2024年11月28日,欧洲数据保护监督机构发布了一则行政处罚案例,波兰的Res-Gastro公司因未采取适当技术和组织措施确保数据安全,被处以54600欧元罚款。该案主要涉及《通用数据保护条例》(GDPR)第24条(控制者的责任)、第25条(通过设计默认的数据保护)、第32条(处理的安全性)、第5条(处理个人数据的原则)。
位于波德卡帕奇地区科尔布佐瓦的餐饮公司Res-Gastro M. Gaweł Sp. k.的一名员工丢失了一个包含个人数据的闪存盘。波兰个人数据保护机构长认定,由于该公司进行的风险分析不正确,未能预见数据载体丢失的风险,因此其处理个人数据的方式不符合GDPR的适用规定。
丢失的闪存盘中包含未加密的文件,这些文件包含另一名员工的个人信息,即姓名、地址、国籍、性别、出生日期、个人身份识别号(PESEL号)、护照系列号和号码、电话号码、电子邮件地址、照片以及收入金额数据。此外,闪存盘中还包含加密的财务数据文件。
在诉讼过程中,该公司展示了其拥有的文件,如风险登记册或GDPR程序监控确认书。然而,外部数据载体的使用规则,包括其加密,成为了一个问题。公司通过教学视频向员工介绍了如何加密文件。波兰个人数据保护机构指出,这实际上将数据处理方式的责任转移给了员工。
波兰个人数据保护机构认为,该公司对数据风险判断失误。公司假设数据载体可能会被盗窃或销毁,但没有考虑到介质可能仅仅因为无意的丢失而遗失。
此外,尽管假设了各种可能的事件,但并未在外部媒体上实施保护个人数据的加密解决方案。鉴于在此类媒体上处理的数据范围之广,仅提供一个“如何在闪存盘上加密文件以及使用哪个程序进行加密”的教学视频是远远不够的。
另一个问题是,该公司未能定期测量、测试和评估现有安全措施的有效性。
该公司主动报告了这一事件,并在诉讼过程中与波兰个人数据保护机构进行了合作,这对最终罚款的确定产生了重大影响。如果不是这样,罚款将会更高。罚款金额也考虑了公司的高营业额等因素。
波兰个人数据保护机构对Res-Gastro公司处以54,600欧元的罚款,原因是其违反了GDPR的第5条、第24条、第25条和第32条。此外,该公司还应采取适当的组织和技术措施,以确保数据处理的安全性。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...