DLA Piper 律师事务所透露,在过去 12 个月中,对不遵守欧盟制定的《通用数据保护条例》的公司罚款增加了近一半。
大幅上涨使自 2018 年以来罚款总额达到 2.72 亿欧元,其中 1.59 亿欧元自去年 1 月以来已支付。
数据泄露
该报告由欧华律师事务所 (DLA Piper) 编制还汇总了自 GDPR 在欧洲生效以来的数据泄露数量。
德国以 77,747 起个人数据泄露事件名列榜首,其次是荷兰,有 66,527 起。英国也是此类泄密的热点地区,过去两年半内发生了 30,536 起此类泄密事件。
丹麦不幸成为人均 GDPR 违规次数最多的国家,每 10 万人中有 155.6 人违反 GDPR,其次是荷兰和爱尔兰。
根据 GDPR,严重违规行为可能会让公司损失约 4% 的年营业额。然而,尽管公司财务面临巨大削弱的威胁,但去年的数据显示,2019 年至 2020 年的违规行为增长了近 20%。
付款并爬下来
DLA Piper 研究了来自 27 个欧洲成员国以及挪威、冰岛、列支敦士登和英国的数据泄露报告,在 GDPR 生效时,英国仍在欧盟境内。
意大利的数据保护监管机构最愿意对违反 GDPR 的行为处以罚款,总共支付了 6,930 万欧元。德国和法国紧随其后,分别开出了 6,910 万欧元和 5,440 万欧元的罚款,而西班牙则向其管辖范围内的公司开出了近 1,450 万欧元的罚款。
两年前,信息专员办公室 (ICO) 于 2019 年宣布,英国看起来处于领先地位。我们将开出两张罚单总计 2.82 亿英镑。然而,ICO 后来反悔了,最终罚款总额仅为 4060 万英镑。
另一方面,奥地利监管机构成功上诉他们向 Österreichische Post 开出了 1800 万欧元的罚款,管理奥地利邮政系统的公司。
主要违法者
法国监管机构 CNIL 开出 2018 年以来最大单笔罚款打耳光 谷歌受到 5000 万欧元的处罚因为他们未能对用户数据的最终去向保持透明。
尽管没有一家公司能与 Google 的 5000 万欧元罚款相媲美,H&M 被责令支付约 3500 万欧元2020 年 10 月因内部数据安全漏洞而被处罚。总部位于英国英国航空去年,在 2018 年数据泄露导致 40 万客户信息泄露后,这些公司被勒令缴纳约 2000 万英镑。
前十名中的其他违规者包括意大利的 Gruppo TIM 和 Wind Tre 以及沃达丰。德国房地产公司 Deutsche Wohnen 和笔记本电脑零售商 Notebooksbilliger 也发现自己陷入了该国监管机构的困境,被迫支付大笔费用来弥补。
试水
自数据保护法规生效以来,当局在要求对数据管理不善的公司处以罚款时似乎信心倍增。
监管机构今年一直在测试其权力的极限,对各种违反欧洲严格数据保护法的行为处以罚款
然而,她补充说,他们“并没有完全按照自己的方式行事”,暗指一些公司已经能够推翻罚款。其他航空公司,如英国航空公司,除了其他减免措施外,还成功获得了 Covid-19 罚款折扣。
接下来怎么办?
GDPR 在欧洲实施两年半后,整个欧洲大陆发生的数据泄露事件仍在快速上升。
很难准确衡量这一过程的有效性——一方面,罚款被开出,监管机构愿意采取行动——但另一方面,也出现了折扣、减少和成功的上诉。
展望未来,DLA Piper 主席 Ross McKean 表示:“在未来的一年中,我们预计将首次采取与 GDPR 限制向美国和其他“第三国”传输个人数据相关的执法行动,因为欧洲最高法院对 Schrems II 案件的裁决所带来的余震仍然存在。”
就在上周,西班牙Caixabank SA 已获服务与一个欧元因“数据处理法律依据不充分”而被处以 600 万欧元罚款,这是今年针对违反 GDBR 规定的第二起数百万欧元罚款,而且很可能不是最后一起。