波兰个人数据保护办公室(the Personal Data Protection Office)的负责人在Morele.net上罚款超过2,800万波兰兹罗提币。
该公司保护个人资料的组织和技术措施,并不适合处理个人资料所带来的风险,这意味着约有2200万人的资料落入不法之徒之手。个人数据保护办公室(UODO)的负责人总结说,缺乏适当的反应程序来处理出现的不寻常的网络流量。
监察当局在罚款的同时,认为本案中所发生的违反行为相当重要、性质严重、涉及许多人。监察机关在其决定中亦指出,由于侵权行为,个人资料落入不法分子之手的人士,极有可能受到不利影响,例如身份被盗用。
有关资料包括:姓名、电话号码、电邮、派递地址。然而,大约35000人的分期贷款申请数据被泄露。数据的范围包括个人身份证号码(PESEL号码)、教育背景、注册地址、通讯地址、收入来源、净利润、家庭的生活成本、婚姻状况,以及大量的信贷承诺或维护义务。
在罚款决定中,UODO的负责人认为,该公司没有遵守必要的数据保护技术手段,违反了《GDPR》第5 (1)(f)条规定的保密原则。因此,有未经授权的人士查阅及取得客户资料。事件发生后,该公司实施了额外的技术安全措施。
调查显示,侵权行为的发生也是由于对潜在风险的监测不力。调查还发现了其他不当行为,但正是由于缺乏适当的技术(保障措施不足)和组织措施(监控与非典型网络行为相关的潜在风险),才导致了罚款。然而,在确定其金额时,UODO的负责人考虑到了减轻罪责的情况,例如:公司为终止侵权而采取的行动;与财务总监的良好合作;以及公司以前从未违反过个人数据保护法。
文章及图片来源:https://uodo.gov.pl/en/553/1087
供稿者:李众 编辑:杨慕青
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。