GDPR Case 063. Finnish DPA imposes administrative fine for several deficiencies in personal data processing
GDPR Case 063. Finnish DPA imposes administrative fine for several deficiencies in personal data processing
GDPR:§5(1)(c) (data minimisation)、§13 (information)、§22 (automated individual decision-making)、§35 (DPIA)
日期:4 June 2020
國家:芬蘭
關鍵字:錄影監視系統;資料保護影響評估(DPIA);自動化決策;告知義務
GDPR:§5(1)(c) (data minimisation)、§13 (information)、§22 (automated individual decision-making)、§35 (DPIA)
裁決:行政罰鍰(€72,000)、命令
摘要:
(1) 芬蘭監管機關對控管者 Taksi Helsinki Oy——計程車業者——課以 72,000 歐元之行政罰鍰,因為該公司在計程車上採用錄影監視系統記錄車內音訊及視訊前,並未評估個人資料處理的風險和影響,而在提供給客戶的資訊以及個人資料的處理過程中,也存在若干缺失。
未依法事前辦理資料保護影響評估(DPIA)
(2) 控管者在 2019 年將計程車內的監視系統更改為可以同時錄音、錄影的系統——原本只有錄影功能,但是該公司並未評估此舉是否符合 GDPR 的規定。
(3) 監管機關要求控管者進行平衡測試(balance test),例如:(1) 個人資料處理的必要性;以及 (2) 評估新的監視系統對當事人權利的影響;這是控管者在採取新的監視系統前,未依法辦理事項。
(4) 基於以下理由,本件控管者在計程車內使用監控系統,必須進行資料保護影響評估:
- 採用安全攝像系統;
- 進行位置資料處理;
- 基於公司忠誠度計畫(loyalty scheme)而進行的自動化決策與(行為)剖繪。
處理音訊資料,欠缺法律依據
(5) 依據控管者所提出報告,該公司承認使用錄音、錄影監控系統「處理」駕駛、員工,以及客戶的個人資料,但是並未解釋為什麼該系統只處理某些計程車內的錄音資料(換言之,只有特定計程車內進行錄音)。
(6) 控管者表示,錄音資料被錯誤的處理了!
(7) 但是監管機關認為,控管者處理上開錄音資料,並不符合 GDPR 的資料最小化原則(principle of data minimisation),因此命令控管者立刻停止處理錄音資料。
告知義務
(8) 調查結果還發現,控管者未依規定對當事人履行告知義務。
(9) 乘客搭乘計程車,並「無法」獲得該車正在進行錄音的資訊,而控管者公司的隱私權政策,也沒有關於忠誠度計畫——關於自動化決策以及剖繪——的說明。
(10) 因此,監管機關命令控管者必須改變其履行告知義務——包括乘客、駕駛等——的方式。