Warto zapoznać się z powodami, przez które firmy zostały ukarane i rozważyć, czy nasza organizacja jest dobrze przygotowana. Błędna interpretacja przepisów może sporo kosztować, dlatego lepiej upewnić się, czy wszystkie operacje na danych osobowych przebiegają właściwie.
Odpowiedzialność finansowa niejednokrotnie skutecznie wpływa na podmioty tak aby wykonywały one swoje zadania zgodnie z literą prawa. Z karami finansowymi mamy do czynienia, jako kierowcy czy nawet przedsiębiorcy. Kodeks karny skarbowy w dużej mierze opiera się na karach finansowych, ponieważ jest to efektywny sposób egzekwowania prawidłowego zachowania.
W tym samym kierunku poszedł europejski prawodawca. Zdecydował, że odpowiednim środkiem zabezpieczenia przetwarzania danych osób fizycznych, będą kary nakładane na administratorów (ADO). Widmo nałożenia zobowiązania finansowego wymusiło na ADO zachowania zgodne z literą prawa.
Kary RODO
Ostatnia aktualizacja: 6.02.2023 r.
| Kraj | Data | Wysokość kary (w euro) | Ukarany podmiot | Podstawa prawna | Podsumowanie | Decyzja |
|---|---|---|---|---|---|---|
| Włochy | 2022-12-01 | 6.000 EUR | Właściciel sklepu (Joy Unique Collection) | Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych ukarał właściciela sklepu „Joy Unique Collection” grzywną w wysokości 6 tys. euro. Ukarany podmiot obsługiwał w swoim lokalu kamery monitoringu wizyjnego bez wymaganego zezwolenia. Ponadto organ stwierdził brak tabliczek informacyjnych dotyczących przetwarzania danych osobowych przez kamery | link |
| Hiszpania | 2022-12-29 | 24.000 EUR | SUMINISTRADOR IBÉRICO DE ENERGÍA, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył karę pieniężną na SUMINISTRADOR IBÉRICO DE ENERGÍA, S.L. Klient złożył skargę do organu ochrony danych w związku z faktem, że administrator dokonał zmiany jego dostawcy energii elektrycznej i gazu bez uprzedniego uzyskania jego zgody. Pierwotna kara z 30 000 EUR została obniżona do 24 000 EUR w związku z dobrowolną opłatą | link |
| Hiszpania | 2022-12-28 | 300 EUR | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu grzywną w wysokości 300 EUR za brak tablic informacyjnych o monitoringu CCTV w jego lokalu | link |
| Hiszpania | 2022-12-28 | 600 EUR | Stowarzyszenie Właścicieli Domów | Art. 6 (1) e) RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na stowarzyszenie właścicieli domów w wysokości 600 EUR. Ukarany podmmiot zainstalował nieautoryzowany system telewizji przemysłowej w dzielnicy mieszkalnej. Ponadto organ stwierdził, że administrator nie dostarczył wystarczających informacji na temat przetwarzania danych przez CCTV | link |
| Hiszpania | 2022-01-09 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 EUR. Osoba ta zainstalowała na swojej posesji kamery monitoringu, które obejmowały między innymi sąsiednią posesję. AEPD uznał, że tak rozbudowany monitoring wizyjny stanowił naruszenie zasady minimalizacji danych | link |
| Hiszpania | 2022-01-10 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 EUR. Osoba ta zainstalowała na swojej posesji kamery monitoringu, które obejmowały między innymi sąsiednią posesję. AEPD uznał, że tak rozbudowany monitoring wizyjny stanowił naruszenie zasady minimalizacji danych | link |
| Hiszpania | 2022-01-10 | 120 EUR | Stowarzyszenie Właścicieli Domów | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na stowarzyszenie właścicieli domów za niedostarczenie wystarczających informacji na temat monitoringu wideo w dzielnicy mieszkalnej. Pierwotna kara ze 150 euro została obniżona do 120 euro z powodu dobrowolnej zapłaty | link |
| Hiszpania | 2023-01-12 | 3.000 EUR | SERVICIOS INTEGRALES DEL HOGAR TENERIFE, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na SERVICIOS INTEGRALES DEL HOGAR TENERIFE, S.L. Były pracownik złożył skargę do organu ochrony danych w związku z nieuprawnionym ujawnieniem przez administratora jego danych osobowych za pośrednictwem Whatsapp po odejściu z firmy. Pierwotna kara z 5 000 euro została obniżona do 3 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Hiszpania | 2023-01-13 | 1.000 EUR | Redakcja RIBADEO S.L. | Art. 58 (2) RODO | Hiszpański organ ochrony danych nałożył na firmę EDITORIAL RIBADEO S.L. grzywnę w wysokości 1000 EUR. za niewykonanie polecenia wydanego przez organ ochrony danych. | link |
| Włochy | 2022-11-10 | 10.000 EUR | I-Model s.r.l. | Art. 6 (1) RODO, Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na I-Model s.r.l. grzywnę w wysokości 10 000 EUR. Osoba, której dane dotyczą, wniosła skargę do urzędu ochrony danych osobowych na administratora w związku z tym, że administrator nadal wysyła jej reklamy SMS, mimo że zażądała usunięcia swoich danych, a administrator potwierdził usunięcie | link |
| Rumunia | 2023-01-12 | 2.000 EUR | BRISTOL LOGISTICS SA | Art. 32 (1) b) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych nałożył na BRISTOL LOGISTICS SA karę w wysokości 10 000 EUR. Organ ochrony danych otrzymał zawiadomienie od BRISTOL LOGISTICS SA o naruszeniu ochrony danych osobowych na podstawie art. 33 RODO. W zawiadomieniu stwierdzono, że skradziono segregator zawierający akta osobowe 12 pracowników, co doprowadziło do uzyskania dostępu do danych osobowych przez osoby nieupoważnione. Organ uznał to za naruszenie art. 32 RODO, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia stopnia ochrony współmiernego do ryzyka. | link |
| Hiszpania | 2022-12-29 | 3.000 EUR | ADENET SYSTEMS, S.L. | Art. 58 (1) RODO | Niedostarczenie żądanych informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 58 RODO | link |
| Hiszpania | 2022-12-28 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitoringu, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | link |
| Hiszpania | 2023-01-03 | 3.000 EUR | Związek Pracowników Transportu Aragonii | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Związek Pracowników Transportu w Aragonii w wysokości 3000 EUR. Związek opublikował dokument z danymi osobowymi (nazwisko, imię i numer dowodu osobistego) członków komitetu strajkowego na różnych portalach społecznościowych. W toku dochodzenia organ stwierdził, że do incydentu mogło dojść z powodu niewdrożenia przez związek zawodowy wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Hiszpania | 2022-12-28 | 400 EUR | MAE WEST SYSTEMS, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę MAE WEST SYSTEMS, S.L. 400 EUR. Ukarany podmiot zainstalował monitoring wideo w obsługiwanym przez siebie barze, nie dostarczając wystarczających informacji na temat monitoringu wideo | link |
| Hiszpania | 2022-12-28 | 300 EUR | Stowarzyszenie Właścicieli Domów | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 300 EUR na stowarzyszenie właścicieli domów za niedostarczenie wystarczających informacji na temat nadzoru wideo w dzielnicy mieszkalnej | link |
| Rumunia | 2023-01-04 | 3.000 EUR | Apă Canal Ilfov SA | Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 32 (4) RODO | Rumuński organ ochrony danych nałożył na Apă Canal Ilfov SA karę w wysokości 3000 euro. Administrator wysłał e-mail z danymi osobowymi do kilku odbiorców w otwartej rozdzielnicy. Dzięki temu odbiorcy mogli przeglądać adresy e-mail wszystkich pozostałych odbiorców. | link |
| Rumunia | 2023-01-03 | 500 EUR | Stowarzyszenie Właścicieli Domów | Art. 5 (1) e) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 500 euro na stowarzyszenie właścicieli domów. Ukarany podmiot opublikował publicznie listę z imionami i nazwiskami wszystkich członków stowarzyszenia | link |
| Włochy | 2022-11-10 | 5.000 EUR | Gmina Cisterna di Latina | Art. 5 RODO, Art. 12 RODO, Art. 37 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 5000 euro na gminę Cisterna di Latina. Jedna osoba złożyła skargę do DPA. Osoba fizyczna złożyła wniosek do gminy o dostęp do swoich danych osobowych. W wyniku błędu dane nie zostały ujawnione osobie, której dane dotyczą, lecz osobie trzeciej. Z tego powodu osoba, której dane dotyczą, nie otrzymała odpowiedzi na swoje żądanie. Ponadto organ ochrony danych stwierdził, że gmina nie wyznaczyła inspektora ochrony danych. | link |
| Irlandia | 2023-01-04 | 390.000.000 EUR | Meta Platforms Ireland Limited | Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 12 RODO, Art. 13 (1) c) RODO | Irlandzki organ ochrony danych (DPC) nałożył na Meta Platforms Ireland Limited grzywnę w wysokości 390 mln EUR. Organ ochrony danych nałożył karę w wysokości 210 mln euro za naruszenia związane ze świadczeniem jego usługi Facebook oraz 180 mln euro za naruszenia związane ze świadczeniem usługi Instagram. Austriacka organizacja „None of Your Business” (NOYB) złożyła skargę do DPA w imieniu dwóch osób. Skargi dotyczyły zaktualizowanych warunków korzystania z usługi Meta. W tej aktualizacji Meta zmieniła podstawę prawną przetwarzania danych osobowych w kontekście reklamy behawioralnej i innych spersonalizowanych usług. Opierając się wcześniej na przetwarzaniu danych na podstawie zgody użytkownika, Meta zdecydowała się na jej regulamin, który obejmował również przetwarzanie danych osobowych na potrzeby reklamy spersonalizowanej. Użytkownicy powinni, aby nadal mieć dostęp do metaserwisów Facebook i Instagram, zaakceptować zaktualizowane warunki świadczenia usług. Początkowo organ stwierdził, że Meta naruszyła obowiązki przejrzystości wynikające z RODO. Organ stwierdził, że Meta nie wyjaśniła jasno użytkownikom, w jakim celu i na jakiej podstawie prawnej przetwarzane są ich dane osobowe. Ponadto organ ochrony danych stwierdził, że Meta nie może powoływać się na warunki umowne uzgodnione z użytkownikami jako podstawę prawną przetwarzania danych w celu reklamy behawioralnej. Organ ochrony danych stwierdził, że użytkownicy byliby zmuszani do zaakceptowania warunków, ponieważ w przeciwnym razie nie byliby w stanie korzystać z usług. W tym kontekście organ ochrony danych stwierdził, że użytkownicy muszą mieć możliwość wyraźnej zgody lub sprzeciwu wobec przetwarzania ich danych w celu spersonalizowanej reklamy z opcją tak/nie. Oprócz nałożenia grzywien, organ ochrony danych nakazał również Meta doprowadzenie swoich operacji przetwarzania danych do zgodności z RODO w ciągu trzech miesięcy. | link |
| Włochy | 2022-11-10 | 20.000 EUR | Sportitalia | Art. 5 (1) a) RODO, Art. 9 RODO, Art. 13 RODO, Art. 30 (1) c) RODO | Włoski DPA (Garante) nałożył na Sportitalia karę w wysokości 20 000 euro. Administrator przetwarzał dane biometryczne (odciski palców) pracowników w celu rejestracji ich obecności. Garante uznał, że tak rozległe przetwarzanie nie było proporcjonalne, a zatem stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Ponadto Garante ustaliła, że przetwarzanie danych biometrycznych miało miejsce bez wystarczającego poinformowania osób, których dane dotyczą, o przetwarzaniu. | link |
| Włochy | 2022-11-24 | 1.000.000 EUR | Areti spa | Art. 5 (1) d), e) RODO, Art. 5 (2) RODO, Art. 12 RODO, Art. 15 RODO, Art. 24 RODO | Włoski organ ochrony danych ukarał dostawcę energii elektrycznej Areti spa grzywną w wysokości 1 miliona euro. Klient złożył skargę do DPA, ponieważ Areti sklasyfikowała go jako klienta zalegającego z płatnością, co uniemożliwiło mu zmianę dostawcy energii elektrycznej. Wynikało to z faktu, że nieaktualne dane w bazach danych Areti nie zostały zaktualizowane w wyniku niezgodności w wewnętrznych systemach firmy. Incydent dotknął około 47 000 klientów. Dochodzenie przeprowadzone przez organ ochrony danych wykazało również, że Areti przechowywała dane przez niewystarczający czas. Ponadto Areti nie udzieliła należytej odpowiedzi na żądania skorzystania z praw osób, których dane dotyczą. | link |
| Rumunia | 2022-12-27 | 3.000 EUR | Kaufland Romania SCS | Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO | Rumuński organ ochrony danych nałożył na Kaufland Romania SCS karę w wysokości 3 000 euro. Administrator zgłosił naruszenie ochrony danych zgodnie z art. 33 RODO. Pracownik zrobił telefonem komórkowym zdjęcia z nagrań CCTV i przekazał je stronie trzeciej. Osoba trzecia następnie opublikowała zdjęcia, na których można było zidentyfikować dwie osoby i tablicę rejestracyjną, na stronie internetowej lokalnej gazety. Organ stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Rumunia | 2022-12-22 | 10.000 EUR | SUDREZIDENȚIAL Broker S.R.L. | Art. 32 (4) RODO | Rumuński organ ochrony danych nałożył na SUDREZIDENȚIAL Broker S.R.L. grzywnę w wysokości 10 000 EUR. Pracownik administratora nieuprawniony opublikował arkusz kalkulacyjny Excel zawierający dane osobowe, takie jak imię, nazwisko, numer telefonu, numer identyfikacyjny, adres e-mail, bank dane itp. 509 klientów administratora w Internecie. W toku dochodzenia organ stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Włochy | 2022-11-10 | 4.000 EUR | Gmina Villafranca di Verona | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na gminę Villafranca di Verona grzywnę w wysokości 4000 euro. Gmina opublikowała na swojej stronie internetowej dokument zawierający dane osobowe pracownika | link |
| Włochy | 2022-12-01 | 100.000 EUR | Region Lacjum | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 113 Codice della privacy, Art. 114 Codice della privacy | Włoski organ ochrony danych nałożył na region Lazio grzywnę w wysokości 100 000 EUR. Związek zawodowy złożył skargę do DPA, zarzucając Regionowi monitorowanie kont e-mail pracowników działu prawnego Regionu. Województwo podjęło taki monitoring w związku z podejrzeniem możliwości ujawnienia osobom trzecim informacji objętych tajemnicą służbową. Region przechowywał i analizował dane pracowników przez 180 dni. Dane obejmowały nie tylko informacje związane z pracą, ale także dane osobowe osób, których dane dotyczą, dotyczące ich sfery prywatnej. Podczas dochodzenia organ ochrony danych stwierdził, że w tamtym czasie region nie miał ważnej podstawy prawnej do gromadzenia danych osobowych na tak dużą skalę. | link |
| Hiszpania | 2022-12-20 | 3.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 3000 euro. Pewien człowiek zamieścił w Internecie filmy przedstawiające nauczycieli i nieletnich uczniów podczas zajęć wychowania fizycznego, aby wyrazić swoje oburzenie na fakt, że uczniowie muszą nosić maseczki podczas zajęć. Organ ochrony danych stwierdził, że osoba fizyczna przetwarzała dane osób, których dane dotyczą, niezgodnie z prawem ze względu na brak zgody osób, których dane dotyczą, jak również inną podstawę prawną. | link |
| Hiszpania | 2022-12-20 | 2.000 EUR | Zarząd Właściciela Nieruchomości | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na Stowarzyszenie Właścicieli Nieruchomości. Dwóch właścicieli nieruchomości złożyło skargę do DPA. Osoby te złożyły do zarządu wniosek o kopię dokumentów finansowych. Stowarzyszenie opublikowało jednak wnioski z danymi osobowymi zainteresowanych osób na tablicy ogłoszeń w części wspólnej danego budynku mieszkalnego. Organ ochrony danych uznał to za naruszenie zasady poufności. | link |
| Hiszpania | 2022-12-20 | 1.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 1000 euro. Osoba złożyła skargę do organu ochrony danych, ponieważ administrator opublikował jej dane osobowe, takie jak imię, nazwisko, numer dowodu osobistego i datę urodzenia bez jej zgody w grupie WhatsApp liczącej 31 członków. Organ uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2022-12-15 | 30.000 EUR | ORANGE ESPAGNE, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożony na osobę otrzymującą grzywnę w wysokości 1000 euro. Osoba złożyła skargę do organu ochrony danych, ponieważ administrator zgłosił jej dane osobowe, takie jak imię, nazwisko, numer osoby fizycznej i daty urodzenia bez jej zgody w grupie WhatsApp składającej się z 31 członków. Organ uznany za za naruszenie zasad minimalizacji danych. | link |
| Hiszpania | 2022-12-15 | 16.000 EUR | SZPITAL RECOLETAS PONFERRADA, S.L. | Art. 6 (1) GDPR, Art. 15 RODO | Hiszpański organ ochrony danych nałożył karę pieniężną na zakład opieki zdrowotnej HOSPITAL RECOLETAS PONFERRADA, S.L. Pacjent złożył skargę do organu ochrony danych. Pacjent podczas badania lekarskiego wypełnił formularz zgody, w którym pewne pozycje były już wcześniej zaznaczone. Organ stwierdził również, że administrator nie spełnił w terminie żądania pacjenta dostępu do jego danych osobowych. Pierwotna kara z 20 000 EUR została obniżona do 16 000 EUR w związku z dobrowolną opłatą. | link |
| Rumunia | 2022-12-15 | 5.000 EUR | Societatea Energetică Electrica S.A. | Art. 28 (3) a) RODO | Rumuński organ ochrony danych ukarał Societatea Energetică Electrica S.A. grzywną w wysokości 5 000 euro za naruszenie art. 28 ust. 3 lit. a) RODO | link |
| Hiszpania | 2022-12-13 | 56.000 EUR | \Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę Vodafone España, S.A.U. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat karty SIM nieupoważnionej osobie trzeciej bez jej zgody. W toku dochodzenia organ stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pierwotna kara z 70 000 EUR została obniżona do 56 000 EUR dzięki dobrowolnej wpłacie. | link |
| Hiszpania | 2022-12-13 | 56.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę Vodafone España, S.A.U. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat karty SIM nieupoważnionej osobie trzeciej bez jej zgody. W toku dochodzenia organ stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pierwotna kara z 70 000 EUR została obniżona do 56 000 EUR dzięki dobrowolnej wpłacie. | link |
| Włochy | 2022-10-20 | 7.000 EUR | I.S.P.R.O. | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 000 EUR na onkologiczną placówkę I.S.P.R.O. Osoba omyłkowo otrzymała e-mailem dokumentację medyczną innego pacjenta. | link |
| Francja | 2022-12-08 | 300.000 EUR | FREE SAS | Art. 12 RODO, Art. 15 RODO, Art. 17 RODO, Art. 32 RODO, Art. 33 RODO | Francuski organ ochrony danych nałożył na FREE SAS karę w wysokości 300 000 euro. Organ ochrony danych otrzymał kilka skarg od osób fizycznych, które miały trudności z korzystaniem z przysługujących im praw dostępu do swoich danych osobowych i ich usuwania BEZPŁATNIE. Podczas dochodzenia organ ochrony danych stwierdził, że firma nie przetwarzała wniosków o dostęp i usunięcie danych osobowych w odpowiednim czasie. Organ stwierdził również, że firma nie zapewniła bezpieczeństwa danych osobowych. Na przykład firma zezwoliła użytkownikom na używanie niezabezpieczonych haseł, a hasła użytkowników były przechowywane w bazach danych firmy w postaci niezaszyfrowanej. Wreszcie organ ochrony danych stwierdził, że firma nie udokumentowała odpowiednio naruszenia danych. | link |
| Finlandia | 2022-12-09 | 230.000 EUR | Viking Line Oy Abp | Art. 5 (1) a), d) RODO, Art. 12 (3) RODO, Art. 13 RODO, Art. 15 (1) RODO, Art. 25 (1) RODO | Fiński organ ochrony danych nałożył grzywnę w wysokości 230 000 EUR na firmę Viking Line Oy Abp. Były pracownik złożył skargę do DPA. Podczas dochodzenia organ ochrony danych stwierdził, że administrator nie spełnił prośby osoby, której dane dotyczą, o dostęp do jej danych dotyczących zdrowia oraz że niektóre dane medyczne były przechowywane nieprawidłowo. Organ stwierdził również, że dane medyczne były przechowywane wraz z innymi danymi osobowymi, chociaż takie przechowywanie jest niezgodne z prawem. Ponadto organ stwierdził, że administrator niewłaściwie informował swoich pracowników o przetwarzaniu ich danych osobowych, co jest sprzeczne z obowiązkiem ciążącym na nim na mocy art. 13 RODO. | link |
| Hiszpania | 2022-12-13 | 56.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę Vodafone España, S.A.U. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat karty SIM nieupoważnionej osobie trzeciej bez jej zgody. W toku dochodzenia organ stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Umożliwiło to oszustom uzyskanie dostępu do konta bankowego osoby, której dane dotyczą, i dokonanie nieautoryzowanych transakcji. Pierwotna kara z 70 000 EUR została obniżona do 56 000 EUR dzięki dobrowolnej wpłacie. | link |
| Portugalia | 2022-11-02 | 4.300.000 EUR | Portuguese National Statistical Institute | Art. 5 (1) a) RODO, Art. 9 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 28 (1), (6), (7) RODO, Art. 35 (1), (2), (3) b) RODO, Art. 44 RODO, Art. 46 (2) RODO | Portugalski organ ochrony danych nałożył grzywnę na portugalski Narodowy Instytut Statystyczny w wysokości 4,3 mln EUR. Organ ochrony danych stwierdził liczne naruszenia RODO w związku ze spisem ludności z 2021 r. w Portugalii. Organ ochrony danych najpierw stwierdził, że administrator nie poinformował osób, których dane dotyczą, że podanie danych dotyczących religii i stanu zdrowia jest czysto dobrowolne. Organ ochrony danych uznał to za ingerencję w możliwość swobodnego wyrażenia woli w zakresie przetwarzania danych przez osoby, których dane dotyczą. Ponadto organ stwierdził, że administrator nie dochował należytej staranności przy wyborze podmiotu przetwarzającego, co jest sprzeczne z obowiązkiem wynikającym z art. 28 RODO. Ponadto umowa o realizację zamówienia dopuszczała przekazywanie danych osobowych poza EOG bez stosowania dodatkowych środków bezpieczeństwa poza zatwierdzonym przez Komisję Europejską SCCS, wymaganym na mocy orzeczenia Schrems II. Organ uznał to za naruszenie art. 44 RODO i art. 46 ust. 2 RODO. Wreszcie organ ochrony danych stwierdził, że administrator nie przeprowadził oceny skutków dla ochrony danych w odniesieniu do spisu. | link |
| Hiszpania | 2022-12-09 | 120 EUR | Osoba prywatna | Art. 13 RODO | Hiszpański organ ochrony danych ukarał grzywną osobę prywatną. Ukarany podmiot zainstalował system monitoringu wideo w należącym do niego budynku wielorodzinnym. Na tabliczce informacyjnej dotyczącej systemu monitoringu brakowało natomiast informacji o administratorze i korzystaniu z praw osób, których dane dotyczą. Pierwotna kara ze 150 euro została obniżona do 120 euro z powodu dobrowolnej zapłaty. | link |
| Hiszpania | 2022-12-09 | 8.000 EUR | Notariusz | Art. 6 RODO | Hiszpański organ ochrony danych ukarał notariusza grzywną. Administrator zapoznał się z księgą wieczystą nieruchomości należącej do osoby, której dane dotyczą, bez nakazu wglądu do tych danych lub zgody osoby, której dane dotyczą. Pierwotna kara z 10 000 EUR została obniżona do 8 000 EUR w związku z dobrowolną opłatą. | link |
| Hiszpania | 2022-12-09 | 480 EUR | Osoba prywatna | Art. 6 RODO, Art. 13 RODO | Hiszpański organ ochrony danych ukarał grzywną osobę prywatną. Osoba ta zainstalowała kamery monitorujące w kompleksie mieszkalnym, który obejmował również obszary wspólne. W trakcie dochodzenia organ ochrony danych stwierdził, że dana osoba nie miała pozwolenia na zainstalowanie kamer, a zatem nie miała ważnej podstawy prawnej do przetwarzania danych. Ponadto osoba fizyczna nie przekazała osobom, których dane dotyczą, informacji o monitoringu wideo. Pierwotna kara z 600 euro została obniżona do 480 euro z powodu dobrowolnej zapłaty. | link |
| Rumunia | 2022-12-09 | 2.000 EUR | Casa Rusu S.R.L. | Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na firmę Casa Rusu S.R.L. . Administrator zgłosił naruszenie danych do urzędu ochrony danych osobowych na podstawie art. 33 RODO. Administrator użył nieautoryzowanego formularza podczas procesu płatności na swojej stronie internetowej, za pośrednictwem którego pobierane były dane bankowe kart klientów. Umożliwiło to nieautoryzowany dostęp do danych osobowych, takich jak imię i nazwisko posiadacza karty bankowej, której dotyczy problem, numer karty, data i rok ważności, kod CVC. W toku dochodzenia organ stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Irlandia | 2022-01-26 | 5.000 EUR | Slane Credit Union Ltd. | Art. 5 (1) f) RODO, Art. 24 RODO, Art. 28 (1), (3) RODO, Art. 30 (1) RODO, Art. 32 (1) RODO | Irlandzki organ ochrony danych nałożył grzywnę w wysokości 5 000 euro na Slane Credit Union Ltd. Administrator zawiadomił organ ochrony danych o naruszeniu ochrony danych w 2018 r. Z powodu błędu w narzędziu do optymalizacji wyszukiwarek zainstalowanym na stronie internetowej administratora, cztery zgłoszenia zapytań członków zawierające dane osobowe członków zostały nieumyślnie opublikowane. Incydent dotknął 76 członków, w tym nieletnich, oraz ich danych osobowych, takich jak imię i nazwisko, adres, płeć, daty urodzenia, numery kont itp. Organ stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ponadto organ stwierdził, że administrator nie dochował należytej staranności wobec podmiotu przetwarzającego i nie zawarł z podmiotem przetwarzającym umowy zgodnej z RODO. | link |
| Hiszpania | 2022-11-25 | 5.000 EUR | Stowarzyszenie na rzecz zapobiegania i badania przestępstw, nadużyć i zaniedbań w technologii informacyjnej i zaawansowanej komunikacji (APEDANICA) | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę na stowarzyszenie zajmujące się zapobieganiem i badaniem przestępstw, nadużyć i zaniedbań w technologii informacyjnej i zaawansowanej komunikacji (APEDANICA) w wysokości 5 000 EUR. Pracownicy firmy LEGAL ERASER SL złożyli skargę do organu ochrony danych. Administrator zwrócił się do organu ochrony danych o informacje dotyczące LEGAL ERASER w ramach prawa do informacji na podstawie hiszpańskiej ustawy o przejrzystości. Następnie administrator opublikował dokumenty, z których część zawierała dane osobowe klientów i pracowników LEGAL ERASER, pod 58 linkami w Internecie. | link |
| Hiszpania | 2022-11-25 | 1.800 EUR | ALPA 57 PRODUCCIONES, S.L. | Art. 58 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na firmę ALPA 57 PRODUCCIONES, S.L. za nieudzielenie informacji żądanych przez organ ochrony danych podczas dochodzenia. Pierwotna grzywna z 3000 euro została obniżona do 1800 euro w związku z natychmiastową zapłatą i uznaniem winy. | link |
| Hiszpania | 2022-12-02 | 3.600 EUR | Federacja Sportu dla Osób Niepełnosprawnych Intelektualnie Castilla la Mancha-FECAM | Art. 9 (2) a) RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Federację Sportu Osób Niepełnosprawnych Intelektualnie w Kastylii-La Mancha-FECAM. Administrator przetwarzał dane medyczne z testów na antygen Covid-19 uczestników zawodów sportowych bez ich zgody na przetwarzanie. Ponadto organ stwierdził, że administrator nie poinformował osób, których dane dotyczą, o okresie przechowywania danych. Pierwotna grzywna z 6000 euro została obniżona do 3600 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Hiszpania | 2022-12-02 | 3.500 EUR | CASA 7 PERSONAL SHOPPER, S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 3500 EUR na CASA 7 PERSONAL SHOPPER, S.L. Administrator wysłał e-mail z danymi osobowymi do kilku odbiorców w otwartej rozdzielnicy. Dzięki temu odbiorcy mogli przeglądać adresy e-mail wszystkich pozostałych odbiorców. | link |
| Włochy | 2022-11-10 | 40.000 EUR | Usl Valle d'Aosta | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO | Włoski organ ochrony danych ukarał Azienda Usl Valle d'Aosta grzywną w wysokości 40 000 EUR. Pracownik i pacjent sanepidu złożyli skargę do urzędu ochrony danych osobowych, ponieważ kolega, który nigdy ich nie leczył, wielokrotnie wchodził w ich dokumentację medyczną, mimo że wyraźnie odmówili zgody na przetwarzanie danych. Podczas dochodzenia DPA stwierdził, że w celu uproszczenia postępowania z pacjentami podczas pandemii Covid 19 departament zdrowia uprościł system dokumentacji medycznej. W rezultacie dokumentacja medyczna pacjenta była dostępna dla każdego pracownika, niezależnie od tego, czy pacjent, którego to dotyczy, wyraził na to zgodę. Organ uznał to za naruszenie obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Włochy | 2022-09-15 | 40.000 EUR | FCA Italy S.p.A. | Art. 12 (1), (2), (3), (4) RODO, Art. 15 RODO | Włoski organ ochrony danych nałożył na FCA Italy S.p.A. karę w wysokości 40 000 euro. Pracownik administratora zażądał dostępu do danych osobowych przetwarzanych w ramach stosunku pracy. Administrator nie spełnił jednak tego żądania w terminie, niezgodnie z wymogami art. 12 RODO i art. 15 RODO | link |
| Włochy | 2022-10-06 | 10.000 EUR | Codess Sociale, Soc. Kooperacja. towarzyska. | Art. 12 (3), (4) RODO, Art. 17 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na Codess Sociale, Soc. Kooperacja. towarzyska. Były członek-wolontariusz złożył skargę do DPA. Osoba, której dane dotyczą, oświadcza, że składając rezygnację, zażądała usunięcia swoich danych osobowych z archiwum administratora. Administrator nie zastosował się jednak do wezwania w terminie. | link |
| Włochy | 2022-10-06 | 2.000.000 EUR | Eksploracja alfa | Art. 5 (1) a), e), f) RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 27 (4) RODO, Art. 28 RODO, Art. 32 RODO, Art. 35 RODO | Włoski organ ochrony danych nałożył na Alpha Exploration karę w wysokości 2 mln euro. Alpha Exploration obsługuje portal społecznościowy Clubhouse. W toku dochodzenia organ stwierdził liczne naruszenia RODO. Na przykład organ ochrony danych stwierdził brak przejrzystości w zakresie wykorzystywania danych użytkowników i ich kontaktów na czacie. Ponadto użytkownicy sieci mogli przechowywać i udostępniać wiadomości audio od innych użytkowników bez ich zgody. Ponadto informacje o koncie zostały udostępnione nieupoważnionym stronom trzecim bez ważnej podstawy prawnej. Ponadto firma nie określiła okresów przechowywania danych osobowych. Ponadto firma nie udzieliła użytkownikom wystarczających informacji o wielu aspektach przetwarzania ich danych osobowych oraz nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Wreszcie organ ochrony danych stwierdził, że firma nie przeprowadziła oceny skutków dla ochrony danych. Pod koniec dochodzenia organ ochrony danych nie tylko nałożył grzywnę, ale także nakazał podjęcie szeregu działań przez spółkę. Na przykład firma musi zdefiniować okresy przechowywania i wprowadzić funkcję informującą użytkowników, że ich rozmowy są nagrywane. | link |
| Hiszpania | 2022-12-03 | 300 EUR | Stowarzyszenie Właścicieli Domów | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na stowarzyszenie właścicieli domów. Stowarzyszenie zainstalowało kilka kamer monitoringu wideo w całej dzielnicy mieszkalnej, które obejmowały między innymi obszar wspólny. Organ uznał to za naruszenie zasady minimalizacji danych | link |
| Hiszpania | 2022-12-03 | 600 EUR | LORENT 2013, S.L | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę LORENT 2013, S.L. karę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. objęły również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2022-12-03 | 3.000 EUR | INDECEMI, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na INDECEMI, S.L. grzywnę w wysokości 3 000 EUR. Osoba złożyła skargę do organu ochrony danych na administratora po otrzymaniu wiadomości e-mail od administratora zawierającej dane osobowe (imię, nazwisko, adres, numer telefonu itp.) .) innej osoby w kontekście reklamacji. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. | link |
| Hiszpania | 2022-11-29 | 3.000 EUR | Firma | Art. 6 RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył na firmę karę w wysokości 3000 euro. Ukarant y podmiozainstalował system nadzoru wideo, który rejestrował również głosy zarówno pracowników, jak i klientów. W toku dochodzenia organ stwierdził, że administrator nie miał ważnej podstawy prawnej do przetwarzania informacji o głosach w ramach monitoringu wizyjnego. Ponadto organ stwierdził, że administrator nie przekazał wystarczających informacji o monitoringu wizyjnym, w tym informacji o przetwarzaniu, tożsamości administratora oraz korzystaniu z praw osób, których dane dotyczą. | link |
| Francja | 2022-11-24 | 600.000 EUR | ÉLECTRICITÉ DE FRANCE | Art. 7 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO, Art. 21 RODO, Art. L. 34-5 CPCE | Francuski organ ochrony danych nałożył grzywnę w wysokości 600 000 EUR na ÉLECTRICITÉ DE FRANCE (EDF), największego dostawcę energii elektrycznej we Francji. Organ ochrony danych otrzymał kilka skarg dotyczących trudności osób fizycznych w korzystaniu z ich praw przez EDF. Podczas dochodzenia organ ochrony danych stwierdził, że polityka prywatności EDF nie zawiera wystarczających informacji na temat różnych aspektów przetwarzania danych, takich jak okres przechowywania danych osobowych. Ponadto organ ochrony danych stwierdził, że firma EDF nie odpowiedziała na szereg żądań osób, których dane dotyczą, w odpowiednim czasie. Ponadto firma EDF nie przestrzegała prawa osób, których dane dotyczą, do sprzeciwu wobec żądań reklamowych w niektórych przypadkach. Ponadto organ ochrony danych zauważył, że EDF nie wykazała, że uzyskała ważną zgodę osób, których dane dotyczą, w kontekście komercyjnej kampanii nagabywania. Wreszcie organ ochrony danych stwierdził, że EDF nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. EDF niepewnie przechowywał hasła do ponad 25 000 kont klientów. Ponadto firma jedynie zahaszowała, a nie „soliła” hasła do 2,4 miliona kont. | link |
| Włochy | 2022-11-10 | 500.000 EUR | Vodafone Italia S.p.A. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 130 (1), (2), (3) Codice della privacy | Włoski organ ochrony danych nałożył na Vodafone Italia S.p.A. grzywnę w wysokości 500 000 EUR. Klient złożył skargę do organu ochrony danych na firmę Vodafone. Z 80-letnim klientem skontaktowało się zewnętrzne call center na zlecenie Vodafone. W trakcie rozmowy call center zawarło z klientem nową umowę bez jego zgody. W toku dochodzenia organ stwierdził również, że klientka nie otrzymała wystarczających informacji o przetwarzaniu jej danych osobowych. Ponadto call center zbyt szybko odczytało informacje, przez co treść była niezrozumiała. Przy obliczaniu grzywny organ ochrony danych wziął pod uwagę jako okoliczność obciążającą to, że Vodafone dopuścił się już podobnych naruszeń w przeszłości. Fakt, że Vodafone natychmiast rozwiązał przedmiotową umowę, został jednak wzięty pod uwagę jako okoliczność łagodząca. | link |
| Hiszpania | 2022-11-29 | 500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 500 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. objęły również przestrzeń publiczną, a ponadto opublikował zarejestrowany obraz na Facebooku. Organ uznał to za naruszenie zasady minimalizacji danych | link |
| Rumunia | 2022-11-25 | 3.000 EUR | OTP LEASING ROMANIA IFN SA | Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych nałożył na OTP LEASING ROMANIA IFN SA karę w wysokości 3 000 euro. Administrator zgłosił naruszenie danych do urzędu ochrony danyc oobowych na podstawie art. 33 RODO. Osoba fizyczna poinformowała administratora, że poprzez zmianę adresu URL i utworzenie konta administratora uzyskała nieautoryzowany dostęp do platformy informatycznej obsługiwanej przez administratora. Umożliwiło to osobie uzyskanie nieautoryzowanego dostępu do danych osobowych. Organ stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Spowodowało to nieupoważniony dostęp do danych osobowych. | link |
| Irlandia | 2022-11-25 | 265.000.000 EUR | Meta Platforms Ireland Limited | Art. 25 (1), (2) RODO | Irlandzki organ ochrony danych nałożył na Meta Platforms Ireland Limited grzywnę w wysokości 265 mln euro. DPA wszczęła dochodzenie przeciwko Meta w 2021 r. po tym, jak doniesienia medialne wskazywały, że zbiór danych zawierający dane osobowe z Facebooka został udostępniony na platformie hakerskiej. Wyciek danych dotknął nawet 533 milionów użytkowników wraz z ich danymi, takimi jak numery telefonów i adresy e-mail. W ramach dochodzenia organ ochrony danych dokonał przeglądu i oceny narzędzi Facebook Search, Facebook Messenger Contact Importer i Instagram Contact Importer. Inspektor Ochrony Danych dokonał przede wszystkim przeglądu wdrożenia środków technicznych i organizacyjnych służących ochronie danych osobowych i stwierdził naruszenie art. 25 RODO | link |
| Rumunia | 2022-11-24 | 1.000 EUR | Medicover S.R.L. | Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 32 (4) RODO | Rumuński UOKiK nałożył na Medicover S.R.L. karę pieniężną w wysokości 1000 EUR. Administrator zgłosił do urzędu ochrony danych osobowych naruszenie danych zgodnie z art. 33 RODO. Administrator nieumyślnie wysłał dokumenty zawierające dane osobowe do niewłaściwego odbiorcy. W rezultacie dane osobowe takie jak imię i nazwisko osoby, której dane dotyczą, adres korespondencyjny, adres e-mail oraz dane dotyczące stanu zdrowia zostały ujawnione bez upoważnienia. Organ ustalił, że do incydentów doszło na skutek niewdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. | link |
| Rumunia | 2022-11-21 | 20.000 EUR | ING Bank NV Amsterdam Sucursala București | Art. 32 (1), (2) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 20 000 euro na ING Bank NV Amsterdam Sucursala București. Bank zgłosił naruszenie danych do UODO na podstawie art. 33 RODO. Kilka danych osobowych klientów, takich jak dane dowodu osobistego, dane bankowe, dane kart bankowych itp., zostało uzyskanych i ujawnionych bez upoważnienia. Skutkowało to przeprowadzaniem transakcji płatniczych przez nieupoważnione osoby trzecie. W toku dochodzenia organ stwierdził, że bank nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co umożliwiło nieupoważniony dostęp. | link |
| Hiszpania | 2022-11-21 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną | link |
| Portugalia | 2022-11-02 | 180.000 EUR | Gmina Setúbal | Art. 5 (1) e), f) RODO, Art. 13 (1), (2) RODO, Art. 37 (1), (7) RODO | Portugalski organ ochrony danych nałożył na gminę Setúbal grzywnę w wysokości 170 000 EUR. Organ ochrony danych wykrył naruszenia ochrony danych w zakresie gromadzenia danych osobowych od ukraińskich uchodźców. Gmina poprosiła uchodźców o wypełnienie formularza w momencie ich przyjazdu i podanie różnych danych osobowych, takich jak imię i nazwisko, data urodzenia, stan cywilny itp. Organ ochrony danych zauważył, że gmina nie poinformowała w wystarczającym stopniu danych tematy dotyczące przetwarzania danych. Ponadto organ stwierdził, że gmina nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych, a także nie określiła okresu przechowywania danych. Gmina nie wyznaczyła również inspektora ochrony danych. | link |
| Rumunia | 2022-11-18 | 300 EUR | Stowarzyszenie Właścicieli Domów ul. Pipera 1-2E | Art. 58 (1) RODO | Rumuński organ ochrony danych (ANSPDCP) ukarał grzywną Stowarzyszenie Właścicieli Domów „Bld. Pipera 1-2E” 300 EUR za nieudzielenie informacji żądanych przez organ ochrony danych podczas dochodzenia. | link |
| Francja | 2022-11-10 | 800.000 EUR | DISCORD INC. | Art. 5 (1) e) RODO, Art. 13 RODO, Art. 25 (2) RODO, Art. 32 RODO, Art. 35 RODO | Francuski organ ochrony danych nałożył grzywnę w wysokości 800 000 EUR na DISCORD INC. DISCORD oferuje usługę komunikacji online, za pośrednictwem której użytkownicy mogą rozmawiać lub prowadzić rozmowy wideo. W toku dochodzenia organ ochrony danych stwierdził, że firma nie ustaliła i nie przestrzegała okresu przechowywania danych odpowiedniego do celu przetwarzania. Na przykład w bazie danych DISCORD znajdowało się ponad dwa miliony kont francuskich użytkowników, którzy nie korzystali z konta przez ponad trzy lata, oraz około 50 000 kont, które nie były używane przez ponad pięć lat. Ponadto organ zauważył, że firma nie posiadała pełnych informacji dotyczących okresów przechowywania. Organ stwierdził również, że firma nie zapewniła domyślnie ochrony danych, co jest sprzeczne z obowiązkiem wynikającym z art. 25 ust. 2 RODO. W ten sposób możliwe było przesyłanie danych użytkownika nawet po zamknięciu aplikacji komunikacyjnej. Organ ochrony danych stwierdził również, że firma nie zapewniła wystarczającego bezpieczeństwa danych osobowych, akceptując niezabezpieczone hasła od użytkowników. Firma akceptowała hasła użytkowników, które składały się z sześciu znaków zawierających tylko litery i cyfry. Wreszcie organ ochrony danych stwierdził, że firma nie przeprowadziła oceny skutków dla ochrony danych. | link |
| Rumunia | 2022-11-16 | 28.000 EUR | Raiffeisen Bank SA | Art. 25 (1) RODO, Art. 32 (1), (2), (4) RODO | Rumuński organ ochrony danych nałożył na Raiffeisen Bank SA karę w wysokości 28 tys. euro. Bank zgłosił kilka naruszeń danych na podstawie art. 33 RODO do organu ochrony danych. W toku dochodzenia DPA ustalił, że bank prowadził kwerendy w agencji kredytowej bez zgody osób, których dane dotyczą. Ponadto organ ochrony danych ustalił, że bank udzielił kredytu kilku klientom bez ubiegania się o niego przez klientów, których to dotyczy. Ponadto bank nieumyślnie przesłał dane osobowe osób, których dane dotyczą, do niewłaściwych odbiorców, umożliwiając im dostęp do danych. Organ stwierdził, że bank nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Spowodowało to nieupoważniony dostęp i/lub ujawnienie danych osobowych. | link |
| Polska | 2022-11-02 | 1.700 EUR | Burmistrz | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO | Polski organ ochrony danych nałożył na burmistrza gminy Dobrzyniewo Duże karę w wysokości 1700 euro. Burmistrz zgłosił naruszenie ochrony danych do Urzędu Ochrony Danych Osobowych na podstawie art. 33 RODO. Komputer służbowy pracownika, który zawierał dane osobowe, został skradziony. Podczas dochodzenia organ ochrony danych ustalił, że dane na komputerze nie były odpowiednio zabezpieczone, a gmina nie podjęła odpowiednich środków technicznych w celu ochrony danych osobowych. | link |
| Węgry | 2022-08-11 | 197.000 EUR | AMPLIFON Hungary Trade and Service Provider LLC | Art. 5 (1) b) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 14 RODO | Węgierski organ ochrony danych nałożył grzywnę w wysokości 197 000 EUR na firmę AMPLIFON Hungary Trade and Service Provider LLC. Organ ochrony danych otrzymał skargi od kilku osób, których dane dotyczą, w związku z otrzymaniem niezamawianych zaproszeń na badanie przesiewowe słuchu. Podczas dochodzenia organ ochrony danych stwierdził, że firma kontaktowała się z osobami, których dane dotyczą, bez uprzedniego uzyskania ich zgody. Firma otrzymała dane z Ministerstwa Spraw Wewnętrznych do celów badania rynku. Organ ochrony danych stwierdził, że firma przetwarzała dane niezgodnie z prawem i niezgodnie z pierwotnym celem badania rynku. Ponadto organ stwierdził, że firma nie przekazała osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania danych. | |
| Hiszpania | 2022-11-15 | 80.000 EUR | BANKINTER, S.A. | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył na BANKINTER, S.A. grzywnę. Osoba złożyła skargę do organu ochrony danych, ponieważ podczas uzyskiwania dostępu do konta bankowego zostały jej wyświetlone dane osobowe osoby trzeciej. Organ stwierdził, że nieuprawnione ujawnienie danych osób trzecich nastąpiło z powodu braku odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych w banku. Pierwotna kara w wysokości 100 000 EUR została obniżona do 80 000 EUR dzięki dobrowolnej wpłacie. | link |
| Hiszpania | 2022-11-11 | 3.600 EUR | XASTRE DO PETO, S.L. | Art. 6 (1) RODO, Art. 13 RODO, Art. 21 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 3600 EUR na XASTRE DO PETO, S.L. (restauracja). Osoba fizyczna złożyła skargę do organu ochrony danych w związku z tym, że administrator zażądał od niej wypełnienia formularza z danymi osobowymi w celu śledzenia kontaktów w kontekście pandemii Covid-19. Jednak w toku dochodzenia organ ochrony danych stwierdził, że podstawa prawna do gromadzenia danych kontaktowych w międzyczasie wygasła, a zatem administrator przetwarzał dane niezgodnie z prawem. Organ stwierdził również, że administrator nie udzielił osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania danych. Urząd Ochrony Danych Osobowych ustalił ponadto, że administrator nie zapewnił osobom, których dane dotyczą, łatwego sposobu wniesienia sprzeciwu wobec przetwarzania danych osobowych. | link |
| Hiszpania | 2022-11-11 | 48.000 EUR | Banco Bilbao Vizcaya Argentaria S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, SA. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ zażądała informacji na temat jednego ze swoich kont, a następnie otrzymała informacje o umowie od osoby trzeciej. Organ stwierdził, że nieuprawnione ujawnienie danych osób trzecich wynikało z nieodpowiednich środków technicznych i organizacyjnych w banku. Pierwotna kara w wysokości 80 000 euro została obniżona do 48 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Hiszpania | 2022-11-10 | 900 EUR | Stowarzyszenie Właścicieli Domów | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na stowarzyszenie właścicieli domów. Stowarzyszenie zainstalowało kilka kamer monitoringu wideo w całej dzielnicy mieszkalnej, które obejmowały między innymi przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Pierwotna kara z 1500 euro została obniżona do 900 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Hiszpania | 2022-11-10 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2022-11-03 | 70.000 EUR | UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 70 000 EUR na UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC (UPS). Osoba złożyła skargę do organu ochrony danych, ponieważ firma UPS dostarczyła od niej paczkę sąsiadowi bez jej zgody. Organ uznał to za nieuprawnione ujawnienie ich danych, które wynikało z braku technicznych i organizacyjnych środków ochrony danych osobowych. Organ stwierdził również, że to nieuprawnione ujawnienie danych osobowych stanowiło naruszenie zasady integralności i poufności. | link |
| Hiszpania | 2022-10-31 | 525.000 EUR | TECHPUMP SOLUTIONS S.L. | Art. 5 (1) a), b), e) RODO, Art. 6 (1) RODO, Art. 8 RODO, Art. 12 (1), (2) RODO, Art. 13 RODO, Art. 25 RODO, Art. 30 (1) RODO, Art. 22 (2) LSSI | Hiszpański organ ochrony danych nałożył na Techpump Solutions S.L. 525 000 EUR. Techpump prowadzi kilka stron internetowych z treściami dla dorosłych. Podczas dochodzenia organ ochrony danych wykrył kilka naruszeń prawa o ochronie danych. Po pierwsze, urząd ochrony danych stwierdził, że wbrew określonym informacjom w polityce prywatności, Techpump udostępniał dane osobowe użytkowników spółkom należącym do tej samej grupy. Ponadto organ stwierdził, że Techpump nie określił okresu przechowywania danych osobowych użytkowników i przechowywał je bezterminowo do czasu, gdy użytkownicy zażądali wycofania zgody. Techpump przetwarzał również dane osobowe użytkowników bez uprzedniego uzyskania ich zgody. Ponadto organ ochrony danych stwierdził, że Techpump nie zapewniał wystarczającej kontroli rodzicielskiej, aby uniemożliwić nieletnim poniżej 14 roku życia dostęp do jego treści. Ponadto polityka prywatności Techpump była dostępna tylko w języku angielskim, a nie hiszpańskim, a informacje nie były jasno zrozumiałe. Techpump wymagał również, aby osoby, które chciały skorzystać z praw osoby, której dane dotyczą, podały dane swojego dowodu osobistego w celu weryfikacji ich tożsamości. Organ ochrony danych uznał to za niedopuszczalną przeszkodę w wykonywaniu praw osób, których dane dotyczą. Wreszcie, Techpump gromadził również różne dane, takie jak adresy IP i dane WIFI, bez zdefiniowania celu ich przetwarzania. | link |
| Hiszpania | 2022-11-02 | 2.000 EUR | Rapido Finance, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na Rapido Finance, S.L. grzywnę w wysokości 2000 EUR. Osoba, której dane dotyczą, otrzymała wiadomość od firmy działającej w imieniu Rapid Finance z prośbą o spłatę zaległych długów. Jednak osoba, której dane dotyczą, spłaciła już długi, co również zostało potwierdzone w orzeczeniu sądu. Z tego powodu urząd ochrony danych osobowych uznał, że ujawnienie danych osobowych osoby, której dane dotyczą, w celu nawiązania z nią kontaktu w sprawie uregulowania długu było niezgodne z prawem. | link |
| Hiszpania | 2022-11-02 | 5.000 EUR | CÍTRICOS TANTA, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na CÍTRICOS TANTA, S.L. grzywnę w wysokości 5 000 EUR. Administrator wpisał dane osobowe pracownika do Generalnego Rejestru Pracowników Zakładu Ubezpieczeń Społecznych, mimo że pracownik nigdy nie pracował. Z tego powodu administrator byłby zobowiązany do anulowania wpisu osoby, której dane dotyczą, do rejestru w ciągu 72 godzin, czego administrator nie uczynił. W przypadku braku świadczenia pracy przez osobę, której dane dotyczą, administrator nie miał już podstawy prawnej do wprowadzenia danych do rejestru. W związku z tym organ uznał, że nieusunięcie danych stanowiło niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. | link |
| Włochy | 2022-08-05 | 1.000 EUR | Colosseo S.r.l. | Art. 5 (2) RODO, Art. 6 (1) a) RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 24 RODO | Włoski organ ochrony danych nałożył na firmę Colosseo S.r.l. grzywnę w wysokości 1000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ administrator przesłał jej niezamówioną handlową wiadomość e-mail. Następnie osoba, której dane dotyczą, zażądała od administratora dostępu do swoich danych osobowych, usunięcia swoich danych osobowych oraz sprzeciwu wobec otrzymywania w przyszłości promocyjnych wiadomości e-mail. Administrator nie ustosunkował się jednak do żądań osoby, której dane dotyczą. | link |
| Rumunia | 2022-11-09 | 1.000 EUR | SC Das Sense Society SRL | Art. 58 (1) RODO | Rumuński organ ochrony danych (ANSPDCP) ukarał SC Das Sense Society SRL grzywną w wysokości 1000 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych podczas dochodzenia | link |
| Rumunia | 2022-11-08 | 5.000 EUR | SC Prestige Media PHG SRL | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył na SC Prestige Media PHG SRL grzywnę w wysokości 5 000 EUR. Administrator opublikował na swojej stronie internetowej 23 dokumenty zawierające informacje o rozwiązaniu stosunku pracy oraz dane osobowe osób, których dane dotyczą. Niektóre osoby, których dane dotyczą, nie pozostawały w stosunku prawnym z administratorem | link |
| Hiszpania | 2022-10-31 | 56.000 EUR | Vodafone España, S.A.U. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę Vodafone España, S.A.U. Pewna osoba złożyła skargę do organu ochrony danych za kilkukrotne bezskuteczne żądanie kopii umowy telefonicznej od firmy Vodafone. W końcu osoba otrzymała e-mail, ale z umową telefoniczną innego klienta. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności określonej w art. 5 ust. 1 lit. f) RODO. Ponadto organ stwierdził, że Vodafone nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co mogło zapobiec incydentowi. Pierwotna kara z 70 000 EUR została obniżona do 56 000 EUR dzięki dobrowolnej wpłacie. | link |
| Rumunia | 2022-11-07 | 2.000 EUR | Poczta rumuńska | Art. 32 (1) b), (2) RODO | Rumuński organ ochrony danych nałożył na Pocztę Rumuńską grzywnę w wysokości 2000 EUR. The Post doznał naruszenia danych, w wyniku którego pracownicy stracili kilka przesyłek zawierających wyciągi emerytalne, świadectwa pracy i akty zgonu. Incydent dotknął 35 osób (odbiorców). Organ stwierdził, że Poczta nie wdrożyła odpowiednich środków technicznych i organizacyjnych w zakresie ochrony danych osobowych, które mogłyby zapobiec takiemu zdarzeniu | link |
| Hiszpania | 2022-11-02 | 25.000 EUR | CAIXABANK S.A. | Art. 16 RODO | Hiszpański organ ochrony danych nałożył na CAIXABANK S.A. karę pieniężną w wysokości 25 000 euro. Osoba, której dane dotyczą, wielokrotnie i bezskutecznie prosiła o aktualizację swojego adresu zarejestrowanego w banku. Organ uznał to za naruszenie art. 16 RODO. | link |
| Hiszpania | 2022-10-31 | 70.000 EUR | BANCO BILBAO VIZCAYA ARGENTARIA, S.A. | Art. 5 (1) b) RODO, Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył na BANCO BILBAO VIZCAYA ARGENTARIA, S.A. grzywnę w wysokości 70 000 EUR. Klient banku złożył skargę do organu ochrony danych. Klient w przeszłości, jako pełnomocnik, wniósł pozew przeciwko bankowi przez swojego klienta, będącego również klientem banku. Bank wysłał wówczas klientowi odpowiedź, w której zamiast adresu służbowego osoby, której dane dotyczą, pełnomocnik nieumyślnie zanotował jej adres prywatny. W pierwszej kolejności organ stwierdził, że bank przetwarzał dane osobowe pełnomocnika w sposób niezgodny z celami, dla których dane te zostały zebrane (zarządzanie jego prywatnym kontem). Ponadto organ stwierdził, że do nieuprawnionego ujawnienia danych osobowych pełnomocnika doszło na skutek nieodpowiednich środków technicznych i organizacyjnych w banku. | link |
| Hiszpania | 2022-10-31 | 2.000 EUR | Osoba prywatna | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na członka rady pracowniczej grzywnę w wysokości 2000 EUR. Osoba ta wysłała protokoły posiedzeń rady pracowniczej do nieupoważnionych osób trzecich, które nie były członkami rady pracowniczej. W toku dochodzenia organ ochrony danych stwierdził, że dana osoba nie miała skutecznej podstawy prawnej do wysyłania e-maili | link |
| Hiszpania | 2022-09-01 | 10.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 10 000 EUR. Osoba ta opublikowała dane osobowe innej osoby na blogu bez jej zgody iw sposób zniesławiający | link |
| Hiszpania | 2022-09-23 | 1.200 EUR | URBANO DIVERTIA, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył karę pieniężną na URBANO DIVERTIA S.L. Klient złożył skargę do organu ochrony danych na otrzymanie od administratora dokumentu z danymi poprzedniego najemcy mieszkania, które obecnie wynajmował od administratora. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Pierwotna grzywna z 2000 euro została obniżona do 1200 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Włochy | 2022-06-16 | 20.000 EUR | Deutsche Bank S.p.A. | Art. 12 (3) RODO, Art. 15 RODO | Brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych. | link |
| Hiszpania | 2022-10-25 | 9.000 EUR | EL RACO DEL PIS INVERSIONES S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 9 000 EUR na EL RACO DEL PIS INVERSIONES S.L. Administrator wysłał wiadomość e-mail z otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców są widoczne dla innych odbiorców. | link |
| Hiszpania | 2022-10-26 | 10.000 EUR | ACKERMANN & SCHWARTZ ATTORNEYS AT LAW SLP | Art. 6 (1) RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył na firmę ACKERMANN & SCHWARTZ ATTORNEYS AT LAW SLP karę pieniężną w wysokości 10 000 EUR. Kancelaria zbierała dane osobowe od użytkowników serwisu bez uzyskania ich zgody. Ponadto organ stwierdził, że polityka prywatności na stronie nie zawiera wystarczających informacji. Brakowało np. informacji o danych kontaktowych administratora oraz informacji o korzystaniu z praw osób, których dane dotyczą. | link |
| Hiszpania | 2022-10-17 | 35.000 EUR | OES GLOBAL ENERGY S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył na OES GLOBAL ENERGY S.L. karę w wysokości 35 000 EUR. Klient administratora złożył skargę do organu po otrzymaniu od administratora wiadomości e-mail zawierającej dokumenty dotyczące rozwiązania umów na energię elektryczną innych odbiorców. Dokumenty te zawierały dane osobowe klientów, takie jak ich nazwiska i numery identyfikacyjne. Organ ochrony danych uznał to bezprawne ujawnienie danych osobowych za naruszenie zasady poufności i integralności, a także brak wystarczających środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. | link |
| Włochy | 2022-09-15 | 3.000 EUR | Gmina Thiene | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na gminę Thiene grzywnę w wysokości 3000 euro. Były pracownik gminy złożył skargę do urzędu ochrony danych osobowych w związku z opublikowaniem na stronie internetowej gminy dokumentu zawierającego jego dane osobowe. Dokument zawierał informację o rozwiązaniu stosunku pracy | link |
| Hiszpania | 2022-10-24 | 8.000 EUR | ADSL HOUSE, S.L. | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył na ADSL HOUSE, S.L. grzywnę w wysokości 8 000 EUR. Osoba, której dane dotyczą, otrzymywała od administratora telefony reklamowe, chociaż osoba, której dane dotyczą, była zarejestrowana na liście wykluczeń reklamowych firmy Robinson | link |
| Hiszpania | 2022-10-24 | 400 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 400 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2022-10-24 | 240 EUR | Firma | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę karę pieniężną. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Pierwotna kara z 300 euro została obniżona do 240 euro z powodu dobrowolnej zapłaty | link |
| Włochy | 2022-07-21 | 20.000 EUR | Acqua Novara.VCO S.p.a. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 20 000 EUR na Acqua Novara.VCO S.p.a. Grzywna jest związana z grzywną nałożoną na Clio S.r.l.. Clio zapewnia i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych, w tym Acqua Novara. W toku dochodzenia organ ustalił, że Acqua Novara przekazała Clio dane osobowe w związku ze zgłoszeniami informującymi o nieprawidłowościach, umożliwiając Clio ich gromadzenie i przechowywanie bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że Acqua Novara nie uregulowała odpowiednio swoich stosunków z Clio. | link |
| Włochy | 2022-07-21 | 5.000 EUR | Gmina Ginosa | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na gminę Ginosa grzywnę w wysokości 5000 euro. Grzywna jest związana z grzywną nałożoną na Clio S.r.l. Clio zapewnia i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych, w tym gminy Ginosa. Podczas dochodzenia organ ochrony danych stwierdził, że gmina przekazała Clio dane osobowe w związku ze zgłoszeniami informującymi o nieprawidłowościach, umożliwiając Clio ich gromadzenie i przechowywanie bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że gmina nie uregulowała odpowiednio swoich stosunków z Clio. | link |
| Włochy | 2022-07-21 | 10.000 EUR | Clio S.r.l. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Clio S.r.l. grzywnę w wysokości 10 000 EUR. Clio dostarcza i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych. W ramach dochodzenia organ ochrony danych stwierdził, że Clio nie uregulowało odpowiednio swoich relacji z klientami. Ponadto Clio bez ważnej podstawy prawnej przekazywało klientom dane o zgłoszeniach whistleblowingowych. Organ uznał to za naruszenie art. 5 ust. 1 lit. a) RODO i art. 6 RODO. Ponadto organ stwierdził, że Clio nie prowadziło rejestru działalności prowadzonej w charakterze podmiotu przetwarzającego. Organ uznał to za naruszenie art. 30 ust. 2 RODO. | link |
| Włochy | 2022-10-06 | 15.000 EUR | Servizio Idrico Integrato S.c.p.a. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych ukarał grzywną Servizio Idrico Integrato S.c.p.a. 15 000 EUR. Administrator prowadził stronę internetową, na której przetwarzane były dane osobowe bez użycia formularza SSL. Organ ochrony danych stwierdził, że użycie formularza SSL byłoby konieczne dla bezpieczeństwa danych. Uznał zatem, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Wielka Brytania | 2022-10-19 | 5.033.000 EUR | Interserve Group Limited | Art. 5 (1) f) RODO, Art. 32 RODO | Brytyjski DPA nałożył na grupę budowlaną Interserve Group Limited grzywnę w wysokości 5 033 000 EUR. Administrator zawiadomił organ ochrony danych o naruszeniu ochrony danych na podstawie art. 33 RODO. Firma Interserve padła ofiarą cyberataku, w którym napastnicy wysłali wiadomość phishingową na skrzynkę pocztową zespołu księgowego Interserve. Poczta została otwarta przez pracownika, który również pobrał i otworzył załączony plik ZIP. Umożliwiło to atakującym zainstalowanie złośliwego oprogramowania i wyprowadzenie danych osobowych od 113 000 pracowników. Wyciągnięte dane zawierały między innymi informacje o kontach bankowych, numery ubezpieczenia społecznego, pochodzenie etniczne, orientację seksualną i religię osób, których dane dotyczą. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że niewystarczające środki bezpieczeństwa umożliwiły przeprowadzenie ataku. Na przykład pracownicy Interservere nie zostali odpowiednio przeszkoleni w zakresie prywatności danych. Ponadto firma Interserve przetwarzała dane osobowe w nieobsługiwanych systemach operacyjnych, które nie podlegały już aktualizacjom zabezpieczeń w celu wyeliminowania luk w systemie. Ponadto firma Interserve nie przeprowadziła odpowiednich skanów pod kątem luk w zabezpieczeniach. Wreszcie zespół ds. bezpieczeństwa informacji firmy Interserve nie zbadał dostatecznie ataku, ponieważ oprogramowanie antywirusowe poinformowało, że złośliwe oprogramowanie zostało usunięte. | link |
| Włochy | 2022-09-15 | 10.000 EUR | Bper Banca S.p.A. | Art. 12 RODO | Włoski organ ochrony danych nałożył na Bper Banca S.p.A. karę w wysokości 10 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z niewypełnieniem przysługującego jej prawa do usunięcia danych osobowych. Osoba fizyczna zwróciła się do banku o usunięcie jej danych osobowych przetwarzanych przez bank. Następnie bank poprosił osobę, której dane dotyczą, o przesłanie dokumentów tożsamości w celu weryfikacji jej tożsamości w celu realizacji jej żądania. Osoba, której dane dotyczą, przekazała swoje dane, ale nie otrzymała odpowiedzi na żądanie usunięcia. Z tego powodu urząd ochrony danych uznał, że Bank naruszył art. 12 RODO, nie odpowiadając na żądanie w odpowiednim czasie. | link |
| Hiszpania | 2022-10-20 | 1.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1000 EUR. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych | link |
| Grecja | 2022-10-03 | 20.000 EUR | NATIONAL BANK OF GREECE S.A. | Art. 13 RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 20 000 EUR na NATIONAL BANK OF GRECE S.A. W kontekście korzystania z niektórych kart debetowych/kredytowych informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów . Informacje te można było później odczytać. Organ ochrony danych stwierdził, że bank nie poinformował klientów, których to dotyczy, o przechowywaniu informacji o transakcjach, a tym samym naruszył art. 13 RODO | link |
| Grecja | 2022-10-03 | 20.000 EUR | PIRAEUS BANK S.A. | Art. 13 RODO | Grecki organ ochrony danych nałożył na PIRAEUS BANK S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te można było później odczytać. Organ ochrony danych stwierdził, że bank nie poinformował klientów, których to dotyczy, o przechowywaniu informacji o transakcjach, a tym samym naruszył art. 13 RODO. | link |
| Grecja | 2022-10-03 | 20.000 EUR | EUROBANK ERGASIAS S.A. | Art. 13 RODO | Grecki organ ochrony danych nałożył na EUROBANK ERGASIAS S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych / kredytowych informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te można było później odczytać. Organ ochrony danych stwierdził, że bank nie poinformował klientów, których to dotyczy, o przechowywaniu informacji o transakcjach, a tym samym naruszył art. 13 RODO. | link |
| Grecja | 2022-10-03 | 20.000 EUR | ALFA BANK S.A. | Art. 13 RODO | Grecki organ ochrony danych nałożył na ALFA BANK S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych / kredytowych informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te można było później odczytać. Organ ochrony danych stwierdził, że bank nie poinformował klientów, których to dotyczy, o przechowywaniu informacji o transakcjach, a tym samym naruszył art. 13 RODO. | link |
| Grecja | 2022-09-09 | 15.000 EUR | Szkoła | Art. 5 (1) a), b) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODO | Grecki organ ochrony danych nałożył na szkołę grzywnę w wysokości 15 000 EUR. Szkoła zainstalowała w budynku kilka kamer monitorujących, które na stałe rejestrowały uczniów, nauczycieli i gości. Podczas dochodzenia organ ochrony danych stwierdził, że szkoła nie miała wystarczającej podstawy prawnej do monitoringu wideo. W związku z szeroko zakrojonym monitoringiem wizyjnym i wynikającym z tego ograniczeniem dóbr osobistych osób, których dane dotyczą, szkoła nie mogła powoływać się na prawnie uzasadniony interes (ochrona mienia). Ponadto organ stwierdził, że administrator naruszył swój obowiązek informacyjny, informując nauczycieli i rodziców jedynie ustnie iw sposób niekompletny o systemie monitoringu wizyjnego. | link |
| Grecja | 2022-09-22 | 3.000 EUR | Stacja paliw | Art. 12 RODO, Art. 14 RODO | Grecki organ ochrony danych nałożył na operatora stacji benzynowej karę w wysokości 3000 euro. Osoba złożyła skargę do Urzędu Ochrony Danych Osobowych w związku z nieudzieleniem przez administratora dostępu do wizerunków jej małoletniego dziecka zarejestrowanych przez system monitoringu na stacji benzynowej. Organ uznał to za naruszenie art. 12 RODO. Ponadto operator udostępnił policji zdjęcia z systemu monitoringu wideo w trakcie policyjnego śledztwa, nie informując o tym rodzica. Organ uznał, że brak poinformowania rodzica stanowił naruszenie art. 14 RODO. | link |
| Włochy | 2022-09-15 | 2.000 EUR | Immobiliare Riscostruzione Meloria s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych nałożył na Immobiliare Riscostruzione Meloria s.r.l. grzywnę w wysokości 2000 euro. Ukarany podmiot zainstalował w swoim biurze system monitoringu, który obejmował części wspólnego wejścia do budynku, a tym samym rejestrował również mieszkańców budynku. W toku śledztwa organ stwierdził, że tabliczka informacyjna dotycząca monitoringu wizyjnego nie zawierała wystarczających informacji o celu przetwarzania danych osobowych oraz danych kontaktowych administratora danych. | link |
| Hiszpania | 2022-10-17 | 6.000 EUR | Firma | Art. 6 RODO | Hiszpański organ ochrony danych nałożył na firmę karę w wysokości 6 000 euro. Administrator danych zainstalował kamery monitoringu wideo, które również rejestrowały dźwięk. Organ ochrony danych stwierdził jednak, że administrator nie miał wystarczającej podstawy prawnej do inwigilacji, w związku z czym nagrania zostały uzyskane niezgodnie z prawem | link |
| Rumunia | 2022-10-18 | 150 EUR | Osoba prywatna | Art. 6 (1) a) RODO | Rumuński organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 150 euro. Osoba ta wykorzystała nieuprawnione dane osobowe innej osoby bez jej zgody | link |
| Rumunia | 2022-10-18 | 2.000 EUR | SC Materiale Constructii Online SRL | Art. 58 (1) RODO | Rumuński organ ochrony danych (ANSPDCP) ukarał SC Materiale Constructii Online SRL grzywną w wysokości 2000 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych podczas dochodzenia | link |
| Francja | 2022-10-17 | 20.000.000 EUR | Clearview Al Inc. | Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODO, Art. 31 RODO | Francuski organ ochrony danych ukarał Clearview Al Inc. grzywną w wysokości 20 000 000 EUR. Firma posiada bazę danych zawierającą ponad 20 miliardów wizerunków twarzy (w tym francuskich mieszkańców i obywateli) z całego świata. Dane są zbierane online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych wyodrębnionych z obrazów. Profile poszczególnych osób można wzbogacić o informacje związane z tymi obrazami, takie jak znaczniki obrazów i geolokalizacja. W toku prowadzonego postępowania IOD stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że Clearview AI ograniczyła korzystanie z praw osób, których dane dotyczą. Na przykład ograniczył wykonywanie praw osób, których dane dotyczą, do dwóch razy w roku bez uzasadnienia. Ponadto osoby, których dane dotyczą, musiały złożyć kilka wniosków, zanim udzielono odpowiedzi na jeden. Ponadto na prośby często nie udzielano odpowiedzi lub udzielano odpowiedzi w sposób niewystarczający. Wreszcie DPA skrytykował współpracę Clearview AI. Firma w ogóle nie odpowiedziała na formularze dochodzeniowe lub odpowiedziała bardzo niekompletnie. | link |
| Hiszpania | 2022-10-17 | 50 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 500 euro. Osoba ta zainstalowała na swojej posesji kamery monitoringu, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. AEPD uznał, że tak rozbudowany monitoring wizyjny stanowił naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2022-10-19 | 5.000 EUR | RESTEXPERIENCE, S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych ukarał RESTEXPERIENCE, S.L. 5000 EUR. Administrator przypadkowo wysłał wiadomość e-mail zawierającą informacje podatkowe 36 osób do 11 osób nieupoważnionych. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Stwierdzono również, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Włochy | 2022-07-07 | 20.000 EUR | Intesa Sanpaolo Vita S.p.a. | Art. 5 (1) a), f) RODO | Włoski organ ochrony danych ukarał Intesa Sanpaolo Vita S.p.a. 20 000 EUR. Osoba, której dane dotyczą, która wykupiła u administratora polisę ubezpieczeniową na życie, złożyła skargę do organu ochrony danych na administratora w związku z nieuprawnionym ujawnieniem jej danych osobowych. W toku dochodzenia organ ustalił, że administrator bez upoważnienia udostępnił dane osobowe, takie jak imię, nazwisko oraz informacje o polityce, podmiotom trzecim. Do nieautoryzowanego ujawnienia doszło w wyniku błędu pracownika. | link |
| Hiszpania | 2022-10-17 | 180 EUR | INMUR JOYEROS, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na spółkę INMUR JOYEROS, S.L. Administrator nie dostarczył zawiadomienia z informacją o monitoringu wideo w swoich obiektach. Pierwotna grzywna w wysokości 300 euro została obniżona do 180 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Węgry | 2022-07-08 | 1.500 EUR | Lekarz | Art. 5 (1) RODO, Art. 12 (2) RODO, Art. 13 (1) GDPR | Węgierski organ ochrony danych nałożył na lekarza grzywnę w wysokości 1500 euro. Pacjentka poprosiła lekarza o przesłanie pełnej dokumentacji medycznej, w tym dokumentacji obrazowej oraz formularzy zgody na opiekę położniczą. Jednak lekarz nie zastosował się do tej prośby | |
| Włochy | 2022-08-05 | 20.000 EUR | Cosmopol Security S.p.A. | Art. 12 (3) RODO, Art. 15 RODO | Włoski organ ochrony danych nałożył na firmę Cosmopol Security S.p.A. grzywnę w wysokości 20 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych na administratora. Osoba fizyczna otrzymywała faktury, nie będąc nigdy w stosunku umownym ze spółką. W związku z tym osoba, której dane dotyczą, zażądała informacji o pochodzeniu jej danych osobowych. Administrator nie odpowiedział jednak na żądanie osoby, której dane dotyczą, w odpowiednim czasie. | link |
| Hiszpania | 2022-10-14 | 12.000 EUR | SEAN SERIOS S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na firmę SEAN SERIOS S.L. grzywnę w wysokości 12 000 EUR. Administrator opublikował wyniki postępowania kwalifikacyjnego na stronie internetowej. Obejmowało to między innymi dane osobowe uczestników, takie jak nazwisko, imię i wynik w procesie selekcji. W toku dochodzenia organ stwierdził, że administrator nie miał wystarczającej podstawy prawnej do opublikowania danych. | link |
| Węgry | 2022-10-05 | 72.500 EUR | Bank | Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO | Węgierski organ ochrony danych nałożył na bank karę w wysokości 72 500 euro. Jedna osoba złożyła skargę do DPA. Bank przeprowadził kontrolę kredytową tej osoby na podstawie wniosku kredytowego. Jednak bank przeprowadził później drugą kontrolę kredytową, chociaż osoba fizyczna nie poprosiła o nową ofertę kredytową. Organ ochrony danych stwierdził zatem, że ta druga kontrola kredytowa została przeprowadzona niezgodnie z prawem ze względu na brak podstawy prawnej. | |
| Grecja | 2022-08-08 | 5.000 EUR | IDIKA SA | Art. 5 (1) e) RODO, Art. 25 RODO | Grecki organ ochrony danych nałożył na IDIKA SA karę w wysokości 10 000 EUR. IDIKA działała w kontekście dostarczania bezpłatnych testów na COVID-19. Organ stwierdził, że IDIKA w ramach czynności przetwarzania nie informowała w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych. Ponadto IDIKA przechowywała dane osobowe dłużej niż było to konieczne i nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Belgia | 2022-08-19 | 20.000 EUR | Laboratorium Medyczne | Art. 5 (1) f) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 32 RODO, Art. 35 (1), (3) RODO | Belgijski organ ochrony danych nałożył na laboratorium medyczne grzywnę w wysokości 20 000 euro. W toku dochodzenia organ stwierdził, że laboratorium nie przeprowadziło oceny skutków dla ochrony danych, a tym samym naruszyło art. 35 RODO. Ponadto laboratorium naruszyło art. 5 ust. 1 lit. f) RODO i art. 32 RODO, ponieważ lekarze mogli przeglądać dane osobowe pacjentów na stronie internetowej bez szyfrowania. Ostatecznie organ stwierdził, że laboratorium nie opublikowało oświadczenia o ochronie prywatności na swojej stronie internetowej, co stanowi naruszenie art. 12 RODO, art. 13 RODO i art. 14 RODO. | link |
| Grecja | 2022-09-06 | 5.000 EUR | EDYTE SA | Art. 29 RODO | Grecki organ ochrony danych nałożył na EDYTE SA karę w wysokości 5 000 EUR. EDYTE, jako podmiot przetwarzający, w sposób niezgodny z prawem udostępnił dane osobowe podmiotom trzecim bez upoważnienia administratora danych. | link |
| Rumunia | 2022-09-21 | 5.000 EUR | Curtea Veche Publishing SRL | Art. 32 (1) b), c) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych nałożył na Curtea Veche Publishing SRL grzywnę w wysokości 5 000 EUR. Administrator zgłosił dwa naruszenia ochrony danych do Urzędu Ochrony Danych Osobowych na podstawie art. 33 RODO. W przypadku pierwszego naruszenia danych administrator nieumyślnie opublikował na forum publicznym plik zawierający bazę danych klientów. Doprowadziło to do nieupoważnionego ujawnienia danych osobowych, takich jak imię, nazwisko, numer telefonu, adres e-mail, hasło w postaci zaszyfrowanej oraz adres IP 10 793 klientów. Drugie naruszenie ochrony danych dotyczyło ataku typu ransomware, w wyniku którego uzyskano nieautoryzowany dostęp oraz utratę integralności i dostępności danych osobowych około 100 osób, których dane dotyczą. W toku dochodzenia organ stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. To niewdrożenie środków ochronnych umożliwiło wystąpienie naruszeń danych. | link |
| Włochy | 2022-09-01 | 4.000 EUR | Liceo Statale 'Edoardo Amaldi” | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 4000 EUR na szkołę „Edoardo Amaldi”. Szkoła opublikowała na stronie internetowej szkoły okólnik dotyczący wakacji letnich, który zawierał dokładne daty urlopów pracowników szkoły. | link |
| Rumunia | 2022-10-03 | 150 EUR | Operator strony internetowej | Art. 5 (1) a), f) RODO, Art. 6 (1) a) RODO | Rumuński organ ochrony danych nałożył na operatora strony internetowej karę w wysokości 150 euro. Administrator opublikował nieuprawnione dane osobowe, takie jak numer telefonu, numer i seria dowodu osobistego, adres e-mail, dane bankowe oraz stan cywilny 383 osób fizycznych. | link |
| Hiszpania | 2022-10-04 | 600 EUR | Stowarzyszenie Właścicieli Domów | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 600 euro na stowarzyszenie właścicieli domów. Ukarany podmiot zainstalował system nadzoru wideo, który rejestrował zarówno obraz, jak i dźwięk. W trakcie dochodzenia organ ochrony danych stwierdził, że system nadzoru wideo zarejestrował między innymi części wspólnego obszaru. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto organ stwierdził, że administrator nie wywiązał się w wystarczającym stopniu z obowiązków informacyjnych wynikających z art. 13 RODO w zakresie nadzoru wideo. | link |
| Hiszpania | 2022-10-09 | 64.000 EUR | EVERIS SPAIN S.L | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył na EVERIS SPAIN S.L. karę pieniężną. Everis opublikował informacje o sprzedanych danych użytkowników firmy ubezpieczeniowej oraz rekordy z danymi osobowymi hiszpańskich klientów firmy ubezpieczeniowej. Organ ochrony danych uznał to za naruszenie poufności danych. Organ stwierdził również, że bezprawna publikacja danych była możliwa m.in. ze względu na brak technicznych i organizacyjnych środków ochrony danych osobowych w momencie naruszenia danych. Pierwotna kara z 80 000 EUR została obniżona do 64 000 EUR w związku z dobrowolną opłatą. | link |
| Hiszpania | 2022-10-09 | 6.000 EUR | UNION DE OFICIALES DE LA GUARDIA CIVIL PROFESIONAL | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 6 000 EUR na stowarzyszenie UNION DE OFICIALES DE LA GUARDIA CIVIL PROFESIONAL. Osoba złożyła skargę do organu ochrony danych, ponieważ administrator skontaktował się z nią, mimo że nie była ona członkiem stowarzyszenia ani nie wyraziła zgody na kontakt w inny sposób | link |
| Hiszpania | 2022-10-09 | 800 EUR | Firma | Art. 6 (1) e) RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył na firmę karę w wysokości 800 euro. Ukarany podmiot zainstalował kamery monitoringu bez uzyskania pozwolenia na instalację. Ponadto administrator nie umieścił oznaczeń dotyczących monitoringu z danymi kontaktowymi administratora danych | link |
| Hiszpania | 2022-10-09 | 900 EUR | Osoba prywatna | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na osobę prywatną. Osoba nieupoważniona wysłała e-maile z danymi osobowymi do kilku odbiorców z otwartej listy dystrybucyjnej. Dzięki temu odbiorcy mogli przeglądać adresy e-mail wszystkich pozostałych odbiorców. Pierwotna grzywna z 1200 euro została obniżona do 900 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności | link |
| Islandia | 2022-05-03 | 10.600 EUR | HEI – Medical Travel | Art. 15 (1), (3) RODO, Art. 9 (1) Act 90/2018, Art. 17 (2) Act 90/2018 | Islandzki organ ochrony danych nałożył na HEI – Medical Travel karę w wysokości 10 600 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora. Administrator uzyskał dostęp do poczty elektronicznej osoby, której dane dotyczą, za pośrednictwem wewnętrznej strony internetowej Islandzkiego Stowarzyszenia Medycznego, a następnie wysłał jej niechciane wiadomości e-mail. Organ stwierdził, że taki dostęp był niezgodny z prawem ze względu na brak ważnej podstawy prawnej. Ponadto osoba, której dane dotyczą, zwróciła się do administratora o informacje dotyczące przetwarzania jej danych osobowych, takie jak pochodzenie adresu e-mail. Administrator nie spełnił tego żądania należycie | link |
| Estonia | 2022-08-17 | 56 EUR | Pracownik służby zdrowia | Art. 5 RODO, Art. 6 RODO | Dostęp do danych osobowych w bazie danych dotyczących zdrowia na potrzeby prywatnych działań badawczych. | link |
| Hiszpania | 2022-10-09 | 24.000 EUR | CAJA DE SEGUROS REUNIDOS, COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na CAJA DE SEGUROS REUNIDOS, COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Osoba, której dane dotyczą, wykupiła u administratora polisę ubezpieczeniową, której beneficjentem był jej ówczesny partner życiowy. Po separacji były partner życiowy zwrócił się do administratora o zmianę wpisu obciążenia składki z konta osoby, której dane dotyczą, na jej konto. Administrator dokonał tej zmiany bez zgody osoby, której dane dotyczą. Organ ochrony danych uznał to za bezprawną zmianę danych osobowych osoby, której dane dotyczą. Pierwotna grzywna z 40 000 euro została obniżona do 24 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Hiszpania | 2022-10-09 | 4.000 EUR | PUNTO BADAL-BCN S.L. | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył karę na agencję nieruchomości PUNTO BADAL-BCN S.L. Administrator wysłał e-maile marketingowe do kilku osób z otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców były widoczne dla innych odbiorców. Pierwotna kara z 5 000 EUR została obniżona do 4 000 EUR w związku z dobrowolną opłatą | link |
| Włochy | 2022-07-07 | 45.000 EUR | Senseonics Inc. | Art. 5 (1) a), b), f) RODO, Art. 6 RODO, Art. 7 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 27 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 45 000 euro na firmę Senseonics Inc. Firma zgłosiła naruszenie ochrony danych zgodnie z art. 33 RODO polegający na przypadkowym wysłaniu przez pracownika kampanii informacyjnej pocztą elektroniczną do dużej liczby odbiorców na otwartej liście dystrybucyjnej. Umożliwiło to wszystkim odbiorcom przeglądanie adresów e-mail innych odbiorców. Odbiorcami e-maili byli chorzy na cukrzycę, co umożliwiło uzyskanie informacji o stanie zdrowia osób, których dane dotyczą, za pośrednictwem e-maili. W trakcie dochodzenia organ ochrony danych zidentyfikował również inne naruszenia prywatności związane z produkowanym przez firmę systemem monitorowania glukozy. Pobierając aplikację monitorującą, użytkownicy musieli jednym kliknięciem zaakceptować zarówno umowne warunki użytkowania, jak i treść polityki prywatności. Nie pozwalało im to na odrębne wyrażenie zgody na poszczególne operacje przetwarzania, w tym na przetwarzanie danych dotyczących zdrowia. Ponadto organ stwierdził, że firma naruszyła zasady uczciwości i przejrzystości, dostarczając użytkownikom mylących, a czasem błędnych informacji dotyczących przetwarzania danych osobowych. Ponadto firma nie wyznaczyła swojego przedstawiciela w Unii Europejskiej jako osoby kontaktowej we wszystkich kwestiach związanych z ochroną danych. | link |
| Włochy | 2022-09-15 | 100.000 EUR | Region Lacjum | Art. 5 (1) a), d) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 RODO | Włoski organ ochrony danych nałożył na region Lacjum grzywnę w wysokości 100 000 euro. Osoba złożyła skargę do DPA, ponieważ otrzymała zaproszenie od regionalnego organu ds. zdrowia do udziału w programie badań przesiewowych w kierunku raka szyjki macicy, skierowanym do jej zmarłej w 1995 r. córki. dane nadal znajdowały się w bazie danych regionu, mimo że już zmarła. Z tego powodu organ stwierdził, że Region naruszył zasady rzetelności i poprawności. Jako właściciel danych, Region powinien był upewnić się, że dane osobowe były dokładne iw razie potrzeby aktualizowane, a także podjąć wszelkie uzasadnione kroki w celu usunięcia lub poprawienia informacji, których używał, w odpowiednim czasie. Oprócz powyższego Garante stwierdził również, że Region nie przekazał osobom, których dane dotyczą, wymaganych informacji o przetwarzaniu ich danych osobowych podczas wysyłania zaproszeń do kampanii badań przesiewowych w kierunku raka szyjki macicy. Nakładając grzywnę, organ ochrony danych wziął pod uwagę jako okoliczność obciążającą okoliczność, że region został już ukarany grzywną. | link |
