GDPR Case 091. Lithuania DPA imposes fine for improperly processed personal data of the parents of an adopted child

日期：21 October 2020

國家：立陶宛

關鍵字：資料正確性原則、資料完整及保密原則、個資保護設計及預設原則

GDPR：§5(1)(d) (accuracy of data)、§5(1)(f) (integrity and confidentiality)、§25 (data protection by design and by default)

裁決：行政罰鍰（€15,000）

摘要：

(1) 立陶宛監管機關對控管者 Vilnius 市政府課處行政罰鍰（€15,000），因為該市不當處理兒童收養關係的相關資料。

(2) 監管機關認為，因為控管者未能採取適當的技術性及組織性措施，導致在處理兒童收養關係相關資料時，未能確保個人資料的正確性，因而違反 GDPR §5(1)(d)、(f) 等規定。

(3) 經過調查，監管機關發現，當養父母在市政府「人口資訊系統」填寫收養子女的教育補助時，雖然系統會保存相關資料，但是，在每個月自動更新資料時——根據市政府與國家企業登記中心（State Enterprise Centre of Registers）之間的協議，前述資料會自動被另一個系統——即「戶籍登記簿」（Population Register）的個人資料所覆蓋，此時，養父母的聯絡方式（例如電郵信箱），會被置換為原生父母的聯絡方式。

(4) 在處理個人資料時，控管者必須遵守資料正確性原則（principle of accuracy），以確保資料的正確性，在必要的情況，確保資料維持在最新狀態；同時，控管者也必須採取一切合理措施，以確保不正確的個人資料會被即時刪除或糾正（錯）（GDPR §5(1)(d)）。

(5) 此外，控管者也必須遵守資料完整及保密原則（principle of integrity and confidentiality），採取適當的技術上及組織上措施，以避免個人資料遭違法存取、違法處理，以及意外洩露、破壞或損壞（GDPR §5(1)(f)）。

(6) 監管機關在裁罰理由中，指出：個人的聯絡方式——無論是否已在戶籍登記簿予以註明，例如本案的電郵信箱，應該只有當事人可以隨時予以修改，而且，也只有當事人可以進行修改，本案控管者無權依據國家企業登記中心提供的資訊，任意修改當事人已經提供之個人資料。

(7) 因此，在處理第三方（孩子的原生父母之一）的電子郵件地址作為申請人的聯繫數據時，市政當局未能實施適當的組織和技術措施；因此，未能確保處理的個人數據的準確性原則，並且違反 GDPR §5(1)(d)、(f) 等規定。