动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)
全文约7000字,预计阅读时间35分钟
文|王金钧 中国信息通信研究院互联网法律研究中心助理研究员
杨默涵 中国信息通信研究院互联网法律研究中心实习生
欧盟的《一般数据保护条例》(GDPR)为欧洲打造了统一的规则体系,以高额罚金等惩罚性措施来加强数据保护。在2023年1月份的数据中,罚款总额较上个月有极大增长,但罚款次数却在下降,这是因为爱尔兰出现了一笔3.9亿欧元的巨额罚款。西班牙仍然是罚款次数最多的国家,单次最高罚款额出现在爱尔兰。
第一部分:罚款数据统计1.累计数量
月份 | 罚款总额累计 | 罚款总次数累计 |
2023年1月 | €2,753,191,882 | 1497 |
2.单月数量
月份 | 罚款额 | 罚款数 |
2023年1月 | €395,720,740 | 31 |
3.1月累计最高罚款额
国家 | 罚款金额 |
爱尔兰 | €395,500,000(2项罚款) |
西班牙 | €135,840(19项罚款) |
希腊 | €50,000(1项罚款) |
瑞典 | €17,900(1项罚款) |
罗马尼亚 | €8,500(6项罚款) |
立陶宛 | €6,000(1项罚款) |
意大利 | €2,500(1项罚款) |
4.3月罚款次数
国家 | 罚款数 |
西班牙 | 19(总€135,840) |
罗马尼亚 | 6(总€8,500) |
爱尔兰 | 2(总€395,500,000) |
希腊 | 1(总€50,000) |
瑞典 | 1(总€17,900) |
立陶宛 | 1(总€6,000) |
意大利 | 1(总€2,500) |
5.3月违规类型统计
违规类型 | 罚款金额 |
不遵守一般数据处理原则 | € 390,006,860(被罚款11次) |
数据处理的法律依据不足 | € 5,633,000(被罚款8次) |
与监管机构的合作不足 | €51,000(被罚款2次) |
技术和组织措施不足,无法确保信息安全 | € 22,900(被罚款3次) |
数据主体权利的实现不足 | € 3,500(被罚款2次) |
没有充分履行信息义务 | € 2,480(被罚款4次) |
未充分履行数据泄露通知义务 | €1,000(被罚款1次) |
违规类型 | 罚款次数 |
不遵守一般数据处理原则 | 11(总€390,006,860) |
数据处理的法律依据不足 | 8(总€5,633,000) |
没有充分履行信息义务 | 4(总€2,480) |
技术和组织措施不足,无法确保信息安全 | 3(总€22,900) |
与监管机构的合作不足 | 2(总€51,000) |
数据主体权利的实现不足 | 2(总€3,500) |
未充分履行数据泄露通知义务 | 1(总€1,000) |
一、西班牙
(一)西班牙DPA处罚个人主体
拟处罚金额:600
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-01-31
案件事实概述:
西班牙 DPA 已对个人处以 600 欧元的罚款。该人在家中安装了视频监控摄像头,记录了住宅区的公共区域等信息。DPA 认为这违反了数据最小化原则。
(二)西班牙DPA处罚个人主体
拟处罚金额:600
处罚依据:Art. 5 (1) c) GDPR, Art. 13 GDPR
处罚时间:2023-01-31
案件事实概述:
西班牙 DPA 已对个人处以 600 欧元的罚款。该人安装了视频监控摄像头,覆盖了公共场所。DPA 认为这违反了数据最小化原则。此外,控制者没有适当告知数据主体视频监控对数据的处理,因此违反了告知义务。
(三)西班牙DPA处罚个人主体
拟处罚金额:180
处罚依据:Art. 13 GDPR
处罚时间:2023-01-31
案件事实概述:
西班牙 DPA 已对数据控制者处以罚款。数据控制者未能提供有关其场所视频监控信息的通知。由于主动缴纳罚款并承担相应责任,原来的 300 欧元罚款减为 180 欧元。
(四)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-01-27
案件事实概述:
