波兰数据保护局(UODO)首次实施 精细 违反《通用数据保护条例2016/679(GDPR)》的行为。 Bisnode是一家总部位于瑞典的数据聚合公司,被罚款近100万兹罗提(约合22万欧元)。该决定发现Bisnode未履行告知数据主体根据GDPR第14条如何处理其个人数据的职责。

GDPR第14条

GDPR第14条要求公司向个人解释,如果公司没有直接从个人那里获取数据,他们将如何处理他们的个人数据。一个典型的例子是公司从开放源中收集信息,例如社交媒体资料。 GDPR第14条要求控制者向受影响的个人解释处理哪些个人数据,如何处理该数据,将其保留多长时间等。

GDPR第14(5)条包含了这项义务的豁免。管制员没有义务通知受影响的个人,“在这种情况下,提供此类信息被证明是不可能的,或者涉及不成比例的努力”,或者在义务中“有可能使该处理的目标无法实现或严重损害其实现”。

事实

Bisnode从公共数据库和注册处获取个人数据,以提供验证服务和报告。个人数据集中于当前和过去的企业家和企业主。

UODO审查的数据集包含大约760万条个人数据记录。 Bisnode能够向大约700,000个人提供正确的隐私信息,其中记录中包含电子邮件地址。 Bisnode仅具有数据集中其余个人的手机号码和邮政地址。 Bisnode在其网站上针对那些未通过电子邮件收到隐私通知的个人显示通知。

Bisnode认为,通过邮寄和/或SMS向这些人发送隐私信息的成本不成比例。仅邮寄费用就估计约为3300万兹罗提(约合770万欧元)。 Bisnode向UODO解释说,这笔费用将比去年的营业额高。此外,公司分配人员和资源以准备,发送和管理响应的额外负担给资源造成了很大压力。 Bisnode声称它可能威胁Bisnode在波兰的持续运营。

决断

尽管如此,UODO发现Bisnode未能履行其GDPR第14条的义务,即告知数据当事人如何处理其个人数据。 UODO在其决定中表示,与受影响的个人联系并非不可能,也不会付出巨大的努力。 UODO进一步发现,Bisnode对其作为控制者的GDPR义务的了解以及对其继续进行的处理加剧了因素。即使没有对数据主体造成损害,UODO也不认为这是减轻影响的论点。在Bisnode告知的那些数据主体中,约有12,000人反对使用其数据。该决定指出,罚款被定为较高水平,以阻止公司将诸如运营成本之类的罚款考虑在内。

评论

有趣的是,UODO选择在决定中不公开Bisnode的身份。 Bisnode随后发布了一份在线声明,揭示了它的参与。该决定提出的问题多于其答案,并说明了欧盟监管机构需要保持清晰和一致。

UODO的决定为使用GDPR第14(5)条豁免规定了很高的标准。现在尚不清楚何时可以合理地依赖这些豁免。数据抓取与数据主体权利等实践之间的紧张关系很难解决。目前,英国数据保护局 建议 如果无法提供隐私信息,则必须进行数据保护影响评估。这似乎与UODO的做法不符。

主要的收获是处理从公共资源收集的个人数据以谨慎行事的公司。请注意您的GDPR第14条通知义务。确保记录您的处理决定,特别是如果您决定不告知受影响的个人您如何处理他们的个人数据时,尤其如此。最重要的是,要做好监管审查和参与的准备。