背景
SAF LOGITICS是一家空运公司,其母公司位于中国。2023年9月18号,CNIL(法国国家信息和自由委员会)对SAF LOGISTICS公司处以20万欧元的罚款,原因是该公司过度收集员工的隐私数据。
CNIL调查发现SAF LOGITICS四次违反GDPR要求:
1、违反数据最小化要求(Article 5(1)(c) of the GDPR)
通过让员工填写表格,该公司收集了大量有关员工家庭成员的信息,包括他们的身份、联系方式、职位、雇主和婚姻状况。委员会认为收集的信息数量和种类太多,这种违规行为侵犯了员工的私生活。
2、违反敏感数据处理禁令(Article 9 of the GDPR)
CNIL调查发现该公司收集数据的表格上要求填写的一些信息是敏感数据,例如血型,种族和政治立场。CNIL指出,该公司不满足GDPR(第9(2)条规定的任何条件来收集这些敏感数据。
3、违反禁止处理与刑事定罪和犯罪以及相关安全措施有关的个人数据条例(Article 10 of the GDPR)
CNIL调查指出,该公司保留了从事空运工作的雇员的犯罪记录的摘录,尽管这些雇员在行政调查后已经被有关当局清除。委员会认为该公司不满足查阅或保留其雇员犯罪记录的条件。此外,对于不受审查程序约束的雇员,公司可以在不保留其犯罪记录的情况下进行查阅。
4、违反与CNIL服务合作的义务(Article 31 of the GDPR)
当CNIL要求该公司提供中文表格的翻译时,其给出了不完整的翻译内容,其中缺少有关种族和政治派别的字段。因此,委员会认为,该公司有意阻止CNIL行使其调查权。
欧盟地区因违反GDPR规定而遭受处罚的企业越来越多,因此数据合规问题愈发受到重视。爱尔兰DPC整理了GDPR近五年的126个相关案例研究手册,您可以关注用九智汇公众号并回复关键词“DPC”获取该手册。
