GDPR 执 法 案 例 精 选 白 皮 书 中兴通讯数据保护合规部 联合发布 -1- 数据法盟 目 录 CONTENTS 引言 P01 GDPR 新兴趋势 P02 GDPR 执法重点 P08 GDPR 合规启示 P15 欧洲主要国家执法典型案例 P21 P22 英国 英国航空公司数据泄露事件 万豪集团数据泄露事件 P25 法国 Google 定向广告推送事件 SERGIC 数据泄露事件 ACTIVE ASSURANCES 数据泄露事件 员工投诉某公司监控侵犯隐私事件 P30 保加利亚 Uber 数据泄露事件 Haga Hospital 未采取安全保密措施 P41 葡萄牙 Barreiro 医院患者档案访问权限过度 P43 西班牙 LaLiga 未履行充分告知义务 信贷公司未经授权处理个人数据 ENDESA 非法披露个人数据 AVON COSMETICS 非法处理个人数据 国家税务局数据泄露事件 VODAFONE 未满足客户行使遗忘权要求 DSK 银行数据泄露事件 VODAFONE 违反准确性原则 电信服务提供商未经授权处理个人数据 A.P. EOOD 非法处理个人数据 某医疗中心非法处理个人数据 某银行违反目的限制原则 某雇主未满足雇员行使访问权的要求 P34 波兰 P47 德国 Delivery Hero 未满足用户权利要求 某银行未经授权处理个人数据 某企业数据泄露事件 Knuddels 未加密用户个人数据 Kolibri Image 未签署数据处理协议 西里西亚足球协会公开披露数据 个人未经授权披露他人个人数据 Morele.net 数据泄露事件 警官非法处理个人数据 Bisnode 未履行充分性告知义务 P38 荷兰 P53 希腊 PWC 处理员工个人数据违反透明原则 P55 罗马尼亚 UNICREDIT 银行数据泄露事件 WORLD TRADE CENTER 数据泄露事件 TAX HUB SRL 数据泄露事件 UTTIS 未履行充分告知义务 P58 匈牙利 音乐节组织者过度收集个人数据 匈牙利政党数据泄露事件 匿名主体数据泄露事件 匿名主体未满足数据主体权利实现要求 市长办公室非法处理个人数据 P78 意大利 意大利某政党数据泄露事件 P79 奥地利 医疗公司未履行充分告知义务 足球教练非法收集个人数据 博彩商店未履行充分告知义务 私人家中安装监控过度收集个人数据 P82 瑞典 学校使用人脸识别技术缺乏合法性基础 P84 比利时 某金融机构拒绝删除客户个人数据 某店主过度收集客户个人数据 某金融机构违反数据处理基本原则 某市长非法处理个人数据 某银行处理个人数据违反准确性原则 P64 捷克 某网络购物商城数据泄露事件 法国巴黎银行个人理财公司违反数据处理原则 P86 挪威 奥斯陆市教育局数据泄露事件 卑尔根市的市政用户计算机系统安全问题 P89 丹麦 某银行未经授权处理客户个人数据 IDdesign A / S 违反数据存储限制原则 INTER-IVCO 未经授权公开披露个人数据 Taxa 4x35 违反数据存储限制原则 汽车租赁公司未履行充分告知义务 信贷经纪公司违反数据完整性与保密性要求 食品经销商缺乏数据处理合法性基础 某公司未满足数据主体权利行使访问权要求 P92 立陶宛 UAB MisterTango 数据泄露事件 P93 塞浦路斯 Christ Car Wash 数据泄露事件 新闻媒体非法披露个人数据 某公司数据泄露事件 某医院未满足数据主体权利实现要求 某学校未满足数据主体权利实现要求 某协会未满足数据主体权利实现要求 某公司未满足数据主体权利实现要求 P95 拉脱维亚 某商家未满足数据主体权利实现要求 P96 马耳他 土地管理局数据泄露事件 六 附录 案例索引 P97 七 结语 P99 1 引 言 2018 年 5 月 25 日，欧盟《通用数据保护条例》（General Data Protection Regulation， GDPR）正式生效，深刻地影响了欧盟乃至全球范围内个人数据保护和数字经济发展态势。 立法层面，GDPR 已成为各主要国家采用或计划采用的数据保护法律法规基准，引发全球 立法规则进一步融合；执法层面，GDPR 执法案例作为体现监管态势的重要参照，为跨国 企业的数据保护合规工作提供风向标。 鉴于 GDPR 生效时间不长，缺乏配套的适用规范和解释，通过执法案例来补充理解数据保 护相关概念、明确数据处理基本原则和数据主体权利响应相关的监管要求，可以帮助企业 benba 更好地把握 GDPR 监管脉搏，也为 GDPR 相关的理论研究人员提供丰富的案例资源。 本白皮书概述了 GDPR 生效以来的新兴趋势，从执法力度、执法依据两个维度进行分析研 究，提炼 GDPR 执法重点，给出企业合规启示。核心内容来源于欧洲各国监管部门、研究 机构、律所等公开信息，收录了欧洲经济区( European Economic Area, EEA) 22 个国家 的立法情况（立法概况、监管机构详情），87 个典型执法案例（处罚金额、依据、时间， 案件事实，违规分析以及合规启示），是体现 GDPR 执法和监管态势的较为前沿的学习和 参考资料。 编者（按姓氏排列）：高瑞鑫、甘亚棋、何渊、石墨翰、王业美、吴以源、徐敏。 -1- 2 GDPR 的 新 兴 趋 势 2018 年是数据保护具有里程碑意义的年份。自 2018 年 5 月 25 日欧盟《通用数据保护条款》 (General Data Protection Regulation, GDPR)生效以来，深刻影响欧盟乃至全球范围内个人数据 保护和数字经济发展态势。许多国家已采用或计划采用 GDPR 数据保护标准进行本国数据保护立 法或完善工作，从而导致全球数据保护立法规则进一步融合。 GDPR 生效以来，三大主体（监管机构、数据主体、数据控制者）对数据保护的重视程度不断提升。 监管机构执法态势 欧 洲 数 据 保 护 委 员 会 (European Data 限期纠正、命令删除数据、暂停向第三国传输 Protection Board, EDPB)在 2019 年 7 月 16 数据、罚款。 日发布其首份 GDPR 年度报告，揭示了欧洲经 济区(European Economic Area, EEA) （欧 为保证欧盟整体数据保护规则的统一适用，促 盟 28 国、冰岛、挪威和列支敦士登）各国家 进各成员国 DPA 之间的合作，EDPB 批准了 监管机构(Supervisoty Authorities, SA)落实 16 份 WP29 工作组发布的指南，通过了 5 份 GDPR 的执法态势。 指南，内容涉及 GDPR 适用地域、第 42 和 43 条下的认证及其标准、行为准则及其监督、履 1 法律框架的统一 行合同所必需的数据处理以及数据跨境的例 外情形等。 尽管 GDPR 可以直接适用于欧盟所有成员国， 但它同样要求各成员国将其转化为国内法。目 此外，EDPB 已经或正在就进行数据保护影响 前，除了希腊、斯洛文尼亚，其余 26 个国家 评估的国家名单、数据控制者与处理者间标准 均通过不同形式将 GDPR 纳入既有法律体系 合同、有约束力的公司准则、通过与处理活动 之中，同时规定了本国数据保护机构（Data 有关的行为守则草案、批准认证机构的认证标 Protection Authority, DPA, 又称 SA）的职 准 等 发 布 “ 一 致 性 意 见 ” （ Consistency 权，包括但不限于发出违规警告、开展审查、 opinions）。 -2- 2 处罚力度加大 图1 来自 27 个 EEA 国家 DPA 的统计数据显示， 截至 2019 年 3 月，共上报 281,088 例案件。 案件主要分为 3 个主要类别，其中近半数 （144,376 件）是投诉，近三分之一（89,271 件）是数据泄露通知，其余（47,441 件）涉及 “其他” 问题。针对其中 164,633 件案件， 63%已经审结，37%仍在进行中（图 2）。[数 据来源见注 1] 根据 EDPB 统计数据，自 2018 年 5 月 25 日 GDPR 生效实施以来，11 家 DPA 采取罚款监 图2 管方式共判处了 55,955,871 欧元的行政罚款。 [数据来源见注 2] 据中兴通讯数据保护合规部不完全统计，截止 至 2019 年 9 月 24 日，22 家 DPA 对 87 件案 件共做出 373,650,857 欧元的行政处罚决定。 其中，英国、法国、保加利亚、波兰、荷兰 DPA 共开出 6 件超过 50 万欧元罚款的行政处 罚，最大罚单超过 2 亿欧元。经过一段时间的 适应期，DPA 处罚力度明显加大，尤其进入 2019 年 7 月以来，大额罚单出现的概率明显 增加。 [ 数 据 来 源 注 1 ： 1 year GDPR – taking stock, EDPB, available at: https://edpb.europa.eu/news/news/2019/1-year-gdprtaking-stock_en] [数据来源 注 2： First overview on the 图3 implementation of the GDPR and the roles and means of the national supervisory authorities , available at: https://www.europarl.europa.eu/mee tdocs/2014_2019/plmrep/COMMITT EES/LIBE/DV/2019/02-25/9_EDPB_re port_EN.pdf] -3- 3 监管机构间的合作机制及一致性意见 GDPR 要求 EEA 国家 DPA 在涉及数据跨境的情况下密切合作，并通过使用相互帮助、联合行动、 一站式合作机制进行支持。此外，为保证 DPA 适用 GDPR 的一致性，EDPB 在特殊领域发布了一 致性意见，要求 EEA 各国 DPA 遵守。 为了支持 EDPB 成员之间的合作和一致性机制，欧盟委员会发展部与 EDPB 秘书处和 EDPB 成员定 制了内部市场信息系统(IMI)，作为中央数据库收录待处理的案件，进而启动互相帮助、联合行动 和一站式机制处理程序。自 2018 年 5 月 25 日以来，30 个 DPA 在 IMI 系统中共登记了 281 起数 据跨境案件