GDPR执法统计盘点、重点案例分析及应对方案(下篇)
到今年的5月25日,欧盟的《通用数据保护条例》(GDPR)即将生效满四周年。该条例的出台为欧盟的数字市场建立了统一的法律规范,各国监管机构也正以深入的监管力度、严厉的执法手段和高昂的罚款金额对各领域进行全面的数据合规监管。GDPR因此在全球范围内产生了巨大的影响力,各国纷纷仿效立法保护个人数据,各相关企业也日益重视数据风险防控。
本文通过对GDPR自2018年生效以来的执法情况追踪梳理,分析了GDPR的执法态势和关注焦点,重点解读了具有典型代表意义的高处罚额案例,以期为各领域企业在理解适用GDPR时提供实践性引导。继上篇之后,本篇将继续对常见的9类处罚依据按照平均单次罚款数额从高至低的顺序进行分析(参见图1)。
图1 各处罚依据平均处罚金额
一、不符合数据处理的基本原则 ///
以“不符合数据处理的基本原则”作为处罚依据的GDPR罚款金额共计8亿欧元,共罚款227次,平均单次罚款数额位列第一位,高达357万欧元。其中,目前最高单笔罚款为法国于2019年对Google作出的5000万欧元的罚款;其次是德国2020年对H&M线上商店处以的3525万欧元罚款;第三是意大利于2020年对电信运营商TIM作出的2780万欧元罚款。
数据处理的基本原则规定在GDPR第五条,该条具体内容包括:
(1)个人数据应以合法、公正和透明的方式进行涉及数据主体的处理(“合法、公正和透明”原则);
(2)个人数据应为特定、明确和正当的目的收集,且不得以违背初始目的的方式进行进一步处理;为了公共利益的存档目的、科学或历史研究目的或统计目的而进一步处理,依据本条例第89条第1款,不视为不符合初始目的(“目的限制”原则);
(3)个人数据处理应当是实现数据处理目的所适当、相关、必要的(“数据最小化”原则);
(4)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正(“准确性”原则);
(5)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例89条所规定的合理技术与组织措施(“限期储存”原则);
(6)处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”原则)。最后还规定控制者对自己符合以上数据处理的基本原则承担证明责任。
由于该条款作为GDPR的原则性条款,几乎涵盖了GDPR其他条款中的细化规定,所以大多数案例尤其是违法类型众多,违法情形严重的案例会将其援引作为处罚依据之一,这也是此条款作为处罚依据的罚款总额和罚款数量始终位列第一的原因。
典型案例
1.亚马逊:对个人数据的处理不符合GDPR规定
根据美国电商巨头亚马逊亚马逊公开的监管备案文件,2021年7月16日,卢森堡国家数据保护委员会(CNPD)裁定亚马逊对其用户数据保护不力,违反了GDPR规定,被重罚7.46亿欧元,这是目前GDPR作出的单笔最高额罚款。对此,亚马逊在一份声明中说:我们没有泄露数据,也没有将客户数据提供给任何第三方。关于我们如何向用户投放相关广告这一点,CNPD仅仅是依靠对于欧洲隐私法的主观臆断对我们作出判决,况且就算此项成立,罚款金额也远远高出对应标准,我们坚决不同意CNPD的裁决。由此可见,亚马逊被罚的具体事由主要包括数据安全问题和利用个人数据提供广告服务时的信息提供问题等。
2.丹麦银行:违反“限期储存原则”
2022年4月5日,丹麦数据保护局评估认为,丹麦银行无法证明他们已根据数据保护规则删除了个人数据,因此对该银行处以130万欧元的罚款。在丹麦数据保护局的调查中,发现该银行无法证明在涉及数百万人的400多个系统中制定了删除和存储个人数据的规则,且禁止手动删除个人数据。
3.荷兰税务海关总署:非法且歧视性处理个人数据(公正原则、目的限制原则)
