欧盟GDPR于2018年5月25日执行,是迄今为止覆盖面最广、最严格的全球性数据隐私保护法规,违反规定的企业将面临最高达到2000万欧元或其全球收入的4%(两者取其高)的巨额罚款。并且,新规使用长臂管辖原则,无论公司总部设在哪里,只要在欧洲范围内经营就要受到GDPR的监管。
在《写给出海的伙伴:GDPR,一个可以讨论的话题》一文中,作者中写道:假如所有人都选择了“敬而远之”的角色,或“藏着掖着”的态度,那么GDPR在国内将会变得越发神秘,GDPR的规则和理念也似乎会变成只有少数人掌握的“珍稀资源”,出海企业对这样的一部外国法律,更加难以实践和落地。
在此小编也希望通过SCA连载之GDPR案例分析,打破这种神秘感,让GDPR合规不再是空中楼阁,帮助中国企业出海,共同开拓国际市场。
2018年7月,Barreiro 医院正式被起诉-
2018年7月17日,葡萄牙数据监管机构(CNPD)认定Barreiro医院违反GDPR,并处以40万欧元的罚款。
Barreiro是如何踩雷的?
资料显示,该医院通过他们的系统向至少9名非医疗专业人员(社会工作者)传送了患者临床数据。
相关机构在调查中发现:该医院只有296名医生,但在系统中具备访问功能的账户(医生)则多达985个。
此外,Barreiro医院被控“未将本院患者数据与另一家医院的存档数据正确分开,并且发现访问认证机制不足”。
最终,葡萄牙数据监管机构(CNPD)认定Barreiro医院违反GDPR,并处以40万欧元的罚款。
处罚理由是:
一、未将临床数据的访问权限分开,医院的医生都可以不受限制地访问所有患者档案;
二、医院的个人资料管理系统存在缺陷,该医院只有296名医生,但在系统中具备访问功能的账户(医生)则多达985个。
案件分析:
在Barreiro医院案例中,“未将临床数据的访问权限分开”是被起诉的关键。相关机构认为,Barreiro医院违反了GDPR条例中的“完整性”(integrity)、“保密性”(confidentiality)和“数据最小化”(data minimization)原则,未能确保其系统中数据的数据安全性。
那么GDPR个人数据处理原则包括哪些内容?
众所周知,GDPR规定数据处理的6大原则分别包括:“合法、公正、透明”原则,“目的限制”原则,“数据最小化”原则,“准确性”原则,“储存限制”原则,“完整性和保密性”原则。
第5条,GDPR第二章 原则(principles)第5条 与个人数据处理有关的原则 第1款规定个人数据应:
(a)以合法、公正和透明的方式进行涉及数据主体的处理(“合法、公正、透明”原则)
(b)为特定明确和正当的目的收集,且不得以不符合上述目的的方式进行进一步处理;为公共利益的存档目的、科学或历史研究目的或统计目的而进一步处理,依据本条例第89条第1款,不应被视为不符合初始目的(“目的限制”原则)
(c)适当相关且以处理目的所必需的为限(“数据最小化”原则)
(d)准确且必要及时更新;考虑个人数据处理的目的,必须采取一切合法措施,确保不准确的个人信息立即被删除或更正(“准确性”原则)
(e)可以识别数据主体的形式保存的时间不长于个人数据处理目的所必需的期间;在依据本条例第89条第1款个人数据仅为公共利益的存档目的、科学或历史研究目的而被处理,在实施本条例规定的适当的技术性和组织性措施以保障数据主体的权利和自由的情况下,个人数据可被储存更长时间(“储存限制”原则);
(f)以确保个人数据适当安全性的方式进行处理,包括采用适当的技术性和组织性措施以防止未经授权或非法的处理,以及意外遗失、破坏或损坏(“完整性和保密性”原则);
综上可知:我们已经全面进入了GDPR时代。而这个全新的时代也意味着,如果数据保护不当,可能会引起比以前更严重的罚则。因此,关于数据保护的任何细节都不容小觑。
PS:文章由SCA结合GDPR官方文档及相关法律报告整理,转载请注明出处。https://gdpr-info.eu/art-5-gdpr/
SCA关注安全通信和身份认证领域,为信息安全领域提供中立、专业的技术认证咨询服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。更多GDPR相关内容请点击下方文字链接:
SCA连载系列之| GDPR个人数据处理的6大原则包含哪些内容?
SCA连载系列之| GDPR哪些情况下会对企业征收行政罚款?
SCA连载系列之| GDPR个人“同意”后才能收集用户信息,要怎样操作才合规?
SCA连载系列之GDPR合规| 从数据主体处收集信息时的信息提供,应包含哪些内容?
SCA连载系列之| GDPR“数据处理”、“处理安全”、“加密”分别对应哪些内容?
SCA连载系列之GDPR合规| 企业应该怎样履行“设计”和“默认”数据保护的义务?
SCA连载系列之GDPR合规| 企业应如何进行数据保护影响评估(DPIA)?
SCA连载系列之GDPR合规| 数据处理记录是必须的吗?小企业也要做吗?
SCA连载系列之GDPR合规| 对个人数据删除权,企业有哪些责任?
SCA连载GDPR罚单之| 德国首例GDPR 数据处理案件,为啥罚单是2万欧元?轻罚的依据是什么?
SCA连载GDPR罚单之| 德国数据保护局vs德国学术机构,谁是数据控制者?
