其他
数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款
波兰数据保护机关就员工造成数据泄露对Fortum公司处以创纪录罚款
北京师范大学 陈雪婷
背景资料最终决定日期:2022年1月19日跨境案件或国家案件:国家案件。法律参考:完整性和机密性(第5(1)条);控制者的责任(第24(1)条);设计和默认的数据保护(第25(1)条);员工(第28(1)条,第28(3)(c)条和第28(3)(f)条);数据处理的安全性(第32(1)条和第32(2)条)。决定:违反GDPR规定,处以行政罚款。关键词:控制者的责任 技术与组织措施 罚款决定摘要行政罚款数额:对Fortum Marketing and Sales Polska S.A.公司处以490万兹罗提(1080000欧元)罚款,原因是该公司未能实施适当的技术和组织措施来确保个人数据安全,并且未能核查工。此外,对员工处以25万兹罗提(55000欧元)的行政罚款。案件起源控制者已在与员工订立的合约条文中订明保护个人数据的要求,包括使用假名和加密个人数据。在对系统进行更改的过程中,使用了控制者的客户的实际个人数据,在新解决方案移交给Fortum之前,没有验证所使用的保障措施的有效性。此外,在为此目的而进行的工作期间,没有对安全特性进行测试。这些变化是由与控制者合作的员工根据达成的协议,包括个人数据处理委托协议做出的。在变更过程中,创建了一个额外的Fortum客户数据库。但是,该数据库被未经授权的人复制,因为部署该数据库的服务器没有正确配置安全措施主要发现控制者不是从员工那里得知这起事件的,而是从两名独立的互联网用户那里得知的,他们通知控制者,他们未经授权访问了数据库。个人数据泄露涉及未经授权人员复制控制者的客户数据。这是在信息和通信技术环境发生变化时发生的。违规行为是由于员工未能遵守基本的安全原则,包括未能保护个人数据免受未经授权的访问,而控制者不是从员工那里得知这起事件,而是从两名独立的互联网用户那里得知,他们通知他,他们未经授权访问了数据库。如果控制者核实了员工实施了旨在改进个人数据处理系统运行的变更,那么将大大降低未经授权人员访问系统中处理的数据的风险。处罚决定波兰数据保护机关认为,控制者违反了GDPR第5(1)(f)条、第24(1)条、第25(1)条、第28(1)条、第32(1)(2)条的规定。员工被发现违反了GDPR第32(1)32(2)、28 (3)(c)和(f)。Fortum Marketing and Sales Polska S.A.被处以4911732兹罗提(1080000欧元)的行政罚款,员工被处以250135兹罗提(55000欧元)的行政罚款。(完)— END —
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:
高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理实务前沿系列:数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!
数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元
数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元
图文编辑:北京师范大学 张道中