1.工商行业
根据统计结果,工商行业从罚款总额和罚款次数两个维度统计均列第一位。该行业主体通常因不遵守一般的数据保护原则和数据安全措施不足而受到严厉的罚款,尤其是在大量个人数据暴露给公众的情况下。
2.媒体、电信和广播行业
媒体、电信和广播行业在罚款总额和罚款次数两个维度统计均列第二。该行业的罚款理由大多是因为公司没有合法性基础而处理个人数据。特别是,意大利和西班牙的数据保护机构最近强调,他们正在处理电信运营商为了吸引客户所采取的未经同意的营销等违法行为,要求媒体、电信和广播行业的公司必须在通过电话或电子邮件营销产品或业务之前获得数据主体的同意。此处的“同意”只有在自由给出、具体、知情和明确的情况下才有效。
除了缺乏合法性基础这一原因,未能实施足够的数据安全措施也会被处以巨额罚款。值得注意的是,媒体和电信公司所开展的大规模处理业务更需要强有力的安全措施以加强数据主体的数据机密性和完整性。
3.交通与能源行业
交通和能源行业的罚款总额目前居于第3位,与其他行业相同,这类公司亦必须确保足够的安全保障措施,尤其是在处理大量客户数据和/或敏感信息时。尽管因安全保障措施不足而处以的罚款大多不超过10,000欧元,但英国航空公司因数据泄露被罚款2000万欧元的例子表明,仍有引发巨额罚款的巨大风险。
值得一提的是,考虑到该行业中的大部分公司受到了新冠肺炎疫情危机影响,监管机构最终对部分企业(例如英国航空)的罚款数额较之前有较大幅度的减少。
4.公共部门与教育行业
公共部门和教育行业的处罚次数位列第3,通常对于数据主体而言,公共部门以及涉及未成年人信息的教育行业,相较其他行业具有特殊的信任地位,更需要严格进行数据保护。自2020以来,特别是Covid-19大流行期间技术使用,如数字疫苗接种卡和冠状病毒追踪等,使得欧盟各国数据管理机构似乎加强了对公共和教育部门的审查,而且按照疫情的发展趋势,这种审查在未来几年应该会持续下去。
5.金融、保险和咨询
2021年金融、保险和咨询行业的罚款大幅增加,且有几笔罚款金额高达数百万,其中最高的三项罚款都是由于未获得客户的有效同意,导致企业处理客户数据缺乏充分的法律依据。目前,监管机构似乎正在更密切地关注如何获得同意以及数据主体是否被充分告知。另外,随着越来越多的金融和保险服务以数字方式执行,例如网上银行、支付应用程序等,数据安全也将变得更加重要,该行业应当加强数据安全保障措施,否则不仅会面临巨额罚款,还可能造成相当大的声誉损失。
6.医疗保健行业
医疗保健部门数据保护的关键且普遍的问题涉及数据保护的技术方面,特别是访问管理系统的不适当设置(或缺乏)。尤其是在医院,用于处理患者数据的 IT 系统常常会向全体员工开放。但医院全部开放系统权限的原因,主要是为了避免访问限制(例如忘记密码或丢失安全令牌)阻碍对相关患者数据的快速访问,从而损害患者的利益。所以,如何平衡数据保护与医疗保健行业的工作效率,可能是医疗保健行业完善数据保护系统时要考虑的重点问题。