Warto zapoznać się z powodami, przez które firmy zostały ukarane i rozważyć, czy nasza organizacja jest dobrze przygotowana. Błędna interpretacja przepisów może sporo kosztować, dlatego lepiej upewnić się, czy wszystkie operacje na danych osobowych przebiegają właściwie.

Odpowiedzialność finansowa niejednokrotnie skutecznie wpływa na podmioty tak aby wykonywały one swoje zadania zgodnie z literą prawa. Z karami finansowymi mamy do czynienia, jako kierowcy czy nawet przedsiębiorcy. Kodeks karny skarbowy w dużej mierze opiera się na karach finansowych, ponieważ jest to efektywny sposób egzekwowania prawidłowego zachowania.

W tym samym kierunku poszedł europejski prawodawca. Zdecydował, że odpowiednim środkiem zabezpieczenia przetwarzania danych osób fizycznych, będą kary nakładane na administratorów (ADO). Widmo nałożenia zobowiązania finansowego wymusiło na ADO zachowania zgodne z literą prawa.

Kary RODO

Ostatnia aktualizacja: 6.02.2023 r.

Kraj Data Wysokość kary (w euro) Ukarany podmiot Podstawa prawna Podsumowanie Decyzja
Włochy 2022-12-01 6.000 EUR Właściciel sklepu (Joy Unique Collection) Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacy Włoski organ ochrony danych ukarał właściciela sklepu „Joy Unique Collection” grzywną w wysokości 6 tys. euro. Ukarany podmiot obsługiwał w swoim lokalu kamery monitoringu wizyjnego bez wymaganego zezwolenia. Ponadto organ stwierdził brak tabliczek informacyjnych dotyczących przetwarzania danych osobowych przez kamery link
Hiszpania 2022-12-29 24.000 EUR SUMINISTRADOR IBÉRICO DE ENERGÍA, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył karę pieniężną na SUMINISTRADOR IBÉRICO DE ENERGÍA, S.L. Klient złożył skargę do organu ochrony danych w związku z faktem, że administrator dokonał zmiany jego dostawcy energii elektrycznej i gazu bez uprzedniego uzyskania jego zgody. Pierwotna kara z 30 000 EUR została obniżona do 24 000 EUR w związku z dobrowolną opłatą link
Hiszpania 2022-12-28 300 EUR Właściciel sklepu Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu grzywną w wysokości 300 EUR za brak tablic informacyjnych o monitoringu CCTV w jego lokalu link
Hiszpania 2022-12-28 600 EUR Stowarzyszenie Właścicieli Domów Art. 6 (1) e) RODO, Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę na stowarzyszenie właścicieli domów w wysokości 600 EUR. Ukarany podmmiot zainstalował nieautoryzowany system telewizji przemysłowej w dzielnicy mieszkalnej. Ponadto organ stwierdził, że administrator nie dostarczył wystarczających informacji na temat przetwarzania danych przez CCTV link
Hiszpania 2022-01-09 300 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 EUR. Osoba ta zainstalowała na swojej posesji kamery monitoringu, które obejmowały między innymi sąsiednią posesję. AEPD uznał, że tak rozbudowany monitoring wizyjny stanowił naruszenie zasady minimalizacji danych link
Hiszpania 2022-01-10 300 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 EUR. Osoba ta zainstalowała na swojej posesji kamery monitoringu, które obejmowały między innymi sąsiednią posesję. AEPD uznał, że tak rozbudowany monitoring wizyjny stanowił naruszenie zasady minimalizacji danych link
Hiszpania 2022-01-10 120 EUR Stowarzyszenie Właścicieli Domów Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę na stowarzyszenie właścicieli domów za niedostarczenie wystarczających informacji na temat monitoringu wideo w dzielnicy mieszkalnej. Pierwotna kara ze 150 euro została obniżona do 120 euro z powodu dobrowolnej zapłaty link
Hiszpania 2023-01-12 3.000 EUR SERVICIOS INTEGRALES DEL HOGAR TENERIFE, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na SERVICIOS INTEGRALES DEL HOGAR TENERIFE, S.L. Były pracownik złożył skargę do organu ochrony danych w związku z nieuprawnionym ujawnieniem przez administratora jego danych osobowych za pośrednictwem Whatsapp po odejściu z firmy. Pierwotna kara z 5 000 euro została obniżona do 3 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Hiszpania 2023-01-13 1.000 EUR Redakcja RIBADEO S.L. Art. 58 (2) RODO Hiszpański organ ochrony danych nałożył na firmę EDITORIAL RIBADEO S.L. grzywnę w wysokości 1000 EUR. za niewykonanie polecenia wydanego przez organ ochrony danych. link
Włochy 2022-11-10 10.000 EUR I-Model s.r.l. Art. 6 (1) RODO, Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył na I-Model s.r.l. grzywnę w wysokości 10 000 EUR. Osoba, której dane dotyczą, wniosła skargę do urzędu ochrony danych osobowych na administratora w związku z tym, że administrator nadal wysyła jej reklamy SMS, mimo że zażądała usunięcia swoich danych, a administrator potwierdził usunięcie link
Rumunia 2023-01-12 2.000 EUR BRISTOL LOGISTICS SA Art. 32 (1) b) RODO, Art. 32 (2) RODO Rumuński organ ochrony danych nałożył na BRISTOL LOGISTICS SA karę w wysokości 10 000 EUR. Organ ochrony danych otrzymał zawiadomienie od BRISTOL LOGISTICS SA o naruszeniu ochrony danych osobowych na podstawie art. 33 RODO. W zawiadomieniu stwierdzono, że skradziono segregator zawierający akta osobowe 12 pracowników, co doprowadziło do uzyskania dostępu do danych osobowych przez osoby nieupoważnione. Organ uznał to za naruszenie art. 32 RODO, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia stopnia ochrony współmiernego do ryzyka. link
Hiszpania 2022-12-29 3.000 EUR ADENET SYSTEMS, S.L. Art. 58 (1) RODO Niedostarczenie żądanych informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 58 RODO link
Hiszpania 2022-12-28 600 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitoringu, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. link
Hiszpania 2023-01-03 3.000 EUR Związek Pracowników Transportu Aragonii Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę na Związek Pracowników Transportu w Aragonii w wysokości 3000 EUR. Związek opublikował dokument z danymi osobowymi (nazwisko, imię i numer dowodu osobistego) członków komitetu strajkowego na różnych portalach społecznościowych. W toku dochodzenia organ stwierdził, że do incydentu mogło dojść z powodu niewdrożenia przez związek zawodowy wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Hiszpania 2022-12-28 400 EUR MAE WEST SYSTEMS, S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę MAE WEST SYSTEMS, S.L. 400 EUR. Ukarany podmiot zainstalował monitoring wideo w obsługiwanym przez siebie barze, nie dostarczając wystarczających informacji na temat monitoringu wideo link
Hiszpania 2022-12-28 300 EUR Stowarzyszenie Właścicieli Domów Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 300 EUR na stowarzyszenie właścicieli domów za niedostarczenie wystarczających informacji na temat nadzoru wideo w dzielnicy mieszkalnej link
Rumunia 2023-01-04 3.000 EUR Apă Canal Ilfov SA Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 32 (4) RODO Rumuński organ ochrony danych nałożył na Apă Canal Ilfov SA karę w wysokości 3000 euro. Administrator wysłał e-mail z danymi osobowymi do kilku odbiorców w otwartej rozdzielnicy. Dzięki temu odbiorcy mogli przeglądać adresy e-mail wszystkich pozostałych odbiorców. link
Rumunia 2023-01-03 500 EUR Stowarzyszenie Właścicieli Domów Art. 5 (1) e) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 500 euro na stowarzyszenie właścicieli domów. Ukarany podmiot opublikował publicznie listę z imionami i nazwiskami wszystkich członków stowarzyszenia link
Włochy 2022-11-10 5.000 EUR Gmina Cisterna di Latina Art. 5 RODO, Art. 12 RODO, Art. 37 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 5000 euro na gminę Cisterna di Latina. Jedna osoba złożyła skargę do DPA. Osoba fizyczna złożyła wniosek do gminy o dostęp do swoich danych osobowych. W wyniku błędu dane nie zostały ujawnione osobie, której dane dotyczą, lecz osobie trzeciej. Z tego powodu osoba, której dane dotyczą, nie otrzymała odpowiedzi na swoje żądanie. Ponadto organ ochrony danych stwierdził, że gmina nie wyznaczyła inspektora ochrony danych. link
Irlandia 2023-01-04 390.000.000 EUR Meta Platforms Ireland Limited Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 12 RODO, Art. 13 (1) c) RODO Irlandzki organ ochrony danych (DPC) nałożył na Meta Platforms Ireland Limited grzywnę w wysokości 390 mln EUR. Organ ochrony danych nałożył karę w wysokości 210 mln euro za naruszenia związane ze świadczeniem jego usługi Facebook oraz 180 mln euro za naruszenia związane ze świadczeniem usługi Instagram. Austriacka organizacja „None of Your Business” (NOYB) złożyła skargę do DPA w imieniu dwóch osób. Skargi dotyczyły zaktualizowanych warunków korzystania z usługi Meta. W tej aktualizacji Meta zmieniła podstawę prawną przetwarzania danych osobowych w kontekście reklamy behawioralnej i innych spersonalizowanych usług. Opierając się wcześniej na przetwarzaniu danych na podstawie zgody użytkownika, Meta zdecydowała się na jej regulamin, który obejmował również przetwarzanie danych osobowych na potrzeby reklamy spersonalizowanej. Użytkownicy powinni, aby nadal mieć dostęp do metaserwisów Facebook i Instagram, zaakceptować zaktualizowane warunki świadczenia usług. Początkowo organ stwierdził, że Meta naruszyła obowiązki przejrzystości wynikające z RODO. Organ stwierdził, że Meta nie wyjaśniła jasno użytkownikom, w jakim celu i na jakiej podstawie prawnej przetwarzane są ich dane osobowe. Ponadto organ ochrony danych stwierdził, że Meta nie może powoływać się na warunki umowne uzgodnione z użytkownikami jako podstawę prawną przetwarzania danych w celu reklamy behawioralnej. Organ ochrony danych stwierdził, że użytkownicy byliby zmuszani do zaakceptowania warunków, ponieważ w przeciwnym razie nie byliby w stanie korzystać z usług. W tym kontekście organ ochrony danych stwierdził, że użytkownicy muszą mieć możliwość wyraźnej zgody lub sprzeciwu wobec przetwarzania ich danych w celu spersonalizowanej reklamy z opcją tak/nie. Oprócz nałożenia grzywien, organ ochrony danych nakazał również Meta doprowadzenie swoich operacji przetwarzania danych do zgodności z RODO w ciągu trzech miesięcy. link
Włochy 2022-11-10 20.000 EUR Sportitalia Art. 5 (1) a) RODO, Art. 9 RODO, Art. 13 RODO, Art. 30 (1) c) RODO Włoski DPA (Garante) nałożył na Sportitalia karę w wysokości 20 000 euro. Administrator przetwarzał dane biometryczne (odciski palców) pracowników w celu rejestracji ich obecności. Garante uznał, że tak rozległe przetwarzanie nie było proporcjonalne, a zatem stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Ponadto Garante ustaliła, że ​​przetwarzanie danych biometrycznych miało miejsce bez wystarczającego poinformowania osób, których dane dotyczą, o przetwarzaniu. link
Włochy 2022-11-24 1.000.000 EUR Areti spa Art. 5 (1) d), e) RODO, Art. 5 (2) RODO, Art. 12 RODO, Art. 15 RODO, Art. 24 RODO Włoski organ ochrony danych ukarał dostawcę energii elektrycznej Areti spa grzywną w wysokości 1 miliona euro. Klient złożył skargę do DPA, ponieważ Areti sklasyfikowała go jako klienta zalegającego z płatnością, co uniemożliwiło mu zmianę dostawcy energii elektrycznej. Wynikało to z faktu, że nieaktualne dane w bazach danych Areti nie zostały zaktualizowane w wyniku niezgodności w wewnętrznych systemach firmy. Incydent dotknął około 47 000 klientów. Dochodzenie przeprowadzone przez organ ochrony danych wykazało również, że Areti przechowywała dane przez niewystarczający czas. Ponadto Areti nie udzieliła należytej odpowiedzi na żądania skorzystania z praw osób, których dane dotyczą. link
Rumunia 2022-12-27 3.000 EUR Kaufland Romania SCS Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO Rumuński organ ochrony danych nałożył na Kaufland Romania SCS karę w wysokości 3 000 euro. Administrator zgłosił naruszenie ochrony danych zgodnie z art. 33 RODO. Pracownik zrobił telefonem komórkowym zdjęcia z nagrań CCTV i przekazał je stronie trzeciej. Osoba trzecia następnie opublikowała zdjęcia, na których można było zidentyfikować dwie osoby i tablicę rejestracyjną, na stronie internetowej lokalnej gazety. Organ stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Rumunia 2022-12-22 10.000 EUR SUDREZIDENȚIAL Broker S.R.L. Art. 32 (4) RODO Rumuński organ ochrony danych nałożył na SUDREZIDENȚIAL Broker S.R.L. grzywnę w wysokości 10 000 EUR. Pracownik administratora nieuprawniony opublikował arkusz kalkulacyjny Excel zawierający dane osobowe, takie jak imię, nazwisko, numer telefonu, numer identyfikacyjny, adres e-mail, bank dane itp. 509 klientów administratora w Internecie. W toku dochodzenia organ stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Włochy 2022-11-10 4.000 EUR Gmina Villafranca di Verona Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych (Garante) nałożył na gminę Villafranca di Verona grzywnę w wysokości 4000 euro. Gmina opublikowała na swojej stronie internetowej dokument zawierający dane osobowe pracownika link
Włochy 2022-12-01 100.000 EUR Region Lacjum Art. 5 (1) a) RODO, Art. 6 RODO, Art. 113 Codice della privacy, Art. 114 Codice della privacy Włoski organ ochrony danych nałożył na region Lazio grzywnę w wysokości 100 000 EUR. Związek zawodowy złożył skargę do DPA, zarzucając Regionowi monitorowanie kont e-mail pracowników działu prawnego Regionu. Województwo podjęło taki monitoring w związku z podejrzeniem możliwości ujawnienia osobom trzecim informacji objętych tajemnicą służbową. Region przechowywał i analizował dane pracowników przez 180 dni. Dane obejmowały nie tylko informacje związane z pracą, ale także dane osobowe osób, których dane dotyczą, dotyczące ich sfery prywatnej. Podczas dochodzenia organ ochrony danych stwierdził, że w tamtym czasie region nie miał ważnej podstawy prawnej do gromadzenia danych osobowych na tak dużą skalę. link
Hiszpania 2022-12-20 3.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 3000 euro. Pewien człowiek zamieścił w Internecie filmy przedstawiające nauczycieli i nieletnich uczniów podczas zajęć wychowania fizycznego, aby wyrazić swoje oburzenie na fakt, że uczniowie muszą nosić maseczki podczas zajęć. Organ ochrony danych stwierdził, że osoba fizyczna przetwarzała dane osób, których dane dotyczą, niezgodnie z prawem ze względu na brak zgody osób, których dane dotyczą, jak również inną podstawę prawną. link
Hiszpania 2022-12-20 2.000 EUR Zarząd Właściciela Nieruchomości Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na Stowarzyszenie Właścicieli Nieruchomości. Dwóch właścicieli nieruchomości złożyło skargę do DPA. Osoby te złożyły do ​​zarządu wniosek o kopię dokumentów finansowych. Stowarzyszenie opublikowało jednak wnioski z danymi osobowymi zainteresowanych osób na tablicy ogłoszeń w części wspólnej danego budynku mieszkalnego. Organ ochrony danych uznał to za naruszenie zasady poufności. link
Hiszpania 2022-12-20 1.000 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 1000 euro. Osoba złożyła skargę do organu ochrony danych, ponieważ administrator opublikował jej dane osobowe, takie jak imię, nazwisko, numer dowodu osobistego i datę urodzenia bez jej zgody w grupie WhatsApp liczącej 31 członków. Organ uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2022-12-15 30.000 EUR ORANGE ESPAGNE, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożony na osobę otrzymującą grzywnę w wysokości 1000 euro. Osoba złożyła skargę do organu ochrony danych, ponieważ administrator zgłosił jej dane osobowe, takie jak imię, nazwisko, numer osoby fizycznej i daty urodzenia bez jej zgody w grupie WhatsApp składającej się z 31 członków. Organ uznany za za naruszenie zasad minimalizacji danych. link
Hiszpania 2022-12-15 16.000 EUR SZPITAL RECOLETAS PONFERRADA, S.L. Art. 6 (1) GDPR, Art. 15 RODO Hiszpański organ ochrony danych nałożył karę pieniężną na zakład opieki zdrowotnej HOSPITAL RECOLETAS PONFERRADA, S.L. Pacjent złożył skargę do organu ochrony danych. Pacjent podczas badania lekarskiego wypełnił formularz zgody, w którym pewne pozycje były już wcześniej zaznaczone. Organ stwierdził również, że administrator nie spełnił w terminie żądania pacjenta dostępu do jego danych osobowych. Pierwotna kara z 20 000 EUR została obniżona do 16 000 EUR w związku z dobrowolną opłatą. link
Rumunia 2022-12-15 5.000 EUR Societatea Energetică Electrica S.A. Art. 28 (3) a) RODO Rumuński organ ochrony danych ukarał Societatea Energetică Electrica S.A. grzywną w wysokości 5 000 euro za naruszenie art. 28 ust. 3 lit. a) RODO link
Hiszpania 2022-12-13 56.000 EUR \Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na firmę Vodafone España, S.A.U. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat karty SIM nieupoważnionej osobie trzeciej bez jej zgody. W toku dochodzenia organ stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pierwotna kara z 70 000 EUR została obniżona do 56 000 EUR dzięki dobrowolnej wpłacie. link
Hiszpania 2022-12-13 56.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na firmę Vodafone España, S.A.U. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat karty SIM nieupoważnionej osobie trzeciej bez jej zgody. W toku dochodzenia organ stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pierwotna kara z 70 000 EUR została obniżona do 56 000 EUR dzięki dobrowolnej wpłacie. link
Włochy 2022-10-20 7.000 EUR I.S.P.R.O. Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 000 EUR na onkologiczną placówkę I.S.P.R.O. Osoba omyłkowo otrzymała e-mailem dokumentację medyczną innego pacjenta. link
Francja 2022-12-08 300.000 EUR FREE SAS Art. 12 RODO, Art. 15 RODO, Art. 17 RODO, Art. 32 RODO, Art. 33 RODO Francuski organ ochrony danych nałożył na FREE SAS karę w wysokości 300 000 euro. Organ ochrony danych otrzymał kilka skarg od osób fizycznych, które miały trudności z korzystaniem z przysługujących im praw dostępu do swoich danych osobowych i ich usuwania BEZPŁATNIE. Podczas dochodzenia organ ochrony danych stwierdził, że firma nie przetwarzała wniosków o dostęp i usunięcie danych osobowych w odpowiednim czasie. Organ stwierdził również, że firma nie zapewniła bezpieczeństwa danych osobowych. Na przykład firma zezwoliła użytkownikom na używanie niezabezpieczonych haseł, a hasła użytkowników były przechowywane w bazach danych firmy w postaci niezaszyfrowanej. Wreszcie organ ochrony danych stwierdził, że firma nie udokumentowała odpowiednio naruszenia danych. link
Finlandia 2022-12-09 230.000 EUR Viking Line Oy Abp Art. 5 (1) a), d) RODO, Art. 12 (3) RODO, Art. 13 RODO, Art. 15 (1) RODO, Art. 25 (1) RODO Fiński organ ochrony danych nałożył grzywnę w wysokości 230 000 EUR na firmę Viking Line Oy Abp. Były pracownik złożył skargę do DPA. Podczas dochodzenia organ ochrony danych stwierdził, że administrator nie spełnił prośby osoby, której dane dotyczą, o dostęp do jej danych dotyczących zdrowia oraz że niektóre dane medyczne były przechowywane nieprawidłowo. Organ stwierdził również, że dane medyczne były przechowywane wraz z innymi danymi osobowymi, chociaż takie przechowywanie jest niezgodne z prawem. Ponadto organ stwierdził, że administrator niewłaściwie informował swoich pracowników o przetwarzaniu ich danych osobowych, co jest sprzeczne z obowiązkiem ciążącym na nim na mocy art. 13 RODO. link
Hiszpania 2022-12-13 56.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na firmę Vodafone España, S.A.U. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat karty SIM nieupoważnionej osobie trzeciej bez jej zgody. W toku dochodzenia organ stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Umożliwiło to oszustom uzyskanie dostępu do konta bankowego osoby, której dane dotyczą, i dokonanie nieautoryzowanych transakcji. Pierwotna kara z 70 000 EUR została obniżona do 56 000 EUR dzięki dobrowolnej wpłacie. link
Portugalia 2022-11-02 4.300.000 EUR Portuguese National Statistical Institute Art. 5 (1) a) RODO, Art. 9 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 28 (1), (6), (7) RODO, Art. 35 (1), (2), (3) b) RODO, Art. 44 RODO, Art. 46 (2) RODO Portugalski organ ochrony danych nałożył grzywnę na portugalski Narodowy Instytut Statystyczny w wysokości 4,3 mln EUR. Organ ochrony danych stwierdził liczne naruszenia RODO w związku ze spisem ludności z 2021 r. w Portugalii. Organ ochrony danych najpierw stwierdził, że administrator nie poinformował osób, których dane dotyczą, że podanie danych dotyczących religii i stanu zdrowia jest czysto dobrowolne. Organ ochrony danych uznał to za ingerencję w możliwość swobodnego wyrażenia woli w zakresie przetwarzania danych przez osoby, których dane dotyczą. Ponadto organ stwierdził, że administrator nie dochował należytej staranności przy wyborze podmiotu przetwarzającego, co jest sprzeczne z obowiązkiem wynikającym z art. 28 RODO. Ponadto umowa o realizację zamówienia dopuszczała przekazywanie danych osobowych poza EOG bez stosowania dodatkowych środków bezpieczeństwa poza zatwierdzonym przez Komisję Europejską SCCS, wymaganym na mocy orzeczenia Schrems II. Organ uznał to za naruszenie art. 44 RODO i art. 46 ust. 2 RODO. Wreszcie organ ochrony danych stwierdził, że administrator nie przeprowadził oceny skutków dla ochrony danych w odniesieniu do spisu. link
Hiszpania 2022-12-09 120 EUR Osoba prywatna Art. 13 RODO Hiszpański organ ochrony danych ukarał grzywną osobę prywatną. Ukarany podmiot zainstalował system monitoringu wideo w należącym do niego budynku wielorodzinnym. Na tabliczce informacyjnej dotyczącej systemu monitoringu brakowało natomiast informacji o administratorze i korzystaniu z praw osób, których dane dotyczą. Pierwotna kara ze 150 euro została obniżona do 120 euro z powodu dobrowolnej zapłaty. link
Hiszpania 2022-12-09 8.000 EUR Notariusz Art. 6 RODO Hiszpański organ ochrony danych ukarał notariusza grzywną. Administrator zapoznał się z księgą wieczystą nieruchomości należącej do osoby, której dane dotyczą, bez nakazu wglądu do tych danych lub zgody osoby, której dane dotyczą. Pierwotna kara z 10 000 EUR została obniżona do 8 000 EUR w związku z dobrowolną opłatą. link
Hiszpania 2022-12-09 480 EUR Osoba prywatna Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych ukarał grzywną osobę prywatną. Osoba ta zainstalowała kamery monitorujące w kompleksie mieszkalnym, który obejmował również obszary wspólne. W trakcie dochodzenia organ ochrony danych stwierdził, że dana osoba nie miała pozwolenia na zainstalowanie kamer, a zatem nie miała ważnej podstawy prawnej do przetwarzania danych. Ponadto osoba fizyczna nie przekazała osobom, których dane dotyczą, informacji o monitoringu wideo. Pierwotna kara z 600 euro została obniżona do 480 euro z powodu dobrowolnej zapłaty. link
Rumunia 2022-12-09 2.000 EUR Casa Rusu S.R.L. Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na firmę Casa Rusu S.R.L. . Administrator zgłosił naruszenie danych do urzędu ochrony danych osobowych na podstawie art. 33 RODO. Administrator użył nieautoryzowanego formularza podczas procesu płatności na swojej stronie internetowej, za pośrednictwem którego pobierane były dane bankowe kart klientów. Umożliwiło to nieautoryzowany dostęp do danych osobowych, takich jak imię i nazwisko posiadacza karty bankowej, której dotyczy problem, numer karty, data i rok ważności, kod CVC. W toku dochodzenia organ stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Irlandia 2022-01-26 5.000 EUR Slane Credit Union Ltd. Art. 5 (1) f) RODO, Art. 24 RODO, Art. 28 (1), (3) RODO, Art. 30 (1) RODO, Art. 32 (1) RODO Irlandzki organ ochrony danych nałożył grzywnę w wysokości 5 000 euro na Slane Credit Union Ltd. Administrator zawiadomił organ ochrony danych o naruszeniu ochrony danych w 2018 r. Z powodu błędu w narzędziu do optymalizacji wyszukiwarek zainstalowanym na stronie internetowej administratora, cztery zgłoszenia zapytań członków zawierające dane osobowe członków zostały nieumyślnie opublikowane. Incydent dotknął 76 członków, w tym nieletnich, oraz ich danych osobowych, takich jak imię i nazwisko, adres, płeć, daty urodzenia, numery kont itp. Organ stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ponadto organ stwierdził, że administrator nie dochował należytej staranności wobec podmiotu przetwarzającego i nie zawarł z podmiotem przetwarzającym umowy zgodnej z RODO. link
Hiszpania 2022-11-25 5.000 EUR Stowarzyszenie na rzecz zapobiegania i badania przestępstw, nadużyć i zaniedbań w technologii informacyjnej i zaawansowanej komunikacji (APEDANICA) Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył grzywnę na stowarzyszenie zajmujące się zapobieganiem i badaniem przestępstw, nadużyć i zaniedbań w technologii informacyjnej i zaawansowanej komunikacji (APEDANICA) w wysokości 5 000 EUR. Pracownicy firmy LEGAL ERASER SL złożyli skargę do organu ochrony danych. Administrator zwrócił się do organu ochrony danych o informacje dotyczące LEGAL ERASER w ramach prawa do informacji na podstawie hiszpańskiej ustawy o przejrzystości. Następnie administrator opublikował dokumenty, z których część zawierała dane osobowe klientów i pracowników LEGAL ERASER, pod 58 linkami w Internecie. link
Hiszpania 2022-11-25 1.800 EUR ALPA 57 PRODUCCIONES, S.L. Art. 58 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na firmę ALPA 57 PRODUCCIONES, S.L. za nieudzielenie informacji żądanych przez organ ochrony danych podczas dochodzenia. Pierwotna grzywna z 3000 euro została obniżona do 1800 euro w związku z natychmiastową zapłatą i uznaniem winy. link
Hiszpania 2022-12-02 3.600 EUR Federacja Sportu dla Osób Niepełnosprawnych Intelektualnie Castilla la Mancha-FECAM Art. 9 (2) a) RODO, Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę na Federację Sportu Osób Niepełnosprawnych Intelektualnie w Kastylii-La Mancha-FECAM. Administrator przetwarzał dane medyczne z testów na antygen Covid-19 uczestników zawodów sportowych bez ich zgody na przetwarzanie. Ponadto organ stwierdził, że administrator nie poinformował osób, których dane dotyczą, o okresie przechowywania danych. Pierwotna grzywna z 6000 euro została obniżona do 3600 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Hiszpania 2022-12-02 3.500 EUR CASA 7 PERSONAL SHOPPER, S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 3500 EUR na CASA 7 PERSONAL SHOPPER, S.L. Administrator wysłał e-mail z danymi osobowymi do kilku odbiorców w otwartej rozdzielnicy. Dzięki temu odbiorcy mogli przeglądać adresy e-mail wszystkich pozostałych odbiorców. link
Włochy 2022-11-10 40.000 EUR Usl Valle d'Aosta Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO Włoski organ ochrony danych ukarał Azienda Usl Valle d'Aosta grzywną w wysokości 40 000 EUR. Pracownik i pacjent sanepidu złożyli skargę do urzędu ochrony danych osobowych, ponieważ kolega, który nigdy ich nie leczył, wielokrotnie wchodził w ich dokumentację medyczną, mimo że wyraźnie odmówili zgody na przetwarzanie danych. Podczas dochodzenia DPA stwierdził, że w celu uproszczenia postępowania z pacjentami podczas pandemii Covid 19 departament zdrowia uprościł system dokumentacji medycznej. W rezultacie dokumentacja medyczna pacjenta była dostępna dla każdego pracownika, niezależnie od tego, czy pacjent, którego to dotyczy, wyraził na to zgodę. Organ uznał to za naruszenie obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Włochy 2022-09-15 40.000 EUR FCA Italy S.p.A. Art. 12 (1), (2), (3), (4) RODO, Art. 15 RODO Włoski organ ochrony danych nałożył na FCA Italy S.p.A. karę w wysokości 40 000 euro. Pracownik administratora zażądał dostępu do danych osobowych przetwarzanych w ramach stosunku pracy. Administrator nie spełnił jednak tego żądania w terminie, niezgodnie z wymogami art. 12 RODO i art. 15 RODO link
Włochy 2022-10-06 10.000 EUR Codess Sociale, Soc. Kooperacja. towarzyska. Art. 12 (3), (4) RODO, Art. 17 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na Codess Sociale, Soc. Kooperacja. towarzyska. Były członek-wolontariusz złożył skargę do DPA. Osoba, której dane dotyczą, oświadcza, że ​​składając rezygnację, zażądała usunięcia swoich danych osobowych z archiwum administratora. Administrator nie zastosował się jednak do wezwania w terminie. link
Włochy 2022-10-06 2.000.000 EUR Eksploracja alfa Art. 5 (1) a), e), f) RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 27 (4) RODO, Art. 28 RODO, Art. 32 RODO, Art. 35 RODO Włoski organ ochrony danych nałożył na Alpha Exploration karę w wysokości 2 mln euro. Alpha Exploration obsługuje portal społecznościowy Clubhouse. W toku dochodzenia organ stwierdził liczne naruszenia RODO. Na przykład organ ochrony danych stwierdził brak przejrzystości w zakresie wykorzystywania danych użytkowników i ich kontaktów na czacie. Ponadto użytkownicy sieci mogli przechowywać i udostępniać wiadomości audio od innych użytkowników bez ich zgody. Ponadto informacje o koncie zostały udostępnione nieupoważnionym stronom trzecim bez ważnej podstawy prawnej. Ponadto firma nie określiła okresów przechowywania danych osobowych. Ponadto firma nie udzieliła użytkownikom wystarczających informacji o wielu aspektach przetwarzania ich danych osobowych oraz nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Wreszcie organ ochrony danych stwierdził, że firma nie przeprowadziła oceny skutków dla ochrony danych. Pod koniec dochodzenia organ ochrony danych nie tylko nałożył grzywnę, ale także nakazał podjęcie szeregu działań przez spółkę. Na przykład firma musi zdefiniować okresy przechowywania i wprowadzić funkcję informującą użytkowników, że ich rozmowy są nagrywane. link
Hiszpania 2022-12-03 300 EUR Stowarzyszenie Właścicieli Domów Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na stowarzyszenie właścicieli domów. Stowarzyszenie zainstalowało kilka kamer monitoringu wideo w całej dzielnicy mieszkalnej, które obejmowały między innymi obszar wspólny. Organ uznał to za naruszenie zasady minimalizacji danych link
Hiszpania 2022-12-03 600 EUR LORENT 2013, S.L Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę LORENT 2013, S.L. karę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. objęły również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2022-12-03 3.000 EUR INDECEMI, S.L. Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył na INDECEMI, S.L. grzywnę w wysokości 3 000 EUR. Osoba złożyła skargę do organu ochrony danych na administratora po otrzymaniu wiadomości e-mail od administratora zawierającej dane osobowe (imię, nazwisko, adres, numer telefonu itp.) .) innej osoby w kontekście reklamacji. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. link
Hiszpania 2022-11-29 3.000 EUR Firma Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych nałożył na firmę karę w wysokości 3000 euro. Ukarant y podmiozainstalował system nadzoru wideo, który rejestrował również głosy zarówno pracowników, jak i klientów. W toku dochodzenia organ stwierdził, że administrator nie miał ważnej podstawy prawnej do przetwarzania informacji o głosach w ramach monitoringu wizyjnego. Ponadto organ stwierdził, że administrator nie przekazał wystarczających informacji o monitoringu wizyjnym, w tym informacji o przetwarzaniu, tożsamości administratora oraz korzystaniu z praw osób, których dane dotyczą. link
Francja 2022-11-24 600.000 EUR ÉLECTRICITÉ DE FRANCE Art. 7 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO, Art. 21 RODO, Art. L. 34-5 CPCE Francuski organ ochrony danych nałożył grzywnę w wysokości 600 000 EUR na ÉLECTRICITÉ DE FRANCE (EDF), największego dostawcę energii elektrycznej we Francji. Organ ochrony danych otrzymał kilka skarg dotyczących trudności osób fizycznych w korzystaniu z ich praw przez EDF. Podczas dochodzenia organ ochrony danych stwierdził, że polityka prywatności EDF nie zawiera wystarczających informacji na temat różnych aspektów przetwarzania danych, takich jak okres przechowywania danych osobowych. Ponadto organ ochrony danych stwierdził, że firma EDF nie odpowiedziała na szereg żądań osób, których dane dotyczą, w odpowiednim czasie. Ponadto firma EDF nie przestrzegała prawa osób, których dane dotyczą, do sprzeciwu wobec żądań reklamowych w niektórych przypadkach. Ponadto organ ochrony danych zauważył, że EDF nie wykazała, że ​​uzyskała ważną zgodę osób, których dane dotyczą, w kontekście komercyjnej kampanii nagabywania. Wreszcie organ ochrony danych stwierdził, że EDF nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. EDF niepewnie przechowywał hasła do ponad 25 000 kont klientów. Ponadto firma jedynie zahaszowała, a nie „soliła” hasła do 2,4 miliona kont. link
Włochy 2022-11-10 500.000 EUR Vodafone Italia S.p.A. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 130 (1), (2), (3) Codice della privacy Włoski organ ochrony danych nałożył na Vodafone Italia S.p.A. grzywnę w wysokości 500 000 EUR. Klient złożył skargę do organu ochrony danych na firmę Vodafone. Z 80-letnim klientem skontaktowało się zewnętrzne call center na zlecenie Vodafone. W trakcie rozmowy call center zawarło z klientem nową umowę bez jego zgody. W toku dochodzenia organ stwierdził również, że klientka nie otrzymała wystarczających informacji o przetwarzaniu jej danych osobowych. Ponadto call center zbyt szybko odczytało informacje, przez co treść była niezrozumiała. Przy obliczaniu grzywny organ ochrony danych wziął pod uwagę jako okoliczność obciążającą to, że Vodafone dopuścił się już podobnych naruszeń w przeszłości. Fakt, że Vodafone natychmiast rozwiązał przedmiotową umowę, został jednak wzięty pod uwagę jako okoliczność łagodząca. link
Hiszpania 2022-11-29 500 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 500 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. objęły również przestrzeń publiczną, a ponadto opublikował zarejestrowany obraz na Facebooku. Organ uznał to za naruszenie zasady minimalizacji danych link
Rumunia 2022-11-25 3.000 EUR OTP LEASING ROMANIA IFN SA Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO Rumuński organ ochrony danych nałożył na OTP LEASING ROMANIA IFN SA karę w wysokości 3 000 euro. Administrator zgłosił naruszenie danych do urzędu ochrony danyc oobowych na podstawie art. 33 RODO. Osoba fizyczna poinformowała administratora, że ​​poprzez zmianę adresu URL i utworzenie konta administratora uzyskała nieautoryzowany dostęp do platformy informatycznej obsługiwanej przez administratora. Umożliwiło to osobie uzyskanie nieautoryzowanego dostępu do danych osobowych. Organ stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Spowodowało to nieupoważniony dostęp do danych osobowych. link
Irlandia 2022-11-25 265.000.000 EUR Meta Platforms Ireland Limited Art. 25 (1), (2) RODO Irlandzki organ ochrony danych nałożył na Meta Platforms Ireland Limited grzywnę w wysokości 265 mln euro. DPA wszczęła dochodzenie przeciwko Meta w 2021 r. po tym, jak doniesienia medialne wskazywały, że zbiór danych zawierający dane osobowe z Facebooka został udostępniony na platformie hakerskiej. Wyciek danych dotknął nawet 533 milionów użytkowników wraz z ich danymi, takimi jak numery telefonów i adresy e-mail. W ramach dochodzenia organ ochrony danych dokonał przeglądu i oceny narzędzi Facebook Search, Facebook Messenger Contact Importer i Instagram Contact Importer. Inspektor Ochrony Danych dokonał przede wszystkim przeglądu wdrożenia środków technicznych i organizacyjnych służących ochronie danych osobowych i stwierdził naruszenie art. 25 RODO link
Rumunia 2022-11-24 1.000 EUR Medicover S.R.L. Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 32 (4) RODO Rumuński UOKiK nałożył na Medicover S.R.L. karę pieniężną w wysokości 1000 EUR. Administrator zgłosił do urzędu ochrony danych osobowych naruszenie danych zgodnie z art. 33 RODO. Administrator nieumyślnie wysłał dokumenty zawierające dane osobowe do niewłaściwego odbiorcy. W rezultacie dane osobowe takie jak imię i nazwisko osoby, której dane dotyczą, adres korespondencyjny, adres e-mail oraz dane dotyczące stanu zdrowia zostały ujawnione bez upoważnienia. Organ ustalił, że do incydentów doszło na skutek niewdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. link
Rumunia 2022-11-21 20.000 EUR ING Bank NV Amsterdam Sucursala București Art. 32 (1), (2) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 20 000 euro na ING Bank NV Amsterdam Sucursala București. Bank zgłosił naruszenie danych do UODO na podstawie art. 33 RODO. Kilka danych osobowych klientów, takich jak dane dowodu osobistego, dane bankowe, dane kart bankowych itp., zostało uzyskanych i ujawnionych bez upoważnienia. Skutkowało to przeprowadzaniem transakcji płatniczych przez nieupoważnione osoby trzecie. W toku dochodzenia organ stwierdził, że bank nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co umożliwiło nieupoważniony dostęp. link
Hiszpania 2022-11-21 300 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną link
Portugalia 2022-11-02 180.000 EUR Gmina Setúbal Art. 5 (1) e), f) RODO, Art. 13 (1), (2) RODO, Art. 37 (1), (7) RODO Portugalski organ ochrony danych nałożył na gminę Setúbal grzywnę w wysokości 170 000 EUR. Organ ochrony danych wykrył naruszenia ochrony danych w zakresie gromadzenia danych osobowych od ukraińskich uchodźców. Gmina poprosiła uchodźców o wypełnienie formularza w momencie ich przyjazdu i podanie różnych danych osobowych, takich jak imię i nazwisko, data urodzenia, stan cywilny itp. Organ ochrony danych zauważył, że gmina nie poinformowała w wystarczającym stopniu danych tematy dotyczące przetwarzania danych. Ponadto organ stwierdził, że gmina nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych, a także nie określiła okresu przechowywania danych. Gmina nie wyznaczyła również inspektora ochrony danych. link
Rumunia 2022-11-18 300 EUR Stowarzyszenie Właścicieli Domów ul. Pipera 1-2E Art. 58 (1) RODO Rumuński organ ochrony danych (ANSPDCP) ukarał grzywną Stowarzyszenie Właścicieli Domów „Bld. Pipera 1-2E” 300 EUR za nieudzielenie informacji żądanych przez organ ochrony danych podczas dochodzenia. link
Francja 2022-11-10 800.000 EUR DISCORD INC. Art. 5 (1) e) RODO, Art. 13 RODO, Art. 25 (2) RODO, Art. 32 RODO, Art. 35 RODO Francuski organ ochrony danych nałożył grzywnę w wysokości 800 000 EUR na DISCORD INC. DISCORD oferuje usługę komunikacji online, za pośrednictwem której użytkownicy mogą rozmawiać lub prowadzić rozmowy wideo. W toku dochodzenia organ ochrony danych stwierdził, że firma nie ustaliła i nie przestrzegała okresu przechowywania danych odpowiedniego do celu przetwarzania. Na przykład w bazie danych DISCORD znajdowało się ponad dwa miliony kont francuskich użytkowników, którzy nie korzystali z konta przez ponad trzy lata, oraz około 50 000 kont, które nie były używane przez ponad pięć lat. Ponadto organ zauważył, że firma nie posiadała pełnych informacji dotyczących okresów przechowywania. Organ stwierdził również, że firma nie zapewniła domyślnie ochrony danych, co jest sprzeczne z obowiązkiem wynikającym z art. 25 ust. 2 RODO. W ten sposób możliwe było przesyłanie danych użytkownika nawet po zamknięciu aplikacji komunikacyjnej. Organ ochrony danych stwierdził również, że firma nie zapewniła wystarczającego bezpieczeństwa danych osobowych, akceptując niezabezpieczone hasła od użytkowników. Firma akceptowała hasła użytkowników, które składały się z sześciu znaków zawierających tylko litery i cyfry. Wreszcie organ ochrony danych stwierdził, że firma nie przeprowadziła oceny skutków dla ochrony danych. link
Rumunia 2022-11-16 28.000 EUR Raiffeisen Bank SA Art. 25 (1) RODO, Art. 32 (1), (2), (4) RODO Rumuński organ ochrony danych nałożył na Raiffeisen Bank SA karę w wysokości 28 tys. euro. Bank zgłosił kilka naruszeń danych na podstawie art. 33 RODO do organu ochrony danych. W toku dochodzenia DPA ustalił, że bank prowadził kwerendy w agencji kredytowej bez zgody osób, których dane dotyczą. Ponadto organ ochrony danych ustalił, że bank udzielił kredytu kilku klientom bez ubiegania się o niego przez klientów, których to dotyczy. Ponadto bank nieumyślnie przesłał dane osobowe osób, których dane dotyczą, do niewłaściwych odbiorców, umożliwiając im dostęp do danych. Organ stwierdził, że bank nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Spowodowało to nieupoważniony dostęp i/lub ujawnienie danych osobowych. link
Polska 2022-11-02 1.700 EUR Burmistrz Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO Polski organ ochrony danych nałożył na burmistrza gminy Dobrzyniewo Duże karę w wysokości 1700 euro. Burmistrz zgłosił naruszenie ochrony danych do Urzędu Ochrony Danych Osobowych na podstawie art. 33 RODO. Komputer służbowy pracownika, który zawierał dane osobowe, został skradziony. Podczas dochodzenia organ ochrony danych ustalił, że dane na komputerze nie były odpowiednio zabezpieczone, a gmina nie podjęła odpowiednich środków technicznych w celu ochrony danych osobowych. link
Węgry 2022-08-11 197.000 EUR AMPLIFON Hungary Trade and Service Provider LLC Art. 5 (1) b) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 14 RODO Węgierski organ ochrony danych nałożył grzywnę w wysokości 197 000 EUR na firmę AMPLIFON Hungary Trade and Service Provider LLC. Organ ochrony danych otrzymał skargi od kilku osób, których dane dotyczą, w związku z otrzymaniem niezamawianych zaproszeń na badanie przesiewowe słuchu. Podczas dochodzenia organ ochrony danych stwierdził, że firma kontaktowała się z osobami, których dane dotyczą, bez uprzedniego uzyskania ich zgody. Firma otrzymała dane z Ministerstwa Spraw Wewnętrznych do celów badania rynku. Organ ochrony danych stwierdził, że firma przetwarzała dane niezgodnie z prawem i niezgodnie z pierwotnym celem badania rynku. Ponadto organ stwierdził, że firma nie przekazała osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania danych.
Hiszpania 2022-11-15 80.000 EUR BANKINTER, S.A. Art. 5 (1) f) RODO, Art. 32 (1) RODO Hiszpański organ ochrony danych nałożył na BANKINTER, S.A. grzywnę. Osoba złożyła skargę do organu ochrony danych, ponieważ podczas uzyskiwania dostępu do konta bankowego zostały jej wyświetlone dane osobowe osoby trzeciej. Organ stwierdził, że nieuprawnione ujawnienie danych osób trzecich nastąpiło z powodu braku odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych w banku. Pierwotna kara w wysokości 100 000 EUR została obniżona do 80 000 EUR dzięki dobrowolnej wpłacie. link
Hiszpania 2022-11-11 3.600 EUR XASTRE DO PETO, S.L. Art. 6 (1) RODO, Art. 13 RODO, Art. 21 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 3600 EUR na XASTRE DO PETO, S.L. (restauracja). Osoba fizyczna złożyła skargę do organu ochrony danych w związku z tym, że administrator zażądał od niej wypełnienia formularza z danymi osobowymi w celu śledzenia kontaktów w kontekście pandemii Covid-19. Jednak w toku dochodzenia organ ochrony danych stwierdził, że podstawa prawna do gromadzenia danych kontaktowych w międzyczasie wygasła, a zatem administrator przetwarzał dane niezgodnie z prawem. Organ stwierdził również, że administrator nie udzielił osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania danych. Urząd Ochrony Danych Osobowych ustalił ponadto, że administrator nie zapewnił osobom, których dane dotyczą, łatwego sposobu wniesienia sprzeciwu wobec przetwarzania danych osobowych. link
Hiszpania 2022-11-11 48.000 EUR Banco Bilbao Vizcaya Argentaria S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, SA. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ zażądała informacji na temat jednego ze swoich kont, a następnie otrzymała informacje o umowie od osoby trzeciej. Organ stwierdził, że nieuprawnione ujawnienie danych osób trzecich wynikało z nieodpowiednich środków technicznych i organizacyjnych w banku. Pierwotna kara w wysokości 80 000 euro została obniżona do 48 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Hiszpania 2022-11-10 900 EUR Stowarzyszenie Właścicieli Domów Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na stowarzyszenie właścicieli domów. Stowarzyszenie zainstalowało kilka kamer monitoringu wideo w całej dzielnicy mieszkalnej, które obejmowały między innymi przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Pierwotna kara z 1500 euro została obniżona do 900 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Hiszpania 2022-11-10 300 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2022-11-03 70.000 EUR UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 70 000 EUR na UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC (UPS). Osoba złożyła skargę do organu ochrony danych, ponieważ firma UPS dostarczyła od niej paczkę sąsiadowi bez jej zgody. Organ uznał to za nieuprawnione ujawnienie ich danych, które wynikało z braku technicznych i organizacyjnych środków ochrony danych osobowych. Organ stwierdził również, że to nieuprawnione ujawnienie danych osobowych stanowiło naruszenie zasady integralności i poufności. link
Hiszpania 2022-10-31 525.000 EUR TECHPUMP SOLUTIONS S.L. Art. 5 (1) a), b), e) RODO, Art. 6 (1) RODO, Art. 8 RODO, Art. 12 (1), (2) RODO, Art. 13 RODO, Art. 25 RODO, Art. 30 (1) RODO, Art. 22 (2) LSSI Hiszpański organ ochrony danych nałożył na Techpump Solutions S.L. 525 000 EUR. Techpump prowadzi kilka stron internetowych z treściami dla dorosłych. Podczas dochodzenia organ ochrony danych wykrył kilka naruszeń prawa o ochronie danych. Po pierwsze, urząd ochrony danych stwierdził, że wbrew określonym informacjom w polityce prywatności, Techpump udostępniał dane osobowe użytkowników spółkom należącym do tej samej grupy. Ponadto organ stwierdził, że Techpump nie określił okresu przechowywania danych osobowych użytkowników i przechowywał je bezterminowo do czasu, gdy użytkownicy zażądali wycofania zgody. Techpump przetwarzał również dane osobowe użytkowników bez uprzedniego uzyskania ich zgody. Ponadto organ ochrony danych stwierdził, że Techpump nie zapewniał wystarczającej kontroli rodzicielskiej, aby uniemożliwić nieletnim poniżej 14 roku życia dostęp do jego treści. Ponadto polityka prywatności Techpump była dostępna tylko w języku angielskim, a nie hiszpańskim, a informacje nie były jasno zrozumiałe. Techpump wymagał również, aby osoby, które chciały skorzystać z praw osoby, której dane dotyczą, podały dane swojego dowodu osobistego w celu weryfikacji ich tożsamości. Organ ochrony danych uznał to za niedopuszczalną przeszkodę w wykonywaniu praw osób, których dane dotyczą. Wreszcie, Techpump gromadził również różne dane, takie jak adresy IP i dane WIFI, bez zdefiniowania celu ich przetwarzania. link
Hiszpania 2022-11-02 2.000 EUR Rapido Finance, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na Rapido Finance, S.L. grzywnę w wysokości 2000 EUR. Osoba, której dane dotyczą, otrzymała wiadomość od firmy działającej w imieniu Rapid Finance z prośbą o spłatę zaległych długów. Jednak osoba, której dane dotyczą, spłaciła już długi, co również zostało potwierdzone w orzeczeniu sądu. Z tego powodu urząd ochrony danych osobowych uznał, że ujawnienie danych osobowych osoby, której dane dotyczą, w celu nawiązania z nią kontaktu w sprawie uregulowania długu było niezgodne z prawem. link
Hiszpania 2022-11-02 5.000 EUR CÍTRICOS TANTA, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na CÍTRICOS TANTA, S.L. grzywnę w wysokości 5 000 EUR. Administrator wpisał dane osobowe pracownika do Generalnego Rejestru Pracowników Zakładu Ubezpieczeń Społecznych, mimo że pracownik nigdy nie pracował. Z tego powodu administrator byłby zobowiązany do anulowania wpisu osoby, której dane dotyczą, do rejestru w ciągu 72 godzin, czego administrator nie uczynił. W przypadku braku świadczenia pracy przez osobę, której dane dotyczą, administrator nie miał już podstawy prawnej do wprowadzenia danych do rejestru. W związku z tym organ uznał, że nieusunięcie danych stanowiło niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. link
Włochy 2022-08-05 1.000 EUR Colosseo S.r.l. Art. 5 (2) RODO, Art. 6 (1) a) RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 24 RODO Włoski organ ochrony danych nałożył na firmę Colosseo S.r.l. grzywnę w wysokości 1000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ administrator przesłał jej niezamówioną handlową wiadomość e-mail. Następnie osoba, której dane dotyczą, zażądała od administratora dostępu do swoich danych osobowych, usunięcia swoich danych osobowych oraz sprzeciwu wobec otrzymywania w przyszłości promocyjnych wiadomości e-mail. Administrator nie ustosunkował się jednak do żądań osoby, której dane dotyczą. link
Rumunia 2022-11-09 1.000 EUR SC Das Sense Society SRL Art. 58 (1) RODO Rumuński organ ochrony danych (ANSPDCP) ukarał SC Das Sense Society SRL grzywną w wysokości 1000 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych podczas dochodzenia link
Rumunia 2022-11-08 5.000 EUR SC Prestige Media PHG SRL Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO Rumuński organ ochrony danych nałożył na SC Prestige Media PHG SRL grzywnę w wysokości 5 000 EUR. Administrator opublikował na swojej stronie internetowej 23 dokumenty zawierające informacje o rozwiązaniu stosunku pracy oraz dane osobowe osób, których dane dotyczą. Niektóre osoby, których dane dotyczą, nie pozostawały w stosunku prawnym z administratorem link
Hiszpania 2022-10-31 56.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę na firmę Vodafone España, S.A.U. Pewna osoba złożyła skargę do organu ochrony danych za kilkukrotne bezskuteczne żądanie kopii umowy telefonicznej od firmy Vodafone. W końcu osoba otrzymała e-mail, ale z umową telefoniczną innego klienta. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności określonej w art. 5 ust. 1 lit. f) RODO. Ponadto organ stwierdził, że Vodafone nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co mogło zapobiec incydentowi. Pierwotna kara z 70 000 EUR została obniżona do 56 000 EUR dzięki dobrowolnej wpłacie. link
Rumunia 2022-11-07 2.000 EUR Poczta rumuńska Art. 32 (1) b), (2) RODO Rumuński organ ochrony danych nałożył na Pocztę Rumuńską grzywnę w wysokości 2000 EUR. The Post doznał naruszenia danych, w wyniku którego pracownicy stracili kilka przesyłek zawierających wyciągi emerytalne, świadectwa pracy i akty zgonu. Incydent dotknął 35 osób (odbiorców). Organ stwierdził, że Poczta nie wdrożyła odpowiednich środków technicznych i organizacyjnych w zakresie ochrony danych osobowych, które mogłyby zapobiec takiemu zdarzeniu link
Hiszpania 2022-11-02 25.000 EUR CAIXABANK S.A. Art. 16 RODO Hiszpański organ ochrony danych nałożył na CAIXABANK S.A. karę pieniężną w wysokości 25 000 euro. Osoba, której dane dotyczą, wielokrotnie i bezskutecznie prosiła o aktualizację swojego adresu zarejestrowanego w banku. Organ uznał to za naruszenie art. 16 RODO. link
Hiszpania 2022-10-31 70.000 EUR BANCO BILBAO VIZCAYA ARGENTARIA, S.A. Art. 5 (1) b) RODO, Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył na BANCO BILBAO VIZCAYA ARGENTARIA, S.A. grzywnę w wysokości 70 000 EUR. Klient banku złożył skargę do organu ochrony danych. Klient w przeszłości, jako pełnomocnik, wniósł pozew przeciwko bankowi przez swojego klienta, będącego również klientem banku. Bank wysłał wówczas klientowi odpowiedź, w której zamiast adresu służbowego osoby, której dane dotyczą, pełnomocnik nieumyślnie zanotował jej adres prywatny. W pierwszej kolejności organ stwierdził, że bank przetwarzał dane osobowe pełnomocnika w sposób niezgodny z celami, dla których dane te zostały zebrane (zarządzanie jego prywatnym kontem). Ponadto organ stwierdził, że do nieuprawnionego ujawnienia danych osobowych pełnomocnika doszło na skutek nieodpowiednich środków technicznych i organizacyjnych w banku. link
Hiszpania 2022-10-31 2.000 EUR Osoba prywatna Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył na członka rady pracowniczej grzywnę w wysokości 2000 EUR. Osoba ta wysłała protokoły posiedzeń rady pracowniczej do nieupoważnionych osób trzecich, które nie były członkami rady pracowniczej. W toku dochodzenia organ ochrony danych stwierdził, że dana osoba nie miała skutecznej podstawy prawnej do wysyłania e-maili link
Hiszpania 2022-09-01 10.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 10 000 EUR. Osoba ta opublikowała dane osobowe innej osoby na blogu bez jej zgody iw sposób zniesławiający link
Hiszpania 2022-09-23 1.200 EUR URBANO DIVERTIA, S.L. Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył karę pieniężną na URBANO DIVERTIA S.L. Klient złożył skargę do organu ochrony danych na otrzymanie od administratora dokumentu z danymi poprzedniego najemcy mieszkania, które obecnie wynajmował od administratora. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Pierwotna grzywna z 2000 euro została obniżona do 1200 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Włochy 2022-06-16 20.000 EUR Deutsche Bank S.p.A. Art. 12 (3) RODO, Art. 15 RODO Brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych. link
Hiszpania 2022-10-25 9.000 EUR EL RACO DEL PIS INVERSIONES S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 9 000 EUR na EL RACO DEL PIS INVERSIONES S.L. Administrator wysłał wiadomość e-mail z otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców są widoczne dla innych odbiorców. link
Hiszpania 2022-10-26 10.000 EUR ACKERMANN & SCHWARTZ ATTORNEYS AT LAW SLP Art. 6 (1) RODO, Art. 13 RODO Hiszpański organ ochrony danych nałożył na firmę ACKERMANN & SCHWARTZ ATTORNEYS AT LAW SLP karę pieniężną w wysokości 10 000 EUR. Kancelaria zbierała dane osobowe od użytkowników serwisu bez uzyskania ich zgody. Ponadto organ stwierdził, że polityka prywatności na stronie nie zawiera wystarczających informacji. Brakowało np. informacji o danych kontaktowych administratora oraz informacji o korzystaniu z praw osób, których dane dotyczą. link
Hiszpania 2022-10-17 35.000 EUR OES GLOBAL ENERGY S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył na OES GLOBAL ENERGY S.L. karę w wysokości 35 000 EUR. Klient administratora złożył skargę do organu po otrzymaniu od administratora wiadomości e-mail zawierającej dokumenty dotyczące rozwiązania umów na energię elektryczną innych odbiorców. Dokumenty te zawierały dane osobowe klientów, takie jak ich nazwiska i numery identyfikacyjne. Organ ochrony danych uznał to bezprawne ujawnienie danych osobowych za naruszenie zasady poufności i integralności, a także brak wystarczających środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. link
Włochy 2022-09-15 3.000 EUR Gmina Thiene Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych (Garante) nałożył na gminę Thiene grzywnę w wysokości 3000 euro. Były pracownik gminy złożył skargę do urzędu ochrony danych osobowych w związku z opublikowaniem na stronie internetowej gminy dokumentu zawierającego jego dane osobowe. Dokument zawierał informację o rozwiązaniu stosunku pracy link
Hiszpania 2022-10-24 8.000 EUR ADSL HOUSE, S.L. Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył na ADSL HOUSE, S.L. grzywnę w wysokości 8 000 EUR. Osoba, której dane dotyczą, otrzymywała od administratora telefony reklamowe, chociaż osoba, której dane dotyczą, była zarejestrowana na liście wykluczeń reklamowych firmy Robinson link
Hiszpania 2022-10-24 400 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 400 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2022-10-24 240 EUR Firma Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę karę pieniężną. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Pierwotna kara z 300 euro została obniżona do 240 euro z powodu dobrowolnej zapłaty link
Włochy 2022-07-21 20.000 EUR Acqua Novara.VCO S.p.a. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 20 000 EUR na Acqua Novara.VCO S.p.a. Grzywna jest związana z grzywną nałożoną na Clio S.r.l.. Clio zapewnia i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych, w tym Acqua Novara. W toku dochodzenia organ ustalił, że Acqua Novara przekazała Clio dane osobowe w związku ze zgłoszeniami informującymi o nieprawidłowościach, umożliwiając Clio ich gromadzenie i przechowywanie bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że Acqua Novara nie uregulowała odpowiednio swoich stosunków z Clio. link
Włochy 2022-07-21 5.000 EUR Gmina Ginosa Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych nałożył na gminę Ginosa grzywnę w wysokości 5000 euro. Grzywna jest związana z grzywną nałożoną na Clio S.r.l. Clio zapewnia i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych, w tym gminy Ginosa. Podczas dochodzenia organ ochrony danych stwierdził, że gmina przekazała Clio dane osobowe w związku ze zgłoszeniami informującymi o nieprawidłowościach, umożliwiając Clio ich gromadzenie i przechowywanie bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że gmina nie uregulowała odpowiednio swoich stosunków z Clio. link
Włochy 2022-07-21 10.000 EUR Clio S.r.l. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych nałożył na Clio S.r.l. grzywnę w wysokości 10 000 EUR. Clio dostarcza i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych. W ramach dochodzenia organ ochrony danych stwierdził, że Clio nie uregulowało odpowiednio swoich relacji z klientami. Ponadto Clio bez ważnej podstawy prawnej przekazywało klientom dane o zgłoszeniach whistleblowingowych. Organ uznał to za naruszenie art. 5 ust. 1 lit. a) RODO i art. 6 RODO. Ponadto organ stwierdził, że Clio nie prowadziło rejestru działalności prowadzonej w charakterze podmiotu przetwarzającego. Organ uznał to za naruszenie art. 30 ust. 2 RODO. link
Włochy 2022-10-06 15.000 EUR Servizio Idrico Integrato S.c.p.a. Art. 5 (1) f) RODO, Art. 32 RODO Włoski organ ochrony danych ukarał grzywną Servizio Idrico Integrato S.c.p.a. 15 000 EUR. Administrator prowadził stronę internetową, na której przetwarzane były dane osobowe bez użycia formularza SSL. Organ ochrony danych stwierdził, że użycie formularza SSL byłoby konieczne dla bezpieczeństwa danych. Uznał zatem, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Wielka Brytania 2022-10-19 5.033.000 EUR Interserve Group Limited Art. 5 (1) f) RODO, Art. 32 RODO Brytyjski DPA nałożył na grupę budowlaną Interserve Group Limited grzywnę w wysokości 5 033 000 EUR. Administrator zawiadomił organ ochrony danych o naruszeniu ochrony danych na podstawie art. 33 RODO. Firma Interserve padła ofiarą cyberataku, w którym napastnicy wysłali wiadomość phishingową na skrzynkę pocztową zespołu księgowego Interserve. Poczta została otwarta przez pracownika, który również pobrał i otworzył załączony plik ZIP. Umożliwiło to atakującym zainstalowanie złośliwego oprogramowania i wyprowadzenie danych osobowych od 113 000 pracowników. Wyciągnięte dane zawierały między innymi informacje o kontach bankowych, numery ubezpieczenia społecznego, pochodzenie etniczne, orientację seksualną i religię osób, których dane dotyczą. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że niewystarczające środki bezpieczeństwa umożliwiły przeprowadzenie ataku. Na przykład pracownicy Interservere nie zostali odpowiednio przeszkoleni w zakresie prywatności danych. Ponadto firma Interserve przetwarzała dane osobowe w nieobsługiwanych systemach operacyjnych, które nie podlegały już aktualizacjom zabezpieczeń w celu wyeliminowania luk w systemie. Ponadto firma Interserve nie przeprowadziła odpowiednich skanów pod kątem luk w zabezpieczeniach. Wreszcie zespół ds. bezpieczeństwa informacji firmy Interserve nie zbadał dostatecznie ataku, ponieważ oprogramowanie antywirusowe poinformowało, że złośliwe oprogramowanie zostało usunięte. link
Włochy 2022-09-15 10.000 EUR Bper Banca S.p.A. Art. 12 RODO Włoski organ ochrony danych nałożył na Bper Banca S.p.A. karę w wysokości 10 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z niewypełnieniem przysługującego jej prawa do usunięcia danych osobowych. Osoba fizyczna zwróciła się do banku o usunięcie jej danych osobowych przetwarzanych przez bank. Następnie bank poprosił osobę, której dane dotyczą, o przesłanie dokumentów tożsamości w celu weryfikacji jej tożsamości w celu realizacji jej żądania. Osoba, której dane dotyczą, przekazała swoje dane, ale nie otrzymała odpowiedzi na żądanie usunięcia. Z tego powodu urząd ochrony danych uznał, że Bank naruszył art. 12 RODO, nie odpowiadając na żądanie w odpowiednim czasie. link
Hiszpania 2022-10-20 1.000 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1000 EUR. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych link
Grecja 2022-10-03 20.000 EUR NATIONAL BANK OF GREECE S.A. Art. 13 RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 20 000 EUR na NATIONAL BANK OF GRECE S.A. W kontekście korzystania z niektórych kart debetowych/kredytowych informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów . Informacje te można było później odczytać. Organ ochrony danych stwierdził, że bank nie poinformował klientów, których to dotyczy, o przechowywaniu informacji o transakcjach, a tym samym naruszył art. 13 RODO link
Grecja 2022-10-03 20.000 EUR PIRAEUS BANK S.A. Art. 13 RODO Grecki organ ochrony danych nałożył na PIRAEUS BANK S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te można było później odczytać. Organ ochrony danych stwierdził, że bank nie poinformował klientów, których to dotyczy, o przechowywaniu informacji o transakcjach, a tym samym naruszył art. 13 RODO. link
Grecja 2022-10-03 20.000 EUR EUROBANK ERGASIAS S.A. Art. 13 RODO Grecki organ ochrony danych nałożył na EUROBANK ERGASIAS S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych / kredytowych informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te można było później odczytać. Organ ochrony danych stwierdził, że bank nie poinformował klientów, których to dotyczy, o przechowywaniu informacji o transakcjach, a tym samym naruszył art. 13 RODO. link
Grecja 2022-10-03 20.000 EUR ALFA BANK S.A. Art. 13 RODO Grecki organ ochrony danych nałożył na ALFA BANK S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych / kredytowych informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te można było później odczytać. Organ ochrony danych stwierdził, że bank nie poinformował klientów, których to dotyczy, o przechowywaniu informacji o transakcjach, a tym samym naruszył art. 13 RODO. link
Grecja 2022-09-09 15.000 EUR Szkoła Art. 5 (1) a), b) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODO Grecki organ ochrony danych nałożył na szkołę grzywnę w wysokości 15 000 EUR. Szkoła zainstalowała w budynku kilka kamer monitorujących, które na stałe rejestrowały uczniów, nauczycieli i gości. Podczas dochodzenia organ ochrony danych stwierdził, że szkoła nie miała wystarczającej podstawy prawnej do monitoringu wideo. W związku z szeroko zakrojonym monitoringiem wizyjnym i wynikającym z tego ograniczeniem dóbr osobistych osób, których dane dotyczą, szkoła nie mogła powoływać się na prawnie uzasadniony interes (ochrona mienia). Ponadto organ stwierdził, że administrator naruszył swój obowiązek informacyjny, informując nauczycieli i rodziców jedynie ustnie iw sposób niekompletny o systemie monitoringu wizyjnego. link
Grecja 2022-09-22 3.000 EUR Stacja paliw Art. 12 RODO, Art. 14 RODO Grecki organ ochrony danych nałożył na operatora stacji benzynowej karę w wysokości 3000 euro. Osoba złożyła skargę do Urzędu Ochrony Danych Osobowych w związku z nieudzieleniem przez administratora dostępu do wizerunków jej małoletniego dziecka zarejestrowanych przez system monitoringu na stacji benzynowej. Organ uznał to za naruszenie art. 12 RODO. Ponadto operator udostępnił policji zdjęcia z systemu monitoringu wideo w trakcie policyjnego śledztwa, nie informując o tym rodzica. Organ uznał, że brak poinformowania rodzica stanowił naruszenie art. 14 RODO. link
Włochy 2022-09-15 2.000 EUR Immobiliare Riscostruzione Meloria s.r.l. Art. 5 (1) a) RODO, Art. 13 RODO Włoski organ ochrony danych nałożył na Immobiliare Riscostruzione Meloria s.r.l. grzywnę w wysokości 2000 euro. Ukarany podmiot zainstalował w swoim biurze system monitoringu, który obejmował części wspólnego wejścia do budynku, a tym samym rejestrował również mieszkańców budynku. W toku śledztwa organ stwierdził, że tabliczka informacyjna dotycząca monitoringu wizyjnego nie zawierała wystarczających informacji o celu przetwarzania danych osobowych oraz danych kontaktowych administratora danych. link
Hiszpania 2022-10-17 6.000 EUR Firma Art. 6 RODO Hiszpański organ ochrony danych nałożył na firmę karę w wysokości 6 000 euro. Administrator danych zainstalował kamery monitoringu wideo, które również rejestrowały dźwięk. Organ ochrony danych stwierdził jednak, że administrator nie miał wystarczającej podstawy prawnej do inwigilacji, w związku z czym nagrania zostały uzyskane niezgodnie z prawem link
Rumunia 2022-10-18 150 EUR Osoba prywatna Art. 6 (1) a) RODO Rumuński organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 150 euro. Osoba ta wykorzystała nieuprawnione dane osobowe innej osoby bez jej zgody link
Rumunia 2022-10-18 2.000 EUR SC Materiale Constructii Online SRL Art. 58 (1) RODO Rumuński organ ochrony danych (ANSPDCP) ukarał SC Materiale Constructii Online SRL grzywną w wysokości 2000 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych podczas dochodzenia link
Francja 2022-10-17 20.000.000 EUR Clearview Al Inc. Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODO, Art. 31 RODO Francuski organ ochrony danych ukarał Clearview Al Inc. grzywną w wysokości 20 000 000 EUR. Firma posiada bazę danych zawierającą ponad 20 miliardów wizerunków twarzy (w tym francuskich mieszkańców i obywateli) z całego świata. Dane są zbierane online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych wyodrębnionych z obrazów. Profile poszczególnych osób można wzbogacić o informacje związane z tymi obrazami, takie jak znaczniki obrazów i geolokalizacja. W toku prowadzonego postępowania IOD stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że Clearview AI ograniczyła korzystanie z praw osób, których dane dotyczą. Na przykład ograniczył wykonywanie praw osób, których dane dotyczą, do dwóch razy w roku bez uzasadnienia. Ponadto osoby, których dane dotyczą, musiały złożyć kilka wniosków, zanim udzielono odpowiedzi na jeden. Ponadto na prośby często nie udzielano odpowiedzi lub udzielano odpowiedzi w sposób niewystarczający. Wreszcie DPA skrytykował współpracę Clearview AI. Firma w ogóle nie odpowiedziała na formularze dochodzeniowe lub odpowiedziała bardzo niekompletnie. link
Hiszpania 2022-10-17 50 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 500 euro. Osoba ta zainstalowała na swojej posesji kamery monitoringu, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. AEPD uznał, że tak rozbudowany monitoring wizyjny stanowił naruszenie zasady minimalizacji danych. link
Hiszpania 2022-10-19 5.000 EUR RESTEXPERIENCE, S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych ukarał RESTEXPERIENCE, S.L. 5000 EUR. Administrator przypadkowo wysłał wiadomość e-mail zawierającą informacje podatkowe 36 osób do 11 osób nieupoważnionych. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Stwierdzono również, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Włochy 2022-07-07 20.000 EUR Intesa Sanpaolo Vita S.p.a. Art. 5 (1) a), f) RODO Włoski organ ochrony danych ukarał Intesa Sanpaolo Vita S.p.a. 20 000 EUR. Osoba, której dane dotyczą, która wykupiła u administratora polisę ubezpieczeniową na życie, złożyła skargę do organu ochrony danych na administratora w związku z nieuprawnionym ujawnieniem jej danych osobowych. W toku dochodzenia organ ustalił, że administrator bez upoważnienia udostępnił dane osobowe, takie jak imię, nazwisko oraz informacje o polityce, podmiotom trzecim. Do nieautoryzowanego ujawnienia doszło w wyniku błędu pracownika. link
Hiszpania 2022-10-17 180 EUR INMUR JOYEROS, S.L. Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę na spółkę INMUR JOYEROS, S.L. Administrator nie dostarczył zawiadomienia z informacją o monitoringu wideo w swoich obiektach. Pierwotna grzywna w wysokości 300 euro została obniżona do 180 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Węgry 2022-07-08 1.500 EUR Lekarz Art. 5 (1) RODO, Art. 12 (2) RODO, Art. 13 (1) GDPR Węgierski organ ochrony danych nałożył na lekarza grzywnę w wysokości 1500 euro. Pacjentka poprosiła lekarza o przesłanie pełnej dokumentacji medycznej, w tym dokumentacji obrazowej oraz formularzy zgody na opiekę położniczą. Jednak lekarz nie zastosował się do tej prośby
Włochy 2022-08-05 20.000 EUR Cosmopol Security S.p.A. Art. 12 (3) RODO, Art. 15 RODO Włoski organ ochrony danych nałożył na firmę Cosmopol Security S.p.A. grzywnę w wysokości 20 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych na administratora. Osoba fizyczna otrzymywała faktury, nie będąc nigdy w stosunku umownym ze spółką. W związku z tym osoba, której dane dotyczą, zażądała informacji o pochodzeniu jej danych osobowych. Administrator nie odpowiedział jednak na żądanie osoby, której dane dotyczą, w odpowiednim czasie. link
Hiszpania 2022-10-14 12.000 EUR SEAN SERIOS S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na firmę SEAN SERIOS S.L. grzywnę w wysokości 12 000 EUR. Administrator opublikował wyniki postępowania kwalifikacyjnego na stronie internetowej. Obejmowało to między innymi dane osobowe uczestników, takie jak nazwisko, imię i wynik w procesie selekcji. W toku dochodzenia organ stwierdził, że administrator nie miał wystarczającej podstawy prawnej do opublikowania danych. link
Węgry 2022-10-05 72.500 EUR Bank Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO Węgierski organ ochrony danych nałożył na bank karę w wysokości 72 500 euro. Jedna osoba złożyła skargę do DPA. Bank przeprowadził kontrolę kredytową tej osoby na podstawie wniosku kredytowego. Jednak bank przeprowadził później drugą kontrolę kredytową, chociaż osoba fizyczna nie poprosiła o nową ofertę kredytową. Organ ochrony danych stwierdził zatem, że ta druga kontrola kredytowa została przeprowadzona niezgodnie z prawem ze względu na brak podstawy prawnej.
Grecja 2022-08-08 5.000 EUR IDIKA SA Art. 5 (1) e) RODO, Art. 25 RODO Grecki organ ochrony danych nałożył na IDIKA SA karę w wysokości 10 000 EUR. IDIKA działała w kontekście dostarczania bezpłatnych testów na COVID-19. Organ stwierdził, że IDIKA w ramach czynności przetwarzania nie informowała w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych. Ponadto IDIKA przechowywała dane osobowe dłużej niż było to konieczne i nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Belgia 2022-08-19 20.000 EUR Laboratorium Medyczne Art. 5 (1) f) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 32 RODO, Art. 35 (1), (3) RODO Belgijski organ ochrony danych nałożył na laboratorium medyczne grzywnę w wysokości 20 000 euro. W toku dochodzenia organ stwierdził, że laboratorium nie przeprowadziło oceny skutków dla ochrony danych, a tym samym naruszyło art. 35 RODO. Ponadto laboratorium naruszyło art. 5 ust. 1 lit. f) RODO i art. 32 RODO, ponieważ lekarze mogli przeglądać dane osobowe pacjentów na stronie internetowej bez szyfrowania. Ostatecznie organ stwierdził, że laboratorium nie opublikowało oświadczenia o ochronie prywatności na swojej stronie internetowej, co stanowi naruszenie art. 12 RODO, art. 13 RODO i art. 14 RODO. link
Grecja 2022-09-06 5.000 EUR EDYTE SA Art. 29 RODO Grecki organ ochrony danych nałożył na EDYTE SA karę w wysokości 5 000 EUR. EDYTE, jako podmiot przetwarzający, w sposób niezgodny z prawem udostępnił dane osobowe podmiotom trzecim bez upoważnienia administratora danych. link
Rumunia 2022-09-21 5.000 EUR Curtea Veche Publishing SRL Art. 32 (1) b), c) RODO, Art. 32 (2) RODO Rumuński organ ochrony danych nałożył na Curtea Veche Publishing SRL grzywnę w wysokości 5 000 EUR. Administrator zgłosił dwa naruszenia ochrony danych do Urzędu Ochrony Danych Osobowych na podstawie art. 33 RODO. W przypadku pierwszego naruszenia danych administrator nieumyślnie opublikował na forum publicznym plik zawierający bazę danych klientów. Doprowadziło to do nieupoważnionego ujawnienia danych osobowych, takich jak imię, nazwisko, numer telefonu, adres e-mail, hasło w postaci zaszyfrowanej oraz adres IP 10 793 klientów. Drugie naruszenie ochrony danych dotyczyło ataku typu ransomware, w wyniku którego uzyskano nieautoryzowany dostęp oraz utratę integralności i dostępności danych osobowych około 100 osób, których dane dotyczą. W toku dochodzenia organ stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. To niewdrożenie środków ochronnych umożliwiło wystąpienie naruszeń danych. link
Włochy 2022-09-01 4.000 EUR Liceo Statale 'Edoardo Amaldi” Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy, Art. 2-septies (8) Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 4000 EUR na szkołę „Edoardo Amaldi”. Szkoła opublikowała na stronie internetowej szkoły okólnik dotyczący wakacji letnich, który zawierał dokładne daty urlopów pracowników szkoły. link
Rumunia 2022-10-03 150 EUR Operator strony internetowej Art. 5 (1) a), f) RODO, Art. 6 (1) a) RODO Rumuński organ ochrony danych nałożył na operatora strony internetowej karę w wysokości 150 euro. Administrator opublikował nieuprawnione dane osobowe, takie jak numer telefonu, numer i seria dowodu osobistego, adres e-mail, dane bankowe oraz stan cywilny 383 osób fizycznych. link
Hiszpania 2022-10-04 600 EUR Stowarzyszenie Właścicieli Domów Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 600 euro na stowarzyszenie właścicieli domów. Ukarany podmiot zainstalował system nadzoru wideo, który rejestrował zarówno obraz, jak i dźwięk. W trakcie dochodzenia organ ochrony danych stwierdził, że system nadzoru wideo zarejestrował między innymi części wspólnego obszaru. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto organ stwierdził, że administrator nie wywiązał się w wystarczającym stopniu z obowiązków informacyjnych wynikających z art. 13 RODO w zakresie nadzoru wideo. link
Hiszpania 2022-10-09 64.000 EUR EVERIS SPAIN S.L Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył na EVERIS SPAIN S.L. karę pieniężną. Everis opublikował informacje o sprzedanych danych użytkowników firmy ubezpieczeniowej oraz rekordy z danymi osobowymi hiszpańskich klientów firmy ubezpieczeniowej. Organ ochrony danych uznał to za naruszenie poufności danych. Organ stwierdził również, że bezprawna publikacja danych była możliwa m.in. ze względu na brak technicznych i organizacyjnych środków ochrony danych osobowych w momencie naruszenia danych. Pierwotna kara z 80 000 EUR została obniżona do 64 000 EUR w związku z dobrowolną opłatą. link
Hiszpania 2022-10-09 6.000 EUR UNION DE OFICIALES DE LA GUARDIA CIVIL PROFESIONAL Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 6 000 EUR na stowarzyszenie UNION DE OFICIALES DE LA GUARDIA CIVIL PROFESIONAL. Osoba złożyła skargę do organu ochrony danych, ponieważ administrator skontaktował się z nią, mimo że nie była ona członkiem stowarzyszenia ani nie wyraziła zgody na kontakt w inny sposób link
Hiszpania 2022-10-09 800 EUR Firma Art. 6 (1) e) RODO, Art. 13 RODO Hiszpański organ ochrony danych nałożył na firmę karę w wysokości 800 euro. Ukarany podmiot zainstalował kamery monitoringu bez uzyskania pozwolenia na instalację. Ponadto administrator nie umieścił oznaczeń dotyczących monitoringu z danymi kontaktowymi administratora danych link
Hiszpania 2022-10-09 900 EUR Osoba prywatna Art. 5 (1) f) RODO, Art. 32 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na osobę prywatną. Osoba nieupoważniona wysłała e-maile z danymi osobowymi do kilku odbiorców z otwartej listy dystrybucyjnej. Dzięki temu odbiorcy mogli przeglądać adresy e-mail wszystkich pozostałych odbiorców. Pierwotna grzywna z 1200 euro została obniżona do 900 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności link
Islandia 2022-05-03 10.600 EUR HEI – Medical Travel Art. 15 (1), (3) RODO, Art. 9 (1) Act 90/2018, Art. 17 (2) Act 90/2018 Islandzki organ ochrony danych nałożył na HEI – Medical Travel karę w wysokości 10 600 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora. Administrator uzyskał dostęp do poczty elektronicznej osoby, której dane dotyczą, za pośrednictwem wewnętrznej strony internetowej Islandzkiego Stowarzyszenia Medycznego, a następnie wysłał jej niechciane wiadomości e-mail. Organ stwierdził, że taki dostęp był niezgodny z prawem ze względu na brak ważnej podstawy prawnej. Ponadto osoba, której dane dotyczą, zwróciła się do administratora o informacje dotyczące przetwarzania jej danych osobowych, takie jak pochodzenie adresu e-mail. Administrator nie spełnił tego żądania należycie link
Estonia 2022-08-17 56 EUR Pracownik służby zdrowia Art. 5 RODO, Art. 6 RODO Dostęp do danych osobowych w bazie danych dotyczących zdrowia na potrzeby prywatnych działań badawczych. link
Hiszpania 2022-10-09 24.000 EUR CAJA DE SEGUROS REUNIDOS, COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na CAJA DE SEGUROS REUNIDOS, COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Osoba, której dane dotyczą, wykupiła u administratora polisę ubezpieczeniową, której beneficjentem był jej ówczesny partner życiowy. Po separacji były partner życiowy zwrócił się do administratora o zmianę wpisu obciążenia składki z konta osoby, której dane dotyczą, na jej konto. Administrator dokonał tej zmiany bez zgody osoby, której dane dotyczą. Organ ochrony danych uznał to za bezprawną zmianę danych osobowych osoby, której dane dotyczą. Pierwotna grzywna z 40 000 euro została obniżona do 24 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Hiszpania 2022-10-09 4.000 EUR PUNTO BADAL-BCN S.L. Art. 5 (1) f) RODO, Art. 32 (1) RODO Hiszpański organ ochrony danych nałożył karę na agencję nieruchomości PUNTO BADAL-BCN S.L. Administrator wysłał e-maile marketingowe do kilku osób z otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców były widoczne dla innych odbiorców. Pierwotna kara z 5 000 EUR została obniżona do 4 000 EUR w związku z dobrowolną opłatą link
Włochy 2022-07-07 45.000 EUR Senseonics Inc. Art. 5 (1) a), b), f) RODO, Art. 6 RODO, Art. 7 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 27 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 45 000 euro na firmę Senseonics Inc. Firma zgłosiła naruszenie ochrony danych zgodnie z art. 33 RODO polegający na przypadkowym wysłaniu przez pracownika kampanii informacyjnej pocztą elektroniczną do dużej liczby odbiorców na otwartej liście dystrybucyjnej. Umożliwiło to wszystkim odbiorcom przeglądanie adresów e-mail innych odbiorców. Odbiorcami e-maili byli chorzy na cukrzycę, co umożliwiło uzyskanie informacji o stanie zdrowia osób, których dane dotyczą, za pośrednictwem e-maili. W trakcie dochodzenia organ ochrony danych zidentyfikował również inne naruszenia prywatności związane z produkowanym przez firmę systemem monitorowania glukozy. Pobierając aplikację monitorującą, użytkownicy musieli jednym kliknięciem zaakceptować zarówno umowne warunki użytkowania, jak i treść polityki prywatności. Nie pozwalało im to na odrębne wyrażenie zgody na poszczególne operacje przetwarzania, w tym na przetwarzanie danych dotyczących zdrowia. Ponadto organ stwierdził, że firma naruszyła zasady uczciwości i przejrzystości, dostarczając użytkownikom mylących, a czasem błędnych informacji dotyczących przetwarzania danych osobowych. Ponadto firma nie wyznaczyła swojego przedstawiciela w Unii Europejskiej jako osoby kontaktowej we wszystkich kwestiach związanych z ochroną danych. link
Włochy 2022-09-15 100.000 EUR Region Lacjum Art. 5 (1) a), d) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 RODO Włoski organ ochrony danych nałożył na region Lacjum grzywnę w wysokości 100 000 euro. Osoba złożyła skargę do DPA, ponieważ otrzymała zaproszenie od regionalnego organu ds. zdrowia do udziału w programie badań przesiewowych w kierunku raka szyjki macicy, skierowanym do jej zmarłej w 1995 r. córki. dane nadal znajdowały się w bazie danych regionu, mimo że już zmarła. Z tego powodu organ stwierdził, że Region naruszył zasady rzetelności i poprawności. Jako właściciel danych, Region powinien był upewnić się, że dane osobowe były dokładne iw razie potrzeby aktualizowane, a także podjąć wszelkie uzasadnione kroki w celu usunięcia lub poprawienia informacji, których używał, w odpowiednim czasie. Oprócz powyższego Garante stwierdził również, że Region nie przekazał osobom, których dane dotyczą, wymaganych informacji o przetwarzaniu ich danych osobowych podczas wysyłania zaproszeń do kampanii badań przesiewowych w kierunku raka szyjki macicy. Nakładając grzywnę, organ ochrony danych wziął pod uwagę jako okoliczność obciążającą okoliczność, że region został już ukarany grzywną. link
Wielka Brytania 2022-10-04 1.547.000 EUR Easylife Ltd. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 (1) c) RODO, Regulation 21 PECR Brytyjski organ ochrony danych nałożył grzywnę w wysokości 1 547 000 EUR na Easylife Ltd. Easylife jest sprzedawcą detalicznym, który sprzedaje artykuły gospodarstwa domowego, a także usługi i produkty w ramach swoich klubów zdrowotnych, motoryzacyjnych, superkartowych i ogrodniczych. Przy zakupie niektórych produktów firma przyjmowała założenia dotyczące stanu zdrowia klienta, po czym klientowi proponowano telefonicznie lub SMS-em kolejne produkty do zakupu, które były związane z jego stanem zdrowia. Spośród 122 produktów w katalogu Easylife Health Club 80 zostało sklasyfikowanych jako „produkty wyzwalające”. Gdy klienci kupili te produkty, Easylife utworzyło ich profil, aby skierować do nich produkt związany ze zdrowiem. Podczas dochodzenia organ ochrony danych stwierdził, że firma zgromadziła i wykorzystała dane osobowe (dane dotyczące zdrowia) łącznie 145 500 osób, których dane dotyczą, bez ich zgody, a nawet wiedzy. Organ ochrony danych stwierdził, że to „niewidoczne” przetwarzanie danych osobowych stanowiło poważne naruszenie praw osób, których dane dotyczą, ponieważ nie były one w ogóle w stanie korzystać ze swoich praw do prywatności i ochrony danych z powodu braku wiedzy o przetwarzaniu. Ponadto firma wykonała 1 345 732 niezamawianych rozmów marketingowych z osobami fizycznymi bez ich zgody na rozmowy. Organ ochrony danych uznał to za naruszenie PECR link
Hiszpania 2022-10-04 6.000 EUR Club Náutico el Estacio Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Club Náutico el Estacio grzywnę w wysokości 6000 EUR. Osoba, której dane dotyczą, złożyła skargę na administratora do AEPD. Podstawą reklamacji jest fakt, że administrator zamieścił na swojej stronie internetowej ogłoszenie i protokół zwyczajnego zebrania klubu, ujawniając dane osobowe bez ograniczeń dostępu link
Dania 2021-08-17 20.100 EUR EUR Duńska Agencja Imigracyjna Art. 5 (1) f) RODO, Art. 32 RODO Duński organ ochrony danych nałożył na Duńską Agencję Imigracyjną grzywnę w wysokości 20 100 EUR. Doniesienia medialne zwróciły uwagę DPA na możliwe błędy w logowaniu w jednym z systemów informatycznych agencji, które mogą mieć wpływ na prawa i wolności mieszkańców. W związku z tym DPA wszczął dochodzenie w agencji. Wiosną i latem 2020 r. w systemach agencji doszło do kilku incydentów bezpieczeństwa, w wyniku których doszło do utraty zapisów danych. Utrata danych doprowadziła do wszczęcia postępowań wobec części mieszkańców w sprawie obniżenia świadczeń pieniężnych oraz zgłoszenia na policję części mieszkańców w związku z nieprzestrzeganiem przepisów ustawy o cudzoziemcach. Podczas dochodzenia DPA stwierdził, że brak środków technicznych i organizacyjnych umożliwił zajście incydentu. Na przykład agencja nie tworzyła odpowiednich kopii zapasowych przetwarzanych danych, chociaż byłoby to konieczne ze względu na konsekwencje prawne, jakie utrata danych mogłaby oznaczać dla imigrantów. link
Austria 1905-07-13 600 EUR Osoba prywatna Art. 5 (1) a) RODO, Art. 9 (1), (2) RODO Austriacki organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 600 euro. Osoba ta skontaktowała się z placówką publiczną, aby zwrócić jej uwagę, że oświadczenie wychowawczyni przedszkola, że ​​jest w 50% niepełnosprawna nie odpowiada rzeczywistości. W tym celu osoba złożyła zawiadomienie sądowe, które zawierało dane dotyczące stanu zdrowia osoby, której dane dotyczą. W toku prowadzonego dochodzenia organ stwierdził, że przekazanie protokołu sądowego stanowiło niezgodne z prawem przetwarzanie danych osobowych nauczyciela przedszkola.
Austria 1905-07-13 Nieznna Osoba prywatna Art. 5 (1) a), c) RODO Austriacki organ ochrony danych ukarał grzywną osobę prywatną. Osoba ta zainstalowała system monitoringu wizyjnego, który między innymi rejestrował również przestrzeń publiczną i przechowywał obrazy przez zbyt długi czas
Hiszpania 2022-09-28 31.200 EUR BAYARD REVISTAS, S.A. Art. 5 (1) f) RODO, Art. 32 RODO, Art. 33 RODO Hiszpański organ ochrony danych nałożył na Bayard Revistas S.A. karę pieniężną. Nieupoważnione osoby uzyskały dostęp do bazy danych Bayard i tym samym nieuprawnione wydobyły dane lokalizacyjne i kontaktowe użytkowników bazy. Incydent dotknął około 470 000 użytkowników. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że luka w zabezpieczeniach systemów administratora umożliwiła wystąpienie incydentu. Pierwotna grzywna z 52 000 euro została obniżona do 31 200 euro w związku z dobrowolnym uiszczeniem opłaty i przyznaniem się do winy. link
Włochy 2022-07-21 3.000 EUR Azienda Socio Sanitaria Territoriale Rhodense Art. 5 (1) f) RODO, Art. 32 RODO Włoski organ ochrony danych ukarał Azienda Socio Sanitaria Territoriale Rhodense grzywną w wysokości 3000 EUR. Zakład opieki zdrowotnej zgłosił utratę dokumentacji medycznej pacjenta. Zbiór zawierał dane osobowe takie jak nazwisko, imię, płeć, data i miejsce urodzenia, NIP, miejsce zamieszkania, numery telefonów osoby, której dane dotyczą. Organ ustalił, że przyczyną zdarzenia był brak technicznych i organizacyjnych środków ochrony danych osobowych w zakładzie opieki zdrowotnej. link
Włochy 2022-07-21 10.000 EUR Stay over s.r.l. Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 114 Codice della privacy Włoski organ ochrony danych ukarał Stay Over s.r.l. 10 000 EUR. Były pracownik złożył skargę do DPA. Spółka nie udzieliła terminowej odpowiedzi na żądanie dostępu do danych osobowych. Ponadto, po ustaniu stosunku pracy, bez zgody pracownika, spółka kontynuowała przetwarzanie danych ze skrzynki pocztowej pracownika. link
Włochy 2022-07-21 2.000 EUR Global Service s.r.l. Art. 5 (1) a) RODO, Art. 13 RODO Włoski organ ochrony danych ukarał Global Service s.r.l grzywną. 2000 EUR. Administrator zainstalował w swoim lokalu kamery monitoringu, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring. Organ stwierdził, że administrator naruszył ciążący na nim obowiązek informacyjny określony w RODO link
Włochy 2022-07-28 2.000 EUR Auto Hi-Fi System S.n.c Art. 5 (1) a), c) RODO, Art. 13 RODO Włoski organ ochrony danych ukarał Auto Hi-Fi System S.n.c grzywną w wysokości 2000 euro. Ukarany podmiot zainstalował system monitoringu, który obejmował nie tylko drogę publiczną, ale także prywatną posesję. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ukarany podmiot nie umieścił również tabliczki z informacją o monitoringu. Organ uznał to za naruszenie art. 13 RODO. link
Dania 2022-09-12 6.700 EUR Hørsholm municipality Art. 32 RODO Duński organ ochrony danych nałożył na gminę Hørsholm grzywnę w wysokości 6700 euro. Gmina zgłosiła naruszenie ochrony danych zgodnie z art. 33 RODO. Komputer służbowy pracownika, który zawierał wrażliwe i poufne informacje dotyczące około 1600 pracowników gminy, został skradziony. Podczas dochodzenia organ ochrony danych ustalił, że dane na komputerze nie były odpowiednio zabezpieczone, a gmina nie podjęła odpowiednich środków technicznych w celu ochrony danych osobowych. link
Hiszpania 2022-09-28 720 EUR CLUB NATACIO LLEIDA Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył grzywnę na CLUB NATACIO LLEIDA. Ukarany podmiot zainstalował system monitoringu wizyjnego, który rejestrował obszary kasowe obiektu. Organ uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna z 1200 euro została obniżona do 720 euro z powodu dobrowolnej zapłaty i przyznania się do winy link
Hiszpania 2022-09-28 180 EUR Y OTRO MAS C.B. Art. 13 RODO Hiszpański organ ochrony danych nałożył na firmę Y OTRO MAS C.B. karę pieniężną. Ukarany podmiot zainstalował system monitoringu na osiedlu mieszkaniowym. W toku dochodzenia organ stwierdził, że znak informacyjny o monitoringu wizyjnym nie zawierał wystarczających informacji o przetwarzaniu danych osobowych, administratorze oraz korzystaniu z praw osoby, której dane dotyczą. Organ uznał to za naruszenie art. 13 RODO. Pierwotna kara z 300 euro została obniżona do 180 euro w związku z przyznaniem się do odpowiedzialności i dobrowolną opłatą. link
Rumunia 2022-09-22 2.000 EUR Bitfactor SRL Art. 25 (1) RODO, Art. 32 (1), (2) RODO Rumuński organ ochrony danych nałożył na Bitfactor SRL karę w wysokości 2000 euro. Administrator zawiadomił organ ochrony danych o naruszeniu ochrony danych na podstawie art. 33 RODO. W związku z awarią aplikacji administratora do użytkowników serwisu wysłane zostały komunikaty marketingowe, w wyniku których doszło do naruszenia poufności danych osobowych 1757 osób, których dane dotyczą. W toku dochodzenia organ stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych osób, których dane dotyczą. link
Niemcy 2022-09-21 5.000 EUR Inspektor Art. 6 (1) RODO Organ ochrony danych Badenii-Wirtembergii nałożył na geodetę grzywnę w wysokości 5000 euro. Geodeta wykorzystał swoje uprawnienia do kontroli elektronicznej księgi wieczystej w celu zidentyfikowania kilkuset właścicieli nieruchomości w dwóch przypadkach bez ich wiedzy i przekazał odpowiednie informacje deweloperowi. Ci z kolei kontaktowali się ze zidentyfikowanymi właścicielami. Organ ustalił, że zarówno geodeta, jak i deweloper bezprawnie przetwarzali dane właścicieli nieruchomości. link
Węgry 2022-09-25 1.200 EUR Dostawca ubezpieczeń zdrowotnych Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 12 (3), (4) RODO, Art. 31 RODO Węgierski organ ochrony danych nałożył grzywnę w wysokości 1200 euro na ubezpieczyciela zdrowotnego. Ubezpieczyciel opublikował na swojej stronie internetowej wynik testu osoby, której dane dotyczą, na Covid-19. Umożliwiłoby to osobom nieupoważnionym dostęp do danych osobowych osoby, której dane dotyczą. Ponadto ubezpieczyciel nie współpracował odpowiednio z agencją podczas dochodzenia prowadzonego przez organ ochrony danych
Węgry 2022-08-08 735 EUR Firma Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1), (2) RODO Węgierski organ ochrony danych nałożył na firmę karę w wysokości 735 euro. Osoba fizyczna złożyła skargę na firmę do DPA. Pracownik firmy dokonał nagrań dźwiękowych telefonem komórkowym podczas prac remontowych w domu skarżącej bez poinformowania o tym skarżącej.
Polska 2022-09-07 530 EUR Sułkowicki Ośrodek Kultury Art. 28 (1), (3), (9) RODO Polski organ ochrony danych nałożył na Sułkowicki Dom Kultury karę w wysokości 530 euro. W toku dochodzenia organ stwierdził, że administrator przekazał przetwarzanie danych osobowych podmiotowi przetwarzającemu bez zawarcia pisemnej umowy powierzenia przetwarzania danych osobowych. Ponadto administrator nie weryfikował podmiotu przetwarzającego oraz nie weryfikował, czy podmiot przetwarzający zapewnia wystarczające gwarancje, aby zapewnić podjęcie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Hiszpania 2022-09-23 3.000 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 3000 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. link
Rumunia 2022-09-19 2.000 EUR Banca Comercială Română SA Art. 25 (1) RODO, Art. 32 (1) b), d), e) RODO Rumuński organ ochrony danych nałożył na Banca Comercială Română SA karę w wysokości 2000 euro. Bank zawiadomił urząd ochrony danych osobowych o naruszeniu ochrony danych na podstawie art. 33 RODO. W wyniku błędu w aplikacji informatycznej administratora, e-maile zawierające dane osobowe klientów trafiały do ​​niewłaściwych odbiorców. To naruszenie danych spowodowało nieupoważnione ujawnienie i dostęp do niektórych danych osobowych, takich jak imię i nazwisko, adres zamieszkania, numer telefonu, adres e-mail i informacje finansowe. Incydent dotknął 564 osoby. Organ stwierdził, że bank nie podjął odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa współmierny do ryzyka przetwarzania. link
Hiszpania 2022-09-20 1.800 EUR Union Sindical Obrera Art. 6 RODO Hiszpański organ ochrony danych nałożył grzywnę na związek zawodowy Sindical Obrera. Osoba fizyczna złożyła skargę do organu ochrony danych na wielokrotne otrzymywanie wiadomości e-mail od administratora pomimo żądania usunięcia jej danych. Pierwotna grzywna z 3000 euro została obniżona do 1800 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Hiszpania 2022-09-16 2.000 EUR Agent of the real estate agency BARCELONA DREAM HOUSE AGENCY Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na agenta agencji nieruchomości BARCELONA DREAM HOUSE AGENCY. Osoba fizyczna złożyła skargę do urzędu ochrony danych osobowych, ponieważ agent nieruchomości nie poinformował jej w wystarczającym stopniu o przetwarzaniu jej danych osobowych w kontekście zawarcia umowy najmu. Brakowało np. informacji o celu przetwarzania, a także o administratorze. link
Hiszpania 2022-09-16 3.000 EUR MARIELI GABRIELA, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na firmę MARIELI GABRIELA, S.L. grzywnę w wysokości 3 000 EUR. Osoba złożyła skargę do organu ochrony danych w związku z tym, że firma obciążyła jej rachunek bankowy mimo braku stosunku umownego link
Niemcy 2022-09-21 50.000 EUR Firma deweloperska Art. 6 (1) GDPR, Art. 14 RODO Organ ochrony danych Badenii-Wirtembergii nałożył na firmę deweloperską karę w wysokości 50 000 euro. Spółka wysłała pismo do właściciela nieruchomości, w którym przedstawiła ofertę cenową zakupu jego nieruchomości. Pismo nie zawierało informacji o pochodzeniu danych. Nawet po tym, jak właściciel zapytał firmę, skąd pozyskano dane, firma nie odpowiedziała. W toku dochodzenia organ ochrony danych odkrył, że geodeta wykorzystał swoje uprawnienia do kontroli elektronicznej księgi wieczystej iw dwóch przypadkach zidentyfikował kilkuset właścicieli nieruchomości bez ich wiedzy. Następnie geodeta przekazał stosowne informacje firmie, która skontaktowała się z właścicielami nieruchomości. Organ uznał to z jednej strony za naruszenie art. 6 ust. 1 RODO, a z drugiej strony naruszenie art. 14 RODO z uwagi na brak informacji o pochodzeniu danych. link
Niemcy 2022-09-20 525.000 EUR Firma Art. 38 (6) RODO Berliński organ ochrony danych nałożył grzywnę w wysokości 525 000 euro na spółkę zależną berlińskiej grupy e-commerce. Firma wyznaczyła inspektora ochrony danych, który był jednak również dyrektorem zarządzającym dwóch firm usługowych przetwarzających dane osobowe w imieniu tej samej firmy, dla której pełnił funkcję inspektora ochrony danych. Te firmy usługowe są również częścią grupy, do której należy firma e-commerce. Organ uznał to za konflikt interesów i stwierdził naruszenie art. 38 ust. 6 RODO. Organ ochrony danych wystosował już ostrzeżenie do firmy w 2021 r. z powodu konfliktu interesów. Kiedy nowa kontrola w tym roku wykazała, że ​​nie powołano nowego inspektora ochrony danych, IOD nałożył karę. link
Hiszpania 2022-07-15 600 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitoringu, które obejmowały m.in. również sąsiednią wspólną drogę dojazdową. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. link
Hiszpania 2022-09-04 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na swoją byłą żonę. Była żona zainstalowała kamery monitoringu wideo we wspólnie zajmowanym domu, które rejestrowały również jego obszary mieszkalne, a tym samym ingerowały w jego prywatność. Organ uznał to za naruszenie zasady minimalizacji danych link
Hiszpania 2022-08-28 5.600 EUR SOLIVESA MASTER FRANCHISE S.L. Art. 28 RODO, Art. 48 (1) b) LGT Hiszpański organ ochrony danych (AEPD) nałożył na SOLIVESA MASTER FRANCHISE S.L. grzywnę w wysokości 5600 EUR. Osoba, której dane dotyczą, otrzymała od administratora połączenie reklamowe wykonane w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, była zarejestrowana na liście wykluczeń z reklam Robinson link
Hiszpania 2022-08-28 48.000 EUR NATURGY ENERGY GROUP, S.A. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył karę na NATURGY ENERGY GROUP, S.A. Z firmą energetyczną skontaktowała się osoba podająca się za krewnego klienta. Osoba poprosiła o otrzymywanie rachunków za prąd przy użyciu nowego adresu e-mail. Aby zweryfikować tożsamość, osoba musiała podać imię i nazwisko, adres, numer dowodu osobistego, numer umowy oraz 4 ostatnie cyfry danych rachunku bankowego klienta. Organ stwierdził jednak, że weryfikacja ta nie spełniała wymogów RODO dotyczących weryfikacji tożsamości i uznał ją za naruszenie art. 5 ust. 1 lit. f) RODO i art. 32 RODO. Pierwotna kara w wysokości 80 000 euro została obniżona do 48 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Rumunia 2022-09-08 8.000 EUR Realmedia Network SA Art. 32 (1) b) RODO, Art. 32 (2) RODO Rumuński organ ochrony danych ukarał Realmedia Network SA grzywną w wysokości 8 tys. euro. Firma doznała naruszeń bezpieczeństwa na obsługiwanej przez siebie stronie internetowej. Pozwoliło to na wyciek i dostęp do nieautoryzowanych danych. Dane obejmowały nazwiska, imiona, numery telefonów, adresy e-mail, adresy pocztowe, podpisy, kopie dowodów osobistych, dane bankowe oraz informacje z wyciągów z ksiąg wieczystych osób, których dane dotyczą. Incydent bezpieczeństwa dotknął łącznie 194 309 osób. Organ stwierdził, że firma nie podjęła odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa danych odpowiedni do ryzyka przetwarzania. link
Hiszpania 2022-09-16 10.000 EUR SOPHIE ET VOILA, S.L Art. 6 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na firmę SOPHIE ET ​​VOILA, S.L. Firma zajmująca się sukniami ślubnymi opublikowała na swoim koncie na Instagramie zdjęcie klientki w sukni ślubnej bez jej zgody. Z tego powodu urząd ochrony danych osobowych stwierdził, że przetwarzanie danych osobowych klienta było niezgodne z prawem. link
Hiszpania 2022-09-16 480 EUR OSOba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na osobę prywatną. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Pierwotna kara z 600 euro została obniżona do 480 euro z powodu dobrowolnej zapłaty. link
Włochy 2022-06-16 2.000 EUR Federazione Italiana Nuoto Art. 12 (3), (4) RODO, Art. 15 RODO Włoski organ ochrony danych (Garante) ukarał Federazione Italiana Nuoto grzywną w wysokości 2000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych link
Włochy 2022-06-30 5.000 EUR Federazione Italiana Sommelier, Albergatori e Ristoratori Art. 5 (1) a), f) RODO, Art. 6 (1) RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 5000 EUR na Federazione Italiana Sommelier, Albergatori e Ristoratori. Federacja wysłała protokół zawierający dane osobowe członka do wszystkich pozostałych członków. W protokole ujawniono informację o zastosowaniu wobec zainteresowanego członka środka dyscyplinarnego, który jednak nie był jeszcze prawnie wiążący i został później uchylony. Ponadto środek dyscyplinarny nadal był publikowany na platformie chmurowej nawet po jego uchyleniu. link
Hiszpania 2022-09-04 360 EUR Właściciel sklepu Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył karę na właściciela sklepu. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna kara w wysokości 600 euro została obniżona do 360 euro w związku z dobrowolną opłatą i przyznaniem się do odpowiedzialności. link
Hiszpania 2022-09-06 20.000 EUR MUXERS CONCEPT, S.L. Art. 6 RODO Hiszpański organ ochrony danych ukarał grzywną MUXERS CONCEPT, S.L. 20 000 EUR. Firma zainstalowała kamery i mikrofony do monitoringu w szatni pracowniczej w jednej z obsługiwanych przez siebie restauracji. Organ stwierdził, że nie było podstaw prawnych do tak szerokiego przetwarzania danych osobowych pracowników, a zatem przetwarzanie było niezgodne z prawem. link
Hiszpania 2022-09-09 180 EUR EURO DONER KEBAB Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył karę na EURO DONER KEBAB. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 300 euro została obniżona do 180 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Rumunia 2022-09-09 2.000 EUR SC Raiffeisen Bank SA Art. 5 (1) d) RODO Rumuński organ ochrony danych nałożył na SC Raiffeisen Bank SA karę w wysokości 2 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z otrzymywaniem wiadomości tekstowych o przelewach pieniężnych do niektórych osób, których nie wykonała. Podczas dochodzenia organ ochrony danych stwierdził, że bank przypadkowo wykorzystał numer telefonu osoby, której dane dotyczą, do celów transakcyjnych w 44 przypadkach. Osoba, której dane dotyczą, nie była klientem banku i nie żądała transakcji. link
Hiszpania 2022-09-09 300 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 euro. Ukarany podmiot zainstalował kamery monitoringu, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. Organ uznał to za naruszenie zasady minimalizacji danych link
Hiszpania 2022-09-13 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych link
Francja 2022-09-13 250.000 EUR GIE INFOGREFFE Art. 5 (1) e) GDPR, Art. 32 RODO Francuski organ ochrony danych nałożył na GIE INFOGREFFE karę w wysokości 250 000 euro. Portal prowadzi stronę internetową, na której można uzyskać dostęp do informacji prawnych o spółkach oraz zamówić dokumenty poświadczone przez sądy gospodarcze. W ramach dochodzenia organ ochrony danych stwierdził, że dane osobowe 25% członków i subskrybentów, takie jak dane bankowe, nazwiska, imiona, adresy i numery telefonów, były przechowywane dłużej niż zamierzano (36 miesięcy). Organ uznał to za naruszenie art. 5 ust. 1 e) RODO. Ponadto organ ochrony danych stwierdził, że portal nie wymagał użycia bezpiecznego hasła podczas tworzenia konta, w wyniku czego 3,7 miliona kont nie miało wystarczająco bezpiecznego hasła. Ponadto portal przesyłał hasła, które umożliwiały dostęp do niezaszyfrowanych kont za pośrednictwem poczty elektronicznej. Poza tym portal przechowywał również hasła oraz tajne pytania i odpowiedzi wykorzystywane podczas procesu resetowania haseł przez użytkowników w bazie danych bez szyfrowania. Z tego powodu organ stwierdził, że portal nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Hiszpania 2022-09-13 300 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 300 euro. Osoba prywatna zainstalowała na swojej posesji trzy kamery monitoringu, które między innymi obejmowały również drogę dojazdową sąsiada. link
Norwegia 2022-08-25 20.000 EUR Recover AS Art. 6 (1) e) RODO Norweski organ ochrony danych (Datatilsynet) ukarał Recover AS grzywną w wysokości 20 000 EUR. Administrator przeprowadził kontrolę zdolności kredytowej osoby, której dane dotyczą, bez ważnej podstawy prawnej. link
Hiszpania 2022-09-01 240 EUR MH VILASECA S.L. Art. 13 RODO Hiszpański organ ochrony danych nałożył na MH VILASECA S.L. karę pieniężną. Administrator nie przekazał zawiadomienia z informacją o monitoringu w swoim lokalu. Pierwotna kara w wysokości 400 euro została obniżona do 240 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności link
Hiszpania 2022-08-30 1.700 EUR Bazar Pekin Art. 13 RODO, Art. 30 RODO Hiszpański organ ochrony danych nałożył na Bazar Pekin karę w wysokości 1700 euro. Administrator nie przekazał zawiadomienia z informacją o monitoringu wizyjnym w swoim lokalu. Ponadto administrator nie prowadził właściwego rejestru czynności przetwarzania link
Rumunia 2022-08-29 1.000 EUR Alpha Bank Romania SA Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO Rumuński organ ochrony danych nałożył na Alpha Bank Romania SA grzywnę w wysokości 1000 euro. Bank przypadkowo wysłał dokument do niewłaściwego odbiorcy za pośrednictwem WhatsApp. Dokument zawierał dane osobowe czterech osób, których dane dotyczą, takie jak imiona i nazwiska oraz informacje o kredytach i umowach. W toku dochodzenia organ stwierdził, że bank nie wdrożył wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Hiszpania 2022-08-28 1.200 EUR DIGITECNIA SOLUTIONS, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na firmę DIGITECNIA SOLUTIONS, S.L. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z tym, że firma opublikowała swoje zdjęcie bez jej zgody. Pierwotna kara z 2000 euro została obniżona do 1200 euro z powodu dobrowolnej zapłaty i przyjęcia odpowiedzialności link
Hiszpania 2022-08-30 3.000 EUR COLEGIO VILLAEUROPA, S.C.L Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę na COLEGIO VILLAEUROPA, S.C.L. Szkoła nie przekazała wystarczających informacji na temat monitoringu wizyjnego, zgodnie z wymogami art. 13 RODO. Tabliczka informacyjna nie zawierała odniesienia do administratora danych ani adresu, pod który można się kontaktować w przypadku chęci skorzystania z praw osób, których dane dotyczą. Pierwotna kara z 5 000 euro została obniżona do 3 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Hiszpania 2022-08-25 480 EUR SERVICIOS PROFESIONALES LA PARADA S.L. Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył karę na SERVICIOS PROFESIONALES LA PARADA S.L. Firma zainstalowała kamery monitoringu, które m.in. objęły również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 800 euro została obniżona do 480 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Irlandia 2022-09-05 405.000.000 EUR Meta Platforms, Inc. Art. 5 (1) a), c) RODOR, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 24 RODO, Art. 25 (1), (2) RODO, Art. 35 RODO Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 405 000 000 EUR na Meta Platforms, Inc. (Instagram). W wyniku przeprowadzonego postępowania urząd ochrony danych przedłożył projekt decyzji w trybie art. 60 RODO innym zainteresowanym europejskim organom nadzorczym. Wstępny projekt przewidywał karę w wysokości 30-50 mln euro. DPC otrzymał następnie sprzeciw od sześciu organów nadzorczych, co doprowadziło do procedury rozstrzygania sporów w Europejskiej Radzie Ochrony Danych (EROD) w Brukseli. W swojej decyzji EROD zwróciła się do DPC o podwyższenie proponowanej grzywny. Dochodzenie DPC wykazało, że na kontach firmowych osób nieletnich na Instagramie publicznie wyświetlano ich numery telefonów komórkowych i adresy e-mail. Ponadto ustawienia kont nieletnich użytkowników były domyślnie ustawione na „publiczne”, dzięki czemu ich treści w mediach społecznościowych były publicznie widoczne, chyba że zmienili ustawienia konta. Naruszenie potencjalnie dotyczy milionów nastolatków. link
Hiszpania 2022-08-30 2.000 EUR Sindicato Intersectorial Trabajadores/as Provincia de Alicante Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na związek Sindicato Intersectorial Trabajadores/as Provincia de Alicante. Związek opublikował protokoły rady zakładowej na swojej tablicy ogłoszeń oraz w grupie WhatsApp. W efekcie opublikowano odręczne podpisy wszystkich przedstawicieli związków zawodowych w radzie zakładowej. link
Rumunia 2022-07-07 4.000 EUR E Software Concept SRL Art. 32 (1) b), (2) RODO, Art. 58 (1) a), e) RODO Rumuński organ ochrony danych nałożył na E Software Concept SRL karę w wysokości 4000 euro. Firma umieściła na swojej stronie internetowej pewne dokumenty, które były publicznie dostępne. Wśród dokumentów były między innymi faktury i dokumenty przewozowe. Dokumenty te zawierały liczne dane osobowe, takie jak imię, nazwisko, adres nadawcy i odbiorcy, numer telefonu, nazwy użytkownika i hasła oraz adresy e-mail. W toku dochodzenia organ ochrony danych stwierdził, że publiczne ujawnienie danych nastąpiło w wyniku niewdrożenia przez firmę odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Organ ochrony danych stwierdził również, że firma nie zastosowała się do wezwań organu ochrony danych podczas dochodzenia. link
Rumunia 2022-08-22 10.000 EUR Enel Energie Muntenia S.A. Art. 32 RODO Rumuński organ ochrony danych ukarał Enel Energie Muntenia S.A. grzywną w wysokości 10 000 EUR. Klient omyłkowo otrzymał wiadomość e-mail zaadresowaną do innego klienta zawierającą dokumenty z danymi osobowymi drugiego klienta. W toku prowadzonego dochodzenia organ ustalił, że do incydentu doszło w wyniku niepodjęcia przez firmę odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Włochy 2022-06-16 70.000 EUR Unicredit S.p.A. Art. 12 RODO, Art. 15 RODO Włoski organ ochrony danych nałożył na Unicredit S.p.A. grzywnę w wysokości 70 000 EUR. Pracownik złożył skargę do organu ochrony danych, twierdząc, że jego prawo dostępu do danych osobowych nie było wystarczająco respektowane. Firma wymagała wypełnienia specjalnego formularza w celu uzyskania dostępu do danych osobowych. W toku dochodzenia organ ochrony danych stwierdził, że wymóg wypełnienia formularza nieproporcjonalnie utrudnia korzystanie z prawa dostępu. link
Włochy 9.06,2022 10.000 EUR Cribis Credit Management s.r.l. Art. 5 (1) a), c) RODO, Art. 6 RODO Włoski organ ochrony danych ukarał grzywną Cribis Credit Management s.r.l. 10 000 EUR. Firma nieumyślnie wysłała wiadomość e-mail o opóźnionych płatnościach w abonamencie do szefa osoby, której dane dotyczą. Pozwoliło to szefowi uzyskać dostęp do danych osobowych pracownika, takich jak imię, nazwisko i informacje o statusie płatności. link
Hiszpania 2022-07-07 1.800 EUR FINCAS ARENYS SL Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę na FINCAS ARENYS SL. Jedna osoba złożyła skargę do DPA. Osoba ta skontaktowała się z firmą zajmującą się obrotem nieruchomościami w celu wynajęcia nieruchomości. Czyniąc to, firma zażądała pewnych dokumentów do wynajmu, nie informując jednak osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych w ramach procesu najmu. Pierwotna grzywna z 3000 euro została obniżona do 1800 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Hiszpania 2022-07-12 800 EUR SMART ELECTRIC SOLUTIONS, S.L. Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę SMART ELECTRIC SOLUTIONS, S.L. grzywnę w wysokości 800 euro. Firma zainstalowała kamery monitoringu, które m.in. objęły również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. link
Hiszpania 2022-08-22 600 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitoringu, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. link
Hiszpania 2022-08-22 900 EUR UNONO NET 3.0, S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę na UNONO NET 3.0, S.L. Firma przekazała wiadomość e-mail do wielu odbiorców bez korzystania z funkcji kopiowania w ukryciu, dzięki czemu wszyscy odbiorcy mogli zobaczyć adresy e-mail pozostałych odbiorców. Pierwotna kara z 1500 euro została obniżona do 900 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. link
Grecja 2022-07-19 20.000 EUR DO VALUE GREECE LOANS & CREDITS CLAIM MANAGEMENT S.A. Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 12 (2) RODO Grecki organ ochrony danych nałożył na firmę DO VALUE GRECE LOANS & CREDITS CLAIM MANAGEMENT SA grzywnę w wysokości 20 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z otrzymywaniem licznych telefonów od firmy w sprawie długów, które zostały już uregulowane. Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania jej danych i zażądała natychmiastowego zaprzestania rozmów oraz usunięcia jej danych osobowych z bazy firmy. W toku dochodzenia organ stwierdził, że firma bezprawnie utrudniała osobie, której dane dotyczą, korzystanie z jej praw. link
Grecja 2022-08-03 30.000 EUR Prywatna Poliklinika i Centrum Diagnostyczne Pyle Axiou Art. 5 (1) f) RODO Grecki organ ochrony danych nałożył na Prywatną Poliklinikę i Centrum Diagnostyczne Pyle Axiou grzywnę w wysokości 30 000 EUR. Pacjent poprosił o dostęp do danych z badania obrazowego. Ze względu na brak dostępności zdjęć klinika nie mogła spełnić prośby o udostępnienie. Organ stwierdził, że klinika nie zapewniła odpowiedniego miejsca do przechowywania zdjęć, a tym samym naruszyła art. 5 ust. 1 lit. f) RODO. link
Francja 2022-08-19 600.000 EUR ACCOR SA Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 21 RODO, Art. 32 RODO, L. 34-5 CPCE Francuski organ ochrony danych (CNIL) nałożył na ACCOR SA karę w wysokości 600 000 EUR. Zarówno CNIL, jak i inne europejskie DPAS otrzymały skargi na ACCOR od kilku osób. W toku dochodzenia CNIL stwierdziła, że ​​goście hotelowi, którzy dokonali rezerwacji bezpośrednio w hotelu lub na jednej ze stron internetowych grupy hotelowej, automatycznie stali się odbiorcami biuletynu reklamowego, ponieważ pole zgody na otrzymywanie biuletynu było zaznaczone. Ponadto CNIL ustaliła, że ​​z powodu problemów technicznych wiele osób nie mogło zrezygnować z otrzymywania promocyjnych wiadomości e-mail. W tym kontekście CNIL stwierdziła, że ​​ACCOR nie informowała w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w kontekście komunikatów promocyjnych, a tym samym naruszyła art. 12 RODO i art. 13 RODO. Ponadto ACCOR nie odpowiedział w odpowiednim czasie na prośby osób, których dane dotyczą, o dostęp do danych osobowych, w związku z czym CNIL stwierdził naruszenie art. 12 RODO i art. 15 RODO. Spółka nie zastosowała się również do prawa sprzeciwu osób, których dane dotyczą, ze względu na problemy techniczne. CNIL stwierdził zatem naruszenie art. 12 RODO i art. 21 RODO. Ostatecznie CNIL stwierdził naruszenie art. 32 RODO, ponieważ ACCOR zezwolił na stosowanie haseł, które nie były wystarczająco bezpieczne. Nakładając grzywnę, CNIL uznała obciążająco, że naruszenia wpłynęły na kilka podstawowych zasad ochrony danych osobowych i stanowiły fundamentalne naruszenie praw osób, których dane dotyczą, jak również liczby zaangażowanych osób. link
Słowacja 1905-07-13 40.000 EUR Nieznany Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 28 RODO Słowacki organ ochrony danych nałożył na administratora grzywnę w wysokości 40 000 euro. Administrator naruszył zasadę rozliczalności (brak dowodu przeprowadzenia oceny skutków dla ochrony danych) oraz zasadę rzetelności i przejrzystości. Ponadto administrator nie zawarł umowy z podmiotem przetwarzającym link
Słowacja 1905-07-13 100 EUR Nieznany Nieznany Niezgodny z prawem nadzór wideo w społeczności ogrodniczej. link
Słowacja 1905-07-13 500 EUR Nieznany Art. 31 RODO Słowacki organ ochrony danych nałożył na administratora grzywnę w wysokości 500 euro za brak współpracy z organem ochrony danych link
Hiszpania 2022-07-12 1.600 EUR JOYPAZAR, S.A. Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na JOYPAZAR, S.A. grzywnę w wysokości 1600. Firma zainstalowała kamery monitoringu, które objęły m.in. publiczny plac zabaw. Organ uznał to za naruszenie zasady minimalizacji danych link
Hiszpania 2022-07-12 6.000 EUR FREE SUN ENERGY S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę na FREE SUN ENERGY S.L. Klient firmy złożył skargę do organu ochrony danych, ponieważ zamiast otrzymać fakturę, otrzymał fakturę innego klienta zawierającą dane osobowe tego klienta. Pierwotna grzywna z 10 000 EUR została obniżona do 6 000 EUR z powodu dobrowolnej zapłaty i przyznania się do winy link
Hiszpania 2022-07-15 3.600 EUR ECOZONO Y CULTURA, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na ECOZONO Y CULTURA, S.L. Econzo, za pośrednictwem usługodawcy, zebrał dane od osób, których dane dotyczą, które zgodziły się ujawnić dane do celów ankietowych. Jednak dane te zostały później wykorzystane do skontaktowania się z osobami fizycznymi w celach reklamowych. Pierwotna grzywna z 6000 euro została obniżona do 3600 euro ze względu na dobrowolne zapłacenie i przyznanie się do winy. link
Włochy 29.04,2022 2.000 EUR Gmina Santa Ninfa Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacy Włoski organ ochrony danych nałożył na gminę Santa Ninfa grzywnę w wysokości 2000 euro. Gmina opublikowała na swojej stronie internetowej uchwałę, która zawierała dane osobowe, takie jak imię i nazwisko oraz wzmianki o tytule egzekucyjnym osoby, której dane dotyczą link
Włochy 2022-09-16 1.000 EUR Farpa s.r.l. Art. 5 (1) a) RODO, Art. 13 RODO, Art. 88 RODO, Art. 114 Codice della privacy Włoski organ ochrony danych nałożył na Farpa s.r.l. grzywnę w wysokości 1000 euro. Firma zainstalowała systemy monitoringu wizyjnego w obsługiwanych przez siebie obiektach socjalnych, jednak ich szczególne użycie nie zostało dopuszczone. Organ ochrony danych stwierdził, że system nadzoru wideo ma inne funkcje niż zatwierdzone i został zainstalowany w innym miejscu niż zatwierdzone. Organ ochrony danych stwierdził również, że firma nie poinformowała w wystarczającym stopniu osób, których dane dotyczą (gości i krewnych obiektu) o nadzorze wideo. link
Wyspa Man 2022-07-13 202.000 EUR Manx Care Ltd Art. 5 (1) c), f) RODO, Art. 5 (2) RODO, Art. 24 RODO, Art. 25 RODO, Art. 32 RODO, Art. 34 RODO, Art. 58 RODO Organ ochrony danych wyspy Man nałożył grzywnę w wysokości 202 000 EUR na firmę Manx Care Ltd. Firma Manx Care wysłała e-mailem niezabezpieczony załącznik zawierający poufne informacje dotyczące zdrowia pacjenta do ponad 1870 odbiorców. Organ ochrony danych wydał następnie zawiadomienie o wykonaniu przeciwko firmie Manx Care. Jednak firma Manx Care nie zastosowała się do poleceń organu ochrony danych. W efekcie DPA podjął decyzję o nałożeniu na spółkę kary pieniężnej. Organ stwierdził przede wszystkim, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Organ stwierdził również, że firma naruszyła zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c RODO poprzez przesłanie danych pacjenta osobom niezwiązanym z opieką nad pacjentem. Wreszcie organ ochrony danych stwierdził, że firma nie poinformowała osoby, której dane dotyczą, o naruszeniu danych. link
Hiszpania 2022-08-16 5.000 EUR RODALI GESTIÓN INMOBILIARIA, S.L. Art. 13 RODO Hiszpański organ ochrony danych nałożył na firmę RODALI GESTIÓN INMOBILIARIA, S.L. karę pieniężną w wysokości 5 000 euro. Osoba fizyczna złożyła skargę do organu w związku z niepoinformowaniem jej przez administratora o przetwarzaniu jej danych osobowych w związku z wynajmem mieszkania nabytek. Z tego powodu organ stwierdził, że administrator naruszył obowiązki informacyjne wynikające z art. 13 RODO. link
Niemcy 2021 Nieznana Organizacja polityczna Nieznana Pracownik organizacji politycznej wysłał e-mail do 400 osób z otwartej listy dystrybucyjnej. To nie tylko uwidoczniło adresy e-mail wszystkich odbiorców dla innych odbiorców, ale także ujawniło orientację polityczną odbiorców. link
Niemcy 2021 Nieznana Restauracja Art. 24 RODO, Art. 32 RODO Podczas pandemii Covid-19 restauracja pozbyła się 120 wypełnionych formularzy rejestracyjnych dla gości w ogólnodostępnym śmietniku. W trakcie dochodzenia organ ochrony danych ustalił również, że już w trakcie funkcjonowania restauracji restauracja nie wdrożyła odpowiednich zabezpieczeń chroniących dane przetwarzane podczas procesu rejestracji gości. Na przykład wypełnione formularze rejestracyjne gości były przechowywane w sąsiednim pokoju dostępnym dla wszystkich pracowników bez specjalnych środków bezpieczeństwa, takich jak zamykana szafka. link
Niemcy 2021 Nieznana Pracownik banku Nieznana Pracownik banku przez okres około roku regularnie uzyskiwał dostęp do danych rachunku bankowego klienta banku w celach prywatnych. link
Niemcy 2021 Nieznana Nieznany Nieznana Pracownik ośrodka egzaminacyjnego wykorzystał numer telefonu osoby testowanej na COVID w celu prywatnego kontaktu. link
Niemcy 2021 Nieznana Lekarz Art. 32 RODO Lekarz przechowywał dokumentację pacjenta w otwartej wiacie, a nie w zamkniętym pokoju. link
Niemcy 2021 Nieznana Lekarz Art. 32 RODO Gabinet lekarski wyrzucił dokumentację pacjentów do pojemnika na makulaturę używanego przez kilka gabinetów. link
Niemcy 2021 Nieznana Właściciel siłowni Nieznana Właściciel siłowni przeprosił za późne otwarcie siłowni, ale jednocześnie przeniósł odpowiedzialność na pracownika, który został wymieniony. W rezultacie dane osobowe zostały bezprawnie ujawnione. link
Niemcy 2021 Nieznana Osoba prywatna Nieznana Osoba prywatna zrobiła tajne nagrania wideo podczas rozprawy sądowej swoim telefonem komórkowym. link
Niemcy 2021 Nieznana Osoba prywatna Nieznana Mieszkaniec budynku mieszkalnego dokonał niezgodnie z prawem nagrań wideo, które obejmowały m.in. fragmenty wspólnie użytkowanego dziedzińca wewnętrznego link
Hiszpania 2022-08-12 180 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 180 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Niemcy 2021 Nieznana Osoba prywatna Art. 5 (1) c) RODO Osoba prywatna zainstalowała kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną link
Niemcy 2021 Grzywna kwota od 100 EUR do 1000 EUR Osoba prywatna Art. 6 RODO Dziewiętnaście grzywien w wysokości od 100 EUR do 1000 EUR za niezgodne z prawem korzystanie z kamery samochodowej. link
Niemcy 2021 Nieznana Nieznany Art. 32 RODO Obrazy z kamer sklepu były rozpowszechniane bez wiedzy i intencji ukaranego podmiotu z powodu błędnej konfiguracji. Dystrybucja obejmowała nagrania zarówno pracowników, jak i klientów. link
Niemcy 2021 Nieznana Nieznany Art. 32 RODO Nadzór wideo na żywo, który był dostępny przez Internet i ze względu na brak wystarczającej pikselizacji lub redakcji umożliwiał rozpoznanie osób. link
Niemcy 2021 Nieznana Firma Art. 25 RODO, Art. 32 RODO Firma przechowywała sprzęt telekomunikacyjny, serwer i technologię tworzenia kopii zapasowych w łazience dla gości. Szafa serwerowa, która nie miała nienaruszonego zamka, służyła również jako przewijak. link
Niemcy 2021 16.000 EUR Sklep z elektroniką Art. 5 (1) c) RODO, Art. 17 RODO, Art. 35 (3) RODO Organ ochrony danych z Dolnej Saksonii nałożył grzywnę w wysokości 16 000 euro na sklep z elektroniką. Firma zainstalowała system monitoringu wizyjnego, który na stałe rejestrował pracowników, klientów oraz pomieszczenia firmy i wyposażenie techniczne. CCTV został zainstalowany w celu ochrony klientów, pracowników, ochrony praw własności firmy oraz ścigania przestępstw i wandalizmu. Organ ochrony danych stwierdził, że rejestracja pracowników nie była konieczna do realizacji celów związanych z CCTV, a zatem była nieproporcjonalna. Organ ochrony danych uznał zatem, że administrator naruszył zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO. Organ ochrony danych stwierdził również, że firma przechowywała nagrania zbyt długo, a ponadto nie przeprowadziła oceny skutków dla ochrony danych. link
Hiszpania 2022-08-05 9.000 EUR Prodesspa Decoratius i Pintures , S.L. Art. 6 RODO Hiszpański organ ochrony danych nałożył grzywnę na Prodesspa Decoratius i Pintures , SL. Były pracownik złożył skargę do organu ochrony danych w związku z bezprawnym ujawnieniem przez firmę ich danych agencji informacji kredytowej. Pierwotna kara w wysokości 15 000 euro została obniżona do 9 000 euro z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. link
Hiszpania 2022-08-03 600 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 600 euro na osobę prywatną. Ukarany podmiot zainstalował kamery monitorujące, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. link
Hiszpania 2022-08-08 600 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 600 euro na osobę prywatną. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. link
Rumunia 2022-08-09 1.000 EUR Wabag Water Services SRL Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 1000 euro na SC Wabag Water Services SRL. Pracownik firmy złożył skargę do UOKiK w związku z tym, że pracodawca przetwarzał jego dane osobowe bez jego zgody w celu zarejestrowania i umówienia się na szczepienie przeciwko Covid-19. link
Dania 2022-08-11 6.700 EUR Gmina Lolland Art. 32 RODO Duński organ ochrony danych nałożył grzywnę w wysokości 6700 euro na gminę Lolland. Gmina zgłosiła naruszenie danych organowi ochrony danych zgodnie z art. 33 RODO. Jednemu z pracowników gminy skradziono telefon służbowy. Pracownik skorzystał z telefonu, aby uzyskać dostęp do swojego służbowego konta e-mail, które zawierało informacje o nazwiskach kilku obywateli, numerach ubezpieczenia społecznego i danych zdrowotnych. Podczas dochodzenia organ ochrony danych stwierdził, że telefon nie był chroniony hasłem. Dzięki temu możliwy był dostęp do informacji przechowywanych w telefonie. Organ ochrony danych stwierdził, że incydent ten miał miejsce z powodu niepodjęcia przez gminę wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Gmina powinna była zapewnić przynajmniej, że każdy pracownik zabezpieczył swój telefon komórkowy hasłem. link
Hiszpania 2022-08-08 600 EUR Właściciel restauracji Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela restauracji grzywnę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku należytego informowania o monitoringu. link
Rumunia 2022-08-09 7.000 EUR CDI Transport Intern și Internațional SRL Art. 12 (1) RODO, Art. 58 (1) a), e) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 7 000 EUR na CDI Transport Intern și Internațional SRL. Podczas dochodzenia organ ochrony danych stwierdził, że strona internetowa firmy nie zawierała informacji o tym, jakie prawa przysługują osobom, których dane dotyczą, na mocy RODO i jak mogą z tych praw korzystać. Ponadto firma nie dostarczyła organowi ochrony danych w terminie żądanych informacji. link
Włochy 2021-05-13 20.000 EUR Synlab Med srl Art. 5 (1) a), c) RODO, Art. 9 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych nałożył na Synlab Med srl grzywnę w wysokości 20 000 EUR. Firma przeprowadziła testy Covid-19 dla różnych regionalnych organów ds. zdrowia. W tym kontekście firma nieumyślnie wysłała wyniki badań 31 osób do niewłaściwego organu ds. zdrowia. link
Włochy 2022-08-01 26.000 EUR Gmina Policoro Art. 5 (1) a), e) RODO, Art. 5 (2) RODO, Art. 12 RODO, Art. 13 RODO, Art. 24 RODO, Art. 38 (6) RODO Włoski organ ochrony danych nałożył na gminę Policoro grzywnę w wysokości 26 000 euro. Gmina zainstalowała system nadzoru wideo, nie dostarczając jednak wystarczających informacji o nadzorze. Ponadto organ ochrony danych stwierdził, że gmina nie ustaliła okresu przechowywania nagrań z monitoringu wideo i przechowywała je przez zbyt długi czas. Ponadto organ ochrony danych stwierdził, że gmina nie wypełniła swoich obowiązków przy wyznaczaniu inspektora ochrony danych. Gmina wyznaczyła swojego pełnomocnika na inspektora ochrony danych, co zdaniem organu ochrony danych stanowiło konflikt interesów. link
Hiszpania 2022-08-01 9.600 EUR LAST LAP, S.L. Art. 6 RODO, Art. 9 RODO Hiszpański organ ochrony danych nałożył grzywnę na LAST LAP, SL. Last Lap organizuje wyścig uliczny San Silvestre. Uczestnicy wyścigu byli zobowiązani do okazania świadectwa szczepień lub wykonania testu PCR lub antygenu przed wyścigiem. Podczas dochodzenia organ ochrony danych stwierdził, że firma nie miała skutecznej podstawy prawnej do przetwarzania danych dotyczących zdrowia. Pierwotna kara w wysokości 16 000 euro została obniżona do 9 600 euro z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. link
