数保前线 | 欧洲经济区数据保护监管执法监测（2020年04月）

* 文章系本公众号独家首发，未经授权不得转载、摘编。

2020年4月，新冠疫情的前期影响初显，欧洲数据保护执法总体执法数量骤减，3个成员国数据保护监管机构共计作出处罚决定3项，处罚金额总计793,700欧元。

本期监管执法监测选取荷兰、瑞典、比利时三起典型案例进行重点分析。

2020年4月-典型监管执法案例概况

【数量趋势】环比下降约91.9%，同比下降约62.5%

【金额趋势】环比下降约91.3%，同比上涨约102.4%

【总体趋势】纵观近一年来月度数据，2020年3月的执法数量达到最低值，罚款金额接近最低值

【要点】无合法性基础；特殊类型个人数据；生物识别数据；透明原则

【案件事实】该组织要求员工必须扫描登记指纹用于考勤打卡。自2017年1月23日起，共计采集了337名员工的指纹数据，其中2018年5月25日以后共有87名员工指纹数据被捕获并存储，且该组织未能遵照透明原则向员工提供法律要求的关于数据处理行为的信息：劳动合同和员工手册中并未包含任何关于使用指纹数据的说明。此外，离职员工的指纹信息仍然会被保留，尽管会被阻止访问并且不再在软件程序和扫描仪中处于活跃状态。

【违规行为】没有合法性基础处理特殊类别个人数据；未能遵照透明原则向员工提供法律要求的关于数据处理行为的信息；未删除离职员工的指纹数据，违反存储限制原则。

【要点】数据泄露；向监管机构报告；告知数据主体

【案件事实】国家政府服务中心由于IT系统缺乏安全保障措施发生数据泄露事件，约282,000名数据主体受到影响，其中1,800名为雇员，包括姓名、性别、地址、工作时间、工作地点、工作许可、社保账号、收入、纳税信息等财务信息在内的个人数据，但近3个月后才向数据保护监管机构报告该数据泄露事件，5个月才完成向数据主体告知数据泄露事件。并且，该机构没有记录关于个人数据泄露事件的有关事实、影响和采取的补救措施。此外，国家政府服务中心作为数据控制者，使用数据处理者没有依据GDPR第28条第3款、第4款规定与其签订有关数据处理的协议约定数据保护义务。

【违规行为】未充分履行数据泄露告知义务；未与数据处理者签订数据处理协议。

说明：本项罚款仅针对该机构无故拖延履行数据泄露告知义务的·违规行为，而不针对数据泄露事件本身

【比利时】电信运营商Proximus SA因违反数据保护官的任命要求被罚50,000欧元

【要点】数据保护官任命；数据保护官的独立性；利益冲突

【案件事实】在一起数据泄露事件处理中，监管机构发现电信运营商Proximus SA的数据保护官（DPO）参与不足，经进一步调查评估，监管机构认定Proximus SA的DPO对于数据保护治理工作只是知情，而非充分、及时地参与并提供咨询意见。且该公司缺乏组织性、系统性措施防止DPO职务间的利益冲突，也就是说，其DPO同时担任有利益冲突的多种职务，同时承担合规、风险管理和内部审计职责。监管机构认为DPO同时在合规部、内部审计部和风险管理部担任职务是存在利益冲突的，无法保证数据保护官的独立性。此外，该公司还未能在监管机构调查过程中充分履行与监管机构合作的义务。

【违规行为】DPO未充分、恰当、及时参与数据保护工作；DPO多种职务间存在利益冲突；不遵守与监管机构合作的义务。

2.5 合规启示

【员工个人数据】企业处理员工个人数据，特别是涉及新技术的投入使用及员工特殊类型个人数据处理，例如采用人脸识别、指纹考勤打卡系统等，应考虑处理行为的性质、范围、内容和目的可能会对员工的权利和自由产生高风险时，应完成数据保护影响评估。在进行数据保护影响评估时，应寻求DPO的专业意见。

【数据泄露告知】作为数据控制者，企业在发生个人数据泄露事件时72小时内，应当将个人数据泄露的有关情况报告给监管机构，未能在72小时内报告的，需要及时说明理由。当个人数据泄露可能对自然人权利和自由产生较高风险时，数据控制者应当立即将个人数据泄露的有关情况告知数据主体。

【DPO任命】企业应当确保DPO适当且及时参与所有有关个人数据保护的业务，提供DPO履行职责、个人数据处理活动以及维持其专业知识所必要的资源，确保DPO免于接受任何有关执行职务的指令。企业应确保DPO履行的其他职务与职责不会导致利益冲突。 

本文作者：Sh.MH, X.M