| Wielka Brytania | 2022-10-04 | 1.547.000 EUR | Easylife Ltd. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 (1) c) RODO, Regulation 21 PECR | Brytyjski organ ochrony danych nałożył grzywnę w wysokości 1 547 000 EUR na Easylife Ltd. Easylife jest sprzedawcą detalicznym, który sprzedaje artykuły gospodarstwa domowego, a także usługi i produkty w ramach swoich klubów zdrowotnych, motoryzacyjnych, superkartowych i ogrodniczych. Przy zakupie niektórych produktów firma przyjmowała założenia dotyczące stanu zdrowia klienta, po czym klientowi proponowano telefonicznie lub SMS-em kolejne produkty do zakupu, które były związane z jego stanem zdrowia. Spośród 122 produktów w katalogu Easylife Health Club 80 zostało sklasyfikowanych jako „produkty wyzwalające”. Gdy klienci kupili te produkty, Easylife utworzyło ich profil, aby skierować do nich produkt związany ze zdrowiem. Podczas dochodzenia organ ochrony danych stwierdził, że firma zgromadziła i wykorzystała dane osobowe (dane dotyczące zdrowia) łącznie 145 500 osób, których dane dotyczą, bez ich zgody, a nawet wiedzy. Organ ochrony danych stwierdził, że to „niewidoczne” przetwarzanie danych osobowych stanowiło poważne naruszenie praw osób, których dane dotyczą, ponieważ nie były one w ogóle w stanie korzystać ze swoich praw do prywatności i ochrony danych z powodu braku wiedzy o przetwarzaniu. Ponadto firma wykonała 1 345 732 niezamawianych rozmów marketingowych z osobami fizycznymi bez ich zgody na rozmowy. Organ ochrony danych uznał to za naruszenie PECR | link |
| Hiszpania | 2022-10-04 | 6.000 EUR | Club Náutico el Estacio | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Club Náutico el Estacio grzywnę w wysokości 6000 EUR. Osoba, której dane dotyczą, złożyła skargę na administratora do AEPD. Podstawą reklamacji jest fakt, że administrator zamieścił na swojej stronie internetowej ogłoszenie i protokół zwyczajnego zebrania klubu, ujawniając dane osobowe bez ograniczeń dostępu | link |
| Dania | 2021-08-17 | 20.100 EUR EUR | Duńska Agencja Imigracyjna | Art. 5 (1) f) RODO, Art. 32 RODO | Duński organ ochrony danych nałożył na Duńską Agencję Imigracyjną grzywnę w wysokości 20 100 EUR. Doniesienia medialne zwróciły uwagę DPA na możliwe błędy w logowaniu w jednym z systemów informatycznych agencji, które mogą mieć wpływ na prawa i wolności mieszkańców. W związku z tym DPA wszczął dochodzenie w agencji. Wiosną i latem 2020 r. w systemach agencji doszło do kilku incydentów bezpieczeństwa, w wyniku których doszło do utraty zapisów danych. Utrata danych doprowadziła do wszczęcia postępowań wobec części mieszkańców w sprawie obniżenia świadczeń pieniężnych oraz zgłoszenia na policję części mieszkańców w związku z nieprzestrzeganiem przepisów ustawy o cudzoziemcach. Podczas dochodzenia DPA stwierdził, że brak środków technicznych i organizacyjnych umożliwił zajście incydentu. Na przykład agencja nie tworzyła odpowiednich kopii zapasowych przetwarzanych danych, chociaż byłoby to konieczne ze względu na konsekwencje prawne, jakie utrata danych mogłaby oznaczać dla imigrantów. | link |
| Austria | 1905-07-13 | 600 EUR | Osoba prywatna | Art. 5 (1) a) RODO, Art. 9 (1), (2) RODO | Austriacki organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 600 euro. Osoba ta skontaktowała się z placówką publiczną, aby zwrócić jej uwagę, że oświadczenie wychowawczyni przedszkola, że jest w 50% niepełnosprawna nie odpowiada rzeczywistości. W tym celu osoba złożyła zawiadomienie sądowe, które zawierało dane dotyczące stanu zdrowia osoby, której dane dotyczą. W toku prowadzonego dochodzenia organ stwierdził, że przekazanie protokołu sądowego stanowiło niezgodne z prawem przetwarzanie danych osobowych nauczyciela przedszkola. | |
| Austria | 1905-07-13 | Nieznna | Osoba prywatna | Art. 5 (1) a), c) RODO | Austriacki organ ochrony danych ukarał grzywną osobę prywatną. Osoba ta zainstalowała system monitoringu wizyjnego, który między innymi rejestrował również przestrzeń publiczną i przechowywał obrazy przez zbyt długi czas | |
| Hiszpania | 2022-09-28 | 31.200 EUR | BAYARD REVISTAS, S.A. | Art. 5 (1) f) RODO, Art. 32 RODO, Art. 33 RODO | Hiszpański organ ochrony danych nałożył na Bayard Revistas S.A. karę pieniężną. Nieupoważnione osoby uzyskały dostęp do bazy danych Bayard i tym samym nieuprawnione wydobyły dane lokalizacyjne i kontaktowe użytkowników bazy. Incydent dotknął około 470 000 użytkowników. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że luka w zabezpieczeniach systemów administratora umożliwiła wystąpienie incydentu. Pierwotna grzywna z 52 000 euro została obniżona do 31 200 euro w związku z dobrowolnym uiszczeniem opłaty i przyznaniem się do winy. | link |
| Włochy | 2022-07-21 | 3.000 EUR | Azienda Socio Sanitaria Territoriale Rhodense | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych ukarał Azienda Socio Sanitaria Territoriale Rhodense grzywną w wysokości 3000 EUR. Zakład opieki zdrowotnej zgłosił utratę dokumentacji medycznej pacjenta. Zbiór zawierał dane osobowe takie jak nazwisko, imię, płeć, data i miejsce urodzenia, NIP, miejsce zamieszkania, numery telefonów osoby, której dane dotyczą. Organ ustalił, że przyczyną zdarzenia był brak technicznych i organizacyjnych środków ochrony danych osobowych w zakładzie opieki zdrowotnej. | link |
| Włochy | 2022-07-21 | 10.000 EUR | Stay over s.r.l. | Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych ukarał Stay Over s.r.l. 10 000 EUR. Były pracownik złożył skargę do DPA. Spółka nie udzieliła terminowej odpowiedzi na żądanie dostępu do danych osobowych. Ponadto, po ustaniu stosunku pracy, bez zgody pracownika, spółka kontynuowała przetwarzanie danych ze skrzynki pocztowej pracownika. | link |
| Włochy | 2022-07-21 | 2.000 EUR | Global Service s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych ukarał Global Service s.r.l grzywną. 2000 EUR. Administrator zainstalował w swoim lokalu kamery monitoringu, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring. Organ stwierdził, że administrator naruszył ciążący na nim obowiązek informacyjny określony w RODO | link |
| Włochy | 2022-07-28 | 2.000 EUR | Auto Hi-Fi System S.n.c | Art. 5 (1) a), c) RODO, Art. 13 RODO | Włoski organ ochrony danych ukarał Auto Hi-Fi System S.n.c grzywną w wysokości 2000 euro. Ukarany podmiot zainstalował system monitoringu, który obejmował nie tylko drogę publiczną, ale także prywatną posesję. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ukarany podmiot nie umieścił również tabliczki z informacją o monitoringu. Organ uznał to za naruszenie art. 13 RODO. | link |
| Dania | 2022-09-12 | 6.700 EUR | Hørsholm municipality | Art. 32 RODO | Duński organ ochrony danych nałożył na gminę Hørsholm grzywnę w wysokości 6700 euro. Gmina zgłosiła naruszenie ochrony danych zgodnie z art. 33 RODO. Komputer służbowy pracownika, który zawierał wrażliwe i poufne informacje dotyczące około 1600 pracowników gminy, został skradziony. Podczas dochodzenia organ ochrony danych ustalił, że dane na komputerze nie były odpowiednio zabezpieczone, a gmina nie podjęła odpowiednich środków technicznych w celu ochrony danych osobowych. | link |
| Hiszpania | 2022-09-28 | 720 EUR | CLUB NATACIO LLEIDA | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę na CLUB NATACIO LLEIDA. Ukarany podmiot zainstalował system monitoringu wizyjnego, który rejestrował obszary kasowe obiektu. Organ uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna z 1200 euro została obniżona do 720 euro z powodu dobrowolnej zapłaty i przyznania się do winy | link |
| Hiszpania | 2022-09-28 | 180 EUR | Y OTRO MAS C.B. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na firmę Y OTRO MAS C.B. karę pieniężną. Ukarany podmiot zainstalował system monitoringu na osiedlu mieszkaniowym. W toku dochodzenia organ stwierdził, że znak informacyjny o monitoringu wizyjnym nie zawierał wystarczających informacji o przetwarzaniu danych osobowych, administratorze oraz korzystaniu z praw osoby, której dane dotyczą. Organ uznał to za naruszenie art. 13 RODO. Pierwotna kara z 300 euro została obniżona do 180 euro w związku z przyznaniem się do odpowiedzialności i dobrowolną opłatą. | link |
| Rumunia | 2022-09-22 | 2.000 EUR | Bitfactor SRL | Art. 25 (1) RODO, Art. 32 (1), (2) RODO | Rumuński organ ochrony danych nałożył na Bitfactor SRL karę w wysokości 2000 euro. Administrator zawiadomił organ ochrony danych o naruszeniu ochrony danych na podstawie art. 33 RODO. W związku z awarią aplikacji administratora do użytkowników serwisu wysłane zostały komunikaty marketingowe, w wyniku których doszło do naruszenia poufności danych osobowych 1757 osób, których dane dotyczą. W toku dochodzenia organ stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych osób, których dane dotyczą. | link |
| Niemcy | 2022-09-21 | 5.000 EUR | Inspektor | Art. 6 (1) RODO | Organ ochrony danych Badenii-Wirtembergii nałożył na geodetę grzywnę w wysokości 5000 euro. Geodeta wykorzystał swoje uprawnienia do kontroli elektronicznej księgi wieczystej w celu zidentyfikowania kilkuset właścicieli nieruchomości w dwóch przypadkach bez ich wiedzy i przekazał odpowiednie informacje deweloperowi. Ci z kolei kontaktowali się ze zidentyfikowanymi właścicielami. Organ ustalił, że zarówno geodeta, jak i deweloper bezprawnie przetwarzali dane właścicieli nieruchomości. | link |
| Węgry | 2022-09-25 | 1.200 EUR | Dostawca ubezpieczeń zdrowotnych | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 12 (3), (4) RODO, Art. 31 RODO | Węgierski organ ochrony danych nałożył grzywnę w wysokości 1200 euro na ubezpieczyciela zdrowotnego. Ubezpieczyciel opublikował na swojej stronie internetowej wynik testu osoby, której dane dotyczą, na Covid-19. Umożliwiłoby to osobom nieupoważnionym dostęp do danych osobowych osoby, której dane dotyczą. Ponadto ubezpieczyciel nie współpracował odpowiednio z agencją podczas dochodzenia prowadzonego przez organ ochrony danych | |
| Węgry | 2022-08-08 | 735 EUR | Firma | Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1), (2) RODO | Węgierski organ ochrony danych nałożył na firmę karę w wysokości 735 euro. Osoba fizyczna złożyła skargę na firmę do DPA. Pracownik firmy dokonał nagrań dźwiękowych telefonem komórkowym podczas prac remontowych w domu skarżącej bez poinformowania o tym skarżącej. | |
| Polska | 2022-09-07 | 530 EUR | Sułkowicki Ośrodek Kultury | Art. 28 (1), (3), (9) RODO | Polski organ ochrony danych nałożył na Sułkowicki Dom Kultury karę w wysokości 530 euro. W toku dochodzenia organ stwierdził, że administrator przekazał przetwarzanie danych osobowych podmiotowi przetwarzającemu bez zawarcia pisemnej umowy powierzenia przetwarzania danych osobowych. Ponadto administrator nie weryfikował podmiotu przetwarzającego oraz nie weryfikował, czy podmiot przetwarzający zapewnia wystarczające gwarancje, aby zapewnić podjęcie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Hiszpania | 2022-09-23 | 3.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 3000 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | link |
| Rumunia | 2022-09-19 | 2.000 EUR | Banca Comercială Română SA | Art. 25 (1) RODO, Art. 32 (1) b), d), e) RODO | Rumuński organ ochrony danych nałożył na Banca Comercială Română SA karę w wysokości 2000 euro. Bank zawiadomił urząd ochrony danych osobowych o naruszeniu ochrony danych na podstawie art. 33 RODO. W wyniku błędu w aplikacji informatycznej administratora, e-maile zawierające dane osobowe klientów trafiały do niewłaściwych odbiorców. To naruszenie danych spowodowało nieupoważnione ujawnienie i dostęp do niektórych danych osobowych, takich jak imię i nazwisko, adres zamieszkania, numer telefonu, adres e-mail i informacje finansowe. Incydent dotknął 564 osoby. Organ stwierdził, że bank nie podjął odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa współmierny do ryzyka przetwarzania. | link |
| Hiszpania | 2022-09-20 | 1.800 EUR | Union Sindical Obrera | Art. 6 RODO | Hiszpański organ ochrony danych nałożył grzywnę na związek zawodowy Sindical Obrera. Osoba fizyczna złożyła skargę do organu ochrony danych na wielokrotne otrzymywanie wiadomości e-mail od administratora pomimo żądania usunięcia jej danych. Pierwotna grzywna z 3000 euro została obniżona do 1800 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2022-09-16 | 2.000 EUR | Agent of the real estate agency BARCELONA DREAM HOUSE AGENCY | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na agenta agencji nieruchomości BARCELONA DREAM HOUSE AGENCY. Osoba fizyczna złożyła skargę do urzędu ochrony danych osobowych, ponieważ agent nieruchomości nie poinformował jej w wystarczającym stopniu o przetwarzaniu jej danych osobowych w kontekście zawarcia umowy najmu. Brakowało np. informacji o celu przetwarzania, a także o administratorze. | link |
| Hiszpania | 2022-09-16 | 3.000 EUR | MARIELI GABRIELA, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na firmę MARIELI GABRIELA, S.L. grzywnę w wysokości 3 000 EUR. Osoba złożyła skargę do organu ochrony danych w związku z tym, że firma obciążyła jej rachunek bankowy mimo braku stosunku umownego | link |
| Niemcy | 2022-09-21 | 50.000 EUR | Firma deweloperska | Art. 6 (1) GDPR, Art. 14 RODO | Organ ochrony danych Badenii-Wirtembergii nałożył na firmę deweloperską karę w wysokości 50 000 euro. Spółka wysłała pismo do właściciela nieruchomości, w którym przedstawiła ofertę cenową zakupu jego nieruchomości. Pismo nie zawierało informacji o pochodzeniu danych. Nawet po tym, jak właściciel zapytał firmę, skąd pozyskano dane, firma nie odpowiedziała. W toku dochodzenia organ ochrony danych odkrył, że geodeta wykorzystał swoje uprawnienia do kontroli elektronicznej księgi wieczystej iw dwóch przypadkach zidentyfikował kilkuset właścicieli nieruchomości bez ich wiedzy. Następnie geodeta przekazał stosowne informacje firmie, która skontaktowała się z właścicielami nieruchomości. Organ uznał to z jednej strony za naruszenie art. 6 ust. 1 RODO, a z drugiej strony naruszenie art. 14 RODO z uwagi na brak informacji o pochodzeniu danych. | link |
| Niemcy | 2022-09-20 | 525.000 EUR | Firma | Art. 38 (6) RODO | Berliński organ ochrony danych nałożył grzywnę w wysokości 525 000 euro na spółkę zależną berlińskiej grupy e-commerce. Firma wyznaczyła inspektora ochrony danych, który był jednak również dyrektorem zarządzającym dwóch firm usługowych przetwarzających dane osobowe w imieniu tej samej firmy, dla której pełnił funkcję inspektora ochrony danych. Te firmy usługowe są również częścią grupy, do której należy firma e-commerce. Organ uznał to za konflikt interesów i stwierdził naruszenie art. 38 ust. 6 RODO. Organ ochrony danych wystosował już ostrzeżenie do firmy w 2021 r. z powodu konfliktu interesów. Kiedy nowa kontrola w tym roku wykazała, że nie powołano nowego inspektora ochrony danych, IOD nałożył karę. | link |
| Hiszpania | 2022-07-15 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitoringu, które obejmowały m.in. również sąsiednią wspólną drogę dojazdową. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | link |
| Hiszpania | 2022-09-04 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na swoją byłą żonę. Była żona zainstalowała kamery monitoringu wideo we wspólnie zajmowanym domu, które rejestrowały również jego obszary mieszkalne, a tym samym ingerowały w jego prywatność. Organ uznał to za naruszenie zasady minimalizacji danych | link |
| Hiszpania | 2022-08-28 | 5.600 EUR | SOLIVESA MASTER FRANCHISE S.L. | Art. 28 RODO, Art. 48 (1) b) LGT | Hiszpański organ ochrony danych (AEPD) nałożył na SOLIVESA MASTER FRANCHISE S.L. grzywnę w wysokości 5600 EUR. Osoba, której dane dotyczą, otrzymała od administratora połączenie reklamowe wykonane w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, była zarejestrowana na liście wykluczeń z reklam Robinson | link |
| Hiszpania | 2022-08-28 | 48.000 EUR | NATURGY ENERGY GROUP, S.A. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył karę na NATURGY ENERGY GROUP, S.A. Z firmą energetyczną skontaktowała się osoba podająca się za krewnego klienta. Osoba poprosiła o otrzymywanie rachunków za prąd przy użyciu nowego adresu e-mail. Aby zweryfikować tożsamość, osoba musiała podać imię i nazwisko, adres, numer dowodu osobistego, numer umowy oraz 4 ostatnie cyfry danych rachunku bankowego klienta. Organ stwierdził jednak, że weryfikacja ta nie spełniała wymogów RODO dotyczących weryfikacji tożsamości i uznał ją za naruszenie art. 5 ust. 1 lit. f) RODO i art. 32 RODO. Pierwotna kara w wysokości 80 000 euro została obniżona do 48 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Rumunia | 2022-09-08 | 8.000 EUR | Realmedia Network SA | Art. 32 (1) b) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych ukarał Realmedia Network SA grzywną w wysokości 8 tys. euro. Firma doznała naruszeń bezpieczeństwa na obsługiwanej przez siebie stronie internetowej. Pozwoliło to na wyciek i dostęp do nieautoryzowanych danych. Dane obejmowały nazwiska, imiona, numery telefonów, adresy e-mail, adresy pocztowe, podpisy, kopie dowodów osobistych, dane bankowe oraz informacje z wyciągów z ksiąg wieczystych osób, których dane dotyczą. Incydent bezpieczeństwa dotknął łącznie 194 309 osób. Organ stwierdził, że firma nie podjęła odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa danych odpowiedni do ryzyka przetwarzania. | link |
| Hiszpania | 2022-09-16 | 10.000 EUR | SOPHIE ET VOILA, S.L | Art. 6 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na firmę SOPHIE ET VOILA, S.L. Firma zajmująca się sukniami ślubnymi opublikowała na swoim koncie na Instagramie zdjęcie klientki w sukni ślubnej bez jej zgody. Z tego powodu urząd ochrony danych osobowych stwierdził, że przetwarzanie danych osobowych klienta było niezgodne z prawem. | link |
| Hiszpania | 2022-09-16 | 480 EUR | OSOba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na osobę prywatną. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Pierwotna kara z 600 euro została obniżona do 480 euro z powodu dobrowolnej zapłaty. | link |
| Włochy | 2022-06-16 | 2.000 EUR | Federazione Italiana Nuoto | Art. 12 (3), (4) RODO, Art. 15 RODO | Włoski organ ochrony danych (Garante) ukarał Federazione Italiana Nuoto grzywną w wysokości 2000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych | link |
| Włochy | 2022-06-30 | 5.000 EUR | Federazione Italiana Sommelier, Albergatori e Ristoratori | Art. 5 (1) a), f) RODO, Art. 6 (1) RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 5000 EUR na Federazione Italiana Sommelier, Albergatori e Ristoratori. Federacja wysłała protokół zawierający dane osobowe członka do wszystkich pozostałych członków. W protokole ujawniono informację o zastosowaniu wobec zainteresowanego członka środka dyscyplinarnego, który jednak nie był jeszcze prawnie wiążący i został później uchylony. Ponadto środek dyscyplinarny nadal był publikowany na platformie chmurowej nawet po jego uchyleniu. | link |
| Hiszpania | 2022-09-04 | 360 EUR | Właściciel sklepu | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył karę na właściciela sklepu. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna kara w wysokości 600 euro została obniżona do 360 euro w związku z dobrowolną opłatą i przyznaniem się do odpowiedzialności. | link |
| Hiszpania | 2022-09-06 | 20.000 EUR | MUXERS CONCEPT, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych ukarał grzywną MUXERS CONCEPT, S.L. 20 000 EUR. Firma zainstalowała kamery i mikrofony do monitoringu w szatni pracowniczej w jednej z obsługiwanych przez siebie restauracji. Organ stwierdził, że nie było podstaw prawnych do tak szerokiego przetwarzania danych osobowych pracowników, a zatem przetwarzanie było niezgodne z prawem. | link |
| Hiszpania | 2022-09-09 | 180 EUR | EURO DONER KEBAB | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył karę na EURO DONER KEBAB. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 300 euro została obniżona do 180 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Rumunia | 2022-09-09 | 2.000 EUR | SC Raiffeisen Bank SA | Art. 5 (1) d) RODO | Rumuński organ ochrony danych nałożył na SC Raiffeisen Bank SA karę w wysokości 2 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z otrzymywaniem wiadomości tekstowych o przelewach pieniężnych do niektórych osób, których nie wykonała. Podczas dochodzenia organ ochrony danych stwierdził, że bank przypadkowo wykorzystał numer telefonu osoby, której dane dotyczą, do celów transakcyjnych w 44 przypadkach. Osoba, której dane dotyczą, nie była klientem banku i nie żądała transakcji. | link |
| Hiszpania | 2022-09-09 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 300 euro. Ukarany podmiot zainstalował kamery monitoringu, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. Organ uznał to za naruszenie zasady minimalizacji danych | link |
| Hiszpania | 2022-09-13 | 2.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Ukarany podmiot zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych | link |
| Francja | 2022-09-13 | 250.000 EUR | GIE INFOGREFFE | Art. 5 (1) e) GDPR, Art. 32 RODO | Francuski organ ochrony danych nałożył na GIE INFOGREFFE karę w wysokości 250 000 euro. Portal prowadzi stronę internetową, na której można uzyskać dostęp do informacji prawnych o spółkach oraz zamówić dokumenty poświadczone przez sądy gospodarcze. W ramach dochodzenia organ ochrony danych stwierdził, że dane osobowe 25% członków i subskrybentów, takie jak dane bankowe, nazwiska, imiona, adresy i numery telefonów, były przechowywane dłużej niż zamierzano (36 miesięcy). Organ uznał to za naruszenie art. 5 ust. 1 e) RODO. Ponadto organ ochrony danych stwierdził, że portal nie wymagał użycia bezpiecznego hasła podczas tworzenia konta, w wyniku czego 3,7 miliona kont nie miało wystarczająco bezpiecznego hasła. Ponadto portal przesyłał hasła, które umożliwiały dostęp do niezaszyfrowanych kont za pośrednictwem poczty elektronicznej. Poza tym portal przechowywał również hasła oraz tajne pytania i odpowiedzi wykorzystywane podczas procesu resetowania haseł przez użytkowników w bazie danych bez szyfrowania. Z tego powodu organ stwierdził, że portal nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Hiszpania | 2022-09-13 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 300 euro. Osoba prywatna zainstalowała na swojej posesji trzy kamery monitoringu, które między innymi obejmowały również drogę dojazdową sąsiada. | link |
| Norwegia | 2022-08-25 | 20.000 EUR | Recover AS | Art. 6 (1) e) RODO | Norweski organ ochrony danych (Datatilsynet) ukarał Recover AS grzywną w wysokości 20 000 EUR. Administrator przeprowadził kontrolę zdolności kredytowej osoby, której dane dotyczą, bez ważnej podstawy prawnej. | link |
| Hiszpania | 2022-09-01 | 240 EUR | MH VILASECA S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na MH VILASECA S.L. karę pieniężną. Administrator nie przekazał zawiadomienia z informacją o monitoringu w swoim lokalu. Pierwotna kara w wysokości 400 euro została obniżona do 240 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności | link |
| Hiszpania | 2022-08-30 | 1.700 EUR | Bazar Pekin | Art. 13 RODO, Art. 30 RODO | Hiszpański organ ochrony danych nałożył na Bazar Pekin karę w wysokości 1700 euro. Administrator nie przekazał zawiadomienia z informacją o monitoringu wizyjnym w swoim lokalu. Ponadto administrator nie prowadził właściwego rejestru czynności przetwarzania | link |
| Rumunia | 2022-08-29 | 1.000 EUR | Alpha Bank Romania SA | Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO | Rumuński organ ochrony danych nałożył na Alpha Bank Romania SA grzywnę w wysokości 1000 euro. Bank przypadkowo wysłał dokument do niewłaściwego odbiorcy za pośrednictwem WhatsApp. Dokument zawierał dane osobowe czterech osób, których dane dotyczą, takie jak imiona i nazwiska oraz informacje o kredytach i umowach. W toku dochodzenia organ stwierdził, że bank nie wdrożył wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Hiszpania | 2022-08-28 | 1.200 EUR | DIGITECNIA SOLUTIONS, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę DIGITECNIA SOLUTIONS, S.L. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z tym, że firma opublikowała swoje zdjęcie bez jej zgody. Pierwotna kara z 2000 euro została obniżona do 1200 euro z powodu dobrowolnej zapłaty i przyjęcia odpowiedzialności | link |
| Hiszpania | 2022-08-30 | 3.000 EUR | COLEGIO VILLAEUROPA, S.C.L | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na COLEGIO VILLAEUROPA, S.C.L. Szkoła nie przekazała wystarczających informacji na temat monitoringu wizyjnego, zgodnie z wymogami art. 13 RODO. Tabliczka informacyjna nie zawierała odniesienia do administratora danych ani adresu, pod który można się kontaktować w przypadku chęci skorzystania z praw osób, których dane dotyczą. Pierwotna kara z 5 000 euro została obniżona do 3 000 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Hiszpania | 2022-08-25 | 480 EUR | SERVICIOS PROFESIONALES LA PARADA S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył karę na SERVICIOS PROFESIONALES LA PARADA S.L. Firma zainstalowała kamery monitoringu, które m.in. objęły również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 800 euro została obniżona do 480 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Irlandia | 2022-09-05 | 405.000.000 EUR | Meta Platforms, Inc. | Art. 5 (1) a), c) RODOR, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 24 RODO, Art. 25 (1), (2) RODO, Art. 35 RODO | Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 405 000 000 EUR na Meta Platforms, Inc. (Instagram). W wyniku przeprowadzonego postępowania urząd ochrony danych przedłożył projekt decyzji w trybie art. 60 RODO innym zainteresowanym europejskim organom nadzorczym. Wstępny projekt przewidywał karę w wysokości 30-50 mln euro. DPC otrzymał następnie sprzeciw od sześciu organów nadzorczych, co doprowadziło do procedury rozstrzygania sporów w Europejskiej Radzie Ochrony Danych (EROD) w Brukseli. W swojej decyzji EROD zwróciła się do DPC o podwyższenie proponowanej grzywny. Dochodzenie DPC wykazało, że na kontach firmowych osób nieletnich na Instagramie publicznie wyświetlano ich numery telefonów komórkowych i adresy e-mail. Ponadto ustawienia kont nieletnich użytkowników były domyślnie ustawione na „publiczne”, dzięki czemu ich treści w mediach społecznościowych były publicznie widoczne, chyba że zmienili ustawienia konta. Naruszenie potencjalnie dotyczy milionów nastolatków. | link |
| Hiszpania | 2022-08-30 | 2.000 EUR | Sindicato Intersectorial Trabajadores/as Provincia de Alicante | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na związek Sindicato Intersectorial Trabajadores/as Provincia de Alicante. Związek opublikował protokoły rady zakładowej na swojej tablicy ogłoszeń oraz w grupie WhatsApp. W efekcie opublikowano odręczne podpisy wszystkich przedstawicieli związków zawodowych w radzie zakładowej. | link |
| Rumunia | 2022-07-07 | 4.000 EUR | E Software Concept SRL | Art. 32 (1) b), (2) RODO, Art. 58 (1) a), e) RODO | Rumuński organ ochrony danych nałożył na E Software Concept SRL karę w wysokości 4000 euro. Firma umieściła na swojej stronie internetowej pewne dokumenty, które były publicznie dostępne. Wśród dokumentów były między innymi faktury i dokumenty przewozowe. Dokumenty te zawierały liczne dane osobowe, takie jak imię, nazwisko, adres nadawcy i odbiorcy, numer telefonu, nazwy użytkownika i hasła oraz adresy e-mail. W toku dochodzenia organ ochrony danych stwierdził, że publiczne ujawnienie danych nastąpiło w wyniku niewdrożenia przez firmę odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Organ ochrony danych stwierdził również, że firma nie zastosowała się do wezwań organu ochrony danych podczas dochodzenia. | link |
| Rumunia | 2022-08-22 | 10.000 EUR | Enel Energie Muntenia S.A. | Art. 32 RODO | Rumuński organ ochrony danych ukarał Enel Energie Muntenia S.A. grzywną w wysokości 10 000 EUR. Klient omyłkowo otrzymał wiadomość e-mail zaadresowaną do innego klienta zawierającą dokumenty z danymi osobowymi drugiego klienta. W toku prowadzonego dochodzenia organ ustalił, że do incydentu doszło w wyniku niepodjęcia przez firmę odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Włochy | 2022-06-16 | 70.000 EUR | Unicredit S.p.A. | Art. 12 RODO, Art. 15 RODO | Włoski organ ochrony danych nałożył na Unicredit S.p.A. grzywnę w wysokości 70 000 EUR. Pracownik złożył skargę do organu ochrony danych, twierdząc, że jego prawo dostępu do danych osobowych nie było wystarczająco respektowane. Firma wymagała wypełnienia specjalnego formularza w celu uzyskania dostępu do danych osobowych. W toku dochodzenia organ ochrony danych stwierdził, że wymóg wypełnienia formularza nieproporcjonalnie utrudnia korzystanie z prawa dostępu. | link |
| Włochy | 9.06,2022 | 10.000 EUR | Cribis Credit Management s.r.l. | Art. 5 (1) a), c) RODO, Art. 6 RODO | Włoski organ ochrony danych ukarał grzywną Cribis Credit Management s.r.l. 10 000 EUR. Firma nieumyślnie wysłała wiadomość e-mail o opóźnionych płatnościach w abonamencie do szefa osoby, której dane dotyczą. Pozwoliło to szefowi uzyskać dostęp do danych osobowych pracownika, takich jak imię, nazwisko i informacje o statusie płatności. | link |
| Hiszpania | 2022-07-07 | 1.800 EUR | FINCAS ARENYS SL | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na FINCAS ARENYS SL. Jedna osoba złożyła skargę do DPA. Osoba ta skontaktowała się z firmą zajmującą się obrotem nieruchomościami w celu wynajęcia nieruchomości. Czyniąc to, firma zażądała pewnych dokumentów do wynajmu, nie informując jednak osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych w ramach procesu najmu. Pierwotna grzywna z 3000 euro została obniżona do 1800 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Hiszpania | 2022-07-12 | 800 EUR | SMART ELECTRIC SOLUTIONS, S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę SMART ELECTRIC SOLUTIONS, S.L. grzywnę w wysokości 800 euro. Firma zainstalowała kamery monitoringu, które m.in. objęły również przestrzeń publiczną. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | link |
| Hiszpania | 2022-08-22 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitoringu, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. Organ uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | link |
| Hiszpania | 2022-08-22 | 900 EUR | UNONO NET 3.0, S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na UNONO NET 3.0, S.L. Firma przekazała wiadomość e-mail do wielu odbiorców bez korzystania z funkcji kopiowania w ukryciu, dzięki czemu wszyscy odbiorcy mogli zobaczyć adresy e-mail pozostałych odbiorców. Pierwotna kara z 1500 euro została obniżona do 900 euro w związku z dobrowolną wpłatą i przyznaniem się do odpowiedzialności. | link |
| Grecja | 2022-07-19 | 20.000 EUR | DO VALUE GREECE LOANS & CREDITS CLAIM MANAGEMENT S.A. | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 12 (2) RODO | Grecki organ ochrony danych nałożył na firmę DO VALUE GRECE LOANS & CREDITS CLAIM MANAGEMENT SA grzywnę w wysokości 20 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z otrzymywaniem licznych telefonów od firmy w sprawie długów, które zostały już uregulowane. Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania jej danych i zażądała natychmiastowego zaprzestania rozmów oraz usunięcia jej danych osobowych z bazy firmy. W toku dochodzenia organ stwierdził, że firma bezprawnie utrudniała osobie, której dane dotyczą, korzystanie z jej praw. | link |
| Grecja | 2022-08-03 | 30.000 EUR | Prywatna Poliklinika i Centrum Diagnostyczne Pyle Axiou | Art. 5 (1) f) RODO | Grecki organ ochrony danych nałożył na Prywatną Poliklinikę i Centrum Diagnostyczne Pyle Axiou grzywnę w wysokości 30 000 EUR. Pacjent poprosił o dostęp do danych z badania obrazowego. Ze względu na brak dostępności zdjęć klinika nie mogła spełnić prośby o udostępnienie. Organ stwierdził, że klinika nie zapewniła odpowiedniego miejsca do przechowywania zdjęć, a tym samym naruszyła art. 5 ust. 1 lit. f) RODO. | link |
| Francja | 2022-08-19 | 600.000 EUR | ACCOR SA | Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 21 RODO, Art. 32 RODO, L. 34-5 CPCE | Francuski organ ochrony danych (CNIL) nałożył na ACCOR SA karę w wysokości 600 000 EUR. Zarówno CNIL, jak i inne europejskie DPAS otrzymały skargi na ACCOR od kilku osób. W toku dochodzenia CNIL stwierdziła, że goście hotelowi, którzy dokonali rezerwacji bezpośrednio w hotelu lub na jednej ze stron internetowych grupy hotelowej, automatycznie stali się odbiorcami biuletynu reklamowego, ponieważ pole zgody na otrzymywanie biuletynu było zaznaczone. Ponadto CNIL ustaliła, że z powodu problemów technicznych wiele osób nie mogło zrezygnować z otrzymywania promocyjnych wiadomości e-mail. W tym kontekście CNIL stwierdziła, że ACCOR nie informowała w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w kontekście komunikatów promocyjnych, a tym samym naruszyła art. 12 RODO i art. 13 RODO. Ponadto ACCOR nie odpowiedział w odpowiednim czasie na prośby osób, których dane dotyczą, o dostęp do danych osobowych, w związku z czym CNIL stwierdził naruszenie art. 12 RODO i art. 15 RODO. Spółka nie zastosowała się również do prawa sprzeciwu osób, których dane dotyczą, ze względu na problemy techniczne. CNIL stwierdził zatem naruszenie art. 12 RODO i art. 21 RODO. Ostatecznie CNIL stwierdził naruszenie art. 32 RODO, ponieważ ACCOR zezwolił na stosowanie haseł, które nie były wystarczająco bezpieczne. Nakładając grzywnę, CNIL uznała obciążająco, że naruszenia wpłynęły na kilka podstawowych zasad ochrony danych osobowych i stanowiły fundamentalne naruszenie praw osób, których dane dotyczą, jak również liczby zaangażowanych osób. | link |
| Słowacja | 1905-07-13 | 40.000 EUR | Nieznany | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 28 RODO | Słowacki organ ochrony danych nałożył na administratora grzywnę w wysokości 40 000 euro. Administrator naruszył zasadę rozliczalności (brak dowodu przeprowadzenia oceny skutków dla ochrony danych) oraz zasadę rzetelności i przejrzystości. Ponadto administrator nie zawarł umowy z podmiotem przetwarzającym | link |
| Słowacja | 1905-07-13 | 100 EUR | Nieznany | Nieznany | Niezgodny z prawem nadzór wideo w społeczności ogrodniczej. | link |
| Słowacja | 1905-07-13 | 500 EUR | Nieznany | Art. 31 RODO | Słowacki organ ochrony danych nałożył na administratora grzywnę w wysokości 500 euro za brak współpracy z organem ochrony danych | link |
| Hiszpania | 2022-07-12 | 1.600 EUR | JOYPAZAR, S.A. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na JOYPAZAR, S.A. grzywnę w wysokości 1600. Firma zainstalowała kamery monitoringu, które objęły m.in. publiczny plac zabaw. Organ uznał to za naruszenie zasady minimalizacji danych | link |
| Hiszpania | 2022-07-12 | 6.000 EUR | FREE SUN ENERGY S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na FREE SUN ENERGY S.L. Klient firmy złożył skargę do organu ochrony danych, ponieważ zamiast otrzymać fakturę, otrzymał fakturę innego klienta zawierającą dane osobowe tego klienta. Pierwotna grzywna z 10 000 EUR została obniżona do 6 000 EUR z powodu dobrowolnej zapłaty i przyznania się do winy | link |
| Hiszpania | 2022-07-15 | 3.600 EUR | ECOZONO Y CULTURA, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na ECOZONO Y CULTURA, S.L. Econzo, za pośrednictwem usługodawcy, zebrał dane od osób, których dane dotyczą, które zgodziły się ujawnić dane do celów ankietowych. Jednak dane te zostały później wykorzystane do skontaktowania się z osobami fizycznymi w celach reklamowych. Pierwotna grzywna z 6000 euro została obniżona do 3600 euro ze względu na dobrowolne zapłacenie i przyznanie się do winy. | link |
| Włochy | 29.04,2022 | 2.000 EUR | Gmina Santa Ninfa | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył na gminę Santa Ninfa grzywnę w wysokości 2000 euro. Gmina opublikowała na swojej stronie internetowej uchwałę, która zawierała dane osobowe, takie jak imię i nazwisko oraz wzmianki o tytule egzekucyjnym osoby, której dane dotyczą | link |
| Włochy | 2022-09-16 | 1.000 EUR | Farpa s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO, Art. 88 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych nałożył na Farpa s.r.l. grzywnę w wysokości 1000 euro. Firma zainstalowała systemy monitoringu wizyjnego w obsługiwanych przez siebie obiektach socjalnych, jednak ich szczególne użycie nie zostało dopuszczone. Organ ochrony danych stwierdził, że system nadzoru wideo ma inne funkcje niż zatwierdzone i został zainstalowany w innym miejscu niż zatwierdzone. Organ ochrony danych stwierdził również, że firma nie poinformowała w wystarczającym stopniu osób, których dane dotyczą (gości i krewnych obiektu) o nadzorze wideo. | link |
| Wyspa Man | 2022-07-13 | 202.000 EUR | Manx Care Ltd | Art. 5 (1) c), f) RODO, Art. 5 (2) RODO, Art. 24 RODO, Art. 25 RODO, Art. 32 RODO, Art. 34 RODO, Art. 58 RODO | Organ ochrony danych wyspy Man nałożył grzywnę w wysokości 202 000 EUR na firmę Manx Care Ltd. Firma Manx Care wysłała e-mailem niezabezpieczony załącznik zawierający poufne informacje dotyczące zdrowia pacjenta do ponad 1870 odbiorców. Organ ochrony danych wydał następnie zawiadomienie o wykonaniu przeciwko firmie Manx Care. Jednak firma Manx Care nie zastosowała się do poleceń organu ochrony danych. W efekcie DPA podjął decyzję o nałożeniu na spółkę kary pieniężnej. Organ stwierdził przede wszystkim, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Organ stwierdził również, że firma naruszyła zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c RODO poprzez przesłanie danych pacjenta osobom niezwiązanym z opieką nad pacjentem. Wreszcie organ ochrony danych stwierdził, że firma nie poinformowała osoby, której dane dotyczą, o naruszeniu danych. | link |
| Hiszpania | 2022-08-16 | 5.000 EUR | RODALI GESTIÓN INMOBILIARIA, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na firmę RODALI GESTIÓN INMOBILIARIA, S.L. karę pieniężną w wysokości 5 000 euro. Osoba fizyczna złożyła skargę do organu w związku z niepoinformowaniem jej przez administratora o przetwarzaniu jej danych osobowych w związku z wynajmem mieszkania nabytek. Z tego powodu organ stwierdził, że administrator naruszył obowiązki informacyjne wynikające z art. 13 RODO. | link |
| Niemcy | 2021 | Nieznana | Organizacja polityczna | Nieznana | Pracownik organizacji politycznej wysłał e-mail do 400 osób z otwartej listy dystrybucyjnej. To nie tylko uwidoczniło adresy e-mail wszystkich odbiorców dla innych odbiorców, ale także ujawniło orientację polityczną odbiorców. | link |
| Niemcy | 2021 | Nieznana | Restauracja | Art. 24 RODO, Art. 32 RODO | Podczas pandemii Covid-19 restauracja pozbyła się 120 wypełnionych formularzy rejestracyjnych dla gości w ogólnodostępnym śmietniku. W trakcie dochodzenia organ ochrony danych ustalił również, że już w trakcie funkcjonowania restauracji restauracja nie wdrożyła odpowiednich zabezpieczeń chroniących dane przetwarzane podczas procesu rejestracji gości. Na przykład wypełnione formularze rejestracyjne gości były przechowywane w sąsiednim pokoju dostępnym dla wszystkich pracowników bez specjalnych środków bezpieczeństwa, takich jak zamykana szafka. | link |
| Niemcy | 2021 | Nieznana | Pracownik banku | Nieznana | Pracownik banku przez okres około roku regularnie uzyskiwał dostęp do danych rachunku bankowego klienta banku w celach prywatnych. | link |
| Niemcy | 2021 | Nieznana | Nieznany | Nieznana | Pracownik ośrodka egzaminacyjnego wykorzystał numer telefonu osoby testowanej na COVID w celu prywatnego kontaktu. | link |
| Niemcy | 2021 | Nieznana | Lekarz | Art. 32 RODO | Lekarz przechowywał dokumentację pacjenta w otwartej wiacie, a nie w zamkniętym pokoju. | link |
| Niemcy | 2021 | Nieznana | Lekarz | Art. 32 RODO | Gabinet lekarski wyrzucił dokumentację pacjentów do pojemnika na makulaturę używanego przez kilka gabinetów. | link |
| Niemcy | 2021 | Nieznana | Właściciel siłowni | Nieznana | Właściciel siłowni przeprosił za późne otwarcie siłowni, ale jednocześnie przeniósł odpowiedzialność na pracownika, który został wymieniony. W rezultacie dane osobowe zostały bezprawnie ujawnione. | link |
| Niemcy | 2021 | Nieznana | Osoba prywatna | Nieznana | Osoba prywatna zrobiła tajne nagrania wideo podczas rozprawy sądowej swoim telefonem komórkowym. | link |
| Niemcy | 2021 | Nieznana | Osoba prywatna | Nieznana | Mieszkaniec budynku mieszkalnego dokonał niezgodnie z prawem nagrań wideo, które obejmowały m.in. fragmenty wspólnie użytkowanego dziedzińca wewnętrznego | link |
| Hiszpania | 2022-08-12 | 180 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 180 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Niemcy | 2021 | Nieznana | Osoba prywatna | Art. 5 (1) c) RODO | Osoba prywatna zainstalowała kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną | link |
| Niemcy | 2021 | Grzywna kwota od 100 EUR do 1000 EUR | Osoba prywatna | Art. 6 RODO | Dziewiętnaście grzywien w wysokości od 100 EUR do 1000 EUR za niezgodne z prawem korzystanie z kamery samochodowej. | link |
| Niemcy | 2021 | Nieznana | Nieznany | Art. 32 RODO | Obrazy z kamer sklepu były rozpowszechniane bez wiedzy i intencji ukaranego podmiotu z powodu błędnej konfiguracji. Dystrybucja obejmowała nagrania zarówno pracowników, jak i klientów. | link |
| Niemcy | 2021 | Nieznana | Nieznany | Art. 32 RODO | Nadzór wideo na żywo, który był dostępny przez Internet i ze względu na brak wystarczającej pikselizacji lub redakcji umożliwiał rozpoznanie osób. | link |
| Niemcy | 2021 | Nieznana | Firma | Art. 25 RODO, Art. 32 RODO | Firma przechowywała sprzęt telekomunikacyjny, serwer i technologię tworzenia kopii zapasowych w łazience dla gości. Szafa serwerowa, która nie miała nienaruszonego zamka, służyła również jako przewijak. | link |
| Niemcy | 2021 | 16.000 EUR | Sklep z elektroniką | Art. 5 (1) c) RODO, Art. 17 RODO, Art. 35 (3) RODO | Organ ochrony danych z Dolnej Saksonii nałożył grzywnę w wysokości 16 000 euro na sklep z elektroniką. Firma zainstalowała system monitoringu wizyjnego, który na stałe rejestrował pracowników, klientów oraz pomieszczenia firmy i wyposażenie techniczne. CCTV został zainstalowany w celu ochrony klientów, pracowników, ochrony praw własności firmy oraz ścigania przestępstw i wandalizmu. Organ ochrony danych stwierdził, że rejestracja pracowników nie była konieczna do realizacji celów związanych z CCTV, a zatem była nieproporcjonalna. Organ ochrony danych uznał zatem, że administrator naruszył zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO. Organ ochrony danych stwierdził również, że firma przechowywała nagrania zbyt długo, a ponadto nie przeprowadziła oceny skutków dla ochrony danych. | link |
| Hiszpania | 2022-08-05 | 9.000 EUR | Prodesspa Decoratius i Pintures , S.L. | Art. 6 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Prodesspa Decoratius i Pintures , SL. Były pracownik złożył skargę do organu ochrony danych w związku z bezprawnym ujawnieniem przez firmę ich danych agencji informacji kredytowej. Pierwotna kara w wysokości 15 000 euro została obniżona do 9 000 euro z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. | link |
| Hiszpania | 2022-08-03 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 600 euro na osobę prywatną. Ukarany podmiot zainstalował kamery monitorujące, które obejmowały między innymi przestrzeń publiczną i sąsiednią posesję. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Hiszpania | 2022-08-08 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 600 euro na osobę prywatną. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Rumunia | 2022-08-09 | 1.000 EUR | Wabag Water Services SRL | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 1000 euro na SC Wabag Water Services SRL. Pracownik firmy złożył skargę do UOKiK w związku z tym, że pracodawca przetwarzał jego dane osobowe bez jego zgody w celu zarejestrowania i umówienia się na szczepienie przeciwko Covid-19. | link |
| Dania | 2022-08-11 | 6.700 EUR | Gmina Lolland | Art. 32 RODO | Duński organ ochrony danych nałożył grzywnę w wysokości 6700 euro na gminę Lolland. Gmina zgłosiła naruszenie danych organowi ochrony danych zgodnie z art. 33 RODO. Jednemu z pracowników gminy skradziono telefon służbowy. Pracownik skorzystał z telefonu, aby uzyskać dostęp do swojego służbowego konta e-mail, które zawierało informacje o nazwiskach kilku obywateli, numerach ubezpieczenia społecznego i danych zdrowotnych. Podczas dochodzenia organ ochrony danych stwierdził, że telefon nie był chroniony hasłem. Dzięki temu możliwy był dostęp do informacji przechowywanych w telefonie. Organ ochrony danych stwierdził, że incydent ten miał miejsce z powodu niepodjęcia przez gminę wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Gmina powinna była zapewnić przynajmniej, że każdy pracownik zabezpieczył swój telefon komórkowy hasłem. | link |
| Hiszpania | 2022-08-08 | 600 EUR | Właściciel restauracji | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela restauracji grzywnę w wysokości 600 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku należytego informowania o monitoringu. | link |
| Rumunia | 2022-08-09 | 7.000 EUR | CDI Transport Intern și Internațional SRL | Art. 12 (1) RODO, Art. 58 (1) a), e) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 7 000 EUR na CDI Transport Intern și Internațional SRL. Podczas dochodzenia organ ochrony danych stwierdził, że strona internetowa firmy nie zawierała informacji o tym, jakie prawa przysługują osobom, których dane dotyczą, na mocy RODO i jak mogą z tych praw korzystać. Ponadto firma nie dostarczyła organowi ochrony danych w terminie żądanych informacji. | link |
| Włochy | 2021-05-13 | 20.000 EUR | Synlab Med srl | Art. 5 (1) a), c) RODO, Art. 9 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Synlab Med srl grzywnę w wysokości 20 000 EUR. Firma przeprowadziła testy Covid-19 dla różnych regionalnych organów ds. zdrowia. W tym kontekście firma nieumyślnie wysłała wyniki badań 31 osób do niewłaściwego organu ds. zdrowia. | link |
| Włochy | 2022-08-01 | 26.000 EUR | Gmina Policoro | Art. 5 (1) a), e) RODO, Art. 5 (2) RODO, Art. 12 RODO, Art. 13 RODO, Art. 24 RODO, Art. 38 (6) RODO | Włoski organ ochrony danych nałożył na gminę Policoro grzywnę w wysokości 26 000 euro. Gmina zainstalowała system nadzoru wideo, nie dostarczając jednak wystarczających informacji o nadzorze. Ponadto organ ochrony danych stwierdził, że gmina nie ustaliła okresu przechowywania nagrań z monitoringu wideo i przechowywała je przez zbyt długi czas. Ponadto organ ochrony danych stwierdził, że gmina nie wypełniła swoich obowiązków przy wyznaczaniu inspektora ochrony danych. Gmina wyznaczyła swojego pełnomocnika na inspektora ochrony danych, co zdaniem organu ochrony danych stanowiło konflikt interesów. | link |
| Hiszpania | 2022-08-01 | 9.600 EUR | LAST LAP, S.L. | Art. 6 RODO, Art. 9 RODO | Hiszpański organ ochrony danych nałożył grzywnę na LAST LAP, SL. Last Lap organizuje wyścig uliczny San Silvestre. Uczestnicy wyścigu byli zobowiązani do okazania świadectwa szczepień lub wykonania testu PCR lub antygenu przed wyścigiem. Podczas dochodzenia organ ochrony danych stwierdził, że firma nie miała skutecznej podstawy prawnej do przetwarzania danych dotyczących zdrowia. Pierwotna kara w wysokości 16 000 euro została obniżona do 9 600 euro z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. | link |
| Hiszpania | 2022-07-29 | 3.000 EUR | ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański DPA nałożył grzywnę w wysokości 3 000 EUR na ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. Pracownik złożył skargę do DPA. Pracownica oświadczyła, że otrzymała dostęp do firmowego konta e-mail, kiedy została zatrudniona. Jednak po uzyskaniu dostępu do konta odkryła, że konto e-mail nie było w rzeczywistości jej kontem, ale kontem e-mail innego pracownika. Dzięki temu miała dostęp do wszystkich e-maili wysyłanych i odbieranych przez drugiego pracownika. W trakcie dochodzenia organ ochrony danych ustalił, że administrator niewłaściwie skonfigurował konto i w związku z tym naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Hiszpania | 2022-08-04 | 2.000 EUR | JAÉN SENTIDO Y COMÚN | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył na JAÉN SENTIDO Y COMÚN grzywnę w wysokości 2000 euro. Ukarany podmiot wysłał wiadomość e-mail do 241 osób z otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców były widoczne dla innych odbiorców. | link |
| Rumunia | 2022-08-04 | 2.000 EUR | Sephora Cosmetics România SA | Art. 21 RODO | Rumuński organ ochrony danych nałożył na Sephora Cosmetics România SA grzywnę w wysokości 2 000 euro. Osoba, której dane dotyczą, otrzymała promocyjny SMS od Sephora, pomimo kilkukrotnego sprzeciwu wobec przetwarzania jej danych osobowych w celach marketingowych, a Sephora potwierdziła zakończenie wysyłania SMS-a. | link |
| Norwegia | 2022-08-02 | 30.200 EUR | Krokatjønnvegen 15 AS | Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Krokatjønnvegen grzywnę w wysokości 15 AS w wysokości 30 200 EUR. Administrator przeprowadził kontrolę zdolności kredytowej dwóch osób, których dane dotyczą, bez żadnej podstawy umownej. | link |
| Hiszpania | 2022-08-02 | 42.000 EUR | Banco Bilbao Vizcaya Argentaria S.L. | Art. 6 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, S.A. Firma wielokrotnie wysyłała wiadomości reklamowe do osoby, której dane dotyczą, mimo że osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu jej danych. Pierwotna kara w wysokości 70 000 euro została obniżona do 42 000 euro z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. | link |
| Hiszpania | 2022-08-01 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 600 euro na osobę prywatną. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Francja | 07.07.2022 | 175.000 EUR | UBEEQO INTERNATIONAL | Art. 5 (1) c), e) RODO, Art. 12 RODO | Francuski organ ochrony danych (CNIL) nałożył na spółkę UBEEQO INTERNATIONAL grzywnę w wysokości 175 000 EUR. Wypożyczalnia pojazdów zbierała dane geolokalizacyjne dotyczące wynajmowanych pojazdów co 500 metrów. Firma stwierdziła, że zebrała dane, aby m.in. monitorować stan floty, lokalizować pojazd w przypadku kradzieży, a także pomagać klientom w razie wypadku. Organ ochrony danych stwierdził jednak, że żaden z tych celów nie uzasadniał tak szczegółowego gromadzenia danych geolokalizacyjnych. Z tego powodu organ ochrony danych stwierdził naruszenie zasady minimalizacji danych na podstawie art. 5 ust. 1 lit. c RODO. Organ ochrony danych stwierdził również, że firma przechowywała dane pojazdu przez zbyt długi czas. Dane były przechowywane przez czas trwania relacji biznesowej z klientem, a następnie przez kolejne trzy lata po zakończeniu najmu pojazdu. Ponadto dane osobowe użytkowników, którzy byli nieaktywni przez ponad osiem lat, nadal były przechowywane w bazach danych firmy. CNIL uznał, że to długie przechowywanie stanowiło naruszenie art. 5 ust. 1 lit. e RODO. Wreszcie organ ochrony danych stwierdził, że użytkownicy nie byli odpowiednio informowani podczas procesu rejestracji na portalu firmy, a firma naruszyła w ten sposób art. 12 RODO. | link |
| Polska | 2022-07-06 | 2.120 EUR | Szpital Uniwersytecki Warszawskiego Uniwersytetu Medycznego | Art. 33 RODO, Art. 34 RODO | Polski organ ochrony danych nałożył na Szpital Uniwersytecki Warszawskiego Uniwersytetu Medycznego karę w wysokości 2120 euro. W szpitalu uniwersyteckim doszło do naruszenia danych, w wyniku którego pacjent otrzymał skierowanie od lekarza, które zawierało między innymi dane osobowe (imię i nazwisko, adres itp.) innego pacjenta. Organ ochrony danych stwierdził, że ani lekarz, ani szpital nie poinformował pacjenta ani organu ochrony danych o naruszeniu danych. | link |
| Włochy | 2021-09-29 | 11.000 EUR | Administracja Terytorialna Rządu Genui | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 11 000 euro na Administrację Terytorialną Rządu Genui. Departament opublikował na swojej stronie internetowej plik, który zawierał tabelę zawierającą informacje o prawnikach dwóch firm i ich dorosłych konkubentach (łącznie około stu osób). W trakcie dochodzenia organ ochrony danych stwierdził, że departament opublikował informacje bez ważnej podstawy prawnej. | link |
| Hiszpania | 2022-07-26 | 800 EUR | EFS MANTENIMIENTO Y SERVICIOS TÉCNICOS, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył grzywnę na EFS MANTENIMIENTO Y SERVICIOS TÉCNICOS, S.L. 800 euro. Związek zawodowy złożył skargę do organu ochrony danych, ponieważ firma bezprawnie udostępniła radzie zakładowej informacje o jednym ze swoich pracowników. Przekazane informacje spowodowały, że pracownik znalazł się w niekorzystnej sytuacji. Organ ochrony danych uznał to za naruszenie zasad integralności i poufności. | link |
| Hiszpania | 2022-07-26 | 2.500 EUR | Stowarzyszenie właścicieli domów | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na stowarzyszenie właścicieli domów grzywnę w wysokości 2500 EUR za opublikowanie informacji (imię, nazwisko, mieszkania) dotyczących kilku właścicieli na ich stronie internetowej. | link |
| Niemcy | 2022-07-28 | 900.000 EUR | Hannoversche Volksbank | Art. 6 (1) RODO | Organ ochrony danych Dolnej Saksonii nałożył na Hannoversche Volksbank grzywnę w wysokości 900 tys. euro. Bank przeanalizował dane od aktywnych i byłych klientów bez ich zgody. W tym celu bank przeanalizował zachowania użytkowników cyfrowych i ocenił m.in. zakupy w sklepach z aplikacjami, częstotliwość korzystania z drukarek wyciągów bankowych oraz całkowitą liczbę przelewów w bankowości internetowej w porównaniu z korzystaniem z usług w placówce. Ponadto wyniki zostały zweryfikowane z agencją kredytową, gdzie zostały dodatkowo uzupełnione. Celem było zidentyfikowanie klientów o zwiększonej skłonności do korzystania z mediów cyfrowych oraz intensywniejsze dotarcie do nich za pośrednictwem elektronicznych kanałów komunikacji w celach promocyjnych. Większość klientów otrzymywała informacje z wyprzedzeniem. Organ ochrony danych stwierdził jednak, że nie zastąpiło to wymaganej zgody. Przy ustalaniu kary uwzględniono, że bank nie wykorzystał w dalszym ciągu wyników swoich wycen. Ponadto bank współpracował z organem ochrony danych podczas dochodzenia. | link |
| Hiszpania | 2022-07-26 | 15.000 EUR | TELEFÓNICA MÓVILES ESPAÑA, S.A.U. | Art. 6 (1) RODO | Były klient otrzymywał e-maile zawierające rachunki elektroniczne nawet po rozwiązaniu umowy z firmą, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. | link |
| Hiszpania | 2022-07-27 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Wykorzystanie kamery CCTV, która uchwyciła również zagraniczną przestrzeń prywatną sąsiada i przestrzeń publiczną | link |
| Luksemburg | 2022-06-30 | 1.000 EUR | Firma | Art. 5 (1) a) RODO, Art. 12 (1), (7) RODO, Art. 13 RODO | Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 1000 euro. Firma zainstalowała system monitoringu wideo, który rejestrował zarówno pracowników, jak i osoby trzecie. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo naruszyło swoje obowiązki informacyjne wynikające z art. 12 RODO i art. 13 RODO. | link |
| Luksemburg | 2022-06-30 | 1.000 EUR | Firma | Art. 5 (1) a) RODO, Art. 12 (1), (7) RODO, Art. 13 RODO | Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 1000 euro. Firma zainstalowała system monitoringu wideo, który rejestrował zarówno pracowników, jak i osoby trzecie. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo naruszyło swoje obowiązki informacyjne wynikające z art. 12 RODO i art. 13 RODO. | link |
| Hiszpania | 2022-07-22 | 500 EUR | CINCON S.C. | Art. 13 (2) RODO | Hiszpański organ ochrony danych nałożył na CINCON S.C. grzywnę w wysokości 500 euro. Spółka nie dostarczyła informacji wymaganych przez art. 13 RODO na formularzu, za pomocą którego potencjalni klienci mogliby uzyskać dostęp do bezpłatnego kursu. | link |
| Luksemburg | 2022-06-30 | 1.400 EUR | Firma | Art. 5 (1) e) RODO, Art. 13 RODO | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 1400 euro. Ukarany podmiot zainstalował czujniki lokalizacji w wielu samochodach ze swojej floty. Miało to na celu m.in. ochronę aktywów firmy, optymalne zarządzanie flotą i optymalizację przepływu pracy. Niektóre dane o lokalizacji zebrane przez administratora były przechowywane przez rok. Organ ochrony danych stwierdza, że było to wyraźnie nadmierne i nie jest konieczne do celów przetwarzania. Organ ochrony danych uznał to za naruszenie zasady ograniczenia przechowywania. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych dotyczących lokalizacji, a tym samym naruszył swoje obowiązki informacyjne zgodnie z art. 13 RODO. | link |
| Luksemburg | 2022-06-22 | 3.000 EUR | Firma | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych (CNPD) nałożył na firmę grzywnę w wysokości 3 000 euro. Firma zainstalowała system monitoringu wideo w celu ochrony mienia i pracowników firmy. Jednak kamery stale rejestrowały również fragmenty obszarów roboczych pracowników. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, nie informując odpowiednio swoich pracowników o monitoringu wizyjnym. | link |
| Niemcy | 2022-07-26 | 1.100.000 EUR | Volkswagen | Art. 13 RODO, Art. 28 RODO, Art. 30 RODO, Art. 35 RODO | Organ ochrony danych Dolnej Saksonii nałożył na Volkswagena grzywnę w wysokości 1,1 mln euro. Firma zainstalowała kamery w pojeździe testowym. Pojazd był używany do testowania i szkolenia funkcjonalności systemu wspomagania jazdy w celu zapobiegania wypadkom drogowym. W tym celu za pomocą kamer rejestrowano ruch wokół pojazdu. Volkswagen nie dostarczył jednak informacji zgodnie z art. 13 RODO o przetwarzaniu danych przez kamery zamontowane w pojeździe. Organ ochrony danych stwierdził ponadto, że wbrew obowiązkowi wynikającemu z art. 28 RODO Volkswagen nie zawarł umowy o przetwarzanie z firmą, która realizowała przejazdy. Ponadto brak oceny skutków dla ochrony danych zgodnie z art. 35 DSGVO zostało przeprowadzone, a techniczne i organizacyjne środki ochrony nie zostały określone w wykazie czynności przetwarzania. Volkswagen intensywnie współpracował z organem ochrony danych. | link |
| Hiszpania | 2022-07-22 | 40.000 EUR | ESVETEL, S.L. | Art. 28 RODO, Art. 48 (1) b) LGT | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na ESVETEL, SL. Osoba, której dane dotyczą, otrzymała telefon reklamowy od administratora wykonany w imieniu Vodafone España, S.A.U., chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinson. | link |
| Niemcy | 2021 | 10.100 EUR | Grupa handlująca samochodami | Nieznana | Organ ochrony danych w Hamburgu nałożył grzywnę w wysokości 10 110 euro na grupę handlującą samochodami. Spółka poinformowała bazę klientów, że przyczyną restrukturyzacji była nieobecność pracownika z powodu choroby. Firma poinformowała około 3000 klientów m.in. o dokładnej dacie wystąpienia niezdolności pracownika do pracy oraz o tym, że sytuacja ta będzie trwać przez czas nieokreślony. Organ ochrony danych uznał, że firma nie przedstawiła ważnej podstawy prawnej do takiego przekazywania danych osobowych dotyczących zdrowia, a zatem przekazała dane niezgodnie z prawem. | link |
| Niemcy | 2021 | 12.500 EUR | Dostawca energii | Nieznana | Organ ochrony danych w Hamburgu nałożył na dostawcę energii grzywnę w wysokości 12.5000 EUR. Firma zleciła outsourcing i sprzedała swój dział energii cieplnej. Klienci, których dotyczy przeniesienie, zostali poinformowani o przeniesieniu ich umów na dostawę energii elektrycznej i otrzymali prawo do sprzeciwu. W przypadku zgłoszonego sprzeciwu żadne dane osobowe klientów nie powinny być przekazywane nowej firmie. Jednak pomimo zgłoszenia przez klientów należytego sprzeciwu, ich dane zostały przekazane nowej spółce. | link |
| Niemcy | 2021 | 12.500 EUR | Dostawca energii | Nieznana | Organ ochrony danych w Hamburgu nałożył na dostawcę energii grzywnę w wysokości 12.5000 EUR. Firma zleciła outsourcing i sprzedała swój dział energii cieplnej. Klienci, których dotyczy przeniesienie, zostali poinformowani o przeniesieniu ich umów na dostawę energii elektrycznej i otrzymali prawo do sprzeciwu. W przypadku zgłoszonego sprzeciwu żadne dane osobowe klientów nie powinny być przekazywane nowej firmie. Jednak pomimo zgłoszenia przez klientów należytego sprzeciwu, ich dane zostały przekazane nowej spółce. | link |
| Niemcy | 2022-05-06 | 5.000 EUR | Osoba prywatna | Art. 5 (1) a) RODO, Art. 6 (1) RODO | Organ ochrony danych w Hamburgu nałożył na osobę prywatną grzywnę w wysokości 5 000 euro. Osobnik sfilmował wiele młodych kobiet w miejscach publicznych. Niektóre z zarejestrowanych kobiet miały podobno mniej niż 14 lat. W kilku przypadkach ukarana osoba zbliżała się do filmowanych osób na odległość kilku centymetrów i podążała za nimi z kamerą do 38 minut. Podczas przeszukiwania plecaka policjanci znaleźli aparat cyfrowy i osiem kart pamięci. Zajęte karty pamięci zawierały łącznie 156 plików wideo. W trakcie dochodzenia organ ochrony danych stwierdził, że dana osoba przetwarzała dane osobowe młodych kobiet, które sfilmował, chociaż nie udzielono skutecznej zgody. | link |
| Włochy | 2022-05-22 | 12.000 EUR | Comune di Napoli Corpo di Polizia Municipale | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 88 RODO, Art. 113 Codice della privacy | Włoski organ ochrony danych nałożył grzywnę na organ policyjny „Comune di Napoli Corpo di Polizia Municipale” w wysokości 12 000 euro. Policja wysłała do różnych jednostek administracyjnych drogą mailową listę nazwisk, adresów, numerów podatkowych, danych kontaktowych i terminów umawiania się na badania pracowników na Covid-19. Jako podstawę prawną przetwarzania danych organ powołał się na zgodę pracowników. Organ ochrony danych stwierdził jednak, że organ nie może polegać na zgodzie, ponieważ dobrowolna zgoda jest wątpliwa w relacji pracownik-pracodawca. | link |
| Włochy | 2022-05-26 | 50.000 EUR | Azienda sanitaria universitaria Friuli Occidentale | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył na placówkę służby zdrowia Azienda sanitaria universitaria Friuli Occidentale grzywnę w wysokości 50 000 euro. Pracownicy placówki mieli dostęp do danych o stanie zdrowia pacjentów, mimo że nie byli zaangażowani w leczenie pacjentów i dostęp ten nie był wymagany. Podczas dochodzenia organ ochrony danych ustalił, że platforma informatyczna placówki opieki zdrowotnej umożliwia każdemu pracownikowi dostęp do danych osobowych pacjentów, nawet jeśli faktycznie nie leczyli oni niektórych pacjentów. Ponadto organ ochrony danych stwierdził, że platforma informatyczna placówki służby zdrowia nie zainstalowała systemów, które wskazywałyby na niewłaściwe wykorzystanie danych osobowych. | link |
| Włochy | 2022-05-26 | 70.000 EUR | Azienda sanitaria universitaria Friuli Centrale | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 70 000 euro na zakład opieki zdrowotnej Azienda sanitaria universitaria Friuli Centrale. Pracownicy placówki mieli dostęp do danych o stanie zdrowia pacjentów, mimo że nie byli zaangażowani w leczenie pacjentów i dostęp ten nie był wymagany. Podczas dochodzenia organ ochrony danych ustalił, że platforma informatyczna placówki opieki zdrowotnej umożliwia każdemu pracownikowi dostęp do danych osobowych pacjentów, nawet jeśli faktycznie nie leczyli oni niektórych pacjentów. Ponadto organ ochrony danych stwierdził, że platforma informatyczna placówki służby zdrowia nie zainstalowała systemów, które wskazywałyby na niewłaściwe wykorzystanie danych osobowych. | link |
| Włochy | 2022-05-12 | 2.000 EUR | Targ Singh | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych nałożył na właściciela sklepu „Singh Market” grzywnę w wysokości 2000 euro. Administrator zainstalował w swoich pomieszczeniach kamery do monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informowania określony w RODO. | link |
| Włochy | 2022-05-26 | 4.000 EUR | Uniwersytet Rolniczy w Nettuno | Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 4000 euro na Università Agraria di Nettuno. Były pracownik uczelni złożył skargę do organu ochrony danych w związku z opublikowaniem przez uczelnię dokumentu zawierającego jego dane osobowe. W dokumencie ujawniono informacje dotyczące sporu prawnego pomiędzy osobą, której dane dotyczą, a uczelnią. W trakcie dochodzenia organ ochrony danych stwierdził, że ze względu na brak ważnej podstawy prawnej publikacja była niezgodna z prawem. | link |
| Włochy | 2022-05-26 | 16.000 EUR | Region Toskanii | Art. 5 (1) c) RODO, Art. 6 (1) c) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 16 000 euro na region Toskanii. Region opublikował na swojej stronie internetowej dokumenty zawierające informacje o profesjonalistach z branży turystycznej, którzy złożyli wniosek o pomoc w nagłych wypadkach w kontekście pandemii Covid-19. Dokumenty zawierały m.in. nazwy, adresy osób, których dane dotyczą, a także kwotę przyznanej pomocy. | link |
| Chorwacja | 2022-07-21 | 285.000 EUR | Firma telekomunikacyjna | Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO | Chorwacki organ ochrony danych nałożył grzywnę na firmę telekomunikacyjną w wysokości 285 000 euro. Firma doznała naruszenia bezpieczeństwa danych. Atakującym udało się uzyskać dostęp do danych około 100 000 osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził, że takie naruszenie było ułatwione przez niewdrożenie przez spółkę odpowiednich technicznych i organizacyjnych środków bezpieczeństwa przetwarzania danych osobowych. Na przykład systemy przetwarzania nie miały ograniczeń dostępu. Przy ocenie kary wzięto pod uwagę obciążająco fakt, że firma jest jedną z wiodących firm telekomunikacyjnych w Chorwacji i dlatego ze względu na dużą ilość przetwarzanych tam danych należało się spodziewać ryzyka ataku na systemy. Z tego właśnie powodu firma powinna była zwrócić większą uwagę na zapewnienie wystarczających środków bezpieczeństwa. | link |
| Chorwacja | 2022-07-21 | 4.000 EUR | Sprzedawca samochodow | Art. 27 (1) Zakona o provedbi Opće uredbe o zaštiti podataka | Chorwacki organ ochrony danych nałożył na dealera samochodów grzywnę w wysokości 4 000 EUR. Administrator zainstalował w swoich pomieszczeniach kamery do monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. | link |
| Włochy | 2021-03-25 | 6.000 EUR | Convitto Nazionale Statale 'Giordano Bruno' di Maddaloni (szkoła z internatem) | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 1000 euro na szkołę z internatem Convitto Nazionale Statale „Giordano Bruno” di Maddaloni (CE). Internat opublikował na swojej stronie internetowej dokument zawierający dane osobowe osoby, której dane dotyczą, bez podstawy prawnej. | link |
| Włochy | 2022-05-12 | 600 EUR | Gmina Villabate | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 37 (1) a) RODO, Art. 37 (7) RODO, Art. 38 (6) RODO | Włoski organ ochrony danych nałożył na gminę Villabate grzywnę w wysokości 6 000 EUR. Gmina udostępniła dane osobowe byłego pracownika nieuprawnionym osobom trzecim bez ważnej podstawy prawnej. Organ ochrony danych stwierdził również, że gmina nie wyznaczyła inspektora ochrony danych. | link |
| Włochy | 2022-05-26 | 10.000 EUR | Gmina Afragola | Art. 5 (1) a), c) RODO, Art. 12 (3), (4) RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na gminę Afragola grzywnę w wysokości 10 000 euro. Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ gmina opublikowała jego CV wraz z danymi osobowymi na stronie internetowej gminy, mimo że stosunek pracy ustał. Ponadto były pracownik złożył wniosek o sprzeciw wobec ujawnienia jego danych osobowych. Gmina nie odpowiedziała jednak na prośbę. | link |
| Hiszpania | 2022-07-18 | 56.000 EUR | BANKINTER, S.A. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 56 000 EUR na BANKINTER, SA. Administrator nieumyślnie wysłał raport dotyczący portfela inwestycyjnego osoby, której dane dotyczą, do strony trzeciej. Ukarany podmiot stwierdził, że błędna wysyłka nastąpiła z powodu błędu komputera. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę integralności i poufności określoną w art. 5 ust. 1 lit. f RODO. | link |
| Hiszpania | 2022-07-19 | 4.000 EUR | Pracownik księgarni | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpańska Agencja Ochrony Danych nałożyła na pracownika księgarni karę w wysokości 4000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ otrzymała od innej osoby fakturę zawierającą dane osobowe tej osoby. Pracownik nieumyślnie wysłał fakturę do niewłaściwego odbiorcy. | link |
| Hiszpania | 2022-07-19 | 2.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta zainstalowała w kamienicy, w której mieszka, kamery wideo, które nagrywały m.in. części wspólne wszystkich mieszkańców. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2022-07-19 | 5.000 EUR | Właściciel baru | Art. 5 (1) b) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela baru grzywnę w wysokości 5 000 euro. Właściciel bezprawnie udostępnił nagrania z telewizji przemysłowej w barze za pośrednictwem WhatsApp i innych platform mediów społecznościowych | link |
| Hiszpania | 2022-07-19 | 600 EUR | Osoba prywatna | Art. 58 (2) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 600 euro. Osoba ta nie wdrożyła w odpowiednim czasie środków wielokrotnie nakazanych przez organ ochrony danych | link |
| Hiszpania | 2022-07-13 | 1.132.000 EUR | DKV Seguros y Reaseguros, S.A.E. | Art. 5 (1) f) RODO, Art. 32 RODO, Art. 33 RODO | Hiszpański organ ochrony danych nałożył grzywnę na DKV Seguros y Reaseguros, SAE. Osoba fizyczna złożyła skargę do organu ochrony danych po otrzymaniu wielu wiadomości e-mail od administratora danych zawierających informacje od nieznanej osoby. Administrator wysłał 51 e-maili z zaświadczeniami lekarskimi zawierającymi imiona, nazwiska oraz dane dotyczące badań lekarskich osób, których dane dotyczą, do niewłaściwego odbiorcy. Skarżący kilkakrotnie ostrzegał administratora o niewłaściwej wysyłce, ale administrator nie odpowiedział, dopóki nie dowiedział się o skardze do organu ochrony danych. Administrator nie zgłosił naruszenia ochrony danych organowi ochrony danych. W toku dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa ochrony danych odpowiedniego do ryzyka. Pierwotna kara w wysokości 220 000 euro została obniżona do 132 000 euro z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. | link |
| Niemcy | 2021 | Grzywna w sześciocyfrowej kwocie | Firmy | Art. 32 (1) RODO | Hamburski organ ochrony danych nałożył sześciocyfrową grzywnę na hamburską firmę działającą w sektorze opieki zdrowotnej. Firma nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony danych odpowiedniego do ryzyka przy wysyłaniu listów lekarskich. W rezultacie pisma lekarskie skierowano do osoby, która mimo wykonywania zawodu medycznego nie była lekarzem prowadzącym dalsze leczenie chorych pacjentów. Zamiast tego listy były przeznaczone dla lekarza rodzinnego o tym samym nazwisku, co adresat. Firma była w przeszłości kilkakrotnie informowana o niepoprawnej wysyłce przez nieuprawnionego odbiorcę. Niemniej jednak nie podjęła środków organizacyjnych i technicznych, aby te incydenty się nie powtórzyły. Oceniając grzywnę, organ ochrony danych wziął pod uwagę obciążająco fakt, że przetwarzane dane dotyczyły danych dotyczących zdrowia oraz że dane te są szczególnie wrażliwe. | link |
| Niemcy | 2021 | Nieznana | Policja | § 32 Absatz 1 BbgDSG | Funkcjonariusz policji bezprawnie uzyskał dostęp do danych w policyjnej bazie danych. Z tego powodu brandenburski organ ochrony danych nałożył grzywnę za naruszenie § 32 ust. 1 BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do dostosowania RODO. | link |
| Niemcy | 2021 | Nieznana | Policja | § 32 Absatz 1 BbgDSG | Funkcjonariusz policji podczas przypadkowego spotkania bezprawnie ujawnił matce sprawcy dane osobowe dotyczące incydentu z jazdą pod wpływem alkoholu. Uważał, że matka, jako jego pracodawca, może zapobiec recydywie, wycofując samochód sprawcy. Jednak matka jest nieuprawnioną osobą trzecią, co oznacza, że policjantowi nie wolno było ujawnić informacji. Z tego powodu brandenburski organ ochrony danych nałożył grzywnę za naruszenie § 32 ust. 1 BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do dostosowania RODO. | link |
| Niemcy | 2021 | Nieznana | Policja | § 32 Absatz 1 BbgDSG | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. Funkcjonariusz policji przesłuchał proces śledztwa kolegi na tle rozprawy sądowej. Za pośrednictwem WhatsApp podzielił się informacjami, o których dowiedział się podczas nieautoryzowanych wyszukiwań. Z tego powodu brandenburski organ ochrony danych nałożył grzywnę za naruszenie § 32 ust. 1 BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do dostosowania RODO. | link |
| Włochy | 2021-01-27 | 10.000 EUR | Miasto Rzym (stolica romska) | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na miasto Rzym (stolica romska). Miasto opublikowało na stronie internetowej gminy dokument stwierdzający, że matka nie uiszczała opłat za stołówkę. Dokument zawierał dane osobowe matki i jej małoletniego dziecka. Miasto stwierdziło, że w przypadku braku stałego adresu matki, na który można było wysłać zawiadomienie, opublikowało dokument powiadamiający bezdomną matkę o długu. Organ ochrony danych uznał jednak, że nie można tego uznać za wystarczającą podstawę prawną do przetwarzania danych osobowych, a tym samym miasto przetwarzało te dane niezgodnie z prawem. | link |
| Niemcy | 2021 | Nieznana | Lekarz | Art. 6 RODO | Brandenburgia nałożyła czterocyfrową grzywnę na lekarza zajmującego się psychoterapią dzieci i młodzieży. Lekarz założył Whatsgroup z 230 uczestnikami, aby przekazać swój nowy adres biura. Matka byłego nieletniego pacjenta złożyła w tej sprawie skargę do organu ochrony danych, ponieważ lekarz nie uzyskał zgody na grupę. Wszystkim członkom grupy ujawniono numery telefonów innych członków. W niektórych przypadkach członkowie grupy byli w stanie wyciągnąć wnioski, że dzieci ze znanych im rodzin są lub były leczone przez lekarza. Z tego powodu organ ochrony danych stwierdził, że lekarz bezprawnie przetwarzał dane członków grupy WhatsApp z powodu nieuzyskania zgody. | link |
| Niemcy | 2021 | Nieznana | Osoba prywatna | Art. 6 RODO | Organ ochrony danych Brandenburgii nałożył na pracownika firmy trzycyfrową grzywnę. Pracownik przekazywał dokumenty aplikacyjne otrzymane przez pracodawcę ze swojego służbowego adresu e-mail na swój prywatny adres e-mail bez upoważnienia w celu uzyskania sugestii dotyczących projektowania własnych aplikacji. Wcześniej nie zanonimizował życiorysów, więc nadal zawierały wszystkie dane osobowe i zawodowe skarżących. Ponieważ wysyłanie dokumentów aplikacyjnych na jego prywatny adres e-mail nie należał do jego obowiązków służbowych, organ ochrony danych stwierdził, że przekazanie było niezgodne z prawem. | link |
| Niemcy | 2021 | Nieznana | Osoba prywatna | Art. 6 RODO | Organ ochrony danych z Brandenburgii nałożył na pracownika firmy trzycyfrową grzywnę. Osoba ta wysłała arkusz kalkulacyjny Excel z danymi 56 pracowników na swój prywatny adres e-mail ze swojego oficjalnego komputera, chociaż nie było to konieczne do jej oficjalnych działań. Z tego powodu organ ochrony danych ustalił, że pracownik bezprawnie przekazał dane innych pracowników. Arkusz kalkulacyjny zawierał, oprócz imienia i nazwiska pracowników, zestawienie już wykorzystanych i pozostałych dni urlopu, naliczonych zwolnień chorobowych, danych o wynagrodzeniach, przepracowanych nadgodzinach i składkach na ubezpieczenie społeczne. | link |
| Włochy | 2022-05-22 | 7.000 EUR | Azienda Socio Sanitaria Territoriale Dei Sette Laghi | Art. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 000 EUR na zakład opieki zdrowotnej Azienda Socio Sanitaria Territoriale Dei Sette Laghi. Pacjent omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną od innego pacjenta we własnej dokumentacji. | link |
| Cypr | 2022 | 5.000 EUR | Cypryjska Federacja Judo | Art. 31 RODO | Cypryjski organ ochrony danych nałożył grzywnę na Cypryjską Federację Judo. Ojciec członka wniósł skargę do organu ochrony danych, ponieważ trener judo jego nieletniego syna opublikował materiały fotograficzne i audiowizualne na platformie mediów społecznościowych bez jego uprzedniej zgody. W trakcie śledztwa trener nie współpracował w wystarczającym stopniu z organem ochrony danych, który w związku z tym nałożył grzywnę w wysokości 5 000 euro za naruszenie art. 31 RODO. | link |
| Hiszpania | 2022-07-01 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę prywatną grzywną w wysokości 300 EUR za nieuprawnioną instalację kamery do monitoringu wideo na ich posesji. Kamery rejestrowały przestrzeń publiczną i sąsiednią posesję. AEPD stwierdził zatem, że taki nadzór wideo stanowił naruszenie zasady minimalizacji danych. | link |
| Włochy | 2022-05-26 | 2.000 EUR | Tureckie miasto | Art. 13 RODO | Włoski organ ochrony danych nałożył na właściciela sklepu „Turkish City” grzywnę w wysokości 2000 euro. Administrator zainstalował w swoich pomieszczeniach kamery do monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informowania określony w RODO. | link |
| Dania | 2022-07-14 | 67.200 EUR | SIRIUS (firma prawnicza) | Art. 32 RODO | Duński organ ochrony danych nałożył na kancelarię SIRIUS grzywnę w wysokości 67 200 euro. Kancelaria przeżyła atak cybernetyczny, w którym hakerzy uzyskali dostęp do serwerów firmy i je zaszyfrowali. Dało im to dostęp do informacji o klientach i partnerach biznesowych firmy. W trakcie dochodzenia organ ochrony danych stwierdził, że kancelaria nie posiadała podstawowych środków bezpieczeństwa, co zwiększało ryzyko nieuprawnionego dostępu do danych klientów. Na przykład systemy firmy nie zawierały wystarczających środków weryfikacyjnych, takich jak logowanie wieloskładnikowe. | link |
| Polska | 2022-07-06 | 12.450 EUR | Główny Geodeta Kraju | Art. 33 (1) RODO, Art. 34 (1) RODO | Polski organ ochrony danych nałożył karę w wysokości 12 450 euro na publiczny instytut kartografii Głównego Geodetę Kraju. W instytucie doszło do naruszenia danych, w wyniku którego liczne numery ksiąg wieczystych były widoczne na stronie internetowej instytutu przez ponad 48 godzin. Numer księgi wieczystej pozwala ustalić szereg danych właścicieli, w tym imię i nazwisko, imiona rodziców oraz adres nieruchomości. Instytut nie zgłosił naruszenia organowi ochrony danych, w wyniku czego dowiedział się o incydencie z doniesień medialnych. Instytut nie poinformował również osób, których dane dotyczą, o incydencie. Z tego powodu organ ochrony danych uznał, że administrator naruszył art. 33 ust. 1 RODO i art. 34 ust. 1 RODO. | link |
| Grecja | 2022-07-13 | 20.000.000 EUR | Clearview Al Inc. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 15 RODO, Art. 27 RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 20 000 000 EUR na Clearview AI Inc. Organizacja non-profit „Homos Digitalis” złożyła skargę do organu ochrony danych w imieniu osoby, której dane dotyczą. Firma posiada bazę danych zawierającą ponad 20 miliardów zdjęć twarzy (w tym wizerunków greckich mieszkańców i obywateli) z całego świata. Dane są gromadzone online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych uzyskanych z obrazów. Profile osób mogą być wzbogacone o informacje związane z tymi obrazami, takie jak tagi obrazów i geolokalizacja. W trakcie dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Organ ochrony danych stwierdził również, że spółka nie zapewniła osobie, której dane dotyczą, dostępu do jej danych osobowych, a tym samym narusza art. 15 RODO. Ponadto Cleaview naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. | link |
| Cypr | 2022 | 1.500 EUR | Lekarz | Art. 31 RODO | Cypryjski organ ochrony danych nałożył na lekarza grzywnę w wysokości 1500 euro. Organ ochrony danych przeprowadził dochodzenie przeciwko lekarzowi za niezgodne z prawem działanie systemu monitoringu wideo. Dla celów dochodzeniowych DPA zażądał od lekarza informacji, których lekarz nie przekazał DPA. Z tego powodu organ ochrony danych uznał, że lekarz naruszył art. 31 RODO z uwagi na brak współpracy z Urzędem Ochrony Danych. | link |
| Cypr | 2022-02-04 | 10.000 EUR | Εκδοτικού Οίκου Δίας | Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Cypryjski organ ochrony danych nałożył na wydawcę Εκδοτικού Οίκου Δίας grzywnę w wysokości 10 000 EUR. Osoba publiczna złożyła skargę do organu ochrony danych. Wydawca opublikował na stronie internetowej nieprawidłowe informacje o sytuacji finansowej osoby, której dane dotyczą. W trakcie dochodzenia organ ochrony danych, porównując prawo wydawcy do wolności wypowiedzi z prawem osoby, której dane dotyczą, do prywatności i ochrony danych osobowych, stwierdził, że wydawca bezprawnie przetwarzał dane osoby, której dane dotyczą. | link |
| Cypr | 2022 | 2.000 EUR | Rada Miejska Oroklini | Art. 31 RODO | Cypryjski organ ochrony danych nałożył na radę gminy Oroklini grzywnę w wysokości 2 000 EUR za niewłaściwą współpracę z organem ochrony danych podczas dochodzenia. | link |
| Włochy | 2022-05-12 | 20.000 EUR | Bazar w Hu Xiaoyan | Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 20 000 euro na firmę „Bazar di Hu Xiaoyan”. Ukarany podmiot eksploatował w swoich pomieszczeniach kamery monitoringu wideo bez wymaganego zezwolenia. Ponadto organ ochrony danych stwierdził, że brakuje znaków informacyjnych dotyczących przetwarzania danych osobowych przez kamery. | link |
