爱尔兰数据保护委员会于2020年9月5日发布了有关第三方意外收到其他个人的个人数据的指导。

数据保护委员会发布了三份不同的指引,分别是《意外收到个人数据指引:个人》(”个人指引”)、《意外收到个人数据指引:机构》(”机构指引”),以及《个人数据意外失控指引:数据控制者》(”数据控制者指引”)。这里仅对《意外收到个人数据指引:个人》进行一下简单的翻译。

意外披露的风险

信息和通信技术在我们的工作和私人生活中发挥着越来越大的作用,并具有许多优势与便利。然而,个人数据处理和传输的增长也会增加隐私风险。当数据控制者(收集和使用个人数据的个人、公司或其他机构)意外地将个人数据披露给另一个人时,就会产生这样的风险。

这些事件被称为个人数据泄露,而不幸的是,这些事件有很多方式可以发生:

  • 银行意外地通过邮寄或电子邮件向不正确的收件人发出声明或其他信件;
  • 政府机构意外地将信件发给错误的收件人或地址;
  • 诊所错误地将医疗报告放入错误的信封,并寄给了错误的病人;
  • 某企业在处理旧笔记本电脑时没有删除包含人力资源数据的磁盘驱动器;
  • 一个打错字的电子邮件地址将机密的财务信息发送给一个没有联系的第三方;
  • 一个包含客户联系方式的U盘遗落在火车上。

这样的错误可能会导致个人的个人数据被披露给另一个无意或不希望收到这些数据的人。不难想象,这些数据可能是多么敏感。意外收到他人个人数据的人也很容易想象,如果自己的数据被意外披露给陌生人,他们会有多痛苦。

根据《通用数据保护条例》(GDPR)、《2018年数据保护法》、《欧洲人权公约》、《欧盟基本权利宪章》和其他法律,数据主体(即个人数据可能被识别的个人)的权利受到特别保护。意外收到他人个人数据的个人应承认并尊重这些权利。

处理意外披露

数据保护委员会(DPC),当个人意外收到不属于自己的个人数据时,应立即采取行动,并采取措施减少与数据有关的个人权利的风险。

  • 确定数据控制者的身份(例如从发件人的电子邮件地址或信笺抬头),并通知他们错误的披露。不要等待他们与你联系。
  • 避免打开不属于你的电子邮件附件、文件或文件。
  • 与数据控制者商定如何解决这个错误。从你的 “收件箱 “和 “已删除的文件 “文件夹中永久删除电子邮件可能就足够了。数据控制者可能会安排向你收取寄错地址的信件或包裹,或你可能同意销毁它,例如安全地粉碎信息,并以书面形式向数据控制者确认你已这样做。
  • 如果你无法识别或联系数据控制者,请使用我们的网络表格或给我们发电子邮件联系DPC。我们将尽力帮助解决这个问题。
  • 不要试图识别和联系数据所属的人,因为这是对信息的进一步处理。
  • 不要与其他第三方分享数据,包括公开上传信息到社交媒体平台。

数据控制者和非法处理

如果个人数据外泄导致个人意外收到另一人的个人数据,该人不应使本已糟糕的情况恶化。特别是,他们不应寻求成为该数据的控制者,而且在没有合法依据的情况下不得处理该数据。

如前所述,数据控制者是指个人、公司或其他机构,他们决定处理个人数据的目的和方法,不论是自己决定,还是与另一个人或组织共同决定。在数据保护法中,处理有一个广泛的定义。它不仅包括计算和分析数据,还包括披露数据、传输数据、编辑数据或将数据转换为不同的格式,甚至只是保留数据。它可以适用于打印文件等硬拷贝的个人数据,也可以适用于电子邮件或计算机文件等电子数据。

如果意外收到个人数据的个人自行决定如何处理该数据,他们可能被视为该数据的控制者。这可能会产生重大的法律后果。非法保留或以其他方式处理个人数据可导致民事法律后果。数据主体和合法的数据控制者都可以向法院寻求重要的补救措施,其中包括禁令、损害赔偿和费用。

DPC拥有执行数据保护法的广泛权力。这些权力包括进行调查、要求出示文件和记录、禁止非法处理和命令删除数据的权力。它可对违反保障资料法律的行为处以行政罚款和提出刑事检控。根据《2018年数据保护法》第145条,未经授权披露个人数据属于犯罪行为,可处以最高5万欧元的罚款和/或最高5年的监禁)。

DPC强烈建议,任何意外收到不属于自己的个人数据的人应尊重数据主体和对数据合法负责的数据控制者的权利。他们不应为了自己或任何其他目的而非法持有或使用这些数据。

最后修改日期:2020年9月12日

作者

留言

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。