在GDPR生效前几天,CNIL因未能在其网站上保护个人数据而对光学中心公司处以25万欧元的罚款–发生违规的地方,允许访问包含客户的个人和敏感数据的发票和采购订单。根据光学中心的上诉,法国最高行政法院(以下简称“国家委员会”)确认了制裁,但在2019年4月17日的最新判决中将罚款金额重新评估为200,000欧元。

特别是与美国相反,针对数据泄露的制裁仍由法国监管机构CNIL负责。鉴于已宣布的制裁是在GDPR生效之前进行的,因此CNIL的制裁权力受到限制,与当时的适用标准相比,CNIL可以被认为是严厉的。另一个因素也起了作用:2015年11月5日,光学中心因类似的数据泄露事件已被处以50,000欧元的罚款,国务委员会于2017年6月19日确认。

在这方面,国务委员会略微减少了罚款,这表明最高行政法院采取了务实,宽容的态度。国务委员会考虑到数据控制者的行为,可以解释这种减少,着重强调了公司的合作水平和反应能力,而CNIL则决定仅考虑再犯问题。

尽管由国务委员会降低罚款额似乎并不重要,但法国数据保护机构作出决定后提起上诉的可能性可能被视为公司的一项实际战略选择。国务委员会的进一步决定可能表明,国务委员会是否会遵循不变的趋势来重新审查并减少CNIL所处的罚款额。

但是,随着形势的发展,数据控制器应保持警惕。在过去的几个月中,CNIL根据法国GDPR之前的数据保护法及之后的决定做出了严厉的严厉考验。确实,在CNIL针对光学中心做出决定的几个月后,但仍在GDPR生效之前,CNIL因涉嫌违反安全规定而对Uber处以40万欧元的罚款,原因是该安全规定因未对“ Github”协作平台。 CNIL根据GDPR于2019年1月21日对Google作出的5000万笔罚款制裁决定表明,CNIL愿意对主要的数字公司实施深远的控制。