动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.04)
全文约6000字,预计阅读时间30分钟
欧盟的《一般数据保护条例》(GDPR)为欧洲打造了统一的规则体系,以高额罚金等惩罚性措施来加强数据保护。在2023年4月份的数据中,罚款总额较上月大幅上升,罚款次数却在减少。在英国出现了针对TikTok的大额罚款,违规类型也较之前增多,出现了“数据保护官参与不足”等较少出现的违规类型。
月份 | 罚款总额累计 | 罚款总次数累计 |
2023年4月 | € 2,778,726,043 | 1621 |
月份 | 罚款额 | 罚款数 |
2023年4月 | € 15,327,100 | 25 |
国家 | 罚款金额 |
英国 | €14,500,000(1项罚款) |
西班牙 | €533,200(17项罚款) |
匈牙利 | €266,300(2项罚款) |
瑞典 | €17,600(1项罚款) |
罗马尼亚 | €10,000(4项罚款) |
国家 | 罚款数 |
西班牙 | 17(总€533,200) |
罗马尼亚 | 4(总€10,000) |
匈牙利 | 2(总€266,300) |
英国 | 1(总€14,500,000) |
瑞典 | 1(总€17,600) |
违规类型 | 罚款金额 |
不遵守一般数据处理原则 | € 14,856,600(被罚款7次) |
数据处理的法律依据不足 | € 357,000(被罚款6次) |
没有充分履行信息义务 | € 29,900(被罚款6次) |
技术和组织措施不足,无法确保信息安全 | € 29,600(被罚款2次) |
与监管机构的合作不足 | € 25,000(被罚款1次) |
数据保护官参与不足 | € 25,000(被罚款1次) |
数据主体权利未充分实现 | € 4,000(被罚款2次) |
违规类型 | 罚款次数 |
不遵守一般数据处理原则 | 7(总€14,856,600) |
数据处理的法律依据不足 | 6(总€357,000) |
没有充分履行信息义务 | 6(总€29,900) |
技术和组织措施不足,无法确保信息安全 | 2(总€29,600) |
数据主体权利未充分实现 | 2(总€4,000) |
与监管机构的合作不足 | 1(总€25,000) |
数据保护官参与不足 | 1(总€25,000) |
(一)西班牙DPA处罚INFINITY ECOM SL
拟处罚金额:5,000
处罚依据:Art. 13 GDPR
处罚时间:2023-04-28
案件事实概述:
西班牙 DPA 对 INFINITY ECOM SL 处以 5,000 欧元的罚款,原因是其未能确保其网站上的隐私政策符合GDPR第13条的要求。
(二)西班牙DPA处罚ALBERO FORTE COMPOSITE, SL
拟处罚金额:12,000
处罚依据:Art. 35 GDPR
处罚时间:2023-04-28
案件事实概述:
西班牙 DPA (AEPD) 对 ALBERO FORTE COMPOSITE, SL 处以罚款。该公司在入口处为员工拍照,以记录他们的工作时间。但是,该公司未能进行数据保护影响评估。由于自愿缴纳和承认,罚款由原来的 20,000 欧元减为 12,000 欧元。
(三)西班牙DPA处罚网站运营商
拟处罚金额:1,000
处罚依据:Art. 13 GDPR
处罚时间:2023-04-26
案件事实概述:
西班牙 DPA 因网站运营商未能确保其网站上的隐私政策符合GDPR第13条的要求而对该网站运营商处以 1,000 欧元的罚款。
(四)西班牙DPA处罚个人
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-04-25
案件事实概述:
西班牙 DPA 已对个人处以 300 欧元的罚款,原因是其安装了视频监控摄像头,还记录了邻居的财产。DPA 认为这违反了数据最小化原则。
(五)西班牙DPA处罚DIGI SPAIN TELECOM, SL
拟处罚金额:70,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-04-25
案件事实概述:
西班牙 DPA 对 DIGI SPAIN TELECOM, SL 处以 70,000 欧元的罚款。某人向 DPA 提出投诉,指出该公司在未经他们同意的情况下将他们的 SIM 卡副本提供给了未经授权的欺诈性第三方。在调查过程中,DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行账户并进行未经授权的交易。
(六)西班牙DPA处罚Telefónica Móviles España, SAU
拟处罚金额:70,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-04-24
案件事实概述:
西班牙 DPA 对 Telefónica Móviles España, SAU 处以 70,000 欧元的罚款。某人向 DPA 提出投诉,指出该公司在未经他们同意的情况下将他们的 SIM 卡副本提供给了未经授权的欺诈性第三方。在调查过程中,DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行账户并进行未经授权的交易。
(七)西班牙DPA处罚SECURITAS DIREC ESPAÑA, SA
拟处罚金额:25,000
处罚依据:Art. 58 (2) GDPR
处罚时间:2023-04-21
案件事实概述:
西班牙 DPA 因SECURITAS DIREC ESPAÑA, SA未能遵守 DPA 发布的命令而对其处以 25,000 欧元的罚款。
(八)西班牙DPA处罚KFC RESTAURANTS SPAIN, S.L.
