2020年1月17日,意大利数据保护机构Garante向埃尼集团下属的石油及天然气公司Eni Gas e Luce(简称EGL)开出两笔共1150万欧元的罚单,主要是因为该公司违反了GDPR的基本原则、合法性基础等。
其中第一笔为850万欧元,事实是这样的,该公司未经用户同意,拨打用户电话进行营销,且未保障用户的反对权(在用户反对的情况下仍然拨打电话)和删除权(未将用户从营销名单中剔除)。这违反了GDPR的多项条款:
- 第5条:数据处理的基本原则(超出了使用目的限制)
- 第6条:数据处理的合法性基础(数据来源未获得用户同意)
- 第17条:删除权(在用户要求的情况下未将用户从营销名单中剔除)
- 第21条:反对权(在用户反对的情况下仍然拨打营销电话)
此外,该公司还存在超过允许的留存期、没有采取必要的技术和组织措施等违规行为。
第二笔为300万欧元,未经用户同意的服务合约,并伪造了用户的签名。
这主要违反了GDPR的基本原则和合法性基础:
- 第5条:数据处理的基本原则(合法、透明、目的限制等)
- 第6条:数据处理的合法性基础(未获得用户同意)
最后,说一下“合法性基础”,GDPR一共定义了6种合法性基础,它们分别是:
- 用户的同意 (推荐优先使用)
- 合同义务
- 法定义务
- 保护用户或他人的切身利益
- 公共利益
- 数据控制者或第三方的合法利益 (争议最大,场景有限)
附录:
- 书籍《数据安全架构设计与实战》作者:郑云文(U2),长期从事数据安全与隐私保护工作,同时也是开源应用网关Janusec Application Gateway的作者(https://github.com/Janusec/janusec ,提供WAF、CC攻击防御、统一Web化管理入口、证书私钥保护,Web路由以及可扩展的负载均衡等功能)
