本案处罚机构:法国国家信息自由委员会(CNIL)

事实概要

DEDALUS BIOLOGIE公司(下称“D公司”),是DEDALUS 集团旗下的医疗软件提供商,专为医学分析实验室提供软件解决方案(亦称”实验室管理解决方案”),其客户涉及约3000个私人医学生物学实验室、30到50个公共卫生机构的分析实验室。

2021 年 2 月 23 日,媒体披露D公司发生大规模个人数据泄露,近 50万人的个人数据被传播到互联网上。被泄露的个人数据中涉及大量敏感信息。具体包括:

经CNIL调查,认为D公司作为数据处理者违反了 GDPR 规定的多项义务,特别是个人数据安全保护义务。该委员会下设处罚机构审查委员会根据D公司的营业额以及违规行为的严重程度,最终于2022年4月15日对其作出罚款150万欧元的处罚决定。

违规行为及处罚依据

GDPR条款内容及扩展

1、GDPR第28条第3款:

2、GDPR第29条:

除非收到控制者的指令,在控制者或处理者授权下访问个人数据的处理者以及任何人不得处理该等数据,欧盟或其他成员国的法律另有要求除外。

3、GDPR第32条:

以上来源于:https://www.enforcementtracker.com/ETid-1136

01欧盟GDPR案例研究·德国法院关于个人数据侵权案例分析(一)

02境外上市网络安全审查合规要点

03以“今日校园”APP为例从公司上市数据合规审核看数据来源合规

04欧盟GDPR案例研究:德国法院对营销广告说不!

05

作者简介

廖江涛律师

  • 盈科成都高级合伙人

    盈科成都管委会副主任

    盈科成都股权与并购重组法律事务部主任

  • 擅长领域:公司法律风险管理、民商事诉讼、公司股权管理、并购重组、公司改制重组、项目收购。

叶俊汝律师

  • 盈科成都专职律师

    盈科成都股权与并购重组法律事务部成员

  • 执业经历:参与多家目标公司投资并购项目尽职调查工作,为顾问单位提供有关公司治理、股权纠纷、劳动人事、日常业务合同审查等方面的法律服务。

刘家君律师助理

  • 成都市律师协会涉外法律服务后备人才

    国际信息科学考试院 DPO数据保护官

    国际信息科学考试院 ISO27001信息安全官

作/者/ 廖江涛

叶俊汝

刘家君

编/辑/ 吕彦蓉

责/编/ 谢丝丝

审/核/ 陈丹辉