拟处罚金额:25,000
处罚依据:Art. 13 GDPR, Art. 37 GDPR
处罚时间:2023-04-20
案件事实概述:
西班牙 DPA 已对 KFC RESTAURANTS SPAIN, S.L.处以 25,000 欧元的罚款。在调查过程中,DPA 发现控制者没有任命数据保护官。此外,DPA 发现控制者没有在其网站上提供GDPR第13条要求的所有信息。
(九)西班牙DPA处罚Vodafone España, S.A.U.
拟处罚金额:112,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-04-13
案件事实概述:
西班牙 DPA 已对 Vodafone España, S.A.U. 处以罚款。某人向 DPA 提出投诉,指出该公司在未经他们同意的情况下将他们的 SIM 卡副本提供给了未经授权的欺诈性第三方。在调查过程中,DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行账户并进行未经授权的交易。由于自愿缴纳,原罚款14万欧元减为11.2万欧元。
(十)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-04-13
案件事实概述:
西班牙 DPA (AEPD) 已对个人处以 300 欧元的罚款,原因是其安装了视频监控摄像头,其中记录了公共空间。DPA 认为这违反了数据最小化原则。
(十一)西班牙DPA处罚个人主体
拟处罚金额:300
处罚依据:Art. 13 GDPR
处罚时间:2023-04-05
案件事实概述:
西班牙DPA (AEPD)对一名私人罚款300欧元,原因是其没有提供安装在自己住所的视频监控系统的足够信息。
(十二)西班牙DPA处罚Real Federación Española de Tenis de Mesa
拟处罚金额:10,000
处罚依据:Art. 9 (2) GDPR
处罚时间:2023-04-04
案件事实概述:
西班牙 DPA 对 Real Federación Española de Tenis de Mesa 处以 10,000 欧元的罚款。一名乒乓球教练考试的参与者向 DPA 提出了投诉,因为他们需要出示 Covid 测试才能进入考场。在调查过程中,DPA 发现控制者此处理没有有效的法律依据,因为当时有关卫生概念的法律规定不需要测试证明。
(十三)西班牙DPA处罚BANCO BILBAO VIZCAYA ARGENTARIA, SA
拟处罚金额:84,000
处罚依据:Art. 6 (1) GDPR, Art. 15 GDPR
处罚时间:2023-04-04
案件事实概述:
西班牙 DPA 对 BANCO BILBAO VIZCAYA ARGENTARIA, SA 处以罚款。在调查过程中,DPA 发现该控制者在没有有效法律依据的情况下向西班牙中央银行的风险信息中心登记了一名前客户的债务。DPA 还发现控制者没有充分满足前客户访问其个人数据的请求。由于自愿支付和承认责任,原来的 140,000 欧元罚款减少到 84,000 欧元。
(十四)西班牙DPA处罚ENFOKA SISTEMAS GLOBALES, SL
拟处罚金额:18,000
处罚依据:Art. 6 (1) GDPR
处罚时间:2023-04-04
案件事实概述:
西班牙 DPA 对 ENFOKA SISTEMAS GLOBALES, SL 处以罚款。一位客户向 DPA 提出投诉,原因是管理员在未经客户事先同意的情况下更换了他们的供电公司。由于自愿缴纳和承认,原来的 30,000 欧元罚款减为 18,000 欧元。
(十五)西班牙DPA处罚个人
拟处罚金额:300
处罚依据:Art. 13 GDPR
处罚时间:2023-04-03
案件事实概述:
西班牙 DPA (AEPD) 因个人未能提供有关安装在其财产中的视频监控系统的足够信息而对其处以 300 欧元的罚款。
(十六)西班牙DPA处罚20 MINUTOS EDITORA, SL
拟处罚金额:50,000
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-04-03
案件事实概述:
西班牙 DPA 对 20 MINUTOS EDITORA, SL 处以 50,000 欧元的罚款。包括控制者在内的几家媒体机构在其网站上发布了强奸受害者在法庭上作证的录音。该案件引起了众多媒体的关注。在调查过程中,DPA 确定强奸受害者的隐私权超过控制者的信息自由权。受害人的录音并没有为报告增加任何重要价值,反而严重损害了受害人的隐私。为此,DPA 认为控制者违反了数据最小化原则。
(十七)西班牙DPA处罚ATRESMEDIA CORPORACIÓN DE MEDIOS DE COMUNICACIÓN, SA
拟处罚金额:50,000
