達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、挪威個資保護局開罰2000萬挪威克朗！北歐零售巨頭Elkjøp因「綑綁同意」與行銷工具違反GDPR。  

1.事實
    挪威資料保護局Datatilsynet於2022年6月20日及22日，對北歐消費電子零售商 Elkjøp Nordic AS及Elkjøp Norge AS進行實地稽查，稽查原因包含數起資料外洩通報、申訴及關於會員俱樂部（customer club）之檢舉；稽查範圍主要涉及Elkjøp對客戶資料之處理、會員俱樂部及行銷用途之合法性，以及資料當事人權利請求之處理機制。Datatilsynet嗣後認定Elkjøp在會員俱樂部同意機制、Customer Match行銷工具、Offline Conversions工具，以及資料當事人權利請求處理期限等方面均違反GDPR，並於2026年6月1日依GDPR第58(2)(i)條，對Elkjøp Nordic AS及Elkjøp Norge AS裁處2,000萬挪威克朗罰鍰，並要求其改正仍在持續之違規，包括重新向會員俱樂部成員取得有效同意。

2.違規行為   
(1)會員俱樂部之同意無效
      Elkjøp以「同意」作為處理會員俱樂部個人資料之法律基礎，但該同意同時涵蓋電子報、簡訊、個人化、分析及輪廓分析等多項處理活動。主管機關認為，這些處理活動涉及不同目的，不能以概括性的「推廣產品與服務」包裝成單一目的；加上會員只能「全部接受或全部拒絕」此類綑綁式同意，無法針對不同處理活動個別表示同意與否，因此該同意欠缺特定性與自由性。此外，Elkjøp在取得同意前，未充分告知顧客其個人資料將用於個人化廣告、個人剖析及分析等活動，導致顧客無從預知同意的後果，故不構成有效同意，違反 GDPR 第6(1)(a)條及第4(11)條。本案因另涉及兒童個人資料的處理，違規情節因此更為嚴重。

(2)Customer Match缺乏合法處理依據
     Elkjøp將原本基於會員俱樂部同意所蒐集之個人資料，進一步用於Customer Match工具，以提高行銷效率、鎖定特定客群並改善媒體投資成效。Datatilsynet認為，這屬於逾越原始蒐集目的之後續處理，Elkjøp應依GDPR第6(4)條進行目的相容性評估，但其並未進行該評估。此外，Elkjøp主張可依GDPR第6(1)(f)條之正當利益作為法律基礎，但主管機關認為，資料當事人無從合理期待其基於會員同意提供之資料，日後會被用於未涵蓋於同意範圍內之Customer Match行銷用途，因此正當利益不足以作為合法依據。

(3)Offline Conversions工具之使用未經充分評估及記錄
      Elkjøp使用Offline Conversions工具，將實體店面購買資料傳送予Google及Facebook，用以評估數位廣告點擊與實體銷售之影響，並主張以GDPR第6(1)(f)條正當利益作為依據。主管機關認為，Elkjøp雖有提出正當利益評估，但內容過於簡略，未充分評估受影響資料當事人人數、資料類型、是否涉及兒童資料、資料當事人之合理期待，以及將個人資料分享予Google、Facebook可能造成之不利影響。因此，Elkjøp無法證明該處理具合法性，違反GDPR第5(2)條課予之課責義務及第5(1)(a)條合法性原則。

(4)未依法定期限處理資料當事人權利請求
      Elkjøp對於資料當事人請求更正電子郵件地址等事項，將該類請求一律自動歸類為「複雜案件」，並因此延長一個月處理期限。主管機關認為，更正電子郵件地址通常不當然屬於複雜請求，是否延長期限應逐案判斷，不能自動展延；此外，Elkjøp也承認部分案件即使在展延後之三個月期限內仍未完成處理，甚至有未解決請求可追溯至2021年2月，因此違反GDPR第12(3)條

3.裁罰理由
     CNIL認定，本案資料並非匿名資料，而僅屬「假名化」（pseudonymous）資料，個人身份仍可透過合理手段重新識別。IQVIA曾援引2025年歐盟法院「SRB 判決」主張資料屬匿名性質，無須適用GDPR，但CNIL指出，IQVIA蒐集大量高度敏感的個人資訊，包含出生年份、性別、就醫記錄、處方內容，以及 EMR 倉儲中的婚姻狀況、子女數、社經地位、診斷、症狀、過敏、體重、身高、脈搏、疫苗接種、檢查結果與病假紀錄等，且每位病患均有唯一識別碼（unique identifier），可追蹤其完整就醫歷程，重新識別風險過高，不符匿名化標準，故仍應適用GDPR規範。綜合考量違規行為涉及健康等敏感個人資料、受影響人數高達數千萬人、公司在市場上的主導地位，以及集團的財務能力，CNIL裁定上述罰款金額，以充分反映違規的嚴重性。

