欧盟成员国GDPR重点执法案例汇编（2023年4月）

欧盟的《一般数据保护条例》（GDPR）为欧洲打造了统一的规则体系，以高额罚金等惩罚性措施来加强数据保护。在2023年4月份的数据中，罚款总额较上月大幅上升，罚款次数却在减少。在英国出现了针对TikTok的大额罚款，违规类型也较之前增多，出现了“数据保护官参与不足”等较少出现的违规类型。

第一部分：罚款数据统计

一、累计数量

二、单月数量

三、4月累计最高罚款额

四、4月罚款次数

五、4月违规类型统计

第二部分：具体案例

一、西班牙

（一）西班牙DPA处罚INFINITY ECOM SL

拟处罚金额：5,000

处罚依据：Art. 13 GDPR

处罚时间：2023-04-28

案件事实概述：

西班牙 DPA 对 INFINITY ECOM SL 处以 5,000 欧元的罚款，原因是其未能确保其网站上的隐私政策符合GDPR第13条的要求。

（二）西班牙DPA处罚ALBERO FORTE COMPOSITE, SL

拟处罚金额：12,000

处罚依据：Art. 35 GDPR

处罚时间：2023-04-28

案件事实概述：

西班牙 DPA (AEPD) 对 ALBERO FORTE COMPOSITE, SL 处以罚款。该公司在入口处为员工拍照，以记录他们的工作时间。但是，该公司未能进行数据保护影响评估。由于自愿缴纳和承认，罚款由原来的 20,000 欧元减为 12,000 欧元。

（三）西班牙DPA处罚网站运营商

拟处罚金额：1,000

处罚依据：Art. 13 GDPR

处罚时间：2023-04-26

案件事实概述：

西班牙 DPA 因网站运营商未能确保其网站上的隐私政策符合GDPR第13条的要求而对该网站运营商处以 1,000 欧元的罚款。

（四）西班牙DPA处罚个人

拟处罚金额：300

处罚依据：Art. 5 (1) c) GDPR

处罚时间：2023-04-25

案件事实概述：

西班牙 DPA 已对个人处以 300 欧元的罚款，原因是其安装了视频监控摄像头，还记录了邻居的财产。DPA 认为这违反了数据最小化原则。

（五）西班牙DPA处罚DIGI SPAIN TELECOM, SL

拟处罚金额：70,000

处罚依据：Art. 6 (1) GDPR

处罚时间：2023-04-25

案件事实概述：

西班牙 DPA 对 DIGI SPAIN TELECOM, SL 处以 70,000 欧元的罚款。某人向 DPA 提出投诉，指出该公司在未经他们同意的情况下将他们的 SIM 卡副本提供给了未经授权的欺诈性第三方。在调查过程中，DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行账户并进行未经授权的交易。

（六）西班牙DPA处罚Telefónica Móviles España, SAU

拟处罚金额：70,000

处罚依据：Art. 6 (1) GDPR

处罚时间：2023-04-24

案件事实概述：

西班牙 DPA 对 Telefónica Móviles España, SAU 处以 70,000 欧元的罚款。某人向 DPA 提出投诉，指出该公司在未经他们同意的情况下将他们的 SIM 卡副本提供给了未经授权的欺诈性第三方。在调查过程中，DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行账户并进行未经授权的交易。

（七）西班牙DPA处罚SECURITAS DIREC ESPAÑA, SA

拟处罚金额：25,000

处罚依据：Art. 58 (2) GDPR

处罚时间：2023-04-21

案件事实概述：

西班牙 DPA 因SECURITAS DIREC ESPAÑA, SA未能遵守 DPA 发布的命令而对其处以 25,000 欧元的罚款。

（八）西班牙DPA处罚KFC RESTAURANTS SPAIN, S.L.

拟处罚金额：25,000

处罚依据：Art. 13 GDPR, Art. 37 GDPR

处罚时间：2023-04-20

案件事实概述：

西班牙 DPA 已对 KFC RESTAURANTS SPAIN, S.L.处以 25,000 欧元的罚款。在调查过程中，DPA 发现控制者没有任命数据保护官。此外，DPA 发现控制者没有在其网站上提供GDPR第13条要求的所有信息。

（九）西班牙DPA处罚Vodafone España, S.A.U.

