涉外法律 | GDPR典型案例之荷兰

2016 年，优步发生数据泄露事件，导致未经授权访问客户和驾驶员的个人数据。在发现违规行为后72 个小时内优步没有向荷兰DPA和数据主体报告数据违规行为。此数据泄露事件已影响全球5700 万Uber 用户，并涉及17.4万荷兰公民。泄露的数据类型包括客户和司机的姓名，电子邮件地址以及电话号码。

针对该事件，荷兰数据监管部门对优步做出60 万欧元的处罚决定。

违规分析：

违反数据泄露报告义务，发生数据泄露事件后在72 个小时内优步没有向荷兰DPA 和数据主体报告数据违规行为。

合规启示：

1. 企业应当在日常的经营活动中重视并定期开展合规性检查，在系统安全方面采取更多、有效的保护措施。

2. 应对数据泄露事件时， 事前形成相对完善的数据管理制度，采取防护措施，事中采取及时调查、在规定时间内主动报告监管部门和受影响的数据主体、采取积极止损的方式，与监管机构保持良好密切的沟通，有助于将影响控制在尽可能小的范围内。

3. 处罚时间：2019/6/18

案例概况：

Haga 医院数十名职员不必要的查看一名有名的荷兰人的医疗记录。经调查发现，Haga 医院对于患者医疗记录没有采取合适的安全保密措施。

针对该事件，荷兰数据保护监管机构对该医院做出46 万欧元的处罚决定。此外，为督促Haga 医院改善患者记录的安全性，强加了一个整改处罚决定，如果Haga 医院在2019 年10月2 日之前还未改善安全措施，该医院必须每两周支付10 万欧元的罚款，总罚款数最高不超过30 万欧元。Haga 医院表示将采取整改措施。

违规分析：

1.未经数据控制者指示，有访问权限的职员不得处理患者的医疗记录，该医院职员未经指示访问行为违反GDPR 第32（4）条的规定。

2.医院没有采取足够的安全措施以确保患者医疗记录信息的安全。主要体现在两个方面：一是未定期检查有权访问医疗记录信息的主体，二是未采取多重验证访问身份的机制。

合规启示：

1.企业应当采取措施确保任何对个人数据享有访问权限的雇员或其他授权主体非经指示不得处理这些数据。

2.企业应当在两方面采取充分的访问权限安全保障措施。一是定期检查访问记录，及时发现风险信号，对于未经授权查阅数据的行为采取措施。二是采取多重验证访问身份的机制，良好的安全性要求身份验证至少涉及两个因素。可以使用密码或密码结合员工通行证来确定访问身份。