意大利埃尼集团电话营销及虚假合约被罚1150万欧元

2020年1月17日，意大利数据保护机构Garante向埃尼集团下属的石油及天然气公司Eni Gas e Luce（简称EGL）开出两笔共1150万欧元的罚单，主要是因为该公司违反了GDPR的基本原则、合法性基础等。

其中第一笔为850万欧元，事实是这样的，该公司未经用户同意，拨打用户电话进行营销，且未保障用户的反对权（在用户反对的情况下仍然拨打电话）和删除权（未将用户从营销名单中剔除）。这违反了GDPR的多项条款：

• 第5条：数据处理的基本原则（超出了使用目的限制）
• 第6条：数据处理的合法性基础（数据来源未获得用户同意）
• 第17条：删除权（在用户要求的情况下未将用户从营销名单中剔除）
• 第21条：反对权（在用户反对的情况下仍然拨打营销电话）

此外，该公司还存在超过允许的留存期、没有采取必要的技术和组织措施等违规行为。

第二笔为300万欧元，未经用户同意的服务合约，并伪造了用户的签名。

这主要违反了GDPR的基本原则和合法性基础：

• 第5条：数据处理的基本原则（合法、透明、目的限制等）
• 第6条：数据处理的合法性基础（未获得用户同意）

最后，说一下“合法性基础”，GDPR一共定义了6种合法性基础，它们分别是：

1. 用户的同意 （推荐优先使用）
2. 合同义务
3. 法定义务
4. 保护用户或他人的切身利益
5. 公共利益
6. 数据控制者或第三方的合法利益 （争议最大，场景有限）

附录：

• 书籍《数据安全架构设计与实战》作者：郑云文（U2），长期从事数据安全与隐私保护工作，同时也是开源应用网关Janusec Application Gateway的作者（https://github.com/Janusec/janusec ，提供WAF、CC攻击防御、统一Web化管理入口、证书私钥保护，Web路由以及可扩展的负载均衡等功能）