GDPR罚款 企业可以学到的经验教训

在执行GDPR一年后，企业可以从如何应用法规的规定以及组织如何被罚款中学到很多东西。“通用数据保护条例”(GDPR)的执行于2018年5月25日生效。自该日起大约一年后，欧洲数据保护机构确认已收到近90,000份单独的数据泄露通知。请注意，这只是组织试图遵守GDPR的通知。这些相同的数据保护机构报告说，在同一年，有关公民报告了近145,000起投诉和询问。虽然欧洲数据保护部门对于根据GDPR征收罚款的收费较少，但一些第三方调查显示，至少有100家组织因未能完全遵守该规定而被罚款。通过分析较高级别的罚款，商业企业可能能够收集关于GDPR未来应用于其组织的重要信息。

参见：

GDPR在一周年纪念日获得的经验教训

自2018年5月以来，欧洲的数据保护机构因违反GDPR条款而对公司征收高额和高额面额的罚款：

2018年12月，一家葡萄牙医院因其工作人员使用虚假账户访问患者记录而被罚款40万欧元。根据调查，该医院有985名注册医生档案，而实际医生只有296名。虽然违规的动机似乎是一个方便而非恶意的问题，但当局仍然裁定这种违法行为是故意和公然的。

2019年3月，丹麦一家出租车公司被罚款120万克朗，用于存储其不再需要的信息技术系统的900多万份个人联系信息记录。如GDPR所述，数据应该在不再需要用于常规业务目的后删除，但该公司未能遵守。

第1课：

欧洲数据保护机构对违反GDPR条款的行为是否是由疏忽，懒惰，邋，或无知引起的无意错误无关紧要。违反任何理由的行为将受到惩罚，企业最好认真对待GDPR。

在2019年1月，谷歌被法国当局罚款5000万欧元，用于收集用户的个人数据，而没有提供足够的透明度来说明这些数据将如何用于个性化平台上的广告。根据GDPR的规定，组织必须获得有效的同意才能使用个人数据用于该数据的每个特定用途 - 不允许一揽子同意。谷歌正在上诉罚款。

在2019年3月，一家波兰数据处理公司被罚款220,000欧元，用于搜索公共个人数据的互联网，然后使用该数据联系超过90,000人进行宣传。明显公然违反GDPR，约有12,000名被联系人抱怨该活动。

第2课：

故意，故意和公然违反GDPR条款将受到欧洲数据保护机构最严厉的罚款。试图检验监管机构决心的企业将因其傲慢而付出高昂代价。

第3课：

GDPR的规定，特别是欧盟公民的规定是众所周知的，并且认为这些规定受到侵犯的个人非常愿意向数据保护机构报告违规行为。依靠个人无知或被动的肆无忌惮的企业可能会为这种对个人数据安全和保护的愤世嫉俗态度付出沉重代价。

参见：

另一个备受瞩目的优点可以为企业带来另一个教训：

2018年11月，德国社交媒体公司Knuddels报告了数据泄露事件。当地数据保护机构随后的调查确定该网站已将用户密码以明文形式存储而不进行散列。由于没有安全地存储客户的个人数据，Knuddels被罚款20,000欧元。罚款相对较低，因为Knuddels及时报告了安全漏洞并立即采取措施缓解安全问题。

第4课：

虽然严重违反GDPR规定的行为仍然会受到罚款，及时向数据保护机构报告安全漏洞并采取快速行动以减少因违反企业而导致的个人数据泄露风险，这可能会大大降低罚款。处理敏感个人数据的所有企业都应制定适当的安全和合规政策，以降低违反GDPR的风险。

参见：

符合GDPR标准

欧盟数据保护机构在GDPR执行的第一年征收的罚款显示了一个简单的事实：GDPR是真实的，可执行的，并适用于收集，存储和处理敏感个人数据的每个企业。合规性不是可选的。企业面临重大风险，可能会因违规而终止，罚款和处罚。