处罚依据:Art. 5 (1) c) GDPR
处罚时间:2023-04-03
案件事实概述:
西班牙 DPA 对 ATRESMEDIA CORPORACIÓN DE MEDIOS DE COMUNICACIÓN, SA 处以 50,000 欧元的罚款。包括控制者在内的多家媒体机构在其网站和推特上发布了强奸受害者在法庭上作证的录音,以报道此案。该案件引起了众多媒体的关注。在调查过程中,DPA 确定强奸受害者的隐私权超过控制者的信息自由权。受害人的录音并没有为报告增加任何重要价值,反而严重损害了受害人的隐私。为此,DPA 认为控制者违反了数据最小化原则。
(一)瑞典 DPA 处罚斯科讷地区
拟处罚金额:17,600
处罚依据:Art. 32 (1) GDPR
处罚时间:2023-04-26
案件事实概述:
瑞典 DPA 已对斯科讷地区处以 17,600 欧元的罚款。该地区的一名员工丢失了一个未加密的 U 盘,其中包含近 2,000 人的社会安全号码和敏感个人数据。DPA 发现该地区未能实施足够的技术和组织措施来保护个人数据。
(一)罗马尼亚 DPA 处罚Tensa Art Design SA
拟处罚金额:1,000
处罚依据:Art. 12 (3) GDPR
处罚时间:2023-04-24
案件事实概述:
罗马尼亚 DPA 对 Tensa Art Design SA 处以 1,000 欧元的罚款。因为控制者未能满足数据主体的拒绝权。
(二)罗马尼亚 DPA 处罚Partidul Uniunea Salvaşi România
拟处罚金额:3,000
处罚依据:Art. 5 (1) a), b) GDPR, Art. 6 GDPR
处罚时间:2023-04-19
案件事实概述:
罗马尼亚 DPA 对Partidul Uniunea Salvaşi România处以 3,000 欧元的罚款。控制者在没有有效法律依据的情况下在其网站上发布了不同程度的残疾人员的个人数据。
(三)罗马尼亚 DPA 处罚REGENCY COMPANY SRL
拟处罚金额:3,000
处罚依据:Art. 5 (1) a), b), c) GDPR, Art. 6 GDPR
处罚时间:2023-04-07
案件事实概述:
罗马尼亚 DPA 对 REGENCY COMPANY SRL 处以 3,000 欧元的罚款。控制者在其场所安装了视频监控摄像头,以保护场所和财产的安全。但是,这使其能够广泛监控其员工。DPA在调查过程中发现,部分视频监控是在未经员工同意的情况下进行的,监控的目的也可以通过较少侵犯员工隐私的方式来实现。
(四)罗马尼亚 DPA 处罚Tensa Art Design SRL
拟处罚金额:3,000
处罚依据:Art. 21 (3) GDPR
处罚时间:2023-04-04
案件事实概述:
罗马尼亚 DPA 对 Tensa Art Design SRL 处以 3,000 欧元的罚款。用户对接收促销信息和出于营销目的处理其个人数据提出异议,并针对接收促销信息提出了投诉。DPA 认为这违反了GDPR第21(3)条。
(一)匈牙利 DPA处罚连锁超市 Aldi
拟处罚金额:253,000
处罚依据:Unknown
处罚时间:2023-04-12
案件事实概述:
匈牙利 DPA 对连锁超市 Aldi 处以 253,000 欧元的罚款。Aldi在用户购买酒精饮料时,在结账系统中输入并存储了许多顾客的出生日期。引入此程序是为了让收银员的工作更轻松,因为该软件可以快速计算出该人是否超过 18 岁,但被 DPA 认为过度。此外,Aldi没有回答有关此处理的法律依据的任何问题。
(二)匈牙利 DPA处罚一家公司
拟处罚金额:13,300
处罚依据:Art. 12 GDPR, Art. 13 GDPR
处罚时间:2023-04-04
案件事实概述:
匈牙利DPA对一家公司处以13,300欧元的罚款。一名客户向DPA提出投诉,因为他们与控制者的销售代表的谈话被记录下来,而他们没有被告知这一点。DPA认为这违反了GDPR规定的信息义务。
(一)英国 DPA(ICO)处罚 TikTok
拟处罚金额:14,500,000
处罚依据:Art. 5 (1) a) GDPR, Art. 12 GDPR, Art. 13 GDPR
处罚时间:2023-04-04
案件事实概述:
英国 DPA(ICO)对 TikTok 处以 1,450 万欧元的罚款。ICO 发现英国超过 100 万13 岁以下儿童未经父母同意使用 TikTok。ICO 批评 TikTok 未能实施足够的控制来识别和移除其平台上的未成年儿童。此外,ICO 发现 TikTok 没有向平台用户提供有关其数据收集、使用和披露的充分且易于理解的信息。因此,ICO 认为,TikTok 未能确保以合法、公平和透明的方式处理其用户的个人数据。
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用