据欧洲数据保护委员会官网消息,2019年9月20日,波兰个人数据保护办公室(UODO)负责人对Morele.net(波兰一家计算机产品销售公司)处以超过2,800,000波兰兹罗提(折合约645,000欧元)的罚款。
波兰个人数据保护办公室负责人指出,该公司针对个人数据保护的组织措施和技术措施不足以应对个人数据处理过程中产生的风险,缺乏适当的应对程序来处理突发的异常网络传输,导致约220万人的数据落入了不法分子手中。
在处以罚款的同时,该监督机构表示,本案所涉及的违法行为情节相当严重、影响重大,并且涉及人员众多。UODO还在处罚决定中指出,由于侵权行为,个人数据流入不法分子手中的受害方将可能面临如身份窃用等高风险的不良影响。
相关个人数据有:姓名、电话号码、邮箱地址以及收件地址。更严重的是,约3.5万人的信息是从分期贷款申请中泄露出来的,其泄漏数据范围包括个人身份证号码(PESEL号码)、身份证件的序列号及号码、教育背景、登记地址、通信地址、收入来源、净收入数额、家庭生活费用、婚姻状况以及信贷承诺或赡养义务的金额。
在作出罚款的决定中,UODO负责人总结说,该公司未能按照要求的数据保护技术方法实施管理,已涉嫌违法,尤其是违反了欧盟GDPR法规第5 (1)(f) 条规定的保密原则。因此,该公司存在未经授权便访问和获取客户数据的情况。UODO认为数据访问的身份验证措施并未实施到位。该公司在违反法规后采取了额外的技术安保措施。
调查显示,发生侵权事件的原因还包括对潜在风险的监管不力。调查进一步揭露了其他不当行为,但正是由于缺乏适当的技术(保障措施不足)和组织措施(对非典型网络行为相关潜在风险的监测),才导致Morele.net被处以罚款。然而,在确定罚款金额时,UODO主席考虑了减轻情节,例如:Morele.net为终止侵权行为而采取的行动、与管控方之间良好合作以及该公司此前没有违反个人数据保护法的事实。
本新闻由广东省WTO/TBT通报咨询研究中心摘录/编辑/整理并翻译,转载请注明来源。
更多详情请见:https://edpb.europa.eu/news/national-news/2019/polish-dpa-imposes-eu645000-fine-insufficient-organisational-and-technical_en