全文约3800字,预计阅读时间15分钟
欧盟的《通用数据保护条例》(GDPR)为欧洲打造了统一的规则体系,以高额罚金等惩罚性措施来加强数据保护。在2025年8月份的数据中,罚款次数和罚款总额均较上个月有所下降。但其中波兰DPA处罚Śląski银行的案例单次罚款金额达到4323250欧元,为2025年6月以来罚款金额最高的一起案例。
一、累计数量
月份 |
罚款总额累计 |
罚款总次数累计 |
2025年8月 |
€6,236,181,618 |
2583 |
二、单月数量
月份 |
罚款额 |
罚款数 |
2025年8月 |
€4,487,450 |
16 |
三、8月累计最高罚款额(按国别)
国家 |
罚款金额 |
波兰 |
€4,330,950 |
西班牙 |
€149,500 |
罗马尼亚 |
€7,000 |
四、8月罚款次数(按国别)
国家 |
罚款数 |
西班牙 |
11 |
罗马尼亚 |
3 |
波兰 |
2 |
五、8月违规类型统计
违规类型 |
罚款金额 |
数据处理的法律依据不足 |
€4,328,450(4次) |
技术和组织措施不足,无法确保信息安全 |
€105,500(7次) |
不遵守一般数据处理原则 |
€46,800(2次) |
数据处理协议不足 |
€5,400(1次) |
数据主体权利履行不足 |
€1,000(1次) |
信息义务履行不足 |
€300(1次) |
违规类型 |
罚款次数 |
技术和组织措施不足,无法确保信息安全 |
7次(€105,500) |
数据处理的法律依据不足 |
4次(€4,328,450) |
不遵守一般数据处理原则 |
2次(€46,800) |
数据处理协议不足 |
1次(€5,400) |
数据主体权利履行不足 |
1次(€1,000) |
信息义务履行不足 |
1次(€300) |
一、西班牙
(一)西班牙DPA处罚GOHIPOTECA, S.L.
拟处罚金额:€1,200
处罚依据:Art.6(1) GDPR
处罚时间:2025-08-29
案件事实概述:西班牙DPA对GOHIPOTECA公司处以1200欧元的罚款。该数据控制者在不具备充分法律依据的情况下处理了某数据主体的个人数据。其用作数据处理依据的合同系由该数据主体的配偶签署,而这一依据并不充分。由于控制者立即缴纳罚款并承认责任,故将原先2000欧元的罚款降至1200欧元。
(二)西班牙DPA处罚KVIKU SPAIN, S.L.
拟处罚金额:€2,400
处罚依据:Art.6(1) GDPR
处罚时间:2025-08-29
案件事实概述:西班牙DPA对KVIKU SPAIN公司处以2400欧元的罚款。该数据控制者在未获得充分同意的情况下,处理了某数据主体的个人数据。由于控制者立即缴纳罚款并承认责任,故将原先4000欧元的罚款降至2400欧元。
(三)西班牙DPA处罚一家驾校
拟处罚金额:€300
处罚依据:Art.13 GDPR
处罚时间:2025-08-26
案件事实概述:西班牙DPA对一家驾校处以300欧元的罚款。该数据控制者在未能充分告知数据主体的情况下,安装视频监控。由于控制者立即缴纳罚款并承认责任,故将原先500欧元的罚款降至300欧元。
(四)西班牙DPA处罚YUNEXPRESS SPAIN, S.L.
拟处罚金额:€5,400
处罚依据:Art.5(1)d) GDPR, Art.28(3) GDPR
处罚时间:2025-08-25
案件事实概述:西班牙DPA对YUNEXPRESS公司处以5400欧元的罚款。该数据控制者在未签署充分的数据处理协议的情况下,委托数据处理者处理数据。由于控制者立即缴纳罚款并承认责任,故将原先9000欧元的罚款降至5400欧元。
(五)西班牙DPA处罚LEIVA BUS, S.L.
拟处罚金额:€1,800
处罚依据:Art.5(1)f) GDPR
处罚时间:2025-08-25
案件事实概述:西班牙DPA对LEIVA BUS公司处以1800欧元的罚款。该公司因未能采取充分的技术与组织措施保障数据安全,导致个人数据泄露。由于控制者立即缴纳罚款并承认责任,故将原先3000欧元的罚款降至1800欧元。
(六)西班牙DPA处罚GRUPO BONATEL SL
拟处罚金额:€18,000
处罚依据:Art.5(1)f) GDPR
处罚时间:2025-08-22
案件事实概述:西班牙DPA对BONATEL公司处以18000欧元的罚款。该公司因未能采取充分的技术与组织措施保障数据安全,导致发生数据泄露事件。由于控制者立即缴纳罚款并承认责任,故将原先30000欧元的罚款降至18000欧元。
(七)西班牙DPA处罚BANCO INVERSIS, S.A.
