随着GDPR的出台,欧盟主要追求两个目标。一方面,统一的数据保护框架已经建立;另一方面,企业认真对待数据保护的压力也越来越大——违反规定可能会受到高额罚款。本周,巴登-符腾堡州数据保护和信息自由专员公署 (LfDI) 根据 GDPR 在德国实施了第一笔罚款。涉事公司必须支付2万欧元的罚款。
该案件的核心是一家社交媒体公司。该公司发现黑客早在 7 月份就已直接侵入系统并窃取了约 33 万名用户的数据记录。数据记录包括电子邮件地址和密码等。
然而,该公司直到 9 月份才注意到黑客攻击,之后联系了 RCS 数据韩国 负责的监管机构 LfDI Baden-Württemberg。当局随后对该事件进行了彻底调查。
数据保护机构赞扬合作
该公司已向当局披露了其流程。分析了数据泄露是如何发生的以及黑客如何获取数据的。随后,我们制定并实施了措施以确保符合 GDPR 的数据保护。
总体而言,监管机构正在非常积极地传达这些事件——尤其是为了告知其他公司。声明还显示,这家社交媒体公司总体上已经产生了相当大的成本。据说分析、技术措施和罚款的总金额约为六位数。
罚款解释
企业有必要了解监管机构为何要处以罚款。在该案件中,这家社交媒体公司并未因遭到黑客攻击而受到惩罚。受到处罚的原因是,尽管有义务,但没有采取足够的措施来保护个人数据。据 LfDI 称,包括电子邮件地址和密码在内的数据记录均未加密存储,这意味着攻击者可以利用被盗数据。
分析发现了一些不符合 GDPR 的流程,该公司随后做出了必要的调整。 LfDI 表示,20,000 欧元的罚款金额很低 — — 尤其是因为该公司在合作中表现出了非常合作的态度。
企业可以从中学到什么
该案例说明了了解 GDPR 的数据保护要求并始终如一地执行这些要求是多么重要。违规行为——无论是有意还是无意——都可能给公司带来高昂代价。此外,与负责的监管机构的合作在紧急情况下也是有益的。虽然合作公司不一定能避免罚款,但可以通过积极的行为影响罚款金额。