日期：10 March 2020

國家：丹麥

關鍵字：資料侵害事件；適當安全措施；資料加密

GDPR：§32 (security of processing)

裁決：行政罰鍰（建議罰款 DKK 100,000 and DKK 50,000）

摘要：

(1) 丹麥監管機關向警方報告兩起資料侵害事件，分別是 Gladsaxe 市、Hørsholm 市未依 GDPR 規定採取適當安全措施，並建議分別處理 DKK 100,000、DKK 50,000之行政罰鍰。

備註：大多數歐洲國家的監理機關，其本身即可對控管者處以行政罰鍰，但是愛沙尼亞和丹麥則有不同的設計。在這兩個國家，監管機關在調查和評估案件後，應將案件移交警方，由警方審查是否足夠證據可對控管者提出指控，最終，仍由法院決定是否課處以及課處若干之罰鍰。

第一起案件：Gladsaxe 市

(2) 在第一起案件，有一台電腦在 Gladsaxe 市的市政廳遭竊。

(3) 這台電腦內，儲存 20.620 位公民的個人資料——包括敏感性個資，而且沒有採取任何保密、加密措施。

第二起案件：Hørsholm 市

(4) 第二起案件發生在 Hørsholm市，一部由員工保管的電腦在車上遭竊。

(5) 這台電腦儲存該市約 1.600 名員工的個人資料——包括敏感性個資，而且也沒有採取任何保密、加密措施。。

市政府責任重大

(6) 監管機關認為，這兩起事件充分表現出，機關對個人資料未採取適當安全措施，將導致所有公民陷於資料外洩的高度風險。

(7) 監管機關認為，市政府處理非常大量的公民個人資料，包括敏感性資料。身為公民，根本沒有表達主動退出（opt-out）市政府對其個人資料處理程序的機會，因此，市政府當然應該承擔高度責任，以避免公民個人資料外洩；針對這兩起事件，市政府並未採取適當的安全措施，例如將硬碟資料加密處理等，顯見市政府對於個人資料的處理行為，非常不謹慎。