信息专员办公室(ICO) 宣布 打算以违反1998年《数据保护法》(该法)为由,对Bounty(UK)Limited(Bounty)处以40万英镑的罚款。由于此违规行为的时机,它受该法案约束,而不是受《通用数据保护条例》 2016/679(GDPR)约束。英国在GDPR之前的制度下允许的最高罚款为500,000英镑。

背景

赏金是一个怀孕和育儿支持俱乐部。它向母亲提供了信息包和糖果袋,以换取个人数据。它还提供了一个移动应用程序,供用户跟踪怀孕情况,并提供新生的肖像服务。它的画像服务是英国同类医院中规模最大的。

Bounty在其网站上制定了数据保护政策。数据保护政策规定,赏金:(i)出于营销目的收集个人数据; (ii)可能与选定的第三方共享个人数据。数据保护政策规定,用户可能会收到Bounty或第三方的通信。但是,该政策未明确标识与个人数据共享的第三方或第三方的类型。

赏金还使用在产科病房中完成的硬拷贝卡收集了个人数据。这些卡片表明,如果填写了卡片,收件人将同意Bounty处理其个人数据。卡片还简要概述了Bounty可以共享个人数据的可能性。但是,同样,没有包含有关第三方收件人的详细信息。收件人必须在填写卡片时提供姓名和邮政地址。为了利用Bounty的服务,收件人别无选择,只能提供一些个人数据。

违反

在截至2018年5月的11个月中,Bounty与第三方共享了超过3500万笔个人数据记录。其中包括信用咨询机构,营销公司和电信公司。这代表了大约1,430万个人的个人数据,包括新生婴儿的出生日期,性别以及父母的详细信息。 Bounty最初共享之后,此个人数据随后最多共享了17次给其他第三方。

ICO的决定

由于缺乏与第三方共享个人数据的信息,因此,未获得同意的情况并不明确且知情。人们无法预见其数据将与从Bounty接收个人数据的组织类型共享。

赏金违反了该法案的公平性要求。对于使用硬拷贝卡提供其个人数据的人,没有得到自由同意。这些人别无选择,只能同意共享其个人数据。

在做出决定时,ICO考虑了受影响人数之多。超过1400万人受到影响。其中许多特别脆弱,包括新妈妈,准妈妈和很小的孩子。

评论

赏金计划现在有机会对ICO的货币罚款通知书提出上诉。 ICO在其决定中解释说,数据保护影响评估将表明Bounty不遵守该法案。赏金计划现已停止交易并与第三方共享个人数据。

这个还不错 最近的其他罚款 展示数据保护机构如何在减少重大处罚方面越来越主动和果断。如果这项调查是根据GDPR进行的,可能的罚款可能会更大。

这种情况很重要,它提醒公司在收集个人数据时要尽可能透明。人们必须能够快速,清晰,轻松地了解如何处理其个人数据。任何模棱两可或缺乏坦率的态度都会越来越多地导致严厉的监管处罚。