:::
圖片說明:國際觀測

法規

  • 人權
  • 資訊安全

德國電信公司因違反GDPR面臨960萬歐元罰款

德國資料保護與資訊自由聯邦委員會(Federal Commissioner for Data Protection and Freedom of Information,下稱BfDI)針對德國電信公司1&1 Telecom GmbH因客戶身分驗證程序不足,整個客戶群都處於風險之中,向其罰款960萬歐元。BfDI發現該電信公司並無足夠技術與措施來防止未經授權客戶對於資料之讀取行為(如:透過電話,任何人皆可提供姓名與生日來獲取他人之廣泛個人資料)。

依據BfDI說法,該電信公司提供之身分驗證程序,已違反GDPR 第32條,揭示保護個人資料安全之基本原則,資料控管者以及處理者,考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險變動可能性與嚴重性,控管者及處理者應執行採取適當之科技化且有組織的措施,以確保對於風險之適當安全程度。

惟1&1 Telecom GmbH並不服此罰款結果,認為具體個案係發生於2018年,且僅為一通電話詢問前合夥人手機號碼,員工已滿足當時有效之安全準則要求,故認此罰款金額不合理並提出上訴。

雖身分驗證屬普遍程序,惟無單一之市場標準可滿足更高安全性要求,是以1&1 Telecom GmbH改善程序將先從進一步要求其他資訊來保護身分驗證過程;而後另將與BfDI協商,導入新身分驗證程序,該新身分驗證程序已於技術及資料保護方面得到顯著改善。

0則留言

發表留言的身分:

Google 帳戶登入 帳戶登出 Facebook 帳戶登入 帳戶登出