国际律师事务所欧华(DLA Piper)的年度GDPR罚金和数据泄露调查报告显示,欧洲数据保护机构依据《通用数据保护条例》开出了11亿欧元(12亿美元)的罚单。
这项调查涵盖了27个欧盟成员国、欧洲经济协会成员国挪威、冰岛和列支敦士登,以及前欧盟成员国英国,罚金总额增长了7倍。
2021年,卢森堡和爱尔兰的罚款额创下历史新高,取代意大利和德国成为罚款总额最高的两个国家。卢森堡和爱尔兰分别罚款7.46亿欧元(8.43亿美元)和2.26亿欧元(2.55亿美元),意大利以7900万欧元(8900万美元)的罚款排名第三。
卢森堡国家数据保护委员会(CNDP)成为迄今为止单笔GDPR罚款最高的处罚机构,即对美国在线零售商亚马逊的7.46亿欧元罚款。这比2019年法国对谷歌处以的最高单笔罚款5000万欧元(5700万美元)高出14倍。
Schrems II判决引发GDPR罚款增加
罚金总额增长7倍的原因,主要在于欧洲法院Schrems II判决中的严格规定。英国数据保护和安全集团主席罗斯·麦基恩表示,“Schrems II的判决及其对数据传输的深远影响,使其成为许多组织面临的最大数据保护合规挑战”。
Schrems II的判决使欧盟委员会的“隐私盾”失去效力,而隐私盾的护框架旨在规定个人数据从欧盟合法转移到美国,同时遵守某些数据保护保障措施。个人数据传输现在只能通过标准合同条款来实现,这些条款规定了与GDPR和欧盟基本权利宪章相当的数据保护级别。
欧华数据保护和安全部的全球联席主席Ewa Kurowska Tober表示,Schrems II的判决实际上将根本性的法律冲突和负担,从政客和立法者转移到了个人数据出口商和进口商身上。“我们真正需要的是解决潜在的法律冲突,而不是给企业带来不切实际的合规负担。这是国际贸易面临的又一个阻力,就在我们刚刚摆脱全球疫情之际”。
数据泄露在整个欧洲呈上升趋势
报告调查还指出,欧洲数据泄露通知数量连续第三年呈上升趋势。自2021年1月28日以来,已经向监管机构通报了超过130000起个人数据泄露违规,平均每天有356起,比2020年每天331起事件增加了8%。
荷兰平均每天报告150.7起数据泄露事件,这是受调查国家中每10万人的最高数字。自2018年以来,希腊、捷克和克罗地亚人均泄露最少。