| Francja | 2022-06-23 | 1.000.000 EUR | TotalEnergies Electricité et Gaz France | Art. 14 RODO, Art. 15 RODO, Art. 21 RODO | Francuski organ ochrony danych nałożył grzywnę w wysokości 1 000 000 EUR na TotalEnergies Electricité et Gaz France. W ramach dochodzenia organ ochrony danych stwierdził, że administrator naruszył swoje obowiązki informacyjne wynikające z art. 14 RODO poprzez nieudzielenie osobom, których dane dotyczą, wystarczających informacji podczas kontaktu telefonicznego o przetwarzaniu ich danych osobowych w celach reklamowych. Ponadto spółka nie zastosowała się do próśb osób, których dane dotyczą, aby sprzeciwić się przetwarzaniu ich danych osobowych w celach reklamowych. Ponadto administrator nie odpowiedział w terminie na żądania osób, których dane dotyczą, wbrew obowiązkowi wynikającemu z art. 12 RODO. | link |
| Hiszpania | 2022-07-06 | 3.000 EUR | ASOCIACIÓN DE AFICIONADOS Y PEQUEÑOS ACCIONISTAS UNIDAD HERCULANA | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 300 euro za naruszenie art. 5 ust. 1 lit. c RODO i 300 euro za naruszenie art. 13 RODO. | link |
| Hiszpania | 2022-07-05 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 300 euro za naruszenie art. 5 ust. 1 lit. c RODO i 300 euro za naruszenie art. 13 RODO. | link |
| Hiszpania | 2022-07-06 | 56.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że nieuprawnione osoby trzecie uzyskały dostęp do jej konta Vodafone i zawarły w ich imieniu nową umowę, a także kupiły iPhone'a 12. Organ ochrony danych zauważa, że administrator nie sprawdził odpowiednio, czy umowy były zgodne z prawem. i faktycznie zawarte przez osobę, której dane dotyczą. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro z powodu dobrowolnej wpłaty. | link |
| Norwegia | 2022-03-04 | 195.000 EUR | Parlament norweski | Art. 5 (1) f) RODO, Art. 32 (1) b), d) RODO | Norweski organ ochrony danych nałożył na norweski parlament grzywnę w wysokości 195 000 euro. W parlamencie doszło do naruszenia danych, w wyniku którego osoby nieuprawnione uzyskały dostęp do kont e-mail posłów i pracowników administracji parlamentarnej. Atakującym udało się wykraść dane, w tym dane osobowe dotyczące kont bankowych, daty urodzenia i dane dotyczące zdrowia. Podczas dochodzenia organ ochrony danych stwierdził, że parlament nie wprowadził wystarczających mechanizmów bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe, mimo że analiza ryzyka przeprowadzona w 2020 r. wykazała, że stanowi to duże zagrożenie dla prywatności. Z tego powodu organ ochrony danych stwierdził, że administracja parlamentarna nie podjęła odpowiednich środków technicznych i organizacyjnych w celu osiągnięcia wystarczającego poziomu bezpieczeństwa. | link |
| Włochy | 2022-05-26 | 100.000 EUR | Intesa Sanpaolo S.p.A | Art. 5 (1) a), f) RODO, Art. 6 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 100 000 euro na Intesa Sanpaolo S.p.A. Bank bezprawnie ujawnił dane osoby, której dane dotyczą, nieuprawnionym osobom trzecim (ojcu osoby, której dane dotyczą). Ojciec osoby, której dane dotyczą, były pracownik banku, był upoważniony do dostępu do danych bankowych swojej córki do czasu osiągnięcia przez nią pełnoletności. Ojciec zażądał jednak dostępu do danych córki, która w międzyczasie osiągnęła już pełnoletność. Pracownik banku podejrzewał, że ojciec nadal ma upoważnienie i z tego powodu przekazał dane córki. | link |
| Włochy | 2022-05-26 | 46.000 EUR | Azienda Sanitaria Locale Roma | Art. 5 (1) c) RODO, Art. 6 (1) c), d) RODO, Art. 6 (2), (3) RODO, Art. 9 (1), (2), (4) RODO, Art. 2-ter (1), (2) Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych nałożył na Azienda Sanitaria Locale Roma grzywnę w wysokości 46 000 EUR. Placówka zdrowia opublikowała na swojej stronie internetowej nazwiska i informacje o stanie zdrowia 1337 pacjentów. W większości przypadków dotyczyło to dokumentacji medycznej osób, których dane dotyczą, w tym dokumentów medycznych, ocen niepełnosprawności, badań, raportów technicznych itp. W tym kontekście organ ochrony danych stwierdził, że instytucja opieki zdrowotnej przetwarzała dane niezgodnie z prawem, a także naruszona zasada minimalizacji danych. | link |
| Grecja | 0222-06-20 | 2.000 EUR | WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ | Art. 15 RODO | Grecki organ ochrony danych nałożył na WIND Ελλάς Τηλεπικοινωνίες grzywnę w wysokości 2 000 EUR. Klient firmy wysłał e-mail z prośbą o dostęp do materiału zarejestrowanego przez kamery sklepu, na których się pojawiali. Osoba, której dane dotyczą, nigdy nie otrzymała odpowiedzi na to żądanie. Dopiero gdy organ poprosił o odpowiedź, administrator odpowiedział, że prośba osoby, której dane dotyczą, nie może zostać spełniona, ponieważ nagrany materiał został usunięty. Organ ochrony danych uznał to za naruszenie art. 15 RODO. | link |
| Grecja | 2022-06-24 | 2.000 EUR | Kandydat w wyborach parlamentarnych | Art. 12 RODO, Art. 11 Law 3471/2006 | Grecki organ ochrony danych nałożył na kandydata do parlamentu karę w wysokości 2 tys. euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych z powodu otrzymania niezamówionej reklamy wyborczej za pośrednictwem SMS-a od polityka. Osoba, której dane dotyczą, podała politykowi, który był ministrem przed wyborami, własne dane kontaktowe, ale nie do celów reklamy wyborczej. Polityk przetwarzał zatem dane w innym celu niż uzgodniony, bez zgody osoby, której dane dotyczą, ani bez poinformowania o tym osoby, której dane dotyczą. Osoba, której dane dotyczą, zażądała następnie usunięcia swoich danych oraz zaprzestania wysyłania wiadomości SMS. Polityk jednak nie zastosował się do tej prośby i SMS nadal był wysyłany. | link |
| Finlandia | 2022-05-09 | 85.000 EUR | Otavamedia Oy | Art. 5 (1) c) RODO, Art. 12 (1), (2), (3), (4), (6) RODO, Art. 15 RODO, Art. 17 RODO, Art. 25 RODO | Fiński organ ochrony danych nałożył na Otavamedia Oy grzywnę w wysokości 85 000 euro. Organ ochrony danych otrzymał jedenaście skarg dotyczących Otavamedia w latach 2018-2021. Skargi dotyczyły przede wszystkim braku odpowiedzi na zapytania osób, których dane dotyczą. Otavamedia wyjaśniła, że niektóre żądania dotyczące prywatności nie zostały spełnione z powodu problemów technicznych z zarządzaniem pocztą elektroniczną. Podczas incydentu wiadomości otrzymane w skrzynce e-mail z zapytaniem dotyczącym prywatności nie były przekazywane przedstawicielom obsługi klienta. Sytuację odkryto dopiero po siedmiu miesiącach. W tym kontekście organ ochrony danych zauważył, że Otovamia powinna była przetestować nowy system poczty elektronicznej przed jego użyciem, aby móc zagwarantować odpowiedź na wnioski i prawa osób, których dane dotyczą. Możliwe było uzyskanie analogicznego wniosku, ale formularz wniosku musiał być podpisany przez osoby, których dane dotyczą, w celu identyfikacji. Jednak Otavamedia nie przetwarzała danych podpisu w żadnym innym kontekście, więc podpis nie mógł być nawet zweryfikowany. Organ ochrony danych stwierdził, że Otavamedia zebrała w ten sposób niepotrzebnie dużą ilość danych do celów identyfikacji i utrudniła korzystanie z praw osób, których dane dotyczą, wymagając podpisów. | link |
| Hiszpania | 2022-05-24 | 42.000 EUR | Alquiler Seguro SA | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na Alquiler Seguro SA karę w wysokości 42 000 euro. Firma ogłosiła ofertę pracy, o którą ubiegała się osoba, której dane dotyczą. W ramach procesu aplikacyjnego firma zwróciła się do agencji kredytowej o informacje na temat zdolności kredytowej osoby, której dane dotyczą. Jednak osoba zainteresowana nigdy nie wyraziła zgody na takie zapytanie dotyczące jej zdolności kredytowej przez Alquiler Seguro ani nie została o tym poinformowana. Z tego powodu organ ochrony danych uznał, że Alquiler Seguro przetwarzał dane osoby, której dane dotyczą bez ważnej podstawy prawnej, a tym samym naruszył art. 6 ust. 1 RODO. | link |
| Hiszpania | 2022-07-01 | 500 EUR | osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę prywatną grzywną w wysokości 500 EUR za nieuprawnioną instalację kamery do monitoringu wideo na ich posesji. Kamery rejestrowały przestrzeń publiczną i sąsiednią posesję. AEPD stwierdził zatem, że taki nadzór wideo stanowił naruszenie zasady minimalizacji danych. | link |
| Grecja | 2022-06-29 | 3.000 EUR | Psycholog dziecięcy | Art. 31 RODO | Grecki organ ochrony danych nałożył grzywnę na psychologa dziecięcego w wysokości 3 000 euro. Psycholog nie współpracował właściwie z organem ochrony danych podczas dochodzenia. | link |
| Wielka Brytania | 2022-06-09 | 91.000 EUR | Tavistock & Portman NHS Foundation Trust | Art. 5 (1) f) RODO, Art. 32 RODO | Brytyjski organ ochrony danych (ICO) nałożył grzywnę na fundację Tavistock i Portman NHS Foundation Trust w wysokości 91 000 EUR. Fundacja Tavistock and Portman NHS Foundation Trust jest specjalistycznym funduszem powierniczym zajmującym się zdrowiem psychicznym z siedzibą w Londynie. Na początku września 2019 r. trust chciał przeprowadzić konkurs, w którym poprosił pacjentów w klinice tożsamości płciowej o dostarczenie grafiki do dekoracji odnowionego budynku kliniki. W tym celu nieumyślnie wysłano dwie wiadomości e-mail z otwartą listą dystrybucyjną (jeden do 912 odbiorców, a drugi do 869 odbiorców). Z treści e-maila jasno wynikało, że wszyscy odbiorcy to pacjenci kliniki. Zaufanie natychmiast rozpoznało błąd i bezskutecznie próbowało odzyskać e-maile. W ramach dochodzenia MKOl ustalił, że trust nie dysponuje żadnymi środkami technicznymi ani organizacyjnymi, aby zapobiec lub złagodzić ten wysoce przewidywalny błąd ludzki. ICO oceniło szkody wyrządzone osobom dotkniętym problemem jako wysokie, biorąc pod uwagę, że informacje o relacjach dotkniętych osób z kliniką tożsamości płciowej są bardzo wrażliwymi danymi osobowymi. W związku z natychmiastowym wdrożeniem środków bezpieczeństwa oraz szeroką współpracą z ICO kara została obniżona z 910.000 euro do 91,00 euro. | link |
| Hiszpania | 2022-06-28 | 3.000 EUR | FLY FUT, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę FLY FUT, SL, specjalizującą się w filmowaniu z drona podczas meczów piłki nożnej, w wysokości 3 000 euro. Ojciec złożył skargę do organu ochrony danych, ponieważ firma sfilmowała jego nieletnią córkę grającą w piłkę nożną podczas meczu w lokalnym klubie bez jego zgody. Z tego powodu organ ochrony danych stwierdził, że administrator przetwarzał dane córki bez ważnej podstawy prawnej. | link |
| Rumunia | 2022-06-30 | 2.000 EUR | Continental Automotive Romania SRL | Art. 24 RODO, Art. 32 (1) d) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 2 000 euro na Continental Automotive Romania SRL. Administrator zgłosił naruszenie danych do organu ochrony danych na podstawie art. 33 RODO. Ukarany podmiot wykrył na swoim terenie 135 nieautoryzowanych i niewłaściwie skonfigurowanych kamer monitorujących, które m.in. rejestrowały obrazy pracowników na obszarze produkcyjnym. Kamery te były podłączone do nieoficjalnych i niechronionych systemów kamer. Z tego powodu organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych pracowników. | link |
| Hiszpania | 2022-06-23 | 30.000 EUR | RADIO TELEVISION MADRID, S.A. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę na RADIO TELEVISION MADRID, SA. Kilka mediów, w tym ukarany podmiot opublikowało nagranie audio z zeznań wielu ofiar gwałtu w sądzie na swoich stronach internetowych oraz na Twitterze, aby zrelacjonować sprawę. Sprawa przyciągnęła wiele uwagi mediów. Podczas dochodzenia organ ochrony danych ustalił, że prawo ofiary gwałtu do prywatności przeważa nad wolnością informacji administratora. Nagrania audio ofiary nie dodały żadnej znaczącej wartości do zgłoszenia, ale raczej poważnie naruszyły prywatność ofiary. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych. Pierwotna kara w wysokości 50 000 euro została obniżona do 30 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2022-06-23 | 30.000 EUR | "CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A. " | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę na CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A. Kilka mediów, w tym ukarany podmiot, opublikowało nagranie audio z zeznań wielu ofiar gwałtu w sądzie na swoich stronach internetowych oraz na Twitterze, aby zgłosić sprawę. Sprawa przyciągnęła wiele uwagi mediów. Podczas dochodzenia organ ochrony danych ustalił, że prawo ofiary gwałtu do prywatności przeważa nad wolnością informacji administratora. Nagrania audio ofiary nie dodały żadnej znaczącej wartości do zgłoszenia, ale raczej poważnie naruszyły prywatność ofiary. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych. Pierwotna kara w wysokości 50 000 euro została obniżona do 30 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2022-02-28 | 1.000 EUR | Firma | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 1000 euro. Firma poprosiła klientów o różne dane osobowe w celu umówienia się na spotkania. Organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. | link |
| Węgry | 2022-02-08 | 634.000 EUR | Budapest Bank Zrt. | Art. 5 (1) a), b) RODO, Art. 6 (1), (4) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 (1), (2) RODO, Art. 24 (1) RODO, Art. 25 (1), (2) RODO | Węgierski organ ochrony danych (NAIH) nałożył grzywnę na Budapest Bank Zrt. 634 000 euro. NAIH informuje, że bank wykorzystał oprogramowanie oparte na sztucznej inteligencji, aby zautomatyzować ocenę stanu emocjonalnego klientów. System oceny mowy określał, którzy klienci powinni zostać przywołani na podstawie nastroju klienta. Bank obsługiwał aplikację w celu zapobiegania reklamacji i utrzymania klientów. Bank nie informował osób, których dane dotyczą, że przetwarzanie ich danych służy m.in. do celów zatrzymania klientów, co oznacza, że klienci nie mogli wnieść sprzeciwu wobec przetwarzania. W rezultacie prawa osób, których dane dotyczą, dotyczące adekwatnych informacji oraz prawa do sprzeciwu nie zostały zagwarantowane. Organ ochrony danych stwierdził również, że uzasadniony interes banku jako podstawa prawna przetwarzania danych osobowych nie był wystarczająco uzasadniony, ponieważ bank nie zbadał w wystarczającym stopniu interesów osób, których dane dotyczą. Bank przetwarzał w ten sposób dane bez ważnej podstawy prawnej. | |
| Polska | 2022-05-31 | 2.100 EUR | Stołeczny Ośrodek dla Osób Nietrzeźwych | Art. 5 (1) a) RODO, Art. 6 RODO | Polski organ ochrony danych nałożył grzywnę w wysokości 2100 euro na „Stołeczny Ośrodek dla Osób Nietrzeźwych”, ośrodek dla osób cierpiących na alkoholizm. Podczas dochodzenia organ ochrony danych stwierdził, że w obiekcie zainstalowano kamery do monitoringu wideo. System monitoringu rejestrował zarówno obrazy, jak i dźwięki mieszkańców. Placówka uzasadniła instalację monitoringu wizyjnego celami związanymi z bezpieczeństwem i zdrowiem osób niepełnosprawnych alkoholowo. Organ ochrony uznał jednak, że cele te nie stanowią wystarczającej podstawy prawnej i ośrodek bezprawnie przetwarzał dane osobowe mieszkańców. | link |
| Włochy | 2022-05-22 | 3.000 EUR | Zito Auto di Gianfranco Zito | Art. 5 (1) a), c) RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 3 000 euro na firmę Zito Auto di Gianfranco Zito. Firma zainstalowała kamery monitorujące, które monitorowały m.in. przestrzenie publiczne i pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO). | link |
| Dania | 2022-06-22 | 134.000 EUR | Gyldendal A/S | Art. 5 (1) e) RODO | Duński organ ochrony danych nałożył na wydawcę Gyldendal A/S grzywnę w wysokości 134 000 EUR. Podczas dochodzenia organ ochrony danych ustalił, że firma przechowywała dane około 685 000 członków klubów książki Gyldendal bez subskrypcji dłużej niż to konieczne. Zamiast usuwać dane wyrejestrowanych członków klubu książki, Gyldendal przechowywał je w bazie danych. Dane około 395 000 byłych członków, których to dotyczy, były przechowywane przez ponad 10 lat. Ponadto organ ochrony danych stwierdził, że Gyldendal nie posiada procedury ani wytycznych dotyczących usuwania danych. | link |
| Hiszpania | 2022-06-24 | 180 EUR | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 EUR za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie | link |
| Rumunia | 2022-06-20 | 7.000 EUR | Asociația de Proprietari Aviației Park | Art. 5 (1) a), c), e) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył grzywnę na Asociația de Proprietari Aviației Park, operatora obiektu mieszkalnego, w wysokości 7 000 EUR. Administrator przetwarzał dane osobowe (nazwisko, imię, numer i serię dowodu osobistego, miejsce docelowe, czas przybycia, czas odjazdu, uwagi) osób dostarczających i/lub kurierów bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych. Ponadto organ ochrony danych stwierdził, że administrator nie ustalił okresu przechowywania danych osobowych przetwarzanych przez system monitoringu wideo i przechowywał je dłużej niż to konieczne. | link |
| Rumunia | 2022-06-20 | 1.000 EUR | SC Interactions Marketing SRL | Art. 32 (1) b) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 1000 euro na SC Interactions Marketing SRL. Kontroler wysłał wiadomości reklamowe pocztą elektroniczną do kilku osób w imieniu innej firmy. Jeden z odbiorców złożył skargę do organu ochrony danych, ponieważ administrator wysłał wiadomości reklamowe na otwartej liście dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców były widoczne dla innych odbiorców. | link |
| Hiszpania | 2022-06-17 | 1.000 EUR | Firma | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 1000 euro za nieumieszczenie na jej terenie znaków informacyjnych dotyczących nadzoru CCTV. | link |
| Hiszpania | 2022-06-16 | 1.000 EUR | SCOTCH CORNER BAR | Art. 5 (1) c) RODO, Art. 58 (2) RODO | Hiszpański organ ochrony danych nałożył na operatora baru SCOTCH CORNER BAR grzywnę w wysokości 1000 EUR. Ukarany podmiot zainstalował system telewizji przemysłowej, który obejmował również część przestrzeni publicznej. Ponadto administrator nie dostarczył organowi ochrony danych żądanych informacji. | link |
| Włochy | 2022-04-28 | 70.000 EUR | Ospedale San Raffaele s.r.l. | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 70 000 euro na zakład opieki zdrowotnej Ospedale San Raffaele s.r.l. Szpital zgłosił dwa naruszenia danych do organu ochrony danych na podstawie art. 33 RODO. W pierwszym przypadku oddział neurologii szpitala wysłał biuletyn z otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail odbiorców były widoczne dla wszystkich odbiorców. Spośród 499 adresów e-mail, których dotyczy problem, 321 adresów e-mail dotyczyło pacjentów i 46 dotyczyło członków rodziny/opiekunów pacjentów, co pozwoliło na identyfikację tych osób z imienia i nazwiska. W drugim przypadku oddział chirurgiczny wysłał biuletyn na otwartej liście dystrybucyjnej, więc ponownie adresy e-mail odbiorców były widoczne dla wszystkich odbiorców. Z 90 adresów e-mail, których to dotyczyło, 75 adresów e-mail dotyczyło pacjentów i/lub członków rodziny/opiekunów pacjentów, co oznaczało, że osoby te można było zidentyfikować z imienia i nazwiska. Organ ochrony danych uznał to za naruszenie zasady „integralności i poufności”, która wymaga, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przez odpowiednie środki techniczne i organizacyjne. W odniesieniu do obliczenia grzywny organ ochrony danych uwzględnił dodatkowo fakt, że naruszenie danych dotyczyło również danych dotyczących zdrowia zainteresowanych osób. Z korzyścią wzięto pod uwagę fakt, że szpital wprowadził środki mające na celu zapobieganie takim zdarzeniom w przyszłości oraz w dużym stopniu współpracował z organem ochrony danych. | link |
| Norwegia | 2022-05-16 | 14.500 EUR | Arbeidstilsynet | Art. 6 (1) e) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Norweską Inspekcję Pracy „Arbeidstilsynet” grzywnę w wysokości 14 500 EUR. Administrator przeprowadził kontrolę zdolności kredytowej osoby, której dane dotyczą, bez ważnej podstawy prawnej, aby to zrobić. | link |
| Belgia | 2022-06-16 | 50.000 EUR | SA Rossel & Cie | Art. 6 (1) a) RODO, Art. 7 (1) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO | Belgijski organ ochrony danych nałożył na spółkę medialną SA Rossel & Cie karę w wysokości 50 tys. euro. W toku dochodzenia organ ochrony danych stwierdził naruszenia RODO na trzech obsługiwanych przez firmę serwisach internetowych. Na przykład firma umieściła pliki cookie, które nie były wymagane bez zgody odwiedzających witrynę. Firma uznała również odwiedzenie innych stron internetowych za zgodę na dalsze umieszczanie plików cookie na tych stronach. Ponadto pola dotyczące zgody na pliki cookie stron trzecich zostały już wcześniej zaznaczone. Ponadto polityka dotycząca plików cookie była niekompletna i trudno dostępna dla odwiedzającego. Wreszcie, organ ochrony danych stwierdził, że firma umieszczała nowe pliki cookie, mimo że użytkownicy cofnęli zgodę na pliki cookie. | link |
| Włochy | 2022-04-28 | 20.000 EUR | Nos s.r.l.s. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 14 RODO | Włoski organ ochrony danych nałożył grzywnę na Nos s.r.l.s. w kwocie 20 000 EUR. Nos działał jako procesor dla Vodafone i robił reklamy dla firmy telekomunikacyjnej. W tym celu Nos pozyskał i przetwarzał dane osobowe od spółek Kdata Ltd. oraz Dynamic Web Solution Sp. W trakcie dochodzenia organ ochrony danych stwierdził, że osoby, których dane dotyczą, nie wyraziły zgody na takie wykorzystanie ani nie zostały o tym poinformowane przez nr. | link |
| Hiszpania | 2022-06-09 | 10.000 EUR | Osoba prywatna | Art. 6 RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 10 000 EUR. Osoba ta stworzyła upokarzający i dyskryminujący film z trójką rodzeństwa w oparciu o kolor skóry i udostępnił go na swoim profilu na Instagramie oraz w WhatsApp. | link |
| Rumunia | 2022-06-15 | 2.000 EUR | S.C. Wine Point S.R.L. | Art. 32 (1) b) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 3 000 EUR na S.C. Wine Point S.R.L. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z otrzymaniem reklamowego e-maila od administratora, który zawierał listę dystrybucyjną zawierającą adresy e-mail 810 innych osób, a także własne, było widocznych dla pozostałych odbiorców. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poufności przetwarzanych danych osobowych. | link |
| Niemcy | 2021 | Grzywna w czterocyfrowej kwocie | Agent nieruchomości | Art. 6 RODO, Art. 12 RODO | Brandenburgia nałożyła grzywnę na pośrednika w obrocie nieruchomościami. Agent nieruchomości skontaktował się z osobą fizyczną i zaproponował jej sprzedaż posiadanej przez niego nieruchomości. Ponieważ osoba fizyczna nie przekazała swoich danych pośrednikowi w obrocie nieruchomościami, poprosił o informacje o pochodzeniu danych oraz o ich usunięcie. Agent nieruchomości poinformował osobę, której dane dotyczą, że usunęła dane. Nie zastosowała się jednak do prawa dostępu do danych osoby, której dane dotyczą. Pół roku później osoba, której dane dotyczą, ponownie otrzymała wiadomość od agenta nieruchomości, pomimo potwierdzonego usunięcia jej danych. Z tego powodu organ ochrony danych ustalił, że pośrednik w obrocie nieruchomościami przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej, a tym samym niezgodnie z prawem. | link |
| Włochy | 2022-04-28 | 40.000 EUR | Il Sole 24 Ore S.p.a. | Art. 5 RODO, Art. 9 RODO, Art. 12 RODO | Włoski organ ochrony danych nałożył grzywnę na gazetę Il Sole 24 Ore S.p.a. 40 000 euro. Gazeta opublikowała artykuł o uznaniu przez władze włoskie decyzji sędziego amerykańskiego w sprawie adopcji dziecka przez parę osób tej samej płci. Gazeta przez pomyłkę opublikowała również dane osobowe pary i adoptowanego dziecka. Para następnie zażądała usunięcia danych osobowych i dostępu do informacji o przetwarzaniu danych osobowych. Gazeta usunęła dane osobowe, ale nie zastosowała się do prawa dostępu osób, których dane dotyczą. | link |
| Włochy | 2022-04-28 | 2.000 EUR | Ekss s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych nałożył grzywnę na operatora restauracji Ekss s.r.l. 2000 euro. Administrator zainstalował w swoich pomieszczeniach kamery do monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informowania określony w RODO. | link |
| Hiszpania | 2022-06-09 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Wykorzystanie kamery CCTV, która uchwyciła również zagraniczną przestrzeń prywatną sąsiada i przestrzeń publiczną | link |
| Niemcy | 2021 | Grzwywna w czterocyfrowej kwocie | Firma | Nieznana | Organ ochrony danych Brandenburgii nałożył na firmę grzywnę. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z faktem, że firma wyprodukowała nagranie wideo, na którym można było zobaczyć skarżącego. Skarżący skontaktował się następnie z firmą i poprosił ją o usunięcie filmu i powstrzymanie się od publikacji w Internecie. Mimo to firma opublikowała wideo na swojej stronie internetowej, a także w kilku sieciach społecznościowych. Co więcej, nawet gdy organ ochrony danych poprosił firmę o usunięcie filmu, firma usunęła film tylko ze swojej strony internetowej, ale nie z sieci społecznościowych. Dopiero po tym, jak organ ochrony danych zażądał od firmy ponownego usunięcia filmu, firma faktycznie zastosowała się do tego i usunęła film również z sieci społecznościowych. | link |
| Niemcy | 2021 | Grzywna w trzycyfrowej kwocie | Lekarz | Art. 6 RODO, Art. 9 RODO | Urząd Ochrony Danych Brandenburgii nałożył na lekarza grzywnę. Ojciec małoletniego pacjenta złożył skargę do urzędu ochrony danych, ponieważ lekarz przekazał do centralnego biura rozliczeniowego liczne dane dotyczące jego dziecka. Dane zawierały informacje dotyczące imienia i nazwiska dziecka, adresu, daty urodzenia, numeru ubezpieczenia zdrowotnego, udzielonych świadczeń medycznych i postawionych diagnoz. Lekarz przekazał dane bez zgody rodziców, a tym samym bez ważnej podstawy prawnej. | link |
| Włochy | 2022-04-28 | 2.000 EUR | Gmina Partanna | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Społeczność opublikowała na swojej stronie internetowej informacje o sprawie sądowej, w tym dane osobowe, takie jak imię i nazwisko oraz informacje zawodowe osoby, której dane dotyczą. | link |
| Niemcy | 2021 | Nieznany | Klinika | Nieznane | DPA z Berlina nałożył grzywnę na klinikę. Klinika wyznaczyła kierownika kliniki, który był również udziałowcem kliniki, jako inspektora ochrony danych. Inspektor ochrony danych może wykonywać inne zadania i obowiązki, ale firma musi zapewnić, aby inne zadania i obowiązki nie prowadziły do konfliktu interesów. W niniejszej sprawie wystąpił jednak taki konflikt interesów. Z jednej strony kierownik kliniki musiał podejmować decyzje ekonomiczne na swoim stanowisku kierowniczym, z drugiej musiał monitorować przestrzeganie przez klinikę przepisów o ochronie danych. Organ ochrony danych zauważył również, że taka podwójna rola niesie ze sobą ryzyko, że pacjenci i pracownicy będą niechętnie zwracać się o pomoc do inspektora ochrony danych, również dyrektora szpitala, w przypadku krytycznych pytań dotyczących przetwarzania danych osobowych. | link |
| Niemcy | 2021 | Nieznany | Adwokat | Art. 5 RODO, Art. 6 RODO | DPA z Berlina nałożył grzywnę na adwokata. Adwokat prowadził spór z klientem przez kilka lat o roszczenie pieniężne. Przez dwa lata publikował na swoim blogu imiona i nazwiska, adresy zamieszkania klienta i członków jego rodziny, a także różne niezredagowane fragmenty akt – i powołał się na przywilej prasowy. Nie była to jednak publikacja czysto publicystyczna. Adwokat był raczej zainteresowany przyspieszeniem spłaty kwoty pieniężnej, do której uważał, że jest uprawniony. Ponieważ pełnomocnik nie mógł zatem powoływać się na tajemnicę prasową jako podstawę prawną przetwarzania danych, organ ochrony danych stwierdził, że przetwarzał on dane osób, których dane dotyczą, niezgodnie z prawem. | link |
| Niemcy | 2021 | Nieznany | Sprzedawca napojów | Nieznany | Berliński organ ochrony danych nałożył grzywnę na sprzedawcę napojów. Detalista obsługiwał system monitoringu wideo, w którym kąt obserwacji kamer rozciągał się na przestrzeń publiczną. | link |
| Niemcy | 2021 | Nieznany | Klinika medyczna | Art. 5 RODO, Art. 6 RODO | DPA z Berlina nałożył grzywnę na klinikę medyczną. Klinika zainstalowała na swoim terenie 21 kamer w celu ochrony przed przestępczością i zniszczeniem mienia. Umożliwiło to całodobowy monitoring pracowników i pacjentów. Klinika oparła się na zgodzie udzielonej przez pracowników i znakach informacyjnych jako podstawie prawnej dla monitoringu wideo. Organ ochrony danych stwierdził jednak, że klinika nie może oprzeć nadzoru wideo na zgodzie, ponieważ dobrowolna zgoda w relacji pracownik-pracodawca jest wątpliwa. Również wyraźnie widoczne napisy z monitoringu nie pozwalają na stwierdzenie, że pacjenci, wchodząc do monitorowanego obiektu, zgodnie z prawem wyrażają zgodę na obserwację. Organ ochrony danych nie mógł znaleźć żadnych innych dowodów, które uzasadniałyby tak szeroki nadzór wideo kliniki. | link |
| Niemcy | 2021 | Nieznany | Pracownik urzędu pracy | Art. 5 RODO, Art. 6 RODO | Pracownik urzędu pracy miał dostęp do danych w społecznych systemach baz danych oraz w księdze stanu cywilnego w celach prywatnych. | link |
| Niemcy | 2021 | Nieznany | Pracownik urzędu pracy | Art. 5 RODO, Art. 6 RODO | Pracownik urzędu pracy miał dostęp do danych w społecznych systemach baz danych oraz w księdze stanu cywilnego w celach prywatnych. Pracownica chciała udowodnić, że dwóch jej współpracowników było ze sobą w związku i sprawdziła adresy rejestracyjne obu z nich. | link |
| Niemcy | 2021 | Nieznany | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. Policjant oskarżony w sprawie karnej zamierzał wykorzystać informacje z policyjnej bazy danych do przygotowania swoich zeznań w sądzie. | link |
| Niemcy | 2021 | Nieznany | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. Funkcjonariusz policji zapytał nowego partnera byłej żony przyjaciela, ponieważ obawiał się, że dobro wspólnego dziecka może być zagrożone przez nowego partnera. | link |
| Niemcy | 2021 | Nieznany | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. Funkcjonariusz policji zbadał proces śledczy swojego pasierba, aby przygotować go do złożenia zeznań i przekonać funkcjonariusza prowadzącego sprawę o innej sekwencji przestępstwa. | link |
| Niemcy | 2021 | Nieznany | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji wykorzystał dane osobowe świadka, aby skontaktować się z nią osobiście. | link |
| Niemcy | 2021 | Nieznany | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji wielokrotnie uzyskiwał dostęp do danych w policyjnej bazie danych w celach prywatnych. | link |
| Niemcy | 2021 | Nieznany | Nieznany | Nieznany | Aby zwalczyć pandemię Covid 19, cmentarz wystawił otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Pracownik cmentarza pozyskiwał imiona, nazwiska i numery telefonów kobiet z list kontaktowych, aby prywatnie skontaktować się z kobietami i wypytać je m.in. o stan ich związku. Organ ochrony danych stwierdził, że wykorzystanie danych osobowych z list kontaktów do dokumentacji kontroli infekcji poza śledzeniem kontaktów było niezgodne z prawem i w związku z tym nałożył grzywnę. | link |
| Niemcy | 2021 | Nieznany | Nieznany | Nieznany | Aby zwalczyć pandemię Covid 19, restauracja wystawiła otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Pracownik restauracji pozyskiwał imiona, nazwiska i numery telefonów kobiet z list kontaktowych, aby prywatnie skontaktować się z kobietami i zapytać ich m.in. o status związku. Organ ochrony danych stwierdził, że wykorzystanie danych osobowych z list kontaktów do dokumentacji kontroli infekcji poza śledzeniem kontaktów było niezgodne z prawem i w związku z tym nałożył grzywnę. | link |
| Niemcy | 2021 | 170 EUR | Restauracja | Art. 5 (1) b) RODO | W celu zidentyfikowania gościa, który nie zapłacił, z kilkoma gośćmi skontaktowali się pracownicy restauracji. Wykorzystano w tym celu numery telefonów podane przez gości w ramach śledzenia kontaktów Covid. Ponieważ goście podali swoje dane wyłącznie w celu kontroli infekcji, organ ochrony danych uznał kontakt w celu identyfikacji gościa za naruszenie zasady celowości (art. 5 ust. 1 lit. b RODO). | link |
| Niemcy | 2021 | 400 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych w celach prywatnych. Funkcjonariusz kupił notebook do użytku prywatnego na platformie internetowej. Ponieważ sprzedawca nie zgodził się na negocjacje dotyczące sposobu płatności, funkcjonariusz wykorzystał policyjny system informacyjny do uzyskania informacji o sprzedawcy. Funkcjonariusz policji wysłał następnie kilka wiadomości do sprzedawcy, w których przekazał mu pewne dane osobowe, które uzyskał podczas wyszukiwania w policyjnej bazie danych. Celem było wzmocnienie jego zapotrzebowania na alternatywną metodę płatności poprzez wspomnienie uzyskanych informacji. | link |
| Niemcy | 2021 | 600 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych w celach prywatnych, aby uzyskać informacje o nowym adresie swojej byłej żony. W międzyczasie odkrył, dokąd przeprowadziła się jego była żona. Następnie funkcjonariusz udał się do nowego mieszkania swojej byłej dziewczyny i spotkał się z nią przed wejściem do nowego domu. To tak przeraziło jego byłą żonę, że zgłosiła incydent na policję. | link |
| Niemcy | 2021 | 500 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych w celach prywatnych, aby uzyskać informacje o koleżance. | link |
| Niemcy | 2021 | 1.800 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji wielokrotnie uzyskiwał dostęp do danych w policyjnej bazie danych w celach prywatnych. | link |
| Włochy | 2022-04-28 | 2.500 EUR | Liceum „Isabella Gonzaga” | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-sexties Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 2500 euro na szkołę średnią „Isabella Gonzaga”. Szkoła opublikowała na platformie internetowej dla kadry nauczycielskiej dokument, który zawierał również dane osobowe niektórych nauczycieli. Dokument zawierał informacje o świadczeniach związanych ze stanem zdrowia nauczycieli, którym te świadczenia były uprawnione. W trakcie dochodzenia organ ochrony danych stwierdził, że szkoła opublikowała dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem. | link |
| Polska | 2022-06-06 | 3.500 EUR | Esselmann Technika Pojazdowa Sp. ogród zoologiczny. Sp. k. | Art. 33 RODO | Urząd Ochrony Danych Osobowych nałożył grzywnę na Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. 3500 euro. Administrator doznał naruszenia danych, podczas którego zaginęło świadectwo pracy zawierające dane osobowe pracownika. Administrator nie zgłosił tego naruszenia ochrony danych organowi ochrony danych i tym samym naruszył art. 33 RODO. | link |
| Hiszpania | 2022-06-03 | 3.000 EUR | LODEJU, S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na operatora restauracji LODEJU, SL. Ukarany podmiot zainstalował w swoim lokalu kamery monitorujące, które obejmowały między innymi również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Rumunia | 2022-06-08 | 1.500 EUR | Wens Experience SRL | Art. 28 (2) RODO | Rumuński organ ochrony danych nałożył na Wens Experience SRL grzywnę w wysokości 1500 euro. W trakcie dochodzenia organ ochrony danych stwierdził, że Wens Experience, działając jako podmiot przetwarzający w imieniu administratora, zaangażował innego podmiot przetwarzający do przetwarzania danych pracowników bez uzyskania uprzedniej zgody administratora. Stanowi to naruszenie art. 28 ust. 2 RODO. | link |
| Hiszpania | 2022-06-03 | 360 EUR | Prywatna osoba | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 360 euro. Kontroler zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Hiszpania | 2022-06-03 | 1.000 EUR | Właściciel sklapu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 1000 EUR za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie | link |
| Rumunia | 2022-06-03 | 2.000 EUR | Kaufland Romania SCS | Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 2000 euro na Kaufland România SCS. Administrator zgłosił dwa naruszenia danych do organu ochrony danych na podstawie art. 33 RODO. Pracownik, który rozpatrywał skargę, nie postępował zgodnie z wewnętrzną procedurą rozpatrywania skarg, umożliwiając ochroniarzowi wgląd do danych skarżącego i ich niewłaściwe wykorzystanie. Ponadto administrator omyłkowo przekazał dane w formularzu zamówienia klienta nieuprawnionej osobie trzeciej. Doprowadziło to do ujawnienia danych osobowych (imię, nazwisko, adres e-mail, numer telefonu) zainteresowanego klienta Kaufland. Z tego powodu organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych zapewniających ochronę i bezpieczeństwo danych osobowych. | link |
| Włochy | 2022-04-28 | 50.000 EUR | Istituto Nazionale Assicurazione Infortuni sul Lavoro | Art. 5 (1) a), f) RODO, Art. 6 (1) e) RODO, Art. 9 (2) g) RODO, Art. 32 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy | Włoski organ ochrony danych nałożył grzywnę na Istituto Nazionale Assicurazione Infortuni sul Lavoro (Ubezpieczenie od wypadków dla pracowników) w wysokości 50 000 EUR. W ramach dochodzenia organ ochrony danych stwierdził, że trzykrotnie wypadki i choroby zawodowe innych pracowników były publicznie widoczne w systemie internetowym przewoźnika ubezpieczeniowego. Do incydentu doszło z powodu nieaktualnej wersji systemu. UOKiK uznał, że ubezpieczyciel nie wywiązał się w wystarczającym stopniu ze swojego obowiązku podjęcia odpowiednich środków technicznych i organizacyjnych w celu zapobieżenia naruszeniom danych osobowych. Przewoźnik ubezpieczeniowy powinien był zadbać o to, by korzystał z aktualnych i bezpiecznych systemów online. | link |
| Włochy | 2022-04-28 | 10.000 EUR | Włoskie Ministerstwo Obrony | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy, Art. 2-octies Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na włoskie Ministerstwo Obrony. Pracownik ministerstwa złożył skargę do organu ochrony danych. Podczas dochodzenia organ ochrony danych stwierdził, że dwie wiadomości e-mail zostały przekazane bez upoważnienia. E-maile te zawierały między innymi wrażliwe informacje dotyczące stanu zdrowia osoby, której dane dotyczą, a także informacje o postępowaniu sądowym. | link |
| Hiszpania | 2022-06-01 | 300 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Wykorzystanie kamery CCTV, która uchwyciła również przestrzeń prywatną sąsiada oraz przestrzeń publiczną. | link |
| Hiszpania | 2022-05-31 | 1.600 EUR | Wyspa Koronowa SLU | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na CORON ISLAND SLU grzywnę w wysokości 1600 euro. Klient złożył skargę do organu ochrony danych na restaurację. Klientka poprosiła o rachunek na jej nazwisko po posiłku. Kierownik wyjaśnił jednak, że fakturę można wystawić tylko wtedy, gdy klient poda jej numer telefonu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Włochy | 2022-04-28 | 1.000 EUR | Educationest s.r.l. | Art. 5 (1) a), e) RODO, Art. 6 (1) b), c) RODO | Włoski organ ochrony danych nałożył grzywnę na Educationest s.r.l. 1000 euro. Przedszkole wysłało e-mail do rodzin podopiecznych, informując je o ciąży i urlopie macierzyńskim jednego z wychowawców. Przedszkole napisało ten e-mail, aby zapobiec plotkom o nieobecności nauczycielki (np. choroba wieńcowa) i ją chronić. Nauczycielka nie wyraziła jednak zgody na ujawnienie jej stanu ciąży. Organ ochrony danych uznał zatem, że Educationest bezprawnie przetworzył dane pedagoga i naruszył art. 5 RODO i art. 6 RODO. | link |
| Włochy | 2022-04-07 | 10.000 EUR | E-Mac Professional s.r.l. | Art. 12 (3) RODO, Art. 15 RODO | Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do jej danych w odpowiednim czasie. | link |
| Belgia | 2022-05-25 | 50.000 EUR | Roularta Media Group | Art. 5 (1) e) RODO, Art. 5 (2) RODO, Art. 6 (1) a) RODO, Art. 7 (1), (3) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 RODO | Belgijski organ ochrony danych nałożył na Roularta Media Group grzywnę w wysokości 50 000 euro. W ramach dochodzenia organ ochrony danych stwierdził, że zarządzanie plikami cookie na dwóch stronach internetowych obsługiwanych przez firmę Roularta nie było zgodne z RODO. Aby korzystać z plików cookie, administratorzy muszą uzyskać uprzednią zgodę użytkownika, z wyjątkiem przypadków, w których pliki cookie są ściśle niezbędne do działania witryny. Organ ochrony danych uznał, że zgoda na przetwarzanie danych osobowych za pomocą plików cookies na stronach internetowych obsługiwanych przez Roularta była nieważna, ponieważ nie zostały spełnione wszystkie niezbędne warunki. W związku z tym około 60 plików cookie, które nie były wymagane, zostało umieszczonych przez strony internetowe na urządzeniach odwiedzających jeszcze przed wyrażeniem przez nich zgody. Roularta również nie poinformowała w wystarczającym stopniu użytkowników o plikach cookie. Ponadto pola dotyczące zgody na umieszczanie plików cookie przez osoby trzecie zostały wcześniej zaznaczone, chociaż użytkownicy muszą zawsze aktywnie wyrażać zgodę. Ponadto organ ochrony danych stwierdził, że użytkownicy nie mogli odwołać swojej zgody na umieszczanie plików cookie tak łatwo, jak jej udzielili. | link |
| Wielka Brytania | 2022-05-18 | 9.000.000 EUR | Clearview Al Inc. | Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 14 RODO, Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 21 RODO, Art. 22 RODO, Art. 35 RODO | Brytyjski organ ochrony danych nałożył na Clearview AI Inc. grzywnę w wysokości 9 mln EUR. Firma posiada bazę danych zawierającą ponad 20 miliardów obrazów twarzy (w tym obrazów mieszkańców i obywateli Wielkiej Brytanii) z całego świata. Dane są gromadzone online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych uzyskanych z obrazów. Profile osób mogą być wzbogacone o informacje związane z tymi obrazami, takie jak tagi obrazu i geolokalizacja. Clearview AI nie oferuje już swoich usług w Wielkiej Brytanii, ale w innych krajach, co oznacza, że firma nadal wykorzystuje dane osobowe mieszkańców Wielkiej Brytanii. W toku dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto w celu skorzystania ze swoich praw wynikających z RODO, takich jak prawo dostępu na podstawie art. 15 RODO osoby, których dane dotyczą, musiały dostarczyć Clearview dodatkowe dane osobowe, przesyłając swoje zdjęcie, które można porównać z bazą danych Clearview. Zdaniem organu ochrony danych stanowi to istotną przeszkodę i przeszkodę w korzystaniu z takich praw. Ponadto organ ochrony danych stwierdził, że firma naruszyła kilka zasad RODO. Na przykład firma naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. Clearview naruszył również zasadę ograniczenia przechowywania, nie zapewniając polityki przechowywania danych, a tym samym nie będąc w stanie zapewnić, że dane osobowe nie będą przechowywane dłużej niż to konieczne. Ponadto Clearview nie przeprowadził oceny wpływu na prywatność pomimo wysokiego ryzyka dla danych osób, których dane dotyczą. | link |
| Finlandia | 2022-04-29 | 8.300 EUR | Firma telemarketingowa | Art. 58 (2) RODO | Fiński DPA nałożył grzywnę w wysokości 8300 euro na firmę telemarketingową za nieprzestrzeganie nakazu DPA. Klient firmy poprosił o dostęp do nagrania rozmowy sprzedażowej. Jednak firma nie zastosowała się do żądania i dlatego organ ochrony danych nakazał firmie przyznanie klientowi dostępu do nagrań. Później klient poinformował, że pomimo nakazu organu ochrony danych nadal nie otrzymał nagrania rozmowy. | link |
| Wielka Brytania | 2022-03-10 | 115.000 EUR | Tuckers Solicitors LLP | Art. 5 (1) a) f) RODO | Brytyjski organ ochrony danych (ICO) nałożył grzywnę na kancelarię Tuckers Solicitors LLP w wysokości 115 000 EUR. Firma Tuckers została zaatakowana przez oprogramowanie ransomware na swoje systemy, co spowodowało naruszenie danych osobowych. W ramach dochodzenia organ ochrony danych ustalił, że firma Tuckers nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ta awaria sprawiła, że jego systemy są podatne na złośliwe ataki. Atakującym udało się zaszyfrować 972 191 pojedynczych plików, z których 24 712 dotyczyło postępowań sądowych oraz wyprowadzić 60 plików i opublikować je na podziemnych giełdach danych. Akta zawierały zarówno dane osobowe zwykłe, jak i dane szczególnej kategorii, takie jak dokumentacja medyczna, zeznania świadków, nazwiska i adresy świadków i ofiar oraz domniemane przestępstwa osób, których dane dotyczą. | link |
| Włochy | 2022-04-07 | 10.000 EUR | Findomestic Banca spa | Art. 5 (1) a), c) RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na spa Findomestic Banca. Klient złożył skargę do organu ochrony danych na naruszenie poufności związanej z instytucją finansową. Administrator nieuprawniony wysłał żonie osoby, której dane dotyczą, kilka przypomnień o płatności w związku z pożyczką zaciągniętą przez osobę, której dane dotyczą. Żona rzeczywiście poręczyła pożyczkę zaciągniętą przez osobę, której dane dotyczą, ale nie pożyczkę, o której mowa. | link |
| Włochy | 2022-04-07 | 20.000 EUR | Made in Italy s.r.l.s. | Art. 6 RODO, Art. 7 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 130 (3) Codice della privacy, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 20 000 EUR na Made in Italy s.r.l.s. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych po otrzymaniu telefonów promocyjnych od administratora danych, mimo że nie wyraziła na to zgody. Nawet po tym, jak osoba, której dane dotyczą, sprzeciwiła się przesyłaniu, administrator nie przerywał połączeń. Osoba, której dane dotyczą, zażądała następnie informacji o pochodzeniu danych i usunięciu tych danych. Jednak ukarany podmiot nie odpowiedział na to żądanie. Ponadto administrator nie współpracował w wystarczającym stopniu z organem ochrony danych w trakcie dochodzenia. | link |
| Włochy | 2022-04-07 | 50.000 EUR | Palumbo Superyacht Ancona s.r.l. | Art. 5 (1) a), e) RODO, Art. 13 RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy | Włoski organ ochrony danych nałożył grzywnę na Palumbo Superyacht Ancona s.r.l. 50 000 euro. Firma zablokowała firmowe konto e-mail pracownika bez pozwolenia. Pracownik zgłosił incydent do firmy i poprosił o przywrócenie skrzynki e-mail, która zawierała zarówno prywatne, jak i służbowe e-maile. Jednak firma nie zastosowała się do tego żądania. W trakcie dochodzenia organ ochrony danych stwierdził dalsze naruszenia. Na przykład firma nie odpowiedziała na prośbę o informacje od organu ochrony danych i naruszyła zasadę ograniczenia retencji danych. | link |
| Hiszpania | 2022-05-20 | 2.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na osobę prywatną prowadzącą trzy strony internetowe w wysokości 2000 EUR. Podczas dochodzenia organ ochrony danych stwierdził, że na wszystkich trzech stronach internetowych brakowało pola do wyrażenia zgody na przetwarzanie danych osobowych. Ponadto organ ochrony danych stwierdził, że w politykach prywatności na stronach internetowych brakowało jakiegokolwiek odniesienia do tożsamości administratora danych oraz do prawa osób, których dane dotyczą, do wycofania zgody na przetwarzanie danych. | link |
| Hiszpania | 2022-05-20 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował w swoim samochodzie kamery do monitoringu wideo, które między innymi obejmowały również części garażu osiedlowego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2022-05-20 | 2.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta zrobiła zdjęcia grupie nieletnich, a także funkcjonariuszom policji bez ich zgody, a następnie przesłała je na Facebooka. | link |
| Norwegia | 2022-03-15 | 9.700 EUR | Firma | Art. 6 (1) RODO, Art. 13 RODO, Art. 21 RODO | Norweski organ ochrony danych nałożył na firmę grzywnę w wysokości 9700 euro. Organ ochrony danych otrzymał skargę od byłego pracownika firmy. Tłem skargi jest fakt, że po odejściu pracownika, zarówno służbowe, jak i prywatne e-maile ze skrzynki pocztowej pracownika były automatycznie przekazywane na adres e-mail administrowany przez dyrektora zarządzającego. Podczas dochodzenia organ ochrony danych stwierdził, że administrator automatycznie przekazał wiadomości e-mail bez ważnej podstawy prawnej. Administrator nie poinformował również byłego pracownika o przetwarzaniu danych poprzez przekazywanie wiadomości e-mail, wbrew obowiązkowi wynikającemu z art. 13 RODO. Wreszcie organ ochrony danych stwierdził, że administrator nie zastosował się właściwie do żądania sprzeciwu wobec przetwarzania złożonego przez byłego pracownika. | link |
| Rumunia | 2022-05-24 | 5.000 EUR | MED LIFE S.A. | Art. 32 (1) b), (2), (4) RODO | Rumuński organ ochrony danych nałożył na MED LIFE S.A. grzywnę w wysokości 5 000 euro. Firma pozbyła się dokumentów zawierających wrażliwe dane pacjentów w ogólnodostępnym koszu na śmieci. Osoba fizyczna znalazła te dokumenty i złożyła skargę do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że MED Life nie podjęło odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych i uniknięcia takich incydentów. | link |
| Hiszpania | 2022-05-17 | 42.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi. Osoba, której dane dotyczą, złożyła skargę dotyczącą otrzymywania faktur, mimo że nie istniał już stosunek umowny między nią a administratorem. Jednak chociaż osoba, której dane dotyczą, sprzeciwiła się dalszemu otrzymywaniu wiadomości, ponieważ nie było już zaległych faktur, a administrator to potwierdził, wysyłanie było kontynuowane. Organ ochrony danych uznał zatem, że administrator przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej. Pierwotna kara w wysokości 70 000 euro została obniżona do 42 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2022-05-18 | 600 EUR | SCF ZHU, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na SCF ZHU, S.L. ze względu na brak wystarczających informacji o przetwarzaniu danych w związku z nadzorem wideo w pomieszczeniach przedsiębiorstwa. Pierwotna kara w wysokości 1000 euro została obniżona do 600 euro z powodu natychmiastowej zapłaty i uznania długu. | link |
| Włochy | 2022-03-10 | 10.000 EUR | Alfa Shipyard s.r.l. | Art. 58 (2) RODO | Włoski organ ochrony danych nałożył na Alfa Shipyard s.r.l. grzywnę w wysokości 10 000 euro. Administrator nie wykonał w terminie środków nakazanych przez organ ochrony danych | link |
| Hiszpania | 2022-05-18 | 10.000.000 EUR | Google LLC | Art. 6 RODO, Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na GOOGLE LLC grzywnę w wysokości 10 mln EUR. Dwie osoby, których dane dotyczą, złożyły skargę do organu ochrony danych, że Google bez zezwolenia ujawniło ich dane osobowe osobom trzecim. W trakcie długotrwałego dochodzenia organ ochrony danych stwierdził, że Google przekazał dane osobowe osób, których dane dotyczą, do tak zwanego projektu Lumen. Lumen to projekt prowadzony przez Berkman Klein Center for Internet & Society na Uniwersytecie Harvarda. Projekt rozpoczął się w 2002 roku w celu zbierania wniosków dotyczących usunięcia treści z witryn internetowych w Stanach Zjednoczonych i poza nimi. Dane te mogą być następnie udostępniane badaczom i innym zainteresowanym stronom. Użytkownicy platform obsługiwanych przez Google, takich jak YouTube lub Dysk Google, mają możliwość zażądania usunięcia treści dotyczących ich samych na platformach. W tym celu firma Google udostępniła różne formularze kontaktowe i reklamacyjne. Jednak dane osób, których dane dotyczą, korzystających z tych formularzy, zostały automatycznie przesłane do projektu Lumen. Osoby, których dane dotyczą, nie miały możliwości sprzeciwienia się tej transmisji, ponieważ automatyczne przesłanie do Lumen było warunkiem skorzystania z formularzy. Z tego powodu organ ochrony danych uznał, że z uwagi na brak możliwości wniesienia sprzeciwu wobec przekazania danych do Lumen, Google przetwarzał dane osób, których dane dotyczą, bez ważnej podstawy prawnej. W tym kontekście organ ochrony danych stwierdził również, że firma Google nie umożliwiła w wystarczającym stopniu osobom, których dane dotyczą, skorzystania z ich prawa do usunięcia ich danych. Oceniając karę, organ ochrony danych wziął pod uwagę jako czynniki obciążające fakt, że dane zostały nie tylko ujawnione, ale również przekazane do państwa trzeciego bez umożliwienia osobom, których dane dotyczą, wniesienia sprzeciwu. Pozbawiło to osoby, których dane dotyczą, kontroli nad postępowaniem z ich danymi osobowymi. Ponadto organ ochrony danych stwierdził, że przeniesienie odbywało się przez bardzo długi okres czasu. Dotknęło to również dużą liczbę osób, aw niektórych przypadkach przetworzono wrażliwe dane. | link |
| Hiszpania | 2022-05-17 | 4.000 EUR | INSEKT FOOD S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na INSEKT FOOD SL. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi, ponieważ administrator opublikował dane osobowe osoby, której dane dotyczą, w trzech grupach WhatsApp . W rezultacie wszystkim 541 członkom tych grup WhatsApp przyznano nieautoryzowany dostęp do niektórych danych osobowych osoby, której dane dotyczą (nazwisko, imię, adres). | link |
| Hiszpania | 2022-05-17 | 18.000 EUR | RAMONA FILMS, S.L. | Art. 58 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na RAMONA FILMS, S.L. za nieudzielenie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. Pierwotna kara w wysokości 30 000 euro została obniżona do 18 000 euro w związku z natychmiastową zapłatą i uznaniem winy. | link |
| Hiszpania | 2022-05-17 | 9.000 EUR | TIGERS MARKET, S.L. | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 8 000 EUR na TIGERS MARKET, SL. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora danych, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinsona. | link |
| Hiszpania | 2022-05-17 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował na swojej posesji kamery monitorujące, które obejmowały między innymi również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Rumunia | 2022-05-17 | 1.500 EUR | MAYR MELNHOF PACKAGING ROMANIA S.R.L. | Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 1500 euro na MAYR MELNHOF PACKAGING ROMANIA S.R.L. Administrator zainstalował w lokalu kamery monitorujące w celu ochrony mienia firmy i bezpieczeństwa pracowników. Podczas dochodzenia organ ochrony danych stwierdził również, że kamery obejmowały stołówkę pracowniczą i strefę dla palących, umożliwiając monitorowanie pracowników poza godzinami pracy. Organ ochrony danych stwierdza, że rejestracja pracowników nie była konieczna do realizacji celów związanych z nadzorem wideo, a zatem była nieproporcjonalna. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Rumunia | 2022-05-18 | 5.000 EUR | Kredyt Inkaso Investments RO S.A | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 33 RODO | Rumuński organ ochrony danych nałożył na Kredyt Inkaso Investments RO S.A. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi za ujawnienie instytucjom medycznym jej danych osobowych oraz danych małoletniego dziecka bez zezwolenia i bez jakiegokolwiek związku z tymi instytucjami. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator ujawnił dane, takie jak adres zamieszkania, status zawodowy, a także dane z umowy o pracę. Ponadto organ ochrony danych stwierdził, że administrator nie powiadomił organu ochrony danych o naruszeniu danych w terminie wymaganym przez art. 33 RODO. | |
| Węgry | 2022-03-29 | 1.300 EUR | Warsztat | Art. 5 (1) b), c) RODO, Art. 6 (1) f) RODO, Art. 13 (1), (2) RODO | Węgierski organ ochrony danych nałożył na warsztat karę w wysokości 1300 euro. W warsztacie zainstalowano system nadzoru wideo w celu ochrony majątku firmy. Jednak kamery uchwyciły również fragmenty obszaru pracy pracownika. Organ ochrony danych stwierdził, że rejestracja pracowników nie była konieczna do realizacji celów związanych z nadzorem wideo, a zatem była nieproporcjonalna. Organ ochrony danych stwierdził również, że warsztaty nie wywiązały się w wystarczającym stopniu ze swoich obowiązków informacyjnych wynikających z art. 13 RODO. Warsztaty jako podstawę prawną prowadzenia monitoringu odwoływały się do zgody wyrażonej przez pracowników. Organ ochrony danych doszedł jednak do wniosku, że warsztat nie może oprzeć nadzoru wideo na zgodzie, ponieważ dobrowolna zgoda w relacji pracownik-pracodawca jest wątpliwa. Zamiast tego warsztaty powinny opierać nadzór wideo na uzasadnionym interesie. | link |
| Hiszpania | 2022-05-13 | "170.000 EUR" | Mercadona S.A. | Art. 6 RODO, Art. 12 RODO, Art. 15 RODO | Hiszpański DPA (AEPD) nałożył grzywnę w wysokości 170 000 euro na sieć supermarketów Mercadona SA. Osoba fizyczna złożyła skargę do DPA. Osoba ta uległa wypadkowi w jednym z supermarketów i poprosiła Mercadonę o dostarczenie nagrań wypadku z systemu monitoringu wideo w celu dochodzenia odszkodowania. Mercadona nie spełniła jednak tej prośby. Po tym, jak prawnik osoby, której dane dotyczą, ponownie zwrócił się do Mercadony o dostarczenie nagrań, Mercadona odpowiedziała, że obrazy zostały już usunięte. | link |
| Luksemburg | 2022-02-02 | 1.000 EUR | Właściciel kawiarnii | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych nałożył na właściciela kawiarni grzywnę w wysokości 1000 euro. Właściciel zainstalował w kawiarni dwie kamery monitorujące w celu ochrony majątku firmy oraz bezpieczeństwa klientów i pracowników. Kamery te jednak stale rejestrowały fragmenty miejsc pracy pracownika. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Stwierdził również, że właściciel nie wywiązał się w wystarczającym stopniu ze swoich obowiązków informacyjnych wynikających z art. 13 RODO. | link |
| Hiszpania | 2022-05-11 | 6.000 EUR | Stowarzyszenie Właścicieli Domów | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 6 000 euro na stowarzyszenie właścicieli domów. Właściciel mieszkania, który był rezydentem od 15 lat, złożył skargę do organu ochrony danych w związku z koniecznością okazania dowodu tożsamości przed skorzystaniem z basenu komunalnego. Ta prośba o dane osobowe została oparta na środkach zwalczania pandemii Covid-19. W toku śledztwa Organ Ochrony Danych uznał, że zbieranie danych osobowych w ramach kontroli tożsamości było zbędne, zważywszy, że osoba, której dane dotyczą, zamieszkiwała 15 lat, a tym samym naruszyła zasadę minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził, że osoba, której dane dotyczą, nie została wystarczająco poinformowana o przetwarzaniu jej danych osobowych. | link |
| Hiszpania | 2022-05-12 | 2.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta udostępniła na WhatsApp wideo przedstawiające obrazy brutalnego ataku na osobę, której dane dotyczą, bez uzyskania zgody osoby, której dane dotyczą. | link |
| Hiszpania | 2022-05-12 | 2.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta udostępniła na WhatsApp wideo przedstawiające obrazy brutalnego ataku na osobę, której dane dotyczą, bez uzyskania zgody osoby, której dane dotyczą. | link |
| Hiszpania | 2022-05-12 | 500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 500 euro. Ukarany podmiot zainstalował na swojej posesji kamerę monitorującą, która rejestrowała m.in. sąsiednie nieruchomości. AEPD uznała to za naruszenie zasady minimalizacji danych. | link |
| Rumunia | 2022-05-12 | 1.000 EUR | LORIS FUEL SHOP SRL | Art. 29 RODO, Art. 32 (4) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 1000 euro na operatora stacji benzynowej LORIS FUEL SHOP SRL. Osoba złożyła skargę do organu ochrony danych, ponieważ jej zdjęcia zostały opublikowane na Facebooku. Obrazy pochodziły z monitoringu zainstalowanego na jednej ze stacji benzynowych administratora. W toku dochodzenia Organ Ochrony Danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych, aby zapewnić poufność danych osobowych generowanych przez system kamery przemysłowej zainstalowany na stacjach benzynowych. Spowodowało to, że nieupoważnione osoby trzecie filmowały obrazy z kamer wideo, a następnie publikowały je w sieciach społecznościowych. | link |
| Hiszpania | 2022-05-11 | 600 EUR | Właściciel baru | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela baru grzywnę w wysokości 600 euro. Bar posiadał system monitoringu wideo, w którym kąt obserwacji kamer rozciągał się na przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Dania | 2022-04-07 | 13.400 EUR | Civilstyrelsen | Art. 32 RODO, Art. 33 RODO | Duński organ ochrony danych nałożył grzywnę w wysokości 13 400 euro na duńską agencję Civilstyrelsen. Pamięć USB firmy Civilstyrelsen zawierająca ponad 800 stron wrażliwych i poufnych informacji została utracona. Podczas dochodzenia organ ochrony danych stwierdził, że pamięć USB nie była zaszyfrowana. Ponadto agencja nie posiada żadnych zasad dotyczących korzystania z nośników wymiennych i przenośnych dla swoich pracowników. Ponadto organ ochrony danych uznał, że mimo świadomości tego naruszenia danych, urząd nie zgłosił naruszenia, wbrew obowiązkowi wynikającemu z art. 33 RODO. Organ ochrony danych stwierdził, że agencja nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Na przykład szyfrowanie nośników wymiennych jest niezbędnym i wymaganym środkiem bezpieczeństwa, zwłaszcza jeśli nośniki wymienne zawierają poufne informacje, takie jak dane osobowe. | link |
| Włochy | 2022-04-07 | 40.000 EUR | ISWEB S.p.A. | Art. 28 RODO | Włoski organ ochrony zdrowia nałożył na ISWEB S.p.A. grzywnę w wysokości 40 000 EUR. Kara ta ma związek z karą nałożoną na zakład opieki zdrowotnej Azienda ospedaliera di Perugia. ISWEB dostarczyło placówce służby zdrowia aplikację internetową dla swojego systemu sygnalistów. Podczas dochodzenia w placówce służby zdrowia organ ochrony danych zidentyfikował wiele naruszeń RODO związanych z systemem sygnalistów. Dochodzenie organu ochrony danych odbyło się w ramach serii kontroli dotyczących przetwarzania danych z systemu sygnalistów u pracodawców. W odniesieniu do ISWEB organ ochrony danych stwierdził, że korzystał z usług zewnętrznego dostawcy do obsługi systemów sygnalizujących. ISWEB nie przekazał jednak zewnętrznemu dostawcy szczegółowych instrukcji dotyczących przetwarzania danych osób, których dane dotyczą, ani nie poinformował o tym placówki służby zdrowia. | link |
| Włochy | 2022-04-07 | 40.000 EUR | Azienda ospedaliera di Perugia | Art. 5 (1) a), f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 25 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda ospedaliera di Perugia grzywnę w wysokości 40 000 EUR. Podczas dochodzenia w placówce służby zdrowia organ ochrony danych wykrył wiele naruszeń RODO. Dochodzenie organu ochrony danych odbyło się w ramach serii kontroli dotyczących przetwarzania danych w kontekście systemów sygnalistów u pracodawców. Placówka służby zdrowia korzystała z aplikacji internetowej typu „whistleblowing” opartej na otwartym kodzie źródłowym. Jednak dostęp do aplikacji odbywał się za pośrednictwem systemów, które nie zostały odpowiednio skonfigurowane. Umożliwiło to rejestrowanie i przechowywanie danych przeglądania użytkowników, a tym samym identyfikację tych użytkowników, a tym samym potencjalnych sygnalistów. W zakresie przetwarzania danych osobowych placówka służby zdrowia nie poinformowała wcześniej pracowników. Ponadto organ ochrony zdrowia stwierdził, że zakład opieki zdrowotnej nie przeprowadził oceny skutków dla ochrony danych i nie zarejestrował przetwarzania w rejestrze czynności przetwarzania. W związku z tym nie przeprowadzono wystarczającej oceny zagrożeń dla praw i wolności osób, których dane dotyczą. ' | link |
| Włochy | 2022-04-26 | 1.000 EUR | ASST di Lodi | Art. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 1000 EUR na ASST di Lodi. Placówka ochrony zdrowia zgłosiła naruszenie danych do organu ochrony danych na podstawie art. 33 RODO. Pacjent zapewnił dwa kontakty w swoich sprawach medycznych. Placówka została wyraźnie upoważniona do uzyskania informacji medycznych pacjenta od tych dwóch osób w nagłych przypadkach. W związku z ważnym badaniem diagnostycznym pacjenta nie można było dotrzeć do dwóch uprawnionych kontaktów, dlatego pracownik placówki poprosił o informację znanego mu osobiście członka rodziny. W trakcie dochodzenia organ ochrony danych stwierdził, że zakład opieki zdrowotnej przetwarzał informacje osoby, której dane dotyczą, bez zgody osoby, której dane dotyczą, a zatem bez ważnej podstawy prawnej. Ponadto organ ochrony zdrowia stwierdził, że zakład opieki zdrowotnej nie podjął odpowiednich środków technicznych i organizacyjnych chroniących dane osobowe w celu zapobiegania takim incydentom. | link |
| Hiszpania | 2022-04-28 | 40.000 EUR | Working Capital Management España, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na agencję informacji kredytowej Working Capital Management España, SL. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko spółce. Oszukańcze osoby trzecie zaciągnęły pożyczkę w firmie NBQ Technology, S.A.U. w imieniu osoby, której dane dotyczą, bez faktycznego zawarcia umowy przez osobę, której dane dotyczą. Po tym, jak osoba, której dane dotyczą, następnie nie dokonała płatności, NBQ ujawnił informacje osoby, której dane dotyczą, Zarządowi Kapitału Obrotowego. AEPD ustalił, że Zarząd Kapitału Obrotowego przetwarzał dane osób, których dane dotyczą, nielegalnie od momentu wprowadzenia danych osobowych do systemów informatycznych spółki bez sprawdzenia, czy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych. | link |
| Hiszpania | 2022-05-10 | 300 EUR | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 300 euro. Administrator zażądał od klientów różnych danych osobowych w celu umówienia wizyty. Organ ochrony danych uznał, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. | link |
| Hiszpania | 2022-05-09 | 1.200 EUR | CONTIMAG INVEST, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na CONTIMAG INVEST, S.L. 1200 EUR za nieudzielenie wystarczających informacji na temat monitoringu wideo w jednej z prowadzonych przez nią restauracji | link |
| Islandia | 2022-05-03 | 36.000 EUR | Miasto Reykjavík | Art. 5 RODO, Art. 6 RODO, Art. 32 RODO | Islandzki organ ochrony danych nałożył na miasto Reykjavík grzywnę w wysokości 36 000 euro. W kilku szkołach miasto korzystało z cyfrowego systemu edukacji „Huśtawka”. System uczniowski przetwarzał m.in. dane osobowe nieletnich uczniów, takie jak opinie nauczycieli oraz informacje o sprawach prywatnych uczniów. Podczas dochodzenia organ ochrony danych stwierdził, że cel przetwarzania danych dzieci nie został wystarczająco jasno określony. W tym kontekście organ ochrony danych stwierdził również naruszenie zasady proporcjonalności i minimalizacji danych. Ponadto organ ochrony danych stwierdził, że miasto nie wdrożyło odpowiednich środków technicznych i organizacyjnych w zakresie ochrony danych osobowych. Byłoby to konieczne, biorąc pod uwagę wysokie ryzyko, że dane mogą być przekazywane i przetwarzane w Stanach Zjednoczonych. Przy ustalaniu kary uwzględniono łagodzący fakt, że naruszenia danych nie spowodowały żadnej szkody. | link |
| Hiszpania | 2022-04-28 | 15.000 EUR | MEDEROS MOVITEN, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 15 000 EUR na MEDEROS MOVITEN, SL. Osoba, której dane dotyczą, podpisała ze spółką umowę o świadczenie usług telefonii komórkowej. Spółka wystawiła jednak również osobie, której dane dotyczą, faktury za usługi, na które osoba, której dane dotyczą, nie wyraziła zgody. Umowy o te usługi zawierały dane osobowe osoby, której dane dotyczą, ale nie zawierały podpisu. W związku z brakiem ważnej umowy organ ochrony danych stwierdził, że spółka niezgodnie z prawem przetwarzała dane osobowe osoby, której dane dotyczą w ramach przedmiotowych umów i tym samym naruszyła art. 6 ust. 1 RODO. | link |
| Hiszpania | 2022-05-03 | 5.000 EUR | MISTORE CANARIAS, S.L. | Art. 6 (1) RODO | Hiszpański DPA (AEPD) nałożył grzywnę w wysokości 5 000 EUR na MISTORE CANARIAS, SL. Osoba, która dokonała zakupu od firmy, złożyła skargę przeciwko firmie do DPA. Według osoby, jej dane osobowe, takie jak nazwisko, imię i dane konta bankowego zostały zebrane podczas zakupu. W trakcie zakupu zaoferowano jej produkty trzech innych firm, które odrzuciła. Niemniej jednak administrator przekazał jej dane trzem firmom bez jej zgody na takie przekazanie. | link |
| Belgia | 2022-05-04 | 10.000 EUR | Nationale Maatschappij der Belgische Spoorwegen | Art. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 12 (2) RODO, Art. 21 (2), (3), (4) RODO | Belgijski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na belgijską spółkę kolejową (Nationale Maatschappij der Belgische Spoorwegen). Użytkownik Twittera, który otrzymał biuletyn e-mailowy od przedsiębiorstwa kolejowego, złożył skargę do organu ochrony danych. Według użytkownika Twittera newsletter nie zawierał opcji wypisania się. W trakcie dochodzenia organ ochrony danych stwierdził po pierwsze, że nie istniała żadna ważna podstawa prawna do przetwarzania danych osobowych za pośrednictwem biuletynu. Wbrew opinii przewoźnika, organ ochrony danych stwierdził, że biuletyn nie jest konieczny do wykonania umów między pasażerami a przedsiębiorstwem i że ten interes w wykonaniu nie stanowi zatem podstawy prawnej do przetwarzania. Ponadto organ ochrony danych stwierdził, że prawo do sprzeciwu osób, których dane dotyczą, nie zostało w wystarczającym stopniu uwzględnione, ponieważ nie można było zrezygnować z otrzymywania biuletynu bezpośrednio za pośrednictwem wiadomości e-mail. | link |
| Włochy | 2022-03-24 | 10.000 EUR | Brav s.r.l. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył na Brav s.r.l. grzywnę w wysokości 10 000 euro. Operator platformy internetowej zgłosił naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Nieuprawnionym osobom udało się uzyskać dostęp do platformy wykorzystywanej przez policję w Genui do zarządzania wykroczeniami drogowymi, a także do zawartych w niej danych osobowych. Według Urzędu Miasta Genua uzyskanie nieautoryzowanego dostępu do platformy było możliwe dzięki temu, że niektórzy pracownicy w sposób nieuprawniony ujawnili hasło dostępu do platformy, z naruszeniem oficjalnych przepisów. Z tego powodu organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Administrator powinien był zadbać o to, aby hasła były regularnie zmieniane, aby uniemożliwić osobom nieupoważnionym dostęp do danych osobowych. | link |
| Norwegia | 2022-02-02 | 30.000 EUR | Lillestrøm Municipality | Art. 5 RODO, Art. 6 RODO, Art. 32 (1) b) RODO | Norweski organ ochrony danych nałożył na gminę Lillestrøm karę w wysokości 30 000 euro. Gmina przypadkowo opublikowała dokument, w którym 10 z 21 załączników zawierało dane osobowe uczniów. Dane zawierały informacje o imionach uczniów, dacie urodzenia, wynikach testów, ocenach zachowań uczniów i wyzwaniach uczniów. Ten błąd nie został wykryty przez odpowiedzialnego administratora i przeszedł przez dwie kolejne ręczne kontrole jakości w centrum dokumentacji bez wykrycia błędu również tam. Dopiero dziennikarz zwrócił później uwagę na naruszenie danych. Podczas dochodzenia organ ochrony danych stwierdził, że gmina nie podjęła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Również fakt, że incydent został wykryty nie przez gminę, ale przez osobę trzecią, wskazuje na nieodpowiednie procedury w tym zakresie. | link |
| Rumunia | 2022-05-04 | 4.000 EUR | Concordia Capital IFN S.A. | Art. 5 RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył na Concordia Capital IFN SA grzywnę w wysokości 4 000 EUR. Administrator bezprawnie zainstalował kamery audio i wideo w biurach swoich pracowników. Monitoring wizyjny miał na celu ochronę pracowników i towarów firmy. Organ ochrony danych stwierdził jednak, że administrator naruszył art. 5 RODO i art. 6 RODO, ponieważ tak szeroko zakrojony nadzór nie był konieczny. | link |
| Hiszpania | 2022-04-28 | 1.500 EUR | CAFFE VECCHIO, S.L. | Art. 5 (1) f) RODO, Art. 6 (1) a) RODO | Hiszpański organ ochrony danych nałożył grzywnę na CAFFE VECCHIO, S.L. 1500 euro. Były pracownik kawiarni złożył skargę do Urzędu Ochrony Danych. Operator kawiarni odpowiedział na negatywne recenzje w sieci dotyczące kawiarni, ujawniając dane osobowe byłego pracownika. Ponadto operator opublikował informację o przyczynach rozwiązania stosunku pracy. | link |
| Cypr | 2021-09-17 | 10.000 EUR | Mediterranean Hospital of Cyprus | Art. 31 RODO, Art. 58 (1) a) RODO | Cypryjski organ ochrony danych nałożył na szpital Mediterranean of Cyprus grzywnę w wysokości 10 000 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. | link |
| Rumunia | 2022-05-03 | 4.000 EUR | Megareduceri TV S.R.L. | Art. 58 (1) RODO | Niedostarczenie żądanych informacji rumuńskiemu organowi ochrony danych w wymaganym terminie z naruszeniem art. 58 RODO | link |
| Hiszpania | 2022-04-29 | 16.000 EUR | LABORATORIOS GONZÁLEZ, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną LABORATORIOS GONZÁLEZ, SL. Laboratorium przesłało wyniki testu na Covid-19, który osoba, której dane dotyczą, przeniosła nie tylko do nich, ale także do ich szefa bez ich zgody. Pierwotna kara w wysokości 20 000 euro została obniżona do 16 000 euro z powodu natychmiastowej zapłaty. | link |
| Hiszpania | 2022-04-29 | 4.200 EUR | CLÍNICA DENTAL SAN FRANCISCO, S.L. | Art. 17 RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na CLÍNICA DENTAL SAN FRANCISCO, SL. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi, ponieważ administrator nadal wysyłał mu reklamy za pośrednictwem WhatsApp, pomimo faktu, że zażądał usunięcia swoich danych. Pierwotna kara w wysokości 7 000 euro została obniżona do 4 200 euro w związku z natychmiastową spłatą i uznaniem zadłużenia przez administratora. | link |
| Hiszpania | 2022-04-22 | 5.600 EUR | Lekarz | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną lekarza. Lekarz wykorzystał nagrania z leczenia pacjenta do celów reklamowych. Jednak pacjentka nie wyraziła na to zgody. Z tego powodu organ ochrony danych stwierdził, że lekarz przetwarzał dane bez ważnej podstawy prawnej. Pierwotna kara w wysokości 7 000 euro została obniżona do 5 600 euro z powodu natychmiastowej zapłaty. | link |
| Hiszpania | 2022-04-27 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 1000 euro za naruszenie art. 5 ust. 1 lit. c RODO i 500 euro za naruszenie art. 13 RODO. | link |
| Hiszpania | 2022-04-23 | 1.200 EUR | MOVALIA TRASLADOS, S.L.U. | Art. 6 (1) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na MOVALIA TRASLADOS, S.L.U. Podczas dochodzenia organ ochrony danych wykrył liczne nieprawidłowości na stronie internetowej obsługiwanej przez administratora. Na przykład administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto wbrew obowiązkowi administratora wynikającemu z art. 13 RODO, serwis nie posiadał polityki prywatności. Pierwotna grzywna w wysokości 2000 euro została obniżona do 1200 euro z powodu natychmiastowej zapłaty i uznania winy. | link |
| Hiszpania | 2022-04-19 | 600 EUR | DOOR2DOOR SPAIN, S.L. | Art. 58 (2) RODO | Hiszpański DPA nałożył grzywnę na DOOR2DOOR SPAIN, SL. Administrator nie wdrożył w odpowiednim czasie środków wielokrotnie nakazanych przez DPA. Ponadto administrator nie dostarczył organowi ochrony danych żądanych informacji. Pierwotna kara w wysokości 1000 euro została obniżona do 600 euro z powodu natychmiastowej zapłaty i uznania długu przez administratora. | link |
| Węgry | 2022-03-02 | 13.500 EUR | Firma | Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (2) RODO, Art. 17 (1) b) RODO | Węgierski organ ochrony danych nałożył na spółkę grzywnę w wysokości 13 500 euro. Osoba fizyczna złożyła skargę do organu ochrony danych, stwierdzając, że firma opublikowała dane osobowe, takie jak imię i nazwisko, adres, numer telefonu bez jej zgody. Ponadto firma nie odpowiedziała na prośbę o usunięcie osoby. | |
| Grecja | 2022-04-04 | 5.000 EUR | Burmistrz | Art. 5 (1) a) RODO | Grecki organ ochrony danych nałożył na burmistrza grzywnę w wysokości 5 000 euro. Burmistrz przesłał dokumenty pracownika gminy osobom trzecim bez zgody pracownika. Organ ochrony danych uznał to za naruszenie art. 5 ust. 1 lit. a RODO. | link |
| Francja | 2022-04-15 | 1.500.000 EUR | DEDALUS BIOLOGIE | Art. 28 RODO, Art. 29 RODO, Art. 32 RODO | Francuski organ ochrony danych (CNIL) nałożył na DEDALUS BIOLOGIE grzywnę w wysokości 1,5 mln euro. DEDALUS zajmuje się dystrybucją oprogramowania dla laboratoriów analiz medycznych. W lutym prasa ujawniła wyciek danych w DEDALUS, w wyniku którego wyciekł prawie 500 000 danych osób. Ujawnione dane zawierały informacje o nazwiskach, imionach, numerze ubezpieczenia społecznego, nazwisku lekarza prowadzącego, dane o badaniach lekarskich i chorobach osób, których dane dotyczą. Podczas dochodzenia CNIL stwierdziła kilka naruszeń RODO. Mianowicie DEDALUS naruszył art. 29 RODO poprzez pozyskiwanie większej ilości danych niż jest to wymagane w trakcie przetwarzania w imieniu dwóch laboratoriów. Ponadto organ ochrony danych stwierdził, że firma DEDALUS nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. Stanowi to naruszenie art. 32 RODO. Na przykład nie wdrożono żadnej konkretnej procedury dla operacji migracji danych. Ponadto dane, które wyciekły, nie były przechowywane na serwerze w postaci zaszyfrowanej. Ponadto organ ochrony danych stwierdził, że DEDALUS nie posiadał uwierzytelnienia dostępu do publicznego obszaru serwera. Brak takich zabezpieczeń był jedną z głównych przyczyn wycieku danych. Ponadto organ ochrony danych uznał, że dokumenty umowne pomiędzy DEDALUS a jej klientami nie spełniały wymogów określonych w art. 28 RODO. Nakładając grzywnę, organ ochrony danych wziął pod uwagę zaostrzająco wagę popełnionych naruszeń, w szczególności naruszeń bezpieczeństwa, a także dużą liczbę poszkodowanych osób. | link |
| Hiszpania | 2022-04-18 | 1.800 EUR | Operator strony internetowej | Art. 6 (1) RODO, Art. 13 RODO, Art. 22 (2) LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na operatora łącza do strony internetowej. W trakcie dochodzenia organ ochrony danych wykrył liczne nieprawidłowości na stronie internetowej obsługiwanej przez administratora. Na przykład administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto serwis nie zawierał żadnego rodzaju polityki prywatności. Organ ochrony danych uznał zatem, że administrator naruszył swoje obowiązki określone w art. 13 RODO. Ponadto organ ochrony danych wykrył braki w korzystaniu z plików cookie. Pierwotna grzywna w wysokości 3000 euro została obniżona do 1800 euro z powodu natychmiastowej zapłaty i uznania winy. | link |
| Hiszpania | 2022-04-18 | 9.000 EUR | JIMBO NETWORKS, S.L. | Art. 6 (1) RODO, Art. 13 RODO, Art. 22 (2) LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na JIMBO NETWORKS, SL. Podczas dochodzenia organ ochrony danych wykrył liczne nieprawidłowości na stronie internetowej obsługiwanej przez administratora. Na przykład administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto polityka prywatności w serwisie nie spełniała wymagań określonych w art. 13 RODO. Polityka prywatności zawierała nieaktualne informacje i odnosiła się do przepisów, które nie obowiązywały. Ponadto organ ochrony danych wykrył braki w korzystaniu z plików cookie. Pierwotna grzywna w wysokości 15 000 euro została obniżona do 9 000 euro z powodu natychmiastowej zapłaty i uznania winy. | link |
| Włochy | 2022-03-10 | 8.000 EUR | Agenzia Regionale per la Tutela dell'Ambiente dell'Abruzzo | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-octies Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na Agenzia Regionale per la Tutela dell'Ambiente dell'Abruzzo grzywnę w wysokości 8 000 EUR. Były pracownik agencji ochrony środowiska złożył skargę do organu ochrony danych w związku z faktem, że agencja dobrowolnie opublikowała na swojej stronie internetowej dokumenty zawierające jego dane osobowe. Dokumenty zawierały m.in. informacje o dotychczasowym zatrudnieniu danej osoby oraz informacje kryminalne. | link |
| Grecja | 2022-04-04 | 10.000 EUR | Piraeus Bank | Art. 5 (1) f) RODO, Art. 33 RODO, Art. 34 RODO | Grecki organ ochrony danych nałożył na Piraeus Bank grzywnę w wysokości 10 000 euro. Bank przez pomyłkę przesłał osobie trzeciej dokument zawierający dane osoby, której dane dotyczą. Błąd ten wynikał z błędnego podania adresu e-mail przez współwłaściciela konta. Chociaż bank dowiedział się o tym błędzie, nie zaprzestał wysyłania komunikatów do osoby trzeciej, ale polecił osobie, której dane dotyczą, skorzystanie z jej prawa do poprawienia niedokładnych danych. W wyniku przeprowadzonego dochodzenia Organ Ochrony Danych uznał, że bank naruszył zasadę poufności, nie zaprzestając wysyłania wiadomości. Organ ochrony danych stwierdził również, że bank nie zgłosił naruszenia danych organowi ochrony danych i osobie, której dane dotyczą. | link |
| Włochy | 2022-03-10 | 6.000 EUR | Azienda sanitaria provinciale di Caltanissetta | Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 37 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Azienda sanitaria provinciale di Caltanissetta grzywnę w wysokości 6 000 EUR. Osoba, której dane dotyczą, zwróciła się do administratora, w ramach postępowania sądowego, o przesyłanie wszelkich komunikatów w tej sprawie wyłącznie na ich osobistą skrzynkę e-mail. Niemniej jednak administrator wysłał wiadomości na firmowy adres e-mail osoby, której dane dotyczą. Ponadto osoba, której dane dotyczą, zażądała dostępu do swoich danych. Jednak administrator nie spełnił właściwie tego żądania. W toku dochodzenia organ ochrony danych stwierdził również, że zakład opieki zdrowotnej nie poinformował organu ochrony danych o nazwisku i danych kontaktowych nowego inspektora ochrony danych oraz nie zaktualizował ich na swojej stronie internetowej. | link |
