欧盟的《一般数据保护条例》（GDPR）为欧洲打造了统一的规则体系，以高额罚金等惩罚性措施来加强数据保护。在2023年3月的数据中，罚款总额与罚款次数较上一月均有增长。3月共有四个国家出现了罚款，需要重点关注的是，3月的执法案例中出现了一系列个人隐私权与信息自由权权衡的案例。

一、累计数量

二、单月数量

三、3月累计最高罚款额

四、3月罚款次数

五、3月违规类型统计

一、西班牙

（一）西班牙DPA处罚Orange Espagne SAU

拟处罚金额：70,000

处罚依据：Art. 6 (1) GDPR

处罚时间：2023-03-23

案件事实概述：

西班牙 DPA 已对 Orange Espagne SAU 处以罚款。有人向 DPA 提出了投诉，因为该公司在未经他们同意的情况下将他们的 SIM 卡副本提供给了未经授权的欺诈性第三方。在调查过程中，DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行账户并进行未经授权的交易。

（二）西班牙DPA处罚9家媒体机构

拟处罚金额：50,000 / 40,000

处罚依据：Art. 5 (1) c) GDPR

处罚时间：2023-03-21

案件事实概述：

西班牙 DPA 已对 UNIDAD CEDITORAL INFORMACION GENERAL SLU 等9家媒体机构处以罚款。原因是这些媒体机构在其网站和推特上发布了多名强奸受害者在法庭上作证的录音，以报道相关案件。该案件引起了众多媒体的关注。在调查过程中，DPA 确定强奸受害者的隐私权优于数据控制者的信息自由权。受害人的录音并没有为报告增加任何重要价值，反而严重损害了受害人的隐私。因此，DPA 认为相关数据控制者违反了数据最小化原则。DPA对相关媒体机构处以50,000欧元罚款，其中，TITANIA COMPAÍA EDITORIAL, SL、EDITORIAL DE PRENSA CANARIA, SA两家机构由于自愿缴纳，原罚款5万欧元减为4万欧元。

（三）西班牙DPA处罚CAIXABANK PAYMENTS & CONSUMER EFC, EP, SAU

拟处罚金额：70,000

处罚依据：Art. 6 (1) GDPR

处罚时间：2023-03-21

案件事实概述：

西班牙 DPA 已对 CAIXABANK PAYMENTS & CONSUMER EFC, EP, SAU 处以 70,000 欧元的罚款。数据主体收到代表 Caixabank 的收债公司发来的消息，要求支付未偿债务。但是，该债务已被取消，这在法院裁决中也得到了确认。出于这个原因，DPA 确定当事人披露数据主体的个人数据以联系他们进行债务清算的目的是非法的。

（四）西班牙DPA处罚个人

拟处罚金额：5,000

处罚依据：Art. 5 (1) f) GDPR, Art. 32 (1) GDPR

处罚时间：2023-03-16

案件事实概述：

西班牙 DPA 已对个人处以 5,000 欧元的罚款。控制者向公开通讯组列表中的多个收件人发送了一封包含个人数据的电子邮件。这使得收件人可以查看所有其他收件人的电子邮件地址。

（五）西班牙DPA处罚Vodafone España, SAU

拟处罚金额：136,000

处罚依据：Art. 6 GDPR, Art. 32 GDPR

处罚时间：2023-03-15

案件事实概述：

西班牙 DPA (AEPD) 对 Vodafone España, SAU 处以罚款。一名数据主体向数据控制者提出投诉，因为未经授权的欺诈者访问了他们的 Vodafone 帐户并更改了他们的合同。在调查过程中，DPA 发现Vodafone在没有核实请求者的身份并确定数据主体是否实际提出请求的情况下对合同进行了更改。由于自愿缴纳和承担责任，原来的 170,000 欧元罚款减为 136,000 欧元。

（六）西班牙DPA处罚个人

拟处罚金额：480

处罚依据：Art. 5 (1) c) GDPR, Art. 13 GDPR

处罚时间：2023-03-15

案件事实概述：

西班牙 DPA 已对个人处以罚款。管理员安装了一个视频监控摄像头，该摄像头还覆盖了公共场所和附近的财产。DPA 认为这违反了数据最小化原则。此外，数据控制者没有适当告知数据主体视频监控对数据的处理，因此违反了告知义务。由于自愿缴纳，原罚款600欧元减为480欧元。