Hiszpania 2022-07-29 3.000 EUR ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. Art. 5 (1) f) RODO, Art. 32 (1) RODO Hiszpański DPA nałożył grzywnę w wysokości 3 000 EUR na ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. Pracownik złożył skargę do DPA. Pracownica oświadczyła, że ​​otrzymała dostęp do firmowego konta e-mail, kiedy została zatrudniona. Jednak po uzyskaniu dostępu do konta odkryła, że ​​konto e-mail nie było w rzeczywistości jej kontem, ale kontem e-mail innego pracownika. Dzięki temu miała dostęp do wszystkich e-maili wysyłanych i odbieranych przez drugiego pracownika. W trakcie dochodzenia organ ochrony danych ustalił, że administrator niewłaściwie skonfigurował konto i w związku z tym naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Hiszpania 2022-08-04 2.000 EUR JAÉN SENTIDO Y COMÚN Art. 5 (1) f) RODO, Art. 32 (1) RODO Hiszpański organ ochrony danych nałożył na JAÉN SENTIDO Y COMÚN grzywnę w wysokości 2000 euro. Ukarany podmiot wysłał wiadomość e-mail do 241 osób z otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców były widoczne dla innych odbiorców. link
Rumunia 2022-08-04 2.000 EUR Sephora Cosmetics România SA Art. 21 RODO Rumuński organ ochrony danych nałożył na Sephora Cosmetics România SA grzywnę w wysokości 2 000 euro. Osoba, której dane dotyczą, otrzymała promocyjny SMS od Sephora, pomimo kilkukrotnego sprzeciwu wobec przetwarzania jej danych osobowych w celach marketingowych, a Sephora potwierdziła zakończenie wysyłania SMS-a. link
Norwegia 2022-08-02 30.200 EUR Krokatjønnvegen 15 AS Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Krokatjønnvegen grzywnę w wysokości 15 AS w wysokości 30 200 EUR. Administrator przeprowadził kontrolę zdolności kredytowej dwóch osób, których dane dotyczą, bez żadnej podstawy umownej. link
Hiszpania 2022-08-02 42.000 EUR Banco Bilbao Vizcaya Argentaria S.L. Art. 6 RODO Hiszpański organ ochrony danych nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, S.A. Firma wielokrotnie wysyłała wiadomości reklamowe do osoby, której dane dotyczą, mimo że osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu jej danych. Pierwotna kara w wysokości 70 000 euro została obniżona do 42 000 euro z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. link
Hiszpania 2022-08-01 600 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 600 euro na osobę prywatną. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. link
Francja 07.07.2022 175.000 EUR UBEEQO INTERNATIONAL Art. 5 (1) c), e) RODO, Art. 12 RODO Francuski organ ochrony danych (CNIL) nałożył na spółkę UBEEQO INTERNATIONAL grzywnę w wysokości 175 000 EUR. Wypożyczalnia pojazdów zbierała dane geolokalizacyjne dotyczące wynajmowanych pojazdów co 500 metrów. Firma stwierdziła, że ​​zebrała dane, aby m.in. monitorować stan floty, lokalizować pojazd w przypadku kradzieży, a także pomagać klientom w razie wypadku. Organ ochrony danych stwierdził jednak, że żaden z tych celów nie uzasadniał tak szczegółowego gromadzenia danych geolokalizacyjnych. Z tego powodu organ ochrony danych stwierdził naruszenie zasady minimalizacji danych na podstawie art. 5 ust. 1 lit. c RODO. Organ ochrony danych stwierdził również, że firma przechowywała dane pojazdu przez zbyt długi czas. Dane były przechowywane przez czas trwania relacji biznesowej z klientem, a następnie przez kolejne trzy lata po zakończeniu najmu pojazdu. Ponadto dane osobowe użytkowników, którzy byli nieaktywni przez ponad osiem lat, nadal były przechowywane w bazach danych firmy. CNIL uznał, że to długie przechowywanie stanowiło naruszenie art. 5 ust. 1 lit. e RODO. Wreszcie organ ochrony danych stwierdził, że użytkownicy nie byli odpowiednio informowani podczas procesu rejestracji na portalu firmy, a firma naruszyła w ten sposób art. 12 RODO. link
Polska 2022-07-06 2.120 EUR Szpital Uniwersytecki Warszawskiego Uniwersytetu Medycznego Art. 33 RODO, Art. 34 RODO Polski organ ochrony danych nałożył na Szpital Uniwersytecki Warszawskiego Uniwersytetu Medycznego karę w wysokości 2120 euro. W szpitalu uniwersyteckim doszło do naruszenia danych, w wyniku którego pacjent otrzymał skierowanie od lekarza, które zawierało między innymi dane osobowe (imię i nazwisko, adres itp.) innego pacjenta. Organ ochrony danych stwierdził, że ani lekarz, ani szpital nie poinformował pacjenta ani organu ochrony danych o naruszeniu danych. link
Włochy 2021-09-29 11.000 EUR Administracja Terytorialna Rządu Genui Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 11 000 euro na Administrację Terytorialną Rządu Genui. Departament opublikował na swojej stronie internetowej plik, który zawierał tabelę zawierającą informacje o prawnikach dwóch firm i ich dorosłych konkubentach (łącznie około stu osób). W trakcie dochodzenia organ ochrony danych stwierdził, że departament opublikował informacje bez ważnej podstawy prawnej. link
Hiszpania 2022-07-26 800 EUR EFS MANTENIMIENTO Y SERVICIOS TÉCNICOS, S.L. Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył grzywnę na EFS MANTENIMIENTO Y SERVICIOS TÉCNICOS, S.L. 800 euro. Związek zawodowy złożył skargę do organu ochrony danych, ponieważ firma bezprawnie udostępniła radzie zakładowej informacje o jednym ze swoich pracowników. Przekazane informacje spowodowały, że pracownik znalazł się w niekorzystnej sytuacji. Organ ochrony danych uznał to za naruszenie zasad integralności i poufności. link
Hiszpania 2022-07-26 2.500 EUR Stowarzyszenie właścicieli domów Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył na stowarzyszenie właścicieli domów grzywnę w wysokości 2500 EUR za opublikowanie informacji (imię, nazwisko, mieszkania) dotyczących kilku właścicieli na ich stronie internetowej. link
Niemcy 2022-07-28 900.000 EUR Hannoversche Volksbank Art. 6 (1) RODO Organ ochrony danych Dolnej Saksonii nałożył na Hannoversche Volksbank grzywnę w wysokości 900 tys. euro. Bank przeanalizował dane od aktywnych i byłych klientów bez ich zgody. W tym celu bank przeanalizował zachowania użytkowników cyfrowych i ocenił m.in. zakupy w sklepach z aplikacjami, częstotliwość korzystania z drukarek wyciągów bankowych oraz całkowitą liczbę przelewów w bankowości internetowej w porównaniu z korzystaniem z usług w placówce. Ponadto wyniki zostały zweryfikowane z agencją kredytową, gdzie zostały dodatkowo uzupełnione. Celem było zidentyfikowanie klientów o zwiększonej skłonności do korzystania z mediów cyfrowych oraz intensywniejsze dotarcie do nich za pośrednictwem elektronicznych kanałów komunikacji w celach promocyjnych. Większość klientów otrzymywała informacje z wyprzedzeniem. Organ ochrony danych stwierdził jednak, że nie zastąpiło to wymaganej zgody. Przy ustalaniu kary uwzględniono, że bank nie wykorzystał w dalszym ciągu wyników swoich wycen. Ponadto bank współpracował z organem ochrony danych podczas dochodzenia. link
Hiszpania 2022-07-26 15.000 EUR TELEFÓNICA MÓVILES ESPAÑA, S.A.U. Art. 6 (1) RODO Były klient otrzymywał e-maile zawierające rachunki elektroniczne nawet po rozwiązaniu umowy z firmą, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. link
Hiszpania 2022-07-27 300 EUR Osoba prywatna Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która uchwyciła również zagraniczną przestrzeń prywatną sąsiada i przestrzeń publiczną link
Luksemburg 2022-06-30 1.000 EUR Firma Art. 5 (1) a) RODO, Art. 12 (1), (7) RODO, Art. 13 RODO Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 1000 euro. Firma zainstalowała system monitoringu wideo, który rejestrował zarówno pracowników, jak i osoby trzecie. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo naruszyło swoje obowiązki informacyjne wynikające z art. 12 RODO i art. 13 RODO. link
Luksemburg 2022-06-30 1.000 EUR Firma Art. 5 (1) a) RODO, Art. 12 (1), (7) RODO, Art. 13 RODO Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 1000 euro. Firma zainstalowała system monitoringu wideo, który rejestrował zarówno pracowników, jak i osoby trzecie. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo naruszyło swoje obowiązki informacyjne wynikające z art. 12 RODO i art. 13 RODO. link
Hiszpania 2022-07-22 500 EUR CINCON S.C. Art. 13 (2) RODO Hiszpański organ ochrony danych nałożył na CINCON S.C. grzywnę w wysokości 500 euro. Spółka nie dostarczyła informacji wymaganych przez art. 13 RODO na formularzu, za pomocą którego potencjalni klienci mogliby uzyskać dostęp do bezpłatnego kursu. link
Luksemburg 2022-06-30 1.400 EUR Firma Art. 5 (1) e) RODO, Art. 13 RODO Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 1400 euro. Ukarany podmiot zainstalował czujniki lokalizacji w wielu samochodach ze swojej floty. Miało to na celu m.in. ochronę aktywów firmy, optymalne zarządzanie flotą i optymalizację przepływu pracy. Niektóre dane o lokalizacji zebrane przez administratora były przechowywane przez rok. Organ ochrony danych stwierdza, że ​​było to wyraźnie nadmierne i nie jest konieczne do celów przetwarzania. Organ ochrony danych uznał to za naruszenie zasady ograniczenia przechowywania. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych dotyczących lokalizacji, a tym samym naruszył swoje obowiązki informacyjne zgodnie z art. 13 RODO. link
Luksemburg 2022-06-22 3.000 EUR Firma Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych (CNPD) nałożył na firmę grzywnę w wysokości 3 000 euro. Firma zainstalowała system monitoringu wideo w celu ochrony mienia i pracowników firmy. Jednak kamery stale rejestrowały również fragmenty obszarów roboczych pracowników. Organ ochrony danych stwierdza, że ​​administrator naruszył w ten sposób zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, nie informując odpowiednio swoich pracowników o monitoringu wizyjnym. link
Niemcy 2022-07-26 1.100.000 EUR Volkswagen Art. 13 RODO, Art. 28 RODO, Art. 30 RODO, Art. 35 RODO Organ ochrony danych Dolnej Saksonii nałożył na Volkswagena grzywnę w wysokości 1,1 mln euro. Firma zainstalowała kamery w pojeździe testowym. Pojazd był używany do testowania i szkolenia funkcjonalności systemu wspomagania jazdy w celu zapobiegania wypadkom drogowym. W tym celu za pomocą kamer rejestrowano ruch wokół pojazdu. Volkswagen nie dostarczył jednak informacji zgodnie z art. 13 RODO o przetwarzaniu danych przez kamery zamontowane w pojeździe. Organ ochrony danych stwierdził ponadto, że wbrew obowiązkowi wynikającemu z art. 28 RODO Volkswagen nie zawarł umowy o przetwarzanie z firmą, która realizowała przejazdy. Ponadto brak oceny skutków dla ochrony danych zgodnie z art. 35 DSGVO zostało przeprowadzone, a techniczne i organizacyjne środki ochrony nie zostały określone w wykazie czynności przetwarzania. Volkswagen intensywnie współpracował z organem ochrony danych. link
Hiszpania 2022-07-22 40.000 EUR ESVETEL, S.L. Art. 28 RODO, Art. 48 (1) b) LGT Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na ESVETEL, SL. Osoba, której dane dotyczą, otrzymała telefon reklamowy od administratora wykonany w imieniu Vodafone España, S.A.U., chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinson. link
Niemcy 2021 10.100 EUR Grupa handlująca samochodami Nieznana Organ ochrony danych w Hamburgu nałożył grzywnę w wysokości 10 110 euro na grupę handlującą samochodami. Spółka poinformowała bazę klientów, że przyczyną restrukturyzacji była nieobecność pracownika z powodu choroby. Firma poinformowała około 3000 klientów m.in. o dokładnej dacie wystąpienia niezdolności pracownika do pracy oraz o tym, że sytuacja ta będzie trwać przez czas nieokreślony. Organ ochrony danych uznał, że firma nie przedstawiła ważnej podstawy prawnej do takiego przekazywania danych osobowych dotyczących zdrowia, a zatem przekazała dane niezgodnie z prawem. link
Niemcy 2021 12.500 EUR Dostawca energii Nieznana Organ ochrony danych w Hamburgu nałożył na dostawcę energii grzywnę w wysokości 12.5000 EUR. Firma zleciła outsourcing i sprzedała swój dział energii cieplnej. Klienci, których dotyczy przeniesienie, zostali poinformowani o przeniesieniu ich umów na dostawę energii elektrycznej i otrzymali prawo do sprzeciwu. W przypadku zgłoszonego sprzeciwu żadne dane osobowe klientów nie powinny być przekazywane nowej firmie. Jednak pomimo zgłoszenia przez klientów należytego sprzeciwu, ich dane zostały przekazane nowej spółce. link
Niemcy 2021 12.500 EUR Dostawca energii Nieznana Organ ochrony danych w Hamburgu nałożył na dostawcę energii grzywnę w wysokości 12.5000 EUR. Firma zleciła outsourcing i sprzedała swój dział energii cieplnej. Klienci, których dotyczy przeniesienie, zostali poinformowani o przeniesieniu ich umów na dostawę energii elektrycznej i otrzymali prawo do sprzeciwu. W przypadku zgłoszonego sprzeciwu żadne dane osobowe klientów nie powinny być przekazywane nowej firmie. Jednak pomimo zgłoszenia przez klientów należytego sprzeciwu, ich dane zostały przekazane nowej spółce. link
Niemcy 2022-05-06 5.000 EUR Osoba prywatna Art. 5 (1) a) RODO, Art. 6 (1) RODO Organ ochrony danych w Hamburgu nałożył na osobę prywatną grzywnę w wysokości 5 000 euro. Osobnik sfilmował wiele młodych kobiet w miejscach publicznych. Niektóre z zarejestrowanych kobiet miały podobno mniej niż 14 lat. W kilku przypadkach ukarana osoba zbliżała się do filmowanych osób na odległość kilku centymetrów i podążała za nimi z kamerą do 38 minut. Podczas przeszukiwania plecaka policjanci znaleźli aparat cyfrowy i osiem kart pamięci. Zajęte karty pamięci zawierały łącznie 156 plików wideo. W trakcie dochodzenia organ ochrony danych stwierdził, że dana osoba przetwarzała dane osobowe młodych kobiet, które sfilmował, chociaż nie udzielono skutecznej zgody. link
Włochy 2022-05-22 12.000 EUR Comune di Napoli Corpo di Polizia Municipale Art. 5 (1) a) RODO, Art. 6 RODO, Art. 88 RODO, Art. 113 Codice della privacy Włoski organ ochrony danych nałożył grzywnę na organ policyjny „Comune di Napoli Corpo di Polizia Municipale” w wysokości 12 000 euro. Policja wysłała do różnych jednostek administracyjnych drogą mailową listę nazwisk, adresów, numerów podatkowych, danych kontaktowych i terminów umawiania się na badania pracowników na Covid-19. Jako podstawę prawną przetwarzania danych organ powołał się na zgodę pracowników. Organ ochrony danych stwierdził jednak, że organ nie może polegać na zgodzie, ponieważ dobrowolna zgoda jest wątpliwa w relacji pracownik-pracodawca. link
Włochy 2022-05-26 50.000 EUR Azienda sanitaria universitaria Friuli Occidentale Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO Włoski organ ochrony danych nałożył na placówkę służby zdrowia Azienda sanitaria universitaria Friuli Occidentale grzywnę w wysokości 50 000 euro. Pracownicy placówki mieli dostęp do danych o stanie zdrowia pacjentów, mimo że nie byli zaangażowani w leczenie pacjentów i dostęp ten nie był wymagany. Podczas dochodzenia organ ochrony danych ustalił, że platforma informatyczna placówki opieki zdrowotnej umożliwia każdemu pracownikowi dostęp do danych osobowych pacjentów, nawet jeśli faktycznie nie leczyli oni niektórych pacjentów. Ponadto organ ochrony danych stwierdził, że platforma informatyczna placówki służby zdrowia nie zainstalowała systemów, które wskazywałyby na niewłaściwe wykorzystanie danych osobowych. link
Włochy 2022-05-26 70.000 EUR Azienda sanitaria universitaria Friuli Centrale Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 70 000 euro na zakład opieki zdrowotnej Azienda sanitaria universitaria Friuli Centrale. Pracownicy placówki mieli dostęp do danych o stanie zdrowia pacjentów, mimo że nie byli zaangażowani w leczenie pacjentów i dostęp ten nie był wymagany. Podczas dochodzenia organ ochrony danych ustalił, że platforma informatyczna placówki opieki zdrowotnej umożliwia każdemu pracownikowi dostęp do danych osobowych pacjentów, nawet jeśli faktycznie nie leczyli oni niektórych pacjentów. Ponadto organ ochrony danych stwierdził, że platforma informatyczna placówki służby zdrowia nie zainstalowała systemów, które wskazywałyby na niewłaściwe wykorzystanie danych osobowych. link
Włochy 2022-05-12 2.000 EUR Targ Singh Art. 5 (1) a) RODO, Art. 13 RODO Włoski organ ochrony danych nałożył na właściciela sklepu „Singh Market” grzywnę w wysokości 2000 euro. Administrator zainstalował w swoich pomieszczeniach kamery do monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informowania określony w RODO. link
Włochy 2022-05-26 4.000 EUR Uniwersytet Rolniczy w Nettuno Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 4000 euro na Università Agraria di Nettuno. Były pracownik uczelni złożył skargę do organu ochrony danych w związku z opublikowaniem przez uczelnię dokumentu zawierającego jego dane osobowe. W dokumencie ujawniono informacje dotyczące sporu prawnego pomiędzy osobą, której dane dotyczą, a uczelnią. W trakcie dochodzenia organ ochrony danych stwierdził, że ze względu na brak ważnej podstawy prawnej publikacja była niezgodna z prawem. link
Włochy 2022-05-26 16.000 EUR Region Toskanii Art. 5 (1) c) RODO, Art. 6 (1) c) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 16 000 euro na region Toskanii. Region opublikował na swojej stronie internetowej dokumenty zawierające informacje o profesjonalistach z branży turystycznej, którzy złożyli wniosek o pomoc w nagłych wypadkach w kontekście pandemii Covid-19. Dokumenty zawierały m.in. nazwy, adresy osób, których dane dotyczą, a także kwotę przyznanej pomocy. link
Chorwacja 2022-07-21 285.000 EUR Firma telekomunikacyjna Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO Chorwacki organ ochrony danych nałożył grzywnę na firmę telekomunikacyjną w wysokości 285 000 euro. Firma doznała naruszenia bezpieczeństwa danych. Atakującym udało się uzyskać dostęp do danych około 100 000 osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził, że takie naruszenie było ułatwione przez niewdrożenie przez spółkę odpowiednich technicznych i organizacyjnych środków bezpieczeństwa przetwarzania danych osobowych. Na przykład systemy przetwarzania nie miały ograniczeń dostępu. Przy ocenie kary wzięto pod uwagę obciążająco fakt, że firma jest jedną z wiodących firm telekomunikacyjnych w Chorwacji i dlatego ze względu na dużą ilość przetwarzanych tam danych należało się spodziewać ryzyka ataku na systemy. Z tego właśnie powodu firma powinna była zwrócić większą uwagę na zapewnienie wystarczających środków bezpieczeństwa. link
Chorwacja 2022-07-21 4.000 EUR Sprzedawca samochodow Art. 27 (1) Zakona o provedbi Opće uredbe o zaštiti podataka Chorwacki organ ochrony danych nałożył na dealera samochodów grzywnę w wysokości 4 000 EUR. Administrator zainstalował w swoich pomieszczeniach kamery do monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. link
Włochy 2021-03-25 6.000 EUR Convitto Nazionale Statale 'Giordano Bruno' di Maddaloni (szkoła z internatem) Art. 5 (1) a) RODO, Art. 6 RODO, Art. 2-ter (1), (3) Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 1000 euro na szkołę z internatem Convitto Nazionale Statale „Giordano Bruno” di Maddaloni (CE). Internat opublikował na swojej stronie internetowej dokument zawierający dane osobowe osoby, której dane dotyczą, bez podstawy prawnej. link
Włochy 2022-05-12 600 EUR Gmina Villabate Art. 5 (1) a) RODO, Art. 6 RODO, Art. 37 (1) a) RODO, Art. 37 (7) RODO, Art. 38 (6) RODO Włoski organ ochrony danych nałożył na gminę Villabate grzywnę w wysokości 6 000 EUR. Gmina udostępniła dane osobowe byłego pracownika nieuprawnionym osobom trzecim bez ważnej podstawy prawnej. Organ ochrony danych stwierdził również, że gmina nie wyznaczyła inspektora ochrony danych. link
Włochy 2022-05-26 10.000 EUR Gmina Afragola Art. 5 (1) a), c) RODO, Art. 12 (3), (4) RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych nałożył na gminę Afragola grzywnę w wysokości 10 000 euro. Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ gmina opublikowała jego CV wraz z danymi osobowymi na stronie internetowej gminy, mimo że stosunek pracy ustał. Ponadto były pracownik złożył wniosek o sprzeciw wobec ujawnienia jego danych osobowych. Gmina nie odpowiedziała jednak na prośbę. link
Hiszpania 2022-07-18 56.000 EUR BANKINTER, S.A. Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 56 000 EUR na BANKINTER, SA. Administrator nieumyślnie wysłał raport dotyczący portfela inwestycyjnego osoby, której dane dotyczą, do strony trzeciej. Ukarany podmiot stwierdził, że ​​błędna wysyłka nastąpiła z powodu błędu komputera. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę integralności i poufności określoną w art. 5 ust. 1 lit. f RODO. link
Hiszpania 2022-07-19 4.000 EUR Pracownik księgarni Art. 5 (1) f) RODO, Art. 32 RODO Hiszpańska Agencja Ochrony Danych nałożyła na pracownika księgarni karę w wysokości 4000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ otrzymała od innej osoby fakturę zawierającą dane osobowe tej osoby. Pracownik nieumyślnie wysłał fakturę do niewłaściwego odbiorcy. link
Hiszpania 2022-07-19 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta zainstalowała w kamienicy, w której mieszka, kamery wideo, które nagrywały m.in. części wspólne wszystkich mieszkańców. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2022-07-19 5.000 EUR Właściciel baru Art. 5 (1) b) RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela baru grzywnę w wysokości 5 000 euro. Właściciel bezprawnie udostępnił nagrania z telewizji przemysłowej w barze za pośrednictwem WhatsApp i innych platform mediów społecznościowych link
Hiszpania 2022-07-19 600 EUR Osoba prywatna Art. 58 (2) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 600 euro. Osoba ta nie wdrożyła w odpowiednim czasie środków wielokrotnie nakazanych przez organ ochrony danych link
Hiszpania 2022-07-13 1.132.000 EUR DKV Seguros y Reaseguros, S.A.E. Art. 5 (1) f) RODO, Art. 32 RODO, Art. 33 RODO Hiszpański organ ochrony danych nałożył grzywnę na DKV Seguros y Reaseguros, SAE. Osoba fizyczna złożyła skargę do organu ochrony danych po otrzymaniu wielu wiadomości e-mail od administratora danych zawierających informacje od nieznanej osoby. Administrator wysłał 51 e-maili z zaświadczeniami lekarskimi zawierającymi imiona, nazwiska oraz dane dotyczące badań lekarskich osób, których dane dotyczą, do niewłaściwego odbiorcy. Skarżący kilkakrotnie ostrzegał administratora o niewłaściwej wysyłce, ale administrator nie odpowiedział, dopóki nie dowiedział się o skardze do organu ochrony danych. Administrator nie zgłosił naruszenia ochrony danych organowi ochrony danych. W toku dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa ochrony danych odpowiedniego do ryzyka. Pierwotna kara w wysokości 220 000 euro została obniżona do 132 000 euro z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. link
Niemcy 2021 Grzywna w sześciocyfrowej kwocie Firmy Art. 32 (1) RODO Hamburski organ ochrony danych nałożył sześciocyfrową grzywnę na hamburską firmę działającą w sektorze opieki zdrowotnej. Firma nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony danych odpowiedniego do ryzyka przy wysyłaniu listów lekarskich. W rezultacie pisma lekarskie skierowano do osoby, która mimo wykonywania zawodu medycznego nie była lekarzem prowadzącym dalsze leczenie chorych pacjentów. Zamiast tego listy były przeznaczone dla lekarza rodzinnego o tym samym nazwisku, co adresat. Firma była w przeszłości kilkakrotnie informowana o niepoprawnej wysyłce przez nieuprawnionego odbiorcę. Niemniej jednak nie podjęła środków organizacyjnych i technicznych, aby te incydenty się nie powtórzyły. Oceniając grzywnę, organ ochrony danych wziął pod uwagę obciążająco fakt, że przetwarzane dane dotyczyły danych dotyczących zdrowia oraz że dane te są szczególnie wrażliwe. link
Niemcy 2021 Nieznana Policja § 32 Absatz 1 BbgDSG Funkcjonariusz policji bezprawnie uzyskał dostęp do danych w policyjnej bazie danych. Z tego powodu brandenburski organ ochrony danych nałożył grzywnę za naruszenie § 32 ust. 1 BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do dostosowania RODO. link
Niemcy 2021 Nieznana Policja § 32 Absatz 1 BbgDSG Funkcjonariusz policji podczas przypadkowego spotkania bezprawnie ujawnił matce sprawcy dane osobowe dotyczące incydentu z jazdą pod wpływem alkoholu. Uważał, że matka, jako jego pracodawca, może zapobiec recydywie, wycofując samochód sprawcy. Jednak matka jest nieuprawnioną osobą trzecią, co oznacza, że ​​policjantowi nie wolno było ujawnić informacji. Z tego powodu brandenburski organ ochrony danych nałożył grzywnę za naruszenie § 32 ust. 1 BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do dostosowania RODO. link
Niemcy 2021 Nieznana Policja § 32 Absatz 1 BbgDSG Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. Funkcjonariusz policji przesłuchał proces śledztwa kolegi na tle rozprawy sądowej. Za pośrednictwem WhatsApp podzielił się informacjami, o których dowiedział się podczas nieautoryzowanych wyszukiwań. Z tego powodu brandenburski organ ochrony danych nałożył grzywnę za naruszenie § 32 ust. 1 BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do dostosowania RODO. link
Włochy 2021-01-27 10.000 EUR Miasto Rzym (stolica romska) Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na miasto Rzym (stolica romska). Miasto opublikowało na stronie internetowej gminy dokument stwierdzający, że matka nie uiszczała opłat za stołówkę. Dokument zawierał dane osobowe matki i jej małoletniego dziecka. Miasto stwierdziło, że w przypadku braku stałego adresu matki, na który można było wysłać zawiadomienie, opublikowało dokument powiadamiający bezdomną matkę o długu. Organ ochrony danych uznał jednak, że nie można tego uznać za wystarczającą podstawę prawną do przetwarzania danych osobowych, a tym samym miasto przetwarzało te dane niezgodnie z prawem. link
Niemcy 2021 Nieznana Lekarz Art. 6 RODO Brandenburgia nałożyła czterocyfrową grzywnę na lekarza zajmującego się psychoterapią dzieci i młodzieży. Lekarz założył Whatsgroup z 230 uczestnikami, aby przekazać swój nowy adres biura. Matka byłego nieletniego pacjenta złożyła w tej sprawie skargę do organu ochrony danych, ponieważ lekarz nie uzyskał zgody na grupę. Wszystkim członkom grupy ujawniono numery telefonów innych członków. W niektórych przypadkach członkowie grupy byli w stanie wyciągnąć wnioski, że dzieci ze znanych im rodzin są lub były leczone przez lekarza. Z tego powodu organ ochrony danych stwierdził, że lekarz bezprawnie przetwarzał dane członków grupy WhatsApp z powodu nieuzyskania zgody. link
Niemcy 2021 Nieznana Osoba prywatna Art. 6 RODO Organ ochrony danych Brandenburgii nałożył na pracownika firmy trzycyfrową grzywnę. Pracownik przekazywał dokumenty aplikacyjne otrzymane przez pracodawcę ze swojego służbowego adresu e-mail na swój prywatny adres e-mail bez upoważnienia w celu uzyskania sugestii dotyczących projektowania własnych aplikacji. Wcześniej nie zanonimizował życiorysów, więc nadal zawierały wszystkie dane osobowe i zawodowe skarżących. Ponieważ wysyłanie dokumentów aplikacyjnych na jego prywatny adres e-mail nie należał do jego obowiązków służbowych, organ ochrony danych stwierdził, że przekazanie było niezgodne z prawem. link
Niemcy 2021 Nieznana Osoba prywatna Art. 6 RODO Organ ochrony danych z Brandenburgii nałożył na pracownika firmy trzycyfrową grzywnę. Osoba ta wysłała arkusz kalkulacyjny Excel z danymi 56 pracowników na swój prywatny adres e-mail ze swojego oficjalnego komputera, chociaż nie było to konieczne do jej oficjalnych działań. Z tego powodu organ ochrony danych ustalił, że pracownik bezprawnie przekazał dane innych pracowników. Arkusz kalkulacyjny zawierał, oprócz imienia i nazwiska pracowników, zestawienie już wykorzystanych i pozostałych dni urlopu, naliczonych zwolnień chorobowych, danych o wynagrodzeniach, przepracowanych nadgodzinach i składkach na ubezpieczenie społeczne. link
Włochy 2022-05-22 7.000 EUR Azienda Socio Sanitaria Territoriale Dei Sette Laghi Art. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 000 EUR na zakład opieki zdrowotnej Azienda Socio Sanitaria Territoriale Dei Sette Laghi. Pacjent omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną od innego pacjenta we własnej dokumentacji. link
Cypr 2022 5.000 EUR Cypryjska Federacja Judo Art. 31 RODO Cypryjski organ ochrony danych nałożył grzywnę na Cypryjską Federację Judo. Ojciec członka wniósł skargę do organu ochrony danych, ponieważ trener judo jego nieletniego syna opublikował materiały fotograficzne i audiowizualne na platformie mediów społecznościowych bez jego uprzedniej zgody. W trakcie śledztwa trener nie współpracował w wystarczającym stopniu z organem ochrony danych, który w związku z tym nałożył grzywnę w wysokości 5 000 euro za naruszenie art. 31 RODO. link
Hiszpania 2022-07-01 300 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) ukarał osobę prywatną grzywną w wysokości 300 EUR za nieuprawnioną instalację kamery do monitoringu wideo na ich posesji. Kamery rejestrowały przestrzeń publiczną i sąsiednią posesję. AEPD stwierdził zatem, że taki nadzór wideo stanowił naruszenie zasady minimalizacji danych. link
Włochy 2022-05-26 2.000 EUR Tureckie miasto Art. 13 RODO Włoski organ ochrony danych nałożył na właściciela sklepu „Turkish City” grzywnę w wysokości 2000 euro. Administrator zainstalował w swoich pomieszczeniach kamery do monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informowania określony w RODO. link
Dania 2022-07-14 67.200 EUR SIRIUS (firma prawnicza) Art. 32 RODO Duński organ ochrony danych nałożył na kancelarię SIRIUS grzywnę w wysokości 67 200 euro. Kancelaria przeżyła atak cybernetyczny, w którym hakerzy uzyskali dostęp do serwerów firmy i je zaszyfrowali. Dało im to dostęp do informacji o klientach i partnerach biznesowych firmy. W trakcie dochodzenia organ ochrony danych stwierdził, że kancelaria nie posiadała podstawowych środków bezpieczeństwa, co zwiększało ryzyko nieuprawnionego dostępu do danych klientów. Na przykład systemy firmy nie zawierały wystarczających środków weryfikacyjnych, takich jak logowanie wieloskładnikowe. link
Polska 2022-07-06 12.450 EUR Główny Geodeta Kraju Art. 33 (1) RODO, Art. 34 (1) RODO Polski organ ochrony danych nałożył karę w wysokości 12 450 euro na publiczny instytut kartografii Głównego Geodetę Kraju. W instytucie doszło do naruszenia danych, w wyniku którego liczne numery ksiąg wieczystych były widoczne na stronie internetowej instytutu przez ponad 48 godzin. Numer księgi wieczystej pozwala ustalić szereg danych właścicieli, w tym imię i nazwisko, imiona rodziców oraz adres nieruchomości. Instytut nie zgłosił naruszenia organowi ochrony danych, w wyniku czego dowiedział się o incydencie z doniesień medialnych. Instytut nie poinformował również osób, których dane dotyczą, o incydencie. Z tego powodu organ ochrony danych uznał, że administrator naruszył art. 33 ust. 1 RODO i art. 34 ust. 1 RODO. link
Grecja 2022-07-13 20.000.000 EUR Clearview Al Inc. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 15 RODO, Art. 27 RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 20 000 000 EUR na Clearview AI Inc. Organizacja non-profit „Homos Digitalis” złożyła skargę do organu ochrony danych w imieniu osoby, której dane dotyczą. Firma posiada bazę danych zawierającą ponad 20 miliardów zdjęć twarzy (w tym wizerunków greckich mieszkańców i obywateli) z całego świata. Dane są gromadzone online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych uzyskanych z obrazów. Profile osób mogą być wzbogacone o informacje związane z tymi obrazami, takie jak tagi obrazów i geolokalizacja. W trakcie dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Organ ochrony danych stwierdził również, że spółka nie zapewniła osobie, której dane dotyczą, dostępu do jej danych osobowych, a tym samym narusza art. 15 RODO. Ponadto Cleaview naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. link
Cypr 2022 1.500 EUR Lekarz Art. 31 RODO Cypryjski organ ochrony danych nałożył na lekarza grzywnę w wysokości 1500 euro. Organ ochrony danych przeprowadził dochodzenie przeciwko lekarzowi za niezgodne z prawem działanie systemu monitoringu wideo. Dla celów dochodzeniowych DPA zażądał od lekarza informacji, których lekarz nie przekazał DPA. Z tego powodu organ ochrony danych uznał, że lekarz naruszył art. 31 RODO z uwagi na brak współpracy z Urzędem Ochrony Danych. link
Cypr 2022-02-04 10.000 EUR Εκδοτικού Οίκου Δίας Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacy Cypryjski organ ochrony danych nałożył na wydawcę Εκδοτικού Οίκου Δίας grzywnę w wysokości 10 000 EUR. Osoba publiczna złożyła skargę do organu ochrony danych. Wydawca opublikował na stronie internetowej nieprawidłowe informacje o sytuacji finansowej osoby, której dane dotyczą. W trakcie dochodzenia organ ochrony danych, porównując prawo wydawcy do wolności wypowiedzi z prawem osoby, której dane dotyczą, do prywatności i ochrony danych osobowych, stwierdził, że wydawca bezprawnie przetwarzał dane osoby, której dane dotyczą. link
Cypr 2022 2.000 EUR Rada Miejska Oroklini Art. 31 RODO Cypryjski organ ochrony danych nałożył na radę gminy Oroklini grzywnę w wysokości 2 000 EUR za niewłaściwą współpracę z organem ochrony danych podczas dochodzenia. link
Włochy 2022-05-12 20.000 EUR Bazar w Hu Xiaoyan Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 20 000 euro na firmę „Bazar di Hu Xiaoyan”. Ukarany podmiot eksploatował w swoich pomieszczeniach kamery monitoringu wideo bez wymaganego zezwolenia. Ponadto organ ochrony danych stwierdził, że brakuje znaków informacyjnych dotyczących przetwarzania danych osobowych przez kamery. link
Francja 2022-06-23 1.000.000 EUR TotalEnergies Electricité et Gaz France Art. 14 RODO, Art. 15 RODO, Art. 21 RODO Francuski organ ochrony danych nałożył grzywnę w wysokości 1 000 000 EUR na TotalEnergies Electricité et Gaz France. W ramach dochodzenia organ ochrony danych stwierdził, że administrator naruszył swoje obowiązki informacyjne wynikające z art. 14 RODO poprzez nieudzielenie osobom, których dane dotyczą, wystarczających informacji podczas kontaktu telefonicznego o przetwarzaniu ich danych osobowych w celach reklamowych. Ponadto spółka nie zastosowała się do próśb osób, których dane dotyczą, aby sprzeciwić się przetwarzaniu ich danych osobowych w celach reklamowych. Ponadto administrator nie odpowiedział w terminie na żądania osób, których dane dotyczą, wbrew obowiązkowi wynikającemu z art. 12 RODO. link
Hiszpania 2022-07-06 3.000 EUR ASOCIACIÓN DE AFICIONADOS Y PEQUEÑOS ACCIONISTAS UNIDAD HERCULANA Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 300 euro za naruszenie art. 5 ust. 1 lit. c RODO i 300 euro za naruszenie art. 13 RODO. link
Hiszpania 2022-07-05 600 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 300 euro za naruszenie art. 5 ust. 1 lit. c RODO i 300 euro za naruszenie art. 13 RODO. link
Hiszpania 2022-07-06 56.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że ​​nieuprawnione osoby trzecie uzyskały dostęp do jej konta Vodafone i zawarły w ich imieniu nową umowę, a także kupiły iPhone'a 12. Organ ochrony danych zauważa, że ​​administrator nie sprawdził odpowiednio, czy umowy były zgodne z prawem. i faktycznie zawarte przez osobę, której dane dotyczą. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro z powodu dobrowolnej wpłaty. link
Norwegia 2022-03-04 195.000 EUR Parlament norweski Art. 5 (1) f) RODO, Art. 32 (1) b), d) RODO Norweski organ ochrony danych nałożył na norweski parlament grzywnę w wysokości 195 000 euro. W parlamencie doszło do naruszenia danych, w wyniku którego osoby nieuprawnione uzyskały dostęp do kont e-mail posłów i pracowników administracji parlamentarnej. Atakującym udało się wykraść dane, w tym dane osobowe dotyczące kont bankowych, daty urodzenia i dane dotyczące zdrowia. Podczas dochodzenia organ ochrony danych stwierdził, że parlament nie wprowadził wystarczających mechanizmów bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe, mimo że analiza ryzyka przeprowadzona w 2020 r. wykazała, że ​​stanowi to duże zagrożenie dla prywatności. Z tego powodu organ ochrony danych stwierdził, że administracja parlamentarna nie podjęła odpowiednich środków technicznych i organizacyjnych w celu osiągnięcia wystarczającego poziomu bezpieczeństwa. link
Włochy 2022-05-26 100.000 EUR Intesa Sanpaolo S.p.A Art. 5 (1) a), f) RODO, Art. 6 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 100 000 euro na Intesa Sanpaolo S.p.A. Bank bezprawnie ujawnił dane osoby, której dane dotyczą, nieuprawnionym osobom trzecim (ojcu osoby, której dane dotyczą). Ojciec osoby, której dane dotyczą, były pracownik banku, był upoważniony do dostępu do danych bankowych swojej córki do czasu osiągnięcia przez nią pełnoletności. Ojciec zażądał jednak dostępu do danych córki, która w międzyczasie osiągnęła już pełnoletność. Pracownik banku podejrzewał, że ojciec nadal ma upoważnienie i z tego powodu przekazał dane córki. link
Włochy 2022-05-26 46.000 EUR Azienda Sanitaria Locale Roma Art. 5 (1) c) RODO, Art. 6 (1) c), d) RODO, Art. 6 (2), (3) RODO, Art. 9 (1), (2), (4) RODO, Art. 2-ter (1), (2) Codice della privacy, Art. 2-septies (8) Codice della privacy Włoski organ ochrony danych nałożył na Azienda Sanitaria Locale Roma grzywnę w wysokości 46 000 EUR. Placówka zdrowia opublikowała na swojej stronie internetowej nazwiska i informacje o stanie zdrowia 1337 pacjentów. W większości przypadków dotyczyło to dokumentacji medycznej osób, których dane dotyczą, w tym dokumentów medycznych, ocen niepełnosprawności, badań, raportów technicznych itp. W tym kontekście organ ochrony danych stwierdził, że instytucja opieki zdrowotnej przetwarzała dane niezgodnie z prawem, a także naruszona zasada minimalizacji danych. link
Grecja 0222-06-20 2.000 EUR WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ Art. 15 RODO Grecki organ ochrony danych nałożył na WIND Ελλάς Τηλεπικοινωνίες grzywnę w wysokości 2 000 EUR. Klient firmy wysłał e-mail z prośbą o dostęp do materiału zarejestrowanego przez kamery sklepu, na których się pojawiali. Osoba, której dane dotyczą, nigdy nie otrzymała odpowiedzi na to żądanie. Dopiero gdy organ poprosił o odpowiedź, administrator odpowiedział, że prośba osoby, której dane dotyczą, nie może zostać spełniona, ponieważ nagrany materiał został usunięty. Organ ochrony danych uznał to za naruszenie art. 15 RODO. link
Grecja 2022-06-24 2.000 EUR Kandydat w wyborach parlamentarnych Art. 12 RODO, Art. 11 Law 3471/2006 Grecki organ ochrony danych nałożył na kandydata do parlamentu karę w wysokości 2 tys. euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych z powodu otrzymania niezamówionej reklamy wyborczej za pośrednictwem SMS-a od polityka. Osoba, której dane dotyczą, podała politykowi, który był ministrem przed wyborami, własne dane kontaktowe, ale nie do celów reklamy wyborczej. Polityk przetwarzał zatem dane w innym celu niż uzgodniony, bez zgody osoby, której dane dotyczą, ani bez poinformowania o tym osoby, której dane dotyczą. Osoba, której dane dotyczą, zażądała następnie usunięcia swoich danych oraz zaprzestania wysyłania wiadomości SMS. Polityk jednak nie zastosował się do tej prośby i SMS nadal był wysyłany. link
Finlandia 2022-05-09 85.000 EUR Otavamedia Oy Art. 5 (1) c) RODO, Art. 12 (1), (2), (3), (4), (6) RODO, Art. 15 RODO, Art. 17 RODO, Art. 25 RODO Fiński organ ochrony danych nałożył na Otavamedia Oy grzywnę w wysokości 85 000 euro. Organ ochrony danych otrzymał jedenaście skarg dotyczących Otavamedia w latach 2018-2021. Skargi dotyczyły przede wszystkim braku odpowiedzi na zapytania osób, których dane dotyczą. Otavamedia wyjaśniła, że ​​niektóre żądania dotyczące prywatności nie zostały spełnione z powodu problemów technicznych z zarządzaniem pocztą elektroniczną. Podczas incydentu wiadomości otrzymane w skrzynce e-mail z zapytaniem dotyczącym prywatności nie były przekazywane przedstawicielom obsługi klienta. Sytuację odkryto dopiero po siedmiu miesiącach. W tym kontekście organ ochrony danych zauważył, że Otovamia powinna była przetestować nowy system poczty elektronicznej przed jego użyciem, aby móc zagwarantować odpowiedź na wnioski i prawa osób, których dane dotyczą. Możliwe było uzyskanie analogicznego wniosku, ale formularz wniosku musiał być podpisany przez osoby, których dane dotyczą, w celu identyfikacji. Jednak Otavamedia nie przetwarzała danych podpisu w żadnym innym kontekście, więc podpis nie mógł być nawet zweryfikowany. Organ ochrony danych stwierdził, że Otavamedia zebrała w ten sposób niepotrzebnie dużą ilość danych do celów identyfikacji i utrudniła korzystanie z praw osób, których dane dotyczą, wymagając podpisów. link
Hiszpania 2022-05-24 42.000 EUR Alquiler Seguro SA Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na Alquiler Seguro SA karę w wysokości 42 000 euro. Firma ogłosiła ofertę pracy, o którą ubiegała się osoba, której dane dotyczą. W ramach procesu aplikacyjnego firma zwróciła się do agencji kredytowej o informacje na temat zdolności kredytowej osoby, której dane dotyczą. Jednak osoba zainteresowana nigdy nie wyraziła zgody na takie zapytanie dotyczące jej zdolności kredytowej przez Alquiler Seguro ani nie została o tym poinformowana. Z tego powodu organ ochrony danych uznał, że Alquiler Seguro przetwarzał dane osoby, której dane dotyczą bez ważnej podstawy prawnej, a tym samym naruszył art. 6 ust. 1 RODO. link
Hiszpania 2022-07-01 500 EUR osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) ukarał osobę prywatną grzywną w wysokości 500 EUR za nieuprawnioną instalację kamery do monitoringu wideo na ich posesji. Kamery rejestrowały przestrzeń publiczną i sąsiednią posesję. AEPD stwierdził zatem, że taki nadzór wideo stanowił naruszenie zasady minimalizacji danych. link
Grecja 2022-06-29 3.000 EUR Psycholog dziecięcy Art. 31 RODO Grecki organ ochrony danych nałożył grzywnę na psychologa dziecięcego w wysokości 3 000 euro. Psycholog nie współpracował właściwie z organem ochrony danych podczas dochodzenia. link
Wielka Brytania 2022-06-09 91.000 EUR Tavistock & Portman NHS Foundation Trust Art. 5 (1) f) RODO, Art. 32 RODO Brytyjski organ ochrony danych (ICO) nałożył grzywnę na fundację Tavistock i Portman NHS Foundation Trust w wysokości 91 000 EUR. Fundacja Tavistock and Portman NHS Foundation Trust jest specjalistycznym funduszem powierniczym zajmującym się zdrowiem psychicznym z siedzibą w Londynie. Na początku września 2019 r. trust chciał przeprowadzić konkurs, w którym poprosił pacjentów w klinice tożsamości płciowej o dostarczenie grafiki do dekoracji odnowionego budynku kliniki. W tym celu nieumyślnie wysłano dwie wiadomości e-mail z otwartą listą dystrybucyjną (jeden do 912 odbiorców, a drugi do 869 odbiorców). Z treści e-maila jasno wynikało, że wszyscy odbiorcy to pacjenci kliniki. Zaufanie natychmiast rozpoznało błąd i bezskutecznie próbowało odzyskać e-maile. W ramach dochodzenia MKOl ustalił, że trust nie dysponuje żadnymi środkami technicznymi ani organizacyjnymi, aby zapobiec lub złagodzić ten wysoce przewidywalny błąd ludzki. ICO oceniło szkody wyrządzone osobom dotkniętym problemem jako wysokie, biorąc pod uwagę, że informacje o relacjach dotkniętych osób z kliniką tożsamości płciowej są bardzo wrażliwymi danymi osobowymi. W związku z natychmiastowym wdrożeniem środków bezpieczeństwa oraz szeroką współpracą z ICO kara została obniżona z 910.000 euro do 91,00 euro. link
Hiszpania 2022-06-28 3.000 EUR FLY FUT, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na firmę FLY FUT, SL, specjalizującą się w filmowaniu z drona podczas meczów piłki nożnej, w wysokości 3 000 euro. Ojciec złożył skargę do organu ochrony danych, ponieważ firma sfilmowała jego nieletnią córkę grającą w piłkę nożną podczas meczu w lokalnym klubie bez jego zgody. Z tego powodu organ ochrony danych stwierdził, że administrator przetwarzał dane córki bez ważnej podstawy prawnej. link
Rumunia 2022-06-30 2.000 EUR Continental Automotive Romania SRL Art. 24 RODO, Art. 32 (1) d) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 2 000 euro na Continental Automotive Romania SRL. Administrator zgłosił naruszenie danych do organu ochrony danych na podstawie art. 33 RODO. Ukarany podmiot wykrył na swoim terenie 135 nieautoryzowanych i niewłaściwie skonfigurowanych kamer monitorujących, które m.in. rejestrowały obrazy pracowników na obszarze produkcyjnym. Kamery te były podłączone do nieoficjalnych i niechronionych systemów kamer. Z tego powodu organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych pracowników. link
Hiszpania 2022-06-23 30.000 EUR RADIO TELEVISION MADRID, S.A. Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył grzywnę na RADIO TELEVISION MADRID, SA. Kilka mediów, w tym ukarany podmiot opublikowało nagranie audio z zeznań wielu ofiar gwałtu w sądzie na swoich stronach internetowych oraz na Twitterze, aby zrelacjonować sprawę. Sprawa przyciągnęła wiele uwagi mediów. Podczas dochodzenia organ ochrony danych ustalił, że prawo ofiary gwałtu do prywatności przeważa nad wolnością informacji administratora. Nagrania audio ofiary nie dodały żadnej znaczącej wartości do zgłoszenia, ale raczej poważnie naruszyły prywatność ofiary. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych. Pierwotna kara w wysokości 50 000 euro została obniżona do 30 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Hiszpania 2022-06-23 30.000 EUR "CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A. " Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył grzywnę na CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A. Kilka mediów, w tym ukarany podmiot, opublikowało nagranie audio z zeznań wielu ofiar gwałtu w sądzie na swoich stronach internetowych oraz na Twitterze, aby zgłosić sprawę. Sprawa przyciągnęła wiele uwagi mediów. Podczas dochodzenia organ ochrony danych ustalił, że prawo ofiary gwałtu do prywatności przeważa nad wolnością informacji administratora. Nagrania audio ofiary nie dodały żadnej znaczącej wartości do zgłoszenia, ale raczej poważnie naruszyły prywatność ofiary. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych. Pierwotna kara w wysokości 50 000 euro została obniżona do 30 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Hiszpania 2022-02-28 1.000 EUR Firma Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 1000 euro. Firma poprosiła klientów o różne dane osobowe w celu umówienia się na spotkania. Organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. link
Węgry 2022-02-08 634.000 EUR Budapest Bank Zrt. Art. 5 (1) a), b) RODO, Art. 6 (1), (4) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 (1), (2) RODO, Art. 24 (1) RODO, Art. 25 (1), (2) RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę na Budapest Bank Zrt. 634 000 euro. NAIH informuje, że bank wykorzystał oprogramowanie oparte na sztucznej inteligencji, aby zautomatyzować ocenę stanu emocjonalnego klientów. System oceny mowy określał, którzy klienci powinni zostać przywołani na podstawie nastroju klienta. Bank obsługiwał aplikację w celu zapobiegania reklamacji i utrzymania klientów. Bank nie informował osób, których dane dotyczą, że przetwarzanie ich danych służy m.in. do celów zatrzymania klientów, co oznacza, że ​​klienci nie mogli wnieść sprzeciwu wobec przetwarzania. W rezultacie prawa osób, których dane dotyczą, dotyczące adekwatnych informacji oraz prawa do sprzeciwu nie zostały zagwarantowane. Organ ochrony danych stwierdził również, że uzasadniony interes banku jako podstawa prawna przetwarzania danych osobowych nie był wystarczająco uzasadniony, ponieważ bank nie zbadał w wystarczającym stopniu interesów osób, których dane dotyczą. Bank przetwarzał w ten sposób dane bez ważnej podstawy prawnej.
Polska 2022-05-31 2.100 EUR Stołeczny Ośrodek dla Osób Nietrzeźwych Art. 5 (1) a) RODO, Art. 6 RODO Polski organ ochrony danych nałożył grzywnę w wysokości 2100 euro na „Stołeczny Ośrodek dla Osób Nietrzeźwych”, ośrodek dla osób cierpiących na alkoholizm. Podczas dochodzenia organ ochrony danych stwierdził, że w obiekcie zainstalowano kamery do monitoringu wideo. System monitoringu rejestrował zarówno obrazy, jak i dźwięki mieszkańców. Placówka uzasadniła instalację monitoringu wizyjnego celami związanymi z bezpieczeństwem i zdrowiem osób niepełnosprawnych alkoholowo. Organ ochrony uznał jednak, że cele te nie stanowią wystarczającej podstawy prawnej i ośrodek bezprawnie przetwarzał dane osobowe mieszkańców. link
Włochy 2022-05-22 3.000 EUR Zito Auto di Gianfranco Zito Art. 5 (1) a), c) RODO, Art. 114 Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 3 000 euro na firmę Zito Auto di Gianfranco Zito. Firma zainstalowała kamery monitorujące, które monitorowały m.in. przestrzenie publiczne i pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO). link
Dania 2022-06-22 134.000 EUR Gyldendal A/S Art. 5 (1) e) RODO Duński organ ochrony danych nałożył na wydawcę Gyldendal A/S grzywnę w wysokości 134 000 EUR. Podczas dochodzenia organ ochrony danych ustalił, że firma przechowywała dane około 685 000 członków klubów książki Gyldendal bez subskrypcji dłużej niż to konieczne. Zamiast usuwać dane wyrejestrowanych członków klubu książki, Gyldendal przechowywał je w bazie danych. Dane około 395 000 byłych członków, których to dotyczy, były przechowywane przez ponad 10 lat. Ponadto organ ochrony danych stwierdził, że Gyldendal nie posiada procedury ani wytycznych dotyczących usuwania danych. link
Hiszpania 2022-06-24 180 EUR Właściciel sklepu Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 EUR za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie link
Rumunia 2022-06-20 7.000 EUR Asociația de Proprietari Aviației Park Art. 5 (1) a), c), e) RODO, Art. 5 (2) RODO, Art. 6 RODO Rumuński organ ochrony danych nałożył grzywnę na Asociația de Proprietari Aviației Park, operatora obiektu mieszkalnego, w wysokości 7 000 EUR. Administrator przetwarzał dane osobowe (nazwisko, imię, numer i serię dowodu osobistego, miejsce docelowe, czas przybycia, czas odjazdu, uwagi) osób dostarczających i/lub kurierów bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych. Ponadto organ ochrony danych stwierdził, że administrator nie ustalił okresu przechowywania danych osobowych przetwarzanych przez system monitoringu wideo i przechowywał je dłużej niż to konieczne. link
Rumunia 2022-06-20 1.000 EUR SC Interactions Marketing SRL Art. 32 (1) b) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 1000 euro na SC Interactions Marketing SRL. Kontroler wysłał wiadomości reklamowe pocztą elektroniczną do kilku osób w imieniu innej firmy. Jeden z odbiorców złożył skargę do organu ochrony danych, ponieważ administrator wysłał wiadomości reklamowe na otwartej liście dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców były widoczne dla innych odbiorców. link
Hiszpania 2022-06-17 1.000 EUR Firma Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 1000 euro za nieumieszczenie na jej terenie znaków informacyjnych dotyczących nadzoru CCTV. link
Hiszpania 2022-06-16 1.000 EUR SCOTCH CORNER BAR Art. 5 (1) c) RODO, Art. 58 (2) RODO Hiszpański organ ochrony danych nałożył na operatora baru SCOTCH CORNER BAR grzywnę w wysokości 1000 EUR. Ukarany podmiot zainstalował system telewizji przemysłowej, który obejmował również część przestrzeni publicznej. Ponadto administrator nie dostarczył organowi ochrony danych żądanych informacji. link
Włochy 2022-04-28 70.000 EUR Ospedale San Raffaele s.r.l. Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 70 000 euro na zakład opieki zdrowotnej Ospedale San Raffaele s.r.l. Szpital zgłosił dwa naruszenia danych do organu ochrony danych na podstawie art. 33 RODO. W pierwszym przypadku oddział neurologii szpitala wysłał biuletyn z otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail odbiorców były widoczne dla wszystkich odbiorców. Spośród 499 adresów e-mail, których dotyczy problem, 321 adresów e-mail dotyczyło pacjentów i 46 dotyczyło członków rodziny/opiekunów pacjentów, co pozwoliło na identyfikację tych osób z imienia i nazwiska. W drugim przypadku oddział chirurgiczny wysłał biuletyn na otwartej liście dystrybucyjnej, więc ponownie adresy e-mail odbiorców były widoczne dla wszystkich odbiorców. Z 90 adresów e-mail, których to dotyczyło, 75 adresów e-mail dotyczyło pacjentów i/lub członków rodziny/opiekunów pacjentów, co oznaczało, że osoby te można było zidentyfikować z imienia i nazwiska. Organ ochrony danych uznał to za naruszenie zasady „integralności i poufności”, która wymaga, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przez odpowiednie środki techniczne i organizacyjne. W odniesieniu do obliczenia grzywny organ ochrony danych uwzględnił dodatkowo fakt, że naruszenie danych dotyczyło również danych dotyczących zdrowia zainteresowanych osób. Z korzyścią wzięto pod uwagę fakt, że szpital wprowadził środki mające na celu zapobieganie takim zdarzeniom w przyszłości oraz w dużym stopniu współpracował z organem ochrony danych. link
Norwegia 2022-05-16 14.500 EUR Arbeidstilsynet Art. 6 (1) e) RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Norweską Inspekcję Pracy „Arbeidstilsynet” grzywnę w wysokości 14 500 EUR. Administrator przeprowadził kontrolę zdolności kredytowej osoby, której dane dotyczą, bez ważnej podstawy prawnej, aby to zrobić. link
Belgia 2022-06-16 50.000 EUR SA Rossel & Cie Art. 6 (1) a) RODO, Art. 7 (1) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO Belgijski organ ochrony danych nałożył na spółkę medialną SA Rossel & Cie karę w wysokości 50 tys. euro. W toku dochodzenia organ ochrony danych stwierdził naruszenia RODO na trzech obsługiwanych przez firmę serwisach internetowych. Na przykład firma umieściła pliki cookie, które nie były wymagane bez zgody odwiedzających witrynę. Firma uznała również odwiedzenie innych stron internetowych za zgodę na dalsze umieszczanie plików cookie na tych stronach. Ponadto pola dotyczące zgody na pliki cookie stron trzecich zostały już wcześniej zaznaczone. Ponadto polityka dotycząca plików cookie była niekompletna i trudno dostępna dla odwiedzającego. Wreszcie, organ ochrony danych stwierdził, że firma umieszczała nowe pliki cookie, mimo że użytkownicy cofnęli zgodę na pliki cookie. link
Włochy 2022-04-28 20.000 EUR Nos s.r.l.s. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 14 RODO Włoski organ ochrony danych nałożył grzywnę na Nos s.r.l.s. w kwocie 20 000 EUR. Nos działał jako procesor dla Vodafone i robił reklamy dla firmy telekomunikacyjnej. W tym celu Nos pozyskał i przetwarzał dane osobowe od spółek Kdata Ltd. oraz Dynamic Web Solution Sp. W trakcie dochodzenia organ ochrony danych stwierdził, że osoby, których dane dotyczą, nie wyraziły zgody na takie wykorzystanie ani nie zostały o tym poinformowane przez nr. link
Hiszpania 2022-06-09 10.000 EUR Osoba prywatna Art. 6 RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 10 000 EUR. Osoba ta stworzyła upokarzający i dyskryminujący film z trójką rodzeństwa w oparciu o kolor skóry i udostępnił go na swoim profilu na Instagramie oraz w WhatsApp. link
Rumunia 2022-06-15 2.000 EUR S.C. Wine Point S.R.L. Art. 32 (1) b) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 3 000 EUR na S.C. Wine Point S.R.L. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z otrzymaniem reklamowego e-maila od administratora, który zawierał listę dystrybucyjną zawierającą adresy e-mail 810 innych osób, a także własne, było widocznych dla pozostałych odbiorców. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poufności przetwarzanych danych osobowych. link
Niemcy 2021 Grzywna w czterocyfrowej kwocie Agent nieruchomości Art. 6 RODO, Art. 12 RODO Brandenburgia nałożyła grzywnę na pośrednika w obrocie nieruchomościami. Agent nieruchomości skontaktował się z osobą fizyczną i zaproponował jej sprzedaż posiadanej przez niego nieruchomości. Ponieważ osoba fizyczna nie przekazała swoich danych pośrednikowi w obrocie nieruchomościami, poprosił o informacje o pochodzeniu danych oraz o ich usunięcie. Agent nieruchomości poinformował osobę, której dane dotyczą, że usunęła dane. Nie zastosowała się jednak do prawa dostępu do danych osoby, której dane dotyczą. Pół roku później osoba, której dane dotyczą, ponownie otrzymała wiadomość od agenta nieruchomości, pomimo potwierdzonego usunięcia jej danych. Z tego powodu organ ochrony danych ustalił, że pośrednik w obrocie nieruchomościami przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej, a tym samym niezgodnie z prawem. link
Włochy 2022-04-28 40.000 EUR Il Sole 24 Ore S.p.a. Art. 5 RODO, Art. 9 RODO, Art. 12 RODO Włoski organ ochrony danych nałożył grzywnę na gazetę Il Sole 24 Ore S.p.a. 40 000 euro. Gazeta opublikowała artykuł o uznaniu przez władze włoskie decyzji sędziego amerykańskiego w sprawie adopcji dziecka przez parę osób tej samej płci. Gazeta przez pomyłkę opublikowała również dane osobowe pary i adoptowanego dziecka. Para następnie zażądała usunięcia danych osobowych i dostępu do informacji o przetwarzaniu danych osobowych. Gazeta usunęła dane osobowe, ale nie zastosowała się do prawa dostępu osób, których dane dotyczą. link
Włochy 2022-04-28 2.000 EUR Ekss s.r.l. Art. 5 (1) a) RODO, Art. 13 RODO Włoski organ ochrony danych nałożył grzywnę na operatora restauracji Ekss s.r.l. 2000 euro. Administrator zainstalował w swoich pomieszczeniach kamery do monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informowania określony w RODO. link
Hiszpania 2022-06-09 600 EUR Osoba prywatna Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która uchwyciła również zagraniczną przestrzeń prywatną sąsiada i przestrzeń publiczną link
Niemcy 2021 Grzwywna w czterocyfrowej kwocie Firma Nieznana Organ ochrony danych Brandenburgii nałożył na firmę grzywnę. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z faktem, że firma wyprodukowała nagranie wideo, na którym można było zobaczyć skarżącego. Skarżący skontaktował się następnie z firmą i poprosił ją o usunięcie filmu i powstrzymanie się od publikacji w Internecie. Mimo to firma opublikowała wideo na swojej stronie internetowej, a także w kilku sieciach społecznościowych. Co więcej, nawet gdy organ ochrony danych poprosił firmę o usunięcie filmu, firma usunęła film tylko ze swojej strony internetowej, ale nie z sieci społecznościowych. Dopiero po tym, jak organ ochrony danych zażądał od firmy ponownego usunięcia filmu, firma faktycznie zastosowała się do tego i usunęła film również z sieci społecznościowych. link
Niemcy 2021 Grzywna w trzycyfrowej kwocie Lekarz Art. 6 RODO, Art. 9 RODO Urząd Ochrony Danych Brandenburgii nałożył na lekarza grzywnę. Ojciec małoletniego pacjenta złożył skargę do urzędu ochrony danych, ponieważ lekarz przekazał do centralnego biura rozliczeniowego liczne dane dotyczące jego dziecka. Dane zawierały informacje dotyczące imienia i nazwiska dziecka, adresu, daty urodzenia, numeru ubezpieczenia zdrowotnego, udzielonych świadczeń medycznych i postawionych diagnoz. Lekarz przekazał dane bez zgody rodziców, a tym samym bez ważnej podstawy prawnej. link
Włochy 2022-04-28 2.000 EUR Gmina Partanna Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy Społeczność opublikowała na swojej stronie internetowej informacje o sprawie sądowej, w tym dane osobowe, takie jak imię i nazwisko oraz informacje zawodowe osoby, której dane dotyczą. link
Niemcy 2021 Nieznany Klinika Nieznane DPA z Berlina nałożył grzywnę na klinikę. Klinika wyznaczyła kierownika kliniki, który był również udziałowcem kliniki, jako inspektora ochrony danych. Inspektor ochrony danych może wykonywać inne zadania i obowiązki, ale firma musi zapewnić, aby inne zadania i obowiązki nie prowadziły do ​​konfliktu interesów. W niniejszej sprawie wystąpił jednak taki konflikt interesów. Z jednej strony kierownik kliniki musiał podejmować decyzje ekonomiczne na swoim stanowisku kierowniczym, z drugiej musiał monitorować przestrzeganie przez klinikę przepisów o ochronie danych. Organ ochrony danych zauważył również, że taka podwójna rola niesie ze sobą ryzyko, że pacjenci i pracownicy będą niechętnie zwracać się o pomoc do inspektora ochrony danych, również dyrektora szpitala, w przypadku krytycznych pytań dotyczących przetwarzania danych osobowych. link
Niemcy 2021 Nieznany Adwokat Art. 5 RODO, Art. 6 RODO DPA z Berlina nałożył grzywnę na adwokata. Adwokat prowadził spór z klientem przez kilka lat o roszczenie pieniężne. Przez dwa lata publikował na swoim blogu imiona i nazwiska, adresy zamieszkania klienta i członków jego rodziny, a także różne niezredagowane fragmenty akt – i powołał się na przywilej prasowy. Nie była to jednak publikacja czysto publicystyczna. Adwokat był raczej zainteresowany przyspieszeniem spłaty kwoty pieniężnej, do której uważał, że jest uprawniony. Ponieważ pełnomocnik nie mógł zatem powoływać się na tajemnicę prasową jako podstawę prawną przetwarzania danych, organ ochrony danych stwierdził, że przetwarzał on dane osób, których dane dotyczą, niezgodnie z prawem. link
Niemcy 2021 Nieznany Sprzedawca napojów Nieznany Berliński organ ochrony danych nałożył grzywnę na sprzedawcę napojów. Detalista obsługiwał system monitoringu wideo, w którym kąt obserwacji kamer rozciągał się na przestrzeń publiczną. link
Niemcy 2021 Nieznany Klinika medyczna Art. 5 RODO, Art. 6 RODO DPA z Berlina nałożył grzywnę na klinikę medyczną. Klinika zainstalowała na swoim terenie 21 kamer w celu ochrony przed przestępczością i zniszczeniem mienia. Umożliwiło to całodobowy monitoring pracowników i pacjentów. Klinika oparła się na zgodzie udzielonej przez pracowników i znakach informacyjnych jako podstawie prawnej dla monitoringu wideo. Organ ochrony danych stwierdził jednak, że klinika nie może oprzeć nadzoru wideo na zgodzie, ponieważ dobrowolna zgoda w relacji pracownik-pracodawca jest wątpliwa. Również wyraźnie widoczne napisy z monitoringu nie pozwalają na stwierdzenie, że pacjenci, wchodząc do monitorowanego obiektu, zgodnie z prawem wyrażają zgodę na obserwację. Organ ochrony danych nie mógł znaleźć żadnych innych dowodów, które uzasadniałyby tak szeroki nadzór wideo kliniki. link
Niemcy 2021 Nieznany Pracownik urzędu pracy Art. 5 RODO, Art. 6 RODO Pracownik urzędu pracy miał dostęp do danych w społecznych systemach baz danych oraz w księdze stanu cywilnego w celach prywatnych. link
Niemcy 2021 Nieznany Pracownik urzędu pracy Art. 5 RODO, Art. 6 RODO Pracownik urzędu pracy miał dostęp do danych w społecznych systemach baz danych oraz w księdze stanu cywilnego w celach prywatnych. Pracownica chciała udowodnić, że dwóch jej współpracowników było ze sobą w związku i sprawdziła adresy rejestracyjne obu z nich. link
Niemcy 2021 Nieznany Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. Policjant oskarżony w sprawie karnej zamierzał wykorzystać informacje z policyjnej bazy danych do przygotowania swoich zeznań w sądzie. link
Niemcy 2021 Nieznany Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. Funkcjonariusz policji zapytał nowego partnera byłej żony przyjaciela, ponieważ obawiał się, że dobro wspólnego dziecka może być zagrożone przez nowego partnera. link
Niemcy 2021 Nieznany Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. Funkcjonariusz policji zbadał proces śledczy swojego pasierba, aby przygotować go do złożenia zeznań i przekonać funkcjonariusza prowadzącego sprawę o innej sekwencji przestępstwa. link
Niemcy 2021 Nieznany Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji wykorzystał dane osobowe świadka, aby skontaktować się z nią osobiście. link
Niemcy 2021 Nieznany Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji wielokrotnie uzyskiwał dostęp do danych w policyjnej bazie danych w celach prywatnych. link
Niemcy 2021 Nieznany Nieznany Nieznany Aby zwalczyć pandemię Covid 19, cmentarz wystawił otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Pracownik cmentarza pozyskiwał imiona, nazwiska i numery telefonów kobiet z list kontaktowych, aby prywatnie skontaktować się z kobietami i wypytać je m.in. o stan ich związku. Organ ochrony danych stwierdził, że wykorzystanie danych osobowych z list kontaktów do dokumentacji kontroli infekcji poza śledzeniem kontaktów było niezgodne z prawem i w związku z tym nałożył grzywnę. link
Niemcy 2021 Nieznany Nieznany Nieznany Aby zwalczyć pandemię Covid 19, restauracja wystawiła otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Pracownik restauracji pozyskiwał imiona, nazwiska i numery telefonów kobiet z list kontaktowych, aby prywatnie skontaktować się z kobietami i zapytać ich m.in. o status związku. Organ ochrony danych stwierdził, że wykorzystanie danych osobowych z list kontaktów do dokumentacji kontroli infekcji poza śledzeniem kontaktów było niezgodne z prawem i w związku z tym nałożył grzywnę. link
Niemcy 2021 170 EUR Restauracja Art. 5 (1) b) RODO W celu zidentyfikowania gościa, który nie zapłacił, z kilkoma gośćmi skontaktowali się pracownicy restauracji. Wykorzystano w tym celu numery telefonów podane przez gości w ramach śledzenia kontaktów Covid. Ponieważ goście podali swoje dane wyłącznie w celu kontroli infekcji, organ ochrony danych uznał kontakt w celu identyfikacji gościa za naruszenie zasady celowości (art. 5 ust. 1 lit. b RODO). link
Niemcy 2021 400 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych w celach prywatnych. Funkcjonariusz kupił notebook do użytku prywatnego na platformie internetowej. Ponieważ sprzedawca nie zgodził się na negocjacje dotyczące sposobu płatności, funkcjonariusz wykorzystał policyjny system informacyjny do uzyskania informacji o sprzedawcy. Funkcjonariusz policji wysłał następnie kilka wiadomości do sprzedawcy, w których przekazał mu pewne dane osobowe, które uzyskał podczas wyszukiwania w policyjnej bazie danych. Celem było wzmocnienie jego zapotrzebowania na alternatywną metodę płatności poprzez wspomnienie uzyskanych informacji. link
Niemcy 2021 600 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych w celach prywatnych, aby uzyskać informacje o nowym adresie swojej byłej żony. W międzyczasie odkrył, dokąd przeprowadziła się jego była żona. Następnie funkcjonariusz udał się do nowego mieszkania swojej byłej dziewczyny i spotkał się z nią przed wejściem do nowego domu. To tak przeraziło jego byłą żonę, że zgłosiła incydent na policję. link
Niemcy 2021 500 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych w celach prywatnych, aby uzyskać informacje o koleżance. link
Niemcy 2021 1.800 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji wielokrotnie uzyskiwał dostęp do danych w policyjnej bazie danych w celach prywatnych. link
Włochy 2022-04-28 2.500 EUR Liceum „Isabella Gonzaga” Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-sexties Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 2500 euro na szkołę średnią „Isabella Gonzaga”. Szkoła opublikowała na platformie internetowej dla kadry nauczycielskiej dokument, który zawierał również dane osobowe niektórych nauczycieli. Dokument zawierał informacje o świadczeniach związanych ze stanem zdrowia nauczycieli, którym te świadczenia były uprawnione. W trakcie dochodzenia organ ochrony danych stwierdził, że szkoła opublikowała dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem. link
Polska 2022-06-06 3.500 EUR Esselmann Technika Pojazdowa Sp. ogród zoologiczny. Sp. k. Art. 33 RODO Urząd Ochrony Danych Osobowych nałożył grzywnę na Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. 3500 euro. Administrator doznał naruszenia danych, podczas którego zaginęło świadectwo pracy zawierające dane osobowe pracownika. Administrator nie zgłosił tego naruszenia ochrony danych organowi ochrony danych i tym samym naruszył art. 33 RODO. link
Hiszpania 2022-06-03 3.000 EUR LODEJU, S.L. Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na operatora restauracji LODEJU, SL. Ukarany podmiot zainstalował w swoim lokalu kamery monitorujące, które obejmowały między innymi również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. link
Rumunia 2022-06-08 1.500 EUR Wens Experience SRL Art. 28 (2) RODO Rumuński organ ochrony danych nałożył na Wens Experience SRL grzywnę w wysokości 1500 euro. W trakcie dochodzenia organ ochrony danych stwierdził, że Wens Experience, działając jako podmiot przetwarzający w imieniu administratora, zaangażował innego podmiot przetwarzający do przetwarzania danych pracowników bez uzyskania uprzedniej zgody administratora. Stanowi to naruszenie art. 28 ust. 2 RODO. link
Hiszpania 2022-06-03 360 EUR Prywatna osoba Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 360 euro. Kontroler zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. link
Hiszpania 2022-06-03 1.000 EUR Właściciel sklapu Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 1000 EUR za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie link
Rumunia 2022-06-03 2.000 EUR Kaufland Romania SCS Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 2000 euro na Kaufland România SCS. Administrator zgłosił dwa naruszenia danych do organu ochrony danych na podstawie art. 33 RODO. Pracownik, który rozpatrywał skargę, nie postępował zgodnie z wewnętrzną procedurą rozpatrywania skarg, umożliwiając ochroniarzowi wgląd do danych skarżącego i ich niewłaściwe wykorzystanie. Ponadto administrator omyłkowo przekazał dane w formularzu zamówienia klienta nieuprawnionej osobie trzeciej. Doprowadziło to do ujawnienia danych osobowych (imię, nazwisko, adres e-mail, numer telefonu) zainteresowanego klienta Kaufland. Z tego powodu organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych zapewniających ochronę i bezpieczeństwo danych osobowych. link
Włochy 2022-04-28 50.000 EUR Istituto Nazionale Assicurazione Infortuni sul Lavoro Art. 5 (1) a), f) RODO, Art. 6 (1) e) RODO, Art. 9 (2) g) RODO, Art. 32 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy Włoski organ ochrony danych nałożył grzywnę na Istituto Nazionale Assicurazione Infortuni sul Lavoro (Ubezpieczenie od wypadków dla pracowników) w wysokości 50 000 EUR. W ramach dochodzenia organ ochrony danych stwierdził, że trzykrotnie wypadki i choroby zawodowe innych pracowników były publicznie widoczne w systemie internetowym przewoźnika ubezpieczeniowego. Do incydentu doszło z powodu nieaktualnej wersji systemu. UOKiK uznał, że ubezpieczyciel nie wywiązał się w wystarczającym stopniu ze swojego obowiązku podjęcia odpowiednich środków technicznych i organizacyjnych w celu zapobieżenia naruszeniom danych osobowych. Przewoźnik ubezpieczeniowy powinien był zadbać o to, by korzystał z aktualnych i bezpiecznych systemów online. link
Włochy 2022-04-28 10.000 EUR Włoskie Ministerstwo Obrony Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy, Art. 2-octies Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na włoskie Ministerstwo Obrony. Pracownik ministerstwa złożył skargę do organu ochrony danych. Podczas dochodzenia organ ochrony danych stwierdził, że dwie wiadomości e-mail zostały przekazane bez upoważnienia. E-maile te zawierały między innymi wrażliwe informacje dotyczące stanu zdrowia osoby, której dane dotyczą, a także informacje o postępowaniu sądowym. link
Hiszpania 2022-06-01 300 EUR Osoba prywatna Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która uchwyciła również przestrzeń prywatną sąsiada oraz przestrzeń publiczną. link
Hiszpania 2022-05-31 1.600 EUR Wyspa Koronowa SLU Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył na CORON ISLAND SLU grzywnę w wysokości 1600 euro. Klient złożył skargę do organu ochrony danych na restaurację. Klientka poprosiła o rachunek na jej nazwisko po posiłku. Kierownik wyjaśnił jednak, że fakturę można wystawić tylko wtedy, gdy klient poda jej numer telefonu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Włochy 2022-04-28 1.000 EUR Educationest s.r.l. Art. 5 (1) a), e) RODO, Art. 6 (1) b), c) RODO Włoski organ ochrony danych nałożył grzywnę na Educationest s.r.l. 1000 euro. Przedszkole wysłało e-mail do rodzin podopiecznych, informując je o ciąży i urlopie macierzyńskim jednego z wychowawców. Przedszkole napisało ten e-mail, aby zapobiec plotkom o nieobecności nauczycielki (np. choroba wieńcowa) i ją chronić. Nauczycielka nie wyraziła jednak zgody na ujawnienie jej stanu ciąży. Organ ochrony danych uznał zatem, że Educationest bezprawnie przetworzył dane pedagoga i naruszył art. 5 RODO i art. 6 RODO. link
Włochy 2022-04-07 10.000 EUR E-Mac Professional s.r.l. Art. 12 (3) RODO, Art. 15 RODO Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do jej danych w odpowiednim czasie. link
Belgia 2022-05-25 50.000 EUR Roularta Media Group Art. 5 (1) e) RODO, Art. 5 (2) RODO, Art. 6 (1) a) RODO, Art. 7 (1), (3) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 RODO Belgijski organ ochrony danych nałożył na Roularta Media Group grzywnę w wysokości 50 000 euro. W ramach dochodzenia organ ochrony danych stwierdził, że zarządzanie plikami cookie na dwóch stronach internetowych obsługiwanych przez firmę Roularta nie było zgodne z RODO. Aby korzystać z plików cookie, administratorzy muszą uzyskać uprzednią zgodę użytkownika, z wyjątkiem przypadków, w których pliki cookie są ściśle niezbędne do działania witryny. Organ ochrony danych uznał, że zgoda na przetwarzanie danych osobowych za pomocą plików cookies na stronach internetowych obsługiwanych przez Roularta była nieważna, ponieważ nie zostały spełnione wszystkie niezbędne warunki. W związku z tym około 60 plików cookie, które nie były wymagane, zostało umieszczonych przez strony internetowe na urządzeniach odwiedzających jeszcze przed wyrażeniem przez nich zgody. Roularta również nie poinformowała w wystarczającym stopniu użytkowników o plikach cookie. Ponadto pola dotyczące zgody na umieszczanie plików cookie przez osoby trzecie zostały wcześniej zaznaczone, chociaż użytkownicy muszą zawsze aktywnie wyrażać zgodę. Ponadto organ ochrony danych stwierdził, że użytkownicy nie mogli odwołać swojej zgody na umieszczanie plików cookie tak łatwo, jak jej udzielili. link
Wielka Brytania 2022-05-18 9.000.000 EUR Clearview Al Inc. Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 14 RODO, Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 21 RODO, Art. 22 RODO, Art. 35 RODO Brytyjski organ ochrony danych nałożył na Clearview AI Inc. grzywnę w wysokości 9 mln EUR. Firma posiada bazę danych zawierającą ponad 20 miliardów obrazów twarzy (w tym obrazów mieszkańców i obywateli Wielkiej Brytanii) z całego świata. Dane są gromadzone online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych uzyskanych z obrazów. Profile osób mogą być wzbogacone o informacje związane z tymi obrazami, takie jak tagi obrazu i geolokalizacja. Clearview AI nie oferuje już swoich usług w Wielkiej Brytanii, ale w innych krajach, co oznacza, że ​​firma nadal wykorzystuje dane osobowe mieszkańców Wielkiej Brytanii. W toku dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto w celu skorzystania ze swoich praw wynikających z RODO, takich jak prawo dostępu na podstawie art. 15 RODO osoby, których dane dotyczą, musiały dostarczyć Clearview dodatkowe dane osobowe, przesyłając swoje zdjęcie, które można porównać z bazą danych Clearview. Zdaniem organu ochrony danych stanowi to istotną przeszkodę i przeszkodę w korzystaniu z takich praw. Ponadto organ ochrony danych stwierdził, że firma naruszyła kilka zasad RODO. Na przykład firma naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. Clearview naruszył również zasadę ograniczenia przechowywania, nie zapewniając polityki przechowywania danych, a tym samym nie będąc w stanie zapewnić, że dane osobowe nie będą przechowywane dłużej niż to konieczne. Ponadto Clearview nie przeprowadził oceny wpływu na prywatność pomimo wysokiego ryzyka dla danych osób, których dane dotyczą. link
Finlandia 2022-04-29 8.300 EUR Firma telemarketingowa Art. 58 (2) RODO Fiński DPA nałożył grzywnę w wysokości 8300 euro na firmę telemarketingową za nieprzestrzeganie nakazu DPA. Klient firmy poprosił o dostęp do nagrania rozmowy sprzedażowej. Jednak firma nie zastosowała się do żądania i dlatego organ ochrony danych nakazał firmie przyznanie klientowi dostępu do nagrań. Później klient poinformował, że pomimo nakazu organu ochrony danych nadal nie otrzymał nagrania rozmowy. link
Wielka Brytania 2022-03-10 115.000 EUR Tuckers Solicitors LLP Art. 5 (1) a) f) RODO Brytyjski organ ochrony danych (ICO) nałożył grzywnę na kancelarię Tuckers Solicitors LLP w wysokości 115 000 EUR. Firma Tuckers została zaatakowana przez oprogramowanie ransomware na swoje systemy, co spowodowało naruszenie danych osobowych. W ramach dochodzenia organ ochrony danych ustalił, że firma Tuckers nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ta awaria sprawiła, że ​​jego systemy są podatne na złośliwe ataki. Atakującym udało się zaszyfrować 972 191 pojedynczych plików, z których 24 712 dotyczyło postępowań sądowych oraz wyprowadzić 60 plików i opublikować je na podziemnych giełdach danych. Akta zawierały zarówno dane osobowe zwykłe, jak i dane szczególnej kategorii, takie jak dokumentacja medyczna, zeznania świadków, nazwiska i adresy świadków i ofiar oraz domniemane przestępstwa osób, których dane dotyczą. link
Włochy 2022-04-07 10.000 EUR Findomestic Banca spa Art. 5 (1) a), c) RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na spa Findomestic Banca. Klient złożył skargę do organu ochrony danych na naruszenie poufności związanej z instytucją finansową. Administrator nieuprawniony wysłał żonie osoby, której dane dotyczą, kilka przypomnień o płatności w związku z pożyczką zaciągniętą przez osobę, której dane dotyczą. Żona rzeczywiście poręczyła pożyczkę zaciągniętą przez osobę, której dane dotyczą, ale nie pożyczkę, o której mowa. link
Włochy 2022-04-07 20.000 EUR Made in Italy s.r.l.s. Art. 6 RODO, Art. 7 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 130 (3) Codice della privacy, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 20 000 EUR na Made in Italy s.r.l.s. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych po otrzymaniu telefonów promocyjnych od administratora danych, mimo że nie wyraziła na to zgody. Nawet po tym, jak osoba, której dane dotyczą, sprzeciwiła się przesyłaniu, administrator nie przerywał połączeń. Osoba, której dane dotyczą, zażądała następnie informacji o pochodzeniu danych i usunięciu tych danych. Jednak ukarany podmiot nie odpowiedział na to żądanie. Ponadto administrator nie współpracował w wystarczającym stopniu z organem ochrony danych w trakcie dochodzenia. link
Włochy 2022-04-07 50.000 EUR Palumbo Superyacht Ancona s.r.l. Art. 5 (1) a), e) RODO, Art. 13 RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy Włoski organ ochrony danych nałożył grzywnę na Palumbo Superyacht Ancona s.r.l. 50 000 euro. Firma zablokowała firmowe konto e-mail pracownika bez pozwolenia. Pracownik zgłosił incydent do firmy i poprosił o przywrócenie skrzynki e-mail, która zawierała zarówno prywatne, jak i służbowe e-maile. Jednak firma nie zastosowała się do tego żądania. W trakcie dochodzenia organ ochrony danych stwierdził dalsze naruszenia. Na przykład firma nie odpowiedziała na prośbę o informacje od organu ochrony danych i naruszyła zasadę ograniczenia retencji danych. link
Hiszpania 2022-05-20 2.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na osobę prywatną prowadzącą trzy strony internetowe w wysokości 2000 EUR. Podczas dochodzenia organ ochrony danych stwierdził, że na wszystkich trzech stronach internetowych brakowało pola do wyrażenia zgody na przetwarzanie danych osobowych. Ponadto organ ochrony danych stwierdził, że w politykach prywatności na stronach internetowych brakowało jakiegokolwiek odniesienia do tożsamości administratora danych oraz do prawa osób, których dane dotyczą, do wycofania zgody na przetwarzanie danych. link
Hiszpania 2022-05-20 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował w swoim samochodzie kamery do monitoringu wideo, które między innymi obejmowały również części garażu osiedlowego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2022-05-20 2.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta zrobiła zdjęcia grupie nieletnich, a także funkcjonariuszom policji bez ich zgody, a następnie przesłała je na Facebooka. link
Norwegia 2022-03-15 9.700 EUR Firma Art. 6 (1) RODO, Art. 13 RODO, Art. 21 RODO Norweski organ ochrony danych nałożył na firmę grzywnę w wysokości 9700 euro. Organ ochrony danych otrzymał skargę od byłego pracownika firmy. Tłem skargi jest fakt, że po odejściu pracownika, zarówno służbowe, jak i prywatne e-maile ze skrzynki pocztowej pracownika były automatycznie przekazywane na adres e-mail administrowany przez dyrektora zarządzającego. Podczas dochodzenia organ ochrony danych stwierdził, że administrator automatycznie przekazał wiadomości e-mail bez ważnej podstawy prawnej. Administrator nie poinformował również byłego pracownika o przetwarzaniu danych poprzez przekazywanie wiadomości e-mail, wbrew obowiązkowi wynikającemu z art. 13 RODO. Wreszcie organ ochrony danych stwierdził, że administrator nie zastosował się właściwie do żądania sprzeciwu wobec przetwarzania złożonego przez byłego pracownika. link
Rumunia 2022-05-24 5.000 EUR MED LIFE S.A. Art. 32 (1) b), (2), (4) RODO Rumuński organ ochrony danych nałożył na MED LIFE S.A. grzywnę w wysokości 5 000 euro. Firma pozbyła się dokumentów zawierających wrażliwe dane pacjentów w ogólnodostępnym koszu na śmieci. Osoba fizyczna znalazła te dokumenty i złożyła skargę do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że MED Life nie podjęło odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych i uniknięcia takich incydentów. link
Hiszpania 2022-05-17 42.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi. Osoba, której dane dotyczą, złożyła skargę dotyczącą otrzymywania faktur, mimo że nie istniał już stosunek umowny między nią a administratorem. Jednak chociaż osoba, której dane dotyczą, sprzeciwiła się dalszemu otrzymywaniu wiadomości, ponieważ nie było już zaległych faktur, a administrator to potwierdził, wysyłanie było kontynuowane. Organ ochrony danych uznał zatem, że administrator przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej. Pierwotna kara w wysokości 70 000 euro została obniżona do 42 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Hiszpania 2022-05-18 600 EUR SCF ZHU, S.L. Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę na SCF ZHU, S.L. ze względu na brak wystarczających informacji o przetwarzaniu danych w związku z nadzorem wideo w pomieszczeniach przedsiębiorstwa. Pierwotna kara w wysokości 1000 euro została obniżona do 600 euro z powodu natychmiastowej zapłaty i uznania długu. link
Włochy 2022-03-10 10.000 EUR Alfa Shipyard s.r.l. Art. 58 (2) RODO Włoski organ ochrony danych nałożył na Alfa Shipyard s.r.l. grzywnę w wysokości 10 000 euro. Administrator nie wykonał w terminie środków nakazanych przez organ ochrony danych link
Hiszpania 2022-05-18 10.000.000 EUR Google LLC Art. 6 RODO, Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył na GOOGLE LLC grzywnę w wysokości 10 mln EUR. Dwie osoby, których dane dotyczą, złożyły skargę do organu ochrony danych, że Google bez zezwolenia ujawniło ich dane osobowe osobom trzecim. W trakcie długotrwałego dochodzenia organ ochrony danych stwierdził, że Google przekazał dane osobowe osób, których dane dotyczą, do tak zwanego projektu Lumen. Lumen to projekt prowadzony przez Berkman Klein Center for Internet & Society na Uniwersytecie Harvarda. Projekt rozpoczął się w 2002 roku w celu zbierania wniosków dotyczących usunięcia treści z witryn internetowych w Stanach Zjednoczonych i poza nimi. Dane te mogą być następnie udostępniane badaczom i innym zainteresowanym stronom. Użytkownicy platform obsługiwanych przez Google, takich jak YouTube lub Dysk Google, mają możliwość zażądania usunięcia treści dotyczących ich samych na platformach. W tym celu firma Google udostępniła różne formularze kontaktowe i reklamacyjne. Jednak dane osób, których dane dotyczą, korzystających z tych formularzy, zostały automatycznie przesłane do projektu Lumen. Osoby, których dane dotyczą, nie miały możliwości sprzeciwienia się tej transmisji, ponieważ automatyczne przesłanie do Lumen było warunkiem skorzystania z formularzy. Z tego powodu organ ochrony danych uznał, że z uwagi na brak możliwości wniesienia sprzeciwu wobec przekazania danych do Lumen, Google przetwarzał dane osób, których dane dotyczą, bez ważnej podstawy prawnej. W tym kontekście organ ochrony danych stwierdził również, że firma Google nie umożliwiła w wystarczającym stopniu osobom, których dane dotyczą, skorzystania z ich prawa do usunięcia ich danych. Oceniając karę, organ ochrony danych wziął pod uwagę jako czynniki obciążające fakt, że dane zostały nie tylko ujawnione, ale również przekazane do państwa trzeciego bez umożliwienia osobom, których dane dotyczą, wniesienia sprzeciwu. Pozbawiło to osoby, których dane dotyczą, kontroli nad postępowaniem z ich danymi osobowymi. Ponadto organ ochrony danych stwierdził, że przeniesienie odbywało się przez bardzo długi okres czasu. Dotknęło to również dużą liczbę osób, aw niektórych przypadkach przetworzono wrażliwe dane. link
Hiszpania 2022-05-17 4.000 EUR INSEKT FOOD S.L. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na INSEKT FOOD SL. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi, ponieważ administrator opublikował dane osobowe osoby, której dane dotyczą, w trzech grupach WhatsApp . W rezultacie wszystkim 541 członkom tych grup WhatsApp przyznano nieautoryzowany dostęp do niektórych danych osobowych osoby, której dane dotyczą (nazwisko, imię, adres). link
Hiszpania 2022-05-17 18.000 EUR RAMONA FILMS, S.L. Art. 58 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na RAMONA FILMS, S.L. za nieudzielenie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. Pierwotna kara w wysokości 30 000 euro została obniżona do 18 000 euro w związku z natychmiastową zapłatą i uznaniem winy. link
Hiszpania 2022-05-17 9.000 EUR TIGERS MARKET, S.L. Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 8 000 EUR na TIGERS MARKET, SL. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora danych, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinsona. link
Hiszpania 2022-05-17 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował na swojej posesji kamery monitorujące, które obejmowały między innymi również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Rumunia 2022-05-17 1.500 EUR MAYR MELNHOF PACKAGING ROMANIA S.R.L. Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 1500 euro na MAYR MELNHOF PACKAGING ROMANIA S.R.L. Administrator zainstalował w lokalu kamery monitorujące w celu ochrony mienia firmy i bezpieczeństwa pracowników. Podczas dochodzenia organ ochrony danych stwierdził również, że kamery obejmowały stołówkę pracowniczą i strefę dla palących, umożliwiając monitorowanie pracowników poza godzinami pracy. Organ ochrony danych stwierdza, że ​​rejestracja pracowników nie była konieczna do realizacji celów związanych z nadzorem wideo, a zatem była nieproporcjonalna. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Rumunia 2022-05-18 5.000 EUR Kredyt Inkaso Investments RO S.A Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 33 RODO Rumuński organ ochrony danych nałożył na Kredyt Inkaso Investments RO S.A. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi za ujawnienie instytucjom medycznym jej danych osobowych oraz danych małoletniego dziecka bez zezwolenia i bez jakiegokolwiek związku z tymi instytucjami. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator ujawnił dane, takie jak adres zamieszkania, status zawodowy, a także dane z umowy o pracę. Ponadto organ ochrony danych stwierdził, że administrator nie powiadomił organu ochrony danych o naruszeniu danych w terminie wymaganym przez art. 33 RODO.
Węgry 2022-03-29 1.300 EUR Warsztat Art. 5 (1) b), c) RODO, Art. 6 (1) f) RODO, Art. 13 (1), (2) RODO Węgierski organ ochrony danych nałożył na warsztat karę w wysokości 1300 euro. W warsztacie zainstalowano system nadzoru wideo w celu ochrony majątku firmy. Jednak kamery uchwyciły również fragmenty obszaru pracy pracownika. Organ ochrony danych stwierdził, że rejestracja pracowników nie była konieczna do realizacji celów związanych z nadzorem wideo, a zatem była nieproporcjonalna. Organ ochrony danych stwierdził również, że warsztaty nie wywiązały się w wystarczającym stopniu ze swoich obowiązków informacyjnych wynikających z art. 13 RODO. Warsztaty jako podstawę prawną prowadzenia monitoringu odwoływały się do zgody wyrażonej przez pracowników. Organ ochrony danych doszedł jednak do wniosku, że warsztat nie może oprzeć nadzoru wideo na zgodzie, ponieważ dobrowolna zgoda w relacji pracownik-pracodawca jest wątpliwa. Zamiast tego warsztaty powinny opierać nadzór wideo na uzasadnionym interesie. link
Hiszpania 2022-05-13 "170.000 EUR" Mercadona S.A. Art. 6 RODO, Art. 12 RODO, Art. 15 RODO Hiszpański DPA (AEPD) nałożył grzywnę w wysokości 170 000 euro na sieć supermarketów Mercadona SA. Osoba fizyczna złożyła skargę do DPA. Osoba ta uległa wypadkowi w jednym z supermarketów i poprosiła Mercadonę o dostarczenie nagrań wypadku z systemu monitoringu wideo w celu dochodzenia odszkodowania. Mercadona nie spełniła jednak tej prośby. Po tym, jak prawnik osoby, której dane dotyczą, ponownie zwrócił się do Mercadony o dostarczenie nagrań, Mercadona odpowiedziała, że ​​obrazy zostały już usunięte. link
Luksemburg 2022-02-02 1.000 EUR Właściciel kawiarnii Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych nałożył na właściciela kawiarni grzywnę w wysokości 1000 euro. Właściciel zainstalował w kawiarni dwie kamery monitorujące w celu ochrony majątku firmy oraz bezpieczeństwa klientów i pracowników. Kamery te jednak stale rejestrowały fragmenty miejsc pracy pracownika. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Stwierdził również, że właściciel nie wywiązał się w wystarczającym stopniu ze swoich obowiązków informacyjnych wynikających z art. 13 RODO. link
Hiszpania 2022-05-11 6.000 EUR Stowarzyszenie Właścicieli Domów Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 6 000 euro na stowarzyszenie właścicieli domów. Właściciel mieszkania, który był rezydentem od 15 lat, złożył skargę do organu ochrony danych w związku z koniecznością okazania dowodu tożsamości przed skorzystaniem z basenu komunalnego. Ta prośba o dane osobowe została oparta na środkach zwalczania pandemii Covid-19. W toku śledztwa Organ Ochrony Danych uznał, że zbieranie danych osobowych w ramach kontroli tożsamości było zbędne, zważywszy, że osoba, której dane dotyczą, zamieszkiwała 15 lat, a tym samym naruszyła zasadę minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził, że osoba, której dane dotyczą, nie została wystarczająco poinformowana o przetwarzaniu jej danych osobowych. link
Hiszpania 2022-05-12 2.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta udostępniła na WhatsApp wideo przedstawiające obrazy brutalnego ataku na osobę, której dane dotyczą, bez uzyskania zgody osoby, której dane dotyczą. link
Hiszpania 2022-05-12 2.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta udostępniła na WhatsApp wideo przedstawiające obrazy brutalnego ataku na osobę, której dane dotyczą, bez uzyskania zgody osoby, której dane dotyczą. link
Hiszpania 2022-05-12 500 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 500 euro. Ukarany podmiot zainstalował na swojej posesji kamerę monitorującą, która rejestrowała m.in. sąsiednie nieruchomości. AEPD uznała to za naruszenie zasady minimalizacji danych. link
Rumunia 2022-05-12 1.000 EUR LORIS FUEL SHOP SRL Art. 29 RODO, Art. 32 (4) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 1000 euro na operatora stacji benzynowej LORIS FUEL SHOP SRL. Osoba złożyła skargę do organu ochrony danych, ponieważ jej zdjęcia zostały opublikowane na Facebooku. Obrazy pochodziły z monitoringu zainstalowanego na jednej ze stacji benzynowych administratora. W toku dochodzenia Organ Ochrony Danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych, aby zapewnić poufność danych osobowych generowanych przez system kamery przemysłowej zainstalowany na stacjach benzynowych. Spowodowało to, że nieupoważnione osoby trzecie filmowały obrazy z kamer wideo, a następnie publikowały je w sieciach społecznościowych. link
Hiszpania 2022-05-11 600 EUR Właściciel baru Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela baru grzywnę w wysokości 600 euro. Bar posiadał system monitoringu wideo, w którym kąt obserwacji kamer rozciągał się na przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Dania 2022-04-07 13.400 EUR Civilstyrelsen Art. 32 RODO, Art. 33 RODO Duński organ ochrony danych nałożył grzywnę w wysokości 13 400 euro na duńską agencję Civilstyrelsen. Pamięć USB firmy Civilstyrelsen zawierająca ponad 800 stron wrażliwych i poufnych informacji została utracona. Podczas dochodzenia organ ochrony danych stwierdził, że pamięć USB nie była zaszyfrowana. Ponadto agencja nie posiada żadnych zasad dotyczących korzystania z nośników wymiennych i przenośnych dla swoich pracowników. Ponadto organ ochrony danych uznał, że mimo świadomości tego naruszenia danych, urząd nie zgłosił naruszenia, wbrew obowiązkowi wynikającemu z art. 33 RODO. Organ ochrony danych stwierdził, że agencja nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Na przykład szyfrowanie nośników wymiennych jest niezbędnym i wymaganym środkiem bezpieczeństwa, zwłaszcza jeśli nośniki wymienne zawierają poufne informacje, takie jak dane osobowe. link
Włochy 2022-04-07 40.000 EUR ISWEB S.p.A. Art. 28 RODO Włoski organ ochrony zdrowia nałożył na ISWEB S.p.A. grzywnę w wysokości 40 000 EUR. Kara ta ma związek z karą nałożoną na zakład opieki zdrowotnej Azienda ospedaliera di Perugia. ISWEB dostarczyło placówce służby zdrowia aplikację internetową dla swojego systemu sygnalistów. Podczas dochodzenia w placówce służby zdrowia organ ochrony danych zidentyfikował wiele naruszeń RODO związanych z systemem sygnalistów. Dochodzenie organu ochrony danych odbyło się w ramach serii kontroli dotyczących przetwarzania danych z systemu sygnalistów u pracodawców. W odniesieniu do ISWEB organ ochrony danych stwierdził, że korzystał z usług zewnętrznego dostawcy do obsługi systemów sygnalizujących. ISWEB nie przekazał jednak zewnętrznemu dostawcy szczegółowych instrukcji dotyczących przetwarzania danych osób, których dane dotyczą, ani nie poinformował o tym placówki służby zdrowia. link
Włochy 2022-04-07 40.000 EUR Azienda ospedaliera di Perugia Art. 5 (1) a), f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 25 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda ospedaliera di Perugia grzywnę w wysokości 40 000 EUR. Podczas dochodzenia w placówce służby zdrowia organ ochrony danych wykrył wiele naruszeń RODO. Dochodzenie organu ochrony danych odbyło się w ramach serii kontroli dotyczących przetwarzania danych w kontekście systemów sygnalistów u pracodawców. Placówka służby zdrowia korzystała z aplikacji internetowej typu „whistleblowing” opartej na otwartym kodzie źródłowym. Jednak dostęp do aplikacji odbywał się za pośrednictwem systemów, które nie zostały odpowiednio skonfigurowane. Umożliwiło to rejestrowanie i przechowywanie danych przeglądania użytkowników, a tym samym identyfikację tych użytkowników, a tym samym potencjalnych sygnalistów. W zakresie przetwarzania danych osobowych placówka służby zdrowia nie poinformowała wcześniej pracowników. Ponadto organ ochrony zdrowia stwierdził, że zakład opieki zdrowotnej nie przeprowadził oceny skutków dla ochrony danych i nie zarejestrował przetwarzania w rejestrze czynności przetwarzania. W związku z tym nie przeprowadzono wystarczającej oceny zagrożeń dla praw i wolności osób, których dane dotyczą. ' link
Włochy 2022-04-26 1.000 EUR ASST di Lodi Art. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 1000 EUR na ASST di Lodi. Placówka ochrony zdrowia zgłosiła naruszenie danych do organu ochrony danych na podstawie art. 33 RODO. Pacjent zapewnił dwa kontakty w swoich sprawach medycznych. Placówka została wyraźnie upoważniona do uzyskania informacji medycznych pacjenta od tych dwóch osób w nagłych przypadkach. W związku z ważnym badaniem diagnostycznym pacjenta nie można było dotrzeć do dwóch uprawnionych kontaktów, dlatego pracownik placówki poprosił o informację znanego mu osobiście członka rodziny. W trakcie dochodzenia organ ochrony danych stwierdził, że zakład opieki zdrowotnej przetwarzał informacje osoby, której dane dotyczą, bez zgody osoby, której dane dotyczą, a zatem bez ważnej podstawy prawnej. Ponadto organ ochrony zdrowia stwierdził, że zakład opieki zdrowotnej nie podjął odpowiednich środków technicznych i organizacyjnych chroniących dane osobowe w celu zapobiegania takim incydentom. link
Hiszpania 2022-04-28 40.000 EUR Working Capital Management España, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na agencję informacji kredytowej Working Capital Management España, SL. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko spółce. Oszukańcze osoby trzecie zaciągnęły pożyczkę w firmie NBQ Technology, S.A.U. w imieniu osoby, której dane dotyczą, bez faktycznego zawarcia umowy przez osobę, której dane dotyczą. Po tym, jak osoba, której dane dotyczą, następnie nie dokonała płatności, NBQ ujawnił informacje osoby, której dane dotyczą, Zarządowi Kapitału Obrotowego. AEPD ustalił, że Zarząd Kapitału Obrotowego przetwarzał dane osób, których dane dotyczą, nielegalnie od momentu wprowadzenia danych osobowych do systemów informatycznych spółki bez sprawdzenia, czy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych. link
Hiszpania 2022-05-10 300 EUR Właściciel sklepu Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 300 euro. Administrator zażądał od klientów różnych danych osobowych w celu umówienia wizyty. Organ ochrony danych uznał, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. link
Hiszpania 2022-05-09 1.200 EUR CONTIMAG INVEST, S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na CONTIMAG INVEST, S.L. 1200 EUR za nieudzielenie wystarczających informacji na temat monitoringu wideo w jednej z prowadzonych przez nią restauracji link
Islandia 2022-05-03 36.000 EUR Miasto Reykjavík Art. 5 RODO, Art. 6 RODO, Art. 32 RODO Islandzki organ ochrony danych nałożył na miasto Reykjavík grzywnę w wysokości 36 000 euro. W kilku szkołach miasto korzystało z cyfrowego systemu edukacji „Huśtawka”. System uczniowski przetwarzał m.in. dane osobowe nieletnich uczniów, takie jak opinie nauczycieli oraz informacje o sprawach prywatnych uczniów. Podczas dochodzenia organ ochrony danych stwierdził, że cel przetwarzania danych dzieci nie został wystarczająco jasno określony. W tym kontekście organ ochrony danych stwierdził również naruszenie zasady proporcjonalności i minimalizacji danych. Ponadto organ ochrony danych stwierdził, że miasto nie wdrożyło odpowiednich środków technicznych i organizacyjnych w zakresie ochrony danych osobowych. Byłoby to konieczne, biorąc pod uwagę wysokie ryzyko, że dane mogą być przekazywane i przetwarzane w Stanach Zjednoczonych. Przy ustalaniu kary uwzględniono łagodzący fakt, że naruszenia danych nie spowodowały żadnej szkody. link
Hiszpania 2022-04-28 15.000 EUR MEDEROS MOVITEN, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 15 000 EUR na MEDEROS MOVITEN, SL. Osoba, której dane dotyczą, podpisała ze spółką umowę o świadczenie usług telefonii komórkowej. Spółka wystawiła jednak również osobie, której dane dotyczą, faktury za usługi, na które osoba, której dane dotyczą, nie wyraziła zgody. Umowy o te usługi zawierały dane osobowe osoby, której dane dotyczą, ale nie zawierały podpisu. W związku z brakiem ważnej umowy organ ochrony danych stwierdził, że spółka niezgodnie z prawem przetwarzała dane osobowe osoby, której dane dotyczą w ramach przedmiotowych umów i tym samym naruszyła art. 6 ust. 1 RODO. link
Hiszpania 2022-05-03 5.000 EUR MISTORE CANARIAS, S.L. Art. 6 (1) RODO Hiszpański DPA (AEPD) nałożył grzywnę w wysokości 5 000 EUR na MISTORE CANARIAS, SL. Osoba, która dokonała zakupu od firmy, złożyła skargę przeciwko firmie do DPA. Według osoby, jej dane osobowe, takie jak nazwisko, imię i dane konta bankowego zostały zebrane podczas zakupu. W trakcie zakupu zaoferowano jej produkty trzech innych firm, które odrzuciła. Niemniej jednak administrator przekazał jej dane trzem firmom bez jej zgody na takie przekazanie. link
Belgia 2022-05-04 10.000 EUR Nationale Maatschappij der Belgische Spoorwegen Art. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 12 (2) RODO, Art. 21 (2), (3), (4) RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na belgijską spółkę kolejową (Nationale Maatschappij der Belgische Spoorwegen). Użytkownik Twittera, który otrzymał biuletyn e-mailowy od przedsiębiorstwa kolejowego, złożył skargę do organu ochrony danych. Według użytkownika Twittera newsletter nie zawierał opcji wypisania się. W trakcie dochodzenia organ ochrony danych stwierdził po pierwsze, że nie istniała żadna ważna podstawa prawna do przetwarzania danych osobowych za pośrednictwem biuletynu. Wbrew opinii przewoźnika, organ ochrony danych stwierdził, że biuletyn nie jest konieczny do wykonania umów między pasażerami a przedsiębiorstwem i że ten interes w wykonaniu nie stanowi zatem podstawy prawnej do przetwarzania. Ponadto organ ochrony danych stwierdził, że prawo do sprzeciwu osób, których dane dotyczą, nie zostało w wystarczającym stopniu uwzględnione, ponieważ nie można było zrezygnować z otrzymywania biuletynu bezpośrednio za pośrednictwem wiadomości e-mail. link
Włochy 2022-03-24 10.000 EUR Brav s.r.l. Art. 5 (1) f) RODO, Art. 32 RODO Włoski organ ochrony danych nałożył na Brav s.r.l. grzywnę w wysokości 10 000 euro. Operator platformy internetowej zgłosił naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Nieuprawnionym osobom udało się uzyskać dostęp do platformy wykorzystywanej przez policję w Genui do zarządzania wykroczeniami drogowymi, a także do zawartych w niej danych osobowych. Według Urzędu Miasta Genua uzyskanie nieautoryzowanego dostępu do platformy było możliwe dzięki temu, że niektórzy pracownicy w sposób nieuprawniony ujawnili hasło dostępu do platformy, z naruszeniem oficjalnych przepisów. Z tego powodu organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Administrator powinien był zadbać o to, aby hasła były regularnie zmieniane, aby uniemożliwić osobom nieupoważnionym dostęp do danych osobowych. link
Norwegia 2022-02-02 30.000 EUR Lillestrøm Municipality Art. 5 RODO, Art. 6 RODO, Art. 32 (1) b) RODO Norweski organ ochrony danych nałożył na gminę Lillestrøm karę w wysokości 30 000 euro. Gmina przypadkowo opublikowała dokument, w którym 10 z 21 załączników zawierało dane osobowe uczniów. Dane zawierały informacje o imionach uczniów, dacie urodzenia, wynikach testów, ocenach zachowań uczniów i wyzwaniach uczniów. Ten błąd nie został wykryty przez odpowiedzialnego administratora i przeszedł przez dwie kolejne ręczne kontrole jakości w centrum dokumentacji bez wykrycia błędu również tam. Dopiero dziennikarz zwrócił później uwagę na naruszenie danych. Podczas dochodzenia organ ochrony danych stwierdził, że gmina nie podjęła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Również fakt, że incydent został wykryty nie przez gminę, ale przez osobę trzecią, wskazuje na nieodpowiednie procedury w tym zakresie. link
Rumunia 2022-05-04 4.000 EUR Concordia Capital IFN S.A. Art. 5 RODO, Art. 6 RODO Rumuński organ ochrony danych nałożył na Concordia Capital IFN SA grzywnę w wysokości 4 000 EUR. Administrator bezprawnie zainstalował kamery audio i wideo w biurach swoich pracowników. Monitoring wizyjny miał na celu ochronę pracowników i towarów firmy. Organ ochrony danych stwierdził jednak, że administrator naruszył art. 5 RODO i art. 6 RODO, ponieważ tak szeroko zakrojony nadzór nie był konieczny. link
Hiszpania 2022-04-28 1.500 EUR CAFFE VECCHIO, S.L. Art. 5 (1) f) RODO, Art. 6 (1) a) RODO Hiszpański organ ochrony danych nałożył grzywnę na CAFFE VECCHIO, S.L. 1500 euro. Były pracownik kawiarni złożył skargę do Urzędu Ochrony Danych. Operator kawiarni odpowiedział na negatywne recenzje w sieci dotyczące kawiarni, ujawniając dane osobowe byłego pracownika. Ponadto operator opublikował informację o przyczynach rozwiązania stosunku pracy. link
Cypr 2021-09-17 10.000 EUR Mediterranean Hospital of Cyprus Art. 31 RODO, Art. 58 (1) a) RODO Cypryjski organ ochrony danych nałożył na szpital Mediterranean of Cyprus grzywnę w wysokości 10 000 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. link
Rumunia 2022-05-03 4.000 EUR Megareduceri TV S.R.L. Art. 58 (1) RODO Niedostarczenie żądanych informacji rumuńskiemu organowi ochrony danych w wymaganym terminie z naruszeniem art. 58 RODO link
Hiszpania 2022-04-29 16.000 EUR LABORATORIOS GONZÁLEZ, S.L. Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną LABORATORIOS GONZÁLEZ, SL. Laboratorium przesłało wyniki testu na Covid-19, który osoba, której dane dotyczą, przeniosła nie tylko do nich, ale także do ich szefa bez ich zgody. Pierwotna kara w wysokości 20 000 euro została obniżona do 16 000 euro z powodu natychmiastowej zapłaty. link
Hiszpania 2022-04-29 4.200 EUR CLÍNICA DENTAL SAN FRANCISCO, S.L. Art. 17 RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na CLÍNICA DENTAL SAN FRANCISCO, SL. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi, ponieważ administrator nadal wysyłał mu reklamy za pośrednictwem WhatsApp, pomimo faktu, że zażądał usunięcia swoich danych. Pierwotna kara w wysokości 7 000 euro została obniżona do 4 200 euro w związku z natychmiastową spłatą i uznaniem zadłużenia przez administratora. link
Hiszpania 2022-04-22 5.600 EUR Lekarz Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną lekarza. Lekarz wykorzystał nagrania z leczenia pacjenta do celów reklamowych. Jednak pacjentka nie wyraziła na to zgody. Z tego powodu organ ochrony danych stwierdził, że lekarz przetwarzał dane bez ważnej podstawy prawnej. Pierwotna kara w wysokości 7 000 euro została obniżona do 5 600 euro z powodu natychmiastowej zapłaty. link
Hiszpania 2022-04-27 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 1000 euro za naruszenie art. 5 ust. 1 lit. c RODO i 500 euro za naruszenie art. 13 RODO. link
Hiszpania 2022-04-23 1.200 EUR MOVALIA TRASLADOS, S.L.U. Art. 6 (1) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na MOVALIA TRASLADOS, S.L.U. Podczas dochodzenia organ ochrony danych wykrył liczne nieprawidłowości na stronie internetowej obsługiwanej przez administratora. Na przykład administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto wbrew obowiązkowi administratora wynikającemu z art. 13 RODO, serwis nie posiadał polityki prywatności. Pierwotna grzywna w wysokości 2000 euro została obniżona do 1200 euro z powodu natychmiastowej zapłaty i uznania winy. link
Hiszpania 2022-04-19 600 EUR DOOR2DOOR SPAIN, S.L. Art. 58 (2) RODO Hiszpański DPA nałożył grzywnę na DOOR2DOOR SPAIN, SL. Administrator nie wdrożył w odpowiednim czasie środków wielokrotnie nakazanych przez DPA. Ponadto administrator nie dostarczył organowi ochrony danych żądanych informacji. Pierwotna kara w wysokości 1000 euro została obniżona do 600 euro z powodu natychmiastowej zapłaty i uznania długu przez administratora. link
Węgry 2022-03-02 13.500 EUR Firma Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (2) RODO, Art. 17 (1) b) RODO Węgierski organ ochrony danych nałożył na spółkę grzywnę w wysokości 13 500 euro. Osoba fizyczna złożyła skargę do organu ochrony danych, stwierdzając, że firma opublikowała dane osobowe, takie jak imię i nazwisko, adres, numer telefonu bez jej zgody. Ponadto firma nie odpowiedziała na prośbę o usunięcie osoby.
Grecja 2022-04-04 5.000 EUR Burmistrz Art. 5 (1) a) RODO Grecki organ ochrony danych nałożył na burmistrza grzywnę w wysokości 5 000 euro. Burmistrz przesłał dokumenty pracownika gminy osobom trzecim bez zgody pracownika. Organ ochrony danych uznał to za naruszenie art. 5 ust. 1 lit. a RODO. link
Francja 2022-04-15 1.500.000 EUR DEDALUS BIOLOGIE Art. 28 RODO, Art. 29 RODO, Art. 32 RODO Francuski organ ochrony danych (CNIL) nałożył na DEDALUS BIOLOGIE grzywnę w wysokości 1,5 mln euro. DEDALUS zajmuje się dystrybucją oprogramowania dla laboratoriów analiz medycznych. W lutym prasa ujawniła wyciek danych w DEDALUS, w wyniku którego wyciekł prawie 500 000 danych osób. Ujawnione dane zawierały informacje o nazwiskach, imionach, numerze ubezpieczenia społecznego, nazwisku lekarza prowadzącego, dane o badaniach lekarskich i chorobach osób, których dane dotyczą. Podczas dochodzenia CNIL stwierdziła kilka naruszeń RODO. Mianowicie DEDALUS naruszył art. 29 RODO poprzez pozyskiwanie większej ilości danych niż jest to wymagane w trakcie przetwarzania w imieniu dwóch laboratoriów. Ponadto organ ochrony danych stwierdził, że firma DEDALUS nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. Stanowi to naruszenie art. 32 RODO. Na przykład nie wdrożono żadnej konkretnej procedury dla operacji migracji danych. Ponadto dane, które wyciekły, nie były przechowywane na serwerze w postaci zaszyfrowanej. Ponadto organ ochrony danych stwierdził, że DEDALUS nie posiadał uwierzytelnienia dostępu do publicznego obszaru serwera. Brak takich zabezpieczeń był jedną z głównych przyczyn wycieku danych. Ponadto organ ochrony danych uznał, że dokumenty umowne pomiędzy DEDALUS a jej klientami nie spełniały wymogów określonych w art. 28 RODO. Nakładając grzywnę, organ ochrony danych wziął pod uwagę zaostrzająco wagę popełnionych naruszeń, w szczególności naruszeń bezpieczeństwa, a także dużą liczbę poszkodowanych osób. link
Hiszpania 2022-04-18 1.800 EUR Operator strony internetowej Art. 6 (1) RODO, Art. 13 RODO, Art. 22 (2) LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na operatora łącza do strony internetowej. W trakcie dochodzenia organ ochrony danych wykrył liczne nieprawidłowości na stronie internetowej obsługiwanej przez administratora. Na przykład administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto serwis nie zawierał żadnego rodzaju polityki prywatności. Organ ochrony danych uznał zatem, że administrator naruszył swoje obowiązki określone w art. 13 RODO. Ponadto organ ochrony danych wykrył braki w korzystaniu z plików cookie. Pierwotna grzywna w wysokości 3000 euro została obniżona do 1800 euro z powodu natychmiastowej zapłaty i uznania winy. link
Hiszpania 2022-04-18 9.000 EUR JIMBO NETWORKS, S.L. Art. 6 (1) RODO, Art. 13 RODO, Art. 22 (2) LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na JIMBO NETWORKS, SL. Podczas dochodzenia organ ochrony danych wykrył liczne nieprawidłowości na stronie internetowej obsługiwanej przez administratora. Na przykład administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto polityka prywatności w serwisie nie spełniała wymagań określonych w art. 13 RODO. Polityka prywatności zawierała nieaktualne informacje i odnosiła się do przepisów, które nie obowiązywały. Ponadto organ ochrony danych wykrył braki w korzystaniu z plików cookie. Pierwotna grzywna w wysokości 15 000 euro została obniżona do 9 000 euro z powodu natychmiastowej zapłaty i uznania winy. link
Włochy 2022-03-10 8.000 EUR Agenzia Regionale per la Tutela dell'Ambiente dell'Abruzzo Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-octies Codice della privacy Włoski organ ochrony danych (Garante) nałożył na Agenzia Regionale per la Tutela dell'Ambiente dell'Abruzzo grzywnę w wysokości 8 000 EUR. Były pracownik agencji ochrony środowiska złożył skargę do organu ochrony danych w związku z faktem, że agencja dobrowolnie opublikowała na swojej stronie internetowej dokumenty zawierające jego dane osobowe. Dokumenty zawierały m.in. informacje o dotychczasowym zatrudnieniu danej osoby oraz informacje kryminalne. link
Grecja 2022-04-04 10.000 EUR Piraeus Bank Art. 5 (1) f) RODO, Art. 33 RODO, Art. 34 RODO Grecki organ ochrony danych nałożył na Piraeus Bank grzywnę w wysokości 10 000 euro. Bank przez pomyłkę przesłał osobie trzeciej dokument zawierający dane osoby, której dane dotyczą. Błąd ten wynikał z błędnego podania adresu e-mail przez współwłaściciela konta. Chociaż bank dowiedział się o tym błędzie, nie zaprzestał wysyłania komunikatów do osoby trzeciej, ale polecił osobie, której dane dotyczą, skorzystanie z jej prawa do poprawienia niedokładnych danych. W wyniku przeprowadzonego dochodzenia Organ Ochrony Danych uznał, że bank naruszył zasadę poufności, nie zaprzestając wysyłania wiadomości. Organ ochrony danych stwierdził również, że bank nie zgłosił naruszenia danych organowi ochrony danych i osobie, której dane dotyczą. link
Włochy 2022-03-10 6.000 EUR Azienda sanitaria provinciale di Caltanissetta Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 37 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych nałożył na Azienda sanitaria provinciale di Caltanissetta grzywnę w wysokości 6 000 EUR. Osoba, której dane dotyczą, zwróciła się do administratora, w ramach postępowania sądowego, o przesyłanie wszelkich komunikatów w tej sprawie wyłącznie na ich osobistą skrzynkę e-mail. Niemniej jednak administrator wysłał wiadomości na firmowy adres e-mail osoby, której dane dotyczą. Ponadto osoba, której dane dotyczą, zażądała dostępu do swoich danych. Jednak administrator nie spełnił właściwie tego żądania. W toku dochodzenia organ ochrony danych stwierdził również, że zakład opieki zdrowotnej nie poinformował organu ochrony danych o nazwisku i danych kontaktowych nowego inspektora ochrony danych oraz nie zaktualizował ich na swojej stronie internetowej. link
Hiszpania 2022-04-13 8.000 EUR RAMONA FILMS, S.L. Art. 13 RODO, Art. 22 (2) LSSI Hiszpański organ ochrony danych (AEPD) ukarał grzywną RAMONA FILMS, S.L. za niezapewnienie zgodności polityki prywatności firmy z wymogami art. 13 RODO. W szczególności strona zawierała nieaktualne informacje i odnosiła się do przepisów, które nie obowiązywały. Ponadto organ ochrony danych wykrył braki w korzystaniu z plików cookie. Pierwotna grzywna w wysokości 10 000 euro została obniżona do 8 000 euro z powodu natychmiastowej zapłaty i uznania winy. link
Hiszpania 2022-04-11 150.000 EUR BASER COMERCIALIZADORA DE REFERENCIA, S.A. Art. 6 RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył na BASER COMERCIALIZADORA DE REFERENCIA, S.A. grzywnę w wysokości 150 000 EUR. Klient firmy złożył skargę do organu ochrony danych, ponieważ jego umowa na dostawę energii elektrycznej została zmieniona bez jego zgody. Spowodowało to wzrost dostaw energii elektrycznej. W trakcie dochodzenia organ ochrony danych stwierdził, że oszust podszywa się pod osobę, której dane dotyczą, podając imię i nazwisko oraz numer identyfikacyjny osoby, której dane dotyczą. W ten sposób mogli zmodyfikować umowę osoby, której dane dotyczą. Według organu ochrony danych administrator nie zweryfikował należycie tożsamości oszusta przed zmianą umowy oraz, ze względu na brak wystarczających środków bezpieczeństwa, nie upewnił się, że pytający faktycznie jest osobą, której dane dotyczą. link
Hiszpania 2022-04-18 1.800 EUR FLORAQUEEN FLOWERING THE WORLD S.L. Art. 58 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę na FLORAQUEEN FLOWING THE WORLD S.L. za nieudzielenie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. Pierwotna grzywna w wysokości 3000 euro została obniżona do 1800 euro z powodu natychmiastowej zapłaty i uznania winy. link
Włochy 2022-03-10 10.000 EUR Azienda USL Toscana Centro Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 32 DPR, Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 10 000 EUR na Azienda USL Toscana Centro. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi po zgłoszeniu naruszenia danych na podstawie art. 33 RODO. Ukarany podmiot przez pomyłkę wysłał dokumentację medyczną pacjenta do niewłaściwych pacjentów. Organ ochrony zdrowia stwierdził zatem, że zakład opieki zdrowotnej nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. link
Rumunia 2022-04-18 1.000 EUR IKEA România S.R.L. Art. 12 (3) RODO Rumuński organ ochrony danych nałożył grzywnę w wysokości 1000 EUR na IKEA România S.R.L. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, że IKEA nie spełniła jej żądań dotyczących terminowego usunięcia danych osobowych osoby, której dane dotyczą, z jej konta użytkownika IKEA. Organ ochrony danych stwierdził, że IKEA Rumunia naruszyła art. 12 ust. 3 RODO. link
Hispania 2022-04-12 500 EUR Homeowners Association Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył na stowarzyszenie właścicieli domów grzywnę w wysokości 500 euro. Zarząd stowarzyszenia właścicieli opublikował publicznie listę właścicieli, którzy nie wywiązują się z płatności. Organ ochrony danych uznał to za naruszenie zasady poufności i integralności określonej w art. 5 ust. 1 lit. f RODO. link
Holandia 2022-04-07 3.700.000 EUR Dutch Tax and Customs Administration Art. 5 (1) a), b), d), e) RODO, Art. 6 (1) RODO, Art. 32 (1) RODO, Art. 35 (2) RODO Holenderski organ ochrony danych nałożył grzywnę w wysokości 3,7 miliona euro na holenderską administrację podatkową i celną. Jest to najwyższa kara, jaką kiedykolwiek nałożył holenderski organ ochrony danych. W ramach dochodzenia organ ochrony danych stwierdził szereg naruszeń RODO. Administracja Podatkowa i Celna od kilku lat prowadziła listę, na której odnotowywała oznaki oszustwa. Lista zawierała informacje o ponad 270 tys. osób, w tym nieletnich. Administracja przetwarzała dane osobowe, takie jak zdrowie, obywatelstwo i karne dane osobowe w ramach prowadzenia listy. Organ ochrony danych początkowo stwierdził, że administracja nie miała ważnej podstawy prawnej do przetwarzania danych zawartych w wykazie. Z tego powodu dane były przetwarzane niezgodnie z prawem. Ponadto organ ochrony danych stwierdził, że informacje zawarte w wykazie były często nieprawidłowe, w związku z czym duża liczba osób została fałszywie zarejestrowana jako potencjalni oszuści. Ponadto dochodzenie wykazało, że utrzymanie wykazu prowadziło do dyskryminacji niektórych osób, ponieważ ryzyko oszustwa określono między innymi na podstawie narodowości i wyglądu osób, których dane dotyczą. Na przykład darowizny na meczety uznano za czynnik ryzyka oszustwa. Ponadto organ ochrony danych stwierdził, że administracja naruszyła obowiązek wynikający z RODO wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednią ochronę gromadzonych przez nią danych osobowych. W rzeczywistości administracja nieodpowiednio zabezpieczyła dane osobowe. Organ ochrony danych stwierdził również, że administracja naruszyła zasadę ograniczenia przechowywania, przechowując dane przez dłuższy czas wbrew okresowi przechowywania ustalonemu dla danych osobowych w wykazie. Ponadto organ ochrony danych stwierdził, że przetwarzanie danych z wykazu nie było konieczne do prawidłowego wykonywania przez administrację jej zadań. Przetwarzanie było zatem nieproporcjonalne. Ponadto administracja nie określiła w wystarczającym stopniu celów przetwarzania, a tym samym naruszyła zasadę celowości. Wysokość grzywny wynosi: 1 mln euro za naruszenie art. 5 ust. 1 lit. a RODO oraz art. 6 ust. 1 RODO; 750 000 EUR za naruszenie art. 5 ust. 1 lit. b RODO; 750 000 EUR za naruszenie art. 5 ust. 1 lit. d RODO; 250 000 EUR za naruszenie art. 5 ust. 1 lit. e RODO; 500.000 euro za naruszenie art. 32 ust. 1 RODO 450 000 EUR za naruszenie art. 35 ust. 2 RODO. link
Włochy 2022-02-10 1.500 EUR Studio Colli Aniene Verderocca S.r.l. Art. 12 (3) RODO, Art. 14 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 1500 euro na Studio Colli Aniene Verderocca S.r.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezamówioną reklamą telefoniczną. Ponadto osoba, której dane dotyczą, stwierdziła, że ​​nie otrzymała odpowiedzi na jego prośbę o informacje i usunięcie dotyczące przetwarzania jej danych osobowych. link
Włochy 2022-02-10 5.000 EUR Arte del vivere S.r.l. Art. 12 RODO, Art. 17 RODO, Art. 157 Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 5 000 EUR na Arte del vivere S.r.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ jej dane osobowe zostały opublikowane na stronie internetowej www.mondoshiatsu.com obsługiwanej przez administratora. Osoba, której dane dotyczą, została automatycznie włączona do Portalu Shiatsu po wzięciu udziału w rocznym szkoleniu Shiatsu. Ponieważ jednak nigdy nie pracował w tej dziedzinie, wielokrotnie domagał się usunięcia swoich danych. Administrator nie spełnił jednak żądania, mimo że obiecał usunąć dane. link
Belgia 2022-04-01 7.500 EUR Firma Art. 5 (1) a) RODO, Art. 6 (1) f) RODO, Art. 15 RODO, Art. 17 RODO, Art. 18 RODO, Art. 21 RODO, Art. 28 RODO Belgijski organ ochrony danych nałożył na firmę grzywnę w wysokości 7500 euro. Były dyrektor zarządzający złożył skargę przeciwko spółce do organu ochrony danych. W związku ze zwolnieniem były dyrektor przed przekazaniem sprzętu technicznego skasował wszystkie dane z laptopa roboczego. Według dyrektora zarządzającego usunięte zostały tylko dane prywatne, takie jak prywatna skrzynka e-mail. Firma stwierdziła jednak, że dyrektor zarządzający usunął zarówno dane prywatne, jak i związane z pracą. Następnie firma przywróciła dane, które wcześniej znajdowały się na laptopie. Z tego powodu były dyrektor zarządzający zwrócił się o skorzystanie z przysługującego mu prawa do usunięcia, ograniczenia przetwarzania swoich danych osobowych oraz wniesienia sprzeciwu. Jednak firma odrzuciła prośbę. W toku dochodzenia organ ochrony danych stwierdził, że spółka naruszyła obowiązek wynikający z RODO polegający na przyznaniu byłemu dyrektorowi zarządzającemu wykonywania tych praw. Ponadto organ ochrony danych stwierdził, że ze względu na brak ważnej podstawy prawnej w momencie przywrócenia, firma bezprawnie przetwarzała dane. link
Rumunia 2022-04-07 500 EUR Stowarzyszenie Właścicieli Nieruchomości Art. 58 (1) a), e) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na stowarzyszenie właścicieli nieruchomości grzywnę w wysokości 500 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. link
Holandia 2022-02-24 565.000 EUR Holenderskie Ministerstwo Spraw Zagranicznych Art. 13 (1) e) RODO, Art. 32 (1) RODO Holenderski organ ochrony danych nałożył na holenderskie Ministerstwo Spraw Zagranicznych grzywnę w wysokości 565 000 euro. W ramach dochodzenia organ ochrony danych stwierdził, że krajowy system informacji wizowej (NVIS) ma poważne niedociągnięcia w zakresie bezpieczeństwa. Jest to szczególnie poważne, ponieważ Ministerstwo Spraw Zagranicznych przetwarzało średnio 530 000 wniosków wizowych rocznie w ciągu ostatnich trzech lat, a dane osobowe przetwarzane w trakcie tych wniosków były w związku z tym nieodpowiednio zabezpieczone. Dane obejmowały wrażliwe informacje, takie jak odciski palców, imię i nazwisko, adres, miejsce zamieszkania, kraj urodzenia, cel podróży i narodowość. Ze względu na nieodpowiednie zabezpieczenia, dostęp do danych byłby możliwy dla osób nieuprawnionych. Według DPA Ministerstwo Spraw Zagranicznych od pewnego czasu było świadome luk bezpieczeństwa w systemie wizowym. Mimo tej wiedzy Ministerstwo nie dostosowało na czas środków bezpieczeństwa. Z tego powodu organ ochrony danych stwierdza, że ​​Ministerstwo dopuściło się rażącego niedbalstwa. Organ ochrony danych stwierdził również, że Ministerstwo Spraw Zagranicznych nie poinformowało odpowiednio osób ubiegających się o wizy, że ich dane osobowe zostaną udostępnione innym stronom. link
Belgia 2022-04-04 20.000 EUR Pogotowie ratunkowe Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Belgijski organ ochrony danych nałożył grzywnę na zespół ratunkowy Ambuce w wysokości 20 000 EUR. Kara jest związana z grzywnami nałożonymi na Brussels Airport Charleroi i Brussels Airport Zaventem. W związku z pandemią Covid 19 lotniska używały kamer termowizyjnych do filtrowania osób o temperaturze ciała powyżej 38 stopni. Odfiltrowani zostali następnie poproszeni o udzielenie odpowiedzi na pytania dotyczące możliwych objawów koronawirusa. W tym procesie Zespół Ratownictwa Pogotowia dostarczył kwestionariusze. W szczególności organ ochrony danych stwierdził, że nie ma ważnej podstawy prawnej do przetwarzania tych danych dotyczących zdrowia. Dane zdrowotne są danymi wrażliwymi w rozumieniu art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 ust. 2 RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie na podstawie interesu publicznego w obszarze zdrowia publicznego. W tym celu jednak przetwarzanie musi opierać się na jasnej normie prawnej. W rozpatrywanych przypadkach przetwarzanie opierało się na protokole, który nie spełniał tych wymagań. link
Belgia 2022-04-04 100.000 EUR Port lotniczy Bryksela Charleroi Art. 5 (1) a), b) RODO, Art. 6 (1) c) RODO, Art. 6 (3) RODO, Art. 9 (2) i) RODO, Art. 12 (1) RODO, Art. 13 (1) c) RODO, Art. 13 (2) e) RODO, Art. 35 (1), (7) RODO Belgijski organ ochrony danych nałożył grzywnę na brukselskie lotnisko Charleroi w wysokości 100 000 EUR. Organ ochrony danych wszczął śledztwo przeciwko lotnisku po doniesieniach medialnych o monitorowaniu temperatury osób na lotnisku. W związku z pandemią Covid-19 lotnisko używało kamer termowizyjnych do filtrowania osób o temperaturze ciała powyżej 38 stopni. Odfiltrowane osoby musiały następnie odpowiedzieć na pytania dotyczące możliwych objawów koronawirusa. Organ ochrony danych zauważył w szczególności, że port lotniczy nie miał ważnej podstawy prawnej do przetwarzania tych danych dotyczących zdrowia. Dane dotyczące zdrowia stanowią dane wrażliwe zgodnie z art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 ust. 2 RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie na podstawie interesu publicznego w obszarze zdrowia publicznego. W tym celu jednak przetwarzanie musi opierać się na jasnej normie prawnej. W niniejszej sprawie przetwarzanie opierało się na protokole, który nie spełniał tych wymagań. Ponadto organ ochrony danych stwierdził uchybienia w ocenie skutków dla ochrony danych. Ponadto port lotniczy nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych. link