| Hiszpania | 2022-04-13 | 8.000 EUR | RAMONA FILMS, S.L. | Art. 13 RODO, Art. 22 (2) LSSI | Hiszpański organ ochrony danych (AEPD) ukarał grzywną RAMONA FILMS, S.L. za niezapewnienie zgodności polityki prywatności firmy z wymogami art. 13 RODO. W szczególności strona zawierała nieaktualne informacje i odnosiła się do przepisów, które nie obowiązywały. Ponadto organ ochrony danych wykrył braki w korzystaniu z plików cookie. Pierwotna grzywna w wysokości 10 000 euro została obniżona do 8 000 euro z powodu natychmiastowej zapłaty i uznania winy. | link |
| Hiszpania | 2022-04-11 | 150.000 EUR | BASER COMERCIALIZADORA DE REFERENCIA, S.A. | Art. 6 RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył na BASER COMERCIALIZADORA DE REFERENCIA, S.A. grzywnę w wysokości 150 000 EUR. Klient firmy złożył skargę do organu ochrony danych, ponieważ jego umowa na dostawę energii elektrycznej została zmieniona bez jego zgody. Spowodowało to wzrost dostaw energii elektrycznej. W trakcie dochodzenia organ ochrony danych stwierdził, że oszust podszywa się pod osobę, której dane dotyczą, podając imię i nazwisko oraz numer identyfikacyjny osoby, której dane dotyczą. W ten sposób mogli zmodyfikować umowę osoby, której dane dotyczą. Według organu ochrony danych administrator nie zweryfikował należycie tożsamości oszusta przed zmianą umowy oraz, ze względu na brak wystarczających środków bezpieczeństwa, nie upewnił się, że pytający faktycznie jest osobą, której dane dotyczą. | link |
| Hiszpania | 2022-04-18 | 1.800 EUR | FLORAQUEEN FLOWERING THE WORLD S.L. | Art. 58 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na FLORAQUEEN FLOWING THE WORLD S.L. za nieudzielenie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. Pierwotna grzywna w wysokości 3000 euro została obniżona do 1800 euro z powodu natychmiastowej zapłaty i uznania winy. | link |
| Włochy | 2022-03-10 | 10.000 EUR | Azienda USL Toscana Centro | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 32 DPR, | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 10 000 EUR na Azienda USL Toscana Centro. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi po zgłoszeniu naruszenia danych na podstawie art. 33 RODO. Ukarany podmiot przez pomyłkę wysłał dokumentację medyczną pacjenta do niewłaściwych pacjentów. Organ ochrony zdrowia stwierdził zatem, że zakład opieki zdrowotnej nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | link |
| Rumunia | 2022-04-18 | 1.000 EUR | IKEA România S.R.L. | Art. 12 (3) RODO | Rumuński organ ochrony danych nałożył grzywnę w wysokości 1000 EUR na IKEA România S.R.L. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, że IKEA nie spełniła jej żądań dotyczących terminowego usunięcia danych osobowych osoby, której dane dotyczą, z jej konta użytkownika IKEA. Organ ochrony danych stwierdził, że IKEA Rumunia naruszyła art. 12 ust. 3 RODO. | link |
| Hispania | 2022-04-12 | 500 EUR | Homeowners Association | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na stowarzyszenie właścicieli domów grzywnę w wysokości 500 euro. Zarząd stowarzyszenia właścicieli opublikował publicznie listę właścicieli, którzy nie wywiązują się z płatności. Organ ochrony danych uznał to za naruszenie zasady poufności i integralności określonej w art. 5 ust. 1 lit. f RODO. | link |
| Holandia | 2022-04-07 | 3.700.000 EUR | Dutch Tax and Customs Administration | Art. 5 (1) a), b), d), e) RODO, Art. 6 (1) RODO, Art. 32 (1) RODO, Art. 35 (2) RODO | Holenderski organ ochrony danych nałożył grzywnę w wysokości 3,7 miliona euro na holenderską administrację podatkową i celną. Jest to najwyższa kara, jaką kiedykolwiek nałożył holenderski organ ochrony danych. W ramach dochodzenia organ ochrony danych stwierdził szereg naruszeń RODO. Administracja Podatkowa i Celna od kilku lat prowadziła listę, na której odnotowywała oznaki oszustwa. Lista zawierała informacje o ponad 270 tys. osób, w tym nieletnich. Administracja przetwarzała dane osobowe, takie jak zdrowie, obywatelstwo i karne dane osobowe w ramach prowadzenia listy. Organ ochrony danych początkowo stwierdził, że administracja nie miała ważnej podstawy prawnej do przetwarzania danych zawartych w wykazie. Z tego powodu dane były przetwarzane niezgodnie z prawem. Ponadto organ ochrony danych stwierdził, że informacje zawarte w wykazie były często nieprawidłowe, w związku z czym duża liczba osób została fałszywie zarejestrowana jako potencjalni oszuści. Ponadto dochodzenie wykazało, że utrzymanie wykazu prowadziło do dyskryminacji niektórych osób, ponieważ ryzyko oszustwa określono między innymi na podstawie narodowości i wyglądu osób, których dane dotyczą. Na przykład darowizny na meczety uznano za czynnik ryzyka oszustwa. Ponadto organ ochrony danych stwierdził, że administracja naruszyła obowiązek wynikający z RODO wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednią ochronę gromadzonych przez nią danych osobowych. W rzeczywistości administracja nieodpowiednio zabezpieczyła dane osobowe. Organ ochrony danych stwierdził również, że administracja naruszyła zasadę ograniczenia przechowywania, przechowując dane przez dłuższy czas wbrew okresowi przechowywania ustalonemu dla danych osobowych w wykazie. Ponadto organ ochrony danych stwierdził, że przetwarzanie danych z wykazu nie było konieczne do prawidłowego wykonywania przez administrację jej zadań. Przetwarzanie było zatem nieproporcjonalne. Ponadto administracja nie określiła w wystarczającym stopniu celów przetwarzania, a tym samym naruszyła zasadę celowości. Wysokość grzywny wynosi: 1 mln euro za naruszenie art. 5 ust. 1 lit. a RODO oraz art. 6 ust. 1 RODO; 750 000 EUR za naruszenie art. 5 ust. 1 lit. b RODO; 750 000 EUR za naruszenie art. 5 ust. 1 lit. d RODO; 250 000 EUR za naruszenie art. 5 ust. 1 lit. e RODO; 500.000 euro za naruszenie art. 32 ust. 1 RODO 450 000 EUR za naruszenie art. 35 ust. 2 RODO. | link |
| Włochy | 2022-02-10 | 1.500 EUR | Studio Colli Aniene Verderocca S.r.l. | Art. 12 (3) RODO, Art. 14 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 1500 euro na Studio Colli Aniene Verderocca S.r.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezamówioną reklamą telefoniczną. Ponadto osoba, której dane dotyczą, stwierdziła, że nie otrzymała odpowiedzi na jego prośbę o informacje i usunięcie dotyczące przetwarzania jej danych osobowych. | link |
| Włochy | 2022-02-10 | 5.000 EUR | Arte del vivere S.r.l. | Art. 12 RODO, Art. 17 RODO, Art. 157 Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 5 000 EUR na Arte del vivere S.r.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ jej dane osobowe zostały opublikowane na stronie internetowej www.mondoshiatsu.com obsługiwanej przez administratora. Osoba, której dane dotyczą, została automatycznie włączona do Portalu Shiatsu po wzięciu udziału w rocznym szkoleniu Shiatsu. Ponieważ jednak nigdy nie pracował w tej dziedzinie, wielokrotnie domagał się usunięcia swoich danych. Administrator nie spełnił jednak żądania, mimo że obiecał usunąć dane. | link |
| Belgia | 2022-04-01 | 7.500 EUR | Firma | Art. 5 (1) a) RODO, Art. 6 (1) f) RODO, Art. 15 RODO, Art. 17 RODO, Art. 18 RODO, Art. 21 RODO, Art. 28 RODO | Belgijski organ ochrony danych nałożył na firmę grzywnę w wysokości 7500 euro. Były dyrektor zarządzający złożył skargę przeciwko spółce do organu ochrony danych. W związku ze zwolnieniem były dyrektor przed przekazaniem sprzętu technicznego skasował wszystkie dane z laptopa roboczego. Według dyrektora zarządzającego usunięte zostały tylko dane prywatne, takie jak prywatna skrzynka e-mail. Firma stwierdziła jednak, że dyrektor zarządzający usunął zarówno dane prywatne, jak i związane z pracą. Następnie firma przywróciła dane, które wcześniej znajdowały się na laptopie. Z tego powodu były dyrektor zarządzający zwrócił się o skorzystanie z przysługującego mu prawa do usunięcia, ograniczenia przetwarzania swoich danych osobowych oraz wniesienia sprzeciwu. Jednak firma odrzuciła prośbę. W toku dochodzenia organ ochrony danych stwierdził, że spółka naruszyła obowiązek wynikający z RODO polegający na przyznaniu byłemu dyrektorowi zarządzającemu wykonywania tych praw. Ponadto organ ochrony danych stwierdził, że ze względu na brak ważnej podstawy prawnej w momencie przywrócenia, firma bezprawnie przetwarzała dane. | link |
| Rumunia | 2022-04-07 | 500 EUR | Stowarzyszenie Właścicieli Nieruchomości | Art. 58 (1) a), e) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na stowarzyszenie właścicieli nieruchomości grzywnę w wysokości 500 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. | link |
| Holandia | 2022-02-24 | 565.000 EUR | Holenderskie Ministerstwo Spraw Zagranicznych | Art. 13 (1) e) RODO, Art. 32 (1) RODO | Holenderski organ ochrony danych nałożył na holenderskie Ministerstwo Spraw Zagranicznych grzywnę w wysokości 565 000 euro. W ramach dochodzenia organ ochrony danych stwierdził, że krajowy system informacji wizowej (NVIS) ma poważne niedociągnięcia w zakresie bezpieczeństwa. Jest to szczególnie poważne, ponieważ Ministerstwo Spraw Zagranicznych przetwarzało średnio 530 000 wniosków wizowych rocznie w ciągu ostatnich trzech lat, a dane osobowe przetwarzane w trakcie tych wniosków były w związku z tym nieodpowiednio zabezpieczone. Dane obejmowały wrażliwe informacje, takie jak odciski palców, imię i nazwisko, adres, miejsce zamieszkania, kraj urodzenia, cel podróży i narodowość. Ze względu na nieodpowiednie zabezpieczenia, dostęp do danych byłby możliwy dla osób nieuprawnionych. Według DPA Ministerstwo Spraw Zagranicznych od pewnego czasu było świadome luk bezpieczeństwa w systemie wizowym. Mimo tej wiedzy Ministerstwo nie dostosowało na czas środków bezpieczeństwa. Z tego powodu organ ochrony danych stwierdza, że Ministerstwo dopuściło się rażącego niedbalstwa. Organ ochrony danych stwierdził również, że Ministerstwo Spraw Zagranicznych nie poinformowało odpowiednio osób ubiegających się o wizy, że ich dane osobowe zostaną udostępnione innym stronom. | link |
| Belgia | 2022-04-04 | 20.000 EUR | Pogotowie ratunkowe | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO | Belgijski organ ochrony danych nałożył grzywnę na zespół ratunkowy Ambuce w wysokości 20 000 EUR. Kara jest związana z grzywnami nałożonymi na Brussels Airport Charleroi i Brussels Airport Zaventem. W związku z pandemią Covid 19 lotniska używały kamer termowizyjnych do filtrowania osób o temperaturze ciała powyżej 38 stopni. Odfiltrowani zostali następnie poproszeni o udzielenie odpowiedzi na pytania dotyczące możliwych objawów koronawirusa. W tym procesie Zespół Ratownictwa Pogotowia dostarczył kwestionariusze. W szczególności organ ochrony danych stwierdził, że nie ma ważnej podstawy prawnej do przetwarzania tych danych dotyczących zdrowia. Dane zdrowotne są danymi wrażliwymi w rozumieniu art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 ust. 2 RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie na podstawie interesu publicznego w obszarze zdrowia publicznego. W tym celu jednak przetwarzanie musi opierać się na jasnej normie prawnej. W rozpatrywanych przypadkach przetwarzanie opierało się na protokole, który nie spełniał tych wymagań. | link |
| Belgia | 2022-04-04 | 100.000 EUR | Port lotniczy Bryksela Charleroi | Art. 5 (1) a), b) RODO, Art. 6 (1) c) RODO, Art. 6 (3) RODO, Art. 9 (2) i) RODO, Art. 12 (1) RODO, Art. 13 (1) c) RODO, Art. 13 (2) e) RODO, Art. 35 (1), (7) RODO | Belgijski organ ochrony danych nałożył grzywnę na brukselskie lotnisko Charleroi w wysokości 100 000 EUR. Organ ochrony danych wszczął śledztwo przeciwko lotnisku po doniesieniach medialnych o monitorowaniu temperatury osób na lotnisku. W związku z pandemią Covid-19 lotnisko używało kamer termowizyjnych do filtrowania osób o temperaturze ciała powyżej 38 stopni. Odfiltrowane osoby musiały następnie odpowiedzieć na pytania dotyczące możliwych objawów koronawirusa. Organ ochrony danych zauważył w szczególności, że port lotniczy nie miał ważnej podstawy prawnej do przetwarzania tych danych dotyczących zdrowia. Dane dotyczące zdrowia stanowią dane wrażliwe zgodnie z art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 ust. 2 RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie na podstawie interesu publicznego w obszarze zdrowia publicznego. W tym celu jednak przetwarzanie musi opierać się na jasnej normie prawnej. W niniejszej sprawie przetwarzanie opierało się na protokole, który nie spełniał tych wymagań. Ponadto organ ochrony danych stwierdził uchybienia w ocenie skutków dla ochrony danych. Ponadto port lotniczy nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych. | link |
| Belgia | 2022-04-04 | 200.000 EUR | Port lotniczy Bruksela Zaventem | Art. 5 (1) c) RODO, Art. 6 (1) e) RODO, Art. 9 (2) g) RODO, Art. 12 RODO, Art. 13 (1) c) RODO, Art. 13 (2) e) RODO, Art. 35 (1), (3), (7) b) RODO | Belgijski organ ochrony danych nałożył grzywnę na Brussels Airport Zaventem w wysokości 200 000 EUR. Organ ochrony danych wszczął śledztwo przeciwko lotnisku po doniesieniach medialnych o monitorowaniu temperatury osób na lotnisku. W związku z pandemią Covid-19 lotnisko używało kamer termowizyjnych do filtrowania osób o temperaturze ciała powyżej 38 stopni. Odfiltrowane osoby musiały następnie odpowiedzieć na pytania dotyczące możliwych objawów koronawirusa. Organ ochrony danych zauważył w szczególności, że port lotniczy nie miał ważnej podstawy prawnej do przetwarzania tych danych dotyczących zdrowia. Dane dotyczące zdrowia stanowią dane wrażliwe zgodnie z art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 ust. 2 RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie na podstawie interesu publicznego w obszarze zdrowia publicznego. W tym celu jednak przetwarzanie musi opierać się na jasnej normie prawnej. W niniejszej sprawie przetwarzanie opierało się na protokole, który nie spełniał tych wymagań. Ponadto organ ochrony danych stwierdził uchybienia w ocenie skutków dla ochrony danych. Ponadto port lotniczy nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych. | link |
| Irlandia | 2022-04-05 | 463.000 EUR | Bank of Ireland | Art. 32 RODO, Art. 33 RODO, Art. 34 RODO | Irlandzki organ ochrony danych nałożył na Bank of Ireland grzywnę w wysokości 463 000 EUR. Bank zgłosił 22 naruszenia danych do organu ochrony danych na podstawie art. 33 RODO. W ramach dochodzenia organ ochrony danych ustalił, że bank dostarczył do Centralnego Rejestru Kredytów nieprawdziwe informacje z powodu pomieszania danych dotyczących rachunków klientów banku. Błąd ten mógł mieć negatywny wpływ na zdolność kredytową osób, których dane dotyczą. Organ ochrony danych stwierdził, że naruszenie danych osobowych nastąpiło z powodu nieodpowiednich środków technicznych i organizacyjnych ze strony banku. Ponadto bank nie poinformował od razu osób, których dane dotyczą, oraz organu ochrony danych o naruszeniu danych. | link |
| Dania | 2022-04-05 | 1.300.000 EUR | Danske Bank | Art. 5 (2) RODO | Duński organ ochrony danych nałożył na Danske Bank grzywnę w wysokości 1,3 mln euro. Organ ochrony danych wszczął dochodzenie przeciwko bankowi po tym, jak poinformował organ ochrony danych, że ma problem z usunięciem danych osobowych. W trakcie śledztwa DPA ustalił, że bank nie udokumentował zasad usuwania i przechowywania danych osobowych w ponad 400 systemach. W konsekwencji bank nie był w stanie udowodnić, że takie zasady, które są wymagane przez RODO, istnieją. Organ ochrony danych uznał to za naruszenie obowiązku rozliczalności banku wynikającego z art. 5 ust. 2 RODO. | link |
| Grecja | 2022-03-09 | 2.000 EUR | Foreign language school | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO | Grecki organ ochrony danych nałożył na pracodawcę (właściciela prywatnej szkoły języków obcych) grzywnę w wysokości 2000 euro. Pracownik, który pracuje jako nauczyciel języka w szkole, złożył skargę do organu ochrony danych na swojego pracodawcę. Powodem tego było to, że pomimo sprzeciwu ukarany podmiot nadal monitorował pracownika podczas jego kursów online za pośrednictwem platformy „Zoom”. W związku z tym organ ochrony danych uznał, że administrator naruszył swój obowiązek przestrzegania prawa do sprzeciwu osoby, której dane dotyczą. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował prawidłowo osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych zgodnie z art. 13 RODO. | link |
| Szwecja | 2022-03-28 | 720.000 EUR | Klarna Bank AB | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 12 (1) RODO, Art. 13 (2) f) RODO, Art. 14 (2) g) RODO | Szwedzki organ ochrony danych nałożył na Klarna Bank AB grzywnę w wysokości 720.000 euro. Klarna to firma finansowa, która na różne sposoby przetwarza dużą liczbę danych osobowych. W ramach dochodzenia organ ochrony danych stwierdził, że Klarna nie wywiązała się należycie ze swoich obowiązków informacyjnych. Na przykład Klarna nie podała na swojej stronie internetowej wystarczających informacji o celu i podstawie prawnej przetwarzania danych osobowych. Ponadto w odniesieniu do przekazywania danych do szwedzkich i zagranicznych agencji kredytowych, Klarna podała niepełne informacje o odbiorcach danych osobowych. Klarna nie dostarczyła również informacji o państwach trzecich, do których przekazywane są dane osobowe. Wreszcie, organ ochrony danych stwierdził, że Klarna niewystarczająco informowała osoby, których dane dotyczą, o ich prawach wynikających z RODO. | link |
| Rumunia | 2022-03-28 | 2.000 EUR | Condor SA | Art. 32 (1), (2), (4) RODO | Rumuński organ ochrony danych nałożył na Condor SA karę w wysokości 2000 euro. Administrator doznał naruszenia danych, w wyniku którego osoby nieuprawnione uzyskały dostęp do kilku dokumentów zawierających dane osobowe pracowników i byłych pracowników, takich jak miejsce pracy, nazwisko, imię, stanowisko, wynagrodzenie oraz dane bankowe. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych, które zapewniłyby ochronę danych osobowych. | link |
| Rumunia | 2022-03-28 | 2.000 EUR | Kaufland Romania SCS | Art. 15 (3) RODO | Rumuński organ ochrony danych nałożył na Kaufland Romania SCS grzywnę w wysokości 2000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezastosowaniem się administratora do jej żądania dostarczenia kopii nagrań z systemu monitoringu wideo, w którym osoba, której dane dotyczą, mogła być widziana. W toku dochodzenia organ ochrony danych ustalił, że administrator naruszył obowiązek udzielenia informacji, zwłaszcza że nagrania były dostępne. | link |
| Cypr | 2022-03-21 | 5.000 EUR | English School staff union (ESSA) | Art. 32 RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 5 000 euro na związek pracowników szkoły angielskiej (ESSA). Szkoła powiadomiła organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. Nauczyciel, również członek związku zawodowego, wykorzystywał adresy e-mail rodziców uczniów w celu innym niż ten, dla którego adresy e-mail zostały pierwotnie zebrane. Organ ochrony danych stwierdził, że związek pracowniczy nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych i zapobieżenia takim incydentom. | link |
| Cypr | 2022-03-22 | 4.000 EUR | Szkoła języka angielskiego na Cyprze | Art. 32 RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 4000 euro na szkołę języka angielskiego na Cyprze. Szkoła zgłosiła naruszenie danych organowi ochrony danych na podstawie art. 33 RODO. Nauczyciel wykorzystał adres e-mail rodziców uczniów w celu innym niż ten, dla którego adresy e-mail zostały pierwotnie zebrane. Organ ochrony danych stwierdził, że szkoła nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych i zapobiegania takim incydentom. | link |
| Grecja | 2022-03-09 | 2.000 EUR | Pracodawca | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO | Grecki organ ochrony danych nałożył na pracodawcę grzywnę w wysokości 2000 euro. Pracownik złożył skargę w związku z nieprzestrzeganiem przez pracodawcę prawa pracownika do sprzeciwu. Pracownik sprzeciwił się stałemu monitorowaniu jego kursów online oferowanych przez zoom. Pracodawca kontynuował jednak monitoring. Ponadto organ ochrony danych stwierdził, że pracodawca nie był w stanie zapewnić wystarczającej podstawy prawnej do przetwarzania danych. | link |
| Dania | 2022-03-25 | 6.700 EUR | Danish National Genome Center | Art. 36 RODO | Duński organ ochrony danych nałożył grzywnę w wysokości 6700 euro na duńskie Narodowe Centrum Genomu. Centrum przeprowadziło ocenę wpływu na ochronę danych, która ujawniła okoliczności, które mogą stanowić duże zagrożenie dla praw osób, których dane dotyczą. Organ ochrony danych nałożył grzywnę, ponieważ centrum przetwarzało dane osobowe bez uprzedniej konsultacji z organem ochrony danych, mimo że ocena skutków wykazała wysokie ryzyko dla osób, których dane dotyczą. Centrum spełniło wszystkie żądania organu ochrony danych i wykazało dobrą współpracę z organem. | link |
| Polska | 2022-01-19 | 53.000 EUR | PIKA Sp. z o.o. | Art. 28 (3) c), f) RODO, Art. 32 (1), (2) RODO | Polski organ ochrony danych nałożył na PIKA Sp. ogród zoologiczny. w kwocie 53 000 euro. Kara jest związana z karą nałożoną na Fortum Marketing and Sales Polska S.A. PIKA działała jako przetwórca dla Fortum. W trakcie dochodzenia organ ochrony danych ustalił, że osobom nieupoważnionym udało się uzyskać dostęp do danych klientów i wyprowadzić je. Do naruszenia danych doszło w momencie wprowadzenia przez PIKA zmiany w środowisku informatycznym firmy. W ramach tej zmiany powstała dodatkowa baza klientów Fortum. Jednak serwer, na którym przechowywana była baza danych, nie posiadał wystarczających zabezpieczeń, dlatego osoby nieuprawnione miały dostęp do danych. Organ ochrony danych stwierdził również, że PIKA nie dokonała pseudonimizacji i zaszyfrowania danych. Ponadto PIKA wykorzystała rzeczywiste dane klientów, a nie dane testowe, aby przetestować zmiany w systemie. Z tego powodu organ ochrony danych stwierdził, że PIKA nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych. | link |
| Polska | 2022-01-19 | 1.000.000 EUR | Fortum Marketing and Sales Polska S.A. | Art. 5 (1) f) RODO, Art 24 (1) RODO, Art. 25 (1) RODO, Art. 28 (1) RODO, Art. 32 (1), (2) RODO | Polski organ ochrony danych nałożył na Fortum Marketing and Sales Polska S.A. karę w wysokości 1 mln euro. Spółka zgłosiła naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Podczas dochodzenia organ ochrony danych ustalił, że osobom nieupoważnionym udało się uzyskać dostęp do danych klientów i wyprowadzić je. Do naruszenia bezpieczeństwa danych doszło w momencie wprowadzenia zmiany w środowisku informatycznym firmy. Zmiana została dokonana przez agenta przetwarzania. W ramach zmiany powstała dodatkowa baza klientów Fortum. Serwer, na którym przechowywana była baza danych, nie posiadał jednak wystarczających zabezpieczeń, dlatego osobom nieuprawnionym udało się uzyskać dostęp do danych. Organ ochrony danych stwierdził również, że procesorowi nie udało się pseudonimizować i zaszyfrować danych. Ponadto agent przetwarzania wykorzystywał rzeczywiste dane klienta, a nie dane testowe, do testowania zmian w systemie. Z tego powodu organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. Ponadto organ ochrony danych stwierdził, że administrator byłby zobowiązany do monitorowania pracy podmiotu przetwarzającego, aby zapewnić ciągłą ochronę danych osobowych. | link |
| Niemcy | 2022-03-03 | 1.900.000 EUR | BREBAU GmbH | Art. 5 (1) RODO, Art. 6 (1) RODO, Art. 9 RODO | Organ ochrony danych w Bremie nałożył grzywnę w wysokości 1,9 miliona euro na spółdzielnię mieszkaniową BREBAU GmbH. BREBAU GmbH przetworzył ponad 9500 zestawów danych dotyczących potencjalnych najemców bez ważnej podstawy prawnej. W szczególności organ ochrony danych stwierdził, że administrator przetwarzał szczególnie wrażliwe dane w rozumieniu art. 9 RODO. Na przykład administrator bezprawnie przetwarzał informacje o kolorze skóry, pochodzeniu etnicznym, przynależności religijnej, orientacji seksualnej i stanie zdrowia osób, których dane dotyczą. BREBAU GmbH również celowo zignorował prośby osób, których dane dotyczą, o przejrzystość przetwarzania ich danych. Nakładając grzywnę, organ ochrony danych wziął pod uwagę, jako czynnik obciążający, niezwykłą głębię naruszenia podstawowego prawa do ochrony danych. Ponieważ jednak BREBAU GmbH w pełni współpracowała w toku śledztwa, dokładała starań w celu złagodzenia szkody, samodzielnie wyjaśniała stan faktyczny i zapewniała, że takie naruszenia się nie powtórzą, wysokość kary mogła zostać obniżona. | |
| Włochy | 2022-02-10 | 2.000 EUR | Comune di di Guidizzolo | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Społeczność opublikowała na swojej stronie internetowej informacje o sprawie sądowej, w tym dane osobowe, takie jak imię i nazwisko oraz informacje zawodowe osoby, której dane dotyczą. | link |
| Włochy | 2022-02-10 | 10.000 EUR | Scanshare S.r.l. | Art. 28 (2) RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył na Scanshare S.r.l. grzywnę w wysokości 10 000 EUR. Grzywna ta jest związana z grzywną nałożoną na Region Toskanii. Region stwierdził, że nieumyślnie opublikował dane osobowe 3 548 kandydatów na stanowiska asystentów administracyjnych. Dane dotyczyły informacji, które kandydaci dostarczyli w ramach wstępnej selekcji wniosku. Scanshare powierzono zorganizowanie testu preselekcji. Z powodu błędu ze strony Scanshare błędnie opublikowano adres URL, przez który można było przeglądać dane osobowe i wyniki testu. | link |
| Włochy | 2022-02-10 | 10.000 EUR | Region of Tuscany | Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na region Toskanii. Region powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Region stwierdził, że nieumyślnie opublikował dane osobowe 3 548 kandydatów na stanowiska asystentów administracyjnych. Dane dotyczyły informacji, które kandydaci udostępnili w ramach testu preselekcji wniosku. Region omyłkowo opublikował adres URL, przez który można było przeglądać dane osobowe i wyniki testu. | link |
| Włochy | 2022-02-10 | 3.500 EUR | Azienda socio sanitaria territoriale Melegnano e della Martesana | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 3500 euro na Azienda social sanitaria Territoriale Melegnano e della Martesana. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi po zgłoszeniu naruszenia ochrony danych organowi ochrony danych. Pacjent omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną od innego pacjenta w swojej cyfrowej dokumentacji medycznej. | link |
| Włochy | 2022-02-10 | 20.000.000 EUR | Clearview Al | Art. 5 (1) a), b), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO, Art. 27 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 20 mln EUR na firmę Clearview AI z siedzibą w USA po tym, jak ujawniono, że firma stosowała techniki nadzoru biometrycznego na terytorium Włoch. Firma posiada bazę danych zawierającą ponad 10 miliardów zdjęć twarzy z całego świata. Firma oferuje usługę wyszukiwania, która umożliwia tworzenie profili na podstawie danych biometrycznych wyodrębnionych z obrazów. Profile można wzbogacać o informacje związane z tymi obrazami, takie jak tagi obrazu i geolokalizacja. Organ ochrony danych wszczął dochodzenie w sprawie firmy po tym, jak okazało się, że Clearview – wbrew początkowym twierdzeniom – umożliwił również przeszukanie obywateli i rezydentów Włoch. Organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że firma naruszyła kilka zasad RODO. Na przykład firma naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. Clearview naruszył również zasadę celowości, przetwarzając dane użytkowników w celach innych niż te, dla których zostały one udostępnione online. Wreszcie naruszył zasadę ograniczenia przechowywania, nie określając okresu przechowywania danych. | link |
| Islandia | 2022-03-08 | 7.000 EUR | Hörpu tónlistar- og ráðstefnuhúss ohf. | Art. 5 (1) c) RODO, Art. 6 RODO | Islandzki organ ochrony danych nałożył grzywnę na Hörpu tónlistar- og ráðstefnuhúss ohf. 7000 euro. Organ ochrony danych otrzymał skargę dotyczącą zbierania przez salę koncertową numeru identyfikacyjnego i daty urodzenia w ramach zakupu biletu elektronicznego. Incydent miał miejsce przed wybuchem pandemii Covid-19, kiedy rejestracja danych osobowych do śledzenia kontaktów w kontekście wizyt zdarzeń nie była jeszcze wymagana. Organ ochrony danych uznał, że nie byłoby konieczne zbieranie danych do wystawienia biletu, ponieważ nawet bez tego pobrania można byłoby zawrzeć umowę kupna. Z tego powodu organ ochrony danych uznał, że sala koncertowa naruszyła zasadę minimalizacji danych. | link |
| Rumunia | 2022-03-10 | 2.000 EUR | Operatorul Briza Land S.R.L. | Art. 15 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę na Operatorul Briza Land S.R.L. 2000 euro. Administrator nie odpowiedział prawidłowo na prośbę o informacje. | link |
| Włochy | 2022-02-10 | 10.000 EUR | Costampress S.p.A. | Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO | Spółka pozostawiła aktywne konto e-mail osoby, której dane dotyczą, nawet po ustaniu jej zatrudnienia i nie udzieliła wystarczających informacji na ten temat. | link |
| Irlandia | 2022-03-15 | 17.000.000 EUR | Meta Platforms Ireland Limited | Art. 5 (2) RODO, Art. 24 (1) RODO | Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 17 mln EUR na Meta Platforms Ireland Limited (dawniej Facebook Ireland Limited). Decyzja opiera się na dwunastu powiadomieniach o naruszeniu danych, które miały miejsce między 7 czerwca 2018 r. a 4 grudnia 2018 r. Wynik dochodzenia DPC ujawnił, że Meta naruszyła art. 5 ust. 2 RODO i art. 24 ust. W trakcie dochodzenia DPC stwierdził, że Meta nie wykazała, że podjęła odpowiednie środki techniczne i organizacyjne w celu ochrony danych użytkowników z UE. Postępowanie karne dotyczyło transgranicznego przetwarzania danych, dlatego decyzja została poddana procedurze współdecydowania na podstawie art. 60 RODO z udziałem wszystkich innych europejskich organów nadzorczych jako współdecydentów. Chociaż dwa europejskie organy ochrony danych sprzeciwiły się projektowi decyzji DPC, ostatecznie osiągnięto konsensus. W związku z tym decyzja DPC odzwierciedla wspólne poglądy DPC i innych europejskich organów ochrony danych. | link |
| Chorwacja | 2022-03-08 | 89.250 EUR | Retail company (name not available at the moment) | Art 32 (1) b) and d) RODO, Art 32 (2) RODO, Art 32 (4) RODO | Firma detaliczna, czyli administrator danych, zgłosiła naruszenie danych osobowych do organu ochrony danych, informując, że jej pracownicy nagrali materiał z monitoringu wideo za pomocą telefonu komórkowego, co było nieuprawnione i sprzeczne z wewnętrznymi aktami i instrukcjami firmy. Nagranie zostało upublicznione poprzez wyciek do mediów społecznościowych, a co za tym idzie do innych mediów. Organ ochrony danych ustalił, że administrator danych nie podjął odpowiednich działań, aby uniemożliwić swoim pracownikom tworzenie materiału filmowego. Chociaż firma podjęła pewne działania, takie jak przyjęcie aktów wewnętrznych dotyczących dostępu do nagrań z monitoringu wideo, edukowanie pracowników i wdrażanie oświadczeń o zachowaniu poufności, organ ochrony danych stwierdził, że firma nie zapewniła – ani przed, ani po ujawnieniu nieautoryzowanego materiału filmowego – odpowiednich organizacyjnych i technicznych środki bezpieczeństwa w celu minimalizacji ryzyka takich lub podobnych naruszeń danych. Ponadto administrator danych nie monitorował na bieżąco ani nie kontrolował skuteczności środków technicznych i organizacyjnych wdrożonych w celu zachowania poufności, integralności i dostępności danych osobowych. Tym samym organ ochrony danych nałożył karę w wysokości 675 000,00 kun za niepodjęcie odpowiednich środków technicznych i wyjaśnił, że kara ta powinna mieć również ogólne skutki prewencyjne oraz uświadamiać administratorom i przetwarzającym dane o obowiązkach związanych z przetwarzaniem danych. | link |
| Chorwacja | 2022-03-08 | 124.245 EUR | Energy company (name not available at the moment) | Art. 15 (3) RODO | Ukarana spółka energetyczna jest właścicielem stacji benzynowych i sprzedaje paliwo klientom. Osobą, której dane dotyczą, jest klient, który złożył skargę konsumencką dotyczącą niedokładnego pomiaru i w konsekwencji pobrania zatankowanej benzyny na jednej ze stacji paliw. Osoba, której dane dotyczą, zażądała kopii swoich danych osobowych, tj. kopii materiału z monitoringu wideo dotyczącego określonego czasu i obszaru. Przedsiębiorstwo energetyczne uzasadniło odrzucenie wniosku: (i) brakiem pisemnego wniosku właściwych organów o dostarczenie materiału filmowego, (ii) brakiem uzasadnionego celu żądania oraz (iii) twierdzeniem, że przekazanie kopii materiału filmowego wpłynęłoby negatywnie na prawa i wolności personelu stacji i innych klientów. Po wydaniu klientowi opinii ogólnej organu ochrony danych w sprawie obowiązku administratorów udostępnienia nagrań z monitoringu osobom, których dane dotyczą, sfilmowanych na takim nagraniu, przedsiębiorstwo energetyczne poinformowało klienta o braku możliwości udostępnienia nagrań w związku z trwającym procesem archiwizacji nagrań z monitoringu. usunięte po siedmiu dniach. W związku z naruszeniem podstawowych praw osoby, której dane dotyczą, organ ochrony danych nałożył grzywnę w wysokości 940.000,00 HRK. W wyjaśnieniu dotyczącym kwoty grzywny zauważono, że organ ochrony danych wziął pod uwagę nie tylko pośrednie szkody dla klienta, ale także potencjalne korzyści finansowe firmy, która pośrednio uniknęła szkód, które mogły powstać w trakcie sporu konsumenckiego oraz fakt, że usuwając nagranie, firma wyeliminowała potencjalnie ważne dowody. | link |
| Niemcy | 2020-10-24 | 200 EUR | Osoba prywatna | Art. 5 RODO, Art. 32 RODO | Oryginalne streszczenie: Urząd Ochrony Danych Saksonii-Anhalt nałożył na osobę prywatną grzywnę w wysokości 200 euro. Ukarana osoba robiła zdjęcia pojazdów, a w niektórych przypadkach ich kierowcom, i wysyłał je do miasta Magedburg w formie niezaszyfrowanej w ramach zgłoszeń naruszeń przepisów ruchu drogowego. | link |
| Hiszpania | 2022-02-23 | 1.500 EUR | WORLDWIDE CLASSIC CARS NETWORK S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 euro na WORLDWIDE CLASSIC CARS NETWORK S.L. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również części przestrzeni publicznej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku należytego informowania o monitoringu. | link |
| Holandia | 2022-01-14 | 525.000 EUR | DPG Media Magazines B.V. | Art. 12 (2) RODO | Holenderski organ ochrony danych nałożył grzywnę w wysokości 525 000 EUR na DPG Media Magazines B.V. Organ ochrony danych otrzymał kilka skarg dotyczących sposobu, w jaki administrator obsługiwał żądania klientów. Klienci, którzy chcieli wiedzieć, jakie dane osobowe przechowuje administrator lub chcieli usunąć swoje dane, musieli najpierw przesłać lub przesłać dowód tożsamości. Organ ochrony danych ustalił, że przesłanie dowodu tożsamości nie byłoby konieczne w celu przetworzenia wniosku. Ponadto proces mailingowy stanowił nadmierną przeszkodę dla osób, których dane dotyczą, w realizacji przysługujących im praw. | link |
| Finlandia | 2022-12-26 | 5.000 EUR | Klinika medyczna | Art. 5 (1) a) RODO, Art. 12 (1), (2), (3), (4) RODO, Art. 13 (1), (2) RODO, Art. 15 (1), (3) RODO, Art. 25 RODO | Fiński organ ochrony danych nałożył na klinikę medyczną grzywnę w wysokości 5 000 euro. Klient kliniki złożył skargę do organu ochrony danych, że nie otrzymał dostępu do swojej dokumentacji medycznej z kliniki po otrzymaniu prośby o informacje. Ponadto klinika nie informowała odpowiednio swoich klientów o przetwarzaniu danych osobowych. W szczególności DPA wskazuje, że klinika nie poinformowała swoich klientów o zakresie, w jakim działała jako administrator danych dotyczących danych pacjentów generowanych przez jej działalność. | link |
| Hiszpania | 2022-02-23 | 1.200 EUR | FRUTAS Y VERDURAS LOS CAMPEONES, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 euro na spółkę FRUTAS Y VERDURAS LOS CAMPEONES, SL. Ukarany podmiot zainstalował system monitoringu wideo, jednak nie umieścił znaków informujących o korzystaniu z monitoringu. | link |
| Hiszpania | 2022-02-22 | 3.000 EUR | Operator hotelu | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na operatora hotelu. Ukarany podmiot zainstalował kamery do monitoringu wideo, które obejmowały między innymi również przestrzeń publiczną i część basenu hotelowego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku należytego informowania o monitoringu. | link |
| Polska | 2022-01-19 | 117.000 EUR | Santander Bank Polska S. A. | Art. 34 (1) RODO | Polski organ ochrony danych nałożył na Santander Bank Polska S.A. karę w wysokości 118 000 EUR za niepowiadomienie osób, których dane dotyczą, o naruszeniu danych. Byłemu pracownikowi banku udało się uzyskać nieautoryzowany dostęp do bazy danych usług elektronicznych. Umożliwiło to między innymi dostęp do wielu danych klientów Santander. Ze względu na wysokie ryzyko dla danych osób, których dane dotyczą, bank byłby zobowiązany do poinformowania ich o naruszeniu danych. Bank jednak celowo zrezygnował z tego i nadal oświadczał, że nie wywiąże się z tego obowiązku w przyszłości. Organ ochrony danych zauważył, że stanowiło to poważną ingerencję dla osób, których dane dotyczą, ponieważ nie miały one możliwości podjęcia odpowiednich kroków w celu ochrony swoich praw. | link |
| Hiszpania | 2022-02-22 | 1.000 EUR | MALAGATROM, S.L.U. | Art. 58 (2) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 1000 euro na MALAGATROM, S.L.U. za niezastosowanie się do nakazu wydanego przez DPA. | link |
| Rumunia | 2022-02-22 | 3.000 EUR | IAMSAT Muntenia SA | Art. 12 RODO, Art. 13 RODO, Art. 21 RODO | Rumuński organ ochrony danych nałożył na IAMSAT Muntenia SA grzywnę w wysokości 3 000 euro. Organ ochrony danych wszczął dochodzenie w związku ze skargą byłego pracownika, który twierdził, że administrator nadal przetwarza ich dane osobowe nawet po rozwiązaniu umowy o pracę w 2020 r. Osoba, której dane dotyczą, oświadczyła wcześniej, że nie zgadza się na dalsze wykorzystywanie swój adres e-mail oraz że po rozwiązaniu umowy o pracę wnieśli sprzeciw wobec przetwarzania ich danych osobowych przez administratora lub/i osoby trzecie. W toku dochodzenia organ ochrony danych stwierdził również, że administrator nie poinformował swoich pracowników, w tym osoby, której dane dotyczą, z wyprzedzeniem i wyczerpująco o przetwarzaniu ich danych osobowych przez system monitoringu wideo w miejscu pracy. | link |
| Rumunia | 2022-02-22 | 1.000 EUR | Civil law firm 'Sabou, Burz & Cuc | Art. 5 (1) a), b), c), f) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył na kancelarię cywilną „Sabou, Burz & Cuc” grzywnę w wysokości 1000 euro. Organ ochrony danych wszczął dochodzenie po tym, jak klient skarżył się, że administrator opublikował ich dane osobowe w grupie WhatsApp, z której korzysta kilku prawników zrzeszenia prawników bez ich uprzedniej zgody. Organ ochrony danych stwierdził, że administrator przetwarzał dane bez ważnej podstawy prawnej, ponieważ opublikował dane w celu innym niż pierwotnie uzgodniony z osobą, której dane dotyczą. | link |
| Hiszpania | 2022-02-21 | 1.000 EUR | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 1000 euro za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie. | link |
| Hiszpania | 2022-02-21 | 1.500 EUR | RESTATURANTE FUENTEBRO, S.C. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na RESTATURANTE FUENTEBRO, S.C. grzywnę w wysokości 1500 EUR za nie dostarczenie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie | link |
| Hiszpania | 2022-02-18 | 2.500 EUR | Prywatna osoba | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2500 euro na osobę prywatną. Ukarana osoba zainstalowała w swoim domu kamery monitorujące, które obejmowały między innymi również przestrzeń publiczną i sąsiednie posesje. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto znaki informacyjne dotyczące nadzoru wideo były niewyraźne, przez co nie były dobrze czytelne. Organ ochrony danych uznał to za naruszenie obowiązku informacyjnego zgodnie z art. 13 RODO. | link |
| Włochy | 2022-01-27 | 40.000 EUR | T.S.M. s.r.l. | Art. 13 RODO, Art. 15 RODO, Art. 21 RODO, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy | Włoski organ ochrony danych nałożył na T.S.M. grzywnę w wysokości 40 000 euro. s.r.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na spółkę z powodu niewykonania żądania usunięcia jej danych oraz sprzeciwu wobec dalszego przetwarzania jej danych osobowych. | link |
| Grecja | 2022-02-15 | 30.000 EUR | ΛΙΜΕΝΟΣ ΗΡΑΚΛΕΙΟΥ Α.Ε. | Art. 12 (1), (2) RODO, Art. 15 (1) RODO | Grecki organ ochrony danych nałożył na ΛΙΜΕΝΟΣ ΗΡΑΚΛΕΙΟΥ Α.Ε grzywnę w wysokości 30 000 EUR. organizacja. Osoba, której dane dotyczą, która uległa wypadkowi samochodowemu na terenie organizacji, złożyła skargę przeciwko organizacji do organu ochrony danych. Organizacja prowadziła system monitoringu wideo, który m.in. rejestrował również wypadek samochodowy. W związku z wypadkiem osoba, której dane dotyczą, zwróciła się do organizacji o udostępnienie jej nagrań. Jednak organizacja nie zastosowała się do tego żądania. | link |
| Włochy | 2022-01-27 | 2.000 EUR | Prywtny klub "Ruian" | Art. 5 (1) c) RODO, Art. 13 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 euro na prywatny klub „Ruian”. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował należycie o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Włochy | 2022-01-13 | 1.000 EUR | A.S.L. Napoli 1 Centro | Art. 5 RODO,DPRArt. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na A.S.L. grzywnę w wysokości 1000 euro. Napoli 1 Centro. Pracownik organu ochrony zdrowia złożył skargę do organu ochrony zdrowia na organ. Organ ds. zdrowia opublikował na swojej stronie internetowej komunikat prasowy zawierający dane osobowe osoby, której dane dotyczą, oraz informację o postępowaniu dyscyplinarnym. Organ ds. zdrowia uznał, że publikacja była zgodna z prawem, ponieważ osoba, której dane dotyczą, przekazała już tę informację prasie, która z kolei opublikował raport w tej sprawie. Organ ochrony danych stwierdził jednak, że organ nadal potrzebuje ważnej podstawy prawnej do publikacji, niezależnie od tego, czy informacje zostały już opublikowane w innych mediach. | link |
| Hiszpania | 2022-02-16 | 6.000 EUR | Prywatna osoba | Art. 6 (1) a) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 6 000 euro. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi danych za publikowanie jej zdjęć w bikini na stronie internetowej bez uprzedniego zezwolenia. Osoba, której dane dotyczą, pierwotnie przesłała swoje zdjęcia w bikini na platformę używaną Vinted, gdzie oferowała bikini na sprzedaż. | link |
| Hiszpania | 2022-02-11 | 2.000.000 EUR | Amazon Road Transport Spain S.L. | Art. 6 (1) RODO, Art. 10 RODO, Art. 10 LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Amazon Road Transport Spain S.L. 2 000 000 euro. AEPD otrzymał skargę związku zawodowego przeciwko firmie. Amazon Road wymagał zaświadczeń o niekaralności przy zatrudnianiu kierowców. Amazon Road uważał, że te certyfikaty nie podlegają art. 10 RODO. Jednak wbrew interpretacji Amazon Road, AEPD ustaliła, że dane te podlegają art. 10 RODO. W trakcie dochodzenia AEPD stwierdziła, że przetwarzanie tych danych w konsekwencji nie było zgodne z wymogami art. 10 RODO. Z tego powodu organ ochrony danych doszedł do wniosku, że Amazon Road przetwarzał dane dotyczące braku rejestrów karnych bez ważnej podstawy prawnej. | link |
| Włochy | 2022-01-13 | 1.000 EUR | Villa Masi Residenza per anziani | Art. 13 RODO | Brak sygnalizacji stosowania systemów telewizji dozorowej w zakładzie opiekuńczo-pielęgnacyjnym. | link |
| Hiszpania | 2022-02-14 | 1.600 EUR | RECLAMADOR, S.L. | Art. 17 RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę RECLAMADOR, SL Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi w związku z faktem, że administrator nadal wysyłał mu reklamy SMS, mimo że zażądał usunięcia jego danych, a administrator potwierdził usunięcie. Kara składa się proporcjonalnie z 1000 euro za naruszenie art. 17 RODO i 1000 EUR za naruszenie art. 21 LSSI. Pierwotna kara w wysokości 2000 euro została obniżona do 1800 euro dzięki natychmiastowej i dobrowolnej wpłacie. | link |
| Norwegia | 2022-02-01 | 5.000 EUR | Etterforsker1 Gruppen AS | Art. 6 (1) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Etterforsker1 Gruppen AS grzywnę w wysokości 5 000 EUR. Administrator przeprowadził kontrolę zdolności kredytowej osoby, chociaż nie było do tego podstawy prawnej. | link |
| Polska | 2022-12-01 | 4.000 EUR | Pactum Poland Sp. z o.o. | Art. 31 RODO, Art. 58 (1) e) RODO | Kara za brak odpowiedzi na wnioski organu nadzorczego o dalsze informacje w odpowiednim czasie po naruszeniu ochrony danych | link |
| Włochy | 2022-01-13 | 14.000 EUR | Azienda sanitaria unica regionale Marche | Art. 5 (1) f) RODO, Art. 32 RODO, Art. 35 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 14 000 euro na Azienda sanitaria unica regionale Marche. Organ ochrony danych wszczął dochodzenie przeciwko departamentowi zdrowia po doniesieniach mediów o nieprawidłowościach w systemie używanym do gromadzenia i zarządzania danymi z badań przesiewowych Covid 19. Departament zdrowia korzystał z aplikacji, która generowała kody QR dla osób, które zostały przetestowane pod kątem Covid-19. Kod QR został wygenerowany w oparciu o kryterium progresywne, a nie losowe. W ten sposób każdej osobie przypisano numer. Dzięki temu osoby nieuprawnione mogłyby zmienić cyfrę i uzyskać dostęp do profilu innej osoby, a tym samym do danych osobowych. Organ ochrony danych stwierdził, że organ ds. zdrowia nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. | link |
| Włochy | 2022-01-13 | 4.000 EUR | Medicina & Lavoro s.r.l. | Art. 12 (3) RODO, Art. 15 RODO | Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do jej danych w odpowiednim czasie. | link |
| Włochy | 2021-12-16 | 1.000 EUR | Università Telematica Internazionale Uninettuno | Art. 5 (1) c) RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 1000 euro na Università Telematica Internazionale Uninettuno. Profesor złożył skargę do DPA na instytucję edukacyjną. Profesor złożył podanie o pracę na uczelni i złożył w tym celu swoje CV. Uczelnia opublikowała go następnie bez zaciemniania niektórych danych osobowych, które dotyczyły jego sfery osobistej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Włochy | 2022-01-13 | 7.500 EUR | Azienda Sanitaria Locale Frosinone | Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO | Włoski organ ochrony danych nałożył na Azienda Sanitaria Locale Frosinone grzywnę w wysokości 7500 EUR. W trakcie dochodzenia przeciwko placówce medycznej Garante stwierdził, że ich polityka prywatności wykazała znaczne braki. Na przykład placówka wskazała kilka celów przetwarzania danych, ale nie zawsze były wskazane odpowiednie podstawy prawne. Wskazane podstawy prawne były często błędne lub sprzeczne. Ponadto placówka nie dostarczyła wystarczających informacji o okresach przechowywania zgromadzonych danych. | link |
| Włochy | 2021-12-16 | 20.000 EUR | FCA Italy s.p.a. | Art. 12 RODO | Włoski organ ochrony danych nałożył grzywnę na FCA Italy s.p.a. 20 000 euro. Były klient ukaranego podmiotu poprosił go o przekazanie mu stenogramów rozmów telefonicznych między nim a obsługą klienta, z którą wcześniej się kontaktował w sprawie awarii przyrządów jednego z jego pojazdów, a także dokumentów dotyczących tej sprawy . Administrator nie zastosował się jednak do tego żądania. | link |
| Włochy | 2021-12-16 | 100.000 EUR | Ubi Banca spa | Art. 5 (1) a), c) RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 100 000 euro na spa Ubi Banca (obecnie spa Intesa Sanpaolo). Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z otrzymaniem pisma od administratora, w którym na kopercie podano „nietypowy kredyt Chieti”. Pismo nie zawierało jednak przypomnienia o płatnościach, a jedynie informację o przejrzystości usług bankowych i finansowych. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasady legalności i przejrzystości oraz zasadę minimalizacji danych. W końcu napis na kopercie mógłby umożliwić osobom trzecim uzyskanie informacji o sytuacji finansowej odbiorcy, niezależnie od zawartości koperty. | link |
| Hiszpania | 2022-02-07 | 10.000 EUR | PINTODIS, S.L | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę na PINTODIS, S.L. 10 000 euro. Ukarany podmiot zainstalował kilka kamer wideo, które obejmowały również strefy gastronomiczne i szatnie swoich pracowników. Hiszpański organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, ponieważ tak szeroki nadzór nie był konieczny. | link |
| Hiszpania | 2022-02-04 | 2.000 EUR | Osoba prywatna | Art. 6 (1) a) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 2000 euro. Osoba ta opublikowała materiał audiowizualny z procesu sądowego na Twitterze bez uzyskania zgody świadków i stron procesu, które można na nim zobaczyć. | link |
| Hiszpania | 2022-02-07 | 1.000 EUR | Cafe operator | Art. 5 (1) c) RODO | W kawiarni zastosowano kamery CCTV, które rejestrowały również przestrzeń publiczną na zewnątrz, co łamało tzw. zasadę minimalizacji danych | link |
| Hiszpania | 2022-02-01 | 900.000 EUR | TELEFÓNICA MÓVILES ESPAÑA, S.A.U. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył grzywnę na TELEFÓNICA MÓVILES ESPAÑA, S.A.U. 900 000 euro. Czterech klientów Telefóniki złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Telefónica i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych Telefónica nie zweryfikowała należycie tożsamości oszustów przed wydaniem kart SIM i upewniła się, że pytający rzeczywiście byli posiadaczami karty SIM. | link |
| Hiszpania | 2022-02-01 | 200.000 EUR | XFERA MÓVILES, S.A. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na XFERA MÓVILES, S.A. grzywnę w wysokości 200 000 EUR. Dwóch klientów Xfery złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Xferą i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych, Xfera nie zweryfikowała prawidłowo tożsamości oszustów przed wydaniem kart SIM i upewniła się, że pytający rzeczywiście byli posiadaczami karty SIM. | link |
| Hiszpania | 2022-02-01 | 700.000 EUR | Orange Espagne S.A.U. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył grzywnę na Orange Espagne S.A.U. 700 000 euro. Dwóch klientów Orange Espagne złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Orange Espagne i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych Orange Espagne nie zweryfikowało prawidłowo tożsamości oszustów przed wydaniem kart SIM i upewniło się, że pytający byli w rzeczywistości posiadaczami karty SIM. | link |
| Hiszpania | 2022-02-01 | 70.000 EUR | ORANGE ESPAÑA VIRTUAL, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył grzywnę na ORANGE ESPAÑA VIRTUAL, S.L. 70 000 euro. Dwóch klientów Orange España Virtual złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Orange España Virtual i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych firma Orange España Virtual nie zweryfikowała prawidłowo tożsamości oszustów przed wydaniem karty SIM i upewniła się, że pytający rzeczywiście byli posiadaczami karty SIM. | link |
| Hiszpania | 2022-02-01 | 3.940.000 EUR | Vodafone España, S.A.U. | Art. 5 (1) f) RODO, Art. 5 (2) RODO | Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U. 3,94 mln euro. Dziewięciu klientów Vodafone złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że oszuści podawali się za osoby, których dane dotyczą, kontaktując się z Vodafone i żądali kopii swoich kart SIM. Dzięki temu mogli zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych transferów. Według organu ochrony danych Vodafone nie zweryfikowała należycie tożsamości oszustów przed wydaniem kart SIM i upewniła się, że pytający byli rzeczywiście posiadaczami karty SIM ze względu na brak wystarczających środków bezpieczeństwa. | link |
| Włochy | 2021-12-17 | 10.000 EUR | ASL Latina | Art. 5 (1) f) RODO, Art. 6 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) ukarał ASL Latina grzywną w wysokości 10 000 EUR. Administrator omyłkowo wysłał dokumenty zawierające dane dotyczące zdrowia osoby, której dane dotyczą, do niezaangażowanej osoby trzeciej. | link |
| Hiszpania | 2022-02-04 | 300.000 EUR | SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS | Art. 6 RODO, Art. 17 RODO, Art. 28 RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną SEGURCAIXA ADESLAS, SA DE SEGUROS Y REASEGUROS. w kwocie 300 000 euro. Osoba, której dane dotyczą, otrzymała e-maile marketingowe od administratora, mimo że jest zarejestrowana na liście wykluczeń reklamowych Robinsona. Wysyłanie wiadomości e-mail było kontynuowane nawet po tym, jak osoba, której dane dotyczą, poprosiła o usunięcie swoich danych. | link |
| Hiszpania | 2022-02-04 | 900 EUR | Prywatna osoba | Art. 5 (1) c) RODO | Bezprawne korzystanie z kamer dozorowych, które monitorowały również części przestrzeni publicznej (naruszenie zasady minimalizacji danych) | link |
| Belgia | 2022-02-02 | 250.000 EUR | IAB Europe | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 9 (1), (2) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 32 (1), (2) RODO, Art. 37 RODO | Belgijski organ ochrony danych nałożył na IAB Europe grzywnę w wysokości 250 000 euro. Organ ochrony danych otrzymał kilka skarg przeciwko IAB Europe od 2019 r. W kontekście tej skargi kwestionowano głównie zgodność „Ram przejrzystości i zgody (TCF)” z RODO. TCF został opracowany przez IAB w celu promowania zgodności z RODO przez organizacje korzystające z protokołu OpenRTB. Protokół OpenRTB to protokół do „licytowania w czasie rzeczywistym”, czyli zautomatyzowanej aukcji online profili użytkowników w celu sprzedaży i zakupu powierzchni reklamowej w Internecie. Gdy użytkownicy odwiedzają witrynę internetową zawierającą przestrzeń reklamową, firmy technologiczne za pośrednictwem zautomatyzowanego systemu aukcji mogą licytować w czasie rzeczywistym tę przestrzeń reklamową, aby wyświetlać spersonalizowane reklamy. Gdy użytkownicy odwiedzają witrynę po raz pierwszy, pojawia się interfejs, za pośrednictwem którego mogą wyrazić zgodę na zbieranie i udostępnianie swoich danych osobowych lub sprzeciwić się różnego rodzaju przetwarzaniu. W ramach TCF podczas tego procesu pojawia się narzędzie do zarządzania zgodami. Narzędzie umożliwia użytkownikowi sprzeciwienie się niektórym rodzajom przetwarzania danych. TCF rejestruje preferencje użytkownika za pośrednictwem narzędzia, generując ciąg TC i wysyła go do wszystkich partnerów uczestniczących w systemie OpenRTB. Na podstawie tego ciągu NW tworzone są profile użytkowników, które są następnie przekazywane reklamodawcom. Dzięki temu widać, na jaki rodzaj przetwarzania danych wyrazili zgodę użytkownicy. W ramach prowadzonego przeciwko IAB dochodzenia, DPA stwierdził szereg naruszeń RODO. Stwierdził, że ciągi znaków TC stanowiły już dane osobowe i dlatego IAB musiała mieć podstawę prawną do przetwarzania tych danych. Jednak IAB nie był w stanie wykazać takiej podstawy prawnej. Ponadto IAB nie informowała właściwie użytkowników o funkcjonowaniu TCF. Na przykład informacje przekazywane użytkownikom były zbyt ogólne i niejasne, aby zrozumieć zakres przetwarzania danych. Ponadto IAB nie prowadziła rejestru swoich czynności przetwarzania, nie wyznaczyła inspektora ochrony danych, jak również nie przeprowadziła oceny skutków dla ochrony danych. | link |
| Niemcy | 2020 | Kwota grzywny od 50 do 100 EUR | Restauracja | Art. 32 RODO | Aby zwalczyć pandemię Covid 19, restauracja wystawiła otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawnie prezentowana, umożliwiałby nieuprawnionym osobom trzecim uzyskanie dostępu do danych. | link |
| Niemcy | 2020 | Kwota grzywny od 50 do 100 EUR | Restauracja | Art. 32 RODO | Aby zwalczyć pandemię Covid 19, restauracja wystawiła otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawnie prezentowana, umożliwiałby nieuprawnionym osobom trzecim uzyskanie dostępu do danych. | link |
| Niemcy | 2020 | Kwota grzywny od 50 do 100 EUR | Restauracja | Art. 32 RODO | Aby zwalczyć pandemię Covid 19, restauracja wystawiła otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawnie prezentowana, umożliwiałby nieuprawnionym osobom trzecim uzyskanie dostępu do danych. | link |
| Hiszpania | 2022-02-02 | 2.000 EUR | ASESORES DE SEGURIDAD PRIVADA, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2 000 EUR na firmę ASESORES DE SEGURIDAD PRIVADA, SL. Organ ochrony danych skrytykował, że administrator nie poinformował w wystarczającym stopniu osoby, której dane dotyczą, o przetwarzaniu danych, zgodnie z wymogami art. 13 RODO. | link |
| Niemcy | 2020 | 13.000 EUR | Firma | Art. 26 (2) RODO | Organ ochrony danych z Hamburga as nałożył na spółkę grzywnę w wysokości 13 000 euro. Osoba fizyczna zarezerwowała kurs w firmie i uczestniczyła w nim, ale nie uiściła poniesionych opłat za kurs. Jakiś czas później zapisał się na kurs w innej firmie tej samej firmy macierzystej i tam został odrzucony. Jako powód powiedziano mu, że nadal ma zaległości w firmie, w której kursach już uczestniczył. W następstwie skargi złożonej przez osobę fizyczną przeciwko firmie, organ ochrony danych wszczął dochodzenie. Okazało się, że firmy te mają wspólną bazę danych. Wskazał, że utrzymywanie wspólnej bazy danych klientów przez kilka niezależnych prawnie firm prowadzi do współodpowiedzialności zgodnie z art. 26 RODO. Zgodnie z art. 26 ust. 2 RODO, wymaga to umowy, która odzwierciedla odpowiednie rzeczywiste funkcje i relacje współodpowiedzialnych stron wobec osób, których dane dotyczą. Jednak taka umowa nie istniała. | link |
| Niemcy | 2020 | Nieznany | Firma | Art. 6 RODO, Art. 32 RODO | Organ ochrony danych z Hamburga nałożył grzywnę na firmę, która prowadzi rynek internetowy, zwłaszcza w przypadku bielizny znoszonej. Firma reklamuje się, że gwarantuje stuprocentową anonimowość. Na platformie użytkownicy mogą przesyłać zdjęcia bielizny. W większości przypadków do robienia zdjęć używano smartfonów lub innych urządzeń mobilnych. Aplikacje aparatu w smartfonach lub moduły GPS aparatów często przechowują dodatkowe informacje w pliku obrazu obok rzeczywistego obrazu jako ustawienie standardowe. Na podstawie tych danych możliwa jest dość dokładna lokalizacja. Przegląd przeprowadzony przez DPA ujawnił, że firma nie wyczyściła pozostałych informacji lub metadanych w przesłanych zdjęciach. Dzięki temu dane można było wprowadzić do dowolnego serwisu mapowego i określić dokładną lokalizację, w której wykonano zdjęcie. Liczba zaangażowanych osób, których dane dotyczą, wynosiła około 760 kobiet w wieku od 18 do 50 lat. Z tego powodu organ ochrony danych stwierdził, że firma nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka osoby, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że firma bezprawnie przetworzyła powiązane dane, przesyłając zdjęcia bez ich czyszczenia. | link |
| Niemcy | 2020 | 3.000 EUR | Restauracja | Art. 5 (1) c) RODO | Nadmierne korzystanie z monitoringu wideo z naruszeniem zasady minimalizacji danych. | link |
| Niemcy | 2020 | Kwota grzywny od 300 do 400 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji zrobił zdjęcia oficjalnej prezentacji zawierającej dane osobowe i udostępnił je grupie Whats App. | link |
| Niemcy | 2020 | Kwota grzywny od 300 do 400 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji zrobił zdjęcia oficjalnej prezentacji zawierającej dane osobowe i udostępnił je grupie Whats App | link |
| Niemcy | 2020 | Kwota grzywny od 300 do 400 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji zrobił zdjęcia oficjalnej prezentacji zawierającej dane osobowe i udostępnił je grupie Whats App | link |
| Niemcy | 2020 | Kwota grzywny od 400 do 600 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. | link |
| Niemcy | 2020 | Kwota grzywny od 400 do 600 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. | link |
| Niemcy | 2020 | Kwota grzywny od 400 do 600 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. | link |
| Niemcy | 2020 | 400 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. | link |
| Niemcy | 2020 | 300 EUR | Policjant | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celach prywatnych. | link |
| Niemcy | 2020 | 10.000 EUR | Clearview AI Inc. | Art. 58 (1) RODO | Organ ochrony danych z Hamburga nałożył na Clearview AI Inc. grzywnę w wysokości 10 000 EUR za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. | link |
| Niemcy | 2020 | Grzywna w pięciocyfrowej kwocie | Korporacja | Art. 12 (3) RODO, Art. 15 RODO | Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do jej danych w odpowiednim czasie. | link |
| Niemcy | 2020 | Grzywna w pięciocyfrowej kwocie | Asystent medyczny | Art. 6 (1) RODO | Asystentka medyczna w gabinecie lekarskim zapisywała numer telefonu pacjenta w swoim telefonie komórkowym, a następnie kontaktowała się z nim w celach prywatnych. | link |
| Niemcy | 2020 | Grzywna w czterocyfrowej kwocie | Operator szkoły baletowej | Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO | Operator szkoły baletowej umieścił zdjęcia nieletnich uczniów na swojej stronie internetowej i na Facebooku bez zgody opiekunów prawnych. | link |
| Niemcy | 2019-11 | 5.000 EUR | Restauracja | Art. 5 (1) c) RODO | Nadmierne korzystanie z monitoringu wideo z naruszeniem zasady minimalizacji danych. | link |
| Niemcy | 2020 | 300 EUR | Pracownik w centrum testowym Covid 19 | Art. 5 (1) a) RODO | Pracownik centrum testowego Covid 19 wykorzystał dane testowanej osoby, aby skontaktować się z nią za pośrednictwem WhatsApp w celach prywatnych. | link |
| Niemcy | 2020 | 10.000 EUR | Restauracja | Art. 5 (1) c) RODO | Nadmierne korzystanie z monitoringu wideo z naruszeniem zasady minimalizacji danych. | link |
| Niemcy | 2020 | Nieznany | Policjant | Art. 5 RODO, Art. 6 RODO | Kilka przypadków, w których policjanci uzyskali dostęp do danych w policyjnej bazie danych w celach prywatnych. | link |
| Włochy | 2021-11-25 | 200.000 EUR | Aimon Srl | Art. 5 (1) a) RODO, Art. 6 (1) a) RODO, Art. 12 RODO, Art. 21 RODO | Włoski organ ochrony danych nałożył na Aimon Srl grzywnę w wysokości 200 000 euro. Dwie osoby, których dane dotyczą, złożyły skargę na niezamówione reklamy SMS-owe od B&T S.p.A. do organu ochrony danych. W trakcie dochodzenia Garante odkrył, że B&T zleciła firmie Aimon wysyłanie promocyjnych wiadomości SMS do potencjalnych klientów. Aimon następnie zakontraktował innych dostawców, którzy z kolei kupili swoje bazy danych od osób trzecich. Jak się okazało, pozostali dostawcy pozyskali dane osób, z którymi się skontaktowano, z niezweryfikowanych i nielegalnych wykazów firm zagranicznych, których część informacji pochodziła z rejestracji na portalach informacyjnych lub gier hazardowych online. Organ ochrony danych stwierdził, że Aimon w ten sposób przetwarzał dane niezgodnie z prawem. | link |
| Włochy | 2021-11-25 | 400.000 EUR | B&T S.p.A. | Art. 5 (1) a) RODO, Art. 6 (1) a) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 400 000 EUR na B&T S.p.A. Dwie osoby, których dane dotyczą, złożyły skargę do organu ochrony danych w związku z niezamówioną reklamą SMS-ową. Ponadto oświadczyli, że nie mogą skorzystać z przysługującego im prawa do informacji oraz prawa do sprzeciwu. W trakcie dochodzenia Garante odkrył, że B&T zleciła firmie marketingowej wysyłanie promocyjnych wiadomości SMS do potencjalnych klientów. Firma marketingowa zaangażowała następnie innych dostawców, którzy z kolei nabyli swoje bazy danych od osób trzecich. Jak się okazało, pozostali dostawcy pozyskali dane osób, z którymi się skontaktowano, z niesprawdzonych i nielegalnych list firm zagranicznych, których część informacji pochodziła z rejestracji na portalach informacyjnych lub z internetowych loterii. W tym kontekście organ ochrony danych wskazał, że firmy zlecające kampanie reklamowe muszą zawsze upewnić się, że firmy, którym to zlecono, działają prawidłowo i że dane konsumentów są wykorzystywane zgodnie z prawem. | link |
| Grecja | 2022-01-27 | 3.200.000 EUR | OTE Group | Art. 32 RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 3,2 mln EUR na spółkę zależną Cosmote, OTE Group. Między innymi Grupa OTE przyczyniła się do rozwoju infrastruktury bezpieczeństwa Cosmote. Firma Cosmote zgłosiła naruszenie danych organowi ochrony danych na podstawie art. 33 RODO. Haker zdołał przeniknąć do systemów Cosmote z powodu braku środków bezpieczeństwa i uzyskał, a następnie wyciekł dane od klientów. Skradzione dane zawierały poufne informacje od subskrybentów Cosmote, takie jak wiek, płeć i informacje o kontrakcie. Incydent dotknął prawie 10 milionów ludzi. Z tego powodu organ ochrony danych stwierdził, że Grupa OTE nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka dla osób, których dane dotyczą. | link |
| Gracja | 2022-01-27 | 6.000.000 EUR | Cosmote Mobile Telecommunications S.A. | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO, Art. 14 RODO, Art. 25 (1) RODO, Art. 26 RODO, Art. 28 RODO, Art. 35 (7) RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 6 mln EUR na Cosmote Mobile Telecommunications SA. Cosmote zgłosił naruszenie ochrony danych organowi ochrony danych zgodnie z art. 33 RODO. Haker przeniknął do systemów ukaranego podmiotu i uzyskał, a następnie ujawnił dane od klientów Cosmote. Skradzione dane zawierały poufne informacje od subskrybentów Cosmote, takie jak wiek, płeć i informacje o kontrakcie. Incydent dotknął prawie 10 milionów ludzi. Z tego powodu organ ochrony danych stwierdził, że Cosmote nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia prawidłowego wykonania procesu anonimizacji danych. Ponadto Cosmote nie przeprowadził wystarczającej oceny wpływu na ochronę danych i nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych. Wreszcie, DPA stwierdził, że Cosmote nie uregulował jasno przydziału ról w przetwarzaniu danych ze swoją spółką zależną, OTE Group. Przy obliczaniu kary organ ochrony danych zaostrzająco uwzględnił bardzo długi czas trwania naruszeń (6 lat), dużą liczbę osób, których dane dotyczą, a także fakt, że przez długi czas nie wdrożono żadnych środków pseudonimizacji danych . | link |
| Belgiam | 2022-01-27 | 2.800 EUR | EU DisinfoLab | Art. 5 (1) a), c), f) RODO, Art. 6 (1) RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO | Belgijski organ ochrony danych nałożył na organizację pozarządową EU DisinfoLab grzywnę w wysokości 2700 euro. W 2018 r. organizacja pozarządowa opublikowała analizę mającą na celu określenie możliwego politycznego pochodzenia tweetów krążących wokół szczególnie gorącej kontrowersji we Francji, „sprawy Benalla”. Do analizy organizacja przetworzyła dane 55 000 kont na Twitterze, z których ponad 3300 zostało sklasyfikowanych jako polityczne. Uzyskane z tego surowe dane zostały następnie opublikowane bez podejmowania minimalnych środków bezpieczeństwa, takich jak pseudonimizacja danych. Organ ochrony danych zauważył, że publikacja danych może potencjalnie narazić osoby, których dane dotyczą, na ryzyko dyskryminacji lub dyskredytacji z powodu nieanonimowego profilowania politycznego. Ponadto akta zawierały również informacje o przekonaniach religijnych, pochodzeniu etnicznym lub orientacji seksualnej osób, których relacje zostały przeanalizowane. Z tego powodu organ ochrony danych stwierdził, że naruszono szereg obowiązków wynikających z RODO, takich jak zgodność z prawem przetwarzania, przejrzystość wobec osób, których dane dotyczą, oraz bezpieczeństwo danych. | link |
| Belgia | 2022-01-27 | 1.200 EUR | Badacz | Art. 5 (1) a), c), f) RODO, Art. 6 (1) RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 32 RODO | Belgijski organ ochrony danych nałożył na badacza grzywnę w wysokości 1200 euro. Kara została nałożona w związku z kolejną karą wymierzoną organizacji pozarządowej EU DisinfoLab. Badacz był zatrudniony w organizacji pozarządowej. W 2018 r. organizacja pozarządowa opublikowała analizę mającą na celu określenie możliwego politycznego pochodzenia tweetów krążących wokół szczególnie gorącej kontrowersji we Francji, „sprawy Benalla”. Do analizy organizacja przetworzyła dane 55 000 kont na Twitterze, z których ponad 3300 zostało sklasyfikowanych jako polityczne. Uzyskane z tego surowe dane zostały następnie opublikowane bez podejmowania minimalnych środków bezpieczeństwa, takich jak pseudonimizacja danych. Organ ochrony danych zauważył, że publikacja danych może potencjalnie narazić osoby, których dane dotyczą, na ryzyko dyskryminacji lub dyskredytacji z powodu nieanonimowego profilowania politycznego. Ponadto akta zawierały również informacje o przekonaniach religijnych, pochodzeniu etnicznym lub orientacji seksualnej osób, których relacje zostały przeanalizowane. Z tego powodu organ ochrony danych stwierdził, że naruszono szereg obowiązków wynikających z RODO, takich jak zgodność z prawem przetwarzania, przejrzystość wobec osób, których dane dotyczą, oraz bezpieczeństwo danych. | link |
| Hiszpania | 2022-01-31 | 5.000 EUR | INCOPROSOL, S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na INCOPROSOL, S.L. 5000 euro. Administrator nagrał rozmowę telefoniczną z klientem bez uzyskania zgody klienta. | link |
| Hiszpania | 2022-01-31 | 5.000 EUR | Cyrana España General S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Cyranę España General S.L. 5000 euro. Administrator wysłał fakturę osobie, której dane dotyczą, chociaż nie istniał żaden stosunek umowny. | link |
| Hiszpania | 2022-02-01 | 1.500 EUR | Społeczność Właśicieli Nieruchomości | Art. 6 RODO | Wykorzystanie kamer CCTV w kompleksie budynków bez uzyskania zgody wszystkich właścicieli nieruchomości. | link |
| Rumunia | 2022-02-01 | 1.000 EUR | SC Grupex 2000 SRL | Art. 6 RODO, Art. 9 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na SC Grupex 2000 SRL grzywnę w wysokości 1000 EUR. Administrator bezprawnie umieścił filmy pacjentów na swojej stronie internetowej | link |
| Węgry | 2021-12-03 | 843 EUR | Prawnik | Art. 5 (1) a), b) RODO, Art. 6 (1) RODO, Art. 9 (1) RODO | Węgierski organ ochrony danych nałożył grzywnę w wysokości 843 euro na prawnika za nieuprawnione ujawnienie w toku postępowania karnego dokumentów zawierających dane osobowe jego klienta. | |
| Włochy | 2021-12-16 | 20.000 EUR | Corradi s.r.l. | Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 157 Codice della privacy | Spółka pozostawiła aktywne konto e-mail osoby, której dane dotyczą, nawet po zakończeniu jej zatrudnienia i automatycznie przekazywała przychodzące wiadomości e-mail. Firma nie dostarczyła wystarczających informacji na ten temat. | link |
| Włochy | 2021-12-16 | 10.000 EUR | Centro di Medicina preventiva s.r.l. | Art. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 37 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę na Centro di Medicina Preventiva s.r.l. 10 000 euro. Administrator zgłosił bazę danych na podstawie art. 33 RODO w związku z cyberatakiem grupy hakerskiej. Podczas cyberataku hakerowi udało się uzyskać dostęp do listy danych pacjentów. Haker opublikował następnie tę listę, która zawierała dane osobowe, w tym dane wrażliwe, pacjentów i testów radiodiagnostycznych na Twitterze. Organ ochrony danych uznał, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Na przykład serwer centrum medycznego ujawnił żądane dane osobowe podczas zapytania bez weryfikacji tożsamości i danych uwierzytelniających zgłaszającego, umożliwiając nieuwierzytelnione połączenia spoza centrum medycznego. | link |
| Szwecja | 2022-01-26 | 152.000 EUR | Zarząd szpitala w Uppsali | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Szwedzki organ ochrony danych nałożył grzywnę w wysokości 152 000 euro na zarząd szpitala w Uppsali. Grzywna jest wynikiem dochodzenia przeprowadzonego przez region Uppsala (zarząd regionalny i zarząd szpitala). Organ ochrony danych otrzymał dwa zgłoszenia incydentów dotyczących danych osobowych z regionu Uppsali. Incydenty dotyczyły wrażliwych danych osobowych dotyczących zdrowia, które zostały przesłane w postaci niezaszyfrowanej do odbiorców w Szwecji i poza nią. W związku z tym Szpital Uniwersytecki w Uppsali wysłał wiadomości e-mail zawierające dane pacjentów do pacjentów i nadawców w krajach trzecich bez szyfrowania. Ponadto administracja szpitala przechowywała wrażliwe dane osobowe w usłudze hostingu poczty e-mail programu Outlook. Z tego powodu organ ochrony danych stwierdził, że zarząd szpitala nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym dostępem. | link |
| Szwecja | 2022-01-26 | 28.500 EUR | Zarząd szpitala w Uppsali | Art. 32 (1) RODO | Szwedzki organ ochrony danych nałożył grzywnę w wysokości 28 500 euro na zarząd regionu Uppsala. Grzywna jest wynikiem dochodzenia w regionie Uppsali (zarząd regionalny i zarząd szpitala). Organ ochrony danych otrzymał dwa zgłoszenia incydentów dotyczących danych osobowych z regionu Uppsali. Incydenty dotyczyły wrażliwych danych osobowych dotyczących zdrowia, które zostały przesłane w postaci niezaszyfrowanej do odbiorców w Szwecji i poza nią. Zarząd regionalny przekazał wrażliwe dane osobowe i osobiste numery identyfikacyjne pocztą elektroniczną. Rzeczywista transmisja e-maili była szyfrowana, ale informacje w e-mailach nie. E-maile, o których mowa, zawierały dane pacjentów, które były automatycznie wysyłane do odpowiednich administratorów służby zdrowia w regionie, a także dane pacjentów, które były ręcznie wysyłane do naukowców i lekarzy w regionie. Z tego powodu organ ochrony danych stwierdził, że zarząd regionalny nie podjął odpowiednich środków technicznych i organizacyjnych, aby np. chronić dane przed nieuprawnionym dostępem. | link |
| Finalndia | 2021-12-16 | 52.000 EUR | Centrum Ubezpieczeń Komunikacyjnych | Art. 5 (1) a), c) RODO, Art. 25 (2) RODO | Fiński organ ochrony danych nałożył na centrum ubezpieczeń komunikacyjnych grzywnę w wysokości 52 000 euro. Administrator nadmiernie zażądał danych pacjentów z systemu opieki zdrowotnej w celu dochodzenia roszczeń. Jednak duża część danych nie była konieczna do rozpatrzenia roszczeń. Na przykład, DPA ustalił, że ośrodek ubezpieczeń komunikacyjnych zebrał również notatki z wizyt pacjentów w celu ustalenia, czy świadczeniodawca naliczył rachunki za wizyty, które nie były związane z badaniem lub leczeniem obrażeń spowodowanych wypadkiem. Organ ochrony danych zauważa, że fińska ustawa o ubezpieczeniach komunikacyjnych nie uzasadnia bezpośredniego dostępu do wszystkich danych pacjenta, ale żądane informacje muszą być niezbędne do rozpatrzenia roszczenia. Z tego powodu organ uznał w praktyce naruszenie zasad legalności i przejrzystości oraz minimalizacji danych. | link |
| Finalndia | 2021-12-16 | 6.500 EUR | Biuro podróży | Art. 5 (1) f) RODO, Art. 17 RODO, Art. 25 RODO, Art. 32 RODO | Fiński organ ochrony danych nałożył na biuro podróży grzywnę w wysokości 6500 euro. Klient biura podróży poinformował organ ochrony danych o podejrzeniu, że firma może nie przetwarzać danych swoich klientów w sposób zgodny z ochroną danych. Podczas dochodzenia organ ochrony danych stwierdził, że biuro podróży nie zapewniło bezpiecznego przetwarzania danych osobowych. Na przykład formularze wniosków wizowych wypełniane przez klientów były publicznie dostępne na serwerze internetowym biura podróży. Formularz zawierał m.in. imię i nazwisko, dane kontaktowe oraz numer paszportu. Ponadto biuro podróży nie zastosowało się do prośby klienta o usunięcie jego danych z systemów. | link |
| Włochy | 2021-12-02 | 5.000 EUR | Azienda USL di Parma | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda USL di Parma grzywnę w wysokości 5 000 EUR. Pacjentka złożyła skargę do DPA, ponieważ przez pomyłkę otrzymała w swojej dokumentacji medycznej dwa raporty z badań diagnostycznych na dwóch innych pacjentach. | link |
| Irlandia | 2021-12-09 | 110.000 EUR | Rada Miasta i Hrabstwa Limerick | Art. 13 RODO, Art. 12 RODO, Art. 15 RODO | Irlandzki organ ochrony danych nałożył na Radę Miasta i Hrabstwa Limerick grzywnę w wysokości 110 000 EUR. W ramach dochodzenia organ ochrony danych przeprowadził kontrolę przetwarzania danych osobowych przez radę lub w jej imieniu za pomocą systemów nadzoru wideo, automatycznego rozpoznawania tablic rejestracyjnych, kamer noszonych na ciele i innych technologii, które można wykorzystać do monitorowania osób. W ten sposób stwierdził, że Rada naruszyła szereg przepisów o ochronie danych przy korzystaniu z technologii. Kara została jednak nałożona z powodu naruszeń RODO. Organ ochrony danych uznał, że Rada naruszyła art. 13 RODO w związku z przetwarzaniem danych przez kamery drogowe. Rada nie udzieliła informacji na temat tożsamości administratora danych, danych kontaktowych inspektora ochrony danych, celów przetwarzania oraz organów, od których dalsze informacje wymagane na podstawie art. 13 RODO można uzyskać. Ponadto Rada nie przedstawiła tych informacji w łatwo dostępny sposób, np. na znakach w pobliżu kamer. Ponadto organ ochrony danych stwierdził, że Rada nie zamieściła polityki nadzoru wideo w jasnym i prostym języku oraz w łatwo dostępnym obszarze strony internetowej Rady. Organ ochrony danych stwierdził zatem naruszenie art. 12 RODO. Wreszcie Rada odrzuciła wnioski o dostęp do danych osobowych przetwarzanych przez kamery monitorujące wykorzystywane w zarządzaniu ruchem. Z tego powodu organ ochrony danych uznał, że Rada naruszyła art. 15 RODO. | link |
| Hiszpania | 2022-01-21 | 1.200 EUR | Społeczność właścicieli nieruchomości | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał wspólnotę właścicieli nieruchomości grzywną w wysokości 1200 euro. Zarządca nieruchomości przesłał kopię protokołu z walnego zgromadzenia dyrektorowi firmy ochroniarskiej „CMM Seguridad”. Dokument ten zawiera nazwiska i adresy mieszkańców, spis osób karanych oraz rozliczenia ze wszystkimi dochodami i wydatkami gminy. Według ukaranego podmiotu celem wysłania przedmiotowego protokołu do firmy ochroniarskiej było poinformowanie jej o członkach Rady Dyrektorów powołanych na odpowiednim zwyczajnym walnym zgromadzeniu. W związku z tym administrator danych powinien był ograniczyć się jedynie do podania tych informacji lub do przekazania dokumentu protokołu po jego należytej anonimizacji. Z tego powodu organ ochrony danych zauważa, że przekazanie pełnego protokołu nie byłoby konieczne. W efekcie administrator naruszył zasadę minimalizacji danych. | link |
| Hiszpania | 2022-01-21 | 2.000 EUR | Operator strony internetowej | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2 000 euro na operatora strony internetowej za brak polityki prywatności na jego stronie internetowej, z naruszeniem art. 13 RODO | link |
| Rumunia | 2021-01-20 | 3.000 EUR | Kaufland România SCS | Art. 15 (3) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 3 000 euro na Kaufland Romania SCS. Organ ochrony danych wszczął dochodzenie w oparciu o skargę osoby fizycznej, która stwierdziła, że administrator nie dostarczył jej pełnej kopii nagrań wideo przez pewien czas, gdy przebywali na terenie sklepu. Organ ochrony danych stwierdził, że administrator jest zobowiązany do ujawnienia obrazów wideo osoby, której dane dotyczą, po skorzystaniu z przysługującego jej prawa dostępu oraz że administrator może ujawnić obrazy, podejmując w razie potrzeby środki w celu zatarcia tych obrazów, które mogą naruszać prawa i wolności innych osób fizycznych. | link |
| Włochy | 2021-12-16 | 26.500.000 EUR | Enel Energia S.p.A | Art. 5 (1) a), d) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 130 (1), (2), (4) Codice della privacy | Włoski organ ochrony danych nałożył na Enel Energia S.p.A grzywnę w wysokości 26,5 mln EUR za liczne naruszenia RODO. Po złożonym wstępnym dochodzeniu wszczętym po setkach zgłoszeń i skarg od użytkowników, organ ochrony danych stwierdza, że administrator nielegalnie przetwarzał dane osobowe milionów użytkowników w celach telemarketingowych. Organ ochrony danych stwierdził m.in., że osoby, których dane dotyczą, otrzymywały niezamówione rozmowy promocyjne w imieniu i na rzecz Enel Energia, w niektórych przypadkach nawet nagrane rozmowy. Niektóre osoby, których dane dotyczą, nadal otrzymywały telefony reklamowe, mimo że już kilkakrotnie zwracały się do Enel Energia o usunięcie ich danych osobowych lub sprzeciwiały się ich przetwarzaniu w celach reklamowych. W szczególności organ ochrony danych stwierdził, że Enel Energia nie dostarczyła osobom, których dane dotyczą, wymaganych i terminowych informacji zwrotnych na temat ich wniosków o skorzystanie z przysługującego im prawa dostępu i sprzeciwu. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo nie współpracowało w wystarczającym stopniu z organem ochrony danych podczas dochodzenia. Na przykład Enel Energia nie odpowiedziała na różne zapytania ze strony Urzędu Ochrony Danych. Oceniając grzywnę, organ ochrony danych wziął pod uwagę następujące czynniki obciążające: wagę naruszeń, czas trwania i powtarzalność naruszeń, a także dużą liczbę osób dotkniętych i zaniedbanie zachowania. | link |