（七）西班牙DPA处罚个人

拟处罚金额：240

处罚依据：Art. 5 (1) c) GDPR

处罚时间：2023-03-14

案件事实概述：

西班牙 DPA 已对个人处以罚款。一名数据主体向 DPA 投诉他的前伴侣。前伴侣在共同居住的住宅内安装了视频监控摄像头，记录了他们的部分私人生活区域。DPA 认为这违反了数据最小化原则。由于自愿缴纳，原罚款300欧元减为240欧元。

二、罗马尼亚

（一）罗马尼亚 DPA 处罚个人

拟处罚金额：450

处罚依据：Art. 5 (1) a) GDPR, Art. 6 GDPR

处罚时间：2023-03-27

案件事实概述：

罗马尼亚 DPA 已对个人处以 450 欧元的罚款。该人未经他人同意在社交网络上发布了多人的个人数据。

（二）罗马尼亚 DPA 处罚Tehnoplus Industry SRL

拟处罚金额：5,000

处罚依据：Art. 5 (1) a), c), e) GDPR, Art. 5 (2) GDPR, Art. 6 GDPR

处罚时间：2023-03-23

案件事实概述：

罗马尼亚 DPA 对 Tehnoplus Industry SRL 处以 5,000 欧元的罚款。该公司的一名员工向 DPA 提出投诉，因为管理员在他们公司的车辆上安装了 GPS 系统以监控车辆，但没有向他们提供有关此类安装的足够信息。在调查过程中，DPA 还发现管理员在工作时间之外处理 GPS 数据，并且是出于最初预期之外的目的。DPA 认为这违反了数据最小化原则。此外，数据控制者无法证明其存储数据的时间没有超过法律允许的时间。

（三）罗马尼亚 DPA 处罚Med Life S.A.

拟处罚金额：3,000

处罚依据：Art. 32 (1) b) GDPR, Art. 32 (2) GDPR, Art. 32 (4) GDPR

处罚时间：2023-03-16

案件事实概述：

罗马尼亚 DPA 对Med Life S.A.处以3,000 欧元的罚款。原因是Med Life S.A.的一名患者除了收到自己的检查报告外，还通过电子邮件收到一系列附件，其中包含属于其他五名患者的检查报告。所附文件载有姓名、出生日期、检查日期、检查原因、检查结果、诊断、体检结论。经调查，Med Life S.A. 没有采取适当的技术和组织措施保护个人数据。

（四）罗马尼亚 DPA 处罚Furtună Dan 博士

拟处罚金额：1,000

处罚依据：Art. 32 (1) b) GDPR, Art. 32 (2) GDPR

处罚时间：2023-03-16

案件事实概述：

罗马尼亚 DPA 对 Furtună Dan 博士处以 1,000 欧元的罚款。管理员通过 WhatsApp 将体检结果发送给了错误的收件人。导致数据主体的个人数据，如名字和姓氏、电话号码和医疗数据，被未经授权地披露给第三方。DPA 发现数据控制者未能实施足够的技术和组织措施来保护个人数据。

（五）罗马尼亚 DPA 处罚Partidul Uniunea Salvaşi România

拟处罚金额：4,000

处罚依据：Art. 32 (1) a) GDPR, Art. 32 (2) GDPR

处罚时间：2023-03-15

案件事实概述：

罗马尼亚 DPA 对 Partidul Uniunea Salvaşi România 处以 4,000 欧元的罚款。数据控制者遭受了网络钓鱼攻击，攻击者在未经授权的情况下访问了个人数据，例如名字、姓氏、电子邮件、电话号码以及数据主体的政治派别数据。DPA 发现数据控制者未能实施足够的技术和组织措施，例如数据加密来保护个人数据，从而助长了此类攻击。

