【律师视点】史蕾、江智茹:2020年度GDPR经典执法案例盘点
德衡律师集团合伙人
北京德和衡(深圳)律师事务所
律师助理
根据公开信息,自GDPR实施两周年以来,欧盟当局对违反GDPR的罚款已超过3.3亿美元。2020年GDPR的相关执法活动相对前一年有所增加,欧盟相关监管机构已公开了300多起罚款,处罚事由主要集中在个人数据收集使用的合法性、员工数据保护、个人数据主体权利保障及数据控制者的安全保护义务等方面,同时考虑到疫情因素的影响及相关被处罚机构在个人数据保护方面的努力,部分监管机构降低了原有罚款金额。2020年度,GDPR实施公布的高额罚款和/或影响较大的经典案例,主要如下:
2020.01.06 保加利亚公用事业公司错误地将数据主体的PIN码提供给私人执法代理,随后被用于提起针对数据主体的强制执行诉讼以指控其未履行付款义务,违背了GDPR第5(1)(a)条及第6(1)条的规定,因此被处以5110元欧元的罚款。
2020.01.15 意大利数据保护机构(Garante)向电信运营商TIM开出2780万欧元的罚单。除了罚款外,Garante还对TIM实施了20项纠正措施,包括禁令和命令。特别值得一提的是,Garante禁止TIM出于营销目的,使用那些在呼叫中心联系时拒绝接听营销电话的用户、黑名单中的用户以及没有同意接听的“非客户”的数据。
2020.03.11 瑞典数据保护局认为谷歌违反了GDPR,所以罚款7500万瑞典克朗(约800万美元)。根据为期4年的调查,瑞典认定谷歌违反了GDPR的规定,当用户在删除搜索结果时,谷歌没有权利将用户的操作向其他人或组织发送通知。除了对谷歌实施罚款,瑞典还进一步要求谷歌在删除网址后必须立即停止通知该网站所有者。
2020.04.30 荷兰某组织要求员工必须扫描登记指纹用于考勤打卡,且该组织未遵照透明原则向员工提供法律要求的关于数据处理行为的信息,劳动合同和员工手册中未包含任何关于使用指纹数据的说明,且保留离职员工的指纹信息,违反GDPR第5条、第9条、第12条、第13条,因而被荷兰数据保护局处以725,000欧元的罚款。
2020.06.19 法国行政法最高法院已驳回谷歌去年因未向其用户说明如何处理个人信息而必须支付5700万美元罚款的申诉。该法院确认了数据监管机构(CNIL)先前的调查结果,即谷歌并未向安卓用户提供“足够清晰”的信息提醒,这就意味着,谷歌没有获得将用户数据用于目标广告的合法性同意。考虑到谷歌违规的严重性和持续性,5700 万美元的罚款数额是有理有据的。
2020.06.30 德国国家数据保护局(LfDIBaden-Württemberg)对德国西南部最大的健康保险公司AOK处以124万欧元罚款。监管机构发现,AOK在没有合法依据的情况下向客户发送市场营销信息,且未实施适当的技术和数据保护措施来保障数据安全,违反了GDPR第32条,因而对其处以罚款。
2020.07.06 荷兰数据保护局(Autoriteit Persoonsgegevens)对Stichting Bureau Krediet Registratie(BKR)处以830,000欧元的罚款。据悉,BKR向个人收集以数字方式访问其个人信息的费用;同时,虽然允许客户免费以纸质方式访问其个人信息,但每年仅一次。荷兰数据保护局表示,BKR设置的个人信息主体行权障碍过高,其该等行为违反了GDPR第12条和第15条,因此对其处以罚款。
2020.07.13 电信供应商Wind Tre由于多项非法营销的数据处理行为违反了GDPR,被意大利数据保护机构(Garante)处以16,729,600欧元的罚款,并禁止Wind Tre对非法获得的个人数据进行任何处理,指令其相关团队采取技术和组织措施,确保对其业务伙伴进行有效管理。
