摘要:因 IDdesign未严格遵守数据存储限制原则、最小范围原则、责任原则及丹麦关于数据留存期限的具体规定,2019年6月3号丹麦数据保护局对其进行了150万丹麦克朗(约156万人民币元,20万欧元)的罚款。丹麦IDdesign公司此次被罚给我们出海企业都带来了什么启示?跟SCA一起来探讨吧!
案件详情
根据丹麦《数据保护法》(Data Protection Act:DPA)和《一般数据保护条例》(General Data Protection Regulation:GDPR)的规定,IDdesign于2018年秋季被丹麦数据保护局视为被监督公司。经调查,最终于2019年6月3日,丹麦数据保护局对其进行了150万丹麦克朗(约156万人民币元,20万欧元)的罚款。
2018年秋,丹麦数据保护局对IDdesign进行了一次审计,以检查公司是否已设置删除客户信息的期限以及是否遵守了截止日期。发现 IDdesign 大约385,000 名客户个人数据超出了初始处理目的所需的时间范围。此外,该公司在各种 IT 系统中存储了客户发票信息及人员招聘信息,但没有在存储期限结束后删除相关数据。并且,对于其他已删除的数据,IDdesign 也没有对删除个人数据的过程进行记录和存档。
应数据保护局的要求,在审计之前,IDdesign为丹麦数据保护局选择的处理个人数据的每个系统填写了一份问卷,并将这些问卷连同其他材料提交给审计部门。根据丹麦数据保护局在审计中发现的情况,丹麦数据保护局得出以下结论:
1、IDdesign不符合《一般数据保护条例》(GDPR)第5条第1款(e)项存储限制的要求:可识别数据主体的形式保存的时间不长于个人数据处理目的所必需的时间(“储存限制”原则)。而IDdesign公司在AX 2.5系统中处理大约385,000个客户的个人数据的时间超过了处理这些数据使用目的所需的时间。
2、该IDdesign与AX 2.5系统中的信息不符合《一般数据保护条例》(GDPR)第5条第2款的要求:数据控制者应对第1款规定负责,并应证明符合第1款规定(“责任”原则)。因为公司尚未确定并记录删除个人数据的截止日期——IDdesign公司尚未在AX 2.5中设置删除个人数据的截止日期,并且从未擦除系统中的个人数据。
3、该IDdesign不符合《一般数据保护条例》(GDPR)第5条第1款的要求。数据保护局认为,IDdesign 因为未遵守删除公司自己确定的客户个人数据的截止日期——公司在AX 2012系统中继续处理客户的个人数据,虽然公司已经设定了自己的信息截止日期,但却没遵守,因此不符合《一般数据保护条例》(GDPR)第5条第1款的要求:个人数据的存储方式不能使识别数据主体的时间长于处理个人数据目的所需的时间(“储存限制”原则)。
数据检查专员在评估中强调-基于最迟于2015年7月9日将个人数据输入AX 2012的事实-这是相对短的时间,最长为275天于2018年10月8日进行的监督访问-已超过912天的删除期限(SCA提醒,企业还应该注意丹麦数据保护局对企业数据存留时间的规定)。
4、在IDdesign进行审核访问时,丹麦数据保护局还审查了在公司的招聘系统YoungCRM和公司的HR系统时间表中删除个人信息的程序。发现该公司没有充分记录其删除个人数据的程序。在进行审核之前,IDdesign表示,这两个系统中的删除是根据删除截止日期手动完成的。数据保护局认为没有书面程序可以跟踪删除个人数据,使这些程序是固定程序,应该在现有程序中进行注册。数据保护局认为IDdesign不符合《一般数据保护条例》(GDPR)第5条第(1)款(“储存限制”原则)的要求。
违规分析
综上,根据丹麦数据保护局审计相关的发现::
1、该IDdesign不符合《一般数据保护条例》(GDPR)第5条第1款(“储存限制”原则)的要求。因为公司在AX 2.5系统中处理最多385,000个客户的个人数据所需的时间比处理它们所需的时间更长。
2、该IDdesign与AX 2.5系统中的信息不符合《一般数据保护条例》(GDPR)第5条第2款(“责任”原则)的要求。因为公司尚未设定并记录删除个人数据的截止日期。
3、该IDdesign不符合《一般数据保护条例》(GDPR)第5条第1款(“储存限制”原则)的要求。由于公司在系统设置了自己的信息截止日期之后,AX 2012系统中的公司继续处理客户的个人数据。企业应该注意丹麦数据保护局对企业数据存留时间的规定。
4、该IDdesign不符合《一般数据保护条例》(GDPR)第5条第(1)(“储存限制”原则)款有关公司招聘系统和HR系统的要求,因为该公司没有充分记录其删除个人数据的程序。
合规启示
1、由违规分析可知,IDdesign公司多处数据处理行为违反了《一般数据保护条例》(GDPR)中与个人数据有关的原则中的“储存限制”原则,因此企业应该严格遵守存储限制原则,个人数据的存储方式不能使识别数据主体的时间长于处理个人数据所需的时间。这意味着,当不再需要个人数据时,应该将其删除或匿名化;
2、IDdesign公司的招聘系统YoungCRM和公司的HR系统时间表中删除个人信息的程序没有做好记录而违规的行为给我们以启示:数据控制者必须记录并对数据处理记录进行存档。这也是《一般数据保护条例》中“责任”原则的要求。
3、另外,从丹麦IDdesign公司被罚的案例中,我们也能看出丹麦数据保护局有对企业数据存留时间的规定,以及遵守数据最小范围原则的必要性。决定何时不再需要收集和记录的个人数据来处理数据,以及何时将信息从系统中删除,这是建立正确且有效的程序以删除个人数据的第一步和最基本的步骤。
最后,SCA温馨提示出海企业,数据合规是企业更好发展的前提,在数据合规的道路上不但要遵守《一般数据保护条例》(GDPR)的相关原则及规定,还应该在企业的活动范围内注意该国数据保护机构的相关法律规定,例如丹麦的数据存留时间限制。
PS:本文由SCA结合相关法律文件及报导整理,转载请注明出处。
附丹麦官网对IDdesign公司罚款决定的通报链接:
https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jun/tilsyn-med-iddesigns-behandling-af-personoplysninger/
1156
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
