在GDPR生效僅5天，AggregateIQ就被證實保存了不該保存的數據……

英國監管機構向加拿大數據公司AggregateIQ (AIQ) 發出了該國首張GDPR執行通知，給這家與英國脫歐游說組織Vote Leave 有關的公司留下30天整改時間；若逾期未合規，該公司將面臨2000萬歐元罰款。

英國信息專員辦公室(ICO)稱，AIQ留存英國公民數據的行為似乎對受影響公民造成了傷害，該公司違反了GDPR第5和第6條。

ICO已根據之前的數據保護立法對一批公司處以了最高50萬英鎊的罰款。

今年5月25日GDPR生效后，數據監管機構具備了對數據控制者處以最高2000萬歐元(約1780萬英鎊)或公司總營業額4%的民事罰款。

脫歐游說組織Vote Leave 曾支付給AIQ270萬英鎊，用以在英國脫歐公決期間針對潛在投票人投放廣告。

AIQ已針對該執行通知提起申訴。據BBC報道，免備案主機，該執行通知是作為ICO數據分析調查進展報告的附件，在7月時公布的。

AIQ發言人向《計算機商業評論》證實，他們確實提起了上訴，但拒絕進一步發表評論。

GDPR執行：判例

在通知中，ICO表示：專員已就AIQ為英國政治團體( Vote Leave、BeLeave、Veterans for Britain 及DUP Vote to Leave )提供個人數據處理服務一事向AIQ質詢其個人數據處理情況。

“2018年5月30日與專員的聯系中，AIQ承認仍持有英國公民的個人數據。該數據存儲在代碼倉庫中，之前曾遭某第三方未授權訪問。”

美國慷孚系統公司的GDPR專家Nigel Tozer 稱，該執行通知主要針對的是出于非預期目的處理公民數據。

Nigel Tozer 稱：很多公司只關注該條例中固有的安全相關事項，免備案主機，該執行通知應被當成一次提醒，提醒各家公司企業，數據的保留和處理，包括5月25日之前收集的數據，都受到新條例的全權管轄。

“無論公司規模或所處行業，該執行通知都應被當成一記警鐘，希望能刺激很多公司重新審查自身當前個人數據的使用策略。”

《通用數據保護條例》(GDPR)于今年5月25日在整個歐盟生效，更新了有關個人數據與隱私的各項法律法規。GDPR要求公司企業在知悉數據泄露的72小時內向相關機構報告個人數據泄露事件。

ICO表示，如果數據泄露有可能造成損及歐盟公民人權與自由的較高風險，公司企業必須立即通告受影響的個人。公司企業還應確保設置有健壯的數據泄露檢測、調查及內部報告流程。

劍橋分析公司/Facebook丑聞觸發了一場為期14個月的政治運動數據使用調查。7月，英國數據監管機構發布了該調查的中期報告，并在一份合作伙伴報告《民主崩壞？》中公布了由該調查導出的一些建議。