拟处罚金额：112,000

处罚依据：Art. 6 (1) GDPR

处罚时间：2023-04-13

案件事实概述：

西班牙 DPA 已对 Vodafone España, S.A.U. 处以罚款。某人向 DPA 提出投诉，指出该公司在未经他们同意的情况下将他们的 SIM 卡副本提供给了未经授权的欺诈性第三方。在调查过程中，DPA 发现该公司未能验证第三方的身份或获得数据主体同意共享其数据。这使得欺诈者能够访问数据主体的银行账户并进行未经授权的交易。由于自愿缴纳，原罚款14万欧元减为11.2万欧元。

（十）西班牙DPA处罚个人主体

拟处罚金额：300

处罚依据：Art. 5 (1) c) GDPR

处罚时间：2023-04-13

案件事实概述：

西班牙 DPA (AEPD) 已对个人处以 300 欧元的罚款，原因是其安装了视频监控摄像头，其中记录了公共空间。DPA 认为这违反了数据最小化原则。

（十一）西班牙DPA处罚个人主体

拟处罚金额：300

处罚依据：Art. 13 GDPR

处罚时间：2023-04-05

案件事实概述：

西班牙DPA (AEPD)对一名私人罚款300欧元，原因是其没有提供安装在自己住所的视频监控系统的足够信息。

（十二）西班牙DPA处罚Real Federación Española de Tenis de Mesa

拟处罚金额：10,000

处罚依据：Art. 9 (2) GDPR

处罚时间：2023-04-04

案件事实概述：

西班牙 DPA 对 Real Federación Española de Tenis de Mesa 处以 10,000 欧元的罚款。一名乒乓球教练考试的参与者向 DPA 提出了投诉，因为他们需要出示 Covid 测试才能进入考场。在调查过程中，DPA 发现控制者此处理没有有效的法律依据，因为当时有关卫生概念的法律规定不需要测试证明。

（十三）西班牙DPA处罚BANCO BILBAO VIZCAYA ARGENTARIA, SA

拟处罚金额：84,000

处罚依据：Art. 6 (1) GDPR, Art. 15 GDPR

处罚时间：2023-04-04

案件事实概述：

西班牙 DPA 对 BANCO BILBAO VIZCAYA ARGENTARIA, SA 处以罚款。在调查过程中，DPA 发现该控制者在没有有效法律依据的情况下向西班牙中央银行的风险信息中心登记了一名前客户的债务。DPA 还发现控制者没有充分满足前客户访问其个人数据的请求。由于自愿支付和承认责任，原来的 140,000 欧元罚款减少到 84,000 欧元。

（十四）西班牙DPA处罚ENFOKA SISTEMAS GLOBALES, SL

拟处罚金额：18,000

处罚依据：Art. 6 (1) GDPR

处罚时间：2023-04-04

案件事实概述：

西班牙 DPA 对 ENFOKA SISTEMAS GLOBALES, SL 处以罚款。一位客户向 DPA 提出投诉，原因是管理员在未经客户事先同意的情况下更换了他们的供电公司。由于自愿缴纳和承认，原来的 30,000 欧元罚款减为 18,000 欧元。

（十五）西班牙DPA处罚个人

拟处罚金额：300

处罚依据：Art. 13 GDPR

处罚时间：2023-04-03

案件事实概述：

西班牙 DPA (AEPD) 因个人未能提供有关安装在其财产中的视频监控系统的足够信息而对其处以 300 欧元的罚款。

（十六）西班牙DPA处罚20 MINUTOS EDITORA, SL

拟处罚金额：50,000

处罚依据：Art. 5 (1) c) GDPR

处罚时间：2023-04-03

案件事实概述：

西班牙 DPA 对 20 MINUTOS EDITORA, SL 处以 50,000 欧元的罚款。包括控制者在内的几家媒体机构在其网站上发布了强奸受害者在法庭上作证的录音。该案件引起了众多媒体的关注。在调查过程中，DPA 确定强奸受害者的隐私权超过控制者的信息自由权。受害人的录音并没有为报告增加任何重要价值，反而严重损害了受害人的隐私。为此，DPA 认为控制者违反了数据最小化原则。

（十七）西班牙DPA处罚ATRESMEDIA CORPORACIÓN DE MEDIOS DE COMUNICACIÓN, SA

拟处罚金额：50,000

处罚依据：Art. 5 (1) c) GDPR

处罚时间：2023-04-03

案件事实概述：

西班牙 DPA 对 ATRESMEDIA CORPORACIÓN DE MEDIOS DE COMUNICACIÓN, SA 处以 50,000 欧元的罚款。包括控制者在内的多家媒体机构在其网站和推特上发布了强奸受害者在法庭上作证的录音，以报道此案。该案件引起了众多媒体的关注。在调查过程中，DPA 确定强奸受害者的隐私权超过控制者的信息自由权。受害人的录音并没有为报告增加任何重要价值，反而严重损害了受害人的隐私。为此，DPA 认为控制者违反了数据最小化原则。

