データ主体による権利行使への対応が不十分だったとして、ベルリン監督機関が配達サービス会社に対し約20万ユーロの制裁金


データ主体による権利行使への対応が不十分だったとして、ベルリン監督機関が配達サービス会社に対し約20万ユーロの制裁金

ドイツ・ベルリン監督機関は9月19日、データ主体による権利行使への対応がEU一般データ保護規則(GDPR)違反であったとして、食品配達会社Delivery Heroに対し20万ユーロの制裁金を決定した。

監督機関の発表によると、同社は以前の顧客の個人データを削除せず、また広告メール配信への同意を撤回した顧客に対し、同意撤回後も広告メールを送りつけていた。そのほか、権利行使したデータ主体に対し、監督機関による介入後も、GDPRで定められた期間内に適切に回答しなかった。同社は監督機関の調査において、これらの中には技術的な過誤や社員の監督の不備を原因とするものもあると説明していた。

本事案は、関係するデータ主体が約20名と少ないものの、違反状態が長期かつ反復的に発生していたことの悪質性が認められ、監督機関がGDPR第83条第2項の規定(制裁金額の決定において考慮すべき事項)に基づき制裁を加重したものである。データ主体の数が少なくても、違反内容によっては厳しい制裁が科される可能性があることに注意する必要がある。

ベルリン当局のリリース
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト