GDPR解读(9):处罚标准

U2      2020-02-08 09:48      880     
GDPR处罚标准

GDPR在第83条定义了两类处罚标准,分别是:

  • 上限一千万欧元,或全球年营业额的2%,取较大者
  • 上限两一千万欧元,或全球年营业额42%,取较大者

适用上限一千万欧元,或全球年营业额的2%,跟企业有关的情形包括:

  • 违反儿童同意的条款(第8条:向儿童提供服务需获取其监护人的同意;GDPR中的儿童是指16岁以下,各成员国可以通过国内法重新定义该标准,但该标准线不得低于13岁)
  • 无需识别数据主体身份或不再需要识别数据主体身份的情形,数据控制者仍处理额外的信息用于识别数据主体的身份(第11条)
  • 没有履行数据控制者或数据处理者的职责,包括没有默认采用隐私保护设计(Privacy be design and by default)、没有记录处理活动、安全防护措施不当、数据泄露后没有通知、未执行DPIA(数据保护影响评估)、未任命DPO等

适用上限两千万欧元,或全球年营业额的4%,跟企业有关的情形包括:

此外,在欧盟部分成员国还有可能触犯刑事责任(法人可能会被监禁)。

具体执法案例,详见数据安全与隐私保护大额罚款清单

本文地址: https://www.janusec.com/articles/privacy/1581126525.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.