Belgia 2022-04-04 200.000 EUR Port lotniczy Bruksela Zaventem Art. 5 (1) c) RODO, Art. 6 (1) e) RODO, Art. 9 (2) g) RODO, Art. 12 RODO, Art. 13 (1) c) RODO, Art. 13 (2) e) RODO, Art. 35 (1), (3), (7) b) RODO Belgijski organ ochrony danych nałożył grzywnę na Brussels Airport Zaventem w wysokości 200 000 EUR. Organ ochrony danych wszczął śledztwo przeciwko lotnisku po doniesieniach medialnych o monitorowaniu temperatury osób na lotnisku. W związku z pandemią Covid-19 lotnisko używało kamer termowizyjnych do filtrowania osób o temperaturze ciała powyżej 38 stopni. Odfiltrowane osoby musiały następnie odpowiedzieć na pytania dotyczące możliwych objawów koronawirusa. Organ ochrony danych zauważył w szczególności, że port lotniczy nie miał ważnej podstawy prawnej do przetwarzania tych danych dotyczących zdrowia. Dane dotyczące zdrowia stanowią dane wrażliwe zgodnie z art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 ust. 2 RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie na podstawie interesu publicznego w obszarze zdrowia publicznego. W tym celu jednak przetwarzanie musi opierać się na jasnej normie prawnej. W niniejszej sprawie przetwarzanie opierało się na protokole, który nie spełniał tych wymagań. Ponadto organ ochrony danych stwierdził uchybienia w ocenie skutków dla ochrony danych. Ponadto port lotniczy nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych. link
Irlandia 2022-04-05 463.000 EUR Bank of Ireland Art. 32 RODO, Art. 33 RODO, Art. 34 RODO Irlandzki organ ochrony danych nałożył na Bank of Ireland grzywnę w wysokości 463 000 EUR. Bank zgłosił 22 naruszenia danych do organu ochrony danych na podstawie art. 33 RODO. W ramach dochodzenia organ ochrony danych ustalił, że bank dostarczył do Centralnego Rejestru Kredytów nieprawdziwe informacje z powodu pomieszania danych dotyczących rachunków klientów banku. Błąd ten mógł mieć negatywny wpływ na zdolność kredytową osób, których dane dotyczą. Organ ochrony danych stwierdził, że naruszenie danych osobowych nastąpiło z powodu nieodpowiednich środków technicznych i organizacyjnych ze strony banku. Ponadto bank nie poinformował od razu osób, których dane dotyczą, oraz organu ochrony danych o naruszeniu danych. link
Dania 2022-04-05 1.300.000 EUR Danske Bank Art. 5 (2) RODO Duński organ ochrony danych nałożył na Danske Bank grzywnę w wysokości 1,3 mln euro. Organ ochrony danych wszczął dochodzenie przeciwko bankowi po tym, jak poinformował organ ochrony danych, że ma problem z usunięciem danych osobowych. W trakcie śledztwa DPA ustalił, że bank nie udokumentował zasad usuwania i przechowywania danych osobowych w ponad 400 systemach. W konsekwencji bank nie był w stanie udowodnić, że takie zasady, które są wymagane przez RODO, istnieją. Organ ochrony danych uznał to za naruszenie obowiązku rozliczalności banku wynikającego z art. 5 ust. 2 RODO. link
Grecja 2022-03-09 2.000 EUR Foreign language school Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO Grecki organ ochrony danych nałożył na pracodawcę (właściciela prywatnej szkoły języków obcych) grzywnę w wysokości 2000 euro. Pracownik, który pracuje jako nauczyciel języka w szkole, złożył skargę do organu ochrony danych na swojego pracodawcę. Powodem tego było to, że pomimo sprzeciwu ukarany podmiot nadal monitorował pracownika podczas jego kursów online za pośrednictwem platformy „Zoom”. W związku z tym organ ochrony danych uznał, że administrator naruszył swój obowiązek przestrzegania prawa do sprzeciwu osoby, której dane dotyczą. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował prawidłowo osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych zgodnie z art. 13 RODO. link
Szwecja 2022-03-28 720.000 EUR Klarna Bank AB Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 12 (1) RODO, Art. 13 (2) f) RODO, Art. 14 (2) g) RODO Szwedzki organ ochrony danych nałożył na Klarna Bank AB grzywnę w wysokości 720.000 euro. Klarna to firma finansowa, która na różne sposoby przetwarza dużą liczbę danych osobowych. W ramach dochodzenia organ ochrony danych stwierdził, że Klarna nie wywiązała się należycie ze swoich obowiązków informacyjnych. Na przykład Klarna nie podała na swojej stronie internetowej wystarczających informacji o celu i podstawie prawnej przetwarzania danych osobowych. Ponadto w odniesieniu do przekazywania danych do szwedzkich i zagranicznych agencji kredytowych, Klarna podała niepełne informacje o odbiorcach danych osobowych. Klarna nie dostarczyła również informacji o państwach trzecich, do których przekazywane są dane osobowe. Wreszcie, organ ochrony danych stwierdził, że Klarna niewystarczająco informowała osoby, których dane dotyczą, o ich prawach wynikających z RODO. link
Rumunia 2022-03-28 2.000 EUR Condor SA Art. 32 (1), (2), (4) RODO Rumuński organ ochrony danych nałożył na Condor SA karę w wysokości 2000 euro. Administrator doznał naruszenia danych, w wyniku którego osoby nieuprawnione uzyskały dostęp do kilku dokumentów zawierających dane osobowe pracowników i byłych pracowników, takich jak miejsce pracy, nazwisko, imię, stanowisko, wynagrodzenie oraz dane bankowe. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych, które zapewniłyby ochronę danych osobowych. link
Rumunia 2022-03-28 2.000 EUR Kaufland Romania SCS Art. 15 (3) RODO Rumuński organ ochrony danych nałożył na Kaufland Romania SCS grzywnę w wysokości 2000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezastosowaniem się administratora do jej żądania dostarczenia kopii nagrań z systemu monitoringu wideo, w którym osoba, której dane dotyczą, mogła być widziana. W toku dochodzenia organ ochrony danych ustalił, że administrator naruszył obowiązek udzielenia informacji, zwłaszcza że nagrania były dostępne. link
Cypr 2022-03-21 5.000 EUR English School staff union (ESSA) Art. 32 RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 5 000 euro na związek pracowników szkoły angielskiej (ESSA). Szkoła powiadomiła organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. Nauczyciel, również członek związku zawodowego, wykorzystywał adresy e-mail rodziców uczniów w celu innym niż ten, dla którego adresy e-mail zostały pierwotnie zebrane. Organ ochrony danych stwierdził, że związek pracowniczy nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych i zapobieżenia takim incydentom. link
Cypr 2022-03-22 4.000 EUR Szkoła języka angielskiego na Cyprze Art. 32 RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 4000 euro na szkołę języka angielskiego na Cyprze. Szkoła zgłosiła naruszenie danych organowi ochrony danych na podstawie art. 33 RODO. Nauczyciel wykorzystał adres e-mail rodziców uczniów w celu innym niż ten, dla którego adresy e-mail zostały pierwotnie zebrane. Organ ochrony danych stwierdził, że szkoła nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych i zapobiegania takim incydentom. link
Grecja 2022-03-09 2.000 EUR Pracodawca Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO Grecki organ ochrony danych nałożył na pracodawcę grzywnę w wysokości 2000 euro. Pracownik złożył skargę w związku z nieprzestrzeganiem przez pracodawcę prawa pracownika do sprzeciwu. Pracownik sprzeciwił się stałemu monitorowaniu jego kursów online oferowanych przez zoom. Pracodawca kontynuował jednak monitoring. Ponadto organ ochrony danych stwierdził, że pracodawca nie był w stanie zapewnić wystarczającej podstawy prawnej do przetwarzania danych. link
Dania 2022-03-25 6.700 EUR Danish National Genome Center Art. 36 RODO Duński organ ochrony danych nałożył grzywnę w wysokości 6700 euro na duńskie Narodowe Centrum Genomu. Centrum przeprowadziło ocenę wpływu na ochronę danych, która ujawniła okoliczności, które mogą stanowić duże zagrożenie dla praw osób, których dane dotyczą. Organ ochrony danych nałożył grzywnę, ponieważ centrum przetwarzało dane osobowe bez uprzedniej konsultacji z organem ochrony danych, mimo że ocena skutków wykazała wysokie ryzyko dla osób, których dane dotyczą. Centrum spełniło wszystkie żądania organu ochrony danych i wykazało dobrą współpracę z organem. link
Polska 2022-01-19 53.000 EUR PIKA Sp. z o.o. Art. 28 (3) c), f) RODO, Art. 32 (1), (2) RODO Polski organ ochrony danych nałożył na PIKA Sp. ogród zoologiczny. w kwocie 53 000 euro. Kara jest związana z karą nałożoną na Fortum Marketing and Sales Polska S.A. PIKA działała jako przetwórca dla Fortum. W trakcie dochodzenia organ ochrony danych ustalił, że osobom nieupoważnionym udało się uzyskać dostęp do danych klientów i wyprowadzić je. Do naruszenia danych doszło w momencie wprowadzenia przez PIKA zmiany w środowisku informatycznym firmy. W ramach tej zmiany powstała dodatkowa baza klientów Fortum. Jednak serwer, na którym przechowywana była baza danych, nie posiadał wystarczających zabezpieczeń, dlatego osoby nieuprawnione miały dostęp do danych. Organ ochrony danych stwierdził również, że PIKA nie dokonała pseudonimizacji i zaszyfrowania danych. Ponadto PIKA wykorzystała rzeczywiste dane klientów, a nie dane testowe, aby przetestować zmiany w systemie. Z tego powodu organ ochrony danych stwierdził, że PIKA nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych. link
Polska 2022-01-19 1.000.000 EUR Fortum Marketing and Sales Polska S.A. Art. 5 (1) f) RODO, Art 24 (1) RODO, Art. 25 (1) RODO, Art. 28 (1) RODO, Art. 32 (1), (2) RODO Polski organ ochrony danych nałożył na Fortum Marketing and Sales Polska S.A. karę w wysokości 1 mln euro. Spółka zgłosiła naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Podczas dochodzenia organ ochrony danych ustalił, że osobom nieupoważnionym udało się uzyskać dostęp do danych klientów i wyprowadzić je. Do naruszenia bezpieczeństwa danych doszło w momencie wprowadzenia zmiany w środowisku informatycznym firmy. Zmiana została dokonana przez agenta przetwarzania. W ramach zmiany powstała dodatkowa baza klientów Fortum. Serwer, na którym przechowywana była baza danych, nie posiadał jednak wystarczających zabezpieczeń, dlatego osobom nieuprawnionym udało się uzyskać dostęp do danych. Organ ochrony danych stwierdził również, że procesorowi nie udało się pseudonimizować i zaszyfrować danych. Ponadto agent przetwarzania wykorzystywał rzeczywiste dane klienta, a nie dane testowe, do testowania zmian w systemie. Z tego powodu organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. Ponadto organ ochrony danych stwierdził, że administrator byłby zobowiązany do monitorowania pracy podmiotu przetwarzającego, aby zapewnić ciągłą ochronę danych osobowych. link
Niemcy 2022-03-03 1.900.000 EUR BREBAU GmbH Art. 5 (1) RODO, Art. 6 (1) RODO, Art. 9 RODO Organ ochrony danych w Bremie nałożył grzywnę w wysokości 1,9 miliona euro na spółdzielnię mieszkaniową BREBAU GmbH. BREBAU GmbH przetworzył ponad 9500 zestawów danych dotyczących potencjalnych najemców bez ważnej podstawy prawnej. W szczególności organ ochrony danych stwierdził, że administrator przetwarzał szczególnie wrażliwe dane w rozumieniu art. 9 RODO. Na przykład administrator bezprawnie przetwarzał informacje o kolorze skóry, pochodzeniu etnicznym, przynależności religijnej, orientacji seksualnej i stanie zdrowia osób, których dane dotyczą. BREBAU GmbH również celowo zignorował prośby osób, których dane dotyczą, o przejrzystość przetwarzania ich danych. Nakładając grzywnę, organ ochrony danych wziął pod uwagę, jako czynnik obciążający, niezwykłą głębię naruszenia podstawowego prawa do ochrony danych. Ponieważ jednak BREBAU GmbH w pełni współpracowała w toku śledztwa, dokładała starań w celu złagodzenia szkody, samodzielnie wyjaśniała stan faktyczny i zapewniała, że ​​takie naruszenia się nie powtórzą, wysokość kary mogła zostać obniżona.
Włochy 2022-02-10 2.000 EUR Comune di di Guidizzolo Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy Społeczność opublikowała na swojej stronie internetowej informacje o sprawie sądowej, w tym dane osobowe, takie jak imię i nazwisko oraz informacje zawodowe osoby, której dane dotyczą. link
Włochy 2022-02-10 10.000 EUR Scanshare S.r.l. Art. 28 (2) RODO, Art. 32 RODO Włoski organ ochrony danych nałożył na Scanshare S.r.l. grzywnę w wysokości 10 000 EUR. Grzywna ta jest związana z grzywną nałożoną na Region Toskanii. Region stwierdził, że nieumyślnie opublikował dane osobowe 3 548 kandydatów na stanowiska asystentów administracyjnych. Dane dotyczyły informacji, które kandydaci dostarczyli w ramach wstępnej selekcji wniosku. Scanshare powierzono zorganizowanie testu preselekcji. Z powodu błędu ze strony Scanshare błędnie opublikowano adres URL, przez który można było przeglądać dane osobowe i wyniki testu. link
Włochy 2022-02-10 10.000 EUR Region of Tuscany Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na region Toskanii. Region powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Region stwierdził, że nieumyślnie opublikował dane osobowe 3 548 kandydatów na stanowiska asystentów administracyjnych. Dane dotyczyły informacji, które kandydaci udostępnili w ramach testu preselekcji wniosku. Region omyłkowo opublikował adres URL, przez który można było przeglądać dane osobowe i wyniki testu. link
Włochy 2022-02-10 3.500 EUR Azienda socio sanitaria territoriale Melegnano e della Martesana Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 3500 euro na Azienda social sanitaria Territoriale Melegnano e della Martesana. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi po zgłoszeniu naruszenia ochrony danych organowi ochrony danych. Pacjent omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną od innego pacjenta w swojej cyfrowej dokumentacji medycznej. link
Włochy 2022-02-10 20.000.000 EUR Clearview Al Art. 5 (1) a), b), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO, Art. 27 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 20 mln EUR na firmę Clearview AI z siedzibą w USA po tym, jak ujawniono, że firma stosowała techniki nadzoru biometrycznego na terytorium Włoch. Firma posiada bazę danych zawierającą ponad 10 miliardów zdjęć twarzy z całego świata. Firma oferuje usługę wyszukiwania, która umożliwia tworzenie profili na podstawie danych biometrycznych wyodrębnionych z obrazów. Profile można wzbogacać o informacje związane z tymi obrazami, takie jak tagi obrazu i geolokalizacja. Organ ochrony danych wszczął dochodzenie w sprawie firmy po tym, jak okazało się, że Clearview – wbrew początkowym twierdzeniom – umożliwił również przeszukanie obywateli i rezydentów Włoch. Organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że firma naruszyła kilka zasad RODO. Na przykład firma naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. Clearview naruszył również zasadę celowości, przetwarzając dane użytkowników w celach innych niż te, dla których zostały one udostępnione online. Wreszcie naruszył zasadę ograniczenia przechowywania, nie określając okresu przechowywania danych. link
Islandia 2022-03-08 7.000 EUR Hörpu tónlistar- og ráðstefnuhúss ohf. Art. 5 (1) c) RODO, Art. 6 RODO Islandzki organ ochrony danych nałożył grzywnę na Hörpu tónlistar- og ráðstefnuhúss ohf. 7000 euro. Organ ochrony danych otrzymał skargę dotyczącą zbierania przez salę koncertową numeru identyfikacyjnego i daty urodzenia w ramach zakupu biletu elektronicznego. Incydent miał miejsce przed wybuchem pandemii Covid-19, kiedy rejestracja danych osobowych do śledzenia kontaktów w kontekście wizyt zdarzeń nie była jeszcze wymagana. Organ ochrony danych uznał, że nie byłoby konieczne zbieranie danych do wystawienia biletu, ponieważ nawet bez tego pobrania można byłoby zawrzeć umowę kupna. Z tego powodu organ ochrony danych uznał, że sala koncertowa naruszyła zasadę minimalizacji danych. link
Rumunia 2022-03-10 2.000 EUR Operatorul Briza Land S.R.L. Art. 15 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę na Operatorul Briza Land S.R.L. 2000 euro. Administrator nie odpowiedział prawidłowo na prośbę o informacje. link
Włochy 2022-02-10 10.000 EUR Costampress S.p.A. Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO Spółka pozostawiła aktywne konto e-mail osoby, której dane dotyczą, nawet po ustaniu jej zatrudnienia i nie udzieliła wystarczających informacji na ten temat. link
Irlandia 2022-03-15 17.000.000 EUR Meta Platforms Ireland Limited Art. 5 (2) RODO, Art. 24 (1) RODO Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 17 mln EUR na Meta Platforms Ireland Limited (dawniej Facebook Ireland Limited). Decyzja opiera się na dwunastu powiadomieniach o naruszeniu danych, które miały miejsce między 7 czerwca 2018 r. a 4 grudnia 2018 r. Wynik dochodzenia DPC ujawnił, że Meta naruszyła art. 5 ust. 2 RODO i art. 24 ust. W trakcie dochodzenia DPC stwierdził, że Meta nie wykazała, że ​​podjęła odpowiednie środki techniczne i organizacyjne w celu ochrony danych użytkowników z UE. Postępowanie karne dotyczyło transgranicznego przetwarzania danych, dlatego decyzja została poddana procedurze współdecydowania na podstawie art. 60 RODO z udziałem wszystkich innych europejskich organów nadzorczych jako współdecydentów. Chociaż dwa europejskie organy ochrony danych sprzeciwiły się projektowi decyzji DPC, ostatecznie osiągnięto konsensus. W związku z tym decyzja DPC odzwierciedla wspólne poglądy DPC i innych europejskich organów ochrony danych. link
Chorwacja 2022-03-08 89.250 EUR Retail company (name not available at the moment) Art 32 (1) b) and d) RODO, Art 32 (2) RODO, Art 32 (4) RODO Firma detaliczna, czyli administrator danych, zgłosiła naruszenie danych osobowych do organu ochrony danych, informując, że jej pracownicy nagrali materiał z monitoringu wideo za pomocą telefonu komórkowego, co było nieuprawnione i sprzeczne z wewnętrznymi aktami i instrukcjami firmy. Nagranie zostało upublicznione poprzez wyciek do mediów społecznościowych, a co za tym idzie do innych mediów. Organ ochrony danych ustalił, że administrator danych nie podjął odpowiednich działań, aby uniemożliwić swoim pracownikom tworzenie materiału filmowego. Chociaż firma podjęła pewne działania, takie jak przyjęcie aktów wewnętrznych dotyczących dostępu do nagrań z monitoringu wideo, edukowanie pracowników i wdrażanie oświadczeń o zachowaniu poufności, organ ochrony danych stwierdził, że firma nie zapewniła – ani przed, ani po ujawnieniu nieautoryzowanego materiału filmowego – odpowiednich organizacyjnych i technicznych środki bezpieczeństwa w celu minimalizacji ryzyka takich lub podobnych naruszeń danych. Ponadto administrator danych nie monitorował na bieżąco ani nie kontrolował skuteczności środków technicznych i organizacyjnych wdrożonych w celu zachowania poufności, integralności i dostępności danych osobowych. Tym samym organ ochrony danych nałożył karę w wysokości 675 000,00 kun za niepodjęcie odpowiednich środków technicznych i wyjaśnił, że kara ta powinna mieć również ogólne skutki prewencyjne oraz uświadamiać administratorom i przetwarzającym dane o obowiązkach związanych z przetwarzaniem danych. link
Chorwacja 2022-03-08 124.245 EUR Energy company (name not available at the moment) Art. 15 (3) RODO Ukarana spółka energetyczna jest właścicielem stacji benzynowych i sprzedaje paliwo klientom. Osobą, której dane dotyczą, jest klient, który złożył skargę konsumencką dotyczącą niedokładnego pomiaru i w konsekwencji pobrania zatankowanej benzyny na jednej ze stacji paliw. Osoba, której dane dotyczą, zażądała kopii swoich danych osobowych, tj. kopii materiału z monitoringu wideo dotyczącego określonego czasu i obszaru. Przedsiębiorstwo energetyczne uzasadniło odrzucenie wniosku: (i) brakiem pisemnego wniosku właściwych organów o dostarczenie materiału filmowego, (ii) brakiem uzasadnionego celu żądania oraz (iii) twierdzeniem, że przekazanie kopii materiału filmowego wpłynęłoby negatywnie na prawa i wolności personelu stacji i innych klientów. Po wydaniu klientowi opinii ogólnej organu ochrony danych w sprawie obowiązku administratorów udostępnienia nagrań z monitoringu osobom, których dane dotyczą, sfilmowanych na takim nagraniu, przedsiębiorstwo energetyczne poinformowało klienta o braku możliwości udostępnienia nagrań w związku z trwającym procesem archiwizacji nagrań z monitoringu. usunięte po siedmiu dniach. W związku z naruszeniem podstawowych praw osoby, której dane dotyczą, organ ochrony danych nałożył grzywnę w wysokości 940.000,00 HRK. W wyjaśnieniu dotyczącym kwoty grzywny zauważono, że organ ochrony danych wziął pod uwagę nie tylko pośrednie szkody dla klienta, ale także potencjalne korzyści finansowe firmy, która pośrednio uniknęła szkód, które mogły powstać w trakcie sporu konsumenckiego oraz fakt, że usuwając nagranie, firma wyeliminowała potencjalnie ważne dowody. link
Niemcy 2020-10-24 200 EUR Osoba prywatna Art. 5 RODO, Art. 32 RODO Oryginalne streszczenie: Urząd Ochrony Danych Saksonii-Anhalt nałożył na osobę prywatną grzywnę w wysokości 200 euro. Ukarana osoba robiła zdjęcia pojazdów, a w niektórych przypadkach ich kierowcom, i wysyłał je do miasta Magedburg w formie niezaszyfrowanej w ramach zgłoszeń naruszeń przepisów ruchu drogowego. link
Hiszpania 2022-02-23 1.500 EUR WORLDWIDE CLASSIC CARS NETWORK S.L. Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 euro na WORLDWIDE CLASSIC CARS NETWORK S.L. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również części przestrzeni publicznej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku należytego informowania o monitoringu. link
Holandia 2022-01-14 525.000 EUR DPG Media Magazines B.V. Art. 12 (2) RODO Holenderski organ ochrony danych nałożył grzywnę w wysokości 525 000 EUR na DPG Media Magazines B.V. Organ ochrony danych otrzymał kilka skarg dotyczących sposobu, w jaki administrator obsługiwał żądania klientów. Klienci, którzy chcieli wiedzieć, jakie dane osobowe przechowuje administrator lub chcieli usunąć swoje dane, musieli najpierw przesłać lub przesłać dowód tożsamości. Organ ochrony danych ustalił, że przesłanie dowodu tożsamości nie byłoby konieczne w celu przetworzenia wniosku. Ponadto proces mailingowy stanowił nadmierną przeszkodę dla osób, których dane dotyczą, w realizacji przysługujących im praw. link
Finlandia 2022-12-26 5.000 EUR Klinika medyczna Art. 5 (1) a) RODO, Art. 12 (1), (2), (3), (4) RODO, Art. 13 (1), (2) RODO, Art. 15 (1), (3) RODO, Art. 25 RODO Fiński organ ochrony danych nałożył na klinikę medyczną grzywnę w wysokości 5 000 euro. Klient kliniki złożył skargę do organu ochrony danych, że nie otrzymał dostępu do swojej dokumentacji medycznej z kliniki po otrzymaniu prośby o informacje. Ponadto klinika nie informowała odpowiednio swoich klientów o przetwarzaniu danych osobowych. W szczególności DPA wskazuje, że klinika nie poinformowała swoich klientów o zakresie, w jakim działała jako administrator danych dotyczących danych pacjentów generowanych przez jej działalność. link
Hiszpania 2022-02-23 1.200 EUR FRUTAS Y VERDURAS LOS CAMPEONES, S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 euro na spółkę FRUTAS Y VERDURAS LOS CAMPEONES, SL. Ukarany podmiot zainstalował system monitoringu wideo, jednak nie umieścił znaków informujących o korzystaniu z monitoringu. link
Hiszpania 2022-02-22 3.000 EUR Operator hotelu Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na operatora hotelu. Ukarany podmiot zainstalował kamery do monitoringu wideo, które obejmowały między innymi również przestrzeń publiczną i część basenu hotelowego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku należytego informowania o monitoringu. link
Polska 2022-01-19 117.000 EUR Santander Bank Polska S. A. Art. 34 (1) RODO Polski organ ochrony danych nałożył na Santander Bank Polska S.A. karę w wysokości 118 000 EUR za niepowiadomienie osób, których dane dotyczą, o naruszeniu danych. Byłemu pracownikowi banku udało się uzyskać nieautoryzowany dostęp do bazy danych usług elektronicznych. Umożliwiło to między innymi dostęp do wielu danych klientów Santander. Ze względu na wysokie ryzyko dla danych osób, których dane dotyczą, bank byłby zobowiązany do poinformowania ich o naruszeniu danych. Bank jednak celowo zrezygnował z tego i nadal oświadczał, że nie wywiąże się z tego obowiązku w przyszłości. Organ ochrony danych zauważył, że stanowiło to poważną ingerencję dla osób, których dane dotyczą, ponieważ nie miały one możliwości podjęcia odpowiednich kroków w celu ochrony swoich praw. link
Hiszpania 2022-02-22 1.000 EUR MALAGATROM, S.L.U. Art. 58 (2) RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 1000 euro na MALAGATROM, S.L.U. za niezastosowanie się do nakazu wydanego przez DPA. link
Rumunia 2022-02-22 3.000 EUR IAMSAT Muntenia SA Art. 12 RODO, Art. 13 RODO, Art. 21 RODO Rumuński organ ochrony danych nałożył na IAMSAT Muntenia SA grzywnę w wysokości 3 000 euro. Organ ochrony danych wszczął dochodzenie w związku ze skargą byłego pracownika, który twierdził, że administrator nadal przetwarza ich dane osobowe nawet po rozwiązaniu umowy o pracę w 2020 r. Osoba, której dane dotyczą, oświadczyła wcześniej, że nie zgadza się na dalsze wykorzystywanie swój adres e-mail oraz że po rozwiązaniu umowy o pracę wnieśli sprzeciw wobec przetwarzania ich danych osobowych przez administratora lub/i osoby trzecie. W toku dochodzenia organ ochrony danych stwierdził również, że administrator nie poinformował swoich pracowników, w tym osoby, której dane dotyczą, z wyprzedzeniem i wyczerpująco o przetwarzaniu ich danych osobowych przez system monitoringu wideo w miejscu pracy. link
Rumunia 2022-02-22 1.000 EUR Civil law firm 'Sabou, Burz & Cuc Art. 5 (1) a), b), c), f) RODO, Art. 5 (2) RODO, Art. 6 RODO Rumuński organ ochrony danych nałożył na kancelarię cywilną „Sabou, Burz & Cuc” grzywnę w wysokości 1000 euro. Organ ochrony danych wszczął dochodzenie po tym, jak klient skarżył się, że administrator opublikował ich dane osobowe w grupie WhatsApp, z której korzysta kilku prawników zrzeszenia prawników bez ich uprzedniej zgody. Organ ochrony danych stwierdził, że administrator przetwarzał dane bez ważnej podstawy prawnej, ponieważ opublikował dane w celu innym niż pierwotnie uzgodniony z osobą, której dane dotyczą. link
Hiszpania 2022-02-21 1.000 EUR Właściciel sklepu Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 1000 euro za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie. link
Hiszpania 2022-02-21 1.500 EUR RESTATURANTE FUENTEBRO, S.C. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na RESTATURANTE FUENTEBRO, S.C. grzywnę w wysokości 1500 EUR za nie dostarczenie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie link
Hiszpania 2022-02-18 2.500 EUR Prywatna osoba Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2500 euro na osobę prywatną. Ukarana osoba zainstalowała w swoim domu kamery monitorujące, które obejmowały między innymi również przestrzeń publiczną i sąsiednie posesje. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto znaki informacyjne dotyczące nadzoru wideo były niewyraźne, przez co nie były dobrze czytelne. Organ ochrony danych uznał to za naruszenie obowiązku informacyjnego zgodnie z art. 13 RODO. link
Włochy 2022-01-27 40.000 EUR T.S.M. s.r.l. Art. 13 RODO, Art. 15 RODO, Art. 21 RODO, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy Włoski organ ochrony danych nałożył na T.S.M. grzywnę w wysokości 40 000 euro. s.r.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na spółkę z powodu niewykonania żądania usunięcia jej danych oraz sprzeciwu wobec dalszego przetwarzania jej danych osobowych. link
Grecja 2022-02-15 30.000 EUR ΛΙΜΕΝΟΣ ΗΡΑΚΛΕΙΟΥ Α.Ε. Art. 12 (1), (2) RODO, Art. 15 (1) RODO Grecki organ ochrony danych nałożył na ΛΙΜΕΝΟΣ ΗΡΑΚΛΕΙΟΥ Α.Ε grzywnę w wysokości 30 000 EUR. organizacja. Osoba, której dane dotyczą, która uległa wypadkowi samochodowemu na terenie organizacji, złożyła skargę przeciwko organizacji do organu ochrony danych. Organizacja prowadziła system monitoringu wideo, który m.in. rejestrował również wypadek samochodowy. W związku z wypadkiem osoba, której dane dotyczą, zwróciła się do organizacji o udostępnienie jej nagrań. Jednak organizacja nie zastosowała się do tego żądania. link
Włochy 2022-01-27 2.000 EUR Prywtny klub "Ruian" Art. 5 (1) c) RODO, Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 euro na prywatny klub „Ruian”. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował należycie o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. link
Włochy 2022-01-13 1.000 EUR A.S.L. Napoli 1 Centro Art. 5 RODO,DPRArt. 6 RODO, Art. 2-ter Codice della privacy Włoski organ ochrony danych (Garante) nałożył na A.S.L. grzywnę w wysokości 1000 euro. Napoli 1 Centro. Pracownik organu ochrony zdrowia złożył skargę do organu ochrony zdrowia na organ. Organ ds. zdrowia opublikował na swojej stronie internetowej komunikat prasowy zawierający dane osobowe osoby, której dane dotyczą, oraz informację o postępowaniu dyscyplinarnym. Organ ds. zdrowia uznał, że publikacja była zgodna z prawem, ponieważ osoba, której dane dotyczą, przekazała już tę informację prasie, która z kolei opublikował raport w tej sprawie. Organ ochrony danych stwierdził jednak, że organ nadal potrzebuje ważnej podstawy prawnej do publikacji, niezależnie od tego, czy informacje zostały już opublikowane w innych mediach. link
Hiszpania 2022-02-16 6.000 EUR Prywatna osoba Art. 6 (1) a) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 6 000 euro. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi danych za publikowanie jej zdjęć w bikini na stronie internetowej bez uprzedniego zezwolenia. Osoba, której dane dotyczą, pierwotnie przesłała swoje zdjęcia w bikini na platformę używaną Vinted, gdzie oferowała bikini na sprzedaż. link
Hiszpania 2022-02-11 2.000.000 EUR Amazon Road Transport Spain S.L. Art. 6 (1) RODO, Art. 10 RODO, Art. 10 LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Amazon Road Transport Spain S.L. 2 000 000 euro. AEPD otrzymał skargę związku zawodowego przeciwko firmie. Amazon Road wymagał zaświadczeń o niekaralności przy zatrudnianiu kierowców. Amazon Road uważał, że te certyfikaty nie podlegają art. 10 RODO. Jednak wbrew interpretacji Amazon Road, AEPD ustaliła, że ​​dane te podlegają art. 10 RODO. W trakcie dochodzenia AEPD stwierdziła, że ​​przetwarzanie tych danych w konsekwencji nie było zgodne z wymogami art. 10 RODO. Z tego powodu organ ochrony danych doszedł do wniosku, że Amazon Road przetwarzał dane dotyczące braku rejestrów karnych bez ważnej podstawy prawnej. link
Włochy 2022-01-13 1.000 EUR Villa Masi Residenza per anziani Art. 13 RODO Brak sygnalizacji stosowania systemów telewizji dozorowej w zakładzie opiekuńczo-pielęgnacyjnym. link
Hiszpania 2022-02-14 1.600 EUR RECLAMADOR, S.L. Art. 17 RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę RECLAMADOR, SL Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi w związku z faktem, że administrator nadal wysyłał mu reklamy SMS, mimo że zażądał usunięcia jego danych, a administrator potwierdził usunięcie. Kara składa się proporcjonalnie z 1000 euro za naruszenie art. 17 RODO i 1000 EUR za naruszenie art. 21 LSSI. Pierwotna kara w wysokości 2000 euro została obniżona do 1800 euro dzięki natychmiastowej i dobrowolnej wpłacie. link
Norwegia 2022-02-01 5.000 EUR Etterforsker1 Gruppen AS Art. 6 (1) RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Etterforsker1 Gruppen AS grzywnę w wysokości 5 000 EUR. Administrator przeprowadził kontrolę zdolności kredytowej osoby, chociaż nie było do tego podstawy prawnej. link
Polska 2022-12-01 4.000 EUR Pactum Poland Sp. z o.o. Art. 31 RODO, Art. 58 (1) e) RODO Kara za brak odpowiedzi na wnioski organu nadzorczego o dalsze informacje w odpowiednim czasie po naruszeniu ochrony danych link
Włochy 2022-01-13 14.000 EUR Azienda sanitaria unica regionale Marche Art. 5 (1) f) RODO, Art. 32 RODO, Art. 35 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 14 000 euro na Azienda sanitaria unica regionale Marche. Organ ochrony danych wszczął dochodzenie przeciwko departamentowi zdrowia po doniesieniach mediów o nieprawidłowościach w systemie używanym do gromadzenia i zarządzania danymi z badań przesiewowych Covid 19. Departament zdrowia korzystał z aplikacji, która generowała kody QR dla osób, które zostały przetestowane pod kątem Covid-19. Kod QR został wygenerowany w oparciu o kryterium progresywne, a nie losowe. W ten sposób każdej osobie przypisano numer. Dzięki temu osoby nieuprawnione mogłyby zmienić cyfrę i uzyskać dostęp do profilu innej osoby, a tym samym do danych osobowych. Organ ochrony danych stwierdził, że organ ds. zdrowia nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. link
Włochy 2022-01-13 4.000 EUR Medicina & Lavoro s.r.l. Art. 12 (3) RODO, Art. 15 RODO Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do jej danych w odpowiednim czasie. link
Włochy 2021-12-16 1.000 EUR Università Telematica Internazionale Uninettuno Art. 5 (1) c) RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 1000 euro na Università Telematica Internazionale Uninettuno. Profesor złożył skargę do DPA na instytucję edukacyjną. Profesor złożył podanie o pracę na uczelni i złożył w tym celu swoje CV. Uczelnia opublikowała go następnie bez zaciemniania niektórych danych osobowych, które dotyczyły jego sfery osobistej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Włochy 2022-01-13 7.500 EUR Azienda Sanitaria Locale Frosinone Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO Włoski organ ochrony danych nałożył na Azienda Sanitaria Locale Frosinone grzywnę w wysokości 7500 EUR. W trakcie dochodzenia przeciwko placówce medycznej Garante stwierdził, że ich polityka prywatności wykazała znaczne braki. Na przykład placówka wskazała kilka celów przetwarzania danych, ale nie zawsze były wskazane odpowiednie podstawy prawne. Wskazane podstawy prawne były często błędne lub sprzeczne. Ponadto placówka nie dostarczyła wystarczających informacji o okresach przechowywania zgromadzonych danych. link
Włochy 2021-12-16 20.000 EUR FCA Italy s.p.a. Art. 12 RODO Włoski organ ochrony danych nałożył grzywnę na FCA Italy s.p.a. 20 000 euro. Były klient ukaranego podmiotu poprosił go o przekazanie mu stenogramów rozmów telefonicznych między nim a obsługą klienta, z którą wcześniej się kontaktował w sprawie awarii przyrządów jednego z jego pojazdów, a także dokumentów dotyczących tej sprawy . Administrator nie zastosował się jednak do tego żądania. link
Włochy 2021-12-16 100.000 EUR Ubi Banca spa Art. 5 (1) a), c) RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 100 000 euro na spa Ubi Banca (obecnie spa Intesa Sanpaolo). Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z otrzymaniem pisma od administratora, w którym na kopercie podano „nietypowy kredyt Chieti”. Pismo nie zawierało jednak przypomnienia o płatnościach, a jedynie informację o przejrzystości usług bankowych i finansowych. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasady legalności i przejrzystości oraz zasadę minimalizacji danych. W końcu napis na kopercie mógłby umożliwić osobom trzecim uzyskanie informacji o sytuacji finansowej odbiorcy, niezależnie od zawartości koperty. link
Hiszpania 2022-02-07 10.000 EUR PINTODIS, S.L Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył grzywnę na PINTODIS, S.L. 10 000 euro. Ukarany podmiot zainstalował kilka kamer wideo, które obejmowały również strefy gastronomiczne i szatnie swoich pracowników. Hiszpański organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, ponieważ tak szeroki nadzór nie był konieczny. link
Hiszpania 2022-02-04 2.000 EUR Osoba prywatna Art. 6 (1) a) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta opublikowała materiał audiowizualny z procesu sądowego na Twitterze bez uzyskania zgody świadków i stron procesu, które można na nim zobaczyć. link
Hiszpania 2022-02-07 1.000 EUR Cafe operator Art. 5 (1) c) RODO W kawiarni zastosowano kamery CCTV, które rejestrowały również przestrzeń publiczną na zewnątrz, co łamało tzw. zasadę minimalizacji danych link
Hiszpania 2022-02-01 900.000 EUR TELEFÓNICA MÓVILES ESPAÑA, S.A.U. Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył grzywnę na TELEFÓNICA MÓVILES ESPAÑA, S.A.U. 900 000 euro. Czterech klientów Telefóniki złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Telefónica i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych Telefónica nie zweryfikowała należycie tożsamości oszustów przed wydaniem kart SIM i upewniła się, że pytający rzeczywiście byli posiadaczami karty SIM. link
Hiszpania 2022-02-01 200.000 EUR XFERA MÓVILES, S.A. Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył na XFERA MÓVILES, S.A. grzywnę w wysokości 200 000 EUR. Dwóch klientów Xfery złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Xferą i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych, Xfera nie zweryfikowała prawidłowo tożsamości oszustów przed wydaniem kart SIM i upewniła się, że pytający rzeczywiście byli posiadaczami karty SIM. link
Hiszpania 2022-02-01 700.000 EUR Orange Espagne S.A.U. Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył grzywnę na Orange Espagne S.A.U. 700 000 euro. Dwóch klientów Orange Espagne złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Orange Espagne i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych Orange Espagne nie zweryfikowało prawidłowo tożsamości oszustów przed wydaniem kart SIM i upewniło się, że pytający byli w rzeczywistości posiadaczami karty SIM. link
Hiszpania 2022-02-01 70.000 EUR ORANGE ESPAÑA VIRTUAL, S.L. Art. 5 (1) f) RODO Hiszpański organ ochrony danych nałożył grzywnę na ORANGE ESPAÑA VIRTUAL, S.L. 70 000 euro. Dwóch klientów Orange España Virtual złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Orange España Virtual i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych firma Orange España Virtual nie zweryfikowała prawidłowo tożsamości oszustów przed wydaniem karty SIM i upewniła się, że pytający rzeczywiście byli posiadaczami karty SIM. link
Hiszpania 2022-02-01 3.940.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 5 (2) RODO Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U. 3,94 mln euro. Dziewięciu klientów Vodafone złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Vodafone i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych Vodafone nie zweryfikowała należycie tożsamości oszustów przed wydaniem kart SIM i upewniła się, że pytający byli rzeczywiście posiadaczami karty SIM ze względu na brak wystarczających środków bezpieczeństwa. link
Włochy 2021-12-17 10.000 EUR ASL Latina Art. 5 (1) f) RODO, Art. 6 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) ukarał ASL Latina grzywną w wysokości 10 000 EUR. Administrator omyłkowo wysłał dokumenty zawierające dane dotyczące zdrowia osoby, której dane dotyczą, do niezaangażowanej osoby trzeciej. link
Hiszpania 2022-02-04 300.000 EUR SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS Art. 6 RODO, Art. 17 RODO, Art. 28 RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną SEGURCAIXA ADESLAS, SA DE SEGUROS Y REASEGUROS. w kwocie 300 000 euro. Osoba, której dane dotyczą, otrzymała e-maile marketingowe od administratora, mimo że jest zarejestrowana na liście wykluczeń reklamowych Robinsona. Wysyłanie wiadomości e-mail było kontynuowane nawet po tym, jak osoba, której dane dotyczą, poprosiła o usunięcie swoich danych. link
Hiszpania 2022-02-04 900 EUR Prywatna osoba Art. 5 (1) c) RODO Bezprawne korzystanie z kamer dozorowych, które monitorowały również części przestrzeni publicznej (naruszenie zasady minimalizacji danych) link
Belgia 2022-02-02 250.000 EUR IAB Europe Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 9 (1), (2) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 32 (1), (2) RODO, Art. 37 RODO Belgijski organ ochrony danych nałożył na IAB Europe grzywnę w wysokości 250 000 euro. Organ ochrony danych otrzymał kilka skarg przeciwko IAB Europe od 2019 r. W kontekście tej skargi kwestionowano głównie zgodność „Ram przejrzystości i zgody (TCF)” z RODO. TCF został opracowany przez IAB w celu promowania zgodności z RODO przez organizacje korzystające z protokołu OpenRTB. Protokół OpenRTB to protokół do „licytowania w czasie rzeczywistym”, czyli zautomatyzowanej aukcji online profili użytkowników w celu sprzedaży i zakupu powierzchni reklamowej w Internecie. Gdy użytkownicy odwiedzają witrynę internetową zawierającą przestrzeń reklamową, firmy technologiczne za pośrednictwem zautomatyzowanego systemu aukcji mogą licytować w czasie rzeczywistym tę przestrzeń reklamową, aby wyświetlać spersonalizowane reklamy. Gdy użytkownicy odwiedzają witrynę po raz pierwszy, pojawia się interfejs, za pośrednictwem którego mogą wyrazić zgodę na zbieranie i udostępnianie swoich danych osobowych lub sprzeciwić się różnego rodzaju przetwarzaniu. W ramach TCF podczas tego procesu pojawia się narzędzie do zarządzania zgodami. Narzędzie umożliwia użytkownikowi sprzeciwienie się niektórym rodzajom przetwarzania danych. TCF rejestruje preferencje użytkownika za pośrednictwem narzędzia, generując ciąg TC i wysyła go do wszystkich partnerów uczestniczących w systemie OpenRTB. Na podstawie tego ciągu NW tworzone są profile użytkowników, które są następnie przekazywane reklamodawcom. Dzięki temu widać, na jaki rodzaj przetwarzania danych wyrazili zgodę użytkownicy. W ramach prowadzonego przeciwko IAB dochodzenia, DPA stwierdził szereg naruszeń RODO. Stwierdził, że ciągi znaków TC stanowiły już dane osobowe i dlatego IAB musiała mieć podstawę prawną do przetwarzania tych danych. Jednak IAB nie był w stanie wykazać takiej podstawy prawnej. Ponadto IAB nie informowała właściwie użytkowników o funkcjonowaniu TCF. Na przykład informacje przekazywane użytkownikom były zbyt ogólne i niejasne, aby zrozumieć zakres przetwarzania danych. Ponadto IAB nie prowadziła rejestru swoich czynności przetwarzania, nie wyznaczyła inspektora ochrony danych, jak również nie przeprowadziła oceny skutków dla ochrony danych. link
Niemcy 2020 Kwota grzywny od 50 do 100 EUR Restauracja Art. 32 RODO Aby zwalczyć pandemię Covid 19, restauracja wystawiła otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawnie prezentowana, umożliwiałby nieuprawnionym osobom trzecim uzyskanie dostępu do danych. link
Niemcy 2020 Kwota grzywny od 50 do 100 EUR Restauracja Art. 32 RODO Aby zwalczyć pandemię Covid 19, restauracja wystawiła otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawnie prezentowana, umożliwiałby nieuprawnionym osobom trzecim uzyskanie dostępu do danych. link
Niemcy 2020 Kwota grzywny od 50 do 100 EUR Restauracja Art. 32 RODO Aby zwalczyć pandemię Covid 19, restauracja wystawiła otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawnie prezentowana, umożliwiałby nieuprawnionym osobom trzecim uzyskanie dostępu do danych. link
Hiszpania 2022-02-02 2.000 EUR ASESORES DE SEGURIDAD PRIVADA, S.L. Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2 000 EUR na firmę ASESORES DE SEGURIDAD PRIVADA, SL. Organ ochrony danych skrytykował, że administrator nie poinformował w wystarczającym stopniu osoby, której dane dotyczą, o przetwarzaniu danych, zgodnie z wymogami art. 13 RODO. link
Niemcy 2020 13.000 EUR Firma Art. 26 (2) RODO Organ ochrony danych z Hamburga as nałożył na spółkę grzywnę w wysokości 13 000 euro. Osoba fizyczna zarezerwowała kurs w firmie i uczestniczyła w nim, ale nie uiściła poniesionych opłat za kurs. Jakiś czas później zapisał się na kurs w innej firmie tej samej firmy macierzystej i tam został odrzucony. Jako powód powiedziano mu, że nadal ma zaległości w firmie, w której kursach już uczestniczył. W następstwie skargi złożonej przez osobę fizyczną przeciwko firmie, organ ochrony danych wszczął dochodzenie. Okazało się, że firmy te mają wspólną bazę danych. Wskazał, że utrzymywanie wspólnej bazy danych klientów przez kilka niezależnych prawnie firm prowadzi do współodpowiedzialności zgodnie z art. 26 RODO. Zgodnie z art. 26 ust. 2 RODO, wymaga to umowy, która odzwierciedla odpowiednie rzeczywiste funkcje i relacje współodpowiedzialnych stron wobec osób, których dane dotyczą. Jednak taka umowa nie istniała. link
Niemcy 2020 Nieznany Firma Art. 6 RODO, Art. 32 RODO Organ ochrony danych z Hamburga nałożył grzywnę na firmę, która prowadzi rynek internetowy, zwłaszcza w przypadku bielizny znoszonej. Firma reklamuje się, że gwarantuje stuprocentową anonimowość. Na platformie użytkownicy mogą przesyłać zdjęcia bielizny. W większości przypadków do robienia zdjęć używano smartfonów lub innych urządzeń mobilnych. Aplikacje aparatu w smartfonach lub moduły GPS aparatów często przechowują dodatkowe informacje w pliku obrazu obok rzeczywistego obrazu jako ustawienie standardowe. Na podstawie tych danych możliwa jest dość dokładna lokalizacja. Przegląd przeprowadzony przez DPA ujawnił, że firma nie wyczyściła pozostałych informacji lub metadanych w przesłanych zdjęciach. Dzięki temu dane można było wprowadzić do dowolnego serwisu mapowego i określić dokładną lokalizację, w której wykonano zdjęcie. Liczba zaangażowanych osób, których dane dotyczą, wynosiła około 760 kobiet w wieku od 18 do 50 lat. Z tego powodu organ ochrony danych stwierdził, że firma nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka osoby, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że firma bezprawnie przetworzyła powiązane dane, przesyłając zdjęcia bez ich czyszczenia. link
Niemcy 2020 3.000 EUR Restauracja Art. 5 (1) c) RODO Nadmierne korzystanie z monitoringu wideo z naruszeniem zasady minimalizacji danych. link
Niemcy 2020 Kwota grzywny od 300 do 400 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji zrobił zdjęcia oficjalnej prezentacji zawierającej dane osobowe i udostępnił je grupie Whats App. link
Niemcy 2020 Kwota grzywny od 300 do 400 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji zrobił zdjęcia oficjalnej prezentacji zawierającej dane osobowe i udostępnił je grupie Whats App link
Niemcy 2020 Kwota grzywny od 300 do 400 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji zrobił zdjęcia oficjalnej prezentacji zawierającej dane osobowe i udostępnił je grupie Whats App link
Niemcy 2020 Kwota grzywny od 400 do 600 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. link
Niemcy 2020 Kwota grzywny od 400 do 600 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. link
Niemcy 2020 Kwota grzywny od 400 do 600 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. link
Niemcy 2020 400 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. link
Niemcy 2020 300 EUR Policjant Art. 5 RODO, Art. 6 RODO Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. link
Niemcy 2020 10.000 EUR Clearview AI Inc. Art. 58 (1) RODO Organ ochrony danych z Hamburga nałożył na Clearview AI Inc. grzywnę w wysokości 10 000 EUR za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. link
Niemcy 2020 Grzywna w pięciocyfrowej kwocie Korporacja Art. 12 (3) RODO, Art. 15 RODO Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do jej danych w odpowiednim czasie. link
Niemcy 2020 Grzywna w pięciocyfrowej kwocie Asystent medyczny Art. 6 (1) RODO Asystentka medyczna w gabinecie lekarskim zapisywała numer telefonu pacjenta w swoim telefonie komórkowym, a następnie kontaktowała się z nim w celach prywatnych. link
Niemcy 2020 Grzywna w czterocyfrowej kwocie Operator szkoły baletowej Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO Operator szkoły baletowej umieścił zdjęcia nieletnich uczniów na swojej stronie internetowej i na Facebooku bez zgody opiekunów prawnych. link
Niemcy 2019-11 5.000 EUR Restauracja Art. 5 (1) c) RODO Nadmierne korzystanie z monitoringu wideo z naruszeniem zasady minimalizacji danych. link
Niemcy 2020 300 EUR Pracownik w centrum testowym Covid 19 Art. 5 (1) a) RODO Pracownik centrum testowego Covid 19 wykorzystał dane testowanej osoby, aby skontaktować się z nią za pośrednictwem WhatsApp w celach prywatnych. link
Niemcy 2020 10.000 EUR Restauracja Art. 5 (1) c) RODO Nadmierne korzystanie z monitoringu wideo z naruszeniem zasady minimalizacji danych. link
Niemcy 2020 Nieznany Policjant Art. 5 RODO, Art. 6 RODO Kilka przypadków, w których policjanci uzyskali dostęp do danych w policyjnej bazie danych w celach prywatnych. link
Włochy 2021-11-25 200.000 EUR Aimon Srl Art. 5 (1) a) RODO, Art. 6 (1) a) RODO, Art. 12 RODO, Art. 21 RODO Włoski organ ochrony danych nałożył na Aimon Srl grzywnę w wysokości 200 000 euro. Dwie osoby, których dane dotyczą, złożyły skargę na niezamówione reklamy SMS-owe od B&T S.p.A. do organu ochrony danych. W trakcie dochodzenia Garante odkrył, że B&T zleciła firmie Aimon wysyłanie promocyjnych wiadomości SMS do potencjalnych klientów. Aimon następnie zakontraktował innych dostawców, którzy z kolei kupili swoje bazy danych od osób trzecich. Jak się okazało, pozostali dostawcy pozyskali dane osób, z którymi się skontaktowano, z niezweryfikowanych i nielegalnych wykazów firm zagranicznych, których część informacji pochodziła z rejestracji na portalach informacyjnych lub gier hazardowych online. Organ ochrony danych stwierdził, że Aimon w ten sposób przetwarzał dane niezgodnie z prawem. link
Włochy 2021-11-25 400.000 EUR B&T S.p.A. Art. 5 (1) a) RODO, Art. 6 (1) a) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 RODO Włoski organ ochrony danych nałożył grzywnę w wysokości 400 000 EUR na B&T S.p.A. Dwie osoby, których dane dotyczą, złożyły skargę do organu ochrony danych w związku z niezamówioną reklamą SMS-ową. Ponadto oświadczyli, że nie mogą skorzystać z przysługującego im prawa do informacji oraz prawa do sprzeciwu. W trakcie dochodzenia Garante odkrył, że B&T zleciła firmie marketingowej wysyłanie promocyjnych wiadomości SMS do potencjalnych klientów. Firma marketingowa zaangażowała następnie innych dostawców, którzy z kolei nabyli swoje bazy danych od osób trzecich. Jak się okazało, pozostali dostawcy pozyskali dane osób, z którymi się skontaktowano, z niesprawdzonych i nielegalnych list firm zagranicznych, których część informacji pochodziła z rejestracji na portalach informacyjnych lub z internetowych loterii. W tym kontekście organ ochrony danych wskazał, że firmy zlecające kampanie reklamowe muszą zawsze upewnić się, że firmy, którym to zlecono, działają prawidłowo i że dane konsumentów są wykorzystywane zgodnie z prawem. link
Grecja 2022-01-27 3.200.000 EUR OTE Group Art. 32 RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 3,2 mln EUR na spółkę zależną Cosmote, OTE Group. Między innymi Grupa OTE przyczyniła się do rozwoju infrastruktury bezpieczeństwa Cosmote. Firma Cosmote zgłosiła naruszenie danych organowi ochrony danych na podstawie art. 33 RODO. Haker zdołał przeniknąć do systemów Cosmote z powodu braku środków bezpieczeństwa i uzyskał, a następnie wyciekł dane od klientów. Skradzione dane zawierały poufne informacje od subskrybentów Cosmote, takie jak wiek, płeć i informacje o kontrakcie. Incydent dotknął prawie 10 milionów ludzi. Z tego powodu organ ochrony danych stwierdził, że Grupa OTE nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka dla osób, których dane dotyczą. link
Gracja 2022-01-27 6.000.000 EUR Cosmote Mobile Telecommunications S.A. Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO, Art. 14 RODO, Art. 25 (1) RODO, Art. 26 RODO, Art. 28 RODO, Art. 35 (7) RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 6 mln EUR na Cosmote Mobile Telecommunications SA. Cosmote zgłosił naruszenie ochrony danych organowi ochrony danych zgodnie z art. 33 RODO. Haker przeniknął do systemów ukaranego podmiotu i uzyskał, a następnie ujawnił dane od klientów Cosmote. Skradzione dane zawierały poufne informacje od subskrybentów Cosmote, takie jak wiek, płeć i informacje o kontrakcie. Incydent dotknął prawie 10 milionów ludzi. Z tego powodu organ ochrony danych stwierdził, że Cosmote nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia prawidłowego wykonania procesu anonimizacji danych. Ponadto Cosmote nie przeprowadził wystarczającej oceny wpływu na ochronę danych i nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych. Wreszcie, DPA stwierdził, że Cosmote nie uregulował jasno przydziału ról w przetwarzaniu danych ze swoją spółką zależną, OTE Group. Przy obliczaniu kary organ ochrony danych zaostrzająco uwzględnił bardzo długi czas trwania naruszeń (6 lat), dużą liczbę osób, których dane dotyczą, a także fakt, że przez długi czas nie wdrożono żadnych środków pseudonimizacji danych . link
Belgiam 2022-01-27 2.800 EUR EU DisinfoLab Art. 5 (1) a), c), f) RODO, Art. 6 (1) RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO Belgijski organ ochrony danych nałożył na organizację pozarządową EU DisinfoLab grzywnę w wysokości 2700 euro. W 2018 r. organizacja pozarządowa opublikowała analizę mającą na celu określenie możliwego politycznego pochodzenia tweetów krążących wokół szczególnie gorącej kontrowersji we Francji, „sprawy Benalla”. Do analizy organizacja przetworzyła dane 55 000 kont na Twitterze, z których ponad 3300 zostało sklasyfikowanych jako polityczne. Uzyskane z tego surowe dane zostały następnie opublikowane bez podejmowania minimalnych środków bezpieczeństwa, takich jak pseudonimizacja danych. Organ ochrony danych zauważył, że publikacja danych może potencjalnie narazić osoby, których dane dotyczą, na ryzyko dyskryminacji lub dyskredytacji z powodu nieanonimowego profilowania politycznego. Ponadto akta zawierały również informacje o przekonaniach religijnych, pochodzeniu etnicznym lub orientacji seksualnej osób, których relacje zostały przeanalizowane. Z tego powodu organ ochrony danych stwierdził, że naruszono szereg obowiązków wynikających z RODO, takich jak zgodność z prawem przetwarzania, przejrzystość wobec osób, których dane dotyczą, oraz bezpieczeństwo danych. link
Belgia 2022-01-27 1.200 EUR Badacz Art. 5 (1) a), c), f) RODO, Art. 6 (1) RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 32 RODO Belgijski organ ochrony danych nałożył na badacza grzywnę w wysokości 1200 euro. Kara została nałożona w związku z kolejną karą wymierzoną organizacji pozarządowej EU DisinfoLab. Badacz był zatrudniony w organizacji pozarządowej. W 2018 r. organizacja pozarządowa opublikowała analizę mającą na celu określenie możliwego politycznego pochodzenia tweetów krążących wokół szczególnie gorącej kontrowersji we Francji, „sprawy Benalla”. Do analizy organizacja przetworzyła dane 55 000 kont na Twitterze, z których ponad 3300 zostało sklasyfikowanych jako polityczne. Uzyskane z tego surowe dane zostały następnie opublikowane bez podejmowania minimalnych środków bezpieczeństwa, takich jak pseudonimizacja danych. Organ ochrony danych zauważył, że publikacja danych może potencjalnie narazić osoby, których dane dotyczą, na ryzyko dyskryminacji lub dyskredytacji z powodu nieanonimowego profilowania politycznego. Ponadto akta zawierały również informacje o przekonaniach religijnych, pochodzeniu etnicznym lub orientacji seksualnej osób, których relacje zostały przeanalizowane. Z tego powodu organ ochrony danych stwierdził, że naruszono szereg obowiązków wynikających z RODO, takich jak zgodność z prawem przetwarzania, przejrzystość wobec osób, których dane dotyczą, oraz bezpieczeństwo danych. link
Hiszpania 2022-01-31 5.000 EUR INCOPROSOL, S.L. Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył na INCOPROSOL, S.L. 5000 euro. Administrator nagrał rozmowę telefoniczną z klientem bez uzyskania zgody klienta. link
Hiszpania 2022-01-31 5.000 EUR Cyrana España General S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Cyranę España General S.L. 5000 euro. Administrator wysłał fakturę osobie, której dane dotyczą, chociaż nie istniał żaden stosunek umowny. link
Hiszpania 2022-02-01 1.500 EUR Społeczność Właśicieli Nieruchomości Art. 6 RODO Wykorzystanie kamer CCTV w kompleksie budynków bez uzyskania zgody wszystkich właścicieli nieruchomości. link
Rumunia 2022-02-01 1.000 EUR SC Grupex 2000 SRL Art. 6 RODO, Art. 9 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na SC Grupex 2000 SRL grzywnę w wysokości 1000 EUR. Administrator bezprawnie umieścił filmy pacjentów na swojej stronie internetowej link
Węgry 2021-12-03 843 EUR Prawnik Art. 5 (1) a), b) RODO, Art. 6 (1) RODO, Art. 9 (1) RODO Węgierski organ ochrony danych nałożył grzywnę w wysokości 843 euro na prawnika za nieuprawnione ujawnienie w toku postępowania karnego dokumentów zawierających dane osobowe jego klienta.
Włochy 2021-12-16 20.000 EUR Corradi s.r.l. Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 157 Codice della privacy Spółka pozostawiła aktywne konto e-mail osoby, której dane dotyczą, nawet po zakończeniu jej zatrudnienia i automatycznie przekazywała przychodzące wiadomości e-mail. Firma nie dostarczyła wystarczających informacji na ten temat. link
Włochy 2021-12-16 10.000 EUR Centro di Medicina preventiva s.r.l. Art. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 37 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę na Centro di Medicina Preventiva s.r.l. 10 000 euro. Administrator zgłosił bazę danych na podstawie art. 33 RODO w związku z cyberatakiem grupy hakerskiej. Podczas cyberataku hakerowi udało się uzyskać dostęp do listy danych pacjentów. Haker opublikował następnie tę listę, która zawierała dane osobowe, w tym dane wrażliwe, pacjentów i testów radiodiagnostycznych na Twitterze. Organ ochrony danych uznał, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Na przykład serwer centrum medycznego ujawnił żądane dane osobowe podczas zapytania bez weryfikacji tożsamości i danych uwierzytelniających zgłaszającego, umożliwiając nieuwierzytelnione połączenia spoza centrum medycznego. link
Szwecja 2022-01-26 152.000 EUR Zarząd szpitala w Uppsali Art. 5 (1) f) RODO, Art. 32 (1) RODO Szwedzki organ ochrony danych nałożył grzywnę w wysokości 152 000 euro na zarząd szpitala w Uppsali. Grzywna jest wynikiem dochodzenia przeprowadzonego przez region Uppsala (zarząd regionalny i zarząd szpitala). Organ ochrony danych otrzymał dwa zgłoszenia incydentów dotyczących danych osobowych z regionu Uppsali. Incydenty dotyczyły wrażliwych danych osobowych dotyczących zdrowia, które zostały przesłane w postaci niezaszyfrowanej do odbiorców w Szwecji i poza nią. W związku z tym Szpital Uniwersytecki w Uppsali wysłał wiadomości e-mail zawierające dane pacjentów do pacjentów i nadawców w krajach trzecich bez szyfrowania. Ponadto administracja szpitala przechowywała wrażliwe dane osobowe w usłudze hostingu poczty e-mail programu Outlook. Z tego powodu organ ochrony danych stwierdził, że zarząd szpitala nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym dostępem. link
Szwecja 2022-01-26 28.500 EUR Zarząd szpitala w Uppsali Art. 32 (1) RODO Szwedzki organ ochrony danych nałożył grzywnę w wysokości 28 500 euro na zarząd regionu Uppsala. Grzywna jest wynikiem dochodzenia w regionie Uppsali (zarząd regionalny i zarząd szpitala). Organ ochrony danych otrzymał dwa zgłoszenia incydentów dotyczących danych osobowych z regionu Uppsali. Incydenty dotyczyły wrażliwych danych osobowych dotyczących zdrowia, które zostały przesłane w postaci niezaszyfrowanej do odbiorców w Szwecji i poza nią. Zarząd regionalny przekazał wrażliwe dane osobowe i osobiste numery identyfikacyjne pocztą elektroniczną. Rzeczywista transmisja e-maili była szyfrowana, ale informacje w e-mailach nie. E-maile, o których mowa, zawierały dane pacjentów, które były automatycznie wysyłane do odpowiednich administratorów służby zdrowia w regionie, a także dane pacjentów, które były ręcznie wysyłane do naukowców i lekarzy w regionie. Z tego powodu organ ochrony danych stwierdził, że zarząd regionalny nie podjął odpowiednich środków technicznych i organizacyjnych, aby np. chronić dane przed nieuprawnionym dostępem. link
Finalndia 2021-12-16 52.000 EUR Centrum Ubezpieczeń Komunikacyjnych Art. 5 (1) a), c) RODO, Art. 25 (2) RODO Fiński organ ochrony danych nałożył na centrum ubezpieczeń komunikacyjnych grzywnę w wysokości 52 000 euro. Administrator nadmiernie zażądał danych pacjentów z systemu opieki zdrowotnej w celu dochodzenia roszczeń. Jednak duża część danych nie była konieczna do rozpatrzenia roszczeń. Na przykład, DPA ustalił, że ośrodek ubezpieczeń komunikacyjnych zebrał również notatki z wizyt pacjentów w celu ustalenia, czy świadczeniodawca naliczył rachunki za wizyty, które nie były związane z badaniem lub leczeniem obrażeń spowodowanych wypadkiem. Organ ochrony danych zauważa, że ​​fińska ustawa o ubezpieczeniach komunikacyjnych nie uzasadnia bezpośredniego dostępu do wszystkich danych pacjenta, ale żądane informacje muszą być niezbędne do rozpatrzenia roszczenia. Z tego powodu organ uznał w praktyce naruszenie zasad legalności i przejrzystości oraz minimalizacji danych. link
Finalndia 2021-12-16 6.500 EUR Biuro podróży Art. 5 (1) f) RODO, Art. 17 RODO, Art. 25 RODO, Art. 32 RODO Fiński organ ochrony danych nałożył na biuro podróży grzywnę w wysokości 6500 euro. Klient biura podróży poinformował organ ochrony danych o podejrzeniu, że firma może nie przetwarzać danych swoich klientów w sposób zgodny z ochroną danych. Podczas dochodzenia organ ochrony danych stwierdził, że biuro podróży nie zapewniło bezpiecznego przetwarzania danych osobowych. Na przykład formularze wniosków wizowych wypełniane przez klientów były publicznie dostępne na serwerze internetowym biura podróży. Formularz zawierał m.in. imię i nazwisko, dane kontaktowe oraz numer paszportu. Ponadto biuro podróży nie zastosowało się do prośby klienta o usunięcie jego danych z systemów. link
Włochy 2021-12-02 5.000 EUR Azienda USL di Parma Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda USL di Parma grzywnę w wysokości 5 000 EUR. Pacjentka złożyła skargę do DPA, ponieważ przez pomyłkę otrzymała w swojej dokumentacji medycznej dwa raporty z badań diagnostycznych na dwóch innych pacjentach. link
Irlandia 2021-12-09 110.000 EUR Rada Miasta i Hrabstwa Limerick Art. 13 RODO, Art. 12 RODO, Art. 15 RODO Irlandzki organ ochrony danych nałożył na Radę Miasta i Hrabstwa Limerick grzywnę w wysokości 110 000 EUR. W ramach dochodzenia organ ochrony danych przeprowadził kontrolę przetwarzania danych osobowych przez radę lub w jej imieniu za pomocą systemów nadzoru wideo, automatycznego rozpoznawania tablic rejestracyjnych, kamer noszonych na ciele i innych technologii, które można wykorzystać do monitorowania osób. W ten sposób stwierdził, że Rada naruszyła szereg przepisów o ochronie danych przy korzystaniu z technologii. Kara została jednak nałożona z powodu naruszeń RODO. Organ ochrony danych uznał, że Rada naruszyła art. 13 RODO w związku z przetwarzaniem danych przez kamery drogowe. Rada nie udzieliła informacji na temat tożsamości administratora danych, danych kontaktowych inspektora ochrony danych, celów przetwarzania oraz organów, od których dalsze informacje wymagane na podstawie art. 13 RODO można uzyskać. Ponadto Rada nie przedstawiła tych informacji w łatwo dostępny sposób, np. na znakach w pobliżu kamer. Ponadto organ ochrony danych stwierdził, że Rada nie zamieściła polityki nadzoru wideo w jasnym i prostym języku oraz w łatwo dostępnym obszarze strony internetowej Rady. Organ ochrony danych stwierdził zatem naruszenie art. 12 RODO. Wreszcie Rada odrzuciła wnioski o dostęp do danych osobowych przetwarzanych przez kamery monitorujące wykorzystywane w zarządzaniu ruchem. Z tego powodu organ ochrony danych uznał, że Rada naruszyła art. 15 RODO. link
Hiszpania 2022-01-21 1.200 EUR Społeczność właścicieli nieruchomości Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) ukarał wspólnotę właścicieli nieruchomości grzywną w wysokości 1200 euro. Zarządca nieruchomości przesłał kopię protokołu z walnego zgromadzenia dyrektorowi firmy ochroniarskiej „CMM Seguridad”. Dokument ten zawiera nazwiska i adresy mieszkańców, spis osób karanych oraz rozliczenia ze wszystkimi dochodami i wydatkami gminy. Według ukaranego podmiotu celem wysłania przedmiotowego protokołu do firmy ochroniarskiej było poinformowanie jej o członkach Rady Dyrektorów powołanych na odpowiednim zwyczajnym walnym zgromadzeniu. W związku z tym administrator danych powinien był ograniczyć się jedynie do podania tych informacji lub do przekazania dokumentu protokołu po jego należytej anonimizacji. Z tego powodu organ ochrony danych zauważa, że ​​przekazanie pełnego protokołu nie byłoby konieczne. W efekcie administrator naruszył zasadę minimalizacji danych. link
Hiszpania 2022-01-21 2.000 EUR Operator strony internetowej Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2 000 euro na operatora strony internetowej za brak polityki prywatności na jego stronie internetowej, z naruszeniem art. 13 RODO link
Rumunia 2021-01-20 3.000 EUR Kaufland România SCS Art. 15 (3) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 3 000 euro na Kaufland Romania SCS. Organ ochrony danych wszczął dochodzenie w oparciu o skargę osoby fizycznej, która stwierdziła, że ​​administrator nie dostarczył jej pełnej kopii nagrań wideo przez pewien czas, gdy przebywali na terenie sklepu. Organ ochrony danych stwierdził, że administrator jest zobowiązany do ujawnienia obrazów wideo osoby, której dane dotyczą, po skorzystaniu z przysługującego jej prawa dostępu oraz że administrator może ujawnić obrazy, podejmując w razie potrzeby środki w celu zatarcia tych obrazów, które mogą naruszać prawa i wolności innych osób fizycznych. link
Włochy 2021-12-16 26.500.000 EUR Enel Energia S.p.A Art. 5 (1) a), d) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 130 (1), (2), (4) Codice della privacy Włoski organ ochrony danych nałożył na Enel Energia S.p.A grzywnę w wysokości 26,5 mln EUR za liczne naruszenia RODO. Po złożonym wstępnym dochodzeniu wszczętym po setkach zgłoszeń i skarg od użytkowników, organ ochrony danych stwierdza, że ​​administrator nielegalnie przetwarzał dane osobowe milionów użytkowników w celach telemarketingowych. Organ ochrony danych stwierdził m.in., że osoby, których dane dotyczą, otrzymywały niezamówione rozmowy promocyjne w imieniu i na rzecz Enel Energia, w niektórych przypadkach nawet nagrane rozmowy. Niektóre osoby, których dane dotyczą, nadal otrzymywały telefony reklamowe, mimo że już kilkakrotnie zwracały się do Enel Energia o usunięcie ich danych osobowych lub sprzeciwiały się ich przetwarzaniu w celach reklamowych. W szczególności organ ochrony danych stwierdził, że Enel Energia nie dostarczyła osobom, których dane dotyczą, wymaganych i terminowych informacji zwrotnych na temat ich wniosków o skorzystanie z przysługującego im prawa dostępu i sprzeciwu. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo nie współpracowało w wystarczającym stopniu z organem ochrony danych podczas dochodzenia. Na przykład Enel Energia nie odpowiedziała na różne zapytania ze strony Urzędu Ochrony Danych. Oceniając grzywnę, organ ochrony danych wziął pod uwagę następujące czynniki obciążające: wagę naruszeń, czas trwania i powtarzalność naruszeń, a także dużą liczbę osób dotkniętych i zaniedbanie zachowania. link
Hiszpania 2022-01-14 2.400 EUR PHARMA TALENTS, S.L.U. Art. 5 (1) f) RODO, Art. 32 RODO, Art. 35 RODO Hiszpański organ ochrony danych nałożył grzywnę na PHARMA TALENTS, S.L.U. Osoba, której dane dotyczą, złożyła skargę przeciwko firmie po znalezieniu bazy danych na jednej ze stron internetowych firmy zawierającej dane osobowe o sobie i innych setkach pracowników sektora zdrowia, w tym adres e-mail i numer telefonu. Zarówno strona internetowa, jak i baza danych były swobodnie dostępne. Organ ochrony danych stwierdził, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą, ponieważ nawet nazwa użytkownika i hasło nie były wymagane w celu uzyskania dostępu do bazy danych. Pierwotna kara w wysokości 4000 euro została obniżona do 2400 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Luksemburg 2021-11-09 1.500 EUR Nieznany Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 1500 euro. Firma zainstalowała system monitoringu wideo, aby klienci nie musieli czekać pod nieobecność pracowników recepcji. Jednak kamery stale rejestrowały również fragmenty obszarów roboczych dwóch pracowników. Organ ochrony danych stwierdza, że ​​administrator naruszył tym samym zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, nie informując odpowiednio swoich pracowników i osób trzecich o nadzorze wideo. link
Hiszpania 2022-01-18 15.000 EUR GARLEX SOLUTIONS, S.L. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 15 000 EUR na GARLEX SOLUTIONS, SL. Osoba, której dane dotyczą, otrzymała od firmy wezwanie do przedłużenia umowy na dostawę energii elektrycznej. Następnie osoba, której dane dotyczą, otrzymała SMS z linkiem do umowy na dostawę energii elektrycznej, w której jej dane osobowe zostały już wpisane. Osoba, której dane dotyczą, nie potrafiła wyjaśnić, w jaki sposób firma weszła w posiadanie danych, ponieważ nigdy ich nie udostępniła i na pewno nie wyraziła zgody na ich przetwarzanie. link
Luksemburg 2022-12-01 6.800 EUR Nieznany Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 6800 euro. Firma zainstalowała system monitoringu wideo, aby chronić majątek firmy, zapobiegać wtargnięciu osób niepowołanych i zapobiegać wypadkom. Jednak kamery uchwyciły również części miejsca pracy pracownika, często używane przez pracowników miejsca dla palących oraz części przestrzeni publicznej. Organ ochrony danych stwierdza, że ​​administrator naruszył tym samym zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, nie informując odpowiednio swoich pracowników i osób trzecich o nadzorze wideo. link
Hiszpania 2022-01-17 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Osoba ta zainstalowała kamery wideo w bloku, w którym mieszka, które rejestrowały m.in. części wspólne wszystkich mieszkańców. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2022-01-17 2.000 EUR MEETING PUERTO C.B. Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2 000 EUR na MEETING PUERTO C.B. Administrator danych bezprawnie opublikował zdjęcie skarżącego ze swoim partnerem na Facebooku i Instagramie, któremu towarzyszyły obraźliwe komentarze. link
Hiszpania 2022-01-14 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która uchwyciła również przestrzeń prywatną sąsiada. link
Hiszpania 2022-01-18 56.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE ESPAÑA, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, oświadcza, że ​​w jej imieniu zarejestrowane zostały dwa połączenia telefoniczne. Jednak osoba, której dane dotyczą, nigdy nie podpisała umowy ze spółką na żadne z tych połączeń. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych firmy bez weryfikacji, czy umowy zostały przez osobę, której dane dotyczą, zgodnie z prawem i faktycznie zawarte, czy wyraziła zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych . Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro z powodu natychmiastowej zapłaty. link
Malta 2022-01-17 65.000 EUR C-Planet (IT Solutions) Limited Art. 5 (1) f) RODO, Art. 6 (1) RODO, Art. 9 (1), (2) RODO, Art. 14 RODO, Art. 32 RODO, Art. 33 RODO, Art. 34 RODO Maltański organ ochrony danych nałożył grzywnę w wysokości 65 000 EUR na C-Planet (IT Solutions) Limited. Organ ochrony danych wszczął dochodzenie przeciwko C-Planet w kwietniu 2020 r. po otrzymaniu informacji o naruszeniu danych. Organ ochrony danych zauważył w rezultacie, że C-Planet naruszył art. 6 ust. 1 RODO, art. 9 ust. 1, ust. 2 RODO, art. 14 RODO i art. 5 ust. 1 lit. f RODO w kontekście przetwarzania danych. Organ ochrony danych stwierdził również, że C-Planet nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka, co doprowadziło do naruszenia danych. Stanowi to naruszenie art. 32 RODO. Ponadto organ ochrony danych stwierdził, że administrator nie zgłosił naruszenia ochrony danych osobowych w wymaganym prawem terminie i nie poinformował osób, których dane dotyczą. Stanowi to naruszenie art. 33 RODO i art. 34 RODO. link
Portugalia 2021-12-21 1.250.000 EUR Lisbon City Council Art. 5 (1) a), c), e) RODO, Art. 6 RODO, Art. 9 (1) a) RODO, Art. 13 (1), (2) RODO, Art. 35 (3) RODO Portugalski organ ochrony danych nałożył na Radę Miasta Lizbony grzywnę w wysokości 1,25 mln euro. Kara to suma 225 mandatów z tytułu różnych naruszeń popełnionych przez gminę od 2018 roku. Gmina wysłała 111 zawiadomień o demonstracjach do różnych wydziałów i urzędów na terenie gminy, a także do osób trzecich, aby upewnić się, że mogą prawidłowo wykonać swoje obowiązki publiczne. Zawiadomienia zawierały m.in. wrażliwe dane demonstrantów i organizatorów demonstracji. Dane ujawniły między innymi poglądy polityczne, przekonania religijne lub filozoficzne lub orientację seksualną osób, których dane dotyczą. Organ ochrony danych uznał, że przekazanie danych nie byłoby konieczne do prawidłowego wykonywania przez podmioty zadań publicznych. Tym samym przetwarzanie odbywało się bez wystarczającej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że gmina przeprowadziła przetwarzanie bez informowania osób, których dane dotyczą, bez ustanowienia polityki przechowywania ich danych osobowych i bez przeprowadzenia oceny skutków w zakresie ochrony danych. link
Belgia 2021-12-16 75.000 EUR Bank Art. 38 (6) RODO Belgijski organ ochrony danych nałożył na bank grzywnę w wysokości 75 000 euro. Organ ochrony danych stwierdził konflikt interesów dotyczący inspektora ochrony danych. Oprócz pełnienia funkcji inspektora ochrony danych był również kierownikiem działu, do którego jako inspektor ochrony danych musiał się zgłaszać. Organ ochrony danych uznał to za naruszenie art. 38 (6) RODO. link
Włochy 2021-11-25 6.000 EUR Società H San Raffaele Resnati s.r.l. Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 6000 EUR na spółkę Società H San Raffaele Resnati s.r.l. Organ ochrony danych wszczął dochodzenie przeciwko świadczeniodawcy opieki zdrowotnej po tym, jak zgłosił on naruszenie danych organowi ochrony danych. Pacjent otrzymał omyłkowo dokumentację medyczną i dokumentację kliniczną od dwóch innych pacjentów z powodu błędu pracownika. link
Włochy 2021-12-02 30.000 EUR Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. Art. 5 (1) f) RODO, Art. 32 RODO, Włoski organ ochrony danych (Garante) nałożył grzywnę na Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. 30 000 euro. Dom opieki powiadomił organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. W obiekcie doszło do cyberataku hakera, który uzyskał dostęp do danych osobowych i je opublikował. Obejmowało to publikowanie zdjęć radiologicznych pacjentów na swoim koncie na Twitterze. Dochodzenie organu ochrony danych ujawniło, że dom zabezpieczył dane jedynie prostymi hasłami. Z tego powodu organ ochrony danych stwierdził, że dom nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony współmiernego do ryzyka. link
Włochy 2021-12-02 7.000 EUR Società Med Store Saronno s.r.l. Art. 5 (1) f) RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę na Società Med Store Saronno s.r.l. 7000 euro. Dom opieki powiadomił organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. W obiekcie doszło do cyberataku hakera, który uzyskał dostęp do danych osobowych i je opublikował. Obejmowało to publikowanie zdjęć radiologicznych pacjentów na swoim koncie na Twitterze. Dochodzenie organu ochrony danych ujawniło, że dom zabezpieczył dane jedynie prostymi hasłami. Z tego powodu organ ochrony danych stwierdził, że dom nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony współmiernego do ryzyka. link
Grecja 22021-12-09 75.000 EUR Greek Ministry of Tourism Art. 13 RODO, Art. 32 RODO, Art. 33 RODO, Art. 37 RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 75 000 euro na greckie Ministerstwo Turystyki. W urzędzie doszło do naruszenia danych. Według organu ochrony danych próba wprowadzenia przez obywatela swoich danych uwierzytelniających na platformie internetowej organu skutkowała wyświetleniem danych uwierzytelniających innej osoby, w tym imienia i nazwiska, numeru podatkowego, numeru ubezpieczenia społecznego, adresu pocztowego, numeru telefonu, adresu e-mail, oraz pola wskazujące na niepełnosprawność. Organ ochrony danych stwierdził, że ministerstwo nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych. Ministerstwo nie zgłosiło incydentu organowi ochrony danych. Organ ochrony danych uznał to za naruszenie art. 33 RODO. Dochodzenie organu ochrony danych wykazało również, że Ministerstwo Turystyki nie wyznaczyło inspektora ochrony danych, mimo że adres e-mail inspektora ochrony danych organu został podany na wyżej wymienionej platformie do komunikacji z użytkownikami platformy. Ten adres e-mail, jak się okazało, nie był aktywny. link
Hiszpania 2022-01-13 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 1000 euro za naruszenie art. 5 ust. 1 lit. c RODO i 500 euro za naruszenie art. 13 RODO. link
Austria 2022-01-14 8.000.000 EUR REWE International AG Nieznany Austriacki organ ochrony danych nałożył na REWE International AG grzywnę w wysokości 8 mln euro. Tylko latem 2021 r. spółka zależna „Unser Ö-Bonus Club GmbH” otrzymała grzywnę w wysokości 2 mln euro. Według gazety „Salzburger Nachrichten” grzywna jest oparta na różnych naruszeniach RODO. Dalsze szczegóły incydentu nie są obecnie znane. link
Irlandia 2021-12-02 60.000 EUR Irish Teacher Council Art. 5 (1) RODO, Art. 32 (1) RODO, Art. 33 RODO Irlandzki organ ochrony danych nałożył na Irish Teaching Council grzywnę w wysokości 60 000 euro. Rada zawiadomiła organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. W związku z tym dwóch pracowników Rady uzyskało dostęp do wiadomości phishingowej, która umożliwiła im skonfigurowanie automatycznego systemu przekazywania ze swoich kont e-mail na złośliwe konto e-mail. W rezultacie na nieautoryzowany zewnętrzny adres e-mail w okresie od 17 lutego 2020 r. do 6 marca 2020 r. przesłano 323 wiadomości e-mail. Wiadomości e-mail zawierały dane osobowe 9735 osób, których dane dotyczą oraz wrażliwe dane osobowe jednej osoby, której dane dotyczą. Organ ochrony danych stwierdził zatem, że Rada nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony danych osobowych osób, których dane dotyczą, współmiernego do ryzyka. Ponadto organ ochrony danych stwierdził, że Rada nie zgłosiła naruszenia danych w odpowiednim czasie. link
Grecja 2021-12-31 30.000 EUR INFO COMMUNICATION SERVICES Art. 13 RODO, Art. 14 RODO, Art. 11 Law 3471/2006 Grecki organ ochrony danych nałożył grzywnę w wysokości 30 000 euro na USŁUGI INFORMATYCZNE. Administrator przeprowadził rozmowy reklamowe bez zgody osób, których dane dotyczą. Ponadto nie poinformował prawidłowo osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, naruszając tym samym swoje obowiązki informacyjne. link
Grecja 2021-12-31 25.000 EUR PLUS REAL ADVERTISEMENT Art. 13 RODO, Art. 14 RODO, Art. 11 Law 3471/2006 Grecki organ ochrony danych nałożył grzywnę w wysokości 25 000 euro na PLUS REAL ADVERTISEMENT. Administrator przeprowadził rozmowy reklamowe bez zgody osób, których dane dotyczą. Ponadto nie poinformował prawidłowo osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, naruszając tym samym swoje obowiązki informacyjne. link
Polska 2021-12-09 10.000 EUR Warsaw University of Technology Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO Polski Urząd Ochrony Danych (UODO) nałożył na Politechnikę Warszawską grzywnę w wysokości 10 000 euro. Uczelnia zgłosiła organowi naruszenie danych na podstawie art. 33 RODO. Jedna z jednostek organizacyjnych Uczelni korzystała z aplikacji stworzonej przez pracowników Uczelni do rejestracji na kursy i dostępu do historii nauczania, oceny wyników egzaminów i rozliczania opłat. Na początku stycznia 2020 roku nieupoważniona osoba pobrała z aplikacji bazę danych zawierającą dane osobowe studentów i wykładowców (ponad 5000 osób). W swoim dochodzeniu organ ochrony danych stwierdził, że Unvierstät nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Organ ochrony danych stwierdził również, że uniwersytet nie przeprowadził formalnej oceny ryzyka. link
Hiszpania 2022-01-11 9.000 EUR EDUCANDO JUNTOS SL Art. 6 (1) RODO, Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 9 000 euro na EDUCANDO JUNTOS SL. Administrator opublikował zdjęcia pracownika na niektórych swoich kanałach w sieciach społecznościowych i na swojej stronie internetowej. Jednak administrator opublikował zdjęcia bez uzyskania zgody osoby, której dane dotyczą. Z tego powodu osoba, której dane dotyczą, wielokrotnie domagała się usunięcia zdjęć z sieci społecznościowych i strony internetowej. Administrator nie zastosował się jednak do tego żądania. Grzywna wynosi 6 000 euro za naruszenie art. 6 ust. 1 RODO i 3000 EUR za naruszenie art. 17 RODO. link
Hiszpania 2022-01-11 3.000 EUR Społeczność właścicieli nieruchomości Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która rejestrowała również drogi publiczne na zewnątrz z naruszeniem tzw. zasady minimalizacji danych link
Grecja 2022-01-05 1.000 EUR Εγνατία Οδός Α.Ε. Art. 12 (3) RODO Grecki organ ochrony danych nałożył na Εγνατία Οδός Α.Ε grzywnę w wysokości 1 000 EUR. Firma posiadała system monitoringu wideo do monitorowania uiszczania opłat drogowych. Właściciel samochodu, który otrzymał karę za nieuiszczenie opłaty drogowej, skorzystał z prawa do informacji przyznanych przez RODO. Poprosił o materiały fotograficzne, które zostały zrobione w kontekście grzywny. Poprosił również o otrzymanie kopii dokumentacji incydentu. Spółka odmówiła jednak udzielenia informacji osobie, której dane dotyczą. Dopiero po interwencji organu ochrony danych firma przekazała informacje, ale bez załączania materiału fotograficznego. Z tego powodu organ ochrony danych stwierdził naruszenie art. 12 ust. 3 RODO. link
Francja 2021-12-31 60.000.000 EUR Facebook Ireland Ltd. Art. 82 loi Informatique et Libertés 31 grudnia 2021 r. francuski organ ochrony danych (CNIL) nałożył na Facebook Ireland Ltd grzywnę w wysokości 60 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu odmowy przyjęcia plików cookie na stronie Facebook.com. CNIL przeprowadził następnie przegląd witryn internetowych i stwierdził, że chociaż witryny te oferowały przycisk umożliwiający natychmiastowe zaakceptowanie plików cookie, nie istniało równoważne rozwiązanie, które pozwoliłoby internautom na równie łatwe odrzucenie plików cookie. Wymagało to raczej kilku kliknięć, aby odrzucić wszystkie pliki cookie, w przeciwieństwie do jednego kliknięcia, aby je zaakceptować. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy będą częściej akceptować umieszczanie plików cookie z wygody. Uznał, że konstrukcja depozytu plików cookie narusza wolność wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i wolnościach. Przy ustalaniu kary w sposób obciążający wzięto pod uwagę fakt, że poszkodowana została duża liczba osób. Ponadto CNIL wzięła pod uwagę znaczne zyski, jakie firmy mogły osiągnąć z przychodów reklamowych generowanych pośrednio z danych gromadzonych za pomocą plików cookie. CNIL zwrócił również uwagę na fakt, że organ już w lutym 2021 r. zaalarmował spółkę o tym naruszeniu. Oprócz grzywny, CNIL wydał nakaz nakazujący firmom udostępnienie internautom we Francji sposobu na odrzucenie plików cookie jako łatwo, ponieważ mogą je zaakceptować, w ciągu trzech miesięcy od powiadomienia o decyzji. W przeciwnym razie firmom groziłaby kara w wysokości 100 000 euro za każdy dzień zwłoki. link
Francja 2021-12-31 60.000.000 EUR Google Ireland Ltd. Art. 82 loi Informatique et Libertés 31 grudnia 2021 r. francuski organ ochrony danych (CNIL) nałożył na Google Ireland Ltd grzywnę w wysokości 60 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu odmowy przyjęcia plików cookie na stronach google.fr i youtube.com. CNIL przeprowadził następnie przegląd witryn internetowych i stwierdził, że chociaż witryny te oferowały przycisk umożliwiający natychmiastowe zaakceptowanie plików cookie, nie istniało równoważne rozwiązanie, które pozwoliłoby internautom na równie łatwe odrzucenie plików cookie. Wymagało to raczej kilku kliknięć, aby odrzucić wszystkie pliki cookie, w przeciwieństwie do jednego kliknięcia, aby je zaakceptować. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy będą częściej akceptować umieszczanie plików cookie z wygody. Uznał, że konstrukcja depozytu plików cookie narusza wolność wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i wolnościach. Przy ustalaniu kary w sposób obciążający wzięto pod uwagę fakt, że poszkodowana została duża liczba osób. Ponadto CNIL wzięła pod uwagę znaczne zyski, jakie firmy mogły osiągnąć z przychodów reklamowych generowanych pośrednio z danych gromadzonych za pomocą plików cookie. CNIL zwrócił również uwagę na fakt, że organ już w lutym 2021 r. zaalarmował firmy GOOGLE o tym naruszeniu. Oprócz grzywny, CNIL wydał nakaz nakazujący firmie udostępnienie internautom we Francji sposobu na odrzucenie plików cookie jako łatwo, ponieważ mogą je zaakceptować, w ciągu trzech miesięcy od powiadomienia o decyzji. W przeciwnym razie firmom groziłaby kara w wysokości 100 000 euro za każdy dzień zwłoki. link
Francja 2021-12-31 90.000.000 EUR Google LLC Art. 82 loi Informatique et Libertés 31 grudnia 2021 r. francuski organ ochrony danych (CNIL) nałożył na GOOGLE LLC karę w wysokości 90 000 EUR. CNIL otrzymała kilka skarg dotyczących sposobu, w jaki pliki cookie mogły być odrzucane na stronach google.fr i youtube.com. CNIL przeprowadził następnie przegląd witryn internetowych i stwierdził, że chociaż witryny te oferowały przycisk umożliwiający natychmiastowe zaakceptowanie plików cookie, nie istniało równoważne rozwiązanie, które pozwoliłoby internautom na równie łatwe odrzucenie plików cookie. Wymagało to raczej kilku kliknięć, aby odrzucić wszystkie pliki cookie, w przeciwieństwie do jednego kliknięcia, aby je zaakceptować. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy będą częściej akceptować umieszczanie plików cookie z wygody. Uznał, że konstrukcja depozytu plików cookie narusza wolność wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i wolnościach. Przy ustalaniu kary w sposób obciążający wzięto pod uwagę fakt, że poszkodowana została duża liczba osób. Ponadto CNIL wzięła pod uwagę znaczne zyski, jakie firmy mogły osiągnąć z przychodów reklamowych generowanych pośrednio z danych gromadzonych za pomocą plików cookie. CNIL zwrócił również uwagę na fakt, że organ już w lutym 2021 r. zaalarmował firmy GOOGLE o tym naruszeniu. Oprócz grzywny, CNIL wydał nakaz nakazujący firmie udostępnienie internautom we Francji sposobu na odrzucenie plików cookie jako łatwo, ponieważ mogą je zaakceptować, w ciągu trzech miesięcy od powiadomienia o decyzji. W przeciwnym razie firmom groziłaby kara w wysokości 100 000 euro za każdy dzień zwłoki. link
Rumunia 2021-12-06 6.000 EUR Telekom Romania Communications SA Art. 5 (1) d), f) RODO, Art. 5 (2) RODO, Art. 17 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Communications SA karę w wysokości 6 tys. euro. Osoba, której dane dotyczą, złożyła skargę, że administrator wysłał na jej adres e-mail faktury i wiadomości informujące o zaległościach płatniczych innej osoby. Podczas dochodzenia organ ochrony danych stwierdził, że administrator błędnie zebrał i przetworzył niektóre dane osobowe, co skutkowało bezprawnym ujawnieniem danych osobowych. Jednocześnie organ ochrony danych stwierdził, że administrator nie podjął niezbędnych środków w celu spełnienia żądania osoby, której dane dotyczą, o usunięcie jej danych osobowych. Za naruszenie art. 5 ust. 1 lit. d), f) RODO, art. 5 ust. 2 RODO i 1000 EUR za naruszenie art. 17 RODO. link
Włochy 2021-11-11 150.000 EUR TIM S.p.A. Art. 15 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę na operatora telefonii komórkowej TIM S.p.A. w wysokości 150 000 EUR za odmowę osobie, której dane dotyczą, dostępu do jej danych telefonicznych potrzebnych do obrony w sprawie karnej. Ponieważ osoba, której dane dotyczą, nie otrzymała odpowiedzi na swoje wielokrotne prośby do spółki, zwrócił się do organu ochrony danych w celu uzyskania danych na czas na rozprawę w postępowaniu karnym. link
Włochy 2021-12-02 30.000 EUR Ica s.r.l. Art. 5 (1) f) RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę na ICA s.r.l. 30 000 euro. Gmina Collegno wdrożyła opracowany przez ICA system, dzięki któremu obywatele mogli płacić mandaty za wykroczenia drogowe. Jednak ze względu na brak środków bezpieczeństwa teoretycznie możliwy był dostęp osób nieuprawnionych do danych osobowych przechowywanych za pośrednictwem programu. Z tego powodu organ ochrony danych stwierdził, że ICA nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa współmierny do ryzyka, jakie stanowi osoba, której dane dotyczą. link
Norwegia 2021-12-13 20.000 EUR Elektro & Automasjon Systemer AS Art. 6 (1) f) RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Elektro & Automasjon Systemer AS grzywnę w wysokości 20 000 EUR. Administrator przeprowadził kontrolę zdolności kredytowej osoby, chociaż nie było do tego podstawy prawnej. link
Hiszpania 2021-12-28 2.000 EUR Call shop manager Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 euro na kierownika sklepu z telefonami. W kontekście wakatu kierownik zorganizował stoisko, na którym kandydaci mogli składać dokumenty aplikacyjne za opłatą w wysokości jednego euro. W tym kontekście zarządca nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych osobowych zgodnie z art. 13 RODO. link
Francja 2021-12-28 300.000 EUR FREE MOBILE Art. 12 RODO, Art. 15 RODO, Art. 21 RODO, Art. 25 RODO, Art. 32 RODO Francuski organ ochrony danych (CNIL) nałożył grzywnę w wysokości 300 000 EUR na FREEE MOBILE. CNIL otrzymała liczne skargi dotyczące nieprzestrzegania przez firmę praw osób, których dane dotyczą. W trakcie dochodzenia CNIL stwierdził, że przedsiębiorstwo nie odpowiedziało na prośby osób, których dane dotyczą, w odpowiednim czasie. Ponadto firma nie zastosowała się do prawa do sprzeciwu osób, których dane dotyczą, ponieważ nadal wysyłała reklamy do osób, których dane dotyczą, mimo że skorzystały one z prawa do sprzeciwu. Ponadto CNIL stwierdziła, że ​​firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. Na przykład wysłał użytkownikom hasła pocztą elektroniczną w postaci zwykłego tekstu. link
Francja 2021-12-28 180.000 EUR SLIMPAY Art. 28 RODO, Art. 32 RODO, Art. 34 RODO Francuski organ ochrony danych (CNIL) nałożył na instytucję płatniczą SLIMPAY karę w wysokości 180 000 euro. W 2015 roku SLIMPAY przeprowadził wewnętrzny projekt badawczy, w którym przetwarzał dane osobowe w swoich bazach danych. Gdy projekt badawczy zakończył się w lipcu 2016 r., dane były przechowywane na serwerze, bez żadnych zabezpieczeń i swobodnie dostępne w Internecie. Naruszenie danych dotknęło około 12 milionów osób. Podczas dochodzenia CNIL stwierdził, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka dla osób, których dane dotyczą. Tym samym dostęp do serwera nie był objęty żadnymi zabezpieczeniami, dzięki czemu możliwy był dostęp przez Internet w okresie od listopada 2015 r. do lutego 2020 r. Ponadto organ ochrony danych stwierdził, że spółka nie poinformowała osób, których dane dotyczą o naruszeniu danych . CNIL stwierdziła również, że w kilku przypadkach umowy, które firma zawarła z podmiotami przetwarzającymi, były niewłaściwie opracowane, ponieważ nie zawierały pewnych przewidzianych klauzul zobowiązujących przetwarzających do przetwarzania danych osobowych zgodnie z wymogami RODO. link
Hiszpania 2021-12-28 6.000 EUR REAL CLUB NÁUTICO DE RIBADEO Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 6 000 euro na REAL CLUB NÁUTICO DE RIBADEO. Administrator umieścił na swojej stronie internetowej i stronie na Facebooku linki do orzeczeń sądowych zawierających dane osobowe osoby, której dane dotyczą. link
Hiszpania 2021-12-28 2.000 EUR VENTANAS MAKE YOURSELF, S.L. Art. 13 RODO Serwis korporacyjny nie przedstawił polityki prywatności na swojej stronie głównej. link
Hiszpania 2021-12-16 60.000 EUR Banco Bilbao Vizcaya Argentaria S.A. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Banco Bilbao Vizcaya Argentaria SA Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z faktem, że administrator wielokrotnie wysyłał mu wiadomości SMS o braku płatności, mimo że nie pozostawał w stosunku umownym z administratorem. Administrator stwierdził, że niechciane wiadomości SMS zostały wysłane z powodu błędu ludzkiego ze strony jego pracowników. Pierwotna kara w wysokości 100 000 euro została obniżona do 60 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Hiszpania 2021-12-22 5.000 EUR HUBSIDE IBÉRICA S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR HUBSIDE IBÉRICA SL. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi za obciążenie jej kilkoma usługami, których nie zamówiła. link
Hiszpania 2021-12-22 5.000 EUR Sfam España General s.l. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na Sfam España General s.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych za obciążenie jej kilkoma usługami, których nie zamówiła. link
Hiszpania 2021-12-21 6.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 6 000 euro. Osoba ta udostępniła na Twitterze wideo przedstawiające obrazy napaści seksualnej mężczyzny na kobietę. Celem udostępnienia filmu było zwrócenie uwagi na przemoc domową wobec kobiet. Organ ochrony danych uważa udostępnianie za niezgodne z prawem. Mimo że dana osoba mogła mieć uzasadniony interes w udostępnieniu filmu, przeważa prawo ofiary do prywatności. link
Hiszpania 2021-12-23 1.500 EUR LA OFICINA BAR Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną LA OFICINA BAR. W barze funkcjonował system monitoringu wideo, w którym kąt obserwacji kamer rozciągał się na obszar ruchu publicznego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych link
Hiszpania 2021-12-17 4.000 EUR CLUB DEPORTIVO RITMO DE ANDALUCÍA Art. 7 RODO, Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2 000 EUR na CLUB DEPORTIVO RITMO DE ANDALUCÍA. Organ ochrony danych skrytykował, że informacja o ochronie danych administratora nie jest zgodna z wymogami RODO. Tym samym informacje wymagane na podstawie art. 13 RODO nie zostało zapewnione w wystarczającym stopniu. Ponadto informacja o ochronie danych nie zapewniała odpowiedniej możliwości wyrażenia zgody na przetwarzanie danych. link
Hiszpania 2021-12-21 2.000 EUR FUNDACION ESPANOLA DE MEDICINA ESTETICA Y LONGEVIDAD Art. 7 RODO, Art. 13 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na FUNDACION ESPANOLA DE MEDICINA ESTETICA Y LONGEVIDAD. Organ ochrony danych skrytykował, że informacja o ochronie danych administratora nie jest zgodna z wymogami RODO. Tym samym informacje wymagane na podstawie art. 13 RODO nie zostało zapewnione w wystarczającym stopniu. Ponadto informacja o ochronie danych nie zapewniała odpowiedniej możliwości wyrażenia zgody na przetwarzanie danych. link
Austria 2021-08-05 600 EUR Osoba prywatna Art. 9 RODO Austriacki organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 600 euro. Osoba prywatna wysłała do pracodawcy osoby, której dane dotyczą, dokument uzyskany w sprawie sądowej między osobą, której dane dotyczą, a nim samym. Dokument ten zawierał informacje dotyczące danych dotyczących zdrowia osoby, której dane dotyczą. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na przekazanie dokumentu swojemu pracodawcy. link
Norwegia 2021-12-17 3.900 EUR T. Stene Transport AS Nieznany Norweski organ ochrony danych nałożył grzywnę na T. Stene Transport AS w wysokości 3 900 EUR z powodu nieuczciwej kontroli kredytowej osoby, której dane dotyczą. link
Hiszpania 2021-12-17 2.000 EUR Sklep internetowy Art. 6 RODO Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 euro na sprzedawcę internetowego. Osoba, której dane dotyczą, kupiła produkt w sklepie internetowym administratora za pośrednictwem serwisu eBay i zapłaciła za pomocą Paypal. Jednak zamówienie otrzymał za pośrednictwem Amazona. Ponieważ osoba, której dane dotyczą, nie wyraziła zgody na przekazanie swoich danych do Amazon, organ ochrony danych stwierdził, że administrator przetwarzał dane niezgodnie z prawem. link
Hiszpania 2021-12-17 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) ukarał osobę prywatną grzywną w wysokości 2000 EUR. Administrator danych zainstalował kamery wideo w taki sposób, aby mogły rejestrować obrazy przestrzeni publicznej i wejścia do budynku mieszkalnego. AEPD uznała to za naruszenie zasady minimalizacji danych. link
Grecja 2021-12-08 30.000 EUR One Way Private Company Art. 28 (3) c) RODO, Art. 32 (2), (4)RODO, Art. 11 (1) Νόμος 3471/2006 Grecki organ ochrony danych nałożył na One Way Private Company karę w wysokości 30 000 euro. Organ ochrony danych otrzymał 17 skarg dotyczących nielegalnych rozmów telefonicznych w celach reklamowych. Organ ochrony danych ustalił, że z powodu błędu w aplikacji administratora wykonano połączenia telefoniczne z abonentami znajdującymi się na liście w celu ochrony przed niezamówioną reklamą telefoniczną „Zarejestruj 11”. Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. link
Hiszpania 2021-12-14 50.000 EUR IZA OBRAS Y PROMOCIONES, S.A. Art. 5 (1) c) RODO Hiszpański organ ochrony danych nałożył na IZA OBRAS Y PROMOCIONES, S.A. grzywnę w wysokości 50 000 EUR. Pracownik złożył skargę do organu ochrony danych na spółkę, zarzucając administratorowi nieuprawnione udostępnienie jego danych osobowych innej spółce, od której otrzymał zlecenie budowlane. Osoba, której dane dotyczą, pracowała jako kierownik budowy przy projekcie, ale przez pewien czas była nieobecna w pracy z powodu choroby. W związku z tym administrator poinformował swojego klienta i dodatkowo ujawnił adres e-mail osoby, której dane dotyczą, oraz niektóre informacje zdrowotne. Organ ochrony danych ustalił, że ujawnienie tych danych nie byłoby konieczne, a zatem administrator naruszył zasadę minimalizacji danych. link
Węgry 2021-10-27 13.500 EUR Importer samochodów Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 13 RODO Węgierski organ ochrony danych nałożył grzywnę w wysokości 13 500 euro na importera samochodów. Klient jednego z autoryzowanych warsztatów firmy złożył skargę do organu ochrony danych w związku z otrzymaniem od firmy niezamówionych wiadomości e-mail związanych z ankietami klientów po przeglądzie samochodu. Węgierski organ ochrony danych stwierdził, że administrator nie miał ważnej podstawy prawnej do skontaktowania się z osobą, której dane dotyczą. Stwierdził również, że administrator nie dopełnił obowiązku poinformowania na podstawie art. 12 RODO i art. 13 RODO. E-maile nie zawierały na przykład żadnych danych kontaktowych administratora.
Dania 2021-12-16 13.450 EUR Gminy Frederiksberg Art. 32 RODO Duński organ ochrony danych nałożył na gminę Frederiksberg grzywnę w wysokości 13 450 euro. 1 marca 2021 r. gmina zgłosiła naruszenie danych na podstawie art. 33 RODO. Miejskie usługi opieki dentystycznej prowadziły system, za pośrednictwem którego rodzice mogli uzyskać dostęp online do listów dotyczących opieki dentystycznej swoich dzieci. Gmina następnie rozszerzyła ten dostęp na rodziców posiadających wspólną opiekę. W rezultacie w kilku przypadkach rodzice uzyskali dostęp do informacji o drugim rodzicu i adresie dziecka, mimo że dotknięty rodzic i dziecko zostali zarejestrowani z ochroną nazwiska i adresu. Organ ochrony danych uznał to za naruszenie obowiązku gminy do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. link
Hiszpania 2021-12-16 1.200 EUR Osoba prywatna Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1200 EUR za nieudzielenie wystarczających informacji na temat systemu nadzoru wideo zainstalowanego na ich posesji. link
Finlandia 2021-12-07 608.000 EUR Psykoterapiakeskus Vastaamo Art. 5 (1) f) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO Fiński organ ochrony danych nałożył na ośrodek psychoterapii Vastaamo grzywnę w wysokości 608 000 euro. We wrześniu 2020 r. ośrodek psychoterapii zgłosił organowi ochrony danych atak na bazę danych pacjentów. Nieupoważniona osoba trzecia uzyskała dostęp do medycznej bazy danych Vastaamo co najmniej dwa razy, w grudniu 2018 r. i marcu 2019 r. Atakujący wyprowadził również dane i zostawił żądanie okupu na serwerach. Z powodu niewystarczającego logowania nie udało się ustalić dokładnej daty naruszenia ani adresów sieciowych wykorzystywanych przez atakującego. Najbardziej prawdopodobną przyczyną wycieku medycznej bazy danych był niechroniony port w bazie danych, na którym konto użytkownika root bazy danych nie było chronione hasłem. W okresie od 26 listopada 2017 r. do 13 marca 2019 r. serwer bazy danych pacjentów był otwarty na Internet bez ochrony firewall. Z tego powodu organ ochrony danych stwierdził, że dane osobowe nie były odpowiednio chronione przed nieuprawnionym i niezgodnym z prawem przetwarzaniem lub przypadkową utratą , zniszczenia lub uszkodzenia oraz że administrator nie wdrożył podstawowych środków bezpiecznego przetwarzania danych osobowych. W ramach dochodzenia organ ochrony danych ustalił również, że administrator musiał wiedzieć już w marcu 2019 r., że dane w systemie informacji o pacjentach zostały utracone i mogły zostać naruszone przez zewnętrznego atakującego. Vastaamo powinien był natychmiast zgłosić naruszenie bezpieczeństwa zarówno organowi ochrony danych, jak i jego pacjentom. Jednak Vastaamo znacznie spóźnił się z wypełnieniem tego obowiązku. Wysokość grzywny wynosi proporcjonalnie 145 600 EUR za naruszenie art. 33 ust. 1 RODO, 145,600 EUR za naruszenie art. 34 ust. 1 RODO i 316 800 EUR za naruszenie art. 5 ust. 1 lit. f RODO. link
Austria 2021-02-12 3.000 EUR Nieznany Art. 31 RODO Austriacki organ ochrony danych nałożył na firmę grzywnę w wysokości 3 000 EUR za nieudostępnienie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. link
Norwegia 2021-12-13 6.300.000 EUR Grindr LLC Art. 6 (1) RODO, Art. 9 (1) RODO Norweski organ ochrony danych nałożył grzywnę na Grindr LLC w wysokości 6,3 mln EUR. Grindr to oparta na lokalizacji aplikacja społecznościowa przeznaczona dla osób homoseksualnych, bi, trans i queer. W 2020 r. Norweski Urząd Ochrony Konsumentów złożył skargę przeciwko Grindr do norweskiego organu ochrony danych, twierdząc, że portal udostępnił informacje o lokalizacji GPS użytkowników, adresie IP, identyfikatorze reklamowym telefonu komórkowego, wieku i płci kilku stronom trzecim w celach marketingowych. Zgodnie z RODO wymagana jest zgoda na udostępnianie tych danych osobowych. Jednak podczas dochodzenia organ ochrony danych stwierdził, że zgoda zebrana przez Grindr była nieważna. Użytkownicy musieli zaakceptować politykę prywatności, aby korzystać z aplikacji, ale nie zostali wprost zapytani, czy wyraziliby zgodę na udostępnianie ich danych podmiotom trzecim w celach marketingowych. Ponadto informacje o ujawnieniu danych osobowych nie były wystarczająco jasne lub dostępne dla użytkowników. Organ ochrony danych wskazuje, że tego typu dane mogą identyfikować użytkownika Grindr jako członka mniejszości seksualnej. Użytkownicy Grindr czasami chcieliby korzystać z aplikacji anonimowo, na przykład bez podawania swojego imienia i nazwiska lub przesyłania swojego zdjęcia. W związku z orientacją seksualną użytkowników wpłynęła zatem również na szczególną kategorię danych osobowych, która podlega szczególnie wysokiemu poziomowi ochrony. Organ ochrony danych uważa zatem naruszenie za szczególnie poważną sprawę, która uzasadnia odstraszającą wysoką grzywnę. Modele biznesowe oparte na marketingu behawioralnym są szeroko rozpowszechnione w gospodarce cyfrowej, dlatego ważne jest, aby kary za naruszenia RODO miały charakter odstraszający. link
Rumunia 2021-12-13 2.000 EUR SC Nobiotic Pharma SRL Art. 58 (1) RODO Niedostarczenie żądanych informacji rumuńskiemu organowi ochrony danych w wymaganym terminie z naruszeniem art. 58 RODO link
Norwegia 2021-11-24 98.000 EUR Norwegian State Pension Fund (SPK) Art. 5 (1) c), e) RODO, Art. 6 (1) RODO, Art. 9 (2) RODO Norweski organ ochrony danych nałożył na Norweski Państwowy Fundusz Emerytalny (SPK) karę w wysokości 98 000 euro. Administrator poinformował organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. Organ ochrony danych stwierdził, że administrator danych bezprawnie gromadził pewne informacje o dochodach od 2016 r. Na przykład administrator danych zbierał informacje zdrowotne dotyczące rent z tytułu niezdolności do pracy, chociaż nie było to wymagane. Zdarzenia te dotknęły około 24 000 osób. Ponadto organ ochrony danych stwierdził, że SPK nie wdrożyło procedur przeglądania i usuwania nadmiernych informacji zebranych do 2019 r. link
Belgia 2021-12-08 10.000 EUR Nieznany Art. 12 (3) RODO, Art. 14 (1), (2), (3) RODO, Art. 15 RODO, Art. 17 (1) c) RODO, Art. 21 (2) RODO Belgijski organ ochrony danych nałożył na firmę grzywnę w wysokości 10 000 euro. Osoba, której dane dotyczą, wielokrotnie otrzymywała od firmy pocztę z treściami reklamowymi, chociaż sprzeciwiła się przetwarzaniu jej danych osobowych i zażądała usunięcia swoich danych. Spółka nie odpowiedziała jednak na zapytania organu ochrony danych w tym zakresie. Ponadto spółka nie poinformowała w wystarczającym stopniu osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych. link
Holandia 2021-11-25 2.750.000 EUR Holenderski Minister Finansów Art. 5 (1) a) RODO, Art. 6 (1) e) RODO, Art. 8 Wbp Holenderski organ ochrony danych (AP) nałożył na Ministra Finansów 2,75 mln euro grzywny. W kontekście wniosków o świadczenia wychowawcze, urzędy skarbowe przez kilka lat przetwarzały dane dotyczące podwójnego obywatelstwa wnioskodawców. Organ ochrony danych stwierdził jednak, że dane dotyczące podwójnego obywatelstwa obywateli Holandii nie byłyby konieczne przy ocenie wniosku o świadczenia z tytułu opieki nad dzieckiem. Dane te były również przetwarzane w celu zwalczania oszustw zorganizowanych oraz automatycznej klasyfikacji w systemie ryzyka organu. Jednak nawet dla tych celów przetwarzanie nie byłoby konieczne. Z tego powodu administracja podatkowa i celna powinna była usunąć dane dotyczące podwójnego obywatelstwa już w styczniu 2014 r. Niemniej jednak, według stanu na maj 2018 r., dane dotyczące podwójnego obywatelstwa łącznie 1,4 mln osób nadal były zarejestrowane w systemach administracji podatkowej i celnej. Organ ochrony danych stwierdził zatem, że dane zostały przetworzone niezgodnie z prawem ze względu na brak ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że osoby, których dane dotyczą, były dyskryminowane ze względu na ich narodowość. link
Hiszpania 2021-12-07 24.000 EUR NBQ Technology, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na NBQ Technology, SAU. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko firmie po tym, jak odmówiono mu transakcji finansowej z powodu domniemanych niespłaconych spłat pożyczki. Jak się okazało, złodziej tożsamości zdobył dane osoby, której dane dotyczą, bez zezwolenia i wystąpił o pożyczkę od administratora danych pod pozorem tożsamości osoby, której dane dotyczą. Administrator następnie zatwierdził pożyczkę. Ponieważ dane przetwarzane w trakcie udzielania pożyczki nie należały do ​​pożyczkobiorcy, ale do osoby, której dane dotyczą, AEOPD uznał, że administrator nie ma podstawy prawnej do przetwarzania danych. Przetwarzanie było zatem niezgodne z prawem i naruszało art. 6 ust. 1 RODO zostało potwierdzone. Pierwotna kara w wysokości 40 000 euro została obniżona do 24 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Hiszpania 2021-12-03 1.000 EUR Właściciel sklepu Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 1000 EUR za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie. link
Niemcy 2019 od 300 do 1.000 EUR Nieznany Art. 6 RODO Dziewięć grzywien w wysokości od 350 EUR do 1000 EUR za niezgodne z prawem korzystanie z kamery samochodowej. link
Niemcy 2019 od 50 do 800 EUR Nieznany Art. 6 RODO Osiem grzywien w wysokości od 50 do 800 EUR za niezgodne z prawem korzystanie z kamery samochodowej. link
Niemcy 2019 500 EUR Nieznany Art. 15 RODO Administrator danych nie spełnił żądania osoby, której dane dotyczą, aby uzyskać dostęp do jej danych osobowych. link
Niemcy Nieznany 600 EUR Nieznany Art. 6 RODO Bezprawne użycie dashcam. link
Niemcy Nieznany 300 EUR Nieznany Art. 6 RODO Bezprawne użycie dashcam. link
Niemcy Nieznany 50 EUR Nieznany Art. 6 RODO Bezprawne użycie dashcam. link
Hiszpania 2021-11-02 2.000 EUR COOPERA RC SERVICES, S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na COOPERA RC SERVICES. Administrator nie podał wystarczających danych kontaktowych, za pośrednictwem których osoby, których dane dotyczą, mogłyby skorzystać ze swoich praw. link
Hiszpania 2021-11-23 40.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator przekazał jej linię telefoniczną innej osobie bez jej zgody z powodu błędu technicznego. Ponadto konto osoby, której dane dotyczą, zostało obciążone kwotami, które należały do ​​linii telefonicznej osoby trzeciej. Organ ochrony danych stwierdził, że Vodafone bezprawnie przetwarzał dane osoby, której dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2021-11-23 40.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi danych z uwagi na fakt, że linie telefoniczne zostały zarejestrowane na jego nazwisko, chociaż nigdy nie zawarł ze spółką umów na żadną z tych linii. Vodafone omyłkowo przypisał dane objęte umowami innego klienta Vodafone, dlatego umowy nosiły jego nazwisko. W tym kontekście organ ochrony danych uznał przetwarzanie danych osoby, której dane dotyczą, przez Vodafone za niezgodne z prawem. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2021-12-02 2.000 EUR IMAGINA FRAN SPORT, S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną IMAGINA FRAN SPORT, S.L. 2 000 EUR z uwagi na niezgodność polityki prywatności z wymogami art. 13 RODO. Na przykład witryna zawierała nieaktualne informacje. link
Hiszpania 2021-12-01 5.000 EUR INTRODUCTION BUSINESS CAPITAL MEDIA, S.L. Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na WPROWADZENIE BUSINESS CAPITAL MEDIA, SL. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora danych, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinson. link
Włochy 2021-10-14 8.000 EUR Agencja Ochrony Zdrowia Sardynii Art. 5 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 8 000 euro na Sardyńską Agencję Ochrony Zdrowia (ATS). Pacjent omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną od innego pacjenta we własnej dokumentacji. link
Włochy 2021-09-29 2.000 EUR Lekarz Art. 5 (1) a) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na lekarza grzywnę w wysokości 2000 euro. Pacjent złożył skargę do organu ochrony danych, że lekarz bez zezwolenia ujawnił jego dane osobowe osobom trzecim. Lekarz zalecił osobie, której dane dotyczą, produkty medyczne w ramach jego leczenia. Kilka dni później osoba, której dane dotyczą, otrzymała telefon od konsultanta ds. marketingu odpowiedzialnego za polecane produkty. Osoba, której dane dotyczą wskazała, że ​​nigdy nie wyraziła zgody na ujawnienie swoich danych. Poręczenie stwierdza, że ​​przetwarzanie danych osobowych niezbędnych do leczenia nie wymaga żadnej konkretnej zgody. Tutaj jednak dane były przetwarzane w celu promocji produktów, w związku z czym wymagana byłaby wyraźna zgoda na podstawie art. 9 RODO. Lekarz w ten sposób przetwarzał dane niezgodnie z prawem. link
Wielka Brytania 2021-11-25 585.000 EUR Gabinet Art. 5 (1) f) RODO, Art. 32 RODO Brytyjski organ ochrony danych (ICO) nałożył na biuro rządu grzywnę w wysokości 585 000 EUR. 27 grudnia 2019 r. Urząd Rady Ministrów opublikował na GOV.UK akta zawierające nazwiska i nieocenzurowane adresy ponad 1000 osób, które otrzymały odznaczenia noworoczne. Dotyczyło to osób z różnych zawodów w Wielkiej Brytanii, w tym osób o wysokim profilu publicznym. Po otrzymaniu informacji o naruszeniu danych, Kancelaria Rady Ministrów usunęła link do pliku. Jednak plik nadal znajdował się w pamięci podręcznej i był dostępny online dla osób, które miały dokładny adres strony internetowej. Ujawnione dane osobowe były dostępne online przez dwie godziny i 21 minut i były przeglądane 3872 razy. Do naruszenia doszło z powodu błędu w konfiguracji nowego systemu informatycznego Kancelarii. ICO stwierdziła, że ​​Kancelaria Rady Ministrów nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiadającego ryzyku dla osób, których dane dotyczą. link
Włochy 2021-10-28 2.000 EUR Anfiteatro Flavio s.r.l. Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 euro na Anfiteatro Flavio s.r.l. Podczas kontroli administracyjnej hotelu zarządzanego przez Anfiteatro Flavio policja stwierdziła, że ​​w sklepie zainstalowano system monitoringu wideo z trzema kamerami. Stwierdził jednak, że administrator nie dostarczył wystarczających informacji na temat obecności telewizji przemysłowej. Organ ochrony danych uznał to za naruszenie art. 13 RODO. link
Włochy 2021-10-28 2.000 EUR OTTO s.r.l. Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 euro na OTTO s.r.l. Podczas kontroli administracyjnej sklepu zarządzanego przez OTTO policja stwierdziła, że ​​w sklepie zainstalowano system monitoringu wideo z trzema kamerami. Stwierdził jednak, że administrator nie dostarczył wystarczających informacji na temat obecności telewizji przemysłowej. Organ ochrony danych uznał to za naruszenie art. 13 RODO. link
Litwa 2021-11-29 110.000 EUR UAB Prime Leasing Art. 32 (1) b), d) RODO Litewski organ ochrony danych nałożył grzywnę na UAB Prime Leasing, operatora platformy krótkoterminowego wynajmu samochodów CityBee, w wysokości 110 000 EUR. Organ ochrony danych przeprowadził śledztwo z własnej inicjatywy po tym, jak w lutym 2021 r. upubliczniono informację o możliwym naruszeniu ochrony danych osobowych (art. 33 RODO) klientów firmy. Według firmy o naruszeniu bezpieczeństwa dowiedzieli się od innego dostawcy usług cyberbezpieczeństwa, który poinformował ich, że dane klientów 110 302 użytkowników CityBee zostały opublikowane na stronie forum hakerskiego RaidForums.com. Obejmowały one takie dane, jak nazwiska, adresy, numery telefonów, adresy e-mail, osobiste numery identyfikacyjne, numery prawa jazdy, rodzaj karty płatniczej i cztery ostatnie cyfry numeru karty osób, których dane dotyczą. Dochodzenie organu ochrony danych ujawniło, że opublikowane dane pochodziły z niezabezpieczonej kopii zapasowej bazy danych. Organ ochrony danych stwierdził, że naruszenie danych nastąpiło z powodu niewypełnienia przez spółkę obowiązku wdrożenia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. Spółka nie powołała na przykład osoby o odpowiednich kompetencjach odpowiedzialnej za bezpieczeństwo i zarządzanie ryzykiem. Nie udało się również zapewnić, aby dostęp do plików bazy danych był rejestrowany i oceniany. Dodatkowo firma przechowywała bazę danych w postaci niezaszyfrowanej, aby osoba posiadająca wiedzę techniczną miała pełny dostęp do danych w pliku po jego pobraniu. Kody osobiste w bazie danych były ponadto przechowywane bez ochrony, a hasła w bazie danych były szyfrowane tylko za pomocą algorytmu szyfrowania, który uznano za niepewny. link
Hiszpania 2021-11-30 5.000 EUR ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE Art. 17 (1) RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE w wysokości 5 000 EUR. Osoba, której dane dotyczą, wskazała, że ​​sprzeciwiła się dalszej subskrypcji newslettera i zażądała od administratora usunięcia wszystkich swoich danych. Jednak nadal otrzymywał reklamy od administratora danych. link
Hiszpania 2021-11-30 20.000 EUR DAVISER SERVICIOS, S.L. Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę DAVISER SERVICIOS, SL grzywnę w wysokości 20 000 EUR. Firma przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, chociaż można było zastosować mniej inwazyjne środki (takie jak karty-klucze). wykorzystywane do ochrony prywatności osób, których dane dotyczą. AEPD stwierdził, że administrator naruszył zasadę minimalizacji danych. link
Hiszpania 2021-11-30 5.000 EUR ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE Art. 17 (1) RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE w wysokości 5 000 EUR. Osoba, której dane dotyczą, wskazała, że ​​sprzeciwiła się dalszej subskrypcji newslettera i zażądała od administratora usunięcia wszystkich swoich danych. Jednak nadal otrzymywał reklamy od administratora danych. link
Hiszpania 2021-11-30 1.500 EUR Neighborhood community Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na społeczność sąsiedzką. Ukarany podmiot zainstalował kamery wideo na swojej prywatnej posesji w taki sposób, aby mógł rejestrować obrazy przestrzeni publicznej i prywatnej posesji sąsiada. AEPD uznała to za naruszenie zasady minimalizacji danych. link
Hiszpania 2021-11-29 1.000 EUR Właściciel restauracji Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela restauracji grzywnę w wysokości 1000 EUR za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w lokalu. link
Hiszpania 2021-11-29 4.000 EUR TIGERS MARKET, S.L. Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na TIGERS MARKET, SL. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora danych, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinsona. link
Luksemburg 2021-10-27 15.400 EUR Nieznany Art. 38 (1), (3) RODO, Art. 39 (1) a), b) RODO Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 15 400 euro. Zdaniem DPA, administrator nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Ponadto, wbrew wymogom RODO, inspektor ochrony danych nie raportował bezpośrednio do najwyższego szczebla kierowniczego; zamiast tego istniały dwa poziomy hierarchii pomiędzy nimi. Ponadto administrator nie posiadał planu kontroli ochrony danych, który miałby wykazać, że inspektor ochrony danych wykonywał swoje obowiązki w sposób prawidłowy. link
Grecja 2021-10-14 20.000 EUR ΚΑΠΑ ΛΑΜΔΑ ΩΜΕΓΑ ΔΙΑΦΗΜΙΣΤΙΚΗ ΕΜΠΟΡΙΚΗ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ Art. 6 RODO, Art. 12 (2) RODO, Art. 21 RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 20 000 EUR. Firma w kilku przypadkach przeprowadziła rozmowy marketingowe bez zgody osób, których dane dotyczą. Pomimo kilku odwołań przez osoby, których dane dotyczą, nadal otrzymywali niechciane reklamy. link
Hiszpania 2021-11-24 9.000 EUR UNIÓN FINANCIERA ASTURIANA S.A. E.F.C. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na UNIÓN FINANCIERA ASTURIANA S.A. E.F.C. Administrator przeprowadził kontrolę zdolności kredytowej osoby, której dane dotyczą, bez żadnej podstawy umownej. Pierwotna grzywna w wysokości 15 000 euro została obniżona do 9 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Islandia 2021-11-23 27.200 EUR YAY ehf. Art. 5 RODO, Art. 6 RODO, Art. 28 RODO, Art. 32 RODO Islandzki Urząd Ochrony Danych nałożył grzywnę w wysokości 51 000 euro na Ministerstwo Przemysłu i Innowacji oraz grzywnę w wysokości 27 200 euro na YAY ehf. Kara jest związana z kampanią ministerstwa mającą na celu zachęcenie Islandczyków do podróży krajowych latem 2020 roku. Obejmowała ona cyfrowy bon upominkowy, który można było otrzymać za pośrednictwem aplikacji firmy YAY ehf. Organ ochrony danych otrzymał szereg skarg dotyczących faktu, że wykorzystanie upominku podróżnego wymagało obszernych danych osobowych i dostępu do telefonów użytkowników. W rezultacie DPA wszczął śledztwo przeciwko ministerstwu i firmie. Organ ochrony danych uznał, że ministerstwo naruszyło zasadę legalności i przejrzystości. Osoby biorące udział w promocji musiały jedynie wyrazić zgodę na Ogólne warunki korzystania z aplikacji YAY, aby wziąć udział w promocji kuponowej. Organ ochrony danych stwierdził jednak, że czyniąc to, osoby, których dane dotyczą, nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych w ramach promocji. Organ ochrony danych stwierdził również, że przekazane informacje o faktycznym przetwarzaniu danych osobowych były niewystarczające. Co więcej, ani ministerstwo, ani YAY ehf. wdrożył odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych. Również ze względu na błąd konfiguracyjny po stronie YAY przetworzono więcej danych niż to konieczne, dlatego też DPA stwierdził naruszenie zasady minimalizacji danych. link
Islandia 2021-11-23 51.000 EUR Icelandic Ministry of Industry and Innovation Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 25 RODO, Art. 28 RODO, Art. 32 RODO Islandzki Urząd Ochrony Danych nałożył grzywnę w wysokości 51 000 euro na Ministerstwo Przemysłu i Innowacji oraz grzywnę w wysokości 27 200 euro na YAY ehf. Kara jest związana z kampanią ministerstwa mającą na celu zachęcenie Islandczyków do podróży krajowych latem 2020 roku. Obejmowała ona cyfrowy bon upominkowy, który można było otrzymać za pośrednictwem aplikacji firmy YAY ehf. Organ ochrony danych otrzymał szereg skarg dotyczących faktu, że wykorzystanie upominku podróżnego wymagało obszernych danych osobowych i dostępu do telefonów użytkowników. W rezultacie DPA wszczął śledztwo przeciwko ministerstwu i firmie. Organ ochrony danych uznał, że ministerstwo naruszyło zasadę legalności i przejrzystości. Osoby biorące udział w promocji musiały jedynie wyrazić zgodę na Ogólne warunki korzystania z aplikacji YAY, aby wziąć udział w promocji kuponowej. Organ ochrony danych stwierdził jednak, że czyniąc to, osoby, których dane dotyczą, nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych w ramach promocji. Organ ochrony danych stwierdził również, że przekazane informacje o faktycznym przetwarzaniu danych osobowych były niewystarczające. Co więcej, ani ministerstwo, ani YAY ehf. wdrożył odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych. Również ze względu na błąd konfiguracyjny po stronie YAY przetworzono więcej danych niż to konieczne, dlatego też DPA stwierdził naruszenie zasady minimalizacji danych. link
Rumunia 2021-11-26 2.000 EUR Valoris Center S.R.L. Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (4) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 2 000 EUR na Valoris Center S.R.L. Administrator poinformował organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Pracownik call center administratora przypadkowo wysłał klientowi plik Excel zawierający dane od innych klientów administratora. W trakcie dochodzenia ustalono, że naruszenie to spowodowało nieuprawnione ujawnienie lub dostęp do danych osobowych, takich jak adres e-mail, nazwa użytkownika, identyfikator użytkownika, numer telefonu, nazwa klienta, kod klienta, PIN klienta, łącznie 11169 osób fizycznych dotkniętych zdarzeniem. Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. link
Hiszpania 2021-11-23 40.000 EUR Vodafone España, SAU Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España S.A.U. 40 000 euro. Osoba fizyczna złożyła skargę przeciwko Vodafone do organu ochrony danych, ponieważ jej linia telefoniczna została przeniesiona do strony trzeciej bez jej zgody i została obciążona kwotami z linii telefonicznej strony trzeciej. Powodem tego był błąd techniczny w systemach Vodafone. link
Hiszpania 2021-11-23 3.000 EUR FUENSANTA S.L. Art. 58 (1) RODO Administrator nie dostarczył informacji wymaganych przez hiszpański organ ochrony danych (AEPD) do celów dochodzeniowych. link
Hiszpania 2021-11-22 2.000 EUR ANIVERSALIA NETWORKS, S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną ANIVERSALIA NETWORKS, S.L. 2 000 EUR z uwagi na fakt, że polityka prywatności na jego stronie internetowej nie spełniała wymogów art. 13 RODO link
Hiszpania 2021-11-22 3.000 EUR Nieznany Art. 13 GRODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 3 000 euro. Firma poprosiła klientów o różne dane osobowe w celu umówienia się na spotkanie. Organ ochrony danych uznał, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. link
Francja 2021-11-04 400.000 EUR Régie autonome des transports parisiens Art. 5 (1) c) RODO, Art. 5 (1) e) RODO, Art. 5 (2) RODO, Art. 32 RODO Francuski organ ochrony danych (CNIL) nałożył na RATP (operatora systemu transportu publicznego w Paryżu) grzywnę w wysokości 400 tys. euro. W maju 2020 r. związek zawodowy złożył skargę do CNIL zarzucając, że liczba dni strajkowych wykorzystanych przez pracowników została uwzględniona w aktach służących do przygotowania decyzji o awansie. CNIL przeprowadził następnie badania w kilku centrach autobusowych RATP. Doprowadziło to do potwierdzenia tej praktyki w trzech centrach autobusowych RATP. CNIL wskazał, że akta oceny wyników i możliwości awansu powinny zawierać wyłącznie dane niezbędne do oceny pracowników. W szczególności wystarczyło wskazać całkowitą liczbę dni nieobecności bez konieczności wchodzenia w szczegóły i rozróżniania dni związanych z ćwiczeniem prawa do strajku. Stwierdził, że wykorzystanie danych dotyczących liczby dni strajku pracowników nie było konieczne do tych celów, a RATP naruszyło w ten sposób zasadę minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził, że RATP nadmiernie zatrzymał wiele danych swoich pracowników. Rzeczywiście, RATP przechowywał akta dotyczące oceny pracowników przez ponad trzy lata po powołaniu komisji ds. awansu, chociaż ich przechowywanie było wymagane tylko przez 18 miesięcy po sprawowaniu funkcji przez te komisje. Ponadto CNIL stwierdził, że RATP nie rozróżnia odpowiednio poziomów uprawnień personelu, umożliwiając dostęp do niektórych danych większej liczbie pracowników niż to konieczne. Z tego powodu CNIL stwierdził, że RATP nie dopełniło swojego obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka. link
Cypr 2021-11-12 925.000 EUR WS WiSpear Systems Ltd Art. 5 (1) a) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 925.000 EUR na WS WiSpear Systems Ltd. W ramach testów i prezentacji technologii firma zebrała różne dane od osób fizycznych (adresy Media Access Control i dane dotyczące międzynarodowej tożsamości abonenta mobilnego) bez ich wiedzy. W tym kontekście organ ochrony danych stwierdził naruszenie zasady legalności, obiektywizmu i przejrzystości. link
Hiszpania 2021-11-15 40.000 EUR Vodafone España, SAU Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba fizyczna złożyła skargę do organu ochrony danych. Osoba, której dane dotyczą, twierdzi, że we wrześniu 2020 r. otrzymała wiadomości tekstowe od Vodafone informujące go, że ma długi z tytułu usług, które zamówił w Vodafone. Adres rozliczeniowy podany w wiadomościach tekstowych odpowiadał adresowi starego domu, w którym osoba, której dane dotyczą, mieszkała w przeszłości ze swoim byłym partnerem. Vodafone stwierdził, że błąd systemu doprowadził do tego incydentu. Spowodowało to, że osoba, której dane dotyczą, pojawiła się jako posiadacz konta klienta swojego byłego partnera. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2021-11-22 1.000 EUR Społeczność sąsiedztwa Art. 13 RODO Hiszpański organ ochrony danych nałożył na gminę sąsiedzką grzywnę w wysokości 1000 euro. Powodem tego było to, że znak informacyjny o systemie nadzoru wideo nie zawierał wystarczających informacji zgodnie z wymogami art. 13 RODO. Znak nie zawierał ani odniesienia do administratora danych, ani adresu kontaktowego w przypadku chęci skorzystania z praw osób, których dane dotyczą. link
Bułgaria 2021-10-26 380 EUR Bank Art. 5 (1) b) RODO Bułgarski organ ochrony danych nałożył na bank grzywnę w wysokości 380 EUR za niezgodne z prawem przekazywanie danych osobowych stronom trzecim.