二、瑞典 

瑞典 DPA 处罚斯科讷地区

拟处罚金额：17,600

处罚依据：Art. 32 (1) GDPR

处罚时间：2023-04-26

案件事实概述：

瑞典 DPA 已对斯科讷地区处以 17,600 欧元的罚款。该地区的一名员工丢失了一个未加密的 U 盘，其中包含近 2,000 人的社会安全号码和敏感个人数据。DPA 发现该地区未能实施足够的技术和组织措施来保护个人数据。

三、罗马尼亚

（一）罗马尼亚 DPA 处罚Tensa Art Design SA

拟处罚金额：1,000

处罚依据：Art. 12 (3) GDPR

处罚时间：2023-04-24

案件事实概述：

罗马尼亚 DPA 对 Tensa Art Design SA 处以 1,000 欧元的罚款。因为控制者未能满足数据主体的拒绝权。

（二）罗马尼亚 DPA 处罚Partidul Uniunea Salvaşi România

拟处罚金额：3,000

处罚依据：Art. 5 (1) a), b) GDPR, Art. 6 GDPR

处罚时间：2023-04-19

案件事实概述：

罗马尼亚 DPA 对Partidul Uniunea Salvaşi România处以 3,000 欧元的罚款。控制者在没有有效法律依据的情况下在其网站上发布了不同程度的残疾人员的个人数据。

（三）罗马尼亚 DPA 处罚REGENCY COMPANY SRL

拟处罚金额：3,000

处罚依据：Art. 5 (1) a), b), c) GDPR, Art. 6 GDPR

处罚时间：2023-04-07

案件事实概述：

罗马尼亚 DPA 对 REGENCY COMPANY SRL 处以 3,000 欧元的罚款。控制者在其场所安装了视频监控摄像头，以保护场所和财产的安全。但是，这使其能够广泛监控其员工。DPA在调查过程中发现，部分视频监控是在未经员工同意的情况下进行的，监控的目的也可以通过较少侵犯员工隐私的方式来实现。

（四）罗马尼亚 DPA 处罚Tensa Art Design SRL

拟处罚金额：3,000

处罚依据：Art. 21 (3) GDPR

处罚时间：2023-04-04

案件事实概述：

罗马尼亚 DPA 对 Tensa Art Design SRL 处以 3,000 欧元的罚款。用户对接收促销信息和出于营销目的处理其个人数据提出异议，并针对接收促销信息提出了投诉。DPA 认为这违反了GDPR第21（3）条。

四、匈牙利

（一）匈牙利 DPA处罚连锁超市 Aldi

拟处罚金额：253,000

处罚依据：Unknown

处罚时间：2023-04-12

案件事实概述：

匈牙利 DPA 对连锁超市 Aldi 处以 253,000 欧元的罚款。Aldi在用户购买酒精饮料时，在结账系统中输入并存储了许多顾客的出生日期。引入此程序是为了让收银员的工作更轻松，因为该软件可以快速计算出该人是否超过 18 岁，但被 DPA 认为过度。此外，Aldi没有回答有关此处理的法律依据的任何问题。

（二）匈牙利 DPA处罚一家公司

拟处罚金额：13,300

处罚依据：Art. 12 GDPR, Art. 13 GDPR

处罚时间：2023-04-04

案件事实概述：

匈牙利DPA对一家公司处以13,300欧元的罚款。一名客户向DPA提出投诉，因为他们与控制者的销售代表的谈话被记录下来，而他们没有被告知这一点。DPA认为这违反了GDPR规定的信息义务。

五、英国 

英国 DPA（ICO）处罚 TikTok

拟处罚金额：14,500,000

处罚依据：Art. 5 (1) a) GDPR, Art. 12 GDPR, Art. 13 GDPR

处罚时间：2023-04-04

案件事实概述：

英国 DPA（ICO）对 TikTok 处以 1,450 万欧元的罚款。ICO 发现英国超过 100 万13 岁以下儿童未经父母同意使用 TikTok。ICO 批评 TikTok 未能实施足够的控制来识别和移除其平台上的未成年儿童。此外，ICO 发现 TikTok 没有向平台用户提供有关其数据收集、使用和披露的充分且易于理解的信息。因此，ICO 认为，TikTok 未能确保以合法、公平和透明的方式处理其用户的个人数据。

来源：中国信息通信研究院互联网法律研究中心

作者：

• 杜安琪，中国信息通信研究院互联网法律研究中心 助理研究员
• 杨默涵，中国信息通信研究院互联网法律研究中心 实习生