波兰一家餐饮公司Res-Gastro M. Gaweł Sp. k.的一名员工丢失了一枚装有个人数据的U盘,其中包括另一名员工的个人数据,如姓名、地址、国籍、性别、出生日期、个人身份证号码(PESEL号码)、护照号、电话号码、电子邮件地址、照片及工资收入数据。此外,U盘中还存有加密的财务数据文件。
波兰个人数据保护办公室认为,由于该公司未正确进行风险分析,未能预见数据载体丢失的风险,在处理个人数据的方式上违反了《通用数据保护条例》(GDPR)的相关规定。
2. 关键发现
在调查过程中,公司出示了一些文件,例如风险登记表和GDPR程序监控的确认记录。然而,其在外部数据载体使用规则(尤其是数据加密方面)上存在问题。公司通过教学视频向员工说明如何加密文件。个人数据保护办公室则认为,这实际上将数据处理方式的责任转移到了员工身上。
数据保护办公室发现,该公司对数据风险的评估存在误判。虽然公司考虑到了数据载体可能被盗或毁坏的风险,但却未将丢失的风险纳入考量。此外,尽管假设了各种可能发生的事件,但公司未实施有效的密码学解决方案来保护外部媒体上的个人数据。仅仅制作一段关于“如何加密U盘文件及使用何种程序”的教学视频,无法满足对处理此类范围数据的安全要求。此外,公司未能定期测量、测试和评估现有安全措施的有效性。
3. 判决结果
由于该公司主动向数据保护办公室报告了此事件,并在调查过程中积极配合。这对最终罚款金额产生了重大影响。如果没有这些因素,罚款金额会更高。此外,罚款金额的确定还考虑了公司营业额较高的因素。
数据保护办公室最终对Res-Gastro处以54,600欧元的罚款,认定其违反了GDPR第5条、第24条、第25条和第32条的规定。同时,要求公司采取适当的组织和技术措施,以确保数据处理的安全性。
扫二维码联系专业客服