Hiszpania 2021-11-15 30.000 EUR Vodafone España, SAU Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Osoba, której dane dotyczą, oświadcza, że ​​otrzymała faktury i obciążenia na swoim koncie bankowym z tytułu płatności za usługi Vodafone, których sam nie zarezerwował. Osoba, której dane dotyczą, stwierdziła również, że została poproszona o zapłatę za te usługi przez firmę windykacyjną I.S.G.F. Informes Comerciales, S.L. Jak się okazało, oszuści wykorzystali dane osobowe osoby, której dane dotyczą, do zawarcia umowy o świadczenie usług. Vodafone następnie anulował umowę na zarezerwowane usługi. Jednak z powodu błędu systemowego zaległe faktury nie zostały anulowane, dlatego zostały przekazane do firmy windykacyjnej. AEPD ustaliło, że transmisja ta była niezgodna z prawem ze względu na brak ważnej umowy. Pierwotna kara w wysokości 50 000 euro została obniżona do 30 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Hiszpania 2021-11-15 1.000 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 euro na osobę prywatną za nieautoryzowane zamontowanie kamery do monitoringu wideo w jej samochodzie. Samochód był zaparkowany na publicznej ulicy, dlatego kamera rejestrowała również przestrzeń publiczną. AEPD stwierdziło, że nadzór wideo w przestrzeni publicznej stanowi naruszenie zasady minimalizacji danych. link
Hiszpania 2021-11-15 1.000 EUR Supermarket Art. 13 RODO Korzystanie z kamery CCTV bez odpowiedniej informacji. link
Holandia 2021-11-12 400.000 EUR Transavia Art. 32 (1), (2) RODO Holenderski organ ochrony danych nałożył grzywnę na linie lotnicze Transavia w wysokości 400 000 EUR. W 2019 roku linia lotnicza doznała naruszenia danych, w którym haker uzyskał dostęp do systemów Transavii za pośrednictwem dwóch kont posiadanych przez dział IT firmy. Mogło to potencjalnie umożliwić hakerowi dostęp do danych, takich jak imiona i nazwiska, daty urodzenia, płeć, adresy e-mail, numery telefonów, informacje o lotach i numery rezerwacji 25 milionów pasażerów. Okazało się, że haker faktycznie pobrał dane osobowe 83 000 osób. W 367 przypadkach dane zawierały informacje medyczne osób, które z powodu niewidomych lub głuchoniemych zażądały np. przewozu wózka inwalidzkiego lub usług dodatkowych. Organ ochrony danych zauważył, że brak środków bezpieczeństwa umożliwił hakerowi dostęp do systemów. Dzięki temu możliwy był dostęp do systemów linii lotniczej po wpisaniu hasła. Systemy nie zawierały uwierzytelniania wieloskładnikowego. Co więcej, prawa dostępu do kont nie ograniczały się do niezbędnych systemów, umożliwiając hakerowi wykorzystanie ich w celu uzyskania dostępu do wielu systemów Transavii. Organ ochrony danych stwierdził, że Transavia naruszyła swój obowiązek wdrożenia środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. link
Polska 2021-11-14 78.000 EUR Bank Millennium S.A Art. 33 (1) RODO, Art. 34 (1) RODO Polski organ ochrony danych (UODO) nałożył na Bank Millennium S.A. karę w wysokości 78 000 euro. UODO dowiedział się o naruszeniu ochrony danych w wyniku skargi na bank. Okazało się, że korespondencja wysyłana przez bank za pośrednictwem firmy kurierskiej, zawierająca dane osobowe takie jak imię, nazwisko, PESEL, adres zamieszkania, numery kont i numery identyfikacyjne klientów, została zagubiona. W tym zakresie UODO uznał, że bank nie zgłosił incydentu do organu ochrony danych i nie przekazał stosownego powiadomienia osobom, których dane dotyczą. link
Hiszpania 2021-11-12 3.000 EUR AD735 DATA MEDIA ADVERTISING S.L. Art. 58 (1) RODO Niedostarczenie żądanych informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 58 RODO. link
Hiszpania 2021-11-12 1.500 EUR Spółka Art. 58 (1) RODO Korzystanie z kamery CCTV bez odpowiedniej informacji. link
Rumunia 2021-11-14 2.900 EUR Vodafone România SA Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 3 (1) Law No. 506/2004, Art. 3 (3) a), b) Law No. 506/2004 Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 2900 EUR na VODAFONE România SA. Firma zgłosiła naruszenie danych do organu ochrony danych zgodnie z art. 33 RODO. W okresie od listopada 2020 r. do czerwca 2021 r. miał miejsce nieuprawniony dostęp do danych osobowych siedemdziesięciu osób, których dane dotyczą (wysyłanie umów o świadczenie usług na błędne adresy e-mail, nieuprawniony dostęp pracowników administratora do danych osobowych klientów Vodafone bez ich żądania). Organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. link
Grecja 2021-10-04 5.000 EUR "PREMIUMMEDIA ΠΑΡΑΓΩΓΗ ΟΠΤΙΚΟ-ΑΚΟΥΣΤΙΚΩΝ ΕΡΓΩΝ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΙΑ " Art. 21 (3) RODO, Art. 25 RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 5 000 EUR na spółkę PREMIUMMEDIA ΠΑΡΑΓΩΓΗ ΟΠΤΙΚΟ-ΑΚΟΥΣΤΙΚΩΝ ΕΡΓΩΝ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΙΑ. Jedna osoba próbowała wypisać się z listy mailingowej biuletynu firmy, ale tego nie zrobiła. Niewypisanie się z list wynikało z wewnętrznego błędu technicznego firmy. link
Luksemburg 2021-10-13 18.000 EUR Nieznany Art. 37 (7) RODO, Art. 38 (1), (2) RODO, Art. 39 (1) b) RODO Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 13 200 euro. Zdaniem organu ochrony danych administrator nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Administrator nie posiadał również planu kontroli ochrony danych, który miałby wykazać, że inspektor ochrony danych odpowiednio wykonywał swoje zadania. Ponadto administrator nie zapewnił inspektorowi ochrony danych niezbędnych środków do wykonywania jego obowiązków. Organ ochrony danych zauważył również, że strona internetowa administratora nie zawiera sekcji poświęconej ochronie danych oraz że informacja o ochronie danych jest dostępna tylko w języku angielskim, a nie w jednym z języków urzędowych Luksemburga. link
Luksemburg 2021-10-13 13.200 EUR Nieznany Art. 38 (1) RODO, Art. 39 (1) b) RODO Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 13 200 euro. Zdaniem organu ochrony danych administrator po pierwsze nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie posiadał planu kontroli ochrony danych, aby wykazać, że inspektor ochrony danych odpowiednio wykonywał swoje zadania. link
Luksemburg 2021-10-06 5.300 EUR Nieznany Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 5300 euro. Firma zainstalowała na swoim terenie 75 kamer monitorujących, a także urządzenia śledzące w niektórych pojazdach, z których pracownicy podróżują do klientów. Kilka z tych kamer objęło m.in. fragmenty ulicy publicznej i prywatną sąsiednią posesję. Podczas dochodzenia organ ochrony danych ustalił również, że kamery obejmowały kafeterię pracowniczą, umożliwiając monitorowanie pracowników poza godzinami pracy. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Stwierdził również, że administrator nie wywiązał się w wystarczającym stopniu ze swoich obowiązków informacyjnych wynikających z art. 13 RODO. link
Irlandia 2021-08-20 1.500 EUR MOVE Ireland Art. 5 (1) f) RODO, Art. 32 (1) RODO Irlandzki organ ochrony danych (DPC) nałożył grzywnę na organizację MOVE (Men Overcoming Violence) w wysokości 1500 EUR. MOVE to organizacja charytatywna działająca w obszarze przemocy domowej. Organizacja ma na celu wspieranie bezpieczeństwa i dobrego samopoczucia kobiet i ich dzieci, które doświadczyły przemocy w związkach. W tym celu uczestnicy (mężczyźni) przychodzą na cotygodniowe sesje, aby zmienić swoje zachowanie. W dniu 3 lutego 2021 r. organizacja zgłosiła naruszenie danych zgodnie z art. 33 RODO. Organizacja stwierdziła, że ​​zgubiono osiemnaście kart SD, które mogły zawierać nagrania sesji grupowych programu MOVE, w których uczestnicy omawiają swoje zachowanie i postawy dotyczące przemocy w rodzinie z liderem grupy. Niektórych uczestników można było zobaczyć i usłyszeć na nagraniach. Ponadto nagrania zawierały materiał filmowy uczestników omawiających swoje zachowania i uczucia dotyczące obecnych lub byłych partnerów, innych członków rodziny i przyjaciół, którzy mogli zostać wymienieni. Około 80-120 uczestników mogło zostać dotkniętych naruszeniem danych, a także co najmniej jeden lider grupy na nagraną sesję. DPC stwierdził, że MOVE naruszyło swoje zobowiązanie wynikające z art. 32 ust. 1 RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa adekwatny do ryzyka, jakie stwarza przetwarzanie danych osobowych poprzez rejestrację sesji grupowych. link
Włochy 2021-09-16 5.000 EUR Comune di Montalbano Jonico Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 9 (1), (2), (4) RODO, Art. 2-ter (1), (3) Codice della privacy, Art. 2-septies (8) Codice della privacy Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5 000 euro na gminę Montalbano Jonico. Osoba fizyczna złożyła skargę przeciwko gminie do organu ochrony danych. Skarżył się, że na stronie internetowej gminy był publicznie dostępny dokument, który zawierał dane osobowe jego i jego ojca. W sekcji „Dokumenty i dane” strony internetowej można było przeglądać akta gminy. W tym kontekście możliwe było uzyskanie dostępu do decyzji o ugodzie za pokonanie i usunięcie barier architektonicznych w ich domu poprzez wypełnienie odpowiedniego formularza wyszukiwania. Orzeczenie wyraźnie zawierało dane osobowe i informacje w tekście i temacie, takie jak imię i nazwisko skarżącego oraz jego ojca na utrzymaniu, z odniesieniem do jego sytuacji jako osoby niepełnosprawnej. W treści orzeczenia zawarto również datę urodzenia i miejsce zamieszkania skarżącego oraz informację o kwocie rozliczenia. Organ ochrony uznał publikację ze wskazaniem danych za naruszenie zasady minimalizacji danych. link
Rumunia 2021-11-01 5.000 EUR S.P.E.E.H. Hidroelectrica S.A. Art. 32 (1) b), (2) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 5 000 EUR na S.P.E.H. Hidroelectrica S.A. Administrator poinformował organ ochrony danych o kilku naruszeniach ochrony danych osobowych na podstawie art. 33 RODO. Naruszenie danych doprowadziło do bezprawnego dostępu do danych 325 osób lub przekazania ich niewłaściwym odbiorcom. Organ ochrony danych uznał to za naruszenie przez administratora obowiązku wynikającego z art. 32 ust. 1 b), ust. 2 RODO w celu wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka, jakie stanowi przetwarzanie. Ponadto organ ochrony danych stwierdził, że administrator przetwarzał dane osobowe trzech klientów po tym, jak skorzystali oni z prawa do usunięcia swoich danych i cofnęli zgodę na przetwarzanie. Przetwarzanie odbywało się zatem bez ważnej podstawy prawnej. Organ ochrony danych nałożył grzywnę w wysokości 5 000 euro za naruszenie art. 32 ust. 1 lit. b), ust. 2 RODO. Za naruszenie art. 5 ust. 1 lit. a RODO, art. 6 ust. 1 lit. a RODO, organ ochrony danych wydał ponadto ostrzeżenie. link
Rumunia 2021-11-01 1.000 EUR IKEA ROMÂNIA SA Art. 32 (1) b), (2) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na IKEA ROMÂNIA SA grzywnę w wysokości 1000 euro. Administrator wysłał do organu ochrony danych zawiadomienie o naruszeniu ochrony danych osobowych na podstawie art. 33 RODO. W związku z tym administrator zorganizował konkurs rysunkowy, w którym mogły wziąć udział dzieci członków IKEA Family. Uczestnicy wrzucili własne rysunki na platformę internetową wraz z formularzami zgłoszeniowymi zawierającymi dane osobowe ich i swoich rodziców, w tym ich zgodę. W celu oddania głosu na najlepszy rysunek, rysunki dzieci zostały zamieszczone na platformie internetowej i przypadkowo wraz z nimi dane osobowe zawarte w formularzach uczestnictwa. W czasie śledztwa ustalono, że incydent związany z bezpieczeństwem spowodował nieuprawnione ujawnienie danych osobowych członków IKEA Family (nazwisko, imię i wiek nieletnich, a także nazwisko, imię, miasto, kraj, adres e-mail , numer członkowski IKEA Family i podpis rodziców) na platformie internetowej dostępnej tylko dla członków IKEA Family w Rumunii. Incydent objął 114 osób, z których połowa to nieletni. Organ ochrony danych stwierdził, że administrator w ten sposób naruszył obowiązek wynikający z art. 32 ust. 1 b), ust. 2 RODO w celu wdrożenia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. link
Hiszpania 2021-10-26 40.000 EUR VODAFONE SERVICIOS, S.L.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE SERVICIOS, S.L.U. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Osoba, której dane dotyczą, oświadcza, że ​​otrzymała faktury i obciążenia na swoim koncie bankowym z tytułu płatności za usługi Vodafone, których sama nie zarezerwowała. Osoba, której dane dotyczą, stwierdziła również, że odbiera telefony od firmy windykacyjnej Bureau Veritas z prośbą o zapłatę za te usługi. Jak się okazało, oszuści wykorzystali dane osobowe osoby, której dane dotyczą, do zawarcia umowy o świadczenie usług. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez jakiejkolwiek weryfikacji, czy umowa była zgodna z prawem i faktycznie została zawarta przez osobę, której dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro ze względu na dobrowolną wpłatę. link
Hiszpania 2021-10-26 40.000 EUR VODAFONE SERVICIOS, S.L.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE SERVICIOS, S.L.U. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi. Osoba, której dane dotyczą, jest klientem administratora. Kiedy sprawdził swoje rachunki na oficjalnej stronie internetowej „MY VODAFONE” w grudniu zeszłego roku, odkrył, że ma cztery zaległe rachunki, ale nie mógł uzyskać do nich dostępu. Otrzymał również szereg próśb o ich zapłatę. Został poinformowany, że istnieje równoległe konto w Vodafone ze szczegółami, które częściowo odpowiadały jego. Jak się okazało, oszuści zawarli umowę na telefon komórkowy, wykorzystując dane osobowe osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez jakiejkolwiek weryfikacji, czy umowa była zgodna z prawem i faktycznie została zawarta przez osobę, której dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2021-10-26 16.000 EUR SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, S.L Art. 35 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, SL. Firma zainstalowała pięć terminali z systemem kontroli linii papilarnych do rejestrowania czasu pracy swoich pracowników. W ten sposób firma nie przeprowadziła oceny wpływu na ochronę danych. AEPD stwierdziło naruszenie art. 35 RODO z tego powodu. Pierwotna kara w wysokości 20 000 euro została obniżona do 16 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2021-10-26 64.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, złożyła skargę na administratora danych. Osoba, której dane dotyczą, stwierdziła, że ​​na jego nazwisko zarejestrowane były linie telefoniczne, za które również były zaległe płatności. Jednak osoba, której dane dotyczą, nigdy nie zawarła umowy ze spółką na żadną z tych linii. Przedmiotowe umowy zostały raczej zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Mimo to dane osobowe zostały wprowadzone do systemów informatycznych spółki bez weryfikacji, czy umowy są zgodne z prawem i faktycznie zawarte przez osobę, której dane dotyczą. Pierwotna kara w wysokości 80 000 euro została obniżona do 64 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2021-10-25 3.000 EUR MERCEDES GERENCIA, S.L. Art. 58 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na MERCEDES GERENCIA, SL. Administrator nie odpowiedział na wezwanie organu ochrony danych w terminie. link
Hiszpania 2021-10-21 3.000.000 EUR CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 000 EUR na CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. Osoba fizyczna złożyła skargę przeciwko administratorowi. Powodem było to, że Caixabank zażądał informacji na jego temat od firmy, chociaż ta ostatnia nie jest klientem Caixabank od 2014 r. i że został włączony do kampanii reklamowej, aby zaoferować mu kredyt z góry. Caixabank wykorzystał dane osób fizycznych do oceny ich zdolności kredytowej bez ich zgody. Służyło to do tworzenia profili finansowych osób, których dane dotyczą, oraz do reklamowania im na tej podstawie niektórych usług finansowych (np. kart kredytowych lub pożyczek). Czyniąc to, organ ochrony danych stwierdził, że administrator nie uzyskał skutecznej zgody od osób, których dane dotyczą. Prawdą jest, że osoby, których dane dotyczą, w pewnym momencie wyraziły zgodę na przetwarzanie ich danych przez całą Grupę CaixaBank. Administrator nie poinformował jednak odpowiednio osób, których dane dotyczą, o przetwarzaniu danych, w tym o profilowaniu. Na przykład administrator dostarczył osobom, których dane dotyczą, jedynie ogólne informacje o różnych operacjach przetwarzania profilowania, więc osoby, których dane dotyczą, nie mogły dokładnie wiedzieć, na czym polegało przetwarzanie, na które wyraziły zgodę. link
Wielka Brytania 2021-10-18 11.800 EUR HIV Scotland Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO Brytyjski organ ochrony danych (ICO) nałożył grzywnę w wysokości 11 800 euro na organizację non-profit HIV Scotland. Administrator wysłał e-mail do 105 osób, przy czym adresy e-mail na liście mailingowej były widoczne dla wszystkich odbiorców. W przypadku 65 adresów e-mail osoby można było zidentyfikować po imieniu. Na podstawie dostarczonych danych osobowych można było wyciągnąć wnioski na temat zakażenia HIV lub ryzyka osób fizycznych. Organ ochrony danych stwierdził, że organizacja nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do zagrożenia. Na przykład, organizacja przeprowadziła nieodpowiednie szkolenie pracowników i stosowała niewłaściwe metody wysyłania masowych wiadomości e-mail za pośrednictwem kopii ukrytej (bcc). link
Hiszpania 2021-10-19 2.000 EUR BEEPING FULFILMENT S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na BEEPING FULFILLMENT S.L. w wysokości 2000 euro. Administrator nie podał wymaganych informacji o celach i cechach przetwarzania danych w polityce prywatności prowadzonego przez siebie serwisu internetowego. Organ ochrony danych uznał to za naruszenie art. 13 RODO. link
Hiszpania 2021-10-19 40.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. 40 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych przeciwko Vodafone w związku z obciążeniem jej konta bankowego w maju 2020 r. za linię telefoniczną Vodafone, której właścicielem nie był on, ale jego były partner. Jak się okazało, były partner skarżącego zawarł w jego imieniu umowę z Vodafone. Stwierdziła, że ​​jest do tego upoważniona, ale nie przedstawiła na to żadnego dowodu. Organ ochrony danych stwierdził, że Vodafone bezprawnie przetworzył dane skarżącego. Rzeczywiście, zgodność z zasadą zgodności z prawem przetwarzania danych osób trzecich wymaga, aby administrator był w stanie udowodnić zgodność z prawem. link
Rumunia 2021-10-21 5.000 EUR Glove Technology SRL Art. 5 (1) a) RODO, Art. 6 (1) a) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Glove Technology SRL grzywnę w wysokości 5 000 euro. Ukarany podmiot zainstalował system monitoringu wideo, który audiowizualnie monitorował pracowników w ich miejscu pracy i nagrywał rozmowy między nimi do wykorzystania przeciwko nim. Organ ochrony danych uznał, że administrator naruszył art. 5 ust. 1 lit. a RODO oraz art. 6 ust. 1 RODO. link
Hiszpania 2021-10-19 2.000 EUR BEEPING FULFILMENT S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na BEEPING FULFILLMENT S.L. w wysokości 2000 euro. Administrator nie podał wymaganych informacji o celach i cechach przetwarzania danych w polityce prywatności prowadzonego przez siebie serwisu internetowego. Organ ochrony danych uznał to za naruszenie art. 13 RODO. link
Hiszpania 2021-10-19 40.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. 40 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych przeciwko Vodafone w związku z obciążeniem jej konta bankowego w maju 2020 r. za linię telefoniczną Vodafone, której właścicielem nie był on, ale jego były partner. Jak się okazało, były partner skarżącego zawarł w jego imieniu umowę z Vodafone. Stwierdziła, że ​​jest do tego upoważniona, ale nie przedstawiła na to żadnego dowodu. Organ ochrony danych stwierdził, że Vodafone bezprawnie przetworzył dane skarżącego. Rzeczywiście, zgodność z zasadą zgodności z prawem przetwarzania danych osób trzecich wymaga, aby administrator był w stanie udowodnić zgodność z prawem. link
Hiszpania 2021-10-19 70.000 EUR Vodafone España, S.A.U. Art. 21 RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 70 000 EUR na VODAFONE ESPAÑA, SAU. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z otrzymaniem promocyjnych wiadomości e-mail od Vodafone bez wyraźnej zgody na to i bez wcześniejszego stosunku umownego . Osoba, której dane dotyczą, sprzeciwiła się następnie otrzymywaniu w przyszłości wiadomości e-mail. Vodafone potwierdził sprzeciw. Niemniej kilka miesięcy później osoba, której dane dotyczą, otrzymała cztery e-maile reklamowe. Kara wynosi 50 000 euro za naruszenie art. 21 RODO i 20 000 EUR za naruszenie art. 21 LSSI. link
Wielka Brytania 2021-10-18 11.800 EUR HIV Scotland Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO Brytyjski organ ochrony danych (ICO) nałożył grzywnę w wysokości 11 800 euro na organizację non-profit HIV Scotland. Ukarany podmiot wysłał e-mail do 105 osób, a adresy e-mail na liście mailingowej były widoczne dla wszystkich odbiorców. W przypadku 65 adresów e-mail osoby można było zidentyfikować po imieniu. Na podstawie dostarczonych danych osobowych można było wyciągnąć wnioski na temat zakażenia HIV lub ryzyka osób fizycznych. Organ ochrony danych stwierdził, że organizacja nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do zagrożenia. Na przykład organizacja przeprowadziła nieodpowiednie szkolenie pracowników i stosowała niewłaściwe metody wysyłania masowych wiadomości e-mail za pomocą kopii ukrytej (bcc). link
Norwegia 2021-10-18 412.000 EUR Østre Toten municipality Art. 5 (1) f) RODO, Art. 32 RODO Norweski organ ochrony danych nałożył na gminę Østre Toten grzywnę w wysokości 412 000 EUR. W styczniu 2021 r. gmina przeżyła cyberatak, w wyniku którego dane gminy zostały zaszyfrowane, a kopie zapasowe zostały usunięte. Większa ilość danych została później opublikowana w dark webie. W wyniku ataku ucierpiało około 30 000 dokumentów. Dokumenty zawierały m.in. informacje o pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności związkowej, orientacji seksualnej, stanie zdrowia, a także dane bankowe mieszkańców i pracowników gminy. Dochodzenie organu ochrony danych ujawniło, że gmina miała fundamentalne niedociągnięcia w zakresie bezpieczeństwa danych osobowych i powiązanych kontroli wewnętrznych. Między innymi, podczas logowania do systemów gmina nie stosowała uwierzytelniania dwuskładnikowego i nie posiadała odpowiednich systemów kopii zapasowych. link
Hiszpania 2021-10-13 40.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U. Kobieta złożyła skargę przeciwko administratorowi w związku z tym, że administrator wysłał na jej adres e-mail rachunki telefoniczne należące do osoby trzeciej. Po zwróceniu na to uwagi nie otrzymała odpowiedzi. Następnie skontaktowała się w tej sprawie telefonicznie z administratorem. Jednak żaden z pracowników nie był w stanie jej pomóc w tej trosce. Organ ochrony danych stwierdził, że administrator naruszył zasadę integralności i poufności określoną w art. 5 ust. 1 lit. f RODO, a administrator nie wdrożył środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do zagrożenia osób, których dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro ze względu na dobrowolną wpłatę. link
Hiszpania 2021-10-11 10.000 EUR MAF.COM ESQUI CLUB Art. 7 RODO Hiszpański organ ochrony danych (AEPD) nałożył na MAF.COM ESQUI CLUB grzywnę w wysokości 10 000 euro. Matka niepełnoletniej dziewczynki, która uczęszczała na lekcje jazdy na nartach z ukaranym podmiotem złożyła skargę do organu ochrony danych na tego ostatniego. Administrator opublikował filmy z córką matki na swojej stronie internetowej i kanałach mediów społecznościowych bez jej zgody. Zdjęcia zostały rozpowszechnione dopiero za zgodą ojca, który zapisał dziewczynę na kurs narciarski. Rodzice dziewczynki rozwiedli się w czasie incydentu. Organ ochrony danych stwierdził, że administrator nie uzyskał zgody obojga rodziców i tym samym przetworzył obrazy bez ważnej podstawy prawnej. link
Hiszpania 2021-10-08 30.000 EUR ORANGE ESPAGNE, S.A.U. Art. 6 (1) a) RODO Hiszpański organ ochrony danych nałożył grzywnę na ORANGE ESPAGNE, SAU Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymała łącznie 30 telefonów od pracowników firmy Jazztel (spółka zależna Orange Espagne, SAU) oraz wiadomości tekstowe w okresie od 03.01.2001 /2021 i 03.03.2021 bez bycia klientem firmy. Następnie poprosiła o usunięcie jej numeru telefonu z bazy danych firmy. Mimo że administrator potwierdził usunięcie danych, nadal otrzymywała telefony i wiadomości tekstowe od administratora. Pierwotna kara w wysokości 50 000 euro została obniżona do 30 000 euro w związku z przyznaniem się do winy i dobrowolną zapłatą. link
Irlandia 2021-10-06 tylko zamiar wydania grzywny Facebook Ireland Limited Art. 5 (1) a) RODO, Art. 12 (1) RODO, Art. 13 (1) c) RODO Organizacja „None of your business” (NOYB) 13 października 2021 r. opublikowała projekt decyzji irlandzkiego organu ochrony danych (DPC), z którego wynika, że ​​proponuje nałożenie na Facebooka grzywny w wysokości od 28 mln do 36 mln euro. Projekt odnosi się przede wszystkim do faktu, że Facebook zamieścił w swoich regulaminach szczegóły dotyczące przetwarzania danych, powołując się tym samym na art. 6 ust. 1 lit. b) a nie za zgodą zgodnie z art. 6 ust. 1 lit. a RODO. Krytycy uważają to za lukę stosowaną przez Facebooka w celu obejścia zaostrzonych wymogów RODO dotyczących zgody zgodnie z art. 6 ust. 1 lit. a RODO. DPC podkreśla jednak, że RODO nie ustanawia hierarchii podstaw prawnych, które można wykorzystać do przetwarzania danych osobowych. Jednak DPC zauważył, że Facebook nie dostarczył jasnych informacji na temat swojej podstawy prawnej przetwarzania danych i podkreśla, że ​​informacje dostarczane przez Facebooka są nieciągłe i że użytkownicy są odsyłani do różnych dokumentów i tekstów polityki dotyczącej danych i warunków świadczenia usług. DPC kończy swój projekt, że Facebook naruszył w ten sposób art. 5 ust. 1 lit. a RODO, art. 12 ust. 1 RODO i art. 13 ust. 1 lit. c RODO. Projekt decyzji zostanie teraz przekazany innym europejskim organom ochrony danych, co umożliwi im zgłoszenie uwag do niego. link
Hiszpania 2021-10-05 4.000 EUR CLUB DEPORTIVO SANSUEÑA, S.L. Art. 5 (1) e) RODO, Art. 6 RODO, Art. 32 (1) b), d) RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną CLUB DEPORTIVO SANSUEÑA, S.L. 4000 EUR za dodanie numeru telefonu komórkowego osoby, której dane dotyczą, do grupy WhatsApp bez zgody osoby, której dane dotyczą. link
Hiszpania 2021-10-04 5.000 EUR CALDERERIA Y SOLDADURA DE ESTRUCTURAS METALICAS, S.L. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną CALDERERIA Y SOLDADURA DE ESTRUCTURAS METALICAS, S.L. 5000 EUR za niezgodne z prawem przetwarzanie danych osobowych. Wcześniej CYNGASA, S.L. ujawnił dane administratorowi bez zgody osoby, której dane dotyczą. Przedmiotowe dane obejmowały m.in. jego imię i nazwisko oraz numer PESEL. CYNGASA, S.L. również otrzymała grzywnę w odrębnym postępowaniu. link
Hiszpania 2021-10-04 1.000 EUR Właściciel sklepu Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 1000 euro. Ukarany podmiot zainstalował system monitoringu wizyjnego, jednak nie umieścił znaków informujących o korzystaniu z monitoringu wizyjnego. link
Hiszpania 2021-10-04 2.000 EUR Właścciciel sklepu Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 2000 euro. Ukarany podmiot zainstalował system monitoringu wideo, który obejmował między innymi publiczną ulicę. Tym samym organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych. link
Dania 2021-09-29 107.000 EUR Duńskie Towarzystwo Onkologiczne Art. 32 RODO Duński organ ochrony danych nałożył na Danish Cancer Society grzywnę w wysokości 107 000 EUR za nieprzestrzeganie wymogów RODO dotyczących odpowiednich środków bezpieczeństwa. Duńskie Towarzystwo Onkologiczne zgłosiło cztery naruszenia danych zgodnie z art. 33 RODO do DPA. Dwa z nich dotyczyły kradzieży komputerów, dwa ataki phishingowe – a wszystkie cztery były spowodowane niewdrożeniem przez Danish Cancer Foundation środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. Do podobnego naruszenia danych osobowych doszło już w sierpniu 2018 r., kiedy Fundacja padła ofiarą ataków typu phishing i spoofing hacking. W tym kontekście Duńskie Towarzystwo Onkologiczne stwierdziło, że powinno zwiększyć ochronę poprzez uwierzytelnianie wieloskładnikowe, jednak nie zostało to wdrożone. Dane co najmniej 1448 osób zostały naruszone, a w kilku przypadkach obejmowały wrażliwe dane osobowe dotyczące zdrowia, w tym historię medyczną. link
Hiszpania 2021-09-29 10.000 EUR ACONCAGUA JUEGOS S.A. Art. 37 RODO Hiszpański organ ochrony danych (AEPD) nałożył na ACONCAGUA JUEGOS S.A. grzywnę w wysokości 10 000 EUR. Administrator nie wyznaczył inspektora ochrony danych i tym samym naruszył art. 37 RODO. link
Hiszpania 2021-09-29 5.000 EUR CYNGASA, S.L. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na CYNGASA, SL. Osoba, której dane dotyczą, żądając raportu z pracy, odkryła, że ​​administrator ujawnił jej dane osobowe firmie zewnętrznej bez jej zgody. Dane dotyczyły m.in. imienia i nazwiska oraz numeru PESEL. link
Austria 2021-09-28 9.500.000 EUR Poczta austriacka Nieznany Austriacki organ ochrony danych nałożył na pocztę austriacką karę w wysokości 9,5 mln EUR w dniu 28 września 2021 r. Głównym zarzutem jest to, że oprócz możliwości kontaktu z Poczty Austriackiej za pośrednictwem poczty, internetowego formularza kontaktowego i obsługi klienta, kwestie ochrony danych zapytania powinny być również dozwolone za pośrednictwem poczty e-mail. Według gazety „Der Standard” poczta austriacka wprowadziła jedynie formularz kontaktowy dla zapytań o ochronę danych w celu zautomatyzowania procesu zapytań i uzyskania wszelkich informacji niezbędnych do przetwarzania zapytań. link
Hiszpania 2021-09-28 3.000 EUR Właściciel baru Art. 5 (1) b) RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela baru grzywnę w wysokości 3 000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Miał wypadek w barze, który został zarejestrowany przez kamery monitoringu. Ukarany podmiot twierdzi, że zainstalował kamery monitorujące dla celów bezpieczeństwa. W późniejszym czasie wideo zostało rozprowadzone za pośrednictwem WhatsApp i opublikowane w cyfrowej gazecie. Osoba, której dane dotyczą, twierdzi, że publikacja filmu wideo wpłynęła na jej reputację osobiście. Organ ochrony danych stwierdza, że ​​publikacja obrazów nie była związana z celem nadzoru wideo, a zatem administrator naruszył art. 5 ust. 1 lit. b RODO. link
Norwegia 2021-09-27 496.000 EUR Ferde AS Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 28 (3) RODO, Art. 32 (2) RODO, Art. 44 RODO Norweski organ ochrony danych nałożył grzywnę Ferde AS, norweską firmę pobierającą opłaty drogowe, w wysokości 496 000 EUR. Dzięki raportowi na temat państwowej firmy nadawczej NRK norweski organ ochrony danych dowiedział się, że Ferde AS przekazuje informacje o przejazdach w punktach poboru opłat do procesora danych w Chinach. Na tej podstawie organ ochrony danych wszczął dochodzenie, czy Ferde wdrożył procedury i środki w celu zapewnienia odpowiedniego bezpieczeństwa informacji przekazywanych do Chin. W ramach swojej działalności Ferde odpowiada za rejestrację przejazdów w punktach poboru opłat. Rejestracja odbywa się zwykle za pomocą chipa w samochodzie. Jeśli chip w samochodzie nie jest prawidłowo zarejestrowany lub samochód nie posiada chipa, wykonywane jest zdjęcie tablicy rejestracyjnej samochodu. Obrazy te są następnie przesyłane do automatycznego systemu optycznego rozpoznawania znaków w celu cyfrowego odczytu tablicy rejestracyjnej. W przypadkach, gdy jakość obrazu nie jest wystarczająco dobra do automatycznej interpretacji, obraz jest przesyłany do obróbki ręcznej. Ferde zleciło to zadanie firmie Unitel Bratseth Services (UBS), która również zatrudnia pracowników w Chinach. Po przeprowadzeniu dochodzenia organ ochrony danych stwierdził, że Ferde AS naruszył szereg podstawowych obowiązków RODO przez okres 1-2 lat. Po pierwsze, Ferde nie przeprowadził oceny ryzyka przed przetwarzaniem danych osobowych i przed użyciem ręcznego przetwarzania obrazu przez podmiot przetwarzający. Byłoby to jednak konieczne do oceny ryzyka związanego z transferem i ustalenia, czy mogą być wymagane dalsze środki bezpieczeństwa. Ponadto organ ochrony danych stwierdził, że Ferde nie zawarł odpowiedniej umowy o przetwarzaniu w odniesieniu do przetwarzania UBS. W rezultacie przekazanie przedmiotowych danych osobowych do Chin odbyło się bez ważnej podstawy prawnej. Ustalając wysokość grzywny, organ ochrony danych wziął pod uwagę czynnik obciążający, jakim było naruszenie dużej ilości danych osobowych. Z drugiej strony fakt, że nie można było udowodnić żadnej szkody materialnej lub niematerialnej dla zainteresowanych stron, miał skutek łagodzący. link
Hiszpania 2021-09-24 3.000 EUR Nieznany Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 3 000 euro. Firma poprosiła klientów o różne dane osobowe w celu umówienia się na spotkania. Organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. link
Niemcy 2021-09-24 900.000 EUR Vattenfall Europe Sales GmbH Art. 12 RODO, Art. 13 RODO Organ ochrony danych z Hamburga nałożył grzywnę w wysokości 900 000 EUR na Vattenfall Europe Sales GmbH. Kara dotyczy dopasowania danych, które administrator przeprowadził w okresie od sierpnia 2018 r. do grudnia 2019 r. w trakcie zapytań o umowy specjalne. Specjalne kontrakty służyły przyciągnięciu nowych klientów i towarzyszyły im wypłaty premii dla klientów. Administrator porównał dane osobowe potencjalnych klientów, którzy złożyli zapytanie o specjalną umowę, z umowami zawartymi przez dotychczasowych klientów. Jeżeli ujawniłoby to, że wnioskodawca podpisał już umowę z administratorem, a następnie przeszedł do innego dostawcy, a teraz chciał ponownie podpisać umowę, administrator mógł w razie potrzeby odrzucić wniosek o zawarcie specjalnej umowy. Miało to zapobiec „zakupom bonusowym”, które nie są lukratywne dla firm. Ukarany podmiot nie poinformował jednak odpowiednio klientów, że takie porównania zostaną dokonane. Organ ochrony danych uznał to za naruszenie obowiązków firmy w zakresie przejrzystości i informacji. Dotknęło to około 500 000 osób. link
Norwegia 2021-09-21 12.500 EUR Ultra-Technology AS Art. 6 (1) RODO Norweski Urząd Ochrony Danych nałożył na Ultra-Technology AS grzywnę w wysokości 12 500 EUR. Podłożem kary jest skarga osoby, której dane dotyczą, która została sprawdzona pod kątem wiarygodności kredytowej bez jakiejkolwiek relacji z klientem lub innego powiązania z Ultra-Technology AS. link
Norwegia 2021-09-20 75.600 EUR ST. OLAVS HOSPITAL HF Art. 32 RODO, § 22 pasientjournalloven, § 23 pasientjournalloven Norweski organ ochrony danych nałożył na szpital św. Olafa grzywnę w wysokości 75 600 euro. W szpitalu doszło do trzech wycieków danych zgodnie z art. 33 RODO. Pierwszy incydent miał miejsce między 13 stycznia 2011 r. a 27 stycznia 2020 r. na oddziale kardiologicznym szpitala po aktualizacji nowego rejestru zdrowia ukierunkowanego na leczenie dla laboratorium kardiologicznego. W związku z aktualizacją wykorzystano serwer testowy, na którym raporty z leczenia były tymczasowo buforowane, a następnie kopiowane do nowego systemu. Jednak raporty na serwerze testowym nie zostały usunięte. Ponadto wystąpił inny błąd, który umożliwił wszystkim uwierzytelnionym pracownikom dostęp do raportów. Dotyczyło to około 21 000 raportów. Drugie naruszenie miało miejsce w okresie od 17 maja 2015 r. do 28 stycznia 2020 r., kiedy to raporty z urządzeń medycznych (pulsoksymetrów do długotrwałego pomiaru saturacji i tętna) były przechowywane w obszarze akt dostępnym dla każdego pracownika posiadającego uwierzytelniony i aktywne konto. Trzecie naruszenie miało miejsce w okresie od 01.01.2018 do 09.12.2019. Hasła do różnych baz danych były przechowywane w postaci zwykłego tekstu w pliku na serwerze szpitala. Pracownicy posiadający aktywne konto w systemie szpitalnym mogli najpierw połączyć się z serwerem poprzez Pulpit zdalny, a następnie wyszukać plik z hasłem w bazie danych. Organ ochrony danych stwierdził, że szpital nie wprowadził skutecznych kontroli dostępu. link
Norwegia 2021-09-20 40.200 EUR Høylandet Municipality Art. 32 (1) b), (2) RODO Norweski organ ochrony danych nałożył na gminę Høylandet grzywnę w wysokości 40 200 euro. Ten ostatni zgłosił naruszenie ochrony danych organowi ochrony danych zgodnie z art. 33 RODO. Pracownica uzyskała dostęp do kilku plików graficznych (map bitowych), gdy musiała stworzyć nowe szablony listów i wstawić logo graficzne z pliku. Pliki obrazów, do których pracownik miał dostęp, zawierały poufne informacje o osobach, które nie miały związku z gminą Høylandet. Informacje zawierały m.in. dane zdrowotne. Organ ochrony danych stwierdził, że gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. Zamiast tego gmina stwierdziła, że ​​po prostu poprosiła pracowników korzystających z odpowiedniego programu komputerowego o unikanie otwierania plików map bitowych, które nie zostały utworzone przez gminę. Błąd został w międzyczasie naprawiony, a gmina wprowadziła nowy system kontroli wewnętrznej. link
Hiszpania 2021-09-20 18.000 EUR CEDICO, CENTRO DE DIAGNÓSTICO POR LA IMÁGEN, S.L. Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na CEDICO, CENTRO DE DIAGNÓSTICO POR LA IMÁGEN, S.L. Osoba, której dane dotyczą, złożyła skargę do AEPD. Poprosił o wykonanie rezonansu magnetycznego kolana z powodu wypadku przy pracy. Ponadto skontaktował się ze swoją firmą ubezpieczeniową w celu uzyskania zwolnienia lekarskiego. Firma ubezpieczeniowa skontaktowała się następnie z administratorem, który przekazał dokumentację medyczną osoby, której dane dotyczą. Czyniąc to, administrator dostarczył ubezpieczycielowi również raport z poprzedniego badania MRI kolana, które osoba, której dane dotyczą, przeszła w związku ze zdarzeniem poza miejscem pracy. W swojej ocenie ubezpieczyciel odniósł się zatem również do raportu z rezonansu magnetycznego poza godzinami pracy i przypisał temu zdarzeniu niezdolność do pracy osoby, której dane dotyczą. W konsekwencji osobie, której dane dotyczą, nie udzielono zwolnienia chorobowego. Organ ochrony danych uznał ujawnienie towarzystwa ubezpieczeniowego wcześniejszego raportu MRI za naruszenie zasady integralności i poufności. Pierwotna kara w wysokości 30 000 euro została obniżona do 18 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Dania 2021-09-17 67.200 EUR Syddanmark Region Art. 32 RODO Duński organ ochrony danych nałożył grzywnę w wysokości 67 200 euro na region Syddanmark. W dniu 9 marca 2020 r. organ ochrony danych otrzymał zawiadomienie z Regionu Syddanmark dotyczące naruszenia ochrony danych osobowych zgodnie z art. 33 RODO. Region Syddanmark twierdzi, że od maja 2011 r. na jego stronie internetowej dostępna była prezentacja PowerPoint, która została stworzona w Szpitalu Uniwersyteckim w Odense w celach szkoleniowych i zawierała wykresy z danymi osobowymi – w tym informacjami o stanie zdrowia i numerami dowodu osobistego – 3915 pacjentów. Region korzystał z narzędzia przesiewowego do okresowego sprawdzania nieumyślnych wpisów osobistych numerów identyfikacyjnych na swojej stronie internetowej. Jednak narzędzie przesiewowe nie było w stanie przeskanować podstawowych danych w prezentacjach programu PowerPoint. W tym kontekście organ ochrony danych stwierdził, że region nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka. Oceniając, czy należy nałożyć grzywnę, organ ochrony danych wziął pod uwagę obciążający fakt, że region Syddanmark przetwarza duże ilości danych osobowych, w tym danych dotyczących zdrowia – które mają charakter wrażliwy. link
Włochy 2021-09-16 3.296.326 EUR Sky Italia S.r.l. Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 12 (2) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. 29 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę na spółkę Sky Italia S.r.l. 3 296 326 EUR za nielegalny telemarketing. Decyzja organu ochrony danych była następstwem złożonego dochodzenia wszczętego po dziesiątkach zgłoszeń i skarg od osób, które twierdziły, że otrzymały niezamówione połączenia promocyjne i SMS-y promocyjne zarówno bezpośrednio od Sky Italia, jak i za pośrednictwem call center innych firm. W tym względzie organ ochrony danych stwierdził, że połączenia promocyjne zostały wykonane bez odpowiedniego poinformowania użytkowników (np. o pochodzeniu danych osobowych przesyłanych do Sky Italia). Dzięki temu osoby, których dane dotyczą, miałyby możliwość skontaktowania się z firmą, która zebrała dane i wniesienia sprzeciwu wobec przetwarzania. Dopiero po uzyskaniu zgody Sky mogło wówczas przystąpić do składania ofert handlowych. Do tych celów promocyjnych firma Sky wykorzystywała listy danych, które pozyskała od innych firm. Wbrew opinii Sky Italia zgoda na udostępnienie danych osobom trzecim udzielona przez osoby, których dane dotyczą, spółkom, od których Sky Italia nabyła wykazy, nie uprawniała Sky Italia do wykorzystywania danych do własnych celów promocyjnych. Ponadto Sky nie zweryfikowało listy osób, które sprzeciwiły się kontaktowi w celach reklamowych przed wykonaniem połączeń reklamowych. W rezultacie kilka osób, których dane dotyczą, otrzymało telefony reklamowe pomimo ich wyraźnego sprzeciwu. Ponadto organ ochrony danych stwierdził, że Sky nie wyznaczyła właściwie dostawców list jako podmiotów przetwarzających dane. Ustalając wysokość grzywny, organ ochrony danych wziął pod uwagę obciążająco fakt, że naruszenia dotyczyły zachowania „systemowego” zakorzenionego w działalności spółki, a także fakt, że Sky powinna była zdobyć wystarczające doświadczenie i kompetencje, aby podejmować fundamentalne decyzje zgodnie z przepisów o ochronie danych ze względu na bieżące kontakty z urzędem oraz wieloletnią obecność na rynku. link
Włochy 2021-09-16 200.000 EUR Uniwersytet Bacconi Art. 5 (1) a), c), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 RODO, Art. 25 RODO, Art. 35 RODO, Art. 44 RODO, Art. 46 RODO, Art. Art. 2-sexies Codice della Privacy Włoski organ ochrony danych (Garante) nałożył na Uniwersytet Bocconi grzywnę w wysokości 200 000 euro. Student złożył skargę do organu ochrony danych w sprawie możliwych naruszeń RODO związanych ze stosowaniem systemu monitoringu podczas egzaminów pisemnych. W kontekście sytuacji awaryjnej wywołanej pandemią Covid-19, uczelnia wyposażyła się w oprogramowanie do zdalnego monitorowania Respondus dostarczone przez amerykańską firmę Respondus Inc., aby zapewnić normalny przebieg egzaminów, ponieważ nie było możliwe egzaminy jak zwykle na żywo i osobiście. Oprogramowanie było w stanie monitorować zachowanie uczniów za pomocą nagrań wideo i migawek wykonywanych w losowych odstępach czasu. Ponadto egzamin był nagrywany audiowizualnie, a na początku egzaminu wykonywano zdjęcie każdego zdającego. Na koniec egzaminu system przetworzył wideo, wstawił sygnały ostrzegawcze o możliwych oznakach nieprawidłowego zachowania oraz m.in. nadał tzw. zostało popełnione podczas egzaminu. W swoim dochodzeniu organ ochrony danych stwierdził, że studenci nie byli odpowiednio informowani o przetwarzaniu ich danych osobowych związanych z korzystaniem z Respondusa. Na przykład nie poinformowano ich, że zostaną nagrane audiowizualnie, a obrazy zostaną następnie przetworzone. Ponadto studentom nie przekazano informacji dotyczących konkretnych okresów przechowywania danych osobowych. Nie otrzymali też wystarczających informacji o tym, że ich dane osobowe zostaną przekazane do Stanów Zjednoczonych; zamiast tego zostali poinformowani jedynie w sposób ogólny, że dane osobowe będą przetwarzane zarówno na terytorium Unii Europejskiej, jak i poza nim. Ponadto organ ochrony danych stwierdził, że niewielka ilość informacji, które otrzymali studenci, została przedstawiona w różnych dokumentach w sposób fragmentaryczny i niezorganizowany. Organ ochrony danych uznał to za naruszenie zasad legalności, uczciwości i przejrzystości. Organ ochrony danych stwierdził również, że uczelnia przetwarzała dane osobowe bez ważnej podstawy prawnej. Tym samym zgoda na przetwarzanie danych osobowych była warunkiem wstępnym udziału w egzaminach w pierwszej kolejności. Jako alternatywę dla egzaminów online zaproponowano opcję egzaminu osobistego. Jednak w świetle pandemii oznaczało to również zwiększone zagrożenie dla zdrowia. Studenci obawiali się również, że odmowa przystąpienia do egzaminów online wpłynie negatywnie na ich oceny. W konsekwencji organ ochrony danych stwierdził, że zgoda studentów nie może być uznana za dobrowolną. Ponadto organ ochrony danych stwierdził, że uniwersytet zachował dane przez 12 miesięcy, chociaż nie byłoby to konieczne w celu zapewnienia prawidłowego przeprowadzenia egzaminów. Ostatecznie organ ochrony danych stwierdził naruszenia związane z przekazywaniem danych do Respondus. Umowa o przetwarzaniu danych pomiędzy Uniwersytetem a Respondus została oparta na umowie o ochronie danych pomiędzy UE a USA, znanej jako Tarcza Prywatności, chociaż została unieważniona wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems II (TSUE). ). Z tego powodu organ ochrony danych uznał, że uczelnia przekazała dane osobowe do państwa trzeciego, mimo że przekazanie to nie było zgodne z warunkami określonymi w rozdziale V RODO. link
Włochy 2021-09-16 5.000 EUR Ciechi Ardizzone Gioeni di Catania Art. 5 (1) a), c) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 35 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5 000 euro na dom mieszkalny dla osób niewidomych w Ciechi Ardizzone Gioeni di Catania. Osoba odwiedzająca miejsce zamieszkania złożyła skargę do organu ochrony danych. Oparł to na zainstalowanym systemie nadzoru wideo w mieszkaniu. System monitoringu wideo zarejestrował m.in. korytarz łączący mieszkanie ze wspólnymi prysznicami. Co więcej, materiał filmowy był nie tylko nagrywany, ale również wyświetlany w czasie rzeczywistym na monitorach pracowników concierge, co stwarza ryzyko, że obrazy mogą zostać przypadkowo zauważone przez odwiedzających lub dostawców. W toku śledztwa administracja instytucji uzasadniała instalację systemu monitoringu wizyjnego koniecznością zapobiegania kradzieży i zapewnienia zdrowia mieszkańców poprzez zapobieganie nieuprawnionemu dostępowi w okresie pandemii. Organ ochrony danych stwierdził, że instytut naruszył tym samym zasady legalności, przejrzystości i minimalizacji danych. Fakt, że, jak twierdzi instytut, przejście gości do pryszniców było filmowane tylko sporadycznie i przez krótki czas, a jakość nagrań nie była „doskonale jasna”, nie rozwiązuje bezprawności nagrania. Organ ochrony danych zauważył również, że pewne środki ostrożności proceduralne - takie jak zaplanowanie okien czasowych, aby wyłączyć kamery, aby umożliwić gościom odwiedzanie pryszniców bez filmowania, lub tymczasowe zapewnienie bezpieczeństwa lokalizacji za pomocą alternatywnych środków, takich jak stosowanie zabezpieczeń personel – może umożliwić instytutowi realizację celu monitoringu wizyjnego w równie skuteczny sposób i uniknąć nieuzasadnionego ograniczania wolności osób, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że instytut nie wypełnił należycie swojego obowiązku informacyjnego. Instytut przekazał osobom, których dane dotyczą, szczegółowe informacje na temat systemu nadzoru wideo na tablicy ogłoszeń dopiero po rozpoczęciu dochodzenia. Jednak tego typu informacje nie są odpowiednie dla osób niedowidzących. Instytut powinien był zapewnić mieszkańcom nagraną wcześniej wiadomość dźwiękową, którą można by w razie potrzeby odtworzyć. link
Włochy 2021-09-16 5.000 EUR La Prima S.r.l. Art. 5 RODO, Art. 6 RODO, Art. 24 RODO, Art. 25 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5 000 euro na portal nieruchomości La Prima S.r.l. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do organu ochrony danych. Skarżyła się na otrzymanie przez pracownika La Prima wniosku o kontakt w serwisie Linkedin, którego celem było zaoferowanie usług związanych z nieruchomościami związanymi z konkretną nieruchomością należącą do osoby, której dane dotyczą. Administrator uzyskał informacje dotyczące własności nieruchomości przez osobę, której dane dotyczą, z ogólnodostępnego rejestru publicznego. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na taką prośbę o kontakt. Ukarany podmiot argumentował podczas dochodzenia organu ochrony danych, że zgodę na kontakt innych z nią można wywnioskować z faktu, że miała profil publiczny. Organ ochrony danych zauważył jednak, że wymiana informacji za pośrednictwem sieci społecznościowej powinna umożliwiać wyłącznie to, co określono w odpowiednich warunkach użytkowania. Organ ochrony danych wyjaśnił, że platforma ma umożliwiać wymianę informacji kontaktowych w celu składania ofert pracy. Natomiast nie jest zamierzone, aby użytkownicy wykorzystywali platformę do wysyłania wiadomości do innych użytkowników w celu sprzedaży usług. Ponadto nie ma znaczenia, czy profil użytkownika jest publiczny, czy nie. W konsekwencji organ ochrony danych stwierdził, że administrator przetwarzał dane niezgodnie z prawem. link
Hiszpania 2021-09-16 4.000 EUR Frigorifica Botana S.L. Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na Frigorifica Botana S.L.. Głównym przedmiotem działalności Frigorífica Botana jest zamrażanie, przechowywanie i przetwarzanie owoców morza. Na podstawie skargi skierowanej przeciwko administratorowi, AEOPD wszczęła przeciwko niemu dochodzenie. Ukarany podmiot zainstalował system nadzoru wideo (audio i wideo), który rejestrował między innymi części sali konferencyjnej. W tym kontekście organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, przetwarzając dane bez ważnego powodu i bez wcześniejszego informowania osób, których dane dotyczą, o nadzorze wideo. link
Dania 2021-09-16 10.000 EUR Favrskov municipality Art. 32 RODO Duński organ ochrony danych nałożył na gminę Favrskov grzywnę w wysokości 10 000 euro. W dniu 19 sierpnia 2020 r. organ ochrony danych otrzymał zawiadomienie z gminy Favrskov o naruszeniu ochrony danych osobowych na podstawie art. 33 RODO. W powiadomieniu stwierdzono, że podczas włamania na teren gminy skradziono laptop, który zawierał program, który zapewniał przegląd placówek opiekuńczych gminy, a tym samym informacje o nazwiskach i numerach identyfikacyjnych około 100 osób niepełnosprawnych fizycznie lub umysłowo. . Dysk twardy komputera, o którym mowa, nie był szyfrowany, a program, który zawierał poufne i wrażliwe dane osobowe, nie był wyposażony w zabezpieczenia. Rozpatrując sprawę, inspektor ochrony danych stwierdził, że gmina Favrskov przez długi czas przed 12 sierpnia 2020 r. nie zapewniała szyfrowania dysków twardych w laptopach gminy, co skutkowało niewystarczającym poziomem bezpieczeństwa. Organ ochrony danych uznał to za naruszenie art. 32 RODO, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających stopień ochrony współmierny do ryzyka. link
Francja 2021-09-15 3.000 EUR Société nouvelle de l’annuaire français Art. 16 RODO, Art. 17 RODO, Art. 30 RODO, Art. 31 RODO Francuski organ ochrony danych (CNIL) nałożył na Société nouvelle de l'annuaire français (SNAF) grzywnę w wysokości 3 000 EUR. SNAF prowadzi stronę internetową annuairefrancais.fr, która zawiera listę francuskich firm na podstawie danych opublikowanych przez francuski Urząd Statystyczny. W latach 2018-2019 CNIL otrzymał szesnaście skarg wskazujących na problemy z żądaniem usunięcia i poprawienia danych osobowych. W odpowiedzi CNIL zażądał od SNAF spełnienia żądań w ciągu dwóch miesięcy, czego SNAF nie uczynił. W rezultacie CNIL nałożyła na SNAF grzywnę, głównie za nieprzestrzeganie prawa osób, których dane dotyczą, do sprostowania i usunięcia danych oraz za brak współpracy z CNIL. link
Hiszpania 2021-09-14 56.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. za niewystarczającą podstawę prawną przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że ​​otrzymała telefon od Vodafone, w którym ten ostatni poprosił go o opłacenie trzech linii telefonicznych. W rozmowie wyjaśnił Vodafone, że te linie nie zostały przez niego zamówione ani autoryzowane, więc poprosił o przesłanie mu faktur. Na fakturach osoba, której dane dotyczą, uznała, że ​​numery telefonu i konta nie są zgodne z jej numerami. Podczas dochodzenia organ ochrony danych stwierdził, że nieupoważniona osoba trzecia zawarła umowy na łącza w imieniu osoby, której dane dotyczą. Ponadto organ ochrony danych stwierdził, że Vodafone nie zweryfikował tożsamości osoby, która zawarła umowę i nie podjął niezbędnych środków ostrożności, aby zapewnić, że takie incydenty nie wystąpią. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2021-09-14 56.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że ​​nieuprawnione osoby trzecie uzyskały dostęp do jego konta Vodafone i podpisały w jego imieniu trzy umowy na telefony komórkowe. Organ ochrony danych stwierdził, że Vodafone nie sprawdził, czy umowy są zgodne z prawem i faktycznie zawarte przez osobę, której dane dotyczą. Umowy zostały zawarte, mimo że nie zostały podpisane, a informacje podane przez oszusta, takie jak adres lub data urodzenia, nie zgadzały się z danymi osoby, której dane dotyczą. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro ze względu na dobrowolną wpłatę. link
Hiszpania 2021-09-14 56.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że ​​nieuprawnione osoby trzecie uzyskały dostęp do jej konta Vodafone i zarezerwowały w jej imieniu pakiet Vodafone Unlimited, a także kupiły iPhone’a 11 Pro Max na raty. Organ ochrony danych zauważa, że ​​administrator nie sprawdził odpowiednio, czy umowy zostały zawarte przez osobę, której dane dotyczą, zgodnie z prawem i faktycznie. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro ze względu na dobrowolną wpłatę. link
Hiszpania 2021-09-14 56.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. za niewystarczającą podstawę prawną przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że ​​kilka linii telefonicznych zostało zarejestrowanych na jego nazwisko. Jednak osoba, której dane dotyczą, nigdy nie podpisała umów z firmą na żadną z tych linii. Przedmiotowe umowy zostały raczej zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych spółki bez weryfikacji, czy umowy zostały zawarte zgodnie z prawem i faktycznie zawarte przez osobę, której dane dotyczą. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro ze względu na dobrowolną wpłatę. link
Hiszpania 2021-09-14 40.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. za niewystarczającą podstawę prawną przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że ​​na jego nazwisko zarejestrowane zostały dwie linie telefoniczne, z których za każdą naliczono opłaty. Jednak osoba, której dane dotyczą, nigdy nie zawarła umów ze spółką na żadną z tych linii. Przedmiotowe umowy zostały raczej zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych spółki bez weryfikacji, czy umowy zostały zawarte zgodnie z prawem i faktycznie zawarte przez osobę, której dane dotyczą. Umowy zostały zawarte, mimo że nie zostały podpisane, a informacje podane przez oszusta, takie jak adres lub data urodzenia, nie zgadzały się z danymi znajdującymi się w dowodzie osobistym osoby, której dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro ze względu na dobrowolną wpłatę. link
Hiszpania 2021-09-13 9.000 EUR Operator strony internetowej Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na administratora strony internetowej grzywnę w wysokości 9 000 euro. Osoba złożyła skargę do organu ochrony danych w związku z opublikowaniem przez administratora jego imienia i nazwiska oraz zrzutu ekranu jego profilu na Linkedin na swojej stronie internetowej. Administrator nie uzyskał na to zgody osoby, której dane dotyczą, ani nie poinformował go o przetwarzaniu jego danych osobowych. Organ ochrony danych uznał to za naruszenie art. 6 RODO i art. 13 RODO. link
Hiszpania 2021-09-13 1.000 EUR Hairdressing salon Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na salon fryzjerski grzywnę w wysokości 1000 euro. Administrator zainstalował kamery nadzoru wideo i nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez kamery. link
Hiszpania 2021-09-13 1.000 EUR GESTIONES AUTO LOW COST S. L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 euro na GESTIONES AUTO LOW COST S.L. z uwagi na fakt, że strona internetowa firmy nie zawierała polityki prywatności link
Dania 2021-09-08 53.800 EUR Midtjylland Region Art. 32 RODO Duński organ ochrony danych nałożył grzywnę w wysokości 53 800 EUR na region Midtjylland. 12 czerwca 2020 r. organ ochrony danych otrzymał zawiadomienie z regionu o naruszeniu bezpieczeństwa danych osobowych w trybie art. 33 RODO. Zgodnie z zawiadomieniem wszyscy pacjenci i personel centrum stylu życia mieli dostęp do budynku, w którym przechowywano do 100 000 fizycznych danych pacjentów, w tym informacje o stanie zdrowia i dane osobowe. Powodem tego było to, że zarówno personel, jak i pacjenci otrzymali karty dostępu, które umożliwiały im dostęp do wszystkich trzech budynków centrum stylu życia, niezależnie od tego, czy użytkownik miał do nich dostęp. Ponadto przechodnie mogli przez okno w budynku przyjrzeć się okładkom niektórych akt, które zawierały dane osobowe, takie jak numery identyfikacyjne i nazwiska. W tym kontekście organ ochrony danych stwierdził, że region Midtjylland nie podjął odpowiednich środków bezpieczeństwa w celu przechowywania danych osobowych. Ponadto region nie ustanowił wystarczających wytycznych dotyczących ograniczeń dostępu podczas tworzenia kart-kluczy i nie przeprowadził odpowiednich okresowych testów, ocen i ewaluacji podjętych środków bezpieczeństwa. Oceniając kwestię, czy należy nałożyć grzywnę, duński organ ochrony danych wziął pod uwagę jako czynnik obciążający, że region przetwarzał duże ilości danych wrażliwych, takich jak dane dotyczące zdrowia. link
Irlandia 2021-09-07 1.400 EUR Vodafone Ireland Limited Art. 21 RODO Irlandzki organ ochrony danych nałożył na Vodafone Ireland Limited grzywnę w wysokości 1 400 EUR. Vodafone w kilku przypadkach wysyłało marketingowe SMS-y i e-maile oraz wykonywało połączenia telefoniczne bez zgody osób, których dane dotyczą. Pomimo kilku odwołań przez osoby, których dane dotyczą, nadal otrzymywali niechciane reklamy. W jednym przypadku były klient kontaktował się z Vodafone siedem razy i prosił, aby nie otrzymywać więcej połączeń reklamowych na jego telefon komórkowy. Pomimo swojej prośby nadal otrzymywał telefony reklamowe. W innym przypadku klient odebrał połączenie reklamowe na swój numer telefonu komórkowego i poinformował Vodafone podczas rozmowy, że nie chce otrzymywać więcej połączeń reklamowych. Pomimo swojej prośby Vodafone wykonał dwanaście kolejnych połączeń marketingowych na swój telefon komórkowy. W innym przypadku osoba, której dane dotyczą, wypełniła formularz, wyraźnie stwierdzając, że nie chce otrzymywać telefonów marketingowych od Vodafone. Jednak pracownik, który przetwarzał żądanie, nie zarejestrował preferencji marketingowych klienta. W rezultacie klient otrzymał kolejne czternaście niezamówionych wiadomości handlowych – siedem e-maili i siedem SMS-ów. link
Cypr 2021-09-06 25.000 EUR Hellenic Technical Enterprises Ltd. Art. 32 RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 25 000 euro na Hellenic Technical Enterprises Ltd. Ukarany podmiot zaprojektował system sprzedaży biletów klubów piłkarskich AC Omonia i APOEL FC. Ze względu na brak zabezpieczeń w systemie sprzedaży biletów możliwe było uzyskanie dostępu i ujawnienie danych osobowych kibiców na stronie klubu przez osobę nieuprawnioną. Dane te obejmowały nazwisko, numer karty kibica oraz numer identyfikacyjny osoby, której dane dotyczą. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnym postępowaniu organ ochrony danych nałożył grzywnę na APOEL FC i AC Omonia za te same naruszenia. link
Cypr 2021-09-06 40.000 EUR AC Omonia Art. 32 RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 40 000 euro na klub piłkarski AC Omonia. Ze względu na brak zabezpieczeń w klubowym systemie sprzedaży biletów, możliwe było uzyskanie dostępu i ujawnienie danych osobowych kibiców na stronie klubu przez osobę nieuprawnioną. Dane te obejmowały nazwisko, numer karty kibica oraz numer identyfikacyjny osoby, której dane dotyczą. Organ ochrony danych stwierdził, że klub nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnym postępowaniu organ ochrony danych nałożył grzywnę na APOEL FC i Hellenic Technical Enterprises Ltd. za te same naruszenia. link
Cypr 2021-09-06 40.000 EUR APOEL FC Art. 32 RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 40 000 euro na klub piłkarski APOEL FC. Ze względu na brak zabezpieczeń w klubowym systemie sprzedaży biletów, możliwe było uzyskanie dostępu i ujawnienie danych osobowych kibiców na stronie klubu przez osobę nieuprawnioną. Dane te obejmowały nazwisko, numer karty kibica oraz numer identyfikacyjny osoby, której dane dotyczą. Organ ochrony danych stwierdził, że klub nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnym postępowaniu organ ochrony danych nałożył grzywnę na AC Omonia i Hellenic Technical Enterprises Ltd. za te same naruszenia. link
Hiszpania 2021-09-04 1.500 EUR AMPUDIA DIAZ, S.L. Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 euro na AMPUDIA DIAZ, SL. Ukarany podmiot zainstalował w swoim lokalu system monitoringu wideo, który zarejestrował między innymi sąsiadujący z nią chodnik publiczny. Umożliwiło to rejestrowanie przechodniów. Administrator nie zainstalował żadnych znaków informujących o monitoringu. Organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych i obowiązek informowania. Kara wynosi 1000 euro za naruszenie art. 5 ust. 1 lit. c RODO i 500 EUR za naruszenie art. 13 RODO. link
Grecja 2021-09-03 8.000 EUR Miejskie Przedsiębiorstwo Komunikacyjne na RODOS Art. 5 (1) c) RODO, Art. 12 (3) RODO, Art. 15 RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 8 000 euro na Miejskie Przedsiębiorstwo Komunikacyjne w Rodos. Były pracownik złożył skargę na administratora danych do organu ochrony danych. Były pracownik był w sporze prawnym z kontrolerem po tym, jak ten zgłosił go za rzekome malwersacje. W związku z tym poprosił ukaranym podmiotem o przesłanie mu, do obrony w postępowaniu karnym, kopii nagrań wideo zarejestrowanych przez system nadzoru wideo autobusu w dniu, w którym rzekomo miał miejsce incydent. Jednak ukarany podmiot nigdy nie odpowiedział na jego prośbę. Organ ochrony danych uznał to za naruszenie prawa osoby, której dane dotyczą, do informacji zgodnie z art. 12 ust. 3 RODO i art. 15 RODO. Ponadto administrator dostarczył osobie, której dane dotyczą, zaświadczenie o poprzednim zatrudnieniu, które oprócz rodzaju i okresu zatrudnienia zawierało również informację, że został zwolniony z powodu przestępstwa. Organ ochrony danych uznaje to za naruszenie zasady proporcjonalności zgodnie z art. 5 ust. 1 lit. c RODO. Za naruszenie art. 5 ust. 1 lit. c RODO i 5000 EUR za naruszenie art. 12 ust. 3 i art. 15 RODO. link
Hiszpania 2021-09-02 4.000 EUR Automecanica Jerez, S.L. Art. 5 (1) f) RODO, Art. 32 RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na spółkę Automecanica Jerez, S.L. 4000 euro. Administrator wysłał komercyjne e-maile do dużej liczby osób bez ich zgody. W ten sposób administrator nie ukrył danych osobowych odbiorców, takich jak nazwisko, imię i adres e-mail, co umożliwiło innym odbiorcom wgląd do danych. AEOPD uznała to za naruszenie art. 5 ust. 1 lit. f RODO oraz art. 32 RODO, ponieważ administrator nie wdrożył środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych. Ponadto AEPD stwierdziło naruszenie art. 21 LSSI. link
Hiszpania 2021-08-23 1.800 EUR Agencja Art. 32 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na agencję. Administrator wyrzucił do śmieci dokumenty zawierające dane osobowe swoich klientów. AEPD uznał, że jest to brak środków bezpieczeństwa i ochrony danych w rozumieniu art. 32 RODO, który stanowi, że „administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia odpowiedniego poziomu bezpieczeństwa”. Pierwotna grzywna w wysokości 3000 euro została obniżona do 1800 euro z powodu dobrowolnej zapłaty i uznania winy. link
Hiszpania 2021-08-30 6.000 EUR Furnishyourspace S.L. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 (4) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 6 000 EUR na FurnishYourSpace SL. AEPD otrzymał skargę od berlińskiego organu ochrony danych za pośrednictwem systemu wymiany informacji na rynku wewnętrznym UE w sprawie nieodpowiedniego projektu informacji o ochronie prywatności administratora. Mianowicie tożsamość i dane kontaktowe administratora zostały podane w informacji o prywatności, ale pod mylącym nagłówkiem, który sprawiał wrażenie, że zostały one podane w celach biznesowych. Ponadto cele przetwarzania nie zostały jasno określone. Nie podano informacji dotyczących podstawy prawnej, okresu przechowywania danych osobowych oraz prawa do sprzeciwu osób, których dane dotyczą. Ponadto informacja o prywatności była myląca, a sformułowanie zawierało błędy gramatyczne i użyte terminy, które nie są powszechnie używane. Ponadto w celu wystawienia faktury uproszczonej, tj. faktury nieprzekraczającej kwoty 3000 EUR, polityka prywatności wymagała podania numeru NIP. AEPD uznała to za naruszenie zasady legalności. Wysokość grzywny wynosi: 3 000 EUR za naruszenie art. 12 RODO i art. 13 RODO; 1.000 EUR za naruszenie art. 21 ust. 4 RODO; oraz 2.000 EUR za naruszenie art. 5 ust. 1 lit. a RODO oraz art. 6 RODO. link
Irlandia 2021-09-02 222.000.000 EUR WhatsApp Ireland Ltd. Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 225 000 000 EUR na WhatsApp Ireland Ltd. W grudniu 2018 r. organ ochrony danych rozpoczął szeroko zakrojone dochodzenie w sprawie zgodności usługi przesyłania wiadomości z zobowiązaniami dotyczącymi przejrzystości. zgodnie z RODO w zakresie dostarczania informacji i przejrzystości tych informacji dla użytkowników i osób niebędących użytkownikami WhatsApp. W trakcie dochodzenia DPC stwierdził, że WhatsApp dopuścił się poważnych naruszeń art. 12 RODO, art. 13 RODO i art. 14 RODO w odniesieniu do informacji przekazywanych użytkownikom. Po przeprowadzeniu dochodzenia DPC przedłożył projekt decyzji na podstawie art. 60 RODO do innych europejskich organów nadzorczych, których to dotyczyło, w grudniu 2020 r. Następnie DPC otrzymał sprzeciw od ośmiu organów nadzorczych. W związku z brakiem porozumienia DPC wszczął procedurę rozstrzygania sporów na podstawie art. 65 RODO w dniu 3 czerwca 2021 r. Europejski Inspektor Ochrony Danych (EROD) decyzją z 28 lipca 2021 r. zażądał następnie od DPC ponownej oceny i podwyższenia proponowanej kary w oparciu o szereg czynników. EIOD stwierdził naruszenie zasady przejrzystości, o której mowa w art. 5 ust. 1 lit. a) RODO, oprócz naruszeń stwierdzonych przez DPC, i zażądał, aby zostało to odzwierciedlone w ostatecznej kwocie grzywny. Na tej podstawie DPC nałożył karę w wysokości 225 000 000 euro. Wysokość grzywny wynosi: 90 000 000 EUR za naruszenie art. 5 ust. 1 lit. a RODO; 30.000.000 euro za naruszenie art. 12 RODO; 30.000.000 euro za naruszenie art. 13 RODO; oraz 75 000 000 EUR za naruszenie art. 14 RODO. W odniesieniu do art. 12 RODO i art. 13 RODO, DPC stwierdził, że WhatsApp nie dostarczył informacji o charakterze gromadzenia danych „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, używając jasnego i prostego języka”. Obejmuje to ułatwienie dzieciom zrozumienia informacji, gdy są one adresowane do nich. Na przykład WhatsApp rozpowszechniał informacje o relacji między WhatsApp a innymi firmami Facebooka oraz udostępnianiu danych w ramach tej relacji za pośrednictwem różnych tekstów. Co więcej, wiele dostarczonych informacji miało tak ogólny charakter, że DPC uznał je za bezsensowne. Użytkownicy często musieli pokonać wiele linków do najczęściej zadawanych pytań, aby dostać się do informacji, których szukali na stronie WhatsApp. W związku z tym DPC stwierdził, że byłoby nierozsądne oczekiwać, że użytkownicy będą przeszukiwać witrynę WhatsApp po tym, jak nie znajdą wystarczających informacji w samym oświadczeniu o ochronie prywatności. W odniesieniu do art. 14 RODO, jednym z problemów był wpływ zgody użytkownika na dostęp platformy komunikacyjnej do jego kontaktów. W związku z tym firma przeszukiwała informacje kontaktowe użytkowników na ich telefonach pod kątem numerów telefonów i innych danych, nie tylko od innych użytkowników WhatsApp, ale także od kontaktów, które nie mają nawet konta WhatsApp. DPC stwierdza, że ​​dane te zostały przetworzone niezgodnie z prawem, ponieważ te kontakty (zwłaszcza te, które nie mają konta WhatsApp) nie otrzymały żadnych informacji o tym przetwarzaniu, a zatem prawdopodobnie nie mogły wyrazić zgody. Biorąc pod uwagę powagę i dalekosiężny charakter oraz skutki naruszeń, organ ochrony danych stwierdził, że doszło również do naruszenia zasady przejrzystości z art. 5 ust. 1 lit. a RODO. link
Hiszpania 2021-08-25 120.000 EUR Banco Bilbao Vizcaya Argentaria, S.A. Art. 32 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, SA. Powodem tego była skarga osoby dotycząca braku uwierzytelnienia. W związku z tym przy udzielaniu informacji telefonicznie należało podać tylko numer identyfikacyjny. Dzięki temu każda osoba może zadzwonić, podać numer identyfikacyjny, a tym samym otrzymać informacje związane z numerem identyfikacyjnym bez żadnej weryfikacji, czy dzwoniący jest rzeczywiście posiadaczem identyfikatora. Organ ochrony danych uznał to za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. Pierwotna kara w wysokości 200 000 euro została obniżona do 120 000 euro z powodu dobrowolnej zapłaty i uznania winy. link
Hiszpania 2021-08-26 1.000 EUR Stowarzyszenie właścicieli Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie właścicieli grzywnę w wysokości 1000 euro. Administrator bezprawnie zainstalował system monitoringu wideo w kompleksie mieszkalnym, który rejestrował między innymi obszary wspólne, takie jak basen, a także części przestrzeni publicznej. Ponadto w pomieszczeniach, w których przebierali się strażnicy osiedla, zainstalowano kamery wideo bez uprzedzenia. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Polska 2021-08-13 2.200 EUR Prezes Sądu Rejonowego w Zgierzu Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO UODO nałożył na prezesa Sądu Rejonowego w Zgierzu karę w wysokości 2200 euro. Prezes zgłosił naruszenie danych obejmujące zgubienie niezaszyfrowanej pamięci USB przez kuratora sądowego. Nośnik danych przechowywał dane 400 osób pod nadzorem kuratorskim. Zagubiony, a jednocześnie niezabezpieczony nośnik danych nie został jeszcze odnaleziony, aby osoby nieuprawnione nadal miały dostęp do zawartych w nim danych osobowych. Prezes przyjął, że obowiązek zabezpieczenia danych spoczywa nie na nim samym, ale na odpowiednich kuratorach sądowych, którzy te dane dysponowali. Organ ochrony danych stwierdził jednak, że sam prezes powinien był zabezpieczyć pendrive'y. link
Rumunia 2021-08-24 3.000 EUR Actamedica SRL Art. 28 (1) RODO, Art. 32 RODO, Art. 33 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Actamedica SRL grzywnę w wysokości 3 000 EUR. Ukarany podmiot poinformował osobę prywatną o utracie jej próbek biologicznych oraz o kwocie pieniędzy wysłanej za pośrednictwem firmy kurierskiej. Na pytanie, jakie dane osobowe zostały ujawnione przy tej okazji i czy ANSPDCP została poinformowana o tym incydencie, administrator podał jedynie dane kontaktowe swojego prawnika oraz adres e-mail firmy kurierskiej, do której osoba prywatna może się do niej zwrócić reklamacja. ANSPDCP stwierdził naruszenie przez administratora obowiązku wdrożenia środków technicznych i organizacyjnych zapewniających poziom ochrony adekwatny do ryzyka dla osób, których dane dotyczą, a także naruszenie przez administratora obowiązku zawiadomienia ANSPDCP o naruszeniu danych. link
Hiszpania 2021-08-23 2.000 EUR Właściciel firmy Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela firmy grzywnę w wysokości 2000 euro. Osoba złożyła podanie o pracę w firmie ukaranego podmiotu i wysłała ukaranemu podmiotowi swoje CV za pośrednictwem WhatsApp. Tym samym nie został poinformowany o przetwarzaniu jego danych osobowych ani o przysługujących mu prawach osoby, której dane dotyczą. AEPD uznała to za naruszenie art. 13 RODO. link
Hiszpania 2021-08-13 1.000 EUR Pracodawca Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na pracodawcę grzywnę w wysokości 1000 euro. Administrator zainstalował system monitoringu wideo bez odpowiedniego informowania pracowników link
Włochy 2021-06-10 2.6000.000 EUR Foodinho s.r.l. Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 22 (3) RODO, Art. 25 RODO, Art. 30 (1) a), b), c), f), g) RODO, Art. 32 RODO, Art. 35 RODO, Art. 37 (7) RODO Włoski organ ochrony danych (Garante) nałożył grzywnę na Foodinho s.r.l. 2 600 000 euro. Foodinho to włoska usługa dostawy jedzenia. Dochodzenie przeciwko Foodinho dotyczyło głównie kierowców Foodinho. W tym procesie organ ochrony danych wykrył poważne naruszenia obowiązujących przepisów o ochronie danych. Tym samym DPA zidentyfikował pewne nieprawidłowości dotyczące algorytmów systemu Foodinho. W szczególności organ ochrony danych stwierdził, że ukarany podmiot nie informował odpowiednio pracowników o działaniu systemu i nie gwarantował dokładności i poprawności wyników algorytmów wykorzystywanych do oceny kierowców. Ponadto organ ochrony danych stwierdził naruszenia zasad minimalizacji danych oraz ograniczenia pamięci. Na przykład systemy przetwarzały dane kierowców w zakresie, który wykraczał poza cel przetwarzania, a w niektórych przypadkach przechowywały dane znacznie dłużej niż to konieczne. Ponadto administrator nie podjął wystarczających środków technicznych i organizacyjnych zapewniających bezpieczne przetwarzanie danych. Administrator nie przeprowadził również oceny skutków dla ochrony danych, chociaż byłoby to konieczne ze względu na znaczną ilość danych różnego rodzaju dotyczących znacznej liczby osób, których dane dotyczą. Hiszpański organ ochrony danych (AEPD) prowadzi przeciwko spółce dominującej GlovoApp23 odrębne postępowanie. link
Włochy 2021-05-13 2.856.169 EUR Iren Mercato S.p.A. Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO Włoski organ ochrony danych (Garante) nałożył na Iren Mercato S.p.A. grzywnę w wysokości 2 856 169 EUR za brak sprawdzenia, czy wszystkie transfery danych odbiorców działań promocyjnych były objęte zgodą. Kilka osób, których dane dotyczą, złożyło skargi do organu ochrony danych przeciwko administratorowi, ponieważ otrzymały niezamówione reklamy, na które nigdy nie wyraziły zgody. W swoim dochodzeniu przeciwko ukaranemu podmiotowi organ ochrony danych stwierdził, że kontroler w rzeczywistości przetwarzał dane osobowe w celach telemarketingowych, których nie zebrał bezpośrednio, ale pozyskał z innych źródeł. Nie sprawdził, czy uzyskano ważne zgody od adresatów reklamy na wszystkie transfery danych. Administrator otrzymał wykazy danych osobowych od jednej firmy, która z kolei pozyskała je od dwóch innych firm. Te ostatnie firmy uzyskały zgodę potencjalnych klientów na telemarketing realizowany przez siebie oraz przez osoby trzecie, ale zgoda ta nie obejmowała przekazania danych klientów do administratora. W tym kontekście organ ochrony danych podkreślił, że zgoda udzielona firmie przez klienta na działania promocyjne osób trzecich nie może rozciągać jej skuteczności na kolejne przelewy do innych operatorów. link
Włochy 2020-11-26 10.000 EUR Reti Televisive Italiane S.p.a. Art. 5 (1) a) RODO Stacja telewizyjna wyemitowała film dokumentalny o związku między emisjami z lokalnej fabryki ceramiki a problemami zdrowotnymi w populacji, w którym osoba, z którą przeprowadzono wywiad, nie została wystarczająco anonimowa. link
Włochy 2021-09-03 2.000 EUR Comune di Casaloldo Art. 5 RODO, Art. 6 RODO Publikacja danych osobowych na stronie internetowej społeczności. link
Polska 2021-06-21 35.300 EUR Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. Art. 33 (1) RODO, Art. 34 (1) RODO Administrator wysłał wiadomość e-mail zawierającą dane osobowe klienta do niewłaściwego odbiorcy. Ujawnione dane zawierały takie dane, jak imię i nazwisko, adres pocztowy osoby, której dane dotyczą, oraz dane ubezpieczenia. W tym kontekście administrator nie poinformował ani polskiego organu ochrony danych, ani osób, których dane dotyczą, o naruszeniu danych w terminie w ciągu 72 godzin. link
Polska 2021-01-15 4.600 EUR Anwara Sp. z.o.o. Art. 31 RODO, Art. 58 (1) a) RODO UODO ukarał firmę Anwara Sp. z o.o. 4600 euro. Administrator nie współpracował z organem ochrony danych i nie przekazał mu wszystkich informacji niezbędnych do przeprowadzenia dochodzenia. Administrator dwukrotnie ignorował pisemne prośby o wyjaśnienia dotyczące trybu rozpatrzenia skargi złożonej przez osobę fizyczną. Mimo że pisma zostały wysłane prawidłowo, firma nie podała powodów, dla których tego nie zrobił. link
Polska 2021-01-11 30.000 EUR Enea S.A. Art. 33 (1) RODO Za niezgłoszenie przez administratora naruszenia danych osobowych z naruszeniem art. 33 ust. 1 RODO. Organ ochrony danych otrzymał informację o naruszeniu ochrony danych osobowych od osoby, która stała się nieuprawnionym odbiorcą danych osobowych. Naruszenie polegało na wysłaniu wiadomości e-mail z niezaszyfrowanym, niechronionym hasłem załącznikiem, który zawierał dane osobowe kilkuset osób. Nadawcą e-maila był pracownik ukaranego podmiotu objętego sankcjami. link
Hiszpania 2021-08-05 3.000 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 3 000 euro. Dwóch sąsiadów złożyło skargę na tę osobę do organu ochrony danych, ponieważ zainstalował on na publicznej ulicy dwie kamery do monitoringu wideo z czujnikami ruchu. Między innymi te zarejestrowane obrazy sąsiadów docierających do ich posesji ulicą. Organ uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2021-06-22 10.000 EUR TNT EXPRESS WORLDWIDE SPAIN, S.L. Art. 5 (1) d) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 10 000 EUR na TNT EXPRESS WORLDWIDE SPAIN, SL. Osoba, której dane dotyczą, złożyła prywatne zamówienie u administratora i jako adres doręczenia podała adres swojego miejsca pracy. Dostawa została prawidłowo doręczona, ale faktura została wystawiona na firmę, w której osoba, której dane dotyczą, była zatrudniona, a nie na osobę, której dane dotyczą. Zarówno faktura, jak i list przewozowy zawierały różne dane osobowe osoby, której dane dotyczą. Zostały one ujawnione jego pracodawcy w wyniku incydentu. link
Hiszpania 2021-05-26 3.000 EUR Vodafone España, S.A.U. Art. 58 (1) RODO Niedostarczenie informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 57 RODO. Pierwotna grzywna w wysokości 5 000 euro została obniżona o 20% 3 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Hiszpania 2020-11-11 42.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Firma przeniosła numer telefonu osoby, której dane dotyczą, bez jej zgody (brak podpisu na umowie przeniesienia). link
Hiszpania 2020-11-10 3.000 EUR Miguel Ibáñez Bezanilla, S.L. Art. 13 RODO, Art. 32 RODO Strona internetowa firmy (sprzedawca tablic rejestracyjnych) zażądała podania danych osobowych, takich jak imię i nazwisko, kopia dowodu osobistego i prawa jazdy oraz numer VIN samochodu, ale nie oferowała ani zaszyfrowanego protokołu transportowego ("link zamiast" ani zaktualizowane dane polityka przetwarzania zgodna z RODO. link
Hiszpania 2020-11-06 20.000 EUR Xfera Moviles S.A. Art. 31 RODO Xfera Móviles nie współpracowała z AEPD w dochodzeniu w sprawie naruszeń prywatności. Xfera Móviles nie odpowiedziała na prośbę o informacje ani nie dostarczyła żadnej wymaganej dokumentacji. link
Hiszpania 2020-10-26 50.000 EUR Conseguridad SL Art. 37 RODO Spółka (prywatna firma ochroniarska zajmująca się systemami monitoringu wideo) nie posiadała inspektora ochrony danych, co stanowi naruszenie art. 37 RODO. link
Hiszpania 2020-10-26 4.000 EUR Conseguridad SL Art. 13 RODO Stosowanie umowy członkowskiej zawierającej predefiniowane klauzule prywatności, co uniemożliwia skuteczne negocjacje i wyraźną zgodę podpisującego się klienta. link
Hiszpania 2019 10.000 EUR Ikea Ibérica Art. 6 RODO Spółka instalowała pliki cookies na urządzeniu końcowym użytkownika końcowego bez uprzedniej zgody osoby, której dane dotyczą link
Hiszpania 2018 27.000 EUR Vodafone España, S.A.U. Art. 5 (1) d) RODO Chociaż skarżący (były klient Vodafone) zażądał od Vodafone usunięcia jego danych w 2015 r., a prośba ta została potwierdzona przez firmę, od 2018 r. otrzymał od firmy ponad 200 SMS-ów. Po oświadczeniu Vodafone stało się tak, ponieważ numer telefonu komórkowego skarżącego został błędnie użyty do celów testowych i przypadkowo pojawił się w różnych aktach klientów należących do innych klientów niż skarżący. Ponieważ spółka zgodziła się zarówno na zapłatę, jak i przyznanie się do odpowiedzialności, grzywna została obniżona zgodnie z hiszpańskim prawem administracyjnym do 27 tys. euro. link
Hiszpania 2018 60.000 EUR Debt collecting agancy (GESTIÓN DE COBROS, YO COBRO SL) Art. 5 (1) f) RODO Po tym, jak powód rzekomo nie spłacił mikrokredytu firmie zajmującej się kredytami internetowymi, wierzytelność została przeniesiona na agencję windykacyjną. Następnie ten ostatni zaczyna wysyłać wiadomości e-mail nie tylko na adresy e-mail podane przez powoda, ale także na instytucjonalny adres e-mail jego miejsca pracy dostępny dla każdego współpracownika, który nigdy nie został podany przez powoda. link
Węgry 2021-06-18 28.400 EUR Magyar Telekom Nyrt. Art. 5 (1) d) RODO, Art. 6 (1) RODO, Art. 12 (2), (3), (4) RODO, Art. 17 (1) RODO, Art. 25 RODO Węgierski organ ochrony danych (NAIH) nałożył na Magyar Telekom Nyrt grzywnę w wysokości 28 400 euro. Administrator przez pomyłkę wysłał do osoby, której dane dotyczą, biuletyn e-mailowy. Stało się tak ze względu na to, że osoba trzecia omyłkowo wprowadziła niewłaściwy adres e-mail, a mianowicie adres osoby, której dane dotyczą. Osoba, której dane dotyczą, wielokrotnie zwracała się do administratora o usunięcie jej danych. Nadal otrzymywał newsletter i zamiast usunąć dane, administrator przesłał mu link do wypisania się z newslettera.
Węgry 2021-04-20 2.800 EUR Operator strony internetowej Art. 5 (2) RODO, Art. 24 RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 2800 euro na operatora strony internetowej. Administrator nie udowodnił zgodności z prawem przetwarzania danych osobowych na żądanie organu ochrony danych. Organ ochrony danych uznał to za naruszenie obowiązku rozliczalności administratora.
Hiszpania 2021-08-03 96.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO, Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora w związku z niezastosowaniem się do jej żądania usunięcia. Osoba, której dane dotyczą, oświadcza, że ​​otrzymała telefony od firmy ISGF w imieniu administratora, domagając się długu otrzymanego od osoby trzeciej za połączenie ADSL na pobyt osoby, której dane dotyczą. Jednak osoba, której dane dotyczą, nigdy nie zawarła umowy o połączenie ADSL. Zamiast tego umowa została zawarta przez osobę trzecią, która oszukańczo posłużyła się nazwiskiem i numerem identyfikacyjnym osoby, której dane dotyczą, do zawarcia umowy w jej imieniu. Osoba, której dane dotyczą, zwróciła się następnie do ISGF o anulowanie umowy i poprosiła administratora o usunięcie jej danych osobowych. Jednak kontroler nie odpowiedział na jej prośbę. Organ ochrony danych nałożył następnie grzywnę w wysokości 120 000 euro, która składała się z 70 000 euro z powodu naruszenia art. 6 ust. 1 RODO i 50 000 EUR z powodu naruszenia art. 17 ust. 1 RODO. Pierwotna grzywna została obniżona do 96 000 euro z powodu dobrowolnej zapłaty. link
Hiszpania 2021-08-10 2.000 EUR DESPACHO TEJEDOR INFANTES CONSULTORES ASESORES Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na DESPACHO TEJEDOR INFANTES CONSULTORES ASESORES, S.L. Administrator przekazał pracownikowi dwie wiadomości e-mail zawierające dane osobowe (wynagrodzenie i przedłużenie godzin pracy) osoby, której dane dotyczą. link
Norwegia 2021-08-12 9.600 EUR Waxing Palace AS Art. 5 RODO, Art. 6 RODO, Art. 13 RODO Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 9 600 EUR na operatora salonu woskowania Waxing Palace AS. Ukarany podmiot miał nadzór kamerowy swojej recepcji. Organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej do prowadzenia monitoringu kamer, jak również nie dostarczył na ten temat wystarczających informacji. Monitoring kamer dotyczył zarówno pracowników, jak i klientów. link
Włochy 2021-06-10 40.000 EUR aiComply S.r.l. Art. 28 RODO, Art. 32 RODO Tożsamość sygnalistów musi być chroniona specjalnymi zasadami poufności, ponieważ przetwarzane informacje są szczególnie wrażliwe, a ryzyko odwetu i dyskryminacji w środowisku pracy wysokie. W tym kontekście administrator jest zobowiązany do przestrzegania zasad ochrony danych oraz zapewnienia integralności i bezpieczeństwa danych. W tym kontekście włoski organ ochrony danych (Garante) ukarał grzywną Aeroporto Guglielmo Marconi di Bologna S.p.a. 40 000 EUR i dostawca oprogramowania aiComply S.r.l. 20 000 EUR za naruszenia RODO. W toku postępowania organu ochrony danych ustalono, że dostęp do aplikacji służącej do zbierania i zarządzania zgłoszeniami kryminalnymi był możliwy bez użycia bezpiecznego protokołu sieciowego (np. protokołu łącza), a sama aplikacja nie zapewniała szyfrowania zgłoszenia dane identyfikacyjne strony, informacje o zgłoszeniu i załączonych dokumentach. Organ ochrony danych uznał to za naruszenie obowiązku podjęcia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że aiComply nie regulowała umownie relacji z dwoma innymi firmami, które przetwarzały dane w jej imieniu. link
Włochy 2021-06-10 40.000 EUR Aeroporto Guglielmo Marconi di Bologna S.p.a. Art. 5 (1) f) RODO, Art. 25 RODO, Art. 32 RODO Tożsamość sygnalistów musi być chroniona specjalnymi zasadami poufności, ponieważ przetwarzane informacje są szczególnie wrażliwe, a ryzyko odwetu i dyskryminacji w środowisku pracy wysokie. W tym kontekście administrator jest zobowiązany do przestrzegania zasad ochrony danych oraz zapewnienia integralności i bezpieczeństwa danych. W tym kontekście włoski organ ochrony danych (Garante) ukarał grzywną Aeroporto Guglielmo Marconi di Bologna S.p.a. 40 000 EUR i jego dostawca oprogramowania 20 000 EUR za naruszenia RODO. W toku postępowania organu ochrony danych ustalono, że dostęp do aplikacji służącej do zbierania i zarządzania zgłoszeniami kryminalnymi był możliwy bez użycia bezpiecznego protokołu sieciowego (np. protokołu łącza), a sama aplikacja nie zapewniała szyfrowania zgłoszenia dane identyfikacyjne strony, informacje o zgłoszeniu i załączonych dokumentach. Organ ochrony danych uznał to za naruszenie obowiązku podjęcia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że administrator powinien był przeprowadzić ocenę skutków, biorąc pod uwagę wrażliwość przetwarzanych informacji oraz ryzyko i podatność osób, których dane dotyczą. link
Hiszpania 2021-08-05 6.000 EUR Future Vinline S.L Art. 13 RODO Hiszpańska Agencja Ochrony Danych (AEPD) nałożyła na Future Vinline S.L. grzywnę. Polityka prywatności na stronie internetowej prowadzonej przez administratora jest niezgodna z przepisami RODO. Pierwotna grzywna w wysokości 10 000 euro została obniżona do 6 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. link
Hiszpania 2021-08-09 5.000 EUR CLUB GIMNASIA RÍTMICA SAN ANTONIO Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 euro na CLUB GIMNASIA RÍTMICA SAN ANTONIO. Osoba złożyła skargę przeciwko administratorowi do AEPD na podstawie opublikowania przez administratora zdjęć i filmów jej dwóch nieletnich córek na Instagramie. Skarżąca powiedziała wcześniej ukaranemu podmiotowi, że nie chce, aby zdjęcia jej córek były publikowane w mediach społecznościowych, ponieważ odmówiła zgody na fotografowanie i nagrywanie jej córek. link
Hiszpania 2021-08-09 1.000 EUR BAZTANDIS, S.L. Art. 13 RODO Korzystanie z kamer monitorujących bez odpowiednich danych kontaktowych administratora danych, z naruszeniem art. 13 RODO link
Hiszpania 2021-07-30 4.000 EUR Inspektor od gazu Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na inspektora gazu. Administrator przeprowadzał kontrole gazu butanowego w prywatnych domach osób, których dane dotyczą, na podstawie listy zawierającej ich nazwiska, imiona, adresy i numery telefonów. Jednak osoby, których dane dotyczą, nigdy nie wyraziły zgody na umieszczenie w wykazie. Pierwotna grzywna w wysokości 5 000 euro została obniżona do 4 000 euro z powodu przyznania się do winy. link
Hiszpania 2021-07-30 2.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na osobę prywatną. Administrator opublikował numer telefonu osoby, której dane dotyczą, do zdjęcia innej osoby na portalu randkowym w celu stworzenia fałszywego profilu o nazwie „Katy”. Było to możliwe tylko dzięki temu, że do utworzenia profilu na portalu nie był wymagany dowód tożsamości. link
Hiszpania 2021-07-30 600 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 600 EUR za nieautoryzowany nadzór wideo. Ukarany podmiot zainstalował kamerę nadzoru wideo, która obejmowała między innymi sąsiednie domy i ulicę publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. W związku z dobrowolną wpłatą pierwotna grzywna w wysokości 750 euro została obniżona do 600 euro. link
Hiszpania 2021-07-27 4.000 EUR Osoba prywatna Art. 5 (1) c), e) RODO Hiszpański organ ochrony danych AEPD) nałożył na drugą grzywnę w wysokości 4000 EUR za nieautoryzowany nadzór wideo. Ukarany podmiot zainstalował dwie kamery na inspekcji wideo i na drzewie. Ponadto organy ochrony danych stwierdziły, że administrator przechowywał nagrania dłużej niż konieczne. Organ ochrony danych uznał za naruszenie zasad minimalizacji. link
Hiszpania 2021-07-27 3.000 EUR INSTAPACK, S.L. Art. 5 (1) a) RODO, Art. 6 (1) a) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3000 EUR na INSTAPACK, SL. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Powodem skargi jest to, że co miesiąc otrzymywał na swój telefon komórkowy tysiące wiadomości SMS informujących go o otrzymaniu zamówień i dostaw iw tym kontekście proszących go o ocenę firmy. Oświadczył również, że wysłał prośbę o usunięcie swoich danych na adres kontaktowy wskazany na stronie administratora, ale nie otrzymał odpowiedzi. Nawet po tym, jak złożył prośbę o usunięcie, wysyłanie wiadomości było kontynuowane. link
Hiszpania 2021-07-27 3.000 EUR UST GLOBAL ESPAÑA, S.A. Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył na UST GLOBAL ESPAÑA, S.A. grzywnę w wysokości 3 000 EUR. Pracownik złożył skargę na administratora danych do organu ochrony danych. UST GLOBAL ESPAÑA, S.A. działała jako dostawca usług dla OpenBank w ramach projektu. W dniu 08.01.2020 ukarany podmiot poinformował OpenBank drogą mailową, że dwóch nowych pracowników (w tym jeden ze skarżących) dołączy do projektu, dla którego zażądał dostępu do VPN i innych aplikacji. Ta wiadomość e-mail, która została wysłana z kopią do obu pracowników, zawierała ich imiona i nazwiska, zawodowe adresy e-mail oraz numery dowodu osobistego. W ten sposób obaj uzyskali wzajemny nieautoryzowany dostęp do danych swojego kolegi. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. link
Hiszpania 2021-07-27 1.000 EUR APARTAMENTOS PLAYA DE COVACHOS, S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na APARTAMENTOS PLAYA DE COVACHOS, SL grzywnę w wysokości 1000 EUR. Administrator zainstalował w swoim ośrodku system monitoringu wideo i poinformował o tym na plakatach informacyjnych, które jednak nie zawierały żadnych informacji o tożsamość i dane kontaktowe osoby odpowiedzialnej. link
Hiszpania 2021-07-27 2.000 EUR Vasco Andaluza de Inversiones S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na Vasco Andaluza de Inversiones SL. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W umowie tej osoba, której dane dotyczą wyraziła zgodę na udostępnienie jej danych administratorowi, właścicielowi ośrodków sportowych Fitness Place. Firma udostępniła jednak dane Gerco Fit S.L. oraz Body Tonic Shop S.L., chociaż nie było to przewidziane w umowie. Gerco Fit SL i Body Tonic Shop S.L. następnie przetwarzał dane bez podstawy prawnej. link
Hiszpania 2021-07-27 2.000 EUR Gerco Fit S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na Gerco Fit S.L. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W tej umowie osoba, której dane dotyczą, zgodziła się na udostępnienie jej danych firmie Vasco Andaluza de Inversiones S.L., właścicielowi centrów sportowych Fitness Place. Firma udostępniła jednak dane Gerco Fit S.L. oraz Body Tonic Shop S.L., chociaż nie było to przewidziane w umowie. Gerco Fit SL i Body Tonic Shop S.L. następnie przetwarzał dane bez podstawy prawnej. link
Hiszpania 2021-07-27 2.000 EUR Body Tonic Shop S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na Body Tonic Shop S.L.. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W tej umowie osoba, której dane dotyczą, zgodziła się na udostępnienie jej danych firmie Vasco Andaluza de Inversiones S.L., właścicielowi centrów sportowych Fitness Place. Firma udostępniła jednak dane Gerco Fit S.L. oraz Body Tonic Shop S.L., chociaż nie było to przewidziane w umowie. Gerco Fit SL i Body Tonic Shop S.L. następnie przetwarzał dane bez podstawy prawnej. link
Austria 2021-08-02 2.000.000 EUR Unser Ö-Bonus Club GmbH Art. 6 RODO, Art. 7 RODO, Art. 12 RODO Austriacki organ ochrony danych nałożył grzywnę w wysokości 2 000 000 EUR na spółkę zależną Rewe Ö-Bonus Club GmbH. Zapisując się do programu lojalnościowego dla klientów jö Bonus Club, administrator nie wytłumaczył właściwie, że dane i zachowania zakupowe klientów są wykorzystywane do tworzenia indywidualnych profili, a informacje te są również przekazywane firmom partnerskim. Zgodnie z RODO wyjaśnienie musi być łatwo dostępne i napisane prostym językiem. Jednak administrator zaprojektował rejestrację do jö Bonus Club w taki sposób, aby wyjaśnienie dotyczące profilowania można było znaleźć dopiero po przewinięciu w dół. Jednak zgoda została umieszczona wyżej, więc we wszystkich przypadkach zgody uzyskano przed wyjaśnieniem. Z kolei na fizycznych ulotkach pole podpisu umieszczone na dole formularza wyglądało tak, jakby było potwierdzeniem wpisu do klubu, choć stanowiło to również zgodę na profilowanie. Organ ochrony danych stwierdził, że administrator naruszył obowiązek wyrażenia zgody w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W związku z tym uznał zgody za nieważne, a profilowanie dokonywane na ich podstawie za niezgodne z prawem. link
Niemcy 2020 65.000 EUR Firma Art. 32 RODO Organ ochrony danych Dolnej Saksonii nałożył na firmę grzywnę w wysokości 65 000 euro. Powodem postępowania było zgłoszenie przez spółkę do organu naruszenia danych w trybie art. 33 RODO. W rezultacie DPA przeprowadził audyt obecności firmy w sieci. W trakcie tego procesu organ ochrony danych odkrył, że na stronie była używana przestarzała aplikacja sklepu internetowego, która nie była już dostarczana z aktualizacjami zabezpieczeń. Deweloper wyraźnie ostrzegł przed dalszym wykorzystywaniem tej wersji, ponieważ zawierała ona istotne luki w zabezpieczeniach. Dochodzenie organu ochrony danych ujawniło ponadto, że hasła przechowywane w bazie danych nie były wystarczająco zabezpieczone. Organ ochrony danych stwierdził, że środki techniczne podjęte przez stronę odpowiedzialną nie były adekwatne do wymogów ochrony RODO, co skutkowało naruszeniem art. 32 RODO. link
Włochy 2021-07-22 2.500.000 EUR Deliveroo Italy s.r.l. Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 22 (3) RODO, Art. 25 RODO, Art. 30 (1) c), f), g) RODO, Art. 32 RODO, Art. 35 RODO, Art. 37 (7) RODO Włoski organ ochrony danych (Garante) nałożył grzywnę na dostawę jedzenia Deliveroo Italy s.r.l. 2 500 000 EUR za niezgodne z prawem przetwarzanie danych osobowych około 8000 kierowców. Dochodzenie Garante ujawniło liczne i poważne naruszenia ochrony danych. Naruszenia obejmowały brak przejrzystości algorytmów wykorzystywanych do zarządzania kierowcami, zarówno przy przydzielaniu zadań, jak i przy rezerwacji zmian roboczych. Deliveroo korzystał ze scentralizowanego systemu do zarządzania kierowcami, za pomocą którego następnie przetwarzał i zarządzał przydzielaniem zamówień oraz księgowaniem zmian roboczych. Garante zauważa jednak, że kontroler nie informował w odpowiedni sposób kierowców o funkcjonowaniu systemu, który zainstalowali na swoich smartfonach, a także nie zapewniał dokładności i poprawności wyników systemów algorytmicznych wykorzystywanych do oceny sterowników. Ponadto Garante stwierdził, że Deliveroo przeprowadził drobiazgową kontrolę wydajności pracy kierowców – poprzez ciągłą geolokalizację ich urządzenia, co znacznie wykraczało poza to, co było konieczne do przypisania zlecenia (np. rejestrowanie pozycji co 12 sekund) – i poprzez przechowywanie dużej ilości danych osobowych gromadzonych podczas realizacji zamówień, w tym komunikację z obsługą klienta. W tym kontekście okres przechowywania różnych danych nie został określony w sposób odpowiedni do celu. Zamiast tego kontroler określił płaski okres przechowywania na sześć lat. Ponadto Garante stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego bezpieczeństwa przetwarzania. Deliveroo Italy również nie przeprowadziło oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne ze względu na ryzyko, jakie stanowi dla kierowców. link
Hiszpania 2021-08-02 3.000 EUR Club Náutico el Estacio Art. 32 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na Club Náutico el Estacio. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do AEOPD. Skarga polega na tym, że administrator zamieścił na swojej stronie internetowej ogłoszenie i zapis zwyczajnego spotkania klubu, podając dane osobowe bez ograniczeń dostępu. link
Hiszpania 2021-07-27 60.000 EUR PRA Iberia S.L. Art. 6 (1) RODO, Art. 15 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na PRA Iberia S.L. 60 000 euro. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do AEOPD. Podstawą skargi był fakt dochodzenia przez administratora roszczenia wynikającego z umowy, której osoba, której dane dotyczą, nigdy nie zawarła i o której nie wiedział. AEPD wskazuje, że osoba, której dane dotyczą, próbowała skorzystać ze swojego prawa do informacji, ale nie otrzymała odpowiedzi od administratora, która zamiast tego nadal zwiększała odsetki w stosunku do rzekomego długu osoby, której dane dotyczą. link
Rumunia 2021-07-30 200 EUR Osoba prywatna Art. 5 (1) a), b), (2) RODO, Art. 6 (1) RODO, Art. 14 (1), (4) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 200 euro na osobę prywatną z powodu bezprawnego ujawnienia danych osobowych. Administrator ujawnił dane osobowe kilku osób poprzez dystrybucję niektórych materiałów w gospodarstwach domowych gminy oraz poprzez posty na swoim osobistym koncie na Facebooku. Wiązało się to z jednej strony ze zdjęciem zestawienia wynagrodzenia osoby, której dane dotyczą, z którego można było uzyskać m.in. nazwisko, imię, miejsce pracy i wynagrodzenie. Drugim było zdjęcie akt z ewidencji dzieci zapisanych do przedszkola gminnego, w którym ujawniono dane osobowe małoletniego dziecka. Organ ochrony danych uznał, że administrator przetwarzał dane bez podstawy prawnej i nie poinformował osób, których dane dotyczą, o przetwarzaniu ich danych. link
Finlandia 2021-07-05 25.000 EUR Higher Education Institution Art. 5 (1) c) RODO, Art. 6 RODO, § 3 Law 759/2004 Fiński organ ochrony danych nałożył grzywnę w wysokości 25 000 EUR na instytucję szkolnictwa wyższego za naruszenie ochrony danych przy przetwarzaniu danych dotyczących lokalizacji pracowników. Ukarany podmiot wprowadził aplikację mobilną, która pozwalała telepracownikom na wejście i wyjście. Korzystanie z aplikacji na urządzeniu mobilnym wymagało również autoryzacji na gromadzenie danych lokalizacyjnych. Zbieranie danych o lokalizacji w momencie rejestracji było cechą aplikacji, bez której nie można było rejestrować godzin pracy za pomocą aplikacji. Zgodnie z informacjami otrzymanymi od administratora, administrator w żadnej sytuacji nie wykorzystywał aktywnie ani nie wykorzystywał danych dotyczących lokalizacji, a jedynie przetwarzał dane dotyczące lokalizacji w momencie rejestracji ze względów technicznych. Jednak sam fakt, że taktowanie czasu nie jest możliwe w aplikacji bez przetwarzania danych lokalizacyjnych, nie powoduje konieczności ich przetwarzania. Organ ochrony danych uznał zatem, że stanowi to naruszenie legalności gromadzenia danych i zasady minimalizacji danych, ponieważ przetwarzanie danych dotyczących lokalizacji nie było konieczne do celu przetwarzania – tj. samego rejestrowania godzin pracy. link
Hiszpania 2021-07-27 2.000 EUR Stowarzyszenie właścicieli Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na stowarzyszenie właścicieli. Osoba, której dane dotyczą, twierdziła przed organem ochrony danych, że administrator zainstalował kamerę, która rejestrowała zarówno basen, jak i inne części wnętrza domu osoby, której dane dotyczą. link
Hiszpania 2021-07-27 900 EUR Stowarzyszenie właścicieli Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na stowarzyszenie właścicieli. Osoba, której dane dotyczą, twierdziła przed organem ochrony danych, że administrator zainstalował kamerę w jednym ze swoich domów, która rejestrowała zarówno strefę basenu publicznego, jak i części domu osoby, której dane dotyczą. Pierwotna grzywna w wysokości 1500 euro została obniżona do 900 euro z powodu dobrowolnej zapłaty i uznania winy. link
Hiszpania 2021-07-27 2.400 EUR PODEMOS PARTIDO POLÍTICO Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na partię polityczną PODEMOS PARTIDO POLÍTICO. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. W związku z dobrowolną zapłatą i uznaniem winy pierwotna grzywna w wysokości 4000 euro została obniżona do 2400 euro. link
Hiszpania 2021-07-27 10.000 EUR PERSONAL MARK, S.L. Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 10 000 EUR na PERSONAL MARK, SL. Osoba, której dane dotyczą, skarżyła się, że otrzymywała promocyjne wiadomości tekstowe od administratora danych, pomimo kilkukrotnego żądania usunięcia jej danych osobowych z baz danych administratora . link
Hiszpania 2021-07-27 1.000 EUR NEXTSTEPAGENCY, S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną NEXTSTEPAGENCY, S.L. 1000 euro. Na stronie administratora brakowało wiarygodnych danych o właścicielu serwisu, takich jak NIP i adres pocztowy. link
Hiszpania 2021-07-27 500 EUR Operator strony internetowej Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał operatora strony internetowej grzywną w wysokości 500 EUR, ponieważ jego polityka prywatności nie była zgodna z wymogami art. 13 RODO. link
Hiszpania 2021-07-29 3.000 EUR UNIVERSIDAD A DISTANCIA DE MADRID, S.A. Art. 17 (1) RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na UNIVERSIDAD A DISTANCIA DE MADRID, SA. Osoba, której dane dotyczą, złożyła skargę na uniwersytet zajmujący się nauczaniem na odległość. Stwierdził, że zwrócił się do administratora o usunięcie wszystkich jego danych oraz zakazanie ich przetwarzania w jakimkolwiek celu. Otrzymał potwierdzenie, że jego dane zostały całkowicie usunięte. Niemniej jednak osoba, której dane dotyczą, otrzymała później reklamę od administratora za pośrednictwem poczty elektronicznej. AEPD nałożyła wówczas grzywnę w wysokości 5 000 euro, która została obniżona do 3 000 euro z powodu uznania winy i natychmiastowej zapłaty. link
Luksemburg 2021-07-16 746.000.000 EUR Amazon Europe Core S.à r.l. nieznany W swoim raporcie kwartalnym Amazon.com Inc. poinformował, że luksemburski organ ochrony danych (CNPD) ukarał grzywną Amazon Europe Core S.à r.l. 746 000 000 EUR za nieprzetwarzanie danych osobowych zgodnie z RODO. Amazon planuje podjąć kroki prawne przeciwko tej decyzji. link
Hiszpania 2021-07-26 2.520.000 EUR Mercadona S.A. Art. 5 (1) c) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 (1) RODO, Art. 35 RODO Hiszpański organ ochrony danych (AEPD) ukarał Mercadonę S.A. grzywną w wysokości 2 520 000 EUR. Administrator zainstalował systemy rozpoznawania twarzy w sklepach Mercadona w celu śledzenia osób skazanych za przestępstwa lub zakazów zbliżania się. System pochwycił wszystkich, którzy weszli do sklepów, w tym nieletnich i pracowników MERCADONY. Podczas dochodzenia organ ochrony danych wykrył liczne naruszenia prywatności. Na przykład system naruszył zasadę minimalizacji danych, zasadę konieczności i proporcjonalności, ponieważ administrator mógł przetwarzać wiele danych biometrycznych – poza celami systemu. Ponadto organ ochrony danych stwierdził, że ocena wpływu firmy Mercadona na prywatność była niewystarczająca, ponieważ nie uwzględniała szczególnych i wyjątkowych zagrożeń dla pracowników Mercadony, jakie stwarza przetwarzanie danych za pomocą systemów rozpoznawania twarzy. Ponadto MERCADONA naruszyła swój obowiązek informowania, nie przekazując w odpowiedni sposób osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych. Pierwotna kara w wysokości 3 150 000 euro składała się z 500 000 euro z powodu naruszenia art. 5 ust. 1 lit. c), 2 000 000 EUR z powodu naruszenia art. 6 i art. 9 RODO 100 000 EUR z tytułu naruszenia art. 12 i art. 13 RODO 500 000 EUR z tytułu naruszenia art. 25 ust. 1 RODO oraz 50 000 euro z tytułu naruszenia art. 35 RODO. Pierwotna grzywna została obniżona do 2 250 000 EUR z powodu dobrowolnej zapłaty. link
Francja 2021-07-26 400.000 EUR Monsanto Company Art. 14 RODO, Art. 28 RODO Francuski organ ochrony danych (CNIL) nałożył na MONSANTO grzywnę w wysokości 400 000 EUR. W maju 2019 r. kilka mediów ujawniło, że MONSANTO posiadało akta zawierające dane osobowe ponad 200 polityków lub członków społeczeństwa obywatelskiego (np. dziennikarzy, działaczy ekologicznych, naukowców lub rolników), którzy mogą wpływać na debatę lub opinię publiczną na temat odnowienie zezwolenia na glifosat w Europie. W tym samym czasie CNIL otrzymała siedem skarg od osób, których dane dotyczą, których dotyczy ta sprawa. W przypadku każdej z tych osób plik zawierał informacje, takie jak organizacja, do której należała, zajmowane stanowisko, adres służbowy, numer telefonu służbowego, numer telefonu komórkowego, firmowy adres e-mail, a w niektórych przypadkach konto na Twitterze. Ponadto CNIL zauważył, że każdej osobie przypisano punktację od 1 do 5, aby ocenić jej wpływ, wiarygodność i wsparcie dla Monsanto w różnych kwestiach. Organ ochrony danych uważa, że ​​firma naruszyła przepisy RODO nie informując osób, których dane dotyczą, że ich dane zostały zapisane w tym pliku. Ponadto CNIL skarżył się, że przedsiębiorstwo nie udzieliło gwarancji umownych, które normalnie powinny regulować stosunki z podwykonawcą. Tworzenie plików kontaktowych przez interesariuszy do celów lobbingowych samo w sobie nie jest nielegalne. CNIL podkreśliła jednak, że osoby, których dane dotyczą, mają jednak prawo do uzyskania informacji o istnieniu pliku w celu skorzystania z dodatkowych praw, w szczególności prawa do sprzeciwu. Ponadto CNIL ustaliła, że ​​gromadzenie danych zostało przeprowadzone przez dostawcę, z którym zawarto umowę z Monsanto oraz że Monsanto naruszyło art. 28 ogólnego rozporządzenia o ochronie danych, nie umieszczając w swoich umowach z podmiotem przetwarzającym danych przepisów przewidzianych w RODO, w zakresie bezpieczeństwa danych. link
Hiszpania 2021-07-26 2.000 EUR Fincas Miguel García S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną Fincas Miguel García S.L. w wysokości 2000 euro. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi, zarzucając naruszenie art. 13 RODO. Organ ochrony danych uznał, że informacje przekazane osobie, której dane dotyczą przez administratora, nie były zgodne z przepisami art. 13 RODO, ponieważ brakowało istotnych aspektów, takich jak informacje o celach przetwarzania, dla których zbierane są dane osobowe i jego podstawie prawnej, a także informacji o prawnie uzasadnionych interesach administratora uzasadniających przetwarzanie, którego dane osobowe będą przechowywane oraz prawo do cofnięcia zgody w dowolnym momencie. link
Hiszpania 2021-07-26 2.000 EUR Intersumi S.C. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na Intersumi S.C. Administrator nie przedstawił odpowiedniego oświadczenia o ochronie prywatności na swojej stronie internetowej. link
Włochy 2021-05-27 150.000 EUR Azienda Provinciale per i Servizi Sanitari di Trento Art. 5 (1) a), f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda Provinciale per i Servizi Sanitari di Trento grzywnę w wysokości 150 000 EUR. Kontroler przypadkowo przekazał swoim lekarzom rodzinnym 293 raporty medyczne 175 pacjentów, mimo że pacjenci poprosili o nieprzesyłanie raportów swoim lekarzom rodzinnym. Wśród pacjentek, o których mowa, było dwoje nieletnich i kilka kobiet, które przeszły aborcję. Dochodzenie przeprowadzone przez Garante wykazało, że dane zostały przypadkowo przesłane z powodu błędu w oprogramowaniu, które zarządza raportami pacjentów. link
Włochy 2021-05-27 120.000 EUR Azienda Usl della Romagna Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda Usl della Romagna grzywnę w wysokości 120 000 EUR. Lokalne władze zdrowia Romagna przypadkowo przekazały lekarzowi ogólnemu raport pacjentki dotyczący aborcji. Jednak pacjentka poprosiła, aby nie informować o tym swojego lekarza rodzinnego. Raport został przekazany za pośrednictwem regionalnej sieci „Sole”. Dochodzenie przeprowadzone przez Garante ujawniło, że dane zostały przypadkowo przesłane z powodu błędu w oprogramowaniu, które zarządza przyjęciami, wypisami i transferami pacjentów. link
Francja 2021-07-20 1.750.000 EUR SGAM AG2R LA MONDIALE Art. 5 (1) e) RODO, Art. 13 RODO, Art. 14 RODO Francuski organ ochrony danych (CNIL) nałożył grzywnę na prywatnego ubezpieczyciela SGAM AG2R LA MONDIALE w wysokości 1 750 000 EUR. CNIL przeprowadził kontrolę w grupie AG2R LA MONDIALE w 2019 r. Przy tej okazji CNIL stwierdził, że administrator przechowywał dane milionów osób przez zbyt długi okres i nie wywiązał się z ich obowiązków informacyjnych w kontekście telefonicznych kampanii akwizycyjnych. W odniesieniu do danych prospektów administrator nie dotrzymał maksymalnego okresu przechowywania wynoszącego trzy lata określonego w ramach odniesienia oraz w rejestrze przetwarzania Grupy. W rezultacie administrator zachował dane blisko 2000 klientów, którzy nie mieli kontaktu z administratorem od ponad trzech lat, a w niektórych przypadkach od pięciu lat. W odniesieniu do danych klientów administrator nie przestrzegał maksymalnych ustawowych okresów przechowywania określonych w Kodeksie Ubezpieczeń i Kodeksie Handlowym. W tym przypadku administrator zatrzymał dane ponad 2 milionów klientów, z których część była wrażliwa (zdrowie) lub specyficzna (dane bankowe), poza prawnie dozwolonymi okresami przechowywania po zakończeniu umowy. link
Holandia 09.04.2021 750.000 EUR TikTok Art. 12 RODO Holenderski organ ochrony danych (AP) nałożył na portal wideo TikTok grzywnę w wysokości 750 000 EUR za naruszenie prywatności małych dzieci. Informacje, które holenderscy użytkownicy – ​​głównie małe dzieci – otrzymali od TikTok podczas instalacji i korzystania z aplikacji, były w języku angielskim, a zatem nie były łatwe do zrozumienia. Nie udostępniając polityki prywatności w języku niderlandzkim, TikTok nie wyjaśnił odpowiednio, w jaki sposób aplikacja gromadzi, przetwarza i ponownie wykorzystuje dane osobowe. Organ ochrony danych uznał to za naruszenie obowiązku informacyjnego firmy. link
Polska 2021-06-30 3.000 EUR Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra Art. 33 (1) RODO, Art. 34 (1) RODO Urząd Ochrony Danych (UODO) nałożył karę w wysokości 3 000 euro na Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra za promowanie mediacji i edukacji prawnej. Administrator nie poinformował niezwłocznie organu ochrony danych i osób, których dane dotyczą, o naruszeniu ochrony danych osobowych. Kilka folderów zawierających dane osobowe zostało skradzionych administratorowi na początku 2020 r. Były to nazwiska, adresy i numery telefonów, aw 3-4 przypadkach także numery PESEL 96 osób, których dane dotyczą. link
Hiszpania 2021-07-12 45.000 EUR Telefónica Móviles España, S.A.U Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Telefónica Mobiles España, S.A.U. 45 000 euro. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do organu ochrony danych. Jego skarga polegała na tym, że jego numer telefonu i profil klienta były wykorzystywane przez pracowników kontrolera do przeprowadzania testów w call center i oddziałach bez jego zgody. W rezultacie osoba, której dane dotyczą, otrzymała 247 niechcianych połączeń od administratora. Pierwotna kara w wysokości 75 000 euro została obniżona do 45 000 euro z powodu natychmiastowej zapłaty i uznania odpowiedzialności. link
Grecja 2021-07-08 5.000 EUR Pediatra Art. 12 (1) RODO, Art. 15 (1) RODO Grecki organ ochrony danych nałożył na pediatrę grzywnę w wysokości 5 000 euro. Ojciec poprosił ukarany podmiot o wgląd do dokumentacji medycznej zawartej w aktach pacjenta jego dziecka za pośrednictwem poczty elektronicznej. Administrator nie zastosował się jednak do tego żądania. link
Hiszpania 2021-07-01 6.000 EUR Osoba prywatna Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 6000 euro. 8 lipca 2020 r. organ ochrony danych dowiedział się o rozpowszechnieniu w sieciach społecznościowych filmu przedstawiającego obrazy agresji mężczyzny wobec kobiety, a także młodego nieletniego mężczyznę interweniującego na scenie i próbującego zapobiec agresji, która miała miejsce miejsce. Jednak twarze kobiety i nieletniego nie były pikselowane. Pierwotna grzywna w wysokości 10 000 euro została obniżona do 6 000 euro z powodu terminowej zapłaty i przyznania się do winy. link
Hiszpania 2021-07-01 1.000 EUR Nieznany Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 1000 euro. Administrator wykorzystał dane osobowe osoby trzeciej w celu uzyskania mikrokredytu. Organ ochrony danych stwierdza, że ​​administrator nie miał podstawy prawnej do przetwarzania, a tym samym naruszył art. 6 ust. 1 RODO. link
Hiszpania 2021-07-07 2.000 EUR Stowarzyszenie Właścicieli Domów Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która rejestrowała również przestrzeń publiczną z naruszeniem zasady minimalizacji danych. link
Hiszpania 2021-07-02 1.500 EUR Osoba prywatna Art. 6 (1) a) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ta osoba prywatna opublikowała dane osobowe osoby, której dane dotyczą, na stronie internetowej bez jej zgody. Dane obejmowały zdjęcia, osobiste notatki oraz informacje o stosunku seksualnym pomiędzy administratorem a osobą, której dane dotyczą. Organ ochrony danych stwierdza, że ​​administrator przetwarzał te dane bez ważnej podstawy prawnej, a tym samym naruszył art. 6 ust. 1 lit. a RODO. link
Hiszpania 2021-07-06 4.200 EUR Marbella Resorts S.L. Art. 28 (3) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Marbella Resorts SL grzywnę w wysokości 7 000 euro. W przedmiotowej sprawie osoba, której dane dotyczą, zarezerwowała pokój w kompleksie hotelowym administratora. W dniu przyjazdu osoby, której dane dotyczą, pracownik hotelu wykonał kopie danych osoby, której dane dotyczą. Jednak pracownik hotelu nie był do tego upoważniony. Był on upoważniony wyłącznie do weryfikacji rezerwacji, a następnie do wydania gościom kluczy do pokoju. Po przekazaniu administratorowi swoich danych osobowych osoba, której dane dotyczą, odkryła, że ​​jej dane osobowe zostały opublikowane na stronie zawierającej treści internetowe dla osób pełnoletnich. W tym zakresie organ ochrony danych stwierdził brak staranności administratora w zarządzaniu danymi osobowymi swoich klientów, a tym samym naruszenie art. 28 ust. 3 RODO. Kara za naruszenie art. 22 ust. 2 LSSI i 5000 EIR za naruszenie art. 28 ust. 3 RODO. Pierwotna grzywna w wysokości 7 000 euro została jednak obniżona do 4 200 euro ze względu na natychmiastową zapłatę i przyznanie się do winy. link
Hiszpania 2021-07-09 1.500 EUR Aparcamiento Arcusa S.L.U. Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 EUR na Aparcamiento Arcusa S.L.U. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 1000 euro za naruszenie art. 5 ust. 1 lit. c RODO i 500 euro za naruszenie art. 13 RODO. link
Luksemburg 2021-07-29 12.500 EUR Nieznany Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 12 500 euro. Firma zainstalowała system monitoringu wizyjnego w celu ochrony mienia firmy, zabezpieczenia dostępu do miejsc prywatnych i miejsc wysokiego ryzyka oraz zapewnienia bezpieczeństwa użytkowników i zapobiegania wypadkom. Jednak kamery nadmiernie rejestrowały również fragmenty przestrzeni publicznej i miejsca pracy pracowników. Organ ochrony danych stwierdza, że ​​administrator naruszył w ten sposób zasadę minimalizacji danych na podstawie art. 5 ust. 1 lit. c RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. link
Dania 2021-07-16 67.900 EUR Region Syddanmark Art. 32 RODO Duński organ ochrony danych (Datatilsynet) nałożył na region Syddanmark grzywnę w wysokości 67 900 EUR za niedopełnienie obowiązku administratora danych w zakresie wdrożenia odpowiednich środków bezpieczeństwa. Sprawa zwróciła uwagę Urzędu Ochrony Danych, gdy w 2020 r. obywatel złożył skargę do organu na brak bezpieczeństwa przetwarzania danych osobowych dziecka obywatela przez województwo, a niedługo potem region zgłosił sprawę do organu jako naruszenie danych osobowych. Region Syddanmark utrzymywał bazę danych do celów badawczych i klinicznych przez okres ponad 1,5 roku, w związku z czym baza danych nie była odpowiednio zabezpieczona przed nieuprawnionym dostępem. Manipulując adresami URL, można było uzyskać dostęp do dokumentów PDF przechowywanych w bazie danych. Umożliwiło to obywatelom, którzy byli zarejestrowani w bazie - i którzy mieli również login do bazy - dostęp do danych osobowych osób zarejestrowanych w bazie. Baza danych zawierała kwestionariusze z informacjami o stanie zdrowia ponad 30 000 dzieci objętych opieką psychiatryczną. link
Niemcy 2020 7.000 EUR Nieznany Art. 58 (1) f) RODO Bawarski organ ochrony danych nałożył na firmę grzywnę. Administrator odmówił dostępu do pomieszczeń przedsiębiorstwa i sprzętu do przetwarzania danych podczas kontroli na miejscu przeprowadzonej przez organ ochrony danych na podstawie art. 58 ust. 1 lit. f) RODO. Organ ochrony danych nałożył wówczas grzywnę w wysokości 20 000 euro, którą jednak sąd rejonowy obniżył do 7 000 euro. link
Dania 2021-07-09 80.700 EUR Medicals Nordic I/S Nieznany Duński organ ochrony danych (Datatilsynet) nałożył na Medicals Nordic I/S grzywnę w wysokości 80 700 EUR. W styczniu 2021 r. organ ochrony danych dowiedział się, że Medicals Nordic używa WhatsApp do przesyłania poufnych informacji i danych dotyczących zdrowia obywateli testowanych w centrach testowych firmy. Wszyscy pracownicy pracujący w centrum testowym zostali zaproszeni do grupy WhatsApp powiązanej z centrum testowym. Członkowie tych grup WhatsApp otrzymywali wszystkie wiadomości przesyłane przez innych pracowników w grupach. Pracownicy udostępnili poufne informacje o obywatelach centralnej administracji firmy za pośrednictwem tych grup WhatsApp. Oznaczało to, że pracownicy, którzy nie mieli związanej z pracą potrzeby przetwarzania informacji – które inni pracownicy musieli przekazać do administracji centralnej – mimo to otrzymywali informacje. link
Chorwacja 2021-07-05 Nieznana Firma ubezpieczeniowa Art. 13 RODO, Art. 14 RODO, Art 27 (1) of the National Implementation Law Organ ochrony danych z urzędu, bez uprzedniego powiadomienia, przeprowadził bezpośredni nadzór nad firmą ubezpieczeniową z siedzibą w Zagrzebiu. Po przeprowadzeniu kontroli swojego obiektu biznesowego w celu przeprowadzenia przeglądów technicznych oraz rejestracji pojazdów i kontraktowania usług ubezpieczeniowych, organ ochrony danych ustalił, że zarówno obiekt biznesowy, jak i jego powierzchnia zewnętrzna są objęte monitoringiem wideo. UOKiK ustalił jednak, że zakład ubezpieczeń nie zgłosił takiego nadzoru, co jest sprzeczne z art. 27 ust. 1 ustawy o wdrożeniu RODO. Mianowicie administratorzy danych i podmioty przetwarzające mają obowiązek wskazać, że obiekt i jego zewnętrzna powierzchnia są objęte monitoringiem wideo, a taka informacja musi być widoczna najpóźniej przy wejściu w obszar nagrania i musi zawierać wszystkie wymagane informacje. W związku z naruszeniem organ ochrony danych nałożył na firmę ubezpieczeniową karę administracyjną. link
Hiszpania 2021-07-08 4.000 EUR Malagatrom S.L.U. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na Malagatrom S.L.U. Osoba, której dane dotyczą, nabyła produkt od administratora za pośrednictwem platformy „Amazon”, który został dostarczony wadliwie. Osoba, której dane dotyczą, postanowiła następnie pozostawić negatywną opinię na stronie sklepu administratora z powodu wadliwej dostawy. Następnie administrator opublikował dane osobowe osoby, której dane dotyczą, takie jak imię i nazwisko, adres, numer telefonu komórkowego oraz imię i nazwisko żony i jej numer telefonu komórkowego na stronie sklepu pozwanego w portalu Amazon. link
Hiszpania 2021-07-08 50.000 EUR Caixabank S.A. Art. 6 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Caixabank SA karę w wysokości 50 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymała reklamę handlową od administratora danych, mimo że sprzeciwiła się przetwarzaniu jej danych w celach reklamowych a administrator odpowiedział, że zastosuje się do tego żądania. link
Luksemburg 2021-06-11 15.000 EUR Nieznany Art. 38 (1), (3) RODO, Art. 39 (1) a), b) RODO Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 15 000 euro. Podczas dochodzenia organ ochrony danych stwierdził, że administrator nie angażował w wystarczającym stopniu inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych. Ponadto administrator nie zapewnił inspektorowi ochrony danych wystarczającej autonomii. Wreszcie inspektor ochrony danych nie przeszedł wystarczającego przeszkolenia, aby móc właściwie i niezależnie doradzać i informować administratora. link
Wielka Brytania 2021-07-05 29.000 EUR Mermaids Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO ICO nałożyła grzywnę na transseksualną organizację charytatywną Mermaids w wysokości 29 000 EUR za brak ochrony danych osobowych swoich użytkowników, z naruszeniem art. 5 ust. 1 lit. f) RODO i art. 32 (1), (2) RODO Wielkiej Brytanii. ICO przeprowadziło dochodzenie po otrzymaniu zgłoszenia o naruszeniu danych dotyczących wewnętrznej grupy e-mail. Podczas dochodzenia ICO odkryło, że grupa została utworzona z niewystarczająco bezpiecznymi ustawieniami, w wyniku czego około 780 stron poufnych wiadomości e-mail było dostępnych w Internecie przez prawie trzy lata. Spowodowało to, że dane osobowe, takie jak nazwiska i adresy e-mail, 550 osób były online. ICO stwierdza, że ​​Mermaids powinna mieć ograniczony dostęp do swojej grupy e-mailowej i mogła rozważyć pseudonimizację lub szyfrowanie, aby zapewnić dodatkową ochronę danych osobowych. Organizacje odpowiedzialne za dane osobowe muszą zapewnić podjęcie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. link
Holandia 2021-05-31 450.000 EUR UWV (holenderski dostawca usług ubezpieczeniowych dla pracowników) Art. 32 RODO Holenderski organ ochrony danych (AP) nałożył grzywnę na UWV (holenderski dostawca usług ubezpieczeniowych dla pracowników – „Uitvoeringsinstituut Werknemersverzekeringen”) w wysokości 450 000 EUR. UWV nie zabezpieczyło właściwie wysyłania wiadomości grupowych za pośrednictwem środowiska „Mój skoroszyt”. Jest to osobiste środowisko na stronie internetowej UWV, w którym osoby poszukujące pracy mają kontakt z UWV. W rezultacie doszło do wielu wycieków danych osobowych, w tym informacji dotyczących zdrowia, łącznie od ponad 15 000 osób. link
Włochy 2021-06-10 20.000 EUR Dentysta Art. 5 (1) a), c) RODO Włoski organ ochrony danych (Garante) ukarał dentystę grzywną w wysokości 20 000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko dentyście za odmowę leczenia po tym, jak osoba, której dane dotyczą, wskazała, że ​​jest nosicielem wirusa HIV w swoim formularzu historii medycznej. W gabinecie stomatologicznym powszechną praktyką było wypełnianie przez pacjentów przed leczeniem formularza wywiadu, który zawierał pytania dotyczące przebytych, istniejących lub podejrzewanych chorób zakaźnych (np. gruźlicy, zapalenia wątroby, HIV). Organ ochrony danych uznał to za naruszenie zasad legalności. Stwierdził, że uzasadnione jest żądanie takich informacji w celu lepszego planowania leczenia. Niedopuszczalne było jednak zbieranie takich informacji, a następnie odmawianie pacjentowi leczenia. link
Luksemburg 2021-06-11 7.600 EUR Nieznany Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 7600 euro. Firma ta zainstalowała system monitoringu wideo w celu ochrony majątku firmy, zapobiegania wtargnięciu osób nieupoważnionych oraz zapobiegania wypadkom. Jednak dwie z kamer obejmowały również części ulicy publicznej, a sześć kamer obejmowało miejsca pracy niektórych pracowników Organ ochrony danych stwierdza, że ​​rejestracja pracowników i ulicy publicznej nie była konieczna do zapewnienia celów związanych z nadzorem wideo i była zatem nieproporcjonalna. Organ ochrony danych stwierdza, że ​​administrator naruszył w ten sposób zasadę minimalizacji danych na podstawie art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził, że administrator nie dopełnił swoich obowiązków informacyjnych wynikających z art. 13 RODO. link
Luksemburg 2021-06-11 7.200 EUR Nieznany Art. 5 (1) c), e) RODO, Art. 13 RODO, Art. 32 (1) RODO Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 7200 euro. Firma zainstalowała system monitoringu wizyjnego, aby chronić majątek firmy, zapobiegać wtargnięciu osób nieupoważnionych i zapobiegać wypadkom. Jednak kamery uchwyciły również części miejsca pracy pracownika i miejsca dla palących, z których pracownicy często korzystali. Ponadto ukarany podmiot zainstalował czujniki lokalizacyjne w samochodach należących do swojej floty. Miało to na celu optymalizację działalności firmy. Organ ochrony danych stwierdza, że ​​rejestracja pracowników nie była konieczna do realizacji celów związanych z nadzorem wideo, a zatem była nieproporcjonalna. Organ ochrony danych stwierdza, że ​​administrator naruszył w ten sposób zasadę minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO. Dane lokalizacyjne zebrane przez administratora były przechowywane przez okres ośmiu miesięcy, chociaż nie byłoby to konieczne do celów przetwarzania. Organ ochrony danych uznał to za naruszenie zasady zatrzymywania danych. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO. Wreszcie organ ochrony danych stwierdził naruszenie art. 32 ust. 1 RODO. Wszystkie osoby, które miały autoryzowany dostęp do oprogramowania, za pomocą którego można było śledzić lokalizacje, korzystały z tego samego konta, a nie z konta indywidualnego link
