数保前线 | 欧洲经济区数据保护监管执法监测(2020年06月)
* 文章系本公众号独家首发,未经授权不得转载、摘编。
进入2020年,《通用数据保护条例》(GDPR)生效进入第2年,监管机构执法逻辑日渐清晰,力度也可预见循序加大。针对欧洲经济区(EEA)数据保护新执法情况保持密切监测,有助于企业明确业务线合规治理要点,清晰国别线合规风控重点,有效预防提前预警。
01
EEA数据保护监管执法概述
2020年6月,欧洲各国逐渐走出疫情阴霾,处罚案件数量显著回升,10个国家监管机构共作出处罚决定31项,处罚金额累计约2,045,703.4欧元。
西班牙和德国的监管强度突出,西班牙电信行业仍为监管执法重点,对多家运营商频开罚单。此外,匈牙利本月在电信行业也频开罚单。
本期监管执法监测选取德国、匈牙利、西班牙三起典型案例进行重点分析。
2020年6月-典型监管执法案例概况
02
2020年6月监管执法分析
【时间】2020年6月1日~2020年6月30日
【数量】10个国家数据保护监管机构,31项处罚决定
【金额】总罚款金额为2,045,703.4欧元
【数量趋势】环比上涨约287.5%,同比上涨约416.7%。
【金额趋势】环比上涨约611.1%,同比上涨约90.1%。
【总体趋势】纵观近一年来月度执法数据,2020年6月的执法数量显著回升,罚款金额处于中位数。
2.3 横向对比
【德国】单笔处罚金额最高的国家 -- €1,240,000 ;
【西班牙】执法数量最多的国家,案件数16件,处罚总额 €289,040 ;
典型案例一
【案例】电信运营商Miraclia Telecomunicaciones SL开发了一款名为JUASAPP的恶作剧软件,用户事先录制恶作剧语音,并指定接收该语音的电话号码,继而该应用程序(App)会录制接听电话者的反应,用户可将录制的搞笑语音片段及接听者的反应上传至该应用程序供他人浏览。西班牙数据保护监管机构对其未经数据主体同意处理个人数据的行为处以7,500欧元的罚款,Miraclia不服该行政处罚决定,提起行政诉讼。该案经初审、再审,最终由西班牙最高法院判决驳回上诉,维持原判,并在判决中认定,在该处理场景下,语音属于个人数据,因为语音可以结合其他信息识别特定自然人,例如电话号码。
【违规行为】 未经数据主体同意处理个人数据;
【违反条款】GDPR第5条、第6条;
【判决要点】该公司抗辩理由之一便是录音并不属于个人数据,但最高法院在最终判决中明确,该数据处理场景下,录音属于个人数据。
2.5 处罚依据
【法条】GDPR第5条(个人数据处理的原则)、 GDPR第6条(数据处理的合法性)、GDPR第7条(同意的条件)是高频次违规及处罚依据。
特别要关注在选择“同意“作为数据处理的合法性基础时需要满足第7条的要求,使获取的“同意“是自由作出的、明确的、具体的并且可撤回。
一个处罚案件可能违反了多项法律要求,
所以呈现出的数字并不完全与处罚的案件数量相符。
2.5 合规启示
【风险传导】电信运营商被处罚,作为供应商受到的影响一般是基于双方签署的数据处理协议(DPA)或跨境转移协议(DTC)的相关风险传导。需严格遵守DPA中关于监管机构审查时双方的合作义务,否则会触发责任条款,承担相应损失与赔偿。
【监管预警】电信运营商被处罚,若与其业务联系密切,作为其供应商也很可能被监管机构重点关注。应强化检视客户或潜在客户经频繁处罚后的合规传导。
本文作者:Sh.MH, X.M
数保前线 | 欧洲经济区数据保护监管执法监测(2020年05月)
数保前线 | 欧洲经济区数据保护监管执法监测(2020年04月)
数保前线 | 欧洲经济区数据保护监管执法监测(2020年03月)
数保前线 | 欧洲经济区数据保护监管执法监测(2020年02月)
数保前线 | 欧洲经济区数据保护监管执法监测(2020年01月)