荷兰税务海关总署于2021年11月25日因违反数据处理的基本原则被处以275万欧元罚款。截至2018年5月,共有140万双重国籍人员在税务机关系统中登记,一方面,税务和海关总署收集并保留了“双重国籍”此项在评估儿童保育津贴申请时并不发挥作用的个人数据;另一方面,税务和海关总署错误的使用了这些信息,具体使用方式为在系统中将申请人的国籍作为指标(荷兰或非荷兰),自动将某些申请者指定为高风险,而根据GDPR规定,数据处理不应该侵犯不受歧视等基本权利。因此,税务机关的行为不仅违背了处理数据的目的限制原则,而且在使用时存在国籍歧视等违法行为。
4.意大利能源公司EnelEnergia:电话营销违法处理数据(合法性原则)
2021年12月16日,意大利数据监管机构对能源公司EnelEnergia处以共计2650万欧元的罚款,罪名主要是非法处理用户个人数据用于电话营销目的。监管机构证实,随着意大利电力和天然气市场向自由市场过渡,能源部门的电话营销现象出现了明显且令人担忧的增长,出现了一种越来越具有侵略性的现象,即在未经必要同意的情况下,向保留用户或在异议登记册中注册的用户拨打促销电话,引发大量投诉。此外,该公司还存在其他违反GDPR规定问题,例如:对于用户行使拒绝数据营销处理的请求延迟响应或不响应;客户管理系统安全措施不足,向用户提供信息透明度不足;没有和监管机构充分合作;违反数据最小化原则;数据正确性不足等。
监管机构认为这些关键点不仅涉及违反同意义务,而是从数据处理初始阶段开始就违反数据保护的基本原则,除了支付罚款外,监管机构要求公司还必须采取当局规定的一系列措施,包括调整销售网络原有的数据处理方式如电话营销,并实施进一步的技术和组织措施,以响应有关方行使权利的请求,特别是反对促销目的的权利,应在不迟于30天内向申请方提供反馈等。
值得注意的是,2021年因未经同意进行电话营销而被处以高额罚款的案件增多,类似案件还包括意大利因电话营销对Fastweb处以450万欧元的处罚;沃达丰意大利公司同样因该缘由被处以1225万欧元罚款。
二、信息义务履行不足 ///
以信息义务履行不足作为处罚依据的罚款次数是88次,罚款金额共计约2亿欧元,单次罚款金额约达268万欧元,位列单次罚款金额第二位。
为满足GDPR基本原则中的透明要求,13条、14条分别规定了从数据主体处和非从数据主体处收集个人信息时应当提供的信息。主要包括以下:
1.数据控制者应当在获取个人数据时,向数据主体提供以下全部信息:
(1)数据控制者的身份和详细联系方式,以及数据控制者代表人的身份和详细联系方式(如适用);
(2)数据保护官的详细联系方式(如适用);
(3)拟处理的个人信息的处理目的和处理的法律依据;
(4)当处理依据是“为数据控制者或第三方追求正当利益的目的所必需”时,数据控制者或者第三方追求的正当利益;
(5)个人数据的数据接收者或者数据接收者的类别(如有);
(6)数据控制者意图将个人数据向第三国或者国际组织进行传输的事实以及欧盟委员会是否就此问题作出过充分决议,或在条例第46条、第47条或第49条第1款第2小段规定的传输情形下,所采取的保护个人信息的合理且适当的安保措施以及获取该副本或该副本可供获取的方式(如适用)。
2.除了第1款规定的信息外,数据控制者在获取个人数据时,为保证处理的公正和透明,应当向数据主体提供以下信息:
(1)个人数据的储存期间,在无法提供的情形下,应当提供确定该期间的标准;
(2)向数据控制者请求访问、更正、删除个人数据或限制、拒绝其处理与数据主体相关的数据的权利,以及数据可携权;
(3)当处理是依据本条例第6条第1款(a)项或者第9条第2款(a)项时,有随时撤回同意的权利,但此种权利不影响同意撤回前进行的处理的合法性;
(4)向监管机关提起申诉的权利;