2020.07.15 谷歌因违反欧盟有关网民“被遗忘权”的规定而受到比利时数据保护机构(APD)处以60万欧元(约合人民币479.6万元)的罚款。据悉,这是APD有史以来最大的罚款,是上一次创纪录罚款的十倍以上。另外,比利时数据保护局还责令谷歌停止引用欧洲境内的页面,并要求其提供更清晰的信息来说明哪些实体负责处理“被遗忘权”的相关请求。对此,谷歌打算在法庭上对该决定提出上诉,来证明其已努力“在人们的信息获取权和隐私权之间取得合理的、原则上的平衡”。
2020.10.01 德国汉堡数据保护局(HmbBfDI)通过为期一年的调查,发现H&M公司存在大范围的调查员工假期、就医症状以及病情诊断等详细信息等隐私侵犯行为。为此,H&M公司面临3530万欧元罚款。H&M方面已经就此事向纽伦堡服务中心的员工们“致歉”。该公司表示,“目前就职于服务中心的所有员工,以及2018年5月GDPR生效以来至少拥有1个月工作期的全部人员,都将获得相应的经济补偿。”
2020.10.16 英国航空公司(British Airways)因未能保护40多万名客户的个人和财务信息,违反了GDPR第5 (1) (f)条和第32条,英国信息专员办公室(ICO)据此对其处以2000万英镑的罚款。ICO原本计划对英航处以近1.84亿英镑的罚款,但鉴于英航(与其他航空公司一样)因COVID-19事件而面临的经济影响,以及英航为解决这一问题所做的工作,以及ICO在进一步调查中了解了数据泄露事件的性质,因此降低了罚款。
2020.10.30 英国信息委员办公室(ICO)表示,万豪国际“未能按照GDPR的要求,采取适当的技术或组织措施,保护其系统上正在处理的个人数据,被处于1840万英镑(约合2380万美元)罚款。最终罚款比ICO最初计划的9920万英镑有所减少。ICO表示,“作为监管过程的一部分,ICO考虑了万豪的陈述、万豪为减轻事件影响所采取的措施,以及疫情对其业务的经济影响,然后才制定了最终的处罚”。
2020.11.12 沃达丰因客户存储系统存在多个缺陷,且未经用户同意即从外部供应商处购买联系人名单并开展电话营销活动等原因,违反了GDPR多项规定,被意大利数据保护局(Garante)处以1225万欧元的罚款。据悉,本次受影响的用户约有450万,几乎涵盖了沃达丰在意大利的所有客户群体。这是沃达丰第一次在意大利被处罚,但该公司的西班牙分公司已被处以29项GDPR罚款,并且其罗马尼亚分公司已被处以2项罚款。
2020.11.13 Ticketmaster UK Ltd因未能保护消费者个人数据的安全,违反了GDPR第5 (1) (f)条和第32条的规定,英国信息专员办公室(ICO)据此对其处以125万英镑的罚款。该数据泄露事件所涉及的个人数据包括姓名、支付卡号、有效期和CVV号码,可能影响整个欧洲的940万Ticketmaster的客户,其中包括英国的150万。
2020.11.18 法国国家信息自由委员会(CNIL)因家乐福及其银行部门多次违反GDPR,对法国家乐福处以225万欧元的罚款,家乐福银行被处以80万欧元罚款。据报道,家乐福违规内容包括:其提供给公司网站用户的信息不容易访问或理解,而且未能包含有关数据保留期限的完整信息;违规使用cookie;未遵守其设定的数据保存期限;要求提供身份证明以行使数据权等。CNIL表示,自从发现问题以来,家乐福已投入大量资源来确保合规,CNIL因此决定不发布禁令。
2020.11.16 挪威数据保护机构决定向Østfold HF医院罚款75万挪威克朗的行政罚款。据悉,在2013-2019年期间,该医院将患者记录中的报告摘要(准备出院的病人名单,包括患者的敏感信息等特殊种类的个人数据)存储在安全区之外。存储报告摘要的文件夹未开展访问控制,也未对该院员工对前述数据的处理活动予以记录。在Østfold HF医院无需使用前述患者名单后,该等报告摘要仍被长期存储。Østfold HF医院的118名员工可获得这些个人信息,但大多数员工并没有正式和合理的理由需要获得这些信息。(注:挪威作为欧洲经济区成员国也同样适用GDPR。)
2020.12.07 法国数据监管机构(CNIL)下属负责实施制裁的限制委员会对Google LLC处以6000万欧元的罚款,对Google Ireland Limited处以4000万欧元的罚款。原因是该两家谷歌公司在未经用户事先同意及未提供充分信息的情况下,通过搜索引擎google.fr在用户电脑中放置广告cookies。
