欧洲简评 | 西班牙数据保护机构处罚Dentalcuadros,给中小企业开展数据合规带来哪些启示?
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
背景
01
2024年5月8日,西班牙数据保护机构 (AEPD) 在第PS/00078/2024号案件中公布了其决定,对Dentalcuadros BCN SLP处以20,000欧元的罚款,罚款额随后降至12,000欧元,原因是其在数据泄露通知后违反了GDPR。
AEPD强调,Dentalcuadros在2023年5月12日向其通报了2023年4月20日发生的勒索软件攻击,影响了个人数据的可用性和保密性,受到影响的数据包括患者的联系数据、身份数据和健康数据。
02
AEPD的调查结果
02
在调查之后,AEPD注意到Dentalcuadros 没有根据 GDPR 第 32 条采取适当的安全措施,包括缺乏足够强大的杀毒软件和对外部服务器的最新备份。Dentalcuadros已进行的四次数据保护影响评估(DPIA)中包括了一份为降低风险而实施的措施清单,但Dentalcuadros无法证明这些措施的实施情况。
此外,AEPD 还强调,Dentalcuadros没有遵守GDPR第33条的规定,在72小时内向AEPD通报数据泄露事件。本次事件的通知延迟了22天,而Dentalcuadros无法提供延迟的原因。
随后,AEPD 认定Dentalcuadros在实施安全措施和数据泄露通知方面违反了 GDPR第32和33条。
鉴于上述违规行为,AEPD对其处以罚款:
因违反 GDPR 第 32 条,罚款 15,000 欧元;以及
因违反 GDPR 第 33 条,罚款 5,000 欧元。
在Dentalcuadros使用自愿付款程序并承认其责任后,罚款总额随后减少至 12,000 欧元。
03
企业应该怎么做?
03
目前欧盟针对数据合规的监管逐步从前端纵深至后端,且目前不再以头部企业为主要监管对象,监管机构亦开始重视中小型企业的数据保护和合规问题。出海欧盟的企业需要注意除了确保前端合规外,还需要开展后端数据保护体系搭建工作,包括:
采取最低限度的数据安全措施,并提供这些措施的有效执行证明;
定期对操作系统、应用服务器或数据库进行安全更新;
建立健全的数据泄露通知程序,并确保及时向监管机构通报事件。
通过加强数据安全措施、建立健全的数据泄露通知程序,积极主动的产品或服务上线前完成数据合规工作,降低因违反 GDPR 而面临的潜在风险和处罚。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过200多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读