欧盟的《通用数据保护条例》（GDPR）为欧洲打造了统一的规则体系，以高额罚金等惩罚性措施来加强数据保护。在2025年3月份的数据中，罚款次数较上个月显著下降，但罚款总额大幅增加。在2025年4月份的数据中，罚款次数和罚款总额都明显下降。总体来说，虽然3月份的罚款数据出现暂时回弹上升，但从整体趋势来看欧盟成员国GDPR罚款次数和金额都在逐渐下降。

二、单月数量

三、3-4月累计最高罚款额

四、3-4月罚款次数

五、3-4月违规类型统计

第二部分：具体案例

一、英国

（一）英国DPA处罚DPP Law Ltd.律所

拟处罚金额：70,300

处罚依据：Art. 5 (1) f) GDPR, Art. 32 (1), (2) GDPR, Art. 33 (1) GDPR

处罚时间：2025-04-14

案件事实概述：

英国DPA （ICO）对律师事务所 DPP Law Ltd. 处以 60,000 英镑（70,300 欧元）的罚款。该数据控制者遭受网络攻击，791名客户和专家证人的个人数据遭到泄露并被发布在暗网上，数据控制者未能采取足够的技术和组织措施来防止此类攻击。

（二）英国DPA处罚Advanced Computer Software Group公司

拟处罚金额：3,500,000

处罚依据：Art. 32 (1) GDPR

处罚时间：2025-03-26

案件事实概述：

英国DPA （ICO）对Advanced Computer Software Group 有限公司处以307万英镑（350万欧元）的罚款。该公司未能实施适当的技术和组织措施来保护个人数据，某次勒索软件攻击使黑客能够访问一家医疗子公司的系统，79,404人的个人数据面临风险。

二、西班牙

（一）西班牙DPA处罚BANCO BILBAO VIZCAYA ARGENTARIA银行

拟处罚金额：120,000

处罚依据：Art. 6 (1) GDPR

处罚时间：2025-04-04

案件事实概述：

西班牙DPA （AEPD）对BANCO BILBAO VIZCAYA ARGENTARIA银行处以12万欧元罚款。该银行的一名客户向DPA投诉称，该银行在未经其同意的情况下为其及其配偶签署了一份数据保护表格。

（二）西班牙DPA处罚SERVICIOS ESPECIALES公司

拟处罚金额：120,000

处罚依据：Art. 5 (1) f) GDPR

处罚时间：2025-03-28

案件事实概述：

西班牙DPA （AEPD）对SERVICIOS ESPECIALES, SA 公司处以12万欧元罚款。该公司通过电子邮件向工会委员会和另外 15 名员工分享了一份报告，其中涉及人员的全名、职位和投诉详情等。

三、波兰

（一）波兰DPA处罚波兰邮政公司

拟处罚金额：6,300,000

处罚依据：Art. 6 (1) GDPR

处罚时间：2025-03-17

案件事实概述：

波兰DPA（UODO）对波兰邮政公司（Poczta Polska SA）处以630万欧元的罚款，原因是该公司在新冠疫情期间举行的邮寄投票中，非法泄露了PESEL数据库中超过3000万公民的个人数据。

四、挪威

（一）挪威DPA处罚Telenor ASA公司

拟处罚金额：338,000

处罚依据：Art. 24 (1), (2) GDPR, Art. 37 (7) GDPR, Art. 38 (2), (3) GDPR

处罚时间：2025-03-10

案件事实概述：

挪威DPA （Datatilsynet）对 Telenor ASA 处以 333,800 欧元的罚款。该公司未对数据保护官（DPO）的职责进行充分的评估和记录。此外，该公司还缺乏足够的内部控制，未建立DPO 直接向最高管理层汇报的机制，没有相关记录。

来源：CAICT互联网法律研究中心