日期：26 June 2019

國家：羅馬尼亞

關鍵字：資料最小化；資料保護設計與預設

GDPR：§5(1)(c)（data minimisation）、§25 (data protection by design and by default)

裁決：行政罰鍰（€ 130,000）

摘要：

(1) 監管機關認為控管者 UNICREDIT BANK S.A. 違反 GDPR §5(1)(c)、25 等規定，而對其課以行政罰鍰（€ 130,000）。

(2) 調查發現，在線上交易過程中，UNICREDIT BANK S.A. 將付款人的身份證字號、地址等個人資料，透過交易明細揭露予受款人，如果付款人是透過另外一家銀行帳戶執行交易，則揭露的資訊還包括其外部交易明細、現金存款等個人資料，在半年內，涉及到 337,042 位資料主體。

(3) GDPR §5(1)(c) 規定，控管者應遵守資料最小化原則，必須基於處理目的，而為最小範圍內的個人資料處理，並且採取適當的技術上或組織上措施，在採取必要措施時，必須符合資料保護設計及預設原則（data protection by design and by default.），例如：

• 盡量減少需要處理個人資料的數量；
• 儘快將個人資料假名化；
• 提高個人資料處理的透明度，使資料主體能夠監控資料處理的過程，也使得控管者得以改進資料處理的安全性。

(4) 控管者在開發、設計、選擇和使用用以處理個人資料的應用程式、服務和產品時，應鼓勵產品、服務和應用程式的生產者，充分考慮保護個資措施，並且採用現有技術，以確保控管者和處理者能夠履行其個資保護義務。