(5)提供个人数据是否是基于法律规定或合同约定,或是作为缔结合同的必要条件,以及数据主体是否有义务提供个人数据和无法提供数据时可能的结果(14条规定中不包括此款);
(6)包括数据画像在内的本条例第22条第1款和第4款提及的自动化决策机制,至少在该类情况下提供对数据主体的处理过程所涉及逻辑的有用信息以及处理的重要性和预计结果。
基于GDPR该条规定受到处罚的案例中主要关注上述信息是否提供完备,而且需要注意的是,会引起用户误导的告知亦不符合GDPR规定,同样可能受到处罚。
典型案例
1.Whatsapp:向用户提供信息不充分(透明度)
2021年9月2日,爱尔兰数据保护委员会(DPC)宣布,对WhatsApp爱尔兰有限公司罚款2.25亿元。DPC对该公司的调查于2018年12月10日开始,主要审查了WhatsApp是否履行了其在提供信息和信息方面的GDPR透明度义务,如向数据主体提供WhatsApp与其他Facebook公司之间如何进行信息处理等义务。经过调查,爱尔兰数据保护委员会认为WhatsApp处理个人数据不透明,并依据欧洲数据保护委员会通过的决定,对WhatsApp处以巨额罚款,该笔罚款目前是GDPR生效以来的金额第二大罚款。
2.Klarna:向用户提供信息不完整
Klarna是一家金融公司,涉及处理大量的个人数据。瑞典隐私保护局(IMY)在调查Klarna银行是否遵守GDPR后,于2022年3月28日向该公司开出72万欧元的罚款。
隐私保护局(IMY)在调查过程中关注该公司如何在其网站上告知其如何根据《数据保护条例》处理个人数据,隐私保护局(IMY)在调查结果中表示:Klarna在公司的部分服务中没有提供处理个人数据的目的和法律依据等信息;在和外国信用信息公司共享数据时,该公司提供的接收者信息不完整且存在误导性。例如Klarna没有说明个人数据被转移到了欧盟/欧洲经济区以外的哪些国家,以及个人在数据转移至第三国时的保护措施信息;此外,该公司提供的有关数据主体权利的信息不足,包括删除数据的权利、数据携带权以及反对处理个人数据的权利。
3.奥地利某医疗公司:违反信息提供义务
奥地利数据保护机构于2019年8月对奥地利某医疗公司处以50000英镑罚款,该公司违反GDPR的众多规定,其中对该公司违反了的信息告知义务进行了详细说明:
(1)没有明确区分信息是根据GDPR第13条还是第14条提供的;
(2)提供的并非是指定数据保护负责人的姓名和联系方式;
(3)提供的信息中引用处理的法律依据不完整;
(4)关于GDPR第6条第1款第f项,没有说明责任人追求的合法利益的依据是什么;
(5)没有声明表示用户可以随时撤销同意,且不会影响在撤销之前的同意基础上进行的处理的合法性。
此外,该医疗公司还有其他违法行为,包括:未设立数据保护负责人、非法同意以及特定情形下未进行数据保护影响评估等。
三、数据处理的法律依据不足 ///
以“数据处理法律依据不足”作为罚款依据的罚款数量为358次,罚款总额约4.3亿欧元,单次罚款数额约121万欧元。
GDPR第6条明确规定了数据控制者/处理者进行数据处理活动应当有明确的法律依据:“处理应至少符合下列条件之一方属合法:
1. 数据主体已同意为一个或多个特定目的而处理其个人数据;
2. 处理是为履行数据主体为一方当事人的合同所必需,或在订立合同前应数据主体的要求采取措施所必需;
3. 处理是数据控制者为遵守一项法定义务所必需;
4. 处理是为保护数据主体或另一自然人的重大利益所必需;
5. 处理对为公共利益执行职务或数据控制者受托行使公权力所必需;
6. 处理是为数据控制者或第三方追求正当利益的目的所必需,需要个人数据保护的数据主体的利益或基本权利和自由显著优先于该利益的除外,特别是数据主体为儿童时。
并在第7条、第8条中规定了“同意”的具体要求;第9、10分别规定了特殊个人数据处理、刑事定罪有关的个人数据处理要求。
