波兰某零售网站违反GDPR被处以2800万波兰兹罗提罚款

波兰个人数据保护办公室（the Personal Data Protection Office）的负责人在Morele.net上罚款超过2,800万波兰兹罗提币。

该公司保护个人资料的组织和技术措施，并不适合处理个人资料所带来的风险，这意味着约有2200万人的资料落入不法之徒之手。个人数据保护办公室（UODO）的负责人总结说，缺乏适当的反应程序来处理出现的不寻常的网络流量。

监察当局在罚款的同时，认为本案中所发生的违反行为相当重要、性质严重、涉及许多人。监察机关在其决定中亦指出，由于侵权行为，个人资料落入不法分子之手的人士，极有可能受到不利影响，例如身份被盗用。

有关资料包括:姓名、电话号码、电邮、派递地址。然而，大约35000人的分期贷款申请数据被泄露。数据的范围包括个人身份证号码（PESEL号码）、教育背景、注册地址、通讯地址、收入来源、净利润、家庭的生活成本、婚姻状况,以及大量的信贷承诺或维护义务。

在罚款决定中，UODO的负责人认为，该公司没有遵守必要的数据保护技术手段，违反了《GDPR》第5 (1)(f)条规定的保密原则。因此，有未经授权的人士查阅及取得客户资料。事件发生后，该公司实施了额外的技术安全措施。

调查显示，侵权行为的发生也是由于对潜在风险的监测不力。调查还发现了其他不当行为，但正是由于缺乏适当的技术（保障措施不足）和组织措施（监控与非典型网络行为相关的潜在风险），才导致了罚款。然而，在确定其金额时，UODO的负责人考虑到了减轻罪责的情况，例如:公司为终止侵权而采取的行动；与财务总监的良好合作；以及公司以前从未违反过个人数据保护法。

来源：安全内参

本文版权归原作者所有，如有侵权请联系我们及时删除