GDPR执法案例全景白皮书.pdf

引 言2018年5月25日，欧盟通用数据保护条例（General Data Protection Regulation，GDPR）正式生效，由此引发全球范围内关于个人数据保护立法、执法、企业合规、国际合作等的广泛讨论和深刻变革。公开信息统计显示， GDPR生效的第一年，欧洲各国执法机构共作出了48项约51,833,345 欧元的处罚决定，特别是从2019年初的谷歌天价罚款开始，呈现出执法全面开花势头，不断牵动和震撼着关注数据保护合规的群体。2019年下半年以来，执法机构打破GDPR生效初始期的慎重，接连开出了英航、万豪上亿欧元和奥地利邮政、Deutsche Wohnen SE等上千万欧元的罚单，至今仍牢牢占据着GDPR生效以来的罚款榜单前列。进入2020年，GDPR监管执法逻辑日渐清晰（如西班牙以电信行业为执法重点），随之以风险为导向的数据合规管控方法日益深化。针对欧洲经济区（EEA）数据保护执法态势深入研究和密切监测，有助于企业明确业务线合规治理要点，清晰国别线合规风控重点，有效预防提前预警。GDPR 执法案例精选白皮书（2018-2019）作为首部 GDPR 执法案例跟踪成果，自 2019 年 9 月发布以来受到了业内外专业人士和数据保护热心读者的广泛关注和全面好评。为了沿袭和承接白皮书“向前一步，只争第一”的实践精神，助力数据保护从业人员拨开GDPR执法迷雾，GDPR执法案例白皮书（2019-2020）全新起航。本白皮书延续了2019年9月发布的GDPR执法案例精选白皮书（2018-2019）的框架和体例，从执法力度、执法依据两个角度进行分析，揭开GDPR生效进入第二年的执法面纱；从执法案件数量、执法金额两个维度进行对比，把握GDPR生效第一年试水期到第二年浅水区的执法趋势。本白皮书基于欧洲各国监管部门、研究机构、律所等公开信息，核心部分收录了发生于2019年5月25日后至2020年5月期间的，涵盖了欧洲经济区( European Economic Area, EEA) 19个国家的132个执法案例。针对每个案例，除了从原有的处罚金额、依据、时间、案件事实、违规分析、合规启示六个方面进行呈现挖掘外，最新匹配了场景化红线，以期最大程度地发挥案例的借鉴启示意义，为企业的数据保护合规提供最鲜活的经验，最终实现数据合规创造价值。目 录执法态势数据统计 . 1监管执法典型案列 . 71英国 . 701 英国航空公司数据泄露事件 . 702 万豪集团数据泄露事件 . 803 Doorstep Dispensaree Ltd. 缺乏适当的技术措施保障数据安全 . 804 DSG Retail Limited . 905 CRDNN Limited非法拨打自动营销电话 . 906 Cathay Pacific Airways Limited数据泄露事件 . . 1007 LeoKirk非法泄露数据 . 1008 Black Lion Marketing Limited非法拨打自动营销电话 . 102法国 . 1101 SERGIC数据泄露事件 . 1102 ACTIVE ASSURANCES数据泄露事件 . 1203 员工投诉某公司监控侵犯隐私事件 . 1204 Futura Internationale电话营销未充分实现数据主体权利 . 133保加利亚 . 1401 国家税务局数据泄露事件 . 1402 DSK银行数据泄露事件 . 1503前雇主某公司未保障数据主体权利 . 1504 公 用事业公司错误提供个人数据 . 164波兰 . 1601 Molel数据泄露案 . 1602 ClickQuickNow未保障同意撤销权的有效实现 . 1703 Aleksandrw Kujawski市长未签署数据处理协议 . 1704 Danzig学校无合法性基础处理生物识别数据 . 1805 Vis Consulting Sp. z o.o.与监督机构的合作不足 185荷兰 . 1801 Menzis使数据遭受未经授权的访问 . 1902 UWV未采用高安保系数的身份验证 . 1903 荷兰皇家网球协会数据处理法律依据不足 . 1904 某组织非法处理员工特殊类型个人数据 . 206西班牙 . 2101 AVON COSMETICS非法处理个人数据 . 2102 沃达丰将个人数据发送给非授权第三人 . 2103 沃达丰数据处理的法律依据不足 . 2204 Jocker Premium Invex数据处理的法律依据不足 . 2205 某公司未充分提供关于其数据处理的相关信息 . 