披露明确且真实的信息。X违规分析根据PECR第21条的使用公众电信
18、服务进行 营销的例外规定未获得数据主体预先的同意,未 提供拨打营销 的主体的信息或联系方式,违 反了 PECR第24条。X合规启示企业应在具备合法性基础的情况下进行营销 活动,应在营销活动中披露企业的联系方式。 X场景化红线禁止未经数据主体同意拨打营销 。2法国 Data Protection Act (Consolidated2018) Protection of Personal Data andAmending Act Regulation on Implementation ofBiometric Authentication Systems监管机构Commission Nationa
19、le de 1 Informatique et des Libertes (CNIL, DPA) :+33 (0) 1. 53. 73. 22. 22 :+33 (0) 1.53.73. 22. 0001 SERGIC数据泄露事件X处分金额400, 000 欧元 派处分依据GDPR第32条X处分时间2019/5/28 派案件事实概述SERGIC公司专门从事房地产的推销、购买、 销售、租赁和物业管理服务,拥有486名员工, 2017年营业额约为4, 300万欧元。CNIL的处分决定基于两个理由:缺乏基本的安 全措施和违反存储限制原那么。关于第一个问题,无 需任何身份验证程序便可以在线访问租赁者上
20、传 的敏感个人数据,包括身份证、健康卡、税务通 知单、家庭津贴发放单、离婚判决、账单报表等。尽 管该漏洞自2018年3月以来就为公司所知,但 直到2018年9月才最终得到解决。此外,该公司 的文档存储时间超过了必要限制。CNIL在作出处分决定时考虑了以下因素:违 规行为的严重性、公司规模及其财务状况。X违规分析1 .无需身份验证程序便可在线访问租赁者上 传的敏感文件,技术和组织措施缺乏,无法确保 个人数据的平安性和机密性。2 .数据留存及存储期限超过了处理目的所必 要的限制。X合规启示L采取相关技术和组织措施,确保个人数据 的平安性和机密性,例如对访问数据的申请者进 行身份验证;3 .应对数据
21、泄露事件时,事前形成相对完 善的数据泄露响应制度,采取防护措施,事中采 11- |GDPR执法案例全景白皮书监管执法典型案列取及时调查、主动上报、积极止损的方式,与 监管机构保持良好密切的沟通,将影响控制在 尽可能小的范围内;4 .遵守数据存储限制原那么,以可识别数据 主体身份形式存储的个人数据存储时间不能超 过实现处理目的所必需的的时间。X场景化红线禁止对个人数据不采取足够的技术组织措 施保证数据平安;禁止超过数据处理目的所必要的期限存储 个人数据。02 ACTIVE ASSURANCES数据泄露事件 X处分金额180, 000 欧元X处分依据GDPR第32条X处分时间2019/7/25派案
22、件事实概述2018年6月1日,CNIL接到客户投诉称其 无需事先的身份验证程序就可以访问该公司网 站上其他用户的个人数据,包括驾驶执照副本、 车辆登记证、银行对帐单和有关撤消驾照的信 息。用户在设置帐户后会收到一封电子邮件, 其中标识了用户名和密码,但未进行加密。该 公司辩称,向CNIL举报的投诉人具有IT专业 背景,没有相关技能的自然人无法识别出此安 全缺陷。但CNIL对此并不认可。想要提高数据 平安性和更改密码的客户被强制采用生日格式 的密码。CNIL对该公司密码管理提出了质疑, 该公司辩称对密码复杂性的选择是出于方便客 户以满足他们轻松访问其个人数据的愿望。本案还有一个细节值得关注:20
23、19年6月11日,该公司提交了异议。但由于这些邮件是 在2019. 5. 29法令第40条第3款规定的十五天 期限届满后发送的,因此CNIL宣布不接受该异 议。X违规分析1 .当访问数据的请求发送到服务器时,服 务器必须首先验证请求者是否有权访问所请求 的数据。在本案中,投诉人和检查团都可以自 由地查阅公司注册客户的文件,而该公司没有 采取任何限制措施来阻止访问;2 .客户帐户密码的保密强度较低。想要提 高数据平安性和更改密码的客户被强制采用生 日格式。此外,还通过电子邮件向公司客户发 送密码,发送未加密的电子邮件可能会导致任 何收听网络并了解其中包含的信息的人对其进 行拦截。没有采取任何其他
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GDPR 执法 案例 全景 白皮书
限制150内