GDPR Case 063. Finnish DPA imposes administrative fine for several deficiencies in personal data processing

日期：4 June 2020

國家：芬蘭

關鍵字：錄影監視系統；資料保護影響評估（DPIA）；自動化決策；告知義務

GDPR：§5(1)(c) (data minimisation)、§13 (information)、§22 (automated individual decision-making)、§35 (DPIA)

裁決：行政罰鍰（€72,000）、命令

摘要：

(1) 芬蘭監管機關對控管者 Taksi Helsinki Oy——計程車業者——課以 72,000 歐元之行政罰鍰，因為該公司在計程車上採用錄影監視系統記錄車內音訊及視訊前，並未評估個人資料處理的風險和影響，而在提供給客戶的資訊以及個人資料的處理過程中，也存在若干缺失。

未依法事前辦理資料保護影響評估（DPIA）

(2) 控管者在 2019 年將計程車內的監視系統更改為可以同時錄音、錄影的系統——原本只有錄影功能，但是該公司並未評估此舉是否符合 GDPR 的規定。

(3) 監管機關要求控管者進行平衡測試（balance test），例如：(1) 個人資料處理的必要性；以及 (2) 評估新的監視系統對當事人權利的影響；這是控管者在採取新的監視系統前，未依法辦理事項。

(4) 基於以下理由，本件控管者在計程車內使用監控系統，必須進行資料保護影響評估：

• 採用安全攝像系統；
• 進行位置資料處理；
• 基於公司忠誠度計畫（loyalty scheme）而進行的自動化決策與（行為）剖繪。

處理音訊資料，欠缺法律依據

(5) 依據控管者所提出報告，該公司承認使用錄音、錄影監控系統「處理」駕駛、員工，以及客戶的個人資料，但是並未解釋為什麼該系統只處理某些計程車內的錄音資料（換言之，只有特定計程車內進行錄音）。

(6) 控管者表示，錄音資料被錯誤的處理了！

(7) 但是監管機關認為，控管者處理上開錄音資料，並不符合 GDPR 的資料最小化原則（principle of data minimisation），因此命令控管者立刻停止處理錄音資料。

告知義務

(8) 調查結果還發現，控管者未依規定對當事人履行告知義務。

(9) 乘客搭乘計程車，並「無法」獲得該車正在進行錄音的資訊，而控管者公司的隱私權政策，也沒有關於忠誠度計畫——關於自動化決策以及剖繪——的說明。

(10) 因此，監管機關命令控管者必須改變其履行告知義務——包括乘客、駕駛等——的方式。