2206 工会委员会非授权公开投诉人个人数据 . 2307 Telfnica处理用户个人数据违反准确性原则 . 2308 广播电视公司数据泄漏事件 . 2409 体育酒吧视频监控设备安装违反最小范围原则 . 2410 供水服务公司数据处理的法律依据不足 . 2411 Cerrajeria Verin S.L.未充分履行信息告知义务 . 2512 保险公司数据处理的法律依据不足 . 2513 Megastar SL设置的视频监控超越最小必要范围 . 2514 Shop Macoyn, S.L.用抄送所有人的方式进行营销信息 . 推送 . 2615 沃达丰向错误的收件人发送了含有个人数据的合同 . 2616 Asociacin de Mdicos Demcratas数据处理的法 . 律依据不足 . 2617 沃达丰未及时响应监管机构需求 . 2718 Zhang Bordeta 2006, S.L视频监控超越最小必要范围 . 2719 Xfera Moviles S.A.非法处理个人数据 . 2820 沃达丰未经授权处理个人数据以签署电话订购转移合同 . 2821 沃达丰未经授权处理个人数据 . 2822 沃达丰错误发送个人数据 . 2923 Automocin雇员非法使用利用职务之便获取的个人数据 2924 Banco Bilbao Vizcaya Argentaria S.L.数据处理的合法 . 性基础不足 . 2925 沃达丰向前客户寄送发票 . 3026 Iberia Lineas Aereas de Espana,数据处理的合法性依 . 据不足 . 3027 某餐厅使用视频监控违反最小化原则 . 3028 沃达丰未经同意处理客户个人数据 . 3129 Grupo未经授权披露个人数据 . 3130 某学校未经授权处理个人数据 . 3131 IberdoaClientes电力公司未经授权处理个人数据 . 3232 沃达丰违反数据安全保障义务 . 3233 Mymoviles违反公开透明原则 . 3234 CASA使用视频监控违反最小化原则 . 3335 HM医院未经授权处理个人数据 . 3336 沃达丰非法处理儿童个人数据 . 3437 AEMA未经授权披露个人数据 . 3438 沃达丰违反数据安全保障义务 . 3539 某企业网站缺失隐私政策及Cookies设置 . 3540 沃达丰客户数据泄露事件 . 3641 沃达丰未经同意处理客户个人数据 . 3642 沃达丰未经授权处理个人数据 . 3643 私人违规安装使用监控摄像头 . 3744 某零售商未充分履行信息告知义务 . 3745 某酒店非法公开个人数据 . 3746 业主协会违规安装使用监控摄像头 . 3847 某企业未经数据主体同意向第三方发送个人数据 . 3848 某餐厅违规安装使用监控摄像头 . 3949 西班牙电信(Telefnica)不配合监管机构调查 . 3950 西班牙第四大移动网络运营商Xfera Moviles S.A.不配合监管机构调查 . 407德国 . 4001 Delivery Hero未满足用户权利要求 . 4102 某食品公司缺乏对数据安全的保障 . 4203 Deutsche Wohnen SE未遵守存储限制原则 . 4204 某医院混淆数据主体 . 4205 Rapidata GmbH未任命数据保护官 . 4306 1&1 Telecom GmbH未采用高安保系数的身份验证 . 438希腊 . 4401 PWC处理员工个人数据违反透明原则 . 4402 希腊电信公司OTE的电话营销未遵守数据处理原则 . 4503 WIND公司的电话营销未充分实现数据主体权利 . 4504 爱琴海石油集团未采取必要措施保证数据处理安全 . 4605 Allseas Marine处理员工数据未遵守数据处理原则 . 4606 公共电力公司未充分实现数据主体权利 . 4707 演讲和特别教育中心（Mihou Dimitra）未充分实现数据主体权利 . 479罗马尼亚 . 4801 UNICREDIT银行数据泄露事件 . 4902 WORLD TRADE CENTER数据泄露事件 . 4903 LEGAL COMPANY & TAX HUB SRL数据泄露事件 . 4904 Inteligo Media公司运营的网站个人数据处理的法律依据不足 . 4905 Raiffeisen银行与Vreau Credit公司联合行为导致数据泄露 . 5006 UTTIS INDUSTRIES公司安装视频监控设备未履行充分性告知义务 . 