リトアニアでペイメントサービス事業者にGDPR制裁金


リトアニアでペイメントサービス事業者にEU一般データ保護規則(GDPR)制裁金

2019年5月16日付けのニュースリリースにて、リトアニアのデータ保護監督機関の一つであるState Data Protection Inspectorateは、ペイメントサービス事業者であるUAB MisterTangoに61500ユーロの制裁金を課したことを明らかにした。違反の内容は、GDPR5条、32条、33条の侵害である。

捜査の結果の主な点は以下の通りである。

  • 必要以上のデータを収集

   支払者の名前(希望の場合)、ID、銀行口座、通貨、支払い目的、等の必要と思われるものに加えて、電子的なインボイスの日付、送信者の名前と金額、日付、可能なローンの額、等の多数の過剰と思われるデータを収集していた。

  • 必要以上長期間データを保持

   10分程度で十分なところを216日保管されていた。

  • 透明性不足

   GDPR5条により、組織はデータ主体との関係で透明性を確保しなくてはならないが、捜査の間、UAB MisterTangoは十分な根拠を提供できなかった。

  • 個人データの公開

   調査によれば、支払いリストをWebサイトにて、最低二日間は閲覧可能な状態だった。

  • データ漏洩の報告不備

   上述のようなデータ漏洩にもかかわらず、UAB MisterTangoはState Data Protection Inspectorateに報告をしなかった。

UAB MisterTangoは、リトアニア以外での業務も行っているが、制裁金の額は、年間世界売り上げに対して課されたとのことである。

関連ニュース
https://dataprotection.news/lithuania-dpa-isuues-eur-61500-gdpr-fine/
State Data Protection Inspectorateのニュースリリース(リトアニア語)
https://www.ada.lt/go.php/lit/Imones-atsakomybes-neisvengs–lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus-

関連記事