3.裁罰理由
      Datatilsynet認為，本案違規涉及GDPR的核心原則，包括處理合法性、同意有效性、目的限制、課責義務及資料當事人權利保障，且影響之資料當事人人數眾多，並包含兒童資料，因此有裁罰必要。主管機關亦認定Elkjøp作為大型跨國商業公司，大規模處理個人資料，應熟悉GDPR之基本要求，至少具有過失；其中部分違規甚至可認為係有意採取相關處理安排。雖然主管機關將整體違規嚴重性評為「中度嚴重之較低端」，並考量Elkjøp稽查期間配合、後續改善措施、個資保護意識提升，以及Datatilsynet本身案件處理時間過長等減輕因素，因而未依EDPB罰鍰計算指引所示較高比例計算，但仍認為裁處2,000萬挪威克朗罰鍰具有有效性、比例性及嚇阻性，且未逾達成GDPR 目的所必要之程度。

• 資料來源：https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/avgjorelser-fra-datatilsynet/2026/overtredelsesgebyr-til-elkjop/

二、歐盟EDPB發布「個人資料外洩通報範本」重點摘要

歐洲個人資料保護委員會（European Data Protection Board, EDPB）於2026年6月8日通過「個人資料外洩通報範本」（version 1.0）初稿，開放意見徵詢至2026年8月5日，其內容重點摘要如下：

1.區分通報類型（type of notification）   
     通報時須說明是「新通報」或「後續補充／修正通報」，並標明是完整通報、不完整通報，或撤回先前通報。若屬不完整通報，後續仍須補正；若撤回，也須說明撤回理由，例如重複通報或初步評估後確認無風險。

2.資料控制者、通報人與聯繫窗口身分
      範本要求填寫資料控制者的名稱、聯絡資訊、組織類型、經濟活動分類；若控制者非設於EEA，還可能需要填寫其EEA代表。另須填寫通報人的姓名、聯絡方式與職務，並說明資料保護長（Data Protection Officer, DPO）或其他可供主管機關取得進一步資訊的聯絡窗口。

3.若涉及資料處理者、共同控制者或其他第三方，亦應一併揭露
      範本特別要求說明外洩事件是否涉及其他組織，例如資料處理者、共同控制者或其他第三方，並須列明其身分、名稱與聯絡資訊。這表示主管機關不只關注控制者本身，也會看整個資料處理流程中牽涉哪些主體

4.個資外洩初步資訊
      ​​​​​​​應記載包含外洩事件發生與發現的時間、發現方式（如內部偵測、資料主體通報、媒體揭露等），以及事件性質分爲三類，機密性侵害（confidentiality breach），亦即未經授權、意外揭露或獲取個人資料；完整性侵害（integrity breach），亦即未經授權或意外竄改個人資料；可用性侵害（availability breach）亦即在意外或未經授權之情況下，遺失個人資料存取權限或資料遭銷燬。此外還須說明事件起因（內部/外部、惡意/非惡意），以及受影響的資料主體類別與人數、外洩資料類型（如基本資料、健康資料、財務資料、生物特徵資料等）。

5.風險評估及緊急應變措施
      評估資料外洩對資料主體可能造成的衝擊（如身分冒用、財務損失、名譽損害等），並進行風險等級評估（高風險high risk、非高風險not high risk、不太可能構成風險unlikely to result in a risk），同時說明已採取或計畫採取的緊急因應措施與預防再次發生的改善措施。

6.對資料主體之通知
      說明是否已通知受影響的資料主體、通知時間、通知方式（個別通知或公開聲明）及通知內容。若未通知，須說明符合GDPR第34條第3項的豁免理由。

7.其他事項
      包含是否已通報警察或其他主管機關；若涉及跨境處理，需指明主辦監管機關及相關EEA成員國；若資料控制者設立於EEA以外，亦有對應的申報流程。

8.附件
      範本列舉可附上的文件，包括通知當事人的副本、風險評估副本、資安事件調查報告、勒索訊息、釣魚郵件、內部外洩通報程序、個資刪除或銷毀政策等。對釣魚事件，範本也提醒應區分不同受影響群體，例如信箱帳號本人、收到釣魚郵件的人，以及其個資存在於遭入侵信箱中的人。

• 資料來源：https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2026/template-personal-data-breach-notification_en

 

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

• 本週無重大新聞動態