Mills＆Reeve：技术法更新

信息专员办公室（ICO）有 罚款 伦敦的药房，DoorStep Dispensaree Ltd，275,000英镑，无法确保包含个人数据的文件的安全性。 这是根据2018年5月25日在2008年5月25日生效的一般数据保护法规（GDPR）下的第一个精致。

似乎另外两种拟议的大量GDPR罚款，即2019年7月向英国航空通知的ICO（1830万英镑）和国际，Inc（990万英镑）尚未得出结论 - 我们等待进一步的新闻。 与此同时，门口分配器罚款提供了一些有用的提醒，了解了不合规的潜在后果。 

背景

2018年7月，在另一个监管机构进入Doomstep Dispensaree Ltd的刑事侦查期间，在公司场所的庭院中发现了大约500,000个包含个人数据的文件。 该文件于2016年1月至2018年6月至2018年6月，储存在47个解锁板条箱，2个处置袋和1个纸板箱中。 文件包含的姓名，地址，出生日期和NHS编号，加上 特殊类别数据 包括医疗信息和处方。 

ICO于2018年8月推出了调查，并于2019年12月17日颁布罚款罚款罚款275,000英镑。 由于失败的严重性，OpenStep Dispensaree Ltd也签发了执法通知，命令在三个月内或面临进一步的执法行动后改善其数据保护实践。

ico's decision

ico的决定的症结是门口迪斯索尼有限公司未能实施强大的数据治理机制。 在罚款通知中，​​它确定了许多特定违规的GDPR：

• DameStep Dispensaree Ltd的几个政策会达到GDPR和/或是通用模板的直接副本。此外，该公司的隐私声明不包含GDPR规定的必要信息。
• 即使提供了策略，它也没有遵守 - 尽管数据处理程序，但数据处理程序并未被撕碎，指出含有患者数据的所有废物在处置之前都会被粉碎。
• 未能保护数据免受意外损失，破坏或损坏。房地的后部可以被其他人访问，创造未经授权的访问的风险，并将数据的不安全存储留给元素。
• 数据被保存超过必要。
• 鉴于数据的体积和敏感性，未能考虑数据受试者的权利和自由的风险。

清单

为避免ICO的罚款或执法行动，您的组织采取措施遵守GDPR至关重要。 关键因素包括：

• 确保数据保护策略到位，相关和最新。应定期审查这些，包括对工作人员的强大建议，并与本组织具体。 合规是一个持续的过程。
• 检查适当的技术和组织措施，以确保个人数据的安全性。
• 在您与数据处理器或废物处置公司的关系中，确保您在阐明角色和职责方面进行合同。您可以下载我们的清单 关于数据处理合同的强制性规定 这里.
• 定期进行风险评估，使您能够评估数据所需的适当安全级别。
• 清楚地清楚地对您处理的数据进行分类，如何存储，保留和处理。
• 不要违反自己的政策！

点击 这里 to access Mills &Reeve的GDPR集线器在那里您可以找到符合GDPR的进一步指导。

朱迪思休斯顿