日期：21 May 2019

國家：立陶宛

關鍵字：資料最小化；當責；個人資料侵害；通報監管機關；適當安全措施

GDPR：§5(1)(c) (data minimization)、§5(2) (accountability)、§32 (security of processing)、§33 (notification to the SA)

裁決：行政罰鍰（€ 61,500）

摘要：

(1) 控管者 MisterTango UAB 是一家經營國際業務的財務公司，提供立陶宛居民、公司與外國居民、公司之間的跨國付款服務。

(2) 該公司在處理跨國付款服務時，會將涉及個人資料的電腦畫面予以截圖（screenshots）儲存，但是因為不適當的處理方式，導致個人資料侵害事件，並且怠於通報監管機關。

不當處理個人資料

(3) 監管機關認為，MisterTango UAB 在處理（訪問，收集）個人資料時，蒐集超過處理付款所需之客戶個人資料。

(4) 基於資料最小化原則（data minimisation principle），MisterTango UAB 在處理跨國付款業務時，其實只需要蒐集付款人的姓名、身分證字號、銀行帳號、貨幣以及帳戶餘額、付款目的、付款代碼（payment code）等資訊，即可進行付款作業。

(5) 但是，除了上開資料外，該公司還搜集了下列多餘資訊：

• 客戶尚未審閱的電子發票日期、發票人姓名和金額；
• 客戶尚未讀取的電子發票提交日期、主題，以及通知的部分內容；
• 客戶辦理貸款的目的、類型、金額；
• 客戶養老年金基金的名稱、累計單位、價值，以及累計金額；
• 客戶的信貸類型（例如抵押貸款額度）、銀行帳戶餘額、其他付款的金額與日期、持有的現金卡號碼以及帳戶餘額。

(6) 此外，該公司儲存上開資料的時間，超過了其自己設定的資料保存期限，這些資料保存了 216 天，而不是僅有 10 分鐘——調查過程中，MisterTango UAB 宣稱的儲存期限。

(7) 依 GDPR §5 規定，控管者應證明其已遵守當責性原則（Principle of Accountability），在本案中，MisterTango UAB 無法提供足夠的證據證明。

個人資料外洩

(8) 監管機關調查後發現，MisterTango UAB 的客戶付款清單被公開在該公司網站上，至少兩天以上，外部人得以瀏覽與特定客戶有關的銀行機構、個人資料。

(9) 此外，網站還公開了 9,000 多張螢幕截圖，內容包括不同國家的客戶，在 12 家不同銀行付款對話詳細內容。

(10) 據此，監管機關認為 MisterTango UAB 並未遵守資料最小化原則，也沒有實施適當的個人資料保護政策，因此，該公司並未採取適當的技術上或組織上措施，以確保與風險相適配的安全等級，因而違反 GDPR §5、32 等規定。

未及時通報監管機關

(11) 監管機關認為，上述未經授權之人得以在 MisterTango UAB 網站上查閱特定人之個人資料的事實，屬於個資侵害事件，必須通報監管機構，本件 MisterTango UAB 未在知悉個資侵害事件後 72 小時內，及時通報監管機關，違反 GDPR §33 之規定。