拟处罚金额:€6,000
处罚依据:Art.5(1)f) GDPR
处罚时间:2025-08-22
案件事实概述:西班牙DPA对INVERSIS银行处以6000欧元的罚款。该数据控制者因未能采取充分的技术与组织措施保障数据安全,导致发生数据泄露事件。由于控制者立即缴纳罚款并承认责任,故将原先10000欧元的罚款降至6000欧元。
(八)西班牙DPA处罚WORLD 2 MEET, S.L.
拟处罚金额:€42,000
处罚依据:Art.5(1)c) GDPR
处罚时间:2025-08-14
案件事实概述:西班牙DPA对WORLD 2 MEET公司处以42000欧元的罚款。该数据控制者在仅收集必要数据即可满足登记需求的情况下,要求客人在登记时提供身份证或护照复印件。由于控制者立即缴纳罚款并承认责任,故将原先70000欧元的罚款降至42000欧元。
(九)西班牙DPA处罚REAL SOCIEDAD DE FUTBOL S.A.D.
拟处罚金额:€66,000
处罚依据:Art.5(1)f) GDPR, Art.32 GDPR
处罚时间:2025-08-12
案件事实概述:西班牙DPA对皇家社会足球俱乐部处以66000欧元的罚款。该数据控制者因未能采取充分的技术与组织措施保障数据安全,导致遭遇勒索软件攻击。由于控制者立即缴纳罚款并承认责任,故将原先110000欧元的罚款降至66000欧元。
(十)西班牙DPA处罚REAL FEDERACIÓN ESPAÑOLA DE TENIS DE MESA
拟处罚金额:€1,600
处罚依据:Art.5(1)f) GDPR
处罚时间:2025-08-12
案件事实概述:西班牙DPA对西班牙乒乓球协会处以1600欧元的罚款。该数据控制者在不具备充分法律依据的情况下,在其官网发布了个人数据。由于控制者立即缴纳罚款并承认责任,故将原先2000欧元的罚款降至1600欧元。
(十一)西班牙DPA处罚GACM SEGUROS GENERALES, COMPAÑIA DE SEGUROS Y REASEGUROS S.A.U.
拟处罚金额:€4,800
处罚依据:Art.5(1)d) GDPR
处罚时间:2025-08-12
案件事实概述:西班牙DPA对GACM通用保险公司处以4800欧元的罚款。该数据控制者未能准确处理客户数据,导致个人数据泄露给第三方。
二、罗马尼亚
(一)罗马尼亚DPA处罚SC Elite Conta SRL
拟处罚金额:€3,000
处罚依据:Art.32(1)b),d),(2) GDPR
处罚时间:2025-08-18
案件事实概述:罗马尼亚DPA对Conta公司处以3000欧元的罚款。该数据控制者未能实施充分的技术与组织措施保障数据安全,导致发生数据泄露事件。
(二)罗马尼亚DPA处罚‘FLEXICREDIT’ Mutual Aid House Association
拟处罚金额:€3,000
处罚依据:Art.32(2) GDPR
处罚时间:2025-08-12
案件事实概述:罗马尼亚DPA对‘FLEXICREDIT’互助协会处以3000欧元的罚款。该数据控制者因未能实施充分的技术与组织措施保障数据安全,导致第三方非法访问其IT系统。
(三)罗马尼亚DPA处罚Order of Biochemists, Biologists and Chemists in the Romanian Health System
拟处罚金额:€1,000
处罚依据:Art.12(3),(4) GDPR, Art.15 GDPR
处罚时间:2025-08-05
案件事实概述:罗马尼亚DPA对罗马尼亚医疗体系生物化学家、生物学家与化学家协会处以1000欧元的罚款。该数据控制者未能充分回应数据主体提出的权利行使请求。
三、波兰
(一)波兰DPA处罚ING Bank Śląski
拟处罚金额:€4,323,250
处罚依据:Art.5(1)a),b),c) GDPR, Art.6(1) GDPR
处罚时间:2025-08-26
案件事实概述:波兰DPA对Śląski银行处以4323250欧元的罚款。该数据控制者在不具备充分法律依据的情况下,对每位客户及潜在客户的身份证件进行了扫描。尽管该控制者声称是在反洗钱法出台后开始实施这一程序,但其并未能针对每一起个案评估该数据处理程序的必要性。
(二)波兰DPA处罚一家非公立医疗机构
拟处罚金额:€7,700
处罚依据:Art.5(1)f),(2) GDPR, Art.25(1) GDPR, Art.32(1),(2) GDPR
处罚时间:2025-08-04
案件事实概述:波兰DPA对一家非公立医疗机构处以7700欧元的罚款。该数据控制者提供医师上门问诊服务。为了实现该服务,医师需使用私家车辆出行,并随车携带患者的病历资料。然而,该控制者在风险分析中并未考虑到车辆被盗的可能性,因而被处以罚款。