西班牙 DPA 已对个人处以 300 欧元的罚款。因其安装了视频监控摄像头,记录了邻居的财产和公共空间信息。DPA 认为这违反了数据最小化原则。
(五)西班牙DPA处罚CASAL DE L'ESPLUGA DE FRANCOLÍ
拟处罚金额:3,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-01-25
案件事实概述:
西班牙 DPA 对 CASAL DE L'ESPLUGA DE FRANCOLÍ 处以罚款。控制者管理的俱乐部在社交媒体上上传了未成年人比赛的照片。一个孩子的母亲提出了投诉,因为她没有同意发布这些照片。因此,DPA 认定控制者在缺乏有效法律依据的情况下非法处理了图像。
(六)西班牙DPA处罚数据控制者
拟处罚金额:180
处罚依据:Art. 13 GDPR
处罚时间:2023-01-25
案件事实概述:
西班牙 DPA 已对数据控制者处以罚款。数据控制者未能提供有关其场所视频监控信息的通知。由于主动缴纳罚款并承担相应责任,原来的 300 欧元罚款减为 180 欧元。
(七)西班牙DPA处罚TECNO MOTOR LA MUELA, SLL
拟处罚金额:360
处罚依据:Art. 5 (1) c) GDPR, Art. 13 GDPR
处罚时间:2023-01-20
案件事实概述:
西班牙 DPA 已对 TECNO MOTOR LA MUELA, SLL 处以罚款。因其安装了视频监控摄像头,覆盖了公共场所。DPA 认为这违反了数据最小化原则。此外,控制者没有正确告知视频监控,因此违反了通知义务。由于主动缴纳罚款,原来的 600 欧元罚款减为 360 欧元。
(八)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-01-20
案件事实概述:
西班牙 DPA 已对个人处以 300 欧元的罚款。管理员安装了视频监控摄像头,其中记录了邻居的财产信息。DPA 认为这违反了数据最小化原则。
(九)西班牙DPA处罚一名私家侦探
拟处罚金额:2,000
处罚依据:Art. 13 GDPR
处罚时间:2023-01-18
案件事实概述:
西班牙 DPA 已对一名私家侦探处以 2,000 欧元的罚款。雇用侦探的个人向 DPA 提出投诉。他们表示,数据控制者未能充分告知他们作为调查的一部分将对他们的个人数据进行处理。此外,DPA 发现控制者在其网站上有一个联系表,但没有提及隐私政策。
(十)西班牙DPA处罚Thomas International Systems, SA
拟处罚金额:40,000
处罚依据:Art. 9 GDPR
处罚时间:2023-01-16
案件事实概述:
西班牙 DPA 已对 Thomas International Systems, SA 处以罚款。Thomas International 代表Agroxarxa, SL 公司进行心理测试。此类测试的参与者已向控制者提出投诉,因为他们必须提供敏感的个人数据(种族、残疾)。然而,Agroxarxa 曾表示,该测试并未请求获取和处理此类敏感数据。在调查过程中,DPA 发现 Thomas International 在未经数据主体同意或为实现 Agroxarxa 与 Thomas International 之间合同约定的目的所必需的情况下处理了敏感的个人数据。DPA 认为这违反了Art. 9 GDPR。
(十一)西班牙DPA处罚Vodafone España, SAU
拟处罚金额:56,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-01-16
案件事实概述:
西班牙 DPA 已对 Vodafone España, SAU 处以罚款。一主体向 DPA 提出了投诉,因为该公司在未经他们同意的情况下将他们的 SIM 卡副本提供给了未经授权的欺诈性第三方。在调查过程中,DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行账户并进行未经授权的交易。由于主动缴纳罚款,原罚款7万欧元减为5.6万欧元。
(十二)西班牙DPA处罚个人主体
拟处罚金额:600
处罚依据:Art. 5 (1) c) GDPR, Art. 13 GDPR
处罚时间:2023-01-16
