在GDPR生效僅5天，AggregateIQ就被證實保存了不該保存的數(shù)據(jù)……

英國監(jiān)管機構(gòu)向加拿大數(shù)據(jù)公司AggregateIQ (AIQ) 發(fā)出了該國首張GDPR執(zhí)行通知，給這家與英國脫歐游說組織Vote Leave 有關(guān)的公司留下30天整改時間；若逾期未合規(guī)，該公司將面臨2000萬歐元罰款。

英國信息專員辦公室(ICO)稱，AIQ留存英國公民數(shù)據(jù)的行為似乎對受影響公民造成了傷害，該公司違反了GDPR第5和第6條。

ICO已根據(jù)之前的數(shù)據(jù)保護立法對一批公司處以了最高50萬英鎊的罰款。

今年5月25日GDPR生效后，數(shù)據(jù)監(jiān)管機構(gòu)具備了對數(shù)據(jù)控制者處以最高2000萬歐元(約1780萬英鎊)或公司總營業(yè)額4%的民事罰款。

脫歐游說組織Vote Leave 曾支付給AIQ270萬英鎊，用以在英國脫歐公決期間針對潛在投票人投放廣告。

AIQ已針對該執(zhí)行通知提起申訴。據(jù)BBC報道，免備案主機，該執(zhí)行通知是作為ICO數(shù)據(jù)分析調(diào)查進展報告的附件，在7月時公布的。

AIQ發(fā)言人向《計算機商業(yè)評論》證實，他們確實提起了上訴，但拒絕進一步發(fā)表評論。

GDPR執(zhí)行：判例

在通知中，ICO表示：專員已就AIQ為英國政治團體( Vote Leave、BeLeave、Veterans for Britain 及DUP Vote to Leave )提供個人數(shù)據(jù)處理服務一事向AIQ質(zhì)詢其個人數(shù)據(jù)處理情況。

“2018年5月30日與專員的聯(lián)系中，AIQ承認仍持有英國公民的個人數(shù)據(jù)。該數(shù)據(jù)存儲在代碼倉庫中，之前曾遭某第三方未授權(quán)訪問。”

美國慷孚系統(tǒng)公司的GDPR專家Nigel Tozer 稱，該執(zhí)行通知主要針對的是出于非預期目的處理公民數(shù)據(jù)。

Nigel Tozer 稱：很多公司只關(guān)注該條例中固有的安全相關(guān)事項，免備案主機，該執(zhí)行通知應被當成一次提醒，提醒各家公司企業(yè)，數(shù)據(jù)的保留和處理，包括5月25日之前收集的數(shù)據(jù)，都受到新條例的全權(quán)管轄。

“無論公司規(guī)模或所處行業(yè)，該執(zhí)行通知都應被當成一記警鐘，希望能刺激很多公司重新審查自身當前個人數(shù)據(jù)的使用策略。”

《通用數(shù)據(jù)保護條例》(GDPR)于今年5月25日在整個歐盟生效，更新了有關(guān)個人數(shù)據(jù)與隱私的各項法律法規(guī)。GDPR要求公司企業(yè)在知悉數(shù)據(jù)泄露的72小時內(nèi)向相關(guān)機構(gòu)報告?zhèn)€人數(shù)據(jù)泄露事件。

ICO表示，如果數(shù)據(jù)泄露有可能造成損及歐盟公民人權(quán)與自由的較高風險，公司企業(yè)必須立即通告受影響的個人。公司企業(yè)還應確保設(shè)置有健壯的數(shù)據(jù)泄露檢測、調(diào)查及內(nèi)部報告流程。

劍橋分析公司/Facebook丑聞觸發(fā)了一場為期14個月的政治運動數(shù)據(jù)使用調(diào)查。7月，英國數(shù)據(jù)監(jiān)管機構(gòu)發(fā)布了該調(diào)查的中期報告，并在一份合作伙伴報告《民主崩壞？》中公布了由該調(diào)查導出的一些建議。