以“没有充分法律依据”作为处罚依据的案件中较大比例的具体事由为“未取得数据主体的有效同意”,故企业在数据处理时除了在形式上应具有第六条规定的合法依据之一,还应对合法依据进行实质性审查,如确保取得的“同意”达到符合GDPR的要求:自由给出、具体、知情以及明确。
典型案例
1.Facebook(爱尔兰):获得用户同意时的程序和提供的信息不明确(接受Cookie比拒绝Cookie更容易)
2021年,法国数据监管机构(CNIL)对Facebook(爱尔兰)处以6000万欧元的罚款,理由是该公司在获取用户同意时的程序以及提供的信息不明确。CNIL调查发现:当用户访问Facebook社交网络时,会弹出一个标题为“在此浏览器中接受来自Facebook的cookie"标记,并且在此窗口的底部,有两个可选择按钮,分别是“管理数据设置”和“全部接受”,用户必须点击这两个按钮之一才能继续浏览社交网络。接下来,当用户单击出现在第一个窗口底部的“全部接受”按钮后,该窗口消失,他可以继续浏览社交网络。而当用户点击“管理数据设置”按钮时,会出现一个新的弹窗,介绍经同意的cookies追求的两个主要目的—Facebook进行的个性化广告和第三方进行的个性化广告,并且旁边有滑动按钮,默认禁用,此时窗口底部有“接受cookie”按钮,然后单击该按钮,后者消失,用户可以在没有放置广告cookie的情况下浏览网站。
基于前述程序,CNIL认为,一方面该公司在提供了一个立即接受cookie的按钮同时,没有提供等效方便的按钮或其他方式让用户轻易地拒绝cookie,这实际上是在阻止用户拒绝cookie并鼓励他们倾向于第一个窗口中列出的cookie同意按钮,这样的过程侵犯了用户的同意自由;另一方面该公司提供的信息路径不明确,因为要拒绝存储cookie,用户必须点击第二个窗口中出现的标题为“接受cookie”的按钮,这样的标题必然会引起混淆,用户可能会觉得无法拒绝cookies。
2.Clearview AI:没有充分的法律依据处理个人数据
Clearview AI是一家成立于2016年的人脸识别初创公司,其产品主打人脸识别与检索,用户只需上传一张照片,即可获得照片人物在Facebook、Twitter等社交网站上的资料。意大利的数据保护机构于2022年2月10日宣布对Clearview AI违反GDPR的行为处以2000万欧元罚款。并命令这家有争议的公司删除其持有的任何意大利人数据,并禁止其进一步处理公民的面部生物识别数据。调查结果显示,该公司持有的个人数据,包括生物识别和地理定位数据,是非法处理的,没有充分的法律依据,而且显然不是为了其合法利益。
此外Clearview AI也违反GDPR第5条中关于透明度一般原则的规定,如没有充分告知用户数据处理目的;将用户数据用于在线发布以外的目的;亦未确定数据保留时间而违反了限期储存原则等。
3.Grindr:未经同意共享用户数据
2021年12月13日,约会软件Grindr因未经用户同意与广告商共享数据而被挪威监管机构处以630万欧元的罚款。此前挪威监管机构于2020年对Grindr提起诉讼,称该服务未经同意与第三方共享用户数据,包括GPS、IP地址、年龄和性别。挪威监管机构相关负责人称,该软件要求用户必须接受Grindr的数据条款才能访问该应用程序,故实质上并未获得用户适当的同意。
4.奥地利某俱乐部:同意声明误导客户
2021年8月2日,奥地利某俱乐部因违反GDPR中关于合法依据的规定被罚款200万欧元。据调查,数据保护机构认为该俱乐部以非法的同意声明误导了客户,例如俱乐部网站上以及发给客户的注册表单中并未明确将“分析数据”作为一个直接选项,而仅提到了接收“独家福利和促销”,故给用户的印象是用户将获得折扣和优惠券,但实际上这是一个同意数据分析的问题;此外,在注册时末尾的签名字段会误导用户仅仅时对注册该俱乐部的同意,但实质上却获得了对数据分析的同意。另外,值得一提的时,在关于本案的判决中,监管机构在考量了数个因素后减轻了罚款金额,其中包括疫情造成的业务困难。