案件事实概述:
西班牙 DPA已对个人处以 600 欧元的罚款。因其安装了视频监控摄像头,覆盖了公共场所和邻居财产。DPA 认为这违反了数据最小化原则。此外,控制者没有适当告知数据主体视频监控对数据的处理,因此违反了告知义务。
(十三)西班牙DPA处罚EDITORIAL RIBADEO SL
拟处罚金额:1,000
处罚依据:Art. 58 (2) GDPR
处罚时间:2023-01-13
案件事实概述:
西班牙 DPA 因未能遵守 DPA 发布的命令而对 EDITORIAL RIBADEO SL 处以 1,000 欧元的罚款。
(十四)西班牙DPA处罚SERVICIOS INTEGRALES DEL HOGAR TENERIFE, SL
拟处罚金额:3,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-01-12
案件事实概述:
西班牙 DPA 对 SERVICIOS INTEGRALES DEL HOGAR TENERIFE, SL 处以罚款。一名前雇员向 DPA 提出了投诉,由于数据控制者在其离开公司后未经授权通过 Whatsapp 披露其个人数据。由于主动缴纳罚款并承担相应责任,原罚款 5,000 欧元减为 3,000 欧元。
(十五)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-01-10
案件事实概述:
西班牙 DPA 对一名个人处以 300 欧元的罚款。该个人在其财产上安装了视频监控摄像头,其中拍摄到邻近的一处财产。AEPD 认为如此广泛的视频监控违反了数据最小化原则。
(十六)西班牙DPA处罚房主协会
拟处罚金额:120
处罚依据:Art. 13 GDPR
处罚时间:2023-01-10
案件事实概述:
西班牙 DPA 对未能提供有关住宅区视频监控的足够信息的房主协会处以罚款。由于主动缴纳罚款,原罚款150欧元减为120欧元。
(十七)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-01-09
案件事实概述:
西班牙 DPA对一名个人处以 300 欧元的罚款。该个人在其财产上安装了视频监控摄像头,其中包括邻近的一处财产。AEPD 发现如此广泛的视频监控违反了数据最小化原则。
(十八)西班牙DPA处罚阿拉贡运输工人工会
拟处罚金额:3,000
处罚依据:Art. 5 (1) f) GDPR, Art. 32 GDPR
处罚时间:2023-01-03
案件事实概述:
西班牙 DPA 已对阿拉贡运输工人工会处以 3,000 欧元的罚款。工会在各种社交网络上发布了一份包含罢工委员会成员个人数据(姓氏、名字和身份证号码)的文件。在调查过程中,DPA 发现事件的发生可能是由于工会未能实施足够的技术和组织措施来保护个人数据。
(十九)西班牙DPA处罚FACTOR ENERGÍA, SA
拟处罚金额:24,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-01-02
案件事实概述:
西班牙 DPA 对 FACTOR ENERGÍA, SA 处以罚款。数据主体已向 DPA 提出投诉,因为他们收到了来自控制者的广告信息,即使他们之间不存在合同关系。根据 DPA 的说法,控制者在没有有效法律依据的情况下非法处理了数据。由于主动缴纳罚款并承担相应责任,原来的 40,000 欧元罚款减少到 24,000 欧元。
二、罗马尼亚
(一)罗马尼亚DPA处罚个人主体
拟处罚金额:1,000
处罚依据:Art. 6 (1) a) GDPR, Art. 9 (2) a) GDPR
处罚时间:2023-01-31
案件事实概述:
罗马尼亚 DPA 对一名牙医处以 1,000 欧元的罚款。控制者在医学博客上的一篇文章中发布了患者的医疗信息,例如照片和 X 光片。但是,它在发布医疗数据之前未能征得患者的同意。因此,DPA 认为控制者非法处理了数据。
(二)罗马尼亚DPA处罚牙科诊所
拟处罚金额:1,000
处罚依据:Art. 33 GDPR
处罚时间:2023-01-31
案件事实概述:
罗马尼亚 DPA 已对 Dent Estet Clinic SA(牙科诊所)处以 1,000 欧元的罚款。该诊所的一名受雇牙医在医学博客上的一篇文章中发布了患者的医疗信息,例如照片和 X 光片。然而,牙医在公布医疗数据之前未能征得患者的同意。尽管患者已通知诊所,但未能及时将数据泄露事件通知 DPA。
(三)罗马尼亚DPA处罚Dante Internaşional SA
拟处罚金额:1,000
处罚依据:Art. 17 GDPR
处罚时间:2023-01-18
案件事实概述:
罗马尼亚 DPA 对 Dante Internaşional SA 处以 1,000 欧元的罚款。由于控制者持续向他们发送广告,尽管他们已要求删除其数据。
(四)罗马尼亚DPA处罚BRISTOL LOGISTICS SA
拟处罚金额:2,000
处罚依据:Art. 32 (1) b) GDPR, Art. 32 (2) GDPR
处罚时间:2023-01-12
案件事实概述:
罗马尼亚 DPA 对 BRISTOL LOGISTICS SA 处以 10,000 欧元的罚款。DPA 收到了 BRISTOL LOGISTICS SA 发出的关于Art. 32 GDPR下个人数据泄露的通知。通知称,包含 12 名员工人事档案的活页夹被盗,导致未经授权的人可以访问个人数据。DPA 认为这违反了Art. 32 GDPR,因为市政当局未能实施适当的技术和组织措施来确保达到规定的保护水平。
(五)罗马尼亚DPA处罚Apă Canal Ilfov SA
拟处罚金额:3,000
处罚依据:Art. 32 (1) b) GDPR, Art. 32 (2) GDPR, Art. 32 (4) GDPR
处罚时间:2023-01-04
案件事实概述:
罗马尼亚 DPA 对 Apă Canal Ilfov SA 处以 3,000 欧元的罚款。控制者向公开通讯组列表中的多个收件人发送了一封包含个人数据的电子邮件。这使得收件人可以查看所有其他收件人的电子邮件地址。
(六)罗马尼亚DPA处罚房主协会
拟处罚金额:500
处罚依据:Art. 5 (1) e) GDPR
处罚时间:2023-01-03
案件事实概述:
罗马尼亚 DPA 对房主协会处以 500 欧元的罚款。控制者公开发布了一份名单,上面列出了协会所有成员的名字和姓氏。
三、爱尔兰
(一)爱尔兰DPA 处罚WhatsApp Ireland Ltd.
拟处罚金额:5,500,000
处罚依据:Art. 6 (1) GDPR, Art. 12 GDPR, Art. 13 (1) c) GDPR
处罚时间:2023-01-19
案件事实概述:
爱尔兰DPA已对 WhatsApp Ireland Ltd. 处以 550 万欧元的罚款。奥地利组织“None of Your Business”(NOYB) 已代表个人向DPA 提出投诉。WhatsApp 在 GDPR 生效前不久更新了其服务条款。其中,WhatsApp 通知其用户单击“同意并继续”以表示他们同意新的服务条款。WhatsApp 假设同意更新的使用条款构成 WhatsApp Ireland 与用户之间的合同,因为数据处理对于提供和改进消息服务是必要的。因此,根据 Art.6 (1) b) GDPR,数据处理是合法的。然而,投诉人认为,WhatsApp 实际上是在试图将此种同意作为处理用户数据的合法依据。通过以用户同意更新后的服务条款为条件来访问其服务,WhatsApp Ireland 实际上是在强迫用户同意处理他们的个人数据。调查结束后,爱尔兰DPA 根据 Art.60 GDPR提交了一份决定草案给相关的欧洲监管机构。爱尔兰DPA 发现 WhatsApp 没有将用户同意作为法律依据,因此在本案中没有看到“强制同意”。它还不排除 WhatsApp 依赖合同的可能性。作为回应,爱尔兰DPA 收到了 6 个监管机构的反对意见。但是,它发现 Meta 违反了 GDPR 规定的透明度义务。DPA 发现 Meta 没有向用户清楚地解释他们的个人数据被处理的目的和法律依据。由于无法就争议点达成协议,爱尔兰DPA 根据GDPR第65条启动了争议解决程序。EDPB 在其决定中确认 WhatsApp 违反了透明度义务。但是,EDPB 在法律依据问题上与爱尔兰DPA 持不同立场,认为 WhatsApp 无权依赖合同作为数据处理的法律依据。因此,EDPB 发现 WhatsApp 违反了Art. 6 (1) GDPR。爱尔兰DPA 在其最终决定中同意并处以罚款,并要求 WhatsApp 在 6 个月内使其数据处理合规。