| Hiszpania | 2022-01-14 | 2.400 EUR | PHARMA TALENTS, S.L.U. | Art. 5 (1) f) RODO, Art. 32 RODO, Art. 35 RODO | Hiszpański organ ochrony danych nałożył grzywnę na PHARMA TALENTS, S.L.U. Osoba, której dane dotyczą, złożyła skargę przeciwko firmie po znalezieniu bazy danych na jednej ze stron internetowych firmy zawierającej dane osobowe o sobie i innych setkach pracowników sektora zdrowia, w tym adres e-mail i numer telefonu. Zarówno strona internetowa, jak i baza danych były swobodnie dostępne. Organ ochrony danych stwierdził, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą, ponieważ nawet nazwa użytkownika i hasło nie były wymagane w celu uzyskania dostępu do bazy danych. Pierwotna kara w wysokości 4000 euro została obniżona do 2400 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Luksemburg | 2021-11-09 | 1.500 EUR | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 1500 euro. Firma zainstalowała system monitoringu wideo, aby klienci nie musieli czekać pod nieobecność pracowników recepcji. Jednak kamery stale rejestrowały również fragmenty obszarów roboczych dwóch pracowników. Organ ochrony danych stwierdza, że administrator naruszył tym samym zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, nie informując odpowiednio swoich pracowników i osób trzecich o nadzorze wideo. | link |
| Hiszpania | 2022-01-18 | 15.000 EUR | GARLEX SOLUTIONS, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 15 000 EUR na GARLEX SOLUTIONS, SL. Osoba, której dane dotyczą, otrzymała od firmy wezwanie do przedłużenia umowy na dostawę energii elektrycznej. Następnie osoba, której dane dotyczą, otrzymała SMS z linkiem do umowy na dostawę energii elektrycznej, w której jej dane osobowe zostały już wpisane. Osoba, której dane dotyczą, nie potrafiła wyjaśnić, w jaki sposób firma weszła w posiadanie danych, ponieważ nigdy ich nie udostępniła i na pewno nie wyraziła zgody na ich przetwarzanie. | link |
| Luksemburg | 2022-12-01 | 6.800 EUR | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 6800 euro. Firma zainstalowała system monitoringu wideo, aby chronić majątek firmy, zapobiegać wtargnięciu osób niepowołanych i zapobiegać wypadkom. Jednak kamery uchwyciły również części miejsca pracy pracownika, często używane przez pracowników miejsca dla palących oraz części przestrzeni publicznej. Organ ochrony danych stwierdza, że administrator naruszył tym samym zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, nie informując odpowiednio swoich pracowników i osób trzecich o nadzorze wideo. | link |
| Hiszpania | 2022-01-17 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Osoba ta zainstalowała kamery wideo w bloku, w którym mieszka, które rejestrowały m.in. części wspólne wszystkich mieszkańców. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2022-01-17 | 2.000 EUR | MEETING PUERTO C.B. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2 000 EUR na MEETING PUERTO C.B. Administrator danych bezprawnie opublikował zdjęcie skarżącego ze swoim partnerem na Facebooku i Instagramie, któremu towarzyszyły obraźliwe komentarze. | link |
| Hiszpania | 2022-01-14 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Wykorzystanie kamery CCTV, która uchwyciła również przestrzeń prywatną sąsiada. | link |
| Hiszpania | 2022-01-18 | 56.000 EUR | VODAFONE ESPAÑA, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE ESPAÑA, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, oświadcza, że w jej imieniu zarejestrowane zostały dwa połączenia telefoniczne. Jednak osoba, której dane dotyczą, nigdy nie podpisała umowy ze spółką na żadne z tych połączeń. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych firmy bez weryfikacji, czy umowy zostały przez osobę, której dane dotyczą, zgodnie z prawem i faktycznie zawarte, czy wyraziła zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych . Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro z powodu natychmiastowej zapłaty. | link |
| Malta | 2022-01-17 | 65.000 EUR | C-Planet (IT Solutions) Limited | Art. 5 (1) f) RODO, Art. 6 (1) RODO, Art. 9 (1), (2) RODO, Art. 14 RODO, Art. 32 RODO, Art. 33 RODO, Art. 34 RODO | Maltański organ ochrony danych nałożył grzywnę w wysokości 65 000 EUR na C-Planet (IT Solutions) Limited. Organ ochrony danych wszczął dochodzenie przeciwko C-Planet w kwietniu 2020 r. po otrzymaniu informacji o naruszeniu danych. Organ ochrony danych zauważył w rezultacie, że C-Planet naruszył art. 6 ust. 1 RODO, art. 9 ust. 1, ust. 2 RODO, art. 14 RODO i art. 5 ust. 1 lit. f RODO w kontekście przetwarzania danych. Organ ochrony danych stwierdził również, że C-Planet nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka, co doprowadziło do naruszenia danych. Stanowi to naruszenie art. 32 RODO. Ponadto organ ochrony danych stwierdził, że administrator nie zgłosił naruszenia ochrony danych osobowych w wymaganym prawem terminie i nie poinformował osób, których dane dotyczą. Stanowi to naruszenie art. 33 RODO i art. 34 RODO. | link |
| Portugalia | 2021-12-21 | 1.250.000 EUR | Lisbon City Council | Art. 5 (1) a), c), e) RODO, Art. 6 RODO, Art. 9 (1) a) RODO, Art. 13 (1), (2) RODO, Art. 35 (3) RODO | Portugalski organ ochrony danych nałożył na Radę Miasta Lizbony grzywnę w wysokości 1,25 mln euro. Kara to suma 225 mandatów z tytułu różnych naruszeń popełnionych przez gminę od 2018 roku. Gmina wysłała 111 zawiadomień o demonstracjach do różnych wydziałów i urzędów na terenie gminy, a także do osób trzecich, aby upewnić się, że mogą prawidłowo wykonać swoje obowiązki publiczne. Zawiadomienia zawierały m.in. wrażliwe dane demonstrantów i organizatorów demonstracji. Dane ujawniły między innymi poglądy polityczne, przekonania religijne lub filozoficzne lub orientację seksualną osób, których dane dotyczą. Organ ochrony danych uznał, że przekazanie danych nie byłoby konieczne do prawidłowego wykonywania przez podmioty zadań publicznych. Tym samym przetwarzanie odbywało się bez wystarczającej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że gmina przeprowadziła przetwarzanie bez informowania osób, których dane dotyczą, bez ustanowienia polityki przechowywania ich danych osobowych i bez przeprowadzenia oceny skutków w zakresie ochrony danych. | link |
| Belgia | 2021-12-16 | 75.000 EUR | Bank | Art. 38 (6) RODO | Belgijski organ ochrony danych nałożył na bank grzywnę w wysokości 75 000 euro. Organ ochrony danych stwierdził konflikt interesów dotyczący inspektora ochrony danych. Oprócz pełnienia funkcji inspektora ochrony danych był również kierownikiem działu, do którego jako inspektor ochrony danych musiał się zgłaszać. Organ ochrony danych uznał to za naruszenie art. 38 (6) RODO. | link |
| Włochy | 2021-11-25 | 6.000 EUR | Società H San Raffaele Resnati s.r.l. | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 6000 EUR na spółkę Società H San Raffaele Resnati s.r.l. Organ ochrony danych wszczął dochodzenie przeciwko świadczeniodawcy opieki zdrowotnej po tym, jak zgłosił on naruszenie danych organowi ochrony danych. Pacjent otrzymał omyłkowo dokumentację medyczną i dokumentację kliniczną od dwóch innych pacjentów z powodu błędu pracownika. | link |
| Włochy | 2021-12-02 | 30.000 EUR | Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. | Art. 5 (1) f) RODO, Art. 32 RODO, | Włoski organ ochrony danych (Garante) nałożył grzywnę na Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. 30 000 euro. Dom opieki powiadomił organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. W obiekcie doszło do cyberataku hakera, który uzyskał dostęp do danych osobowych i je opublikował. Obejmowało to publikowanie zdjęć radiologicznych pacjentów na swoim koncie na Twitterze. Dochodzenie organu ochrony danych ujawniło, że dom zabezpieczył dane jedynie prostymi hasłami. Z tego powodu organ ochrony danych stwierdził, że dom nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony współmiernego do ryzyka. | link |
| Włochy | 2021-12-02 | 7.000 EUR | Società Med Store Saronno s.r.l. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę na Società Med Store Saronno s.r.l. 7000 euro. Dom opieki powiadomił organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. W obiekcie doszło do cyberataku hakera, który uzyskał dostęp do danych osobowych i je opublikował. Obejmowało to publikowanie zdjęć radiologicznych pacjentów na swoim koncie na Twitterze. Dochodzenie organu ochrony danych ujawniło, że dom zabezpieczył dane jedynie prostymi hasłami. Z tego powodu organ ochrony danych stwierdził, że dom nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony współmiernego do ryzyka. | link |
| Grecja | 22021-12-09 | 75.000 EUR | Greek Ministry of Tourism | Art. 13 RODO, Art. 32 RODO, Art. 33 RODO, Art. 37 RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 75 000 euro na greckie Ministerstwo Turystyki. W urzędzie doszło do naruszenia danych. Według organu ochrony danych próba wprowadzenia przez obywatela swoich danych uwierzytelniających na platformie internetowej organu skutkowała wyświetleniem danych uwierzytelniających innej osoby, w tym imienia i nazwiska, numeru podatkowego, numeru ubezpieczenia społecznego, adresu pocztowego, numeru telefonu, adresu e-mail, oraz pola wskazujące na niepełnosprawność. Organ ochrony danych stwierdził, że ministerstwo nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych. Ministerstwo nie zgłosiło incydentu organowi ochrony danych. Organ ochrony danych uznał to za naruszenie art. 33 RODO. Dochodzenie organu ochrony danych wykazało również, że Ministerstwo Turystyki nie wyznaczyło inspektora ochrony danych, mimo że adres e-mail inspektora ochrony danych organu został podany na wyżej wymienionej platformie do komunikacji z użytkownikami platformy. Ten adres e-mail, jak się okazało, nie był aktywny. | link |
| Hiszpania | 2022-01-13 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 1000 euro za naruszenie art. 5 ust. 1 lit. c RODO i 500 euro za naruszenie art. 13 RODO. | link |
| Austria | 2022-01-14 | 8.000.000 EUR | REWE International AG | Nieznany | Austriacki organ ochrony danych nałożył na REWE International AG grzywnę w wysokości 8 mln euro. Tylko latem 2021 r. spółka zależna „Unser Ö-Bonus Club GmbH” otrzymała grzywnę w wysokości 2 mln euro. Według gazety „Salzburger Nachrichten” grzywna jest oparta na różnych naruszeniach RODO. Dalsze szczegóły incydentu nie są obecnie znane. | link |
| Irlandia | 2021-12-02 | 60.000 EUR | Irish Teacher Council | Art. 5 (1) RODO, Art. 32 (1) RODO, Art. 33 RODO | Irlandzki organ ochrony danych nałożył na Irish Teaching Council grzywnę w wysokości 60 000 euro. Rada zawiadomiła organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. W związku z tym dwóch pracowników Rady uzyskało dostęp do wiadomości phishingowej, która umożliwiła im skonfigurowanie automatycznego systemu przekazywania ze swoich kont e-mail na złośliwe konto e-mail. W rezultacie na nieautoryzowany zewnętrzny adres e-mail w okresie od 17 lutego 2020 r. do 6 marca 2020 r. przesłano 323 wiadomości e-mail. Wiadomości e-mail zawierały dane osobowe 9735 osób, których dane dotyczą oraz wrażliwe dane osobowe jednej osoby, której dane dotyczą. Organ ochrony danych stwierdził zatem, że Rada nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony danych osobowych osób, których dane dotyczą, współmiernego do ryzyka. Ponadto organ ochrony danych stwierdził, że Rada nie zgłosiła naruszenia danych w odpowiednim czasie. | link |
| Grecja | 2021-12-31 | 30.000 EUR | INFO COMMUNICATION SERVICES | Art. 13 RODO, Art. 14 RODO, Art. 11 Law 3471/2006 | Grecki organ ochrony danych nałożył grzywnę w wysokości 30 000 euro na USŁUGI INFORMATYCZNE. Administrator przeprowadził rozmowy reklamowe bez zgody osób, których dane dotyczą. Ponadto nie poinformował prawidłowo osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, naruszając tym samym swoje obowiązki informacyjne. | link |
| Grecja | 2021-12-31 | 25.000 EUR | PLUS REAL ADVERTISEMENT | Art. 13 RODO, Art. 14 RODO, Art. 11 Law 3471/2006 | Grecki organ ochrony danych nałożył grzywnę w wysokości 25 000 euro na PLUS REAL ADVERTISEMENT. Administrator przeprowadził rozmowy reklamowe bez zgody osób, których dane dotyczą. Ponadto nie poinformował prawidłowo osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, naruszając tym samym swoje obowiązki informacyjne. | link |
| Polska | 2021-12-09 | 10.000 EUR | Warsaw University of Technology | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO | Polski Urząd Ochrony Danych (UODO) nałożył na Politechnikę Warszawską grzywnę w wysokości 10 000 euro. Uczelnia zgłosiła organowi naruszenie danych na podstawie art. 33 RODO. Jedna z jednostek organizacyjnych Uczelni korzystała z aplikacji stworzonej przez pracowników Uczelni do rejestracji na kursy i dostępu do historii nauczania, oceny wyników egzaminów i rozliczania opłat. Na początku stycznia 2020 roku nieupoważniona osoba pobrała z aplikacji bazę danych zawierającą dane osobowe studentów i wykładowców (ponad 5000 osób). W swoim dochodzeniu organ ochrony danych stwierdził, że Unvierstät nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Organ ochrony danych stwierdził również, że uniwersytet nie przeprowadził formalnej oceny ryzyka. | link |
| Hiszpania | 2022-01-11 | 9.000 EUR | EDUCANDO JUNTOS SL | Art. 6 (1) RODO, Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 9 000 euro na EDUCANDO JUNTOS SL. Administrator opublikował zdjęcia pracownika na niektórych swoich kanałach w sieciach społecznościowych i na swojej stronie internetowej. Jednak administrator opublikował zdjęcia bez uzyskania zgody osoby, której dane dotyczą. Z tego powodu osoba, której dane dotyczą, wielokrotnie domagała się usunięcia zdjęć z sieci społecznościowych i strony internetowej. Administrator nie zastosował się jednak do tego żądania. Grzywna wynosi 6 000 euro za naruszenie art. 6 ust. 1 RODO i 3000 EUR za naruszenie art. 17 RODO. | link |
| Hiszpania | 2022-01-11 | 3.000 EUR | Społeczność właścicieli nieruchomości | Art. 5 (1) c) RODO | Wykorzystanie kamery CCTV, która rejestrowała również drogi publiczne na zewnątrz z naruszeniem tzw. zasady minimalizacji danych | link |
| Grecja | 2022-01-05 | 1.000 EUR | Εγνατία Οδός Α.Ε. | Art. 12 (3) RODO | Grecki organ ochrony danych nałożył na Εγνατία Οδός Α.Ε grzywnę w wysokości 1 000 EUR. Firma posiadała system monitoringu wideo do monitorowania uiszczania opłat drogowych. Właściciel samochodu, który otrzymał karę za nieuiszczenie opłaty drogowej, skorzystał z prawa do informacji przyznanych przez RODO. Poprosił o materiały fotograficzne, które zostały zrobione w kontekście grzywny. Poprosił również o otrzymanie kopii dokumentacji incydentu. Spółka odmówiła jednak udzielenia informacji osobie, której dane dotyczą. Dopiero po interwencji organu ochrony danych firma przekazała informacje, ale bez załączania materiału fotograficznego. Z tego powodu organ ochrony danych stwierdził naruszenie art. 12 ust. 3 RODO. | link |
| Francja | 2021-12-31 | 60.000.000 EUR | Facebook Ireland Ltd. | Art. 82 loi Informatique et Libertés | 31 grudnia 2021 r. francuski organ ochrony danych (CNIL) nałożył na Facebook Ireland Ltd grzywnę w wysokości 60 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu odmowy przyjęcia plików cookie na stronie Facebook.com. CNIL przeprowadził następnie przegląd witryn internetowych i stwierdził, że chociaż witryny te oferowały przycisk umożliwiający natychmiastowe zaakceptowanie plików cookie, nie istniało równoważne rozwiązanie, które pozwoliłoby internautom na równie łatwe odrzucenie plików cookie. Wymagało to raczej kilku kliknięć, aby odrzucić wszystkie pliki cookie, w przeciwieństwie do jednego kliknięcia, aby je zaakceptować. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy będą częściej akceptować umieszczanie plików cookie z wygody. Uznał, że konstrukcja depozytu plików cookie narusza wolność wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i wolnościach. Przy ustalaniu kary w sposób obciążający wzięto pod uwagę fakt, że poszkodowana została duża liczba osób. Ponadto CNIL wzięła pod uwagę znaczne zyski, jakie firmy mogły osiągnąć z przychodów reklamowych generowanych pośrednio z danych gromadzonych za pomocą plików cookie. CNIL zwrócił również uwagę na fakt, że organ już w lutym 2021 r. zaalarmował spółkę o tym naruszeniu. Oprócz grzywny, CNIL wydał nakaz nakazujący firmom udostępnienie internautom we Francji sposobu na odrzucenie plików cookie jako łatwo, ponieważ mogą je zaakceptować, w ciągu trzech miesięcy od powiadomienia o decyzji. W przeciwnym razie firmom groziłaby kara w wysokości 100 000 euro za każdy dzień zwłoki. | link |
| Francja | 2021-12-31 | 60.000.000 EUR | Google Ireland Ltd. | Art. 82 loi Informatique et Libertés | 31 grudnia 2021 r. francuski organ ochrony danych (CNIL) nałożył na Google Ireland Ltd grzywnę w wysokości 60 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu odmowy przyjęcia plików cookie na stronach google.fr i youtube.com. CNIL przeprowadził następnie przegląd witryn internetowych i stwierdził, że chociaż witryny te oferowały przycisk umożliwiający natychmiastowe zaakceptowanie plików cookie, nie istniało równoważne rozwiązanie, które pozwoliłoby internautom na równie łatwe odrzucenie plików cookie. Wymagało to raczej kilku kliknięć, aby odrzucić wszystkie pliki cookie, w przeciwieństwie do jednego kliknięcia, aby je zaakceptować. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy będą częściej akceptować umieszczanie plików cookie z wygody. Uznał, że konstrukcja depozytu plików cookie narusza wolność wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i wolnościach. Przy ustalaniu kary w sposób obciążający wzięto pod uwagę fakt, że poszkodowana została duża liczba osób. Ponadto CNIL wzięła pod uwagę znaczne zyski, jakie firmy mogły osiągnąć z przychodów reklamowych generowanych pośrednio z danych gromadzonych za pomocą plików cookie. CNIL zwrócił również uwagę na fakt, że organ już w lutym 2021 r. zaalarmował firmy GOOGLE o tym naruszeniu. Oprócz grzywny, CNIL wydał nakaz nakazujący firmie udostępnienie internautom we Francji sposobu na odrzucenie plików cookie jako łatwo, ponieważ mogą je zaakceptować, w ciągu trzech miesięcy od powiadomienia o decyzji. W przeciwnym razie firmom groziłaby kara w wysokości 100 000 euro za każdy dzień zwłoki. | link |
| Francja | 2021-12-31 | 90.000.000 EUR | Google LLC | Art. 82 loi Informatique et Libertés | 31 grudnia 2021 r. francuski organ ochrony danych (CNIL) nałożył na GOOGLE LLC karę w wysokości 90 000 EUR. CNIL otrzymała kilka skarg dotyczących sposobu, w jaki pliki cookie mogły być odrzucane na stronach google.fr i youtube.com. CNIL przeprowadził następnie przegląd witryn internetowych i stwierdził, że chociaż witryny te oferowały przycisk umożliwiający natychmiastowe zaakceptowanie plików cookie, nie istniało równoważne rozwiązanie, które pozwoliłoby internautom na równie łatwe odrzucenie plików cookie. Wymagało to raczej kilku kliknięć, aby odrzucić wszystkie pliki cookie, w przeciwieństwie do jednego kliknięcia, aby je zaakceptować. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy będą częściej akceptować umieszczanie plików cookie z wygody. Uznał, że konstrukcja depozytu plików cookie narusza wolność wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i wolnościach. Przy ustalaniu kary w sposób obciążający wzięto pod uwagę fakt, że poszkodowana została duża liczba osób. Ponadto CNIL wzięła pod uwagę znaczne zyski, jakie firmy mogły osiągnąć z przychodów reklamowych generowanych pośrednio z danych gromadzonych za pomocą plików cookie. CNIL zwrócił również uwagę na fakt, że organ już w lutym 2021 r. zaalarmował firmy GOOGLE o tym naruszeniu. Oprócz grzywny, CNIL wydał nakaz nakazujący firmie udostępnienie internautom we Francji sposobu na odrzucenie plików cookie jako łatwo, ponieważ mogą je zaakceptować, w ciągu trzech miesięcy od powiadomienia o decyzji. W przeciwnym razie firmom groziłaby kara w wysokości 100 000 euro za każdy dzień zwłoki. | link |
| Rumunia | 2021-12-06 | 6.000 EUR | Telekom Romania Communications SA | Art. 5 (1) d), f) RODO, Art. 5 (2) RODO, Art. 17 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Communications SA karę w wysokości 6 tys. euro. Osoba, której dane dotyczą, złożyła skargę, że administrator wysłał na jej adres e-mail faktury i wiadomości informujące o zaległościach płatniczych innej osoby. Podczas dochodzenia organ ochrony danych stwierdził, że administrator błędnie zebrał i przetworzył niektóre dane osobowe, co skutkowało bezprawnym ujawnieniem danych osobowych. Jednocześnie organ ochrony danych stwierdził, że administrator nie podjął niezbędnych środków w celu spełnienia żądania osoby, której dane dotyczą, o usunięcie jej danych osobowych. Za naruszenie art. 5 ust. 1 lit. d), f) RODO, art. 5 ust. 2 RODO i 1000 EUR za naruszenie art. 17 RODO. | link |
| Włochy | 2021-11-11 | 150.000 EUR | TIM S.p.A. | Art. 15 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę na operatora telefonii komórkowej TIM S.p.A. w wysokości 150 000 EUR za odmowę osobie, której dane dotyczą, dostępu do jej danych telefonicznych potrzebnych do obrony w sprawie karnej. Ponieważ osoba, której dane dotyczą, nie otrzymała odpowiedzi na swoje wielokrotne prośby do spółki, zwrócił się do organu ochrony danych w celu uzyskania danych na czas na rozprawę w postępowaniu karnym. | link |
| Włochy | 2021-12-02 | 30.000 EUR | Ica s.r.l. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę na ICA s.r.l. 30 000 euro. Gmina Collegno wdrożyła opracowany przez ICA system, dzięki któremu obywatele mogli płacić mandaty za wykroczenia drogowe. Jednak ze względu na brak środków bezpieczeństwa teoretycznie możliwy był dostęp osób nieuprawnionych do danych osobowych przechowywanych za pośrednictwem programu. Z tego powodu organ ochrony danych stwierdził, że ICA nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa współmierny do ryzyka, jakie stanowi osoba, której dane dotyczą. | link |
| Norwegia | 2021-12-13 | 20.000 EUR | Elektro & Automasjon Systemer AS | Art. 6 (1) f) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Elektro & Automasjon Systemer AS grzywnę w wysokości 20 000 EUR. Administrator przeprowadził kontrolę zdolności kredytowej osoby, chociaż nie było do tego podstawy prawnej. | link |
| Hiszpania | 2021-12-28 | 2.000 EUR | Call shop manager | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 euro na kierownika sklepu z telefonami. W kontekście wakatu kierownik zorganizował stoisko, na którym kandydaci mogli składać dokumenty aplikacyjne za opłatą w wysokości jednego euro. W tym kontekście zarządca nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych osobowych zgodnie z art. 13 RODO. | link |
| Francja | 2021-12-28 | 300.000 EUR | FREE MOBILE | Art. 12 RODO, Art. 15 RODO, Art. 21 RODO, Art. 25 RODO, Art. 32 RODO | Francuski organ ochrony danych (CNIL) nałożył grzywnę w wysokości 300 000 EUR na FREEE MOBILE. CNIL otrzymała liczne skargi dotyczące nieprzestrzegania przez firmę praw osób, których dane dotyczą. W trakcie dochodzenia CNIL stwierdził, że przedsiębiorstwo nie odpowiedziało na prośby osób, których dane dotyczą, w odpowiednim czasie. Ponadto firma nie zastosowała się do prawa do sprzeciwu osób, których dane dotyczą, ponieważ nadal wysyłała reklamy do osób, których dane dotyczą, mimo że skorzystały one z prawa do sprzeciwu. Ponadto CNIL stwierdziła, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. Na przykład wysłał użytkownikom hasła pocztą elektroniczną w postaci zwykłego tekstu. | link |
| Francja | 2021-12-28 | 180.000 EUR | SLIMPAY | Art. 28 RODO, Art. 32 RODO, Art. 34 RODO | Francuski organ ochrony danych (CNIL) nałożył na instytucję płatniczą SLIMPAY karę w wysokości 180 000 euro. W 2015 roku SLIMPAY przeprowadził wewnętrzny projekt badawczy, w którym przetwarzał dane osobowe w swoich bazach danych. Gdy projekt badawczy zakończył się w lipcu 2016 r., dane były przechowywane na serwerze, bez żadnych zabezpieczeń i swobodnie dostępne w Internecie. Naruszenie danych dotknęło około 12 milionów osób. Podczas dochodzenia CNIL stwierdził, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka dla osób, których dane dotyczą. Tym samym dostęp do serwera nie był objęty żadnymi zabezpieczeniami, dzięki czemu możliwy był dostęp przez Internet w okresie od listopada 2015 r. do lutego 2020 r. Ponadto organ ochrony danych stwierdził, że spółka nie poinformowała osób, których dane dotyczą o naruszeniu danych . CNIL stwierdziła również, że w kilku przypadkach umowy, które firma zawarła z podmiotami przetwarzającymi, były niewłaściwie opracowane, ponieważ nie zawierały pewnych przewidzianych klauzul zobowiązujących przetwarzających do przetwarzania danych osobowych zgodnie z wymogami RODO. | link |
| Hiszpania | 2021-12-28 | 6.000 EUR | REAL CLUB NÁUTICO DE RIBADEO | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 6 000 euro na REAL CLUB NÁUTICO DE RIBADEO. Administrator umieścił na swojej stronie internetowej i stronie na Facebooku linki do orzeczeń sądowych zawierających dane osobowe osoby, której dane dotyczą. | link |
| Hiszpania | 2021-12-28 | 2.000 EUR | VENTANAS MAKE YOURSELF, S.L. | Art. 13 RODO | Serwis korporacyjny nie przedstawił polityki prywatności na swojej stronie głównej. | link |
| Hiszpania | 2021-12-16 | 60.000 EUR | Banco Bilbao Vizcaya Argentaria S.A. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Banco Bilbao Vizcaya Argentaria SA Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z faktem, że administrator wielokrotnie wysyłał mu wiadomości SMS o braku płatności, mimo że nie pozostawał w stosunku umownym z administratorem. Administrator stwierdził, że niechciane wiadomości SMS zostały wysłane z powodu błędu ludzkiego ze strony jego pracowników. Pierwotna kara w wysokości 100 000 euro została obniżona do 60 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-12-22 | 5.000 EUR | HUBSIDE IBÉRICA S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR HUBSIDE IBÉRICA SL. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi za obciążenie jej kilkoma usługami, których nie zamówiła. | link |
| Hiszpania | 2021-12-22 | 5.000 EUR | Sfam España General s.l. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na Sfam España General s.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych za obciążenie jej kilkoma usługami, których nie zamówiła. | link |
| Hiszpania | 2021-12-21 | 6.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 6 000 euro. Osoba ta udostępniła na Twitterze wideo przedstawiające obrazy napaści seksualnej mężczyzny na kobietę. Celem udostępnienia filmu było zwrócenie uwagi na przemoc domową wobec kobiet. Organ ochrony danych uważa udostępnianie za niezgodne z prawem. Mimo że dana osoba mogła mieć uzasadniony interes w udostępnieniu filmu, przeważa prawo ofiary do prywatności. | link |
| Hiszpania | 2021-12-23 | 1.500 EUR | LA OFICINA BAR | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną LA OFICINA BAR. W barze funkcjonował system monitoringu wideo, w którym kąt obserwacji kamer rozciągał się na obszar ruchu publicznego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych | link |
| Hiszpania | 2021-12-17 | 4.000 EUR | CLUB DEPORTIVO RITMO DE ANDALUCÍA | Art. 7 RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2 000 EUR na CLUB DEPORTIVO RITMO DE ANDALUCÍA. Organ ochrony danych skrytykował, że informacja o ochronie danych administratora nie jest zgodna z wymogami RODO. Tym samym informacje wymagane na podstawie art. 13 RODO nie zostało zapewnione w wystarczającym stopniu. Ponadto informacja o ochronie danych nie zapewniała odpowiedniej możliwości wyrażenia zgody na przetwarzanie danych. | link |
| Hiszpania | 2021-12-21 | 2.000 EUR | FUNDACION ESPANOLA DE MEDICINA ESTETICA Y LONGEVIDAD | Art. 7 RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 EUR na FUNDACION ESPANOLA DE MEDICINA ESTETICA Y LONGEVIDAD. Organ ochrony danych skrytykował, że informacja o ochronie danych administratora nie jest zgodna z wymogami RODO. Tym samym informacje wymagane na podstawie art. 13 RODO nie zostało zapewnione w wystarczającym stopniu. Ponadto informacja o ochronie danych nie zapewniała odpowiedniej możliwości wyrażenia zgody na przetwarzanie danych. | link |
| Austria | 2021-08-05 | 600 EUR | Osoba prywatna | Art. 9 RODO | Austriacki organ ochrony danych nałożył na osobę prywatną grzywnę w wysokości 600 euro. Osoba prywatna wysłała do pracodawcy osoby, której dane dotyczą, dokument uzyskany w sprawie sądowej między osobą, której dane dotyczą, a nim samym. Dokument ten zawierał informacje dotyczące danych dotyczących zdrowia osoby, której dane dotyczą. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na przekazanie dokumentu swojemu pracodawcy. | link |
| Norwegia | 2021-12-17 | 3.900 EUR | T. Stene Transport AS | Nieznany | Norweski organ ochrony danych nałożył grzywnę na T. Stene Transport AS w wysokości 3 900 EUR z powodu nieuczciwej kontroli kredytowej osoby, której dane dotyczą. | link |
| Hiszpania | 2021-12-17 | 2.000 EUR | Sklep internetowy | Art. 6 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2000 euro na sprzedawcę internetowego. Osoba, której dane dotyczą, kupiła produkt w sklepie internetowym administratora za pośrednictwem serwisu eBay i zapłaciła za pomocą Paypal. Jednak zamówienie otrzymał za pośrednictwem Amazona. Ponieważ osoba, której dane dotyczą, nie wyraziła zgody na przekazanie swoich danych do Amazon, organ ochrony danych stwierdził, że administrator przetwarzał dane niezgodnie z prawem. | link |
| Hiszpania | 2021-12-17 | 2.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę prywatną grzywną w wysokości 2000 EUR. Administrator danych zainstalował kamery wideo w taki sposób, aby mogły rejestrować obrazy przestrzeni publicznej i wejścia do budynku mieszkalnego. AEPD uznała to za naruszenie zasady minimalizacji danych. | link |
| Grecja | 2021-12-08 | 30.000 EUR | One Way Private Company | Art. 28 (3) c) RODO, Art. 32 (2), (4)RODO, Art. 11 (1) Νόμος 3471/2006 | Grecki organ ochrony danych nałożył na One Way Private Company karę w wysokości 30 000 euro. Organ ochrony danych otrzymał 17 skarg dotyczących nielegalnych rozmów telefonicznych w celach reklamowych. Organ ochrony danych ustalił, że z powodu błędu w aplikacji administratora wykonano połączenia telefoniczne z abonentami znajdującymi się na liście w celu ochrony przed niezamówioną reklamą telefoniczną „Zarejestruj 11”. Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. | link |
| Hiszpania | 2021-12-14 | 50.000 EUR | IZA OBRAS Y PROMOCIONES, S.A. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na IZA OBRAS Y PROMOCIONES, S.A. grzywnę w wysokości 50 000 EUR. Pracownik złożył skargę do organu ochrony danych na spółkę, zarzucając administratorowi nieuprawnione udostępnienie jego danych osobowych innej spółce, od której otrzymał zlecenie budowlane. Osoba, której dane dotyczą, pracowała jako kierownik budowy przy projekcie, ale przez pewien czas była nieobecna w pracy z powodu choroby. W związku z tym administrator poinformował swojego klienta i dodatkowo ujawnił adres e-mail osoby, której dane dotyczą, oraz niektóre informacje zdrowotne. Organ ochrony danych ustalił, że ujawnienie tych danych nie byłoby konieczne, a zatem administrator naruszył zasadę minimalizacji danych. | link |
| Węgry | 2021-10-27 | 13.500 EUR | Importer samochodów | Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 13 RODO | Węgierski organ ochrony danych nałożył grzywnę w wysokości 13 500 euro na importera samochodów. Klient jednego z autoryzowanych warsztatów firmy złożył skargę do organu ochrony danych w związku z otrzymaniem od firmy niezamówionych wiadomości e-mail związanych z ankietami klientów po przeglądzie samochodu. Węgierski organ ochrony danych stwierdził, że administrator nie miał ważnej podstawy prawnej do skontaktowania się z osobą, której dane dotyczą. Stwierdził również, że administrator nie dopełnił obowiązku poinformowania na podstawie art. 12 RODO i art. 13 RODO. E-maile nie zawierały na przykład żadnych danych kontaktowych administratora. | |
| Dania | 2021-12-16 | 13.450 EUR | Gminy Frederiksberg | Art. 32 RODO | Duński organ ochrony danych nałożył na gminę Frederiksberg grzywnę w wysokości 13 450 euro. 1 marca 2021 r. gmina zgłosiła naruszenie danych na podstawie art. 33 RODO. Miejskie usługi opieki dentystycznej prowadziły system, za pośrednictwem którego rodzice mogli uzyskać dostęp online do listów dotyczących opieki dentystycznej swoich dzieci. Gmina następnie rozszerzyła ten dostęp na rodziców posiadających wspólną opiekę. W rezultacie w kilku przypadkach rodzice uzyskali dostęp do informacji o drugim rodzicu i adresie dziecka, mimo że dotknięty rodzic i dziecko zostali zarejestrowani z ochroną nazwiska i adresu. Organ ochrony danych uznał to za naruszenie obowiązku gminy do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. | link |
| Hiszpania | 2021-12-16 | 1.200 EUR | Osoba prywatna | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1200 EUR za nieudzielenie wystarczających informacji na temat systemu nadzoru wideo zainstalowanego na ich posesji. | link |
| Finlandia | 2021-12-07 | 608.000 EUR | Psykoterapiakeskus Vastaamo | Art. 5 (1) f) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO | Fiński organ ochrony danych nałożył na ośrodek psychoterapii Vastaamo grzywnę w wysokości 608 000 euro. We wrześniu 2020 r. ośrodek psychoterapii zgłosił organowi ochrony danych atak na bazę danych pacjentów. Nieupoważniona osoba trzecia uzyskała dostęp do medycznej bazy danych Vastaamo co najmniej dwa razy, w grudniu 2018 r. i marcu 2019 r. Atakujący wyprowadził również dane i zostawił żądanie okupu na serwerach. Z powodu niewystarczającego logowania nie udało się ustalić dokładnej daty naruszenia ani adresów sieciowych wykorzystywanych przez atakującego. Najbardziej prawdopodobną przyczyną wycieku medycznej bazy danych był niechroniony port w bazie danych, na którym konto użytkownika root bazy danych nie było chronione hasłem. W okresie od 26 listopada 2017 r. do 13 marca 2019 r. serwer bazy danych pacjentów był otwarty na Internet bez ochrony firewall. Z tego powodu organ ochrony danych stwierdził, że dane osobowe nie były odpowiednio chronione przed nieuprawnionym i niezgodnym z prawem przetwarzaniem lub przypadkową utratą , zniszczenia lub uszkodzenia oraz że administrator nie wdrożył podstawowych środków bezpiecznego przetwarzania danych osobowych. W ramach dochodzenia organ ochrony danych ustalił również, że administrator musiał wiedzieć już w marcu 2019 r., że dane w systemie informacji o pacjentach zostały utracone i mogły zostać naruszone przez zewnętrznego atakującego. Vastaamo powinien był natychmiast zgłosić naruszenie bezpieczeństwa zarówno organowi ochrony danych, jak i jego pacjentom. Jednak Vastaamo znacznie spóźnił się z wypełnieniem tego obowiązku. Wysokość grzywny wynosi proporcjonalnie 145 600 EUR za naruszenie art. 33 ust. 1 RODO, 145,600 EUR za naruszenie art. 34 ust. 1 RODO i 316 800 EUR za naruszenie art. 5 ust. 1 lit. f RODO. | link |
| Austria | 2021-02-12 | 3.000 EUR | Nieznany | Art. 31 RODO | Austriacki organ ochrony danych nałożył na firmę grzywnę w wysokości 3 000 EUR za nieudostępnienie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. | link |
| Norwegia | 2021-12-13 | 6.300.000 EUR | Grindr LLC | Art. 6 (1) RODO, Art. 9 (1) RODO | Norweski organ ochrony danych nałożył grzywnę na Grindr LLC w wysokości 6,3 mln EUR. Grindr to oparta na lokalizacji aplikacja społecznościowa przeznaczona dla osób homoseksualnych, bi, trans i queer. W 2020 r. Norweski Urząd Ochrony Konsumentów złożył skargę przeciwko Grindr do norweskiego organu ochrony danych, twierdząc, że portal udostępnił informacje o lokalizacji GPS użytkowników, adresie IP, identyfikatorze reklamowym telefonu komórkowego, wieku i płci kilku stronom trzecim w celach marketingowych. Zgodnie z RODO wymagana jest zgoda na udostępnianie tych danych osobowych. Jednak podczas dochodzenia organ ochrony danych stwierdził, że zgoda zebrana przez Grindr była nieważna. Użytkownicy musieli zaakceptować politykę prywatności, aby korzystać z aplikacji, ale nie zostali wprost zapytani, czy wyraziliby zgodę na udostępnianie ich danych podmiotom trzecim w celach marketingowych. Ponadto informacje o ujawnieniu danych osobowych nie były wystarczająco jasne lub dostępne dla użytkowników. Organ ochrony danych wskazuje, że tego typu dane mogą identyfikować użytkownika Grindr jako członka mniejszości seksualnej. Użytkownicy Grindr czasami chcieliby korzystać z aplikacji anonimowo, na przykład bez podawania swojego imienia i nazwiska lub przesyłania swojego zdjęcia. W związku z orientacją seksualną użytkowników wpłynęła zatem również na szczególną kategorię danych osobowych, która podlega szczególnie wysokiemu poziomowi ochrony. Organ ochrony danych uważa zatem naruszenie za szczególnie poważną sprawę, która uzasadnia odstraszającą wysoką grzywnę. Modele biznesowe oparte na marketingu behawioralnym są szeroko rozpowszechnione w gospodarce cyfrowej, dlatego ważne jest, aby kary za naruszenia RODO miały charakter odstraszający. | link |
| Rumunia | 2021-12-13 | 2.000 EUR | SC Nobiotic Pharma SRL | Art. 58 (1) RODO | Niedostarczenie żądanych informacji rumuńskiemu organowi ochrony danych w wymaganym terminie z naruszeniem art. 58 RODO | link |
| Norwegia | 2021-11-24 | 98.000 EUR | Norwegian State Pension Fund (SPK) | Art. 5 (1) c), e) RODO, Art. 6 (1) RODO, Art. 9 (2) RODO | Norweski organ ochrony danych nałożył na Norweski Państwowy Fundusz Emerytalny (SPK) karę w wysokości 98 000 euro. Administrator poinformował organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO. Organ ochrony danych stwierdził, że administrator danych bezprawnie gromadził pewne informacje o dochodach od 2016 r. Na przykład administrator danych zbierał informacje zdrowotne dotyczące rent z tytułu niezdolności do pracy, chociaż nie było to wymagane. Zdarzenia te dotknęły około 24 000 osób. Ponadto organ ochrony danych stwierdził, że SPK nie wdrożyło procedur przeglądania i usuwania nadmiernych informacji zebranych do 2019 r. | link |
| Belgia | 2021-12-08 | 10.000 EUR | Nieznany | Art. 12 (3) RODO, Art. 14 (1), (2), (3) RODO, Art. 15 RODO, Art. 17 (1) c) RODO, Art. 21 (2) RODO | Belgijski organ ochrony danych nałożył na firmę grzywnę w wysokości 10 000 euro. Osoba, której dane dotyczą, wielokrotnie otrzymywała od firmy pocztę z treściami reklamowymi, chociaż sprzeciwiła się przetwarzaniu jej danych osobowych i zażądała usunięcia swoich danych. Spółka nie odpowiedziała jednak na zapytania organu ochrony danych w tym zakresie. Ponadto spółka nie poinformowała w wystarczającym stopniu osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych. | link |
| Holandia | 2021-11-25 | 2.750.000 EUR | Holenderski Minister Finansów | Art. 5 (1) a) RODO, Art. 6 (1) e) RODO, Art. 8 Wbp | Holenderski organ ochrony danych (AP) nałożył na Ministra Finansów 2,75 mln euro grzywny. W kontekście wniosków o świadczenia wychowawcze, urzędy skarbowe przez kilka lat przetwarzały dane dotyczące podwójnego obywatelstwa wnioskodawców. Organ ochrony danych stwierdził jednak, że dane dotyczące podwójnego obywatelstwa obywateli Holandii nie byłyby konieczne przy ocenie wniosku o świadczenia z tytułu opieki nad dzieckiem. Dane te były również przetwarzane w celu zwalczania oszustw zorganizowanych oraz automatycznej klasyfikacji w systemie ryzyka organu. Jednak nawet dla tych celów przetwarzanie nie byłoby konieczne. Z tego powodu administracja podatkowa i celna powinna była usunąć dane dotyczące podwójnego obywatelstwa już w styczniu 2014 r. Niemniej jednak, według stanu na maj 2018 r., dane dotyczące podwójnego obywatelstwa łącznie 1,4 mln osób nadal były zarejestrowane w systemach administracji podatkowej i celnej. Organ ochrony danych stwierdził zatem, że dane zostały przetworzone niezgodnie z prawem ze względu na brak ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że osoby, których dane dotyczą, były dyskryminowane ze względu na ich narodowość. | link |
| Hiszpania | 2021-12-07 | 24.000 EUR | NBQ Technology, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na NBQ Technology, SAU. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko firmie po tym, jak odmówiono mu transakcji finansowej z powodu domniemanych niespłaconych spłat pożyczki. Jak się okazało, złodziej tożsamości zdobył dane osoby, której dane dotyczą, bez zezwolenia i wystąpił o pożyczkę od administratora danych pod pozorem tożsamości osoby, której dane dotyczą. Administrator następnie zatwierdził pożyczkę. Ponieważ dane przetwarzane w trakcie udzielania pożyczki nie należały do pożyczkobiorcy, ale do osoby, której dane dotyczą, AEOPD uznał, że administrator nie ma podstawy prawnej do przetwarzania danych. Przetwarzanie było zatem niezgodne z prawem i naruszało art. 6 ust. 1 RODO zostało potwierdzone. Pierwotna kara w wysokości 40 000 euro została obniżona do 24 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-12-03 | 1.000 EUR | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 1000 EUR za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w zakładzie. | link |
| Niemcy | 2019 | od 300 do 1.000 EUR | Nieznany | Art. 6 RODO | Dziewięć grzywien w wysokości od 350 EUR do 1000 EUR za niezgodne z prawem korzystanie z kamery samochodowej. | link |
| Niemcy | 2019 | od 50 do 800 EUR | Nieznany | Art. 6 RODO | Osiem grzywien w wysokości od 50 do 800 EUR za niezgodne z prawem korzystanie z kamery samochodowej. | link |
| Niemcy | 2019 | 500 EUR | Nieznany | Art. 15 RODO | Administrator danych nie spełnił żądania osoby, której dane dotyczą, aby uzyskać dostęp do jej danych osobowych. | link |
| Niemcy | Nieznany | 600 EUR | Nieznany | Art. 6 RODO | Bezprawne użycie dashcam. | link |
| Niemcy | Nieznany | 300 EUR | Nieznany | Art. 6 RODO | Bezprawne użycie dashcam. | link |
| Niemcy | Nieznany | 50 EUR | Nieznany | Art. 6 RODO | Bezprawne użycie dashcam. | link |
| Hiszpania | 2021-11-02 | 2.000 EUR | COOPERA RC SERVICES, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na COOPERA RC SERVICES. Administrator nie podał wystarczających danych kontaktowych, za pośrednictwem których osoby, których dane dotyczą, mogłyby skorzystać ze swoich praw. | link |
| Hiszpania | 2021-11-23 | 40.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator przekazał jej linię telefoniczną innej osobie bez jej zgody z powodu błędu technicznego. Ponadto konto osoby, której dane dotyczą, zostało obciążone kwotami, które należały do linii telefonicznej osoby trzeciej. Organ ochrony danych stwierdził, że Vodafone bezprawnie przetwarzał dane osoby, której dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro z powodu dobrowolnej wpłaty. | link |
| Hiszpania | 2021-11-23 | 40.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi danych z uwagi na fakt, że linie telefoniczne zostały zarejestrowane na jego nazwisko, chociaż nigdy nie zawarł ze spółką umów na żadną z tych linii. Vodafone omyłkowo przypisał dane objęte umowami innego klienta Vodafone, dlatego umowy nosiły jego nazwisko. W tym kontekście organ ochrony danych uznał przetwarzanie danych osoby, której dane dotyczą, przez Vodafone za niezgodne z prawem. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro z powodu dobrowolnej wpłaty. | link |
| Hiszpania | 2021-12-02 | 2.000 EUR | IMAGINA FRAN SPORT, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną IMAGINA FRAN SPORT, S.L. 2 000 EUR z uwagi na niezgodność polityki prywatności z wymogami art. 13 RODO. Na przykład witryna zawierała nieaktualne informacje. | link |
| Hiszpania | 2021-12-01 | 5.000 EUR | INTRODUCTION BUSINESS CAPITAL MEDIA, S.L. | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na WPROWADZENIE BUSINESS CAPITAL MEDIA, SL. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora danych, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinson. | link |
| Włochy | 2021-10-14 | 8.000 EUR | Agencja Ochrony Zdrowia Sardynii | Art. 5 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 8 000 euro na Sardyńską Agencję Ochrony Zdrowia (ATS). Pacjent omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną od innego pacjenta we własnej dokumentacji. | link |
| Włochy | 2021-09-29 | 2.000 EUR | Lekarz | Art. 5 (1) a) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na lekarza grzywnę w wysokości 2000 euro. Pacjent złożył skargę do organu ochrony danych, że lekarz bez zezwolenia ujawnił jego dane osobowe osobom trzecim. Lekarz zalecił osobie, której dane dotyczą, produkty medyczne w ramach jego leczenia. Kilka dni później osoba, której dane dotyczą, otrzymała telefon od konsultanta ds. marketingu odpowiedzialnego za polecane produkty. Osoba, której dane dotyczą wskazała, że nigdy nie wyraziła zgody na ujawnienie swoich danych. Poręczenie stwierdza, że przetwarzanie danych osobowych niezbędnych do leczenia nie wymaga żadnej konkretnej zgody. Tutaj jednak dane były przetwarzane w celu promocji produktów, w związku z czym wymagana byłaby wyraźna zgoda na podstawie art. 9 RODO. Lekarz w ten sposób przetwarzał dane niezgodnie z prawem. | link |
| Wielka Brytania | 2021-11-25 | 585.000 EUR | Gabinet | Art. 5 (1) f) RODO, Art. 32 RODO | Brytyjski organ ochrony danych (ICO) nałożył na biuro rządu grzywnę w wysokości 585 000 EUR. 27 grudnia 2019 r. Urząd Rady Ministrów opublikował na GOV.UK akta zawierające nazwiska i nieocenzurowane adresy ponad 1000 osób, które otrzymały odznaczenia noworoczne. Dotyczyło to osób z różnych zawodów w Wielkiej Brytanii, w tym osób o wysokim profilu publicznym. Po otrzymaniu informacji o naruszeniu danych, Kancelaria Rady Ministrów usunęła link do pliku. Jednak plik nadal znajdował się w pamięci podręcznej i był dostępny online dla osób, które miały dokładny adres strony internetowej. Ujawnione dane osobowe były dostępne online przez dwie godziny i 21 minut i były przeglądane 3872 razy. Do naruszenia doszło z powodu błędu w konfiguracji nowego systemu informatycznego Kancelarii. ICO stwierdziła, że Kancelaria Rady Ministrów nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiadającego ryzyku dla osób, których dane dotyczą. | link |
| Włochy | 2021-10-28 | 2.000 EUR | Anfiteatro Flavio s.r.l. | Art. 13 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 euro na Anfiteatro Flavio s.r.l. Podczas kontroli administracyjnej hotelu zarządzanego przez Anfiteatro Flavio policja stwierdziła, że w sklepie zainstalowano system monitoringu wideo z trzema kamerami. Stwierdził jednak, że administrator nie dostarczył wystarczających informacji na temat obecności telewizji przemysłowej. Organ ochrony danych uznał to za naruszenie art. 13 RODO. | link |
| Włochy | 2021-10-28 | 2.000 EUR | OTTO s.r.l. | Art. 13 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 euro na OTTO s.r.l. Podczas kontroli administracyjnej sklepu zarządzanego przez OTTO policja stwierdziła, że w sklepie zainstalowano system monitoringu wideo z trzema kamerami. Stwierdził jednak, że administrator nie dostarczył wystarczających informacji na temat obecności telewizji przemysłowej. Organ ochrony danych uznał to za naruszenie art. 13 RODO. | link |
| Litwa | 2021-11-29 | 110.000 EUR | UAB Prime Leasing | Art. 32 (1) b), d) RODO | Litewski organ ochrony danych nałożył grzywnę na UAB Prime Leasing, operatora platformy krótkoterminowego wynajmu samochodów CityBee, w wysokości 110 000 EUR. Organ ochrony danych przeprowadził śledztwo z własnej inicjatywy po tym, jak w lutym 2021 r. upubliczniono informację o możliwym naruszeniu ochrony danych osobowych (art. 33 RODO) klientów firmy. Według firmy o naruszeniu bezpieczeństwa dowiedzieli się od innego dostawcy usług cyberbezpieczeństwa, który poinformował ich, że dane klientów 110 302 użytkowników CityBee zostały opublikowane na stronie forum hakerskiego RaidForums.com. Obejmowały one takie dane, jak nazwiska, adresy, numery telefonów, adresy e-mail, osobiste numery identyfikacyjne, numery prawa jazdy, rodzaj karty płatniczej i cztery ostatnie cyfry numeru karty osób, których dane dotyczą. Dochodzenie organu ochrony danych ujawniło, że opublikowane dane pochodziły z niezabezpieczonej kopii zapasowej bazy danych. Organ ochrony danych stwierdził, że naruszenie danych nastąpiło z powodu niewypełnienia przez spółkę obowiązku wdrożenia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. Spółka nie powołała na przykład osoby o odpowiednich kompetencjach odpowiedzialnej za bezpieczeństwo i zarządzanie ryzykiem. Nie udało się również zapewnić, aby dostęp do plików bazy danych był rejestrowany i oceniany. Dodatkowo firma przechowywała bazę danych w postaci niezaszyfrowanej, aby osoba posiadająca wiedzę techniczną miała pełny dostęp do danych w pliku po jego pobraniu. Kody osobiste w bazie danych były ponadto przechowywane bez ochrony, a hasła w bazie danych były szyfrowane tylko za pomocą algorytmu szyfrowania, który uznano za niepewny. | link |
| Hiszpania | 2021-11-30 | 5.000 EUR | ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE | Art. 17 (1) RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE w wysokości 5 000 EUR. Osoba, której dane dotyczą, wskazała, że sprzeciwiła się dalszej subskrypcji newslettera i zażądała od administratora usunięcia wszystkich swoich danych. Jednak nadal otrzymywał reklamy od administratora danych. | link |
| Hiszpania | 2021-11-30 | 20.000 EUR | DAVISER SERVICIOS, S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę DAVISER SERVICIOS, SL grzywnę w wysokości 20 000 EUR. Firma przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, chociaż można było zastosować mniej inwazyjne środki (takie jak karty-klucze). wykorzystywane do ochrony prywatności osób, których dane dotyczą. AEPD stwierdził, że administrator naruszył zasadę minimalizacji danych. | link |
| Hiszpania | 2021-11-30 | 5.000 EUR | ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE | Art. 17 (1) RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE w wysokości 5 000 EUR. Osoba, której dane dotyczą, wskazała, że sprzeciwiła się dalszej subskrypcji newslettera i zażądała od administratora usunięcia wszystkich swoich danych. Jednak nadal otrzymywał reklamy od administratora danych. | link |
| Hiszpania | 2021-11-30 | 1.500 EUR | Neighborhood community | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na społeczność sąsiedzką. Ukarany podmiot zainstalował kamery wideo na swojej prywatnej posesji w taki sposób, aby mógł rejestrować obrazy przestrzeni publicznej i prywatnej posesji sąsiada. AEPD uznała to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2021-11-29 | 1.000 EUR | Właściciel restauracji | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela restauracji grzywnę w wysokości 1000 EUR za nieudostępnienie znaków informacyjnych dotyczących nadzoru CCTV w lokalu. | link |
| Hiszpania | 2021-11-29 | 4.000 EUR | TIGERS MARKET, S.L. | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na TIGERS MARKET, SL. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora danych, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinsona. | link |
| Luksemburg | 2021-10-27 | 15.400 EUR | Nieznany | Art. 38 (1), (3) RODO, Art. 39 (1) a), b) RODO | Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 15 400 euro. Zdaniem DPA, administrator nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Ponadto, wbrew wymogom RODO, inspektor ochrony danych nie raportował bezpośrednio do najwyższego szczebla kierowniczego; zamiast tego istniały dwa poziomy hierarchii pomiędzy nimi. Ponadto administrator nie posiadał planu kontroli ochrony danych, który miałby wykazać, że inspektor ochrony danych wykonywał swoje obowiązki w sposób prawidłowy. | link |
| Grecja | 2021-10-14 | 20.000 EUR | ΚΑΠΑ ΛΑΜΔΑ ΩΜΕΓΑ ΔΙΑΦΗΜΙΣΤΙΚΗ ΕΜΠΟΡΙΚΗ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ | Art. 6 RODO, Art. 12 (2) RODO, Art. 21 RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 20 000 EUR. Firma w kilku przypadkach przeprowadziła rozmowy marketingowe bez zgody osób, których dane dotyczą. Pomimo kilku odwołań przez osoby, których dane dotyczą, nadal otrzymywali niechciane reklamy. | link |
| Hiszpania | 2021-11-24 | 9.000 EUR | UNIÓN FINANCIERA ASTURIANA S.A. E.F.C. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na UNIÓN FINANCIERA ASTURIANA S.A. E.F.C. Administrator przeprowadził kontrolę zdolności kredytowej osoby, której dane dotyczą, bez żadnej podstawy umownej. Pierwotna grzywna w wysokości 15 000 euro została obniżona do 9 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Islandia | 2021-11-23 | 27.200 EUR | YAY ehf. | Art. 5 RODO, Art. 6 RODO, Art. 28 RODO, Art. 32 RODO | Islandzki Urząd Ochrony Danych nałożył grzywnę w wysokości 51 000 euro na Ministerstwo Przemysłu i Innowacji oraz grzywnę w wysokości 27 200 euro na YAY ehf. Kara jest związana z kampanią ministerstwa mającą na celu zachęcenie Islandczyków do podróży krajowych latem 2020 roku. Obejmowała ona cyfrowy bon upominkowy, który można było otrzymać za pośrednictwem aplikacji firmy YAY ehf. Organ ochrony danych otrzymał szereg skarg dotyczących faktu, że wykorzystanie upominku podróżnego wymagało obszernych danych osobowych i dostępu do telefonów użytkowników. W rezultacie DPA wszczął śledztwo przeciwko ministerstwu i firmie. Organ ochrony danych uznał, że ministerstwo naruszyło zasadę legalności i przejrzystości. Osoby biorące udział w promocji musiały jedynie wyrazić zgodę na Ogólne warunki korzystania z aplikacji YAY, aby wziąć udział w promocji kuponowej. Organ ochrony danych stwierdził jednak, że czyniąc to, osoby, których dane dotyczą, nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych w ramach promocji. Organ ochrony danych stwierdził również, że przekazane informacje o faktycznym przetwarzaniu danych osobowych były niewystarczające. Co więcej, ani ministerstwo, ani YAY ehf. wdrożył odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych. Również ze względu na błąd konfiguracyjny po stronie YAY przetworzono więcej danych niż to konieczne, dlatego też DPA stwierdził naruszenie zasady minimalizacji danych. | link |
| Islandia | 2021-11-23 | 51.000 EUR | Icelandic Ministry of Industry and Innovation | Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 25 RODO, Art. 28 RODO, Art. 32 RODO | Islandzki Urząd Ochrony Danych nałożył grzywnę w wysokości 51 000 euro na Ministerstwo Przemysłu i Innowacji oraz grzywnę w wysokości 27 200 euro na YAY ehf. Kara jest związana z kampanią ministerstwa mającą na celu zachęcenie Islandczyków do podróży krajowych latem 2020 roku. Obejmowała ona cyfrowy bon upominkowy, który można było otrzymać za pośrednictwem aplikacji firmy YAY ehf. Organ ochrony danych otrzymał szereg skarg dotyczących faktu, że wykorzystanie upominku podróżnego wymagało obszernych danych osobowych i dostępu do telefonów użytkowników. W rezultacie DPA wszczął śledztwo przeciwko ministerstwu i firmie. Organ ochrony danych uznał, że ministerstwo naruszyło zasadę legalności i przejrzystości. Osoby biorące udział w promocji musiały jedynie wyrazić zgodę na Ogólne warunki korzystania z aplikacji YAY, aby wziąć udział w promocji kuponowej. Organ ochrony danych stwierdził jednak, że czyniąc to, osoby, których dane dotyczą, nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych w ramach promocji. Organ ochrony danych stwierdził również, że przekazane informacje o faktycznym przetwarzaniu danych osobowych były niewystarczające. Co więcej, ani ministerstwo, ani YAY ehf. wdrożył odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych. Również ze względu na błąd konfiguracyjny po stronie YAY przetworzono więcej danych niż to konieczne, dlatego też DPA stwierdził naruszenie zasady minimalizacji danych. | link |
| Rumunia | 2021-11-26 | 2.000 EUR | Valoris Center S.R.L. | Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (4) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 2 000 EUR na Valoris Center S.R.L. Administrator poinformował organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Pracownik call center administratora przypadkowo wysłał klientowi plik Excel zawierający dane od innych klientów administratora. W trakcie dochodzenia ustalono, że naruszenie to spowodowało nieuprawnione ujawnienie lub dostęp do danych osobowych, takich jak adres e-mail, nazwa użytkownika, identyfikator użytkownika, numer telefonu, nazwa klienta, kod klienta, PIN klienta, łącznie 11169 osób fizycznych dotkniętych zdarzeniem. Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. | link |
| Hiszpania | 2021-11-23 | 40.000 EUR | Vodafone España, SAU | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España S.A.U. 40 000 euro. Osoba fizyczna złożyła skargę przeciwko Vodafone do organu ochrony danych, ponieważ jej linia telefoniczna została przeniesiona do strony trzeciej bez jej zgody i została obciążona kwotami z linii telefonicznej strony trzeciej. Powodem tego był błąd techniczny w systemach Vodafone. | link |
| Hiszpania | 2021-11-23 | 3.000 EUR | FUENSANTA S.L. | Art. 58 (1) RODO | Administrator nie dostarczył informacji wymaganych przez hiszpański organ ochrony danych (AEPD) do celów dochodzeniowych. | link |
| Hiszpania | 2021-11-22 | 2.000 EUR | ANIVERSALIA NETWORKS, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną ANIVERSALIA NETWORKS, S.L. 2 000 EUR z uwagi na fakt, że polityka prywatności na jego stronie internetowej nie spełniała wymogów art. 13 RODO | link |
| Hiszpania | 2021-11-22 | 3.000 EUR | Nieznany | Art. 13 GRODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 3 000 euro. Firma poprosiła klientów o różne dane osobowe w celu umówienia się na spotkanie. Organ ochrony danych uznał, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. | link |
| Francja | 2021-11-04 | 400.000 EUR | Régie autonome des transports parisiens | Art. 5 (1) c) RODO, Art. 5 (1) e) RODO, Art. 5 (2) RODO, Art. 32 RODO | Francuski organ ochrony danych (CNIL) nałożył na RATP (operatora systemu transportu publicznego w Paryżu) grzywnę w wysokości 400 tys. euro. W maju 2020 r. związek zawodowy złożył skargę do CNIL zarzucając, że liczba dni strajkowych wykorzystanych przez pracowników została uwzględniona w aktach służących do przygotowania decyzji o awansie. CNIL przeprowadził następnie badania w kilku centrach autobusowych RATP. Doprowadziło to do potwierdzenia tej praktyki w trzech centrach autobusowych RATP. CNIL wskazał, że akta oceny wyników i możliwości awansu powinny zawierać wyłącznie dane niezbędne do oceny pracowników. W szczególności wystarczyło wskazać całkowitą liczbę dni nieobecności bez konieczności wchodzenia w szczegóły i rozróżniania dni związanych z ćwiczeniem prawa do strajku. Stwierdził, że wykorzystanie danych dotyczących liczby dni strajku pracowników nie było konieczne do tych celów, a RATP naruszyło w ten sposób zasadę minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził, że RATP nadmiernie zatrzymał wiele danych swoich pracowników. Rzeczywiście, RATP przechowywał akta dotyczące oceny pracowników przez ponad trzy lata po powołaniu komisji ds. awansu, chociaż ich przechowywanie było wymagane tylko przez 18 miesięcy po sprawowaniu funkcji przez te komisje. Ponadto CNIL stwierdził, że RATP nie rozróżnia odpowiednio poziomów uprawnień personelu, umożliwiając dostęp do niektórych danych większej liczbie pracowników niż to konieczne. Z tego powodu CNIL stwierdził, że RATP nie dopełniło swojego obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka. | link |
| Cypr | 2021-11-12 | 925.000 EUR | WS WiSpear Systems Ltd | Art. 5 (1) a) RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 925.000 EUR na WS WiSpear Systems Ltd. W ramach testów i prezentacji technologii firma zebrała różne dane od osób fizycznych (adresy Media Access Control i dane dotyczące międzynarodowej tożsamości abonenta mobilnego) bez ich wiedzy. W tym kontekście organ ochrony danych stwierdził naruszenie zasady legalności, obiektywizmu i przejrzystości. | link |
| Hiszpania | 2021-11-15 | 40.000 EUR | Vodafone España, SAU | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba fizyczna złożyła skargę do organu ochrony danych. Osoba, której dane dotyczą, twierdzi, że we wrześniu 2020 r. otrzymała wiadomości tekstowe od Vodafone informujące go, że ma długi z tytułu usług, które zamówił w Vodafone. Adres rozliczeniowy podany w wiadomościach tekstowych odpowiadał adresowi starego domu, w którym osoba, której dane dotyczą, mieszkała w przeszłości ze swoim byłym partnerem. Vodafone stwierdził, że błąd systemu doprowadził do tego incydentu. Spowodowało to, że osoba, której dane dotyczą, pojawiła się jako posiadacz konta klienta swojego byłego partnera. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro z powodu dobrowolnej wpłaty. | link |
| Hiszpania | 2021-11-22 | 1.000 EUR | Społeczność sąsiedztwa | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na gminę sąsiedzką grzywnę w wysokości 1000 euro. Powodem tego było to, że znak informacyjny o systemie nadzoru wideo nie zawierał wystarczających informacji zgodnie z wymogami art. 13 RODO. Znak nie zawierał ani odniesienia do administratora danych, ani adresu kontaktowego w przypadku chęci skorzystania z praw osób, których dane dotyczą. | link |
| Bułgaria | 2021-10-26 | 380 EUR | Bank | Art. 5 (1) b) RODO | Bułgarski organ ochrony danych nałożył na bank grzywnę w wysokości 380 EUR za niezgodne z prawem przekazywanie danych osobowych stronom trzecim. | |
| Hiszpania | 2021-11-15 | 30.000 EUR | Vodafone España, SAU | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Osoba, której dane dotyczą, oświadcza, że otrzymała faktury i obciążenia na swoim koncie bankowym z tytułu płatności za usługi Vodafone, których sam nie zarezerwował. Osoba, której dane dotyczą, stwierdziła również, że została poproszona o zapłatę za te usługi przez firmę windykacyjną I.S.G.F. Informes Comerciales, S.L. Jak się okazało, oszuści wykorzystali dane osobowe osoby, której dane dotyczą, do zawarcia umowy o świadczenie usług. Vodafone następnie anulował umowę na zarezerwowane usługi. Jednak z powodu błędu systemowego zaległe faktury nie zostały anulowane, dlatego zostały przekazane do firmy windykacyjnej. AEPD ustaliło, że transmisja ta była niezgodna z prawem ze względu na brak ważnej umowy. Pierwotna kara w wysokości 50 000 euro została obniżona do 30 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-11-15 | 1.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 euro na osobę prywatną za nieautoryzowane zamontowanie kamery do monitoringu wideo w jej samochodzie. Samochód był zaparkowany na publicznej ulicy, dlatego kamera rejestrowała również przestrzeń publiczną. AEPD stwierdziło, że nadzór wideo w przestrzeni publicznej stanowi naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2021-11-15 | 1.000 EUR | Supermarket | Art. 13 RODO | Korzystanie z kamery CCTV bez odpowiedniej informacji. | link |
| Holandia | 2021-11-12 | 400.000 EUR | Transavia | Art. 32 (1), (2) RODO | Holenderski organ ochrony danych nałożył grzywnę na linie lotnicze Transavia w wysokości 400 000 EUR. W 2019 roku linia lotnicza doznała naruszenia danych, w którym haker uzyskał dostęp do systemów Transavii za pośrednictwem dwóch kont posiadanych przez dział IT firmy. Mogło to potencjalnie umożliwić hakerowi dostęp do danych, takich jak imiona i nazwiska, daty urodzenia, płeć, adresy e-mail, numery telefonów, informacje o lotach i numery rezerwacji 25 milionów pasażerów. Okazało się, że haker faktycznie pobrał dane osobowe 83 000 osób. W 367 przypadkach dane zawierały informacje medyczne osób, które z powodu niewidomych lub głuchoniemych zażądały np. przewozu wózka inwalidzkiego lub usług dodatkowych. Organ ochrony danych zauważył, że brak środków bezpieczeństwa umożliwił hakerowi dostęp do systemów. Dzięki temu możliwy był dostęp do systemów linii lotniczej po wpisaniu hasła. Systemy nie zawierały uwierzytelniania wieloskładnikowego. Co więcej, prawa dostępu do kont nie ograniczały się do niezbędnych systemów, umożliwiając hakerowi wykorzystanie ich w celu uzyskania dostępu do wielu systemów Transavii. Organ ochrony danych stwierdził, że Transavia naruszyła swój obowiązek wdrożenia środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. | link |
| Polska | 2021-11-14 | 78.000 EUR | Bank Millennium S.A | Art. 33 (1) RODO, Art. 34 (1) RODO | Polski organ ochrony danych (UODO) nałożył na Bank Millennium S.A. karę w wysokości 78 000 euro. UODO dowiedział się o naruszeniu ochrony danych w wyniku skargi na bank. Okazało się, że korespondencja wysyłana przez bank za pośrednictwem firmy kurierskiej, zawierająca dane osobowe takie jak imię, nazwisko, PESEL, adres zamieszkania, numery kont i numery identyfikacyjne klientów, została zagubiona. W tym zakresie UODO uznał, że bank nie zgłosił incydentu do organu ochrony danych i nie przekazał stosownego powiadomienia osobom, których dane dotyczą. | link |
| Hiszpania | 2021-11-12 | 3.000 EUR | AD735 DATA MEDIA ADVERTISING S.L. | Art. 58 (1) RODO | Niedostarczenie żądanych informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 58 RODO. | link |
| Hiszpania | 2021-11-12 | 1.500 EUR | Spółka | Art. 58 (1) RODO | Korzystanie z kamery CCTV bez odpowiedniej informacji. | link |
| Rumunia | 2021-11-14 | 2.900 EUR | Vodafone România SA | Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 3 (1) Law No. 506/2004, Art. 3 (3) a), b) Law No. 506/2004 | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 2900 EUR na VODAFONE România SA. Firma zgłosiła naruszenie danych do organu ochrony danych zgodnie z art. 33 RODO. W okresie od listopada 2020 r. do czerwca 2021 r. miał miejsce nieuprawniony dostęp do danych osobowych siedemdziesięciu osób, których dane dotyczą (wysyłanie umów o świadczenie usług na błędne adresy e-mail, nieuprawniony dostęp pracowników administratora do danych osobowych klientów Vodafone bez ich żądania). Organ ochrony danych uznał, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. | link |
| Grecja | 2021-10-04 | 5.000 EUR | "PREMIUMMEDIA ΠΑΡΑΓΩΓΗ ΟΠΤΙΚΟ-ΑΚΟΥΣΤΙΚΩΝ ΕΡΓΩΝ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΙΑ " | Art. 21 (3) RODO, Art. 25 RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 5 000 EUR na spółkę PREMIUMMEDIA ΠΑΡΑΓΩΓΗ ΟΠΤΙΚΟ-ΑΚΟΥΣΤΙΚΩΝ ΕΡΓΩΝ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΙΑ. Jedna osoba próbowała wypisać się z listy mailingowej biuletynu firmy, ale tego nie zrobiła. Niewypisanie się z list wynikało z wewnętrznego błędu technicznego firmy. | link |
| Luksemburg | 2021-10-13 | 18.000 EUR | Nieznany | Art. 37 (7) RODO, Art. 38 (1), (2) RODO, Art. 39 (1) b) RODO | Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 13 200 euro. Zdaniem organu ochrony danych administrator nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Administrator nie posiadał również planu kontroli ochrony danych, który miałby wykazać, że inspektor ochrony danych odpowiednio wykonywał swoje zadania. Ponadto administrator nie zapewnił inspektorowi ochrony danych niezbędnych środków do wykonywania jego obowiązków. Organ ochrony danych zauważył również, że strona internetowa administratora nie zawiera sekcji poświęconej ochronie danych oraz że informacja o ochronie danych jest dostępna tylko w języku angielskim, a nie w jednym z języków urzędowych Luksemburga. | link |
| Luksemburg | 2021-10-13 | 13.200 EUR | Nieznany | Art. 38 (1) RODO, Art. 39 (1) b) RODO | Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 13 200 euro. Zdaniem organu ochrony danych administrator po pierwsze nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie posiadał planu kontroli ochrony danych, aby wykazać, że inspektor ochrony danych odpowiednio wykonywał swoje zadania. | link |
| Luksemburg | 2021-10-06 | 5.300 EUR | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych nałożył na spółkę grzywnę w wysokości 5300 euro. Firma zainstalowała na swoim terenie 75 kamer monitorujących, a także urządzenia śledzące w niektórych pojazdach, z których pracownicy podróżują do klientów. Kilka z tych kamer objęło m.in. fragmenty ulicy publicznej i prywatną sąsiednią posesję. Podczas dochodzenia organ ochrony danych ustalił również, że kamery obejmowały kafeterię pracowniczą, umożliwiając monitorowanie pracowników poza godzinami pracy. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Stwierdził również, że administrator nie wywiązał się w wystarczającym stopniu ze swoich obowiązków informacyjnych wynikających z art. 13 RODO. | link |
| Irlandia | 2021-08-20 | 1.500 EUR | MOVE Ireland | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Irlandzki organ ochrony danych (DPC) nałożył grzywnę na organizację MOVE (Men Overcoming Violence) w wysokości 1500 EUR. MOVE to organizacja charytatywna działająca w obszarze przemocy domowej. Organizacja ma na celu wspieranie bezpieczeństwa i dobrego samopoczucia kobiet i ich dzieci, które doświadczyły przemocy w związkach. W tym celu uczestnicy (mężczyźni) przychodzą na cotygodniowe sesje, aby zmienić swoje zachowanie. W dniu 3 lutego 2021 r. organizacja zgłosiła naruszenie danych zgodnie z art. 33 RODO. Organizacja stwierdziła, że zgubiono osiemnaście kart SD, które mogły zawierać nagrania sesji grupowych programu MOVE, w których uczestnicy omawiają swoje zachowanie i postawy dotyczące przemocy w rodzinie z liderem grupy. Niektórych uczestników można było zobaczyć i usłyszeć na nagraniach. Ponadto nagrania zawierały materiał filmowy uczestników omawiających swoje zachowania i uczucia dotyczące obecnych lub byłych partnerów, innych członków rodziny i przyjaciół, którzy mogli zostać wymienieni. Około 80-120 uczestników mogło zostać dotkniętych naruszeniem danych, a także co najmniej jeden lider grupy na nagraną sesję. DPC stwierdził, że MOVE naruszyło swoje zobowiązanie wynikające z art. 32 ust. 1 RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa adekwatny do ryzyka, jakie stwarza przetwarzanie danych osobowych poprzez rejestrację sesji grupowych. | link |
| Włochy | 2021-09-16 | 5.000 EUR | Comune di Montalbano Jonico | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 9 (1), (2), (4) RODO, Art. 2-ter (1), (3) Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5 000 euro na gminę Montalbano Jonico. Osoba fizyczna złożyła skargę przeciwko gminie do organu ochrony danych. Skarżył się, że na stronie internetowej gminy był publicznie dostępny dokument, który zawierał dane osobowe jego i jego ojca. W sekcji „Dokumenty i dane” strony internetowej można było przeglądać akta gminy. W tym kontekście możliwe było uzyskanie dostępu do decyzji o ugodzie za pokonanie i usunięcie barier architektonicznych w ich domu poprzez wypełnienie odpowiedniego formularza wyszukiwania. Orzeczenie wyraźnie zawierało dane osobowe i informacje w tekście i temacie, takie jak imię i nazwisko skarżącego oraz jego ojca na utrzymaniu, z odniesieniem do jego sytuacji jako osoby niepełnosprawnej. W treści orzeczenia zawarto również datę urodzenia i miejsce zamieszkania skarżącego oraz informację o kwocie rozliczenia. Organ ochrony uznał publikację ze wskazaniem danych za naruszenie zasady minimalizacji danych. | link |
| Rumunia | 2021-11-01 | 5.000 EUR | S.P.E.E.H. Hidroelectrica S.A. | Art. 32 (1) b), (2) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 5 000 EUR na S.P.E.H. Hidroelectrica S.A. Administrator poinformował organ ochrony danych o kilku naruszeniach ochrony danych osobowych na podstawie art. 33 RODO. Naruszenie danych doprowadziło do bezprawnego dostępu do danych 325 osób lub przekazania ich niewłaściwym odbiorcom. Organ ochrony danych uznał to za naruszenie przez administratora obowiązku wynikającego z art. 32 ust. 1 b), ust. 2 RODO w celu wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka, jakie stanowi przetwarzanie. Ponadto organ ochrony danych stwierdził, że administrator przetwarzał dane osobowe trzech klientów po tym, jak skorzystali oni z prawa do usunięcia swoich danych i cofnęli zgodę na przetwarzanie. Przetwarzanie odbywało się zatem bez ważnej podstawy prawnej. Organ ochrony danych nałożył grzywnę w wysokości 5 000 euro za naruszenie art. 32 ust. 1 lit. b), ust. 2 RODO. Za naruszenie art. 5 ust. 1 lit. a RODO, art. 6 ust. 1 lit. a RODO, organ ochrony danych wydał ponadto ostrzeżenie. | link |
| Rumunia | 2021-11-01 | 1.000 EUR | IKEA ROMÂNIA SA | Art. 32 (1) b), (2) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na IKEA ROMÂNIA SA grzywnę w wysokości 1000 euro. Administrator wysłał do organu ochrony danych zawiadomienie o naruszeniu ochrony danych osobowych na podstawie art. 33 RODO. W związku z tym administrator zorganizował konkurs rysunkowy, w którym mogły wziąć udział dzieci członków IKEA Family. Uczestnicy wrzucili własne rysunki na platformę internetową wraz z formularzami zgłoszeniowymi zawierającymi dane osobowe ich i swoich rodziców, w tym ich zgodę. W celu oddania głosu na najlepszy rysunek, rysunki dzieci zostały zamieszczone na platformie internetowej i przypadkowo wraz z nimi dane osobowe zawarte w formularzach uczestnictwa. W czasie śledztwa ustalono, że incydent związany z bezpieczeństwem spowodował nieuprawnione ujawnienie danych osobowych członków IKEA Family (nazwisko, imię i wiek nieletnich, a także nazwisko, imię, miasto, kraj, adres e-mail , numer członkowski IKEA Family i podpis rodziców) na platformie internetowej dostępnej tylko dla członków IKEA Family w Rumunii. Incydent objął 114 osób, z których połowa to nieletni. Organ ochrony danych stwierdził, że administrator w ten sposób naruszył obowiązek wynikający z art. 32 ust. 1 b), ust. 2 RODO w celu wdrożenia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. | link |
| Hiszpania | 2021-10-26 | 40.000 EUR | VODAFONE SERVICIOS, S.L.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE SERVICIOS, S.L.U. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Osoba, której dane dotyczą, oświadcza, że otrzymała faktury i obciążenia na swoim koncie bankowym z tytułu płatności za usługi Vodafone, których sama nie zarezerwowała. Osoba, której dane dotyczą, stwierdziła również, że odbiera telefony od firmy windykacyjnej Bureau Veritas z prośbą o zapłatę za te usługi. Jak się okazało, oszuści wykorzystali dane osobowe osoby, której dane dotyczą, do zawarcia umowy o świadczenie usług. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez jakiejkolwiek weryfikacji, czy umowa była zgodna z prawem i faktycznie została zawarta przez osobę, której dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro ze względu na dobrowolną wpłatę. | link |
| Hiszpania | 2021-10-26 | 40.000 EUR | VODAFONE SERVICIOS, S.L.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE SERVICIOS, S.L.U. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi. Osoba, której dane dotyczą, jest klientem administratora. Kiedy sprawdził swoje rachunki na oficjalnej stronie internetowej „MY VODAFONE” w grudniu zeszłego roku, odkrył, że ma cztery zaległe rachunki, ale nie mógł uzyskać do nich dostępu. Otrzymał również szereg próśb o ich zapłatę. Został poinformowany, że istnieje równoległe konto w Vodafone ze szczegółami, które częściowo odpowiadały jego. Jak się okazało, oszuści zawarli umowę na telefon komórkowy, wykorzystując dane osobowe osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez jakiejkolwiek weryfikacji, czy umowa była zgodna z prawem i faktycznie została zawarta przez osobę, której dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro z powodu dobrowolnej wpłaty. | link |
| Hiszpania | 2021-10-26 | 16.000 EUR | SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, S.L | Art. 35 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, SL. Firma zainstalowała pięć terminali z systemem kontroli linii papilarnych do rejestrowania czasu pracy swoich pracowników. W ten sposób firma nie przeprowadziła oceny wpływu na ochronę danych. AEPD stwierdziło naruszenie art. 35 RODO z tego powodu. Pierwotna kara w wysokości 20 000 euro została obniżona do 16 000 euro z powodu dobrowolnej wpłaty. | link |
| Hiszpania | 2021-10-26 | 64.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, złożyła skargę na administratora danych. Osoba, której dane dotyczą, stwierdziła, że na jego nazwisko zarejestrowane były linie telefoniczne, za które również były zaległe płatności. Jednak osoba, której dane dotyczą, nigdy nie zawarła umowy ze spółką na żadną z tych linii. Przedmiotowe umowy zostały raczej zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Mimo to dane osobowe zostały wprowadzone do systemów informatycznych spółki bez weryfikacji, czy umowy są zgodne z prawem i faktycznie zawarte przez osobę, której dane dotyczą. Pierwotna kara w wysokości 80 000 euro została obniżona do 64 000 euro z powodu dobrowolnej wpłaty. | link |
| Hiszpania | 2021-10-25 | 3.000 EUR | MERCEDES GERENCIA, S.L. | Art. 58 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na MERCEDES GERENCIA, SL. Administrator nie odpowiedział na wezwanie organu ochrony danych w terminie. | link |
| Hiszpania | 2021-10-21 | 3.000.000 EUR | CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 000 EUR na CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. Osoba fizyczna złożyła skargę przeciwko administratorowi. Powodem było to, że Caixabank zażądał informacji na jego temat od firmy, chociaż ta ostatnia nie jest klientem Caixabank od 2014 r. i że został włączony do kampanii reklamowej, aby zaoferować mu kredyt z góry. Caixabank wykorzystał dane osób fizycznych do oceny ich zdolności kredytowej bez ich zgody. Służyło to do tworzenia profili finansowych osób, których dane dotyczą, oraz do reklamowania im na tej podstawie niektórych usług finansowych (np. kart kredytowych lub pożyczek). Czyniąc to, organ ochrony danych stwierdził, że administrator nie uzyskał skutecznej zgody od osób, których dane dotyczą. Prawdą jest, że osoby, których dane dotyczą, w pewnym momencie wyraziły zgodę na przetwarzanie ich danych przez całą Grupę CaixaBank. Administrator nie poinformował jednak odpowiednio osób, których dane dotyczą, o przetwarzaniu danych, w tym o profilowaniu. Na przykład administrator dostarczył osobom, których dane dotyczą, jedynie ogólne informacje o różnych operacjach przetwarzania profilowania, więc osoby, których dane dotyczą, nie mogły dokładnie wiedzieć, na czym polegało przetwarzanie, na które wyraziły zgodę. | link |
| Wielka Brytania | 2021-10-18 | 11.800 EUR | HIV Scotland | Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO | Brytyjski organ ochrony danych (ICO) nałożył grzywnę w wysokości 11 800 euro na organizację non-profit HIV Scotland. Administrator wysłał e-mail do 105 osób, przy czym adresy e-mail na liście mailingowej były widoczne dla wszystkich odbiorców. W przypadku 65 adresów e-mail osoby można było zidentyfikować po imieniu. Na podstawie dostarczonych danych osobowych można było wyciągnąć wnioski na temat zakażenia HIV lub ryzyka osób fizycznych. Organ ochrony danych stwierdził, że organizacja nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do zagrożenia. Na przykład, organizacja przeprowadziła nieodpowiednie szkolenie pracowników i stosowała niewłaściwe metody wysyłania masowych wiadomości e-mail za pośrednictwem kopii ukrytej (bcc). | link |
| Hiszpania | 2021-10-19 | 2.000 EUR | BEEPING FULFILMENT S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na BEEPING FULFILLMENT S.L. w wysokości 2000 euro. Administrator nie podał wymaganych informacji o celach i cechach przetwarzania danych w polityce prywatności prowadzonego przez siebie serwisu internetowego. Organ ochrony danych uznał to za naruszenie art. 13 RODO. | link |
| Hiszpania | 2021-10-19 | 40.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. 40 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych przeciwko Vodafone w związku z obciążeniem jej konta bankowego w maju 2020 r. za linię telefoniczną Vodafone, której właścicielem nie był on, ale jego były partner. Jak się okazało, były partner skarżącego zawarł w jego imieniu umowę z Vodafone. Stwierdziła, że jest do tego upoważniona, ale nie przedstawiła na to żadnego dowodu. Organ ochrony danych stwierdził, że Vodafone bezprawnie przetworzył dane skarżącego. Rzeczywiście, zgodność z zasadą zgodności z prawem przetwarzania danych osób trzecich wymaga, aby administrator był w stanie udowodnić zgodność z prawem. | link |
| Rumunia | 2021-10-21 | 5.000 EUR | Glove Technology SRL | Art. 5 (1) a) RODO, Art. 6 (1) a) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Glove Technology SRL grzywnę w wysokości 5 000 euro. Ukarany podmiot zainstalował system monitoringu wideo, który audiowizualnie monitorował pracowników w ich miejscu pracy i nagrywał rozmowy między nimi do wykorzystania przeciwko nim. Organ ochrony danych uznał, że administrator naruszył art. 5 ust. 1 lit. a RODO oraz art. 6 ust. 1 RODO. | link |
| Hiszpania | 2021-10-19 | 2.000 EUR | BEEPING FULFILMENT S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na BEEPING FULFILLMENT S.L. w wysokości 2000 euro. Administrator nie podał wymaganych informacji o celach i cechach przetwarzania danych w polityce prywatności prowadzonego przez siebie serwisu internetowego. Organ ochrony danych uznał to za naruszenie art. 13 RODO. | link |
| Hiszpania | 2021-10-19 | 40.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. 40 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych przeciwko Vodafone w związku z obciążeniem jej konta bankowego w maju 2020 r. za linię telefoniczną Vodafone, której właścicielem nie był on, ale jego były partner. Jak się okazało, były partner skarżącego zawarł w jego imieniu umowę z Vodafone. Stwierdziła, że jest do tego upoważniona, ale nie przedstawiła na to żadnego dowodu. Organ ochrony danych stwierdził, że Vodafone bezprawnie przetworzył dane skarżącego. Rzeczywiście, zgodność z zasadą zgodności z prawem przetwarzania danych osób trzecich wymaga, aby administrator był w stanie udowodnić zgodność z prawem. | link |
