欧盟的《一般数据保护条例》(GDPR)为欧洲打造了统一的规则体系,以高额罚金等惩罚性措施来加强数据保护。在2023年8月份的数据中(数据截止到9月2日),罚款总额较上月有所提高,罚款次数稍微降低。受到罚款的主体所在国家只有三个,且最大罚款额出现在瑞典。在近两年的数据中,近两月的罚款次数均处于较低水平。
第一部分:罚款数据统计
一、累计数量
月份
罚款总额累计
罚款总次数累计
2023年8月
€ 4,051,524,224
1801
二、单月数量
月份
罚款额
罚款数
2023年8月
€ 3,279,880
26
三、8月累计最高罚款额
国家
罚款金额
瑞典
€ 3,000,000(1项罚款)
西班牙
€ 207,880(22项罚款)
罗马尼亚
€ 72,000(2项罚款)
四、8月罚款次数
国家
罚款数
西班牙
22(总€ 207,880)
罗马尼亚
2(总€72,000)
瑞典
1(总€3,000,000)
五、8月违规类型统计
违规类型
罚款金额
不遵守一般数据处理原则
€ 3,025,780(被罚款11次)
数据处理的法律依据不足
€ 148,500(被罚款6次)
确保信息安全的技术和组织措施不足
€ 70,000(被罚款1次)
与监管机构的合作不足
€ 27,000(被罚款4次)
信息义务履行不足
€ 6,600(被罚款3次)
数据主体权利未充分履行
€ 2,000(被罚款1次)
违规类型
罚款次数
不遵守一般数据处理原则
11(总€ 3,025,780)
数据处理的法律依据不足
6(总€ 148,500)
与监管机构的合作不足
4(总€ 27,000)
信息义务履行不足
3(总€ 6,600)
确保信息安全的技术和组织措施不足
1(总€ 70,000)
数据主体权利未充分履行
1(总€ 2,000)
第二部分:具体案例
一、西班牙
(一)西班牙DPA处罚个人主体
拟处罚金额:180
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-08-30
案件事实概述:
西班牙 DPA 对一名个人处以罚款。管理员安装了视频监控摄像头,覆盖了公共空间。DPA 认为这违反了数据最小化原则。由于自愿缴纳并承认,原来的 300 欧元罚款减少为 180 欧元。
(二)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-08-30
案件事实概述:
西班牙 DPA 对一名个人处以 300 欧元的罚款。管理员安装了视频监控摄像头,记录了邻居的财产等情况。DPA 认为这违反了数据最小化原则。
(三)西班牙DPA处罚个人主体
拟处罚金额:1,500
处罚依据:Art. 6 (1) GDPR, Art. 13 GDPR
处罚时间:2023-08-30
案件事实概述:
西班牙 DPA 对个人处以 1,500 欧元的罚款。该人未经业主委员会同意,在某住宅小区内安装了视频监控摄像头,该小区也覆盖了公共区域。此外,管理员也未能告知有关摄像机的信息。
(四)西班牙DPA处罚ALBEN AIRPORT FACILITIES S.L.
拟处罚金额:1,500
处罚依据:Art. 5 (1) f) GDPR, Art. 32 GDPR
处罚时间:2023-08-29
案件事实概述:
西班牙DPA对ALBEN AIRPORT FACILITIES S.L.处以罚款。控制者向所有参与者发送了一封带有参加培训课程证书的电子邮件,向所有他们披露了参与者的数据,包括姓名、姓氏和身份证号码。由于自愿付款和承认责任,原来的罚款2500欧元减少到1500欧元。
(五)西班牙DPA处罚WALL BOX CHARGERS S.L.
拟处罚金额:4,800
处罚依据:Art. 5 (1) f) GDPR, Art. 32 GDPR
处罚时间:2023-08-28
案件事实概述:
西班牙 DPA 对 WALL BOX CHARGERS S.L. 处以罚款。控制者无意中将某人置于发送给其他客户的电子邮件的抄送位置,使他们能够访问其他四名客户的数据。由于自愿缴纳并承担责任,原来的 8,000 欧元罚款减少为 4,800 欧元。
(六)西班牙DPA处罚MULTIGAS ASESORES S.L.
