动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)
全文约3000字,预计阅读时间15分钟
文|杜安琪 中国信息通信研究院互联网法律研究中心助理研究员
杨默涵 中国信息通信研究院互联网法律研究中心实习生
欧盟的《一般数据保护条例》(GDPR)为欧洲打造了统一的规则体系,以高额罚金等惩罚性措施来加强数据保护。在2023年2月份的数据中,截止到2月28日,欧盟根据GDPR所作出的罚款总额和罚款次数较之前都大幅下降,其中只有三个国家出现了罚款,罚款数可能会随着时间继续更新。
1.累计数量
月份 | 罚款总额累计 | 罚款总次数累计 |
2023年2月 | € 2,754,102,462 | 1510 |
2.单月数量
月份 | 罚款额 | 罚款数 |
2023年2月 | € 910,580 | 13 |
3.2月累计最高罚款额
国家 | 罚款金额 |
挪威 | €900,000(1项罚款) |
罗马尼亚 | €6,000(2项罚款) |
西班牙 | €4,580(10项罚款) |
4.2月罚款次数
国家 | 罚款数 |
西班牙 | 10(总€4,580) |
罗马尼亚 | 2(总€6,000) |
挪威 | 1(总€900,000) |
5.2月违规类型统计
违规类型 | 罚款金额 |
数据主体权利的实现不足 | € 901,000(被罚款2次) |
技术和组织措施不足,无法确保信息安全 | € 5,000(被罚款1次) |
不遵守一般数据处理原则 | € 2,900(被罚款5次) |
没有充分履行信息义务 | € 1,680(被罚款5次) |
违规类型 | 罚款次数 |
不遵守一般数据处理原则 | 5(总€2,900) |
没有充分履行信息义务 | 5(总€1,680) |
数据主体权利的实现不足 | 2(总€901,000) |
技术和组织措施不足,无法确保信息安全 | 1(总€5,000) |
一、西班牙
(一)西班牙DPA处罚PLANET COSTA DORADA SOCIEDAD LIMITADA
拟处罚金额:300
处罚依据:Art. 13 GDPR
处罚时间:2023-02-21
案件事实概述:
西班牙DPA对PLANET COSTA DORADA SOCIEDAD LIMITADA处以300欧元的罚款,原因是控制者未能提供有关其场所视频监控的信息。
(二)西班牙DPA处罚个人主体
拟处罚金额:1,200
处罚依据:Art. 5 (1) c) GDPR, Art. 13 GDPR
处罚时间:2023-02-21
案件事实概述:
西班牙DPA已对个人处以1,200欧元的罚款,原因是该个人安装了视频监控摄像头,覆盖了公共场所。DPA认为这违反了数据最小化原则。此外,该个人还违反了通知义务。
(三)西班牙DPA处罚SUPER 24H LOS ROSALES, SL
拟处罚金额:180
处罚依据:Art. 13 GDPR
处罚时间:2023-02-21
案件事实概述:
西班牙DPA对SUPER 24H LOS ROSALES, SL处以罚款,原因是控制者未能提供有关其场所视频监控的通知。由于该公司自愿缴纳并承担责任,对其罚款由原来的300欧元减为180欧元。
(四)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-02-21
案件事实概述:
西班牙DPA已对个人处以300欧元的罚款,原因是该个人安装的视频监控摄像头中也记录了公共空间。DPA认为这违反了数据最小化原则。
(五)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-02-21
案件事实概述:
西班牙DPA已对个人处以300欧元的罚款,原因是该个人安装的视频监控摄像头中记录了其邻居财产的信息。DPA认为这违反了数据最小化原则。
(六)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 13 GDPR
处罚时间:2023-02-21
案件事实概述:
西班牙DPA因个人未能提供有关安装在其财产上的视频监控系统的足够信息而对该个人处以300欧元的罚款。
(七)西班牙DPA处罚COMANDANCIA DE LLEIDA
拟处罚金额:300
处罚依据:Art. 13 GDPR
处罚时间:2023-02-21
案件事实概述:
西班牙DPA对COMANDANCIA DE LLEIDA处以300欧元的罚款,原因是控制者未能提供有关其场所视频监控信息的通知。
(八)西班牙DPA处罚个人主体
拟处罚金额:600
处罚依据: Art. 5 (1) c) GDPR, Art. 13 GDPR
处罚时间:2023-02-21
案件事实概述:
西班牙DPA对个人处以600欧元的罚款,原因是该个人安装的视频监控摄像头覆盖了公共场所。DPA认为这违反了数据最小化原则。此外,该个人没有适当告知数据主体视频监控对其数据的处理。
(九)西班牙DPA处罚HOTEL VILLA SORO, SL
拟处罚金额:600
处罚依据: Art. 13 GDPR
处罚时间:2023-02-03
案件事实概述:
西班牙DPA对HOTEL VILLA SORO, SL处以罚款,原因是控制者安装了视频监控系统,但没有提供所需的信息。由于该公司自愿缴纳且承担责任,对其罚款由原来的1000欧元减为600欧元。
(十)西班牙DPA处罚MIRACLE IBIZA SL
拟处罚金额:500
处罚依据: Art. 5 (1) c) GDPR
处罚时间:2023-02-03
案件事实概述:
西班牙DPA对MIRACLE IBIZA SL处以500欧元的罚款,原因是其安装了一个可以捕捉到公寓的前门的视频监控系统。DPA认为这违反了GDPR第5(1)c)条规定的数据最小化原则。
二、罗马尼亚
(一)罗马尼亚DPA处罚Medijobs Platform SRL
拟处罚金额:5,000
处罚依据:Art. 32 (1) b), (2) GDPR
处罚时间:2023-02-08
案件事实概述:
罗马尼亚DPA对Medijobs Platform SRL处以5,000欧元的罚款。该数据控制者已根据GDPR第33条的要求向DPA通报了数据泄露事件。未经授权的第三方成功访问了该控制者的IT基础设施,并下载、删除和传输了申请人的个人数据,如姓名、电子邮件地址、职业经历、婚姻状况等。DPA发现控制者未能实施适当的技术和组织措施来保护个人数据,这导致了最终的数据泄露。
(二)罗马尼亚DPA处罚Tensa Art Design SA
拟处罚金额:1,000
处罚依据: Art. 21 (3) GDPR
处罚时间:2023-02-01
案件事实概述:
罗马尼亚DPA对Tensa Art Design SA处以1,000欧元的罚款,原因是在数据主体反对进一步订阅时事通讯的情况下,仍继续收到来自数据控制者的广告。
三、挪威
(一)挪威DPA处罚健身连锁店“Sats”
拟处罚金额:900,000
处罚依据:Art. 5 (1) a), e) GDPR, Art. 6 (1) GDPR, Art. 12 (1), (3) GDPR, Art. 13 GDPR, Art. 15 GDPR, Art. 17 GDPR
处罚时间:2023-02-08
案件事实概述:
挪威DPA对健身连锁店“Sats”处以900,000欧元的罚款。DPA收到了几起来自客户的投诉,这些客户原本向Sats提交了请求,要求删除他们的个人数据,但Sats没有遵守这些请求。DPA还发现Sats在没有合法性基础的情况下处理了某些客户数据。
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用