数保前线 | 欧洲经济区数据保护监管执法监测(2020年05月)
* 文章系本公众号独家首发,未经授权不得转载、摘编。
进入2020年,《通用数据保护条例》(GDPR)生效进入第2年,监管机构执法逻辑日渐清晰,力度也可预见循序加大。针对欧洲经济区(EEA)数据保护新执法情况保持密切监测,有助于企业明确业务线合规治理要点,清晰国别线合规风控重点,有效预防提前预警。
01
EEA数据保护监管执法概述
2020年5月,受疫情的持续影响,欧洲各国数据保护监管机构执法数量持续走低,共计作出处罚决定8项,处罚金额累计约达287,700欧元。芬兰、爱尔兰、丹麦的监管强度突出,未充分响应数据主体行权请求及数据处理缺乏合法性基础为监管执法的重点。
本期监管执法监测选取比利时、丹麦、罗马尼亚三起典型案例进行重点分析。
2020年5月-典型监管执法案例概况
02
2020年5月监管执法分析
【时间】2020年5月1日~2020年5月31日
【数量】6个国家数据保护监管机构,8项处罚决定
【金额】总罚款金额为287,700欧元
【数量趋势】环比上涨约166.7%,同比上涨约266.7%。
【金额趋势】环比下降约63.8%,同比下降约36.2%。
【总体趋势】纵观近一年来月度数据,2020年5月的执法数量受疫情影响持续走低,但较上月有小幅回弹。
典型案例一
【芬兰】芬兰邮政集团未能充分响应数据主体的删除权(被遗忘权),并在数据主体提出权利请求后,仍然对其进行持续的直接营销。经芬兰数据保护监管机构查明,邮政集团未依照透明度原则向数据主体提供关于其个人数据被处理的有关信息,最终被处以100,000欧元的罚款;
【违规行为】未能充分响应数据主体删除权(被遗忘权);
【违反条款】GDPR第12条、第13条、第14条、第15条;
【直接营销】向数据主体进行直接营销行为,首先应当检视是否具备适当的合法性基础,其次,如果数据主体通过明示方式表示了拒绝,严禁违反数据主体意志继续进行营销行为。
【处罚依据】【法条】 GDPR第5条(个人数据处理的原则)、第6条(数据处理的合法性)、第17条(删除权)是高频次执法依据。特别对于第5.1.(a)合法、公平和透明原则和第6.1(a)数据主体的同意应予以高度的合规关注、严格遵守,此外还应按照第35条的要求进行数据保护影响评估(Data Protection Impact Assessment, DPIA)。
2.5 合规启示
【数据安全】应当考虑处理行为的风险程度,采取相应的技术及组织措施保证数据安全。
【删除权】欧洲已经发生多起数据主体被遗忘权未得到充分响应的执法案例。在收到数据主体行权请求后,应不拖延地、按照GDPR要求履行删除义务。
本文作者:Sh.MH, X.M