日期：21 March 2019

國家：匈牙利

關鍵字：個人資料侵害；特種資料（政治意見）；通報監管機關；通知當事人；適當安全措施

GDPR：§9(1) (processing of special categories of personal data, shall be prohibited)、§32 (security of processing)、§33 (notification to the SA)、§34 (communication to the data subject)

裁決：行政罰鍰（€ 35,000）

摘要：

(1) 民主聯盟——一個匈牙利的國會政黨——經營 http://web.dkp.hu 網站，而該網站資料庫內儲存大量的該政黨支持者的個人資料。

(2) 某位匈牙利公民通知監管機關（NAIH），告知該政黨支持者的個人資料被公開在某駭客論壇上，被公開的個人資料，包括姓名、電郵、登入名稱以及弱加密的 MD5 密碼（約 6,000 人）。

(3) 此外，駭客也同時通知民主聯盟，但該政黨迄今為止，仍未依 GDPR §33、34 規定，通知監管機關及資料主體（支持者）；民主聯盟認為，他們沒有義務通知監管機構和資料主體，因為外洩資料僅包括該黨黨員和支持者的過時個人資料，而且這些資料已經很多年沒有更新了。

(4) 監管機關指出，資料多年沒有更新，與資料外洩所可能造成的風險，根本無關。本次個資侵害事件應被視為高風險事件，因為這次事件洩露了目前仍然是（或可能是）該黨黨員或支持者的真實資料。特別是，這涉及到資料主體有關政治意見（political opinion）的特種個人資料。

(5) 甚者，民主聯盟使用過時的加密技術（MD5）處理使用者密碼，也可能對資料主體的權利和自由造成嚴重風險（serious risks），因為洩漏上述個人資料，可能使資料主體在利用其他線上服務時，發生其他侵害事件。

(6) 承上，監管機關對民主聯盟課處 € 35,000 的行政罰鍰。