GDPR Case 022. Polish DPA imposes € 645,000 fine for insufficient organisational and technical safeguards

日期：20 September 2019

國家：波蘭

關鍵字：機密性、適當安全措施

GDPR：§5 (1)(f) （confidentiality）、§32 (security of processing)

裁決：行政罰鍰（€ 645,000）

摘要：

(1) 波蘭監管機關（UODO）對控管者 Marle.net 公司課處行政罰鍰（€ 645,000），因為該公司用以保護個人資料的技術或組織措施並不充分，不足以因應處理個人資料時所帶來的風險，造成近2,200,000人的個人資料落到錯誤之人的手上。

(2) 監管機關表示，該公司欠缺適當的反應措施，以處理網站的異常流量。

(3) 在決定罰鍰數額時，監管機關分別考量下列事項：

• 由於涉及許多消費者，因此，本案發生的違規行為相當嚴重；
• 本次個人資料侵害事件的發生，可能造成資料主體極為不利的影響，例如身分盜用；
• 本次洩漏的個人資料，包括消費者的姓名、電話號碼、電子郵件、送貨位址；
• 其中的35,000人，因為資料包括分期貸款申請（installment loan），因此，他們遭到外洩的個人資料，還包括身分證字號、教育背景、註冊地址、通信地址、收入來源、淨收入金額、家庭生活費用、婚姻狀況、可貸數額或扶養費負擔數額等；

(4) 最終，監管機關認為，控管者未能採取所需的資料保護技術措施，因而違反 GDPR §5(1)(f) 的保密原則，使得消費者的個人資料遭到違法近用及取得，控管者採取的資料近用認證措施根本無效，考量諸般因素，因而對控管者課以如上數額之行政罰鍰。