GDPR Case 010. First Significant Fine Was Imposed for the Breaches of the General Data Protection Regulation in Lithuania
GDPR Case 010. First Significant Fine Was Imposed for the Breaches of the General Data Protection Regulation in Lithuania
GDPR:§5(1)(c) (data minimization)、§5(2) (accountability)、§32 (security of processing)、§33 (notification to the SA)
日期:21 May 2019
國家:立陶宛
關鍵字:資料最小化;當責;個人資料侵害;通報監管機關;適當安全措施
GDPR:§5(1)(c) (data minimization)、§5(2) (accountability)、§32 (security of processing)、§33 (notification to the SA)
裁決:行政罰鍰(€ 61,500)
摘要:
(1) 控管者 MisterTango UAB 是一家經營國際業務的財務公司,提供立陶宛居民、公司與外國居民、公司之間的跨國付款服務。
(2) 該公司在處理跨國付款服務時,會將涉及個人資料的電腦畫面予以截圖(screenshots)儲存,但是因為不適當的處理方式,導致個人資料侵害事件,並且怠於通報監管機關。
不當處理個人資料
(3) 監管機關認為,MisterTango UAB 在處理(訪問,收集)個人資料時,蒐集超過處理付款所需之客戶個人資料。
(4) 基於資料最小化原則(data minimisation principle),MisterTango UAB 在處理跨國付款業務時,其實只需要蒐集付款人的姓名、身分證字號、銀行帳號、貨幣以及帳戶餘額、付款目的、付款代碼(payment code)等資訊,即可進行付款作業。
(5) 但是,除了上開資料外,該公司還搜集了下列多餘資訊:
- 客戶尚未審閱的電子發票日期、發票人姓名和金額;
- 客戶尚未讀取的電子發票提交日期、主題,以及通知的部分內容;
- 客戶辦理貸款的目的、類型、金額;
- 客戶養老年金基金的名稱、累計單位、價值,以及累計金額;
- 客戶的信貸類型(例如抵押貸款額度)、銀行帳戶餘額、其他付款的金額與日期、持有的現金卡號碼以及帳戶餘額。
(6) 此外,該公司儲存上開資料的時間,超過了其自己設定的資料保存期限,這些資料保存了 216 天,而不是僅有 10 分鐘——調查過程中,MisterTango UAB 宣稱的儲存期限。
(7) 依 GDPR §5 規定,控管者應證明其已遵守當責性原則(Principle of Accountability),在本案中,MisterTango UAB 無法提供足夠的證據證明。
個人資料外洩
(8) 監管機關調查後發現,MisterTango UAB 的客戶付款清單被公開在該公司網站上,至少兩天以上,外部人得以瀏覽與特定客戶有關的銀行機構、個人資料。
(9) 此外,網站還公開了 9,000 多張螢幕截圖,內容包括不同國家的客戶,在 12 家不同銀行付款對話詳細內容。
(10) 據此,監管機關認為 MisterTango UAB 並未遵守資料最小化原則,也沒有實施適當的個人資料保護政策,因此,該公司並未採取適當的技術上或組織上措施,以確保與風險相適配的安全等級,因而違反 GDPR §5、32 等規定。
未及時通報監管機關
(11) 監管機關認為,上述未經授權之人得以在 MisterTango UAB 網站上查閱特定人之個人資料的事實,屬於個資侵害事件,必須通報監管機構,本件 MisterTango UAB 未在知悉個資侵害事件後 72 小時內,及時通報監管機關,違反 GDPR §33 之規定。