2020.12.07 法国CNIL限制委员会对亚马逊欧洲公司(Amazon Europe Core,一家设立在卢森堡,负责亚马逊集团下欧洲网站amazon.fr运营的公司)处以3500万欧元的罚款。原因是该公司在未经用户的事先同意及未提供充分信息的情况下,通过azmazon.fr网页在用户电脑中放置用于广告目的的cookies。
2020.12.11 西班牙数据保护机构(AEPD)表示, Banco Bilbao Vizcaya Argentaria, S.A.(BBVA)未经合法授权处理客户的个人数据及向客户发送促销短讯等原因,违反了GDPR第6条及第13条,对其处以200万欧元的罚款。
2020.12.15 爱尔兰数据保护委员会(DPC)官网披露,将因2019年1月披露的数据泄露事件对Twitter处以45万欧元罚款。据了解,该公司未能在发现违规的72小时内及时通知监管机构,并对数据泄露的情况进行充分记录。从开始到结束,爱尔兰DPC耗时近两年时间才对Twitter的这一案件作出决定。而DPC主张较小的罚款额度,是因为其认为Twitter的数据泄露事件是过失,而非主观故意或系统性问题。在此次的声明中,爱尔兰DPC表示此次罚款是合理且有告诫作用的。
或许您还想看
【律师视点】史蕾、江智茹:电商平台个性化展示如何做到便利与合规两相宜
【律师视点】史蕾:人脸识别技术在智慧社区中应用的个人信息保护要点
【律师视点】舌尖上的地中海数据合规风味大餐 | 品味西班牙的精细
【律师视点】史蕾:信息保护标准解读系列之三 |《信息安全技术个人信息安全规范》解读
【律师视点】江智茹:信息保护标准解读系列之四 |《信息安全技术智能家居安全通用技术要求》解读
【律师视点】周杨、江智茹 | 隐私保护设计(PbD):个人信息保护的学霸方法论
【律师视点】史蕾、江智茹:电商平台个性化展示如何做到便利与合规两相宜
【律师视点】周杨、江智茹、杨雪娇 | 谷歌又遇巨额索赔:网站和第三方插件的合规警示
【律师视点】史蕾、杨玥祺:浅议自动驾驶行业环境感知技术研发准入资质和政策导向
【律师视点】史蕾、张燕:建立差别性、全流程合规管理体系 ——行业标准《网络零售平台合规管理指南》(征求意见稿)评述
【律师视点】史蕾、江智茹 | “人脸识别第一案”:如何让消费者放心“刷脸”
【律师视点】周杨、辛小天、史蕾:实务视野 | 《个人信息保护法》(草案)的规范含义解读
作者简介
史 蕾
德衡律师集团合伙人。曾就职于环球资源(NASQ:GSOL)和奇虎360公司法务部,拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控;专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域;新三板挂牌及公司治理。
主要业绩:为某大数据公司提供用户隐私保护项目提供专项合规筛查服务,并提供整改建议和员工培训;为多家科技类创业公司提供股权激励方案制定;为互联网公司搭建海外融资架构;互联网教育科技企业新三板挂牌项目;代表多家挂牌公司完成新三板定向增发;担任多家互联网或高科技公司日常法律顾问。
手机:15810040811
邮箱:shilei@deheng.com
江智茹
北京德和衡(深圳)律师事务所互联网合规团队律师助理,西安交通大学法学硕士(信息安全法方向)。
曾就职于微软(中国)有限公司(实习)、奇虎360。擅长互联网产品法律风险分析及控制,并尤为擅长研究和解决网络与数据安全、软件研发、电子商务、网络游戏等领域内的产品合规问题。
手机:13810669648
邮箱:jiangzhiru@deheng.com
质控人简介
辛小天
集团合伙人
数字经济与人工智能业务中心总监
xinxiaotian@deheng.com
✦本文仅代表作者观点,如需转载、节选,请在后台留言