在GDPR生效僅5天，AggregateIQ就被證實保存了不該保存的數據……

　　英國監管機構向加拿大數據公司AggregateIQ(AIQ)發出了該國首張GDPR執行通知，給這家與英國脫歐游說組織Vote Leave有關的公司留下30天整改時間；若逾期未合規，該公司將面臨2000萬歐元罰款。

　　英國信息專員辦公室(ICO)稱，AIQ留存英國公民數據的行為似乎對受影響公民造成了傷害，該公司違反了GDPR第5和第6條。

　　ICO已根據之前的數據保護立法對一批公司處以了最高50萬英鎊的罰款。

　　今年5月25日GDPR生效后，數據監管機構具備了對數據控制者處以最高2000萬歐元(約1780萬英鎊)或公司總營業額4%的民事罰款。

　　脫歐游說組織Vote Leave曾支付給AIQ270萬英鎊，用以在英國脫歐公決期間針對潛在投票人投放廣告。

　　AIQ已針對該執行通知提起申訴。據BBC報道，該執行通知是作為ICO數據分析調查進展報告的附件，在7月時公布的。

　　AIQ發言人向《計算機商業評論》證實，他們確實提起了上訴，但拒絕進一步發表評論。

　　GDPR執行：判例

　　在通知中，ICO表示：專員已就AIQ為英國政治團體(Vote Leave、BeLeave、Veterans for Britain及DUP Vote to Leave)提供個人數據處理服務一事向AIQ質詢其個人數據處理情況。

　　2018年5月30日與專員的聯系中，AIQ承認仍持有英國公民的個人數據。該數據存儲在代碼倉庫中，之前曾遭某第三方未授權訪問。

　　美國慷孚系統公司的GDPR專家Nigel Tozer稱，該執行通知主要針對的是出于非預期目的處理公民數據。

　　Nigel Tozer稱：很多公司只關注該條例中固有的安全相關事項，該執行通知應被當成一次提醒，提醒各家公司企業，數據的保留和處理，包括5月25日之前收集的數據，都受到新條例的全權管轄。

　　無論公司規?；蛩幮袠I，該執行通知都應被當成一記警鐘，希望能刺激很多公司重新審查自身當前個人數據的使用策略。

　　《通用數據保護條例》(GDPR)于今年5月25日在整個歐盟生效，更新了有關個人數據與隱私的各項法律法規。GDPR要求公司企業在知悉數據泄露的72小時內向相關機構報告個人數據泄露事件。

　　ICO表示，如果數據泄露有可能造成損及歐盟公民人權與自由的較高風險，公司企業必須立即通告受影響的個人。公司企業還應確保設置有健壯的數據泄露檢測、調查及內部報告流程。

責任編輯：Rachel