| Hiszpania | 2021-10-19 | 70.000 EUR | Vodafone España, S.A.U. | Art. 21 RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 70 000 EUR na VODAFONE ESPAÑA, SAU. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z otrzymaniem promocyjnych wiadomości e-mail od Vodafone bez wyraźnej zgody na to i bez wcześniejszego stosunku umownego . Osoba, której dane dotyczą, sprzeciwiła się następnie otrzymywaniu w przyszłości wiadomości e-mail. Vodafone potwierdził sprzeciw. Niemniej kilka miesięcy później osoba, której dane dotyczą, otrzymała cztery e-maile reklamowe. Kara wynosi 50 000 euro za naruszenie art. 21 RODO i 20 000 EUR za naruszenie art. 21 LSSI. | link |
| Wielka Brytania | 2021-10-18 | 11.800 EUR | HIV Scotland | Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO | Brytyjski organ ochrony danych (ICO) nałożył grzywnę w wysokości 11 800 euro na organizację non-profit HIV Scotland. Ukarany podmiot wysłał e-mail do 105 osób, a adresy e-mail na liście mailingowej były widoczne dla wszystkich odbiorców. W przypadku 65 adresów e-mail osoby można było zidentyfikować po imieniu. Na podstawie dostarczonych danych osobowych można było wyciągnąć wnioski na temat zakażenia HIV lub ryzyka osób fizycznych. Organ ochrony danych stwierdził, że organizacja nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do zagrożenia. Na przykład organizacja przeprowadziła nieodpowiednie szkolenie pracowników i stosowała niewłaściwe metody wysyłania masowych wiadomości e-mail za pomocą kopii ukrytej (bcc). | link |
| Norwegia | 2021-10-18 | 412.000 EUR | Østre Toten municipality | Art. 5 (1) f) RODO, Art. 32 RODO | Norweski organ ochrony danych nałożył na gminę Østre Toten grzywnę w wysokości 412 000 EUR. W styczniu 2021 r. gmina przeżyła cyberatak, w wyniku którego dane gminy zostały zaszyfrowane, a kopie zapasowe zostały usunięte. Większa ilość danych została później opublikowana w dark webie. W wyniku ataku ucierpiało około 30 000 dokumentów. Dokumenty zawierały m.in. informacje o pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności związkowej, orientacji seksualnej, stanie zdrowia, a także dane bankowe mieszkańców i pracowników gminy. Dochodzenie organu ochrony danych ujawniło, że gmina miała fundamentalne niedociągnięcia w zakresie bezpieczeństwa danych osobowych i powiązanych kontroli wewnętrznych. Między innymi, podczas logowania do systemów gmina nie stosowała uwierzytelniania dwuskładnikowego i nie posiadała odpowiednich systemów kopii zapasowych. | link |
| Hiszpania | 2021-10-13 | 40.000 EUR | Vodafone España, S.A.U. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U. Kobieta złożyła skargę przeciwko administratorowi w związku z tym, że administrator wysłał na jej adres e-mail rachunki telefoniczne należące do osoby trzeciej. Po zwróceniu na to uwagi nie otrzymała odpowiedzi. Następnie skontaktowała się w tej sprawie telefonicznie z administratorem. Jednak żaden z pracowników nie był w stanie jej pomóc w tej trosce. Organ ochrony danych stwierdził, że administrator naruszył zasadę integralności i poufności określoną w art. 5 ust. 1 lit. f RODO, a administrator nie wdrożył środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do zagrożenia osób, których dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro ze względu na dobrowolną wpłatę. | link |
| Hiszpania | 2021-10-11 | 10.000 EUR | MAF.COM ESQUI CLUB | Art. 7 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na MAF.COM ESQUI CLUB grzywnę w wysokości 10 000 euro. Matka niepełnoletniej dziewczynki, która uczęszczała na lekcje jazdy na nartach z ukaranym podmiotem złożyła skargę do organu ochrony danych na tego ostatniego. Administrator opublikował filmy z córką matki na swojej stronie internetowej i kanałach mediów społecznościowych bez jej zgody. Zdjęcia zostały rozpowszechnione dopiero za zgodą ojca, który zapisał dziewczynę na kurs narciarski. Rodzice dziewczynki rozwiedli się w czasie incydentu. Organ ochrony danych stwierdził, że administrator nie uzyskał zgody obojga rodziców i tym samym przetworzył obrazy bez ważnej podstawy prawnej. | link |
| Hiszpania | 2021-10-08 | 30.000 EUR | ORANGE ESPAGNE, S.A.U. | Art. 6 (1) a) RODO | Hiszpański organ ochrony danych nałożył grzywnę na ORANGE ESPAGNE, SAU Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymała łącznie 30 telefonów od pracowników firmy Jazztel (spółka zależna Orange Espagne, SAU) oraz wiadomości tekstowe w okresie od 03.01.2001 /2021 i 03.03.2021 bez bycia klientem firmy. Następnie poprosiła o usunięcie jej numeru telefonu z bazy danych firmy. Mimo że administrator potwierdził usunięcie danych, nadal otrzymywała telefony i wiadomości tekstowe od administratora. Pierwotna kara w wysokości 50 000 euro została obniżona do 30 000 euro w związku z przyznaniem się do winy i dobrowolną zapłatą. | link |
| Irlandia | 2021-10-06 | tylko zamiar wydania grzywny | Facebook Ireland Limited | Art. 5 (1) a) RODO, Art. 12 (1) RODO, Art. 13 (1) c) RODO | Organizacja „None of your business” (NOYB) 13 października 2021 r. opublikowała projekt decyzji irlandzkiego organu ochrony danych (DPC), z którego wynika, że proponuje nałożenie na Facebooka grzywny w wysokości od 28 mln do 36 mln euro. Projekt odnosi się przede wszystkim do faktu, że Facebook zamieścił w swoich regulaminach szczegóły dotyczące przetwarzania danych, powołując się tym samym na art. 6 ust. 1 lit. b) a nie za zgodą zgodnie z art. 6 ust. 1 lit. a RODO. Krytycy uważają to za lukę stosowaną przez Facebooka w celu obejścia zaostrzonych wymogów RODO dotyczących zgody zgodnie z art. 6 ust. 1 lit. a RODO. DPC podkreśla jednak, że RODO nie ustanawia hierarchii podstaw prawnych, które można wykorzystać do przetwarzania danych osobowych. Jednak DPC zauważył, że Facebook nie dostarczył jasnych informacji na temat swojej podstawy prawnej przetwarzania danych i podkreśla, że informacje dostarczane przez Facebooka są nieciągłe i że użytkownicy są odsyłani do różnych dokumentów i tekstów polityki dotyczącej danych i warunków świadczenia usług. DPC kończy swój projekt, że Facebook naruszył w ten sposób art. 5 ust. 1 lit. a RODO, art. 12 ust. 1 RODO i art. 13 ust. 1 lit. c RODO. Projekt decyzji zostanie teraz przekazany innym europejskim organom ochrony danych, co umożliwi im zgłoszenie uwag do niego. | link |
| Hiszpania | 2021-10-05 | 4.000 EUR | CLUB DEPORTIVO SANSUEÑA, S.L. | Art. 5 (1) e) RODO, Art. 6 RODO, Art. 32 (1) b), d) RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną CLUB DEPORTIVO SANSUEÑA, S.L. 4000 EUR za dodanie numeru telefonu komórkowego osoby, której dane dotyczą, do grupy WhatsApp bez zgody osoby, której dane dotyczą. | link |
| Hiszpania | 2021-10-04 | 5.000 EUR | CALDERERIA Y SOLDADURA DE ESTRUCTURAS METALICAS, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną CALDERERIA Y SOLDADURA DE ESTRUCTURAS METALICAS, S.L. 5000 EUR za niezgodne z prawem przetwarzanie danych osobowych. Wcześniej CYNGASA, S.L. ujawnił dane administratorowi bez zgody osoby, której dane dotyczą. Przedmiotowe dane obejmowały m.in. jego imię i nazwisko oraz numer PESEL. CYNGASA, S.L. również otrzymała grzywnę w odrębnym postępowaniu. | link |
| Hiszpania | 2021-10-04 | 1.000 EUR | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 1000 euro. Ukarany podmiot zainstalował system monitoringu wizyjnego, jednak nie umieścił znaków informujących o korzystaniu z monitoringu wizyjnego. | link |
| Hiszpania | 2021-10-04 | 2.000 EUR | Właścciciel sklepu | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu grzywnę w wysokości 2000 euro. Ukarany podmiot zainstalował system monitoringu wideo, który obejmował między innymi publiczną ulicę. Tym samym organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych. | link |
| Dania | 2021-09-29 | 107.000 EUR | Duńskie Towarzystwo Onkologiczne | Art. 32 RODO | Duński organ ochrony danych nałożył na Danish Cancer Society grzywnę w wysokości 107 000 EUR za nieprzestrzeganie wymogów RODO dotyczących odpowiednich środków bezpieczeństwa. Duńskie Towarzystwo Onkologiczne zgłosiło cztery naruszenia danych zgodnie z art. 33 RODO do DPA. Dwa z nich dotyczyły kradzieży komputerów, dwa ataki phishingowe – a wszystkie cztery były spowodowane niewdrożeniem przez Danish Cancer Foundation środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. Do podobnego naruszenia danych osobowych doszło już w sierpniu 2018 r., kiedy Fundacja padła ofiarą ataków typu phishing i spoofing hacking. W tym kontekście Duńskie Towarzystwo Onkologiczne stwierdziło, że powinno zwiększyć ochronę poprzez uwierzytelnianie wieloskładnikowe, jednak nie zostało to wdrożone. Dane co najmniej 1448 osób zostały naruszone, a w kilku przypadkach obejmowały wrażliwe dane osobowe dotyczące zdrowia, w tym historię medyczną. | link |
| Hiszpania | 2021-09-29 | 10.000 EUR | ACONCAGUA JUEGOS S.A. | Art. 37 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na ACONCAGUA JUEGOS S.A. grzywnę w wysokości 10 000 EUR. Administrator nie wyznaczył inspektora ochrony danych i tym samym naruszył art. 37 RODO. | link |
| Hiszpania | 2021-09-29 | 5.000 EUR | CYNGASA, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na CYNGASA, SL. Osoba, której dane dotyczą, żądając raportu z pracy, odkryła, że administrator ujawnił jej dane osobowe firmie zewnętrznej bez jej zgody. Dane dotyczyły m.in. imienia i nazwiska oraz numeru PESEL. | link |
| Austria | 2021-09-28 | 9.500.000 EUR | Poczta austriacka | Nieznany | Austriacki organ ochrony danych nałożył na pocztę austriacką karę w wysokości 9,5 mln EUR w dniu 28 września 2021 r. Głównym zarzutem jest to, że oprócz możliwości kontaktu z Poczty Austriackiej za pośrednictwem poczty, internetowego formularza kontaktowego i obsługi klienta, kwestie ochrony danych zapytania powinny być również dozwolone za pośrednictwem poczty e-mail. Według gazety „Der Standard” poczta austriacka wprowadziła jedynie formularz kontaktowy dla zapytań o ochronę danych w celu zautomatyzowania procesu zapytań i uzyskania wszelkich informacji niezbędnych do przetwarzania zapytań. | link |
| Hiszpania | 2021-09-28 | 3.000 EUR | Właściciel baru | Art. 5 (1) b) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela baru grzywnę w wysokości 3 000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Miał wypadek w barze, który został zarejestrowany przez kamery monitoringu. Ukarany podmiot twierdzi, że zainstalował kamery monitorujące dla celów bezpieczeństwa. W późniejszym czasie wideo zostało rozprowadzone za pośrednictwem WhatsApp i opublikowane w cyfrowej gazecie. Osoba, której dane dotyczą, twierdzi, że publikacja filmu wideo wpłynęła na jej reputację osobiście. Organ ochrony danych stwierdza, że publikacja obrazów nie była związana z celem nadzoru wideo, a zatem administrator naruszył art. 5 ust. 1 lit. b RODO. | link |
| Norwegia | 2021-09-27 | 496.000 EUR | Ferde AS | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 28 (3) RODO, Art. 32 (2) RODO, Art. 44 RODO | Norweski organ ochrony danych nałożył grzywnę Ferde AS, norweską firmę pobierającą opłaty drogowe, w wysokości 496 000 EUR. Dzięki raportowi na temat państwowej firmy nadawczej NRK norweski organ ochrony danych dowiedział się, że Ferde AS przekazuje informacje o przejazdach w punktach poboru opłat do procesora danych w Chinach. Na tej podstawie organ ochrony danych wszczął dochodzenie, czy Ferde wdrożył procedury i środki w celu zapewnienia odpowiedniego bezpieczeństwa informacji przekazywanych do Chin. W ramach swojej działalności Ferde odpowiada za rejestrację przejazdów w punktach poboru opłat. Rejestracja odbywa się zwykle za pomocą chipa w samochodzie. Jeśli chip w samochodzie nie jest prawidłowo zarejestrowany lub samochód nie posiada chipa, wykonywane jest zdjęcie tablicy rejestracyjnej samochodu. Obrazy te są następnie przesyłane do automatycznego systemu optycznego rozpoznawania znaków w celu cyfrowego odczytu tablicy rejestracyjnej. W przypadkach, gdy jakość obrazu nie jest wystarczająco dobra do automatycznej interpretacji, obraz jest przesyłany do obróbki ręcznej. Ferde zleciło to zadanie firmie Unitel Bratseth Services (UBS), która również zatrudnia pracowników w Chinach. Po przeprowadzeniu dochodzenia organ ochrony danych stwierdził, że Ferde AS naruszył szereg podstawowych obowiązków RODO przez okres 1-2 lat. Po pierwsze, Ferde nie przeprowadził oceny ryzyka przed przetwarzaniem danych osobowych i przed użyciem ręcznego przetwarzania obrazu przez podmiot przetwarzający. Byłoby to jednak konieczne do oceny ryzyka związanego z transferem i ustalenia, czy mogą być wymagane dalsze środki bezpieczeństwa. Ponadto organ ochrony danych stwierdził, że Ferde nie zawarł odpowiedniej umowy o przetwarzaniu w odniesieniu do przetwarzania UBS. W rezultacie przekazanie przedmiotowych danych osobowych do Chin odbyło się bez ważnej podstawy prawnej. Ustalając wysokość grzywny, organ ochrony danych wziął pod uwagę czynnik obciążający, jakim było naruszenie dużej ilości danych osobowych. Z drugiej strony fakt, że nie można było udowodnić żadnej szkody materialnej lub niematerialnej dla zainteresowanych stron, miał skutek łagodzący. | link |
| Hiszpania | 2021-09-24 | 3.000 EUR | Nieznany | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 3 000 euro. Firma poprosiła klientów o różne dane osobowe w celu umówienia się na spotkania. Organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. | link |
| Niemcy | 2021-09-24 | 900.000 EUR | Vattenfall Europe Sales GmbH | Art. 12 RODO, Art. 13 RODO | Organ ochrony danych z Hamburga nałożył grzywnę w wysokości 900 000 EUR na Vattenfall Europe Sales GmbH. Kara dotyczy dopasowania danych, które administrator przeprowadził w okresie od sierpnia 2018 r. do grudnia 2019 r. w trakcie zapytań o umowy specjalne. Specjalne kontrakty służyły przyciągnięciu nowych klientów i towarzyszyły im wypłaty premii dla klientów. Administrator porównał dane osobowe potencjalnych klientów, którzy złożyli zapytanie o specjalną umowę, z umowami zawartymi przez dotychczasowych klientów. Jeżeli ujawniłoby to, że wnioskodawca podpisał już umowę z administratorem, a następnie przeszedł do innego dostawcy, a teraz chciał ponownie podpisać umowę, administrator mógł w razie potrzeby odrzucić wniosek o zawarcie specjalnej umowy. Miało to zapobiec „zakupom bonusowym”, które nie są lukratywne dla firm. Ukarany podmiot nie poinformował jednak odpowiednio klientów, że takie porównania zostaną dokonane. Organ ochrony danych uznał to za naruszenie obowiązków firmy w zakresie przejrzystości i informacji. Dotknęło to około 500 000 osób. | link |
| Norwegia | 2021-09-21 | 12.500 EUR | Ultra-Technology AS | Art. 6 (1) RODO | Norweski Urząd Ochrony Danych nałożył na Ultra-Technology AS grzywnę w wysokości 12 500 EUR. Podłożem kary jest skarga osoby, której dane dotyczą, która została sprawdzona pod kątem wiarygodności kredytowej bez jakiejkolwiek relacji z klientem lub innego powiązania z Ultra-Technology AS. | link |
| Norwegia | 2021-09-20 | 75.600 EUR | ST. OLAVS HOSPITAL HF | Art. 32 RODO, § 22 pasientjournalloven, § 23 pasientjournalloven | Norweski organ ochrony danych nałożył na szpital św. Olafa grzywnę w wysokości 75 600 euro. W szpitalu doszło do trzech wycieków danych zgodnie z art. 33 RODO. Pierwszy incydent miał miejsce między 13 stycznia 2011 r. a 27 stycznia 2020 r. na oddziale kardiologicznym szpitala po aktualizacji nowego rejestru zdrowia ukierunkowanego na leczenie dla laboratorium kardiologicznego. W związku z aktualizacją wykorzystano serwer testowy, na którym raporty z leczenia były tymczasowo buforowane, a następnie kopiowane do nowego systemu. Jednak raporty na serwerze testowym nie zostały usunięte. Ponadto wystąpił inny błąd, który umożliwił wszystkim uwierzytelnionym pracownikom dostęp do raportów. Dotyczyło to około 21 000 raportów. Drugie naruszenie miało miejsce w okresie od 17 maja 2015 r. do 28 stycznia 2020 r., kiedy to raporty z urządzeń medycznych (pulsoksymetrów do długotrwałego pomiaru saturacji i tętna) były przechowywane w obszarze akt dostępnym dla każdego pracownika posiadającego uwierzytelniony i aktywne konto. Trzecie naruszenie miało miejsce w okresie od 01.01.2018 do 09.12.2019. Hasła do różnych baz danych były przechowywane w postaci zwykłego tekstu w pliku na serwerze szpitala. Pracownicy posiadający aktywne konto w systemie szpitalnym mogli najpierw połączyć się z serwerem poprzez Pulpit zdalny, a następnie wyszukać plik z hasłem w bazie danych. Organ ochrony danych stwierdził, że szpital nie wprowadził skutecznych kontroli dostępu. | link |
| Norwegia | 2021-09-20 | 40.200 EUR | Høylandet Municipality | Art. 32 (1) b), (2) RODO | Norweski organ ochrony danych nałożył na gminę Høylandet grzywnę w wysokości 40 200 euro. Ten ostatni zgłosił naruszenie ochrony danych organowi ochrony danych zgodnie z art. 33 RODO. Pracownica uzyskała dostęp do kilku plików graficznych (map bitowych), gdy musiała stworzyć nowe szablony listów i wstawić logo graficzne z pliku. Pliki obrazów, do których pracownik miał dostęp, zawierały poufne informacje o osobach, które nie miały związku z gminą Høylandet. Informacje zawierały m.in. dane zdrowotne. Organ ochrony danych stwierdził, że gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. Zamiast tego gmina stwierdziła, że po prostu poprosiła pracowników korzystających z odpowiedniego programu komputerowego o unikanie otwierania plików map bitowych, które nie zostały utworzone przez gminę. Błąd został w międzyczasie naprawiony, a gmina wprowadziła nowy system kontroli wewnętrznej. | link |
| Hiszpania | 2021-09-20 | 18.000 EUR | CEDICO, CENTRO DE DIAGNÓSTICO POR LA IMÁGEN, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na CEDICO, CENTRO DE DIAGNÓSTICO POR LA IMÁGEN, S.L. Osoba, której dane dotyczą, złożyła skargę do AEPD. Poprosił o wykonanie rezonansu magnetycznego kolana z powodu wypadku przy pracy. Ponadto skontaktował się ze swoją firmą ubezpieczeniową w celu uzyskania zwolnienia lekarskiego. Firma ubezpieczeniowa skontaktowała się następnie z administratorem, który przekazał dokumentację medyczną osoby, której dane dotyczą. Czyniąc to, administrator dostarczył ubezpieczycielowi również raport z poprzedniego badania MRI kolana, które osoba, której dane dotyczą, przeszła w związku ze zdarzeniem poza miejscem pracy. W swojej ocenie ubezpieczyciel odniósł się zatem również do raportu z rezonansu magnetycznego poza godzinami pracy i przypisał temu zdarzeniu niezdolność do pracy osoby, której dane dotyczą. W konsekwencji osobie, której dane dotyczą, nie udzielono zwolnienia chorobowego. Organ ochrony danych uznał ujawnienie towarzystwa ubezpieczeniowego wcześniejszego raportu MRI za naruszenie zasady integralności i poufności. Pierwotna kara w wysokości 30 000 euro została obniżona do 18 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Dania | 2021-09-17 | 67.200 EUR | Syddanmark Region | Art. 32 RODO | Duński organ ochrony danych nałożył grzywnę w wysokości 67 200 euro na region Syddanmark. W dniu 9 marca 2020 r. organ ochrony danych otrzymał zawiadomienie z Regionu Syddanmark dotyczące naruszenia ochrony danych osobowych zgodnie z art. 33 RODO. Region Syddanmark twierdzi, że od maja 2011 r. na jego stronie internetowej dostępna była prezentacja PowerPoint, która została stworzona w Szpitalu Uniwersyteckim w Odense w celach szkoleniowych i zawierała wykresy z danymi osobowymi – w tym informacjami o stanie zdrowia i numerami dowodu osobistego – 3915 pacjentów. Region korzystał z narzędzia przesiewowego do okresowego sprawdzania nieumyślnych wpisów osobistych numerów identyfikacyjnych na swojej stronie internetowej. Jednak narzędzie przesiewowe nie było w stanie przeskanować podstawowych danych w prezentacjach programu PowerPoint. W tym kontekście organ ochrony danych stwierdził, że region nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka. Oceniając, czy należy nałożyć grzywnę, organ ochrony danych wziął pod uwagę obciążający fakt, że region Syddanmark przetwarza duże ilości danych osobowych, w tym danych dotyczących zdrowia – które mają charakter wrażliwy. | link |
| Włochy | 2021-09-16 | 3.296.326 EUR | Sky Italia S.r.l. | Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 12 (2) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. 29 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę na spółkę Sky Italia S.r.l. 3 296 326 EUR za nielegalny telemarketing. Decyzja organu ochrony danych była następstwem złożonego dochodzenia wszczętego po dziesiątkach zgłoszeń i skarg od osób, które twierdziły, że otrzymały niezamówione połączenia promocyjne i SMS-y promocyjne zarówno bezpośrednio od Sky Italia, jak i za pośrednictwem call center innych firm. W tym względzie organ ochrony danych stwierdził, że połączenia promocyjne zostały wykonane bez odpowiedniego poinformowania użytkowników (np. o pochodzeniu danych osobowych przesyłanych do Sky Italia). Dzięki temu osoby, których dane dotyczą, miałyby możliwość skontaktowania się z firmą, która zebrała dane i wniesienia sprzeciwu wobec przetwarzania. Dopiero po uzyskaniu zgody Sky mogło wówczas przystąpić do składania ofert handlowych. Do tych celów promocyjnych firma Sky wykorzystywała listy danych, które pozyskała od innych firm. Wbrew opinii Sky Italia zgoda na udostępnienie danych osobom trzecim udzielona przez osoby, których dane dotyczą, spółkom, od których Sky Italia nabyła wykazy, nie uprawniała Sky Italia do wykorzystywania danych do własnych celów promocyjnych. Ponadto Sky nie zweryfikowało listy osób, które sprzeciwiły się kontaktowi w celach reklamowych przed wykonaniem połączeń reklamowych. W rezultacie kilka osób, których dane dotyczą, otrzymało telefony reklamowe pomimo ich wyraźnego sprzeciwu. Ponadto organ ochrony danych stwierdził, że Sky nie wyznaczyła właściwie dostawców list jako podmiotów przetwarzających dane. Ustalając wysokość grzywny, organ ochrony danych wziął pod uwagę obciążająco fakt, że naruszenia dotyczyły zachowania „systemowego” zakorzenionego w działalności spółki, a także fakt, że Sky powinna była zdobyć wystarczające doświadczenie i kompetencje, aby podejmować fundamentalne decyzje zgodnie z przepisów o ochronie danych ze względu na bieżące kontakty z urzędem oraz wieloletnią obecność na rynku. | link |
| Włochy | 2021-09-16 | 200.000 EUR | Uniwersytet Bacconi | Art. 5 (1) a), c), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 RODO, Art. 25 RODO, Art. 35 RODO, Art. 44 RODO, Art. 46 RODO, Art. Art. 2-sexies Codice della Privacy | Włoski organ ochrony danych (Garante) nałożył na Uniwersytet Bocconi grzywnę w wysokości 200 000 euro. Student złożył skargę do organu ochrony danych w sprawie możliwych naruszeń RODO związanych ze stosowaniem systemu monitoringu podczas egzaminów pisemnych. W kontekście sytuacji awaryjnej wywołanej pandemią Covid-19, uczelnia wyposażyła się w oprogramowanie do zdalnego monitorowania Respondus dostarczone przez amerykańską firmę Respondus Inc., aby zapewnić normalny przebieg egzaminów, ponieważ nie było możliwe egzaminy jak zwykle na żywo i osobiście. Oprogramowanie było w stanie monitorować zachowanie uczniów za pomocą nagrań wideo i migawek wykonywanych w losowych odstępach czasu. Ponadto egzamin był nagrywany audiowizualnie, a na początku egzaminu wykonywano zdjęcie każdego zdającego. Na koniec egzaminu system przetworzył wideo, wstawił sygnały ostrzegawcze o możliwych oznakach nieprawidłowego zachowania oraz m.in. nadał tzw. zostało popełnione podczas egzaminu. W swoim dochodzeniu organ ochrony danych stwierdził, że studenci nie byli odpowiednio informowani o przetwarzaniu ich danych osobowych związanych z korzystaniem z Respondusa. Na przykład nie poinformowano ich, że zostaną nagrane audiowizualnie, a obrazy zostaną następnie przetworzone. Ponadto studentom nie przekazano informacji dotyczących konkretnych okresów przechowywania danych osobowych. Nie otrzymali też wystarczających informacji o tym, że ich dane osobowe zostaną przekazane do Stanów Zjednoczonych; zamiast tego zostali poinformowani jedynie w sposób ogólny, że dane osobowe będą przetwarzane zarówno na terytorium Unii Europejskiej, jak i poza nim. Ponadto organ ochrony danych stwierdził, że niewielka ilość informacji, które otrzymali studenci, została przedstawiona w różnych dokumentach w sposób fragmentaryczny i niezorganizowany. Organ ochrony danych uznał to za naruszenie zasad legalności, uczciwości i przejrzystości. Organ ochrony danych stwierdził również, że uczelnia przetwarzała dane osobowe bez ważnej podstawy prawnej. Tym samym zgoda na przetwarzanie danych osobowych była warunkiem wstępnym udziału w egzaminach w pierwszej kolejności. Jako alternatywę dla egzaminów online zaproponowano opcję egzaminu osobistego. Jednak w świetle pandemii oznaczało to również zwiększone zagrożenie dla zdrowia. Studenci obawiali się również, że odmowa przystąpienia do egzaminów online wpłynie negatywnie na ich oceny. W konsekwencji organ ochrony danych stwierdził, że zgoda studentów nie może być uznana za dobrowolną. Ponadto organ ochrony danych stwierdził, że uniwersytet zachował dane przez 12 miesięcy, chociaż nie byłoby to konieczne w celu zapewnienia prawidłowego przeprowadzenia egzaminów. Ostatecznie organ ochrony danych stwierdził naruszenia związane z przekazywaniem danych do Respondus. Umowa o przetwarzaniu danych pomiędzy Uniwersytetem a Respondus została oparta na umowie o ochronie danych pomiędzy UE a USA, znanej jako Tarcza Prywatności, chociaż została unieważniona wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems II (TSUE). ). Z tego powodu organ ochrony danych uznał, że uczelnia przekazała dane osobowe do państwa trzeciego, mimo że przekazanie to nie było zgodne z warunkami określonymi w rozdziale V RODO. | link |
| Włochy | 2021-09-16 | 5.000 EUR | Ciechi Ardizzone Gioeni di Catania | Art. 5 (1) a), c) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 35 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5 000 euro na dom mieszkalny dla osób niewidomych w Ciechi Ardizzone Gioeni di Catania. Osoba odwiedzająca miejsce zamieszkania złożyła skargę do organu ochrony danych. Oparł to na zainstalowanym systemie nadzoru wideo w mieszkaniu. System monitoringu wideo zarejestrował m.in. korytarz łączący mieszkanie ze wspólnymi prysznicami. Co więcej, materiał filmowy był nie tylko nagrywany, ale również wyświetlany w czasie rzeczywistym na monitorach pracowników concierge, co stwarza ryzyko, że obrazy mogą zostać przypadkowo zauważone przez odwiedzających lub dostawców. W toku śledztwa administracja instytucji uzasadniała instalację systemu monitoringu wizyjnego koniecznością zapobiegania kradzieży i zapewnienia zdrowia mieszkańców poprzez zapobieganie nieuprawnionemu dostępowi w okresie pandemii. Organ ochrony danych stwierdził, że instytut naruszył tym samym zasady legalności, przejrzystości i minimalizacji danych. Fakt, że, jak twierdzi instytut, przejście gości do pryszniców było filmowane tylko sporadycznie i przez krótki czas, a jakość nagrań nie była „doskonale jasna”, nie rozwiązuje bezprawności nagrania. Organ ochrony danych zauważył również, że pewne środki ostrożności proceduralne - takie jak zaplanowanie okien czasowych, aby wyłączyć kamery, aby umożliwić gościom odwiedzanie pryszniców bez filmowania, lub tymczasowe zapewnienie bezpieczeństwa lokalizacji za pomocą alternatywnych środków, takich jak stosowanie zabezpieczeń personel – może umożliwić instytutowi realizację celu monitoringu wizyjnego w równie skuteczny sposób i uniknąć nieuzasadnionego ograniczania wolności osób, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że instytut nie wypełnił należycie swojego obowiązku informacyjnego. Instytut przekazał osobom, których dane dotyczą, szczegółowe informacje na temat systemu nadzoru wideo na tablicy ogłoszeń dopiero po rozpoczęciu dochodzenia. Jednak tego typu informacje nie są odpowiednie dla osób niedowidzących. Instytut powinien był zapewnić mieszkańcom nagraną wcześniej wiadomość dźwiękową, którą można by w razie potrzeby odtworzyć. | link |
| Włochy | 2021-09-16 | 5.000 EUR | La Prima S.r.l. | Art. 5 RODO, Art. 6 RODO, Art. 24 RODO, Art. 25 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5 000 euro na portal nieruchomości La Prima S.r.l. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do organu ochrony danych. Skarżyła się na otrzymanie przez pracownika La Prima wniosku o kontakt w serwisie Linkedin, którego celem było zaoferowanie usług związanych z nieruchomościami związanymi z konkretną nieruchomością należącą do osoby, której dane dotyczą. Administrator uzyskał informacje dotyczące własności nieruchomości przez osobę, której dane dotyczą, z ogólnodostępnego rejestru publicznego. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na taką prośbę o kontakt. Ukarany podmiot argumentował podczas dochodzenia organu ochrony danych, że zgodę na kontakt innych z nią można wywnioskować z faktu, że miała profil publiczny. Organ ochrony danych zauważył jednak, że wymiana informacji za pośrednictwem sieci społecznościowej powinna umożliwiać wyłącznie to, co określono w odpowiednich warunkach użytkowania. Organ ochrony danych wyjaśnił, że platforma ma umożliwiać wymianę informacji kontaktowych w celu składania ofert pracy. Natomiast nie jest zamierzone, aby użytkownicy wykorzystywali platformę do wysyłania wiadomości do innych użytkowników w celu sprzedaży usług. Ponadto nie ma znaczenia, czy profil użytkownika jest publiczny, czy nie. W konsekwencji organ ochrony danych stwierdził, że administrator przetwarzał dane niezgodnie z prawem. | link |
| Hiszpania | 2021-09-16 | 4.000 EUR | Frigorifica Botana S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na Frigorifica Botana S.L.. Głównym przedmiotem działalności Frigorífica Botana jest zamrażanie, przechowywanie i przetwarzanie owoców morza. Na podstawie skargi skierowanej przeciwko administratorowi, AEOPD wszczęła przeciwko niemu dochodzenie. Ukarany podmiot zainstalował system nadzoru wideo (audio i wideo), który rejestrował między innymi części sali konferencyjnej. W tym kontekście organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, przetwarzając dane bez ważnego powodu i bez wcześniejszego informowania osób, których dane dotyczą, o nadzorze wideo. | link |
| Dania | 2021-09-16 | 10.000 EUR | Favrskov municipality | Art. 32 RODO | Duński organ ochrony danych nałożył na gminę Favrskov grzywnę w wysokości 10 000 euro. W dniu 19 sierpnia 2020 r. organ ochrony danych otrzymał zawiadomienie z gminy Favrskov o naruszeniu ochrony danych osobowych na podstawie art. 33 RODO. W powiadomieniu stwierdzono, że podczas włamania na teren gminy skradziono laptop, który zawierał program, który zapewniał przegląd placówek opiekuńczych gminy, a tym samym informacje o nazwiskach i numerach identyfikacyjnych około 100 osób niepełnosprawnych fizycznie lub umysłowo. . Dysk twardy komputera, o którym mowa, nie był szyfrowany, a program, który zawierał poufne i wrażliwe dane osobowe, nie był wyposażony w zabezpieczenia. Rozpatrując sprawę, inspektor ochrony danych stwierdził, że gmina Favrskov przez długi czas przed 12 sierpnia 2020 r. nie zapewniała szyfrowania dysków twardych w laptopach gminy, co skutkowało niewystarczającym poziomem bezpieczeństwa. Organ ochrony danych uznał to za naruszenie art. 32 RODO, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających stopień ochrony współmierny do ryzyka. | link |
| Francja | 2021-09-15 | 3.000 EUR | Société nouvelle de l’annuaire français | Art. 16 RODO, Art. 17 RODO, Art. 30 RODO, Art. 31 RODO | Francuski organ ochrony danych (CNIL) nałożył na Société nouvelle de l'annuaire français (SNAF) grzywnę w wysokości 3 000 EUR. SNAF prowadzi stronę internetową annuairefrancais.fr, która zawiera listę francuskich firm na podstawie danych opublikowanych przez francuski Urząd Statystyczny. W latach 2018-2019 CNIL otrzymał szesnaście skarg wskazujących na problemy z żądaniem usunięcia i poprawienia danych osobowych. W odpowiedzi CNIL zażądał od SNAF spełnienia żądań w ciągu dwóch miesięcy, czego SNAF nie uczynił. W rezultacie CNIL nałożyła na SNAF grzywnę, głównie za nieprzestrzeganie prawa osób, których dane dotyczą, do sprostowania i usunięcia danych oraz za brak współpracy z CNIL. | link |
| Hiszpania | 2021-09-14 | 56.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. za niewystarczającą podstawę prawną przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że otrzymała telefon od Vodafone, w którym ten ostatni poprosił go o opłacenie trzech linii telefonicznych. W rozmowie wyjaśnił Vodafone, że te linie nie zostały przez niego zamówione ani autoryzowane, więc poprosił o przesłanie mu faktur. Na fakturach osoba, której dane dotyczą, uznała, że numery telefonu i konta nie są zgodne z jej numerami. Podczas dochodzenia organ ochrony danych stwierdził, że nieupoważniona osoba trzecia zawarła umowy na łącza w imieniu osoby, której dane dotyczą. Ponadto organ ochrony danych stwierdził, że Vodafone nie zweryfikował tożsamości osoby, która zawarła umowę i nie podjął niezbędnych środków ostrożności, aby zapewnić, że takie incydenty nie wystąpią. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro z powodu dobrowolnej wpłaty. | link |
| Hiszpania | 2021-09-14 | 56.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że nieuprawnione osoby trzecie uzyskały dostęp do jego konta Vodafone i podpisały w jego imieniu trzy umowy na telefony komórkowe. Organ ochrony danych stwierdził, że Vodafone nie sprawdził, czy umowy są zgodne z prawem i faktycznie zawarte przez osobę, której dane dotyczą. Umowy zostały zawarte, mimo że nie zostały podpisane, a informacje podane przez oszusta, takie jak adres lub data urodzenia, nie zgadzały się z danymi osoby, której dane dotyczą. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro ze względu na dobrowolną wpłatę. | link |
| Hiszpania | 2021-09-14 | 56.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że nieuprawnione osoby trzecie uzyskały dostęp do jej konta Vodafone i zarezerwowały w jej imieniu pakiet Vodafone Unlimited, a także kupiły iPhone’a 11 Pro Max na raty. Organ ochrony danych zauważa, że administrator nie sprawdził odpowiednio, czy umowy zostały zawarte przez osobę, której dane dotyczą, zgodnie z prawem i faktycznie. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro ze względu na dobrowolną wpłatę. | link |
| Hiszpania | 2021-09-14 | 56.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. za niewystarczającą podstawę prawną przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że kilka linii telefonicznych zostało zarejestrowanych na jego nazwisko. Jednak osoba, której dane dotyczą, nigdy nie podpisała umów z firmą na żadną z tych linii. Przedmiotowe umowy zostały raczej zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych spółki bez weryfikacji, czy umowy zostały zawarte zgodnie z prawem i faktycznie zawarte przez osobę, której dane dotyczą. Pierwotna kara w wysokości 70 000 euro została obniżona do 56 000 euro ze względu na dobrowolną wpłatę. | link |
| Hiszpania | 2021-09-14 | 40.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. za niewystarczającą podstawę prawną przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że na jego nazwisko zarejestrowane zostały dwie linie telefoniczne, z których za każdą naliczono opłaty. Jednak osoba, której dane dotyczą, nigdy nie zawarła umów ze spółką na żadną z tych linii. Przedmiotowe umowy zostały raczej zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych spółki bez weryfikacji, czy umowy zostały zawarte zgodnie z prawem i faktycznie zawarte przez osobę, której dane dotyczą. Umowy zostały zawarte, mimo że nie zostały podpisane, a informacje podane przez oszusta, takie jak adres lub data urodzenia, nie zgadzały się z danymi znajdującymi się w dowodzie osobistym osoby, której dane dotyczą. Pierwotna kara w wysokości 50 000 euro została obniżona do 40 000 euro ze względu na dobrowolną wpłatę. | link |
| Hiszpania | 2021-09-13 | 9.000 EUR | Operator strony internetowej | Art. 6 RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na administratora strony internetowej grzywnę w wysokości 9 000 euro. Osoba złożyła skargę do organu ochrony danych w związku z opublikowaniem przez administratora jego imienia i nazwiska oraz zrzutu ekranu jego profilu na Linkedin na swojej stronie internetowej. Administrator nie uzyskał na to zgody osoby, której dane dotyczą, ani nie poinformował go o przetwarzaniu jego danych osobowych. Organ ochrony danych uznał to za naruszenie art. 6 RODO i art. 13 RODO. | link |
| Hiszpania | 2021-09-13 | 1.000 EUR | Hairdressing salon | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na salon fryzjerski grzywnę w wysokości 1000 euro. Administrator zainstalował kamery nadzoru wideo i nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez kamery. | link |
| Hiszpania | 2021-09-13 | 1.000 EUR | GESTIONES AUTO LOW COST S. L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 euro na GESTIONES AUTO LOW COST S.L. z uwagi na fakt, że strona internetowa firmy nie zawierała polityki prywatności | link |
| Dania | 2021-09-08 | 53.800 EUR | Midtjylland Region | Art. 32 RODO | Duński organ ochrony danych nałożył grzywnę w wysokości 53 800 EUR na region Midtjylland. 12 czerwca 2020 r. organ ochrony danych otrzymał zawiadomienie z regionu o naruszeniu bezpieczeństwa danych osobowych w trybie art. 33 RODO. Zgodnie z zawiadomieniem wszyscy pacjenci i personel centrum stylu życia mieli dostęp do budynku, w którym przechowywano do 100 000 fizycznych danych pacjentów, w tym informacje o stanie zdrowia i dane osobowe. Powodem tego było to, że zarówno personel, jak i pacjenci otrzymali karty dostępu, które umożliwiały im dostęp do wszystkich trzech budynków centrum stylu życia, niezależnie od tego, czy użytkownik miał do nich dostęp. Ponadto przechodnie mogli przez okno w budynku przyjrzeć się okładkom niektórych akt, które zawierały dane osobowe, takie jak numery identyfikacyjne i nazwiska. W tym kontekście organ ochrony danych stwierdził, że region Midtjylland nie podjął odpowiednich środków bezpieczeństwa w celu przechowywania danych osobowych. Ponadto region nie ustanowił wystarczających wytycznych dotyczących ograniczeń dostępu podczas tworzenia kart-kluczy i nie przeprowadził odpowiednich okresowych testów, ocen i ewaluacji podjętych środków bezpieczeństwa. Oceniając kwestię, czy należy nałożyć grzywnę, duński organ ochrony danych wziął pod uwagę jako czynnik obciążający, że region przetwarzał duże ilości danych wrażliwych, takich jak dane dotyczące zdrowia. | link |
| Irlandia | 2021-09-07 | 1.400 EUR | Vodafone Ireland Limited | Art. 21 RODO | Irlandzki organ ochrony danych nałożył na Vodafone Ireland Limited grzywnę w wysokości 1 400 EUR. Vodafone w kilku przypadkach wysyłało marketingowe SMS-y i e-maile oraz wykonywało połączenia telefoniczne bez zgody osób, których dane dotyczą. Pomimo kilku odwołań przez osoby, których dane dotyczą, nadal otrzymywali niechciane reklamy. W jednym przypadku były klient kontaktował się z Vodafone siedem razy i prosił, aby nie otrzymywać więcej połączeń reklamowych na jego telefon komórkowy. Pomimo swojej prośby nadal otrzymywał telefony reklamowe. W innym przypadku klient odebrał połączenie reklamowe na swój numer telefonu komórkowego i poinformował Vodafone podczas rozmowy, że nie chce otrzymywać więcej połączeń reklamowych. Pomimo swojej prośby Vodafone wykonał dwanaście kolejnych połączeń marketingowych na swój telefon komórkowy. W innym przypadku osoba, której dane dotyczą, wypełniła formularz, wyraźnie stwierdzając, że nie chce otrzymywać telefonów marketingowych od Vodafone. Jednak pracownik, który przetwarzał żądanie, nie zarejestrował preferencji marketingowych klienta. W rezultacie klient otrzymał kolejne czternaście niezamówionych wiadomości handlowych – siedem e-maili i siedem SMS-ów. | link |
| Cypr | 2021-09-06 | 25.000 EUR | Hellenic Technical Enterprises Ltd. | Art. 32 RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 25 000 euro na Hellenic Technical Enterprises Ltd. Ukarany podmiot zaprojektował system sprzedaży biletów klubów piłkarskich AC Omonia i APOEL FC. Ze względu na brak zabezpieczeń w systemie sprzedaży biletów możliwe było uzyskanie dostępu i ujawnienie danych osobowych kibiców na stronie klubu przez osobę nieuprawnioną. Dane te obejmowały nazwisko, numer karty kibica oraz numer identyfikacyjny osoby, której dane dotyczą. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnym postępowaniu organ ochrony danych nałożył grzywnę na APOEL FC i AC Omonia za te same naruszenia. | link |
| Cypr | 2021-09-06 | 40.000 EUR | AC Omonia | Art. 32 RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 40 000 euro na klub piłkarski AC Omonia. Ze względu na brak zabezpieczeń w klubowym systemie sprzedaży biletów, możliwe było uzyskanie dostępu i ujawnienie danych osobowych kibiców na stronie klubu przez osobę nieuprawnioną. Dane te obejmowały nazwisko, numer karty kibica oraz numer identyfikacyjny osoby, której dane dotyczą. Organ ochrony danych stwierdził, że klub nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnym postępowaniu organ ochrony danych nałożył grzywnę na APOEL FC i Hellenic Technical Enterprises Ltd. za te same naruszenia. | link |
| Cypr | 2021-09-06 | 40.000 EUR | APOEL FC | Art. 32 RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 40 000 euro na klub piłkarski APOEL FC. Ze względu na brak zabezpieczeń w klubowym systemie sprzedaży biletów, możliwe było uzyskanie dostępu i ujawnienie danych osobowych kibiców na stronie klubu przez osobę nieuprawnioną. Dane te obejmowały nazwisko, numer karty kibica oraz numer identyfikacyjny osoby, której dane dotyczą. Organ ochrony danych stwierdził, że klub nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnym postępowaniu organ ochrony danych nałożył grzywnę na AC Omonia i Hellenic Technical Enterprises Ltd. za te same naruszenia. | link |
| Hiszpania | 2021-09-04 | 1.500 EUR | AMPUDIA DIAZ, S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 euro na AMPUDIA DIAZ, SL. Ukarany podmiot zainstalował w swoim lokalu system monitoringu wideo, który zarejestrował między innymi sąsiadujący z nią chodnik publiczny. Umożliwiło to rejestrowanie przechodniów. Administrator nie zainstalował żadnych znaków informujących o monitoringu. Organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych i obowiązek informowania. Kara wynosi 1000 euro za naruszenie art. 5 ust. 1 lit. c RODO i 500 EUR za naruszenie art. 13 RODO. | link |
| Grecja | 2021-09-03 | 8.000 EUR | Miejskie Przedsiębiorstwo Komunikacyjne na RODOS | Art. 5 (1) c) RODO, Art. 12 (3) RODO, Art. 15 RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 8 000 euro na Miejskie Przedsiębiorstwo Komunikacyjne w Rodos. Były pracownik złożył skargę na administratora danych do organu ochrony danych. Były pracownik był w sporze prawnym z kontrolerem po tym, jak ten zgłosił go za rzekome malwersacje. W związku z tym poprosił ukaranym podmiotem o przesłanie mu, do obrony w postępowaniu karnym, kopii nagrań wideo zarejestrowanych przez system nadzoru wideo autobusu w dniu, w którym rzekomo miał miejsce incydent. Jednak ukarany podmiot nigdy nie odpowiedział na jego prośbę. Organ ochrony danych uznał to za naruszenie prawa osoby, której dane dotyczą, do informacji zgodnie z art. 12 ust. 3 RODO i art. 15 RODO. Ponadto administrator dostarczył osobie, której dane dotyczą, zaświadczenie o poprzednim zatrudnieniu, które oprócz rodzaju i okresu zatrudnienia zawierało również informację, że został zwolniony z powodu przestępstwa. Organ ochrony danych uznaje to za naruszenie zasady proporcjonalności zgodnie z art. 5 ust. 1 lit. c RODO. Za naruszenie art. 5 ust. 1 lit. c RODO i 5000 EUR za naruszenie art. 12 ust. 3 i art. 15 RODO. | link |
| Hiszpania | 2021-09-02 | 4.000 EUR | Automecanica Jerez, S.L. | Art. 5 (1) f) RODO, Art. 32 RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na spółkę Automecanica Jerez, S.L. 4000 euro. Administrator wysłał komercyjne e-maile do dużej liczby osób bez ich zgody. W ten sposób administrator nie ukrył danych osobowych odbiorców, takich jak nazwisko, imię i adres e-mail, co umożliwiło innym odbiorcom wgląd do danych. AEOPD uznała to za naruszenie art. 5 ust. 1 lit. f RODO oraz art. 32 RODO, ponieważ administrator nie wdrożył środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych. Ponadto AEPD stwierdziło naruszenie art. 21 LSSI. | link |
| Hiszpania | 2021-08-23 | 1.800 EUR | Agencja | Art. 32 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na agencję. Administrator wyrzucił do śmieci dokumenty zawierające dane osobowe swoich klientów. AEPD uznał, że jest to brak środków bezpieczeństwa i ochrony danych w rozumieniu art. 32 RODO, który stanowi, że „administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia odpowiedniego poziomu bezpieczeństwa”. Pierwotna grzywna w wysokości 3000 euro została obniżona do 1800 euro z powodu dobrowolnej zapłaty i uznania winy. | link |
| Hiszpania | 2021-08-30 | 6.000 EUR | Furnishyourspace S.L. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 (4) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 6 000 EUR na FurnishYourSpace SL. AEPD otrzymał skargę od berlińskiego organu ochrony danych za pośrednictwem systemu wymiany informacji na rynku wewnętrznym UE w sprawie nieodpowiedniego projektu informacji o ochronie prywatności administratora. Mianowicie tożsamość i dane kontaktowe administratora zostały podane w informacji o prywatności, ale pod mylącym nagłówkiem, który sprawiał wrażenie, że zostały one podane w celach biznesowych. Ponadto cele przetwarzania nie zostały jasno określone. Nie podano informacji dotyczących podstawy prawnej, okresu przechowywania danych osobowych oraz prawa do sprzeciwu osób, których dane dotyczą. Ponadto informacja o prywatności była myląca, a sformułowanie zawierało błędy gramatyczne i użyte terminy, które nie są powszechnie używane. Ponadto w celu wystawienia faktury uproszczonej, tj. faktury nieprzekraczającej kwoty 3000 EUR, polityka prywatności wymagała podania numeru NIP. AEPD uznała to za naruszenie zasady legalności. Wysokość grzywny wynosi: 3 000 EUR za naruszenie art. 12 RODO i art. 13 RODO; 1.000 EUR za naruszenie art. 21 ust. 4 RODO; oraz 2.000 EUR za naruszenie art. 5 ust. 1 lit. a RODO oraz art. 6 RODO. | link |
| Irlandia | 2021-09-02 | 222.000.000 EUR | WhatsApp Ireland Ltd. | Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO | Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 225 000 000 EUR na WhatsApp Ireland Ltd. W grudniu 2018 r. organ ochrony danych rozpoczął szeroko zakrojone dochodzenie w sprawie zgodności usługi przesyłania wiadomości z zobowiązaniami dotyczącymi przejrzystości. zgodnie z RODO w zakresie dostarczania informacji i przejrzystości tych informacji dla użytkowników i osób niebędących użytkownikami WhatsApp. W trakcie dochodzenia DPC stwierdził, że WhatsApp dopuścił się poważnych naruszeń art. 12 RODO, art. 13 RODO i art. 14 RODO w odniesieniu do informacji przekazywanych użytkownikom. Po przeprowadzeniu dochodzenia DPC przedłożył projekt decyzji na podstawie art. 60 RODO do innych europejskich organów nadzorczych, których to dotyczyło, w grudniu 2020 r. Następnie DPC otrzymał sprzeciw od ośmiu organów nadzorczych. W związku z brakiem porozumienia DPC wszczął procedurę rozstrzygania sporów na podstawie art. 65 RODO w dniu 3 czerwca 2021 r. Europejski Inspektor Ochrony Danych (EROD) decyzją z 28 lipca 2021 r. zażądał następnie od DPC ponownej oceny i podwyższenia proponowanej kary w oparciu o szereg czynników. EIOD stwierdził naruszenie zasady przejrzystości, o której mowa w art. 5 ust. 1 lit. a) RODO, oprócz naruszeń stwierdzonych przez DPC, i zażądał, aby zostało to odzwierciedlone w ostatecznej kwocie grzywny. Na tej podstawie DPC nałożył karę w wysokości 225 000 000 euro. Wysokość grzywny wynosi: 90 000 000 EUR za naruszenie art. 5 ust. 1 lit. a RODO; 30.000.000 euro za naruszenie art. 12 RODO; 30.000.000 euro za naruszenie art. 13 RODO; oraz 75 000 000 EUR za naruszenie art. 14 RODO. W odniesieniu do art. 12 RODO i art. 13 RODO, DPC stwierdził, że WhatsApp nie dostarczył informacji o charakterze gromadzenia danych „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, używając jasnego i prostego języka”. Obejmuje to ułatwienie dzieciom zrozumienia informacji, gdy są one adresowane do nich. Na przykład WhatsApp rozpowszechniał informacje o relacji między WhatsApp a innymi firmami Facebooka oraz udostępnianiu danych w ramach tej relacji za pośrednictwem różnych tekstów. Co więcej, wiele dostarczonych informacji miało tak ogólny charakter, że DPC uznał je za bezsensowne. Użytkownicy często musieli pokonać wiele linków do najczęściej zadawanych pytań, aby dostać się do informacji, których szukali na stronie WhatsApp. W związku z tym DPC stwierdził, że byłoby nierozsądne oczekiwać, że użytkownicy będą przeszukiwać witrynę WhatsApp po tym, jak nie znajdą wystarczających informacji w samym oświadczeniu o ochronie prywatności. W odniesieniu do art. 14 RODO, jednym z problemów był wpływ zgody użytkownika na dostęp platformy komunikacyjnej do jego kontaktów. W związku z tym firma przeszukiwała informacje kontaktowe użytkowników na ich telefonach pod kątem numerów telefonów i innych danych, nie tylko od innych użytkowników WhatsApp, ale także od kontaktów, które nie mają nawet konta WhatsApp. DPC stwierdza, że dane te zostały przetworzone niezgodnie z prawem, ponieważ te kontakty (zwłaszcza te, które nie mają konta WhatsApp) nie otrzymały żadnych informacji o tym przetwarzaniu, a zatem prawdopodobnie nie mogły wyrazić zgody. Biorąc pod uwagę powagę i dalekosiężny charakter oraz skutki naruszeń, organ ochrony danych stwierdził, że doszło również do naruszenia zasady przejrzystości z art. 5 ust. 1 lit. a RODO. | link |
| Hiszpania | 2021-08-25 | 120.000 EUR | Banco Bilbao Vizcaya Argentaria, S.A. | Art. 32 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, SA. Powodem tego była skarga osoby dotycząca braku uwierzytelnienia. W związku z tym przy udzielaniu informacji telefonicznie należało podać tylko numer identyfikacyjny. Dzięki temu każda osoba może zadzwonić, podać numer identyfikacyjny, a tym samym otrzymać informacje związane z numerem identyfikacyjnym bez żadnej weryfikacji, czy dzwoniący jest rzeczywiście posiadaczem identyfikatora. Organ ochrony danych uznał to za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. Pierwotna kara w wysokości 200 000 euro została obniżona do 120 000 euro z powodu dobrowolnej zapłaty i uznania winy. | link |
| Hiszpania | 2021-08-26 | 1.000 EUR | Stowarzyszenie właścicieli | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie właścicieli grzywnę w wysokości 1000 euro. Administrator bezprawnie zainstalował system monitoringu wideo w kompleksie mieszkalnym, który rejestrował między innymi obszary wspólne, takie jak basen, a także części przestrzeni publicznej. Ponadto w pomieszczeniach, w których przebierali się strażnicy osiedla, zainstalowano kamery wideo bez uprzedzenia. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Polska | 2021-08-13 | 2.200 EUR | Prezes Sądu Rejonowego w Zgierzu | Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO | UODO nałożył na prezesa Sądu Rejonowego w Zgierzu karę w wysokości 2200 euro. Prezes zgłosił naruszenie danych obejmujące zgubienie niezaszyfrowanej pamięci USB przez kuratora sądowego. Nośnik danych przechowywał dane 400 osób pod nadzorem kuratorskim. Zagubiony, a jednocześnie niezabezpieczony nośnik danych nie został jeszcze odnaleziony, aby osoby nieuprawnione nadal miały dostęp do zawartych w nim danych osobowych. Prezes przyjął, że obowiązek zabezpieczenia danych spoczywa nie na nim samym, ale na odpowiednich kuratorach sądowych, którzy te dane dysponowali. Organ ochrony danych stwierdził jednak, że sam prezes powinien był zabezpieczyć pendrive'y. | link |
| Rumunia | 2021-08-24 | 3.000 EUR | Actamedica SRL | Art. 28 (1) RODO, Art. 32 RODO, Art. 33 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Actamedica SRL grzywnę w wysokości 3 000 EUR. Ukarany podmiot poinformował osobę prywatną o utracie jej próbek biologicznych oraz o kwocie pieniędzy wysłanej za pośrednictwem firmy kurierskiej. Na pytanie, jakie dane osobowe zostały ujawnione przy tej okazji i czy ANSPDCP została poinformowana o tym incydencie, administrator podał jedynie dane kontaktowe swojego prawnika oraz adres e-mail firmy kurierskiej, do której osoba prywatna może się do niej zwrócić reklamacja. ANSPDCP stwierdził naruszenie przez administratora obowiązku wdrożenia środków technicznych i organizacyjnych zapewniających poziom ochrony adekwatny do ryzyka dla osób, których dane dotyczą, a także naruszenie przez administratora obowiązku zawiadomienia ANSPDCP o naruszeniu danych. | link |
| Hiszpania | 2021-08-23 | 2.000 EUR | Właściciel firmy | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela firmy grzywnę w wysokości 2000 euro. Osoba złożyła podanie o pracę w firmie ukaranego podmiotu i wysłała ukaranemu podmiotowi swoje CV za pośrednictwem WhatsApp. Tym samym nie został poinformowany o przetwarzaniu jego danych osobowych ani o przysługujących mu prawach osoby, której dane dotyczą. AEPD uznała to za naruszenie art. 13 RODO. | link |
| Hiszpania | 2021-08-13 | 1.000 EUR | Pracodawca | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na pracodawcę grzywnę w wysokości 1000 euro. Administrator zainstalował system monitoringu wideo bez odpowiedniego informowania pracowników | link |
| Włochy | 2021-06-10 | 2.6000.000 EUR | Foodinho s.r.l. | Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 22 (3) RODO, Art. 25 RODO, Art. 30 (1) a), b), c), f), g) RODO, Art. 32 RODO, Art. 35 RODO, Art. 37 (7) RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę na Foodinho s.r.l. 2 600 000 euro. Foodinho to włoska usługa dostawy jedzenia. Dochodzenie przeciwko Foodinho dotyczyło głównie kierowców Foodinho. W tym procesie organ ochrony danych wykrył poważne naruszenia obowiązujących przepisów o ochronie danych. Tym samym DPA zidentyfikował pewne nieprawidłowości dotyczące algorytmów systemu Foodinho. W szczególności organ ochrony danych stwierdził, że ukarany podmiot nie informował odpowiednio pracowników o działaniu systemu i nie gwarantował dokładności i poprawności wyników algorytmów wykorzystywanych do oceny kierowców. Ponadto organ ochrony danych stwierdził naruszenia zasad minimalizacji danych oraz ograniczenia pamięci. Na przykład systemy przetwarzały dane kierowców w zakresie, który wykraczał poza cel przetwarzania, a w niektórych przypadkach przechowywały dane znacznie dłużej niż to konieczne. Ponadto administrator nie podjął wystarczających środków technicznych i organizacyjnych zapewniających bezpieczne przetwarzanie danych. Administrator nie przeprowadził również oceny skutków dla ochrony danych, chociaż byłoby to konieczne ze względu na znaczną ilość danych różnego rodzaju dotyczących znacznej liczby osób, których dane dotyczą. Hiszpański organ ochrony danych (AEPD) prowadzi przeciwko spółce dominującej GlovoApp23 odrębne postępowanie. | link |
| Włochy | 2021-05-13 | 2.856.169 EUR | Iren Mercato S.p.A. | Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO | Włoski organ ochrony danych (Garante) nałożył na Iren Mercato S.p.A. grzywnę w wysokości 2 856 169 EUR za brak sprawdzenia, czy wszystkie transfery danych odbiorców działań promocyjnych były objęte zgodą. Kilka osób, których dane dotyczą, złożyło skargi do organu ochrony danych przeciwko administratorowi, ponieważ otrzymały niezamówione reklamy, na które nigdy nie wyraziły zgody. W swoim dochodzeniu przeciwko ukaranemu podmiotowi organ ochrony danych stwierdził, że kontroler w rzeczywistości przetwarzał dane osobowe w celach telemarketingowych, których nie zebrał bezpośrednio, ale pozyskał z innych źródeł. Nie sprawdził, czy uzyskano ważne zgody od adresatów reklamy na wszystkie transfery danych. Administrator otrzymał wykazy danych osobowych od jednej firmy, która z kolei pozyskała je od dwóch innych firm. Te ostatnie firmy uzyskały zgodę potencjalnych klientów na telemarketing realizowany przez siebie oraz przez osoby trzecie, ale zgoda ta nie obejmowała przekazania danych klientów do administratora. W tym kontekście organ ochrony danych podkreślił, że zgoda udzielona firmie przez klienta na działania promocyjne osób trzecich nie może rozciągać jej skuteczności na kolejne przelewy do innych operatorów. | link |
| Włochy | 2020-11-26 | 10.000 EUR | Reti Televisive Italiane S.p.a. | Art. 5 (1) a) RODO | Stacja telewizyjna wyemitowała film dokumentalny o związku między emisjami z lokalnej fabryki ceramiki a problemami zdrowotnymi w populacji, w którym osoba, z którą przeprowadzono wywiad, nie została wystarczająco anonimowa. | link |
| Włochy | 2021-09-03 | 2.000 EUR | Comune di Casaloldo | Art. 5 RODO, Art. 6 RODO | Publikacja danych osobowych na stronie internetowej społeczności. | link |
| Polska | 2021-06-21 | 35.300 EUR | Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. | Art. 33 (1) RODO, Art. 34 (1) RODO | Administrator wysłał wiadomość e-mail zawierającą dane osobowe klienta do niewłaściwego odbiorcy. Ujawnione dane zawierały takie dane, jak imię i nazwisko, adres pocztowy osoby, której dane dotyczą, oraz dane ubezpieczenia. W tym kontekście administrator nie poinformował ani polskiego organu ochrony danych, ani osób, których dane dotyczą, o naruszeniu danych w terminie w ciągu 72 godzin. | link |
| Polska | 2021-01-15 | 4.600 EUR | Anwara Sp. z.o.o. | Art. 31 RODO, Art. 58 (1) a) RODO | UODO ukarał firmę Anwara Sp. z o.o. 4600 euro. Administrator nie współpracował z organem ochrony danych i nie przekazał mu wszystkich informacji niezbędnych do przeprowadzenia dochodzenia. Administrator dwukrotnie ignorował pisemne prośby o wyjaśnienia dotyczące trybu rozpatrzenia skargi złożonej przez osobę fizyczną. Mimo że pisma zostały wysłane prawidłowo, firma nie podała powodów, dla których tego nie zrobił. | link |
| Polska | 2021-01-11 | 30.000 EUR | Enea S.A. | Art. 33 (1) RODO | Za niezgłoszenie przez administratora naruszenia danych osobowych z naruszeniem art. 33 ust. 1 RODO. Organ ochrony danych otrzymał informację o naruszeniu ochrony danych osobowych od osoby, która stała się nieuprawnionym odbiorcą danych osobowych. Naruszenie polegało na wysłaniu wiadomości e-mail z niezaszyfrowanym, niechronionym hasłem załącznikiem, który zawierał dane osobowe kilkuset osób. Nadawcą e-maila był pracownik ukaranego podmiotu objętego sankcjami. | link |
| Hiszpania | 2021-08-05 | 3.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 3 000 euro. Dwóch sąsiadów złożyło skargę na tę osobę do organu ochrony danych, ponieważ zainstalował on na publicznej ulicy dwie kamery do monitoringu wideo z czujnikami ruchu. Między innymi te zarejestrowane obrazy sąsiadów docierających do ich posesji ulicą. Organ uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2021-06-22 | 10.000 EUR | TNT EXPRESS WORLDWIDE SPAIN, S.L. | Art. 5 (1) d) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 10 000 EUR na TNT EXPRESS WORLDWIDE SPAIN, SL. Osoba, której dane dotyczą, złożyła prywatne zamówienie u administratora i jako adres doręczenia podała adres swojego miejsca pracy. Dostawa została prawidłowo doręczona, ale faktura została wystawiona na firmę, w której osoba, której dane dotyczą, była zatrudniona, a nie na osobę, której dane dotyczą. Zarówno faktura, jak i list przewozowy zawierały różne dane osobowe osoby, której dane dotyczą. Zostały one ujawnione jego pracodawcy w wyniku incydentu. | link |
| Hiszpania | 2021-05-26 | 3.000 EUR | Vodafone España, S.A.U. | Art. 58 (1) RODO | Niedostarczenie informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 57 RODO. Pierwotna grzywna w wysokości 5 000 euro została obniżona o 20% 3 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2020-11-11 | 42.000 EUR | Vodafone España, S.A.U. | Art. 5 RODO, Art. 6 RODO | Firma przeniosła numer telefonu osoby, której dane dotyczą, bez jej zgody (brak podpisu na umowie przeniesienia). | link |
| Hiszpania | 2020-11-10 | 3.000 EUR | Miguel Ibáñez Bezanilla, S.L. | Art. 13 RODO, Art. 32 RODO | Strona internetowa firmy (sprzedawca tablic rejestracyjnych) zażądała podania danych osobowych, takich jak imię i nazwisko, kopia dowodu osobistego i prawa jazdy oraz numer VIN samochodu, ale nie oferowała ani zaszyfrowanego protokołu transportowego ("link zamiast" ani zaktualizowane dane polityka przetwarzania zgodna z RODO. | link |
| Hiszpania | 2020-11-06 | 20.000 EUR | Xfera Moviles S.A. | Art. 31 RODO | Xfera Móviles nie współpracowała z AEPD w dochodzeniu w sprawie naruszeń prywatności. Xfera Móviles nie odpowiedziała na prośbę o informacje ani nie dostarczyła żadnej wymaganej dokumentacji. | link |
| Hiszpania | 2020-10-26 | 50.000 EUR | Conseguridad SL | Art. 37 RODO | Spółka (prywatna firma ochroniarska zajmująca się systemami monitoringu wideo) nie posiadała inspektora ochrony danych, co stanowi naruszenie art. 37 RODO. | link |
| Hiszpania | 2020-10-26 | 4.000 EUR | Conseguridad SL | Art. 13 RODO | Stosowanie umowy członkowskiej zawierającej predefiniowane klauzule prywatności, co uniemożliwia skuteczne negocjacje i wyraźną zgodę podpisującego się klienta. | link |
| Hiszpania | 2019 | 10.000 EUR | Ikea Ibérica | Art. 6 RODO | Spółka instalowała pliki cookies na urządzeniu końcowym użytkownika końcowego bez uprzedniej zgody osoby, której dane dotyczą | link |
| Hiszpania | 2018 | 27.000 EUR | Vodafone España, S.A.U. | Art. 5 (1) d) RODO | Chociaż skarżący (były klient Vodafone) zażądał od Vodafone usunięcia jego danych w 2015 r., a prośba ta została potwierdzona przez firmę, od 2018 r. otrzymał od firmy ponad 200 SMS-ów. Po oświadczeniu Vodafone stało się tak, ponieważ numer telefonu komórkowego skarżącego został błędnie użyty do celów testowych i przypadkowo pojawił się w różnych aktach klientów należących do innych klientów niż skarżący. Ponieważ spółka zgodziła się zarówno na zapłatę, jak i przyznanie się do odpowiedzialności, grzywna została obniżona zgodnie z hiszpańskim prawem administracyjnym do 27 tys. euro. | link |
| Hiszpania | 2018 | 60.000 EUR | Debt collecting agancy (GESTIÓN DE COBROS, YO COBRO SL) | Art. 5 (1) f) RODO | Po tym, jak powód rzekomo nie spłacił mikrokredytu firmie zajmującej się kredytami internetowymi, wierzytelność została przeniesiona na agencję windykacyjną. Następnie ten ostatni zaczyna wysyłać wiadomości e-mail nie tylko na adresy e-mail podane przez powoda, ale także na instytucjonalny adres e-mail jego miejsca pracy dostępny dla każdego współpracownika, który nigdy nie został podany przez powoda. | link |
| Węgry | 2021-06-18 | 28.400 EUR | Magyar Telekom Nyrt. | Art. 5 (1) d) RODO, Art. 6 (1) RODO, Art. 12 (2), (3), (4) RODO, Art. 17 (1) RODO, Art. 25 RODO | Węgierski organ ochrony danych (NAIH) nałożył na Magyar Telekom Nyrt grzywnę w wysokości 28 400 euro. Administrator przez pomyłkę wysłał do osoby, której dane dotyczą, biuletyn e-mailowy. Stało się tak ze względu na to, że osoba trzecia omyłkowo wprowadziła niewłaściwy adres e-mail, a mianowicie adres osoby, której dane dotyczą. Osoba, której dane dotyczą, wielokrotnie zwracała się do administratora o usunięcie jej danych. Nadal otrzymywał newsletter i zamiast usunąć dane, administrator przesłał mu link do wypisania się z newslettera. | |
| Węgry | 2021-04-20 | 2.800 EUR | Operator strony internetowej | Art. 5 (2) RODO, Art. 24 RODO | Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 2800 euro na operatora strony internetowej. Administrator nie udowodnił zgodności z prawem przetwarzania danych osobowych na żądanie organu ochrony danych. Organ ochrony danych uznał to za naruszenie obowiązku rozliczalności administratora. | |
| Hiszpania | 2021-08-03 | 96.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO, Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora w związku z niezastosowaniem się do jej żądania usunięcia. Osoba, której dane dotyczą, oświadcza, że otrzymała telefony od firmy ISGF w imieniu administratora, domagając się długu otrzymanego od osoby trzeciej za połączenie ADSL na pobyt osoby, której dane dotyczą. Jednak osoba, której dane dotyczą, nigdy nie zawarła umowy o połączenie ADSL. Zamiast tego umowa została zawarta przez osobę trzecią, która oszukańczo posłużyła się nazwiskiem i numerem identyfikacyjnym osoby, której dane dotyczą, do zawarcia umowy w jej imieniu. Osoba, której dane dotyczą, zwróciła się następnie do ISGF o anulowanie umowy i poprosiła administratora o usunięcie jej danych osobowych. Jednak kontroler nie odpowiedział na jej prośbę. Organ ochrony danych nałożył następnie grzywnę w wysokości 120 000 euro, która składała się z 70 000 euro z powodu naruszenia art. 6 ust. 1 RODO i 50 000 EUR z powodu naruszenia art. 17 ust. 1 RODO. Pierwotna grzywna została obniżona do 96 000 euro z powodu dobrowolnej zapłaty. | link |
| Hiszpania | 2021-08-10 | 2.000 EUR | DESPACHO TEJEDOR INFANTES CONSULTORES ASESORES | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na DESPACHO TEJEDOR INFANTES CONSULTORES ASESORES, S.L. Administrator przekazał pracownikowi dwie wiadomości e-mail zawierające dane osobowe (wynagrodzenie i przedłużenie godzin pracy) osoby, której dane dotyczą. | link |
| Norwegia | 2021-08-12 | 9.600 EUR | Waxing Palace AS | Art. 5 RODO, Art. 6 RODO, Art. 13 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 9 600 EUR na operatora salonu woskowania Waxing Palace AS. Ukarany podmiot miał nadzór kamerowy swojej recepcji. Organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej do prowadzenia monitoringu kamer, jak również nie dostarczył na ten temat wystarczających informacji. Monitoring kamer dotyczył zarówno pracowników, jak i klientów. | link |
| Włochy | 2021-06-10 | 40.000 EUR | aiComply S.r.l. | Art. 28 RODO, Art. 32 RODO | Tożsamość sygnalistów musi być chroniona specjalnymi zasadami poufności, ponieważ przetwarzane informacje są szczególnie wrażliwe, a ryzyko odwetu i dyskryminacji w środowisku pracy wysokie. W tym kontekście administrator jest zobowiązany do przestrzegania zasad ochrony danych oraz zapewnienia integralności i bezpieczeństwa danych. W tym kontekście włoski organ ochrony danych (Garante) ukarał grzywną Aeroporto Guglielmo Marconi di Bologna S.p.a. 40 000 EUR i dostawca oprogramowania aiComply S.r.l. 20 000 EUR za naruszenia RODO. W toku postępowania organu ochrony danych ustalono, że dostęp do aplikacji służącej do zbierania i zarządzania zgłoszeniami kryminalnymi był możliwy bez użycia bezpiecznego protokołu sieciowego (np. protokołu łącza), a sama aplikacja nie zapewniała szyfrowania zgłoszenia dane identyfikacyjne strony, informacje o zgłoszeniu i załączonych dokumentach. Organ ochrony danych uznał to za naruszenie obowiązku podjęcia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że aiComply nie regulowała umownie relacji z dwoma innymi firmami, które przetwarzały dane w jej imieniu. | link |
| Włochy | 2021-06-10 | 40.000 EUR | Aeroporto Guglielmo Marconi di Bologna S.p.a. | Art. 5 (1) f) RODO, Art. 25 RODO, Art. 32 RODO | Tożsamość sygnalistów musi być chroniona specjalnymi zasadami poufności, ponieważ przetwarzane informacje są szczególnie wrażliwe, a ryzyko odwetu i dyskryminacji w środowisku pracy wysokie. W tym kontekście administrator jest zobowiązany do przestrzegania zasad ochrony danych oraz zapewnienia integralności i bezpieczeństwa danych. W tym kontekście włoski organ ochrony danych (Garante) ukarał grzywną Aeroporto Guglielmo Marconi di Bologna S.p.a. 40 000 EUR i jego dostawca oprogramowania 20 000 EUR za naruszenia RODO. W toku postępowania organu ochrony danych ustalono, że dostęp do aplikacji służącej do zbierania i zarządzania zgłoszeniami kryminalnymi był możliwy bez użycia bezpiecznego protokołu sieciowego (np. protokołu łącza), a sama aplikacja nie zapewniała szyfrowania zgłoszenia dane identyfikacyjne strony, informacje o zgłoszeniu i załączonych dokumentach. Organ ochrony danych uznał to za naruszenie obowiązku podjęcia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że administrator powinien był przeprowadzić ocenę skutków, biorąc pod uwagę wrażliwość przetwarzanych informacji oraz ryzyko i podatność osób, których dane dotyczą. | link |
| Hiszpania | 2021-08-05 | 6.000 EUR | Future Vinline S.L | Art. 13 RODO | Hiszpańska Agencja Ochrony Danych (AEPD) nałożyła na Future Vinline S.L. grzywnę. Polityka prywatności na stronie internetowej prowadzonej przez administratora jest niezgodna z przepisami RODO. Pierwotna grzywna w wysokości 10 000 euro została obniżona do 6 000 euro z powodu dobrowolnej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-08-09 | 5.000 EUR | CLUB GIMNASIA RÍTMICA SAN ANTONIO | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 euro na CLUB GIMNASIA RÍTMICA SAN ANTONIO. Osoba złożyła skargę przeciwko administratorowi do AEPD na podstawie opublikowania przez administratora zdjęć i filmów jej dwóch nieletnich córek na Instagramie. Skarżąca powiedziała wcześniej ukaranemu podmiotowi, że nie chce, aby zdjęcia jej córek były publikowane w mediach społecznościowych, ponieważ odmówiła zgody na fotografowanie i nagrywanie jej córek. | link |
| Hiszpania | 2021-08-09 | 1.000 EUR | BAZTANDIS, S.L. | Art. 13 RODO | Korzystanie z kamer monitorujących bez odpowiednich danych kontaktowych administratora danych, z naruszeniem art. 13 RODO | link |
| Hiszpania | 2021-07-30 | 4.000 EUR | Inspektor od gazu | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na inspektora gazu. Administrator przeprowadzał kontrole gazu butanowego w prywatnych domach osób, których dane dotyczą, na podstawie listy zawierającej ich nazwiska, imiona, adresy i numery telefonów. Jednak osoby, których dane dotyczą, nigdy nie wyraziły zgody na umieszczenie w wykazie. Pierwotna grzywna w wysokości 5 000 euro została obniżona do 4 000 euro z powodu przyznania się do winy. | link |
| Hiszpania | 2021-07-30 | 2.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na osobę prywatną. Administrator opublikował numer telefonu osoby, której dane dotyczą, do zdjęcia innej osoby na portalu randkowym w celu stworzenia fałszywego profilu o nazwie „Katy”. Było to możliwe tylko dzięki temu, że do utworzenia profilu na portalu nie był wymagany dowód tożsamości. | link |
| Hiszpania | 2021-07-30 | 600 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 600 EUR za nieautoryzowany nadzór wideo. Ukarany podmiot zainstalował kamerę nadzoru wideo, która obejmowała między innymi sąsiednie domy i ulicę publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. W związku z dobrowolną wpłatą pierwotna grzywna w wysokości 750 euro została obniżona do 600 euro. | link |
| Hiszpania | 2021-07-27 | 4.000 EUR | Osoba prywatna | Art. 5 (1) c), e) RODO | Hiszpański organ ochrony danych AEPD) nałożył na drugą grzywnę w wysokości 4000 EUR za nieautoryzowany nadzór wideo. Ukarany podmiot zainstalował dwie kamery na inspekcji wideo i na drzewie. Ponadto organy ochrony danych stwierdziły, że administrator przechowywał nagrania dłużej niż konieczne. Organ ochrony danych uznał za naruszenie zasad minimalizacji. | link |
| Hiszpania | 2021-07-27 | 3.000 EUR | INSTAPACK, S.L. | Art. 5 (1) a) RODO, Art. 6 (1) a) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3000 EUR na INSTAPACK, SL. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Powodem skargi jest to, że co miesiąc otrzymywał na swój telefon komórkowy tysiące wiadomości SMS informujących go o otrzymaniu zamówień i dostaw iw tym kontekście proszących go o ocenę firmy. Oświadczył również, że wysłał prośbę o usunięcie swoich danych na adres kontaktowy wskazany na stronie administratora, ale nie otrzymał odpowiedzi. Nawet po tym, jak złożył prośbę o usunięcie, wysyłanie wiadomości było kontynuowane. | link |
| Hiszpania | 2021-07-27 | 3.000 EUR | UST GLOBAL ESPAÑA, S.A. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na UST GLOBAL ESPAÑA, S.A. grzywnę w wysokości 3 000 EUR. Pracownik złożył skargę na administratora danych do organu ochrony danych. UST GLOBAL ESPAÑA, S.A. działała jako dostawca usług dla OpenBank w ramach projektu. W dniu 08.01.2020 ukarany podmiot poinformował OpenBank drogą mailową, że dwóch nowych pracowników (w tym jeden ze skarżących) dołączy do projektu, dla którego zażądał dostępu do VPN i innych aplikacji. Ta wiadomość e-mail, która została wysłana z kopią do obu pracowników, zawierała ich imiona i nazwiska, zawodowe adresy e-mail oraz numery dowodu osobistego. W ten sposób obaj uzyskali wzajemny nieautoryzowany dostęp do danych swojego kolegi. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. | link |
| Hiszpania | 2021-07-27 | 1.000 EUR | APARTAMENTOS PLAYA DE COVACHOS, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na APARTAMENTOS PLAYA DE COVACHOS, SL grzywnę w wysokości 1000 EUR. Administrator zainstalował w swoim ośrodku system monitoringu wideo i poinformował o tym na plakatach informacyjnych, które jednak nie zawierały żadnych informacji o tożsamość i dane kontaktowe osoby odpowiedzialnej. | link |
| Hiszpania | 2021-07-27 | 2.000 EUR | Vasco Andaluza de Inversiones S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na Vasco Andaluza de Inversiones SL. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W umowie tej osoba, której dane dotyczą wyraziła zgodę na udostępnienie jej danych administratorowi, właścicielowi ośrodków sportowych Fitness Place. Firma udostępniła jednak dane Gerco Fit S.L. oraz Body Tonic Shop S.L., chociaż nie było to przewidziane w umowie. Gerco Fit SL i Body Tonic Shop S.L. następnie przetwarzał dane bez podstawy prawnej. | link |
| Hiszpania | 2021-07-27 | 2.000 EUR | Gerco Fit S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na Gerco Fit S.L. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W tej umowie osoba, której dane dotyczą, zgodziła się na udostępnienie jej danych firmie Vasco Andaluza de Inversiones S.L., właścicielowi centrów sportowych Fitness Place. Firma udostępniła jednak dane Gerco Fit S.L. oraz Body Tonic Shop S.L., chociaż nie było to przewidziane w umowie. Gerco Fit SL i Body Tonic Shop S.L. następnie przetwarzał dane bez podstawy prawnej. | link |
| Hiszpania | 2021-07-27 | 2.000 EUR | Body Tonic Shop S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na Body Tonic Shop S.L.. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W tej umowie osoba, której dane dotyczą, zgodziła się na udostępnienie jej danych firmie Vasco Andaluza de Inversiones S.L., właścicielowi centrów sportowych Fitness Place. Firma udostępniła jednak dane Gerco Fit S.L. oraz Body Tonic Shop S.L., chociaż nie było to przewidziane w umowie. Gerco Fit SL i Body Tonic Shop S.L. następnie przetwarzał dane bez podstawy prawnej. | link |
| Austria | 2021-08-02 | 2.000.000 EUR | Unser Ö-Bonus Club GmbH | Art. 6 RODO, Art. 7 RODO, Art. 12 RODO | Austriacki organ ochrony danych nałożył grzywnę w wysokości 2 000 000 EUR na spółkę zależną Rewe Ö-Bonus Club GmbH. Zapisując się do programu lojalnościowego dla klientów jö Bonus Club, administrator nie wytłumaczył właściwie, że dane i zachowania zakupowe klientów są wykorzystywane do tworzenia indywidualnych profili, a informacje te są również przekazywane firmom partnerskim. Zgodnie z RODO wyjaśnienie musi być łatwo dostępne i napisane prostym językiem. Jednak administrator zaprojektował rejestrację do jö Bonus Club w taki sposób, aby wyjaśnienie dotyczące profilowania można było znaleźć dopiero po przewinięciu w dół. Jednak zgoda została umieszczona wyżej, więc we wszystkich przypadkach zgody uzyskano przed wyjaśnieniem. Z kolei na fizycznych ulotkach pole podpisu umieszczone na dole formularza wyglądało tak, jakby było potwierdzeniem wpisu do klubu, choć stanowiło to również zgodę na profilowanie. Organ ochrony danych stwierdził, że administrator naruszył obowiązek wyrażenia zgody w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W związku z tym uznał zgody za nieważne, a profilowanie dokonywane na ich podstawie za niezgodne z prawem. | link |
| Niemcy | 2020 | 65.000 EUR | Firma | Art. 32 RODO | Organ ochrony danych Dolnej Saksonii nałożył na firmę grzywnę w wysokości 65 000 euro. Powodem postępowania było zgłoszenie przez spółkę do organu naruszenia danych w trybie art. 33 RODO. W rezultacie DPA przeprowadził audyt obecności firmy w sieci. W trakcie tego procesu organ ochrony danych odkrył, że na stronie była używana przestarzała aplikacja sklepu internetowego, która nie była już dostarczana z aktualizacjami zabezpieczeń. Deweloper wyraźnie ostrzegł przed dalszym wykorzystywaniem tej wersji, ponieważ zawierała ona istotne luki w zabezpieczeniach. Dochodzenie organu ochrony danych ujawniło ponadto, że hasła przechowywane w bazie danych nie były wystarczająco zabezpieczone. Organ ochrony danych stwierdził, że środki techniczne podjęte przez stronę odpowiedzialną nie były adekwatne do wymogów ochrony RODO, co skutkowało naruszeniem art. 32 RODO. | link |
| Włochy | 2021-07-22 | 2.500.000 EUR | Deliveroo Italy s.r.l. | Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 22 (3) RODO, Art. 25 RODO, Art. 30 (1) c), f), g) RODO, Art. 32 RODO, Art. 35 RODO, Art. 37 (7) RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę na dostawę jedzenia Deliveroo Italy s.r.l. 2 500 000 EUR za niezgodne z prawem przetwarzanie danych osobowych około 8000 kierowców. Dochodzenie Garante ujawniło liczne i poważne naruszenia ochrony danych. Naruszenia obejmowały brak przejrzystości algorytmów wykorzystywanych do zarządzania kierowcami, zarówno przy przydzielaniu zadań, jak i przy rezerwacji zmian roboczych. Deliveroo korzystał ze scentralizowanego systemu do zarządzania kierowcami, za pomocą którego następnie przetwarzał i zarządzał przydzielaniem zamówień oraz księgowaniem zmian roboczych. Garante zauważa jednak, że kontroler nie informował w odpowiedni sposób kierowców o funkcjonowaniu systemu, który zainstalowali na swoich smartfonach, a także nie zapewniał dokładności i poprawności wyników systemów algorytmicznych wykorzystywanych do oceny sterowników. Ponadto Garante stwierdził, że Deliveroo przeprowadził drobiazgową kontrolę wydajności pracy kierowców – poprzez ciągłą geolokalizację ich urządzenia, co znacznie wykraczało poza to, co było konieczne do przypisania zlecenia (np. rejestrowanie pozycji co 12 sekund) – i poprzez przechowywanie dużej ilości danych osobowych gromadzonych podczas realizacji zamówień, w tym komunikację z obsługą klienta. W tym kontekście okres przechowywania różnych danych nie został określony w sposób odpowiedni do celu. Zamiast tego kontroler określił płaski okres przechowywania na sześć lat. Ponadto Garante stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego bezpieczeństwa przetwarzania. Deliveroo Italy również nie przeprowadziło oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne ze względu na ryzyko, jakie stanowi dla kierowców. | link |
| Hiszpania | 2021-08-02 | 3.000 EUR | Club Náutico el Estacio | Art. 32 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na Club Náutico el Estacio. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do AEOPD. Skarga polega na tym, że administrator zamieścił na swojej stronie internetowej ogłoszenie i zapis zwyczajnego spotkania klubu, podając dane osobowe bez ograniczeń dostępu. | link |
| Hiszpania | 2021-07-27 | 60.000 EUR | PRA Iberia S.L. | Art. 6 (1) RODO, Art. 15 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na PRA Iberia S.L. 60 000 euro. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do AEOPD. Podstawą skargi był fakt dochodzenia przez administratora roszczenia wynikającego z umowy, której osoba, której dane dotyczą, nigdy nie zawarła i o której nie wiedział. AEPD wskazuje, że osoba, której dane dotyczą, próbowała skorzystać ze swojego prawa do informacji, ale nie otrzymała odpowiedzi od administratora, która zamiast tego nadal zwiększała odsetki w stosunku do rzekomego długu osoby, której dane dotyczą. | link |
| Rumunia | 2021-07-30 | 200 EUR | Osoba prywatna | Art. 5 (1) a), b), (2) RODO, Art. 6 (1) RODO, Art. 14 (1), (4) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 200 euro na osobę prywatną z powodu bezprawnego ujawnienia danych osobowych. Administrator ujawnił dane osobowe kilku osób poprzez dystrybucję niektórych materiałów w gospodarstwach domowych gminy oraz poprzez posty na swoim osobistym koncie na Facebooku. Wiązało się to z jednej strony ze zdjęciem zestawienia wynagrodzenia osoby, której dane dotyczą, z którego można było uzyskać m.in. nazwisko, imię, miejsce pracy i wynagrodzenie. Drugim było zdjęcie akt z ewidencji dzieci zapisanych do przedszkola gminnego, w którym ujawniono dane osobowe małoletniego dziecka. Organ ochrony danych uznał, że administrator przetwarzał dane bez podstawy prawnej i nie poinformował osób, których dane dotyczą, o przetwarzaniu ich danych. | link |
