日期：10 December 2019

國家：羅馬尼亞

關鍵字：資料正確性；機密性；適當安全措施

GDPR：§5(1)(d) (accuracy of data)、§5(1)(f) (integrity and confidentiality)、§25 (data protection by design and by default)、§32 (security of processing)、§33 (notification to the SA)

裁決：行政罰鍰、命令

摘要：

(1) 監管機關接到投訴，表示控管者 Hora Credit IFN SA 寄送的電子郵件中，包含有他人的個人資料，雖然投訴人已經將這個錯誤同時告知控管者及其電話中心（call-centre），但是控管者並沒有即時予以改正。

(2) 經過調查，控管者在處理個人資料時，並未證明已依 GDPR §5 規定，提供有效的機制以驗證及確認所蒐集資料的正確性，從而在處理個人資料時，違反資料機密性原則。

(3) 此外，控管者也沒有依 GDPR §25、32 規定，對個人資料採取足夠的安全保護措施，以避免個人資料不當洩漏與第三人；更沒有在知悉個人資料外洩事件後72小時內通報監管機關（§33）。

(4) 據上，監管機關對控管者課以行政罰鍰，並命令採取適當的改正措施。