其他
首起欧盟境外企业因未任命境内“代表”被罚案:荷兰开出52.5万欧元GDPR罚单
导读
2021年5月12日,荷兰数据保护监管机构对一家总部位于美国的网站Locatefamily.com作为欧盟境外的数据控制者,未在欧盟境内依据《通用数据保护条例》(GDPR)第27条任命代表(representative)的行为,处以52.5万欧元(约合人民币410万元)罚款。据报道,这是GDPR自2018年生效以来,欧盟执法者对未履行任命欧盟境内代表义务作出的首个罚款。
Locatefamily.com是一家受到GDPR管辖的“境外”数据控制者,主要为失去联络的亲友提供寻人与信息发布服务。荷兰监管机构认为,该网站在不具有数据处理合法性基础的情况下,收集与发布个人地址、联系方式等数据;并且由于其未在GDPR境内任命代表,个人无法有效与网站进行联络,要求行使其数据主体权利包括删除公开的信息。
GDPR第27条规定,对于未在欧盟境内设立的数据控制者或处理者,应当通过书面方式任命欧盟境内代表。该条款由于并未具体明确GDPR代表的具体职责,且缺乏相关处罚,故长期被认为是“沉睡的义务”,直至本次荷兰监管机构作出的首起处罚。
导读系本公众号原创,转载请注明文字出自本公众号。