Włochy 2021-05-13 84.000 EUR Gmina Bolzano Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 RODO, Art. 35 RODO Włoski organ ochrony danych (Garante) nałożył na gminę Bolzano grzywnę w wysokości 84 000 euro. Były pracownik gminy złożył skargę do organu ochrony danych na gminę. W szczególności były pracownik skarżył się, że gmina przetwarzała dane osobowe związane z korzystaniem przez niego z internetu w godzinach pracy oraz że później otrzymał zawiadomienie o wszczęciu postępowania dyscyplinarnego, zarzucając mu korzystanie z Facebooka przez ponad 40 minut i YouTube przez ponad 3 godziny w godzinach pracy oraz korzystania z komputera gminy do celów prywatnych. Dochodzenie organu ochrony danych ujawniło, że gmina od około dziesięciu lat korzysta z systemu kontroli i filtrowania przeglądania Internetu przez pracowników, z comiesięcznym zatrzymywaniem danych i tworzeniem specjalnych raportów do celów bezpieczeństwa sieci. System zbierał również informacje, które nie miały nic wspólnego z działalnością zawodową, a w każdym razie dotyczyły życia prywatnego danej osoby. Organ ochrony danych stwierdza, że ​​administrator naruszył w ten sposób zasadę minimalizacji danych, legalności i ograniczenia celu. Administrator powinien raczej podjąć mniej inwazyjne środki, aby zapobiec prywatnemu korzystaniu z Internetu. Organ ochrony danych wskazał, że konieczność ograniczenia ryzyka niewłaściwego korzystania z nawigacji internetowej nie może prowadzić do całkowitego wyeliminowania jakiejkolwiek prywatności osoby, której dane dotyczą w miejscu pracy, nawet w przypadku korzystania przez pracownika z usług sieciowych świadczonych przez pracodawcę. Ponadto administrator nie poinformował odpowiednio pracowników o gromadzeniu historii Internetu, co stanowi naruszenie obowiązku wynikającego z art. 13 RODO. Ponadto w toku śledztwa zidentyfikowano inne naruszenia w przetwarzaniu danych związane z wnioskami pracowników o nadzwyczajne badania lekarskie, które zostały złożone na specjalnym formularzu. Dostarczony przez administratora formularz musiał zostać sprawdzony przez kierownika jednostki organizacyjnej, co doprowadziło do niezgodnego z prawem przetwarzania danych dotyczących zdrowia. link
Dania 2021-07-07 53.800 EUR Nordbornholms Byggeforretning Aps Art. 5 RODO, Art. 6 RODO Duński organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 53 800 EUR na Nordbornholms Byggeforretning Aps. W 2018 r. z organem ochrony danych skontaktowała się osoba, której dane dotyczą, która skarżyła się, że jego były pracodawca, Nordbornholms Byggeforretning ApS, ujawnił informacje na jego temat klientom firmy. Ukarany podmiot wysłał wiadomość e-mail do dwóch klientów spółki, informując ich, że były pracownik popełnił przestępstwa w trakcie zatrudnienia i przyznał się do ich popełnienia, a także szczegółowo opisując rzekomy przebieg zdarzeń. Zdaniem DPA administrator miał w takim przypadku prawnie uzasadniony interes w ujawnieniu swoim klientom informacji o zwolnieniu byłego pracownika oraz w poinformowaniu klientów, że w konsekwencji pracownik nie może zawierać żadnych umów w imieniu spółki. Jednak tak szczegółowy opis zarzutów nie był konieczny, a tym samym niezgodny z prawem. link
Chorwacja 2021-07-05 Nieznana Firma świadcząca usługi IT Art. 32 (1) b), (2) RODO Chorwacka firma informatyczna świadczy usługi informatyczne takim podmiotom jak operatorzy telefonii komórkowej, banki i instytucje państwowe w Chorwacji, a także firmom za granicą (USA, Wielka Brytania, Holandia itp.), pełniąc tym samym funkcję podmiotu przetwarzającego dane osobowe dane. Administrator danych, czyli firma telekomunikacyjna korzystająca z usług dostawcy IT, poinformowała organ ochrony danych oraz jego użytkowników o potencjalnym naruszeniu danych osobowych przez dostawcę IT. Incydent polegał na naruszeniu bezpieczeństwa, które doprowadziło do nieuprawnionego dostępu i przetwarzania danych osobowych przez hakerów i dotyczyło danych osobowych 28 085 respondentów. Incydent miał miejsce, ponieważ dostawca IT nie podjął niezbędnych środków w celu osiągnięcia odpowiedniego poziomu bezpieczeństwa zgodnie z istniejącymi i przewidywalnymi zagrożeniami. Dostawca IT, jako przetwarzający dane, był zobowiązany do podjęcia odpowiednich technicznych środków bezpieczeństwa w taki sposób, aby zapewnić stałą poufność systemu, w tym do regularnego testowania, ewaluacji i oceny skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanie. Oceniając odpowiedni poziom bezpieczeństwa, dostawca IT powinien był w szczególności uwzględnić ryzyko nieuprawnionego ujawnienia danych osobowych. W związku z niepodjęciem odpowiednich środków technicznych zapewniających bezpieczeństwo przetwarzania danych osobowych, DPA nałożył na dostawcę IT karę administracyjną. Wysokość grzywny na chwilę obecną nie jest znana. W swojej decyzji DPA wziął pod uwagę charakter działalności dostawcy IT, którego rolą powinno być wspieranie innych podmiotów poprzez opinie i wytyczne, proponowanie rozwiązań w zakresie wdrażania aplikacji internetowych, a w szczególności projektowanie i wdrażanie odpowiednich środków technicznych. link
Finlandia 2021-06-24 8.500 EUR Wydawca czasopisma Art. 5 (1) a) RODO, Art. 7 (2), (4) RODO, Art. 12 (2) RODO, Art. 21 (2) RODO, Art. 24 (1) RODO, Art. 28 (1), (3) RODO Fiński organ ochrony danych nałożył na wydawcę czasopisma grzywnę w wysokości 8500 euro. Organ ochrony danych otrzymał cztery skargi przeciwko wydawcy czasopisma dotyczące niezamówionej reklamy telefonicznej. Administrator prowadził marketing bezpośredni za pomocą automatycznego systemu wywołującego, bez ważnej zgody odbiorców połączeń. W szczególności administrator uzyskał widoczną zgodę na marketing bezpośredni, gdy klient na przykład zaprenumerował magazyn na swojej stronie internetowej. Prenumerator magazynu był zobowiązany do zaakceptowania warunków prenumeraty i umowy, w tym zgody na marketing bezpośredni. Brak zgody na marketing bezpośredni uniemożliwia prenumeratę czasopisma. Organ ochrony danych stwierdza, że ​​zgoda i sposób jej uzyskania były niezgodne z RODO. Rzeczywiście, zgoda nie była wyraźnie wymagana w przypadku marketingu bezpośredniego, a zgoda zebrana wraz z warunkami subskrypcji i umowy nie stanowiła dobrowolnej zgody w celu marketingu bezpośredniego. Ponadto osoby, których dane dotyczą, nie miały możliwości skorzystania z prawa do sprzeciwu ze względu na fakt, że połączenia w ramach marketingu bezpośredniego były wykonywane przy użyciu automatycznych systemów wywołujących, a boty głosowe nie mogły zrozumieć konkretnych pytań osób, których dane dotyczą, dotyczących ich danych. Ponadto wydawca czasopisma zlecił call center przeprowadzenie kampanii reklamowej i nie uregulował swoich czynności przetwarzania w umowie o zlecone przetwarzanie. link
Szwecja 2021-06-21 1.600.000 EUR Storstockholms Lokaltrafik Art. 5 (1) a), c) RODO, Art. 6 (1) f) RODO, Art. 13 RODO Szwedzki organ ochrony danych nałożył grzywnę na Storstockholms Lokaltrafik (Sztokholmskie Przedsiębiorstwo Transportowe) w wysokości 1 600 000 EUR. Ukarany podmiot wyposażył kontrolerów biletów w noszone na ciele kamery, które miały na celu zapobieganie groźnym sytuacjom, incydentom związanym z dokumentami i zapewnienie, że właściwa osoba zostanie ukarana grzywną za podróżowanie środkami transportu publicznego w Sztokholmie bez ważnego biletu. Kontrolerzy biletów byli zobowiązani do utrzymywania kamery włączonej przez całą zmianę, dzięki czemu mogli sfilmować wszystkich pasażerów, którzy minęli kontrolera. Ponieważ kilkaset tysięcy osób codziennie korzysta z transportu publicznego w Sztokholmie, duża liczba osób była zagrożona monitorowaniem za pomocą nagrań wideo i audio. Organ ochrony danych uważa, że ​​technologię kamer noszonych na ciele można wykorzystać do zapobiegania i dokumentowania sytuacji zagrażających, ale czas nagrywania wstępnego należy skrócić do maksymalnie 15 sekund, ponieważ dłuższy czas nagrywania wstępnego nie jest konieczny do osiągnięcia powyższego. wymienionych celów. Ponadto organ ochrony danych stwierdził, że nagrania dźwiękowe nie przyczyniły się do identyfikacji osób bez ważnego biletu. Organ ochrony danych uznał zatem nagrania audio za naruszenie zasad legalności i przejrzystości oraz minimalizacji danych. Organ ochrony danych skrytykował również kontrolera za brak wystarczających informacji na temat nadzoru kamer, w tym za rejestrowanie nie tylko obrazów, ale także dźwięków. link
Finlandia 2021-06-24 20.000 EUR UAB VS FITNESS Art. 5 (1) a), c) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 RODO, Art. 35 (1) RODO Litewski organ ochrony danych (VDAI) nałożył na UAB VS FITNESS grzywnę w wysokości 20 000 euro. Po otrzymaniu od osoby fizycznej zawiadomienia o konieczności zeskanowania odcisku palca w celu skorzystania z usług klubu sportowego należącego do ukaranego podmiotu, organ ochrony danych wszczął śledztwo przeciwko administratorowi. W wyniku przeglądu organu ochrony danych stwierdzono, że zgoda udzielona przez klientów na przetwarzanie wzorów ich odcisków palców nie była dobrowolna, ponieważ nie istniały inne środki identyfikacji. Ponadto organ ochrony danych stwierdził, że administrator bezprawnie przetwarzał również odciski palców pracowników. Administrator nie określił również, w jakim celu i na jakiej podstawie prawnej przetwarzał dane biometryczne pracowników. Nie przeprowadził również oceny skutków dla ochrony danych i nie wykazał konieczności i proporcjonalności przetwarzania odcisków palców pracowników. Ponadto organ ochrony danych stwierdza, że ​​administrator nie wywiązał się ze swoich obowiązków informacyjnych zgodnie z art. 13 RODO. link
Szwecja 2021-06-21 1.600.000 EUR Storstockholms Lokaltrafik Art. 5 (1) a), c) RODO, Art. 6 (1) f) RODO, Art. 13 RODO Szwedzki organ ochrony danych nałożył grzywnę na Storstockholms Lokaltrafik (Sztokholmskie Przedsiębiorstwo Transportowe) w wysokości 1 600 000 EUR. Ukarany podmiot wyposażył kontrolerów biletów w noszone na ciele kamery, które miały na celu zapobieganie groźnym sytuacjom, incydentom związanym z dokumentami i zapewnienie, że właściwa osoba zostanie ukarana grzywną za podróżowanie środkami transportu publicznego w Sztokholmie bez ważnego biletu. Kontrolerzy biletów byli zobowiązani do utrzymywania kamery włączonej przez całą zmianę, dzięki czemu mogli sfilmować wszystkich pasażerów, którzy minęli kontrolera. Ponieważ kilkaset tysięcy osób codziennie korzysta z transportu publicznego w Sztokholmie, duża liczba osób była zagrożona monitorowaniem za pomocą nagrań wideo i audio. Organ ochrony danych uważa, że ​​technologię kamer noszonych na ciele można wykorzystać do zapobiegania i dokumentowania sytuacji zagrażających, ale czas nagrywania wstępnego należy skrócić do maksymalnie 15 sekund, ponieważ dłuższy czas nagrywania wstępnego nie jest konieczny do osiągnięcia powyższego. wymienionych celów. Ponadto organ ochrony danych stwierdził, że nagrania dźwiękowe nie przyczyniły się do identyfikacji osób bez ważnego biletu. Organ ochrony danych uznał zatem nagrania audio za naruszenie zasad legalności i przejrzystości oraz minimalizacji danych. Organ ochrony danych skrytykował również kontrolera za brak wystarczających informacji na temat nadzoru kamer, w tym za rejestrowanie nie tylko obrazów, ale także dźwięków. link
Litwa 2021-06-21 20.000 EUR UAB VS FITNESS Art. 5 (1) a), c) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 RODO, Art. 35 (1) RODO Litewski organ ochrony danych (VDAI) nałożył na UAB VS FITNESS grzywnę w wysokości 20 000 euro. Po otrzymaniu od osoby fizycznej zawiadomienia o konieczności zeskanowania odcisku palca w celu skorzystania z usług klubu sportowego należącego do ukaranego podmiotu, organ ochrony danych wszczął śledztwo przeciwko administratorowi. W wyniku przeglądu organu ochrony danych stwierdzono, że zgoda udzielona przez klientów na przetwarzanie wzorów ich odcisków palców nie była dobrowolna, ponieważ nie istniały inne środki identyfikacji. Ponadto organ ochrony danych stwierdził, że administrator bezprawnie przetwarzał również odciski palców pracowników. Administrator nie określił również, w jakim celu i na jakiej podstawie prawnej przetwarzał dane biometryczne pracowników. Nie przeprowadził również oceny skutków dla ochrony danych i nie wykazał konieczności i proporcjonalności przetwarzania odcisków palców pracowników. Ponadto organ ochrony danych stwierdza, że ​​administrator nie wywiązał się ze swoich obowiązków informacyjnych zgodnie z art. 13 RODO. link
Grecja 2021-06-03 15.000 EUR PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ Art. 5 (1) a), b) RODO, Art. 5 (2) RODO Grecki organ ochrony danych nałożył grzywnę PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ 15 000 EUR za nielegalną instalację i działanie systemu nadzoru wideo. Administrator zainstalował na terenie biura system monitoringu wizyjnego nie informując o tym pracowników, łamiąc tym samym zasady legalności, uczciwości, przejrzystości, celowości i rozliczalności. link
Dania 2021-06-16 27.000 EUR Vejle Municipality Art. 32 RODO Duński organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 27 000 euro na gminę Vejle. Duński organ ochrony danych wszczął dochodzenie przeciwko gminie po zgłoszeniu naruszenia danych zgodnie z art. 33 RODO. Miejska opieka dentystyczna wysłała automatyczne listy powitalne do obojga rodziców w ramach leczenia dzieci, które zawierały dane kontaktowe obojga rodziców. W tym procesie gmina nie sprawdziła, czy może przekazać informacje drugiemu rodzicowi. W kilku przypadkach rodzice otrzymywali w ten sposób adres drugiego rodzica, niezależnie od tego, czy drugi rodzic miał ochronę imienia i adresu. Organ ochrony danych uznał to za niepodjęcie przez gminę środków technicznych i organizacyjnych w celu zapewnienia odpowiedniej ochrony danych. link
Rumunia 2021-06-09 2.000 EUR La Santrade S.R.L. Art. 31 RODO, Art. 58 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę na La Santrade S.R.L. 2000 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. link
Luksemburg 2021-05-31 18.000 EUR Nieznany Art. 38 (1), (2) RODO, Art. 39 (1) a) RODO Luksemburski organ ochrony danych nałożył na spółkę karę w wysokości 18 000 euro. Zdaniem organu ochrony danych administrator po pierwsze nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie zapewnił inspektorowi ochrony danych niezbędnych zasobów do wykonywania jego obowiązków. link
Holandia 2021-02-04 12.000 EUR Klinika ortodontyczna Art. 32 (1) RODO Holenderski organ ochrony danych (AP) nałożył na klinikę ortodontyczną grzywnę w wysokości 12 000 EUR. Formularz internetowy, z którego korzystali nowi pacjenci, zawierał obowiązkowe pola dla wszelkiego rodzaju danych osobowych pacjentów. Dane, które wpisywali do formularza pacjenci (głównie dzieci) były następnie przesyłane do kliniki ortodontycznej niezaszyfrowanym, a więc niezabezpieczonym połączeniem. Przedstawiało to ryzyko uzyskania dostępu do danych osobowych osób, których dane dotyczą, przez nieuprawnione osoby trzecie. link
Francja 2021-06-14 500.000 EUR BRICO PRIVÉ Art. 5 (1) e) RODO, Art. 13 RODO, Art. 17 RODO, Art. 32 RODO, Art. 82 Loi informatique et libertés, Art. L. 34-5 CPCE Francuski organ ochrony danych (CNIL) nałożył na BRICO PRIVÉ grzywnę w wysokości 500 000 euro. CNIL przeprowadził trzy inspekcje w BRICO PRIVÉ w latach 2018-2021 i zidentyfikował kilka niedociągnięć w przetwarzaniu danych osobowych potencjalnych i klientów. Na przykład administrator nie przestrzegał ustalonych przez siebie okresów przechowywania danych. W związku z tym zachowano dane ponad 16 000 klientów, którzy nie złożyli zamówienia w ciągu ostatnich pięciu lat. To samo dotyczyło ponad 130 000 osób, które nie logowały się na swoje konta klientów przez pięć lat. Ponadto administrator naruszył obowiązki informacyjne wynikające z art. 13 RODO. Ponadto administrator nie wywiązał się z obowiązku pełnej zgodności z otrzymanymi żądaniami usunięcia. CNIL stwierdziła również, że administrator nie wdrożył wystarczających środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Na przykład administrator nie wymagał używania bezpiecznego hasła podczas procesu otwierania konta na stronie internetowej firmy lub gdy pracownicy uzyskiwali dostęp do oprogramowania do zarządzania relacjami z klientami. Kara za naruszenie art. 5 ust. 1 lit. e RODO, art. 13 RODO, art. 17 RODO i art. 32 RODO i 200 000 EUR za naruszenie art. 82 Loi informatique et libertés oraz art. L. 34-5 CPCE. link
Irlandia 2021-03-23 90.000 EUR Irish Credit Bureau DAC Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODO Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 90 000 euro na Irish Credit Bureau (ICB). Grzywna jest następstwem naruszenia danych zgłoszonego przez administratora organowi ochrony danych w dniu 31 sierpnia 2018 r. Administratorem jest agencja informacji kredytowej, która prowadzi bazę danych dotyczących realizacji umów kredytowych między instytucjami finansowymi a kredytobiorcami. Do naruszenia danych doszło, gdy administrator dokonał zmiany kodu w swojej bazie danych, która zawierała błąd techniczny. W rezultacie w okresie od 28 czerwca 2018 r. do 30 sierpnia 2018 r. baza ICB błędnie zaktualizowała ewidencję 15 120 zamkniętych rachunków. Kontroler ujawnił 1062 niedokładne zapisy dotyczące rachunków instytucjom finansowym lub osobom dotkniętym problemem, zanim problem został rozwiązany. link
Litwa 2021-06-21 20.000 EUR UAB VS FITNESS Art. 5 (1) a), c) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 RODO, Art. 35 (1) RODO Litewski organ ochrony danych (VDAI) nałożył na UAB VS FITNESS grzywnę w wysokości 20 000 euro. Po otrzymaniu od osoby fizycznej zawiadomienia o konieczności zeskanowania odcisku palca w celu skorzystania z usług klubu sportowego należącego do kontrolera, organ ochrony danych wszczął przeciwko kontrolerowi śledztwo. W wyniku przeglądu organu ochrony danych stwierdzono, że zgoda udzielona przez klientów na przetwarzanie wzorów ich odcisków palców nie była dobrowolna, ponieważ nie istniały inne środki identyfikacji. Ponadto organ ochrony danych stwierdził, że administrator bezprawnie przetwarzał również odciski palców pracowników. Administrator nie określił również, w jakim celu i na jakiej podstawie prawnej przetwarzał dane biometryczne pracowników. Nie przeprowadził również oceny skutków w zakresie ochrony danych i nie wykazał konieczności i proporcjonalności przetwarzania odcisków palców pracowników. . Ponadto organ ochrony danych stwierdza, że ​​administrator nie wywiązał się ze swoich obowiązków informacyjnych zgodnie z art. 13 RODO. link
Holandia 2020-03-24 15.000 EUR CP&A Art. 9 RODO, Art. 32 RODO Holenderski organ ochrony danych (AP) nałożył na CP&A grzywnę w wysokości 15 000 EUR. Administrator udokumentował zarówno przyczyny choroby, jak i konkretne skargi osób, których dane dotyczą, w ramach rejestracji nieobecności pracowników z powodu choroby. Organ ochrony danych stwierdził, że jest to niezgodne z prawem, ponieważ dane dotyczące zdrowia są objęte szczególną ochroną. Pracodawcom nie wolno rejestrować przyczyn ani przyczyn zwolnienia lekarskiego. Ponadto organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania podczas rejestrowania nieobecności. Mianowicie rejestracja nieobecności była dostępna online, bez jakiejkolwiek formy uwierzytelnienia. Jednak gdy system nieobecności jest dostępny przez Internet, dostęp do systemu ma być możliwy tylko poprzez uwierzytelnianie wieloskładnikowe. Zdaniem organu ochrony danych oprócz „normalnego” logowania wymagana byłaby inna forma uwierzytelnienia. link
Holandia 2020-12-20 525.000 EUR Locatefamily.comm Art. 27 RODO Holenderski organ ochrony danych (AP) nałożył na Locatefamily.com grzywnę w wysokości 525 000 EUR. Locatefamily.com to platforma, na której ludzie mogą wyszukiwać informacje kontaktowe członków rodziny, z którymi stracili kontakt lub innych osób, z którymi chcieliby się skontaktować. Osoby, których dane dotyczą, skarżyły się, że ich dane kontaktowe (imię i nazwisko, adres, numer telefonu) zostały opublikowane na stronie internetowej bez ich wiedzy. Osoby, których dane dotyczą, nie mogły w łatwy sposób zażądać usunięcia swoich danych opublikowanych na stronie, ponieważ Locatefamily.com nie posiadało żadnego przedstawicielstwa w Unii Europejskiej. Organizacje oferujące towary lub usługi w UE muszą mieć przedstawiciela, do którego obywatele UE mogą się zwrócić w celu uzyskania informacji lub skorzystania z przysługujących im praw do ochrony danych. W związku z tym holenderski organ ochrony danych stwierdził naruszenie art. 27 RODO. link
Holandia 2020-06-16 7.500 EUR PVV Overijssel Art. 33 RODO Holenderski organ ochrony danych (AP) nałożył grzywnę na lokalny oddział strony PVV w Overijssel w wysokości 7500 EUR za brak powiadomienia AP o naruszeniu ochrony danych osobowych, z naruszeniem art. 33 RODO. Wiadomość e-mail dotycząca zwołania spotkania została wysłana za pośrednictwem otwartej listy dystrybucyjnej z powodu błędu ludzkiego. Ponieważ w wiadomości e-mail zaadresowano łącznie 101 odbiorców jako „przyjaciół PVV”, przekonania polityczne osób, których dane dotyczą, zostały zatem ujawnione wszystkim adresatom. link
Holandia 2021-12-10 475.000 EUR Booking.com B.V. Art. 33 RODO Holenderski organ ochrony danych (Autoriteit Persoonsgegevens) nałożył na Booking.com grzywnę w wysokości 475 000 EUR za nieterminowe zgłoszenie naruszenia ochrony danych organowi ochrony danych. W grudniu 2018 roku przestępcy uzyskali dostęp do danych 4109 osób, które zarezerwowały pokój hotelowy za pośrednictwem serwisu rezerwacyjnego. Obejmowały one ich nazwiska, adresy i numery telefonów, a także szczegóły dotyczące ich rezerwacji. Przestępcy uzyskali również dostęp do danych kart kredytowych 283 osób, aw 97 przypadkach zdołali uzyskać dostęp do kodu zabezpieczającego karty kredytowej. Ponadto próbowali uzyskać dane kart kredytowych innych ofiar, udając pracowników Booking.com za pośrednictwem poczty elektronicznej lub telefonu. Booking.com został powiadomiony o naruszeniu danych w dniu 13 stycznia 2019 r., ale nie zgłosił go organowi ochrony danych do 7 lutego 2019 r. Administrator spóźnił się zatem o 22 dni ze zgłoszeniem naruszenia danych, ponieważ jest zobowiązany do zgłoszenia danych naruszenie do organu ochrony danych w ciągu 72 godzin. link
Szwecja 2021-06-21 1.600.000 EUR Storstockholms Lokaltrafik Art. 5 (1) a), c) RODO, Art. 6 (1) f) RODO, Art. 13 RODO Szwedzki organ ochrony danych nałożył grzywnę na Storstockholms Lokaltrafik (Sztokholmskie Przedsiębiorstwo Transportowe) w wysokości 1 600 000 EUR. Ukarany podmiot wyposażył kontrolerów biletów w noszone na ciele kamery, które miały na celu zapobieganie groźnym sytuacjom, incydentom związanym z dokumentowaniem i zapewnienie, że właściwa osoba zostanie ukarana grzywną za podróżowanie środkami transportu publicznego w Sztokholmie bez ważnego biletu. Kontrolerzy biletów byli zobowiązani do utrzymywania kamery włączonej przez całą zmianę, dzięki czemu mogli sfilmować wszystkich pasażerów, którzy minęli kontrolera. Ponieważ kilkaset tysięcy osób codziennie korzysta z transportu publicznego w Sztokholmie, duża liczba osób była zagrożona monitorowaniem za pomocą nagrań wideo i audio. Organ ochrony danych uważa, że ​​technologię kamer noszonych na ciele można wykorzystać do zapobiegania groźnym sytuacjom i dokumentowania ich, ale czas nagrywania wstępnego należy skrócić do maksymalnie 15 sekund, ponieważ dłuższy czas nagrywania wstępnego nie jest konieczny do osiągnięcia powyższego. wymienionych celów. Ponadto organ ochrony danych stwierdził, że nagrania audio nie przyczyniły się do identyfikacji osób bez ważnego biletu. Organ ochrony danych uznał zatem nagrania audio za naruszenie zasad legalności i przejrzystości oraz minimalizacji danych. Organ ochrony danych skrytykował również ukarany podmiot za brak wystarczających informacji na temat nadzoru kamer, w tym fakt, że rejestrowane były nie tylko obrazy, ale także dźwięki. . link
Polska 2021-03-19 4.900 EUR Funeda Sp. z o.o. Art. 31 RODO, Art. 58 (1) a), e) RODO Polski organ ochrony danych (UODO) nałożył grzywnę na Funeda Sp. ogród zoologiczny. 4900 EUR za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. link
Norwegia 2021-05-18 95.500 EUR Innovasjon Norge Art. 5 (1) RODO, Art. 6 (1) RODO Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę na krajowy bank rozwoju Innovasjon Norge 1 000 000 NOK (95 500 EUR). Administrator przeprowadził kilka kontroli zdolności kredytowej osoby, której dane dotyczą, bez żadnej podstawy umownej. W tym celu bank bez jej zgody przeanalizował liczne dane finansowe osoby, której dane dotyczą. link
Węgry 2021-04-27 570 EUR Firma Art. 5 (1) a), (2) RODO, Art. 6 RODO, Art. 13 RODO Węgierski organ ochrony danych (NAIH) nałożył na spółkę grzywnę w wysokości 570 euro. W toku swojej działalności zawodowej osoba, której dane dotyczą, wykonała telefon do spółki w dniu 23 września 2019 r. Spółka nagrała rozmowę bez poinformowania osoby, której dane dotyczą i bez uzyskania jej zgody, a następnie udostępniła ją spółce, w której osoba, której dane dotyczą, była zatrudniona (administrator). Następnie administrator rozwiązał stosunek pracy, ponieważ nagrana rozmowa telefoniczna najwyraźniej nie spełniała standardów usługowych i zawodowych administratora. Organ ochrony danych stwierdza, że ​​administrator nie tylko przetwarzał dane osoby, której dane dotyczą, bez podstawy prawnej, ale także naruszył obowiązek rozliczalności, nie wykazując zgodności z prawem przetwarzania. Ponadto administrator naruszył obowiązek informacyjny wynikający z art. 13 RODO.
Węgry 2021-04-27 1.400 EUR Firma Art. 5 (1), (2) RODO, Art. 6 RODO, Art. 13 RODO Węgierski organ ochrony danych (NAIH) nałożył na firmę grzywnę w wysokości 1400 euro. W toku swojej działalności zawodowej osoba, której dane dotyczą, wykonała telefon z administratorem w dniu 23 września 2019 r. Administrator nagrał rozmowę bez poinformowania osoby, której dane dotyczą, ani uzyskania jej zgody, a następnie przekazał ją firmie, w której dane podmiot był zatrudniony. Pracodawca osoby, której dane dotyczą, rozwiązał następnie jego zatrudnienie, ponieważ nagrana rozmowa telefoniczna najwyraźniej nie spełniała standardów usługowych i zawodowych firmy. Organ ochrony danych stwierdza, że ​​administrator nie tylko przetwarzał dane osoby, której dane dotyczą, bez podstawy prawnej, ale również naruszył obowiązek rozliczalności, nie wykazując zgodności z prawem przetwarzania. Ponadto administrator naruszył obowiązek informacyjny wynikający z art. 13 RODO.
Węgry 2021-04-27 1.425 EUR Operator placówki opiekuńczej Art. 5 (1) a), b), c) RODO, Art. 6 RODO, Art. 13 (1), (2) RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 1425 euro na operatora zakładu opieki. Operator zainstalował łącznie 25 kamer we wszystkich pomieszczeniach placówki, z wyjątkiem toalet, szatni i głównego stanowiska pielęgniarek. Zarówno mieszkańcy obiektu, jak i pracownicy byli rejestrowani przez monitoring wizyjny. Administrator oświadcza, że ​​kamery zostały zainstalowane ze względów bezpieczeństwa. Obejmowały one uniemożliwienie dostępu do obiektu nieupoważnionym osobom oraz zniechęcanie do kradzieży. Organ ochrony danych stwierdza, że ​​tak szeroko zakrojony nadzór wideo nie był konieczny w celu przetwarzania (ochrona obiektu). Ponadto administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych.
Grecja 2021-06-03 15.000 EUR PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ Art. 5 (1) a), b) RODO, Art. 5 (2) RODO Grecki organ ochrony danych nałożył grzywnę PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ 15 000 EUR za nielegalną instalację i działanie systemu nadzoru wideo. Administrator zainstalował na terenie biura system monitoringu wizyjnego, nie informując o tym pracowników, łamiąc tym samym zasady legalności, uczciwości, przejrzystości, celowości i rozliczalności. link
Grecja 2021-05-12 5.000 EUR KARIERA A.E. Art. 17 RODO, Art. 21 RODO, Art. 25 RODO Grecki organ ochrony danych nałożył na ΚARIERA AE grzywnę w wysokości 5 000 EUR Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych w związku z faktem, że administrator nadal wysyłał mu reklamy e-mailowe, mimo że zażądał usunięcia jego dane, a administrator potwierdził usunięcie. Z powodu błędu technicznego dane osoby, której dane dotyczą, nie zostały usunięte. link
Grecja 2021-05-17 10.000 EUR Municipal Organization for Pre-School Education and Social Solidarity (DOPAKA) of the municipality of Tavros Moschato Art. 6 (1) c) RODO, Art. 12 (3), (4) RODO, Art. 17 (1) d) RODO Grecki organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na Miejski Organ ds. Edukacji Przedszkolnej i Solidarności Społecznej (DOPAKA) gminy Tavros Moschato. Administrator opublikował dokumenty zawierające dane osobowe osoby, której dane dotyczą, bez podstawy prawnej. Dokumenty zawierały, oprócz jego nazwiska, informacje o wykonywanym zawodzie, miejscu pracy oraz ocenę jego zachowania. Administrator nie odpowiedział również na kolejny wniosek o usunięcie danych złożony przez osobę, której dane dotyczą. Grzywna wynosi proporcjonalnie 7 000 euro za naruszenie art. 6 ust. 1 lit. c RODO i 3000 EUR za naruszenie art. 12 ust. 3, 4 RODO oraz art. 17 ust. 1 lit. d RODO. link
Grecja 2020-04-07 2.000 EUR Ιγνατιάδης Νικόλαος και ΣΙΑ Ε.Ε. Art. 5 (1) c) RODO, Art. 6 (1) f) RODO Grecki organ ochrony danych (HDPA) nałożył na Ιγνατιάδης Νικόλαος και ΣΙΑ Ε.Ε grzywnę w wysokości 2 000 EUR. Kontroler zainstalował kamery monitorujące obejmujące obszary, w których obecni byli jego pracownicy. Kontroler twierdzi, że kamery zostały zainstalowane ze względów bezpieczeństwa, ponieważ w przeszłości zdarzały się przypadki kradzieży. Mając to na uwadze, system monitoringu miał na celu wykrywanie osób wchodzących do obiektów. Jednak podczas dochodzenia prowadzonego przez DPA ustalono, że instalacja kamery nie ograniczała się do obszarów niezbędnych do ochrony mienia. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. link
Hiszpania 2021-06-14 1.200 EUR Inmopiso Zaragoza S.L. Art. 13 RODO Administrator nie dostarczył dokładnych informacji o zbieraniu danych zgodnie z art. 13 RODO. Pierwotna grzywna w wysokości 2000 euro została obniżona do 1200 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Luksemburg 2021-05-31 18.000 EUR Nieznany Art. 38 (1), (2) RODO, Art. 39 (1) a) RODO Luksemburski organ ochrony danych nałożył na spółkę karę w wysokości 18 000 euro. Zdaniem organu ochrony danych administrator po pierwsze nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie zapewnił inspektorowi ochrony danych niezbędnych zasobów do wykonywania jego obowiązków. link
Holandia 2021-02-04 12.000 EUR Klinika Ortodontyczna Art. 32 (1) RODO Holenderski organ ochrony danych (AP) nałożył grzywnę na klinikę ortodontyczną w wysokości 12 000 EUR. Formularz internetowy, z którego korzystali nowi pacjenci, zawierał obowiązkowe pola dla wszelkiego rodzaju danych osobowych pacjentów. Dane, które pacjenci (głównie dzieci) wprowadzali do formularza, były następnie przesyłane do kliniki ortodontycznej za pośrednictwem niezaszyfrowanego – a więc niezabezpieczonego – połączenia. Przedstawiało to ryzyko uzyskania dostępu do danych osobowych osób, których dane dotyczą, przez nieuprawnione osoby trzecie. link
Liechtenstein 2020 4.100 EUR Nieznany Brak informacji Bezprawne działanie systemu monitoringu wideo. link
Norwegia 2021-05-28 39.700 EUR BRAbank ASA Art. 24 RODO, Art. 32 (1), (2) RODO Norweski organ ochrony danych (Datatilsynet) nałożył na BRAbank ASA grzywnę w wysokości 39 700 EUR. Administrator zgłosił naruszenie danych organowi ochrony danych w dniu 6 września 2019 r. Na stronie internetowej administratora niektórzy klienci mogli przeglądać dane innych klientów w sekcji „Moja strona”. Obejmowały one warunki kredytowe i dane adresowe innych klientów. Sekcja została uruchomiona niedługo wcześniej dla 500 wybranych klientów i służyła m.in. przeglądowi kredytów zaciągniętych u kontrolera. Na podstawie dochodzenia w tej sprawie organ ochrony danych stwierdził, że administrator nie spełnił wymogów RODO dotyczących oceny ryzyka i odpowiednich środków technicznych w związku z uruchomieniem portalu klienta. Według oceny organu ochrony danych naruszeniu bezpieczeństwa danych osobowych można było zapobiec, gdyby administrator przeprowadził ocenę ryzyka i przegląd zgodnie z wymogami prawa. link
Szwecja 2021-06-09 34.800 EUR Dyrekcja Ratownictwa Östra Skaraborg Art. 5 (1) a), c) RODO, Art. 32 (1), (4) RODO Szwedzki organ ochrony danych nałożył grzywnę w wysokości 34 800 euro na dyrekcję ratownictwa Östra Skaraborg. Organ ochrony danych otrzymał informację, że kilka straży pożarnych w Östra Skaraborg obsługiwało kamery monitorujące, które filmowały obszary, w których zmieniali się strażacy podczas sytuacji awaryjnej, po czym zainicjował przegląd monitoringu kamer. Nadzór wideo odbywał się przez całą dobę, chociaż sam ukarany stwierdził, że nadzór wideo jest wymagany tylko w przypadku alarmów awaryjnych. Organ ochrony danych stwierdza, że ​​całodobowy monitoring był zbyt dalekosiężny, ale zauważa, że ukarany miał ważne powody, aby nadzorować kamerę. Jednak nadzór kamer powinien być ograniczony do nagłych przypadków. Kara składa się proporcjonalnie z 29 800 euro za naruszenie art. 5 ust. 1 lit. a), c) RODO i 5000 euro za naruszenie art. 32 ust. 1, 4 RODO. link
Polska 2021-04-27 5.050 EUR PNP S.A. Art. 31 RODO, Art. 58 (1) e) RODO Administrator nie dostarczył informacji żądanych przez polski organ ochrony danych (UODO) dla celów dochodzeniowych. link
Rumunia 2021-06-09 2000 EUR S.C. Dreamtime Call S.R.L. Art. 83 (5) e) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę na S.C. Dreamtime Call S.R.L. 2 000 euro za nieudzielenie informacji żądanych przez organ ochrony danych w trakcie dochodzenia, z naruszeniem przepisów art. 83 ust. 5 e) RODO. link
Szwecja 2021-06-07 64.500 EUR Voice Integrate Nordic AB Art. 32 RODO Szwedzki organ ochrony danych nałożył na Voice Integrate Nordic AB grzywnę w wysokości 64 500 euro. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numerem 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Szwedzki organ ochrony danych stwierdził, że Voice Integrate nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w celu ochrony danych osobowych, tak aby osoby nieuprawnione nie miały do ​​nich dostępu. link
Szwecja 2021-06-07 1.200.000 EUR MedHelp AB Art. 5 (1) a), f) RODO, Art. 6 RODO, Art. 9 (1) RODO, Art. 13 RODO, Art. 32 RODO Szwedzki organ ochrony danych nałożył na MedHelp AB grzywnę w wysokości 1 200 000 EUR. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numerem 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Szwedzki organ ochrony danych stwierdził, że MedHelp nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w celu ochrony danych osobowych, tak aby osoby nieuprawnione nie miały do ​​nich dostępu. Podobnie MedHelp nie poinformował odpowiednio dzwoniących o przetwarzaniu ich danych osobowych zgodnie z art. 13 RODO. Ponadto IOD uznaje powierzenie przetwarzania danych osobowych Medicall za naruszenie zasady legalności określonej w RODO. Dzieje się tak, ponieważ Medicall nie jest objęty szwedzkim ustawodawstwem zdrowotnym i medycznym, a zatem nie podlega prawnie uregulowanemu obowiązkowi zachowania poufności, który istnieje w szwedzkim sektorze opieki zdrowotnej. link
Szwecja 2021-06-07 50.000 EUR Region Stockholm Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO Szwedzki organ ochrony danych nałożył grzywnę w wysokości 50 000 euro na region Sztokholm. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numer 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na Region Sztokholm za zbieranie danych o połączeniach od osób, których dane dotyczą, bez wcześniejszego odpowiedniego poinformowania ich o ich przetwarzaniu. link
Szwecja 2021-06-07 25.000 EUR Region Värmland Art. 5 (1) a) RODO, Art. 13 RODO Szwedzki organ ochrony danych nałożył grzywnę w wysokości 25 000 euro na region Värmland. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numerem 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na region Värmland za zbieranie danych o połączeniach od osób, których dane dotyczą, bez wcześniejszego odpowiedniego poinformowania ich o ich przetwarzaniu. link
Szwecja 2021-06-07 25.000 EUR Region Sörmland Art. 5 (1) a) RODO, Art. 13 RODO Szwedzki organ ochrony danych nałożył grzywnę w wysokości 25 000 euro na region Sörmland. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numerem 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na region Sörmland za zbieranie danych o połączeniach od osób, których dane dotyczą, bez wcześniejszego odpowiedniego poinformowania ich o ich przetwarzaniu. link
Luksemburg 2021-05-12 1.000 EUR Nieznany Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych (CNPD) nałożył na firmę grzywnę w wysokości 1000 euro. Administrator zainstalował system monitoringu wizyjnego w celu ochrony mienia, zabezpieczenia dostępu do miejsc prywatnych i niebezpiecznych oraz bezpieczeństwa użytkowników i zapobiegania wypadkom. Jednak kamery w nadmiarze rejestrowały również fragmenty przestrzeni publicznej. Organ ochrony danych stwierdza, że ​​administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. link
Luksemburg 12.05.2021 2.600 EUR Nieznany Art. 5 (1) c) RODO, Art. 13 RODO Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 2600 euro. Kontroler zainstalował system monitoringu wizyjnego, aby chronić mienie firmy i uniemożliwić wejście osobom niepowołanym. Jednak kamery nadmiernie rejestrowały również części stołówki, która służy jako miejsce przerwy dla pracowników. Organ ochrony danych stwierdza, że ​​nagrywanie pracowników podczas ich przerwy nie jest konieczne do realizacji celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ ochrony danych stwierdza, że ​​administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. link
Luksemburg 2021-05-12 2.400 EUR Nieznany Art. 5 (1) c) RODO, Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 2400 euro. Kontroler zainstalował system monitoringu wizyjnego w celu ochrony majątku firmy i uniemożliwienia wejścia osobom niepowołanym. Jednak kamery w nadmiarze uchwyciły fragmenty tarasu stołówki, który służy jako strefa rekreacyjna dla pracowników. Organ ochrony danych stwierdza, że ​​nagrywanie pracowników podczas ich przerwy nie jest konieczne do realizacji celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ ochrony danych stwierdza, że ​​administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. link
Luksemburg 2021-05-12 1.900 EUR Nieznany Art. 5 (1) c), e) RODO link
Hiszpania 2021-06-07 19.600 EUR Radiotelevisión del principado de Asturias Art. 5 (1) c) RODO, Art. 12 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 26 000 euro na Radiotelevisión del principado de Asturias. Kara wynosi 20 000 euro z tytułu naruszenia art. 5 ust. 1 lit. c RODO i 6 000 euro z powodu naruszenia art. 12 RODO. Kara została oparta na tym, że kontroler zainstalował system monitoringu wizyjnego obejmujący łącznie 14 kamer wideo i monitorujący lokal przedsiębiorstwa. Administrator oświadcza, że ​​kamery zostały zainstalowane w celu ochrony lokalu. Jednak kamery uchwyciły biura pracowników w sposób, który nie był do tego potrzebny. Na przykład jedna kamera uchwyciła również znaczną część pokoju wypoczynkowego pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. Grzywna została obniżona do 19 600 euro z powodu terminowej zapłaty i przyznania się do winy. link
Hiszpania 2021-06-07 20.000 EUR Master Distancia S.A. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 25 000 EUR na Master Distancia S.A. Administrator umieścił dane osobowe osoby, której dane dotyczą, w rejestrze raportów kredytowych bez wystarczającej podstawy prawnej. Administrator uzasadnił to domniemanymi długami, jakie osoba, której dane dotyczą, miała wobec administratora. W rzeczywistości jednak strony nadal toczyły arbitraż. W związku z tym administrator nie miał upoważnienia do umieszczenia danych osoby, której dane dotyczą, w rejestrze. Pierwotna kara w wysokości 25 000 euro została obniżona do 20 000 euro z powodu natychmiastowej zapłaty. link
Hiszpania 2021-06-04 6.000 EUR Creator Energy S.L. Art. 6 (1) b) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Creator Energy S.L. grzywnę w wysokości 6 000 EUR. Administrator wykorzystał dane osobowe osoby, której dane dotyczą, bez jej zgody do zawarcia umów na dostawy gazu i energii elektrycznej oraz usługi konserwacji. link
Włochy 2021-04-15 12.000 EUR Istituto Nazionale Previdenza Sociale (INPS) Art. 5 (1) a) RODO, Art. 12 RODO, Art. 15 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 12 000 euro na włoski Narodowy Instytut Zabezpieczenia Społecznego (Istituto Nazionale della Previdenza Sociale). Kara ta była oparta na fakcie, że administrator nie odpowiedział prawidłowo na dwa wnioski o udzielenie informacji, które osoba, której dane dotyczą, skierowała do administratora. Żądania dotyczyły udostępnienia danych osobowych osoby, której dane dotyczą, podmiotom trzecim. Początkowo osoba, której dane dotyczą, nie otrzymała odpowiedzi na żaden wniosek. W toku dochodzenia administrator przekazał mu następnie informacje i wyjaśnił, że na poprzednie wnioski nie udzielono odpowiedzi z powodu błędu technicznego w jego systemie poczty elektronicznej link
Włochy 2021-04-21 15.000 EUR Fondazione Policlinico Tor Vergata di Roma Art. 5 (1) a), f) RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 15 000 euro na Fondazione Policlinico Tor Vergata di Roma. W lutym 2020 roku osoba, której dane dotyczą, złożyła skargę do Garante zarzucając naruszenie przepisów o ochronie danych w związku z oferowanymi przez administratora usługami rezerwacji dla lekarzy specjalistów. Aby umówić się na wizytę w portalu rezerwacyjnym, odwiedzający musieli wypełnić formularz online, w którym proszono o podanie różnych danych osobowych. Jak ustalił organ ochrony danych, administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych. Ponadto administrator nie dopełnił swoich obowiązków informacyjnych na podstawie art. 13 RODO, ponieważ nie informował prawidłowo osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w momencie zbierania danych. link
Włochy 2021-03-25 7.000 EUR TECNOMEDICAL S.r.l. Art. 12 (3) RODO, Art. 15 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 000 EUR na TECNOMEDICAL S.r.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych po tym, jak administrator nie odpowiedział we właściwy sposób na jego prośbę o informacje. Osoba, której dane dotyczą, zażądała dostępu do swoich danych osobowych. W tym celu zażądał kopii swojej dokumentacji medycznej oraz dokumentacji medycznej przeprowadzonej przez niego operacji wszczepienia implantów dentystycznych. Administrator nie przekazał jednak informacji w terminie iw całości. link
Włochy 2021-04-15 40.000 EUR Comune di Palermo Art. 5 (1) f) RODO, Art. 25 RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 40 000 EUR na gminę Palermo. Osoba, której dane dotyczą, złożyła skargę do włoskiego organu ochrony danych przeciwko gminie Palermo. Jego skarga była oparta na fakcie, że jego dane osobowe z złożonego przez niego wniosku o dotację żywnościową zostały pozyskane przez osobę nieuprawnioną i przetworzone dla jego własnych celów. Jak ustalił organ ochrony danych w toku dochodzenia, takie przetwarzanie miało miejsce, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa i poufności przetwarzania. link
Włochy 2021-04-15 5.000 EUR Lekarz Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na lekarza grzywnę w wysokości 5 000 euro. Ukarany pokazał na kongresie slajdy z przypadku klinicznego, które zostały następnie opublikowane na stronie internetowej Società triveneta di chirurgia. Slajdy zawierały dane osobowe pacjenta, takie jak inicjały pacjenta, wiek, płeć, szczegółowy wywiad chorobowy pacjenta, szczegóły przyjęć w latach 1980-2016 oraz wykonanych w tym okresie zabiegów chirurgicznych ze wskazaniem daty przyjęcia i daty chirurgii, oddziału chirurgicznego, który wykonywał zabiegi, dni spędzonych w szpitalu, licznych obrazów diagnostycznych i 22 fotografii przedstawiających pacjenta podczas operacji. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych osobowych. link
Włochy 2021-04-15 2.000 EUR Towarzystwo Chirurgiczne Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 euro na Società triveneta di chirurgia. Lekarz pokazał slajdy przypadku klinicznego na kongresie, które następnie zostały opublikowane na stronie internetowej ukaranego. Slajdy zawierały dane osobowe pacjenta, takie jak inicjały pacjenta, wiek, płeć, szczegółowy wywiad przebytej przez pacjenta patologii, szczegóły przyjęć w latach 1980-2016 oraz wykonane w tym okresie zabiegi chirurgiczne ze wskazaniem daty przyjęcia i operacje, oddział chirurgiczny, który wykonywał zabiegi, dni spędzone w szpitalu, liczne obrazy diagnostyczne oraz 22 fotografie przedstawiające pacjenta podczas operacji. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych osobowych. link
Włochy 2021-03-25 4.000 EUR Comune di Castellanza Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacy Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 4000 EUR na gminę Castellanza. Gmina umieściła dokumenty zawierające dane osobowe osoby, której dane dotyczą, na swojej stronie internetowej, która była swobodnie dostępna. Dokumenty dotyczyły postępowania prawnego osoby, której dane dotyczą. link
Włochy 2021-03-25 20.000 EUR GEDI News Network Spa Art. 12 (3), (4) RODO Włoski organ ochrony danych (Garante) nałożył na GEDI News Network Spa grzywnę w wysokości 20 000 euro. Osoba, której dane dotyczą, złożyła skargę do włoskiego organu ochrony danych przeciwko administratorowi w związku z opublikowanym przez ten ostatni artykuł, w którym został powołany. W tym kontekście osoba, której dane dotyczą, skorzystała z prawa wynikającego z art. 17 RODO i zażądał usunięcia artykułu, uznając go za nieistotny. Administrator nie odpowiedział jednak na żądanie osoby, której dane dotyczą, w terminie. link
Włochy 2021-03-25 30.000 EUR OneDirect Srl Art. 6 (1) RODO, Art. 7 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 130 (1), (2) Codice della privacy, Art. 157 Codice della privacy Włoski organ ochrony danych (Garante) nałożył na OneDirect Srl grzywnę w wysokości 30 000 euro. Osoba, której dane dotyczą, złożyła dwie skargi do organu ochrony danych po otrzymaniu reklam pocztą elektroniczną od administratora danych, mimo że nie wyraził na to zgody. Nawet po tym, jak osoba, której dane dotyczą, wielokrotnie sprzeciwiła się wysyłce, administrator nie wstrzymał wysyłek. Ponadto administrator nie ustosunkował się do zastrzeżeń osoby, której dane dotyczą. Ponadto administrator nie prowadził rejestru swoich czynności przetwarzania i nie współpracował w wystarczającym stopniu z organem ochrony danych w trakcie dochodzenia. link
Włochy 2021-03-11 80.000 EUR Planet Group Spa Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 21 (2), (3) RODO, Art. 12 (3) RODO, Art. 25 (1) RODO, Art. 130 Codice della privacy Włoski organ ochrony danych (Garante) nałożył na Planet Group Spa grzywnę w wysokości 80 000 euro. Administrator wykonał połączenia promocyjne w imieniu TIM s.p.a. Kilka z tych połączeń zostało wykonanych, mimo że osoby, których dane dotyczą, nie wyraziły zgody lub sprzeciwiły się takim połączeniom. Garante stwierdził, że kontroler skontaktował się łącznie z 47 981 numerami telefonów bez zgody lub podstawy prawnej. Ponadto Garante podkreślił, że administrator nie przestrzegał prawa do sprzeciwu osób, których dane dotyczą. W jednym przypadku z użytkownikiem skontaktowano się 155 razy w ciągu miesiąca, mimo że skorzystał z prawa do sprzeciwu. link
Włochy 2021-03-11 15.000 EUR Mediacom s.r.l. Art. 5 (1) a) RODO, Art. 6 (1) RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 15 000 EUR na Mediacom srl. Administrator przeprowadził rozmowy reklamowe w imieniu TIM spa. Kilka rozmów zostało wykonanych, mimo że osoby, których dane dotyczą, nie wyraziły na to zgody, sprzeciwiały się telefonom reklamowym lub mieli swoje numery na liście Robinsonów. Garante stwierdził, że administrator nie zweryfikował legalności danych w listach kontaktowych pozyskanych od firm zewnętrznych, jak również nie zapewnił w wystarczającym stopniu, że osoby, których dane dotyczą, udzieliły ważnych zgód na odpowiednie działania promocyjne. link
Włochy 2021-03-11 3.000 EUR Comune di San Marco in Lamis Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacy Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 3 000 EUR na gminę San Marco in Lamis. Gmina umieściła dokumenty zawierające dane osobowe osoby, której dane dotyczą i jej rodziny, swobodnie dostępne na jej stronie internetowej. Dokumentami były dwa nakazy skierowane przeciwko osobie, której dane dotyczą. Dokumenty dotyczyły postępowania przeciwko osobie, której dane dotyczą, dotyczącej działalności budowlanej bez pozwolenia na budowę i zawierały datę i miejsce urodzenia, numer identyfikacji podatkowej oraz adres osoby, której dane dotyczą oraz jej bliskich. Osoba, której dane dotyczą, zwróciła się już wcześniej do gminy o usunięcie dokumentów ze strony internetowej. Jednak gmina nie zastosowała się. link
Włochy 2021-02-25 6.000 EUR Azienda Ospedaliera Universitaria Careggi Art. 5 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 6000 euro na Azienda Ospedaliera Universitaria Careggi za naruszenie art. 5 RODO i art. 9 RODO. Azienda Ospedaliera Universitaria Careggi poinformowała organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO w zakresie przekazywania danych dotyczących zdrowia niewłaściwej osobie. Dokumenty medyczne pacjenta zostały wysłane pocztą zarówno do pacjenta dotkniętego chorobą, jak i do innego pacjenta. Administrator oświadcza, że ​​do incydentu doszło z powodu błędu w procesie drukowania. Oddział, na którym leczono pacjenta dotkniętego chorobą, był wyposażony tylko w dwie drukarki, a jeden lekarz nieświadomie zabrał również zadanie drukowania kolegi (dokumenty chorego pacjenta) podczas pobierania zadania drukowania (dokumenty niewłaściwego odbiorcy). link
Włochy 2021-02-11 45.000 EUR Istituti ospedalieri bergamaschi Art. 5 (1) a), f) RODO, Art. 9 RODO Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył na Istituti ospedalieri bergamaschi grzywnę w wysokości 45 000 euro. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi po zgłoszeniu naruszenia ochrony danych organowi ochrony danych. Pacjent omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną od siedmiu innych pacjentów w swojej cyfrowej dokumentacji medycznej. link
Włochy 2021-02-25 4.000 EUR Ministero dell’Istruzione, Ufficio Scolastico Regionale per il Lazio Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 4 000 euro na władze szkolne regionu Lazio. Rodzic złożył skargę przeciwko władzom szkolnym o przekazanie danych jego niepełnosprawnego syna do Urzędu Administracji Publicznej. Przekazywane dane zawierały m.in. informacje o stanie zdrowia dziecka. Rodzic wcześniej skarżył się na nieprawidłowości w przydzielaniu godzin wsparcia dla uczniów niepełnosprawnych w szkole I.C.G. Pitocco z Castelnuovo di Porto. Władze szkolne przesłały następnie dane w celu wyjaśnienia zarzutu. Organ ochrony danych stwierdził jednak, że przekazanie odbyło się bez podstawy prawnej. link
Włochy 2021-02-11 60.000 EUR Roma Servizi per La Mobilita S.r.l. Art. 32 RODO Włoski organ ochrony danych (Garante) ukarał grzywną Roma Servizi za La Mobilita S.r.l. 60 000 euro za niepodjęcie odpowiednich środków technicznych i organizacyjnych dotyczących danych obywateli, którzy uzyskali zezwolenia na wjazd do stref ograniczonego ruchu. Administrator działał jako podmiot przetwarzający dla miasta Rzym. W ramach tej działalności przetwarzał dane osób, które posiadały zezwolenia na obszary ograniczonego ruchu. Zezwolenia były weryfikowane poprzez skanowanie kodów QR znajdujących się na plakietkach przyklejanych do szyb. Dzięki temu pracownicy miasta mogli w czasie rzeczywistym zweryfikować, czy dany pojazd mógł przebywać w strefie i komu zostało wydane zezwolenie. Jednak według Urzędu Ochrony Danych nie tylko pracownicy miasta, ale każdy mógł zeskanować kody i uzyskać dostęp do informacji, ponieważ wymagało to jedynie zwykłego skanera QR. Informacje przechowywane w systemie to m.in. imię i nazwisko użytkownika czy numer rejestracyjny pojazdu. Organ ochrony danych zwraca uwagę, że administrator nie analizował ryzyka związanego z przetwarzaniem danych, a co za tym idzie nie wdrażał odpowiednich środków zabezpieczających przetwarzanie. link
Włochy 2021-02-11 350.000 EUR Roma Capitale Art. 5 RODO, Art. 6 RODO, Art. 28 RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) ukarał miasto Rzym grzywną w wysokości 350 000 euro za niepodjęcie odpowiednich środków technicznych i organizacyjnych dotyczących danych obywateli, którzy uzyskali zezwolenia na wjazd do obszarów o ograniczonym ruchu. Zezwolenia były weryfikowane poprzez skanowanie kodów QR znajdujących się na plakietkach przyklejanych do szyb. Dzięki temu pracownicy miasta mogli w czasie rzeczywistym zweryfikować, czy dany pojazd mógł przebywać w strefie i komu zostało wydane zezwolenie. Jednak według Urzędu Ochrony Danych nie tylko pracownicy miasta, ale każdy mógł zeskanować kody i uzyskać dostęp do informacji, ponieważ wymagało to jedynie zwykłego skanera QR. Informacje przechowywane w systemie to m.in. imię i nazwisko użytkownika czy numer rejestracyjny pojazdu. Ponadto organ ochrony danych stwierdził, że miasto Rzym korzystało z usług dostawcy hostingu i utrzymywania baz danych bez odpowiedniej umowy, jak wymaga tego art. 28 RODO. link
Włochy 2021-02-25 20.000 EUR Gedi Gruppo Editoriale S.p.A. Art. 5 (1) a) RODO Włoski organ ochrony danych (Garante) nałożył na Gedi Gruppo Editoriale S.p.A grzywnę w wysokości 20 000 euro. Ukarany podmiot opublikował w swojej gazecie zdjęcia osób przebywających w areszcie w związku z morderstwem. Zdjęcia przedstawiały oskarżonych w kajdankach i zostały zrobione bez ich zgody. Chociaż niektóre zdjęcia były pikselowane wokół kajdanek, twarze oskarżonych pozostały widoczne, co pozwala na ich identyfikację. Organ ochrony danych z góry nakazał administratorowi powstrzymanie się od dalszego wykorzystywania tych zdjęć. Organ ochrony danych nałożył grzywnę, ponieważ administrator nie zastosował się do tego nakazu. link
Włochy 2021-02-11 5.000 EUR Fondazione di religione e di culto “Casa sollievo della sofferenza” Opera di San Pio da Pietrelcina Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5 000 euro na Fundację Religii i Kultu „Casa sollievo della sofferenza” Opera di San Pio da Pietrelcina. W dniu 31 stycznia 2020 r. administrator zawiadomił organ ochrony danych o naruszeniu ochrony danych osobowych na podstawie art. 33 RODO. Dokumenty zawierające informacje o stanie zdrowia osoby, której dane dotyczą, zostały przypadkowo wysłane pocztą do niewłaściwego adresata. Stało się tak z powodu pomyłki: faktura została wcześniej wysłana nie do osoby, której dane dotyczą, ale do innej osoby o tym samym nazwisku, której adres został następnie wykorzystany do dalszej korespondencji z osobą, której dane dotyczą. link
Włochy 2021-02-25 6.000 EUR Gmina Commezzadura Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na gminę Commezzadura grzywnę w wysokości 6 000 euro. Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jego dane osobowe. Dokument zawierał potwierdzenie i akceptację dobrowolnego rozwiązania stosunku pracy przez pracownika oraz informację o ówczesnym stosunku pracy, w tym oceny jego pracy i informacje o stanie zdrowia. Osoba, której dane dotyczą, skarżyła się również, że informacje te zostały wymienione w artykule w gazecie. W szczególności w artykule omówiono zakończenie zatrudnienia i przytoczono wypowiedź burmistrza gminy odnosząca się do faktu, że osoba, której dane dotyczą, zwróciła się o elastyczne godziny pracy i była nieobecna w pracy podczas świąt Bożego Narodzenia z powodu choroby. link
Włochy 2021-02-25 2.000 EUR Gmina Conflenti Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO Włoski organ ochrony danych (Garante) nałożył na gminę Conflenti grzywnę w wysokości 2000 EUR. Była pracownica gminy złożyła skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jej dane osobowe, w tym informacje o jej zatrudnieniu w gminie oraz fragment wypowiedzenia. link
Włochy 2021-01-14 75.000 EUR Region Lacjum Art. 5 (2) RODO, Art. 28 RODO Włoski organ ochrony danych (Garante) nałożył na Regione Lazio (region Lacjum) grzywnę w wysokości 75 000 EUR za niewyznaczenie Capodarco, firmy, której powierzył zarządzanie rezerwacjami usług opieki zdrowotnej w 1999 r., jako podmiot przetwarzający dane. Administrator nie zawarł umowy z Capodarco, która regulowałaby jego rolę jako podmiotu przetwarzającego dane zgodnie z wymogami prawa o ochronie danych. Właściwa umowa zleconego przetwarzania została więc zawarta dopiero w 2019 roku, co oznaczało, że dane były przetwarzane niezgodnie z prawem przez okres około 20 lat. link
Włochy 2021-02-11 75.000 EUR Ministero dello Sviluppo Economico Art. 5 (1) a), b), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 37 (1), (7) RODO Włoski organ ochrony danych (Garante) nałożył grzywnę na Ministerstwo Rozwoju Gospodarczego (Ministero dello Sviluppo Economico) w wysokości 75 000 euro za brak powołania inspektora ochrony danych do 28 maja 2018 r. oraz za opublikowanie na swojej stronie internetowej danych osobowych ponad pięciu tysięcy menedżerów. We Włoszech małe i średnie przedsiębiorstwa, które wcześniej otrzymały odpowiedni bon, mogły za pośrednictwem ukaranego podmiotu zamówić porady dotyczące procesów technologicznych i cyfrowych od doświadczonych profesjonalistów biznesowych. Włoski organ ochrony danych wszczął dochodzenie przeciwko administratorowi po tym, jak okazało się, że dane osobowe ponad pięciu tysięcy menedżerów, którzy udostępnili się do odpowiednich konsultacji, są swobodnie dostępne na jego stronie internetowej. Dane osobowe, takie jak imię i nazwisko, numer identyfikacji podatkowej, adres e-mail, pełne CV oraz w niektórych przypadkach kopia dowodu osobistego i karty zdrowia osób, których dane dotyczą, były publicznie widoczne i mogły być swobodnie pobierane. Na stronie internetowej można było również pobrać uchwałę dyrekcji, która zatwierdziła listę, która zawierała dane i informacje wszystkich dyrektorów. Organ ochrony danych stwierdził, że przetwarzanie było niezgodne z prawem, a uchwała dyrekcji, do której odniósł się administrator, nie stanowiła odpowiedniej podstawy prawnej do ujawnienia danych online. link
Włochy 2020-12-17 2.000 EUR Ordine degli Assistenti Sociali della Regione Lazio Art. 12 (3), (4) RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 EUR na Ordine degli Assistenti Sociali della Regione Lazio. W dniu 27 listopada 2019 r. osoba, której dane dotyczą, wysłała do administratora wiadomość e-mail z zapytaniem, jakie dane dotyczące jej i jej córek są przetwarzane. Po początkowym braku odpowiedzi na jego prośbę o udzielenie informacji, w dniu 10 stycznia 2020 r. osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do włoskiego organu ochrony danych. Jego prośba o udzielenie informacji została następnie spełniona w dniu 17 czerwca 2020 r., ale bez wyjaśnienia opóźnienia, a w szczególności początkowego braku odpowiedzi na wniosek. link
Włochy 2021-02-25 300.000 EUR Istituto Nazionale Previdenza Sociale (INPS) Art. 5 (1) a), c), d) RODO, Art. 25 RODO, Art. 35 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 300 000 EUR na Istituto Nazionale Previdenza Sociale (INPS). Włoski Krajowy Instytut Zabezpieczenia Społecznego otrzymał zadanie prowadzenia dochodzeń w sprawie nadużyć finansowych związanych z funduszami pomocy na COVID-19. Po doniesieniach prasowych, w których pojawiły się problemy z praktykami instytutu w zakresie przetwarzania danych w związku z przeglądem wniosków polityków, włoski organ ochrony danych wszczął dochodzenie przeciwko INPS w sierpniu 2020 r. Podczas tego dochodzenia organ ochrony danych zidentyfikował kilka naruszeń. Administrator zebrał dane dziesiątek tysięcy polityków ze źródeł publicznych i porównał je z danymi wnioskodawców. Czyniąc to, administrator nie dopilnował jednak, aby dane były zbierane tylko od tych polityków, którzy kwalifikowali się do otrzymania środków pomocowych. Czyniąc to, administrator naruszył zasady legalności, uczciwości i przejrzystości określone w RODO. Ponadto administrator naruszył zasadę minimalizacji danych, inicjując kontrole zwrotów nawet w przypadku osób, których wnioski zostały odrzucone i które w związku z tym nigdy nie otrzymały płatności. Ponadto administrator nie ocenił odpowiednio ryzyka związanego z operacją przetwarzania danych tak wrażliwą jak w przypadku wniosków o świadczenia socjalne, ponieważ nie przeprowadził oceny wpływu na prawa i wolności osób, których dane dotyczą. link
Włochy 2020-12-17 10.000 EUR Gmina Luino Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 37 (1) a) RODO, Art. 37 (7) RODO Włoski organ ochrony danych (Garante) nałożył na gminę Luino grzywnę w wysokości 10 000 EUR. Administrator opublikował dokument zawierający dane osobowe radnego. Poza danymi osobowymi dokument zawierał również informację o postępowaniu reklamacyjnym wniesionym przeciwko niemu przez burmistrza. Swobodnie dostępny dokument można było pobrać bez dalszego uwierzytelniania. Ponadto gmina nie wskazała inspektora ochrony danych i nie przekazała organowi ochrony danych jego danych kontaktowych. link
Włochy 2020-12-17 4.000 EUR Gmina Santo Stefano Belbo Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO Włoski organ ochrony danych (Garante) nałożył na gminę Santo Stefano Belbo grzywnę w wysokości 4000 euro. Powodem tego było opublikowanie przez administratora na swojej stronie internetowej dwóch dokumentów dotyczących ugody prawnej osoby, której dane dotyczą. Dokumenty były nie tylko swobodnie dostępne, ale także można je było pobrać. Dokumenty zawierały dane osobowe i informacje o osobie, której dane dotyczą, w tym oprócz imienia i nazwiska, potwierdzenie zapłaty kosztów sądowych, kod IBAN jego rachunku rozliczeniowego, informacje o pozwie i kwotach wpłaconych na jego rzecz. osoby, której dane dotyczą. link
Hiszpania 2021-06-02 4.000 EUR Avalos Consultores, S.L. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Avalos Consultores, SL grzywnę w wysokości 4000 EUR. Osoba, której dane dotyczą, będąca klientem administratora danych, złożyła skargę do AEOPD, ponieważ administrator przekazał jej dane osobowe agencji Torrent Asesores Nga, SL bez jej zgody. link
Hiszpania 2021-05-27 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na osobę prywatną za nieuprawnione korzystanie z kamer do monitoringu wideo, które bez uzasadnionego powodu rejestrowały również części przestrzeni publicznej oraz za publikację tych nagrań w Internecie. link
Hiszpania 2021-05-25 6.000 EUR Desolasol Restauración, S.L Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Desolasol Restauración S.L. 6000 euro. Osoba, której dane dotyczą, przesłała do restauracji formularz skargi konsumenckiej, ponieważ nie był w stanie rozmawiać przy stole ze względu na głośność muzyki. Kopia formularza pozostała u administratora. Ze względu na błąd pracownika restauracji kopie formularza zostały przekazane pozostałym gościom restauracji obecnym podczas incydentu. link
Hiszpania 2021-05-25 4.000 EUR Alava Norte, S.L. Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) ukarał grzywną Alava Norte, S.L. 4000 euro. Ukarany podmiot zainstalował trzy kamery do monitoringu 360° na fasadzie jednego ze swoich budynków w celu zabezpieczenia obiektu. Uchwyciły również fragmenty przestrzeni publicznej. AEPD uznała to za naruszenie zasady minimalizacji danych, gdyż tak rozbudowany monitoring wizyjny nie był konieczny do realizacji celu przetwarzania (bezpieczeństwa obiektu). link
Hiszpania 2021-05-25 100.000 EUR Vodafone España, SAU Art. 28 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 100 000 euro na Vodafone España, S.A.U. Osoba, której dane dotyczą, złożyła skargę do hiszpańskiego organu ochrony danych przeciwko firmie telekomunikacyjnej. Zgodnie ze skargą osoba, której dane dotyczą, otrzymała telefon reklamowy od firmy, który został wykonany w imieniu Vodafone España, S.A.U., chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinsona. Według podmiotu przetwarzającego zlecenie Vodafone, połączenie reklamowe z osobą, której dane dotyczą, nastąpiło z powodu błędu w systemie filtrowania numerów połączeń. W trakcie dochodzenia organ ochrony danych ustalił, że Vodafone nie ustanowił żadnych środków mających na celu uniknięcie połączeń reklamowych z numerami z listy Robinsona. W niniejszej sprawie Vodafone nawet nie wiedziała, że ​​numer osoby, której dane dotyczą, znajdował się na liście Robinsona, co oznaczało, że nie została ona zablokowana dla zleconego przedsiębiorstwa. link
Hiszpania 2021-05-25 900 EUR Dyrektor Zarządzający firmy Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 euro na dyrektora zarządzającego firmy. Osoba, której dane dotyczą, złożyła skargę do AEOPD na administratora, z którym zawarł umowę. Kara polega na tym, że administrator nie poinformował prawidłowo osoby, której dane dotyczą, o przetwarzaniu jej danych podczas ich zbierania. AEPD uważa to za naruszenie art. 13 RODO. Pierwotna grzywna w wysokości 1500 euro została obniżona do 900 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Hiszpania 2021-05-21 45.000 EUR Telefónica de España, S.A.U Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 75 000 EUR na Telefonica de España, S.A.U. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko firmie telekomunikacyjnej. Administrator zarezerwował usługę dla osoby, której dane dotyczą, bez zawarcia na nią umowy przez osobę, której dane dotyczą. Po tym, jak osoba, której dane dotyczą, nie dokonała żadnych płatności za tę usługę, usługa została anulowana w tym samym roku, a firmie windykacyjnej zlecono odzyskanie rzekomo niespłaconych długów. AEPD ustalił, że ani przetwarzanie danych w celu rezerwacji usługi, ani przekazywanie danych osobowych osoby, której dane dotyczą, do agencji windykacyjnej nie odbyły się zgodnie z prawem. Pierwotna kara w wysokości 75 000 euro została obniżona do 45 000 euro z powodu natychmiastowej zapłaty i uznania zadłużenia. link
Hiszpania 2021-05-21 3.000 EUR Stowarzyszenie właścicieli domów Art. 5 (1) c) RODO, Art. 12 RODO Monitoring wizyjny przestrzeni publicznej i tym samym naruszenie zasady minimalizacji danych. Ponadto: Naruszenie obowiązków informacyjnych ze względu na brak wystarczających informacji na temat monitoringu wizyjnego. link
Hiszpania 2021-05-21 3.000 EUR Lekarz Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył na lekarza grzywnę w wysokości 3 000 euro. Administrator opuścił swoją dawną przychodnię i rozpoczął pracę w nowej przychodni. Skarżący przejął dawną klinikę ukaranego podmiotu. Umowa kupna stanowiła wprost, że strona sprzedająca (administrator danych) w żadnych okolicznościach nie mogła wykonać kopii akt pacjenta. Niemniej jednak ukarany lekarz poinformował swoich byłych pacjentów, że w przyszłości będzie mógł skorzystać z jego usług w jego nowej klinice. AEPD ustalił, że administrator działał nie tylko z naruszeniem umowy, ale także z naruszeniem przepisów o ochronie danych, kontaktując się z byłymi pacjentami. link
Wielka Brytania 2020-10-16 22.046.000 EUR British Airways Art. 5 (1) f) RODO, Art. 32 RODO link
Norwegia 2021-05-20 39.000 EUR Gmina Miejska w Oslo Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 39 000 EUR na gminę Oslo. Na stronie internetowej administratora opublikowano wezwanie z prokuratury dotyczące osoby, której dane dotyczą. Wezwanie zawierało między innymi dane osobowe, takie jak dane dotyczące zdrowia. Incydent miał miejsce, ponieważ wezwanie do sądu nie zostało pierwotnie zaklasyfikowane jako poufne i w związku z tym nie zostało zwolnione z publicznego ujawnienia. Dokument był publicznie dostępny przez pięć godzin, zanim został usunięty. link
Rumunia 2021-05-19 2.000 EUR Banca Comercială Română S.A. Art. 5 (1) a), d)RODO, Art. 5 (2) RODO, Art. 6 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Banca Comercială Română S.A. karę w wysokości 2000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator wykorzystał jej dane osobowe w ramach postępowania egzekucyjnego z tytułu długów wynikających z umowy kredytowej, o której nie wiedział. link
Rumunia 2021-05-19 500 EUR Stowarzyszenie Właścicieli Gminy Jassy Art. 58 (1) a), e) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 500 EUR na Asociație de Proprietari din municipiul Iași (Stowarzyszenie Właścicieli Gminy Iasi). Ukarany podmiot nie dostarczył organowi ochrony danych informacji, o które prosił. link
Hiszpania 2021-05-14 30.000 EUR Allianz Compañia de Seguros y Reaseguros, S.A. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Allianz Compañia de Seguros y Reaseguros SA grzywnę w wysokości 30000 EUR. Administrator wysłał fakturę osobie, której dane dotyczą, mimo braku stosunku umownego. Osoba, której dane dotyczą, zawarła polisę ubezpieczeniową motocykla z administratorem w 2016 r., ale wypowiedziała polisę w 2017 r. link
Rumunia 2021-05-14 200 EUR Operator serwisu Art. 5 (1) a), b) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1), (2), (3) RODO, Art. 32 (2) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na operatora strony internetowej declaratieppr.ro grzywnę w wysokości 200 euro. Podczas pandemii Covid19 odwiedzający stronę mogli wypełnić formularz wymagany do wpisania miejsca zamieszkania. W tym celu zebrano dane osobowe, takie jak imię i nazwisko, adres i numer identyfikacyjny. Jednak administrator nie był w stanie udowodnić, że przetwarzał dane zgodnie z prawem. Ponadto administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych podczas zbierania ich danych osobowych oraz nie wdrożył wystarczających środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo przetwarzania danych. link
Rumunia 2021-05-13 2.000 EUR Telekom Romania Communications SA Art. 6 RODO, Art. 21 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Communications SA grzywnę w wysokości 2000 euro. Administrator wykonał połączenie reklamowe z osobą, której dane dotyczą, chociaż ta ostatnia skorzystała z prawa do sprzeciwu wobec przetwarzania jej danych osobowych w celach marketingowych i reklamowych, żądając od administratora usunięcia jego numeru telefonu i adresu e-mail z bazy danych Telekom. link
Grecja 2021-05-12 5.000 EUR A. ΕΠΙΛΟΓΗ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΕΙΑ Art. 5 (1) a), b) RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 17 RODO Grecki organ ochrony danych nałożył na A. ΕΠΙΛΟΓΗ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΕΙΑ 5.000 EUR. Administrator nie odpowiedział na żądania informacji i usunięcia danych od osoby, której dane dotyczą. W trakcie dochodzenia prowadzonego przez organ ochrony danych administrator poinformował organ ochrony danych, że usunął dane osoby, której dane dotyczą. Jednak osoba, której dane dotyczą, nie została o tym poinformowana. Ponadto organ ochrony danych stwierdził, że dane osoby, której dane dotyczą, zostały zebrane w innym celu niż uzgodniony cel. Nie uzyskano odpowiedniej zgody osoby, której dane dotyczą, na ten nowy cel przetwarzania. link
Hiszpania 2021-05-12 3.000 EUR Solram T Y R S.L. Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3000 EUR na Solram TYR SL. Osoba, której dane dotyczą, złożyła skargę do AEPD na administratora, ponieważ administrator nadal wysyłał mu reklamy za pośrednictwem WhatsApp, mimo że zażądał usunięcia swoich danych. link
Norwegia 2021-05-05 Zamiar wydania grzywny Disqus Inc. Art. 5 (1), (2) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 39.000 EUR na gminę Oslo. Na stronie internetowej administratora opublikowano wezwanie z prokuratury dotyczące osoby, której dane dotyczą. Wezwanie zawierało między innymi dane osobowe, takie jak dane dotyczące zdrowia. Incydent miał miejsce, ponieważ wezwanie do sądu nie zostało pierwotnie zaklasyfikowane jako poufne i w związku z tym nie zostało zwolnione z publicznego ujawnienia. Dokument był publicznie dostępny przez pięć godzin, zanim został usunięty. link
Norwegia 2021-03-21 19.900 EUR Basaren Drift AS Art. 5 RODO, Art. 6 RODO, Art. 13 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Basaren Drift AS grzywnę w wysokości 19 900 EUR. Kontroler zainstalował w swojej siedzibie kamery wideo, które rejestrowały zarówno pracowników, jak i klientów. Norweski organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej do nadzoru kamer. Ponadto norweski organ ochrony danych stwierdził, że administrator nie dostarczył osobom, których dane dotyczą, wystarczających informacji na temat nadzoru. link
Norwegia 2021-03-15 100.000 EUR Asker Municipality Art. 5 RODO, Art. 6 RODO, Art. 32 (1) b) RODO, Art. 24 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na gminę Asker grzywnę w wysokości 100 000 EUR. W dniu 20 maja 2020 roku organ ochrony danych otrzymał zawiadomienie, że gmina bezprawnie opublikowała dane osobowe na swojej stronie internetowej. Na stronie internetowej użytkownicy mogli przeglądać nazwy dokumentów, które zostały wcześniej przesłane za pośrednictwem listy dystrybucyjnej poczty e-mail gminy. Oprócz nazwisk faktycznych dokumentów zawierały one również nazwiska i daty urodzenia 127 osób, w tym dzieci. Chociaż listy dystrybucyjne były codziennie weryfikowane przez dwie osoby, gmina nie wykryła rozbieżności. Norweski organ ochrony danych stwierdza, że ​​naruszenie danych nastąpiło częściowo z powodu braku wymaganych procedur obsługi list e-mailowych. link
Norwegia 2021-03-08 14.900 EUR Dragefossen AS Art. 5 (1) a) RODO, Art. 6 (1) RODO Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 14 900 EUR na przedsiębiorstwo energetyczne Dragefossen AS. Ten ostatni zainstalował kamerę internetową na dachu swojego biurowca w centrum Rognan, który działał 24 godziny na dobę, 7 dni w tygodniu i nagrywał centrum miasta. Nagrania te można było oglądać za pośrednictwem strumienia wideo na żywo w serwisie YouTube i na stronie głównej administratora. Ponadto nagrania można było przewijać do dwunastu godzin. Obszar objęty monitoringiem obejmował publiczną ulicę, parking i wejście dwóch sklepów spożywczych, aptekę, sklep monopolowy, lokalny bank, ratusz i szereg innych budynków. Ze względu na jakość obrazu i odległość od kamery nie można było dostrzec szczegółów twarzy ani odczytać tablic rejestracyjnych na samochodach. Niemniej jakość obrazu była na tyle dobra, że ​​można było określić, jakim typem samochodu jechała osoba, której dane dotyczą, jaki rodzaj odzieży miała na sobie, jaki miał kolor włosów i inne cechy osobiste. To wystarczyło, aby osoby oglądające transmisję na żywo mogły zidentyfikować i śledzić współpracowników, kolegów, przyjaciół, rodzinę lub innych znajomych. Norweski organ ochrony danych stwierdził, że transmisja na żywo stanowi naruszenie art. 6 ust.1 RODO i art. 5 (1) a) RODO. W decyzji podkreślono, że nielegalny nadzór kamer obejmował znaczną liczbę pracowników i że wielu było monitorowanych wielokrotnie, niektórzy codziennie. Ci, którzy byli monitorowani, byli w drodze do pracy iz pracy, którzy musieli kupić artykuły spożywcze, lekarstwa lub alkohol lub przebywali w miejscach publicznych z innych powodów. Są to czynności, w przypadku których osoby, których dane dotyczą, nie oczekują monitorowania, a tym bardziej nie oczekują, że monitoring będzie transmitowany na żywo w Internecie. link
Polska 2021-04-22 245.000 EUR Cyfrowy Polsat S.A. Art. 24 (1) RODO, Art. 32 (1), (2) RODO, Art. 34 (1) RODO Polski organ ochrony danych (UODO) nałożył na Cyfrowy Polsat S.A. grzywnę w wysokości 245 000 EUR. Kara została nałożona na dużą liczbę naruszeń ochrony danych zgłoszonych przez administratora do organu ochrony danych. Często korespondencja pocztowa zawierająca dane osobowe była zagubiona lub dostarczona do niewłaściwego odbiorcy. Urząd ochrony danych zauważa, że ​​chociaż naruszenia ochrony danych zostały spowodowane przez firmę kurierską, z którą współpracował administrator, administrator musiał zapewnić, aby takie naruszenia nie miały miejsca. Administrator nie wdrożył środków technicznych i organizacyjnych odpowiednich do zagrożenia dla ochrony przetwarzania danych. Ponadto administrator nie powiadomił osób, których dane dotyczą, o naruszeniu ochrony danych dopiero dwa do trzech miesięcy później. link
Czechy 2020-05-26 Nieznana Nieznany Art. 5 (1) a) RODO, Art. 6 RODO Czeski organ ochrony danych (UOOU) nałożył na firmę karę za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. Pracownicy działu sprzedaży administratora skontaktowali się z kilkoma osobami w celach reklamowych. Osoby, których dane dotyczą, w przeszłości (do około 2016 roku) korzystały z usług sprzedawców przy zawieraniu umów ubezpieczenia lub umów finansowych. Jednak w tym czasie sprzedawcy pracowali dla innej firmy, z którą zawarli umowę agencyjną. Urząd ochrony danych zwraca uwagę, że z jednej strony wykorzystywanie danych osobowych znanych przedstawicielom z ich dotychczasowej działalności stanowi naruszenie umowy zawartej z poprzednią firmą, z drugiej strony nie istniała podstawa prawna do dalszego przetwarzania danych w celach reklamowych na korzyść administratora. link
Czechy 2020 19.200 EUR Nieznany Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 12 (2), (3), Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 18 RODO, Art. 19 RODO, Art. 20 RODO, Art. 21 RODO, Art. 22 RODO Firma skopiowała dane osobowe z rejestrów publicznych, co zostało uznane przez czeski organ ochrony danych za nielegalne, ponieważ nie zostało uznane za konieczne. link
Czechy 2020 Nieznana Nieznany Art. 5 (1) a) RODO Dotowana przez państwo organizacja udostępniła zdjęcia swoich pracowników na swojej stronie internetowej bez wystarczającej podstawy prawnej link
Czechy 2020 Nieznana Miasto Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 13 RODO, Art. 14 (3) RODO Szkoła publiczna udostępniła dane osobowe burmistrzowi miasta, który ujawnił je za pośrednictwem aplikacji mobilnej radia miejskiego. link
Czechy 2020 3.850 EUR Nadawca telewizyjny Art. 12 (1) RODO Nadawca telewizyjny zamieścił na swojej stronie internetowej informacje o przetwarzaniu danych osobowych, które były jednak ukryte i niedokładne (linki do nieaktualnych przepisów prawnych) link
Czechy 2020 Nieznana Nieznany Art. 5 (1) c) RODO Firma przechowywała podpisy biometryczne swoich klientów, co naruszyło zasadę minimalizacji danych. link
Czechy 2020 Nieznana Bank Art. 5 (1) c), e) RODO, Art. 6 (1) RODO, Art. 7 (4) RODO Bank uzależnił otwarcie rachunku od okazania kopii dowodu osobistego. link
Czechy 2020 Nieznana Służby zdrowia Art. 5 (1) a) RODO, Art. 12 (1) RODO, Art. 28 (2), (3) RODO Świadczeniodawca zbierał dane osobowe za pomocą oprogramowania dostarczonego przez podmiot zewnętrzny bez informowania pacjentów. link
Czechy 2020 Nieznana Uniwersytet publiczny Art. 6 (1) RODO, Art. 13 RODO Uczelnia publiczna wymagała podania danych osobowych studentów bez wystarczającej podstawy prawnej. link
Czechy 2020 1.900 EUR Nieznany Art. 12 (2) RODO, Art. 15 (1) RODO Osoba otrzymała fakturę za zamówiony towar, która jednak pochodziła z innej firmy niż ta, od której zamówiła towar. W związku z tym osoba, której dane dotyczą, skontaktowała się z firmą, która dostarczyła towar i zażądała informacji o tym, skąd pozyskano jej dane osobowe, w jaki sposób były one przetwarzane oraz na jakiej podstawie prawnej były przetwarzane. Ponieważ firma nie odpowiedziała na jej żądanie, osoba, której dane dotyczą, skontaktowała się z organem ochrony danych. Następnie organ ochrony danych zażądał od administratora niezwłocznego przekazania osobie, której dane dotyczą, żądanych informacji. Ponieważ administrator również nie odpowiedział na to żądanie, organ ochrony danych nałożył karę w wysokości 1900 EUR.
Czechy 2020 387 EUR Prywatny dostawca opieki zdrowotnej Art. 24 RODO, Art. 32 (1) RODO Czeski organ ochrony danych (UOOU) przeprowadził śledztwo przeciwko operatorowi pozarządowej placówki medycznej w związku z naruszeniem bezpieczeństwa. Operator oferuje pacjentom szereg testów diagnostycznych. Wyniki testów są następnie przekazywane na jej stronie internetowej zarówno pacjentom, jak i lekarzom, którzy zalecali te testy. Zgłoszone naruszenie bezpieczeństwa polegało na ataku na witrynę internetową operatora przez nieznaną osobę. Po tym incydencie operator zaprzestał obsługi omawianej strony internetowej i zaproponował środki techniczne mające na celu zwiększenie bezpieczeństwa. Jednak organ ochrony danych nadal stwierdził, że inne strony internetowe obsługiwane przez tego samego operatora miały te same wady. Operator nie ograniczył jednak ich działalności ani nie podjął żadnych nowych środków technicznych. W konsekwencji UOOU nałożyła grzywnę w wysokości 387 EUR. link
Czechy 2020 Nieznana Wypoyczalnia sprzętu narciarskiego Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 18 GDPR, Art. 19 RODO, Art. 20 RODO, Art. 21 RODO Czeski organ ochrony danych (UOOU) nałożył grzywnę na wypożyczalnię nart. Ze względu na wysoką wartość sprzętu sportowego ukarany podmiot wymagał wpłaty kaucji lub pełnej kopii ważnego dowodu osobistego przy wypożyczaniu sprzętu sportowego. Zgoda na kopię dowodu osobistego została zawarta w samej umowie wypożyczenia sprzętu sportowego. Tym samym przy podpisywaniu umowy wypożyczenia sprzętu sportowego jednocześnie uzyskiwano zgodę na przetwarzanie kopii dowodu osobistego. Organ ochrony danych uznał ten sposób uzyskiwania zgody za naruszenie zgodności z prawem przetwarzania. Ponadto stwierdzono, że osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o przetwarzaniu ich danych osobowych. link
Czechy 2020 2.700 EUR Mall.tv Art. 5 RODO, Art. 6 RODO Czeski organ ochrony danych (UOOU) ukarał Mall.tv grzywną w wysokości 2 700 EUR za nagrywanie fragmentów przestrzeni publicznej bez podstawy prawnej. Przedmiotem śledztwa DPA była obsługa dwóch kamer przez firmę. Kamery nagrywały fragmenty przestrzeni publicznej, a następnie transmitowały materiał w czasie rzeczywistym w telewizji internetowej. Materiał filmowy miał tak wysoką rozdzielczość, że przejeżdżające osoby i pojazdy były wyraźnie widoczne i możliwe do zidentyfikowania. link
Islandia 2021-04-29 23.100 EUR InfoMentor ehf Art. 5 (1) f) RODO, Art. 32 (1) b), d) RODO Islandzki organ ochrony danych (Persónuvernd) nałożył na InfoMentor ehf grzywnę w wysokości 23 100 EUR. Wcześniej administrator zgłosił naruszenie ochrony danych zgodnie z art. 33 RODO. Incydent dotyczył systemu internetowego firmy, który jest wykorzystywany głównie przez szkoły i inne instytucje do celów komunikacyjnych i informacyjnych. W trakcie dochodzeń organ ochrony danych stwierdził, że nieodpowiednie techniczne i organizacyjne środki bezpieczeństwa ze strony administratora doprowadziły do ​​naruszenia. W wyniku wycieku bezpieczeństwa, który spowodował, że sześciocyfrowy numer systemowy każdego użytkownika był widoczny w adresie URL określonej strony w systemie mentorowym, osoby nieuprawnione uzyskały dostęp do danych osobowych 424 dzieci. link
Belgia 2021-04-26 100.000 EUR Firma finansowa Art. 5 (1) f) RODO, Art. 32 RODO Belgijski organ ochrony danych (APD) nałożył grzywnę w wysokości 100 000 EUR na przedsiębiorstwo finansowe. Osoba, której dane dotyczą, złożyła do APD dwie skargi na spółkę. Zostały one oparte na 20 zapytaniach dotyczących jej danych osobowych z rejestru kredytowego Narodowego Banku Belgii. Administrator zatrudnia byłego męża osoby, której dane dotyczą, który rzekomo wykorzystał swoją rolę do bezprawnego uzyskania dostępu do rejestru w celu uzyskania informacji finansowych o osobie, której dane dotyczą, i uzyskania w ten sposób korzyści w postępowaniu rozwodowym. Jak zauważył urząd ochrony danych, naruszenia ochrony danych wynikały z faktu, że administrator nie podjął odpowiednich środków organizacyjnych w celu ochrony danych osobowych przed nieuprawnionym przetwarzaniem. link
Finlandia 2021-04-21 75.000 EUR ParkkiPate Oy Art. 5 (1) c) RODO, Art. 12 (3), (4), (6) RODO, Art. 14 (2) a) RODO, Art. 14 (3) RODO, Art. 15 RODO, Art. 17 (1) a) RODO, Art. 25 (2) RODO Fiński organ ochrony danych nałożył na ParkkiPate Oy grzywnę w wysokości 75 000 EUR. Wiele osób otrzymało od administratora mandaty parkingowe i zażądało w związku z tym informacji o tym, jakie dane osobowe są przetwarzane, a w niektórych przypadkach zażądało usunięcia swoich danych. Jednak aby rozpatrzyć wnioski, administrator stwierdził, że do celów identyfikacji potrzebuje numeru dowodu osobistego i adresu osób, których dane dotyczą, ponieważ ich nazwisko wraz z numerem biletu parkingowego nie wystarczyło do zweryfikowania ich tożsamości. Według urzędu ochrony danych, administrator nie tylko naruszył obowiązek informowania osób, których dane dotyczą i prawo do usunięcia ich danych, ale także naruszył zasadę minimalizacji danych. Urząd ochrony danych podkreślił, że można zażądać dodatkowego dowodu tożsamości, jeśli istnieją uzasadnione wątpliwości co do tożsamości osoby, której dane dotyczą. Jednak w omawianych sprawach takie wątpliwości nie istniały. Ponadto organ ochrony danych stwierdził naruszenie zasady ograniczenia przechowywania. Administrator przechował zdjęcia nieprawidłowo zaparkowanych samochodów oraz kopie mandatów parkingowych na potrzeby ewentualnych przyszłych sporów w sądzie bez określenia terminu usunięcia danych. link
Węgry 2021-03-24 27.700 EUR Budapest Főváros Kormányhivatala XI. kerületi Hivatalát (11th District Public Health Department of the Government Office of the Capital City Budapest) Art. 32 (1) a), b) RODO, Art. 32 (2) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę na XI Okręgowe Biuro Rządu Budapesztu w wysokości 27 700 EUR Kontroler przesłał e-mailem dane zdrowotne dotyczące szybkich testów Covid-19, a także dane kontaktowe badanych osób w jednym pliku Excel plik, niezaszyfrowany i bez żadnych dalszych środków w celu zapewnienia poufności. Urząd ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. Ponadto administrator nie poinformował regulatora ani osób, których dane dotyczą, o naruszeniach danych.
Grecja 2021-04-16 2.000 EUR Kandydat do wyborów parlamentarnych Art. 15 RODO, Art. 11 Law 3471/2006 Grecki organ ochrony danych (HDPA) nałożył grzywnę na kandydata do parlamentu w wysokości 2000 euro. Osoba, której dane dotyczą, otrzymała telefon od administratora na jej prywatny numer komórkowy przed wyborami parlamentarnymi w Grecji w lipcu 2019 r. Zaproszenie miało na celu promowanie kandydatury administratora. Administrator danych odpowiedział na zapytania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych w sposób sprzeczny. link
Grecja 2021-03-22 2.000 EUR Kandydat do wyborów parlamentarnych Art. 15 RODO, Art. 11 Law 3471/2006 Grecki organ ochrony danych (HDPA) nałożył grzywnę na kandydata do parlamentu w wysokości 2000 euro. Osoba, której dane dotyczą, otrzymała telefon od administratora na jej prywatny numer komórkowy przed wyborami parlamentarnymi w Grecji w lipcu 2019 r. Zaproszenie miało na celu promowanie kandydatury administratora. Administrator danych odpowiedział na zapytania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych w sposób sprzeczny. link
Rumunia 2021-05-07 2.000 EUR World Class România S.A. Art. 32 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 2000 EUR na World Class România S.A .. Kontroler opublikował wypowiedzenie pracownika grupy WhatsApp używanej przez pracowników administratora. W rezultacie wszyscy członkowie tej grupy WhatsApp uzyskali nieuprawniony dostęp do niektórych danych osobowych osoby, której dane dotyczą (nazwisko, imię, adres, numer identyfikacyjny, informacje związane z wnioskiem o wypowiedzenie). link
Holandia 2021-03-11 600.000 EUR Gmina Enschede Art. 5 (1) a) RODO, Art. 6 (1) RODO Holenderski organ ochrony danych (AP) nałożył na gminę Enschede grzywnę w wysokości 600 000 EUR. W 2017 roku gmina zdecydowała się zainstalować specjalne skrzynki pomiarowe do pomiaru natężenia ruchu w centrum miasta Enschede. Czujniki w skrzynkach pomiarowych wykryły sygnały WiFi z telefonów komórkowych przechodniów i zarejestrowały je za pomocą kodu. Na podstawie zarejestrowanych kodów można było obliczyć ruchliwość centrum miasta. Umożliwiło to jednak również śledzenie, przez którą skrzynkę pomiarową mijał dany telefon komórkowy, umożliwiając śledzenie ruchu przechodniów. Gmina twierdzi, że nigdy nie zamierzała śledzić przechodniów. Jednak organ ochrony danych stwierdza, że ​​śledzenie Wi-Fi (nawet jeśli było niezamierzone) stanowi poważne naruszenie RODO. Urząd ochrony danych osobowych stwierdza, że ​​gmina śledziła swoich przechodniów bez skutecznej podstawy prawnej i tym samym naruszyła art. 5 (1) a) RODO i art. 6 ust.1 RODO. link
Hiszpania 2021-05-04 1.500.000 EUR EDP Energía, S.A.U Art. 13 RODO, Art. 25 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1 500 000 EUR na EDP Energía, S.A.U .. Decyzja ta wynika w szczególności z kilku skarg otrzymanych w związku z przetwarzaniem danych osobowych bez zgody. Jak stwierdził organ ochrony danych, administrator nie poinformował osób, których dane dotyczą, zgodnie z art. 13 RODO podczas zbierania ich danych. W tym przypadku osoby, których dane dotyczą, nie były informowane o ich prawach wynikających z art. 15 RODO - art. 22 RODO, a dane kontaktowe administratora (np. adres) są niekompletne. Poza tym praktyka biznesowa firmy pozwalała na zawieranie umów z przedstawicielami klientów zamiast bezpośrednio z klientami. W takich przypadkach jednak administrator danych nie sprawdził, czy rzeczywiście istniało upoważnienie do reprezentowania osób, których dane dotyczą. Organ ochrony danych stwierdza, że ​​administrator nie wdrożył procedury weryfikacji uprawnień rzekomych przedstawicieli. Proporcjonalnie za naruszenie art. 13 RODO i 500000 EUR za naruszenie art. 25 RODO. link
Hiszpania 2021-05-04 1.500.000 EUR EDP Comercializadora, S.A.U. Art. 13 RODO, Art. 25 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1 500 000 EUR na EDP Comercializadora, S.A.U .. Decyzja ta wynika w szczególności z kilku skarg otrzymanych w związku z przetwarzaniem danych osobowych bez zgody. Jak stwierdził organ ochrony danych, administrator nie poinformował osób, których dane dotyczą, zgodnie z art. 13 RODO podczas zbierania ich danych. W tym przypadku osoby, których dane dotyczą, nie były informowane o ich prawach wynikających z art. 15 RODO - art. 22 RODO, a dane kontaktowe administratora (np. adres) są niekompletne. Poza tym praktyka biznesowa firmy pozwalała na zawieranie umów z przedstawicielami klientów zamiast bezpośrednio z klientami. W takich przypadkach jednak administrator danych nie sprawdził, czy rzeczywiście istniało upoważnienie do reprezentowania osób, których dane dotyczą. Organ ochrony danych stwierdza, że ​​administrator nie wdrożył procedury weryfikacji uprawnień rzekomych przedstawicieli. Proporcjonalnie za naruszenie art. 13 RODO i 500000 EUR za naruszenie art. 25 RODO. link
Hiszpania 2021-04-27 3.000 EUR Pagamastarde S.L. Art. 17 (1) RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5000 EUR na Pagamastarde SL. Osoba, której dane dotyczą, złożyła skargę do AEPD na administratora, ponieważ administrator nadal wysyłał mu reklamy SMS, mimo że miał zażądał usunięcia swoich danych, a administrator potwierdził usunięcie. Administrator stwierdził, że żądanie osoby, której dane dotyczą, nie zostało spełnione z powodu błędu ludzkiego. Za naruszenie art. 17 (1) RODO i 2000 EUR za naruszenie art. 21 LSSI. Pierwotna kara w wysokości 5000 euro została obniżona do 3000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Hiszpania 2021-04-27 15.000 EUR Anytime Fitness Iberia S.L. Art. 17 RODO, Art. 21 LSSI Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 15 000 EUR na Anytime Fitness Iberia SL. Osoba, której dane dotyczą, złożyła skargę do AEPD na administratora, ponieważ administrator nadal wysyłał mu reklamy SMS, mimo że zażądał usunięcia swoich danych, a administrator potwierdził usunięcie. W przypadku naruszenia art. 17 RODO i 5000 EUR za naruszenie art. 21 LSSI. link
Hiszpania 2021-04-23 1.000.000 EUR Equifax Iberica S.L. Art. 5 (1) a), b), c), d) RODO Art. 6 (1) RODO, Art. 14 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1 000 000 EUR na Equifax Ibérica, SL. W sumie do organu ochrony danych wpłynęło 96 skarg przeciwko administratorowi, ponieważ dane osobowe osób powiązanych z domniemanymi długami zostały umieszczone w aktach sądowych ds. Roszczeń i podmiotów publicznych („FIJ”) bez ich zgody. W niektórych przypadkach dane te nie były nawet poprawne. Według OOD przetwarzanie danych osobowych osób, których dane dotyczą, w ramach zbioru FIJ było niezgodne z prawem i naruszało kilka zasad ochrony danych w zakresie przetwarzania danych (zgodność z prawem i przejrzystość, celowość, minimalizacja danych i dokładność). Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych, naruszając tym samym obowiązek ich poinformowania. link
Hiszpania 2021-04-22 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 EUR na osobę fizyczną. Kontroler zainstalował na swojej posesji kamerę monitorującą, która rejestrowała między innymi przestrzeń publiczną i sąsiednie posesje. Według administratora zainstalował kamerę ze względów bezpieczeństwa swojego mienia. AEPD uznał to za naruszenie zasady minimalizacji danych, gdyż tak rozległy monitoring nie był konieczny do ochrony mienia administratora. link
Hiszpania 2021-04-22 4.000 EUR HazteOir.Org Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył na HazteOir.Org grzywnę w wysokości 5000 EUR. Administrator opublikował broszurę na temat edukacji seksualnej w szkołach, która niezgodnie z prawem zawierała zdjęcia i nazwiska trzech osób, których dane dotyczą, które nie wyraziły zgody. Pierwotna kara w wysokości 5 000 EUR została obniżona o 20% do 4 000 EUR z powodu natychmiastowej zapłaty. link
Hiszpania 2021-04-20 8.000 EUR Highcliffe Estates Marbella S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Highcliffe Estates Marbella S.L. grzywnę w wysokości 8 000 EUR. Administrator bez jego zgody opublikował na swojej stronie internetowej zdjęcie osoby, której dane dotyczą. link
Rumunia 2021-04-19 1.500 EUR Lugera & Makler Broker S.R.L. Art. 29 RODO, Art. 32 (2), (4) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Lugera & Makler Broker S.R.L. grzywnę w wysokości 1500 EUR. Administrator przypadkowo zniszczył dane klientów Raiffeisen Bank S.A., dla których występował jako podmiot przetwarzający. ANSPDCP stwierdza, że ​​do incydentu doszło z uwagi na to, że administrator nie podjął wystarczających środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom ochrony przetwarzania danych. link
Hiszpania 2021-04-19 1.500 EUR Szef pubu Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na właściciela pubu grzywnę w wysokości 1500 EUR za nieuprawnione użycie dwóch kamer monitorujących część przestrzeni publicznej. link
Rumunia 2021-04-15 5.000 EUR S.C. Tip Top Food Industry S.R.L Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 7 RODO Rumuński organ ochrony danych (ANSPDCP) ukarał S.C. Tip Top Food Industry S.R.L. 5000 EUR. Kontroler zainstalował kilka kamer wideo w strefach gastronomicznych i szatniach, aby obserwować swoich pracowników. CCTV miał na celu powstrzymanie kradzieży i ochronę wyprodukowanych towarów. Rumuński organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, ponieważ taki szeroko zakrojony nadzór nie był konieczny. Wytworzone towary można było chronić metodami mniej ingerującymi w prywatność pracowników. link
Hiszpania 2021-04-15 3.000 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 3000 EUR. Ukarny znajduje się na 1 piętrze budynku mieszkalnego, gdzie jest właścicielem mieszkań na 2 i 3 piętrze. Regularnie wynajmuje te apartamenty turystom. Ukarany zainstalował cztery kamery wideo na trzech kondygnacjach oraz w strefie wejściowej do budynku. Swoją działalność uzasadniał względami bezpieczeństwa związanymi z wynajmem turystów. Stowarzyszenie właścicieli nie wyraziło zgody na eksploatację kamer. Ponadto Ukarany nie umieścił w budynku tablicy informującej o pracy kamery. UOD uznał to za naruszenie zasady minimalizacji danych, gdyż kamery objęły obszary budynku użytkowane przez społeczność, których monitoring nie był konieczny dla ochrony mienia administratora. Ponadto administrator naruszył obowiązek informacyjny, ponieważ nie poinformował pozostałych mieszkańców budynku o przetwarzaniu ich danych. link
Hiszpania 2021-04-13 90.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 150 000 EUR na Vodafone España S.A.U. Trzy osoby, których dane dotyczą, złożyły do ​​AEPD skargi na administratora. Skarżyli się na otrzymywanie niezamówionych smsów od administratora informujących ich o nowych fakturach, mimo że nie było już stosunku umownego między nimi a administratorem. Ponadto nie było żadnych zaległych faktur, ponieważ kwota do zapłaty wynosiła zawsze zero euro. Osoby, których dane dotyczą, kilkakrotnie zwracały się do administratora o zaprzestanie wysyłania im wiadomości tekstowych i usunięcie ich danych. Administrator wyjaśnił, że wiadomości zostały wysłane z powodu błędu technicznego i zapewnił osoby, których dane dotyczą, że nie będą już otrzymywać takich powiadomień w przyszłości. Jednak wysyłanie było kontynuowane. Pierwotna kara w wysokości 150 000 euro została obniżona do 90 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Norwegia 2021-04-09 3.400 EUR Miljø- og Kvalitetsledelse AS Art. 5 (1) a) RODO, Art. 6 (1) RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Miljø- og Kvalitetsledelse AS grzywnę w wysokości 3.400 EUR. Na jednej z myjni obsługiwanych przez kontrolera doszło do aktów wandalizmu na terminalu płatniczym. Następnie kontroler przesłał materiał filmowy z incydentu z kamery monitorującej do pracodawcy domniemanego wandala. Norweski organ ochrony danych stwierdził, że udostępnianie materiału wideo odbyło się bez podstawy prawnej, a tym samym administrator naruszył art. 6 ust.1 RODO i art. 5 (1) a) RODO. Ponadto organ ochrony danych podkreśla, że ​​ujawnienie nagrań nie było konieczne do wyjaśnienia incydentu, ponieważ nagrania zostały już przekazane policji. link
Hiszpania 2021-04-08 60.000 EUR Kutxabank, S.A Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Kutxabank, SA grzywnę w wysokości 100 000 euro. Osoba, której dane dotyczą, była już w przeszłości klientem banku. W tym czasie skorzystał z prawa do usunięcia swoich danych. Kiedy próbował otworzyć nowe konto u administratora, został poinformowany, że nie jest to możliwe, ponieważ jego dane były nadal zablokowane (z powodu jego poprzedniego żądania usunięcia). Ponadto administrator poinformował osobę, której dane dotyczą, że będzie musiał odblokować dane, jeśli będzie chciał otworzyć konto. W tym celu do listu został dołączony formularz. Formularz wskazywał, że podpisując go, osoba, której dane dotyczą, cofnęła swoje prawo do usunięcia i zezwoliła na (ponowne) wykorzystanie swoich danych przez administratora. Urząd ochrony danych osobowych uznał, że tymczasowe zablokowanie danych nie wiąże się z prawem do usunięcia. Regulator podkreślił również, że usunięte lub zablokowane dane nie mogą być ponownie przetwarzane w przypadku zawarcia nowego stosunku umownego z administratorem, nawet jeśli nowy cel przetwarzania jest taki sam jak poprzedni. Pierwotna kara w wysokości 100 000 euro została obniżona do 60 000 euro z powodu natychmiastowej zapłaty i uznania winy. link
Hiszpania 2021-04-06 2.400 EUR Promotech Digital S.L. Art. 21 RODO Hiszpański organ ochrony danych (AEPD) ukarał firmę Promotech Digital S.L. 2400 EUR za wielokrotne wysyłanie SMS-ów reklamowych do osoby, której dane dotyczą, mimo że nigdy nie subskrybował on ani nie wyraził zgody na otrzymywanie wiadomości SMS. Ponadto SMS nie oferował bezpośredniej opcji rezygnacji z subskrypcji reklam. Zamiast tego odniesiono się do możliwości anulowania przez e-mail. Mimo że osoba, której dane dotyczą, sprzeciwiła się otrzymywaniu kolejnych wiadomości SMS, nadal otrzymywała wiadomości SMS od administratora. Pierwotna grzywna w wysokości 3000 EUR została obniżona o 20% do 2400 EUR w związku z natychmiastową zapłatą i przyznaniem się do winy. link
Hiszpania 2021-04-05 3.000 EUR Kukimbia S.L. Art. 32 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Kukimbia S.L. 3000 EUR. Ukarany to firma, która przechowuje, transportuje i dystrybuuje towary. Dokumenty zawierające dane osobowe klientów i dostawców administratora zostały znalezione swobodnie dostępne obok śmietnika w pobliżu jednego z magazynów administratora. Urząd ochrony danych ustalił, że administrator naruszył art. 32 RODO. link
Hiszpania 2021-04-05 3.000 EUR Electrotecnica Bastida S.L. Art. 32 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Electrotecnica Bastida S.L. 3000 EUR. Funkcjonariusze policji znaleźli 29 kopert zaadresowanych do odpowiednich pracowników kontrolerów na pustej działce w okolicy przemysłowej. Dwie koperty były już otwarte. Koperty zawierały wyniki badań lekarskich. AEPD uznał to za naruszenie obowiązku administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. link
Hiszpania 2021-04-05 4.000 EUR Stockhunters S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Stockhunters S.L. grzywnę w wysokości 4000 EUR. Administrator nie był w stanie odpowiedzieć na żądania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych. Ponadto polityka ochrony danych w serwisie internetowym administratora nie jest zgodna z przepisami art. 13 RODO. Osoba, której dane dotyczą, nie była zatem pewna, w jaki sposób wykorzystywane są jej dane osobowe. link
Rumunia 2021-03-30 10.000 EUR Telekom Romania Mobile Communications S.A. Art. 32 (1), (2) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Mobile Communications S.A. grzywnę w wysokości 10 000 EUR za niewdrożenie odpowiednich środków bezpieczeństwa w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. W szczególności dochodzenie ANSPDCP ujawniło, że brak wdrożenia przez administratorów odpowiednich środków bezpieczeństwa skutkował nieuprawnionym ujawnieniem danych 99 210 osób, których dane dotyczą, w tym ich numeru klienta, płci i numeru telefonu, a także nieuprawnionego dostępu do przechowywanych danych osobowych. na kontach 413 klientów. Na tej podstawie ANSPDCP orzekł, że administrator naruszył art. 32 ust. 1 i 2 RODO. link
Włochy 2021-03-25 4.500.000 EUR Fastweb S.p.A. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 RODO, Art. 32 RODO, Art. 33 (1) RODO, Art. 34 (1) RODO Włoski organ ochrony danych (Garante) nałożył na Fastweb S.p.A. 4 500 000 euro grzywny za agresywny telemarketing. Po złożonym wstępnym dochodzeniu wszczętym po setkach zgłoszeń i skarg użytkowników, organ ochrony danych stwierdził, że administrator nielegalnie przetwarzał dane osobowe milionów użytkowników do celów telemarketingu. Mianowicie call center pracujące dla Fastweb w dużej mierze działały z naruszeniem przepisów o ochronie danych. Do rozmów często używali numerów telefonów, które nie były zarejestrowane we włoskim rejestrze operatorów łączności (Registro degli Operatori di Comunicazione). Ponadto przetwarzali dane kontaktowe do promocji, które Fastweb otrzymał od partnerów zewnętrznych bez wyrażenia przez osoby, których dane dotyczą, ważnej zgody na udostępnianie ich danych. Ponadto wielu użytkowników zgłosiło, że skontaktowali się z „samozwańczymi operatorami Fastweb”, którzy próbowali uzyskać dokumenty tożsamości kontrahentów za pośrednictwem WhatsApp, prawdopodobnie w celu spamowania, phishingu i innych oszukańczych działań. Inne naruszenia dotyczyły procedur usługi „oddzwoń do mnie”, które uniemożliwiały użytkownikom wyrażenie bezpłatnej, konkretnej i świadomej zgody oraz automatyczne wyłączenie usługi. link
Rumunia 2021-03-23 2.000 EUR S.C. Medicover S.R.L. Art. 32 (1) b), (2), (4) RODO W lutym rumuński organ ochrony danych (ANSPDCP) zamknął dochodzenie przeciwko S.C. Medicover S.R.L. i stwierdził naruszenie art. 32 ust. 1 lit. b), ust. 2, 4 RODO. Organ ochrony danych nałożył na administratora grzywnę w wysokości 2000 EUR. Dochodzenie zostało wszczęte w następstwie kolejnych zawiadomień administratora o naruszeniach danych osobowych związanych z nieuprawnionym ujawnieniem i nieuprawnionym dostępem do danych osobowych, takich jak imię i nazwisko, adres do korespondencji, adres e-mail oraz dane dotyczące stanu zdrowia osób, których dane dotyczą. Kilkakrotnie dokumenty zawierające dane osobowe zostały wysłane do niewłaściwych odbiorców. OOD uznał, że do incydentów doszło z powodu braku wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. link
Hiszpania 2021-03-23 1.000 EUR Laboratorio Octogón, S.L Art. 5 (1) c) RODO Wykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych). link
Hiszpania 2021-03-18 3.000 EUR Asesoría Alpi-Clúa S.L. Art. 5 (1) f) RODO, Art. 32 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3000 EUR na Asesoría Alpi-Clúa S.L. Klient zażądał od administratora dokumentów, aby przedłożył je organom podatkowym. Kontroler wysłał jej e-mail, który jednak nie zawierał żądanych dokumentów, ale dokumenty od innego klienta. link
Hiszpania 2021-03-16 60.000 EUR Vodafone España, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 60 000 EUR na Vodafone Spain. Osoba, której dane dotyczą, była klientem administratora danych kilka lat temu. Po otrzymaniu od kontrolera przypomnień o płatnościach za usługi, których nigdy wcześniej nie rezerwowała, powiadomiła o tym administratora i poprosiła o wyjaśnienie i usunięcie jej danych. Pomimo pozytywnej odpowiedzi nadal otrzymywała ten sam SMS. Osoba, której dane dotyczą, złożyła następnie dwie skargi do hiszpańskiego organu ochrony danych przeciwko Vodafone Spain. Administrator za każdym razem zapewniał, że poprawił przyczynę nieprawidłowego przesłania i usunął dane osoby, której dane dotyczą. Niemniej jednak wysyłka była kontynuowana, co skłoniło osobę, której dane dotyczą, do złożenia trzeciej skargi. Pierwotna kara w wysokości 100 000 EUR została obniżona do 60 000 EUR z powodu natychmiastowej zapłaty i przyznania się do winy. link
Hiszpania 2021-03-15 5.000 EUR Certime S.A. Art. 5 (1) b) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Certime SA grzywnę w wysokości 5000 EUR. Osoba, której dane dotyczą, odnowiła swoje prawo jazdy u administratora w 2009 r. Po zmianie adresu w 2018 r., W 2019 r. Otrzymała pocztę od administratora do nowego adres bez poinformowania administratora o zmianie adresu. W piśmie administrator poinformował osobę, której dane dotyczą, że jej prawo jazdy wkrótce wygaśnie. W odpowiedzi na zapytanie osoby, której dane dotyczą, dotyczące tego, skąd pochodzą jej nowe informacje kontaktowe, administrator poinformował ją, że jej baza danych była regularnie aktualizowana z wykorzystaniem danych uzyskanych od hiszpańskiego organu transportowego DGT (Dirección General de Tráfico). Ponieważ osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie jej danych, złożyła skargę na administratora danych do hiszpańskiego organu ochrony danych. Dochodzenie przeprowadzone przez organ ochrony danych ujawniło, że firma rzeczywiście zawarła umowę z DGT. DGT wyjaśniła jednak, że celem przetwarzania danych kontaktowych w ramach umowy było zapewnienie poprawności adresu podczas odnawiania prawa jazdy lub wystawiania zaświadczeń lekarskich, tak aby można było je przesłać pod właściwy adres. Niemniej jednak osoby, których dane dotyczą, muszą zażądać, a co za tym idzie, wyrazić zgodę na taką zmianę adresu. Ponieważ kryteria te nie zostały spełnione w konkretnej sprawie, organ ochrony danych stwierdził naruszenie zasady celowości. link
Belgia 2021-03-15 1.000 EUR Szkoła Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 8 RODO Belgijski organ ochrony danych (APD) nałożył na szkołę grzywnę w wysokości 1000 EUR. Kontroler przeprowadził ankietę na temat samopoczucia uczniów za pośrednictwem inteligentnego systemu szkolnego. OOD twierdzi, że administrator nie uzyskał zgody rodziców niepełnoletnich uczniów i naruszył zasadę minimalizacji danych. Pierwotna kara w wysokości 2000 EUR została obniżona do 1000 EUR po tym, jak kontroler odwołał się od decyzji APD. link
Hiszpania 2021-03-15 3.000 EUR Cultural association Art. 6 (1) a) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3000 EUR na stowarzyszenie kulturalne. Administrator opublikował zdjęcia czteroletniego dziecka w różnych grupach chińskiego komunikatora WeChat bez zgody rodziców dziecka. Zdjęcia przedstawiają dziecko biorące udział w lekcjach chińskiego kontrolera. Chociaż kontroler próbował zasłonić twarz dziecka cyfrową naklejką, nadal była częściowo widoczna. Administrator nie odpowiedział również na prośbę rodziców o usunięcie zdjęć i przeproszenie ich. link
Hiszpania 2021-03-15 2.000 EUR Heredad de Urueña S.A. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Heredad de Urueña SA grzywnę w wysokości 2000 EUR, ponieważ jego polityka przetwarzania danych osobowych nie była zgodna z wymogami art. 13 RODO. Ponadto administrator nie umieścił na swojej stronie polityki prywatności informującej użytkowników o przetwarzaniu ich danych osobowych. link
Norwegia 2021-03-15 4.900 EUR Ålesund Municipality Art. 32 (1) b) RODO, Art. 24 (1) RODO, Art. 35 RODO Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 4900 EUR na gminę Ålesund. W dwóch szkołach w Ålesund nauczyciele poprosili uczniów o pobranie aplikacji szkoleniowej Strava do zajęć wychowania fizycznego. Następnie uczniowie otrzymali zadania, które nauczyciele kontrolowali za pomocą funkcji śledzenia. Zgodnie z dochodzeniem norweskiego organu ochrony danych skutkowało to naruszeniem danych, ponieważ gmina nie zapewniła standardowych procedur korzystania z aplikacji w szkołach zgodnie z wymogami prywatności. Na przykład nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne ze względu na potencjalne ryzyko dla uczniów. Ponadto nie wdrożono odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w celu zapewnienia ochrony przetwarzania. link
Hiszpania 2021-03-15 600.000 EUR Air Europa Lineas Aereas, SA. Art. 32 (1) RODO, Art. 33 RODO Hiszpański organ ochrony danych (AEPD) ukarał Air Europa Lineas Aereas, SA. 600 000 EUR po poważnym naruszeniu danych, które obejmowało nieuprawniony dostęp do danych kontaktowych i rachunków bankowych, zostało zgłoszone do AEPD. Około 489 000 osób i 1 500 000 zapisów zostało dotkniętych. AEPD ogłosił, że nałożył na administratora grzywnę w wysokości 500 000 EUR za naruszenie art. 32 ust.1 RODO w związku z niepodjęciem odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa oraz 100 tys.euro za naruszenie art. 33 RODO za powiadomienie AEPD o naruszeniu bezpieczeństwa z 41-dniowym opóźnieniem. Przy ustalaniu wysokości grzywny fakt, że incydent nie ograniczał się do obszaru lokalnego, ale dotknął dużą liczbę osób nie tylko w Hiszpanii, ale także na całym świecie, a także wrażliwe dane bankowe i finansowe, szkodząc kilku tysiącom osób. osób, została uwzględniona jako czynnik obciążający. link
Hiszpania 2021-03-12 1.500 EUR Osoba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1500 EUR. Kontroler zainstalował kamerę monitorującą wideo skierowaną w stronę publicznej arterii i zasłaniającą część wspólnego patio kompleksu mieszkaniowego. Ponadto w widocznym miejscu nie było napisu informującego o obecności kamery (osoba odpowiedzialna, przeznaczenie itp.). Wreszcie administrator nie uzyskał zgód pozostałych lokatorów przed uruchomieniem kamery. link
Hiszpania 2021-03-12 12.000 EUR NBQ Technology, S.A.U. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) ukarał NBQ Technology, S.A.U. 20000 EUR. Złodziej tożsamości uzyskał dane osoby trzeciej bez upoważnienia i wystąpił o mikrokredyt od administratora pod pozorem tożsamości osoby, której dane dotyczą. Następnie kontroler zatwierdził pożyczkę. Ponieważ dane przetwarzane w trakcie udzielania pożyczki nie należały do ​​pożyczkobiorcy, a do osoby, której dane dotyczą, AEPD uznał, że administrator nie miał podstawy prawnej do przetwarzania danych. Przetwarzanie było zatem niezgodne z prawem i stanowiło naruszenie art. 6 ust.1 RODO zostało potwierdzone. Pierwotna kara w wysokości 20 000 EUR została obniżona do 12 000 EUR z powodu natychmiastowej spłaty i uznania długu. link
Hiszpania 2021-03-11 8.150.000 EUR Vodafone España, S.A.U. Art. 28 RODO, Art. 24 RODO, Art. 44 RODO, Art. 21 LSSI, Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD Od 2018 roku hiszpański organ ochrony danych (AEPD) otrzymał łącznie 191 skarg przeciwko Vodafone España, S.A.U. Osoby, których dane dotyczą, skarżyły się na połączenia i wiadomości reklamowe (e-maile i SMS-y) wykonane w imieniu Vodafone España w ramach kampanii marketingowych. Kontakt został nawiązany bez uprzedniej zgody osób, których dane dotyczą, i był kontynuowany nawet po skorzystaniu przez nich z prawa do sprzeciwu. Ponadto skontaktowano się z wieloma osobami, których dane dotyczą, mimo że ich numery znajdowały się na liście Robinsona. AEPD wyjaśnia, że ​​co gorsza, wziął pod uwagę fakt, że Vodafone España regularnie otrzymywała grzywny w ponad 50 sprawach od stycznia 2018 r. Do lutego 2020 r., A także fakt, że w ciągu niecałych dwóch lat wpłynęły do ​​AEPD 162 skargi. Grzywna przedstawia się następująco: 4 miliony euro za naruszenie art. 28 RODO i art. 24 RODO; 2 miliony euro za naruszenie art. 44 RODO; 150 000 EUR za naruszenie art. 21 LSSI; i 2 mln EUR za naruszenie art. 48 (1) b) LGT, art. 21 RODO i art. 23 LOPDGDD. link
Niemcy 2021-03-10 300.000 EUR VfB Stuttgart 1893 AG Art. 5 (2) RODO DPA z Badenii-Wirtembergii nałożył na klub piłkarski VfB Stuttgart 1893 AG karę w wysokości 300 000 EUR za niedbałe naruszenie przepisów o ochronie danych osobowych na podstawie art. 5 ust.2 RODO. Jednak administrator z własnej inicjatywy promował dochodzenie i środki wyjaśniające organu ochrony danych oraz prowadził z nim intensywną współpracę. link
Hiszpania 2021-03-10 10.000 EUR Szpital Campogrande DE Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 10 000 EUR na Hospital Campogrande DE. Pacjent złożył skargę na administratora do organu ochrony danych. Kontroler wykonał rezonans magnetyczny pacjenta w dniu 05 września 2019 r. Z powodu urazu prawego kolana. Koszt badania pokrywał prywatne ubezpieczenie zdrowotne pacjenta. Z powodu urazu związanego z pracą, kolejny rezonans magnetyczny tego samego kolana musiał zostać wykonany 27 września 2019 r. Chociaż drugi rezonans magnetyczny został wykonany w innym szpitalu, choć należącym do grupy korporacyjnej, system szpitalny również połączył pierwszy, prywatnie zorganizował rezonans magnetyczny do karty pacjenta w drugim szpitalu. Pierwszy rezonans magnetyczny został wykonany przez sieć szpitali bez żadnego uzasadnienia medycznego. Okazało się to bardzo niekorzystne dla pacjenta, gdy po przedstawieniu drugiego rezonansu rezonansu magnetycznego lekarz zakładowy poinformował go, że z tym urazem będzie musiał skontaktować się z lekarzem prywatnym lub z ubezpieczeniem społecznym, gdyż incydentu nie można uznać za zawodowy. wypadek. Uzasadniał to istnieniem pierwszego rezonansu magnetycznego, który miał przyczynę pozazawodową. link
Hiszpania 2021-03-10 8.000 EUR Filigrana Comunicación S.L.U. Art. 6 (1) RODO Art. 13 RODO, Art. 14 RODO Hiszpański organ ochrony danych (AEPD) ukarał Filigrana Comunicación S.L.U. 8.000 EUR. Administrator prowadzi stronę internetową, na której znajdują się informacje o stażach oferowanych przez hiszpańskie Ministerstwo Edukacji i Sportu. Ponadto na stronie publikowane są wyniki różnych konkursów organizowanych przez Ministerstwo. Administrator zebrał i opublikował dane uczestników z publicznie dostępnych źródeł bez uprzedniego uzyskania zgody osób, których dane dotyczą. Podobnie administrator nie wypełnił swoich obowiązków informacyjnych wobec nich zgodnie z art. 13 RODO i art. 14 RODO. link
Hiszpania 2021-03-10 50.0000 EUR Equifax Iberica S.L. Art. 6 (1) f) RODO Hiszpański organ ochrony danych (AEPD) ukarał Equifax Iberica S.L. 50000 EUR za naruszenie art. 6 ust.1 lit.f) RODO. Administrator dodał osobę, której dane dotyczą, do rejestru dłużników bez uprzedniego poinformowania jej. Osoba, której dane dotyczą, miała zaległe płatności czynszu u właściciela, który wcześniej przesłał jej odpowiednie wezwania do zapłaty. Sam administrator wysłał również zawiadomienia do osoby, której dane dotyczą, z żądaniem zapłaty długów. Nie zawierały one jednak żadnej informacji, że osoba, której dane dotyczą, zostałaby wpisana do rejestru dłużników w przypadku braku zapłaty. Również umowa najmu osoby, której dane dotyczą, nie zawierała żadnych zapisów w tym zakresie, co doprowadziło UOD do wniosku, że administrator nie miał uzasadnionego interesu w rozumieniu RODO i tym samym przetwarzał dane osobowe osoby, której dane dotyczą. bez podstawy prawnej. link
Hiszpania 2021-03-10 90.0000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO, Art. 17 RODO, Art. 32 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 150 000 EUR na Xfera Móviles S.A .. Organ ochrony danych otrzymał dwie skargi od osoby, której dane dotyczą. Pierwsza skarga dotyczyła wysyłania reklamowych wiadomości SMS, które osoba, której dane dotyczą, otrzymywała od administratora, chociaż sprzeciwił się temu i zażądał usunięcia swoich danych. Według osoby, której dane dotyczą, w ciągu 30 dni otrzymał ponad 60 wiadomości SMS. Druga skarga została złożona przez osobę, której dane dotyczą, ponieważ administrator wielokrotnie wysyłał mu wiadomości zawierające poufne dane osoby trzeciej. Dotyczyło to danych logowania innego klienta do platformy firmowej. Na portalu można było m.in. przeglądać dane osobowe, a także faktury. Chociaż osoba, której dane dotyczą, poinformowała o tym firmę, niewłaściwa wysyłka nie zakończyła się. Pierwotna kara w wysokości 150 000 euro została obniżona do 90 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Hiszpania 2021-03-09 15.0000. EUR Homeowners Association Art. 5 (1) f) RODO Hiszpański organ ochrony (AEPD) nałożył grzywnę w wysokości 15 000 EUR na stowarzyszenie właścicieli domów. Kontroler publicznie pokazał zapis spotkania właścicieli domów w windzie budynku, w którym mieszkali uczestnicy. Z zapisów można było uzyskać nazwiska, piętra i numery mieszkań uczestników spotkania, a także piętra i numery mieszkań sąsiadów, na których narzekali uczestnicy podczas spotkania. Administrator uzasadnił publiczne obwieszczenie faktem, że wyniki tego spotkania dotyczyły planowanych działań prawnych wobec części mieszkańców. Miały zostać o tym poinformowane, aby nie mogły później twierdzić, że nie otrzymały odpowiednich powiadomień. Organ ochrony danych uważa to za naruszenie art. 5 ust.1 lit.f) RODO, w którym mowa o zasadach integralności i poufności danych osobowych. link
Rumunia 2021-03-04 500 EUR Osoba fizyczna zajmująca stanowisko Sekretarza Generalnego partii politycznej w Bukareszcie Art. 32 (1), (2) RODO, Art. 58 (1) a), e) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 500 EUR na osobę fizyczną pełniącą funkcję sekretarza generalnego partii politycznej w Bukareszcie. Administrator opublikował w sieci społecznościowej listę, która zawierała dane osobowe, takie jak imiona i nazwiska, podpisy, narodowości, daty urodzenia, adresy pocztowe dziesięciu zwolenników partii. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Ponadto administrator nie współpracował w wystarczającym stopniu z organem ochrony danych podczas dochodzenia. link
Niemcy 2021-03-03 200 EUR Osoba prywatna Art. 5 RODO, Art. 32 RODO Organ ochrony danych Saksonii-Anhalt nałożył grzywnę w wysokości 200 EUR na osobę fizyczną. Kontroler robił zdjęcia pojazdów, a w niektórych przypadkach ich kierowców i wysyłał je pocztą elektroniczną do miasta Magedburg w niezaszyfrowanej formie, w ramach zgłoszeń naruszeń przepisów ruchu drogowego. link
Cypr 2021-03-03 25.000 EUR Hellenic Bank Art. 5 (1) e), f) RODO, Art. 32 (1) b), c) RODO, Art. 33 (1) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 25 000 EUR na Hellenic Bank. Bank zamknął jeden ze swoich oddziałów w Nikozji w 2015 roku. Wyprowadzając się z tego miejsca zapomniano o sejfie zawierającym stare dokumenty dotychczasowych klientów, zamontowanym w jednej ze ścian. Ponieważ budynek był pusty w kolejnych latach, kontroler dowiedział się o tym zdarzeniu dopiero, gdy nieruchomość została ponownie wynajęta po raz pierwszy w 2019 roku. Nowy najemca znalazł sejf i poinformował o tym kontrolera. Pracownicy banku odzyskali następnie dokumenty i zgłosili naruszenie ochrony danych cypryjskiemu organowi ochrony danych. Cyprysjki urząd ochrony danych ostatecznie stwierdził, że administrator naruszył art. 5 ust.1 lit f) RODO, art. 32 ust.1 lit.b), c) RODO oraz art. 33 ust.1 RODO. link
Cypr 2021-03-03 10.000 EUR Cypriot Real Estate Registration Authority Art. 12 RODO, Art. 15 RODO, Art. 31 RODO, 58 (1) e) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na cypryjski urząd ds. Rejestracji nieruchomości. Osoba, której dane dotyczą, zwróciła się do administratora z pisemnym żądaniem różnych informacji, które jej dotyczą, korzystając z prawa dostępu przyznanego jej na podstawie art. 15 RODO. Po tym, jak administrator nie odpowiedział na żądanie informacji, osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. W trakcie późniejszego dochodzenia prowadzonego przez organ ochrony danych administrator również nie odpowiedział na wnioski organu ochrony danych o skomentowanie zarzutu. link
Cypr 2021-03-03 6.000 EUR KEPIDES Art. 32 (4) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 6000 EUR na KEPIDES (spółkę z branży nieruchomości). Kontroler przedłożył komisji parlamentarnej listę nabywców nieruchomości, którymi zarządza. Administratorowi jednak nie udało się zanonimizować listy, w wyniku czego przekazano nazwiska osób, których dane dotyczą link
Cypr 2021-03-03 40.000 EUR Urząd ds. Energii Elektrycznej Cypru Art. 6 (1) RODO, Art. 9 (2) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 40 000 EUR na Cypryjski Urząd ds. Energii Elektrycznej. Administrator wykorzystał zautomatyzowany system oparty na tzw. Brad-Factor do zarządzania, monitorowania i kontrolowania nieobecności pracowników z powodu choroby za pomocą narzędzia oceny. Organ ochrony danych stwierdził, że taki mechanizm oceny nie był objęty cypryjskim prawem pracy i dlatego był stosowany niezgodnie z prawem. Ponadto należało zapewnić osobom, których dane dotyczą, możliwość niewyrażenia zgody na takie zautomatyzowane przetwarzanie ich danych osobowych. link
Norwegia 2021-03-02 24.400 EUR Nieznany Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na firmę grzywnę w wysokości 250 000 NOK (24 400 EUR). Kontroler polecił pracownikowi ustawić automatyczne przekazywanie swojego konta e-mail pracownika na wspólne konto firmowe. Podano to jako przyczynę usprawnienia działalności firmy. Organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej, aby nakazać takie automatyczne przekazywanie. W związku z tym działał niezgodnie z prawem. link
Hiszpania 2021-03-02 9.000 EUR Nieznany Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na operatora strony grzywnę w wysokości 9 000 EUR. Administrator opublikował zdjęcia osoby, której dane dotyczą, na swojej stronie internetowej bez zgody osoby, której dane dotyczą. Wspomniana witryna internetowa nie zawierała również oświadczenia o ochronie prywatności. Grzywna przedstawia się następująco: 5.000 euro za naruszenie art. 6 RODO i 4000 EUR za naruszenie art. 13 RODO. link
Litwa 2021-03-02 15.000 EUR Registrų Centras Art. 32 (1) b), c) RODO Litewski organ ochrony danych (VDAI) nałożył na Registrų Centras grzywnę w wysokości 15 000 EUR. Administrator to firma, która zarządza kilkoma litewskimi rejestrami. Firma doznała naruszenia danych, które dotyczyło 22 z tych rejestrów. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Środki wdrożone przez administratora były ewidentnie niewystarczające, aby zapewnić ciągłą integralność, dostępność i odporność danych, ani też przywrócić dostępność danych po incydentach. link
Hiszpania 2021-03-02 200.000 EUR I-DE Redes Eléctricas Inteligentes, S.A.U Art. 5 (1) b), c) RODO, Art. 6 (1) b) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 200 000 EUR na I-DE Redes Eléctricas Inteligentes, S.A.U. Organ ochrony danych otrzymał skargi od Waitum, S.L. oraz Servicios Aby 2018, S.L. ponieważ ich klienci otrzymali listy od administratora. Obie firmy przekazywały wcześniej dane osobowe swoich klientów administratorowi na podstawie umowy o dostępie do sieci zawartej z administratorem. Na mocy tej umowy obie firmy występowały jako przedstawiciele swoich klientów, którym kontroler dostarczał energię elektryczną. W przesłanych pismach administrator wspomniał m.in. o domniemanym naruszeniu umowy i braku zapłaty przez firmy na rzecz administratora. W trakcie dochodzenia organ ochrony danych ustalił, że wysłanie tych pism nie było związane ani konieczne do wykonania danej umowy. Administrator naruszył zatem zasady celowości i minimalizacji danych, przez co wysłanie tych pism stanowiło niezgodne z prawem przetwarzanie danych osobowych klientów. link