(二)爱尔兰DPA 处罚Meta Platforms Ireland Limited
拟处罚金额:390,000,000
处罚依据:Art. 5 (1) a) GDPR, Art. 6 (1) GDPR, Art. 12 GDPR, Art. 13 (1) c) GDPR
处罚时间:2023-01-04
案件事实概述:
爱尔兰DPA 已对 Meta Platforms Ireland Limited 处以 3.9 亿欧元的罚款。其中包含与 Facebook 服务有关的 2.1 亿欧元的罚款,与 Instagram 服务有关的 1.8 亿欧元的罚款。奥地利组织“None of Your Business”(NOYB) 已向DPA 提出申诉。这些投诉涉及 Meta 更新后的服务条款。在那次更新中,Meta 改变了在行为广告和其他个性化服务的背景下处理个人数据的法律依据。Meta 之前基于用户同意进行数据处理,现在依赖于其条款和条件,其中还涵盖了为个性化广告目的处理个人数据。用户为了使用Facebook 和 Instagram 的服务,而接受更新后的服务条款。最初,DPA 发现 Meta 违反了GDPR 规定的透明度义务。DPA 发现 Meta 没有向用户明确说明他们的个人数据被处理的目的和法律依据。此外,DPA 还发现,Meta 不得依赖与用户约定的条款和条件作为以行为广告为目的数据处理的法律依据。DPA 表示,用户将被迫接受条款和条件,否则他们将无法使用这些服务。在这种情况下,DPA 规定,用户必须能够明确同意或反对出于个性化广告目的处理他们的数据。除了处以罚款外,DPA 还命令 Meta 在三个月内使其数据处理操作符合 GDPR。
四、瑞典
(一)瑞典 DPA处罚达拉纳地区
拟处罚金额:17,900
处罚依据:Art. 32 (1) GDPR
处罚时间:2023-01-17
案件事实概述:
瑞典 DPA 对达拉纳地区处以 17,900 欧元的罚款。该地区已发出患者就诊邀请,在信封窗口上可以看到相应的医疗机构,例如儿童医院。DPA 发现这种可见性允许未经授权的人访问患者的个人数据。DPA 认为,该地区未能实施足够的技术和组织措施来保护个人数据。
五、希腊
(一)希腊 DPA 处罚 Intellexa SA
拟处罚金额:50,000
处罚依据:Art. 31 GDPR
处罚时间:2023-01-13
案件事实概述:
希腊 DPA 已对 Intellexa SA 处以 50,000 欧元的罚款。在调查期间,控制者没有与 DPA 适当合作。
六、意大利
(一)希腊 DPA 处罚 Azienda Sanitaria Locale di Brindisi
拟处罚金额:2,500
处罚依据:Art. 12 (3) GDPR, Art. 15 GDPR
处罚时间:2023-01-11
案件事实概述:
意大利 DPA 对 Azienda Sanitaria Locale di Brindisi 处以 2,500 欧元的罚款。由于卫生当局未能回应访问其个人数据的请求,数据主体已向 DPA 提出投诉。
七、立陶宛
(一)立陶宛 DPA处罚Praktiškas UAB
拟处罚金额:6,000
处罚依据:Art. 5 (1) a) GDPR, Art. 9 (1) GDPR, Art. 13 (1), (2) GDPR, Art. 30 (1), (3) GDPR, Art. 35 (1), (3) GDPR
处罚时间:2023-01-09
案件事实概述:
立陶宛 DPA 已对 SportGates 体育俱乐部的运营商 Praktiškas UAB 处以 6,000 欧元的罚款。控制者在访问体育设施的情况下处理了客户的生物特征数据。在调查过程中,DPA 发现客户同意处理其生物识别数据不能被视为自愿。这是因为控制者没有提供任何其他类型的信息来访问体育俱乐部。它也没有向数据主体提供有关访问体育俱乐部的可能替代方案的信息。此外,DPA 发现控制者没有向数据主体提供有关处理其个人生物识别数据的足够信息。
域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用