涉外法律|GDPR案例之匈牙利

我们在前几期的推文讨论了欧盟的《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”），本期我们来看一下在GDPR生效后，通过GDPR执法的几个案例。通过执法案例来补充理解数据保护相关概念、明确数据处理基本原则和数据主体权利响应相关的监管要求，可以帮助企业更好地把握GDPR 监管脉搏，也为GDPR 相关的理论研究人员提供丰富的案例资源。本文中将介绍两个匈牙利的案例。

摘要

处罚金额：92,146 欧元

处罚依据：Art. 5 (1) b) GDPR；Art. 6 GDPR；Art. 13 GDPR

处罚时间：2019/5/23

案件事实概述

活动组织者为实现安保目的，收集和存储了数据主体的以下信息：国籍，姓名，性别，证件类型，证件编号，有效期，出生日期，图像和声音数据。以上个人数据由卡夫特公司“记录、存储和管理”。但NAIH 认为组织者可以通过不涉及个人数据的筛查措施，例如金属探测器或安全筛查等措施实现安保目的。

违规分析

1.使用不恰当的法律依据。数据控制者错误地适用活动参与者的知情同意作为合法性基础，并且其获得的同意也不是有效的，因为如果活动参与者拒绝提供相关信息，他将被拒绝入场。但事实上其出于维护活动参与者的生命和人身安全这一基本人权、避免其遭受大规模恐怖事件的目的。经过NAIH 进行利益平衡测试，认定应当适用的合法性基础是GDPR 第6条第（1）款（f）项：为追求合法利益目；

2.未遵守目的限制原则。组织者可以通过不涉及个人数据的筛查措施，例如金属探测器或安全筛查等措施实现安保目的。

合规启示

1.数据处理应选择和适用恰当的合法性基础，并对自己的处理行为符合GDPR 规定承担责任并予以证明；

2.遵守目的限制原则，基于具体、明确、合法的目的收集个人数据，且随后不得以与该目的相违背的方式进行处理；

3.遵守数据处理的透明性原则。

摘要

处罚金额：34,375 欧元

处罚依据：Art. 33 (1) GDPR；Art. 33 (5) GDPR；Art. 34 (1) GDPR

处罚时间：2019/4/5

案件事实概述

该政党数据库遭到黑客入侵，该黑客访问并披露了包含6000 多人的数据，其中包含特殊类型个人数据。该政党组织网页系统安全性差，很容易受到攻击。黑客发布攻击指令后，即使是IT知识水平较低的人也可以从数据库中访问信息。

且该政党未在72 小时内将数据泄露通知NAIH 和相关数据主体，并且未根据GDPR 第33条第（5）款记录和保存违规情况。

根据法律规定，罚款的依据是该党年度营业额的4％和来年预期营业额的2.65％。

合规启示

1. 采取相关技术和组织措施，确保个人数据的安全性和机密性，例如对访问数据的申请者进行身份验证；

2. 应对数据泄露事件时，事前形成相对完善的数据泄露响应制度，采取防护措施，事中采取及时调查、主动上报、积极止损的方式，与监管机构保持良好密切的沟通，将影响控制在尽可能小的范围内；

3.遵守数据泄露事件有关记录的规定，记录有关泄露事实、影响。