首張GDPR執行通知發出 逾期未合規將罰款2000萬歐元
在GDPR生效僅5天,AggregateIQ就被證實儲存了不該儲存的資料……
英國監管機構向加拿大資料公司 AggregateIQ (AIQ) 發出了該國首張GDPR執行通知,給這家與英國脫歐遊說組織 Vote Leave 有關的公司留下30天整改時間;若逾期未合規,該公司將面臨 2000萬歐元 罰款。
英國資訊專員辦公室(ICO)稱,AIQ留存英國公民資料的行為似乎對受影響公民造成了傷害,該公司違反了GDPR第5和第6條。
ICO已根據之前的資料保護立法對一批公司處以了最高 50萬英鎊 的罰款。
今年5月25日GDPR生效後,資料監管機構具備了對資料控制者處以最高2000萬歐元(約1780萬英鎊)或公司總營業額4%的民事罰款。
脫歐遊說組織 Vote Leave 曾支付給AIQ270萬英鎊,用以在英國脫歐公決期間針對潛在投票人投放廣告。
AIQ已針對該執行通知提起申訴。據BBC報道,該執行通知是作為ICO資料分析調查進展報告的附件,在7月時公佈的。
AIQ發言人向《計算機商業評論》證實,他們確實提起了上訴,但拒絕進一步發表評論。
GDPR執行:判例
在通知中,ICO表示:專員已就AIQ為英國政治團體( Vote Leave、BeLeave、Veterans for Britain 及 DUP Vote to Leave )提供個人資料處理服務一事向AIQ質詢其個人資料處理情況。
2018年5月30日與專員的聯絡中,AIQ承認仍持有英國公民的個人資料。該資料儲存在程式碼倉庫中,之前曾遭某第三方未授權訪問。
美國慷孚系統公司的GDPR專家 Nigel Tozer 稱,該執行通知主要針對的是出於非預期目的處理公民資料。
Nigel Tozer 稱:很多公司只關注該條例中固有的安全相關事項,該執行通知應被當成一次提醒,提醒各家公司企業,資料的保留和處理,包括5月25日之前收集的資料,都受到新條例的全權管轄。
無論公司規模或所處行業,該執行通知都應被當成一記警鐘,希望能刺激很多公司重新審查自身當前個人資料的使用策略。
《通用資料保護條例》(GDPR)於今年5月25日在整個歐盟生效,更新了有關個人資料與隱私的各項法律法規。GDPR要求公司企業在知悉資料洩露的72小時內向相關機構報告個人資料洩露事件。
ICO表示,如果資料洩露有可能造成損及歐盟公民人權與自由的較高風險,公司企業必須立即通告受影響的個人。公司企業還應確保設定有健壯的資料洩露檢測、調查及內部報告流程。
劍橋分析公司/Facebook醜聞觸發了一場為期14個月的政治運動資料使用調查。7月,英國資料監管機構釋出了該調查的中期報告,並在一份合作伙伴報告《民主崩壞?》中公佈了由該調查匯出的一些建議。
《民主崩壞?》報告連結地址:
ofollow,noindex">https://ico.org.uk/media/action-weve-taken/2259369/democracy-disrupted-110718.pdf