四、数据安全保障措施不足 ///
以“数据安全保障措施不足”作为处罚依据的罚款数量为213次,共计罚款约9880万欧元,单次罚款数额约为46万欧元。
GDPR第5条规定的一般原则中即包括“处理过程中应确保个人数据安全”,第32条对数据控制者/处理者的具体安全保障义务展开规定:
1. 考量现有技术,实施的成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者、数据处理者应当采取适当技术性和组织性措施以保证应对风险的适当安全水平,酌情考量包括但不限于以下的因素:
(1)个人数据的匿名化和加密;
(2)保证处理系统和服务持续保密、完整、可用和自我修复的能力;
(3)在发生物理性或技术性事故的情况下及时恢复个人数据的可用性和访问的能力;
(4)定期测试、评价和评估确保处理过程安全的技术性和组织性措施的有效性。
2.衡量安全措施的适当水平时,应当特别考量因处理产生的风险,特别是在传输、储存或进行其他处理时个人数据被意外或非法破坏、遗失、变更、未经授权披露或访问。
3.遵守本条例第40条规定的经批准的行为准则或第42条规定的经批准的认证机制可以作为符合本条第1款规定的证明要素。
4.数据控制者和数据处理者应当采取措施,以确保在数据控制者和数据处理者授权下行动且有权访问个人数据的任何自然人,除非数据控制者向其发出指令,不能对该类数据进行处理,欧盟或欧盟成员国法律要求其处理的除外。
GDPR执法案例中违反安全保障义务的企业大多是由于安全保障措施不足造成数据泄露事件,但也有监管机构会具体审查企业是否按照规定采取访问限制等措施保障数据安全的情形,故企业应当应建立和完善企业的数据合规流程,确保数据处理活动达到GDPR要求的安全标准。
典型案例
1.英国航空公司:因安全漏洞致数十万客户数据泄露
英国信息专员办公室(ICO)因未能保护超过400,000名客户的个人和财务数据而对英国航空公司(BA)处以2000万英镑的罚款。
据调查,2018年BA遭受到网络共计,攻击者可能访问了大约429,612名客户和员工的个人数据。这包括244000名BA客户的姓名、地址、支付卡号和CVV号,其他被认为已被访问的详细信息包括77,000名客户的综合卡号和CVV号,以及108,000名客户的卡号,BA员工和管理员帐户的用户名和密码和多达612个BA Executive Club帐户的用户名和PIN码。对此次网络攻击,ICO调查人员认为BA本应该发现其安全漏洞,并使用当时可用的安全措施解决这些漏洞,包括:限制对应用程序、数据和工具的访问,仅限于履行用户角色所需的内容以模拟网络攻击的形式对业务系统进行严格测试;通过多因素身份验证保护员工和第三方帐户。而且这些措施都不会带来过多的成本或技术障碍,其中一些措施通过BA使用的Microsoft操作系统即可完成。
基于上述事实,最终ICO做出罚款决定并称:“他们的不作为是不可接受的,影响了数十万人,这可能导致大量的焦虑和痛苦。这就是我们向英航处以2000万英镑罚款的原因”。
2.万豪国际公司:因安全漏洞致使三千多万用户数据泄露
2020年10月30日,万豪国际集团被英国信息专员办公室(ICO)罚款2045万英镑,原因是由于系统安全漏洞而暴露了3000万欧洲经济区居民的个人数据,其中受影响的英国居民约700万。事实上,ICO最早提出的罚款金额为9920万英镑,但该机构最后大幅减少了罚款金额。ICO表示,“考虑到万豪采取了减轻事件影响的措施,以及Covid-19对他们业务的影响”。
