450万欧元GDPR罚款的监管启示：治理、内部监督与第三方管理

克罗地亚一家电信运营商最近被国家数据保护局罚款450万欧元，此前监管机构发现了一系列系统性的合规失败。

此案之所以突出，是因为问题并非晦涩的技术细节，而是根本性的义务：

监管机构还指出，该公司无视其自身数据保护官的建议，这说明了绕过被指定指导合规的专家最终会付出高昂代价。

综合来看，这些发现表明，当治理和监督脱节时，处理传输、引入供应商和收集员工数据等日常运营决策，可能造成重大的监管和财务风险。

此案的核心发现之一是，在国际数据传输的法律依据失效后，传输仍在继续。

该运营商此前在将数据传输给塞尔维亚的集团公司时依赖标准合同条款，但在2022年12月27日之后，这些条款已不再有效，数据传输在没有任何替代保障措施的情况下继续进行。

在此期间，塞尔维亚的数据处理者仍然拥有对该运营商SAP CRM系统的管理访问权限，该系统包含约847,862名用户的个人数据。

尽管访问规模庞大且敏感，但并未进行传输风险评估，尽管塞尔维亚并未获得充分性认定，在此情况下传输风险评估是必需的。

过期的保障措施、宽泛的访问权限和缺失的风险评估这三者结合，构成了本次执法行动最重要的要素之一。

监管机构还发现，用户未清楚地被告知其个人数据正被传输到欧洲经济区以外的国家。

相反，该运营商在其隐私通知中依赖模糊和有条件的措辞，暗示数据“可能”被传输，或者处理“原则上”在欧盟内进行。

此类表述使个人无法清楚地了解其数据实际在哪里被处理或谁可能访问。

在涉及定期、持续传输的情况下，这种模糊程度是不够的，未达到对数据控制者所期望的透明度水平。

通过不提供直截了当的信息，该运营商营造了一种环境，使用户无法有意义地理解或评估其个人数据是如何被处理的，监管机构将这一差距视为严重的合规失败。

该决定中识别的另一个重要问题是运营商处理员工数据的方式。

该公司收集了员工身份证件和无犯罪记录证明的副本，但未能证明此类文件对其预定目的而言是必要的。

这些都是常规的内部流程，但所收集的数据水平超出了比例原则或合理性的范围。

使这一发现尤为引人注目的是，该公司自己的数据保护官曾建议收集身份证件副本是过度的。尽管有此指导，该做法仍在继续。

这说明了忽视内部专业知识带来的实际后果：组织不仅收集了超出需要的数据，还错失了在问题升级为监管发现之前纠正的机会。

该案强调了一个简单的原则：员工数据必须与任何其他类别的个人数据一样，以同等程度的正当性和克制性来处理，而听取内部专家建议是保持这种平衡的关键部分。

该运营商在未对拟授予个人数据访问权限的处理者进行预期核查的情况下，就聘用了其进行电话营销服务。

监管机构发现，该处理者甚至没有基本的安保措施，也没有证据表明控制者在开始处理前评估了这些缺陷。

这是数据保护法下最直接的义务之一；在让任何第三方参与处理个人数据之前，控制者必须确保处理者有适当的保障措施。在此案中，这些核查要么没有发生，要么没有记录，在该组织对其供应商的监督中留下了明显的空白。

这一发现强化了一个一致的监管主题：当数据处理者未能履行其义务时，责任最终会回到控制者身上。尽职调查不是形式主义，而是一项实际要求，直接影响着个人数据在公司供应链中是如何受到保护的。

此案的一个显著方面是内部专业知识被对待的方式。

该运营商设有指定的数据保护官，其职责是就合规提供建议并识别风险，但公司却继续进行数据保护官已标记为有问题的做法。

克罗地亚数据保护局明确将无视数据保护官意见的行为视为加重处罚因素。

这凸显了专家指导与组织决策之间的脱节。这个差距很重要，因为它表明合规问题往往不是源于知识缺乏，而是源于缺乏后续行动。

当被指定负责监督数据保护的人员识别出风险而组织选择忽视时，漏洞将一直未得到解决，直到它们出现在监管程序中。

从这个意义上说，该案表明有效的治理不仅仅依赖于政策和程序。它需要适当地重视内部专业知识，在识别风险时采纳建议，并确保决策结构支持合规责任。

尽管该决定并未对控制者的内部系统或技术发表评论，但几项失败与常见的第三方管理挑战直接相关：

结构化的第三方治理工具，如数据隐私管理器的第三方管理模块，可以支持组织应对这些具体领域。

此案还突显了当供应商访问、尽职调查、合同时间线和风险监控没有以结构化和可追溯的方式进行管理时，第三方监督中的缺口是多么容易出现，这正是我们的第三方管理模块通过集中化可见性和符合审计要求的文档支持来直接解决的方面。

然而，工具本身不能替代治理。该决定强调，合规最终取决于组织实践、决策以及对专家建议的书面考量。

同样，它也证实了内部治理，包括适当考虑数据保护官的建议，在风险缓解中起着核心作用。

希望避免类似结果的机构必须将结构化的第三方管理流程与支持各级决策中的尽职调查、透明度和问责制的治理文化相结合。