芬兰出租车公司因数据合规问题被罚

来源:TMT法律论坛

文章摘要
5月26日,芬兰数据保护监察员办公室制裁委员会(The Office of the Data Protection Ombudsman‘s sanctions board)因赫尔辛基出租车公司(Tak

5月26日,芬兰数据保护监察员办公室制裁委员会(The Office of the Data Protection Ombudsman‘s sanctions board)因赫尔辛基出租车公司(Taksi Helsinki)违反数据保护规定对其处以行政罚款。该公司在采用摄像头监视系统来对出租车中的情况进行录音录像前没有进行相应的安全影响评估。该公司提供给乘客的信息和个人数据处理政策也存在缺陷。
2019年11月,芬兰数据保护监察员办公室就该出租车公司对个人数据的收集及处理情况进行调查,发现该公司存在如下问题:
一是未按照规定在数据处理前开展安全影响评估。该公司在2019年夏天采用了可以记录视频和音频的监控系统,但并未按照GDPR的规定,在数据处理前就关于摄像头监控、位置数据处理,自动决策(automated decision-making)和员工忠诚度分析的内容开展数据安全风险和影响评估。执法部门下令要求该公司评估相关个人数据处理的必要性及其对数据主体权益的影响。
二是没有收集处理音频数据的法律依据。该公司称其使用的监控设备可以记其员工和乘客的视频和音频信息,但并没有提供收集处理音频数据的法律依据。该公司后来称收集音频数据是其失误所致。执法部门认为公司对音频数据的处理违反了GDPR规定的数据最小化原则,要求公司立即停止对音频数据的收集和处理。
三是没有充分履行关于数据处理的告知义务。该公司出租车上的通知既没有提到任何关于录音的内容,也没说明乘客从哪里可以获取有关录音处理的具体信息。该公司的隐私声明也没有包含关于自动决策和员工忠诚度分析的内容。执法部门要求该公司修改有关声明,并以容易获得的方式告知乘客关于数据处理的信息。
针对上述违规行为,执法部门该公司处以72000欧元的行政罚款,命令该公司开展必要的安全影响评估、停止不合理地处理音频数据的行为、规范执行数据安全保护的相关程序。这些处罚并不是终局决定,公司仍可就此向行政法院上诉。
技术驱动法律,专业成就未来