Litwa 2021-02-26 12.000 EUR Nacionaliniam visuomenės sveikatos centrui (NVSC) Art. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODO Litewski organ ochrony zdrowia (VDAI) nałożył grzywnę w wysokości 12 000 EUR na Litewską Narodową Służbę Zdrowia (NVSC). Organ ochrony danych wszczął dochodzenie w sprawie aplikacji kwarantanny wprowadzonej na Litwie podczas pandemii COVID-19 wiosną 2020 r. Firma informatyczna „IT sprendimai sėkmei” opracowała aplikację, z której następnie korzystało NVSC. W trakcie dochodzenia organ ochrony danych stwierdził, że w okresie użytkowania aplikacji w różnym stopniu przetwarzane były dane łącznie 677 osób. Aplikacja była w stanie zbierać dane, takie jak imię i nazwisko, adres i numer telefonu osób, których dane dotyczą. Organ ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne w szczególności, ponieważ aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Ponadto organ ochrony danych stwierdził, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji. link
Litwa 2021-02-26 3.000 EUR IT sprendimai sėkmei Art. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODO Litewski organ ochrony danych (VDAI) nałożył grzywnę w wysokości 3000 EUR na spółkę „IT sprendimai sėkmei”. Organ ochrony danych wszczął dochodzenie w sprawie aplikacji kwarantanny wprowadzonej na Litwie podczas pandemii COVID-19 wiosną 2020 r. Administrator opracował aplikację, z której następnie korzystała litewska Państwowa Służba Zdrowia. W trakcie dochodzenia organ ochrony danych stwierdził, że w okresie użytkowania aplikacji w różnym stopniu przetwarzane były dane łącznie 677 osób. Aplikacja była w stanie zbierać dane, takie jak imię i nazwisko, adres i numer telefonu osób, których dane dotyczą. Organ ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne w szczególności, ponieważ aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Ponadto organ ochrony danych stwierdził, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji. link
Hiszpania 2021-02-24 12.000 EUR Avilon Center 2016 S.L. Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 20000 EUR na Avilon Center 2016 S.L. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczonych reklam Robinsona. Pierwotna kara w wysokości 20 000 EUR została obniżona do 12 000 EUR z powodu natychmiastowej spłaty i uznania długu. link
Niemcy 2021-02-23 0 EUR Deutsche Wohnen SE Art. 5 RODO, Art. 25 RODO Pierwotnie na Deutsche Wohnen SE została nałożona kara w wysokości 14.500.000 EUR za korzystanie z systemu archiwizacji do przechowywania danych osobowych najemców, który zdaniem organu ochrony danych nie przewidywał możliwości usunięcia danych, które nie było już potrzebne. Według organu ochrony danych dane osobowe najemców były przechowywane bez sprawdzania, czy ich przechowywanie było dopuszczalne lub nawet konieczne, dzięki czemu możliwy był dostęp do danych osobowych najemców, których to dotyczy, i które były przechowywane przez lata bez tych danych, które nadal służyły pierwotnemu celowi. Dotyczyło to danych o sytuacji osobistej i finansowej najemców, takich jak zestawienia wynagrodzeń, formularze oświadczeń, wyciągi z umów o pracę i szkolenia, dane podatkowe, dane dotyczące ubezpieczenia społecznego i zdrowotnego, a także wyciągi bankowe. Oprócz sankcji za to naruszenie strukturalne, komisarz ds. Ochrony danych w Berlinie nałożył na firmę kolejne grzywny w wysokości od 6 000 do 17 000 EUR za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. Zobacz osobny wpis. *** AKTUALIZACJA *** 24 lutego 2021 r.Sąd Okręgowy w Berlinie uchylił grzywnę nałożoną na Deutsche Wohnen SE z powodu błędów proceduralnych. link
Chorwacja 2021-02-22 Nieznana Firma ochroniarska Art. 32 (1) b), d) RODO, Art. 32 (2), (4) RODO Administrator danych korzystający z usług firmy ochroniarskiej zgłosił do organu ochrony danych naruszenie danych osobowych, które nastąpiło po tym, jak pracownik firmy ochroniarskiej nagrał telefonem materiał z monitoringu wideo i udostępnił go osobie trzeciej. Nagranie zostało ostatecznie udostępnione w mediach społecznościowych oraz w mediach. Organ ochrony danych stwierdził, że firma ochroniarska jako podmiot przetwarzający dane umożliwiła naruszenie, nie utrzymując odpowiednich i wystarczających środków technicznych i organizacyjnych w zakresie bezpieczeństwa danych osobowych przez ponad dwa i pół roku. Ponadto podmiot przetwarzający nie przewidział ani nie wdrożył odpowiednich technicznych środków bezpieczeństwa po incydencie w celu zapobieżenia lub zminimalizowania ryzyka. W konsekwencji jedna osoba, której dane dotyczą, była narażona na zniewagi i wyśmiewanie w opinii publicznej, a firma ochroniarska nie podjęła żadnych działań w celu usunięcia nagrania z sieci społecznościowych i mediów. Kwota grzywny nie jest w tej chwili znana, ale organ ochrony danych wyjaśnił, jakie okoliczności obciążające wziął pod uwagę przy ustalaniu grzywny - (i) fakt, że podmiot przetwarzający nie dopełnił obowiązku poinformowania administratora o zdarzeniu zgodnie z wymogami art. 33 ust. 2 RODO oraz (ii) fakt, że podstawową działalnością spółki jest zapewnienie ochrony fizycznej i technicznej, w tym stosowanie monitoringu wizyjnego. DPA zauważył również, że ukarana grzywną firma ochroniarska jest jedną z wiodących firm w Chorwacji w tej działalności i jako taka powinna być podmiotem właściwym w zakresie opiniowania, wytycznych, porad i proponowania kontrolerom rozwiązań w zakresie korzystania z systemu monitoringu wizyjnego oraz udzielania przykład do swojej pracy i zwracaj na nią większą uwagę niż inni. link
Hiszpania 2021-02-16 1.000 EUR The Washpoint S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 EUR na The Washpoint S.L. za brak polityki prywatności na swojej stronie internetowej, z naruszeniem art. 13 RODO. link
Dania 2021-02-12 13.450 EUR IDdesign A / S Art. 5 (1) e) RODO, Art. 5 (2) RODO Oryginalne podsumowanie: W dniu 3 czerwca 2019 roku duński organ ochrony danych (Datatilsynet) zgłosił na policję IDdesign i zażądał zapłaty grzywny w wysokości 200.850 EUR za przetwarzanie danych osobowych około 385000 klientów przez okres dłuższy niż jest to konieczne cele, w jakich były przetwarzane. Ponadto firma nie ustaliła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM. Terminy wyznaczone dla starego systemu nie zostały usunięte po upływie terminu przekazania informacji. Ponadto administrator nie udokumentował odpowiednio swoich procedur usuwania danych osobowych. Uwaga: ponieważ prawo duńskie nie przewiduje kar administracyjnych, jak w RODO (chyba że jest to sprawa nieskomplikowana, a osoba oskarżona się na to zgodzi), kary nałożą sądy. Aktualizacja: 12 lutego 2021 roku Sąd Rejonowy w Aarhus zdecydował o nałożeniu na IDdesign grzywny w wysokości 13 450 EUR. W kwestii obliczenia grzywny sąd nie zgodził się z proponowaną wysokością grzywny. Stwierdził, że kwotę należy obliczyć na podstawie własnego obrotu przedsiębiorstwa, a nie całej grupy. Ponadto sąd uznał, że okoliczności łagodzące z art. 83 ust.2 RODO należy uwzględnić przy obliczaniu kary. Takich jak to, że firma wcześniej nie naruszyła RODO, a także, że naruszenie dotyczyło tylko ogólnych danych osobowych. Ponadto żadna osoba, której dane dotyczą, nie poniosła szkody w wyniku naruszenia. Wreszcie sąd uważa, że ​​należy wziąć pod uwagę niedbały charakter naruszenia. link
Hiszpania 2021-02-12 1.600 EUR Ripobruna 207, S.L. Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na Ripobruna 207, S.L. (restauracja) za nieuprawnione użycie dwóch kamer wideo, które nagrywały również fragmenty przestrzeni publicznej bez uzasadnionej przyczyny. Pierwotna kara w wysokości 2000 EUR została obniżona do natychmiastowej zapłaty do 1600 EUR. link
Austria 2020-10-19 600 EUR Osoba prywatna Art. 5 (1) a) RODO, Art. 9 RODO Od lutego do czerwca 2020 roku osoba prywatna publikowała informacje o pacjentach na swojej osobistej stronie na Facebooku. Informacje zawierały dane zdrowotne w rozumieniu art. 4 (15) RODO. W szczególności opublikowane dane obejmowały nazwiska pacjentów, wyniki diagnostyczne, diagnozy medyczne, dane dotyczące leków, dane o przyjęciach do szpitala i wypisach, numery ubezpieczenia społecznego pacjentów oraz nazwiska lekarzy prowadzących. link
Austria 2020-10-19 150 EUR Osoba prywatna Art. 5 (1) a) RODO, Art. 6 RODO Osoba prywatna zarejestrowała osobę płci żeńskiej podczas korzystania z jednej z kabin WC, umieszczając telefon komórkowy (smartfon z funkcją kamery) pod ścianką działową kabiny WC, z ekranem skierowanym do góry i przednią kamerą telefonu komórkowego. link
Węgry 2020-12-16 97.150 EUR Nieznany Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 9 (1) RODO, Art. 12 RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 97 150 EUR na instytucję kredytową. Dwóch rodziców skontaktowało się z węgierskim organem ochrony danych w sprawie przetwarzania danych osobowych przez ich instytucję kredytową w związku z „pożyczką motywacyjną na poród”. Para zażądała wstrzymania spłaty, za co musiała udowodnić, że płód ma co najmniej 12 tygodni. Aby potwierdzić ten fakt, kontroler skopiował całą ich książeczkę ciążową. NAIH stwierdził, że administrator naruszył zasadę minimalizacji danych, kopiując całą książeczkę ciążową, która zawierała nadmierne ilości danych zdrowotnych, mimo że nie było to konieczne ze względu na cel przetwarzania. Z tego powodu NAIH ostatecznie stwierdził, że administrator nie miał podstawy prawnej do tak rozległego przetwarzania danych
Węgry 10.12.2020 22.200 EUR Budapesti Műszaki és Gazdaságtudományi Egyetem (Budapest University of Technology and Economics) Art. 5 (1) a), b), c) RODO, Art. 6 (1) RODO, Art. 9 (2) RODO, Art. 12 RODO, Art. 13 RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 22 200 EUR na Uniwersytet Technologiczno-Ekonomiczny w Budapeszcie. NAIH stwierdza, że ​​administrator niezgodnie z prawem przetwarzał dane osobowe w toku audytów wniosków o stypendia socjalne. Między innymi dane były przetwarzane bez podstawy prawnej, a w niektórych przypadkach były przetwarzane dane szczególnie wrażliwe, chociaż nie było to konieczne do oceny wniosków o stypendium.
Węgry 2020-11-18 28 EUR Nieznany Art. 5 (1) d) RODO Osoba, której dane dotyczą, zapisała się do newslettera administratora. Po zmianie adresu e-mail nadal otrzymywał biuletyn za pośrednictwem starego adresu e-mail. Następnie osoba, której dane dotyczą, skontaktowała się z administratorem, po czym administrator potwierdził, że adres został zaktualizowany. Niemniej jednak osoba, której dane dotyczą, nadal otrzymywała biuletyn za pośrednictwem starego adresu e-mail. link
Grecja 2020-10-29 1.000 EUR American College of Greece Art. 12 (3), (4) RODO Grecki organ ochrony danych (HDPA) nałożył grzywnę w wysokości 1000 EUR na American College of Greece za naruszenie prawa dostępu i prawa do usunięcia danych osobowych.
Irlandia 2020-12-17 70.00 EUR University College Dublin Art. 5 (1) e), f) RODO, Art. 32 (1) RODO, Art. 33 (1) RODO Irlandzki organ ochrony danych (DPC) nałożył na University College Dublin (UCD) grzywnę w wysokości 70 000 EUR z powodu siedmiu naruszeń ochrony danych osobowych. Nieupoważnione osoby trzecie mogły uzyskać dostęp do kont e-mail UCD, a dane logowania do kont e-mail UCD zostały opublikowane online. Stwierdzono, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony bezpieczeństwa danych podczas przetwarzania danych osobowych w serwisie e-mail. Ponadto administrator przechował określone dane osobowe na koncie e-mail w formie umożliwiającej identyfikację osób, których dane dotyczą, dłużej niż jest to konieczne do celu, w jakim dane osobowe były przetwarzane. Ponadto administrator nie powiadomił w odpowiednim czasie DPC o naruszeniu ochrony danych osobowych. link
Irlandia 2020-08-18 65.000 EUR Szpital położniczy Uniwersytetu Cork Art. 5 RODO, Art. 32 RODO Irlandzki organ ochrony danych nałożył grzywnę na szpital macierzyński Uniwersytetu Cork (CUMH) po tym, jak odkryto, że dane osobowe 78 pacjentów zostały utylizowane w publicznym centrum recyklingu. Wśród zbywanych dokumentów niektóre zawierają dane osobowe sześciu pacjentów specjalnej kategorii. Uważa się, że naruszenie w CUMH wiąże się z wrażliwymi danymi dotyczącymi zdrowia pacjentów, takimi jak historia medyczna i przyszłe planowane programy opieki. link
Irlandia 2020-08-12 85.000 EUR Tusla Child and Family Agency Art. 32 (1) RODO Irlandzki organ ochrony danych (DPC) nałożył grzywnę na Tusla Child and Family Agency w wysokości 85 000 EUR. Administrator zgłosił do irlandzkiego organu ochrony danych 71 naruszeń ochrony danych, które miały miejsce między 25 maja a 16 listopada 2018 r., I dotyczyły nieuprawnionego dostępu do danych osobowych przetwarzanych przez administratora. Po szeroko zakrojonym dochodzeniu organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych, a tym samym naruszył art. 32 ust.1 RODO. link
Włochy 2021-01-27 50.000 EUR Azienda USL della Romagna Art. 5 (1) a), d), f) RODO, Art. 9 RODO, Art. 32 (1) b) RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 50 000 EUR na Azienda USL della Romagna. Po przybyciu na oddział ginekologii szpitala prowadzonego przez administratora (w celu przeprowadzenia aborcji) pacjentka wyraźnie poprosiła administratora o nieprzekazywanie jej danych dotyczących zdrowia osobom trzecim. Oddzielnie zostawiła numer telefonu w celu skontaktowania się. Po wypisaniu pacjentki pielęgniarka próbowała się z nią skontaktować w celu poinformowania o dalszej terapii. Pielęgniarka nie wykorzystała jednak specjalnie w tym celu podanego przez pacjentkę numeru telefonu, lecz swojego domowego numeru telefonu, który uzyskała z akt pacjenta. Gdy zamiast pacjentki telefon odebrał jej mąż, pielęgniarka poinformowała go o swoim leczeniu, wbrew życzeniom pacjentów. Pomimo braku dalszych informacji medycznych z rozmowy jasno wynikało, że osoba, której dane dotyczą, została przyjęta na ten oddział i ma przejść dalsze leczenie. link
Włochy 2021-01-27 50.000 EUR Azienda Ospedaliero Universitaria Senese Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Aziendę Ospedaliero Universitaria Senese grzywnę w wysokości 50 000 EUR. Kontroler, szpital, zgłosił włoskiemu organowi ochrony danych, że raport medyczny pary został omyłkowo wysłany niezaangażowanej stronie trzeciej. Raport zawierał informacje o konsultacji genetycznej oraz stanie zdrowia i życiu seksualnym osób, których dane dotyczą. Do incydentu doszło z powodu błędu w zapakowaniu listu, zgodnie z oświadczeniem kontrolera. link
Włochy 2021-01-27 50.000 EUR Azienda Ospedaliero Universitaria di Parma Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Aziendę Ospedaliero Universitaria di Parma grzywnę w wysokości 50 000 EUR. Administrator, szpital, zgłosił dwa naruszenia ochrony danych włoskiemu organowi ochrony danych, w których dane pacjentów zostały omyłkowo ujawnione stronom trzecim. W pierwszym przypadku rodzice odnaleźli w aktach ich małoletniego dziecka raport z badania mikrobiologicznego innego pacjenta. Raport ujawnił imię i nazwisko osoby, której dane dotyczą, numer podatkowy, adres, datę urodzenia i różne dane dotyczące zdrowia. W drugim przypadku spadkobierca pacjenta otrzymał orzeczenie o stanie zdrowia innego pacjenta, które zawierało imię i nazwisko oraz datę urodzenia, a także dane o stanie zdrowia osoby, której dane dotyczą. link
Włochy 2021-01-14 30.000 EUR Azienda sanitaria provinciale di Enna Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda sanitaria provinciale di Enna grzywnę w wysokości 30 000 EUR. Administrator przetwarzał dane biometryczne pracowników w celu rejestracji ich obecności. Garante stwierdziła, że ​​takie przetwarzanie nie było proporcjonalne, a zatem stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante stwierdził, że przetwarzanie danych biometrycznych odbywało się bez podstawy prawnej. link
Włochy 2021-01-14 2.000 EUR Poliambulatorio Talenti S.r.l. Art. 12 (3) RODO, Art. 15 RODO Włoski organ ochrony danych (Garante) ukarał Poliambulatorio Talenti S.r.l. 2000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do danych jego i jego córek. link
Włochy 2021-01-14 18.000 EUR Azienda Usl di Bologna Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda Usl di Bologna karę w wysokości 18 000 EUR. W szpitalu prowadzonym przez kontrolera 49 pacjentów oddziału onkologicznego otrzymało wypisy ze szczegółowymi informacjami na temat terapii farmakologicznej pochodzącymi od innych pacjentów. Czternastu z tych pacjentów miało już dostęp do tej błędnej dokumentacji, zanim została ona poprawiona. Awaria nastąpiła z powodu ręcznego błędu technika. link
Włochy 2020-12-17 500.000 EUR Roma Capitale (Gmina Rzym) Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 (2), (3) RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył na gminę Rzym grzywnę w wysokości 500 000 EUR za niezgodne z prawem przetwarzanie danych osobowych użytkowników i pracowników. Gmina Rzym od 2015 r. Korzysta z systemu rezerwacji „TuPassi” do zarządzania spotkaniami i innymi usługami. W trakcie szczegółowego dochodzenia włoski organ ochrony danych stwierdził, że administrator naruszył kilka przepisów o ochronie danych osobowych w odniesieniu do przetwarzania danych osobowych. dane klientów i pracowników, z którymi się umówili. Na przykład gmina nie poinformowała odpowiednio osób, których dane dotyczą, przed przetwarzaniem ich danych ani nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania. link
Włochy 2020-12-17 40.000 EUR Miropass S.r.l. Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 28 RODO Włoski organ ochrony danych (Garante) nałożył na Miropass S.r.l. grzywnę. 40 000 EUR. Miropass jest dostawcą systemu rezerwacji TuPassi, z którego między innymi Urząd Miasta Rzymu korzysta od 2015 roku. System rezerwacji umożliwia rezerwację spotkań zarówno na stronie internetowej administratora (www.tupassi.it), jak i poprzez odpowiednią aplikację. W tym celu firma zbiera i przetwarza dane osobowe użytkowników. W toku dochodzenia włoski organ ochrony danych stwierdził, że Miropass, w szczególności w kontekście danych zdrowotnych wynikających z rezerwacji wizyt w placówkach służby zdrowia, nie miał podstawy prawnej do przetwarzania i naruszył zasadę ograniczenia przechowywania. link
Włochy 2020-12-17 100.000 EUR Azienda Unità Sanitaria Locale Toscana Sud Est Art. 5 (1) f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda USL Toscana Sud Est grzywnę w wysokości 100 000 EUR. Kontroler to firma z sektora opieki zdrowotnej, która między innymi uruchomiła tak zwany program „Sanità di iniziativa” (Inicjatywa zdrowotna). W ramach tego programu uczestniczące firmy medyczne przekazują administratorowi dane dotyczące przewlekle chorych pacjentów. Na podstawie tych danych administrator opracowuje następnie plany zdrowotne dla pacjentów. Włoski organ ochrony danych odnotowuje kilka naruszeń przepisów dotyczących ochrony danych w związku z tym programem. Na przykład, wyrażając zgodę na przetwarzanie swoich danych, osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o tym, jak długo będą przechowywane ich dane, jakie przysługują im prawa (w szczególności prawo do skargi i dostępu), a także w jaki sposób dokładnie ich dane będą być przetwarzane iw jakim celu. Ponadto administrator nie prowadził rejestru czynności przetwarzania. Wreszcie administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania ani nie przeprowadził oceny skutków dla ochrony danych, chociaż byłoby to konieczne ze względu na charakter przetwarzanych danych (dane dotyczące zdrowia). link
Włochy 2020-11-26 3.000 EUR Charly Mike s.r.l. Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 (2), (3) RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył na Charly Mike s.r.l .. karę w wysokości 3000 EUR. Administratorem jest operator hotelu Olimpo w Alberobello. Garante otrzymała skargę dotyczącą systemu monitoringu zainstalowanego w hotelu. W toku dochodzenia ustalono, że obiekt hotelowy miał 17 stałych kamer i jedną z nagrywaniem 360 °, umieszczonych wewnątrz i na zewnątrz obiektu, nagrywających zarówno pracowników, jak i klientów. System działał bez wymaganych znaków wskazujących na monitoring wizyjny. link
Włochy 2020-10-29 20.000 EUR Gaypa s.r.l. Art. 5 (1) a), c), e) RODO, Art. 12 RODO, Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył na Gaypa s.r.l. grzywnę w wysokości 20 000 EUR. Administrator danych utrzymywał aktywne konto e-mail byłego pracownika i miał dostęp do korespondencji osoby, której dane dotyczą, pomimo rozwiązania stosunku pracy. Osoba, której dane dotyczą, nie została poinformowana o takim dalszym korzystaniu z jej konta e-mail, a także o przechowywaniu wszystkich przychodzących i wychodzących wiadomości e-mail na serwerach firmy i związanym z tym przetwarzaniu jej danych osobowych. link
Włochy 2020-10-29 4.000 EUR Borgo Fonte Scura s.r.l. Art. 5 (1) a) RODO, Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 4000 EUR na Borgo Fonte Scura s.r.l .. Administrator zainstalował system nadzoru wideo, który rejestrował również trzy osoby, których dane dotyczą, podczas ich pracy. Osoby, których dane dotyczą, nie zostały wystarczająco poinformowane o nadzorze wideo i wynikającym z niego przetwarzaniu ich danych osobowych. link
Polska 2021-02-11 22.200 EUR Krajowa Szkoła Sądownictwa i Prokuratury Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 28 (3) RODO, Art. 32 (1), (2) RODO Polski organ ochrony danych (UODO) nałożył na Krajową Szkołę Sądownictwa i Prokuratury grzywnę w wysokości 22 200 EUR. UODO wszczęło dochodzenie przeciwko administratorowi po tym, jak zgłosił naruszenie danych na swojej stronie internetowej platformy szkoleniowej. Podczas migracji testowej na nową platformę w Internecie ujawniono dane ponad 50 000 osób. Obejmuje to między innymi nazwiska, nazwy użytkowników, adresy pocztowe i e-mailowe, numery telefonów, jednostki i wydziały osób, których dane dotyczą. UODO stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych, aby zapewnić poufność przetwarzanych danych. Ponadto umowa, jaką administrator zawarł z firmą, której powierzono przetwarzanie danych, nie spełniała wymogów prawnych. Przykładowo umowa nie zawierała informacji o tym, jakie kategorie danych będą przetwarzane. link
Polska 2021-01-05 5.500 EUR Śląski Uniwersytet Medyczny (Medical University of Silesia Art. 33 (1) RODO, Art. 34 (1) RODO Polski organ ochrony danych (UODO) nałożył na Śląski Uniwersytet Medyczny karę w wysokości 25 000 zł (5 500 euro). W trakcie egzaminów odbywających się w formie wideokonferencji pod koniec maja 2020 roku miała miejsce identyfikacja studentów. Po zakończeniu egzaminu nagrania egzaminów były dostępne nie tylko dla zdających, ale także dla innych osób posiadających dostęp do systemu. Dodatkowo każdy z zewnątrz miał dostęp do zapisów z egzaminów i danych badanych studentów prezentowanych podczas identyfikacji poprzez bezpośredni link. Uczelnia nie zgłosiła naruszenia ochrony danych do organu ochrony danych i nie powiadomiła osób, których dane dotyczą. link
Polska 2021-01-05 19.000 EUR Nieznany Art. 34 (1), (2) RODO, Art. 58 (2) e) RODO Polski organ ochrony danych (UODO) nałożył na operatora szpitala karę w wysokości 19 000 EURO. Były pracownik bezprawnie skopiował dane osobowe 100 pacjentów z sieci komputerowej szpitala. Dane, które wyciekły, obejmowały numer ubezpieczenia społecznego, imię i nazwisko, datę urodzenia, adres i numer telefonu osób, których dane dotyczą. Chociaż administrator uznał, że potencjalne ryzyko dla osób, których dane dotyczą, jest wysokie, nie poinformowała osób, których dane dotyczą, o incydencie. Następnie organ ochrony danych zwrócił się do administratora o niezwłoczne poinformowanie osób, których dane dotyczą, o zdarzeniu i udzielenie im porady, jak zminimalizować potencjalne negatywne skutki naruszenia. Jednak administrator nie zastosował się do tego żądania. link
Polska 2020-12-09 2.850 EUR Smart Cities Sp. z o.o. Art. 31 RODO, Art. 58 RODO Kara za niezastosowanie się do nakazu UODO. Administrator nie przekazał danych osobowych ani innych informacji, o które prosi UODO w celach dochodzeniowych. link
Polska 2019-11-01 1.770 EUR L. Sp. z o.o. Art. 5 (1) a), f) RODO Polski organ ochrony danych (UODO) nałożył na L. Sp. ogród zoologiczny. za nadzór wizyjny wspólnoty mieszkaniowej, który nie był zgodny z przepisami RODO. link
Hiszpania 2021-02-12 120.000 EUR Vodafone España, SAU Art. 5 RODO, Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 200 000 EUR na Vodafone España, S.A.U. Były klient otrzymywał wiadomości e-mail zawierające rachunki elektroniczne nawet po rozwiązaniu umowy z administratorem, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. Osoba, której dane dotyczą, oświadcza, że ​​nadal otrzymuje e-maile od administratora, chociaż kilkakrotnie sprzeciwiał się temu, a administrator już dwukrotnie otrzymał grzywnę dokładnie za to samo. Grzywna nałożona tym razem jest tak wysoka, ponieważ hiszpańskie organy ochrony danych sklasyfikowały naruszenie jako bardzo poważne. Między innymi dlatego, że było to już trzecie naruszenie w tej sprawie. Pierwotna kara w wysokości 200 000 EUR została obniżona zarówno za natychmiastową spłatę, jak i uznanie długu do 120 000 EUR. link
Hiszpania 2021-02-11 24.000 EUR Vamavi Phone S.L. Art. 48 (1) b) RODO, Art. 21 RODO, Art. 23 RODO Art. 28 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Vamavi Phone S.L .. Osoba, której dane dotyczą, otrzymała wezwanie reklamowe od administratora danych wykonane w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, została zarejestrowana na liście wykluczonych reklam Robinsona. Pierwotna kara w wysokości 40 000 EUR została obniżona do 24 000 EUR ze względu na natychmiastową spłatę i uznanie długu. link
Holandia 2021-02-11 440.000 EUR OLVG Art. 32 RODO Holenderski organ ochrony danych (AP) nałożył grzywnę w wysokości 440 000 EUR na szpital OLVG w Amsterdamie. Administrator podjął niewystarczające środki w latach 2018-2020, aby uniemożliwić dostęp nieupoważnionych pracowników do dokumentacji medycznej. Administrator nie sprawdził odpowiednio, kto miał dostęp do jakiego pliku, ani też nie upewnił się, czy system komputerowy posiada wystarczające zabezpieczenia. Spowodowało to między innymi, że pracujący studenci i inni pracownicy mieli dostęp do akt pacjentów bez konieczności wykonywania ich pracy. Oprócz dokumentacji medycznej akta pacjentów zawierały również numery ubezpieczenia społecznego, adresy i numery telefonów osób, których dane dotyczą. link
Rumunia 2021-02-10 1.000 EUR ING Bank N.V. Amsterdam - Bucharest office Art. 29 RODO, Art. 32 (2), (4) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 1000 EUR na ING Bank N.V. Amsterdam - Oddział w Bukareszcie. Stwierdzono, że administrator wysłał pliki do kontrahenta w celu wystawienia polis ubezpieczeniowych. Przesłane pliki zawierały nieaktualne informacje, gdyż pracownicy działu monitoringu polis ubezpieczeniowych nie sprawdzali i nie przetwarzali polis zgodnie z przebiegiem pracy, co dotyczyło 270 osób. Biorąc pod uwagę te aspekty stwierdzono, że podjęte przez administratora środki techniczne i organizacyjne były niewystarczające, co skutkowało naruszeniem poufności danych osobowych. link
Hiszpania 2021-02-09 5.000 EUR Predase Servicios Integrales S.L. Art. 13 RODO Serwis firmy nie przedstawiał polityki prywatności na swojej stronie głównej, ani nie zawierał informacji wymaganych przez art. 13 RODO link
Łotwa 2021-02-09 65.000 EUR Lursoft IT SIA Art. 6 (1) RODO Łotewski organ ochrony danych (DSI) ukarał Lursoft IT SIA grzywną w wysokości 65 000 EUR za nielegalne przetwarzanie danych osobowych, publikując dokumenty zawierające dane osobowe na swojej stronie internetowej „www.lursoft.lv”. Organ nadzorczy ustalił, że administrator udostępnił publicznie część niepublicznego rejestru spółek, która zawierała między innymi dane osobowe.
Hiszpania 2021-02-08 3.000 EUR Patio Ancestral S.L. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na Patio Ancestral S.L .. Skarżący pracował dla firmy budowlanej i wykonywał prace remontowe dla kontrolera. Podczas tych prac doszło do uszkodzenia mienia kontrolera. Następnie kontroler wysłał pismo z roszczeniami o odszkodowanie nie tylko do skarżącego, ale także do ojca skarżącego, który był wcześniej zatrudniony w tej samej firmie budowlanej. Jednak ojciec był w tej sprawie niezaangażowaną osobą trzecią. Hiszpański organ ochrony danych stwierdził, że przetwarzanie danych osobowych ojca z tego powodu odbywało się bez podstawy prawnej. Pierwotna kara została obniżona do 3 000 EUR z powodu natychmiastowej spłaty i uznania długu. link
Hiszpania 2021-02-08 5.000 EUR Osooba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 5000 EUR za nielegalny nadzór kamer. Osoba, której dane dotyczą, wynajęła dwa pokoje w mieszkaniu administratora. Kontroler zainstalował kamerę wideo w mieszkaniu i stwierdził, że została ona zainstalowana wyłącznie ze względów bezpieczeństwa, a także monitorowała tylko obszar drzwi wejściowych. Okazało się jednak, że kamera została zorientowana w taki sposób, że nagrywała również inne części mieszkania, np. Salon. Hiszpański organ ochrony danych stwierdza, że ​​stanowi to nieuzasadnione naruszenie prywatności osoby, której dane dotyczą. link
Hiszpania 2021-02-04 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO Nieautoryzowane użycie dwóch kamer monitorujących wideo, które nagrywały również części przestrzeni publicznej, takie jak chodniki i posesje za nimi. link
Norwegia 2021-02-03 19.300 EUR Cyberbook AS Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Cyberbooka 200 000 NOK (19 300 EUR) za nielegalne automatyczne przekazywanie dalej e-maili od byłego pracownika. Przekazywanie odbywało się przez kilka miesięcy bez poinformowania osoby, której dane dotyczą. link
Hiszpania 2021-02-03 100.000 EUR Iberdrola Clientes Art. 5 (1) d) RODO, Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 100 000 EUR na Iberdrola Clientes, SAU. Osoba, której dane dotyczą, rozwiązała istniejącą umowę z administratorem z powodu przeprowadzki i w związku z tym zażądała usunięcia swoich danych. To żądanie zostało odrzucone przez kontrolera w odniesieniu do zaległych faktur. Okazało się, że administrator przesłał rachunki na stary adres osoby, której dane dotyczą. Nawet po tym, jak osoba, której dane dotyczą, poinformowała administratora o zmianie adresu, nowe powiadomienia dotyczące żądania usunięcia i faktury zostały wysłane na stary adres. link
Hiszpania 2021-02-01 24.000 EUR Xfera Moviles S.A. Art. 58 (2) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Xfera Móviles S.A .. Osoba, której dane dotyczą, zgłosiła AEPD naruszenie jej prawa do informacji. Następnie AEPD wystosował do administratora wniosek o spełnienie żądania osoby, której dane dotyczą, o udzielenie informacji w ciągu 10 dni i udowodnienie tego AEPD. Administrator nie spełnił jednak żądania w wyznaczonym terminie. Pierwotna kara w wysokości 40 000 EUR została obniżona do 24 000 EUR z powodu natychmiastowej zapłaty i uznania długu przez kontrolera. link
Hiszpania 2021-02-01 3.000 EUR IDFINANCE Spain, S.L. Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na IDFINANCE Spain S.L .. Osoba otrzymała wiadomość e-mail dotyczącą windykacji od IDFinance, która zawierała łącze do zapłaty faktury bezpośrednio przez stronę internetową administratora. Za pośrednictwem linku dana osoba mogła wyświetlić dane osobowe innego klienta. Pierwotna kara w wysokości 5 000 EUR została obniżona do 3 000 EUR z powodu natychmiastowej spłaty i uznania długu. link
Francja 2021-01-27 150.000 EUR Nieznany Art. 32 RODO Francuski organ ochrony danych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom polegającym na fałszowaniu poświadczeń na stronie internetowej firmy. Od czerwca 2018 r. do stycznia 2020 r. Do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której regularnie robi zakupy kilka milionów klientów. W odpowiedzi CNIL zdecydował się zbadać firmę i jej podwykonawcę, któremu powierzono zarządzanie tą stroną internetową. W trakcie śledztwa CNIL ustalił, że wspomniana witryna internetowa była poddawana licznym falom ataków polegających na fałszowaniu poświadczeń. W tego typu ataku złośliwa osoba uzyskuje listy „niezaszyfrowanych” identyfikatorów i haseł publikowane w Internecie, zwykle po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, osoba atakująca będzie próbować zalogować się do dużej liczby witryn za pomocą „botów”. Jeśli uwierzytelnienie powiedzie się, osoba atakująca będzie mogła zobaczyć informacje powiązane z tymi kontami. CNIL ustaliła, że ​​napastnicy byli w stanie uzyskać następujące informacje: nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer i saldo karty lojalnościowej oraz informacje związane z zamówieniami. CNIL uważa, że ​​obie firmy naruszyły obowiązek zachowania bezpieczeństwa danych osobowych klientów zgodnie z art. 32 NRD. W rzeczywistości firmy podejmowały powolne działania, aby skutecznie zwalczać te powtarzające się ataki. Postanowili skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Jednak opracowanie tego narzędzia zajęło rok od pierwszych ataków. W międzyczasie jednak można było rozważyć szereg innych środków o szybszym wpływie, aby zapobiec dalszym atakom lub złagodzić negatywny wpływ na osoby. W wyniku tego braku staranności dane około 40000 klientów serwisu zostały udostępnione nieuprawnionym podmiotom trzecim w okresie od marca 2018 do lutego 2019. link
Francja 2021-01-27 75.000 EUR Nieznany Art. 32 GDPR Francuski organ ochrony danych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom polegającym na fałszowaniu poświadczeń na stronie internetowej firmy. Od czerwca 2018 r. do stycznia 2020 r. Do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której regularnie robi zakupy kilka milionów klientów. W odpowiedzi CNIL zdecydował się zbadać firmę i jej podwykonawcę, któremu powierzono zarządzanie tą stroną internetową. W trakcie śledztwa CNIL ustalił, że wspomniana witryna internetowa była poddawana licznym falom ataków polegających na fałszowaniu poświadczeń. W tego typu ataku złośliwa osoba uzyskuje listy „niezaszyfrowanych” identyfikatorów i haseł publikowane w Internecie, zwykle po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, osoba atakująca będzie próbować zalogować się do dużej liczby witryn za pomocą „botów”. Jeśli uwierzytelnienie powiedzie się, osoba atakująca będzie mogła zobaczyć informacje powiązane z tymi kontami. CNIL ustaliła, że ​​napastnicy byli w stanie uzyskać następujące informacje: nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer i saldo karty lojalnościowej oraz informacje związane z zamówieniami. CNIL uważa, że ​​obie firmy naruszyły obowiązek zachowania bezpieczeństwa danych osobowych klientów zgodnie z art. 32 NRD. W rzeczywistości firmy podejmowały powolne działania, aby skutecznie zwalczać te powtarzające się ataki. Postanowili skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Jednak opracowanie tego narzędzia zajęło rok od pierwszych ataków. W międzyczasie jednak można było rozważyć szereg innych środków o szybszym wpływie, aby zapobiec dalszym atakom lub złagodzić negatywny wpływ na osoby. W wyniku tego braku staranności dane około 40000 klientów serwisu zostały udostępnione nieuprawnionym podmiotom trzecim w okresie od marca 2018 do lutego 2019. link
Belgia 2021-01-22 50.000 EUR Family Service / N.D.P.K. nv. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODO, Art. 28 RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 50 000 EUR na Family Service / N.D.P.K. nv. Administratorem jest agencja reklamowa, która przesyła między innymi pudełka upominkowe przyszłej mamie zawierające różne bony rabatowe, próbki produktów oraz informacje o ciąży i porodzie. Pozycje skrzynek są dostarczane przez osoby trzecie, którym administrator przekazuje następnie dane kontaktowe odbiorców w celach marketingowych. Zgoda odbiorców na ten transfer i późniejsze działania reklamowe osób trzecich jest w tym celu uprzednio uzyskiwana przez administratora. Osoba, której dane dotyczą, złożyła skargę do belgijskiego organu ochrony danych, ponieważ chociaż cofnęła udzieloną wcześniej zgodę, nadal otrzymywała telefony reklamowe od stron trzecich, którym administrator przekazał jej dane. link
Belgia 2021-01-21 25.000 EUR Nieznany Art. 5 (1) f), (2) RODO, Art. 24 RODO, Art. 32 RODO, Art. 33 (1), (5) RODO, Art. 34 (1) RODO Belgijski organ ochrony danych nałożył na operatora telefonii komórkowej 25 000 EUR grzywny. Administrator przydzielił numer telefonu osoby, której dane dotyczą, nieuprawnionej stronie trzeciej, przez co osoba, której dane dotyczą, utraciła dostęp do swojego numeru telefonu. Ponieważ karta SIM osoby, której dane dotyczą, została dezaktywowana, umożliwiłoby to stronie trzeciej dostęp do różnych danych osobowych osoby, której dane dotyczą, w okresie od 16 września do 19 września 2019 r., Takich jak historia połączeń i konta różnych usług ( np. Paypal, WhatsApp i Facebook) powiązane z numerem. link
Hiszpania 2021-01-21 50.000 EUR Alterna Operador Integral S.L. Art. 6 (1) b) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Alterna Operador Integral S.L. grzywnę w wysokości 50 000 EUR. Zmiana sprzedawcy energii elektrycznej nastąpiła bez zgody osoby, której dane dotyczą. Jednak dane osobowe osoby, której dane dotyczą, zostały włączone do systemów informatycznych administratora (nowego dostawcy energii elektrycznej) bez sprawdzenia przez administratora, że ​​została zawarta ważna umowa. Przetwarzanie danych osobowych osób, których dane dotyczą, odbywało się zatem bez podstawy prawnej. link
Hiszpania 2021-01-21 75.000 EUR Telefónica Móviles España, SAU Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 75 000 EUR na Telefónica Móviles España, SAU. Kontroler przydzielił osobie, której dane dotyczą, pięć linii telefonicznych z pięcioma numerami w ramach umowy telefonicznej. Jednego z numerów użył jej syn. Kiedy nie mógł już korzystać z danych mobilnych, skontaktował się z administratorem. Administrator poinformował go, że dane mobilne zostały dezaktywowane, ponieważ numer nie był już w jego posiadaniu. Okazało się, że nieuprawnione osoby trzecie udawały osobę, której dane dotyczą i przekazywały numer osobie trzeciej bez konieczności uwierzytelnienia administratora. W rezultacie nieuprawnione osoby trzecie zażądały i otrzymały nową kartę SIM pod pretekstem domniemanej utraty lub kradzieży. W rezultacie karta SIM syna została zablokowana. link
Hiszpania 2021-01-20 1.200 EUR Indywidualny Art. 5 (1) c) RODO Kontroler zainstalował na swoim budynku kamery skierowane na fragmenty przestrzeni publicznej. Jednak do nagrania nie doszło, ponieważ kamery służyły jedynie jako odstraszacz i pozostawały nieaktywne. DPA zauważa jednak, że nawet symulowany nadzór wideo ma wpływ na prywatność osób, których dane dotyczą, ponieważ są one przekonane, że są one trwale rejestrowane przez kamery. Według organu ochrony danych ma to przerażający skutek. Dlatego też w tym przypadku zorientowanie kamer na przestrzeń publiczną było niewłaściwe. Organ ochrony danych nałożył na kontrolera karę w wysokości 2000 euro, która została obniżona do 1200 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Norwegia 2021-01-19 9.700 EUR Aquateknikk AS Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na firmę Aquateknikk karę pieniężną w wysokości 100 000 NOK (9 700 EUR). Administrator przeprowadził ocenę zdolności kredytowej osoby fizycznej bez powiązania z klientem lub innego powiązania. Dane osobowe osoby, której dane dotyczą, były zatem przetwarzane bez podstawy prawnej. link
Norwegia 2021-01-14 38.600 EUR Coop Finnmark SA Art. 5 (1) a) RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Coop Finnmark SA karę w wysokości 400 000 NOK (38 600 EUR). Kierownik przedmiotowego sklepu nagrał materiał z kamer CCTV telefonem komórkowym i udostępnił materiał wideo. Norweski organ ochrony danych twierdzi, że Coop Finnmark nie miał podstawy prawnej do udostępniania nagrań z CCTV. DPA zauważa, że ​​sprawa jest bardzo poważna, ponieważ na nagraniu pokazano dzieci, co stwarza potencjalnie wysokie zagrożenie dla ich prywatności. link
Włochy 2021-01-14 8.000 EUR Agenzia regionale protezione ambientale Campania (ARPAC) Art. 5 (1) f) RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 8 000 EUR na Regionalną Agencję Ochrony Środowiska Kampanii (ARPAC). Zewnętrzny dysk twardy zawierający dane osobowe został skradziony administratorowi. Zawierała między innymi kopie dokumentów tożsamości, ewidencji podatkowej i list płac. W trakcie dochodzenia organ ochrony danych odkrył, że dysk twardy znajdował się w pomieszczeniu, do którego mieli dostęp wszyscy pracownicy administratora. Ponadto administrator nie wykonał kopii zapasowej danych, których to dotyczy, więc zostały one nieodwracalnie utracone. W konsekwencji organ nadzorczy uznał, że administrator naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych. link
Hiszpania 2021-01-13 6.000.000 EUR Caixabank S.A. Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Caixabank SA grzywnę w wysokości 6 000 000 EUR za naruszenie art. 6 RODO, art. 13 RODO i art. 14 RODO. Klienci banku mieli zaakceptować nowe polityki prywatności umożliwiające administratorowi przekazywanie danych osobowych klientów do wszystkich spółek z Grupy CaixaBank. Jednocześnie osoby, których dane dotyczą, nie miały możliwości wyraźnego nie wyrażenia zgody na to przekazanie. Zamiast tego, jeśli chcieli nie zgodzić się na przekazanie swoich danych, byli zobowiązani do wysłania pisma wyrażającego sprzeciw do każdej spółki w grupie. OOD stwierdził, że bank naruszył swoje obowiązki informacyjne określone w art. 13 RODO i art. 14 RODO, gdyż informacje przekazywane klientom w ramach polityki prywatności nie były spójne, zawierały nieprecyzyjną terminologię oraz nie zawierały wystarczających informacji o rodzaju przetwarzanych danych osobowych i charakterze przetwarzania. Również informacje o prawach osób, których dane dotyczą, jak również dane kontaktowe administratora nie zostały podane w sposób spójny. Ponadto organ ochrony danych zauważa, że ​​administrator przetwarzał dane swoich klientów poza swoimi prawnie uzasadnionymi interesami, częściowo bez podstawy prawnej, a uzyskana przez niego zgoda nie spełniała wymogów skutecznej zgody. Ponadto uchybienia w procedurach firmy pozwoliły na uzyskanie zgody klientów na przetwarzanie ich danych osobowych. Ponadto organ ochrony danych stwierdza, że ​​w rezultacie dane zostały przekazane niezgodnie z prawem spółkom grupy CaixaBank. Stanowi to naruszenie art. 6 RODO. link
Norwegia 2021-01-12 38.600 EUR Nieznany Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) ukarał firmę grzywną w wysokości 400 000 NOK (38 600 EUR) za nielegalne automatyczne przekazywanie poczty elektronicznej pracownika. Przekazywanie automatyczne zostało uruchomione w związku ze zwolnieniem lekarskim pracownika i trwało ponad miesiąc. link
Belgia 2021-01-12 10.000 EUR Nieznany Art. 6 (1) RODO, Art. 12 (3) RODO, Art. 21 (1) RODO Prowadzenie fanpage na Facebooku bez zgody osoby, której dane dotyczą, oraz niezastosowanie się do żądania osoby, której dane dotyczą, po wykonaniu przysługującego jej prawa sprzeciwu. link
Niemcy 2021-01-08 10.400.000 EUR notebooksbilliger.de Art. 5 RODO, Art. 6 RODO Dolnosaksoński organ ochrony danych (LfD Niedersachsen) nałożył grzywnę w wysokości 10,4 mln EUR na sprzedawcę elektroniki notebooksbilliger.de. Firma monitorowała wideo swoich pracowników przez co najmniej dwa lata, nie mając do tego podstawy prawnej. Kamery obejmowały między innymi miejsca pracy, powierzchnie handlowe, magazyny i tereny rekreacyjne. Firma stwierdziła, że ​​celem zainstalowanych kamer wideo było zapobieganie przestępstwom i śledzenie ich oraz śledzenie ruchu towarów w magazynach. Jednak aby zapobiec kradzieży, firma musi najpierw rozważyć łagodniejsze metody. Ponadto nadzór wideo w celu wykrycia przestępstw jest dozwolony tylko wtedy, gdy istnieje uzasadnione podejrzenie co do konkretnych osób. W takim przypadku może być dopuszczalne monitorowanie ich za pomocą kamer przez ograniczony czas. W przypadku notebooksbilliger.de nadzór wideo nie był jednak ograniczony do określonego okresu ani do określonych pracowników. Ponadto w wielu przypadkach nagrania były przechowywane przez 60 dni, czyli znacznie dłużej niż jest to wymagane. Klienci notebooksbilliger.de również ucierpieli z powodu niezgodnego z prawem nadzoru wideo, ponieważ niektóre kamery zostały skierowane na miejsca siedzące w obszarze sprzedaży. Jak dotąd kara dla notebooksbilliger.de jest najwyższą karą nałożoną przez LfD Niedersachen na mocy RODO. link
Norwegia 2021-01-07 7.250 EUR Gveik AS Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Gveik AS grzywnę w wysokości 7 250 EUR. Osoba odpowiedzialna przeprowadziła kontrolę kredytową osoby fizycznej, chociaż nie było do tego podstawy prawnej. link
Norwegia 2021-01-06 9.700 EUR Lindstrand Trading AS Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Lindstrand Trading AS 9 700 EUR. Osoba odpowiedzialna przeprowadziła cztery kontrole kredytowe osób fizycznych i poszczególnych przedsiębiorstw, chociaż nie było do tego podstawy prawnej link
Francja 2021-01-05 20.000 EUR Nestor SAS Art. 12 RODO, Art. 13 RODO Francuski organ ochrony danych (CNIL) nałożył na firmę Nestor grzywnę w wysokości 20 000 EUR. CNIL zauważa, że ​​polityka prywatności przedstawiona podczas procesu rejestracji na stronie internetowej firmy nie zawierała niezbędnych informacji wymaganych przez RODO. Ponadto administrator podał niewystarczające informacje na temat przetwarzania danych podczas rejestracji aplikacji. link
Hiszpania 2021-01-04 54.000 EUR Vodafone España, S.A.U. Art. 5 (1) d), f) RODO Strona poszkodowana zawarła umowę ze stroną odpowiedzialną (Vodafone España, S.A.U.). Jednak produkty dostarczone w ramach tej umowy nie zostały dostarczone na nazwisko osoby, której dane dotyczą, ale w imieniu strony trzeciej. Następnie osoba, której dane dotyczą, skontaktowała się pocztą elektroniczną z inspektorem ochrony danych firmy w celu przywrócenia prawidłowości swoich danych przechowywanych w Vodafone. Jednak nie otrzymano żadnej odpowiedzi na to żądanie. Kiedy osoba, której dane dotyczą, ostatecznie skontaktowała się telefonicznie z przedsiębiorstwem telekomunikacyjnym, zwrócono się do niej z podaniem nazwy osoby trzeciej. Na jego zapytanie odpowiedziano odpowiedzią, która nie odnosiła się do jego / jej zapytania, ale do zapytania osoby trzeciej. Według firmy telekomunikacyjnej incydent był spowodowany defektem ich systemu w wyniku migracji systemu. Hiszpański organ ochrony danych (AEPD) początkowo ukarał Vodafone España, S.A.U. 90 000 euro, ale pierwotna kara została obniżona do 54 000 euro ze względu na terminową zapłatę i przyznanie się do winy. link
Norwegia 2021-01-04 95.500 EUR Innovasjon Norge Art. 5 (1) RODO, Art. 6 (1) RODO Norweski organ ochrony danych (Datatilsynet) nałożył na krajowy bank rozwoju Innovasjon Norge 1 000 000 NOK (95 500 EUR) grzywny. Osoba odpowiedzialna przeprowadziła cztery kontrole zdolności kredytowej osoby, której dane dotyczą, bez żadnej podstawy umownej, aby to zrobić. W tym celu bank przeanalizował wiele danych finansowych osoby, której dane dotyczą, w okresie trzech miesięcy bez zgody osoby, której dane dotyczą. link
Czechy 2021-01-04 118.500 EUR Nieznany Art. 6 (1) RODO, Art. 14 RODO Czeski organ ochrony danych (UOOU) ukarał 11 przedsiębiorstw grzywną w łącznej wysokości 118 500 EUR za wysyłanie niechcianych pocztowych wiadomości reklamowych do skrzynek pocztowych różnych obywateli. Decyzją rządu Republiki Czeskiej z końca października wprowadzono możliwość przesyłania danych pocztowych bez opłat do zakończenia pandemii Covid-19. Ukarane grzywny firmy nadużyły tej możliwości. OOD stwierdza, że ​​firmy nie miały podstaw prawnych do wysyłania ofert towarów i usług, co stanowi naruszenie art. 6 ust.1 RODO. Ponadto organ ochrony danych stwierdza, że ​​naruszenie art. 14 RODO również wystąpiło, ponieważ firmy nie podały osobom, których dane dotyczą, informacji o komercyjnym wykorzystaniu ich danych przy pierwszym kontakcie. link
Rumunia 2020-12-30 3.000 EUR ING Bank N.V. Amsterdam - Bucharest office Art. 5 (1) a) - d) RODO, Art. 6 (1) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na ING Bank N.V. Amsterdam - biuro w Bukareszcie karę w wysokości 3000 EUR. Bank skontaktował się z osobą, której dane dotyczą, pocztą elektroniczną w celu zaktualizowania jej danych. W tym czasie jednak osoba, której dane dotyczą, zamknęła już swoje konto w banku, tak że stosunek umowny został rozwiązany. W efekcie administrator przetwarzał dane osobowe byłego klienta niezgodnie z prawem, bez jego zgody, takie jak adres e-mail oraz imię i nazwisko oraz osoba, której dane dotyczą. link
Rumunia 2020-12-29 1.000 EUR Qualitance QBS SA Art. 32 RODO Rumuński organ ochrony danych (ANSPDCP) ukarał Qualitance QBS SA grzywną w wysokości 1000 EUR za naruszenie art. 32 RODO. Firma wysłała informacje pocztą elektroniczną do 295 osób, ujawniając adresy e-mail pozostałych odbiorców. ANSPDCP zauważył, że firma nie podjęła wystarczających środków bezpieczeństwa, aby zapewnić poufność danych osobowych osób, których dane dotyczą. link
Polska 2020-12-28 18.930 EUR Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. Art. 33 (1) RODO, Art. 34 (1) RODO Za naruszenie art. 33 ust.1 RODO i art. 34 ust.1 RODO. W maju 2020 r.UODO otrzymał zawiadomienie od osoby trzeciej o naruszeniu ochrony danych osobowych z udziałem agenta ubezpieczeniowego działającego jako agent obsługi Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., który wysłał polisę do nieuprawnionego adresata pocztą elektroniczną. Dokument zawierał dane osobowe dotyczące m.in. nazwisk, imion, adresów zamieszkania oraz informacji dotyczących przedmiotu polisy ubezpieczeniowej. W rezultacie organ nadzorczy zwrócił się do podmiotu odpowiedzialnego o wyjaśnienie, czy w odniesieniu do wysyłania korespondencji elektronicznej do nieuprawnionego adresata została przeprowadzona analiza ryzyka dotycząca bezpieczeństwa danych osób fizycznych, która jest niezbędna do oceny, czy dane doszło do naruszenia. Takie naruszenie wymaga powiadomienia organu ochrony danych i osób, których dotyczy naruszenie. W piśmie organ nadzorczy poinstruował podmiot odpowiedzialny, w jaki sposób ma zgłosić naruszenie, i poprosił o wyjaśnienia. Pomimo pisma z prośbą o wyjaśnienia, osoba odpowiedzialna nie zgłosiła naruszenia ochrony danych ani nie poinformowała o zdarzeniu osób, których dane dotyczą. W związku z tym organ ochrony danych wszczął postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania podmiot odpowiedzialny zgłosił naruszenie danych osobowych i poinformował dwie osoby, których naruszenie dotyczy. link
Belgia 2020-12-23 50.000 EUR Nieznany Art. 14 (1), (2) RODO, Art. 12 (1), (2), (3) RODO, Art. 15 (1) RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODO Belgijski organ ochrony danych (APD) nałożył na firmę grzywnę w wysokości 50 000 EUR za kilka naruszeń RODO. Strona odpowiedzialna to firma, która przeprowadza kontrole biletów parkingowych. Osoba odpowiedzialna nałożyła na osobę, której dane dotyczą, karę za nielegalne parkowanie. Jednak osoba, której dane dotyczą, oświadcza, że ​​nie otrzymała mandatu. Zamiast tego osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy otrzymała oficjalne pismo przypominające od kancelarii prawniczej, której zlecono windykację, która następnie zażądała zapłaty opłaty za ponaglenie oprócz pierwotnej grzywny. Osoba, której dane dotyczą, skontaktowała się wówczas z firmą i zażądała m.in. informacji o tym, które z jej danych osobowych były przetwarzane. Po tym, jak żądanie to nie zostało należycie zrealizowane i terminowo, osoba, której dane dotyczą, złożyła skargę na osobę odpowiedzialną. Podczas dochodzenia organ ochrony danych stwierdził, że osoba odpowiedzialna naruszyła kilka przepisów RODO. Po pierwsze, organ ochrony danych stwierdził, że podmiot odpowiedzialny nie zapewnił odpowiedniej polityki prywatności. Polityka prywatności na stronie internetowej podmiotu odpowiedzialnego nie zawierała żadnych informacji dotyczących przetwarzania danych osobowych ani żadnych danych kontaktowych firmy. Po drugie, osoba odpowiedzialna naruszyła prawo osoby, której dane dotyczą, do informacji, nie wykonując żądania osoby, której dane dotyczą, o udzielenie informacji o przetwarzaniu danych. Wreszcie podmiot odpowiedzialny naruszył zasadę minimalizacji, przetwarzając dane osoby, której dane dotyczą, w celu wysłania wezwania do zapłaty dopiero jeden dzień po wystawieniu biletu, mimo że osoba, której dane dotyczą, miała możliwość zapłacenia grzywny bez takiego przypomnienia w tym czasie. link
Belgia 2020-12-23 15.000 EUR Nieznany Art. 14 (1), (2) RODO, Art. 12 (3) RODO, Art. 6 RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODO Belgijski organ ochrony danych (APD) nałożył grzywnę w wysokości 15 000 EUR na przedsiębiorstwo z powodu niewystarczającego wykonywania praw osoby, której dane dotyczą. Podmiotem odpowiedzialnym jest firma windykacyjna, której windykacja należnych jej należności została zlecona przez inną firmę. Na osobę, której dane dotyczą, została nałożona kara za nielegalne parkowanie przez ostatnią z wymienionych firm. Jednak osoba, której dane dotyczą, oświadcza, że ​​nie otrzymała zawiadomienia o grzywnie. Zamiast tego osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy otrzymała oficjalne pismo z przypomnieniem od strony odpowiedzialnej, która następnie zażądała uiszczenia opłaty za ponaglenie oprócz pierwotnej grzywny. Osoba, której dane dotyczą, skontaktowała się następnie z osobą odpowiedzialną i zażądała między innymi informacji o tym, które z jej danych osobowych były przetwarzane. Po nieuwzględnieniu tego żądania w terminie osoba, której dane dotyczą, złożyła skargę na osobę odpowiedzialną. W toku dochodzenia organ ochrony danych stwierdził, że administrator naruszył przepisy RODO, na przykład nie spełniając żądania osoby, której dane dotyczą, o udzielenie informacji o przetwarzaniu danych. link
Hiszpania 2020-12-22 6.000 EUR Iberdrola Clientes, SAU Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył na Iberdrola Clientes grzywnę w wysokości 6000 EUR. Osoba, której dane dotyczą, otrzymała telefony promocyjne z dwóch różnych numerów telefonów osoby odpowiedzialnej, chociaż osoba, której dane dotyczą, była zarejestrowana na liście Robinsona. Spółka przypisuje incydent błędowi ludzkiemu, ponieważ numery telefonów, z których dzwoniono do osoby, której dane dotyczą, nie były regularnie wykorzystywane do celów reklamowych. link
Rumunia 2020-12-22 2.000 EUR S.C. C&V Water Control S.A. Art. 58 (1) a), e) RODO, Art. 58 (2) i) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na S.C. C&V Water Control S.A. karę pieniężną w wysokości 2000 EUR za niezastosowanie się do żądania organu ochrony danych o udzielenie informacji w trakcie dochodzenia, naruszając tym samym art. 58 ust. 1 lit. a), e) RODO i art. 58 ust. 2 lit. i) RODO. link
Hiszpania 2020-12-21 36.000 EUR Banco Bilbao Vizcaya Argentaria, S.A. Art. 5 (1) d) RODO Hiszpański organ ochrony danych (AEPD) nałożył na instytucję finansowo-kredytową Banco Bilbao Vizcaya Argentaria, SA (BBVA) grzywnę w wysokości 36000 EUR. BBVA zwróciła się do osoby, której dane dotyczą, o uregulowanie długów w BBVA, chociaż osoba, której dane dotyczą, nie miała żadnych długów w banku. W rezultacie BBVA przekazała dane osobowe osoby, której dane dotyczą, firmie windykacyjnej Multigestión Iberia, SL, która przez kilka miesięcy kontaktowała się z osobą, której dane dotyczą, telefonicznie i pocztą elektroniczną w imieniu BBVA i zwróciła się o zapłatę. Następnie osoba, której dane dotyczą, zażądała usunięcia swoich danych z BBVA. Jednak osoba odpowiedzialna odmówiła. link
Rumunia 2020-12-17 100.000 EUR Banca Transilvania SA Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Banca Transilvania SA karę pieniężną w wysokości 100 000 EUR za naruszenie art. 5 (1) f) RODO, art. 32 (1) RODO i art. 32 ust.2 RODO. Stwierdzono, że bank zażądał od klienta oświadczenia o przeznaczeniu określonej kwoty pieniędzy, które chciałby wypłacić z jego konta. Oświadczenie to zostało przesłane do banku online i przekazane kilku pracownikom banku. Jeden z pracowników sfotografował deklarację telefonem komórkowym i rozpowszechnił ją za pośrednictwem WhatsApp. Następnie dokument został opublikowany w serwisie społecznościowym Facebook i na stronie internetowej. Sytuacja ta doprowadziła do ujawnienia i nieuprawnionego dostępu do niektórych danych osobowych czterech osób, których dane dotyczą, pomimo zobowiązania Banku do poszanowania zasady integralności i poufności danych osobowych zgodnie z art. 5 (1) f) RODO. Urząd zwraca uwagę, że wystąpienie ujawnienia danych świadczy również o nieskuteczności wewnętrznych szkoleń pracowników Banku w zakresie przestrzegania standardów ochrony danych. Szkolenia te stanowią jednak integralną część środków technicznych i organizacyjnych, do których podjęcia Bank był zobowiązany, art. 32 RODO. link
Francja 2020-12-17 3.000 EUR Doktor Art. 32 RODO, Art. 33 RODO Francuski organ ochrony danych (CNIL) nałożył na lekarza grzywnę w wysokości 3000 EUR za naruszenie art. 32 RODO i art. 33 RODO. Osoba odpowiedzialna przechowywała na swoim komputerze medyczne dane obrazowe, takie jak obrazy rezonansu magnetycznego i rentgenowskie, a także dane osobowe, takie jak imiona i nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów. Administrator nie podjął odpowiednich środków technicznych, aby zapewnić bezpieczeństwo danych, w wyniku czego dostęp do danych jego pacjentów był możliwy dla każdego, kto nie miał ochrony dostępu. Organ ochrony danych zauważa, że ​​dane były narażone przez około cztery miesiące. link
Francja 2020-12-17 6.000 EUR Doktor Art. 32 RODO, Art. 33 RODO Francuski organ ochrony danych (CNIL) nałożył na lekarza grzywnę w wysokości 6 000 EUR za naruszenie art. 32 RODO i art. 33 RODO. Osoba odpowiedzialna przechowywała na serwerze medyczne dane obrazowe, takie jak obrazy rezonansu magnetycznego i zdjęcia rentgenowskie, a także dane osobowe, takie jak imiona i nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów, aby mieć do nich dostęp z komputera domowego. Przegląd systemów osoby odpowiedzialnej wykazał, że dostęp do serwera nie był odpowiednio zabezpieczony. Dzięki temu każdy miałby dostęp do danych swoich pacjentów. Ponadto wyciek danych istniał przez około pięć lat. W związku z tym organ ochrony danych stwierdził, że lekarz nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych. link
Polska 2020-12-17 235.300 EUR ID Finance Poland Sp. z o.o. Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO Polski organ ochrony danych (UODO) nałożył karę w wysokości 235 300 EUR na ID Finance Poland Sp. z o.o.. W związku z błędem podczas restartowania serwera, ustawienia oprogramowania odpowiedzialnego za bezpieczeństwo serwera zostały zresetowane, udostępniając publicznie dane osobowe 140 699 klientów. Dane te zawierały na przykład informacje o imieniu i nazwisku, adresie, narodowości, a nawet stanie cywilnym danych osób. Baza danych znajdująca się na tym serwerze została pobrana i usunięta przez nieokreśloną osobę trzecią, która zażądała od firmy opłaty za zwrot bazy danych. Organ ochrony danych zauważył, że podmiot odpowiedzialny podjął niewystarczające środki techniczne i organizacyjne w celu zapewnienia ochrony przetwarzania, mimo że istniało wysokie ryzyko dla osób, których dane dotyczą, ze względu na charakter przetwarzanych danych. link
Węgry 2020-12-16 1.940 EUR Nieznany Art. 5 (1) b), c) RODO, Art. 13 (1) RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 700 000 HUF (1940 EUR) na firmę budowlaną. Osoba odpowiedzialna zainstalowała system monitoringu wideo na placu budowy, aby chronić swoją własność i integralność fizyczną pracowników. Kamery zostały ustawione w taki sposób, aby mogły rejestrować część pomieszczenia rekreacyjnego, a tym samym także działania jego pracowników w wymaganym zakresie. Zainteresowani pracownicy nie byli o tym wystarczająco poinformowani w momencie zawierania umowy. link
Węgry 2020-12-16 55.400 EUR Robinson Tours Ltd. (Robinson Tours Idegenforgalmi és Szolgáltató Kft.) Art. 25 (1), (2) RODO, Art. 32 (1) b) RODO, Art. 34 (1) RODO Węgierski organ ochrony danych (NAIH) nałożył na Robinson Tours Idegenforgalmi és Szolgáltató Kft grzywnę w wysokości 20 500 000 HUF (55 400 EUR). (Robinson Tours Ltd.) System rezerwacji biura podróży zawierał niezabezpieczone dane klientów, które każdy mógł przeglądać i wyszukiwać za pośrednictwem Google. Dane zawierały m.in. imiona i nazwiska, dane teleadresowe, kopie dowodu osobistego oraz numery paszportów. W trakcie śledztwa DPA okazało się, że przedmiotowe dane pochodziły z testowej bazy danych stworzonej przez Next Time Media Agency Ltd, agencję internetową, która zleciła opracowanie i obsługę bazy danych, która została uzupełniona nie tylko o dane testowe, ale także o dane rzeczywiste klientów Robinson Tours. Ogółem dotyczyło to danych 781 osób, do których każdy miał dostęp w okresie od 13 listopada 2019 r. Do 4 lutego 2020 r. NAIH zwraca również uwagę, że Robinson Tours nie prowadził regularnych przeglądów zagrożeń bezpieczeństwa. Robinson Tours nie powiadomił również poszkodowanych osób o naruszeniu danych. link
Węgry 2020-12-16 1.385 EUR Next Time Media Agency Ltd. (Next Time Media Ügynökség Kft.) Next Time Media Agency Ltd. (Next Time Media Ügynökség Kft.) Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 50 000 HUF (1 385 EUR) na spółkę Next Time Media Ügynökség Kft. (Next Time Media Agency Ltd.). Agencja internetowa została podpisana przez biuro podróży Robinson Tours Idegenforgalmi és Szolgáltató Kft. (Robinson Tours Ltd.) w celu opracowania i obsługi systemu rezerwacji online biura podróży. Baza została jednak uzupełniona nie tylko o dane testowe, ale także o rzeczywiste dane klientów Robinson Tours. W sumie ujawniono dane 781 osób. W okresie od 13 listopada 2019 r. Do 4 lutego 2020 r. Dane te były dostępne dla każdego i można było je znaleźć za pośrednictwem Google. OOD stwierdził, że Next Time Media Agency Ltd. nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. link
Irlandia 2020-12-15 450.000 EUR Twitter International Company Art. 33 (1), (5) RODO Irlandzki organ ochrony danych (DPC) ukarał Twitter International Company grzywną w wysokości 450 000 EUR za naruszenie art. 33 ust.1 RODO i art. 33 (5) RODO za niezawiadomienie organu ochrony danych w odpowiednim czasie o naruszeniu ochrony danych i niewystarczające udokumentowanie tego naruszenia. Naruszenie danych dotyczyło ustawień prywatności postów użytkowników na platformie mediów społecznościowych Twitter. Tam użytkownicy mają możliwość ustawienia widoczności swoich postów na prywatne lub publiczne. Posty prywatne mogą być widoczne tylko dla subskrybentów danego profilu użytkownika, podczas gdy posty publiczne są widoczne dla wszystkich. Błąd programowania w aplikacji Twittera na Androida spowodował, że niektóre prywatne posty były widoczne publicznie. Organ ochrony danych stwierdził, że Twitter nie wypełnił należycie swoich obowiązków w zakresie sprawozdawczości i dokumentacji. Zespół prawny Twittera dowiedział się o błędzie 2 stycznia 2019 roku i dopiero 8 stycznia firma poinformowała DPC. W konsekwencji firma nie poinformowała DPC w terminie 72 godzin wymaganym przez art. 33 ust.1 RODO. Ponadto nie udokumentował zdarzenia w sposób zgodny z art. 33 ust.5 RODO. link
Szwecja 2020-12-15 29.500 EUR Uppsalahem AB Art. 5 RODO, Art. 6 (1) f) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na spółkę mieszkaniową Uppsalahem AB grzywnę w wysokości 300 000 SEK (29 500 EUR). Firma mieszkaniowa zainstalowała kamery monitorujące w budynku mieszkalnym, aby monitorować jedno piętro po wystąpieniu zakłóceń i incydentów bezpieczeństwa. Kamery monitorowały nie tylko klatkę schodową, ale także drzwi wejściowe mieszkańca. Dlatego po otwarciu drzwi system monitoringu uchwycił również wnętrze mieszkania. Chociaż firma mogła mieć uzasadniony interes w monitorowaniu wideo, przeważa to prawo mieszkańców do prywatności. link
Łotwa 2020-12-15 15.000 EUR HH Invest SIA Art. 13 RODO Łotewski organ ochrony danych (DSI) nałożył na sklep internetowy HH Invest SIA karę w wysokości 15 000 EUR. Informacje podane na stronie internetowej firmy dotyczące polityki prywatności uznano za niezrozumiałe. Stanowi to naruszenie art. 13 RODO. link
Łotwa 2020-12-15 6.250 EUR Nieznany Art. 5 RODO, Art. 6 RODO Łotewski organ ochrony danych (DSI) nałożył na pracodawcę grzywnę w wysokości 6 250 EUR za przesłanie danych osobowych pracownika, w tym danych dotyczących zdrowia, do współpracowników pocztą elektroniczną. DSI stwierdził, że dane osobowe osoby, której dane dotyczą, były przetwarzane bez odpowiedniej podstawy prawnej, a zatem przetwarzanie to było niezgodne z prawem.
Hiszpania 2020-12-15 10.000 EUR Usługi online Art. 13 RODO, Art. 8 (1) RODO, Art. 6 (1) a) RODO Hiszpański organ ochrony danych (AEPD) ukarał operatora sklepu internetowego banderacatalana.cat. 10.000 EUR za naruszenie art. 13 RODO. Operator zaznaczył na swojej stronie internetowej, że do zapisania się do newslettera niezbędny jest minimalny wiek 13 lat lub wystarczająca zdolność do czynności prawnych. Stwierdzono również, że wypełnienie formularza zapisu na newsletter będzie traktowane jako wyrażenie zgody na przetwarzanie danych osobowych. Stanowi to naruszenie RODO, ponieważ zgodnie z art. 8 RODO, przetwarzanie danych osobowych osób poniżej 16 roku życia wymaga zgody osoby sprawującej władzę rodzicielską nad dzieckiem. link
Polska 2020-12-14 443.000 EUR Virgin Mobile Polska Art. 5 (1) f), (2) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO Polski organ ochrony danych (UODO) nałożył na Virgin Mobile Polska karę w wysokości 443 000 EUR za wyciek danych, który umożliwił nieuprawnionym osobom trzecim dostęp do danych osobowych przechowywanych przez Virgin Mobile Polska w wyniku zastosowania nieodpowiednich środków bezpieczeństwa. UODO zwraca uwagę, że firma nie przeprowadzała regularnych i obszernych testów skuteczności zastosowanych środków w celu zapewnienia bezpieczeństwa danych. Rzeczywiście, działania w tym zakresie były prowadzone tylko w przypadku podejrzenia wycieku bezpieczeństwa. link
Hiszpania 2020-12-11 5.000.000 EUR Banco Bilbao Vizcaya Argentaria, S.A. Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał Banco Bilbao Vizcaya Argentaria, S.A. 5000000 EUR za naruszenie art. 6 RODO (3000000 EUR) i art. 13 RODO (2000000 EUR). Bank nie wdrożył specjalnego mechanizmu uzyskiwania zgody klientów na przetwarzanie ich danych. Ponadto nie użył precyzyjnej terminologii w swojej polityce prywatności, ani nie podał odpowiednich informacji o rodzaju danych osobowych, które mogą być przetwarzane. W szczególności AEPD zauważa, że ​​w oświadczeniu o ochronie prywatności nie można dostatecznie określić celu i podstawy prawnej przetwarzania danych. link
Szwecja 2020-12-11 54.000 EUR Umeå University Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na Uniwersytet Umeå grzywnę w wysokości 550 000 SEK (54 000 EUR) w związku z niezastosowaniem przez niego odpowiednich środków technicznych i organizacyjnych w celu ochrony danych. W ramach projektu badawczego dotyczącego gwałtu na mężczyznach uniwersytet przechował kilka raportów policyjnych dotyczących takich powiązanych incydentów w chmurze usługodawcy z USA. Raporty zawierały nazwiska, numery identyfikacyjne i dane kontaktowe zaangażowanych osób, a także informacje o ich stanie zdrowia i życiu seksualnym, a także informacje o podejrzeniu popełnienia przestępstwa. Organ ochrony danych zauważa, że ​​przechowywanie w tej chmurze nie zapewnia odpowiedniej ochrony takich szczególnie wrażliwych danych. Ponadto jeden z raportów z dochodzenia został przesłany w postaci niezaszyfrowanej do szwedzkiej policji pocztą elektroniczną. Jednak osoba odpowiedzialna nie udokumentowała incydentu ani nie zgłosiła go organowi ochrony danych. link
Hiszpania 2020-12-10 4.000 EUR Borjamotor, S.A. Art. 7 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Borjamotor, SA grzywnę w wysokości 4000 EUR.Firma nadal wysyłała do osoby, której dane dotyczą, reklamy komercyjne za pośrednictwem poczty elektronicznej i SMS-a, mimo że osoba, której dane dotyczą, wcześniej cofnęła zgodę na otrzymywanie reklam i złożyła wniosek usunąć swoje dane. Chociaż firma to potwierdziła, osoba, której dane dotyczą, nadal otrzymywała reklamy. link
Hiszpania 2020-12-09 40.000 EUR Xfera Moviles S.A. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Xfera Móviles, S.A. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, twierdzi, że na jej nazwisko zarejestrowano dwa połączenia telefoniczne i internetowe wraz z kontem opłat. Jednak osoba, której dane dotyczą, nigdy nie podpisała umów z firmą na którekolwiek z tych połączeń. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych firmy bez weryfikacji, czy umowy zostały zawarte zgodnie z prawem i faktycznie przez osobę, której dane dotyczą, czy wyraziła zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych lub czy istniał jakikolwiek inny powód uzasadniający przetwarzanie. link
Hiszpania 2020-12-09 10.000 EUR Nieznany Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 10 000 EUR za naruszenie art. 5 RODO. Firma wysłała do osoby trzeciej wiadomość e-mail z dokumentem zwolnienia i rozliczenia osoby, której dane dotyczą, ujawniając jej dane osobowe bez jej zgody. link
Polska 2020-12-09 18.850 EUR TUiR Warta S.A. Art. 33 (1) RODO, Art. 34 (1) RODO Agent ubezpieczeniowy wynajęty przez osobę odpowiedzialną wysłał wiadomość e-mail do nieuprawnionych stron trzecich w sprawie polis ubezpieczeniowych, które zawierały dane osobowe dwóch klientów firmy po tym, jak omyłkowo podali fałszywe adresy e-mail. Dane, które wyciekły, obejmowały takie dane, jak nazwiska, adresy e-mail i adresy pocztowe osób, których dane dotyczą. Osoba odpowiedzialna nie poinformowała polskiego organu ochrony danych ani osób, których dane dotyczą, o naruszeniu danych w odpowiednim czasie w ciągu 72 godzin. Osoba odpowiedzialna uważała, że ​​nie doszło do naruszenia wymagającego powiadomienia, ponieważ same osoby, których dane dotyczą, omyłkowo podały nieprawidłowe adresy e-mail. Polski organ ochrony danych stwierdza, że ​​okoliczność ta nie zwalnia administratora z obowiązku terminowego zgłaszania naruszenia ochrony danych. link
Francja 2020-12-07 7.300 EUR Perfomeclic Art. 5 (1) c), e) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. L34-5 CPCE Francuski organ ochrony danych (CNIL) nałożył na spółkę Perfomeclic grzywnę w wysokości 7 300 EUR. Firma wysłała komercyjne e-maile reklamowe bez potwierdzenia uprzedniej zgody i bez wystarczających informacji. link
Szwecja 2020-12-03 1.463.000 EUR Aleris Sjukvård AB Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na Aleris Sjukvård AB grzywnę w wysokości 15 000 000 SEK (1 463 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Szwecja 2020-12-03 1.168.000 EUR Aleris Sjukvård AB Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na Aleris Sjukvård AB grzywnę w wysokości 12 000 000 SEK (1 168 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego Nationell patientöversikt (NPÖ) nie były przyznawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Hiszpania 2020-12-03 2.400 EUR Dr Marín Cirugia Plástica, S.L.P. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na lekarza grzywnę w wysokości 4000 EUR z powodu braku polityki prywatności na jego stronie internetowej, naruszając tym samym art. 13 RODO. Pierwotna kara w wysokości 4 000 EUR została obniżona zarówno za natychmiastową spłatę, jak i za uznanie długu o każde 20% do 2 400 EUR. link
Szwecja 2020-12-03 243.800 EUR Östergötland Region Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na region Östergötland grzywnę w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego Cosmic nie były nadawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Szwecja 2020-12-03 243.800 EUR Västerbotten Region Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na region Västerbotten grzywnę w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników systemu dokumentacji medycznej NCS Cross nie były nadawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Szwecja 2020-12-03 341.300 EUR Szpital Uniwersytecki Sahlgrenska Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył grzywnę na Szpital Uniwersytecki Sahlgrenska w wysokości 3 500 000 SEK (341 300 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informatycznych Melior i Nationell patientöversikt nie były przyznawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. Ponadto system informacyjny szpitala Melior nie prowadził rejestrów, kiedy i w jakim celu uzyskano dostęp do danych pacjentów. link
Szwecja 2020-12-03 390.100 EUR Szpital Uniwersytecki Karolinska w Solnej Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył grzywnę na Karolinska University Hospital w Solna w wysokości 4 000 000 SEK (390 100 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Szwecja 2020-12-03 2.9000.000 EUR Capio St. Göran AB Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na Capio St. Göran AB grzywnę w wysokości 30 000 000 SEK (2 900 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informatycznych Cosmic, Nationell patientöversikt i TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Norwegia 2020-12-03 18.840 EUR Municipality of Indre Østfold Art. 6 RODO, Art. 32 (1) b) RODO Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 200 000 NOK (18 840 EUR) na gminę Indre Østfold. Datatilsynet stwierdził, że na stronie internetowej gminy opublikowano akta ucznia zawierające dane osobowe link
Hiszpania 2020-12-02 6.000 EUR Servicio de Alojamientos Responsables, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 6000 EUR za nieuprawnione zawarcie umowy w imieniu osoby, której dane dotyczą, bez jej zgody. Osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy wniesiono przeciwko niej skargę z tytułu naruszenia umowy. AEPD uznał, że na mocy tej ustawy podmiot odpowiedzialny przetwarzał dane osobowe osoby, której dane dotyczą, niezgodnie z prawem. link
Hiszpania 2020-12-02 3.000 EUR Comercio Online Levante, S.L. Art. 5 (1) f) RODO, Art. 32 RODO Kobieta złożyła skargę do hiszpańskiego organu ochrony danych (AEPD) przeciwko Comercio Online Levante, S.L. ze względu na to, że podczas próby uzyskania dostępu do jej konta użytkownika sklepu internetowego perfumerespremium.es prowadzonego przez odpowiedzialną firmę pokazano jej dane osobowe innego użytkownika. link
Hiszpania 2020-12-02 5.000 EUR Asociación de Víctimas por Arbitrariedades Judiciales, (JAVA) Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie grzywnę w wysokości 5 000 EUR za publikację danych osobowych osób, których dane dotyczą, na swojej stronie internetowej. Dane zostały bezprawnie zarejestrowane bez ich zgody w toku innego postępowania prawnego i zostały przekazane przez nagrywającego stowarzyszeniu. link
Hiszpania 2020-12-02 10.000 EUR Losada Advocats S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Losada Advocats S.L. za wysłanie wiadomości e-mail do kilkudziesięciu odbiorców bez umieszczania ich na liście Blind Carbon Copy (BCC), naruszając tym samym art. 32 RODO i art. 5 (1) f) RODO link
Estonia 2020-12-01 100.000 EUR Apotheka e-apteek Art. 5 RODO, Art. 6 RODO Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie. link
Estonia 2020-12-01 100.000 EUR Südameapteegi e-apteek Art. 5 RODO, Art. 6 RODO Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie. link
Estonia 2020-12-01 100.000 EUR Azeta.ee e-apteek Art. 5 RODO, Art. 6 RODO Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie.
Hiszpania 2020-11-27 1.200 EUR Osoba prywatna Art. 5 (1) a) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1200 EUR na osobę fizyczną za podszywanie się pod osobę trzecią na portalach społecznościowych Tinder i WhatsApp poprzez umieszczanie zdjęć tej osoby na ich profilu. Zdjęcia zostały wykorzystane bez zgody osoby, której dane dotyczą. link
Włochy 2020-11-26 20.000 EUR Concentrix Cvg Italy s.r.l. Art. 5 (1) a), c) RODO, Art. 6 (1) b), c) RODO, Art. 9 (1) b) RODO Związek UILCOM Sardegna złożył skargę do włoskiego organu ochrony danych (garante) przeciwko operatorowi call center Concentrix Cvg Italy s.r.l. dotyczące regulacji wewnętrznej strony odpowiedzialnej. Zgodnie z zasadami „polityki czystego biurka” firma zakazała pracownikom trzymania niektórych przedmiotów, takich jak smartfony, na biurkach, co miało zapewnić poufność przetwarzania danych osobowych klientów. Wyjątki dotyczyły leków, które poszkodowani pracownicy udowodnili, że powinni przyjmować podczas zmiany. Należało je umieścić w widocznym miejscu na biurku, umożliwiając pośrednio innym pracownikom uzyskanie informacji o stanie zdrowia osób, których dane dotyczą. Administrator rzeczywiście poinformował osoby, których dane dotyczą, o zasadach postępowania i uzyskał ich zgody. Nie zawierało to jednak żadnych informacji o przetwarzaniu ich danych zdrowotnych. link
Szwecja 2020-11-25 19.500 EUR Gnosjö Municipality Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 35 RODO, Art. 36 RODO Szwedzki organ ochrony danych nałożył grzywnę na gminę Gnosjö za nielegalny monitoring wideo w domu opieki dla osób z pewnymi niepełnosprawnościami funkcjonalnymi. link
Hiszpania 2020-11-25 40.00 EUR Miraclia Telecomunicaciones S.L. Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Miraclia Telecomunicaciones S.L. za naruszenie art. 6, 13 i 14 RODO. Miraclia Telecomunicaciones S.L. jest operatorem aplikacji do żartów na telefon, w której możesz wybrać `` żart '' i wprowadzić numer telefonu odbiorcy. Odbiorca jest następnie wywoływany na ukryty numer i wykonywany jest żart. AEPD zauważa, że ​​operator naruszył obowiązek informowania o zbieraniu danych osobowych osoby, której dane dotyczą. Ponadto zwraca uwagę, że Miraclia, za pośrednictwem tej aplikacji, w żadnym momencie nie informuje osoby, której dane dotyczą (osoby, która odbiera połączenie z dowcipem i jest nagrywana) o jej prawie do wyrażenia zgody zgodnie z przepisami RODO. link
Belgia 2020-11-25 1.500 EUR Osoba prywatna Art. 6 RODO, Art. 25 RODO Belgijski organ ochrony danych (APD) nałożył grzywnę na osoby prywatne. Osoby odpowiedzialne zainstalowały kamery wideo na swojej prywatnej posesji, z których dwie zostały umieszczone w taki sposób, aby mogły rejestrować obrazy przestrzeni publicznej i prywatnej własności sąsiada. Również osoby odpowiedzialne przekazały zdjęcia osobom trzecim. link
Rumunia 2020-11-24 5.000 EUR Dada Creation S.R.L. Art. 32 RODO, Art. 33 RODO W związku z nieodpowiednimi środkami technicznymi i organizacyjnymi firma za pośrednictwem swojego sklepu internetowego ujawniła zamówienie, dostawę oraz dane osobowe ponad 1000 klientów. Dane zostały wyświetlone na dokumencie w sklepie internetowym, który można było pobrać bez ochrony dostępu. Ponadto operator nie zgłosił wycieku bezpieczeństwa do organu ochrony danych. link
Szwecja 2020-11-24 394.000 EUR Misto Sztokholm Art. 5 RODO, Art. 32 RODO Szwedzki organ ochrony danych nałożył grzywnę na miasto Sztokholm za naruszenia danych na platformie szkolnej. Platforma składa się z różnych podsystemów, w tym systemu monitorowania obecności w szkole, systemu administrowania uczniami, interfejsu dla rodziców oraz interfejsu administracyjnego dla nauczycieli. W jednym z podsystemów brak możliwości ograniczenia dostępu użytkowników do danych umożliwił dużej liczbie pracowników dostęp do informacji o studentach przy użyciu chronionej tożsamości. W innym podsystemie rodzice mogli stosunkowo łatwo uzyskać dostęp do informacji o innych uczniach, takich jak oceny. W wyszukiwarce Google można było znaleźć linki prowadzące do interfejsu administracyjnego, w którym dostępne były informacje o nauczycielach o chronionej tożsamości. link
Hiszpania 2020-11-23 12.000 EUR Recambios Villalegre S.L. Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę za opublikowanie zdjęć osoby na Facebooku i WhatsApp oraz za oskarżenie osoby o kradzież w powiązanych postach. Zdjęcia uzyskano dzięki systemowi monitoringu firmy. Firma dodatkowo zachęcała innych użytkowników do udostępniania zarówno zdjęć, jak i postów. Wpisy zaowocowały setkami upokarzających, obraźliwych, a nawet groźnych komentarzy. AEPD nałożyła grzywnę w wysokości 10 000 euro za publikację zdjęć i 2 000 euro za niezainstalowanie szyldu wymaganego do monitoringu sklepu. link
Rumunia 2020-10-23 4.000 EUR Vodafone România SA Art. 12 RODO, Art. 15 RODO, Art. 17 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Vodafone România SA karę w wysokości 4 000 EUR. Kara została nałożona w wyniku skarg dotyczących braku odpowiedzi operatora na żądania dostępu i usunięcia danych. Operator nie mógł przedstawić żadnych dowodów na zwolnienie. link
Włochy 2020-11-23 20.000 EUR Burgo Group S.p.A Art. 5 RODO, Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył na spółkę grzywnę w wysokości 20 000 EUR za nieprzestrzeganie praktyk. Na przykład dyrektor personalny przekazał rozmowę e-mail między osobą, której dane dotyczą, a współpracownikiem, zawierającą dane osobowe (informacje dotyczące dyskomfortu fizycznego i psychicznego w miejscu pracy) do czterech osób w firmie. link
Hiszpania 2020-11-19 36.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Firma wysłała fakturę osobie, której dane dotyczą, bez możliwości udowodnienia, że ​​zawarła umowę z osobą, której dane dotyczą link
Hiszpania 2020-11-18 2.000 EUR Anmavas 61, S.L. Art. 58 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Anmavas 61, S.L. za ani nie przyznanie, ani uzasadniona odmowa prawa do usunięcia danych osobie, której dane dotyczą, nawet po otrzymaniu ostrzeżenia wydanego przez AEPD. link
Francja 2020-11-18 800.000 EUR Carrefour Banque Art. 5 RODO Francuski organ ochrony danych (CNIL) nałożył na Carrefour Banque grzywnę za naruszenie obowiązku rzetelnego przetwarzania danych (art. 5 ust. 1 RODO). Jeżeli osoba, która subskrybowała kartę Pass (karta kredytowa, którą można podpiąć do konta lojalnościowego) również chciała uczestniczyć w programie lojalnościowym, musiała zaznaczyć okienko, w którym zgodziła się na wysłanie przez Carrefour Banque lub jej nazwisko, imię i adres e-mail do „Carrefour fidélité”. Carrefour Banque wyraźnie zaznaczył, że dalsze dane nie będą przekazywane. Jednak CNIL zauważyła, że ​​przekazano inne dane, takie jak adres pocztowy, numer telefonu i liczba dzieci, chociaż spółka zobowiązała się nie przekazywać żadnych dalszych danych. link
Francja 2020-11-18 2.250.000 EUR Carrefour France Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO, Art. 33 RODO Francuski organ ochrony danych (CNIL) nałożył na Carrefour France grzywnę w wysokości 2 250 000 EUR za kilka naruszeń przepisów o ochronie danych, w tym RODO. Podczas dochodzenia CNIL stwierdził, że informacje dotyczące danych osobowych przekazanych użytkownikom stron internetowych carrefour.fr oraz osobom pragnącym przystąpić do programu lojalnościowego nie były ani łatwo dostępne, ani zrozumiałe. CNIL stwierdził również, że informacje dotyczące przekazywania danych do krajów spoza UE oraz czasu przechowywania danych były niekompletne. CNIL zauważa również, że przedsiębiorstwo nie przestrzegało terminów przechowywania. Ponadto na potrzeby programu lojalnościowego przechowywano dane ponad dwudziestu ośmiu milionów klientów nieaktywnych przez pięć do dziesięciu lat. Tak było również w przypadku 750 000 użytkowników serwisu carrefour.fr, którzy byli nieaktywni przez pięć do dziesięciu lat. CNIL stwierdza, że ​​spółka wymagała potwierdzenia tożsamości w przypadku prawie każdego wniosku użytkownika o skorzystanie z prawa. Jednak ten automatyczny wymóg nie był uzasadniony, ponieważ w większości przypadków nie było wątpliwości co do tożsamości użytkowników, których dotyczy problem. Ponadto firma nie odpowiedziała na kilka wniosków osób, które chciały uzyskać dostęp do ich danych osobowych. Ponadto w wielu przypadkach spółka nie usuwała danych żądanych przez osoby fizyczne. Wreszcie firma nie odpowiedziała na kilka próśb osób, które nie zgodziły się na otrzymywanie reklam przez SMS lub e-mail. link
Włochy 2020-11-17 30.000 EUR Provincial Health Authority of Cosenza Art. 9 RODO Publikacja danych osobowych (w tym imienia i nazwiska, adresu, NIP) na stronie internetowej organu o osobach, które mają roszczenia odszkodowawcze wobec organu, bez wystarczającej podstawy prawnej link
Włochy 2020-11-17 2.000 EUR Comune di Collegno Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Kara za nieprzestrzeganie prawa osoby, której dane dotyczą, do dostępu do informacji, ponieważ gmina odmówiła osobie, której dane dotyczą, wniosku o dostęp do danych z systemu monitoringu kamer. link
Hiszpania 2020-11-16 1.600 EUR Stowarzyszenie Właścicieli Domów Art. 5 (1) c) RODO Wykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych). link
Hiszpania 2020-11-16 42.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO W 2019 roku po postępowaniu arbitrażowym spółka zgodziła się na przedterminowe rozwiązanie umowy z osobą, której dane dotyczą, oraz na usunięcie danych osobowych. Niemniej jednak osoba, której dane dotyczą, nadal otrzymywała e-maile od firmy, co stanowiło przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. link
Wielka Brytania 2020-11-13 1.405.000 EUR Ticketmaster UK Limited Art. 5 (1) f) RODO, Art. 32 RODO Ticketmaster UK Limited został ukarany grzywną w wysokości 1,25 miliona GBP (około 1,405 miliona EUR) za brak ochrony danych osobowych swoich klientów za pomocą odpowiednich środków bezpieczeństwa. Potencjalnie 9,4 mln europejskich klientów mogło zostać dotkniętych cyberatakiem między lutym 2018 r. a 23 czerwca 2018 r. Z powodu użycia niedostatecznie zabezpieczonego bota czatu hostowanego przez osobę trzecią w jej witrynie płatności online, który umożliwił atakującemu uzyskanie dostępu do klientów ' Informacje finansowe. Według Agencji Ochrony Danych dotyczyło to danych osobowych, takich jak imiona i nazwiska, pełne numery kart płatniczych, nazwy użytkowników i hasła Ticketmaster, daty wygaśnięcia oraz numery CVV (Card Verification Value). DPA wykrył również, że 60 000 kart płatniczych należących do klientów Barclays Bank było ofiarami oszustw, a kilka międzynarodowych banków również zgłosiło oszustwa do Ticketmaster. link
Belgia 2020-11-13 1.500 EUR Nieznany Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODO, Art. 37 (5) RODO, Art. 37 (7) RODO Belgijski organ ochrony danych (APD / GBA) nałożył grzywnę w wysokości 1500 EUR na przedsiębiorstwo budownictwa społecznego za nieprzestrzeganie kilku zasad RODO, takich jak przetwarzanie danych, a także zasad legalności i przejrzystości (np. niewystarczająca polityka prywatności, brak informacje o monitoringu kamer). link
Włochy 2020-11-12 12.251.601 EUR Vodafone Italia S.p.A. Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 15 (1) RODO, Art. 16 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 32 RODO, Art. 33 RODO Firma została ukarana grzywną w wysokości 12 251 601 EUR za niezgodne z prawem przetwarzanie danych osobowych milionów klientów w celach telemarketingowych. Postępowanie zostało poprzedzone setkami skarg osób, których dane dotyczą, na niezamówione rozmowy telefoniczne, które doprowadziły do ​​wszczęcia dochodzenia przez organ ochrony danych. Dochodzenie ujawniło kilka naruszeń prawa o ochronie danych, w tym naruszenie wymogów dotyczących zgody oraz naruszenie ogólnych obowiązków w zakresie ochrony danych, takich jak odpowiedzialność. Jedną z głównych krytyki ze strony Agencji Ochrony Danych było wykorzystywanie fałszywych numerów do wykonywania promocyjnych połączeń przez zakontraktowane call center (tj. numery telefonów niezarejestrowane w Krajowym Skonsolidowanym Rejestrze Operatorów Łączności). Ponadto dalsze naruszenia można znaleźć w obsłudze list kontaktów zakupionych od zewnętrznych dostawców. Wreszcie, środki bezpieczeństwa dotyczące zarządzania danymi klientów również uznano za nieodpowiednie. link
Niemcy 2020-11-11 900.000 EUR Dostawca usług telekomunikacyjnych (1 & 1 Telecom GmbH) Art. 32 RODO The Controller to firma oferująca usługi telekomunikacyjne. Osoba dzwoniąca może uzyskać obszerne informacje na temat danych osobowych klienta z działu obsługi klienta firmy, po prostu wprowadzając imię i nazwisko klienta oraz datę urodzenia. W tej procedurze uwierzytelniania BfDI grozi naruszeniem art.32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych nałożona kara znalazła się na dolnym końcu skali. - Aktualizacja: 11 listopada 2020 r., Po odwołaniu się od grzywny, Sąd Okręgowy w Bonn uznał, że chociaż grzywna jest co do zasady uzasadniona, to jest ona nieuzasadniona. W związku z tym izba obniżyła grzywnę z pierwotnie 9,55 mln EUR do 900 000 EUR. Jednym z powodów redukcji był fakt, że procedura firmy dotycząca uwierzytelniania klientów wykorzystywana przez jej infolinię telefoniczną (wymagająca jedynie imienia i nazwiska oraz daty urodzenia osoby dzwoniącej) pozostawała przez długi czas niezakłócona, w związku z czym firmie brakowało konkretnej świadomości problem, który prowadzi do tego, że konkretną winę w tym przypadku należało sklasyfikować jako raczej niską. Ponadto, według sądu, naruszenie było również niewielkie, ponieważ nie mogło doprowadzić do masowego wycieku danych. link
Hiszpania 2020-11-05 75.000 EUR Telefonica Moviles Espana, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Firma wystawiła osobie, której dane dotyczą, kilka faktur i zebrała kwoty faktur z jego konta bankowego, mimo że nie był on klientem firmy. Skargi osoby, której dane dotyczą, na firmę pozostały bezskuteczne. link
Hiszpania 2020-11-03 30.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Vodafone zażądało spłaty długu od niewłaściwej osoby z powodu błędów w prawidłowym przypisywaniu umów z klientami. Kara została nałożona z powodu przetwarzania danych osobowych bez wystarczającej podstawy prawnej. link
Wielka Brytania 2020-10-30 20.450.000 EUR Marriott International, Inc Art. 32 RODO ICO wydało zawiadomienie o zamiarze ukarania Marriott International Inc w związku z incydentem cybernetycznym, który został zgłoszony ICO przez Marriott w listopadzie 2018 r. Różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie zostały ujawnione przez incydent, z czego około 30 mln dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). Siedem milionów związanych z mieszkańcami Wielkiej Brytanii. Uważa się, że luka zaczęła się, gdy systemy grupy hoteli Starwood zostały naruszone w 2014 roku. Następnie Marriott przejął Starwood w 2016 roku, ale ujawnienie informacji o klientach zostało odkryte dopiero w 2018 roku. Dochodzenie ICO wykazało, że Marriott nie przeprowadził wystarczającej analizy due diligence. kiedy kupił Starwood i powinien był zrobić więcej, aby zabezpieczyć swoje systemy. -> Aktualizacja: 30.10.2020 ICO ogłosiło ostateczną decyzję o nałożeniu grzywny w wysokości 18,4 miliona funtów (około 20,4 miliona euro) na Marriott International Inc. W swojej decyzji ICO przedstawiła swoje rozważania do obliczenia grzywny, która obejmowała brak wcześniejszych naruszeń lub zaniechań przez Marriott oraz fakt, że Marriott w pełni współpracował w dochodzeniu i podjął kroki w celu powiadomienia zainteresowanych osób. Ponadto ICO zauważyła, że ​​dostosowała się również do innych kar nałożonych już na inne przedsiębiorstwa - w szczególności także na inne europejskie organy ochrony danych. link
Hiszpania 2020-10-28 36.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej z powodu błędów w prawidłowym przypisaniu umów z klientami link
Hiszpania 2020-10-28 4.000 EUR Play Orenes, S.L. Art. 5 (1) c) RODO Firma wykorzystywała kamery CCTV poza swoją siedzibą. Monitoring uchwycił także przestrzeń publiczną, co naruszyło zasadę minimalizacji danych. link
Włochy 2020-10-26 20.000 EUR Università Campus Bio-medico di Roma (Polyclinic) Art. 5 (2) a), f) RODO, Art. 9 RODO W przypadku zgłoszenia naruszenia danych zgodnie z art. 33 RODO, organ ochrony danych stwierdził, że pacjenci uzyskujący dostęp do swoich raportów medycznych online za pośrednictwem smartfonów mogą również uzyskać dostęp do danych dotyczących zdrowia 74 innych pacjentów. Jak podaje poliklinika, powodem tego był błąd człowieka w integracji dwóch systemów informatycznych. link
Węgry 2020-10-23 54.800 EUR Deichmann Cipőkereskedelmi Korlátolt Felelősségű Társaságnak Art. 12 RODO, Art. 15 RODO, Art. 18 (1) c) RODO, Art. 25 RODO Administrator danych odmówił osobie, której dane dotyczą, dostępu do materiału wideo nagranego przez CCTV w lokalnym sklepie, za pomocą którego osoba, której dane dotyczą, chciała udowodnić, że nie otrzymała zwrotu pieniędzy po dokonaniu płatności w sklepie. Spółka nie tylko odmówiła osobie, której dane dotyczą, dostępu do danych zgodnie z art. 15 RODO (z argumentem, że wymagałoby to oficjalnego nakazu), ale również usunęła nagrania wideo po pewnym czasie, chociaż osoba, której dane dotyczą, zażądała od firmy, aby nie usuwała danych z wyprzedzeniem zgodnie z art. 18 ust.1 lit.c) RODO. link
Cypr 2020-10-22 6.000 EUR Policja cypryjska Art. 32 RODO Policjant miał nieuprawniony dostęp do bazy danych zawierającej dane osobowe właścicieli pojazdów i wykorzystywał tę bazę do celów nieoficjalnych - przekazywał informacje z bazy danych osobom trzecim. W tym względzie środki organizacyjne i techniczne podjęte przez policję w celu zapobieżenia nieuprawnionemu dostępowi do bazy danych były niewystarczające, aby zapobiec nieuprawnionemu ujawnieniu danych osobowych osobom trzecim. link
Hiszpania 2020-10-09 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 6 RODO Wykorzystanie kamery CCTV, która rejestrowała przestrzeń prywatną sąsiada. link
Hiszpania 2020-10-09 5.000 EUR Caja Rural San José de Nules S. Cooperativa de Crédito Art. 5 (1) f) RODO Firma opublikowała informacje z imionami i nazwiskami swoich pracowników, co doprowadziło do ujawnienia sytuacji finansowej osoby, której dane dotyczą link
Hiszpania 2020-10-06 4.000 EUR Callesgarcia, S.L. Art. 5 RODO, Art. 6 RODO Wykorzystanie zdjęcia osób, których dane dotyczą, do celów komercyjnych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-10-03 3.000 EUR Avata Hispania, S.L. Art. 5 RODO, Art. 6 RODO, Art. 28 (3) g) RODO Dane osobowe były przetwarzane po rozwiązaniu stosunku umownego przez administratora z przetwarzającym, co naruszyło art. 28 ust. 3 lit. g) RODO. link
Hiszpania 2020-09-22 7.800 EUR Iweb Internet Learning, S.L. Art. 7 RODO, Art. 12 RODO, Art. 13 RODO Brak informacji w polityce prywatności (informacje o administratorze danych) oraz niedostateczne uzyskanie zgody, gdyż można było wyrazić jedynie zgodę ogólną bez rozróżnienia pomiędzy różnymi celami przetwarzania danych. link
Hiszpania 2020-08-05 3.000 EUR Restauracja Art. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODO Kamety CCTV monitorowały również przestrzeń publiczną bez spełnienia obowiązku informacyjnego. link
Polska 2020-06-03 1.168 EUR Przedsiębiorca prowadzący niepubliczne żłobek i przedszkole Art. 31 RODO, Art. 58 RODO Kara za brak odpowiedzi na wnioski urzędu ochrony danych o dalsze informacje w odpowiednim czasie po naruszeniu danych. link
Litwa 2020-10-21 15.000 EUR Zarząd Miasta Wilna Art. 5 (1) d) RODO, Art. 5 (1) f) RODO Podczas synchronizacji danych Systemu Ewidencji Ludności Urzędu Miasta z bazami Państwowego Ośrodka Ewidencji Działalności Gospodarczej, dane osobowe osoby ubiegającej się o wychowanie dziecka przysposobionego zostały zastąpione z powodu błędu danymi osobowymi biologicznych rodziców, które następnie były dostępne w ewidencji ludności Republiki Litewskiej. Stanowiło to naruszenie zasad integralności i poufności przetwarzania danych osobowych (art. 5 ust. 1 lit. f) RODO) oraz naruszenie zasady prawidłowości. link
Cypr 2020-10-19 1.000 EUR Grant Ideas Ltd Art. 5 RODO, Art. 6 RODO Wysyłanie e-maili do osób, których dane dotyczą, bez wystarczającej podstawy prawnej. link
Cypr 2020-10-19 15.000 EUR Bank of Cyprus Public Company Ltd Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 15 RODO, Art. 32 RODO, Art. 33 RODO Osoba, której dane dotyczą, złożyła wniosek o dostęp do informacji zgodnie z art. 15 RODO, na które nie można było odpowiedzieć, ponieważ nie można było znaleźć umowy ubezpieczenia osoby. Stanowiło to naruszenie praw osoby, której dane dotyczą, na podstawie art. 15 RODO oraz naruszenie obowiązku ochrony danych osobowych zgodnie z art. 5 (1) f) RODO i art. 32 RODO. Ponadto, obowiązek powiadomienia o naruszeniu danych zgodnie z art. 33 f. RODO również zostały naruszone, ponieważ osoba, której dane dotyczą, nie została poinformowana o zdarzeniu bezpieczeństwa w odpowiednim czasie. link
Węgry 2020-07-23 1.700 EUR Pracodawca Art. 12 RODO, Art. 15 RODO, Art. 17 RODO Brak zmiany prywatnego adresu zamieszkania pracownika na jego nowy adres, a take nieusunięcie starego adresu oraz utrudnianie pracownikowi moliwości realizacji jego prac link
Węgry 2020-07-16 28 EUR Google Ireland Ltd. Art. 12 RODO, Art. 15 RODO Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do informacji (art. 15 RODO - tutaj: o danych przetwarzanych w kontekście Google AdWords) w odpowiednim terminie. link
Hiszpania 2020-10-09 900 EUR Café Restaurante B.B.B Art. 5 (1) c) RODO W kawiarni zastosowano kamery CCTV, które uchwyciły również przestrzeń publiczną na zewnątrz, naruszając tzw. zasadę minimalizacji danych. link
Hiszpania 2020-10-09 50.000 EUR Centro de Investigación y Estudio para la Obesidad, SL Art. 5 RODO, Art. 6 RODO Kary za przekazanie danych osobowych do Evo Finance EFC, SA w trakcie rozpatrywania wniosku o ubezpieczenie zdrowotne, bez wystarczającej podstawy prawnej do przeniesienia danych, ponieważ przedmiotowe leczenie nigdy nie zostało przeprowadzone. link
Hiszpania 2020-10-06 60.000 EUR Lycamobile Art. 5 RODO, Art. 6 RODO Kara za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej z powodu błędnych informacji o posiadaczach przedpłaconych kart telefonicznych (niezgodność między zarejestrowanymi właścicielami w rejestrze handlowym firmy a faktycznymi właścicielami kart). link
Niemcy 2020-10-01 35.258.708 EUR H&M Hennes & Mauritz Online Shop A.B. & Co. KG Art. 5 RODO, Art. 6 RODO Firma modowa z siedzibą w Hamburgu prowadzi centrum usługowe w Norymberdze. Tutaj, zgodnie z ustaleniami Inspektora Ochrony Danych z Hamburga, od co najmniej 2014 roku w sposób wyczerpujący rejestrowane są okoliczności życia prywatnego niektórych pracowników, a informacje te są przechowywane na dysku sieciowym. Na przykład firma przeprowadziła „Welcome Back Talk” po powrocie pracowników do pracy po urlopie lub chorobie. Informacje, które stały się znane w tym kontekście - w tym informacje o objawach choroby i diagnozach pracowników - były rejestrowane i przechowywane. Ponadto, według organu ochrony danych w Hamburgu, niektórzy nadzorcy używali również „Flurfunk” [co oznacza, że ​​można usłyszeć coś pocztą pantoflową], aby zdobyć szeroką wiedzę na temat poszczególnych pracowników, na przykład na temat problemów rodzinnych i przekonań religijnych. Informacje zapisane na dysku sieciowym były dostępne nawet dla 50 menadżerów firmy i służyły między innymi do oceny wydajności pracy pracowników i podejmowania decyzji o zatrudnieniu. Zbieranie danych stało się znane z powodu błędu konfiguracji technicznej w październiku 2019 r., zgodnie z którym dane przechowywane na dysku sieciowym były dostępne w całej firmie przez kilka godzin. Po ujawnieniu naruszenia kierownictwo przeprosiło pracowników i zaproponowało odszkodowanie pieniężne. Ponadto wraz z organem ochrony danych wprowadzono również dalsze środki ochronne. [Uwaga: Konkretna podstawa prawna kary nie została jeszcze opublikowana - zakładamy, że będzie to głównie art. 5 i 6 RODO] link
Rumunia 2020-10-01 3.000 EUR Megareduceri TV S.R.L. Art. 31 RODO, Art. 58 RODO Kara za niezastosowanie się do polecenia urzędu ochrony danych. link
Rumunia 2020-10-01 2.000 EUR Asociația de proprietari Militari R Art. 31 RODO, Art. 58 RODO Kara za niezastosowanie się do polecenia urzędu ochrony danych. link
Włochy 2020-09-30 80.000 EUR Azienda Ospedaliera di Rilievo Nazionale 'Antonio Cardarelli' (Private Hospital) Art. 5 (1) a) RODO, Art. 6 RODO, Art. 13 RODO, Art. 28 RODO, Art. 32 RODO Według organu ochrony danych dane osobowe uczestników konkursu publicznego zostały ujawnione w internecie bezprawnie. Powodem tego był fakt, że na skutek błędu konfiguracji lista kodów przydzielonych kandydatom była tymczasowo dostępna na platformie, co umożliwiało dostęp do dokumentów przesłanych przez kandydatów z ich danymi osobowymi. Było to naruszenie zasady ochrony bezpieczeństwa informacji. Ponadto organ ochrony danych stwierdził, że obowiązki informacyjne również nie zostały spełnione, a szpital nie przedstawił wystarczającej umowy o przetwarzanie danych z podmiotem przetwarzającym dane. link
Włochy 2020-09-30 60.000 EUR Scanshare s.r.l. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 32 RODO Według organu ochrony danych dane osobowe uczestników konkursu publicznego zostały ujawnione w internecie bezprawnie. Powodem tego był fakt, że w wyniku błędu konfiguracji na platformie była chwilowo dostępna lista kodów przydzielonych kandydatom, co umożliwiało dostęp do dokumentów przesłanych przez kandydatów z ich danymi osobowymi. Było to naruszenie zasady ochrony bezpieczeństwa informacji, za które Scanshare - który był podmiotem przetwarzającym dane w imieniu administratora danych „Azienda Ospedaliera di Rilievo Nazionale 'Antonio Cardarelli'” (prywatny szpital) - został ukarany grzywną w euro 60.000. link
Hiszpania 2020-09-30 3.000 EUR Venu Sanz Chef, S.L. Art. 5 RODO, Art. 6 RODO Wykorzystywanie danych osobowych do celów reklamowych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-25 60.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 6 RODO Brak usunięcia danych osobowych w momencie rozwiązania umowy o świadczenie usług telefonicznych i wysłanie ostrzeżenia do osoby, której dane dotyczą. Przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. link
Norwegia 2020-09-25 13.900 EUR Odin Flissenter AS Art. 5 RODO, Art. 6 RODO Firma dokonała oceny wiarygodności innej firmy i tym samym przetwarzała dane osobowe dotyczące osoby fizycznej (właściciela ocenianej firmy) bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-22 60.000 EUR GLP Instalaciones 86, SL Art. 5 RODO, Art. 6 RODO W celu uzyskania pomocy przy instalacji systemu klimatyzacji osoba, której dane dotyczą, skontaktowała się z Naturgy Energy Group S.A. Następnie skontaktowały się z nią dwie różne firmy, z których jedną była GLP Instalaciones 86, która udawała pracowników Naturgy. Naturgy zaprzeczył i stwierdził, że firmy nie są ani autoryzowanymi instalatorami, ani pracownikami Naturgy, co skutkuje przetwarzaniem danych osobowych osoby, której dane dotyczą, w tym jej imienia, nazwiska, numeru telefonu, danych bankowych i adresu e-mail bez podstawy prawnej. link
Belgia 2020-09-07 5.000 EUR Były burmistrz gminy Art. 5 RODO, Art. 6 RODO Kara została nałożona z powodu wysyłki ogłoszeń wyboryczych do obywateli bez wystarczającej podstawy prawnej przetwarzania danych osobowych. link
Grecja 2020-09-11 8.000 EUR Osoba prywatna Art. 5 RODO Administrator korzystał z kamery CCTV monitorującą również przestrzeń publiczną.
Grecja 2020-08-03 3.000 EUR Kandydat do wyborów parlamentarnych Art. 15 RODO Kara została nałożona za brak odpowiedzi na wniosek osoby, której dane dotyczą (art.15). Osoba, której dane dotyczą, otrzymywała telefony w sprawie kandydowania w wyborach parlamentarnych.
Węgry 2020-07-23 560 EUR Forbes Hungary Art. 5 RODO, Art. 6 RODO Grzywna nałożona na Forbes Węgry za opublikowanie listy 50 najbogatszych Węgrów oraz listy największych firm rodzinnych bez przeprowadzenia dostatecznego ważenia interesów (art. 6 ust. 1 lit. f) RODO). link
Włochy 2020-09-07 2.000 EUR Istituto Comprensivo Statale Crucoli Torretta Art. 5 (1) f) RODO, Art. 32 RODO Publikacja danych osobowych uczniów na stronie internetowej Instytutu (zawierające m. in. informacje o stanie zdrowia i postępach w nauce) z powodu awarii technicznej. link
Włochy 2020-01-30 4.000 EUR Comune di Colledara Art. 5 RODO, Art. 6 RODO Publikacja dokumentów dotyczących zamówienia publicznego z danymi osobowymi na stronie internetowej link
Włochy 2020-07-02 15.000 EUR Mapei S.p.A. Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO Firma nie odpowiedziała na żądanie dostępu do danych osobowych osoby, której dane dotyczą. Ponadto ukarana firma pozostawiła aktywne konto e-mail osoby zainteresowanej nawet po rozwiązaniu umowy. link
Polska 2020-09-08 11.200 EUR Szkoła Główna Gospodarstwa Wiejskiego w Warszawie Art. 32 RODO Kradzież prywatnego laptopa uczelni, który również korzystał z tego urządzenia w celach służbowych i na którym znajdowały się dane osobowe kandydatów na studia w SGGW do działań rekrutacyjnych. link
Polska 2020-08-31 22.700 EUR Geodeta Generalny Polski („GKK”) Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej. link
Rumunia 2020-09-08 2.000 EUR Sanatatea Press Group S.R.L. Art. 5 (1) f) RODO, Art. 32 RODO Przesyłanie danych osobowych zebranych w celu rejestracji na kurs online innym uczestnikom z powodu awarii technicznej. link
Rumunia 2020-09-01 500 EUR Stowarzyszenie właścicieli budynków mieszkalnych Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODO Eksport nieruchomego obrazu z systemu monitoringu wideo i umieszczenie go na billboardzie budynku bez wystarczającej podstawy prawnej. Ponadto naruszenie obowiązków informacyjnych wynikających z art. 12, 13 RODO i naruszenie art. 25 i 32 RODO, ponieważ nie podano wystarczających informacji na temat kamery przemysłowej oraz nie podjęto wystarczających technicznych i organizacyjnych środków bezpieczeństwa w celu ochrony danych osobowych gromadzonych przez system monitoringu wizyjnego. link
Hiszpania 2020-09-17 60.000 EUR Vodafone España, SAU Art. 5 RODO, Art. 6 RODO Były klient otrzymywał e-maile zawierające rachunki elektroniczne nawet po rozwiązaniu umowy z firmą, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-17 3.000 EUR Grupo Carolizan Art. 5 RODO Obsługa systemów kamer CCTV w strefie arkadowej przed budynkiem, czyli obejmująca również przestrzeń publiczną. Naruszyło to zasady minimalizacji danych, ponieważ kamery monitoringu mogły być obsługiwane w sposób, który nie wpływałby na przestrzeń publiczną. link
Hiszpania 2020-09-16 10.000 EUR Property owners community Art. 5 RODO Publikacja dokumentu zawierającego dane osobowe (informacje o tożsamości osoby, której dane dotyczą, a także o zadłużeniu) na tablicy ogłoszeń społecznościowych. link
Hiszpania 2020-09-11 1.500 EUR Political Party Art. 5 RODO, Art. 6 RODO Wysłanie e-maila do byłego członka partii, który złożył rezygnację, z wnioskiem o pełnienie funkcji pełnomocnika w wyborach bez wystarczającej podstawy prawnej do przetwarzania danych osobowych w tym celu link
Hiszpania 2020-09-07 3.000 EUR Barcelona Airport Security Guard Association ('AVSAB') Art. 5 (1) f) RODO Członek komitetu bezpieczeństwa AVSAB używał WhatsApp do wysyłania wiadomości na prywatne numery telefonów zawierających dane osobowe pracowników. Stanowiło to naruszenie zasady poufności, której według hiszspańskiego urzędu ochrony danych musi przestrzegać nie tylko administrator danych, ale także każdy inny podmiot zaangażowany na jakimkolwiek etapie przetwarzania. link
Hiszpania 2020-09-01 75.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Według organu nadzorczego spółka przetwarzała dane osobowe bez wystarczającej podstawy prawnej, w wyniku czego osoba, której dane dotyczą, otrzymała kilkaset niechcianych połączeń i wiadomości SMS. link
Hiszpania 2020-08-28 50.000 EUR Bankia S.A. Art. 5 (1) b) RODO Bank przez kilka lat przechował dane osobowe osoby, nie była już jego klientem. W tym czasie dane były również dostępne dla pracowników banku. Stanowiło to naruszenie zasady celowości. link
Hiszpania 2020-08-28 5.000 EUR Basketball Federation of Castilla and Leon Art. 5 RODO, Art. 6 RODO Związek Koszykówki przekazał dane osobowe stronom trzecim, które zostały następnie opublikowane w Internecie bez zgody osób, których dane dotyczą. Ponadto organ ochrony danych uznał, że Federacja Koszykówki ujawniła również gazecie dane osobowe, naruszając - dodatkowo - zasadę integralności i poufności (art. 5 ust. 1 lit. f) RODO). link
Hiszpania 2020-07-31 1.500 EUR Tour & People Max S.L. Art. 21 RODO Wysyłanie informacji marketingowych pomimo sprzeciwu osób, których dane dotyczą. Oprócz RODO uznano to również za naruszenie art. 48 ust. 1 lit. b) ustawy ogólnej 9/2014 (hiszpańskie prawo krajowe). link
Hiszpania 2020-08-17 5.000 EUR Partia Socjalistów Katalonii Art. 5 (1) b) RODO Osoba, której dane dotyczą złożyła skargę na Socjalistyczną Partię Katalonii, która wykorzystała, przekazane przez lekarza, dane osobowe do wysyłki listu z prośbą o poparcie polityczne. Dane zostały wykorzystane w innym celu i tym samym została naruszona zasada celowości. link
Estonia 2020-08-17 48 EUR Policjant Art. 5 RODO, Art. 6 RODO Kara została nałożona za wykorzystanie danych osobowych z policyjnej bazy danych na potrzeby prywatnych działań badawczych. link
Włochy 2020-08-10 10.000 EUR Cavauto S.R.L. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO Kara została nałożona za wykorzystanie dostępu do danych osobowych byłego pracownika (zawierających historię przeglądarki) na jego komputerze służbowym. link
Włochy 2020-08-10 10.000 EUR Społeczność Baronissi Art. 5 RODO, Art. 6 RODO Społeczność opublikowała na swojej stronie internetowej dane osobowe osób, których dane dotyczą, w tym imiona i nazwiska, daty urodzenia, miejsce urodzenia, miejsce zamieszkania itp. link
Hiszpania 2020-08-06 3.000 EUR GROW BEATS SL Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Spółka opublikowała na swojej stronie internetowej politykę plików cookies, która z jednej strony nie zawierała informacji o celu ich wykorzystywania, a z drugiej strony nie zawierała informacji o właściwościach zainstalowanych plików cookies oraz okresie ich aktywności w urządzeniu końcowym użytkownika końcowego. link
Włochy 2020-08-06 3.000 EUR GTL S.R.L. Art. 12 RODOR, Art. 15 RODO Brak pełnego dostępu do danych osobowych osoby, której dane dotyczą, zgodnie z art. 15 RODO. link
Hiszpania 2020-08-06 3.000 EUR Just Landed S.L. Art. 13 RODO Just Landed został ukarany grzywną w wysokości 3000 EUR za niewystarczające informacje o plikach cookie zgodnie z krajowymi przepisami o ochronie danych i jednocześnie ostrzeżony za niewystarczające wypełnienie obowiązków informacyjnych zgodnie z art. 13 RODO (polityka prywatności tylko w języku angielskim). link
Francja 2020-08-05 250.000 EUR Spartoo Art. 5 (1) RODO, Art. 13 RODO, Art. 14 RODO Na sprzedawcę internetowego Spartoo nałożono grzywnę w wysokości 250000 EUR. Firma, która ma swoją siedzibę we Francji, ale zaopatruje wiele krajów europejskich, w pełni rejestrowała wszystkie rozmowy telefoniczne z infolinią (w tym dane osobowe, takie jak adres i dane bankowe zamówień), a ponadto częściowo zapisywała dane bankowe niezaszyfrowane. Stanowi to między innymi naruszenie zasady minimalizacji danych. Ponadto organ nadzorczy stwierdził naruszenie obowiązków informacyjnych zgodnie z art. 13 RODO, ponieważ informacje dotyczące ochrony danych firmy były częściowo nieprawidłowe. link
Finlandia 2020-08-05 7.000 EUR Acc Consulting Varsinais-Suomi Art. 5 RODO, Art. 6 RODO Niezamówione marketingowe SMS-y bez uprzedniej zgody link
Hiszpania 05.08.2020 3.000 EUR Restauracja Art. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODO Instalacja kamer monitorujących CCTV monitorujących również przestrzeń publiczną bez odpowiedniej informacji. link
Austria 2020-08-05 100 EUR Bank Art. 5 RODO, Art. 6 RODO Pracownik banku sporządził kopię dowodu osobistego klienta, który chciał wymienić 100 euro w obcej walucie i uzasadnił to powołując się na ustawę o przeciwdziałaniu prania brudnych pieniędzy. Konieczność takiej weryfikacji dotyczy jednak kwot powyżej 1000 EUR.
Włochy 2020-08-05 2.000 EUR Szkoła Art. 5 RODO, Art. 6 RODO Umieszczenie danych osobowych uczniów na publicznej tablicy ogłoszeń. link
Dania 2020-08-04 20.100 EUR PrivatBo A.M.B.A. Art. 5 RODO, Art. 32 RODO W ramach sprzedaży nieruchomości spółka dystrybuowała pendrive'y USB, które zawierały nie tylko dane nieosobowe dotyczące przedmiotowych nieruchomości, ale także dane osobowe innych osób, takie jak umowy najmu i inne dokumenty zawierające poufne dane osobowe. link
Hiszpania 2020-08-04 60.000 EUR Vodafone España, SAU Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała od Vodafone potwierdzenie przeniesienia numeru, którego ta ostatnia nigdy nie zleciła. link
Włochy 2020-08-04 15.000 EUR Mapei S.p.A. Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODO Firma pozostawiła aktywne konto e-mail osoby, której dane dotyczą, nawet po rozwiązaniu stosunku pracy i automatycznie przekazywała przychodzące wiadomości e-mail. Firma nie dostarczyła wystarczających informacji na ten temat. Ponadto firma nie reagowała na żądania dostępu i usunięcia. link
Włochy 2020-08-04 5.000 EUR National Institute for Social Security - Department of the Province of Brescia Art. 15 RODO Brak pełnego dostępu do danych dotyczących zdrowia osoby, której dane dotyczą, zgodnie z art. 15 RODO. link
Włochy 2020-08-04 1.000 EUR Supermarket Art. 5 RODO, Art. 6 RODO Operator supermarketu umieścił pismo o zwolnieniu kierownika personalnego na widocznej publicznie tablicy ogłoszeń supermarketu. link
Hiszpania 2020-07-31 45.000 EUR Vodafone España SAU Art. 5 RODO, Art. 6 RODO Bezprawne przetwarzanie numeru telefonu w celach marketingowych, pomimo skorzystania przez osobę, której dane dotyczą z prawa do usunięcia danych. link
Rumunia 2020-07-30 2.000 EUR SC Viva Credit IFN SA Art. 17 RODO Firma nie poinformowała osoby, której dane dotyczą, w ciągu jednego miesiąca (lub do trzech miesięcy, jeśli podano przyczynę opóźnienia) o środkach podjętych w związku z żądaniem usunięcia danych. link
Rumunia 2020-07-30 2.000 EUR Romanian Post National Company Art. 32 RODO Przetwarzanie danych osobowych, a mianowicie numerów telefonów i adresów e-mail 81 osób, których dane dotyczą, przez pocztę rumuńską jako administratora danych, przy braku odpowiednich środków technicznych i organizacyjnych, takich jak pseudonimizacja. link
Włochy 2020-07-30 2.000 EUR Społeczność Mandurii Art. 5 RODO, Art. 6 RODO Społeczność przekazała prasie dane osobowe pracownika społeczności bez wystarczającej podstawy prawnej. link
Włochy 2020-07-29 3.000 EUR Społeczność San Giorgio Jonico Art. 5 RODO, Art. 6 RODO Publikacja danych osobowych na stronie internetowej gminy w związku z postępowaniem sądowym. link
Włochy 2020-07-29 4.000 EUR Region Kampania Art. 5 RODO, Art. 6 RODO Publikacja tytułu egzekucyjnego w postępowaniu cywilnym na stronie internetowej Województwa. W dokumencie wymieniono nazwiska i miejsce zamieszkania oraz kwotę roszczenia. link
Belgia 2020-07-28 3.000 EUR Gminne Stowarzyszenie Polityczne Art. 5 RODO, Art. 6 RODO, Art. 14 RODO Lokalne stowarzyszenie polityczne rozesłało do mieszkańców gminy ogłoszenia wyborcze dotyczące wyborów samorządowych w 2018 r. W tym celu stowarzyszenie wykorzystało listę wyborczą z 2012 r. i porównało ją z listą z 2018 r., Bez wystarczającej podstawy prawnej i bez odpowiednich informacje zgodnie z art. 14 RODO. link
Rumunia 2020-07-27 5.000 EUR SC Cntar Tarom SA Art. 32 RODO Nieuprawnione ujawnienie danych pięciu pasażerów Tarom z powodu nieodpowiednich środków technicznych i organizacyjnych dla bezpiecznego przetwarzania danych. Spółka została między innymi zobowiązana do podjęcia działań naprawczych, w tym przeszkolenia pracowników oraz przeprowadzenia procedur oceny ryzyka. link
Polska 2020-07-15 22.300 EUR Biuro Geodezji i Kartografii Art. 31 RODO, Art. 58 RODO Niewystarczająca współpraca z organem nadzorczym link
Belgia 2020-07-14 5.000 EUR Operator telewizji przemysłowej budynku mieszkalnego Art. 6 RODO, Art. 7 RODO Operator kamer wideo zainstalował na nieruchomości mieszkalnej kamery do monitorowania obszaru wspólnego dwóch bloków. Administrator danych argumentował, że właściciele wyrazili na to zgodę, podpisując poświadczone notarialnie umowy kupna. Jednak organ ochrony danych, po sprawdzeniu umów, zaprzeczył temu. link
Belgia 2020-06-08 5.000 EUR Pracownik komunalny Art. 5 RODO, Art. 6 RODO W kontekście wyborów samorządowych w 2018 roku administrator danych wysłał ogłoszenia wyborcze grupie pracowników tej samej administracji miejskiej, korzystając z listy danych kontaktowych, do których nie miał dostępu. link
Belgia 2019-12-17 2.000 EUR Organizacja opieki pielęgniarskiej Art. 12 RODO, Art. 15 RODO, Art. 17 RODO Spółka nie zareagowała na żądania osoby, której dane dotyczą, o uzyskanie dostępu do jej danych i ich usunięcia. link
Belgia 2019-12-17 15.000 EUR Portal internetowy z wiadomościami prawniczymi Art. 6 RODO, Art. 12 RODO, Art. 13 RODO Operator witryny z wiadomościami prawniczymi miał oświadczenie o ochronie prywatności dostępne tylko w języku angielskim, chociaż było ono również adresowane do odbiorców mówiących po holendersku i francusku. Ponadto pierwsza wersja oświadczenia o ochronie prywatności nie była łatwo dostępna i nie wspominała o podstawie prawnej przetwarzania danych w ramach RODO. Ponadto, w nawiązaniu do orzeczenia ETS w sprawie Planety 49, stwierdzono, że na korzystanie z Google Analytics wymagana jest skuteczna zgoda. link
Włochy 2020-03-06 4.000 EUR Liceo Scientifico Nobel di Torre del Greco Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Decyzja włoskiego urzędu ochrony danych ujawnia, że ​​liceum bezprawnie opublikowało dane zdrowotne i inne informacje o ponad 2000 nauczycieli w rankingach nauczycieli publikowanych na stronie internetowej Instytutu. Niniejsza publikacja została wydana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych. link
Włochy 2020-03-05 3.000 EUR San Giorgio Jonico Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Publikacja danych osobowych obywatela na stronie internetowej i niezastosowanie się do żądań usunięcia. link
Rumunia 2020-04-23 3.000 EUR Estee Lauder Romania Art. 6 RODO, Art. 7 RODO, Art. 9 RODO Przetwarzanie danych osobowych bez wystarczającej podstawy prawnej, w tym danych dotyczących zdrowia. link
Rumunia 2020-04-23 3.000 EUR Telekom Romania Communications SA Art. 32 RODO Spółka nie podjęła wystarczających środków technicznych i organizacyjnych, aby zapewnić poprawność danych osobowych przekazywanych telefonicznie w celu zawarcia umów. Doprowadziło to do zawierania umów telefonicznych w imieniu innych osób, których dane dotyczą link
Hiszpania 2020-03-06 3.200 EUR Detalista Art. 13 RODO, Art. 14 RODO Niewystarczająca deklaracja nadzoru wideo. link
Rumunia 2020-07-30 2.000 EUR SC Viva Credit IFN SA Art. 17 RODO Firma nie poinformowała osoby, której dane dotyczą, w ciągu jednego miesiąca (lub do trzech miesięcy, jeśli podano przyczynę opóźnienia) o środkach podjętych w następstwie żądania usunięcia danych. link
Dania 2020-07-28 147.800 EUR rp-Hansen Hotel Group A/S Art. 5 (1) e) RODO W trakcie kontroli organ nadzorczy dokonał przeglądu szeregu systemów informatycznych w celu sprawdzenia, czy Arp-Hansen dysponował wystarczającymi procedurami zapewniającymi, że dane osobowe nie są przechowywane dłużej niż jest to konieczne do celów ich gromadzenia. Stwierdzono, że jeden z systemów rezerwacji zawierał dużą ilość danych osobowych, które należało już usunąć zgodnie z terminami usuwania ustalonymi przez samą Arp-Hansen.
Rumunia 2020-07-27 5.000 EUR SC Cntar Tarom SA Art. 32 RODO Nieuprawnione ujawnienie danych pięciu pasażerów Tarom z powodu nieodpowiednich środków technicznych i organizacyjnych dla bezpiecznego przetwarzania danych. Spółka została między innymi zobowiązana do podjęcia działań naprawczych, w tym przeszkolenia pracowników oraz przeprowadzenia procedur oceny ryzyka. link
Hiszpania 2020-07-23 10.000 EUR El Periódico de Catalunya, S.L.U. Art. 5 RODO, Art. 6 RODO Po skierowaniu do firmy prośby o usunięcie, osoba, której dane dotyczą, otrzymała kolejny biuletyn z gazety, chociaż El Periódico de Catalunya twierdziła, że ​​przychyliła się do żądania. Było to spowodowane awarią zewnętrznego usługodawcy firmy. link
Hiszpania 2020-07-23 55.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Telefónica Móviles España przetworzyła dane osobowe osoby, której dane dotyczą, takie jak imię i nazwisko oraz dane bankowe, w celu aktywacji trzech linii telefonicznych, o które nigdy nie wnioskowano. Stanowi to naruszenie zasady zgodności z prawem przetwarzania. link
Hiszpania 2020-07-23 70.000 EUR 70.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Konto osoby, której dane dotyczą, zostało obciążone dwoma liniami telefonicznymi, których nigdy nie zamówił ani nie zatwierdził. Stanowiło to niezgodne z prawem przetwarzanie danych osobowych, ponieważ informacje o osobie, której dane dotyczą, były przechowywane w systemach informatycznych Telefónica Móviles España bez podstawy prawnej do wystawiania faktur. link
Hiszpania 2020-07-23 75.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Firma przeniosłą numer telefonu klienta do innego operatora bez jego zgody. Dane osobowe zostały przekazane do firmy Telefónica Móviles España bez wystarczającej podstawy prawnej. link
Hiszpania 2020-07-23 5.000 EUR Xfera Moviles S.A. Art. 58 RODO W następstwie skargi Xfera Móviles została wezwana przez hiszpański urząd ochrony danych do przedstawienia pewnych informacji i dokumentów, ale nie uczyniła tego w wyznaczonym terminie. link
Hiszpania 2020-07-23 5.000 EUR El Real Sporting de Gijón S.A.D. Art. 6 RODO, Art. 7 RODO Kary za wysyłanie bezpośrednich komunikatów marketingowych bez wystarczającej zgody, ponieważ formularz Real Sporting de Gijón przesłany członkom klubu nie był zgodny z RODO (rezygnacja zamiast zgody). link
Hiszpania 2020-07-20 24.000 EUR Banco Bilbao Vizcaya Argentaria, SA Art. 5 RODO, Art. 6 RODO BBVA nie miała uzasadnionej podstawy do przetwarzania danych osoby, której dane dotyczą i tym samym naruszyła art. 6 ust. 1 RODO, ponieważ spółka przetwarzała pliki z informacjami dotyczącymi wypłacalności i kredytu bez wcześniejszego stosunku umownego z osobą, której dane dotyczą. link
Hiszpania 2020-07-20 40.000 EUR Iberia Lae SA Operadora Unipersonal Art. 58 RODO Spółka nie udostępniła osobie, której dane dotyczą, zapisów telefonicznych. Wniosek skarżącej o dostęp nie otrzymał odpowiedzi pomimo wcześniejszego nakazu hiszpanskiego organu nadzorczego. link
Hiszpania 2020-07-20 1.5000 EUR Comercial Vigobrandy, SL Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Kara została nałożona za zainstalowanie monitoringu CCTV bez odpowiednich informacji na ten temat. link
Hiszpania 2020-07-20 80.000 EUR Orange Espagne S.A.U. Art. 5 RODO, Art. 6 RODO Firma bezprawnie aktywowała kilka umów dotyczących linii telefonicznych, wykorzystując dane osobowe osoby, której dane dotyczą. Stanowiło to niezgodną z prawem operację przetwarzania, ponieważ dane osoby, której dane dotyczą, zostały wprowadzone do bazy danych firmy i tam przetwarzane bez uzasadnionej podstawy prawnej. link
Hiszpania 2020-07-20 70.000 EUR Xfera Moviles S.A. Art. 5 RODO Osoba, której dane dotyczą, otrzymała telefon od innego klienta Xfera Móviles, który stwierdził, że firma obciążyła jego konto bankowe fakturą, ujawniając dane osobowe drugiej osoby, której dane dotyczą. Było to spowodowane błędem ze strony Xfera Móviles, a zatem stanowiło naruszenie zasad integralności i poufności. link
Belgia 2020-07-14 600.000 EUR Google Belgium SA Art. 5 RODO, Art. 6 RODO, Art. 17 (1) a) RODO, Art. 12 RODO Belgijski organ ochrony danych nałożył na Google Belgium SA, spółkę zależną Google, grzywnę w wysokości 600 000 EURO. Przyczyną nałożenia grzywny było odrzucenie wniosku osoby, której dane dotyczą, o wyrejestrowanie nieaktualnych artykułów, które ta osoba uznała za szkodliwe dla jej reputacji oraz brak przejrzystości w formularzu Google dotyczącym wniosków o wyrejestrowanie. Belgijski organ ochrony danych stwierdził, że artykuły zwiazane ze skargami dotyczącymi bezpodstawnego molestowania mogą mieć poważne konsekwencje dla osób, których dane dotyczą, a zatem osoby fizyczne były uprawnione do usunięcia / wyrejestrowania artykułów. Dotyczy to również osób sprawujących urzędy polityczne, mimo że urzędy te są generalnie mniej warte ochrony ze względu na ich status publiczny, a artykuły dotyczące osób politycznych mogą w związku z tym być przechowywane przez dłuższy okres. Odrzucenie aplikacji przez Google było zatem naruszeniem art. 17 RODO (kara za to naruszenie: 500 000 EUR). Ponadto nałożono kolejne 100 000 EUR za naruszenie zasady przejrzystości, ponieważ odrzucenie przez Google wniosku o usunięcie nie było wystarczająco uzasadnione. link
Włochy 2020-07-13 200.000 EUR Merlini s.r.l. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 28 RODO, Art. 29 RODO Firma prowadziła działania telemarketingowe w imieniu Wind Tre SpA za pośrednictwem zewnętrznego dostawcy jako podmiotu przetwarzającego dane bez wystarczającej podstawy prawnej do przetwarzania danych (art. 5-7 RODO) i bez wystarczających uzgodnień umownych (art. 28, 29 RODO) z dostawca zewnętrzny. link
Włochy 2020-07-13 16.700.000 EUR Wind Tre S.p.A. Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 24 RODO, Art. 25 RODO Kary za kilka niezgodnych z prawem czynności przetwarzania danych związanych z marketingiem bezpośrednim. Setki osób, których dane dotyczą, twierdziło, że otrzymały niezamówioną komunikację wysłaną bez ich uprzedniej zgody za pośrednictwem wiadomości SMS, e-mail, rozmów telefonicznych i połączeń automatycznych. Osoby, których dane dotyczą, nie mogły skorzystać z przysługującego im prawa do cofnięcia zgody oraz sprzeciwienia się przetwarzaniu w celach marketingu bezpośredniego, ponieważ informacje zawarte w Polityce Ochrony Danych były niekompletne w stosunku do danych kontaktowych. Ponadto organ ochrony danych stwierdził, że mimo sprzeciwu dane osób, których dane dotyczą, zostały opublikowane na publicznych listach telefonicznych. Ponadto kilka aplikacji dystrybuowanych przez firmę zostało skonfigurowanych w taki sposób, że użytkownik za każdym razem, gdy miał do nich dostęp, musiał wyrażać zgodę na różne czynności przetwarzania, z możliwością cofnięcia zgody dopiero po 24 godzinach. link
Włochy 2020-07-13 800.000 EUR Iliad Italia S.p.A. Art. 5 RODO, Art. 25 RODO Kara została nałożona z powodu naruszeń ochrony danych dotyczących przetwarzania danych klientów w celu aktywacji kart SIM oraz sposobu rejestracji danych płatniczych. Ponadto organ ochrony danych stwierdził, że spółka naruszyła zasady legalności, rzetelności i przejrzystości oraz integralności i poufności w zakresie przetwarzania danych osobowych do celów marketingu bezpośredniego oraz przechowywania danych klientów w obszarze osobowym swojej witryny internetowej. link
