英國資訊專員辦公室對連鎖藥局違反GDPR存放敏感個資作成裁罰首例
英國資訊專員辦公室(Information Commissioner's Office, ICO)於2019年12月20日發布首宗依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)之裁罰。
本案源於英國藥物及保健產品管理局(Medicines and Healthcare products Regulatory Agency, MHRA)接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查,卻意外發現其後院存放大量敏感個資文件,約五十萬個文件檔案皆未做任何資料檔案保護措施,上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料,旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第5條1項第f款、第24條第1項及第32條,裁罰275,000英鎊。其裁罰理由如下:
一、隱私政策並不符合要求,如未述明蒐集個人資料之類別,未訂定個資保存期限,當事人告知聲明不完備,無當事人權利行使等。
二、無適當安全維護措施
三、涉及敏感性個資,違法情狀嚴重
四、未積極配合調查
五、影響層面甚深,導致該藥局配合之上百家療養院,近千名當事人個資受損害。
此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資,有其指標性。除此之外,英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰,實值持續關注後續發展。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
衛星羽
法律研究員 編譯整理
London pharmacy fined after “careless” storage of patient data, Information Commissioner's Office. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/12/london-pharmacy-fined-after-careless-storage-of-patient-data/ (last visited Dec. 30, 2019)
London pharmacy fined after “careless” storage of patient data, Information Commissioner's Office. https://ico.org.uk/media/action-weve-taken/enforcement-notices/2616741/doorstop-en-20191217.pdf (last visited Dec. 30, 2019)
無人駕駛汽車、電腦駕駛汽車或輪式移動機器人,皆屬自動化載具的一種,具有傳統汽車的運輸能力。而作為自動化載具,自動駕駛汽車不需要人為操作即能感測其環境及導航。目前無人車仍未全面商用化,大多數均為原型機及展示系統,部份可靠技術才下放至商用車型,但有關於自駕車逐漸成為現實,已經引起了很多有關於道德與法律上的討論。 無人駕駛車輛若能夠變得商用化,將可能對整體社會造成破壞性創新的重大影響。然而,在商品化之前的實際道路測試是自動駕駛車輛開發過程非常重要的一環,是否允許自動駕駛車輛實際上路測試為各地交通主管機關之職責。因此,為了保障公共安全與推廣創新,為美國加州機動車輛管理局(Department of Motor vehicles ,下稱加州DMV)便自2015年12月公布無人駕駛車輛規範草案後,歷經2016年9月的修正,於2017年3月10日正式公布無人駕駛車輛管理規範。 美國加州申請自動駕駛車輛上路測試規定係依據加州汽車法規 (California Vehicle Code)38750 中之條款 3.7所訂定,依照加州DMV規畫,在社區內和高速公路上進行測試的自動駕駛車,仍需與傳統汽車一樣,具有方向盤與煞車踏板,而且駕駛座上亦需有人隨時待命應付緊急情況發生。此外,無人駕駛車輛尚必須有人進行遠距監控,並且能在緊急情況發生時安全停靠路邊。 截至2017年3月8日,已有27家公司獲得加州DMV許可,在道路上測試無人駕駛車輛,且這些車輛迄今只造成少數事故。加州DMV公布無人駕駛車輛管理規範後,還將於2017年4月24日舉行公聽會持續蒐集意見,研擬規範修改內容,以符合實際需求。 人駕駛車輛是汽車產業未來發展的趨勢之一,我國於不久的將來亦可能面臨有無人駕駛車輛在國內進行實際道路測試的需求。然而,我國地狹人稠,交通狀況複雜,且國人守法觀念尚有加強空間,確也增添無人駕駛車輛在國內道路測試的挑戰性,以及主管機關於受理測試申請之困難度。因此,加州DMV所公布之無人駕駛車輛管理規範之後續發展,值得吾人持續關注。
歐巴馬宣布將立法保護學生數位隱私權美國總統歐巴馬日前表示其將訂立「學生數位隱私法」(The Student Digital Privacy Act)以確保因教育目的而被蒐集之學生個人資料將不會被用於無關之用途。換言之,該法將禁止,例如,利用所蒐集資料對學生進行精準行銷的行為,但仍會許可蒐集者利用所蒐集資料改善其所提供之軟硬體教育設備或用以幫助學生之學習品質。 針對學生之隱私保護,目前於聯邦層級至少已有家庭教育權利與隱私法(Family Educational Rights and Privacy Act,FERPA),該法及其授權法令雖賦予學生及其家長對學校所保有之教育紀錄(educational record)之蒐集、使用有知情同意權及其他如修正教育紀錄之權利。但FERPA也列了相當多的例外情形,例如,醫療資料、受雇紀錄等均不在教育紀錄之列;此外,學校亦可不經同意即公布學生的姓名、電子郵件、出生地、主修、預計畢業日期等資料。 學生數位隱私法未來如能獲國會通過成為法律,該法與FERPA的異同,及其內容與施行實務是否確有助於學生隱私之改善,仍有待觀察。
從管理模式談智慧財產管理的重要性 英國上議院正逐條審議資料保護和數位資訊法案,期展現脫歐新格局英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。 下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明: 一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。 二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。 三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。 四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。 就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。