5107 BNP Paribas Personal Finance个人理财公司未满足数据主体权利的实现 . 5108 FAN COURIER EXPRESS快递服务公司因技术组织措施不足造成数据泄露 . 5109 与数据保护监管机构合作不足四起案件 . 5210 ING银行因技术组织措施不足造成重复交易 . 5311 某业主协会因视频监控系统未履行充分性告知义务及安全保障义务 . 5312 Royal President公司未满足数据主体权利的实现 . 5313 S CNTAR TAROM航空公司未采取充分的安全措施导致未经授权的访问和披露 . 5414 Hora Credit公司未采取充分的安全措施导致未经授权的访问和披露 . 5415 Entirely Shipping & Trading公司处理员工个人数据未遵守数据处理原则 . 5516 SC Enel Energie 供电公司数据处理的法律依据不足. 5517 罗马尼亚电信因技术组织措施不足不当披露个人数据 . 5618 沃达丰未采取足够安全措施导致数据发生错误处理 . 5619 Enel Energie SA因技术组织措施不足不当披露个人数据 . 5720 Dante International数据处理的法律依据不足 . 5710匈牙利 . 5701 Town of Kerepes选择的合法性基础不恰当 . 5802 某军事医院未充分履行数据泄露通知义务 . 5803 某公司私自检查雇员的通讯设备 . 5804 、 某主体未响应数据主体的权利请求 . 5905 某公司非法处理前雇员的电子邮件 . 5911意大利 . 6001 Eni Gas e Luce（Egl）在广告活动和未经请求的合同启动过程中非法处理了个人数据 . 6002 TIM电信运营商电话营销违反多项数据保护规定 . 6103 网站公开披露个人数据四起案件 . 6104 某医院因技术组织措施不足导致相关档案被非授权访问 . 6205 罗马大学因线上举报平台的技术组织措施不足导致举报人个人数据被公开 . 6306 RTI - Reti 意大利电视台处理个人数据的法律依据不足 . 6312奥地利 . 6401 足球教练非法收集个人数据 . 6402 Austrian Post数据处理的法律依据不足 . 6413瑞典 . 6501 学校使用人脸识别技术缺乏合法性基础 . 6502 Nusvar AB运营的Mrkoll.se网站非法处理个人数据 . 6603 Google未实现数据主体被遗忘权 . 6604 国家政府服务中未能保障数据安全且未充分履行数据泄露告知义务 . 6714比利时 . 6801 某市长非法处理个人数据 . 6802 某店主过度收集客户个人数据 . 6903 某市政选举候选人超越原有目的处理个人数据 . 6904 Website“Y”隐私政策和cookies设置不符合要求 . 6905 Nursing Care Organisatio没有响应数据主体的权利请求 . 7006 Proximus SA的数据保护官任命不符合法律要求 . 7115挪威 . 7101 Rlingen市政府在Showbie数字学习平台上的数据处理未保证安全性 . 7202 Coop Finnmark摄像头录像传播非法处理儿童个人数据 . 7216丹麦 . 7201 IDdesign A / S 违反数据存储限制原则 . 7302 Hrsholm市工作电脑被盗导致数据泄露 . 7303 Gladsaxe市工作电脑被盗导致数据泄露 . 7417塞浦路斯 . 7401 三家公司数据处理的合法性依据不足 . 7502 M.L. PRO.FIT SOLUTIONS LTD未获同意发送营销信息 7518冰岛 . 7601 某教师错误发送学生访谈资料 . 76 执法态势数据分析GDPR 执法案例全景白皮书 1 执法态势数据分析本部分根据所统计的案例信息，从时间、国家、违规类型、违规主体对相关案例进行归类整理，通过图表结合的方式，对 GDPR 执法趋势进行最直观清晰的呈现。统计数据：时间注意：仅考虑所收集的年份和月份的有效信息的罚款。1. 