万豪国际集团的信息泄露事件可追溯到2014年,喜达屋酒店及度假村遭受网络攻击,ICO在一份声明中说:“在2014年,一个未知的攻击者在喜达屋系统中的设备上安装了一段称为'webshell’的代码,使他们能够远程访问和编辑该设备的内容。利用此访问权限来安装恶意软件,使攻击者能够以特权用户的身份远程访问系统。因此攻击者可以不受限制地访问相关设备,以及该帐户可以访问的网络上的其他设备。攻击者安装了更多工具,以收集喜达屋网络内其他用户的登录凭据。使用这些凭据,攻击者可以访问和导出存储喜达屋客户预订数据的数据库。最终这次泄漏事件中,约有3.39亿客人的姓名、邮寄地址、电话、电子邮件、护照号码等数据遭遇泄露。”但喜达屋酒店的此项漏洞在2018年9月被发现时,其已经被万豪收购,故巨额罚单也就开向万豪集团。
此案例表明,虽然用户数据的侵权发生在万豪收购喜达屋之前,但在收购一家公司时,有义务对其所收购公司的数据保护情况进行谨慎的尽职调查,尤其还需考虑到,服务业的个人数据量和业务结构的高风险性。
3.德国某电信服务提供商:未经授权的人员有权获得用户数据
2020年11月11日,德国联邦数据保护和信息自由专员(BfDI)对电信服务提供商1&1 Telecom GmbH处以900000欧元的罚款,原因是该公司没有采取足够的技术和组织措施来防止未经授权的人员获得客户数据。该案中,BfDI发现公司客户服务部门的呼叫者只需提供客户的姓名和出生日期即可获得有关其他个人客户数据的大量信息。BfDI认为这种身份验证程序违反了GDPR第32条,根据该条,公司有义务采取适当的技术和组织措施来系统地保护个人数据的处理。在BfDI批评数据保护不足之后,1&1 Telecom GmbH实施了相应的整改措施。即通过询问附加信息,身份验证过程更加安全,并在1&1 Telecom GmbH在与BfDI协商下,引入一种新的技术和数据保护显着改进的身份验证流程。该公司积极采取的前述措施,降低了BfDI对其的可能的罚款数额。
五、数据主体权利保障不足 ///
以“数据主体权利保障不足”作为处罚依据的案件数量为105例,共计罚款约1768万欧元,单次罚款数额约为16.8万欧元。
GDPR第12条规定了数据主体行使权利的一般规则,如数据主体权利要求的响应时间不得超过收到请求之日起一个月(GDPR第12条第3款),以及数据控制者对权利主体请求拒绝、收费或要求身份认证的法定情形以及证明责任等(GDPR12条第5款、第6款)。
GDPR第15-21条分别对数据主体享有的具体权利进行规定,包括:(1)数据访问权;(2)更正权;(3)删除权(被遗忘权);(4)限制处理权;(5)知情权;(6)数据可携权;(7)拒绝权。
因“数据主体权利保障不足”被处罚的案例中,既有因不符合保障主体权利一般规则而被处罚的,如权利请求的响应时间过长,无理由进行身份验证等;也有因无法保障具体的权利请求受罚的情形,其中访问权、删除权以及拒绝权是数据主体较主张较为频繁的权利类型,故也是企业的高频受罚点。
典型案例
1.法国FREE MOBLE:未满足数据主体的“访问权”和“拒绝权”
2021年12月28日,法国CNIL机构对FREE MOBLE处以30万欧元的罚款,调查显示,FREE MOBILE公司存在四项GDPR违规行为,其中有两项均是无法保障数据主体行使权利,包括:
(1)公司未在时限内回应投诉人的请求,未能尊重个人对其个人数据的访问权(GDPR第12条和第15条);
(2)公司未尊重相关人员的反对权(GDPR第12和21条),因为公司没有考虑投诉人不再向他们发送商业勘探信息的要求;
(3)公司继续向投诉人发送已取消订阅的业务信息。除此之外,该公司还违反了确保个人数据安全的义务(GDPR第32条)等,例如公司直接以明文形式通过电子邮件传输了用户在使用FREE MOBILE订阅优惠时的密码。
2.克罗地亚某能源公司:未提供数据主体所要求的数据资料副本(访问权)
