吴沈括,北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任。
郝博,北京师范大学网络法治国际中心研究助理。
2021年2月19日,西班牙数据保护机关(AEPD)对CAIXABANK,S.A.处以600万欧元的罚款,因为它非法处理客户的个人数据(罚款400万欧元),而且没有提供关于处理个人数据的充分信息(罚款200万欧元)。
AEPD认为,为遵守告知而设计的文件没有包括足够的信息,说明有关个人数据的类别,也没有说明处理个人数据的目的以及处理的法律依据,特别是关于那些基于公司正当利益的处理活动。因此,AEPD认为CAIXABANK违反了GDPR的第13条和第14条。根据GDPR第83条第5款b项,对CAIXABANK处以200万欧元的罚款。在决定行政罚款的数额时,AEPD考虑到了作为加重处罚的因素,其中包括违法行为的性质、严重性和持续时间;违法行为的过错性;该公司的活动与处理个人数据之间的关系;以及该公司是一家大型企业及其营业额的事实。
另一方面,AEPD认为CAIXABANK没有提供任何收集数据主体同意的机制;数据主体的同意不符合有效同意的所有要素,基于公司正当利益的处理活动没有充分的理由;特别是公司活动与处理个人数据之间的关系。AEPD认为,这构成了对GDPR第6条的违反,根据GDPR第83条第5款a项,对其处以400万欧元的行政罚款。在决定罚款数额时,AEPD考虑了作为加重因素的以下因素:违法行为的性质、严重性和持续时间;违法行为的过错性;根据GDPR第25条和第32条落实的技术和组织措施,控制者的责任程度;从违法行为中获得的利益;受违法行为影响的个人数据类别;公司活动与处理个人数据之间的关系;以及该公司是一家大型企业及其营业额的事实。
除了西班牙DPA判处的最高行政罚款外,AEPD还命令CAIXABANK在未来六个月内使其处理业务符合GDPR第6、13和14条。