| Finlandia | 2021-07-05 | 25.000 EUR | Higher Education Institution | Art. 5 (1) c) RODO, Art. 6 RODO, § 3 Law 759/2004 | Fiński organ ochrony danych nałożył grzywnę w wysokości 25 000 EUR na instytucję szkolnictwa wyższego za naruszenie ochrony danych przy przetwarzaniu danych dotyczących lokalizacji pracowników. Ukarany podmiot wprowadził aplikację mobilną, która pozwalała telepracownikom na wejście i wyjście. Korzystanie z aplikacji na urządzeniu mobilnym wymagało również autoryzacji na gromadzenie danych lokalizacyjnych. Zbieranie danych o lokalizacji w momencie rejestracji było cechą aplikacji, bez której nie można było rejestrować godzin pracy za pomocą aplikacji. Zgodnie z informacjami otrzymanymi od administratora, administrator w żadnej sytuacji nie wykorzystywał aktywnie ani nie wykorzystywał danych dotyczących lokalizacji, a jedynie przetwarzał dane dotyczące lokalizacji w momencie rejestracji ze względów technicznych. Jednak sam fakt, że taktowanie czasu nie jest możliwe w aplikacji bez przetwarzania danych lokalizacyjnych, nie powoduje konieczności ich przetwarzania. Organ ochrony danych uznał zatem, że stanowi to naruszenie legalności gromadzenia danych i zasady minimalizacji danych, ponieważ przetwarzanie danych dotyczących lokalizacji nie było konieczne do celu przetwarzania – tj. samego rejestrowania godzin pracy. | link |
| Hiszpania | 2021-07-27 | 2.000 EUR | Stowarzyszenie właścicieli | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 euro na stowarzyszenie właścicieli. Osoba, której dane dotyczą, twierdziła przed organem ochrony danych, że administrator zainstalował kamerę, która rejestrowała zarówno basen, jak i inne części wnętrza domu osoby, której dane dotyczą. | link |
| Hiszpania | 2021-07-27 | 900 EUR | Stowarzyszenie właścicieli | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na stowarzyszenie właścicieli. Osoba, której dane dotyczą, twierdziła przed organem ochrony danych, że administrator zainstalował kamerę w jednym ze swoich domów, która rejestrowała zarówno strefę basenu publicznego, jak i części domu osoby, której dane dotyczą. Pierwotna grzywna w wysokości 1500 euro została obniżona do 900 euro z powodu dobrowolnej zapłaty i uznania winy. | link |
| Hiszpania | 2021-07-27 | 2.400 EUR | PODEMOS PARTIDO POLÍTICO | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na partię polityczną PODEMOS PARTIDO POLÍTICO. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. W związku z dobrowolną zapłatą i uznaniem winy pierwotna grzywna w wysokości 4000 euro została obniżona do 2400 euro. | link |
| Hiszpania | 2021-07-27 | 10.000 EUR | PERSONAL MARK, S.L. | Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 10 000 EUR na PERSONAL MARK, SL. Osoba, której dane dotyczą, skarżyła się, że otrzymywała promocyjne wiadomości tekstowe od administratora danych, pomimo kilkukrotnego żądania usunięcia jej danych osobowych z baz danych administratora . | link |
| Hiszpania | 2021-07-27 | 1.000 EUR | NEXTSTEPAGENCY, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną NEXTSTEPAGENCY, S.L. 1000 euro. Na stronie administratora brakowało wiarygodnych danych o właścicielu serwisu, takich jak NIP i adres pocztowy. | link |
| Hiszpania | 2021-07-27 | 500 EUR | Operator strony internetowej | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał operatora strony internetowej grzywną w wysokości 500 EUR, ponieważ jego polityka prywatności nie była zgodna z wymogami art. 13 RODO. | link |
| Hiszpania | 2021-07-29 | 3.000 EUR | UNIVERSIDAD A DISTANCIA DE MADRID, S.A. | Art. 17 (1) RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na UNIVERSIDAD A DISTANCIA DE MADRID, SA. Osoba, której dane dotyczą, złożyła skargę na uniwersytet zajmujący się nauczaniem na odległość. Stwierdził, że zwrócił się do administratora o usunięcie wszystkich jego danych oraz zakazanie ich przetwarzania w jakimkolwiek celu. Otrzymał potwierdzenie, że jego dane zostały całkowicie usunięte. Niemniej jednak osoba, której dane dotyczą, otrzymała później reklamę od administratora za pośrednictwem poczty elektronicznej. AEPD nałożyła wówczas grzywnę w wysokości 5 000 euro, która została obniżona do 3 000 euro z powodu uznania winy i natychmiastowej zapłaty. | link |
| Luksemburg | 2021-07-16 | 746.000.000 EUR | Amazon Europe Core S.à r.l. | nieznany | W swoim raporcie kwartalnym Amazon.com Inc. poinformował, że luksemburski organ ochrony danych (CNPD) ukarał grzywną Amazon Europe Core S.à r.l. 746 000 000 EUR za nieprzetwarzanie danych osobowych zgodnie z RODO. Amazon planuje podjąć kroki prawne przeciwko tej decyzji. | link |
| Hiszpania | 2021-07-26 | 2.520.000 EUR | Mercadona S.A. | Art. 5 (1) c) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 (1) RODO, Art. 35 RODO | Hiszpański organ ochrony danych (AEPD) ukarał Mercadonę S.A. grzywną w wysokości 2 520 000 EUR. Administrator zainstalował systemy rozpoznawania twarzy w sklepach Mercadona w celu śledzenia osób skazanych za przestępstwa lub zakazów zbliżania się. System pochwycił wszystkich, którzy weszli do sklepów, w tym nieletnich i pracowników MERCADONY. Podczas dochodzenia organ ochrony danych wykrył liczne naruszenia prywatności. Na przykład system naruszył zasadę minimalizacji danych, zasadę konieczności i proporcjonalności, ponieważ administrator mógł przetwarzać wiele danych biometrycznych – poza celami systemu. Ponadto organ ochrony danych stwierdził, że ocena wpływu firmy Mercadona na prywatność była niewystarczająca, ponieważ nie uwzględniała szczególnych i wyjątkowych zagrożeń dla pracowników Mercadony, jakie stwarza przetwarzanie danych za pomocą systemów rozpoznawania twarzy. Ponadto MERCADONA naruszyła swój obowiązek informowania, nie przekazując w odpowiedni sposób osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych. Pierwotna kara w wysokości 3 150 000 euro składała się z 500 000 euro z powodu naruszenia art. 5 ust. 1 lit. c), 2 000 000 EUR z powodu naruszenia art. 6 i art. 9 RODO 100 000 EUR z tytułu naruszenia art. 12 i art. 13 RODO 500 000 EUR z tytułu naruszenia art. 25 ust. 1 RODO oraz 50 000 euro z tytułu naruszenia art. 35 RODO. Pierwotna grzywna została obniżona do 2 250 000 EUR z powodu dobrowolnej zapłaty. | link |
| Francja | 2021-07-26 | 400.000 EUR | Monsanto Company | Art. 14 RODO, Art. 28 RODO | Francuski organ ochrony danych (CNIL) nałożył na MONSANTO grzywnę w wysokości 400 000 EUR. W maju 2019 r. kilka mediów ujawniło, że MONSANTO posiadało akta zawierające dane osobowe ponad 200 polityków lub członków społeczeństwa obywatelskiego (np. dziennikarzy, działaczy ekologicznych, naukowców lub rolników), którzy mogą wpływać na debatę lub opinię publiczną na temat odnowienie zezwolenia na glifosat w Europie. W tym samym czasie CNIL otrzymała siedem skarg od osób, których dane dotyczą, których dotyczy ta sprawa. W przypadku każdej z tych osób plik zawierał informacje, takie jak organizacja, do której należała, zajmowane stanowisko, adres służbowy, numer telefonu służbowego, numer telefonu komórkowego, firmowy adres e-mail, a w niektórych przypadkach konto na Twitterze. Ponadto CNIL zauważył, że każdej osobie przypisano punktację od 1 do 5, aby ocenić jej wpływ, wiarygodność i wsparcie dla Monsanto w różnych kwestiach. Organ ochrony danych uważa, że firma naruszyła przepisy RODO nie informując osób, których dane dotyczą, że ich dane zostały zapisane w tym pliku. Ponadto CNIL skarżył się, że przedsiębiorstwo nie udzieliło gwarancji umownych, które normalnie powinny regulować stosunki z podwykonawcą. Tworzenie plików kontaktowych przez interesariuszy do celów lobbingowych samo w sobie nie jest nielegalne. CNIL podkreśliła jednak, że osoby, których dane dotyczą, mają jednak prawo do uzyskania informacji o istnieniu pliku w celu skorzystania z dodatkowych praw, w szczególności prawa do sprzeciwu. Ponadto CNIL ustaliła, że gromadzenie danych zostało przeprowadzone przez dostawcę, z którym zawarto umowę z Monsanto oraz że Monsanto naruszyło art. 28 ogólnego rozporządzenia o ochronie danych, nie umieszczając w swoich umowach z podmiotem przetwarzającym danych przepisów przewidzianych w RODO, w zakresie bezpieczeństwa danych. | link |
| Hiszpania | 2021-07-26 | 2.000 EUR | Fincas Miguel García S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną Fincas Miguel García S.L. w wysokości 2000 euro. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi, zarzucając naruszenie art. 13 RODO. Organ ochrony danych uznał, że informacje przekazane osobie, której dane dotyczą przez administratora, nie były zgodne z przepisami art. 13 RODO, ponieważ brakowało istotnych aspektów, takich jak informacje o celach przetwarzania, dla których zbierane są dane osobowe i jego podstawie prawnej, a także informacji o prawnie uzasadnionych interesach administratora uzasadniających przetwarzanie, którego dane osobowe będą przechowywane oraz prawo do cofnięcia zgody w dowolnym momencie. | link |
| Hiszpania | 2021-07-26 | 2.000 EUR | Intersumi S.C. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na Intersumi S.C. Administrator nie przedstawił odpowiedniego oświadczenia o ochronie prywatności na swojej stronie internetowej. | link |
| Włochy | 2021-05-27 | 150.000 EUR | Azienda Provinciale per i Servizi Sanitari di Trento | Art. 5 (1) a), f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda Provinciale per i Servizi Sanitari di Trento grzywnę w wysokości 150 000 EUR. Kontroler przypadkowo przekazał swoim lekarzom rodzinnym 293 raporty medyczne 175 pacjentów, mimo że pacjenci poprosili o nieprzesyłanie raportów swoim lekarzom rodzinnym. Wśród pacjentek, o których mowa, było dwoje nieletnich i kilka kobiet, które przeszły aborcję. Dochodzenie przeprowadzone przez Garante wykazało, że dane zostały przypadkowo przesłane z powodu błędu w oprogramowaniu, które zarządza raportami pacjentów. | link |
| Włochy | 2021-05-27 | 120.000 EUR | Azienda Usl della Romagna | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda Usl della Romagna grzywnę w wysokości 120 000 EUR. Lokalne władze zdrowia Romagna przypadkowo przekazały lekarzowi ogólnemu raport pacjentki dotyczący aborcji. Jednak pacjentka poprosiła, aby nie informować o tym swojego lekarza rodzinnego. Raport został przekazany za pośrednictwem regionalnej sieci „Sole”. Dochodzenie przeprowadzone przez Garante ujawniło, że dane zostały przypadkowo przesłane z powodu błędu w oprogramowaniu, które zarządza przyjęciami, wypisami i transferami pacjentów. | link |
| Francja | 2021-07-20 | 1.750.000 EUR | SGAM AG2R LA MONDIALE | Art. 5 (1) e) RODO, Art. 13 RODO, Art. 14 RODO | Francuski organ ochrony danych (CNIL) nałożył grzywnę na prywatnego ubezpieczyciela SGAM AG2R LA MONDIALE w wysokości 1 750 000 EUR. CNIL przeprowadził kontrolę w grupie AG2R LA MONDIALE w 2019 r. Przy tej okazji CNIL stwierdził, że administrator przechowywał dane milionów osób przez zbyt długi okres i nie wywiązał się z ich obowiązków informacyjnych w kontekście telefonicznych kampanii akwizycyjnych. W odniesieniu do danych prospektów administrator nie dotrzymał maksymalnego okresu przechowywania wynoszącego trzy lata określonego w ramach odniesienia oraz w rejestrze przetwarzania Grupy. W rezultacie administrator zachował dane blisko 2000 klientów, którzy nie mieli kontaktu z administratorem od ponad trzech lat, a w niektórych przypadkach od pięciu lat. W odniesieniu do danych klientów administrator nie przestrzegał maksymalnych ustawowych okresów przechowywania określonych w Kodeksie Ubezpieczeń i Kodeksie Handlowym. W tym przypadku administrator zatrzymał dane ponad 2 milionów klientów, z których część była wrażliwa (zdrowie) lub specyficzna (dane bankowe), poza prawnie dozwolonymi okresami przechowywania po zakończeniu umowy. | link |
| Holandia | 09.04.2021 | 750.000 EUR | TikTok | Art. 12 RODO | Holenderski organ ochrony danych (AP) nałożył na portal wideo TikTok grzywnę w wysokości 750 000 EUR za naruszenie prywatności małych dzieci. Informacje, które holenderscy użytkownicy – głównie małe dzieci – otrzymali od TikTok podczas instalacji i korzystania z aplikacji, były w języku angielskim, a zatem nie były łatwe do zrozumienia. Nie udostępniając polityki prywatności w języku niderlandzkim, TikTok nie wyjaśnił odpowiednio, w jaki sposób aplikacja gromadzi, przetwarza i ponownie wykorzystuje dane osobowe. Organ ochrony danych uznał to za naruszenie obowiązku informacyjnego firmy. | link |
| Polska | 2021-06-30 | 3.000 EUR | Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra | Art. 33 (1) RODO, Art. 34 (1) RODO | Urząd Ochrony Danych (UODO) nałożył karę w wysokości 3 000 euro na Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra za promowanie mediacji i edukacji prawnej. Administrator nie poinformował niezwłocznie organu ochrony danych i osób, których dane dotyczą, o naruszeniu ochrony danych osobowych. Kilka folderów zawierających dane osobowe zostało skradzionych administratorowi na początku 2020 r. Były to nazwiska, adresy i numery telefonów, aw 3-4 przypadkach także numery PESEL 96 osób, których dane dotyczą. | link |
| Hiszpania | 2021-07-12 | 45.000 EUR | Telefónica Móviles España, S.A.U | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Telefónica Mobiles España, S.A.U. 45 000 euro. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do organu ochrony danych. Jego skarga polegała na tym, że jego numer telefonu i profil klienta były wykorzystywane przez pracowników kontrolera do przeprowadzania testów w call center i oddziałach bez jego zgody. W rezultacie osoba, której dane dotyczą, otrzymała 247 niechcianych połączeń od administratora. Pierwotna kara w wysokości 75 000 euro została obniżona do 45 000 euro z powodu natychmiastowej zapłaty i uznania odpowiedzialności. | link |
| Grecja | 2021-07-08 | 5.000 EUR | Pediatra | Art. 12 (1) RODO, Art. 15 (1) RODO | Grecki organ ochrony danych nałożył na pediatrę grzywnę w wysokości 5 000 euro. Ojciec poprosił ukarany podmiot o wgląd do dokumentacji medycznej zawartej w aktach pacjenta jego dziecka za pośrednictwem poczty elektronicznej. Administrator nie zastosował się jednak do tego żądania. | link |
| Hiszpania | 2021-07-01 | 6.000 EUR | Osoba prywatna | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 6000 euro. 8 lipca 2020 r. organ ochrony danych dowiedział się o rozpowszechnieniu w sieciach społecznościowych filmu przedstawiającego obrazy agresji mężczyzny wobec kobiety, a także młodego nieletniego mężczyznę interweniującego na scenie i próbującego zapobiec agresji, która miała miejsce miejsce. Jednak twarze kobiety i nieletniego nie były pikselowane. Pierwotna grzywna w wysokości 10 000 euro została obniżona do 6 000 euro z powodu terminowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-07-01 | 1.000 EUR | Nieznany | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 1000 euro. Administrator wykorzystał dane osobowe osoby trzeciej w celu uzyskania mikrokredytu. Organ ochrony danych stwierdza, że administrator nie miał podstawy prawnej do przetwarzania, a tym samym naruszył art. 6 ust. 1 RODO. | link |
| Hiszpania | 2021-07-07 | 2.000 EUR | Stowarzyszenie Właścicieli Domów | Art. 5 (1) c) RODO | Wykorzystanie kamery CCTV, która rejestrowała również przestrzeń publiczną z naruszeniem zasady minimalizacji danych. | link |
| Hiszpania | 2021-07-02 | 1.500 EUR | Osoba prywatna | Art. 6 (1) a) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 1500 euro. Ta osoba prywatna opublikowała dane osobowe osoby, której dane dotyczą, na stronie internetowej bez jej zgody. Dane obejmowały zdjęcia, osobiste notatki oraz informacje o stosunku seksualnym pomiędzy administratorem a osobą, której dane dotyczą. Organ ochrony danych stwierdza, że administrator przetwarzał te dane bez ważnej podstawy prawnej, a tym samym naruszył art. 6 ust. 1 lit. a RODO. | link |
| Hiszpania | 2021-07-06 | 4.200 EUR | Marbella Resorts S.L. | Art. 28 (3) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Marbella Resorts SL grzywnę w wysokości 7 000 euro. W przedmiotowej sprawie osoba, której dane dotyczą, zarezerwowała pokój w kompleksie hotelowym administratora. W dniu przyjazdu osoby, której dane dotyczą, pracownik hotelu wykonał kopie danych osoby, której dane dotyczą. Jednak pracownik hotelu nie był do tego upoważniony. Był on upoważniony wyłącznie do weryfikacji rezerwacji, a następnie do wydania gościom kluczy do pokoju. Po przekazaniu administratorowi swoich danych osobowych osoba, której dane dotyczą, odkryła, że jej dane osobowe zostały opublikowane na stronie zawierającej treści internetowe dla osób pełnoletnich. W tym zakresie organ ochrony danych stwierdził brak staranności administratora w zarządzaniu danymi osobowymi swoich klientów, a tym samym naruszenie art. 28 ust. 3 RODO. Kara za naruszenie art. 22 ust. 2 LSSI i 5000 EIR za naruszenie art. 28 ust. 3 RODO. Pierwotna grzywna w wysokości 7 000 euro została jednak obniżona do 4 200 euro ze względu na natychmiastową zapłatę i przyznanie się do winy. | link |
| Hiszpania | 2021-07-09 | 1.500 EUR | Aparcamiento Arcusa S.L.U. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 EUR na Aparcamiento Arcusa S.L.U. Ukarany podmiot zainstalował kamery monitorujące, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. Kara wynosi 1000 euro za naruszenie art. 5 ust. 1 lit. c RODO i 500 euro za naruszenie art. 13 RODO. | link |
| Luksemburg | 2021-07-29 | 12.500 EUR | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 12 500 euro. Firma zainstalowała system monitoringu wizyjnego w celu ochrony mienia firmy, zabezpieczenia dostępu do miejsc prywatnych i miejsc wysokiego ryzyka oraz zapewnienia bezpieczeństwa użytkowników i zapobiegania wypadkom. Jednak kamery nadmiernie rejestrowały również fragmenty przestrzeni publicznej i miejsca pracy pracowników. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych na podstawie art. 5 ust. 1 lit. c RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Dania | 2021-07-16 | 67.900 EUR | Region Syddanmark | Art. 32 RODO | Duński organ ochrony danych (Datatilsynet) nałożył na region Syddanmark grzywnę w wysokości 67 900 EUR za niedopełnienie obowiązku administratora danych w zakresie wdrożenia odpowiednich środków bezpieczeństwa. Sprawa zwróciła uwagę Urzędu Ochrony Danych, gdy w 2020 r. obywatel złożył skargę do organu na brak bezpieczeństwa przetwarzania danych osobowych dziecka obywatela przez województwo, a niedługo potem region zgłosił sprawę do organu jako naruszenie danych osobowych. Region Syddanmark utrzymywał bazę danych do celów badawczych i klinicznych przez okres ponad 1,5 roku, w związku z czym baza danych nie była odpowiednio zabezpieczona przed nieuprawnionym dostępem. Manipulując adresami URL, można było uzyskać dostęp do dokumentów PDF przechowywanych w bazie danych. Umożliwiło to obywatelom, którzy byli zarejestrowani w bazie - i którzy mieli również login do bazy - dostęp do danych osobowych osób zarejestrowanych w bazie. Baza danych zawierała kwestionariusze z informacjami o stanie zdrowia ponad 30 000 dzieci objętych opieką psychiatryczną. | link |
| Niemcy | 2020 | 7.000 EUR | Nieznany | Art. 58 (1) f) RODO | Bawarski organ ochrony danych nałożył na firmę grzywnę. Administrator odmówił dostępu do pomieszczeń przedsiębiorstwa i sprzętu do przetwarzania danych podczas kontroli na miejscu przeprowadzonej przez organ ochrony danych na podstawie art. 58 ust. 1 lit. f) RODO. Organ ochrony danych nałożył wówczas grzywnę w wysokości 20 000 euro, którą jednak sąd rejonowy obniżył do 7 000 euro. | link |
| Dania | 2021-07-09 | 80.700 EUR | Medicals Nordic I/S | Nieznany | Duński organ ochrony danych (Datatilsynet) nałożył na Medicals Nordic I/S grzywnę w wysokości 80 700 EUR. W styczniu 2021 r. organ ochrony danych dowiedział się, że Medicals Nordic używa WhatsApp do przesyłania poufnych informacji i danych dotyczących zdrowia obywateli testowanych w centrach testowych firmy. Wszyscy pracownicy pracujący w centrum testowym zostali zaproszeni do grupy WhatsApp powiązanej z centrum testowym. Członkowie tych grup WhatsApp otrzymywali wszystkie wiadomości przesyłane przez innych pracowników w grupach. Pracownicy udostępnili poufne informacje o obywatelach centralnej administracji firmy za pośrednictwem tych grup WhatsApp. Oznaczało to, że pracownicy, którzy nie mieli związanej z pracą potrzeby przetwarzania informacji – które inni pracownicy musieli przekazać do administracji centralnej – mimo to otrzymywali informacje. | link |
| Chorwacja | 2021-07-05 | Nieznana | Firma ubezpieczeniowa | Art. 13 RODO, Art. 14 RODO, Art 27 (1) of the National Implementation Law | Organ ochrony danych z urzędu, bez uprzedniego powiadomienia, przeprowadził bezpośredni nadzór nad firmą ubezpieczeniową z siedzibą w Zagrzebiu. Po przeprowadzeniu kontroli swojego obiektu biznesowego w celu przeprowadzenia przeglądów technicznych oraz rejestracji pojazdów i kontraktowania usług ubezpieczeniowych, organ ochrony danych ustalił, że zarówno obiekt biznesowy, jak i jego powierzchnia zewnętrzna są objęte monitoringiem wideo. UOKiK ustalił jednak, że zakład ubezpieczeń nie zgłosił takiego nadzoru, co jest sprzeczne z art. 27 ust. 1 ustawy o wdrożeniu RODO. Mianowicie administratorzy danych i podmioty przetwarzające mają obowiązek wskazać, że obiekt i jego zewnętrzna powierzchnia są objęte monitoringiem wideo, a taka informacja musi być widoczna najpóźniej przy wejściu w obszar nagrania i musi zawierać wszystkie wymagane informacje. W związku z naruszeniem organ ochrony danych nałożył na firmę ubezpieczeniową karę administracyjną. | link |
| Hiszpania | 2021-07-08 | 4.000 EUR | Malagatrom S.L.U. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na Malagatrom S.L.U. Osoba, której dane dotyczą, nabyła produkt od administratora za pośrednictwem platformy „Amazon”, który został dostarczony wadliwie. Osoba, której dane dotyczą, postanowiła następnie pozostawić negatywną opinię na stronie sklepu administratora z powodu wadliwej dostawy. Następnie administrator opublikował dane osobowe osoby, której dane dotyczą, takie jak imię i nazwisko, adres, numer telefonu komórkowego oraz imię i nazwisko żony i jej numer telefonu komórkowego na stronie sklepu pozwanego w portalu Amazon. | link |
| Hiszpania | 2021-07-08 | 50.000 EUR | Caixabank S.A. | Art. 6 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Caixabank SA karę w wysokości 50 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymała reklamę handlową od administratora danych, mimo że sprzeciwiła się przetwarzaniu jej danych w celach reklamowych a administrator odpowiedział, że zastosuje się do tego żądania. | link |
| Luksemburg | 2021-06-11 | 15.000 EUR | Nieznany | Art. 38 (1), (3) RODO, Art. 39 (1) a), b) RODO | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 15 000 euro. Podczas dochodzenia organ ochrony danych stwierdził, że administrator nie angażował w wystarczającym stopniu inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych. Ponadto administrator nie zapewnił inspektorowi ochrony danych wystarczającej autonomii. Wreszcie inspektor ochrony danych nie przeszedł wystarczającego przeszkolenia, aby móc właściwie i niezależnie doradzać i informować administratora. | link |
| Wielka Brytania | 2021-07-05 | 29.000 EUR | Mermaids | Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO | ICO nałożyła grzywnę na transseksualną organizację charytatywną Mermaids w wysokości 29 000 EUR za brak ochrony danych osobowych swoich użytkowników, z naruszeniem art. 5 ust. 1 lit. f) RODO i art. 32 (1), (2) RODO Wielkiej Brytanii. ICO przeprowadziło dochodzenie po otrzymaniu zgłoszenia o naruszeniu danych dotyczących wewnętrznej grupy e-mail. Podczas dochodzenia ICO odkryło, że grupa została utworzona z niewystarczająco bezpiecznymi ustawieniami, w wyniku czego około 780 stron poufnych wiadomości e-mail było dostępnych w Internecie przez prawie trzy lata. Spowodowało to, że dane osobowe, takie jak nazwiska i adresy e-mail, 550 osób były online. ICO stwierdza, że Mermaids powinna mieć ograniczony dostęp do swojej grupy e-mailowej i mogła rozważyć pseudonimizację lub szyfrowanie, aby zapewnić dodatkową ochronę danych osobowych. Organizacje odpowiedzialne za dane osobowe muszą zapewnić podjęcie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. | link |
| Holandia | 2021-05-31 | 450.000 EUR | UWV (holenderski dostawca usług ubezpieczeniowych dla pracowników) | Art. 32 RODO | Holenderski organ ochrony danych (AP) nałożył grzywnę na UWV (holenderski dostawca usług ubezpieczeniowych dla pracowników – „Uitvoeringsinstituut Werknemersverzekeringen”) w wysokości 450 000 EUR. UWV nie zabezpieczyło właściwie wysyłania wiadomości grupowych za pośrednictwem środowiska „Mój skoroszyt”. Jest to osobiste środowisko na stronie internetowej UWV, w którym osoby poszukujące pracy mają kontakt z UWV. W rezultacie doszło do wielu wycieków danych osobowych, w tym informacji dotyczących zdrowia, łącznie od ponad 15 000 osób. | link |
| Włochy | 2021-06-10 | 20.000 EUR | Dentysta | Art. 5 (1) a), c) RODO | Włoski organ ochrony danych (Garante) ukarał dentystę grzywną w wysokości 20 000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko dentyście za odmowę leczenia po tym, jak osoba, której dane dotyczą, wskazała, że jest nosicielem wirusa HIV w swoim formularzu historii medycznej. W gabinecie stomatologicznym powszechną praktyką było wypełnianie przez pacjentów przed leczeniem formularza wywiadu, który zawierał pytania dotyczące przebytych, istniejących lub podejrzewanych chorób zakaźnych (np. gruźlicy, zapalenia wątroby, HIV). Organ ochrony danych uznał to za naruszenie zasad legalności. Stwierdził, że uzasadnione jest żądanie takich informacji w celu lepszego planowania leczenia. Niedopuszczalne było jednak zbieranie takich informacji, a następnie odmawianie pacjentowi leczenia. | link |
| Luksemburg | 2021-06-11 | 7.600 EUR | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 7600 euro. Firma ta zainstalowała system monitoringu wideo w celu ochrony majątku firmy, zapobiegania wtargnięciu osób nieupoważnionych oraz zapobiegania wypadkom. Jednak dwie z kamer obejmowały również części ulicy publicznej, a sześć kamer obejmowało miejsca pracy niektórych pracowników Organ ochrony danych stwierdza, że rejestracja pracowników i ulicy publicznej nie była konieczna do zapewnienia celów związanych z nadzorem wideo i była zatem nieproporcjonalna. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych na podstawie art. 5 ust. 1 lit. c RODO. Ponadto organ ochrony danych stwierdził, że administrator nie dopełnił swoich obowiązków informacyjnych wynikających z art. 13 RODO. | link |
| Luksemburg | 2021-06-11 | 7.200 EUR | Nieznany | Art. 5 (1) c), e) RODO, Art. 13 RODO, Art. 32 (1) RODO | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 7200 euro. Firma zainstalowała system monitoringu wizyjnego, aby chronić majątek firmy, zapobiegać wtargnięciu osób nieupoważnionych i zapobiegać wypadkom. Jednak kamery uchwyciły również części miejsca pracy pracownika i miejsca dla palących, z których pracownicy często korzystali. Ponadto ukarany podmiot zainstalował czujniki lokalizacyjne w samochodach należących do swojej floty. Miało to na celu optymalizację działalności firmy. Organ ochrony danych stwierdza, że rejestracja pracowników nie była konieczna do realizacji celów związanych z nadzorem wideo, a zatem była nieproporcjonalna. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO. Dane lokalizacyjne zebrane przez administratora były przechowywane przez okres ośmiu miesięcy, chociaż nie byłoby to konieczne do celów przetwarzania. Organ ochrony danych uznał to za naruszenie zasady zatrzymywania danych. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO. Wreszcie organ ochrony danych stwierdził naruszenie art. 32 ust. 1 RODO. Wszystkie osoby, które miały autoryzowany dostęp do oprogramowania, za pomocą którego można było śledzić lokalizacje, korzystały z tego samego konta, a nie z konta indywidualnego | link |
| Włochy | 2021-05-13 | 84.000 EUR | Gmina Bolzano | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 RODO, Art. 35 RODO | Włoski organ ochrony danych (Garante) nałożył na gminę Bolzano grzywnę w wysokości 84 000 euro. Były pracownik gminy złożył skargę do organu ochrony danych na gminę. W szczególności były pracownik skarżył się, że gmina przetwarzała dane osobowe związane z korzystaniem przez niego z internetu w godzinach pracy oraz że później otrzymał zawiadomienie o wszczęciu postępowania dyscyplinarnego, zarzucając mu korzystanie z Facebooka przez ponad 40 minut i YouTube przez ponad 3 godziny w godzinach pracy oraz korzystania z komputera gminy do celów prywatnych. Dochodzenie organu ochrony danych ujawniło, że gmina od około dziesięciu lat korzysta z systemu kontroli i filtrowania przeglądania Internetu przez pracowników, z comiesięcznym zatrzymywaniem danych i tworzeniem specjalnych raportów do celów bezpieczeństwa sieci. System zbierał również informacje, które nie miały nic wspólnego z działalnością zawodową, a w każdym razie dotyczyły życia prywatnego danej osoby. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych, legalności i ograniczenia celu. Administrator powinien raczej podjąć mniej inwazyjne środki, aby zapobiec prywatnemu korzystaniu z Internetu. Organ ochrony danych wskazał, że konieczność ograniczenia ryzyka niewłaściwego korzystania z nawigacji internetowej nie może prowadzić do całkowitego wyeliminowania jakiejkolwiek prywatności osoby, której dane dotyczą w miejscu pracy, nawet w przypadku korzystania przez pracownika z usług sieciowych świadczonych przez pracodawcę. Ponadto administrator nie poinformował odpowiednio pracowników o gromadzeniu historii Internetu, co stanowi naruszenie obowiązku wynikającego z art. 13 RODO. Ponadto w toku śledztwa zidentyfikowano inne naruszenia w przetwarzaniu danych związane z wnioskami pracowników o nadzwyczajne badania lekarskie, które zostały złożone na specjalnym formularzu. Dostarczony przez administratora formularz musiał zostać sprawdzony przez kierownika jednostki organizacyjnej, co doprowadziło do niezgodnego z prawem przetwarzania danych dotyczących zdrowia. | link |
| Dania | 2021-07-07 | 53.800 EUR | Nordbornholms Byggeforretning Aps | Art. 5 RODO, Art. 6 RODO | Duński organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 53 800 EUR na Nordbornholms Byggeforretning Aps. W 2018 r. z organem ochrony danych skontaktowała się osoba, której dane dotyczą, która skarżyła się, że jego były pracodawca, Nordbornholms Byggeforretning ApS, ujawnił informacje na jego temat klientom firmy. Ukarany podmiot wysłał wiadomość e-mail do dwóch klientów spółki, informując ich, że były pracownik popełnił przestępstwa w trakcie zatrudnienia i przyznał się do ich popełnienia, a także szczegółowo opisując rzekomy przebieg zdarzeń. Zdaniem DPA administrator miał w takim przypadku prawnie uzasadniony interes w ujawnieniu swoim klientom informacji o zwolnieniu byłego pracownika oraz w poinformowaniu klientów, że w konsekwencji pracownik nie może zawierać żadnych umów w imieniu spółki. Jednak tak szczegółowy opis zarzutów nie był konieczny, a tym samym niezgodny z prawem. | link |
| Chorwacja | 2021-07-05 | Nieznana | Firma świadcząca usługi IT | Art. 32 (1) b), (2) RODO | Chorwacka firma informatyczna świadczy usługi informatyczne takim podmiotom jak operatorzy telefonii komórkowej, banki i instytucje państwowe w Chorwacji, a także firmom za granicą (USA, Wielka Brytania, Holandia itp.), pełniąc tym samym funkcję podmiotu przetwarzającego dane osobowe dane. Administrator danych, czyli firma telekomunikacyjna korzystająca z usług dostawcy IT, poinformowała organ ochrony danych oraz jego użytkowników o potencjalnym naruszeniu danych osobowych przez dostawcę IT. Incydent polegał na naruszeniu bezpieczeństwa, które doprowadziło do nieuprawnionego dostępu i przetwarzania danych osobowych przez hakerów i dotyczyło danych osobowych 28 085 respondentów. Incydent miał miejsce, ponieważ dostawca IT nie podjął niezbędnych środków w celu osiągnięcia odpowiedniego poziomu bezpieczeństwa zgodnie z istniejącymi i przewidywalnymi zagrożeniami. Dostawca IT, jako przetwarzający dane, był zobowiązany do podjęcia odpowiednich technicznych środków bezpieczeństwa w taki sposób, aby zapewnić stałą poufność systemu, w tym do regularnego testowania, ewaluacji i oceny skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanie. Oceniając odpowiedni poziom bezpieczeństwa, dostawca IT powinien był w szczególności uwzględnić ryzyko nieuprawnionego ujawnienia danych osobowych. W związku z niepodjęciem odpowiednich środków technicznych zapewniających bezpieczeństwo przetwarzania danych osobowych, DPA nałożył na dostawcę IT karę administracyjną. Wysokość grzywny na chwilę obecną nie jest znana. W swojej decyzji DPA wziął pod uwagę charakter działalności dostawcy IT, którego rolą powinno być wspieranie innych podmiotów poprzez opinie i wytyczne, proponowanie rozwiązań w zakresie wdrażania aplikacji internetowych, a w szczególności projektowanie i wdrażanie odpowiednich środków technicznych. | link |
| Finlandia | 2021-06-24 | 8.500 EUR | Wydawca czasopisma | Art. 5 (1) a) RODO, Art. 7 (2), (4) RODO, Art. 12 (2) RODO, Art. 21 (2) RODO, Art. 24 (1) RODO, Art. 28 (1), (3) RODO | Fiński organ ochrony danych nałożył na wydawcę czasopisma grzywnę w wysokości 8500 euro. Organ ochrony danych otrzymał cztery skargi przeciwko wydawcy czasopisma dotyczące niezamówionej reklamy telefonicznej. Administrator prowadził marketing bezpośredni za pomocą automatycznego systemu wywołującego, bez ważnej zgody odbiorców połączeń. W szczególności administrator uzyskał widoczną zgodę na marketing bezpośredni, gdy klient na przykład zaprenumerował magazyn na swojej stronie internetowej. Prenumerator magazynu był zobowiązany do zaakceptowania warunków prenumeraty i umowy, w tym zgody na marketing bezpośredni. Brak zgody na marketing bezpośredni uniemożliwia prenumeratę czasopisma. Organ ochrony danych stwierdza, że zgoda i sposób jej uzyskania były niezgodne z RODO. Rzeczywiście, zgoda nie była wyraźnie wymagana w przypadku marketingu bezpośredniego, a zgoda zebrana wraz z warunkami subskrypcji i umowy nie stanowiła dobrowolnej zgody w celu marketingu bezpośredniego. Ponadto osoby, których dane dotyczą, nie miały możliwości skorzystania z prawa do sprzeciwu ze względu na fakt, że połączenia w ramach marketingu bezpośredniego były wykonywane przy użyciu automatycznych systemów wywołujących, a boty głosowe nie mogły zrozumieć konkretnych pytań osób, których dane dotyczą, dotyczących ich danych. Ponadto wydawca czasopisma zlecił call center przeprowadzenie kampanii reklamowej i nie uregulował swoich czynności przetwarzania w umowie o zlecone przetwarzanie. | link |
| Szwecja | 2021-06-21 | 1.600.000 EUR | Storstockholms Lokaltrafik | Art. 5 (1) a), c) RODO, Art. 6 (1) f) RODO, Art. 13 RODO | Szwedzki organ ochrony danych nałożył grzywnę na Storstockholms Lokaltrafik (Sztokholmskie Przedsiębiorstwo Transportowe) w wysokości 1 600 000 EUR. Ukarany podmiot wyposażył kontrolerów biletów w noszone na ciele kamery, które miały na celu zapobieganie groźnym sytuacjom, incydentom związanym z dokumentami i zapewnienie, że właściwa osoba zostanie ukarana grzywną za podróżowanie środkami transportu publicznego w Sztokholmie bez ważnego biletu. Kontrolerzy biletów byli zobowiązani do utrzymywania kamery włączonej przez całą zmianę, dzięki czemu mogli sfilmować wszystkich pasażerów, którzy minęli kontrolera. Ponieważ kilkaset tysięcy osób codziennie korzysta z transportu publicznego w Sztokholmie, duża liczba osób była zagrożona monitorowaniem za pomocą nagrań wideo i audio. Organ ochrony danych uważa, że technologię kamer noszonych na ciele można wykorzystać do zapobiegania i dokumentowania sytuacji zagrażających, ale czas nagrywania wstępnego należy skrócić do maksymalnie 15 sekund, ponieważ dłuższy czas nagrywania wstępnego nie jest konieczny do osiągnięcia powyższego. wymienionych celów. Ponadto organ ochrony danych stwierdził, że nagrania dźwiękowe nie przyczyniły się do identyfikacji osób bez ważnego biletu. Organ ochrony danych uznał zatem nagrania audio za naruszenie zasad legalności i przejrzystości oraz minimalizacji danych. Organ ochrony danych skrytykował również kontrolera za brak wystarczających informacji na temat nadzoru kamer, w tym za rejestrowanie nie tylko obrazów, ale także dźwięków. | link |
| Finlandia | 2021-06-24 | 20.000 EUR | UAB VS FITNESS | Art. 5 (1) a), c) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 RODO, Art. 35 (1) RODO | Litewski organ ochrony danych (VDAI) nałożył na UAB VS FITNESS grzywnę w wysokości 20 000 euro. Po otrzymaniu od osoby fizycznej zawiadomienia o konieczności zeskanowania odcisku palca w celu skorzystania z usług klubu sportowego należącego do ukaranego podmiotu, organ ochrony danych wszczął śledztwo przeciwko administratorowi. W wyniku przeglądu organu ochrony danych stwierdzono, że zgoda udzielona przez klientów na przetwarzanie wzorów ich odcisków palców nie była dobrowolna, ponieważ nie istniały inne środki identyfikacji. Ponadto organ ochrony danych stwierdził, że administrator bezprawnie przetwarzał również odciski palców pracowników. Administrator nie określił również, w jakim celu i na jakiej podstawie prawnej przetwarzał dane biometryczne pracowników. Nie przeprowadził również oceny skutków dla ochrony danych i nie wykazał konieczności i proporcjonalności przetwarzania odcisków palców pracowników. Ponadto organ ochrony danych stwierdza, że administrator nie wywiązał się ze swoich obowiązków informacyjnych zgodnie z art. 13 RODO. | link |
| Szwecja | 2021-06-21 | 1.600.000 EUR | Storstockholms Lokaltrafik | Art. 5 (1) a), c) RODO, Art. 6 (1) f) RODO, Art. 13 RODO | Szwedzki organ ochrony danych nałożył grzywnę na Storstockholms Lokaltrafik (Sztokholmskie Przedsiębiorstwo Transportowe) w wysokości 1 600 000 EUR. Ukarany podmiot wyposażył kontrolerów biletów w noszone na ciele kamery, które miały na celu zapobieganie groźnym sytuacjom, incydentom związanym z dokumentami i zapewnienie, że właściwa osoba zostanie ukarana grzywną za podróżowanie środkami transportu publicznego w Sztokholmie bez ważnego biletu. Kontrolerzy biletów byli zobowiązani do utrzymywania kamery włączonej przez całą zmianę, dzięki czemu mogli sfilmować wszystkich pasażerów, którzy minęli kontrolera. Ponieważ kilkaset tysięcy osób codziennie korzysta z transportu publicznego w Sztokholmie, duża liczba osób była zagrożona monitorowaniem za pomocą nagrań wideo i audio. Organ ochrony danych uważa, że technologię kamer noszonych na ciele można wykorzystać do zapobiegania i dokumentowania sytuacji zagrażających, ale czas nagrywania wstępnego należy skrócić do maksymalnie 15 sekund, ponieważ dłuższy czas nagrywania wstępnego nie jest konieczny do osiągnięcia powyższego. wymienionych celów. Ponadto organ ochrony danych stwierdził, że nagrania dźwiękowe nie przyczyniły się do identyfikacji osób bez ważnego biletu. Organ ochrony danych uznał zatem nagrania audio za naruszenie zasad legalności i przejrzystości oraz minimalizacji danych. Organ ochrony danych skrytykował również kontrolera za brak wystarczających informacji na temat nadzoru kamer, w tym za rejestrowanie nie tylko obrazów, ale także dźwięków. | link |
| Litwa | 2021-06-21 | 20.000 EUR | UAB VS FITNESS | Art. 5 (1) a), c) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 RODO, Art. 35 (1) RODO | Litewski organ ochrony danych (VDAI) nałożył na UAB VS FITNESS grzywnę w wysokości 20 000 euro. Po otrzymaniu od osoby fizycznej zawiadomienia o konieczności zeskanowania odcisku palca w celu skorzystania z usług klubu sportowego należącego do ukaranego podmiotu, organ ochrony danych wszczął śledztwo przeciwko administratorowi. W wyniku przeglądu organu ochrony danych stwierdzono, że zgoda udzielona przez klientów na przetwarzanie wzorów ich odcisków palców nie była dobrowolna, ponieważ nie istniały inne środki identyfikacji. Ponadto organ ochrony danych stwierdził, że administrator bezprawnie przetwarzał również odciski palców pracowników. Administrator nie określił również, w jakim celu i na jakiej podstawie prawnej przetwarzał dane biometryczne pracowników. Nie przeprowadził również oceny skutków dla ochrony danych i nie wykazał konieczności i proporcjonalności przetwarzania odcisków palców pracowników. Ponadto organ ochrony danych stwierdza, że administrator nie wywiązał się ze swoich obowiązków informacyjnych zgodnie z art. 13 RODO. | link |
| Grecja | 2021-06-03 | 15.000 EUR | PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ | Art. 5 (1) a), b) RODO, Art. 5 (2) RODO | Grecki organ ochrony danych nałożył grzywnę PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ 15 000 EUR za nielegalną instalację i działanie systemu nadzoru wideo. Administrator zainstalował na terenie biura system monitoringu wizyjnego nie informując o tym pracowników, łamiąc tym samym zasady legalności, uczciwości, przejrzystości, celowości i rozliczalności. | link |
| Dania | 2021-06-16 | 27.000 EUR | Vejle Municipality | Art. 32 RODO | Duński organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 27 000 euro na gminę Vejle. Duński organ ochrony danych wszczął dochodzenie przeciwko gminie po zgłoszeniu naruszenia danych zgodnie z art. 33 RODO. Miejska opieka dentystyczna wysłała automatyczne listy powitalne do obojga rodziców w ramach leczenia dzieci, które zawierały dane kontaktowe obojga rodziców. W tym procesie gmina nie sprawdziła, czy może przekazać informacje drugiemu rodzicowi. W kilku przypadkach rodzice otrzymywali w ten sposób adres drugiego rodzica, niezależnie od tego, czy drugi rodzic miał ochronę imienia i adresu. Organ ochrony danych uznał to za niepodjęcie przez gminę środków technicznych i organizacyjnych w celu zapewnienia odpowiedniej ochrony danych. | link |
| Rumunia | 2021-06-09 | 2.000 EUR | La Santrade S.R.L. | Art. 31 RODO, Art. 58 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę na La Santrade S.R.L. 2000 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. | link |
| Luksemburg | 2021-05-31 | 18.000 EUR | Nieznany | Art. 38 (1), (2) RODO, Art. 39 (1) a) RODO | Luksemburski organ ochrony danych nałożył na spółkę karę w wysokości 18 000 euro. Zdaniem organu ochrony danych administrator po pierwsze nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie zapewnił inspektorowi ochrony danych niezbędnych zasobów do wykonywania jego obowiązków. | link |
| Holandia | 2021-02-04 | 12.000 EUR | Klinika ortodontyczna | Art. 32 (1) RODO | Holenderski organ ochrony danych (AP) nałożył na klinikę ortodontyczną grzywnę w wysokości 12 000 EUR. Formularz internetowy, z którego korzystali nowi pacjenci, zawierał obowiązkowe pola dla wszelkiego rodzaju danych osobowych pacjentów. Dane, które wpisywali do formularza pacjenci (głównie dzieci) były następnie przesyłane do kliniki ortodontycznej niezaszyfrowanym, a więc niezabezpieczonym połączeniem. Przedstawiało to ryzyko uzyskania dostępu do danych osobowych osób, których dane dotyczą, przez nieuprawnione osoby trzecie. | link |
| Francja | 2021-06-14 | 500.000 EUR | BRICO PRIVÉ | Art. 5 (1) e) RODO, Art. 13 RODO, Art. 17 RODO, Art. 32 RODO, Art. 82 Loi informatique et libertés, Art. L. 34-5 CPCE | Francuski organ ochrony danych (CNIL) nałożył na BRICO PRIVÉ grzywnę w wysokości 500 000 euro. CNIL przeprowadził trzy inspekcje w BRICO PRIVÉ w latach 2018-2021 i zidentyfikował kilka niedociągnięć w przetwarzaniu danych osobowych potencjalnych i klientów. Na przykład administrator nie przestrzegał ustalonych przez siebie okresów przechowywania danych. W związku z tym zachowano dane ponad 16 000 klientów, którzy nie złożyli zamówienia w ciągu ostatnich pięciu lat. To samo dotyczyło ponad 130 000 osób, które nie logowały się na swoje konta klientów przez pięć lat. Ponadto administrator naruszył obowiązki informacyjne wynikające z art. 13 RODO. Ponadto administrator nie wywiązał się z obowiązku pełnej zgodności z otrzymanymi żądaniami usunięcia. CNIL stwierdziła również, że administrator nie wdrożył wystarczających środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Na przykład administrator nie wymagał używania bezpiecznego hasła podczas procesu otwierania konta na stronie internetowej firmy lub gdy pracownicy uzyskiwali dostęp do oprogramowania do zarządzania relacjami z klientami. Kara za naruszenie art. 5 ust. 1 lit. e RODO, art. 13 RODO, art. 17 RODO i art. 32 RODO i 200 000 EUR za naruszenie art. 82 Loi informatique et libertés oraz art. L. 34-5 CPCE. | link |
| Irlandia | 2021-03-23 | 90.000 EUR | Irish Credit Bureau DAC | Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODO | Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 90 000 euro na Irish Credit Bureau (ICB). Grzywna jest następstwem naruszenia danych zgłoszonego przez administratora organowi ochrony danych w dniu 31 sierpnia 2018 r. Administratorem jest agencja informacji kredytowej, która prowadzi bazę danych dotyczących realizacji umów kredytowych między instytucjami finansowymi a kredytobiorcami. Do naruszenia danych doszło, gdy administrator dokonał zmiany kodu w swojej bazie danych, która zawierała błąd techniczny. W rezultacie w okresie od 28 czerwca 2018 r. do 30 sierpnia 2018 r. baza ICB błędnie zaktualizowała ewidencję 15 120 zamkniętych rachunków. Kontroler ujawnił 1062 niedokładne zapisy dotyczące rachunków instytucjom finansowym lub osobom dotkniętym problemem, zanim problem został rozwiązany. | link |
| Litwa | 2021-06-21 | 20.000 EUR | UAB VS FITNESS | Art. 5 (1) a), c) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 RODO, Art. 35 (1) RODO | Litewski organ ochrony danych (VDAI) nałożył na UAB VS FITNESS grzywnę w wysokości 20 000 euro. Po otrzymaniu od osoby fizycznej zawiadomienia o konieczności zeskanowania odcisku palca w celu skorzystania z usług klubu sportowego należącego do kontrolera, organ ochrony danych wszczął przeciwko kontrolerowi śledztwo. W wyniku przeglądu organu ochrony danych stwierdzono, że zgoda udzielona przez klientów na przetwarzanie wzorów ich odcisków palców nie była dobrowolna, ponieważ nie istniały inne środki identyfikacji. Ponadto organ ochrony danych stwierdził, że administrator bezprawnie przetwarzał również odciski palców pracowników. Administrator nie określił również, w jakim celu i na jakiej podstawie prawnej przetwarzał dane biometryczne pracowników. Nie przeprowadził również oceny skutków w zakresie ochrony danych i nie wykazał konieczności i proporcjonalności przetwarzania odcisków palców pracowników. . Ponadto organ ochrony danych stwierdza, że administrator nie wywiązał się ze swoich obowiązków informacyjnych zgodnie z art. 13 RODO. | link |
| Holandia | 2020-03-24 | 15.000 EUR | CP&A | Art. 9 RODO, Art. 32 RODO | Holenderski organ ochrony danych (AP) nałożył na CP&A grzywnę w wysokości 15 000 EUR. Administrator udokumentował zarówno przyczyny choroby, jak i konkretne skargi osób, których dane dotyczą, w ramach rejestracji nieobecności pracowników z powodu choroby. Organ ochrony danych stwierdził, że jest to niezgodne z prawem, ponieważ dane dotyczące zdrowia są objęte szczególną ochroną. Pracodawcom nie wolno rejestrować przyczyn ani przyczyn zwolnienia lekarskiego. Ponadto organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania podczas rejestrowania nieobecności. Mianowicie rejestracja nieobecności była dostępna online, bez jakiejkolwiek formy uwierzytelnienia. Jednak gdy system nieobecności jest dostępny przez Internet, dostęp do systemu ma być możliwy tylko poprzez uwierzytelnianie wieloskładnikowe. Zdaniem organu ochrony danych oprócz „normalnego” logowania wymagana byłaby inna forma uwierzytelnienia. | link |
| Holandia | 2020-12-20 | 525.000 EUR | Locatefamily.comm | Art. 27 RODO | Holenderski organ ochrony danych (AP) nałożył na Locatefamily.com grzywnę w wysokości 525 000 EUR. Locatefamily.com to platforma, na której ludzie mogą wyszukiwać informacje kontaktowe członków rodziny, z którymi stracili kontakt lub innych osób, z którymi chcieliby się skontaktować. Osoby, których dane dotyczą, skarżyły się, że ich dane kontaktowe (imię i nazwisko, adres, numer telefonu) zostały opublikowane na stronie internetowej bez ich wiedzy. Osoby, których dane dotyczą, nie mogły w łatwy sposób zażądać usunięcia swoich danych opublikowanych na stronie, ponieważ Locatefamily.com nie posiadało żadnego przedstawicielstwa w Unii Europejskiej. Organizacje oferujące towary lub usługi w UE muszą mieć przedstawiciela, do którego obywatele UE mogą się zwrócić w celu uzyskania informacji lub skorzystania z przysługujących im praw do ochrony danych. W związku z tym holenderski organ ochrony danych stwierdził naruszenie art. 27 RODO. | link |
| Holandia | 2020-06-16 | 7.500 EUR | PVV Overijssel | Art. 33 RODO | Holenderski organ ochrony danych (AP) nałożył grzywnę na lokalny oddział strony PVV w Overijssel w wysokości 7500 EUR za brak powiadomienia AP o naruszeniu ochrony danych osobowych, z naruszeniem art. 33 RODO. Wiadomość e-mail dotycząca zwołania spotkania została wysłana za pośrednictwem otwartej listy dystrybucyjnej z powodu błędu ludzkiego. Ponieważ w wiadomości e-mail zaadresowano łącznie 101 odbiorców jako „przyjaciół PVV”, przekonania polityczne osób, których dane dotyczą, zostały zatem ujawnione wszystkim adresatom. | link |
| Holandia | 2021-12-10 | 475.000 EUR | Booking.com B.V. | Art. 33 RODO | Holenderski organ ochrony danych (Autoriteit Persoonsgegevens) nałożył na Booking.com grzywnę w wysokości 475 000 EUR za nieterminowe zgłoszenie naruszenia ochrony danych organowi ochrony danych. W grudniu 2018 roku przestępcy uzyskali dostęp do danych 4109 osób, które zarezerwowały pokój hotelowy za pośrednictwem serwisu rezerwacyjnego. Obejmowały one ich nazwiska, adresy i numery telefonów, a także szczegóły dotyczące ich rezerwacji. Przestępcy uzyskali również dostęp do danych kart kredytowych 283 osób, aw 97 przypadkach zdołali uzyskać dostęp do kodu zabezpieczającego karty kredytowej. Ponadto próbowali uzyskać dane kart kredytowych innych ofiar, udając pracowników Booking.com za pośrednictwem poczty elektronicznej lub telefonu. Booking.com został powiadomiony o naruszeniu danych w dniu 13 stycznia 2019 r., ale nie zgłosił go organowi ochrony danych do 7 lutego 2019 r. Administrator spóźnił się zatem o 22 dni ze zgłoszeniem naruszenia danych, ponieważ jest zobowiązany do zgłoszenia danych naruszenie do organu ochrony danych w ciągu 72 godzin. | link |
| Szwecja | 2021-06-21 | 1.600.000 EUR | Storstockholms Lokaltrafik | Art. 5 (1) a), c) RODO, Art. 6 (1) f) RODO, Art. 13 RODO | Szwedzki organ ochrony danych nałożył grzywnę na Storstockholms Lokaltrafik (Sztokholmskie Przedsiębiorstwo Transportowe) w wysokości 1 600 000 EUR. Ukarany podmiot wyposażył kontrolerów biletów w noszone na ciele kamery, które miały na celu zapobieganie groźnym sytuacjom, incydentom związanym z dokumentowaniem i zapewnienie, że właściwa osoba zostanie ukarana grzywną za podróżowanie środkami transportu publicznego w Sztokholmie bez ważnego biletu. Kontrolerzy biletów byli zobowiązani do utrzymywania kamery włączonej przez całą zmianę, dzięki czemu mogli sfilmować wszystkich pasażerów, którzy minęli kontrolera. Ponieważ kilkaset tysięcy osób codziennie korzysta z transportu publicznego w Sztokholmie, duża liczba osób była zagrożona monitorowaniem za pomocą nagrań wideo i audio. Organ ochrony danych uważa, że technologię kamer noszonych na ciele można wykorzystać do zapobiegania groźnym sytuacjom i dokumentowania ich, ale czas nagrywania wstępnego należy skrócić do maksymalnie 15 sekund, ponieważ dłuższy czas nagrywania wstępnego nie jest konieczny do osiągnięcia powyższego. wymienionych celów. Ponadto organ ochrony danych stwierdził, że nagrania audio nie przyczyniły się do identyfikacji osób bez ważnego biletu. Organ ochrony danych uznał zatem nagrania audio za naruszenie zasad legalności i przejrzystości oraz minimalizacji danych. Organ ochrony danych skrytykował również ukarany podmiot za brak wystarczających informacji na temat nadzoru kamer, w tym fakt, że rejestrowane były nie tylko obrazy, ale także dźwięki. . | link |
| Polska | 2021-03-19 | 4.900 EUR | Funeda Sp. z o.o. | Art. 31 RODO, Art. 58 (1) a), e) RODO | Polski organ ochrony danych (UODO) nałożył grzywnę na Funeda Sp. ogród zoologiczny. 4900 EUR za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. | link |
| Norwegia | 2021-05-18 | 95.500 EUR | Innovasjon Norge | Art. 5 (1) RODO, Art. 6 (1) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę na krajowy bank rozwoju Innovasjon Norge 1 000 000 NOK (95 500 EUR). Administrator przeprowadził kilka kontroli zdolności kredytowej osoby, której dane dotyczą, bez żadnej podstawy umownej. W tym celu bank bez jej zgody przeanalizował liczne dane finansowe osoby, której dane dotyczą. | link |
| Węgry | 2021-04-27 | 570 EUR | Firma | Art. 5 (1) a), (2) RODO, Art. 6 RODO, Art. 13 RODO | Węgierski organ ochrony danych (NAIH) nałożył na spółkę grzywnę w wysokości 570 euro. W toku swojej działalności zawodowej osoba, której dane dotyczą, wykonała telefon do spółki w dniu 23 września 2019 r. Spółka nagrała rozmowę bez poinformowania osoby, której dane dotyczą i bez uzyskania jej zgody, a następnie udostępniła ją spółce, w której osoba, której dane dotyczą, była zatrudniona (administrator). Następnie administrator rozwiązał stosunek pracy, ponieważ nagrana rozmowa telefoniczna najwyraźniej nie spełniała standardów usługowych i zawodowych administratora. Organ ochrony danych stwierdza, że administrator nie tylko przetwarzał dane osoby, której dane dotyczą, bez podstawy prawnej, ale także naruszył obowiązek rozliczalności, nie wykazując zgodności z prawem przetwarzania. Ponadto administrator naruszył obowiązek informacyjny wynikający z art. 13 RODO. | |
| Węgry | 2021-04-27 | 1.400 EUR | Firma | Art. 5 (1), (2) RODO, Art. 6 RODO, Art. 13 RODO | Węgierski organ ochrony danych (NAIH) nałożył na firmę grzywnę w wysokości 1400 euro. W toku swojej działalności zawodowej osoba, której dane dotyczą, wykonała telefon z administratorem w dniu 23 września 2019 r. Administrator nagrał rozmowę bez poinformowania osoby, której dane dotyczą, ani uzyskania jej zgody, a następnie przekazał ją firmie, w której dane podmiot był zatrudniony. Pracodawca osoby, której dane dotyczą, rozwiązał następnie jego zatrudnienie, ponieważ nagrana rozmowa telefoniczna najwyraźniej nie spełniała standardów usługowych i zawodowych firmy. Organ ochrony danych stwierdza, że administrator nie tylko przetwarzał dane osoby, której dane dotyczą, bez podstawy prawnej, ale również naruszył obowiązek rozliczalności, nie wykazując zgodności z prawem przetwarzania. Ponadto administrator naruszył obowiązek informacyjny wynikający z art. 13 RODO. | |
| Węgry | 2021-04-27 | 1.425 EUR | Operator placówki opiekuńczej | Art. 5 (1) a), b), c) RODO, Art. 6 RODO, Art. 13 (1), (2) RODO | Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 1425 euro na operatora zakładu opieki. Operator zainstalował łącznie 25 kamer we wszystkich pomieszczeniach placówki, z wyjątkiem toalet, szatni i głównego stanowiska pielęgniarek. Zarówno mieszkańcy obiektu, jak i pracownicy byli rejestrowani przez monitoring wizyjny. Administrator oświadcza, że kamery zostały zainstalowane ze względów bezpieczeństwa. Obejmowały one uniemożliwienie dostępu do obiektu nieupoważnionym osobom oraz zniechęcanie do kradzieży. Organ ochrony danych stwierdza, że tak szeroko zakrojony nadzór wideo nie był konieczny w celu przetwarzania (ochrona obiektu). Ponadto administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych. | |
| Grecja | 2021-06-03 | 15.000 EUR | PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ | Art. 5 (1) a), b) RODO, Art. 5 (2) RODO | Grecki organ ochrony danych nałożył grzywnę PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ 15 000 EUR za nielegalną instalację i działanie systemu nadzoru wideo. Administrator zainstalował na terenie biura system monitoringu wizyjnego, nie informując o tym pracowników, łamiąc tym samym zasady legalności, uczciwości, przejrzystości, celowości i rozliczalności. | link |
| Grecja | 2021-05-12 | 5.000 EUR | KARIERA A.E. | Art. 17 RODO, Art. 21 RODO, Art. 25 RODO | Grecki organ ochrony danych nałożył na ΚARIERA AE grzywnę w wysokości 5 000 EUR Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych w związku z faktem, że administrator nadal wysyłał mu reklamy e-mailowe, mimo że zażądał usunięcia jego dane, a administrator potwierdził usunięcie. Z powodu błędu technicznego dane osoby, której dane dotyczą, nie zostały usunięte. | link |
| Grecja | 2021-05-17 | 10.000 EUR | Municipal Organization for Pre-School Education and Social Solidarity (DOPAKA) of the municipality of Tavros Moschato | Art. 6 (1) c) RODO, Art. 12 (3), (4) RODO, Art. 17 (1) d) RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na Miejski Organ ds. Edukacji Przedszkolnej i Solidarności Społecznej (DOPAKA) gminy Tavros Moschato. Administrator opublikował dokumenty zawierające dane osobowe osoby, której dane dotyczą, bez podstawy prawnej. Dokumenty zawierały, oprócz jego nazwiska, informacje o wykonywanym zawodzie, miejscu pracy oraz ocenę jego zachowania. Administrator nie odpowiedział również na kolejny wniosek o usunięcie danych złożony przez osobę, której dane dotyczą. Grzywna wynosi proporcjonalnie 7 000 euro za naruszenie art. 6 ust. 1 lit. c RODO i 3000 EUR za naruszenie art. 12 ust. 3, 4 RODO oraz art. 17 ust. 1 lit. d RODO. | link |
| Grecja | 2020-04-07 | 2.000 EUR | Ιγνατιάδης Νικόλαος και ΣΙΑ Ε.Ε. | Art. 5 (1) c) RODO, Art. 6 (1) f) RODO | Grecki organ ochrony danych (HDPA) nałożył na Ιγνατιάδης Νικόλαος και ΣΙΑ Ε.Ε grzywnę w wysokości 2 000 EUR. Kontroler zainstalował kamery monitorujące obejmujące obszary, w których obecni byli jego pracownicy. Kontroler twierdzi, że kamery zostały zainstalowane ze względów bezpieczeństwa, ponieważ w przeszłości zdarzały się przypadki kradzieży. Mając to na uwadze, system monitoringu miał na celu wykrywanie osób wchodzących do obiektów. Jednak podczas dochodzenia prowadzonego przez DPA ustalono, że instalacja kamery nie ograniczała się do obszarów niezbędnych do ochrony mienia. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | link |
| Hiszpania | 2021-06-14 | 1.200 EUR | Inmopiso Zaragoza S.L. | Art. 13 RODO | Administrator nie dostarczył dokładnych informacji o zbieraniu danych zgodnie z art. 13 RODO. Pierwotna grzywna w wysokości 2000 euro została obniżona do 1200 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Luksemburg | 2021-05-31 | 18.000 EUR | Nieznany | Art. 38 (1), (2) RODO, Art. 39 (1) a) RODO | Luksemburski organ ochrony danych nałożył na spółkę karę w wysokości 18 000 euro. Zdaniem organu ochrony danych administrator po pierwsze nie angażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie zapewnił inspektorowi ochrony danych niezbędnych zasobów do wykonywania jego obowiązków. | link |
| Holandia | 2021-02-04 | 12.000 EUR | Klinika Ortodontyczna | Art. 32 (1) RODO | Holenderski organ ochrony danych (AP) nałożył grzywnę na klinikę ortodontyczną w wysokości 12 000 EUR. Formularz internetowy, z którego korzystali nowi pacjenci, zawierał obowiązkowe pola dla wszelkiego rodzaju danych osobowych pacjentów. Dane, które pacjenci (głównie dzieci) wprowadzali do formularza, były następnie przesyłane do kliniki ortodontycznej za pośrednictwem niezaszyfrowanego – a więc niezabezpieczonego – połączenia. Przedstawiało to ryzyko uzyskania dostępu do danych osobowych osób, których dane dotyczą, przez nieuprawnione osoby trzecie. | link |
| Liechtenstein | 2020 | 4.100 EUR | Nieznany | Brak informacji | Bezprawne działanie systemu monitoringu wideo. | link |
| Norwegia | 2021-05-28 | 39.700 EUR | BRAbank ASA | Art. 24 RODO, Art. 32 (1), (2) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na BRAbank ASA grzywnę w wysokości 39 700 EUR. Administrator zgłosił naruszenie danych organowi ochrony danych w dniu 6 września 2019 r. Na stronie internetowej administratora niektórzy klienci mogli przeglądać dane innych klientów w sekcji „Moja strona”. Obejmowały one warunki kredytowe i dane adresowe innych klientów. Sekcja została uruchomiona niedługo wcześniej dla 500 wybranych klientów i służyła m.in. przeglądowi kredytów zaciągniętych u kontrolera. Na podstawie dochodzenia w tej sprawie organ ochrony danych stwierdził, że administrator nie spełnił wymogów RODO dotyczących oceny ryzyka i odpowiednich środków technicznych w związku z uruchomieniem portalu klienta. Według oceny organu ochrony danych naruszeniu bezpieczeństwa danych osobowych można było zapobiec, gdyby administrator przeprowadził ocenę ryzyka i przegląd zgodnie z wymogami prawa. | link |
| Szwecja | 2021-06-09 | 34.800 EUR | Dyrekcja Ratownictwa Östra Skaraborg | Art. 5 (1) a), c) RODO, Art. 32 (1), (4) RODO | Szwedzki organ ochrony danych nałożył grzywnę w wysokości 34 800 euro na dyrekcję ratownictwa Östra Skaraborg. Organ ochrony danych otrzymał informację, że kilka straży pożarnych w Östra Skaraborg obsługiwało kamery monitorujące, które filmowały obszary, w których zmieniali się strażacy podczas sytuacji awaryjnej, po czym zainicjował przegląd monitoringu kamer. Nadzór wideo odbywał się przez całą dobę, chociaż sam ukarany stwierdził, że nadzór wideo jest wymagany tylko w przypadku alarmów awaryjnych. Organ ochrony danych stwierdza, że całodobowy monitoring był zbyt dalekosiężny, ale zauważa, że ukarany miał ważne powody, aby nadzorować kamerę. Jednak nadzór kamer powinien być ograniczony do nagłych przypadków. Kara składa się proporcjonalnie z 29 800 euro za naruszenie art. 5 ust. 1 lit. a), c) RODO i 5000 euro za naruszenie art. 32 ust. 1, 4 RODO. | link |
| Polska | 2021-04-27 | 5.050 EUR | PNP S.A. | Art. 31 RODO, Art. 58 (1) e) RODO | Administrator nie dostarczył informacji żądanych przez polski organ ochrony danych (UODO) dla celów dochodzeniowych. | link |
| Rumunia | 2021-06-09 | 2000 EUR | S.C. Dreamtime Call S.R.L. | Art. 83 (5) e) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę na S.C. Dreamtime Call S.R.L. 2 000 euro za nieudzielenie informacji żądanych przez organ ochrony danych w trakcie dochodzenia, z naruszeniem przepisów art. 83 ust. 5 e) RODO. | link |
| Szwecja | 2021-06-07 | 64.500 EUR | Voice Integrate Nordic AB | Art. 32 RODO | Szwedzki organ ochrony danych nałożył na Voice Integrate Nordic AB grzywnę w wysokości 64 500 euro. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numerem 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Szwedzki organ ochrony danych stwierdził, że Voice Integrate nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w celu ochrony danych osobowych, tak aby osoby nieuprawnione nie miały do nich dostępu. | link |
| Szwecja | 2021-06-07 | 1.200.000 EUR | MedHelp AB | Art. 5 (1) a), f) RODO, Art. 6 RODO, Art. 9 (1) RODO, Art. 13 RODO, Art. 32 RODO | Szwedzki organ ochrony danych nałożył na MedHelp AB grzywnę w wysokości 1 200 000 EUR. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numerem 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Szwedzki organ ochrony danych stwierdził, że MedHelp nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w celu ochrony danych osobowych, tak aby osoby nieuprawnione nie miały do nich dostępu. Podobnie MedHelp nie poinformował odpowiednio dzwoniących o przetwarzaniu ich danych osobowych zgodnie z art. 13 RODO. Ponadto IOD uznaje powierzenie przetwarzania danych osobowych Medicall za naruszenie zasady legalności określonej w RODO. Dzieje się tak, ponieważ Medicall nie jest objęty szwedzkim ustawodawstwem zdrowotnym i medycznym, a zatem nie podlega prawnie uregulowanemu obowiązkowi zachowania poufności, który istnieje w szwedzkim sektorze opieki zdrowotnej. | link |
| Szwecja | 2021-06-07 | 50.000 EUR | Region Stockholm | Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO | Szwedzki organ ochrony danych nałożył grzywnę w wysokości 50 000 euro na region Sztokholm. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numer 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na Region Sztokholm za zbieranie danych o połączeniach od osób, których dane dotyczą, bez wcześniejszego odpowiedniego poinformowania ich o ich przetwarzaniu. | link |
| Szwecja | 2021-06-07 | 25.000 EUR | Region Värmland | Art. 5 (1) a) RODO, Art. 13 RODO | Szwedzki organ ochrony danych nałożył grzywnę w wysokości 25 000 euro na region Värmland. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numerem 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na region Värmland za zbieranie danych o połączeniach od osób, których dane dotyczą, bez wcześniejszego odpowiedniego poinformowania ich o ich przetwarzaniu. | link |
| Szwecja | 2021-06-07 | 25.000 EUR | Region Sörmland | Art. 5 (1) a) RODO, Art. 13 RODO | Szwedzki organ ochrony danych nałożył grzywnę w wysokości 25 000 euro na region Sörmland. Grzywna jest związana z dochodzeniem przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji na infolinię, która oferuje porady na różne tematy związane ze zdrowiem, można zadzwonić pod numerem 1177. Każdy region prowadzi własną poradnię zdrowotną, zarówno wewnętrznie, jak i za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 roku media podały, że nagrane rozmowy na infolinię 1177 były dostępne na serwerze WWW bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia pod numer 1177 trafiały początkowo do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia na numer 1177 od osób mieszkających w regionach Sztokholmu, Sörmland i Värmland zostały przekazane przez Inera do firmy Medhelp AB, która odebrała połączenia. Medhelp zlecił z kolei tajlandzkiej firmie Medicall Co Ltd. odbieranie telefonów w weekendy iw nocy. Zarówno Medhelp, jak i Medicall mieli kontrakt z firmą technologiczną Voice Integrate Nordic AB na m.in. nagrywanie rozmów. Doszło wówczas do naruszenia bezpieczeństwa danych, w którym nagrania rozmów pod numer 1177 były dostępne w Internecie na serwerze pamięci masowej należącym do Voice Integrate. Incydent wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Ze względu na lukę uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na region Sörmland za zbieranie danych o połączeniach od osób, których dane dotyczą, bez wcześniejszego odpowiedniego poinformowania ich o ich przetwarzaniu. | link |
| Luksemburg | 2021-05-12 | 1.000 EUR | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych (CNPD) nałożył na firmę grzywnę w wysokości 1000 euro. Administrator zainstalował system monitoringu wizyjnego w celu ochrony mienia, zabezpieczenia dostępu do miejsc prywatnych i niebezpiecznych oraz bezpieczeństwa użytkowników i zapobiegania wypadkom. Jednak kamery w nadmiarze rejestrowały również fragmenty przestrzeni publicznej. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Luksemburg | 12.05.2021 | 2.600 EUR | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 2600 euro. Kontroler zainstalował system monitoringu wizyjnego, aby chronić mienie firmy i uniemożliwić wejście osobom niepowołanym. Jednak kamery nadmiernie rejestrowały również części stołówki, która służy jako miejsce przerwy dla pracowników. Organ ochrony danych stwierdza, że nagrywanie pracowników podczas ich przerwy nie jest konieczne do realizacji celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informowania. | link |
| Luksemburg | 2021-05-12 | 2.400 EUR | Nieznany | Art. 5 (1) c) RODO, | Luksemburski organ ochrony danych (CNPD) nałożył na spółkę grzywnę w wysokości 2400 euro. Kontroler zainstalował system monitoringu wizyjnego w celu ochrony majątku firmy i uniemożliwienia wejścia osobom niepowołanym. Jednak kamery w nadmiarze uchwyciły fragmenty tarasu stołówki, który służy jako strefa rekreacyjna dla pracowników. Organ ochrony danych stwierdza, że nagrywanie pracowników podczas ich przerwy nie jest konieczne do realizacji celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. | link |
| Luksemburg | 2021-05-12 | 1.900 EUR | Nieznany | Art. 5 (1) c), e) RODO | link | |
| Hiszpania | 2021-06-07 | 19.600 EUR | Radiotelevisión del principado de Asturias | Art. 5 (1) c) RODO, Art. 12 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 26 000 euro na Radiotelevisión del principado de Asturias. Kara wynosi 20 000 euro z tytułu naruszenia art. 5 ust. 1 lit. c RODO i 6 000 euro z powodu naruszenia art. 12 RODO. Kara została oparta na tym, że kontroler zainstalował system monitoringu wizyjnego obejmujący łącznie 14 kamer wideo i monitorujący lokal przedsiębiorstwa. Administrator oświadcza, że kamery zostały zainstalowane w celu ochrony lokalu. Jednak kamery uchwyciły biura pracowników w sposób, który nie był do tego potrzebny. Na przykład jedna kamera uchwyciła również znaczną część pokoju wypoczynkowego pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył swój obowiązek informowania. Grzywna została obniżona do 19 600 euro z powodu terminowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-06-07 | 20.000 EUR | Master Distancia S.A. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 25 000 EUR na Master Distancia S.A. Administrator umieścił dane osobowe osoby, której dane dotyczą, w rejestrze raportów kredytowych bez wystarczającej podstawy prawnej. Administrator uzasadnił to domniemanymi długami, jakie osoba, której dane dotyczą, miała wobec administratora. W rzeczywistości jednak strony nadal toczyły arbitraż. W związku z tym administrator nie miał upoważnienia do umieszczenia danych osoby, której dane dotyczą, w rejestrze. Pierwotna kara w wysokości 25 000 euro została obniżona do 20 000 euro z powodu natychmiastowej zapłaty. | link |
| Hiszpania | 2021-06-04 | 6.000 EUR | Creator Energy S.L. | Art. 6 (1) b) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Creator Energy S.L. grzywnę w wysokości 6 000 EUR. Administrator wykorzystał dane osobowe osoby, której dane dotyczą, bez jej zgody do zawarcia umów na dostawy gazu i energii elektrycznej oraz usługi konserwacji. | link |
| Włochy | 2021-04-15 | 12.000 EUR | Istituto Nazionale Previdenza Sociale (INPS) | Art. 5 (1) a) RODO, Art. 12 RODO, Art. 15 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 12 000 euro na włoski Narodowy Instytut Zabezpieczenia Społecznego (Istituto Nazionale della Previdenza Sociale). Kara ta była oparta na fakcie, że administrator nie odpowiedział prawidłowo na dwa wnioski o udzielenie informacji, które osoba, której dane dotyczą, skierowała do administratora. Żądania dotyczyły udostępnienia danych osobowych osoby, której dane dotyczą, podmiotom trzecim. Początkowo osoba, której dane dotyczą, nie otrzymała odpowiedzi na żaden wniosek. W toku dochodzenia administrator przekazał mu następnie informacje i wyjaśnił, że na poprzednie wnioski nie udzielono odpowiedzi z powodu błędu technicznego w jego systemie poczty elektronicznej | link |
| Włochy | 2021-04-21 | 15.000 EUR | Fondazione Policlinico Tor Vergata di Roma | Art. 5 (1) a), f) RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 15 000 euro na Fondazione Policlinico Tor Vergata di Roma. W lutym 2020 roku osoba, której dane dotyczą, złożyła skargę do Garante zarzucając naruszenie przepisów o ochronie danych w związku z oferowanymi przez administratora usługami rezerwacji dla lekarzy specjalistów. Aby umówić się na wizytę w portalu rezerwacyjnym, odwiedzający musieli wypełnić formularz online, w którym proszono o podanie różnych danych osobowych. Jak ustalił organ ochrony danych, administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych. Ponadto administrator nie dopełnił swoich obowiązków informacyjnych na podstawie art. 13 RODO, ponieważ nie informował prawidłowo osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w momencie zbierania danych. | link |
| Włochy | 2021-03-25 | 7.000 EUR | TECNOMEDICAL S.r.l. | Art. 12 (3) RODO, Art. 15 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 000 EUR na TECNOMEDICAL S.r.l. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych po tym, jak administrator nie odpowiedział we właściwy sposób na jego prośbę o informacje. Osoba, której dane dotyczą, zażądała dostępu do swoich danych osobowych. W tym celu zażądał kopii swojej dokumentacji medycznej oraz dokumentacji medycznej przeprowadzonej przez niego operacji wszczepienia implantów dentystycznych. Administrator nie przekazał jednak informacji w terminie iw całości. | link |
| Włochy | 2021-04-15 | 40.000 EUR | Comune di Palermo | Art. 5 (1) f) RODO, Art. 25 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 40 000 EUR na gminę Palermo. Osoba, której dane dotyczą, złożyła skargę do włoskiego organu ochrony danych przeciwko gminie Palermo. Jego skarga była oparta na fakcie, że jego dane osobowe z złożonego przez niego wniosku o dotację żywnościową zostały pozyskane przez osobę nieuprawnioną i przetworzone dla jego własnych celów. Jak ustalił organ ochrony danych w toku dochodzenia, takie przetwarzanie miało miejsce, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa i poufności przetwarzania. | link |
| Włochy | 2021-04-15 | 5.000 EUR | Lekarz | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na lekarza grzywnę w wysokości 5 000 euro. Ukarany pokazał na kongresie slajdy z przypadku klinicznego, które zostały następnie opublikowane na stronie internetowej Società triveneta di chirurgia. Slajdy zawierały dane osobowe pacjenta, takie jak inicjały pacjenta, wiek, płeć, szczegółowy wywiad chorobowy pacjenta, szczegóły przyjęć w latach 1980-2016 oraz wykonanych w tym okresie zabiegów chirurgicznych ze wskazaniem daty przyjęcia i daty chirurgii, oddziału chirurgicznego, który wykonywał zabiegi, dni spędzonych w szpitalu, licznych obrazów diagnostycznych i 22 fotografii przedstawiających pacjenta podczas operacji. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych osobowych. | link |
| Włochy | 2021-04-15 | 2.000 EUR | Towarzystwo Chirurgiczne | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 euro na Società triveneta di chirurgia. Lekarz pokazał slajdy przypadku klinicznego na kongresie, które następnie zostały opublikowane na stronie internetowej ukaranego. Slajdy zawierały dane osobowe pacjenta, takie jak inicjały pacjenta, wiek, płeć, szczegółowy wywiad przebytej przez pacjenta patologii, szczegóły przyjęć w latach 1980-2016 oraz wykonane w tym okresie zabiegi chirurgiczne ze wskazaniem daty przyjęcia i operacje, oddział chirurgiczny, który wykonywał zabiegi, dni spędzone w szpitalu, liczne obrazy diagnostyczne oraz 22 fotografie przedstawiające pacjenta podczas operacji. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych osobowych. | link |
| Włochy | 2021-03-25 | 4.000 EUR | Comune di Castellanza | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 4000 EUR na gminę Castellanza. Gmina umieściła dokumenty zawierające dane osobowe osoby, której dane dotyczą, na swojej stronie internetowej, która była swobodnie dostępna. Dokumenty dotyczyły postępowania prawnego osoby, której dane dotyczą. | link |
| Włochy | 2021-03-25 | 20.000 EUR | GEDI News Network Spa | Art. 12 (3), (4) RODO | Włoski organ ochrony danych (Garante) nałożył na GEDI News Network Spa grzywnę w wysokości 20 000 euro. Osoba, której dane dotyczą, złożyła skargę do włoskiego organu ochrony danych przeciwko administratorowi w związku z opublikowanym przez ten ostatni artykuł, w którym został powołany. W tym kontekście osoba, której dane dotyczą, skorzystała z prawa wynikającego z art. 17 RODO i zażądał usunięcia artykułu, uznając go za nieistotny. Administrator nie odpowiedział jednak na żądanie osoby, której dane dotyczą, w terminie. | link |
| Włochy | 2021-03-25 | 30.000 EUR | OneDirect Srl | Art. 6 (1) RODO, Art. 7 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 130 (1), (2) Codice della privacy, Art. 157 Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na OneDirect Srl grzywnę w wysokości 30 000 euro. Osoba, której dane dotyczą, złożyła dwie skargi do organu ochrony danych po otrzymaniu reklam pocztą elektroniczną od administratora danych, mimo że nie wyraził na to zgody. Nawet po tym, jak osoba, której dane dotyczą, wielokrotnie sprzeciwiła się wysyłce, administrator nie wstrzymał wysyłek. Ponadto administrator nie ustosunkował się do zastrzeżeń osoby, której dane dotyczą. Ponadto administrator nie prowadził rejestru swoich czynności przetwarzania i nie współpracował w wystarczającym stopniu z organem ochrony danych w trakcie dochodzenia. | link |
| Włochy | 2021-03-11 | 80.000 EUR | Planet Group Spa | Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 21 (2), (3) RODO, Art. 12 (3) RODO, Art. 25 (1) RODO, Art. 130 Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na Planet Group Spa grzywnę w wysokości 80 000 euro. Administrator wykonał połączenia promocyjne w imieniu TIM s.p.a. Kilka z tych połączeń zostało wykonanych, mimo że osoby, których dane dotyczą, nie wyraziły zgody lub sprzeciwiły się takim połączeniom. Garante stwierdził, że kontroler skontaktował się łącznie z 47 981 numerami telefonów bez zgody lub podstawy prawnej. Ponadto Garante podkreślił, że administrator nie przestrzegał prawa do sprzeciwu osób, których dane dotyczą. W jednym przypadku z użytkownikiem skontaktowano się 155 razy w ciągu miesiąca, mimo że skorzystał z prawa do sprzeciwu. | link |
| Włochy | 2021-03-11 | 15.000 EUR | Mediacom s.r.l. | Art. 5 (1) a) RODO, Art. 6 (1) RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 15 000 EUR na Mediacom srl. Administrator przeprowadził rozmowy reklamowe w imieniu TIM spa. Kilka rozmów zostało wykonanych, mimo że osoby, których dane dotyczą, nie wyraziły na to zgody, sprzeciwiały się telefonom reklamowym lub mieli swoje numery na liście Robinsonów. Garante stwierdził, że administrator nie zweryfikował legalności danych w listach kontaktowych pozyskanych od firm zewnętrznych, jak również nie zapewnił w wystarczającym stopniu, że osoby, których dane dotyczą, udzieliły ważnych zgód na odpowiednie działania promocyjne. | link |
| Włochy | 2021-03-11 | 3.000 EUR | Comune di San Marco in Lamis | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 3 000 EUR na gminę San Marco in Lamis. Gmina umieściła dokumenty zawierające dane osobowe osoby, której dane dotyczą i jej rodziny, swobodnie dostępne na jej stronie internetowej. Dokumentami były dwa nakazy skierowane przeciwko osobie, której dane dotyczą. Dokumenty dotyczyły postępowania przeciwko osobie, której dane dotyczą, dotyczącej działalności budowlanej bez pozwolenia na budowę i zawierały datę i miejsce urodzenia, numer identyfikacji podatkowej oraz adres osoby, której dane dotyczą oraz jej bliskich. Osoba, której dane dotyczą, zwróciła się już wcześniej do gminy o usunięcie dokumentów ze strony internetowej. Jednak gmina nie zastosowała się. | link |
| Włochy | 2021-02-25 | 6.000 EUR | Azienda Ospedaliera Universitaria Careggi | Art. 5 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 6000 euro na Azienda Ospedaliera Universitaria Careggi za naruszenie art. 5 RODO i art. 9 RODO. Azienda Ospedaliera Universitaria Careggi poinformowała organ ochrony danych o naruszeniu danych na podstawie art. 33 RODO w zakresie przekazywania danych dotyczących zdrowia niewłaściwej osobie. Dokumenty medyczne pacjenta zostały wysłane pocztą zarówno do pacjenta dotkniętego chorobą, jak i do innego pacjenta. Administrator oświadcza, że do incydentu doszło z powodu błędu w procesie drukowania. Oddział, na którym leczono pacjenta dotkniętego chorobą, był wyposażony tylko w dwie drukarki, a jeden lekarz nieświadomie zabrał również zadanie drukowania kolegi (dokumenty chorego pacjenta) podczas pobierania zadania drukowania (dokumenty niewłaściwego odbiorcy). | link |
| Włochy | 2021-02-11 | 45.000 EUR | Istituti ospedalieri bergamaschi | Art. 5 (1) a), f) RODO, Art. 9 RODO Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył na Istituti ospedalieri bergamaschi grzywnę w wysokości 45 000 euro. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi po zgłoszeniu naruszenia ochrony danych organowi ochrony danych. Pacjent omyłkowo otrzymał dokumentację medyczną i dokumentację kliniczną od siedmiu innych pacjentów w swojej cyfrowej dokumentacji medycznej. | link |
| Włochy | 2021-02-25 | 4.000 EUR | Ministero dell’Istruzione, Ufficio Scolastico Regionale per il Lazio | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 4 000 euro na władze szkolne regionu Lazio. Rodzic złożył skargę przeciwko władzom szkolnym o przekazanie danych jego niepełnosprawnego syna do Urzędu Administracji Publicznej. Przekazywane dane zawierały m.in. informacje o stanie zdrowia dziecka. Rodzic wcześniej skarżył się na nieprawidłowości w przydzielaniu godzin wsparcia dla uczniów niepełnosprawnych w szkole I.C.G. Pitocco z Castelnuovo di Porto. Władze szkolne przesłały następnie dane w celu wyjaśnienia zarzutu. Organ ochrony danych stwierdził jednak, że przekazanie odbyło się bez podstawy prawnej. | link |
| Włochy | 2021-02-11 | 60.000 EUR | Roma Servizi per La Mobilita S.r.l. | Art. 32 RODO | Włoski organ ochrony danych (Garante) ukarał grzywną Roma Servizi za La Mobilita S.r.l. 60 000 euro za niepodjęcie odpowiednich środków technicznych i organizacyjnych dotyczących danych obywateli, którzy uzyskali zezwolenia na wjazd do stref ograniczonego ruchu. Administrator działał jako podmiot przetwarzający dla miasta Rzym. W ramach tej działalności przetwarzał dane osób, które posiadały zezwolenia na obszary ograniczonego ruchu. Zezwolenia były weryfikowane poprzez skanowanie kodów QR znajdujących się na plakietkach przyklejanych do szyb. Dzięki temu pracownicy miasta mogli w czasie rzeczywistym zweryfikować, czy dany pojazd mógł przebywać w strefie i komu zostało wydane zezwolenie. Jednak według Urzędu Ochrony Danych nie tylko pracownicy miasta, ale każdy mógł zeskanować kody i uzyskać dostęp do informacji, ponieważ wymagało to jedynie zwykłego skanera QR. Informacje przechowywane w systemie to m.in. imię i nazwisko użytkownika czy numer rejestracyjny pojazdu. Organ ochrony danych zwraca uwagę, że administrator nie analizował ryzyka związanego z przetwarzaniem danych, a co za tym idzie nie wdrażał odpowiednich środków zabezpieczających przetwarzanie. | link |
