天算不如人算？通灵占卜平台因违反数据保护法被处罚

正文

请到「今天看啥」查看全文

为了推广其产品，COSMOSPACE 通过电子邮件和短信开展商业勘探活动，既面向其客户，也面向其联系方式由其直接（主要通过其网站）或 TELEMAQUE。

COSMOSPACE 拥有自己的数据库，截至 2021 年 12 月 7 日，其中包括超过 673 000 个客户状态的唯一联系人和超过 278 000 个潜在客户状态的联系人），以及与 TELEMAQUE 公司的联合数据库， 包含两家公司的所有客户和潜在客户的数据，截至 2022 年 10 月 6 日，这两家公司服务了 150 多万个独特人员并存储 700 多万条联系记录。

COSMOSPACE报告称，在 2022 年前三个季度，它发送了近 630 万条短信和超过 7560 万封商业潜在客户电子邮件。

2021 年 11 月 15 日，法国国家信息与自由委员会CNIL的一个执法团队使用 COSMOSPACE 和 TELEMAQUE 公司发布的五个网站进行了在线数据合规审计，目的是核实是否遵守数据保护法，例如GDPR及《法国邮政和电子通信法》。

跨境处理

根据 GDPR 第 4(23)(b) 条，“跨境处理”包括“在欧盟境内单一控制机构的活动中进行的个人数据处理”或处理者，但对多个成员国的数据主体产生重大影响或可能产生重大影响。”

CNIL认为，该公司对个人数据进行跨境处理，以致其一些客户能够访问欧盟其他国家提供的服务。该公司还向调查团发送了一份文件，显示每月提供的电话咨询数量，并按国家/地区细分客户，这证明了平台服务的跨境性质。

该公司在辩护中认为，该公司的服务仅以法语提供，并且其网站的内容只能以该语言访问。而CNIL指出，从文件的内容来看，在通过电话进行服务咨询的情况下，该公司在 2022 年每个月都会收到来自欧盟不同国家的 350 至 400 个电话。这种情况足以表征跨境处理的存在，因为它影响或可能严重影响 GDPR 第 4 条第 23 款 b) 项含义内的多个成员国的数据主体，无论其措辞如何。这些客户在服务中还表达披露了自己的国籍甚至出生地。

违规一：未履行最小必要

GDPR 第 5(1)(c) 条规定，个人数据必须“充分、相关并仅限于处理目的所需的数据（数据最小化）”。

COSMOSPACE 系统记录了所有灵媒、客户和话务员之间的电话录音。公司认为，这样的录音是为了监控服务质量、用于员工培训目的，以证明合同的签订和正确执行，并回应法律请求，最后是为了保障人类生命安全。

请到「今天看啥」查看全文