2022年3月8日,克罗地亚某能源公司因违反《通用数据保护条例》第15条第3款,未应答辩人要求提供个人资料副本被罚款124245欧元。
本案中,数据主体在该能源公司使用加油站服务,因对加油计量不满,为了更好地保护自己的消费者权益,要求通过视频监控摄像头的副本交付其个人数据的副本,并注明日期和时间。但该请求被公司拒绝,理由是:主管当局没有书面要求提供数据副本,且数据主体请求的不合理,以及获取此类副本可能对当时在场的加油站员工和客户的权利和自由产生不利影响。且在数据保护机构应申请人的请求就该公司具有提供权利主体所要求的视频监控录像的副本义务发表一般意见后,公司回复称由于权利主体无法提供所要求的录像等原因,该副本在7天后已清除。数据保护机构认为在本案中,能源公司通过剥夺被申请人获取视频监控录像副本的权利,侵犯了被申请人获取个人数据副本的权利,这是被申请人的一项基本权利,故对其作出罚款。
3.法国家乐福:数据主体权利请求响应时间延迟、系统性验证数据主体身份
2020年11月18日,法国家乐福因违反GDPR多条规定被处以225万欧元罚款,其中违法行为之一便是该公司违反了GDPR中关于数据主体权利的部分条款。
GDPR中规定数据控制者不得拒绝遵守数据主体行使该条例赋予的权利的要求,除非数据控制者证明其无法识别数据主体并且控制者对其身份有合理怀疑时,可以要求请求主体提供必要的额外信息,以确认数据主体的身份。但监管机构在调查中注意到,该公司对行使权利者的身份证明要求是系统性的而并非仅在对该人的身份有合理怀疑的情况下才进行,已构成违反GDPR第12条;另外,该公司存在延迟回应行使权利的请求的问题。该公司对权利请求的响应时间各不相同,但存在经常性的处理延迟,甚至可能长达九个月,且在此期间对数据主体没有任何响应,违反了GDPR第12条规定。
针对前述问题,该公司进行了有效的回应及改变,删除了原有的身份证明的系统要求,并对处理权利请求的团队深入重组,转变他们的作方法,特别是开发了新的临时工具,以改善分配和处理行使权利的请求,减少其处理时间以及出错的风险,转变做法后,该公司对请求的平均响应时间不到15天,有时甚至不到10天。
六、数据处理协议不足 ///
因“数据处理协议不足”被处罚的案件数量最少,仅有6次,但罚款总额约100万欧元,单次罚款数额并不低,达16.7万欧元。
GDPR第28条规定了数据处理者处理数据的前置条件,即如28条第一款规定了数据控制者的事先审查义务,即“数据控制者应当选择提供充足保证会采取适当技术性和组织性措施以使数据处理符合本条例要求并确保数据主体的权利得到保障的数据处理者”;第二款和第三款规定了数据处理者可以进行数据处理活动的具体要求,包括“应获得数据控制者的书面授权;应受到法律或与数据控制者间合同的约束;应规定处理标的、处理期间、处理的性质和目的,个人数据的种类、数据主体的类别和数据控制者的权利和义务”等,并对数据处理者的义务进行了详细展开。
目前此部分案例的具体受处罚事由主要是数据控制者和处理者之间没有签订数据数据处理协议。
典型案例
德国小型邮政公司:缺少数据处理协议
德国数据保护机构于2018年12月17日向一小型邮购公司发出5000欧元罚款,理由是数据控制者和数据处理者间未签订签订数据处理协议,违反了GDPR第28条第3款的规定。针对该公司认为这属于数据处理者义务的抗辩,数据保护机构认为:签订数据处理协议的义务不仅适用于数据处理者,也适用于数据控制者。因此,该公司应该并且必须自己制定相应的协议并将其发送给处理者以供签署,在管理方面也应有相应的模板。
七、未充分履行数据泄露通知义务 ///
以“未充分履行数据泄露通知义务”作为处罚依据的罚款共22次,共计罚款约148万欧元,单笔罚款数额约为6.7万欧元。