Polska 2020-07-10 3.400 EUR East Power Sp. z o.o. Art. 31 RODO, Art. 58 RODO Po trzech wezwaniach do East Power, w których ta ostatnia nie przedstawiła wystarczających wyjaśnień w sprawie skargi dotyczącej marketingu bezpośredniego, Urzad Ochrony Danych Osobowych stwierdził, że East Power celowo utrudniało przebieg postępowania lub przynajmniej nie wywiązywało się ze swoich zobowiązań dotyczących współpracy z organem nadzoryczym. link
Norwegia 2020-07-10 46.660 EUR Municipality of Rælingen Art. 32 RODO, Art. 35 RODO Grzywna za przetwarzanie danych dotyczących zdrowia dzieci w związku z niepełnosprawnością za pośrednictwem cyfrowej platformy edukacyjnej „Showbie”. Gmina nie przeprowadziła oceny skutków dla ochrony danych („DPIA”) zgodnie z art. 35 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) („RODO”) przed rozpoczęciem przetwarzania oraz nie podjął odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO, co skutkuje zwiększonym ryzykiem nieuprawnionego dostępu do danych osobowych uczniów. link
Hiszpania 2020-07-10 1.500 EUR Auto Desguaces Iglesias S.L. Art. 5 RODO Firma zainstalowała kamery monitorujące, które zarejestrowały drogę publiczną, a tym samym naruszyły zasadę minimalizacji danych. link
Hiszpania 2020-07-10 1.000 EUR Centro Internacional De Crecimiento Laboral Y Profesional S.L. Art. 5 RODO, Art. 6 RODO Wysyłanie wiadomości handlowych bez zgody i bez możliwości sprzeciwu. link
Hiszpania 2020-07-10 12.000 EUR Vodafone España, SAU Art. 5 RODO Kary zostaly nałożone za naruszenie art. 5 (1) d) RODO w celu zmiany podstawowych danych klienta na nazwisko osoby trzeciej, byłego małżonka klienta. link
Hiszpania 2020-07-10 5.000 EUR Global Business Travel Spain SLU Art. 32 RODO Grzywna została poprzedzona udostępnieniem pracownikowi danych zdrowotnych osoby, której dotyczy postępowanie. W trakcie dochodzenia organ ochrony danych stwierdził, że Global Business Travel Spain, jako administrator danych, naruszył art. 32 ust. 2 i 4 RODO, nie podejmując odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym ujawnienieniem. link
Hiszpania 2020-07-10 5.000 EUR School Fitness Holiday & Franchising S.L. Art. 5 RODO Naruszenie zasady przejrzystości. W tej chwili brak dalszych informacji. link
Hiszpania 2020-07-10 55.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 32 RODO Firma zmieniła umowę na połączenie telefonu komórkowego z nowym właścicielem, dzięki czemu dane osobowe osoby, której dane dotyczą, takie jak jej adres i numery telefonów, były swobodnie dostępne. Stanowiło to naruszenie zasad poufności i integralności. link
Rumunia 2020-07-09 15.000 EUR Proleasing Motors SRL Art. 32 RODO Spółka nie podjęła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, co doprowadziło do opublikowania na Facebooku dokumentu zawierającego hasło dostępu do danych osobowych 436 klientów. link
Holandia 2020-07-06 830.000 EUR Bureau Krediet Registration ('BKR') Art. 12 RODO, Art. 15 RODO BKR rządał zapłąty za dostęp do swoich danych osobowych. Bezpłatnie udzielał takich informacji tylko raz rocznie. link
Hiszpania 2020-07-02 24.000 EUR Iberdrola Clientes Art. 5 RODO Osoba trzecia otrzymała rachunek za prąd zawierający dane osobowe, takie jak imię i nazwisko, adres i konto bankowe innego klienta. Powodem tego był fakt, że Iberdola Clientes nie była w stanie zagwarantować odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych osoby, której dane dotyczą, z naruszeniem zasad integralności i poufności danych. Grzywna w wysokości 40 000 EUR została obniżona do 24 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2020-07-02 4.000 EUR De Vere Spain S.L. Art. 21 RODO Firma nie odpowiedziała na żądanie osoby, której dane dotyczą, o zaprzestanie przetwarzania jej danych, w związku z czym osoba, której dane dotyczą, nadal otrzymywała telefony handlowe. link
Norwegia 2020-07-02 28.000 EUR Odin Flissenter AS Art. 5 RODO, Art. 6 RODO Firma oceniła wiarygodność innej firmy i tym samym przetwarzała dane osobowe dotyczące osoby fizycznej (właściciela ocenianej firmy) bez wystarczającej podstawy prawnej. link
Hiszpania 2020-07-02 3.600 EUR Saunier-Tec Mantenimientos de Calor y Frio, SL Art. 33 RODO Chociaż firma podjęła kroki w celu usunięcia naruszenia danych, nie poinformowała hiszpańskiego urzędu ochrony danych w wystarczającym stopniu. W rezultacie organ nadzorczy nałożył grzywnę w wysokości 4.800 EUR, która została obniżona do 3.600 EUR z powodu dobrowolnej wpłaty. link
Hiszpania 2020-07-02 5.000 EUR Xfera Moviles S.A. Art. 31 RODO, Art. 58 RODO Firma nie współpracowała dostatecznie z organem ochrony danych. link
Niemcy 2020-06-30 1.240.000 EUR Allgemeine Ortskrankenkasse ("AOK") (health insurance company) Art. 5 RODO, Art. 6 RODO, Art. 32 RODO W latach 2015-2019 AOK Baden-Württemberg (organizacja ubezpieczeniowa) przy różnych okazjach organizowała konkursy i zbierała dane osobowe uczestników, w tym ich dane kontaktowe i ubezpieczenie zdrowotne. AOK chciał również wykorzystać te dane do celów reklamowych, o ile uczestnicy wyrazili na to zgodę. Za pomocą środków technicznych i organizacyjnych, w tym wewnętrznych wytycznych i szkoleń z zakresu ochrony danych, AOK chciał zapewnić, aby do celów reklamowych wykorzystywane były wyłącznie dane tych uczestników konkursu, którzy wcześniej wyrazili skuteczną zgodę. Jednak środki określone przez AOK nie spełniały wymogów prawnych. W efekcie dane osobowe ponad 500 uczestników loterii zostały wykorzystane do celów reklamowych bez ich zgody. Natychmiast po tym, jak stało się to znane, AOK Baden-Württemberg wstrzymał wszelkie działania marketingowe, aby dokładnie zbadać wszystkie procesy. link
Dania 2020-06-30 6.700 EUR Lejre Municipality Art. 5 RODO, Art. 6 RODO, Art. 33 RODO, Art. 34 RODO Organ ochrony danych ustalił, że Miejski Ośrodek Dzieci i Młodzieży w Lejre regularnie przesyłał protokoły spotkań zawierających szczególnie wrażliwe i wrażliwe dane osobowe, w tym obywateli poniżej 18 roku życia, do Miejskiego Portalu Kadrowego Lejre, do którego mieli dostęp pracownicy gmina Lejre, niezależnie od tego, czy pracownicy, o których mowa, zajmowali się tymi sprawami. Ponadto organ ochrony danych zaprzeczył niedopełnieniu obowiązku poinformowania osób, których dane dotyczą, o naruszeniu ochrony danych. link
Irlandia 2020-06-30 40.000 EUR Tusla Child and Family Agency Art. 33 RODO Organizacja wysłała list z zarzutami nadużycia do strony trzeciej, która następnie przesłała go do sieci społecznościowych. link
Grecja 2020-06-29 5.000 EUR New York College S.A. Art. 5 RODO Kolegium skontaktowało się ze skarżącym bezpośrednio telefonicznie w sprawie programu edukacyjnego i przetworzyło dane osobowe w nieprzejrzysty sposób.
Wyspa Man 2020-06-25 13.500 EUR Department of Home Affairs Art. 12 RODO, Art. 15 RODO Kary za nieprzestrzeganie prawa dostępu do danych osobowych na podstawie art. 12 i 15 RODO. Wyspa Man zadeklarowała, że ​​RODO - choć nie jest państwem UE - ma zastosowanie. link
Hiszpania 2020-06-23 7.500 EUR Miraclia (telecommunications company) Art. 5 RODO, Art. 6 RODO Nagrywanie żartów telefonicznych za pośrednictwem aplikacji oznacza przetwarzanie danych osobowych zgodnie z obowiązującym prawem o ochronie danych, ponieważ głosy osób mogą stanowić dane osobowe, jeśli są powiązane z innymi informacjami, takimi jak numer telefonu. Zgoda użytkowników pod koniec rozmowy nie była w tym przypadku wystarczająca. link
Hiszpania 2020-06-22 2.000 EUR Nieznany Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Nielegalne używanie kamer CCTV ze względu na pokrycie przestrzeni publicznej i nagrywanie przechodzących pieszych. Ponadto niedostateczne wypełnianie obowiązków informacyjnych. link
Norwegia 2020-06-22 112.000 EUR Szpital Østfold HF Art. 32 RODO Stwierdzono, że Szpital Østfold HF przechowywał dane pacjentów, w tym dane wrażliwe, takie jak powód hospitalizacji, w latach 2013-2019 bez kontrolowania dostępu do folderów, w których były przechowywane. Norweski urząd ochrony danych uznał zatem, że szpital nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych i tym samym naruszył RODO oraz ustawę o dokumentacji pacjentów. link
Belgia 2020-06-19 10.000 EUR Nieznany Art. 5 RODO, Art. 6 RODO, Art. 15 RODO Firma wysłała wiadomość e-mail do osoby zainteresowanej bez jej zgody. Następnie osoba zainteresowana zażądała aktualnych informacji o wpisach w bazie danych dotyczących jej osoby, na które nie udzielono odpowiedzi. link
Norwegia 2020-06-19 28.000 EUR Aquateknikk AS Art. 5 RODO, Art. 6 RODO Żądanie danych od agencji kredytowej bez podstawy prawnej. link
Hiszpania 2020-06-19 6.000 EUR National Police Brigade Art. 5 RODO, Art. 6 RODO Wykonywanie kopii akt handlowych firmy w kontekście dochodzeń, które zawierały dane od osób trzecich i dla których nie było podstawy prawnej do przetwarzania. link
Rumunia 2020-06-18 4.000 EUR Enel Energie Art. 32 RODO Niepodjęcie odpowiednich środków zapobiegających ujawnieniu danych osobowych przez osoby nieuprawnione. Kara została poprzedzona skargą na udostępnienie danych osobowych osoby, której dane dotyczą, innemu klientowi drogą elektroniczną. link
Hiszpania 2020-06-16 2.000 EUR Café Bar Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Nielegalne używanie kamer CCTV (nagrywanie osób trzecich) i niedostateczne wypełnianie obowiązków informacyjnych. link
Szwecja 2020-06-16 1.900 EUR Housing Association Art. 5 RODO, Art. 6 RODO Bezprawne użycie kamer monitorujących. W decyzji organ ochrony danych podkreślił, że nagrania dźwiękowe mają dodatkowe konsekwencje dla prywatności, szczególnie w budynku mieszkalnym, i że w tym przypadku nie ma co uzasadniać nagrania dźwiękowego. Ponadto decyzja nakazuje spółdzielni mieszkaniowej zatrzymanie kamer rejestrujących klatki schodowe i wejścia, zaprzestanie nagrywania dźwięku oraz poprawę informacji o monitoringu kamer. link
Belgia 2020-06-16 1.000 EUR Nieznany Art. 17 RODO, Art. 21 RODO, Art. 31 RODO Osoba, której dane dotyczą, wielokrotnie otrzymywała e-maile z treścią reklamową od firmy, chociaż sprzeciwiła się przetwarzaniu swoich danych osobowych i zażądała usunięcia swoich danych. Ponadto firma nie odpowiedziała na żadne zapytania ze strony organu ochrony danych w tym zakresie. link
Hiszpania 2020-06-15 75.000 EUR Xfera Moviles S.A. Art. 6 RODO Osoba, której dane dotyczą, otrzymała zawiadomienie od firmy windykacyjnej, żądające zapłaty w związku z usługami Xfera Móviles, mimo że ta osoba nie była klientem Xfera Móviles od września 2017 r. Ponadto w rezolucji stwierdzono, że Xfera Móviles przeprowadziła przetwarzanie dane osobowe skarżącego bez jego zgody, co stanowi naruszenie art.6 RODO. link
Węgry 2020-06-12 288.000 EUR Digi Távközlési Szolgáltató Kft. ("Digi") (electronic communication service provider) Art. 5 (1) b), (e) RODO, Art. 32 (1), (2) RODO Firma naruszyła zasady celowości i ograniczenia przechowywania, ponieważ w jej bazie danych znajdowała się duża liczba danych klientów, które nie były już istotne z punktu widzenia faktycznego celu gromadzenia i dla których nie określono okresu przechowywania. Ponadto węgierski urząd ochrony danych zwrócił uwagę, że pozwany nie podjął proporcjonalnych środków w celu zmniejszenia ryzyka w obszarze zarządzania danymi i bezpieczeństwa danych, m.in. nie stosował mechanizmów szyfrowania. link
Rumunia 2020-06-11 3.000 EUR Telekom Romania Art. 32 RODO Niewystarczające środki bezpieczeństwa firmy doprowadziły do ​​niezgodnego z prawem przetwarzania danych osobowych bez weryfikacji ich prawidłowości. Z tego powodu na Telekom Romania została nałożona kara pieniężna za naruszenie art.32 RODO, a wprowadzenie skutecznych mechanizmów identyfikacji i ochrony danych przed nieuprawnionym ujawnieniem i niezgodnym z prawem przetwarzaniem nakazuje zapewnienie zgodności z RODO. link
Hiszpania 2020-06-09 5.000 EUR Consulting de Seguridad e Investigacion Mira Dp Madrid S.L. Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała wiadomości marketingowe bez udzieloną przez nią zgodę. link
Hiszpania 2020-06-09 540 EUR Chenming Ye (Bazar Real) Art. 13 RODO, Art. 14 RODO Kara została nałożona z powodu braku spełnienia obowiązku informacyjnego przy wykorzystywaniu kamery CCTV w sklepie. link
Hiszpania 2020-06-09 1.000 EUR Właściciel posesji Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która uchwyciła także publiczne drogi na zewnątrz, naruszając tzw. Zasadę minimalizacji danych. link
Hiszpania 2020-06-09 75.000 EUR Equifax Iberica, S.L. Art. 15 RODO Osoba, której dane dotyczą, zażądała drogą elektroniczną usunięcia swoich danych z akt Krajowego Stowarzyszenia Instytucji Kredytowych Finansowych („ASNEF”). Equifax Iberica odpowiedział, że skorzystanie z prawa skarżącego było nadmierne z powodu wcześniejszego wniosku i że w związku z tym usunięcie nie zostanie wykonane. Było to postrzegane jako naruszenie praw osób, których dane dotyczą, do usunięcia zgodnie z RODO, a także naruszenie obowiązków blokowania wynikających z krajowych przepisów o ochronie danych. link
Hiszpania 2020-06-09 39.000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO Klient twierdził, że otrzymał SMS od Xfera Móviles informujący o braku płatności i wynikającym z niej zawieszeniu usługi w związku z kontem innej osoby, której dane dotyczą. link
Hiszpania 2020-06-09 25.000 EUR Glovoapp23 Art. 37 RODO Firma nie wyznaczyła inspektora ochrony danych (IOD), do którego można było kierować wnioski osób, których dane dotyczą, również na stronie internetowej nie było informacji o wyznaczonym IOD. link
Hiszpania 2020-06-09 40.000 EUR TELEFONICA MOVILES ESPAÑA, S.A.U. Art. 6 RODO Przedstawiciel handlowy nie sprawdził dokładnie tożsamości powoda, aby mógł pojawić się w imieniu osoby, której dane dotyczą, i zamówić połączenie telefoniczne dla czterech linii telefonicznych w jego imieniu. link
Hiszpania 2020-06-09 3.000 EUR Salad Market S.L. (Catering Company) Art. 13 RODO, Art. 14 RODO Kara została nałożona za brak wystarczających informacji o przetwarzaniu danych w związku z nadzorem wideo w siedzibie firmy oraz za niewystarczające informacje, dotyczące plików cookie używanych na stronie internetowej. link
Hiszpania 2020-06-09 2.000 EUR Adwokat Art. 32 RODO W toku postępowania pełnomocnik przedłożył dokumenty, które zawierały dane osobowe innych stron. link
Hiszpania 2020-06-09 2.000 EUR Właściciel posesji Art. 5 (1) c) RODO Kara została nałożona za wykorzystanie kamery CCTV, która uchwyciła także drogi publiczne na zewnątrz, naruszając tzw. zasadę minimalizacji danych. link
Hiszpania 2020-06-04 4.000 EUR Iberdrola Clientes Art. 58 RODO Firma została poproszona o przekazanie hiszpanskiemu urzędowi ochrony danych osobowych szczegółowych informacji dotyczących skargi. Firma nie odpowiedziała jednak na żądanie organów ochrony danych w określonym terminie, co stanowi naruszenie art. 58 RODO. link
Belgia 2020-05-29 1.000 EUR Organizacja non-profit Art. 6 RODO, Art. 21 RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 1000 EUR na organizację non-profit za wysyłanie komunikatów marketingu bezpośredniego, mimo że osoby, których dane dotyczą, skorzystały z prawa do usunięcia danych i sprzeciwu. Organizacja twierdziła, że ​​opierała się na uzasadnionych interesach jako podstawie prawnej, a nie na wyraźnej zgodzie osób, których dane dotyczą. Organ ochrony danych zaprzeczył jednak istnieniu jakiegokolwiek przeważającego uzasadnionego interesu. link
Finlandia 2020-05-22 72.000 EUR Taksi Helsinki Art. 5 RODO, Art. 6 RODO, Art. 35 RODO Firma nie oceniła ryzyka i konsekwencji przetwarzania danych osobowych przed wprowadzeniem systemu nadzoru kamery, który rejestruje dźwięk i obraz w taksówkach, a także nie przeprowadziła ocen wpływu swoich działań związanych z przetwarzaniem danych, w tym nadzoru nad kamery bezpieczeństwa, przetwarzanie danych o lokalizacji, automatyczne podejmowanie decyzji i profilowanie w ramach programu lojalnościowego. Ponadto przetwarzanie danych dźwiękowych było niezgodne z zasadą minimalizacji danych RODO. link
Belgia 2020-05-14 50.000 EUR Dostawca mediów społecznościowych Art. 6 RODO Firma wysłała zaproszenia do kontaktów przesłanych przez użytkowników bez ich zgody lub jakiejkolwiek innej podstawy prawnej. link
Bułgaria 2020-04-14 2.000 EUR Partia polityczna Art. 6 RODO Sfałszowanie podpisów na liście wyborców. link
Estonia 2020-04-30 500 EUR Wspólnota mieszkaniowa Art. 6 RODO Grzywna w wysokości 500 EUR przeciwko spółdzielni mieszkaniowej za opublikowanie zdjęć przedstawiających członków stowarzyszenia bez ich zgody. link
Węgry 2020-03-26 2.890 EUR Bank Art. 5 RODO, Art. 6 RODO Z powodu błędu administracyjnego dane osobowe osoby, której dane dotyczą, zostały zarejestrowane i przekazane do Centralnego Systemu Informacji Kredytowej (CCI) w związku z umową pożyczki, przy czym osoba, której dane dotyczą, nie jest stroną umowy. link
Węgry 2020-03-19 5.800 EUR Nieznana firma Art. 6 RODO, Art. 15 RODO Administrator danych nie wywiązał się z obowiązku dotyczącego prawa dostępu do nagrań wideo, a także nie był w stanie wykazać, że jego działania związane z przetwarzaniem danych były zgodne z przepisami o ochronie danych. link
Węgry 2020-03-09 870 EUR Wierzyciel Art. 5 RODO, Art. 6 RODO Kara została nałożona z powodu wysyłki wiadomości SMS do osoby, której dane dotyczą, jako przypomnienie o długu, który został już spłacony. link
Węgry 2020-01-24 1.450 EUR Biuro rachunkowe Art. 24 RODO, Art. 32 RODO Osoby trzecie, nieupoważnione mogły mieć dostęp do wydrukowanej listy klientów firmy księgowej, która zawierała dane osobowe. link
Norwegia 2020-05-19 283.000 EUR Bergen Municipality Art. 5 (1) f) RODO, Art. 32 RODO Kara została nałożona z powodu kilku niedociągnięć w zakresie bezpieczeństwa i niezgodności z ogólnymi zasadami przetwarzania danych w module do komunikacji między szkołami a rodzicami. link
Norwegia 2020-05-03 134.000 EUR Telenor Norge AS Art. 32 RODO Naruszenie bezpieczeństwa w poczcie głosowej link
Finlandia 2020-05-22 100.000 EUR Posti Group Oyj Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO Firma stosowała marketing bezpośredni wobec osób, które zażądały zaprzestania przetwarzania ich danych osobowych. Dochodzenia ujawniły również, że informacje o ochronie danych dostarczone przez firmę nie były wystarczająco przejrzyste. link
Finlandia 2020-05-22 16.000 EUR Kymen Vesi Oy Art. 35 RODO Firma nie przeprowadzila oceny skutków dla ochrony danych (DPIA / OSOD) w przypadku przetwarzania danych dotyczących lokalizacji pracowników za pomocą systemu informacji o pojeździe. link
Finlandia 2020-05-22 12.500 EUR Nieznana firma Art. 5 RODO, Art. 6 RODO Firma przetwarzała dane osobowe pracowników bez wystarczającej podstawy prawnej. link
Rumunia 2020-05-05 5.000 EUR Banca Comercială Română SA Art. 32 RODO Firma nie zastosowała właściwych środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. Dotyczy to w szczególności gromadzenia i przekazywania kopii dokumentów identyfikacyjnych klientów za pośrednictwem WhatsApp. link
Szwecja 2020-05-12 11.200 EUR Rada Zdrowia i Medycyny Okręgu Örebro Art. 5 RODO, Art. 6 RODO Firma opublikowała danye osobowe pacjenta bez wystarczającej podstawy prawnej. link
Irlandia 2020-05-17 75.000 EUR Tusla Art. 5 GDPR, Art. 6 GDPR Firma błędnie ujawniła dane osobowe, w tym informacje o dzieciach, osobom nieupoważnionym. W jednym przypadku dane kontaktowe i lokalizacyjne matki i dziecka zostały ujawnione domniemanemu sprawcy, a w dwóch innych przypadkach dane dotyczące dzieci przebywających w rodzinie zastępczej zostały nieprawidłowo ujawnione krewnym, w tym w jednym przypadku ojcu, który przebywał w więzieniu. link
Dania 2020-05-15 6.700 EUR JobTeam A/S DKK Art. 15 GDPR Niewystarczające spełnienie prawa osób, których dane dotyczą link
Holandia 2020-04-30 725.000 EUR Nieznana organizacja Art. 5 RODO, Art. 9 RODO Organizacja wymagała od swoich pracowników skanowania odcisków palców w celu sprawdzania obecności. Urząd ochrony danych stwierdził, że argumentacja organizacji pozwalająca przetwarzać dane szczególnej kategorii jest niewystarczająca, ponadto firma nie posiadała wyrażonej zgody pracowników do przetwarzania tych danych. link
Szwecja 2020-04-29 18.700 EUR Krajowe Centrum Obsługi Rządowej (NGSC) Art. 33 RODO, Art. 34 RODO Firma zwlekała z powiadomieniem o naruszeniu danych. Potrzebowała prawie 5 miesięcy, aby poinformować osoby, których dane zostały naruszone oraz prawie 3 miesiący aby zawiadomić urząd o naruszeniu związanym z brakiem odpowiednich zabezpieczeń w systemie IT. link
Belgia 2020-04-28 50.000 EUR Proximus SA Art. 31 RODO, Art. 58 RODO, Art. 37 RODO Według organu ds. ochrony danych Inspektor Ochrony Danych spółki nie był wystarczająco zaangażowany w przetwarzanie naruszeń danych osobowych, a firma nie posiadała systemu zapobiegającego konfliktowi interesów IOD, który zajmował również wiele innych stanowisk w przedsiębiorstwo (szef działu zgodności i audytu), co doprowadziło organ ochrony danych do wniosku, że Inspektor Ochrony Danych przedsiębiorstwa nie mógł wykonywać swoich zadań w sposób należyty. link
Bułgaria 2020-02-20 2.560 EUR T.K. EOOD Art. 25 (1) RODO, Art. 32 RODO "Firma przetwarzała dane osobowe niezgodnie z prawem 9 razy w ciągu 5 miesięcy. Naruszenia spowodowały szkody dla osoby, której dane dotyczyły. Ponadto T.K. EOOD przyjął niewystarczające środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa informacji. "
Bułgaria 2020-02-20 2.560 EUR L.E. EOOD Art. 25 (1) RODO, Art. 32 RODO, Art. 6 RODO "Firma przetwarzała dane osobowe niezgodnie z prawem 7 razy w ciągu 3 miesięcy. Ponadto firma nie zastosowała odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Oprócz nałożonej kary pieniężnej, błgarski urząd ochrony danych zalecił ukaranej firmie przeprowadzenie regularnych kontroli obszarów, w których dochodzi do przetwarzania danych osobowych, przeprowadzenia analizy ryzyka oraz przeszkolenie pracowników z zakresu ochrony danych. Urząd nakazał również archiwizację dokumentów wyłącznie w konkretnym celu i w ramach czasowych wymaganych przez prawo. "
Bułgaria 2020-01-06 5.110 EUR Utility Company Art. 6 (1) RODO Firma przetwarzała dane osobowe niezgodnie z prawem. Dane osobowe zostały wykorzystane do wszczęscia postępowania egzekucyjnego z tytułu zaległych zobowiązań płatniczych. W konsekwencji komornik zajął wynagrodzenie poszkodowanej osoby.
Niemcy 2019 50.000 EUR Nieznana firma Art. 15 RODO, Art. 28 RODO "Administrator korzystał z usług firmy zewnętrznej, która na jego polecenie przetwarzała dane osobowe. Podwykonawca prowadził korespondencje z osobami, ktorych dane dotyczą, w języku angielskim i pod własnych logo. W rezultacie administrator danych naruszył zasadę przejrzystości określoną w art. 12 RODO i nie wypełnił w wystarczającym stopniu swojego obowiązku dostarczenia informacji zgodnie z art. 15 RODO. Ponadto organ nadzorujący ochronę danych stwierdził, że nie zawarto żadnej pisemnej umowy na przetwarzanie danych między administratorem danych a firmą zewnętrzną, co stanowi dalsze naruszenie art. 28 (9) RODO."
Włochy 2020-02-13 4.000 EUR Comune di Urago Art. 5 RODO, Art. 6 RODO Lokalna rada opublikowała na swojej stronie internetowej informacje zawierające dane osobowe, w tym informacje o stanie zdrowia. link
Polska 2020-03-09 4.000 EUR Vis Consulting Sp. z o.o. Art. 31 RODO, Art. 58 RODO Firma uniemożliwiła Urzędowi Ochrony Danych Osobowych przeprowadzenie kontroli. link
Hiszpania 2019-12-10 5.000 EUR Shop Macoyn, S.L. Art. 32 RODO Firma wysłała e-maile zawierające treści marketingowe, w których adresaci widzieli adresy mailowe wszystkich osób, które otrzymały tego maila. Adresy odbiorców zostały wymienione przy użyciu funkcji DW (do wiadomości) zamiast UDW (do ukrytej wiadomości). link
Rumunia 2020-03-25 2.000 EUR SOS Infertility Association Art. 58 RODO Stowarzyszenie przetwarzało dane osobowe bez wystarczającej podstawy prawnej. Ponadto, nie przekazało do urzędu ochrony danych osobowych wymaganych informacji. link
Rumunia 2020-03-25 3.000 EUR Enel Energie Art. 32 RODO Firma wysłała wiadomość e-mail do klienta, który zawierał dane osobowe innego klienta. Firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. link
Rumunia 2020-03-25 4.150 EUR Vodafone Romania Art. 32 RODO Firma wysłała wiadomość e-mail do klienta, który zawierał dane osobowe innego klienta. Firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. link
Rumunia 2020-03-25 3.000 EUR Dante International Art. 6 RODO, Art. 21 RODO Firma wysłała e-mail zawierajacy informacje marketingowe do klienta, który wcześniej zrezygnował z otrzymywania tego typu wiadomości. link
Hiszpania 2020-03-25 5.000 EUR Xfera Moviles S.A Art. 58 RODO Firma nie dostarczyła urzędowi ochrony danych osobowych wymaganych informacji w odpowiednim czasie. Wniosek hiszpańskiego urzędu ochrony danych osobowych poprzedzony był wnioskiem osoby, której dane dotyczą o dostęp do jej danych osobowych. link
Chorwacja 2020-03-13 nieznana Bank (nazwa w tej chwili niedostępna) Art. 15 (1), (3) RODO "Bank (w okresie od maja 2018 r. - do kwietnia 2019 r.) odmówił przekazania kopii dokumentacji kredytowej (np. planu spłaty, aneksu umowy kredytowej, przeglądu zmian stóp procentowych itp.). Bank tłumaczył, że dokumentacja dotyczy spłaconych pożyczek, dlatego w tym przypadku nie obowiązuje prawo dostępu do informacji. Organ ochrony danych nakazał Bankowi dostarczyć kopie dokumentów. Na wysokość kary miał wpływ brak zastosowania zarządzonych środków, kontynuowanie takiej praktyki przez ponad rok oraz odmówienie prawa dostępu do danych ponad 2500 klientów. Wysokość kary nie jest jeszcze znana, ale chorwacki urząd ochrony danych zapowiedział, że z uwagi na powyższe, należy spodziewać się wysokiej grzywny."
Niemcy 2019-08-05 200 EUR Osoba prywatna (kanał YouTube) Art. 5 RODO, Art. 6 RODO Osoba prywatna wykorzystała kamerę samochodową do nagrania ruchu publicznego, a następnie opublikowała je na YouTube. link
Grecja 2020-03-20 8.000 EUR Centrum Mowy i Edukacji Specjalnej - Mihou Dimitra Art. 15 RODO, Art. 58 RODO "Administrator danych odmówił dostępu do danych osobowych skarżącego (informacje podatkowe oraz na temat danych swojego dziecka). Ponadto administrator danych naruszył polecenie urzędu ochrony danych dotyczące dostępu do danych. Z tego powodu nałożono grzywnę w wysokości 8000 EUR: 3000 EUR za nieprzyznanie dostępu do danych i 5000 EUR za naruszenie nakazów organu ochrony danych."
Grecja 2020-02-21 5.000 EUR Public Power Corporation S.A. Art. 15 RODO W decyzji wyjaśniono, że osoby, których dane dotyczą, mają prawo dostępu do przetwarzania swoich danych osobowych oraz należy im także dostarczyć kopię przetwarzanych danych osobowych. Żądanie nie wymaga podania przyczyny
Węgry 2020-03-04 290 EUR Przedstawiciel samorządu lokalnego Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODO "Lokalny przedstawiciel zrobił zdjęcie dyrektorowi firmy należącej w całości do samorządu w towarzystwie jego dziecka. Zdjęcie przedstawiało dyrektora rzekomo odrywającego plakat wyborczy opozycji. Lokalny przedstawiciel zamieścił to zdjęcie na Facebooku. Obraz dziecka był zamazany, ale pod zdjęciem była informacja, że to córka dyrektora. Dyrektor powiedział lokalnemu przedstawicielowi, że nie wyraża zgody na zrobienie zdjęcia. Węgierski organ ochrony danych osobowych stwierdził, że akt dyrektora nie był informacją publiczną, a zdjęcie nie dowodzi, że dyrektor oderwał plakat wyborczy. Urząd ochrony danych podkreślił również, że jedynie nazwisko dyrektora spółki w pełni będącej własnością samorządu lokalnego było informacją publiczną." link
Węgry 2019-10-15 2.860 EUR nieznana firma Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODO Pracownik był na zwolnieniu lekarskim, gdy pracodawca sprawdził jego komputer stacjonarny, laptop i e-maile, aby upewnić się, że jego obowiązki są wykonywane. Pracodawca następnie zawiesił jego konto. Pracownik nie otrzymał wcześniejszego powiadomienia i nie miał możliwości skopiować / usunąć swoich prywatnych danych (numerów telefonów, wiadomości). Według węgierskiego urzędu ochrony danych pracodawca może monitorować aktywność pracowników. Umowy o pracę muszą regulować, czy pracownicy mogą używać sprzętu roboczego do celów prywatnych. Informacje o prywatności muszą zawierać powody monitorowania (np. ciągłość działania, dochodzenie wewnętrzne, cele dyscyplinarne), a także określać okres przechowywania danych - w tym długość historii kopii zapasowych. Pracodawcy muszą również przygotować „testy bilansujące”, aby na konkretnych przypadkach móc udowodnić, że monitoring pracowników jest uzasadniony. link
Węgry 2019-08-08 1.715 EUR Biuro Rządowe Zarządzające Rejestrem Nieruchomości Art. 5 RODO, Art. 14 RODO Właściciele nieruchomości skarżyli się, że rząd przekazał decyzję o zmianie osoby najemcy (która zawarła umowę najmu z właścicielami nieruchomości) innym właścicielom 40 nieruchomości zawartych przez tego samego najemcę. Decyzja zawierała dane osobowe wszystkich właścicieli, którzy mieli umowę najmu z tym samym najemcą. link
Węgry 2019-08-02 4.290 EUR Firma zajmująca się utrzymaniem przestrzeni publicznej Art. 5 RODO, Art. 6 RODO, Art. 13 RODO Były pracownik skarżył się, że jego pracodawca, niezgodnie z prawem, monitorował jego pracę przez CCTV. Pracodawca argumentował, że monitorowanie CCTV było konieczne do oceny, czy pracownik wywiązał się ze swoich obowiązków związanych z zatrudnieniem (tj. monitorowanie niektórych obszarów publicznych i sygnalizowanie nietypowych zdarzeń swoim kolegom) oraz że monitorowanie służyło również ochronie jego systemu nadzoru przed nielegalnym dostępem. Węgierski urząd ochrony danych stwierdził, że monitorowanie pracownika przez CCTV nie jest właściwym sposobem oceny jego wydajności pracy, a pracodawca oparł się na niewłaściwej podstawie prawnej (interes publiczny, organ urzędowy) w odniesieniu do operacji CCTV. Pracodawca mógł zabezpieczyć swój system nadzoru przestrzeni publicznej innymi metodami (np. instalując zapory ogniowe lub inne aktualizacje zabezpieczeń swoich systemów). Pracodawca umieścił także tylko krótki arkusz informacyjny przy wejściu do stanowiska pracy pracownika dotyczący monitorowania CCTV, który urząd ochrony danych uznał za niewystarczający. link
Węgry 2019-07-17 8.575 EUR Sąd Okręgowy w Budapeszcie Art. 5 RODO, Art. 6 RODO Przewodniczący Sądu Okręgowego w Budapeszcie zorganizował spotkanie dla urzędników sądowych, podczas którego oświadczył, że zrezygnował z Węgierskiego Związku Sędziów i zwrócił się do obecnych urzędników sądowych, aby namówili do tego również swoich kolegów. Przewodniczący przedstawił istę członków Stowarzyszenia w powiecie Peszt, która zawierała również informacje o wysokości składek członkowskich potrąconych z wynagrodzenia sędziów. Lista zawierała dane zebrane z rejestrów płac sędziów. Węgierski urząd ochrony danych ustalił, że Sąd Okręgowy w Budapeszcie może przetwarzać takie dane wyłącznie w celu odliczenia i zarządzania płacami. Urząd ochrony danych osobowych stwierdził również, że Sąd Okręgowy w Budapeszcie nie miał podstawy prawnej do przetwarzania danych, do udzielenia danych pracowników dotyczących ich członkostwa w stowarzyszeniu innym osobom. link
Węgry 2019-06-26 2.850 EUR nieznana firma Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Osoba zażądała usunięcia swoich danych kontaktowych (w tym numeru telefonu). Administrator nie zrealizował prawa, powołując się na swój uzasadniony interes (w celu kontaktowania się w sprawie dochodzenia roszczeń) Wegierski urząd ochrony danych ustalił, że administrator nie miał istotnych uzasadnionych podstaw do przetwarzania numeru telefonu osoby, której dane dotyczą (do celów kontaktowych wystarczy adres). link
Węgry 2019-06-26 2.850 EUR Przedsiębiorstwo finansowe Art. 5 RODO, Art. 6 RODO, Art. 21 RODO "Przedsiębiorstwo finansowe pomimo sprzeciwu do przetwrzania, przekazało dane osobowe stronie trzeciej. Przedsiębiorstwo nie udzieliło również informacji o przetwarzaniu na wniosek osoby, której dane dotyczą. Przedsiębiorstwo finansowe uważa, że przekazanie stronie trzeciej danych osobowych klienta było niezbędne w celu sprzedaży roszczeń wynikających z umowy. Węgierski urząd ochrony danych podkreślił, że przedsiębiorstwo finansowe sprzedało przedmiotową wierzytelność i przekazało odpowiednie dane po niespełnieniu przez klienta danej umowy; oznacza to również, że przedsiębiorstwo finansowe nie może polegać na wykonaniu umowy zawartej z klientem. Odpowiednią podstawą prawną byłby prawnie uzasadniony interes administratora, w przypadku gdy konieczny jest również test bilansujący, opisujący jego interes w przeniesieniu roszczenia i odpowiednich danych na stronę trzecią." link
Węgry 2019-06-03 2.850 EUR Firma zarządzająca roszczeniami Art. 5 RODO, Art. 6 RODO Skarżący zawarli umowę kredytową z bankiem, który sprzedał swoje roszczenie przeciwko skarżącym i przekazał ich dane firmie zewnętrznej (administratorowi). Węgierski urząd ochrony danych ustalił, że bank powołał się na błędną podstawę prawną przetwarzania. Bank nie mógł polegać ani na zgodzie osób, których dane dotyczą, ani na wykonaniu umowy kredytowej, ponieważ osoby zawarły taką umowę z bankiem, a nie z administratorem. Powinien oprzeć się na uzasadnionym interesie administratora. link
Węgry 2019-05-31 2.000 EUR Bank lokalny Art. 12 (3), (4), (5) RODO, Art. 15 RODO, Art. 18 RODO Klient lokalnego banku poprosił o dostęp do nagrań rozmów telefonicznych oraz nagrań z kamery przemysłowej. Bank dostarczył kopie nagrań rozmów telefonicznych, a także dał szansę przejrzenia nagrań w banku, ale odmówił dostarczenia kopii nagrań z kamery przemysłowej, ponieważ nagrania zawierały również dane osobowe stron trzecich. Węgierski urząd ochrony danych zdecydował, że bank nie wypełnił praw osób, których dane dotyczą, ponieważ nie odpowiedział w odpowiednim czasie, a także nie dostarczył kopii żądanych nagrań. Według węgierskiego urzędu ochrony danych administrator nie może odnieść się do ochrony danych osób trzecich, ponieważ nagrania z kamery przemysłowej miały wpływ na przestrzeń publiczną otwartą dla każdego klienta, a bank mógł również zanonimizować niektóre części nagrań. link
Węgry 2019-05-21 286 EUR Dyrekcja Instytucji Społecznych i Opieki nad Dziećmi Ferencvaros w Budapeszcie Art. 33 RODO Pracownik dyrekcji wysłał omyłkowo 9 listów do niewłaściwego odbiorcy, które zawierały dane osobowe 18 osób (w tym dane dzieci, dane przestępcze oraz dane dotyczące życia prywatnego). Odbiorca poinformował dyrekcję telefonicznie 5 dni po wysłaniu, że przez pomyłkę otrzymał określone listy. Dyrekcja dopiero po kilku tygodniach powiadomiła o naruszeniu węgierski urząd ochrony danych. link
Włochy 2020-02-06 20.000 EUR RTI - Reti Televisive Italiane s.p.a. Art. 5 RODO, Art. 6 RODO Stacja telewizyjna wyemitowała film dokumentalny o prostytucji w Szwajcariiosoby. Bohaterowie filmu, osoby, z którymi były prowadzone wywiady nie były wystarczająco anonimowe. link
Norwegia 2020-02-28 36.800 EUR Coop Finnmark SA Art. 5 RODO, Art. 6 RODO Firma rozpowszechniła nagrania z monitoringu wideo dzieci poniżej 16 roku życia, które rzekomo kradły w sklepie. Firma została ukarana za brak wystarczającej podstawy prawnej dla takiego przetwarzania danych. link
Rumunia 2020-02-11 3.000 EUR Vodafone Romania Art. 5 (1) f) RODO, Art. 32 RODO Vodafone Romania nieprawidło przetwarzał dane osobowe w celu rozpatrzenia skargi, która następnie została wysłana na niewłaściwy adres e-mail. Powodem tego było zastosowanie niewłaściwych środków bezpieczeństwa. link
Hiszpania 2020-03-19 6.000 EUR Oliveros Ustrell, S.L. Art. 5 RODO, Art. 6 RODO Firma przekazała operatorowi Vodafone podpisaną umowę o przeniesienie. Administrator danych nie był jednak w stanie przedstawić dowodu zamówienia. Z tego powodu dane osobowe osoby, której dane dotyczą, zostały przetworzone bez wystarczającej podstawy prawnej. link
Hiszpania 2020-03-18 30.000 EUR Telefónica Art. 58 RODO Telefonica nie zastosowała się do decyzji TD / 00127/2019 dyrektora hiszpańskiego urzędu ochrony danych, która stanowi, że trzeba odpowiedzieć na wnioski osób, których dane dotyczą, o prawo dostępu i usunięcia danych. link
Hiszpania 2020-03-16 5.000 EUR Centro De Estudio Dirigidos Delta, S.L. Art. 5 (1) f) RODO Centro De Estudio Dirigidos Delta wysłało do osoby trzeciej wiadomość zawierającą dane osobowe (imię i nazwisko oraz numery identyfikacyjne), za pośrednictwem WhatsApp, bez zgody osób, których dane dotyczą. Stanowi to naruszenie zasad rzetelności i poufności zgodnie z art. 5 ust. 1 lit. f RODO. link
Hiszpania 2020-03-16 4.000 EUR Osoba prywatna Art. 5 RODO, Art. 6 RODO Osoba fotografowała na plaży kąpiące się kobiety. Policja powiadomiła urząd ochrony danych. link
Hiszpania 2020-03-16 6.000 EUR Amalfi Servicios de Restauracion S.L. Art. 5 RODO, Art. 13 RODO, Art. 14 RODO "- Monitoring obejmował swoim zasięgiem przestrzeń publiczną (naruszenie zasady minimalizacji danych). - Brak spełnionego obowiazku informacyjnego dotyczącego monitoringu." link
Hiszpania 2020-03-12 2.000 EUR Stowarzyszenie właścicieli domów Art. 5 RODO, Art. 13 RODO, Art. 14 RODO "- Monitoring obejmował swoim zasięgiem przestrzeń publiczną (naruszenie zasady minimalizacji danych). - Brak spełnionego obowiazku informacyjnego dotyczącego monitoringu." link
Szwecja 2020-03-11 7.000.000 EUR Google LLC Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Szwedzki organ ochrony danych nałożył na Google LLC grzywnę w wysokości 7 milionów euro za niedostateczne wywiązanie się z obowiązków dotyczących prawa osób, których dane dotyczą, do usunięcia danych ich dotyczących z listy wyników wyszukiwania. Szwedzki Urząd Ochrony Danych w 2017 r. zakończył ocenę sposobu, w jaki firma Google zajmuje się prawem osób do usunięcia wyników wyszukiwania i polecił jej usunąć część wyników wyszukiwania. Ponadto w roku 2018 podjęto decyzję o ponownej weryfikacji praktyk Google, po tym jak do urzędu wpłynęła informacja o tym, że część wyników wyszukiwania, które powinny zostać usunięte, wciąż pojawia się w wyszukiwarce. Szwedzki Urząd Ochrony Danych sprzeciwił się również praktyce informowania właścicieli witryn o tym, jakie informacje są usuwane z wyników wyszukiwania, a w szczególności o tym, który link został usunięty i kto stał za wnioskiem o jego usunięcie. Zdaniem Urzędu nie ma to podstawy prawnej. link
Dania 2020-03-10 7.000 EUR Hørsholm Municipality Art. 5 (1) f) RODO, Art. 32 RODO Urzędnikowi miasta skradziono komputer roboczy, który zawierał dane osobowe około 1600 pracowników samorządu miejskiego, w tym poufne informacje i numery ubezpieczenia społecznego. link
Dania 2020-03-10 14.000 EUR Gladsaxe Municipality Art. 5 (1) f) RODO, Art. 32 RODO Skradziono niezabezpieczony komputer, który zawierał informacje poufne oraz osoboste numery idendyfikacyjneg 20 620 mieszkańców miasta. link
Islandia 2020-03-10 20.600 EUR National Center of Addiction Medicine ('SAA') Art. 5 (1) f) RODO, Art. 32 RODO W osobistych rzeczach zwróconych byłemu pracownikowi SAA znajdowały się również dane pacjentów, w tym dokumentacja medyczna 252 byłych pacjentów i dokumenty z nazwiskami około 3000 osób, które uczestniczyły w rehabilitacji z powodu nadużywania alkoholu i narkotyków link
Islandia 2020-03-10 9.000 EUR Breiðholt Upper Secondary School Art. 5 (1) f) RODO, Art. 32 RODO Nauczyciel wysłał e-mail do swoich uczniów i ich rodziców, który zawierał dane na temat ich stanu zdrowia (dot. samopoczucia), wyników w nauce oraz warunków społecznych. Mail nie był odpowiednio zabezpieczony i tym samym naruszył art. 32 RODO. link
Hiszpania 2020-03-09 15.000 EUR Gesthotel Activos Balagares Art. 5 (1) f) RODO Osoba, której dane dotyczą wysłała prywatny list do kierownictwa hotelu oraz delegatów związkowych. Autor listu opisał sytuację, w której był prześladowany. Kierownictwo hotelu i delegaci związkowi naruszyli zasadę uczciowości i poufności udostępniając treść listu innym pracownikom. link
Włochy 2020-03-06 4.000 EUR Liceo Artistico Statale di Napoli Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Liceum w rankinach nauczycieli na stronie internetowej Instytutu opublikowało informacje zawierające dane osobowe, np. o stanie zdrowia. Publikacja została sporządzona z naruszeniem zasad legalności, uczciwości, przejrzystości i minimalizacji danych. link
Hiszpania 2020-03-06 4.000 EUR Osoba prywatna Art. 5 RODO Zainstalowane kamery monitorujace rejsterowały również przestrzeń publiczną (naruszenie zasady minimalizacji danych). link
Niemcy 2019 2.000 EUR Restauracja Art. 5 (1) c) RODO Kamery nadzoru wideo zostały wykorzystane z naruszeniem zasady minimalizacji danych (monitorowanie również obszarów klientów w restauracjach). link
Norwegia 2020-02-26 73.600 EUR Rælingen Municipality Art. 5 (1) f) RODO, Art. 32 RODO Informacje na temat zdrowia 15 dzieci niepełnosprawnych fizycznie i umysłowo były przetwarzane na cyfrowej platformie edukacyjnej Showbie w celu przekazania danych osobowych związanych ze zdrowiem między szkołami a ich domami. Przed użyciem aplikacji nie przeprowadzono niezbędnych ocen ryzyka, ocen wpływu na prywatność ani testów, a brak bezpieczeństwa podczas logowania do aplikacji umożliwił dostęp do informacji innym studentom w grupie. link
Hiszpania 2020-03-04 60.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała SMS-y od oddzielnego operatora wskazujące na aktywację nowej umowy. Powodem było aktywowanie przez pracownika Vodafone España umowy z trzecim operatorem w imieniu osoby, której dane dotyczą. Vodafone nie był w stanie wykazać zgody ani wystarczających uzasadnionych interesów na przetwarzanie danych osobowych. link
Hiszpania 2020-03-03 1.800 EUR Solo Embrague Art. 13 RODO Strona internetowa firmy nie zawierała polityki prywatności oraz banera plików cookie. link
Hiszpania 2020-03-03 42.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Firma nie była w stanie wykazać odpowiednich środków zapewniających bezpieczeństwo informacji, prowadzących do nieuprawnionego dostępu do danych osobowych klienta. link
Hiszpania 2020-03-03 40.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Firma wysłała SMS potwierdzający zawarcie umowy telefonicznej z właścicielem telefonu komórkowego. Osoba ta nie była klientem Vodafone, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą. link
Hiszpania 2020-03-03 24.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO "Hiszpański orgach ochrony danych stwierdził, że firma wysłała dwa SMS-y na numer telefonu komórkowego klienta, dotyczące zmiany stawki w umowie oraz potwierdzajacy zakup nowego telefonu komórkowego. Firma przetwrzała dane osobowe bez zgody osoby, której dane dotczą. " link
Polska 2020-03-04 4.600 EUR Szkoła w Gdańsku Art. 5 RODO, Art. 9 RODO Szkoła w Gdańsku wykorzystała biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce. Chociaż rodzice wyrazili pisemną zgodę na takie przetwarzanie danych, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie. link
Hiszpania 2020-02-28 3.600 EUR AEMA Hispánica Art. 5 (1) f) RODO Firma przesłała listę płac pracownika innemu pracownikowi, przez co ujawniła dane osobowe nieupoważnionej osobie. link
Holandia 2020-03-03 525.000 EUR Royal Dutch Tennis Association ("KNLTB") Art. 5 RODO, Art. 6 RODO Holenderski Urząd Ochrony Danych nałożył grzywnę na Royal Dutch Tennis Association („KNLTB”) w wysokości 525,000 EUR za sprzedaż danych osobowych ponad 350 000 jej członków sponsorom, którzy skontaktowali się z niektórymi członkami pocztą i telefonicznie w celach marketingu bezpośredniego. Stwierdzono, że KNLTB sprzedawał dane osobowe, takie jak imię i nazwisko, płeć i adres stronom trzecim, bez uzyskania zgody osób, których dane dotyczą. Organ ochrony danych odrzucił również istnienie uzasadnionego interesu w zakresie sprzedaży danych i dlatego uznał, że nie ma podstawy prawnej do przekazania danych osobowych sponsorom. link
Hiszpania 2020-02-28 48.000 EUR Vodafone ONO, S.A.U. Art. 32 RODO Firma miala niedociagniecia w zakresie bezpieczeństwa informacji, np. dwie osoby otrzymały ten sam klucz bezpieczeństwa. link
Hiszpania 2020-02-27 120.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Vodafone España nie był w stanie udowodnić hiszpańskiemu organowi ochrony danych, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jego danych osobowych w celu zawarcia umowy telefonicznej. Ponadto decyzja organu ochrony danych podkreśla, że ​​Vodafone España bezprawnie ujawniła dane osobowe osoby, której dane dotyczą, różnym agencjom kredytowym. link
Hiszpania 2020-02-25 48.000 EUR HM Hospitales Art. 5 RODO, Art. 6 RODO "Osoba, której dane dotyczą, w momencie przyjęcia do szpitala musiała wyrazić zgodę na przekazanie swoich danych stronom trzecim. Formularz przyjęcia był niezgodny z RODO, ponieważ wymuszał na pacjencie wyrażenie zgody." link
Hiszpania 2020-02-25 6.000 EUR Casa Gracio Operation Art. 5 (1) c) RODO Firma korzystała z kamer CCTV, która rejestrowała również sferę publiczną, co spowodowało naruszenie zasady minimalizacji danych. link
Włochy 2020-01-23 30.000 EUR Azienda Ospedaliero Universitaria Integrata di Verona (Hospital) Art. 5 (1) f) RODO, Art. 32 RODO Osoby nieupoważnione miały dostęp do danych zdrowotnych. Radiolog i stażysta mogli zobaczyć informacje o stanie zdrowia swoich kolegów. Włoski organ ochrony danych wykazał, że szpital nie zastosował wystarczajacych organizacyjnych i technicznych środków ochrony danych, co skutkowało niezgodnym z prawem przetwarzaniem. Według organu ochrony danych naruszenia można było uniknąć, np. poprzez zastosowanie się do wytycznych dotyczących dokumentacji medycznej wydanej przez organ ochrony danych w 2015 r. (wytyczne stanowią, że dostęp do dokumentacji medycznej musi być ograniczony tylko do personelu medycznego zaangażowanego w leczenie pacjenta). link
Włochy 2020-01-23 30.000 EUR Sapienza Università di Roma (Uniwersytet) Art. 5 (1) f) RODO, Art. 32 RODO Według włoskiego urzędu ochrony danych Sapienza Università udostępniła online dane identyfikacyjne dwóch osób, które zgłosiły uniwersytetowi możliwe nielegalne działanie. Naruszenie wynikał ze złego zastosowania technicznych środków kontroli dostępu w ramach systemu zarządzania (nieupoważnieni pracownicy mieli dostęp do danych osobowych). link
Hiszpania 2020-02-18 1.500 EUR Mymoviles Europa 2000, S.L. Art. 13 RODO Hiszpański urząd ochrony danych stwierdził, że firma nie opublikowała oświadczenia o ochronie prywatności na swojej stronie internetowej oraz, że jej informacja prawna nie identyfikuje się w wystarczającym stopniu. link
Hiszpania 2020-02-14 2.500 EUR Grupo Valsor Y Losan, S.L. Art. 5 (1) f) RODO Administrator ujawnił dane osobowe stronie trzeciej w umowie zakupu nieruchomości (naruszenie zasad integralności i poufności danych osobowych). link
Hiszpania 2020-02-14 3.000 EUR Colegio Arenales Carabanchel (Szkoła) Art. 6 RODO Szkoła przekazała zdjęcia (a zatem dane osobowe) stronom trzecim, które opublikowały je bez podstawy żadnej prawnej. link
Hiszpania 2020-02-14 50.000 EUR Iberdrola Clientes Art. 6 RODO Iberdola Clientes, spółka energetyczna, rozwiązała umowę osoby, której dane dotyczą, bez jej zgody, zawarła trzy nowe umowy z osobą, której dane dotyczą, przetwarzała jego dane osobowe niezgodnie z prawem i przekazała dane osobowe powoda podmiotowi trzeciemu bez podstawy prawnej. link
Hiszpania 2020-02-14 42.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Skarżący miał dostęp do danych stron trzecich w swoim osobistym profilu Vodafone link
Hiszpania 2020-02-14 30.000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO, Art. 32 RODO Strona trzecia miała dostęp do nazwiska, numeru telefonu i adresu innego klienta. link
Niemcy 2019-04-12 80.000 EUR Firma w sektorze finansowym Art. 5 RODO, Art. 32 RODO Średnie przedsiębiorstwo usług finansowych nie dochowało należytej staranności w celu zachowania integralności i poufności informacji w rozumieniu art. 5 ust. 1 lit. f RODO przy usuwaniu dokumentów zawierających dane osobowe dwóch klientów. W konsekwencji, bez uprzedniej anonimizacji, dokumenty zostały usunięte w ogólnym systemie recyklingu makulatury, w którym dokumenty zostały znalezione przez sąsiada. link
Niemcy 2019 51.000 EUR Facebook Germany GmbH Art. 37 RODO Facebook Ireland wyznaczył inspektora ochrony danych dla wszystkich spółek grupy z siedzibą w UE, jednak nie powiadomiono o tym DPA Hamburg, właściwego dla Facebook Germany GmbH. Grzywnę obliczono na podstawie obrotów niemieckiego oddziału (35 mln EUR). Istotny wpływ na wysokość kary miał fakt, że pominięte powiadomienie zostało natychmiast uzupełnione, Facebook działał niedbale i nie naruszył obowiązku wyznaczenia inspektora ochrony danych, a jedynie obowiązek powiadomienia. link
Niemcy 2019 20.000 EUR Hamburger Verkehrsverbund GmbH (HVV GmbH) Art. 33 RODO, Art. 34 RODO "W dniu 6 lipca 2018 r. HVV niemiecki organ nadzorczy został poinformowany przez klienta o luce w zabezpieczeniach na stronie www.hvv.de, która została spowodowana aktualizacją w dniu 5 lutego 2018 r. Luka dotyczyła tak zwanej E-usługi klienta (CES). Klienci logowali się do CES, który posiadał kartę HVV i powiązali swoje konto klienta CES z co najmniej jednym aktywnym stosunkiem umownym w systemach działających w tle, zmieniając adres URL, mogli wyświetlać dane innych klientów, którzy mieli Kartę HVV. Naruszenie danych nie zostało zgłoszone organowi ochrony danych w odpowiednim czasie." link
Niemcy 2019 nieznana Hamburger Volksbank eG Art. 21 RODO Firma wysłała klientowi biuletyn z treściami reklamowymi pocztą elektroniczną, pomimo wcześniejszego sprzeciwu tego klienta. link
Hiszpania 2020-02-04 1.500 EUR Cafetería Nagasaki Art. 5 RODO, Art. 6 RODO Nagasaki Cafetería nie wywiązała się ze swoich obowiązków wynikających z RODO, ponieważ umieściła kamery monitorujące w taki sposób, aby monitorować przestrzeń publiczną poza jej lokalami, co nieproporcjonalnie dotknęło pieszych. link
Hiszpania 2020-02-03 60.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 6 RODO Osoba, której dane dodyczą złożyła skargę na Vodafone España, która bez wiedzy tej osoby, podpisała umowę na przeniesienie abonamentu telefonicznego ze stroną trzecią. W rezultacie osoba skarżąca otrzymywała e-maile od strony trzeciej w sprawie dokonanego zakupu. link
Hiszpania 2020-02-03 75.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba, której dane dodyczą złożyła skargę na Vodafone España, która bez wiedzy tej osoby, podpisała umowę na przeniesienie abonamentu telefonicznego ze stroną trzecią. W rezultacie osoba skarżąca otrzymywała e-maile od strony trzeciej w sprawie dokonanego zakupu. link
Hiszpania 2020-02-03 60.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba otrzymała fakturę za korzystanie z usługi, której nigdy nie żądała. Dane tej osoby zostały włączone do systemów informatycznych Vodafone España bez jej zgody na przetwarzanie. Grzywna w wysokości 100 000 EUR została obniżona do 60 000 EUR z powodu dobrowolnej zapłaty. link
Hiszpania 2020-02-03 50.000 EUR Vodafone España, S.A.U. Art. 5 RODO Grzywnę poprzedziła skarga osoby, której dane dotyczą, która twierdziła, że ​​Vodafone España przesłała sąsiadowi faktury zawierające jego dane osobowe, takie jak imię i nazwisko, dowód tożsamości i adres. link
Hiszpania 2020-02-03 20.000 EUR Iberia Lineas Aereas de Espana, S.A. Operadora Unipersonal Art. 5 RODO, Art. 6 RODO, Art. 21 RODO Iberia, pomimo żądania wycofania zgody oraz usunięcia danych, w dalszymciągu wysyłała e-maile do osoby, której dane dotyczą. link
Hiszpania 2020-02-03 75.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Były klient firmy w dalszym ciągu otrzymywał powiadomienia na fakturze, chociaż w tym czasie nie było ani stosunku umownego, ani jakiejkolwiek płatności zaległej z powodu wygasłego stosunku umownego. Jako przyczynę nieprawidłowych wysyłek Vodafone wskazał błąd techniczny. link
Hiszpania 2020-02-03 6.670 EUR Banco Bilbao Vizcaya Argentaria S.L. Art. 5 RODO, Art. 6 RODO, Art. 21 RODO Firma, pomimo wniesienia sprzeciwu, wielokrotnie wysyłała komunikaty reklamowe do osoby, której dane dotyczą. link
Hiszpania 2020-02-03 5.000 EUR Queseria Artesenal Ameco S.L. Art. 5 RODO, Art. 6 RODO Firma przetwarzała dane osobowe klientów bez wymaganej zgody. link
Hiszpania 2020-02-03 800 EUR Automoción Art. 5 RODO, Art. 6 RODO Pracownik firmy utworzył fałszywy profil koleżance na portalu erotycznym (zawierał m.in. jej dane kontaktowe, zdjęcie oraz informacje o orientacji seksualnej. Osoba, której dane dotyczą, otrzymała kilka telefonów od zainteresowanych profilem. Pierwotna grzywna miała wynosić 1000 EUR ale z powodu zaburzenia osobowości ukarnaego zminiejszono ją do 800 EUR. link
Hiszpania 2020-01-14 3.600 EUR Zhang Bordeta 2006, S.L. (Store and Restaurant) Art. 5 RODO Właściciel sklepu i restauracji zainstalował system nadzoru wideo, który m.in. robił zdjęcia chodnika, a tym samym przestrzeni publicznej, co narusza podstawową zasadę minimalizacji danych. link
Niemcy 2019-10-24 100.000 EUR Firma spożywcza Art. 5 RODO, Art. 32 RODO Firma utworzyła portal aplikacyjny na swojej stronie internetowej. Zainteresowane osoby mogły składać dokumenty aplikacyjne oneline. Firma nie zabezpieczyła danych poprzez np. zaszyfrowanie lub wprowadzenie hasła.Ponadto niezabezpieczone dane wnioskodawcy zostały połączone z Google, aby każdy, korzystający z wyszukiwarki Google, mógł również znaleźć dokumenty aplikacji i mieć do nich dostęp bez ograniczonego dostępu. link
Włochy 2020-01-15 10.000 EUR Community of Francavilla Fontana Art. 5 RODO, Art. 6 RODO Społeczność opublikowała na swojej stronie internetowej informacje o procesie sądowym, w tym dane osobowe, np dotyczące stanu zdrowia. link
Norwegia 2019-04-29 120.000 EUR Wydział Edukacji Miejskiej w Oslo Art. 32 RODO Gmina wprowadziła aplikację służącą do komunikacji między pracownikami szkoły, rodzicami i uczniami. Gmina nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa. Norweski urząd ochrony danych nie znalazł żadnych środków technicznych, które mogłyby zabezpieczyć dane szczególnych kategorii danych (np. dane dotyczące stanu zdrowia). Ponadto organ nazdorczy stwierdził, że aplikacja zawiera luki w zabezpieczeniach przed jej uruchomieniem z powodu nieodpowiednich testów bezpieczeństwa, oraz że niewystarczające bezpieczeństwo logowania umożliwia nieupoważnionym o dostęp i modyfikację danych osobowych ponad 63 000 studentów. link
Włochy 2020-01-15 27.800.000 EUR TIM (operator telekomunikacyjny) Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO "Kara została nałożona między innymi za:
  • brak zgody na działania marketingowe (telemarketing i cold calling),
  • nieprawidłowe zgody zbierane w aplikacjach TIM,
  • brak odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych (w tym nieprawidłową wymianę czarnych list z call center),
  • brak jasnych okresów przechowywania danych.
Organ nadzorczy nałożył również na TIM 20 środków naprawczych, zabraniając wykorzystywania danych osobowych do celów marketingowych od tych, którzy odmówili otrzymywania połączeń promocyjnych z centrów obsługi telefonicznej."
link
Grecja 2020-01-13 15.000 EUR Allseas Marine S.A. Art. 5 (1) a), (2) RODO Grecki organ nadzorczy ds. ochrony danych osobowych nałożył karę finansową za niezgodne z prawem wprowadzenie systemu nadzoru wideo w miejscu pracy (zakres danych pracowników przetwarzanych przez monitoring) oraz za brak poinformowania pracowników o wprowadzonym systemie nadzoru wideo.
Grecja 2019-12-19 150.000 EUR Aegean Marine Petroleum Network Inc. Art. 5 RODO, Art. 6 RODO, Art. 32 RODO Aegean Marine Petroleum nie podjęło niezbędnych środków technicznych w celu zabezpieczenia przetwarzania dużych ilości danych i oddzielenia odpowiedniego oprogramowania z danymi osobowymi przechowywanymi na serwerach. W konsekwencji firmy spoza Aegean Marine Petroleum Group miały dostęp do serwerów zawierających dane osobowe i skopiowały zawartość tych serwerów. Ponadto Aegean Marine Petroleum nie poinformowało osób, których dane dotyczą, o przetwarzaniu ich danych osobowych przechowywanych na serwerach.
Niemcy 2019 294.000 EUR Nieznany Art. 5 RODO Firma została ukarana grzywną w wysokości 294 000 EUR za „niepotrzebnie długie” przechowywanie akt osobowych oraz za „nadmierne” gromadzenie danych w procesie selekcji personelu, podczas którego zażądano również danych dotyczących zdrowia. link
Włochy 2019-12-11 8.500.000 EUR Eni Gas e Luce Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Pierwsza grzywna w wysokości 8,5 mln EUR dotyczy nielegalnego przetwarzania w związku z działalnością telemarketingową i telesprzedaży. Połączenia promocyjne były wykonywane między innymi bez zgody osoby, z którą nawiązano kontakt lub pomimo odmowy przez nią otrzymania połączeń promocyjnych lub bez uruchamiania specjalnych procedur sprawdzania publicznego rejestru rezygnacji. Ponadto brakowało środków technicznych i organizacyjnych uwzględniających informacje przekazywane przez użytkowników; dane były przetwarzane dłużej niż dozwolone okresy przechowywania danych; a dane dotyczące potencjalnych klientów zostały zebrane od podmiotów (dostawców list), którzy nie uzyskali zgody na ujawnienie takich danych. link
Włochy 2019-12-11 3.000.000 EUR Eni Gas e Luce Art. 5 RODO, Art. 6 RODO Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Druga grzywna w wysokości 3 mln EUR dotyczy naruszeń wynikających z zawarcia niezamówionych umów na dostawę energii elektrycznej i gazu na warunkach gospodarki rynkowej. Wiele osób skarżyło się Urzędowi, że dowiedziały się o zawarciu nowej umowy dopiero po otrzymaniu pisma o wypowiedzeniu umowy z poprzednim dostawcą lub pierwszych faktur Egl. W niektórych przypadkach skargi zgłaszały fałszywe informacje w umowach i fałszywe podpisy. link
Rumunia 2019-12-16 6.000 EUR SC Enel Energie S.A. (Electricity Distributor) Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 21 RODO Sankcje zostały nałożone w następstwie skargi, w której Enel Energie przetwarzał dane osobowe osoby w sposób niezgodny z prawem i nie był w stanie udowodnić, że uzyskał zgodę tej osoby na wysyłanie powiadomień e-mail. Ponadto rumuński urząd ds. ochrony danych osobowych wskazał, że operator nie podjął niezbędnych środków w celu zaprzestania przesyłania powiadomień, mimo że osoba ta wielokrotnie korzystała z prawa do sprzeciwu. Operator SC Enel Energie SRL został ukarany z naruszeniem dwóch grzywn, każda w wysokości 14 334,30 lei, co stanowi równowartość 3000 EUR. link
Rumunia 2019-12-13 5.000 EUR Entirely Shipping & Trading S.R.L. Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODO Firma nadmiernie przetwarzała dane osobowe swoich pracowników za pomocą kamer wideo zainstalowanych w biurach oraz w miejscach, w których znajdują się szafki, w których pracownicy przechowują swoje zapasowe ubrania (szatnie) (naruszenie zasady „minimalizacji danych”) link
Rumunia 2019-12-13 5.000 EUR Entirely Shipping & Trading S.R.L. Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODO, Art. 9 RODO Firma przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, przy użyciu twardych i mniej inwazyjnych środków ochrony prywatności osób, których dane dotyczą (naruszenie zasady „minimalizacji danych”) link/td>
Cypr 2020-01-13 9.000 EUR Social Insurance Services of the Ministry of Labor, Welfare and Social Insurance Art. 32 RODO Przyznanie nieuprawnionemu podmiotowi dostępu do danych osobowych (w tym wypadku policji). Mimo zaleceń inspektora - zastosowanie nieadekwatnych środków w celu ochrony danych. link
Cypr 2020-01-13 1.000 EUR eShop for Sports (M.L. PRO.FIT SOLUTIONS LTD) Art. 6 RODO Firma wysyłąłą wiadomości marketingowe SMS bez otrzymania na to zgody. Przede wszystkim nie pojdęto żadnych odpowiednich środków, takich jak możliwość zablokowania przez użytkowników telefonu wiadomości marketingowych z eShop for Sports poprzez rezygnację z otrzymywania wiadomości marketingowych SMS. link
Hiszpania 2020-01-09 3.000 EUR VODAFONE ESPANA, S.A.U. Art. 58 RODO Firma nie dostarczyła hiszpańskiemu urzędowi ochrony danych wymaganych informacji w wyznaczonym terminie. Stanowiło to naruszenie art. 58 RODO. link
Hiszpania 2020-01-07 44.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 (1) f) RODO Firma wysłała umowę, która zaiwerała dane osobowe (nazwa, adres i numer telefonu wnioskodawcy), do niewłaściwego odbiorcy. link
Hiszpania 2020-01-07 75.000 EUR EDP España S.A.U. Art. 6 RODO Firma przetwarzała dane osobowe, takie jak imię i nazwisko, numer identyfikacji podatkowej, adres i numer telefonu komórkowego bez zgody osoby, której dane dotyczą link
Hiszpania 2020-01-07 75.000 EUR EDP Comercializadora, S.A.U. Art. 6 RODO Firma przetwarzała dane osobowe w związku z umową gazową bez zgody wnioskodawcy. W decyzji stwierdzono, że wnioskodawca otrzymał fakturę za umowę gazową, której nie podpisał. EDP Comercializadora uważa, że przetwarzanie danych jest uzasadnione, ponieważ skarżący jest stroną umowy z innym przedsiębiorstwem energetycznym, które z kolei zawarło umowę na dostawę z EDP Comercializadora. Hiszpański urząd ochrony danych stoi na stanowisku, że EDP Comercializadora powinno udowodnić, że osoba, której sprawa dotyczy, zgodziła się na umowę z drugim podmiotem, a nie tylko z jego bezpośrednim dostawcą energii. link
Hiszpania 2020-01-07 10.000 EUR Asociación de Médicos Demócratas Art. 6 RODO Asociación de Médicos Demócratas przetwarzało dane osobowe swoich członków, bez ich zgody. Przetwarzanie odbywało się pomimo ostrzeżenia hiszpańskiego urzędu ochrony danych osobowych. link
Rumunia 2019-12-10 14.000 EUR Hora Credit IFN SA Art. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 33 RODO Sankcje zostały zastosowane w wyniku skargi, w której Hora Credit IFN SA przekazał dokumenty zawierające dane osobowe innej osoby na niewłaściwy adres e-mail. W wyniku dochodzenia ustalono, że Hora Credit IFN SA przetwarzał dane bez zapewnienia skutecznych mechanizmów weryfikacji i walidacji dokładności gromadzonych danych przetwarzanych zgodnie z zasadami określonymi w art. 5 RODO. Stwierdzono również, że operator nie podjął wystarczających środków bezpieczeństwa w odniesieniu do danych osobowych, zgodnie z art. 25 i 32 RODO, aby uniknąć nieuprawnionego i dostępnego ujawnienia danych osobowych stronom trzecim. Jednocześnie Hora Credit IFN SA nie powiadomił organu nadzorczego o zdarzeniu naruszającym bezpieczeństwo, o którym zostało powiadomione, zgodnie z art. 33 RODO, w ciągu 72 godzin od dnia, w którym dowiedział się o tym. Grzywna składa się z trzech częściowych grzywien w wysokości 3000 EUR, 10000 EUR i 1000 EUR. link
Cypr 2019-10-25 70.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Cypr 2019-10-25 10.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Cypr 2019-10-25 2.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Wielka Brytania 2019-12-17 320.000 EUR Doorstep Dispensaree Ltd. (Apteka ) Art. 32 RODO Niedostateczny dobór środków zabezpieczających dane osobowe. Firma przechowała około 500 000 dokumentów zawierających nazwiska, adresy, daty urodzenia, numery NHS (numer ten podawany jest pacjentowi na piśmie podczas rejestracji w przychodni zdrowia (GP Practice). Numer NHS pomaga personelowi służby zdrowia uzyskać dostęp do danych medycznych pacjenta) oraz informacje medyczne i recepty w niezamkniętych, niezabezpieczonych pojemnikach, co spowodowało zalanie tych dokumentów i częściowe ich uszkodzenie. link
Rumunia 2019-12-18 2.000 EUR Telekom Romania Mobile Communications SA Art. 32 RODO Firma nie zachowała należytej starnooności przetwarzając dane osobowe swoich klientów - dane osobowe klienta ujawniła innemu klientowi. link
Bułgaria 2019-10-28 511 EUR firma nieznana Art. 12 (3) RODO, Art. 15 (1) RODO Pracowca został ukarany za odmowę udzielenia dostępu do danych osobowych byłemu pracownikowi, który o to wnioskował (prawo dostępu do danych osobowych). link
Węgry 2019-12-11 1.430 EUR firma nieznana art. 5 RODO, art. 6 RODO, art. 13 RODO, art. 24 RODO, art 25 RODO Firma przetwarzała prywatne emaile byłego pracownika bez podstawy prawnej i tym samym łamiąc przepisy dotyczące przechowywania danych. link
Rumunia 2019-11-29 500 EUR Stowarzyszenie właścicieli domów Art. 32 RODO Stowarzyszenie korzystało z monitoringu bez udzielenia odpowiednich informacji o tym (brak tzw. obowiązku informacyjnego wynikającego z art. 13 RODO) oraz zostały zastosowane nieodpowiednie środki zabezpieczajace w związku z dostępem do systemu. link
Bułgaria 2019-10-08 5.112 EUR Ministerstwo Spraw Wewnętrznych Art. 5 (1) RODO, Art. 6 (1) RODO Ministerstwo Spraw Wewnętrznych zostało ukarane za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą A.K. Ministerstwo Spraw Wewnętrznych przesłało dane osobowe A.K. do Republiki Togijskiej (Togo). link
Bułgaria 2019-10-07 511 EUR B.D. Art. 31 RODO B.D. otrzymało karę pieniężną za brak dostępu do informacji potrzebnych Komisji Ochrony Danych Osobowych do wykonania jej zadań i wydawaniaa dyspozycji. link
Bułgaria 2019-09-03 1.022 EUR Usługi telekomunikacyjne Art. 6 (1) RODO, Art. 25 (1) RODO Dostawca usług telekomunikacyjnych i jego przedstawiciel handlowy w Bułgarii zostali ukarani za niezgodne z prawem przetwarzanie danych osobowych - w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 5.113 EUR Usługi telekomunikacyjne Art. 6 (1) RODO, Art. 25 (1) RODO Przedstawiciel handlowy dostawcy usług telekomunikacyjnych został ukarany za niezgodne z prawem przetwarzanie danych osobowych - w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 11.760 EUR Przedstawiciel handlowy dostawcy usług telekomunikacyjnych Art. 6 (1) RODO Przedstawiciel handlowy dostawcy usług telekomunikacyjnych został ukarany za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą - dane były przetwarzane niezgodnie z prawem w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 1.121 EUR Prywatny agent egzekucyjny Art. 12 (4) RODO, Art. 15 RODO Osoba, której dane dotyczą, złożyla wniosek o dostęo do swoich danych osobowych zarejestrowanych w formie wideo. Firma nie udzieliła dostępu i nie poinformowała o przyczynie odrzucenia wniosku. link
Węgry 2019-10-24 7.400 EUR Szpital wojskowy Art. 32 RODO Art. 33 RODO Szpital wojskowy nie dotrzymał terminu zgłoszenia naruszenia danych. Kolejna część grzywny dotyczy niezastosowania odpowiednich środków technicznych i organizacyjnych. link
Hiszpania 2019-11-19 6.000 EUR Bar sportowy Art. 5 (1) c) RODO Kamery monitoringu swoim zasięgiem obejmowały obszar publiczny link
Hiszpania 2019-11-06 60.000 EUR VODAFONE ESPANA, S.A.U. Art. 6 RODO Vodafone wysłał dane do faktury klienta do nieautoryzowanych stron trzecich. Pierwotnie grożono grzywną w wysokości 75 000 EUR, ale obniżono ją do 60 000 EUR w związku z natychmiastową zapłatą i uchyleniem odwołania. link
Hiszpania 2019-10-23 60.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 (1) f) RODO Vodafone, w ramach reklamacji, przesłał subskrybentowi historię faktur. Historia zawierała również dane do faktury nieznanej strony trzeciej. link
Rumunia 2019-12-02 2.000 EUR Nicola Medical Team 17 SRL Art. 58 RODO Firma nie zastosowała środków zarządzonych przez krajowy urząd ochrony danych. link
Holandia 2019-10-31 50.000 EUR Menzis (Health Insurance Company) Art. 5 RODO Zespół marketingowy miał dostęp do danych pacjentów. Naruszało to między innymi zasadę ograniczenia celu. link
Grecja 2019-10-18 20.000 EUR Wind Hellas Telecommunications Art. 21 RODO Firma zignorowała sprzeciwy osób, które otrzymywały telefony z ofertami reklamowymi.
Szwecja 2019-12-16 35.000 EUR Nusvar AB Art. 6 RODO Szwedzki organ ochrony danych nałożył grzywnę administracyjną w wysokości 35 000 EUR na Mrkoll.se - stronę internetową, która publikuje dane osobowe wszystkich Szwedów w wieku powyżej 16 lat - za naruszenie Ustawy o informacji kredytowej. link
Niemcy 2019 800 EUR Policja Art. 6 RODO Policjant wykorzystał dane osobowe świadka, aby skontaktować się z nim w prywatnym celu. link
Hiszpania 2019-12-10 1.600 EUR Megastar SL Art. 5 (1) c) RODO Art. 13 RODO Firma obsługiwała system nadzoru wideo, w którym oko kamery niepotrzebnie sięgało do strefy ruchu publicznego. Ponadto, nie została umieszczona informacja o ochronie danych osobowych.
Hiszpania 2019-12-03 1.500 EUR Cerrajeria Verin S.L. Art. 13 RODO Firma obsługiwała system nadzoru wideo, w którym oko kamery niepotrzebnie sięgało do strefy ruchu publicznego. Ponadto, nie została umieszczona informacja o ochronie danych osobowych. link
Hiszpania 2019-12-03 5.000 EUR Linea Directa Aseguradora Art. 6 RODO Firma ubezpieczeniowa bez wymaganej zgody wysłała e-maile reklamowe na platformę „Reto Nuez”. link
Rumunia 2019-12-16 2.000 EUR Globus Score SRL Art. 58 RODO Firma nie zastosowała się do środków zarządzonych przez krajowy organ nadzoru. link
Rumunia 2019-11-26 3.000 EUR Modern Barber Art. 58 RODO Firma nie zastosowała się do środków zarządzonych przez krajowy urząd ochrony danych. link
Bułgaria 2019-09-03 28.160 EUR National Revenue Agency Art 6 (1) RODO, Art 58 (2) e) RODO, Art 83 (5) a) RODO Krajowa Agencja Skarbowa została ukarana karą pieniężną za niezgodne z prawem przetwarzanie danych osobowych G.B.I. Dane osobowe G.B.I. zostały bezprawnie zebrane, a następnie wykorzystane do rozpoczęcia procedury egzekucyjnej (w celu odzyskania ok 86.596,00 EUR). W związku z utworzoną sprawą egzekucyjną Krajowa Agencja Skarbowa zebrała dodatkowe dane dotyczące rachunków bankowych G.B.I z rejestru Narodowego Banku Bułgarii. Dodatkowe zgromadzone dane były również przetwarzane niezgodnie z prawem przez Krajową Agencję Skarbową podczas wysyłania nakazów poręczenia do banków, z którymi G.B.I. miał konta bankowe. link
Węgry 2019-10-01 15.100 EUR Miasto Kerepes Art. 6 (1) RODO Miasto korzystało z monitoringu na podstawie swoich uzasadnionych interesów (art. 6 ust. 1 lit. f) Jednak zgodnie z przepisem tego samego artykułu - powołana podstawa prawna nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoch zadań. Przetwarzanie nie mogło opierać się na innej podstawie prawnej. link
Hiszpania 2019-11-28 75.000 EUR Curenergía Comercializador de último recurso Art. 6 RODO An individual filed a complaint against the company alleging that the company had used its personal data as a former customer, such as first and last name, VAT identification number and address, to enter into an electricity supply contract. link
Hiszpania 2019 21.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 (1) RODO Vodafone przetwarzałł dane osobowe powoda (dane bankowe, imię, nazwisko i krajowy numer identyfikacyjny) wiele lat po zakończeniu stosunku umownego. Grzywna w wysokości 35 000 EUR została obniżona do 21 000 EUR. link
Hiszpania 2019 36.000 EUR VODAFONE ONO, S.A.U. Art. 5 (1) f) RODO Firma wysłała marketingową wiadomość mailową do dużej ilości osób, bez ukrycia adresów email odbiorów. Początkowa kara 60.000 EUR została obniżona do kwoty 36.000 EUR. link
Hiszpania 2019 48.000 EUR VODAFONE ONO, S.A.U. Art. 32 RODO Klienci mieli dostęp do danych osobowych innych klientów w strefie klienta. Początkowa grzywna w wysokości 60 000 EUR została obniżona do 48 000 EUR. link
Hiszpania 2019 48.000 EUR TELEFONICA MOVILES ESPAÑA, S.A.U. Art. 5 (1) a) RODO Rachunek bankowy powoda został obciążony przez firmę dwiema fakturami za usługi, które zlecił, jednak z danymi osobowymi innego klienta. Początkowa grzywna w wysokości 60 000 EUR została obniżona do 48 000 EUR. link
Hiszpania 2019 30.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 5 (1) f) RODO Art. 32 RODO Ujawnienie danych osobowych klientów (m.in. historia zakupów) za pośrednictwem wiadomości SMS do innego klienta. Początkowa grzywna w wysokości 50 000 EUR została obniżona do 30 000 EUR. link
Hiszpania 2019 40.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 RODO Firma obciążyła powoda za niezamówioną przez niego usługę (Netflix). Powód mógł udowodnić, że z usługi korzystało inne gospodarstwo domowe, które rzekomo otrzymało rachunek bankowy i numer telefonu powoda od Vodafone. Ponieważ Vodafone nie mógł udowodnić, że powód wyraził zgodę na zawarcie umowy dotyczącej usług Netflix, AEPD nałożyła grzywnę w wysokości 40 000 EUR. link
Hiszpania 2019 20.000 EUR Indywidualny Art. 5 (1) c) RODO Kamery nadzoru wideo były nie tylko wykorzystywane do ochrony mienia, ale także monitorowały pracowników (naruszenie zasady minimalizacji danych). link
Hiszpania 2019 9.000 EUR Indywidualny Art. 5 (1) c) RODO Kamery nadzoru wideo były nie tylko wykorzystywane do ochrony mienia, ale także monitorowały pracowników (naruszenie zasady minimalizacji danych). link
Hiszpania 2019 3.600 EUR AMADOR RECREATIVOS, S.L Art. 5 (1) c) RODO Nieuzasadniony monitoring przestrzeni publicznej. Nieprzestrzeganie zasady minimalizacji danych. link
Niemcy 2019-12-09 10.000 EUR Rapidata GmbH Art. 37 RODO Pomimo wielokrotnych wniosków BfDI firma (dostawca Internetu) nie wywiązała się z obowiązku prawnego na mocy art. 37 RODO dotyczącego wyznaczenia inspektora ochrony danych. link
Rumunia 2019-12-04 20.000 EUR S CNTAR TAROM SA (Airline) Art. 32 RODO Linie lotnicze nie podjęły odpowiednich środków w celu zapewnienia bezpieczeństwa danych osobowych. Pracownicy lini lotniczych nie przetwarzały danych osobowych zgodnie z procedurami (art. 32 ust.4 RODO). W konsekwencji jeden z pracowników miał nieupraniony dostęp do aplikacji związanej z rezerwacjami. Sfotografował listę z danymi osobowymi 22 pasażerów / klientów, a następnie opublikował ją w Internecie. link
Niemcy 2019-12-03 105.000 EUR Szpital Art. 5 RODO Grzywna oparta jest na kilku naruszeniach podstawowego rozporządzenia o ochronie danych w związku z pomyłkami podczas przyjmowania pacjentów. Doprowadziło to do nieprawidłowego fakturowania i ujawniło strukturalne deficyty techniczne i organizacyjne w zarządzaniu informacjami o pacjentach w szpitalu. link
Hiszpania 2019-12-01 10.000 EUR Ikea Ibérica Art. 6 RODO Firma zainstalowała pliki cookie na urządzeniu końcowym użytkowników końcowych bez uprzedniej zgody osoby, której dane dotyczą link
Rumunia 2019-11-29 2.500 EUR Royal President S.R.L Art. 15 RODO, Art. 6 RODO, Art. 32 RODO Royal President odrzucił wniosek o dostęp do danych osobowych zgodnie z art.15 RODO i ujawnił dane osobowe bez zgody osób, których dane dotyczą. Ponadto nie podjęto odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanych danych. link
Belgia 2019-11-28 5.000 EUR Burmistrz Art. 6 RODO Kara za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail były zbierane w innym celu. link
Belgia 2019-11-28 5.000 EUR Radny miejski Art. 6 RODO Kara za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail były zbierane w innym celu. link
Rumunia 2019-11-28 80.000 EUR ING Bank N.V. Bucharest Art. 32 RODO ING Bank nie podjął odpowiednich środków technicznych i organizacyjnych dla systemu zautomatyzowanego przetwarzania danych podczas procesu rozliczania transakcji kart dotyczących 225 525 klientów, co spowodowało podwójne transakcje realizowane między 8 a 10 października. link
Francja 2019-11-21 500.000 EUR Futura Internationale Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 RODO Futura Internationale została ukarana za bezprawny marketing telefoniczny pomimo zakazu kilku skarżących. Dochodzenie francuskiego urządu ochrony danych w sprawie Futura Internationale ujawniło, że Futura Internationale otrzymała kilka listów w sprawie sprzeciwu wykonywania marketingu telefonicznego oraz, że firma przechowywała nadmiarowe informacje o klientach i ich zdrowiu. Futura Internationale nie wywiązała się ze spełnienia obowiązku informacyjnego wobec osób, których dane przetwrzała, w tym nie udzielała informacji o nagrywaniu rozmów telefonicznych. link
Hiszpania 2019-11-19 60.000 EUR Xfera Moviles S.A. Art. 32 RODO Indywidualny skarżący otrzymał SMS od Xfera Móviles, który miał być adresowany do strony trzeciej i który umożliwiał mu dostęp do konta i danych osobowych tej strony trzeciej na stronie internetowej Xfera Móviles (za pośrednictwem numeru telefonu i hasła otrzymanego przez SMS). link
Łotwa 2019-11 150.000 EUR Nieznany Art. 6 RODO Nielegalne przetwarzanie danych. Brak dalszych informacji. link
Rumunia 2019-11-25 11.000 EUR Courier Services Company Art. 32 RODO Administrator nie podjął odpowiednich środków technicznych i organizacyjnych prowadzących do utraty i nieuprawnionego dostępu do danych osobowych (imię i nazwisko, numer karty bankowej, kod CVV, adres posiadacza karty, osobisty numer identyfikacyjny, numer seryjny i dowód osobisty, numer rachunku bankowego, autoryzowany limit kredytowy) około 1100 osób, których dane dotyczą. link
Rumunia 2019-11-22 2.000 EUR BNP Paribas Personal Finance S.A. Art. 12 RODO Art. 17 RODO BNP Paribas Personal Finance nie zareagował na żądanie usunięcia danych w terminie określonym w RODO. link
Hiszpania 2019-11-21 60.000 EUR Viaqua Xestión Integral Augas de Galicia Art. 6 RODO Przetwarzanie (modyfikacja) danych osobowych klienta zawartych w umowie przez osobę trzecią bez zgody klienta. link
Hiszpania 2019-11-19 60.000 EUR Corporacion de radio y television espanola Art. 32 RODO Utrata sześciu pamięci USB z nieszyfrowanymi danymi osobowymi link
Hiszpania 2019-11-14 30.000 EUR Telefónica SA Art. 5 RODO Telefónica obciążył skarżącego różnymi opłatami związanymi z obsługą linii telefonicznej, której skarżący nigdy nie posiadał. Rachunek bankowy skarżącego został powiazany z innym klientem Telefónica i tym samym został obciążony. Według hiszpańskiego urzędu ochrony danych jest to sprzeczne z zasadą dokładności wymaganą w art. 5 ust. 1 lit. d RODO. link
Niemcy 2019 80.000 EUR Nieznany Art. 32 RODO Brak odpowiednich mechanizmów kontroli wewnętrzej spowodowował udostępnienie w publikacji cyfrowej danych dotyczących stanu zdtowia. link
Polska 2019-10-16 47.000 EUR ClickQuickNow Art. 5 RODO UODO nałożyło grzywnę za utrudnianie korzystania z prawa odstąpienia od przetwarzania danych osobowych. Firma nie podjęła odpowiednich środków technicznych i organizacyjnych, które pozwalają na proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz korzystanie z prawa do żądania usunięcia danych osobowych. link
Portugalia 2019-03-19 2.000 EUR Nieznany Art. 13 RODO Brak sygnalizacji dotyczącej korzystania z systemów CCTV
Hiszpania 2019-11-13 3.000 EUR General Confederation of Labour ('CGT') Art. 6 RODO CGT bez zgody osoby oskarżającej firmę o molestowanie, w celu zwołania spotkania przesłała do 400 członków związku wiadomość email zawierającą dane osobowe powoda, w tym: adres domowy, stosunki rodzinne, stan ciąż oraz datę rozprawy. link
Hiszpania 2019-11-07 900 EUR TODOTECNICOS24H S.L Art. 13 RODO TODOTECNICOS24H zebrał dane osobowe bez podania dokładnych informacji na temat gromadzenia danych w obowiązku informacyjnym zgodnym z art.13 RODO. link
Hiszpania 2019-11-06 1.500 EUR Cerrajero Online Art. 13 RODO Firma zgromadziła dane osobowe bez podania dokładnych informacji na temat gromadzenia danych w obowiązku informacyjnym zgodnym z art.13 RODO. link
Hiszpania 2019-10-31 6.000 EUR Jocker Premium Invex Art. 6 RODO Po zarejestrowaniu się w lokalnym spisie powszechnym Jocker Premium Invex wysłał reklamy i oferty handlowe za pośrednictwem poczty, chociaż dane takie jak imię, nazwisko i adres pocztowy zostały przekazane jedynie administracji publicznej. link
Hiszpania 2019-10-25 36.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 RODO Art. 6 RODO Dane powoda zostały przekazane firmie Vodafone España za pośrednictwem jego córki oraz za jego zgodą. Vodafone España skontaktowało się z powodem proponując swoje usługi. Powód nie przyjął oferty, mimo to firma Vodafone España rozpoczęła świadczene usług i rządał za nie zapłaty. Vodafone España przetworzyło dane osobowe powoda bez zgody powoda. link
Hiszpania 2019 9.600 EUR Restauracja Art. 5 (1) a) ROD Art. 6 RODO Restauracja chciała nałożyć sankcje dyscyplinarne na pracownika wykorzystującego obrazy wideo z telefonu komórkowego, który w celach dowodowych, został nagrany przez innego pracownika. link
Hiszpania 2019 12.000 EUR  Madrileña Red de Gas Art. 32 RODO Firma gazowa nie wprowadziła odpowiednich procedur w celu weryfikacji tożsamości osoby, której dane dotyczą. link
Holandia 2019-10-31 900.000 EUR UWV (Dutch employee insurance service provider) Art. 32 RODO Niewystarczający dobór środków zabezpieczających, ponieważ UWV (holenderski dostawca usług ubezpieczenia pracowników - „Uitvoeringsinstituut Werknemersverzekeringen”) nie korzystał z uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do internetowego portalu pracodawców. Pracodawcy oraz służby zdrowia i bezpieczeństwa były w stanie gromadzić i wyświetlać dane dotyczące zdrowia pracowników w systemie ewidencji nieobecności. link
Słowacja ? Art. 15 RODO Administrator danych nie zastosował się do wniosku osoby, której dane dotyczą, o dostęp do jego danych osobowych przetwarzanych przez nagrania dźwiękowe. link
Słowacja Art. 5 (1) f) RODO, Art. 32 RODO Dokumenty zawierające dane osobowe zostały wyrzucone na wysypisko śmieci link
Słowacja ? Art. 5 (1) a) ROD Art. 32 RODO Naruszenie środków bezpieczeństwa informacji (w tej chwili brak dalszych informacji) link
Słowacja ? Art. 5 (1) a) ROD Art. 6 (1) a) RODO Dane osobowe zostały bezprawnie opublikowane na stronie internetowej miasta w ramach wypełniania obowiązku ujawnienia zgodnie z ustawą o wolności informacji. Jednak organ ochrony danych stwierdził, że miasto opublikowało dane osobowe z naruszeniem prawa i bez zgody zainteresowanej osoby. link
Słowacja 40.000 Slovak Telekom Art. 32 RODO Administrator nie podjął odpowiednich środków bezpieczeństwa podczas przetwarzania danych osobowych, naruszając w ten sposób obowiązek ochrony przetwarzanych danych osobowych. link
Słowacja 50.000 EUR Social Insurance Agency Art. 32 RODO Wnioski o świadczenia socjalne od obywateli Słowacji przesłano pocztą do władz zagranicznych. Dokumenty zawierające dane osobowe zaginęły, a zlokalizowanie ich bylo niemożliwe. link
Czechy 3.140 EUR UniCredit Bank Czech Republic and Slovakia, a.s. Art. 6 RODO Bank założył osobiste konto bankowe dla osoby, której dane dotyczą, bez jego zgody lub wiedzy. Bank podobno miał swoje dane osobowe, ponieważ podmiot pozbył się konta firmowego swojego pracodawcy. Bank nie był w stanie dostarczyć Urzędowi Ochrony Danych Osobowych niezbędnej dokumentacji potwierdzającej zawarcie umowy z osobą, której dane dotyczą. link
Czechy  588 EUR  Alz.cz a.s. Art. 6 ROD Art. 7 RODO Firma uzyskała kopię dokumentu tożsamości od osoby, której dane dotyczą (za jej zgodą), jednak w momencie wycofania zgody przez tę osobę,w dalszym ciagu przetwrzała jej dane. link
Czechy 980 EUR Przedsiębiorca indywidualny Art. 32 RODO Operator gry online był narażony na kilka ataków DDoS, które spowodowały nieprawidłowe działanie serwerów. Atakujący szantażował operatora, twierdząc, że ataki nie ustaną, dopóki nie zapłaci pieniędzy. W ramach szantażu atakujący zaoferował operatorowi, że stworzy ulepszoną i lepszą ochronę zapory ogniowej na serwerach operatora. Operator zgodził się i zapłacił napastnikowi. Operator zaimplementował nowy kod atakującego, który okazał się lepszy niż stary, ale w kodzie był „backdoor”. Atakujący wykorzystał backdoora do kradzieży wszystkich danych o graczach z serwera i przesłał te dane na swoją stronę internetową. Urząd Ochrony Danych Osobowych stwierdził, że operator nie podjął odpowiednich środków bezpieczeństwa. link
Cypr 14.000 EUR Lekarz Art. 5 RODO Art. 6 RODO Pacjentka złożyła skargę do organu nadzorczego na szpital, który nie spełnił żądania dostępu do jej dokumentacji medycznej. Kontroler nie mógł zidentyfikować / zlokalizować dokumentacji. Po zbadaniu sprawy na szpital nałożono grzywnę administracyjną w wysokości 5000 euro. link 1
Niemcy 2019-10-30 ? Deutsche Wohnen SE Art. 5 RODO Oprócz sankcji za naruszenie zasad ochrony prywatności zgodnie z projektem (art. 5 RODO, art. 25 RODO - patrz osobny wpis) berliński komisarz ds. ochrony danych nałożył na spółkę dodatkowe grzywny w wysokości od 6000 do 17 000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. link 1
Austria 2019-10-23 18.000.000 EUR Poczta Austriacka Art. 5(1) a) RODO Art. 6 RODO Poczta austriacka utworzyła profile ponad trzech milionów Austriaków, które zawierały informacje o ich adresach domowych, osobistych preferencjach, zwyczajach i możliwym przynależności partyjnej - które następnie zostały sprzedane, np. partiom politycznym i firmom. link 1
Polska 2019-10-18 9.380 EUR Burmistrz Aleksandrowa Kujawskiego Art. 28 RODO Nie zostałą zawarta umowa powierzenia przetwarzania danych osobowych z firmą, której serwery zawierały zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miasta w Aleksandrowie Kujawskim. Z tego powodu na burmistrza miasta nałożono grzywnę w wysokości 40 000 PLN (9400 EUR). link 1
Rumunia 2019-10-17 2.500 EUR UTTIS Industries srl Art. 12 RODO Art. 13 RODO Art 5(1) c) RODO Art. 6 RODO Sankcje zostały nałożone na administratora, ponieważ nie mógł udowodnić, że osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu danych osobowych / obrazów za pośrednictwem systemu nadzoru wideo, który działają od 2016 r. I ponieważ ujawnił CNP pracownicy, przedstawiając zgłaszającemu raport sprawozdania ze szkolenia upoważnionego personelu ISCIR za rok 2018, i nie mogli udowodnić legalności przetwarzania CNP poprzez ujawnienie, zgodnie z art. 6 RODO. link 1
Hiszpania 2019-10-16 60.000 EUR Xfera Moviles S.A. Art. 5 RODO Art. 6 RODO Xfera Movile wykorzystała dane osobowe bez podstawy prawnej do zawarcia umowy telefonicznej i w dalszym ciągu przetwarza dane osobowe również osób, które zarządały zaprzestania przetwarzania. link 1
Hiszpania 2019-10-16 8.000 EUR Iberdrola Clientes Art. 31 RODO Iberdrola Clientes, spółka elektroenergetyczna, odmówiła złożenia osobie wniosku o zmianę dostawcy energii elektrycznej, ponieważ twierdziła, że ​​jej dane zostaną uwzględnione na liście wypłacalności. W rezultacie hiszpański organ nadzorczy zażądał od Iberdola Clientes dostarczenia informacji o możliwości dodania danych osoby do listy wypłacalności, na którą firma nie odpowiedziała. Ten brak współpracy z regulatorem stanowił naruszenie art. 31 RODO. link 1
Hiszpania 2019-10-01 30.000 EUR Vueling Airlines Art. 5 RODO Art. 6 RODO Hiszpańska Agencja Ochrony Danych (AEPD) ukarała Vueling Airlines kwotą 30 000 euro za to, że nie daje użytkownikom możliwości odrzucenia plików cookie i zmuszenia ich do korzystania z nich, jeśli chcą przeglądać jej stronę internetową. Innymi słowy, przeglądanie strony Vueling nie było możliwe bez akceptacji plików cookie. AEDP wydało sankcję w wysokości 30 000 euro, którą można by natychmiast obniżyć do 18 000 euro. link 1
Rumunia 2019-09-26 9.000 EUR Inteligo Media SA Art. 5(1) a) RODO Art. 6(1) a) RODO W ramach procesu rejestracji na stronie avocatnet.ro operator użył niewypełnionego pola wyboru, za pomocą którego użytkownicy mogliby oświadczyć, że nie chcą otrzymywać listów informacyjnych drogą elektroniczną (rezygnacja). Bez żadnego działania użytkownik został automatycznie wysłany pocztą e-mail z listami informacyjnymi. Nie spełniło to wymagań zgody zgodnej z RODO. link 1
Portugalia 2019-03-25 2.000 EUR Nieznany Art. 13 RODO Brak sygnalizacji dotyczącej korzystania z systemów CCTV
Portugalia 2019-02-05 20.000 EUR Nieznany Art. 13 RODO Odmowa prawa dostępu do zarejestrowanych połączeń telefonicznych przez osobę, której dane dotyczą
Rumunia 2019-10-09 150.000 EUR Raiffeisen Bank SA Art. 32 RODO Pracownicy posiadali nieutoryzowany dostę do danych klientów link 1
Rumunia 2019-10-09 20.000 EUR Vreau Credit SRL Art. 32 RODO Art. 33 RODO Pracownicy posiadali nieautoryzowany dostęp do danych klientów link 1
Grecja 2019-10-07 200.000 EUR Dostawca usług telekomunikacyjnych Art. 5(1) RODO Art. 25 RODO Dobór nieodpowiednich środków technicznych uniemożliwił usunięcie danych dużej liczby klientów, która tego zażądała. W konsekwencji osoby te otrzymywały telefony o charakterze marketingowym. link 1
Grecja 2019-10-07 200.000 EUR Dostawca usług telekomunikacyjnych Art. 21(3) RODO Art. 25 RODO Zastosowanie nieodpowiednich środków technicznych uniemożliwiło usunięcie danych 8 000 klientów, którzy tego żądali. link 1
Węgry 2019-06-25 15.150 EUR brak danych Art. 33 RODO Administrator danych nie dopełnił swoich obowiązków w zakresie naruszenia ochrony danych w przypadku utraty pamięci flash z danymi osobowymi.
Węgry 2019-03-04 3.200 EUR Instytucja finansowa Art. 5 (1) b) i c) RODO Art. 13 (3) RODO Art. 17 (1) RODO Art. 6 (4) RODO Kara została nałożona w związku z wnioskiem osoby, której dane dotyczą, o korektę i usunięcie danych. NAIH nałożył grzywnę na nienazwaną instytucję finansową za niezgodne z prawem przetwarzanie numeru telefonu klienta. Instytucja finansowa twierdziła, że leży to w uzasadnionym interesie firmy (administratora) - wyegzekwowanie roszczenia wobec klienta. W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest konieczny do celów windykacji, ponieważ wierzyciel może również komunikować się z dłużnikiem pocztą. W związku z tym zachowanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu. Zgodnie z prawem oszacowana grzywna oparta była na 0,025% rocznych przychodów netto firmy.
Belgia 2019-09-17 10.000 EUR Kupiec Art. 5 (1) c) RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na handlowca, który chciał użyć elektronicznego dowodu tożsamości (eID) do stworzenia karty klienta. Dochodzenie przeprowadzone przez organ ochrony danych ujawniło, że akceptant wymagał dostępu do danych osobowych znajdujących się na eID, w tym zdjęcia i kodu kreskowego, które są powiązane z numerem identyfikacyjnym osoby, której dane dotyczą. link 1
Polska 2019-09-10 644.780 EUR Morele.net Art. 32 RODO Polski organ ochrony danych nałożył na Morele.net grzywnę w wysokości ponad 2,8 mln PLN (ok. 644 780 EUR) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do ​​nieuprawnionego dostępu do danych osobowych 2,2 mln osób. link 1
Austria 2019-08 50.000 EUR Firma w sektorze medycznym Art. 13 RODO Art. 37 RODO (Ostateczna) grzywna została nałożona na firmę z sektora medycznego z powodu nieprzestrzegania obowiązków informacyjnych i nie wyznaczenia inspektora ochrony danych./td> link 1
Austria 2019-07 11.000 EUR Trener piłki nożnej Art. 6 RODO Kara została nałożona na trenera piłki nożnej, który potajemnie filmował zawodniczki podczas kąpieli. link 1
Bułgaria 2019-08-28 2.600.000 EUR Krajowa Agencja Skarbowa Art. 32 RODO Wyciek danych osobowych podczas ataku hakerskiego z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Stwierdzono, że dane osobowe dotyczące około 6 milionów osób były nielegalnie dostępne. link 1
Bułgaria/td> 2019-08-28 511.000 EUR DSK Bank Art. 32 RODO Wyciek danych osobowych z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Strony trzecie miały dostęp do ponad 23 000 danych kredytowych dotyczących ponad 33 000 klientów banków, w tym danych osobowych, takich jak nazwiska, obywatelstwa, numery identyfikacyjne, adresy, kopie dowodów tożsamości i dane biometryczne. link 1
Łotwa 2019-08-26 7.000 EUR Usługi online Art. 17 RODO Sprzedawca, który świadczy usługi w sklepie internetowym, naruszył „prawo do bycia zapomnianym” zgodnie z art. 17 RODO, gdy osoba, której dane dotyczą, wielokrotnie wzywała go do usunięcia wszystkich swoich danych osobowych, w szczególności numeru telefonu komórkowego, które kupiec otrzymał w ramach zamówienia. Niemniej jednak sprzedawca wielokrotnie wysyłał SMS-y reklamowe na numer telefonu komórkowego osoby, której dane dotyczą. link 1
Szwecja 2019-08-20 18.630 EUR Szkoła w Skellefteå Art. 5 (1) c) RODO Art. 9 RODO Art. 35 RODO Art. 36 RODO Szkoła w Skellefteå przeprowadziła próbę użycia technologii rozpoznawania twarzy. Kara została nałożona na szkołę, która wykorzystywała technologię rozpoznawania twarzy do monitorowania obecności uczniów. Mimo że ogólnie przetwarzanie danych w celu monitorowania obecności jest możliwe, to rozpoznawanie twarzy jest nieproporcjonalne w stosunku do celu monitorowania obecności. Organ nadzorczy (szwecki urząd ochrony danych) uważa, że ​​dane biometryczne studentów zostały przetworzone. Ponadto władze argumentowały, że zgody nie można zastosować, ponieważ studenci i ich opiekunowie nie mogą swobodnie decydować, czy chcą monitorować dzieci pod kątem obecności. Organ nadzorczy stwierdził, że rada szkoły nie może powoływać się na którekolwiek z wyjątków wymienionych w art. 9 ust. 2. Organ nadzorczy stwierdził również, że miał miejsce przypadek przetwarzania o wysokim ryzyku, ponieważ zastosowano nową technologię do przetwarzania wrażliwych danych osobowych dotyczących dzieci, które znajdują się w pozycji zależnej od rady szkoły średniej i ze względu na wykorzystywanie nadzoru przez uczniów codzienne środowisko. W opinii organu zarząd szkoły nie był w stanie wykazać zgodności z art. 35 RODO oraz zarząd powinien skonsultować się w tej sprawie z władzami zgodnie z art. 36 (1) RODO. link 1
Hiszpania 2019-08-16 60.000 EUR Avon Cosmetics Art. 6 RODO Konsument twierdził, że AVON COSMETICS przetwarzał jego dane niezgodnie z prawem bez odpowiedniej weryfikacji jego tożsamości, co doprowadziło do błędnego wpisania jego danych do rejestru roszczeń, uniemożliwiając mu współpracę ze swoim bankiem. W rezultacie osoba trzecia nieuczciwie wykorzystała dane osobowe konsumentów. link 1
Niemcy 2019-09-19 195.407 EUR Delivery Hero Art. 15 RODO Art. 17 RODO Art. 21 RODO Według ustaleń berlińskiego inspektora ochrony danych Delivery Delivery Germany GmbH nie usunęła kont byłych klientów w dziesięciu przypadkach, mimo że osoby, których dane dotyczą, nie działały przez lata na platformie usług dostawczych firmy - w jednym przypadku nawet od 2008 r. Ponadto ośmiu byłych klientów skarżyło się na niechciane e-maile reklamowe od firmy. Podmiot danych, który wyraźnie sprzeciwił się wykorzystaniu jego danych do celów reklamowych, otrzymał jednak 15 kolejnych e-maili reklamowych z usługi dostawy. W kolejnych pięciu przypadkach firma nie dostarczyła osobom, których dane dotyczą, wymaganych informacji lub dopiero po interwencji berlińskiego inspektora ochrony danych. link 1
Grecja 2019-07-30 150.000 EUR PWC Business Solutions Art. 5 (1) a) b) i c) RODO Art. 5 (2) RODO Art. 6 (1) RODO Art. 13 (1) c) RODO Art. 14 (1) c) RODO Przetwarzanie danych osobowych pracowników odbywało się na podstawie zgody. Grecki urząd ochrony danych osobowych uznał, że zgoda jako podstawa prawna była nieodpowiednia, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, przestrzeganie prawnego obowiązku, któremu podlega administrator, oraz sprawne i skuteczne działanie firma jako uzasadniony interes. Ponadto firma dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe na podstawie prawnej zgody, podczas gdy w rzeczywistości przetwarza ich dane na innej podstawie prawnej. Było to sprzeczne z zasadą przejrzystości, a zatem naruszało obowiązek dostarczania informacji zgodnie z art. 13 ust. 1 lit. c) i art. 14 ust. 1 lit. c RODO. Wreszcie, naruszając zasadę odpowiedzialności, firma nie dostarczyła greckiemu urzędowi ochrony danych osobowych dowodów, że przeprowadziła uprzednią ocenę odpowiednich podstaw prawnych do przetwarzania danych osobowych pracowników.
Francja 2019-07-25 180.000 EUR ACTIVE ASSURANCES (branża samochodowa) Art. 32 RODO Łatwy dostęp oneline do dużej liczby kont klientów, dokumentów klientów (w tym kopi praw jazdy, rejestracji pojazdu, wyciągów bankowych i dokumentów określających, czy dana osoba była przedmiotem cofnięcia prawa jazdy) oraz danych. Francuski urząd ochrony danych osobowych skrytykował zarządzanie hasłami (nieautoryzowany dostęp był możliwy bez żadnego uwierzytelnienia). link do PDF
Rumunia 2019-07-02 15.056 EUR World Trade Center Bucharest SA Art. 32 RODO Naruszenie bezpieczeństwa danych polegało na tym, że używana do sprawdzania klientów korzystających z hotelowego śniadania lista zawierająca dane osobowe 46 osób, została sfotografowana przez nieupoważnione osoby spoza firmy, co doprowadziło do ujawnienia danych osobowych niektórych klientów za pośrednictwem publikacji online. Operator World Trade Center Bucharest SA został ukarany, ponieważ nie podjął kroków w celu zapewnienia, że dane nie zostaną ujawnione osobom nieupoważnionym. link
Rumunia 2019-07-05 3.000 EUR Legal Company & Tax Hub SRL/td> Art. 32 (1) i Art. 32 (2) RODO Grzywnę nałożono, ponieważ nie wdrożono odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa w odniesieniu do ryzyka przetwarzania. Doprowadziło to do nieuprawnionego ujawnienia i nieautoryzowanego dostępu do danych osobowych osób, które dokonały transakcji za pośrednictwem strony internetowej avocatoo.ro. Dane takie jak imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy, szczegóły dokonanych transakcji, zostały ujawnione, ze względu na otwarty dostęp do dokumentów między 10 grudnia 2018 r., a 1 lutego 2019 r. Krajowy organ nadzorczy zastosował sankcję po powiadomieniu z dnia 12 października 2018 r., wskazując, że zbiór plików dotyczących szczegółów transakcji zrealizowanych przez stronę internetową avocatoo.ro zawierał imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy i szczegóły dotyczące dokonanych transakcji i był publicznie dostępny za pośrednictwem dwóch linków. link
Rumunia 2019-06-27 130.000 EUR Unicredit Bank SA Art. 25 (1) i Art. 5 (1c) RODO Grzywna została wydana w wyniku braku wdrożenia odpowiednich środków technicznych i organizacyjnych (związanych z (1) określeniem środków / operacji przetwarzania oraz (2) integracji niezbędnych zabezpieczeń), co doprowadziło do ujawnienia identyfikatorów online oraz dokumentów tożsamości i adresów (interla / transakcje zewnętrzne) 337 042 osób, których dane dotyczą (między 25.05.2018 a 10.12.2018). link
Holandia 2019-06-18 460.000 EUR Szpital w Hadze Art. 32 RODO Szpital w Hadze ukarany został karą za brak odpowiedniego zabezpieczenia dokumentacji pacjenta. Holenderski Organ Ochrony Danych wszczął dochodzenie, gdy okazało się, że dziesiątki osób z personelu szpitalnego bez powodu sprawdzały dokumentację medyczną popularnej w Holandii osoby. Aby zmusić szpital do poprawy bezpieczeństwa dot. dokumentacji pacjenta, AP (holenderski organ nadzorczy) po zakończeniu dochodzenia nałożył na szpital karę. Jeśli szpital w Hadze nie poprawi środków bezpieczeństwa przed 2 października 2019 r., będzie musiał zapłacić zapłacić 100 000 EUR co dwa tygodnie, maksymalnie 300 000 EUR. Szpital w Hadze zgodził się na wdrożenie nowych środków. link
Francja 2019-06-13 20.000 EUR Uniontrad Company Art. 5 (1c) RODO, Art. 12 RODO, Art. 13 RODO, Art. 32 RODO W latach 2013–2017 CNIL (francuski organ ochrony danych osobowych) otrzymał skargi od kilku pracowników firmy, którzy zostali sfilmowani na ich stanowisku pracy. Organ dwukrotnie ostrzegał firmę o zasadach, które należy przestrzegać podczas instalowania kamer w miejscu pracy, w szczególności o tym, że pracownicy nie powinni być filmowani w sposób ciągły, a informacje o przetwarzaniu danych muszą być dostarczone. Wobec braku zadowalających środków pod koniec terminu określonego w wezwaniu do usunięcia uchybienia, CNIL przeprowadził drugą kontrolę w październiku 2018 r., która potwierdziła, że pracodawca nadal narusza przepisy o ochronie danych, rejestrując pracowników przy użyciu monitoringu wizyjnego. Przy ustalaniu kwoty grzywny CNIL wziął pod uwagę wielkość (9 pracowników) i sytuację finansową spółki, która wykazała ujemny wynik netto w 2017 r. (Obrót w wysokości 885 739 EUR w 2017 r. i ujemny wynik netto w wysokości 110 844 EUR ), aby zachować skuteczną, ale proporcjonalną grzywnę administracyjną. link
Dania 2019-06-03 200.850 EUR IDdesign A/S Art. 5 (1e) i (2) RODO Grzywna została nałożona w wyniku kontroli przeprowadzonej w 2018 r. IDdesign przetworzyło dane osobowe około 385 000 klientów przez okres dłuższy niż jest to konieczne do celów, dla których zostały pozyskane. Ponadto firma nie ustanowiła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM. Terminy ustalone dla starego systemu nie zostały zachowane i dane osobowe nie zostały usunięte po upływie wyznaczonego terminu. Ponadto administrator nie udokumentował w odpowiedni sposób swoich procedur usuwania danych osobowych. Uwaga: prawo duńskie nie przewiduje kar administracyjnych nakładanych przez organ nadzorczy jak zostało to określone w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd. link
Belgia 2019-05-28 2.000 EUR Burmistrz Art. 5 (1b) RODO, Art. 6 RODO Grzywna administracyjna została nałożona za niewłaściwe wykorzystanie danych osobowych przez burmistrza do celów kampanii wyborczej. link
Francja 2019-05-28 400.000 EUR Sergic - firma specjalizująca się w rozwoju nieruchomości, zakupie, sprzedaży, wynajmie i zarządzaniu nieruchomościami Art. 32 and 5 (1e) RODO CNIL (francuski organ nadzorczy) oparł karę na dwóch podstawach: brak podstawowych środków bezpieczeństwa i nadmierne przechowywanie danych. Jeśli chodzi o pierwsze, dokumenty zawierające dane wrażliwe osób zainteresowanych wynajęciem lokali (w tym dowody osobiste, karty zdrowia, zawiadomienia podatkowe, zaświadczenia wydane przez fundusz zasiłków rodzinnych, wyroki rozwodowe, wyciągi z rachunków) były dostępne online bez procedury uwierzytelniania. Chociaż luka ta była znana firmie od marca 2018 r., nie została ostatecznie załatana do września 2018 r. Ponadto firma przechowywała dokumentację dostarczoną przez kandydatów dłużej niż to konieczne. CNIL wziął pod uwagę m.in. powagę naruszenia (brak należytej staranności w eliminowaniu powstałej luki oraz fakt, że dokumenty ujawniły bardzo intymne aspekty życia klientów firmy), wielkość firmy i jej sytuację finansową. link
Węgry 2019-05-23 92.146 EUR Organizator: Sziget festival i Volt festival Art. 6 RODO, Art. 5 (1b) RODO, Art. 13 RODO NAIH (węgierski organ nadzorczy) stwierdził, że przetwarzanie danych osobowych odbywało się na niewłaściwych podstawach prawnych, a Administrator nie przestrzegał zasady ograniczenia celu. Ponadto informacje dotyczące przetwarzania danych nie były w pełni przekazywane osobom, których dane dotyczą. link
Litwa 2019-05-16 61.500 EUR UAB MisterTango - dostawca usług płatniczych Art. 5 RODO, Art. 32 RODO, Art. 33 RODO Podczas kontroli litewski organ nadzoru ochrony danych stwierdził, że Administrator przetwarzał więcej danych niż było to konieczne do osiągnięcia celów, dla których był Administratorem. Ponadto okazało się, że od 09 do 10 lipca 2018 r. dane dotyczące płatności były publicznie dostępne w Internecie z powodu nieodpowiedniego dobrania środków technicznych i organizacyjnych. Dotyczyło to 9 tys. płatności w 12 bankach z różnych krajów. Według organu nadzoru powiadomienie o naruszeniu danych zgodnie z art. 33 RODO byłoby konieczne. Administrator nie zgłosił naruszenia danych. link
Niemcy 2019-05-09 1.400 EUR Funkcjonariusz Policji Art. 6 RODO Funkcjonariusz policji, używając swojej legitymacji służowej, ale bez odniesienia do obowiązków służbowych, zapytał właściciela o dane dotyczące tablicy rejestracyjnej osoby, której danych nie poznał za pośrednictwem wyszukania w Centralnym Systemie Informacji o Ruchu Drogowym (ZEVIS) udostępnionym przez Federalny Urząd Transportu Samochodowego. Korzystając z uzyskanych w ten sposób danych osobowych, przeprowadził następnie tzw. Zapytanie SARS w Federalnej Agencji Sieciowej, w którym poprosił nie tylko o dane osobowe stron poszkodowanych, ale także o przechowywane tam numery telefonów domowych i komórkowych . Korzystając z uzyskanego w ten sposób numeru telefonu komórkowego, policjant skontaktował się telefonicznie z poszkodowanym - bez żadnego oficjalnego powodu lub zgody strony poszkodowanej. Poprzez zapytanie ZEVIS i SARS do celów prywatnych i wykorzystanie uzyskanego w ten sposób numeru telefonu komórkowego do prywatnego kontaktu, funkcjonariusz policji przetwarzał dane osobowe poza zakresem prawa na własną odpowiedzialność. Tego naruszenia nie można przypisać jednostce policji, w której funkcjonariusz pełni służbę, ponieważ nie popełnił on tego czynu podczas wykonywania swoich obowiązków służbowych, ale wyłącznie w celach prywatnych. Zakaz karania na podstawie § 28 LDSG (lokalnych przepisów o ochronie danych osobowych), zgodnie z którym sankcje RODO nie mogą być nakładane na organy publiczne, nie ma zastosowania w niniejszej sprawie, ponieważ nie był to przypadek niewłaściwego postępowania przypisany organowi, a osoba określona jako sprawca nie może być sklasyfikowana jako odrębny organ publiczny w rozumieniu § 2 (1) lub (2) LDSG w przypadku czynów stanowiących przedmiot sprawy. link
Czechy 2019-05-06 194 EUR Organizacja non-profit Art. 15 RODO Grzywna nałożona została na organizację non-profit, która przetworzyła niedokładne dane i odmówiła dostępu do przetwarzanych przez nią danych. link
Polska 2019-04-25 12.950 EUR Związek sportowy Art. 6 RODO Związek sportowy opublikował dane osobowe dotyczące sędziów, którym przyznano licencje sędziego drogą internetową.: imiona i nazwiska, a także dokładne adresy i numery PESEL. Tymczasem nie ma podstawy prawnej, aby tak szeroki zakres danych dotyczących sędziów był dostępny w Internecie. Ujawniając je, Administrator stwarzał potencjalne ryzyko ich nieuprawnionego użycia, np. podszywać się pod nich w celu zaciągania pożyczek lub innych zobowiązań. Chociaż Związek sam zauważył swój błąd, o czym świadczy powiadomienie Prezesa UODO (polski organ nadzorczy) o naruszeniu ochrony danych osobowych, fakt, że próby usunięcia go były nieskuteczne, determinował nałożenie kary. Przy ustalaniu wysokości grzywny (55 750,50 zł) Prezes UODO wziął pod uwagę między innymi czas trwania naruszenia oraz fakt, że dotyczył on dużej grupy osób (585 sędziów). UODO stwierdziło, że chociaż naruszenie zostało ostatecznie usunięte, miało ono poważny charakter. Nakładając karę, UODO wzięło również pod uwagę okoliczności łagodzące, takie jak dobra współpraca między Administratorem a organem nadzorczym lub brak dowodów, że szkoda została wyrządzona osobom, których dane zostały ujawnione. link
Włochy 2019-04-17 50.000 EUR Movimento 5 Stelle - włoska partia polityczna - Ruch Pięciu Gwiazd Art. 32 RODO Szereg stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest uruchamianych za pośrednictwem podmiotu przetwarzającego dane za pomocą platformy o nazwie Rousseau. W lecie 2017 r. na platformie nastąpiło naruszenie danych co spowodowało, że Garante (włoski organ nadzorczy), zażądał wdrożenia szeregu środków bezpieczeństwa, oprócz obowiązku aktualizacji informacji o prywatności w celu zapewnienia dodatkowej przejrzystości do czynności przetwarzania, które miały miejsce. W związku z przeprowadzonymi aktualizacjami informacji o prywatności, włoski organ ochrony danych wyraził obawy co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa związanych z RODO. Warto wspomnieć, że postępowanie wszczęto przed majem 2018 r., ale włoski organ ochrony danych wydał grzywnę na mocy RODO, ponieważ platforma Rousseau nie przyjęła wymaganych środków bezpieczeństwa w drodze nakazu wydanego po 25 maja 2018 r. Co ciekawe, grzywna nie została wydana przeciwko Movimento 5 Stelle, która jest administratorem danych platformy, ale przeciwko stowarzyszeniu Rousseau, które jest podmiotem przetwarzającym dane. link
Węgry 2019-04-17 9.400 EUR brak danych Art. 5 (1a) RODO, Art. 6 RODO W ocenie NAIH (wegierski organ ochrony danych osobowych), Administrator danych wykorzystał niewłaściwą podstawę prawną przetwarzania danych osobowych (art. 6.1.b) w celu cesji roszczeń. link
Bułgaria 2019-04-08 510 EUR Centra medyczne Art. 5 (1a) RODO; Art. 9 (1) i Art. 9 (2) RODO; Art. 6 (1) RODO. Każdemu ośrodkowi medycznemu nałożono sankcję w wysokości 510 EUR za bezprawne przetwarzanie danych osobowych osoby, której dane dotyczą, w celu zmiany lekarza rodzinnego. Centrum medyczne wykorzystało oprogramowanie do wygenerowania formularza rejestracyjnego zmiany lekarza rodzinnego, który został przekazany do Regionalnego Funduszu Ubezpieczeń Zdrowotnych, a następnie do innego ośrodka medycznego, który następnie bezprawnie przetwarzał dane osobowe. link
Węgry 2019-04-05 34.375 EUR Węgierska partia polityczna Art. 33 (1) RODO, Art. 33 (5) RODO, Art. 34 (1) RODO NAIH (węgierski organ nadzorczy) nałożył grzywnę w wysokości 11 000 000 HUF (34 375 EUR) na nieujawnioną węgierską partię polityczną za niepowiadomienie NAIH i osób, które dane dotyczą o naruszeniu ochrony danych i nie udokumentowanie naruszenia zgodnie z art. 35 RODO. Zgodnie z obowiązującymi przepisami grzywna została ustalona na podstawie 4% rocznego obrotu partii i 2,65% jej przewidywanych obrotów w nadchodzącym roku. Naruszenie było wynikiem cyberataku dokonanego przez anonimowego hakera, który uzyskał dostęp do informacji o słabości systemu organizacji - bazy danych liczącej ponad 6 000 osób - oraz polecenia (kodu) użytego do ataku. System był narażony na atak z powodu problemu z przekierowaniem na stronie internetowej organizacji. Po opublikowaniu kodu przez atakującego nawet osoby z niską wiedzą informatyczną były w stanie pobrać informacje z bazy danych. link
Węgry 2019-04-05 1.900 EUR brak danych Art. 15 RODO Administrator danych nie spełnił żądania dostępu do danych złożonego przez osobę, którą dane dotyczą link
Norwegia 2019-03 170.000 EUR Gmina Bergen Art. 5 (1f) RODO, Art. 32 RODO Incydent dotyczy plików komputerowych z nazwami użytkowników i hasłami do ponad 35 000 kont użytkowników w systemie komputerowym gminy. Konta użytkowników dotyczyły zarówno uczniów szkół podstawowych gminy, jak i pracowników tych szkół. Z powodu niewystarczających środków bezpieczeństwa pliki te nie były chronione i były łatwo dostępne. Brak środków bezpieczeństwa w systemie umożliwił każdemu zalogowanie się do różnych systemów informatycznych szkoły, a tym samym dostęp do różnych kategorii danych osobowych dotyczących uczniów i pracowników szkół. Fakt, że naruszenie bezpieczeństwa obejmuje dane osobowe ponad 35 000 osób, a większość z nich to dzieci, uznano za czynniki obciążające. Gmina była również wielokrotnie ostrzegana, zarówno przez władze, jak i osoby wewnątrz organizacji, że bezpieczeństwo danych było niewystarczające.
Polska 2019-03-26 219.538 EUR Bisnode Polska Sp. z o.o. Art. 14 RODO Grzywna dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczą, uzyskane z publicznie dostępnych źródeł, między innymi z Centralnej Ewidencji i Informacji o Działalności Gospodarczej i przetwarzała dane do celów komercyjnych. Organ zweryfikował niezgodność z obowiązkiem informacyjnym w stosunku do osób fizycznych prowadzących działalność gospodarczą - przedsiębiorców, którzy obecnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator spełnił obowiązek informacyjny, przekazując informacje wymagane zgodnie z art. 14 (1) - (3) RODO jedynie w odniesieniu do osób, których adresy e-mail posiadał. W przypadku pozostałych osób administrator nie wywiązał się z obowiązku informacyjnego - jak wyjaśnił w trakcie postępowania - z powodu wysokich kosztów operacyjnych. Dlatego przedstawił klauzulę informacyjną tylko na swojej stronie internetowej. Według UODO nie było to wystarczające. link
Bułgaria 2019-03-26 5.100 EUR A.P. EOOD Art. 5 (1) a) RODOD, Art. 6 RODO Sankcję nałożono na administratora danych osobowych A.P. EOOD za niezgodne z prawem przetwarzanie danych osobowych. Osoba, której dane dotyczą przebywała w więzieniu i w tymc czasie A.P. EOOD wykorzystał jej dane do przygotowania umowy o pracę. link
Czechy 2019-03-21 9.704 EUR brak danych Art. 5 (1c i 1e) RODO Dane nie były przetwarzane w sposób adekwatny, odpowiedni i ograniczony - zgodnie z celem przetwarzania („minimalizacja danych”), a także dane były przechowywane w formie umożliwiającej identyfikację osób, których dotyczyły dłużej niż to konieczne do celów, dla których przetwarzane są dane osobowe („ograniczenie przechowywania”). link
Czechy 2019-02-28 582 EUR brak danych Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Węgry 2019-02-28 3.200 EUR Biuro burmistrza miasta Kecskemét Art. 5 (1a) RODO, Art. 6 RODO Grzywna została nałożona na biuro burmistrza miasta Kecskemét za niezgodne z prawem ujawnienie danych osobowych osoby, która poinformowała o nieprawidłowościach mających miejsce w nadzorownaej przez siebie organizacji. Osoba ta zgłosiła bezpośrednio do swojego pracodawcy skargę dotyczącą interesu publicznego. Po tym, jak organizacja dowiedziała się o skardze, poprosiła o szczegóły w celu zbadania sprawy, a samorząd lokalny przypadkowo ujawnił nazwisko skarżącego. NAIH (organ nadzorczy) w wyniku naruszenia nałożył grzywnę, za czynnik obciążający uznał zwolnienie tej osoby z pracy. link
Bułgaria 2019-02-26 27.100 EUR Dostawca usług telekomunikacyjnych Art. 6 RODO, Art. 5 (1a) RODO Wielokrotna rejestracja usług przedpłaconych bez wiedzy i zgody osoby, której dane dotyczą. Pracownicy operatorów telekomunikacyjnych wykorzystali dane osobowe i zarejestrowali skarżącego w przedpłaconej usłudze firmy. Osoba, której dane dotyczą, nie podpisała wniosku i nie wyraziła zgody na przetwarzanie jego danych osobowych w określonym celu. Nie miała również zastosowania inna podstawa prawna. Podpis wniosku i oryginalny wniosek skarżącego nie były identyczne. Wskazano także osobisty numer identyfikacyjny osoby, ale numer dowodu osobistego nie należał do skarżącego. link
Czechy 2019-02-26 776 EUR brak danych Art. 15 RODO Osoba, której dane dotyczą zażadąła potwierdzenia, czy jej dane osobowe są przetwarzane, a jeśli tak, to czy w związku z tym, ma prawo dostępu do swoich danych osobowych na podstawie przepisów RODO. Skarżący, dwukrotnie (15 oraz 30 listopada 2018r.) kontaktował się z firmą, i zażądał informacji na temat przetwarzania jego danych osobowych, - w jaki sposób pozyskano jego nr telefonu i jak przetwarzane są jego dane osobowe. Organ nadzorczy nałożył grzywnę na firmę, która jako Administrator nie udzieliła odpowiedzi w przewidzianym w przepisach terminie. link
Bułgaria 2019-02-22 500 EUR Nieznany pracodawca Art 5 (1b i 1c) RODO, Art. 12 RODO, Art. 15 (1) RODO, Art. 15 (1) a), b), c), g) RODO, Art. 15 (3) RODO Pracownik wysłał do swojego pracodawcy wniosek o dostęp do swoich danych osobowych. Żądanie nie zostało odebrane w odpowiednim czasie. link
Węgry 2019-02-20 1.560 EUR Firma windykacyjna Art. 5 (1a i 1c) RODO - zasady przejrzystości i minimalizacji danych Osoba, której dane dotyczą, zażądała informacji na temat przetwarzanych danych i ich usunięcia. Firma windykacyjna odmówiła spełnienie tego żądania powołując sie na brak możliwości zidentyfikowania podmiotu. W celach identyfikacyjnych zażądano miejsca urodzenia, nazwiska panieńskiego matki i dalszych danych od osoby, której dane dotyczyły. Po tym, jak Administratorowi udało się zidentyfikować tę osobę, firma odmówiła zastosowania się do żądania usunięcia, twierdząc, że jest prawnie zobowiązana do przechowywania kopii zapasowych zgodnie z ustawą o rachunkowości i zasadami wewnętrznymi. Ponieważ nie poinformowano prawidłowo o tych zasadach, NAIH (organ nadzorczy) uznał, że firma naruszyła zasadę przejrzystości. Grzywna stanowi 0,0025% rocznego zysku Administratora. link
Malta 2019-02-18 5.000 EUR Urząd Ziemski Art. 5 RODO, Art. 32 RODO W wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Urzędu Ziemskiego, ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla społeczeństwa za pomocą prostego wyszukiwania google. Większość ujawnionych danych zawierała bardzo poufne informacje i korespondencję między jednostkami a samym Urzędem. Urząd Ziemski przyjął karę. Na Malcie, w przypadku naruszenia przez organ lub organ publiczny, Komisarz ds. Ochrony Danych może nałożyć karę administracyjną w wysokości do 25 000 EUR za każde naruszenie i może dodatkowo nałożyć karę dzienną w wysokości 25 EUR za każdy dzień, w którym takie naruszenie utrzymuje się. link
Węgry 2019-02-09 1.560 EUR Bank Art. 5 (1d) RODO - zasada prawidłowości Bank omyłkowo wysłał wiadomości SMS o zadłużeniu karty kredytowej podmiotu na numer telefonu innej osoby. Po otrzymaniu nieprawidłowego numeru telefonu od klienta w momencie zawierania umowy bank nie zastosował się do żądania osoby, której dane dotyczą, aby usunąć dane i kontynuował wysyłanie wiadomości SMS na nieprawidłowy numer telefonu. Grzywna stanowi 0,0016% rocznego zysku banku. link
Niemcy 2019-02-05 2.500 EUR Osoba fizyczna Art. 6 RODO, Art. 5 RODO Grzywna została nałożona na osobę prywatną, która w okresoie od lipca do września 2018 r., wysłała kilkanaście e-maili, w których użyła osobistych adresów e-mail widocznych dla wszystkich odbiorców, z których każdy odbiorca mógł przeczytać niezliczoną liczbę innych odbiorców. Mężczyzna został oskarżony o dziesięć przestępstw między połową lipca a końcem lipca 2018 r. Zgodnie z pismem organu na jego liście adresatów można było znaleźć od 131 do 153 osobistych adresów poczty elektronicznej. link
Czechy 2019-02-04 1.165 EUR Firma wynajmująca samochody Art. 5 (1a) RODO Osoba, która wynajęła samochód, dowiedziała się, że wynajęty samochód był śledzony przez GPS, chociaż nie podano żadnych informacji na temat tego, że samochód jest wyposażony w urządzenie śledzące. Czeski Urząd Ochrony Danych stwierdził, że nie podano żadnych informacji w rozumieniu art. 13 RODO i że art. 6 (1f) RODO nie może być podstawą prawną w konkretnych okolicznościach. W związku z tym Organ stwierdził naruszenie art. 5 (1a) RODO, za który nałożył grzywnę. link
Czechy 2019-02-04 1.165 EUR Pośrednik kredytowy Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Francja 2019-01-21
50.000.000 EUR
Google Inc. Art. 13 RODO, Art. 14 RODO, Art. 6 RODO, Art. 4 nr. 11 RODO, Art. 5 RODO Grzywnę nałożono na podstawie skarg austriackiej organizacji „None Of Your Business” i francuskiej organizacji pozarządowej „La Quadrature du Net”. Skargi zostały złożone w dniach 25 i 28 maja 2018 r. - natychmiast po rozpoczęciu stosowania przepisów RODO. Skargi dotyczyły utworzenia konta Google podczas konfiguracji telefonu komórkowego za pomocą systemu operacyjnego Android. CNIL (organ nadzorczy) nałożył grzywnę w wysokości 50 milionów euro z powodu braku przejrzystości (art. 5 RODO), niewystarczających informacj (art. 13/14 RODO) i braku podstawy prawnej (art. 6 RODO). Uzyskane zgody nie były „konkretne” ani „jednoznaczne” (art. 4 nr 11 RODO). link
Bułgaria 2019-01-17 500 EUR Bank Art.6 RODO, Art. 5 (1a) RODO Bank uzyskał dane osobowe dotyczące studenta bez podstawy prawnej. link
Czechy 2019-01-10 388 EUR Nieznany pracodawca Art.6 RODO Były pracownik firmy poprosił o usunięcie związanych z nim informacji, która zostały opublikowana na fanpage'u pracodawcy na Facebooku i która była dostępna jeszcze długo po zakończeniu stosunku pracy. Grzywna została nałożona, ponieważ pracodawca nie usunął informacji dotyczących byłego pracownika. link
Austria 2018-12-20 2.200 EUR Osoba fizyczna Art. 5 (1a i 1c RODO, Art. 6 (1) RODO, Art. 13 RODO Grzywnę nałożono na osobę prywatną, która korzystała z monitoringu wizyjnego w swoim domu. Nadzór wideo obejmował obszary przeznaczone do ogólnego użytku mieszkańców wielopartyjnego kompleksu mieszkalnego, a mianowicie: parkingi, chodniki, dziedziniec, ogród i obszary dostępu do kompleksu mieszkalnego; ponadto nadzór wideo obejmował ogródki przyległej nieruchomości. Nadzór wideo nie jest zatem ograniczony do obszarów, które podlegają wyłącznej kontroli tej osoby. Nadzór wideo nie jest zatem proporcjonalny do celu i nie ogranicza się do tego, co jest konieczne. Nadzór wideo rejestruje korytarz domu i filmuje mieszkańców wchodzących i wychodzących z okolicznych apartamentów, tym samym naruszając ich osobistych przestrzeń życiową bez zgody na rejestrowanie obrazu. Nadzór wideo nie został prawidłowo określony. link
Węgry 2018-12-18 3.200 EUR brak danych Art. 12 (4) RODO, Art. 15 RODO, Art. 18 (1c) RODO, Art. 13 RODO Grzywna została nałożona za (1) nieudzielenie podmiotowi danych nagrań z monitoringu wizyjnego; (2) niezatrzymywanie nagrań do dalszego wykorzystania przez osobę, której dane dotyczą, oraz (3) niepoinformowanie osoby, której dane dotyczą, o prawie do złożenia skargi do organu nadzorczego.
Niemcy 2018-12-17 5.000 EUR Kolibri Image Regina und Dirk Maass GbR Art. 28 (3) RODO Uwaga: zgodnie z informacjami grzywna została w międzyczasie wycofana. Kolibri Image wysłał prośbę do organu nadzorczego w Hesji z pytaniem, jak postępować z usługodawcą, który nie chce podpisać umowy o przetwarzanie. Kolibri nie otrzymał dostatecznej odpowiedzi i sprawę przekazał właściwemu lokalnie organowi ochrony danych w Hamburgu. Organ ukarał Kolibri Image jako Administratora za brak umowy o powierzeniu przetwarzania z usługodawcą. Kolibri Image oświadczył, że zakwestionuje decyzję przed sądem, ponieważ jest zdania, że usługodawca nie działa jako podmiot przetwarzający. link
Austria 2018-12-09 4.800 EUR Punkt przyjmowania zakładów bukmacherskich Art. 13 RODO Monitoring wizyjny nie został dostatecznie oznaczony, a ponadto nadzór wideo obejmował dużą część chodnika wokół obiektu. Nadzór nad przestrzenią publiczną w ten sposób, tj. na tzw. dużą skalę, przez osoby prywatne nie jest dozwolony.
Niemcy 2018-11-21 20.000 EUR Knuddels.de Art. 32 (1a) RODO Po ataku hakerów w lipcu, ujawnione zostały dane osobowe ok. 330 000 użytkowników, w tym hasła i ich adresy e-mail. link
Czechy 2018-10-25 388 EUR nie ujawniono Art. 15 RODO Udowodniono, że stowarzyszenie zwlekało z realizacją żądania usunięcia danych osobowych, osoby której dane dotyczą, a także nie dostarczono wymaganych informacji na żądanie dotyczące przetwarzania danych osobowych strony. link
Portugalia 2018-07-17 400.000 EUR Szpital Art. 5 (1f) RODO, Art. 32 RODO Dochodzenie wykazało, że personel szpitala, psycholodzy, dietetycy i inni specjaliści mieli dostęp do danych pacjentów za pomocą fałszywych profili. System zarządzania profilami okazał się niewystarczający - szpital miał 985 zarejestrowanych profili lekarzy, a jedynie 296 lekarzy. Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od specjalizacji lekarza.
Bułgaria 2018-12-04 500 EUR Bank Art. 5 (1b) RODO, Art. 6 RODO Grzywna została nałożona na bank za wezwanie klienta za niezapłacone rachunki sąsiada. To sprowokowało klienta do skorzystania z jego prawa do bycia zapomnianym. Po nieotrzymaniu odpowiedzi od banku złożył kolejny wniosek, w którym bank podjął działania w ustawowym terminie. Niemniej jednak klient złożył skargę do KZLD (organu nadzorczego). Naruszenie, za które bank został ukarany, dotyczyło przetwarzania danych osobowych klienta niepowiązanych z umową o kredyt konsumencki. Ponieważ cel przetwarzania danych był inny niż cel przekazany w momencie zawarcia umowy, bank z punktu widzenia KZLD powinien posiadać dodatkową zgodę od swojego klienta. link
Cypr 2019 5.000 EUR Szpital publiczny Art. 15 RODO Pacjent złożył skargę do organu nadzorczego, że wniosek o dostęp do jej akt medycznych nie został spełniony przez szpital, ponieważ Administrator nie może zidentyfikować / zlokalizować dokumentacji. link
Cypr 2019 10.000 EUR Wydawca gazety Art. 6 RODO Publikacja gazety w wersji papierowej i elektronicznej wiązała się rzekomo z niedogodnościami, niepotrzebnym i bezprawnym przetrzymywaniem obywatela oraz ujawniła nazwiska i zdjęcia trzech zaangażowanych śledczych policji. Komisarz uznał, że cel można osiągnąć, odwołując się jedynie do inicjałów ich nazwisk i / lub ich twarzy rozmazanych i / lub publikując fotografie narysowane z daleka, aby niemożliwe było zidentyfikowanie osób, a działania te nie miały by wpływu na przebieg sprawy. link
Dania 2019 160.000 EUR Taxa 4x35 (Taxi company) Art. 5(1e) RODO Duński organ ochrony danych poinformował policję o firmie taksówkarskiej i zalecił karę grzywny (w wysokości 1,2 mln DKK) za nieprzestrzeganie zasady minimalizacji danych. Firma usunęła tylko nazwiska swoich pasażerów ze wszystkich zapisów, ale pozostałych informacje o przejazdach (około 8 873 333 przejazdów taksówką). W związku z tym firma nadal utrzymywała indywidualne numery telefonów. Uwaga: Ponieważ prawo duńskie nie przewiduje kar administracyjnych, jak ujęte zostało to w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd.
Hiszpania 2019 60.000 EUR Endesa Art. 5(1f) RODO brak danych link
Austria 2018 1.800 EUR Restauracja brak danych Monitoring wizyjny został wykorzystany niezgodnie z prawem. link
Austria 2018-09-27 300 EUR Właściciel samochodu osobowego brak danych Rejestrator jazdy został wykorzystany niezgodnie z prawem. . link
Niemcy 2018 20.000 EUR brak danych Art. 83 (4a) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO Późne powiadomienie o naruszeniu danych i niepowiadomienie osób, których dane dotyczą. link (strona 134)
Niemcy 2018 118 EUR brak danych Art. 6 RODO Nielegalne ujawnianie danych osobowych osób trzecich. link
Niemcy 2019-03 50.000 EUR Mobilny Bank N26 Art. 6 RODO Grzywna została nałożona przeciwko bankowi (zgodnie z gazetą N26), który przetwarzał „dane osobowe wszystkich byłych klientów” bez zezwolenia. Bank potwierdził, że zachował dane dotyczące byłych klientów w celu utrzymania czarnej listy, rodzaj pliku ostrzeżenia, aby nie udostępnić nowego konta tym osobom. Bank początkowo uzasadniał to stwierdzeniem, że zgodnie z niemiecką ustawą bankową był zobowiązany do podjęcia środków bezpieczeństwa wobec klientów podejrzanych o pranie pieniędzy. Berliński organ nadzorczy uznał to za nielegalne. Władze twierdzą, że w celu uniemożliwienia otwarcia nowego rachunku bankowego, do pliku porównawczego, mogą być wpisane osoby, które rzeczywiście są podejrzane o pranie pieniędzy lub dla których istnieją inne ważne powody odmowy przyjęcia nowego rachunku bankowego. Władze poinformowały gazetę, że grzywna wszczęta przeciwko bankowi „nie została jeszcze prawomocnie zawarta”.
Hiszpania 2018 5.000 EUR Vodafone Espana S.A.U. Art. 5 (1d) RODO Hiszpańska agencja telekomunikacyjna i informacyjna (SETSI) zdecydowała, że Vodafone musi zwrócić klientowi koszty, za które został niesłusznie obciążony. Niemniej jednak Vodafone zgłosił dane osobowe tego odpowiedniego klienta do rejestru wypłacalności (BADEXCUG). AEPD (organ nadzorczy) stwierdził, że takie zachowanie narusza zasadę dokładności. link
Niemcy 2018 500 EUR brak danych brak danych brak danych
Hiszpania 2019-06-11 250.000 EUR Profesjonalna Liga Piłkarska (LaLiga) Art. 5 (1a), 7 (3) RODO Krajowa liga piłkarska (LaLiga) została ukarana grzywną za oferowanie aplikacji, która raz na minutę korzystała z mikrofonu telefonów komórkowych użytkowników w celu wykrywania pubów transmitujących mecze piłkarskie bez uiszczania opłaty. Zdaniem AEPD (organu nadzorczego) LaLiga nie poinformowała użytkowników aplikacji o tej praktyce. Ponadto aplikacja nie spełniała wymagań dotyczących cofnięcia zgody. link

