DLA Piper 律師事務所透露,在過去 12 個月中,對不遵守歐盟制定的《通用數據保護條例》的公司罰款增加了近一半。
大幅上漲使自 2018 年以來罰款總額達到 2.72 億歐元,其中 1.59 億歐元自去年 1 月以來已支付。
數據洩露
該報告由歐華律師事務所 (DLA Piper) 編制還匯總了自 GDPR 在歐洲生效以來的數據洩露數量。
德國以 77,747 起個人數據洩露事件名列榜首,其次是荷蘭,有 66,527 起。英國也是此類洩密的熱點地區,過去兩年半內發生了 30,536 起此類洩密事件。
丹麥不幸成為人均 GDPR 違規次數最多的國家,每 10 萬人中有 155.6 人違反 GDPR,其次是荷蘭和愛爾蘭。
根據 GDPR,嚴重違規行為可能會讓公司損失約 4% 的年營業額。然而,儘管公司財務面臨巨大削弱的威脅,但去年的數據顯示,2019 年至 2020 年的違規行為增長了近 20%。
付款並爬下來
DLA Piper 研究了來自 27 個歐洲成員國以及挪威、冰島、列支敦士登和英國的數據洩露報告,在 GDPR 生效時,英國仍在歐盟境內。
意大利的數據保護監管機構最願意對違反 GDPR 的行為處以罰款,總共支付了 6,930 萬歐元。德國和法國緊隨其後,分別開出了 6,910 萬歐元和 5,440 萬歐元的罰款,而西班牙則向其管轄範圍內的公司開出了近 1,450 萬歐元的罰款。
兩年前,信息專員辦公室 (ICO) 於 2019 年宣布,英國看起來處於領先地位。我們將開出兩張罰單總計 2.82 億英鎊。然而,ICO 後來反悔了,最終罰款總額僅為 4060 萬英鎊。
另一方面,奧地利監管機構成功上訴他們向 Österreichische Post 開出了 1800 萬歐元的罰款,管理奧地利郵政系統的公司。
主要違法者
法國監管機構 CNIL 開出 2018 年以來最大單筆罰款打耳光 谷歌受到 5000 萬歐元的處罰因為他們未能對用戶數據的最終去向保持透明。
儘管沒有一家公司能與 Google 的 5000 萬歐元罰款相媲美,H&M 被責令支付約 3500 萬歐元2020 年 10 月因內部數據安全漏洞而被處罰。總部位於英國英國航空去年,在 2018 年數據洩露導致 40 萬客戶信息洩露後,這些公司被勒令繳納約 2000 萬英鎊。
前十名中的其他違規者包括意大利的 Gruppo TIM 和 Wind Tre 以及沃達丰。德國房地產公司 Deutsche Wohnen 和筆記本電腦零售商 Notebooksbilliger 也發現自己陷入了該國監管機構的困境,被迫支付大筆費用來彌補。
試水
自數據保護法規生效以來,當局在要求對數據管理不善的公司處以罰款時似乎信心倍增。
監管機構今年一直在測試其權力的極限,對各種違反歐洲嚴格數據保護法的行為處以罰款
然而,她補充說,他們“並沒有完全按照自己的方式行事”,暗指一些公司已經能夠推翻罰款。其他航空公司,如英國航空公司,除了其他減免措施外,還成功獲得了 Covid-19 罰款折扣。
接下來怎麼辦?
GDPR 在歐洲實施兩年半後,整個歐洲大陸發生的數據洩露事件仍在快速上升。
很難準確衡量這一過程的有效性——一方面,罰款被開出,監管機構願意採取行動——但另一方面,也出現了折扣、減少和成功的上訴。
展望未來,DLA Piper 主席 Ross McKean 表示:“在未來的一年中,我們預計將首次採取與 GDPR 限制向美國和其他“第三國”傳輸個人數據相關的執法行動,因為歐洲最高法院對 Schrems II 案件的裁決所帶來的餘震仍然存在。”
就在上週,西班牙Caixabank SA 已獲服務與一個歐元因“數據處理法律依據不充分”而被處以 600 萬歐元罰款,這是今年針對違反 GDBR 規定的第二起數百萬歐元罰款,而且很可能不是最後一起。