日期：2 July 2019

國家：羅馬尼亞

關鍵字：個人資料侵害；適當安全措施；旅館業

GDPR：§32 (security of processing)

裁決：行政罰鍰（€ 15,000）

摘要：

(1) 監管機關認定控管者 WORLD TRADE CENTER BUCHAREST S.A. 違反 GDPR §32、33，而課處行政罰鍰（€ 15,000）。

(2) 控管者使用列印的紙本清單，以確認到餐廳享用早餐的消費者，然該清單遭未經授權之人拍照後，對外公布，進而導致 46 位消費者的個人資料外洩。

(3) 監管機關基於下述理由，對控管者處以行政罰鍰：

• 控管者沒有採取適當措施，以確保有權接近消費者個資之員工，僅能在授權範圍內處理消費者的個人資料。
• 同時，控管者也沒有實施適當的技術上或組織上措施，以確保與意外或違法處理個資之風險相配適的安全等級，特別是違法揭露，或違法接近個人資料的風險。