拟处罚金额:500
处罚依据:Art. 58 (1) GDPR
处罚时间:2023-08-28
案件事实概述:
西班牙 DPA 因在调查期间未能提供 DPA 要求的信息而对 MULTIGAS ASESORES S.L. 处以 500 欧元的罚款。
(七)西班牙DPA处罚个人主体
拟处罚金额:10,000
处罚依据: Art. 6 (1) GDPR
处罚时间:2023-08-28
案件事实概述:
西班牙 DPA 对个人处以 10,000 欧元的罚款。该人未经他人同意,在其 Facebook 个人资料上发布了他人的一段明显醉酒的视频。
(八)西班牙DPA处罚业主协会
拟处罚金额:1,500
处罚依据: Art. 5 (1) f) GDPR, Art. 32 GDPR
处罚时间:2023-08-25
案件事实概述:
西班牙 DPA 对业主协会处以 1,500 欧元的罚款。一名业主已向 DPA 提出投诉。控制者在公共区域的公告板上发布了包含数据主体个人数据的执行通知。
(九)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据: Art. 13 GDPR
处罚时间:2023-08-23
案件事实概述:
西班牙 DPA (AEPD) 对一名私人罚款 300 欧元,原因是他未能提供有关其住所安装的视频监控系统的足够信息。
(十)西班牙DPA处罚JOLY DIGITAL, SLU
拟处罚金额:20,000
处罚依据: Art. 6 (1) GDPR
处罚时间:2023-08-18
案件事实概述:
西班牙 DPA 对 JOLY DIGITAL, SLU 处以 20,000 欧元罚款。有人向 DPA 提出投诉,因为控制者发布了他们在私人 Instagram 帐户上发布的图片。
(十一)西班牙DPA处罚个人主体
拟处罚金额:5,000
处罚依据: Art. 6 (1) GDPR
处罚时间:2023-08-16
案件事实概述:
西班牙 DPA 对个人处以 5,000 欧元的罚款。管理员在他位于住宅区的家中安装了闭路电视,该住宅区还覆盖了社区游泳池的区域。
(十二)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 13 GDPR
处罚时间:2023-08-16
案件事实概述:
西班牙 DPA 对个人处以 300 欧元的罚款。管理员在一个共享车库安装了视频监控系统,但没有适当告知。
(十三)西班牙DPA处罚MÁRMOLES Y GRANITOS MEJIAS, SL
拟处罚金额:600
处罚依据:Art. 5 (1) c) GDPR, Art. 13 GDPR
处罚时间:2023-08-16
案件事实概述:
西班牙 DPA (AEPD) 对 MÁRMOLES Y GRANITOS MEJIAS, SL 处以 600 欧元的罚款。管理员安装了视频监控摄像头,除其他外,还覆盖了公共空间。DPA 认为这违反了数据最小化原则。此外,控制者没有履行正确告知的职责。
(十四)西班牙DPA处罚个人主体
拟处罚金额:600
处罚依据:Art. 5 (1) c) GDPR, Art. 13 GDPR
处罚时间:2023-08-11
案件事实概述:
西班牙 DPA (AEPD) 对个人处以 600 欧元的罚款。管理员安装了视频监控摄像头,覆盖了公共空间。DPA 认为这违反了数据最小化原则。此外,控制者没有适当告知数据主体视频监控对数据的处理情况,违反了告知义务。
(十五)西班牙DPA处罚RING RING CLIN S.L.
拟处罚金额:500
处罚依据:Art. 58 (1) GDPR
处罚时间:2023-08-11
案件事实概述:
西班牙 DPA 因在调查期间未能提供 DPA 要求的信息而对 RING RING CLIN S.L. 处以 500 欧元的罚款。
(十六)西班牙DPA处罚ADENET SYSTEMS, S.L.
拟处罚金额:6,000
处罚依据:Art. 58 (1) GDPR
处罚时间:2023-08-11
案件事实概述:
控制者未能在规定的时间内向西班牙 DPA (AEPD) 提供所要求的信息,违反了GDPR第58(1)条的规定。
(十七)西班牙DPA处罚ODRIA COSTAS INTERNACIONAL, S.L.
拟处罚金额:6,000
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-08-08
案件事实概述:
西班牙 DPA 对 ODRIA COSTAS INTERNACIONAL, S.L. 处以罚款。一名数据主体向 DPA 提出投诉,因为控制者在其网站上发布了他们的住所照片,但其中也显示了他们未成年的女儿。数据主体未同意公布儿童图像。由于自愿缴纳并承认责任,原来的 10,000 欧元罚款减少为 6,000 欧元。
(十八)西班牙DPA处罚ELECTRAWORKS - CEUTA, S.A.
