GDPR Case 011. Italian SA: Users must receive specific, helpful information in case of a Data breach

日期：7 June 2019

國家：義大利

關鍵字：個人資料侵害；通知當事人；通知內容

GDPR：§34 (communication to the data subject)

裁決：命令（適當處理資料）

摘要：

(1) 控管者履行告知義務，應該提供必要資訊，使資料主體得以認識到可能面對的風險，以及應該如何保護其個人資料。在發生個資侵害事件時，控管者不得僅提供泛泛的一般性資訊，而必須提供如何防止非法使用個資（特別是避免身份盜用）的具體指引。

(2) 本案控管者是義大利知名的電子郵件服務提供商，監管機關因為該公司通報發生個資侵害事件而啟動調查。

(3) 根據通報內容，該公司發現其系統在 2019 年 2 月 20 日，遭到不知名人士透過 WiFi 熱點進行詐欺性登入（fraudulent accesses），進而影響該公司使用者約 150 萬封電郵的憑證（credential），為了控制個資侵害影響的結果，該公司「要求」（obliged）使用者重新設置密碼，並且在寄發電郵通知前，設置了一個關於資料外洩資訊的網頁。

(4) 根據監管機關的調查，該公司的通知內容並不符合法規要求。

(5) 事實上，該公司透過電子郵件發送了兩個不同版本的內容，取決於使用者在個資外洩消息公布後的 48 小時內，是否已經更改密碼。

(6) 雖然兩個版本的內容都有提到：「我們的 IT 系統發生異常活動」，但是對於已經更改密碼的使用者，並未建議採取任何更進一步的保護措施，該公司認為，更改密碼已足以使舊的憑證失效；相反的，對於尚未更改密碼的使用者，則僅建議其更改密碼，以避免未經授權者入侵電郵帳戶的風險。

(7) 考量使用者可能面臨的高度風險，監管機關認為這樣的通知內容，並未提供充足資訊予使用者。

(8) 因此，監管機關命令該公司應該對使用者重新描述洩露的個資類型以及其可能的後果，並提供具體指導，說明應採取哪些措施來防止額外風險，例如，不要在其他線上服務使用相同的或類似的帳號、密碼。