GDPR第33条、34条分别规定了发生数据泄露时,数据控制者向监管机构和数据主体进行通知的义务,该条是保障数据安全的具体措施之一,尤其是向监管机构的及时报告可以在很大程度上降低数据泄露的扩大损失,故进行了时间限制,且此类型的执法案件也主要是由于未及时向监管机构报告泄露事件,向监管机构报告的具体规定为:“在个人数据泄露时,数据控制者应无不当迟延且不晚于发现后72小时内(若可行)向相关监管机关发出通知,个人数据的泄露不太可能造成对自然人的权利和自由的风险的除外。未在72小时内向监管机关发出通知的,在通知时应当对迟延原因进行解释。”
典型案例
1.Booking:延迟上报数据泄露
2021年4月2日,旅行预订网站Booking因未在GDPR规定的期限内报告数据泄露行为,被处以47.5万欧元罚款。
荷兰数据保护局(AP)表明,犯罪分子窃取了4000位客户的个人数据,并获得了283张信用卡的详细信息。2019年1月13日,Booking就接到数据泄露通知,但直到同年2月7日才向荷兰数据保护局报告,根据GDPR中必须在72小时内报告数据泄露事件的规定,这次报告足足迟了22天。
2.Twitter:未即时报告数据泄露事件
爱尔兰数据保护委员会(DPC)于2020年12月15日宣布对Twitter处以45万欧元的罚款,原因是2018年底该公司发生数据泄露,根据GDPR的规定,应在意识到所发生的情况后的最长72小时内,将问题报告监管机构。但是当时公司还没有做到这一点。且DPC还要求涉及此类违规行为的公司记录暴露的数据,并报告已采取了什么措施来应对此类事件,Twitter也未遵守该规定。Twitter在声明中表示对此错误负责,并尊重该机构的罚款决定。
八、数据保护官参与不足 ///
以“数据保护官参与不足”作为处罚依据的罚款次数有12次,罚款总额约35万欧元,平均单次罚款数额约2.9万元。
GDPR第37条规定了指定数据保护官的法定情形以及数据保护官的数量安排,38条、39条则规定了数据保护官的具体职责安排,包括:“向数据控制者或数据处理者以及进行数据处理的员工就其义务发出通知并提出建议;监督本条例、其他欧盟或欧盟成员国的数据保护规定、数据控制者或数据处理者制定的包括责任分配、提高认识、对参与处理行为的人员培训以及相关审计的涉及个人数据保护的政策的遵守情况;应要求提供关于数据保护影响评估的意见并依据本条例第35条的规定监督其进行;与监管机关合作等”。同时也对企业提出了相应的要求以保证数据保护官可以更独立地履行其职责。
以“数据保护官参与不足”作为处罚依据的案例中,具体情形大多为企业未按要求设立数据保护官,如前文提及的某德国电信服务商被处罚案例中,该公司的违法事由之一即为未设立数据保护官;除此之外,部分企业虽然设立了数据保护官,但未按照38、39条中的规定公开其联系方式,也未积极与监管机构沟通等,亦构成违法事由受到处罚。这表明,企业应当按要求设立数据保护官并保证其真正履行职责。
九、与监管部门合作不足 ///
目前执法案例中,因“与监管部门合作不足”被处罚的次数有42次,罚款共计24万欧元,平均单次罚款数额约为5724欧元。
GDPR第31条规定:在监管机构的要求下,数据控制者和处理者应当配合监管机构的工作,并在58条中具体规定了监管机构的权力。根据对GDPR执法案例的统计结果,与监管部门合作不足也是受处罚的行为之一,甚至在部分情况下会作为处罚的唯一依据,以其作为单独处罚依据时处罚金额相对其他违法类型较低,大多在1万欧元以下,目前处罚金额最高的案例时波兰对某测绘办公室作出的22300欧元罚款。
典型案例
波兰某测绘办公室:拒绝与数据保护机构合作
波兰数据保护机构对某测绘办公司的数据处理情况进行调查时,该办公室首席测量师不予配合,拒绝承认数据保护机构有权对涉及的个人数据是否遵守规定进行调查,坚持拒绝同意在质疑范围内进行检查,违反GDPR中规定的数据控制者/处理者的与监管机构合作义务,被处以22300欧元罚款,这也是目前因与监管机构合作不足被处以的最高额罚款。