为什么爱尔兰的GDPR罚款如此高
爱尔兰DPC(数据保护委员会)发出了欧盟GDPR历史上最大的罚款:
- TikTok:€345,000,000
- Meta:€1,200,000,000(多项罚款)
- LinkedIn:€60,000,000
- WhatsApp:€55,000,000
为什么爱尔兰这么高?
答案:GDPR第55条。它说DPA管辖权基于公司的"主要建立"。
MetaQare、Google Ireland Limited、TikTok Ireland、LinkedIn Ireland等都在都柏林注册。因此,爱尔兰DPC对所有欧盟数据处理拥有管辖权。
结果: 爱尔兰发出了欧盟所有大科技公司罚款的80%。
爱尔兰DPC的独特特征
爱尔兰DPC与其他DPA不同,因为它处理的是全球大型企业,而不是本地公司。
特点1:罚款金额很高
因为公司很大,违规的影响很大。
TikTok因为不向GDPR要求的儿童提供充分的隐私设置而罚款€345,000,000。爱尔兰DPC说:"这影响了欧盟的数百万儿童。罚款必须反映这个影响。"
特点2:调查很深入
爱尔兰DPC进行了详细的技术调查。他们不只是看政策——他们进行了数据请求、审计、法律分析。
特点3:复杂的罚款计算
MetaQ的€1.2B罚款分为多次投诉:
- €405M — 直接营销(电话号码数据库)
- €405M — 跟踪(跨域跟踪)
- €390M — 数据可转移性(拒绝用户导出)
爱尔兰DPC给予了详细的、分部门的罚款。
爱尔兰DPC vs其他DPA
| DPA | 风格 | 罚款平均 | 关注点 |
|---|---|---|---|
| BfDI(德国) | 技术 | €500K-5M | 控制验证 |
| CNIL(法国) | 法律 | €200K-2M | 法律依据 |
| 爱尔兰DPC | 大案例 | €50M-1B | 大型平台 |
| ICO(英国) | 风险 | €100K-1M | DPIA质量 |
TikTok案例:爱尔兰DPC如何调查
问题:
2020年,爱尔兰DPC收到投诉,称TikTok没有为儿童提供充分的隐私设置。
爱尔兰DPC的调查包括:
-
技术审计
- 向TikTok请求数据处理文件
- 审查TikTok的代码和系统
- 测试应用程序中的隐私设置
-
法律分析
- GDPR第14条要求关于数据处理的特定信息
- TikTok是否提供了这些?
- 该信息是否清晰和儿童友好?
-
特别注意儿童
- GDPR第8条对儿童有特殊规则
- 16岁以下的儿童需要家长同意
- TikTok是否验证了同意?
- 隐私通知是否儿童友好?
-
补救要求
- 爱尔兰DPC要求TikTok进行特定修复
- 改进隐私设置
- 改进儿童通知
- 改进年龄验证
罚款: €345,000,000
修复:
TikTok必须:
- 默认设置青少年账户为私人
- 删除旧的关于儿童数据收集的通知
- 改进年龄验证
- 实施直播限制
Meta案例:爱尔兰DPC的复杂罚款
爱尔兰DPC对Meta(Facebook、Instagram)的罚款分为三个独立的调查:
调查1:直接营销(€405M)
Meta构建了一个电话号码数据库,用于定向广告,即使用户从未同意。
AI们说:
- 法律依据不充分
- 用户没有真正同意
- 信息不清楚
调查2:跟踪(€405M)
Meta在Facebook.com和Instagram之外的网站上追踪用户(通过pixel)。
爱尔兰DPC说:
- 这构成"特殊类别"处理吗?(不是,但接近)
- 用户对跟踪没有充分同意
- Meta的合法兴趣论证很弱
调查3:数据可转移性(€390M)
When用户要求一份他们的数据副本(GDPR第20条),Meta拒绝或延迟。
爱尔兰DPC说:
- GDPR第20条是绝对的
- Meta必须在30天内提供数据
- Meta经常无法这样做
爱尔兰DPC特别关注的领域
1. 儿童和青少年数据
爱尔兰DPC对涉及儿童的任何处理都特别严格:
- TikTok罚款€345M
- Snapchat最近受到调查
- YouTube受到关于儿童定向广告的调查
2. 跨域跟踪
Meta、Google、其他平台使用pixel和标签在网站间追踪用户。
爱尔兰DPC说:这需要明确同意。许多网站只有cookie横幅,这不够。
3. 国际数据转移
许多科技公司将欧盟数据转移到美国。爱尔兰DPC进行了SCHREMS II评估。
Example:Meta的欧盟数据转移到美国被认为有问题。爱尔兰DPC要求Meta实施"补充措施"。
4. 算法决策
Meta的信息流算法进行自动决策(显示哪些帖子)。
爱尔兰DPC正在调查这是否需要GDPR第22条的人类审查。
爱尔兰DPC程序:多个DPA协调
由于大科技公司在爱尔兰注册但在所有欧盟国家运营,爱尔兰DPC必须与其他DPA协调。
GDPR第60条("一致机制")要求:
- 爱尔兰DPC是"主要管制当局"
- 爱尔兰DPC草拟决定
- 其他DPA可以反对("异议权")
- 如果有异议,EDPB(欧洲数据保护委员会)仲裁
例子: TikTok案例
- 爱尔兰DPC进行调查
- 爱尔兰DPC草拟€345M罚款
- 其他DPA被要求评论
- 德国DPA提出异议(说罚款应该更高)
- EDPB仲裁
- 最终决定:爱尔兰DPC的€345M被维持
爱尔兰DPC的远程工作政策
One特点:爱尔兰DPC的执行可能涉及远程工作员工在其他欧盟国家工作的公司。
爱尔兰DPC说:如果一个公司在爱尔兰注册但员工在德国工作(处理欧盟数据),爱尔兰DPC仍然有管辖权。
This很重要,因为许多科技公司有全球分布的员工,但在都柏林的小爱尔兰办公室注册。
科技公司在爱尔兰处理什么
许多科技公司在都柏林有注册办事处但在其他地方的实际操作:
- Meta: 都柏林注册,但大部分员工在美国。然而,爱尔兰仍然是欧洲"主要建立",所以爱尔兰DPC有全面的管辖权。
- Apple: 都柏林公司。
- TikTok: 都柏林公司。
- Microsoft Ireland: 都柏林公司。
- Google Ireland: 都柏林公司。
结果: 爱尔兰DPC被塞满了大科技执行案件。
爱尔兰DPC审计准备
如果您在都柏林或爱尔兰注册了欧盟数据处理业务:
-
所有GDPR要求同样适用
- 虽然您在爱尔兰,但您必须遵守GDPR第32条、第33条等
-
爱尔兰DPC调查可能很深
- 期望技术审计
- 期望法律分析
- 期望与其他DPA的协调
-
儿童数据特别关注
- 任何处理儿童或青少年数据的业务面临更高的风险
-
跨域跟踪和像素需要同意
- 不仅仅是cookie同意
- 需要明确的用户选择
底线
爱尔兰DPC拥有欧盟最大科技公司的管辖权,因此发出了最大的罚款。
该机构的调查是深入的、技术性的,罚款反映了大规模违规的影响。
If您是一家大型科技公司或在爱尔兰注册处理欧盟数据,期望严格的审查。
来源: