数保前线 | 欧洲经济区数据保护监管执法监测(2020年09月)
文章系本公众号独家首发,未经授权不得转载、摘编
进入2020年,《通用数据保护条例》(GDPR)生效进入第2年,监管机构执法逻辑日渐清晰,力度也可预见循序加大。针对欧洲经济区(EEA)数据保护新执法情况保持密切监测,有助于企业明确业务线合规治理要点,清晰国别线合规风控重点,有效预防提前预警。
01
EEA数据保护监管执法概述
2020年9月,处罚案件数量和金额均有所下降,10个国家监管机构共作出处罚决定21项,处罚金额累计约643,467欧元。西班牙的监管强度突出,监管机构开出多张罚单,违反数据处理基本原则及数据处理的法律依据不足为监管执法的重点。
注:监测数据来源于各国数据保护监管机构官网、其他第三方机构的统计数据等,其中以能够获取案件实际内容的为统计基础。
2020年9月-典型监管执法案例概况
02
2020年9月监管执法分析
【时间】2020年9月1日~2020年9月30日
【数量】10个国家数据保护监管机构,21项处罚决定
【金额】总罚款金额为€ 643,467欧元
【数量趋势】环比下降约4.3%,同比上涨约144.4%。
【金额趋势】环比下降约4.1%,同比下降约29.0%。
【总体趋势】纵观近一年来月度执法数据,2020年9月的执法数量有所下降,处于中位数偏下,罚款数额接近最低值。
2.3 横向对比
【英国】CPS咨询公司非法电话营销案,单笔处罚金额 € 142,467,为9月单笔处罚金额最高的国家。
【西班牙】 处罚总额 € 275,500;案件总数 9件,为9月执法案件数量最多的国家。
典型案例一
【案例】CPS咨询公司因非法处理个人数据被英国监管机构处以约142,467欧元的罚款。罚款主要针对CPS咨询公司违反PECR第21B条之规定,非法拨打106,987通营销电话的行为:
该咨询公司未经数据主体同意就拨出了以推销退休金计划为目的的营销电话,该公司并没有获得数据主体授权同意、也不是职业退休金计划或个人退休金计划的受托人或管理人,同时也未与数据主体建立客户关系,按照PECR第21B条规定,其无权使用公共电子通讯服务主动致电个人,直接推销职业退休金计划或个人退休金计划,其未经数据主体同意拨打营销电话的行为缺乏数据处理的合法性基础。
【违规行为】违反个人数据处理基本原则
【违反条款】PECR第21B条、数据保护法案55A条
【对应GDPR条款】GDPR第5条、第6条
【场景化红线】禁止未经数据主体同意拨打营销电话
2.5 处罚依据
【违法依据】GDPR第5条(个人数据处理的基本原则), GDPR第6条(数据处理的合法性基础), GDPR第32条(处理过程的安全性)
违反数据处理基本原则和缺乏数据处理的合法性基础仍旧是违规高频地带。数据处理基本原则中应重点关注合法、公平和透明原则及目的限制原则,数据处理的合法性基础中应关注获取数据主体的同意。还应注意采取适当的技术和组织措施,保证数据处理满足完整性和保密性原则的要求。
一个处罚案件可能违反了多项法律要求,
所以呈现出的数字并不完全与处罚的案件数量相符。
2.5 合规启示
从本期较为典型的处罚案例中,我司可获得一些场景化的启示,归并如下:
【合法基础】在数据处理不具备合法性基础的情况下,不得进行个人数据处理活动。其中,“履行合同”、“合法利益”以及“同意”三大合法性基础需要重点关注,相应的场景化合规管控点包括但不限于审核合同的生效状态、进行利益平衡测试以及做好数据主体同意的记录保存等。
【目的限制】为特定、明确且合法目的而收集的个人数据,不得超出前述目的范围进行处理。存在多个目的时,需要分别评估相应数据处理行为是否超范围。
【数据安全】企业需要遵守数据处理的完整性和保密性原则,一方面企业需要采取适当的技术和组织措施以防止数据泄露,保障数据安全;另一方面也要针对员工个人开展数据安全意识培训,防止员工因工作失误导致个人数据泄露。
(*合规启示从本期执法案例中归纳总结,并非只针对代表性案例)
本文作者:Sh.MH, X.M,Zh.XN, Y.N, W.ZhY, M.AT, W.CW
2020-09-16
2020-10-13
2020-09-29
2020-09-22
2020-10-09
点个赞 你最好看