根据《通用数据保护条例》(GDPR),监管机构可以对违规者处以罚款或采取其他惩罚措施。惩罚措施包括:

  • 发出警告和谴责
  • 对数据处理实施临时或永久的禁令
  • 命令对数据进行纠正、限制或擦除
  • 暂停第三国数据传输

大多数公司最担心的是潜在的罚款,因为罚款上限设定得非常高。

英国航空公司(British Airways)网站遭到攻击,泄露了约50万名客户的记录,被罚款2.04亿欧元,这是迄今为止金额最大的一笔罚款。这次攻击与糟糕的网络安全有关。

此外,在旅游行业,英国万豪因2014-2018年喜达屋系统的中央预订数据库被黑客入侵而被罚款1.23亿欧元(英国万豪在发现黑客入侵之前收购了喜达屋)

谷歌在法国因未履行GDPR义务而被罚款5000万欧元。谷歌被罚款的原因是未能向用户提供足够的数据同意政策信息。

GDPR点球层

在决定如何根据《通用监管条例》处罚侵权公司时,监管部门的任务是根据具体案例审查违规行为,并制定“有效、适当和具有劝止作用”的处罚措施。违反GDPR的最高罚款为全球年营业额的2%或1000万欧元(以两者为准)更大的)的一级侵权。以及公司全球年营业额的4%,即2000万欧元(以两者为准)更大的)的第二级侵权。

GDPR一级侵权

第一级侵权是基于以下侵权的GDPR侵权:

  • 第八条子女同意的条件
  • 第11条不需辨识之处理
  • 第二十五条至第三十九条处理机和控制器的一般义务
  • 第四十二条认证
  • 第四十三条认证机构

GDPR第2级侵权

第2级侵权是GDPR侵权,基于以下侵权:

  • 第5条数据处理原则
  • 第六条同意条件
  • 第九条特殊类别数据的处理
  • 第十二条至第二十二条数据主体权利
  • 第44-49条向第三国和/或国际组织的数据转移

GDPR罚款

与加州的CCPA隐私法规不同,GDPR并不试图针对特定类型的行业。CCPA的目标是监管参与直接营销活动的大型实体或公司,并为非营利组织创造利润,而GDPR的目标是在欧洲或以欧洲人为目标的任何数据收集和处理。

在欧洲建立或收集或处理欧洲人员数据的所有部门和所有规模的实体需要以GDPR合规为目标。2019年,多个行业因非法销售信息、安全漏洞和身份验证不足等违规行为被处以巨额GDPR罚款。

不当或非法数据收集

西班牙足球联赛(西甲)被发现违反了GDPR的透明度规定。西甲联赛在足球比赛期间远程打开应用用户的麦克风。然后,他们通过监听来识别观看比赛的地点。他们利用这些信息起诉600家酒吧盗版游戏流。

除了违反透明度规定外,西甲还未能允许其应用程序用户后来撤回他们的同意。(旁注:如果你打算做一些非法的事情,在你的诉讼中使用它作为证据是一个坏主意。西甲否认了这一指控,并计划上诉。)

安全漏洞

万豪(Marriott)和英国航空(British Airways)因违反安全规定而被罚款的金额是我们见过的最高的。事实上,人们认为违反安全规定的行为非常严重,甚至连保加利亚的税务机关——国家税务局(National Revenue Agency)——也因为泄露了600万人的记录而被罚款260万欧元。

如果公司没有及时向相关部门或个人报告安全漏洞,还可能导致额外罚款。优步未能在72小时内报告安全漏洞,因此被罚款60万欧元。

不当销售

奥地利邮政因向政党和公司出售近300万奥地利人的详细个人资料而被罚款1800万欧元。

离岸外包

《全球通用数据保护条例》对未受《全球通用数据保护条例》监管的国家的数据存储也很重视。

雇员不足100人的法国能源公司Futura Internationale因违反GDPR规定被罚款50万欧元。该公司通过欧盟以外的呼叫中心进行营销,因此罚款包括在将PI转移到欧洲经济区(European Economic Area)以外时未能提供足够的保护。

此外,他们未能将处理限制在必要的范围内。不告知资料主体,不尊重消费者对处理的异议,不配合监管机关。虽然这笔罚款远低于其他一些上市公司,但仍然数额巨大,而且是针对一家规模较小的公司征收的。

存储

在德国,欧洲领先的房地产经纪公司Deutsche Wohnen被罚款1450万欧元,原因是该公司非法将当前和前租户信息存储在一个档案系统中,该系统不具备删除旧数据的功能。

安全

一些公司还因为没有提供足够的保护来防止共享客户数据而被罚款。

德国1&1电信公司被罚款950万欧元,因为任何人只要提供客户的姓名和出生日期,就可以获取他们的个人信息。

荷兰保险服务提供商UWV因未能在其雇主门户网站上添加多因素身份保护功能,被罚款90万欧元。

奥斯陆市教育局(Oslo Municipal Education Department)被罚款20万欧元,原因是在一款没有按照隐私和安全标准设计或测试的移动应用程序中泄露学生信息。

数据抓取

对于依赖于公开可用数据的公司来说,重要的是要记住,GDPR并不能让你免费收集和处理数据。

波兰监管局(Polish Supervisory Authority)对一家公司处以22万欧元罚款,原因是该公司从公共登记处抓取数据,以创建与客户共享的贸易报告和联系人名单。该公司收集了大约760万条记录,并试图遵守GDPR的处理要求。该公司向拥有电子邮件地址的所有人(约68万人)发送了电子邮件,但没有向其他650万人发送任何通知。

该公司提出了多项减轻罪责的论据,包括它使用的是公开可获得的信息,限制了数据(仅提供联系细节),以及具有高度的安全性。对于我们的目的来说,它最重要的论据是,单是邮费,发送邮寄通知的成本就超过了780万欧元。在他们看来,通过电子邮件以外的任何方式发出通知都需要在GDPR下付出“不成比例的努力”,因此是可以避免的。

波兰当局不同意,并发现该公司故意违反了GDPR。(如果你仔细想想,认为罚款是值得的,监管部门还命令该公司跟进,并向所有相关人员发出通知)。

GDPR惩罚总结

虽然现在就GDPR罚款做出预测还为时过早,但很明显,从政府到私营行业,从教育到旅游,所有经济部门都需要评估他们的GDPR责任并采取行动。

正如上面波兰的例子所示,即使公司已经采取了一些合规措施,在监管行动中也不安全。

*自这些罚款宣布以来,ICO决定将监管程序延长到2020年3月31日,所以这些金额可能会改变。