文/麻策律师

2019年5月28日,比利时数据保护局发出当局首份GDPR处罚。虽然该处罚金额仅仅为2,000欧元,但该份处罚是针对自然人身份的、比利时市市长的数据滥用行为,所以颇具意味。

本案的案情比较简单:有一位投诉人向比利时数据保护局提出了对比利时市市长的投诉,认为市长滥用投诉人的个人邮箱向投诉人发送了竞选选举(拉票)信息。问题是,市长之所以会知道投诉人的个人邮箱,是由于投诉人之前曾委托一名建筑师向市长就一房地产交易事项进行了咨询沟通,这位建筑师在其发送的邮件中附上了投诉人的电子邮件地址。于是,市长就“趁”2018年10月14日,即该市政选举的前一天,使用了投诉人的电子邮件地址,以“答复”的形式向投诉人发送了竞选(广告)信息。

比利时数据保护局调查认为,比利时市长的行为违反了欧盟《通用数据保护条例》第5条第1款第(b)项的规定:个人数据应当“为特定、明确和合法的目的而收集,并且个人数据的后续处理不得违反以上目的”;以及违反第6条第4款规定:“如果数据处理的目的与该数据被收集时的目的不同,并且该处理亦非基于数据主体的同意或欧盟或成员国法律的情形下,控制者应当考虑并确定该其他目的所进行的数据处理是否与个人数据最初被收集时的目的相一致”。

比利时数据保护局认为GDPR适用于任何控制人,当然也适用于市长等公共权力拥有人。用户必须能够相信,他们曾提供给公职人员的信息不会被用于其他任何目的,特别是个人竞选的目的。比利时市市长使用数据主体个人电子邮件地址并发送竞选信息的行为,已经超出个人数据主体当时提交个人邮件地址的目的,违反了GDRP中目的限制原则,市长获得的电子邮件地址必须收集用于特定目的,不得以与这些目的不相容的方式进一步处理。

虽然比利时数据保护局的处罚金额仅仅2000欧元,但该处罚是针对个人,特别是市政人员作出的处罚,所以事实上是比较严重的处罚。

声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。