Źródło: GDPR enforcementtracker.com

Po co kary RODO?

Wiele osób przed majem 2018 r. zastanawiało się po co w ogóle kary pieniężne w zakresie ochrony danych osobowych. Aby to zrozumieć wystarczy zadać sobie pytanie: od kiedy właściwie istnieje ochrona danych osobowych? Większość osób odpowie, że od momentu wejścia w życie przepisów RODO. Nie jest to prawdą, bo w Polsce początek ochrony datuje się na 1997 r. Tak więc ochrona danych osobowych istniała ale mało kto o niej wiedział lub też nie chciał wiedzieć.

Rzeczywistość wyglądała w ten sposób, że ówczesny organ, jakim był Generalny Inspektor Ochrony Danych Osobowych nie miał tak naprawdę wpływu na działania ADO, ponieważ nie posiadał skutecznych narzędzi do egzekwowania praw należących do obywateli. ADO otrzymywał nakaz przywrócenia przetwarzania zgodnego z prawem, zapoznawał się z nim i na tym sprawa się kończyła. GIODO występował po jakimś czasie do ADO czy zastosował się do nakazu, ADO odpowiadał, że jeszcze nie itd. Rozpoczynało się nic niewnoszące wymienianie korespondencją pomiędzy urzędem, a ADO.

Wyposażenie PUODO (następcy prawnego GIODO) w możliwość nakładania kar zwiększyło skuteczność urzędu, ale przede wszystkim świadomość ADO oraz społeczeństwa z zakresu ochrony danych osobowych. Praktycznie każdy ADO wie, że może narazić się na konsekwencje finansowe w razie naruszeń. Tak więc przepisy RODO przy pomocy kar finansowych zyskały aktywne działanie prewencyjne.

Jak duże mogą być kary za naruszenie przepisów RODO

RODO jest aktem uniwersalnym, a więc takim, który ma zastosowanie do wszystkich krajów wspólnoty. Dlatego w jego treści nie da się odnaleźć dokładnego „taryfikatora”, który przypisuje czyn do kwoty. Kary w RODO są uznaniowe, oznacza to, że to organ na podstawie całości materiału oraz rodzaju naruszenia decyduje o wysokości kary. Przepisy RODO jedynie określiły bardzo szerokie widełki. Dlaczego? Ponieważ te same przepisy mają zastosowane zarówno do mikroprzedsiębiorców, jak i międzynarodowych korporacji.

  • do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego;
  • do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
  • do 10 000 złotych na państwowe i samorządowe instytucje kultury.

Odpowiedzialności do wysokości 10 milionów euro lub 2% obrotu podlegają podmioty, które dopuszczą się naruszenia w zakresie wypełnienia obowiązków ADO lub podmiotu przetwarzającego, wynikających z art. 8, 11, 25 –39 oraz 42 i 43 RODO, a więc

  • warunki wyrażenia zgody przez dziecko;
  • przetwarzanie niewymagające identyfikacji;
  • m.in. uwzględnianie ochrony danych w fazie projektowania, rejestr czynności przetwarzania, zgłaszanie naruszenia, wyznaczenie IOD;
  • certyfikacja

Odpowiedzialność do wysokości 20 milionów euro lub 4% obrotu podlegają podmioty, które dopuszczą się naruszenia w zakresie:

  • podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;
  • praw osób, których dane dotyczą, o których mowa w art. 12–22;
  • przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  • wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX, a więc ustawy o ochronie danych osobowych i zmianach w ustawach szczególnych wprowadzonych tzw. „ustawą wdrażającą RODO”;
  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy.

Dodatkowo należy podkreślić, że zarówno w jednym jaki w drugim przypadku zastosowanie ma kwota wyższa. Oznacza to, że jeśli na podstawie procentów z obrotu światowego można nałożyć wyższą karę niż np. 20 milionów to wartość procentowa będzie górną granicą.

Kurs euro liczony jest na dzień 28 lutego. Nie mają więc znaczenia bieżące zawirowania na rynkach finansowych.

Jak Prezes UODO nakłada administracyjne kary pieniężne

Postępowanie przed Prezesem UODO może rozpocząć się z dwóch powodów. Pierwszy to skarga z RODO skierowana do organu na wskazanego ADO. Drugi powód to postępowanie z urzędu, czyli PUODO samo podejmuje działania mające wyjaśnić sytuacje.

To w jaki sposób rozpoczęło się postępowanie nie ma znaczenia dla wysokości przyszłej kary (o ile będzie ona w ogóle zasadna). Sprawy przed PUODO toczą się na podstawie Kodeksu Postępowania Administracyjnego, a więc tak jak przed każdym innym urzędem. Wyjątkiem jest jednak to, że postępowanie jest jednoinstancyjne. Czyli po pierwszej decyzji nie ma odwołana oprócz drogi sądowoadministracyjnej.

Na samym początku UODO korespondencyjnie wyzywa ADO do złożenia wyjaśnień w sprawie. Oczywiście przedstawione zostaje, czego wyjaśnienia te mają dotyczyć. Podmiot dodatkowo jest zobowiązany do przekazania wszelkiej dokumentacji dotyczącej sprawy.

Jeśli wyjaśnienia w ocenie UODO są nie wystarczające lub niekompletne możliwe jest ponowne wystąpienie o uzupełnienie braków lub zarządzenie kontroli w podmiocie.

W przypadku zebrania wystarczającego materiału dowodowego postępowanie jest kończone, strony dostają informacje o możliwości zapoznania się z materiałem dowodowym oraz, że wkrótce zostanie wydana stosowana decyzja.

Co wpływa na wysokość kary?

RODO nie wskazuje wprost jakie czynniki decydują o określonej wysokości kary. W tym celu organy nadzorcze otrzymały wytyczne Grupy roboczej art. 29. Znajduje się w nich aż 11 różnych czynników mających wpływ na ostateczną decyzję UODO.

  1. Charakter waga oraz czas trwania naruszenia – tutaj organ musi ocenić jak istotne było to naruszenie. Posiłkując się motywem 148 może odstąpić od wymierzenia kary pieniężnej i zaprzestać na upomnieniu, jeśli stwierdzi, że naruszenie nie było istotne dla praw osób, których dane dotyczą. W pozostałych przypadkach należy ocenić ile naruszeń zostało spowodowanych działaniem ADO, ile osób dotyczyły te naruszenia oraz jaki odniosło to skutek w perspektywie ochrony praw osób. Ważny też jest czas trwania działania ADO. Czy był to jednorazowy przypadek czy też co do zasady dane były przetwarzane w sposób nieprawidłowy.
  2. Umyślność/nieumyślność czynu – podobnie, jak w przypadku prawa karnego. Ważne jest to czy ADO działał z premedytacją i świadomie naruszał przepisy RODO czy też nieprawidłowości wynikły w sposób niezamierzony. Inaczej będzie traktowany np. incydent ze względu na nieprawidłowe zabezpieczenia, a inaczej świadomy handel danymi.
  3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – tutaj również występuje konstrukcja znana z prawa karnego.  Jeśli ADO po uzyskaniu wiedzy o naruszeniu podjął wszelkie możliwe działania w celu zapobieżenia skutkom, to będzie świadczyło to na jego korzyść. W przeciwnym wypadku organ możnie nie podejść łaskawie do ADO, który ukrywał przed nim fakt naruszenia i nie podjął działań zmniejszających skutki.
  4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych - Stopień odpowiedzialności administratora lub podmiotu przetwarzającego oceniany w kontekście
  5. stosowania odpowiedniego środka naprawczego może obejmować następujące kwestie:
    - Czy administrator wdrożył środki techniczne zgodne z zasadą uwzględniania ochrony danych w fazie projektowania lub z zasadą domyślnej ochrony danych (art. 25)?
    - Czy administrator wdrożył środki organizacyjne, które zapewniają skuteczność zasady uwzględniania ochrony danych w fazie projektowania i zasady domyślnej ochrony danych na wszystkich poziomach organizacji?
    - Czy administrator / podmiot przetwarzający zapewnił odpowiedni poziom bezpieczeństwa?
    - Czy na odpowiednim poziomie zarządzania w organizacji są znane i stosowane właściwe procedury/polityki ochrony danych (art. 24)?
  6. wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne – i ponownie analogia do prawa karnego. Można powiedzieć, że ważne jest to czy ADO jest „recydywistą” czy też nie. Jeśli już wcześniej zdarzały się naruszenia u ADO i wystąpiły one ponownie oznacza to, że podmiot nie przykłada wagi do zasad wynikających z RODO.
  7. stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – RODO nie określa co należy rozumieć pod pojęciem „stopień współpracy”. Zapewne chodzi o zaangażowanie ADO w rozwiązanie sytuacji naruszenia danych osobowych lub po prostu zaangażowanie administratora podczas postępowania. Grupa Robocza wskazuje również na przykład: „Jednym z przykładów sprawy, w którym warto rozważyć współpracę z organem nadzorczym, może być następująca sytuacja: Czy podmiot zareagował w określony sposób na wnioski organu nadzorczego w fazie dochodzenia w tej konkretnej sprawie, co w rezultacie znacznie ograniczyło wpływ na prawa danych osób”.
  8. kategorie danych osobowych, których dotyczyło naruszenie – oczywiście w tym punkcie należy odpowiedzieć jakich danych dotyczyło naruszenie. Inaczej będzie brany pod uwagę np. wyciek danych zwykłych, a inaczej wrażliwych. Oto przykładowe pytania, jakie może zadać ADO organ:
    - Czy naruszenie dotyczy przetwarzania szczególnych kategorii danych określonych w art. 9 lub 10 rozporządzenia?
    - Czy dane są bezpośrednio/pośrednio możliwe do zidentyfikowania?
    - Czy przetwarzanie obejmuje dane, których rozpowszechnienie natychmiast spowodowałoby szkodę/dyskomfort danej osoby (leżące poza zakresem kategorii określonych w art. 9 lub 10)?
    - Czy dane są dostępne bezpośrednio bez zabezpieczeń technicznych, czy też są zaszyfrowane?
  9. sposób, w jaki Prezes UODO dowiedział się o naruszeniu – UODO bierze pod uwagę również fakt powzięcia informacji o naruszeniu. Jeśli wynikło ono ze zgłoszenia ADO, również będzie to dotyczyło chęci zapobieżenia skutkom i chęci współpracy. Jeśli jednak UODO sam podjął działania np. ze względu na informacje medialne to już dla ADO oznacza to surowszą karę.
  10. Stosowanie zatwierdzonych kodeksów postępowania – UODO bada czy ADO stosuje się do zatwierdzonego kodeksu postępowania, przyjętego w danej branży. Może to również wynikać z samego procesu monitorowania, jeśli organ dowie się, że ADO nie stosuje się do kodeksu może podjąć decyzje o wykreśleniu go z branżowych zasad. Tym samym znajdzie się on w grupie ograniczonego zaufania i może zostać skontrolowany w sposób wyrywkowy.
  11. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – jeśli UODO ustali, że ADO czerpał korzyści finansowe z nieprawidłowego przetwarzania danych osobowych, będzie to już jasna przesłanka co do wysokości zastosowanej kary.

Co po otrzymaniu kary?

Jak już zostało przytoczone, postępowanie przed Prezesem UODO jest jednoinstancyjne. Oznacza to, że w sytuacji otrzymania kary nie ma możliwości odwołania się i ponownego rozpoznania sprawy. Dlaczego? Ponieważ PUODO musiałby sam rozpoznać swoją decyzję. W rzeczywistości sprawę w drugiej instancji prowadziłby po porostu pracownik siedzący biurko obok. Oczywiście może dojść do samokontroli, jednak czy takie postępowanie miałoby sens? Na podstawie poprzednich przepisów rzadko się zdarzało aby GIODO uchylił własną decyzję. Były takie przypadki, jednak jedynie w sytuacji ewidentnych błędów merytorycznych.

Tak więc po otrzymaniu decyzji nakładającej karę ADO ma dwie możliwości. Uiścić ją w ciągu 14 dni albo zaskarżyć decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie. Postępowanie przed sądem odbywa się w ramach sądownictwa administracyjnego i nie ma nic wspólnego z sądownictwem cywilnym czy też karnym.

ADO może przytoczyć w skardze do WSA fakty wskazujące na jego korzyść, zarzucić organowi błędy formalne i merytoryczne oraz wykazać, że kara jest niewspółmierna do naruszenia.

Postępowanie przed WSA w Warszawie zwykle trwa około roku. Następnie wyrok może zostać zaskarżony do ostatecznej instancji, a więc Naczelnego Sądu Administracyjnego. Tak więc w taki sposób minie kolejny rok. Do czasu uprawomocnienia się wyroku ADO nie będzie zobowiązany do zapłaty nałożonej kary. Sam koszt skargi do WSA to… dwieście złotych.

Kary w Polsce

Największą polską karą nałożoną na podstawie RODO była kara z 2019 r. nałożona na Morele.net. Organ uznał, że ADO nie dopuścił do wycieku danych klientów, ponieważ nie zastosował wystarczających środków zabezpieczeń. Prezes UODO nałożył na spółkę karę w wysokości 2.8 miliona złotych (ok. 660 tysięcy euro, liczone po ówczesnym kursie. Dziś byłoby to ponad 3 miliony złotych). Istotne jest to, że WSA podtrzymał decyzję UODO i uznał, że swoim zachowaniem ADO pośrednio dopuścił do wycieku.

Najnowszą karą nałożoną przez Prezesa UODO jest kwota ponad 363 tysięcy złotych, którą otrzymał Bank Millennium. Organ uznał w swojej decyzji, że Bank naruszył art. 33 i 34 RODO, ponieważ nie poinformował o naruszeniu prawa do ochrony danych osobowych organu oraz osoby, której dane dotyczą. Sprawa, w której została wydana decyzja została zainicjowana skargą osoby fizycznej.

Dokonując analizy decyzji wydanych przez PUODO, w których zostały nałożone kary finansowe można zauważyć na występującą prawidłowość. Oczywiście istnieje całe spektrum naruszeń, jednak sporo decyzji dotyczy właśnie naruszenia w zakresie bezpieczeństwa przetwarzania danych osobowych (art. 32-34 RODO). Organ często kara za niezgłoszenie naruszenia w wymaganym terminie oraz brak powiadomienia osoby, której dane dotoczyły.

Wynika to z faktu, że sprawy wszczynane są na podstawie zawiadomienia od osób, których dane dotyczą. Podczas postępowania wychodzi zapewne na jaw, że doszło do naruszenia, a ADO nie dokonał wymaganego przepisami RODO zgłoszenia. Dlatego można zauważyć, że większość decyzji dotyczy m.in. art. 33 i art. 34 RODO.

Wydaje się, że właśnie w tym zakresie swoją działalność będzie prowadził PUODO. Reagowania na skargi złożone od osób, których dane dotyczą. Dlatego właśnie prawo pozwala na skuteczne egzekwowanie oczekiwanego, zgodnego zachowania przez ADO. W poprzednim stanie prawnym, co prawda, GIODO prowadził masę spraw „skargowych”, jednak nawet w przypadku stwierdzenia naruszenia nie posiadał skutecznych narzędzi do zmuszenia ADO przestrzegania przepisów. Sama świadomość możliwości otrzymania kary wymusiło większe zaangażowanie ADO w przestrzeganie przepisów RODO.