拟处罚金额:6,000
处罚依据:Art. 13 GDPR
处罚时间:2023-08-08
案件事实概述:
西班牙 DPA 对 ELECTRAWORKS - CEUTA, S.A. 处以罚款。控制者未能提供有关个人数据保留期限的足够信息。由于自愿缴纳并承认责任,原来的 10,000 欧元罚款减少为 6,000 欧元。
(十九)西班牙DPA处罚GYMOOGIMNASIOS S.L.
拟处罚金额:10,000
处罚依据:Art. 5 (1) c) GDPR, Art. 7 GDPR
处罚时间:2023-08-02
案件事实概述:
西班牙 DPA 对 GYMOOGIMNASIOS S.L. 处以 10,000 欧元罚款。控制者安装了一个预订系统,数据主体必须同意处理与健康相关的数据才能使用该系统和体育设施。DPA 认为这违反了数据最小化原则。
(二十)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-08-01
案件事实概述:
西班牙 DPA 对个人处以 300 欧元的罚款。管理员安装了视频监控摄像头,记录了公寓的公共区域和公共空间。DPA 认为这违反了数据最小化原则。
(二十一)西班牙DPA处罚Vodafone España (S.A.U.)
拟处罚金额:56,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-08-01
案件事实概述:
西班牙 DPA 对 Vodafone España (S.A.U.) 处以罚款。欺诈性第三方冒充数据主体,要求控制者更改其电话号码,以便以新电话号码购买手机。控制者遵守了这一请求,并将新合同发送到新号码,这导致了数据主体的一些个人数据被泄露。在调查过程中,DPA 发现该公司未能验证第三方的身份或获得数据主体同意披露其数据。由于自愿缴纳,原来的 70,000 欧元罚款减少至 56,000 欧元。
(二十二)西班牙DPA处罚Vodafone España (S.A.U.)
拟处罚金额:56,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-08-01
案件事实概述:
西班牙 DPA 对 Vodafone España (S.A.U.) 处以罚款。某人向 DPA 提出投诉,因为该公司未经其同意将其 SIM 卡的副本提供给未经授权的欺诈性第三方。在调查过程中,DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行帐户并进行未经授权的交易。由于自愿缴纳,原罚款 70,000 欧元减至 56,000 欧元。
(二十三)西班牙DPA处罚Vodafone España (S.A.U.)
拟处罚金额:20,000 QUALITY-PROVIDER S.A.U.
处罚依据:Art. 58 (1) GDPR
处罚时间:2023-08-01
案件事实概述:
西班牙 DPA 因在调查期间未能提供 DPA 要求的信息而对 QUALITY-PROVIDER S.A.U. 处以 20,000 欧元的罚款。
二、瑞典
(一)瑞典DPA处罚Trygg-Hansa
拟处罚金额:3,000,000
处罚依据:Art. 5 (1) f) GDPR, Art. 32 (1) GDPR
处罚时间:2023-08-28
案件事实概述:
瑞典 DPA 因严重安全漏洞对 Trygg-Hansa 处以 300 万欧元罚款。由于安全漏洞,大约 650,000 名客户的敏感数据可能被访问,包括健康、财务和联系信息。当 Trygg-Hansa 发送的电子邮件的收件人注意到,通过更改网络链接,他们可以在未经身份验证的情况下访问其他客户的文档时,该安全漏洞才被发现。该漏洞存在了两年多的时间,从2018年10月到2021年2月。DPA发现Trygg-Hansa未能采取足够的技术和组织措施来保护个人数据,从而导致此类事件的发生。
三、罗马尼亚
(一)罗马尼亚 DPA处罚Uipath SRL
拟处罚金额:70,000
处罚依据:Art. 25 GDPR, Art. 32 GDPR
处罚时间:2023-08-21
案件事实概述:
罗马尼亚 DPA 对 Uipath SRL 处以 70,000 欧元的罚款。控制者已根据GDPR第33 条向 DPA 通报了数据泄露事件。在调查过程中,DPA 发现该平台 600,000 名用户的个人数据(名字和姓氏、电子邮件地址、就业详细信息等)可能会通过 URL 地址遭到未经授权的访问。DPA 发现控制者未能采取足够的技术和组织措施来保护个人数据,从而导致了此类事件的发生。
(二)罗马尼亚 DPA处罚Med Life SA
拟处罚金额:2,000
处罚依据:Art. 12 (4) GDPR, Art. 15 (3) GDPR
处罚时间:2023-08-03
案件事实概述:
罗马尼亚 DPA 对 Med Life SA 处以 2,000 欧元的罚款。控制者拒绝应数据主体的要求向其披露医院接待的某些视频记录。
文|杜安琪 中国信息通信研究院互联网法律研究中心助理研究员