涉外法律 | GDPR经典案例之丹麦

 摘要：

处罚金额：200,850 欧元

处罚依据：Art. 5 (1) e) and (2) GDPR

处罚时间：2019/6/3

案件事实概述

Datatilsynet 发现IDdesign A / S 处理大约385,000 名客户个人数据超出了初始处理目的所需的范围。

此外，该公司在各种IT 系统中存储了客户发票信息及人员招聘信息，但没有在存储期限结束后删除相关数据。并且，对于其他已删除的数据，IDdesign A / S 也没有对删除个人数据的过程进行记录和存档。

请注意：由于丹麦法律没有像GDPR 那样规定行政罚款（除非是简单的案件并且被告同意），因此罚款将由法院判处。

违规分析

未严格遵守数据存储限制原则、最小范围原则、责任原则及丹麦关于数据留存期限的具体规定。

合规启示

1.严格遵守存储限制原则，个人数据的存储方式不能使识别数据主体的时间长于处理个人数据所需的时间。这意味着，当不再需要个人数据时，通常必须将其删除或匿名化；

2.根据责任原则，数据控制者必须记录并对数据处理记录进行存档；

3.遵守数据最小范围原则，数据收集与处理应当是与目的相关的，且限于目的的最小必要范围；

4.注意丹麦、爱沙尼亚有关部门法关于数据留存期限的具体规定。

摘要

处罚金额：16 万欧元

处罚依据：Art. 5(1) e) GDPR

处罚时间：2019

案件事实概述

丹麦《市场营销法》第10 条规定了客户就收到时事通讯给予同意的两年有效期，两年后应删除相关电话号码。并且，如果客户在系统中删除其个人资料，则有关该人的其他信息应在6 个月内删除。用于客户订购和结算税款的个人数据由于不再需要识别客户，Taxa 4x35 应在两年后将其匿名化或删除，但Datatilsynet 在对Taxa 4x35 进行监督访问时发现，Taxa 4x35 只删除了客户的姓名，依然留存着客户的电话号码、乘车记录（约8,873,333 次出租车行程）。因此，有关客户税收的信息（包括收款及收货地址）仍可以通过电话号码识别到特定自然人。且根据Taxa4x35 隐私政策，电话号码仅在五年后才会删除，这直接违反了存储限制原则。

请注意：由于丹麦法律没有像GDPR 那样规定行政罚款（除非是简单的案件并且被告同

意），因此罚款将由法院判处。

违规分析

未严格遵守数据存储限制原则及丹麦关于数据留存期限的具体规定。

1.严格遵守存储限制原则，个人数据的存储方式不能使识别数据主体的时间长于处理个人数据所需的时间。这意味着，当不再需要个人数据时，通常必须将其删除或匿名化.；

2.注意丹麦、爱沙尼亚有关部门法关于数据留存期限的具体规定。