（六）罗马尼亚 DPA 处罚Alianşa pentru Unirea Românilor

拟处罚金额：10,000

处罚依据：Art. 5 (1) c) GDPR, Art. 5 (2) GDPR

处罚时间：2023-03-15

案件事实概述：

罗马尼亚 DPA 对 Alianşa pentru Unirea Românilor 处以 10,000 欧元的罚款。在调查过程中，DPA 发现数据控制者在其网站上收集个人数据时未通知数据主体，也不符合合法处理的条件。DPA 还发现，数据控制者不仅在其网站上，而且还通过各种表格填写，收集姓氏、名字、地址、身份证号码等数据。DPA 认为这违反了原则数据最小化。

（七）罗马尼亚 DPA 处罚Tinmar Energy SA

拟处罚金额：3,000

处罚依据：Art. 32 (1) b) GDPR, Art. 32 (2) GDPR

处罚时间：2023-03-14

案件事实概述：

罗马尼亚 DPA 已对 Tinmar Energy SA 处以 3,000 欧元的罚款。数据控制者遭受数据泄露，第三方未经授权访问了个人数据，例如数据主体的名字、姓氏、电话号码、地址等。DPA 发现控制者未能实施足够的技术和组织措施来保护个人数据。

（八）罗马尼亚 DPA 处罚Modaone SRL

拟处罚金额：2,000

处罚依据：Art. 12 GDPR, Art. 13 GDPR

处罚时间：2023-03-13

案件事实概述：

罗马尼亚 DPA 对 Modaone SRL 处以 2,000 欧元的罚款。某用户向 DPA 提出了关于通过电子邮件收到广告信息的投诉，尽管他们反对接收此类信息，并且数据控制者已向他们确认了这一点。在调查过程中，DPA 还发现控制者没有向数据主体提供有关其个人数据处理的充分、正确和最新的信息。此外，DPA 发现数据控制者并没有充分保证数据主体权利的行使。

（九）罗马尼亚 DPA 处罚Integral Collection SRL

拟处罚金额：3,000

处罚依据：Art. 32 (1) b), c) GDPR, Art. 32 (2) GDPR

处罚时间：2023-03-06

案件事实概述：

罗马尼亚 DPA 对 Integral Collection SRL 处以 3000 欧元的罚款。数据控制者遭受了勒索软件攻击，未经授权的第三方获得了对个人数据的访问权限，例如数据主体的地址、信用卡详细信息、银行账户信息、电话号码等。在调查期间，DPA 发现控制者未能实施足够的技术和组织措施来保护个人数据。

（十）罗马尼亚 DPA 处罚Finopro IFN SA

拟处罚金额：2,250

处罚依据：Art. 32 (1) b), c) GDPR, Art. 32 (2) GDPR

处罚时间：2023-03-06

案件事实概述：

罗马尼亚 DPA 对 Finopro IFN SA 处以 2,250 欧元的罚款。数据控制者遭受了勒索软件攻击，未经授权的第三方获得了对个人数据的访问权限，例如数据主体的地址、信用卡详细信息、银行账户信息、电话号码等。在调查期间，DPA 发现控制者未能实施足够的技术和组织措施来保护个人数据。

三、法国

（一）法国 DPA 处罚 CITYSCOOT

拟处罚金额：125,000

处罚依据：Art. 5 (1) c) GDPR, Art. 28 (3) GDPR, Art. 82 Loi informatique et libertés

处罚时间：2023-03-16

案件事实概述：

法国 DPA 对 CITYSCOOT 处以 125,000 欧元的罚款，CITYSCOOT 是一家短期出租小型摩托车的公司。在调查期间，DPA 发现 CITYSCOOT 在租用踏板车时会每 30 秒收集一次车辆地理定位数据，并存储行程历史记录。该公司曾表示，其收集数据的目的包括处理交通违章、投诉查询、在发生撞车事故时协助用户以及处理盗窃案件。然而，DPA 发现这些目的都不能证明对数据主体进行这种永久性地理定位是合理的，因此该公司违反了数据最小化原则。此外，DPA 发现该公司与数据处理者签订的合同并未包含所有必需的信息。

四、挪威

（一）挪威 DPA 处罚Argon Medical Devices

拟处罚金额：220,000

处罚依据：Art. 33 (1) GDPR

处罚时间：2023-03-08

案件事实概述：

挪威 DPA 对 Argon Medical Devices 处以 220,000 欧元的罚款。原因是数据控制者未能在 72 小时内将涉及其所有欧洲员工个人数据的数据泄露事件通知 DPA。