吴沈括，北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任。

郝博，北京师范大学网络法治国际中心研究助理。

2021年2月19日，西班牙数据保护机关(AEPD)对CAIXABANK,S.A.处以600万欧元的罚款，因为它非法处理客户的个人数据(罚款400万欧元)，而且没有提供关于处理个人数据的充分信息(罚款200万欧元)。

AEPD认为，为遵守告知而设计的文件没有包括足够的信息，说明有关个人数据的类别，也没有说明处理个人数据的目的以及处理的法律依据，特别是关于那些基于公司正当利益的处理活动。因此，AEPD认为CAIXABANK违反了GDPR的第13条和第14条。根据GDPR第83条第5款b项，对CAIXABANK处以200万欧元的罚款。在决定行政罚款的数额时，AEPD考虑到了作为加重处罚的因素，其中包括违法行为的性质、严重性和持续时间；违法行为的过错性；该公司的活动与处理个人数据之间的关系；以及该公司是一家大型企业及其营业额的事实。

另一方面，AEPD认为CAIXABANK没有提供任何收集数据主体同意的机制；数据主体的同意不符合有效同意的所有要素，基于公司正当利益的处理活动没有充分的理由；特别是公司活动与处理个人数据之间的关系。AEPD认为，这构成了对GDPR第6条的违反，根据GDPR第83条第5款a项，对其处以400万欧元的行政罚款。在决定罚款数额时，AEPD考虑了作为加重因素的以下因素：违法行为的性质、严重性和持续时间；违法行为的过错性；根据GDPR第25条和第32条落实的技术和组织措施，控制者的责任程度；从违法行为中获得的利益；受违法行为影响的个人数据类别；公司活动与处理个人数据之间的关系；以及该公司是一家大型企业及其营业额的事实。

除了西班牙DPA判处的最高行政罚款外，AEPD还命令CAIXABANK在未来六个月内使其处理业务符合GDPR第6、13和14条。