GDPR Case 059. The Swedish Data Protection Authority issues fine against the National Government Service Centre

日期：30 April 2020

國家：瑞典

關鍵字：個人資料侵害；通報監管機關；處理者的通報義務

GDPR：§33(2) (processor shall notify the controller without undue delay)

裁決：行政罰鍰（approx. €18,700）

摘要：

(1) 國立政府服務中心（National Government Service Centre (NGSC)）是為瑞典政府部門提供行政支援服務的機構，協助政府機構的薪資管理、財務管理以及電子商務管理。

(2) 瑞典監管機關收到一些關於薪資管理系統錯誤導致個人資料外洩的投訴，因而對 NGSC 展開調查。

(3) 調查顯示，NGSC 花了太長的時間——五個月——才通知各控管者（政府部門）薪資系統發生錯誤；但是，在發生個資侵害事件時，處理者原應在發現時即時通知控制者，以便他們可以向監管機關通報，並且採取進一步措施以減輕任何可能風險。

(4) 本件處理者 NGSC 並未履行上述通報義務，監管機關因而對其課處行政罰鍰。

Reference

Article 33 Notification of a personal data breach to the supervisory authority

2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.