每月罚款总额和总数（累计）： 2 GDPR 执法案例全景白皮书执法态势数据分析年份及月份 罚款总额（至月） 罚款数量（至月）2018年7月 400,000 12018年9月 400,300 22018年10月 400,688 32018年11月 420,688 42018年12月 436,388 92019年1月 50,437,276 122019年2月 50,502,384 242019年3月 50,964,684 322019年4月 51,273,819 402019年5月 51,833,345 482019年6月 52,917,895 572019年7月 368,275,670 652019年8月 371,528,505 742019年9月 372,435,028 832019年10月 406,947,402 1122019年11月 408,062,202 1322019年12月 429,819,732 1552020年1月 457,930,442 1692020年2月 458,816,532 1982020年3月 466,677,568 2302020年4月 467,471,268 2332020年5月 467,487,468 2352. 每月罚款的总数和数量（非累计 ）： 执法态势数据分析GDPR 执法案例全景白皮书 3 年份及月份 罚款总额（以月计） 罚款数量（以月计）2018年7月 400,000 12018年9月 null00 12018年10月 null88 12018年11月 20,000 12018年12月 15,700 52019年1月 50,000,888 32019年2月 65,108 122019年3月 462,300 82019年4月 309,135 82019年5月 559,526 82019年6月 1,084,550 92019年7月 315,357,775 82019年8月 3,252,835 92019年9月 906,523 92019年10月 34,512,374 292019年11月 1,114,800 202019年12月 21,757,530 232020年1月 28,110,710 142020年2月 886,090 292020年3月 7,861,036 322020年4月 793,700 32020年5月 16,200 2统计数据：罚款最高的国家（前10名）以下统计数据显示了每个国家 / 地区（仅排名前 10 位的国家）判处的罚款总额和总数。1. 罚款总额计：国家 罚款总额英国 317,242,423（8次）意大利 39,402,000（10次）德国 24,460,407（7次）奥地利 18,011,000（2次） 4 GDPR 执法案例全景白皮书执法态势数据分析国家 罚款总额瑞典 7,072,330（4次）保加利亚 3,174,480（13次）荷兰 2,200,000（4次）西班牙 1,826,070（63次）法国 1,100,000（4次）希腊 748,000（8次）表1：执法金额前十国家统计表2. 按罚款总数计：图2：执法数量前十国家对比统计图国家 罚款数西班牙 63（总金额 1,826,070）罗马尼亚 26（总金额 499,706）保加利亚 13（总金额 3,174,480）意大利 10（总金额 39,402,000）英国 8（总金额 317,242,423）希腊 8（总金额 748,000）德国 7（总金额 24,460,407）比利时 7（总金额 89,000）匈牙利 6（总金额 31,366）波兰 5（总金额 710,380）表2：执法数据前十国家统计表统计信息：按违规类型分类的罚款以下统计数据显示了每种 GDPR 违规类型已处的罚款总额以及罚款案件个数。1. 罚款总额计： 执法态势数据分析GDPR 执法案例全景白皮书 5 违反 罚款总额缺乏保障信息安全的技术和组织措施 332,567,289（49次 ）数据处理的法律依据不足 61,202,963（68次 ）违反数据处理基本原则 15,495,940（29次 ）数据主体权利没有充分实现 7,756,539（13次 ）DPO任命违反法律要求 60,000（2次 ）与监督机构的合作不足 59,911（10次 ）未充分履行信息义务 31,300（10次 ）未签署数据处理协议 9,380（1次 ）未充分履行数据泄露通知义务 7,400（1次 ）2. 按罚款总数计：违反 罚款数数据处理的法律依据不足 68（总金额 61,202,963）缺乏保障信息安全的技术和组织措施 49（总金额 332,567,289）违反数据处理基本原则 29（总金额 15,495,940）数据主体权利没有充分实现 13（总金额 7,756,539）未充分履行信息义务 10（总金额 59,911）与监督机构的合作不足 10（总金额 31,300）DPO任命违反法律要求 2（总金额 60,000）未充分履行数据泄露通知义务 1（总金额 9,380）未签署数据处理协议 1（总金额 7,400）