| Włochy | 2021-02-11 | 350.000 EUR | Roma Capitale | Art. 5 RODO, Art. 6 RODO, Art. 28 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) ukarał miasto Rzym grzywną w wysokości 350 000 euro za niepodjęcie odpowiednich środków technicznych i organizacyjnych dotyczących danych obywateli, którzy uzyskali zezwolenia na wjazd do obszarów o ograniczonym ruchu. Zezwolenia były weryfikowane poprzez skanowanie kodów QR znajdujących się na plakietkach przyklejanych do szyb. Dzięki temu pracownicy miasta mogli w czasie rzeczywistym zweryfikować, czy dany pojazd mógł przebywać w strefie i komu zostało wydane zezwolenie. Jednak według Urzędu Ochrony Danych nie tylko pracownicy miasta, ale każdy mógł zeskanować kody i uzyskać dostęp do informacji, ponieważ wymagało to jedynie zwykłego skanera QR. Informacje przechowywane w systemie to m.in. imię i nazwisko użytkownika czy numer rejestracyjny pojazdu. Ponadto organ ochrony danych stwierdził, że miasto Rzym korzystało z usług dostawcy hostingu i utrzymywania baz danych bez odpowiedniej umowy, jak wymaga tego art. 28 RODO. | link |
| Włochy | 2021-02-25 | 20.000 EUR | Gedi Gruppo Editoriale S.p.A. | Art. 5 (1) a) RODO | Włoski organ ochrony danych (Garante) nałożył na Gedi Gruppo Editoriale S.p.A grzywnę w wysokości 20 000 euro. Ukarany podmiot opublikował w swojej gazecie zdjęcia osób przebywających w areszcie w związku z morderstwem. Zdjęcia przedstawiały oskarżonych w kajdankach i zostały zrobione bez ich zgody. Chociaż niektóre zdjęcia były pikselowane wokół kajdanek, twarze oskarżonych pozostały widoczne, co pozwala na ich identyfikację. Organ ochrony danych z góry nakazał administratorowi powstrzymanie się od dalszego wykorzystywania tych zdjęć. Organ ochrony danych nałożył grzywnę, ponieważ administrator nie zastosował się do tego nakazu. | link |
| Włochy | 2021-02-11 | 5.000 EUR | Fondazione di religione e di culto “Casa sollievo della sofferenza” Opera di San Pio da Pietrelcina | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5 000 euro na Fundację Religii i Kultu „Casa sollievo della sofferenza” Opera di San Pio da Pietrelcina. W dniu 31 stycznia 2020 r. administrator zawiadomił organ ochrony danych o naruszeniu ochrony danych osobowych na podstawie art. 33 RODO. Dokumenty zawierające informacje o stanie zdrowia osoby, której dane dotyczą, zostały przypadkowo wysłane pocztą do niewłaściwego adresata. Stało się tak z powodu pomyłki: faktura została wcześniej wysłana nie do osoby, której dane dotyczą, ale do innej osoby o tym samym nazwisku, której adres został następnie wykorzystany do dalszej korespondencji z osobą, której dane dotyczą. | link |
| Włochy | 2021-02-25 | 6.000 EUR | Gmina Commezzadura | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na gminę Commezzadura grzywnę w wysokości 6 000 euro. Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jego dane osobowe. Dokument zawierał potwierdzenie i akceptację dobrowolnego rozwiązania stosunku pracy przez pracownika oraz informację o ówczesnym stosunku pracy, w tym oceny jego pracy i informacje o stanie zdrowia. Osoba, której dane dotyczą, skarżyła się również, że informacje te zostały wymienione w artykule w gazecie. W szczególności w artykule omówiono zakończenie zatrudnienia i przytoczono wypowiedź burmistrza gminy odnosząca się do faktu, że osoba, której dane dotyczą, zwróciła się o elastyczne godziny pracy i była nieobecna w pracy podczas świąt Bożego Narodzenia z powodu choroby. | link |
| Włochy | 2021-02-25 | 2.000 EUR | Gmina Conflenti | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO | Włoski organ ochrony danych (Garante) nałożył na gminę Conflenti grzywnę w wysokości 2000 EUR. Była pracownica gminy złożyła skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jej dane osobowe, w tym informacje o jej zatrudnieniu w gminie oraz fragment wypowiedzenia. | link |
| Włochy | 2021-01-14 | 75.000 EUR | Region Lacjum | Art. 5 (2) RODO, Art. 28 RODO | Włoski organ ochrony danych (Garante) nałożył na Regione Lazio (region Lacjum) grzywnę w wysokości 75 000 EUR za niewyznaczenie Capodarco, firmy, której powierzył zarządzanie rezerwacjami usług opieki zdrowotnej w 1999 r., jako podmiot przetwarzający dane. Administrator nie zawarł umowy z Capodarco, która regulowałaby jego rolę jako podmiotu przetwarzającego dane zgodnie z wymogami prawa o ochronie danych. Właściwa umowa zleconego przetwarzania została więc zawarta dopiero w 2019 roku, co oznaczało, że dane były przetwarzane niezgodnie z prawem przez okres około 20 lat. | link |
| Włochy | 2021-02-11 | 75.000 EUR | Ministero dello Sviluppo Economico | Art. 5 (1) a), b), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 37 (1), (7) RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę na Ministerstwo Rozwoju Gospodarczego (Ministero dello Sviluppo Economico) w wysokości 75 000 euro za brak powołania inspektora ochrony danych do 28 maja 2018 r. oraz za opublikowanie na swojej stronie internetowej danych osobowych ponad pięciu tysięcy menedżerów. We Włoszech małe i średnie przedsiębiorstwa, które wcześniej otrzymały odpowiedni bon, mogły za pośrednictwem ukaranego podmiotu zamówić porady dotyczące procesów technologicznych i cyfrowych od doświadczonych profesjonalistów biznesowych. Włoski organ ochrony danych wszczął dochodzenie przeciwko administratorowi po tym, jak okazało się, że dane osobowe ponad pięciu tysięcy menedżerów, którzy udostępnili się do odpowiednich konsultacji, są swobodnie dostępne na jego stronie internetowej. Dane osobowe, takie jak imię i nazwisko, numer identyfikacji podatkowej, adres e-mail, pełne CV oraz w niektórych przypadkach kopia dowodu osobistego i karty zdrowia osób, których dane dotyczą, były publicznie widoczne i mogły być swobodnie pobierane. Na stronie internetowej można było również pobrać uchwałę dyrekcji, która zatwierdziła listę, która zawierała dane i informacje wszystkich dyrektorów. Organ ochrony danych stwierdził, że przetwarzanie było niezgodne z prawem, a uchwała dyrekcji, do której odniósł się administrator, nie stanowiła odpowiedniej podstawy prawnej do ujawnienia danych online. | link |
| Włochy | 2020-12-17 | 2.000 EUR | Ordine degli Assistenti Sociali della Regione Lazio | Art. 12 (3), (4) RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 2000 EUR na Ordine degli Assistenti Sociali della Regione Lazio. W dniu 27 listopada 2019 r. osoba, której dane dotyczą, wysłała do administratora wiadomość e-mail z zapytaniem, jakie dane dotyczące jej i jej córek są przetwarzane. Po początkowym braku odpowiedzi na jego prośbę o udzielenie informacji, w dniu 10 stycznia 2020 r. osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi do włoskiego organu ochrony danych. Jego prośba o udzielenie informacji została następnie spełniona w dniu 17 czerwca 2020 r., ale bez wyjaśnienia opóźnienia, a w szczególności początkowego braku odpowiedzi na wniosek. | link |
| Włochy | 2021-02-25 | 300.000 EUR | Istituto Nazionale Previdenza Sociale (INPS) | Art. 5 (1) a), c), d) RODO, Art. 25 RODO, Art. 35 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 300 000 EUR na Istituto Nazionale Previdenza Sociale (INPS). Włoski Krajowy Instytut Zabezpieczenia Społecznego otrzymał zadanie prowadzenia dochodzeń w sprawie nadużyć finansowych związanych z funduszami pomocy na COVID-19. Po doniesieniach prasowych, w których pojawiły się problemy z praktykami instytutu w zakresie przetwarzania danych w związku z przeglądem wniosków polityków, włoski organ ochrony danych wszczął dochodzenie przeciwko INPS w sierpniu 2020 r. Podczas tego dochodzenia organ ochrony danych zidentyfikował kilka naruszeń. Administrator zebrał dane dziesiątek tysięcy polityków ze źródeł publicznych i porównał je z danymi wnioskodawców. Czyniąc to, administrator nie dopilnował jednak, aby dane były zbierane tylko od tych polityków, którzy kwalifikowali się do otrzymania środków pomocowych. Czyniąc to, administrator naruszył zasady legalności, uczciwości i przejrzystości określone w RODO. Ponadto administrator naruszył zasadę minimalizacji danych, inicjując kontrole zwrotów nawet w przypadku osób, których wnioski zostały odrzucone i które w związku z tym nigdy nie otrzymały płatności. Ponadto administrator nie ocenił odpowiednio ryzyka związanego z operacją przetwarzania danych tak wrażliwą jak w przypadku wniosków o świadczenia socjalne, ponieważ nie przeprowadził oceny wpływu na prawa i wolności osób, których dane dotyczą. | link |
| Włochy | 2020-12-17 | 10.000 EUR | Gmina Luino | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 37 (1) a) RODO, Art. 37 (7) RODO | Włoski organ ochrony danych (Garante) nałożył na gminę Luino grzywnę w wysokości 10 000 EUR. Administrator opublikował dokument zawierający dane osobowe radnego. Poza danymi osobowymi dokument zawierał również informację o postępowaniu reklamacyjnym wniesionym przeciwko niemu przez burmistrza. Swobodnie dostępny dokument można było pobrać bez dalszego uwierzytelniania. Ponadto gmina nie wskazała inspektora ochrony danych i nie przekazała organowi ochrony danych jego danych kontaktowych. | link |
| Włochy | 2020-12-17 | 4.000 EUR | Gmina Santo Stefano Belbo | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO | Włoski organ ochrony danych (Garante) nałożył na gminę Santo Stefano Belbo grzywnę w wysokości 4000 euro. Powodem tego było opublikowanie przez administratora na swojej stronie internetowej dwóch dokumentów dotyczących ugody prawnej osoby, której dane dotyczą. Dokumenty były nie tylko swobodnie dostępne, ale także można je było pobrać. Dokumenty zawierały dane osobowe i informacje o osobie, której dane dotyczą, w tym oprócz imienia i nazwiska, potwierdzenie zapłaty kosztów sądowych, kod IBAN jego rachunku rozliczeniowego, informacje o pozwie i kwotach wpłaconych na jego rzecz. osoby, której dane dotyczą. | link |
| Hiszpania | 2021-06-02 | 4.000 EUR | Avalos Consultores, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Avalos Consultores, SL grzywnę w wysokości 4000 EUR. Osoba, której dane dotyczą, będąca klientem administratora danych, złożyła skargę do AEOPD, ponieważ administrator przekazał jej dane osobowe agencji Torrent Asesores Nga, SL bez jej zgody. | link |
| Hiszpania | 2021-05-27 | 2.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na osobę prywatną za nieuprawnione korzystanie z kamer do monitoringu wideo, które bez uzasadnionego powodu rejestrowały również części przestrzeni publicznej oraz za publikację tych nagrań w Internecie. | link |
| Hiszpania | 2021-05-25 | 6.000 EUR | Desolasol Restauración, S.L | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Desolasol Restauración S.L. 6000 euro. Osoba, której dane dotyczą, przesłała do restauracji formularz skargi konsumenckiej, ponieważ nie był w stanie rozmawiać przy stole ze względu na głośność muzyki. Kopia formularza pozostała u administratora. Ze względu na błąd pracownika restauracji kopie formularza zostały przekazane pozostałym gościom restauracji obecnym podczas incydentu. | link |
| Hiszpania | 2021-05-25 | 4.000 EUR | Alava Norte, S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną Alava Norte, S.L. 4000 euro. Ukarany podmiot zainstalował trzy kamery do monitoringu 360° na fasadzie jednego ze swoich budynków w celu zabezpieczenia obiektu. Uchwyciły również fragmenty przestrzeni publicznej. AEPD uznała to za naruszenie zasady minimalizacji danych, gdyż tak rozbudowany monitoring wizyjny nie był konieczny do realizacji celu przetwarzania (bezpieczeństwa obiektu). | link |
| Hiszpania | 2021-05-25 | 100.000 EUR | Vodafone España, SAU | Art. 28 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 100 000 euro na Vodafone España, S.A.U. Osoba, której dane dotyczą, złożyła skargę do hiszpańskiego organu ochrony danych przeciwko firmie telekomunikacyjnej. Zgodnie ze skargą osoba, której dane dotyczą, otrzymała telefon reklamowy od firmy, który został wykonany w imieniu Vodafone España, S.A.U., chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczeń reklamowych Robinsona. Według podmiotu przetwarzającego zlecenie Vodafone, połączenie reklamowe z osobą, której dane dotyczą, nastąpiło z powodu błędu w systemie filtrowania numerów połączeń. W trakcie dochodzenia organ ochrony danych ustalił, że Vodafone nie ustanowił żadnych środków mających na celu uniknięcie połączeń reklamowych z numerami z listy Robinsona. W niniejszej sprawie Vodafone nawet nie wiedziała, że numer osoby, której dane dotyczą, znajdował się na liście Robinsona, co oznaczało, że nie została ona zablokowana dla zleconego przedsiębiorstwa. | link |
| Hiszpania | 2021-05-25 | 900 EUR | Dyrektor Zarządzający firmy | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 euro na dyrektora zarządzającego firmy. Osoba, której dane dotyczą, złożyła skargę do AEOPD na administratora, z którym zawarł umowę. Kara polega na tym, że administrator nie poinformował prawidłowo osoby, której dane dotyczą, o przetwarzaniu jej danych podczas ich zbierania. AEPD uważa to za naruszenie art. 13 RODO. Pierwotna grzywna w wysokości 1500 euro została obniżona do 900 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-05-21 | 45.000 EUR | Telefónica de España, S.A.U | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 75 000 EUR na Telefonica de España, S.A.U. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko firmie telekomunikacyjnej. Administrator zarezerwował usługę dla osoby, której dane dotyczą, bez zawarcia na nią umowy przez osobę, której dane dotyczą. Po tym, jak osoba, której dane dotyczą, nie dokonała żadnych płatności za tę usługę, usługa została anulowana w tym samym roku, a firmie windykacyjnej zlecono odzyskanie rzekomo niespłaconych długów. AEPD ustalił, że ani przetwarzanie danych w celu rezerwacji usługi, ani przekazywanie danych osobowych osoby, której dane dotyczą, do agencji windykacyjnej nie odbyły się zgodnie z prawem. Pierwotna kara w wysokości 75 000 euro została obniżona do 45 000 euro z powodu natychmiastowej zapłaty i uznania zadłużenia. | link |
| Hiszpania | 2021-05-21 | 3.000 EUR | Stowarzyszenie właścicieli domów | Art. 5 (1) c) RODO, Art. 12 RODO | Monitoring wizyjny przestrzeni publicznej i tym samym naruszenie zasady minimalizacji danych. Ponadto: Naruszenie obowiązków informacyjnych ze względu na brak wystarczających informacji na temat monitoringu wizyjnego. | link |
| Hiszpania | 2021-05-21 | 3.000 EUR | Lekarz | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na lekarza grzywnę w wysokości 3 000 euro. Administrator opuścił swoją dawną przychodnię i rozpoczął pracę w nowej przychodni. Skarżący przejął dawną klinikę ukaranego podmiotu. Umowa kupna stanowiła wprost, że strona sprzedająca (administrator danych) w żadnych okolicznościach nie mogła wykonać kopii akt pacjenta. Niemniej jednak ukarany lekarz poinformował swoich byłych pacjentów, że w przyszłości będzie mógł skorzystać z jego usług w jego nowej klinice. AEPD ustalił, że administrator działał nie tylko z naruszeniem umowy, ale także z naruszeniem przepisów o ochronie danych, kontaktując się z byłymi pacjentami. | link |
| Wielka Brytania | 2020-10-16 | 22.046.000 EUR | British Airways | Art. 5 (1) f) RODO, Art. 32 RODO | link | |
| Norwegia | 2021-05-20 | 39.000 EUR | Gmina Miejska w Oslo | Art. 5 RODO, Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 39 000 EUR na gminę Oslo. Na stronie internetowej administratora opublikowano wezwanie z prokuratury dotyczące osoby, której dane dotyczą. Wezwanie zawierało między innymi dane osobowe, takie jak dane dotyczące zdrowia. Incydent miał miejsce, ponieważ wezwanie do sądu nie zostało pierwotnie zaklasyfikowane jako poufne i w związku z tym nie zostało zwolnione z publicznego ujawnienia. Dokument był publicznie dostępny przez pięć godzin, zanim został usunięty. | link |
| Rumunia | 2021-05-19 | 2.000 EUR | Banca Comercială Română S.A. | Art. 5 (1) a), d)RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Banca Comercială Română S.A. karę w wysokości 2000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator wykorzystał jej dane osobowe w ramach postępowania egzekucyjnego z tytułu długów wynikających z umowy kredytowej, o której nie wiedział. | link |
| Rumunia | 2021-05-19 | 500 EUR | Stowarzyszenie Właścicieli Gminy Jassy | Art. 58 (1) a), e) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 500 EUR na Asociație de Proprietari din municipiul Iași (Stowarzyszenie Właścicieli Gminy Iasi). Ukarany podmiot nie dostarczył organowi ochrony danych informacji, o które prosił. | link |
| Hiszpania | 2021-05-14 | 30.000 EUR | Allianz Compañia de Seguros y Reaseguros, S.A. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Allianz Compañia de Seguros y Reaseguros SA grzywnę w wysokości 30000 EUR. Administrator wysłał fakturę osobie, której dane dotyczą, mimo braku stosunku umownego. Osoba, której dane dotyczą, zawarła polisę ubezpieczeniową motocykla z administratorem w 2016 r., ale wypowiedziała polisę w 2017 r. | link |
| Rumunia | 2021-05-14 | 200 EUR | Operator serwisu | Art. 5 (1) a), b) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1), (2), (3) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na operatora strony internetowej declaratieppr.ro grzywnę w wysokości 200 euro. Podczas pandemii Covid19 odwiedzający stronę mogli wypełnić formularz wymagany do wpisania miejsca zamieszkania. W tym celu zebrano dane osobowe, takie jak imię i nazwisko, adres i numer identyfikacyjny. Jednak administrator nie był w stanie udowodnić, że przetwarzał dane zgodnie z prawem. Ponadto administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych podczas zbierania ich danych osobowych oraz nie wdrożył wystarczających środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo przetwarzania danych. | link |
| Rumunia | 2021-05-13 | 2.000 EUR | Telekom Romania Communications SA | Art. 6 RODO, Art. 21 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Communications SA grzywnę w wysokości 2000 euro. Administrator wykonał połączenie reklamowe z osobą, której dane dotyczą, chociaż ta ostatnia skorzystała z prawa do sprzeciwu wobec przetwarzania jej danych osobowych w celach marketingowych i reklamowych, żądając od administratora usunięcia jego numeru telefonu i adresu e-mail z bazy danych Telekom. | link |
| Grecja | 2021-05-12 | 5.000 EUR | A. ΕΠΙΛΟΓΗ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΕΙΑ | Art. 5 (1) a), b) RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 17 RODO | Grecki organ ochrony danych nałożył na A. ΕΠΙΛΟΓΗ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΕΙΑ 5.000 EUR. Administrator nie odpowiedział na żądania informacji i usunięcia danych od osoby, której dane dotyczą. W trakcie dochodzenia prowadzonego przez organ ochrony danych administrator poinformował organ ochrony danych, że usunął dane osoby, której dane dotyczą. Jednak osoba, której dane dotyczą, nie została o tym poinformowana. Ponadto organ ochrony danych stwierdził, że dane osoby, której dane dotyczą, zostały zebrane w innym celu niż uzgodniony cel. Nie uzyskano odpowiedniej zgody osoby, której dane dotyczą, na ten nowy cel przetwarzania. | link |
| Hiszpania | 2021-05-12 | 3.000 EUR | Solram T Y R S.L. | Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3000 EUR na Solram TYR SL. Osoba, której dane dotyczą, złożyła skargę do AEPD na administratora, ponieważ administrator nadal wysyłał mu reklamy za pośrednictwem WhatsApp, mimo że zażądał usunięcia swoich danych. | link |
| Norwegia | 2021-05-05 | Zamiar wydania grzywny | Disqus Inc. | Art. 5 (1), (2) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 39.000 EUR na gminę Oslo. Na stronie internetowej administratora opublikowano wezwanie z prokuratury dotyczące osoby, której dane dotyczą. Wezwanie zawierało między innymi dane osobowe, takie jak dane dotyczące zdrowia. Incydent miał miejsce, ponieważ wezwanie do sądu nie zostało pierwotnie zaklasyfikowane jako poufne i w związku z tym nie zostało zwolnione z publicznego ujawnienia. Dokument był publicznie dostępny przez pięć godzin, zanim został usunięty. | link |
| Norwegia | 2021-03-21 | 19.900 EUR | Basaren Drift AS | Art. 5 RODO, Art. 6 RODO, Art. 13 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Basaren Drift AS grzywnę w wysokości 19 900 EUR. Kontroler zainstalował w swojej siedzibie kamery wideo, które rejestrowały zarówno pracowników, jak i klientów. Norweski organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej do nadzoru kamer. Ponadto norweski organ ochrony danych stwierdził, że administrator nie dostarczył osobom, których dane dotyczą, wystarczających informacji na temat nadzoru. | link |
| Norwegia | 2021-03-15 | 100.000 EUR | Asker Municipality | Art. 5 RODO, Art. 6 RODO, Art. 32 (1) b) RODO, Art. 24 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na gminę Asker grzywnę w wysokości 100 000 EUR. W dniu 20 maja 2020 roku organ ochrony danych otrzymał zawiadomienie, że gmina bezprawnie opublikowała dane osobowe na swojej stronie internetowej. Na stronie internetowej użytkownicy mogli przeglądać nazwy dokumentów, które zostały wcześniej przesłane za pośrednictwem listy dystrybucyjnej poczty e-mail gminy. Oprócz nazwisk faktycznych dokumentów zawierały one również nazwiska i daty urodzenia 127 osób, w tym dzieci. Chociaż listy dystrybucyjne były codziennie weryfikowane przez dwie osoby, gmina nie wykryła rozbieżności. Norweski organ ochrony danych stwierdza, że naruszenie danych nastąpiło częściowo z powodu braku wymaganych procedur obsługi list e-mailowych. | link |
| Norwegia | 2021-03-08 | 14.900 EUR | Dragefossen AS | Art. 5 (1) a) RODO, Art. 6 (1) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 14 900 EUR na przedsiębiorstwo energetyczne Dragefossen AS. Ten ostatni zainstalował kamerę internetową na dachu swojego biurowca w centrum Rognan, który działał 24 godziny na dobę, 7 dni w tygodniu i nagrywał centrum miasta. Nagrania te można było oglądać za pośrednictwem strumienia wideo na żywo w serwisie YouTube i na stronie głównej administratora. Ponadto nagrania można było przewijać do dwunastu godzin. Obszar objęty monitoringiem obejmował publiczną ulicę, parking i wejście dwóch sklepów spożywczych, aptekę, sklep monopolowy, lokalny bank, ratusz i szereg innych budynków. Ze względu na jakość obrazu i odległość od kamery nie można było dostrzec szczegółów twarzy ani odczytać tablic rejestracyjnych na samochodach. Niemniej jakość obrazu była na tyle dobra, że można było określić, jakim typem samochodu jechała osoba, której dane dotyczą, jaki rodzaj odzieży miała na sobie, jaki miał kolor włosów i inne cechy osobiste. To wystarczyło, aby osoby oglądające transmisję na żywo mogły zidentyfikować i śledzić współpracowników, kolegów, przyjaciół, rodzinę lub innych znajomych. Norweski organ ochrony danych stwierdził, że transmisja na żywo stanowi naruszenie art. 6 ust.1 RODO i art. 5 (1) a) RODO. W decyzji podkreślono, że nielegalny nadzór kamer obejmował znaczną liczbę pracowników i że wielu było monitorowanych wielokrotnie, niektórzy codziennie. Ci, którzy byli monitorowani, byli w drodze do pracy iz pracy, którzy musieli kupić artykuły spożywcze, lekarstwa lub alkohol lub przebywali w miejscach publicznych z innych powodów. Są to czynności, w przypadku których osoby, których dane dotyczą, nie oczekują monitorowania, a tym bardziej nie oczekują, że monitoring będzie transmitowany na żywo w Internecie. | link |
| Polska | 2021-04-22 | 245.000 EUR | Cyfrowy Polsat S.A. | Art. 24 (1) RODO, Art. 32 (1), (2) RODO, Art. 34 (1) RODO | Polski organ ochrony danych (UODO) nałożył na Cyfrowy Polsat S.A. grzywnę w wysokości 245 000 EUR. Kara została nałożona na dużą liczbę naruszeń ochrony danych zgłoszonych przez administratora do organu ochrony danych. Często korespondencja pocztowa zawierająca dane osobowe była zagubiona lub dostarczona do niewłaściwego odbiorcy. Urząd ochrony danych zauważa, że chociaż naruszenia ochrony danych zostały spowodowane przez firmę kurierską, z którą współpracował administrator, administrator musiał zapewnić, aby takie naruszenia nie miały miejsca. Administrator nie wdrożył środków technicznych i organizacyjnych odpowiednich do zagrożenia dla ochrony przetwarzania danych. Ponadto administrator nie powiadomił osób, których dane dotyczą, o naruszeniu ochrony danych dopiero dwa do trzech miesięcy później. | link |
| Czechy | 2020-05-26 | Nieznana | Nieznany | Art. 5 (1) a) RODO, Art. 6 RODO | Czeski organ ochrony danych (UOOU) nałożył na firmę karę za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. Pracownicy działu sprzedaży administratora skontaktowali się z kilkoma osobami w celach reklamowych. Osoby, których dane dotyczą, w przeszłości (do około 2016 roku) korzystały z usług sprzedawców przy zawieraniu umów ubezpieczenia lub umów finansowych. Jednak w tym czasie sprzedawcy pracowali dla innej firmy, z którą zawarli umowę agencyjną. Urząd ochrony danych zwraca uwagę, że z jednej strony wykorzystywanie danych osobowych znanych przedstawicielom z ich dotychczasowej działalności stanowi naruszenie umowy zawartej z poprzednią firmą, z drugiej strony nie istniała podstawa prawna do dalszego przetwarzania danych w celach reklamowych na korzyść administratora. | link |
| Czechy | 2020 | 19.200 EUR | Nieznany | Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 12 (2), (3), Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 18 RODO, Art. 19 RODO, Art. 20 RODO, Art. 21 RODO, Art. 22 RODO | Firma skopiowała dane osobowe z rejestrów publicznych, co zostało uznane przez czeski organ ochrony danych za nielegalne, ponieważ nie zostało uznane za konieczne. | link |
| Czechy | 2020 | Nieznana | Nieznany | Art. 5 (1) a) RODO | Dotowana przez państwo organizacja udostępniła zdjęcia swoich pracowników na swojej stronie internetowej bez wystarczającej podstawy prawnej | link |
| Czechy | 2020 | Nieznana | Miasto | Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 13 RODO, Art. 14 (3) RODO | Szkoła publiczna udostępniła dane osobowe burmistrzowi miasta, który ujawnił je za pośrednictwem aplikacji mobilnej radia miejskiego. | link |
| Czechy | 2020 | 3.850 EUR | Nadawca telewizyjny | Art. 12 (1) RODO | Nadawca telewizyjny zamieścił na swojej stronie internetowej informacje o przetwarzaniu danych osobowych, które były jednak ukryte i niedokładne (linki do nieaktualnych przepisów prawnych) | link |
| Czechy | 2020 | Nieznana | Nieznany | Art. 5 (1) c) RODO | Firma przechowywała podpisy biometryczne swoich klientów, co naruszyło zasadę minimalizacji danych. | link |
| Czechy | 2020 | Nieznana | Bank | Art. 5 (1) c), e) RODO, Art. 6 (1) RODO, Art. 7 (4) RODO | Bank uzależnił otwarcie rachunku od okazania kopii dowodu osobistego. | link |
| Czechy | 2020 | Nieznana | Służby zdrowia | Art. 5 (1) a) RODO, Art. 12 (1) RODO, Art. 28 (2), (3) RODO | Świadczeniodawca zbierał dane osobowe za pomocą oprogramowania dostarczonego przez podmiot zewnętrzny bez informowania pacjentów. | link |
| Czechy | 2020 | Nieznana | Uniwersytet publiczny | Art. 6 (1) RODO, Art. 13 RODO | Uczelnia publiczna wymagała podania danych osobowych studentów bez wystarczającej podstawy prawnej. | link |
| Czechy | 2020 | 1.900 EUR | Nieznany | Art. 12 (2) RODO, Art. 15 (1) RODO | Osoba otrzymała fakturę za zamówiony towar, która jednak pochodziła z innej firmy niż ta, od której zamówiła towar. W związku z tym osoba, której dane dotyczą, skontaktowała się z firmą, która dostarczyła towar i zażądała informacji o tym, skąd pozyskano jej dane osobowe, w jaki sposób były one przetwarzane oraz na jakiej podstawie prawnej były przetwarzane. Ponieważ firma nie odpowiedziała na jej żądanie, osoba, której dane dotyczą, skontaktowała się z organem ochrony danych. Następnie organ ochrony danych zażądał od administratora niezwłocznego przekazania osobie, której dane dotyczą, żądanych informacji. Ponieważ administrator również nie odpowiedział na to żądanie, organ ochrony danych nałożył karę w wysokości 1900 EUR. | |
| Czechy | 2020 | 387 EUR | Prywatny dostawca opieki zdrowotnej | Art. 24 RODO, Art. 32 (1) RODO | Czeski organ ochrony danych (UOOU) przeprowadził śledztwo przeciwko operatorowi pozarządowej placówki medycznej w związku z naruszeniem bezpieczeństwa. Operator oferuje pacjentom szereg testów diagnostycznych. Wyniki testów są następnie przekazywane na jej stronie internetowej zarówno pacjentom, jak i lekarzom, którzy zalecali te testy. Zgłoszone naruszenie bezpieczeństwa polegało na ataku na witrynę internetową operatora przez nieznaną osobę. Po tym incydencie operator zaprzestał obsługi omawianej strony internetowej i zaproponował środki techniczne mające na celu zwiększenie bezpieczeństwa. Jednak organ ochrony danych nadal stwierdził, że inne strony internetowe obsługiwane przez tego samego operatora miały te same wady. Operator nie ograniczył jednak ich działalności ani nie podjął żadnych nowych środków technicznych. W konsekwencji UOOU nałożyła grzywnę w wysokości 387 EUR. | link |
| Czechy | 2020 | Nieznana | Wypoyczalnia sprzętu narciarskiego | Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 18 GDPR, Art. 19 RODO, Art. 20 RODO, Art. 21 RODO | Czeski organ ochrony danych (UOOU) nałożył grzywnę na wypożyczalnię nart. Ze względu na wysoką wartość sprzętu sportowego ukarany podmiot wymagał wpłaty kaucji lub pełnej kopii ważnego dowodu osobistego przy wypożyczaniu sprzętu sportowego. Zgoda na kopię dowodu osobistego została zawarta w samej umowie wypożyczenia sprzętu sportowego. Tym samym przy podpisywaniu umowy wypożyczenia sprzętu sportowego jednocześnie uzyskiwano zgodę na przetwarzanie kopii dowodu osobistego. Organ ochrony danych uznał ten sposób uzyskiwania zgody za naruszenie zgodności z prawem przetwarzania. Ponadto stwierdzono, że osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o przetwarzaniu ich danych osobowych. | link |
| Czechy | 2020 | 2.700 EUR | Mall.tv | Art. 5 RODO, Art. 6 RODO | Czeski organ ochrony danych (UOOU) ukarał Mall.tv grzywną w wysokości 2 700 EUR za nagrywanie fragmentów przestrzeni publicznej bez podstawy prawnej. Przedmiotem śledztwa DPA była obsługa dwóch kamer przez firmę. Kamery nagrywały fragmenty przestrzeni publicznej, a następnie transmitowały materiał w czasie rzeczywistym w telewizji internetowej. Materiał filmowy miał tak wysoką rozdzielczość, że przejeżdżające osoby i pojazdy były wyraźnie widoczne i możliwe do zidentyfikowania. | link |
| Islandia | 2021-04-29 | 23.100 EUR | InfoMentor ehf | Art. 5 (1) f) RODO, Art. 32 (1) b), d) RODO | Islandzki organ ochrony danych (Persónuvernd) nałożył na InfoMentor ehf grzywnę w wysokości 23 100 EUR. Wcześniej administrator zgłosił naruszenie ochrony danych zgodnie z art. 33 RODO. Incydent dotyczył systemu internetowego firmy, który jest wykorzystywany głównie przez szkoły i inne instytucje do celów komunikacyjnych i informacyjnych. W trakcie dochodzeń organ ochrony danych stwierdził, że nieodpowiednie techniczne i organizacyjne środki bezpieczeństwa ze strony administratora doprowadziły do naruszenia. W wyniku wycieku bezpieczeństwa, który spowodował, że sześciocyfrowy numer systemowy każdego użytkownika był widoczny w adresie URL określonej strony w systemie mentorowym, osoby nieuprawnione uzyskały dostęp do danych osobowych 424 dzieci. | link |
| Belgia | 2021-04-26 | 100.000 EUR | Firma finansowa | Art. 5 (1) f) RODO, Art. 32 RODO | Belgijski organ ochrony danych (APD) nałożył grzywnę w wysokości 100 000 EUR na przedsiębiorstwo finansowe. Osoba, której dane dotyczą, złożyła do APD dwie skargi na spółkę. Zostały one oparte na 20 zapytaniach dotyczących jej danych osobowych z rejestru kredytowego Narodowego Banku Belgii. Administrator zatrudnia byłego męża osoby, której dane dotyczą, który rzekomo wykorzystał swoją rolę do bezprawnego uzyskania dostępu do rejestru w celu uzyskania informacji finansowych o osobie, której dane dotyczą, i uzyskania w ten sposób korzyści w postępowaniu rozwodowym. Jak zauważył urząd ochrony danych, naruszenia ochrony danych wynikały z faktu, że administrator nie podjął odpowiednich środków organizacyjnych w celu ochrony danych osobowych przed nieuprawnionym przetwarzaniem. | link |
| Finlandia | 2021-04-21 | 75.000 EUR | ParkkiPate Oy | Art. 5 (1) c) RODO, Art. 12 (3), (4), (6) RODO, Art. 14 (2) a) RODO, Art. 14 (3) RODO, Art. 15 RODO, Art. 17 (1) a) RODO, Art. 25 (2) RODO | Fiński organ ochrony danych nałożył na ParkkiPate Oy grzywnę w wysokości 75 000 EUR. Wiele osób otrzymało od administratora mandaty parkingowe i zażądało w związku z tym informacji o tym, jakie dane osobowe są przetwarzane, a w niektórych przypadkach zażądało usunięcia swoich danych. Jednak aby rozpatrzyć wnioski, administrator stwierdził, że do celów identyfikacji potrzebuje numeru dowodu osobistego i adresu osób, których dane dotyczą, ponieważ ich nazwisko wraz z numerem biletu parkingowego nie wystarczyło do zweryfikowania ich tożsamości. Według urzędu ochrony danych, administrator nie tylko naruszył obowiązek informowania osób, których dane dotyczą i prawo do usunięcia ich danych, ale także naruszył zasadę minimalizacji danych. Urząd ochrony danych podkreślił, że można zażądać dodatkowego dowodu tożsamości, jeśli istnieją uzasadnione wątpliwości co do tożsamości osoby, której dane dotyczą. Jednak w omawianych sprawach takie wątpliwości nie istniały. Ponadto organ ochrony danych stwierdził naruszenie zasady ograniczenia przechowywania. Administrator przechował zdjęcia nieprawidłowo zaparkowanych samochodów oraz kopie mandatów parkingowych na potrzeby ewentualnych przyszłych sporów w sądzie bez określenia terminu usunięcia danych. | link |
| Węgry | 2021-03-24 | 27.700 EUR | Budapest Főváros Kormányhivatala XI. kerületi Hivatalát (11th District Public Health Department of the Government Office of the Capital City Budapest) | Art. 32 (1) a), b) RODO, Art. 32 (2) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO | Węgierski organ ochrony danych (NAIH) nałożył grzywnę na XI Okręgowe Biuro Rządu Budapesztu w wysokości 27 700 EUR Kontroler przesłał e-mailem dane zdrowotne dotyczące szybkich testów Covid-19, a także dane kontaktowe badanych osób w jednym pliku Excel plik, niezaszyfrowany i bez żadnych dalszych środków w celu zapewnienia poufności. Urząd ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. Ponadto administrator nie poinformował regulatora ani osób, których dane dotyczą, o naruszeniach danych. | |
| Grecja | 2021-04-16 | 2.000 EUR | Kandydat do wyborów parlamentarnych | Art. 15 RODO, Art. 11 Law 3471/2006 | Grecki organ ochrony danych (HDPA) nałożył grzywnę na kandydata do parlamentu w wysokości 2000 euro. Osoba, której dane dotyczą, otrzymała telefon od administratora na jej prywatny numer komórkowy przed wyborami parlamentarnymi w Grecji w lipcu 2019 r. Zaproszenie miało na celu promowanie kandydatury administratora. Administrator danych odpowiedział na zapytania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych w sposób sprzeczny. | link |
| Grecja | 2021-03-22 | 2.000 EUR | Kandydat do wyborów parlamentarnych | Art. 15 RODO, Art. 11 Law 3471/2006 | Grecki organ ochrony danych (HDPA) nałożył grzywnę na kandydata do parlamentu w wysokości 2000 euro. Osoba, której dane dotyczą, otrzymała telefon od administratora na jej prywatny numer komórkowy przed wyborami parlamentarnymi w Grecji w lipcu 2019 r. Zaproszenie miało na celu promowanie kandydatury administratora. Administrator danych odpowiedział na zapytania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych w sposób sprzeczny. | link |
| Rumunia | 2021-05-07 | 2.000 EUR | World Class România S.A. | Art. 32 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 2000 EUR na World Class România S.A .. Kontroler opublikował wypowiedzenie pracownika grupy WhatsApp używanej przez pracowników administratora. W rezultacie wszyscy członkowie tej grupy WhatsApp uzyskali nieuprawniony dostęp do niektórych danych osobowych osoby, której dane dotyczą (nazwisko, imię, adres, numer identyfikacyjny, informacje związane z wnioskiem o wypowiedzenie). | link |
| Holandia | 2021-03-11 | 600.000 EUR | Gmina Enschede | Art. 5 (1) a) RODO, Art. 6 (1) RODO | Holenderski organ ochrony danych (AP) nałożył na gminę Enschede grzywnę w wysokości 600 000 EUR. W 2017 roku gmina zdecydowała się zainstalować specjalne skrzynki pomiarowe do pomiaru natężenia ruchu w centrum miasta Enschede. Czujniki w skrzynkach pomiarowych wykryły sygnały WiFi z telefonów komórkowych przechodniów i zarejestrowały je za pomocą kodu. Na podstawie zarejestrowanych kodów można było obliczyć ruchliwość centrum miasta. Umożliwiło to jednak również śledzenie, przez którą skrzynkę pomiarową mijał dany telefon komórkowy, umożliwiając śledzenie ruchu przechodniów. Gmina twierdzi, że nigdy nie zamierzała śledzić przechodniów. Jednak organ ochrony danych stwierdza, że śledzenie Wi-Fi (nawet jeśli było niezamierzone) stanowi poważne naruszenie RODO. Urząd ochrony danych osobowych stwierdza, że gmina śledziła swoich przechodniów bez skutecznej podstawy prawnej i tym samym naruszyła art. 5 (1) a) RODO i art. 6 ust.1 RODO. | link |
| Hiszpania | 2021-05-04 | 1.500.000 EUR | EDP Energía, S.A.U | Art. 13 RODO, Art. 25 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1 500 000 EUR na EDP Energía, S.A.U .. Decyzja ta wynika w szczególności z kilku skarg otrzymanych w związku z przetwarzaniem danych osobowych bez zgody. Jak stwierdził organ ochrony danych, administrator nie poinformował osób, których dane dotyczą, zgodnie z art. 13 RODO podczas zbierania ich danych. W tym przypadku osoby, których dane dotyczą, nie były informowane o ich prawach wynikających z art. 15 RODO - art. 22 RODO, a dane kontaktowe administratora (np. adres) są niekompletne. Poza tym praktyka biznesowa firmy pozwalała na zawieranie umów z przedstawicielami klientów zamiast bezpośrednio z klientami. W takich przypadkach jednak administrator danych nie sprawdził, czy rzeczywiście istniało upoważnienie do reprezentowania osób, których dane dotyczą. Organ ochrony danych stwierdza, że administrator nie wdrożył procedury weryfikacji uprawnień rzekomych przedstawicieli. Proporcjonalnie za naruszenie art. 13 RODO i 500000 EUR za naruszenie art. 25 RODO. | link |
| Hiszpania | 2021-05-04 | 1.500.000 EUR | EDP Comercializadora, S.A.U. | Art. 13 RODO, Art. 25 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1 500 000 EUR na EDP Comercializadora, S.A.U .. Decyzja ta wynika w szczególności z kilku skarg otrzymanych w związku z przetwarzaniem danych osobowych bez zgody. Jak stwierdził organ ochrony danych, administrator nie poinformował osób, których dane dotyczą, zgodnie z art. 13 RODO podczas zbierania ich danych. W tym przypadku osoby, których dane dotyczą, nie były informowane o ich prawach wynikających z art. 15 RODO - art. 22 RODO, a dane kontaktowe administratora (np. adres) są niekompletne. Poza tym praktyka biznesowa firmy pozwalała na zawieranie umów z przedstawicielami klientów zamiast bezpośrednio z klientami. W takich przypadkach jednak administrator danych nie sprawdził, czy rzeczywiście istniało upoważnienie do reprezentowania osób, których dane dotyczą. Organ ochrony danych stwierdza, że administrator nie wdrożył procedury weryfikacji uprawnień rzekomych przedstawicieli. Proporcjonalnie za naruszenie art. 13 RODO i 500000 EUR za naruszenie art. 25 RODO. | link |
| Hiszpania | 2021-04-27 | 3.000 EUR | Pagamastarde S.L. | Art. 17 (1) RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5000 EUR na Pagamastarde SL. Osoba, której dane dotyczą, złożyła skargę do AEPD na administratora, ponieważ administrator nadal wysyłał mu reklamy SMS, mimo że miał zażądał usunięcia swoich danych, a administrator potwierdził usunięcie. Administrator stwierdził, że żądanie osoby, której dane dotyczą, nie zostało spełnione z powodu błędu ludzkiego. Za naruszenie art. 17 (1) RODO i 2000 EUR za naruszenie art. 21 LSSI. Pierwotna kara w wysokości 5000 euro została obniżona do 3000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-04-27 | 15.000 EUR | Anytime Fitness Iberia S.L. | Art. 17 RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 15 000 EUR na Anytime Fitness Iberia SL. Osoba, której dane dotyczą, złożyła skargę do AEPD na administratora, ponieważ administrator nadal wysyłał mu reklamy SMS, mimo że zażądał usunięcia swoich danych, a administrator potwierdził usunięcie. W przypadku naruszenia art. 17 RODO i 5000 EUR za naruszenie art. 21 LSSI. | link |
| Hiszpania | 2021-04-23 | 1.000.000 EUR | Equifax Iberica S.L. | Art. 5 (1) a), b), c), d) RODO Art. 6 (1) RODO, Art. 14 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1 000 000 EUR na Equifax Ibérica, SL. W sumie do organu ochrony danych wpłynęło 96 skarg przeciwko administratorowi, ponieważ dane osobowe osób powiązanych z domniemanymi długami zostały umieszczone w aktach sądowych ds. Roszczeń i podmiotów publicznych („FIJ”) bez ich zgody. W niektórych przypadkach dane te nie były nawet poprawne. Według OOD przetwarzanie danych osobowych osób, których dane dotyczą, w ramach zbioru FIJ było niezgodne z prawem i naruszało kilka zasad ochrony danych w zakresie przetwarzania danych (zgodność z prawem i przejrzystość, celowość, minimalizacja danych i dokładność). Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych, naruszając tym samym obowiązek ich poinformowania. | link |
| Hiszpania | 2021-04-22 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1500 EUR na osobę fizyczną. Kontroler zainstalował na swojej posesji kamerę monitorującą, która rejestrowała między innymi przestrzeń publiczną i sąsiednie posesje. Według administratora zainstalował kamerę ze względów bezpieczeństwa swojego mienia. AEPD uznał to za naruszenie zasady minimalizacji danych, gdyż tak rozległy monitoring nie był konieczny do ochrony mienia administratora. | link |
| Hiszpania | 2021-04-22 | 4.000 EUR | HazteOir.Org | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na HazteOir.Org grzywnę w wysokości 5000 EUR. Administrator opublikował broszurę na temat edukacji seksualnej w szkołach, która niezgodnie z prawem zawierała zdjęcia i nazwiska trzech osób, których dane dotyczą, które nie wyraziły zgody. Pierwotna kara w wysokości 5 000 EUR została obniżona o 20% do 4 000 EUR z powodu natychmiastowej zapłaty. | link |
| Hiszpania | 2021-04-20 | 8.000 EUR | Highcliffe Estates Marbella S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Highcliffe Estates Marbella S.L. grzywnę w wysokości 8 000 EUR. Administrator bez jego zgody opublikował na swojej stronie internetowej zdjęcie osoby, której dane dotyczą. | link |
| Rumunia | 2021-04-19 | 1.500 EUR | Lugera & Makler Broker S.R.L. | Art. 29 RODO, Art. 32 (2), (4) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Lugera & Makler Broker S.R.L. grzywnę w wysokości 1500 EUR. Administrator przypadkowo zniszczył dane klientów Raiffeisen Bank S.A., dla których występował jako podmiot przetwarzający. ANSPDCP stwierdza, że do incydentu doszło z uwagi na to, że administrator nie podjął wystarczających środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom ochrony przetwarzania danych. | link |
| Hiszpania | 2021-04-19 | 1.500 EUR | Szef pubu | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela pubu grzywnę w wysokości 1500 EUR za nieuprawnione użycie dwóch kamer monitorujących część przestrzeni publicznej. | link |
| Rumunia | 2021-04-15 | 5.000 EUR | S.C. Tip Top Food Industry S.R.L | Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 7 RODO | Rumuński organ ochrony danych (ANSPDCP) ukarał S.C. Tip Top Food Industry S.R.L. 5000 EUR. Kontroler zainstalował kilka kamer wideo w strefach gastronomicznych i szatniach, aby obserwować swoich pracowników. CCTV miał na celu powstrzymanie kradzieży i ochronę wyprodukowanych towarów. Rumuński organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, ponieważ taki szeroko zakrojony nadzór nie był konieczny. Wytworzone towary można było chronić metodami mniej ingerującymi w prywatność pracowników. | link |
| Hiszpania | 2021-04-15 | 3.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 3000 EUR. Ukarny znajduje się na 1 piętrze budynku mieszkalnego, gdzie jest właścicielem mieszkań na 2 i 3 piętrze. Regularnie wynajmuje te apartamenty turystom. Ukarany zainstalował cztery kamery wideo na trzech kondygnacjach oraz w strefie wejściowej do budynku. Swoją działalność uzasadniał względami bezpieczeństwa związanymi z wynajmem turystów. Stowarzyszenie właścicieli nie wyraziło zgody na eksploatację kamer. Ponadto Ukarany nie umieścił w budynku tablicy informującej o pracy kamery. UOD uznał to za naruszenie zasady minimalizacji danych, gdyż kamery objęły obszary budynku użytkowane przez społeczność, których monitoring nie był konieczny dla ochrony mienia administratora. Ponadto administrator naruszył obowiązek informacyjny, ponieważ nie poinformował pozostałych mieszkańców budynku o przetwarzaniu ich danych. | link |
| Hiszpania | 2021-04-13 | 90.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 150 000 EUR na Vodafone España S.A.U. Trzy osoby, których dane dotyczą, złożyły do AEPD skargi na administratora. Skarżyli się na otrzymywanie niezamówionych smsów od administratora informujących ich o nowych fakturach, mimo że nie było już stosunku umownego między nimi a administratorem. Ponadto nie było żadnych zaległych faktur, ponieważ kwota do zapłaty wynosiła zawsze zero euro. Osoby, których dane dotyczą, kilkakrotnie zwracały się do administratora o zaprzestanie wysyłania im wiadomości tekstowych i usunięcie ich danych. Administrator wyjaśnił, że wiadomości zostały wysłane z powodu błędu technicznego i zapewnił osoby, których dane dotyczą, że nie będą już otrzymywać takich powiadomień w przyszłości. Jednak wysyłanie było kontynuowane. Pierwotna kara w wysokości 150 000 euro została obniżona do 90 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Norwegia | 2021-04-09 | 3.400 EUR | Miljø- og Kvalitetsledelse AS | Art. 5 (1) a) RODO, Art. 6 (1) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Miljø- og Kvalitetsledelse AS grzywnę w wysokości 3.400 EUR. Na jednej z myjni obsługiwanych przez kontrolera doszło do aktów wandalizmu na terminalu płatniczym. Następnie kontroler przesłał materiał filmowy z incydentu z kamery monitorującej do pracodawcy domniemanego wandala. Norweski organ ochrony danych stwierdził, że udostępnianie materiału wideo odbyło się bez podstawy prawnej, a tym samym administrator naruszył art. 6 ust.1 RODO i art. 5 (1) a) RODO. Ponadto organ ochrony danych podkreśla, że ujawnienie nagrań nie było konieczne do wyjaśnienia incydentu, ponieważ nagrania zostały już przekazane policji. | link |
| Hiszpania | 2021-04-08 | 60.000 EUR | Kutxabank, S.A | Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Kutxabank, SA grzywnę w wysokości 100 000 euro. Osoba, której dane dotyczą, była już w przeszłości klientem banku. W tym czasie skorzystał z prawa do usunięcia swoich danych. Kiedy próbował otworzyć nowe konto u administratora, został poinformowany, że nie jest to możliwe, ponieważ jego dane były nadal zablokowane (z powodu jego poprzedniego żądania usunięcia). Ponadto administrator poinformował osobę, której dane dotyczą, że będzie musiał odblokować dane, jeśli będzie chciał otworzyć konto. W tym celu do listu został dołączony formularz. Formularz wskazywał, że podpisując go, osoba, której dane dotyczą, cofnęła swoje prawo do usunięcia i zezwoliła na (ponowne) wykorzystanie swoich danych przez administratora. Urząd ochrony danych osobowych uznał, że tymczasowe zablokowanie danych nie wiąże się z prawem do usunięcia. Regulator podkreślił również, że usunięte lub zablokowane dane nie mogą być ponownie przetwarzane w przypadku zawarcia nowego stosunku umownego z administratorem, nawet jeśli nowy cel przetwarzania jest taki sam jak poprzedni. Pierwotna kara w wysokości 100 000 euro została obniżona do 60 000 euro z powodu natychmiastowej zapłaty i uznania winy. | link |
| Hiszpania | 2021-04-06 | 2.400 EUR | Promotech Digital S.L. | Art. 21 RODO | Hiszpański organ ochrony danych (AEPD) ukarał firmę Promotech Digital S.L. 2400 EUR za wielokrotne wysyłanie SMS-ów reklamowych do osoby, której dane dotyczą, mimo że nigdy nie subskrybował on ani nie wyraził zgody na otrzymywanie wiadomości SMS. Ponadto SMS nie oferował bezpośredniej opcji rezygnacji z subskrypcji reklam. Zamiast tego odniesiono się do możliwości anulowania przez e-mail. Mimo że osoba, której dane dotyczą, sprzeciwiła się otrzymywaniu kolejnych wiadomości SMS, nadal otrzymywała wiadomości SMS od administratora. Pierwotna grzywna w wysokości 3000 EUR została obniżona o 20% do 2400 EUR w związku z natychmiastową zapłatą i przyznaniem się do winy. | link |
| Hiszpania | 2021-04-05 | 3.000 EUR | Kukimbia S.L. | Art. 32 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Kukimbia S.L. 3000 EUR. Ukarany to firma, która przechowuje, transportuje i dystrybuuje towary. Dokumenty zawierające dane osobowe klientów i dostawców administratora zostały znalezione swobodnie dostępne obok śmietnika w pobliżu jednego z magazynów administratora. Urząd ochrony danych ustalił, że administrator naruszył art. 32 RODO. | link |
| Hiszpania | 2021-04-05 | 3.000 EUR | Electrotecnica Bastida S.L. | Art. 32 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Electrotecnica Bastida S.L. 3000 EUR. Funkcjonariusze policji znaleźli 29 kopert zaadresowanych do odpowiednich pracowników kontrolerów na pustej działce w okolicy przemysłowej. Dwie koperty były już otwarte. Koperty zawierały wyniki badań lekarskich. AEPD uznał to za naruszenie obowiązku administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. | link |
| Hiszpania | 2021-04-05 | 4.000 EUR | Stockhunters S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Stockhunters S.L. grzywnę w wysokości 4000 EUR. Administrator nie był w stanie odpowiedzieć na żądania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych. Ponadto polityka ochrony danych w serwisie internetowym administratora nie jest zgodna z przepisami art. 13 RODO. Osoba, której dane dotyczą, nie była zatem pewna, w jaki sposób wykorzystywane są jej dane osobowe. | link |
| Rumunia | 2021-03-30 | 10.000 EUR | Telekom Romania Mobile Communications S.A. | Art. 32 (1), (2) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Mobile Communications S.A. grzywnę w wysokości 10 000 EUR za niewdrożenie odpowiednich środków bezpieczeństwa w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. W szczególności dochodzenie ANSPDCP ujawniło, że brak wdrożenia przez administratorów odpowiednich środków bezpieczeństwa skutkował nieuprawnionym ujawnieniem danych 99 210 osób, których dane dotyczą, w tym ich numeru klienta, płci i numeru telefonu, a także nieuprawnionego dostępu do przechowywanych danych osobowych. na kontach 413 klientów. Na tej podstawie ANSPDCP orzekł, że administrator naruszył art. 32 ust. 1 i 2 RODO. | link |
| Włochy | 2021-03-25 | 4.500.000 EUR | Fastweb S.p.A. | Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 RODO, Art. 32 RODO, Art. 33 (1) RODO, Art. 34 (1) RODO | Włoski organ ochrony danych (Garante) nałożył na Fastweb S.p.A. 4 500 000 euro grzywny za agresywny telemarketing. Po złożonym wstępnym dochodzeniu wszczętym po setkach zgłoszeń i skarg użytkowników, organ ochrony danych stwierdził, że administrator nielegalnie przetwarzał dane osobowe milionów użytkowników do celów telemarketingu. Mianowicie call center pracujące dla Fastweb w dużej mierze działały z naruszeniem przepisów o ochronie danych. Do rozmów często używali numerów telefonów, które nie były zarejestrowane we włoskim rejestrze operatorów łączności (Registro degli Operatori di Comunicazione). Ponadto przetwarzali dane kontaktowe do promocji, które Fastweb otrzymał od partnerów zewnętrznych bez wyrażenia przez osoby, których dane dotyczą, ważnej zgody na udostępnianie ich danych. Ponadto wielu użytkowników zgłosiło, że skontaktowali się z „samozwańczymi operatorami Fastweb”, którzy próbowali uzyskać dokumenty tożsamości kontrahentów za pośrednictwem WhatsApp, prawdopodobnie w celu spamowania, phishingu i innych oszukańczych działań. Inne naruszenia dotyczyły procedur usługi „oddzwoń do mnie”, które uniemożliwiały użytkownikom wyrażenie bezpłatnej, konkretnej i świadomej zgody oraz automatyczne wyłączenie usługi. | link |
| Rumunia | 2021-03-23 | 2.000 EUR | S.C. Medicover S.R.L. | Art. 32 (1) b), (2), (4) RODO | W lutym rumuński organ ochrony danych (ANSPDCP) zamknął dochodzenie przeciwko S.C. Medicover S.R.L. i stwierdził naruszenie art. 32 ust. 1 lit. b), ust. 2, 4 RODO. Organ ochrony danych nałożył na administratora grzywnę w wysokości 2000 EUR. Dochodzenie zostało wszczęte w następstwie kolejnych zawiadomień administratora o naruszeniach danych osobowych związanych z nieuprawnionym ujawnieniem i nieuprawnionym dostępem do danych osobowych, takich jak imię i nazwisko, adres do korespondencji, adres e-mail oraz dane dotyczące stanu zdrowia osób, których dane dotyczą. Kilkakrotnie dokumenty zawierające dane osobowe zostały wysłane do niewłaściwych odbiorców. OOD uznał, że do incydentów doszło z powodu braku wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. | link |
| Hiszpania | 2021-03-23 | 1.000 EUR | Laboratorio Octogón, S.L | Art. 5 (1) c) RODO | Wykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych). | link |
| Hiszpania | 2021-03-18 | 3.000 EUR | Asesoría Alpi-Clúa S.L. | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3000 EUR na Asesoría Alpi-Clúa S.L. Klient zażądał od administratora dokumentów, aby przedłożył je organom podatkowym. Kontroler wysłał jej e-mail, który jednak nie zawierał żądanych dokumentów, ale dokumenty od innego klienta. | link |
| Hiszpania | 2021-03-16 | 60.000 EUR | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 60 000 EUR na Vodafone Spain. Osoba, której dane dotyczą, była klientem administratora danych kilka lat temu. Po otrzymaniu od kontrolera przypomnień o płatnościach za usługi, których nigdy wcześniej nie rezerwowała, powiadomiła o tym administratora i poprosiła o wyjaśnienie i usunięcie jej danych. Pomimo pozytywnej odpowiedzi nadal otrzymywała ten sam SMS. Osoba, której dane dotyczą, złożyła następnie dwie skargi do hiszpańskiego organu ochrony danych przeciwko Vodafone Spain. Administrator za każdym razem zapewniał, że poprawił przyczynę nieprawidłowego przesłania i usunął dane osoby, której dane dotyczą. Niemniej jednak wysyłka była kontynuowana, co skłoniło osobę, której dane dotyczą, do złożenia trzeciej skargi. Pierwotna kara w wysokości 100 000 EUR została obniżona do 60 000 EUR z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-03-15 | 5.000 EUR | Certime S.A. | Art. 5 (1) b) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Certime SA grzywnę w wysokości 5000 EUR. Osoba, której dane dotyczą, odnowiła swoje prawo jazdy u administratora w 2009 r. Po zmianie adresu w 2018 r., W 2019 r. Otrzymała pocztę od administratora do nowego adres bez poinformowania administratora o zmianie adresu. W piśmie administrator poinformował osobę, której dane dotyczą, że jej prawo jazdy wkrótce wygaśnie. W odpowiedzi na zapytanie osoby, której dane dotyczą, dotyczące tego, skąd pochodzą jej nowe informacje kontaktowe, administrator poinformował ją, że jej baza danych była regularnie aktualizowana z wykorzystaniem danych uzyskanych od hiszpańskiego organu transportowego DGT (Dirección General de Tráfico). Ponieważ osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie jej danych, złożyła skargę na administratora danych do hiszpańskiego organu ochrony danych. Dochodzenie przeprowadzone przez organ ochrony danych ujawniło, że firma rzeczywiście zawarła umowę z DGT. DGT wyjaśniła jednak, że celem przetwarzania danych kontaktowych w ramach umowy było zapewnienie poprawności adresu podczas odnawiania prawa jazdy lub wystawiania zaświadczeń lekarskich, tak aby można było je przesłać pod właściwy adres. Niemniej jednak osoby, których dane dotyczą, muszą zażądać, a co za tym idzie, wyrazić zgodę na taką zmianę adresu. Ponieważ kryteria te nie zostały spełnione w konkretnej sprawie, organ ochrony danych stwierdził naruszenie zasady celowości. | link |
| Belgia | 2021-03-15 | 1.000 EUR | Szkoła | Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 8 RODO | Belgijski organ ochrony danych (APD) nałożył na szkołę grzywnę w wysokości 1000 EUR. Kontroler przeprowadził ankietę na temat samopoczucia uczniów za pośrednictwem inteligentnego systemu szkolnego. OOD twierdzi, że administrator nie uzyskał zgody rodziców niepełnoletnich uczniów i naruszył zasadę minimalizacji danych. Pierwotna kara w wysokości 2000 EUR została obniżona do 1000 EUR po tym, jak kontroler odwołał się od decyzji APD. | link |
| Hiszpania | 2021-03-15 | 3.000 EUR | Cultural association | Art. 6 (1) a) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3000 EUR na stowarzyszenie kulturalne. Administrator opublikował zdjęcia czteroletniego dziecka w różnych grupach chińskiego komunikatora WeChat bez zgody rodziców dziecka. Zdjęcia przedstawiają dziecko biorące udział w lekcjach chińskiego kontrolera. Chociaż kontroler próbował zasłonić twarz dziecka cyfrową naklejką, nadal była częściowo widoczna. Administrator nie odpowiedział również na prośbę rodziców o usunięcie zdjęć i przeproszenie ich. | link |
| Hiszpania | 2021-03-15 | 2.000 EUR | Heredad de Urueña S.A. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Heredad de Urueña SA grzywnę w wysokości 2000 EUR, ponieważ jego polityka przetwarzania danych osobowych nie była zgodna z wymogami art. 13 RODO. Ponadto administrator nie umieścił na swojej stronie polityki prywatności informującej użytkowników o przetwarzaniu ich danych osobowych. | link |
| Norwegia | 2021-03-15 | 4.900 EUR | Ålesund Municipality | Art. 32 (1) b) RODO, Art. 24 (1) RODO, Art. 35 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 4900 EUR na gminę Ålesund. W dwóch szkołach w Ålesund nauczyciele poprosili uczniów o pobranie aplikacji szkoleniowej Strava do zajęć wychowania fizycznego. Następnie uczniowie otrzymali zadania, które nauczyciele kontrolowali za pomocą funkcji śledzenia. Zgodnie z dochodzeniem norweskiego organu ochrony danych skutkowało to naruszeniem danych, ponieważ gmina nie zapewniła standardowych procedur korzystania z aplikacji w szkołach zgodnie z wymogami prywatności. Na przykład nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne ze względu na potencjalne ryzyko dla uczniów. Ponadto nie wdrożono odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w celu zapewnienia ochrony przetwarzania. | link |
| Hiszpania | 2021-03-15 | 600.000 EUR | Air Europa Lineas Aereas, SA. | Art. 32 (1) RODO, Art. 33 RODO | Hiszpański organ ochrony danych (AEPD) ukarał Air Europa Lineas Aereas, SA. 600 000 EUR po poważnym naruszeniu danych, które obejmowało nieuprawniony dostęp do danych kontaktowych i rachunków bankowych, zostało zgłoszone do AEPD. Około 489 000 osób i 1 500 000 zapisów zostało dotkniętych. AEPD ogłosił, że nałożył na administratora grzywnę w wysokości 500 000 EUR za naruszenie art. 32 ust.1 RODO w związku z niepodjęciem odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa oraz 100 tys.euro za naruszenie art. 33 RODO za powiadomienie AEPD o naruszeniu bezpieczeństwa z 41-dniowym opóźnieniem. Przy ustalaniu wysokości grzywny fakt, że incydent nie ograniczał się do obszaru lokalnego, ale dotknął dużą liczbę osób nie tylko w Hiszpanii, ale także na całym świecie, a także wrażliwe dane bankowe i finansowe, szkodząc kilku tysiącom osób. osób, została uwzględniona jako czynnik obciążający. | link |
| Hiszpania | 2021-03-12 | 1.500 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1500 EUR. Kontroler zainstalował kamerę monitorującą wideo skierowaną w stronę publicznej arterii i zasłaniającą część wspólnego patio kompleksu mieszkaniowego. Ponadto w widocznym miejscu nie było napisu informującego o obecności kamery (osoba odpowiedzialna, przeznaczenie itp.). Wreszcie administrator nie uzyskał zgód pozostałych lokatorów przed uruchomieniem kamery. | link |
| Hiszpania | 2021-03-12 | 12.000 EUR | NBQ Technology, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) ukarał NBQ Technology, S.A.U. 20000 EUR. Złodziej tożsamości uzyskał dane osoby trzeciej bez upoważnienia i wystąpił o mikrokredyt od administratora pod pozorem tożsamości osoby, której dane dotyczą. Następnie kontroler zatwierdził pożyczkę. Ponieważ dane przetwarzane w trakcie udzielania pożyczki nie należały do pożyczkobiorcy, a do osoby, której dane dotyczą, AEPD uznał, że administrator nie miał podstawy prawnej do przetwarzania danych. Przetwarzanie było zatem niezgodne z prawem i stanowiło naruszenie art. 6 ust.1 RODO zostało potwierdzone. Pierwotna kara w wysokości 20 000 EUR została obniżona do 12 000 EUR z powodu natychmiastowej spłaty i uznania długu. | link |
| Hiszpania | 2021-03-11 | 8.150.000 EUR | Vodafone España, S.A.U. | Art. 28 RODO, Art. 24 RODO, Art. 44 RODO, Art. 21 LSSI, Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD | Od 2018 roku hiszpański organ ochrony danych (AEPD) otrzymał łącznie 191 skarg przeciwko Vodafone España, S.A.U. Osoby, których dane dotyczą, skarżyły się na połączenia i wiadomości reklamowe (e-maile i SMS-y) wykonane w imieniu Vodafone España w ramach kampanii marketingowych. Kontakt został nawiązany bez uprzedniej zgody osób, których dane dotyczą, i był kontynuowany nawet po skorzystaniu przez nich z prawa do sprzeciwu. Ponadto skontaktowano się z wieloma osobami, których dane dotyczą, mimo że ich numery znajdowały się na liście Robinsona. AEPD wyjaśnia, że co gorsza, wziął pod uwagę fakt, że Vodafone España regularnie otrzymywała grzywny w ponad 50 sprawach od stycznia 2018 r. Do lutego 2020 r., A także fakt, że w ciągu niecałych dwóch lat wpłynęły do AEPD 162 skargi. Grzywna przedstawia się następująco: 4 miliony euro za naruszenie art. 28 RODO i art. 24 RODO; 2 miliony euro za naruszenie art. 44 RODO; 150 000 EUR za naruszenie art. 21 LSSI; i 2 mln EUR za naruszenie art. 48 (1) b) LGT, art. 21 RODO i art. 23 LOPDGDD. | link |
| Niemcy | 2021-03-10 | 300.000 EUR | VfB Stuttgart 1893 AG | Art. 5 (2) RODO | DPA z Badenii-Wirtembergii nałożył na klub piłkarski VfB Stuttgart 1893 AG karę w wysokości 300 000 EUR za niedbałe naruszenie przepisów o ochronie danych osobowych na podstawie art. 5 ust.2 RODO. Jednak administrator z własnej inicjatywy promował dochodzenie i środki wyjaśniające organu ochrony danych oraz prowadził z nim intensywną współpracę. | link |
| Hiszpania | 2021-03-10 | 10.000 EUR | Szpital Campogrande DE | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 10 000 EUR na Hospital Campogrande DE. Pacjent złożył skargę na administratora do organu ochrony danych. Kontroler wykonał rezonans magnetyczny pacjenta w dniu 05 września 2019 r. Z powodu urazu prawego kolana. Koszt badania pokrywał prywatne ubezpieczenie zdrowotne pacjenta. Z powodu urazu związanego z pracą, kolejny rezonans magnetyczny tego samego kolana musiał zostać wykonany 27 września 2019 r. Chociaż drugi rezonans magnetyczny został wykonany w innym szpitalu, choć należącym do grupy korporacyjnej, system szpitalny również połączył pierwszy, prywatnie zorganizował rezonans magnetyczny do karty pacjenta w drugim szpitalu. Pierwszy rezonans magnetyczny został wykonany przez sieć szpitali bez żadnego uzasadnienia medycznego. Okazało się to bardzo niekorzystne dla pacjenta, gdy po przedstawieniu drugiego rezonansu rezonansu magnetycznego lekarz zakładowy poinformował go, że z tym urazem będzie musiał skontaktować się z lekarzem prywatnym lub z ubezpieczeniem społecznym, gdyż incydentu nie można uznać za zawodowy. wypadek. Uzasadniał to istnieniem pierwszego rezonansu magnetycznego, który miał przyczynę pozazawodową. | link |
| Hiszpania | 2021-03-10 | 8.000 EUR | Filigrana Comunicación S.L.U. | Art. 6 (1) RODO Art. 13 RODO, Art. 14 RODO | Hiszpański organ ochrony danych (AEPD) ukarał Filigrana Comunicación S.L.U. 8.000 EUR. Administrator prowadzi stronę internetową, na której znajdują się informacje o stażach oferowanych przez hiszpańskie Ministerstwo Edukacji i Sportu. Ponadto na stronie publikowane są wyniki różnych konkursów organizowanych przez Ministerstwo. Administrator zebrał i opublikował dane uczestników z publicznie dostępnych źródeł bez uprzedniego uzyskania zgody osób, których dane dotyczą. Podobnie administrator nie wypełnił swoich obowiązków informacyjnych wobec nich zgodnie z art. 13 RODO i art. 14 RODO. | link |
| Hiszpania | 2021-03-10 | 50.0000 EUR | Equifax Iberica S.L. | Art. 6 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) ukarał Equifax Iberica S.L. 50000 EUR za naruszenie art. 6 ust.1 lit.f) RODO. Administrator dodał osobę, której dane dotyczą, do rejestru dłużników bez uprzedniego poinformowania jej. Osoba, której dane dotyczą, miała zaległe płatności czynszu u właściciela, który wcześniej przesłał jej odpowiednie wezwania do zapłaty. Sam administrator wysłał również zawiadomienia do osoby, której dane dotyczą, z żądaniem zapłaty długów. Nie zawierały one jednak żadnej informacji, że osoba, której dane dotyczą, zostałaby wpisana do rejestru dłużników w przypadku braku zapłaty. Również umowa najmu osoby, której dane dotyczą, nie zawierała żadnych zapisów w tym zakresie, co doprowadziło UOD do wniosku, że administrator nie miał uzasadnionego interesu w rozumieniu RODO i tym samym przetwarzał dane osobowe osoby, której dane dotyczą. bez podstawy prawnej. | link |
| Hiszpania | 2021-03-10 | 90.0000 EUR | Xfera Moviles S.A. | Art. 5 (1) f) RODO, Art. 17 RODO, Art. 32 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 150 000 EUR na Xfera Móviles S.A .. Organ ochrony danych otrzymał dwie skargi od osoby, której dane dotyczą. Pierwsza skarga dotyczyła wysyłania reklamowych wiadomości SMS, które osoba, której dane dotyczą, otrzymywała od administratora, chociaż sprzeciwił się temu i zażądał usunięcia swoich danych. Według osoby, której dane dotyczą, w ciągu 30 dni otrzymał ponad 60 wiadomości SMS. Druga skarga została złożona przez osobę, której dane dotyczą, ponieważ administrator wielokrotnie wysyłał mu wiadomości zawierające poufne dane osoby trzeciej. Dotyczyło to danych logowania innego klienta do platformy firmowej. Na portalu można było m.in. przeglądać dane osobowe, a także faktury. Chociaż osoba, której dane dotyczą, poinformowała o tym firmę, niewłaściwa wysyłka nie zakończyła się. Pierwotna kara w wysokości 150 000 euro została obniżona do 90 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Hiszpania | 2021-03-09 | 15.0000. EUR | Homeowners Association | Art. 5 (1) f) RODO | Hiszpański organ ochrony (AEPD) nałożył grzywnę w wysokości 15 000 EUR na stowarzyszenie właścicieli domów. Kontroler publicznie pokazał zapis spotkania właścicieli domów w windzie budynku, w którym mieszkali uczestnicy. Z zapisów można było uzyskać nazwiska, piętra i numery mieszkań uczestników spotkania, a także piętra i numery mieszkań sąsiadów, na których narzekali uczestnicy podczas spotkania. Administrator uzasadnił publiczne obwieszczenie faktem, że wyniki tego spotkania dotyczyły planowanych działań prawnych wobec części mieszkańców. Miały zostać o tym poinformowane, aby nie mogły później twierdzić, że nie otrzymały odpowiednich powiadomień. Organ ochrony danych uważa to za naruszenie art. 5 ust.1 lit.f) RODO, w którym mowa o zasadach integralności i poufności danych osobowych. | link |
| Rumunia | 2021-03-04 | 500 EUR | Osoba fizyczna zajmująca stanowisko Sekretarza Generalnego partii politycznej w Bukareszcie | Art. 32 (1), (2) RODO, Art. 58 (1) a), e) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 500 EUR na osobę fizyczną pełniącą funkcję sekretarza generalnego partii politycznej w Bukareszcie. Administrator opublikował w sieci społecznościowej listę, która zawierała dane osobowe, takie jak imiona i nazwiska, podpisy, narodowości, daty urodzenia, adresy pocztowe dziesięciu zwolenników partii. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Ponadto administrator nie współpracował w wystarczającym stopniu z organem ochrony danych podczas dochodzenia. | link |
| Niemcy | 2021-03-03 | 200 EUR | Osoba prywatna | Art. 5 RODO, Art. 32 RODO | Organ ochrony danych Saksonii-Anhalt nałożył grzywnę w wysokości 200 EUR na osobę fizyczną. Kontroler robił zdjęcia pojazdów, a w niektórych przypadkach ich kierowców i wysyłał je pocztą elektroniczną do miasta Magedburg w niezaszyfrowanej formie, w ramach zgłoszeń naruszeń przepisów ruchu drogowego. | link |
| Cypr | 2021-03-03 | 25.000 EUR | Hellenic Bank | Art. 5 (1) e), f) RODO, Art. 32 (1) b), c) RODO, Art. 33 (1) RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 25 000 EUR na Hellenic Bank. Bank zamknął jeden ze swoich oddziałów w Nikozji w 2015 roku. Wyprowadzając się z tego miejsca zapomniano o sejfie zawierającym stare dokumenty dotychczasowych klientów, zamontowanym w jednej ze ścian. Ponieważ budynek był pusty w kolejnych latach, kontroler dowiedział się o tym zdarzeniu dopiero, gdy nieruchomość została ponownie wynajęta po raz pierwszy w 2019 roku. Nowy najemca znalazł sejf i poinformował o tym kontrolera. Pracownicy banku odzyskali następnie dokumenty i zgłosili naruszenie ochrony danych cypryjskiemu organowi ochrony danych. Cyprysjki urząd ochrony danych ostatecznie stwierdził, że administrator naruszył art. 5 ust.1 lit f) RODO, art. 32 ust.1 lit.b), c) RODO oraz art. 33 ust.1 RODO. | link |
| Cypr | 2021-03-03 | 10.000 EUR | Cypriot Real Estate Registration Authority | Art. 12 RODO, Art. 15 RODO, Art. 31 RODO, 58 (1) e) RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na cypryjski urząd ds. Rejestracji nieruchomości. Osoba, której dane dotyczą, zwróciła się do administratora z pisemnym żądaniem różnych informacji, które jej dotyczą, korzystając z prawa dostępu przyznanego jej na podstawie art. 15 RODO. Po tym, jak administrator nie odpowiedział na żądanie informacji, osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. W trakcie późniejszego dochodzenia prowadzonego przez organ ochrony danych administrator również nie odpowiedział na wnioski organu ochrony danych o skomentowanie zarzutu. | link |
| Cypr | 2021-03-03 | 6.000 EUR | KEPIDES | Art. 32 (4) RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 6000 EUR na KEPIDES (spółkę z branży nieruchomości). Kontroler przedłożył komisji parlamentarnej listę nabywców nieruchomości, którymi zarządza. Administratorowi jednak nie udało się zanonimizować listy, w wyniku czego przekazano nazwiska osób, których dane dotyczą | link |
| Cypr | 2021-03-03 | 40.000 EUR | Urząd ds. Energii Elektrycznej Cypru | Art. 6 (1) RODO, Art. 9 (2) RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 40 000 EUR na Cypryjski Urząd ds. Energii Elektrycznej. Administrator wykorzystał zautomatyzowany system oparty na tzw. Brad-Factor do zarządzania, monitorowania i kontrolowania nieobecności pracowników z powodu choroby za pomocą narzędzia oceny. Organ ochrony danych stwierdził, że taki mechanizm oceny nie był objęty cypryjskim prawem pracy i dlatego był stosowany niezgodnie z prawem. Ponadto należało zapewnić osobom, których dane dotyczą, możliwość niewyrażenia zgody na takie zautomatyzowane przetwarzanie ich danych osobowych. | link |
| Norwegia | 2021-03-02 | 24.400 EUR | Nieznany | Art. 5 RODO, Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na firmę grzywnę w wysokości 250 000 NOK (24 400 EUR). Kontroler polecił pracownikowi ustawić automatyczne przekazywanie swojego konta e-mail pracownika na wspólne konto firmowe. Podano to jako przyczynę usprawnienia działalności firmy. Organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej, aby nakazać takie automatyczne przekazywanie. W związku z tym działał niezgodnie z prawem. | link |
| Hiszpania | 2021-03-02 | 9.000 EUR | Nieznany | Art. 6 RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na operatora strony grzywnę w wysokości 9 000 EUR. Administrator opublikował zdjęcia osoby, której dane dotyczą, na swojej stronie internetowej bez zgody osoby, której dane dotyczą. Wspomniana witryna internetowa nie zawierała również oświadczenia o ochronie prywatności. Grzywna przedstawia się następująco: 5.000 euro za naruszenie art. 6 RODO i 4000 EUR za naruszenie art. 13 RODO. | link |
| Litwa | 2021-03-02 | 15.000 EUR | Registrų Centras | Art. 32 (1) b), c) RODO | Litewski organ ochrony danych (VDAI) nałożył na Registrų Centras grzywnę w wysokości 15 000 EUR. Administrator to firma, która zarządza kilkoma litewskimi rejestrami. Firma doznała naruszenia danych, które dotyczyło 22 z tych rejestrów. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Środki wdrożone przez administratora były ewidentnie niewystarczające, aby zapewnić ciągłą integralność, dostępność i odporność danych, ani też przywrócić dostępność danych po incydentach. | link |
| Hiszpania | 2021-03-02 | 200.000 EUR | I-DE Redes Eléctricas Inteligentes, S.A.U | Art. 5 (1) b), c) RODO, Art. 6 (1) b) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 200 000 EUR na I-DE Redes Eléctricas Inteligentes, S.A.U. Organ ochrony danych otrzymał skargi od Waitum, S.L. oraz Servicios Aby 2018, S.L. ponieważ ich klienci otrzymali listy od administratora. Obie firmy przekazywały wcześniej dane osobowe swoich klientów administratorowi na podstawie umowy o dostępie do sieci zawartej z administratorem. Na mocy tej umowy obie firmy występowały jako przedstawiciele swoich klientów, którym kontroler dostarczał energię elektryczną. W przesłanych pismach administrator wspomniał m.in. o domniemanym naruszeniu umowy i braku zapłaty przez firmy na rzecz administratora. W trakcie dochodzenia organ ochrony danych ustalił, że wysłanie tych pism nie było związane ani konieczne do wykonania danej umowy. Administrator naruszył zatem zasady celowości i minimalizacji danych, przez co wysłanie tych pism stanowiło niezgodne z prawem przetwarzanie danych osobowych klientów. | link |
| Litwa | 2021-02-26 | 12.000 EUR | Nacionaliniam visuomenės sveikatos centrui (NVSC) | Art. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODO | Litewski organ ochrony zdrowia (VDAI) nałożył grzywnę w wysokości 12 000 EUR na Litewską Narodową Służbę Zdrowia (NVSC). Organ ochrony danych wszczął dochodzenie w sprawie aplikacji kwarantanny wprowadzonej na Litwie podczas pandemii COVID-19 wiosną 2020 r. Firma informatyczna „IT sprendimai sėkmei” opracowała aplikację, z której następnie korzystało NVSC. W trakcie dochodzenia organ ochrony danych stwierdził, że w okresie użytkowania aplikacji w różnym stopniu przetwarzane były dane łącznie 677 osób. Aplikacja była w stanie zbierać dane, takie jak imię i nazwisko, adres i numer telefonu osób, których dane dotyczą. Organ ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne w szczególności, ponieważ aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Ponadto organ ochrony danych stwierdził, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji. | link |
| Litwa | 2021-02-26 | 3.000 EUR | IT sprendimai sėkmei | Art. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODO | Litewski organ ochrony danych (VDAI) nałożył grzywnę w wysokości 3000 EUR na spółkę „IT sprendimai sėkmei”. Organ ochrony danych wszczął dochodzenie w sprawie aplikacji kwarantanny wprowadzonej na Litwie podczas pandemii COVID-19 wiosną 2020 r. Administrator opracował aplikację, z której następnie korzystała litewska Państwowa Służba Zdrowia. W trakcie dochodzenia organ ochrony danych stwierdził, że w okresie użytkowania aplikacji w różnym stopniu przetwarzane były dane łącznie 677 osób. Aplikacja była w stanie zbierać dane, takie jak imię i nazwisko, adres i numer telefonu osób, których dane dotyczą. Organ ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne w szczególności, ponieważ aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Ponadto organ ochrony danych stwierdził, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji. | link |
| Hiszpania | 2021-02-24 | 12.000 EUR | Avilon Center 2016 S.L. | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 20000 EUR na Avilon Center 2016 S.L. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczonych reklam Robinsona. Pierwotna kara w wysokości 20 000 EUR została obniżona do 12 000 EUR z powodu natychmiastowej spłaty i uznania długu. | link |
| Niemcy | 2021-02-23 | 0 EUR | Deutsche Wohnen SE | Art. 5 RODO, Art. 25 RODO | Pierwotnie na Deutsche Wohnen SE została nałożona kara w wysokości 14.500.000 EUR za korzystanie z systemu archiwizacji do przechowywania danych osobowych najemców, który zdaniem organu ochrony danych nie przewidywał możliwości usunięcia danych, które nie było już potrzebne. Według organu ochrony danych dane osobowe najemców były przechowywane bez sprawdzania, czy ich przechowywanie było dopuszczalne lub nawet konieczne, dzięki czemu możliwy był dostęp do danych osobowych najemców, których to dotyczy, i które były przechowywane przez lata bez tych danych, które nadal służyły pierwotnemu celowi. Dotyczyło to danych o sytuacji osobistej i finansowej najemców, takich jak zestawienia wynagrodzeń, formularze oświadczeń, wyciągi z umów o pracę i szkolenia, dane podatkowe, dane dotyczące ubezpieczenia społecznego i zdrowotnego, a także wyciągi bankowe. Oprócz sankcji za to naruszenie strukturalne, komisarz ds. Ochrony danych w Berlinie nałożył na firmę kolejne grzywny w wysokości od 6 000 do 17 000 EUR za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. Zobacz osobny wpis. *** AKTUALIZACJA *** 24 lutego 2021 r.Sąd Okręgowy w Berlinie uchylił grzywnę nałożoną na Deutsche Wohnen SE z powodu błędów proceduralnych. | link |
| Chorwacja | 2021-02-22 | Nieznana | Firma ochroniarska | Art. 32 (1) b), d) RODO, Art. 32 (2), (4) RODO | Administrator danych korzystający z usług firmy ochroniarskiej zgłosił do organu ochrony danych naruszenie danych osobowych, które nastąpiło po tym, jak pracownik firmy ochroniarskiej nagrał telefonem materiał z monitoringu wideo i udostępnił go osobie trzeciej. Nagranie zostało ostatecznie udostępnione w mediach społecznościowych oraz w mediach. Organ ochrony danych stwierdził, że firma ochroniarska jako podmiot przetwarzający dane umożliwiła naruszenie, nie utrzymując odpowiednich i wystarczających środków technicznych i organizacyjnych w zakresie bezpieczeństwa danych osobowych przez ponad dwa i pół roku. Ponadto podmiot przetwarzający nie przewidział ani nie wdrożył odpowiednich technicznych środków bezpieczeństwa po incydencie w celu zapobieżenia lub zminimalizowania ryzyka. W konsekwencji jedna osoba, której dane dotyczą, była narażona na zniewagi i wyśmiewanie w opinii publicznej, a firma ochroniarska nie podjęła żadnych działań w celu usunięcia nagrania z sieci społecznościowych i mediów. Kwota grzywny nie jest w tej chwili znana, ale organ ochrony danych wyjaśnił, jakie okoliczności obciążające wziął pod uwagę przy ustalaniu grzywny - (i) fakt, że podmiot przetwarzający nie dopełnił obowiązku poinformowania administratora o zdarzeniu zgodnie z wymogami art. 33 ust. 2 RODO oraz (ii) fakt, że podstawową działalnością spółki jest zapewnienie ochrony fizycznej i technicznej, w tym stosowanie monitoringu wizyjnego. DPA zauważył również, że ukarana grzywną firma ochroniarska jest jedną z wiodących firm w Chorwacji w tej działalności i jako taka powinna być podmiotem właściwym w zakresie opiniowania, wytycznych, porad i proponowania kontrolerom rozwiązań w zakresie korzystania z systemu monitoringu wizyjnego oraz udzielania przykład do swojej pracy i zwracaj na nią większą uwagę niż inni. | link |
| Hiszpania | 2021-02-16 | 1.000 EUR | The Washpoint S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 EUR na The Washpoint S.L. za brak polityki prywatności na swojej stronie internetowej, z naruszeniem art. 13 RODO. | link |
| Dania | 2021-02-12 | 13.450 EUR | IDdesign A / S | Art. 5 (1) e) RODO, Art. 5 (2) RODO | Oryginalne podsumowanie: W dniu 3 czerwca 2019 roku duński organ ochrony danych (Datatilsynet) zgłosił na policję IDdesign i zażądał zapłaty grzywny w wysokości 200.850 EUR za przetwarzanie danych osobowych około 385000 klientów przez okres dłuższy niż jest to konieczne cele, w jakich były przetwarzane. Ponadto firma nie ustaliła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM. Terminy wyznaczone dla starego systemu nie zostały usunięte po upływie terminu przekazania informacji. Ponadto administrator nie udokumentował odpowiednio swoich procedur usuwania danych osobowych. Uwaga: ponieważ prawo duńskie nie przewiduje kar administracyjnych, jak w RODO (chyba że jest to sprawa nieskomplikowana, a osoba oskarżona się na to zgodzi), kary nałożą sądy. Aktualizacja: 12 lutego 2021 roku Sąd Rejonowy w Aarhus zdecydował o nałożeniu na IDdesign grzywny w wysokości 13 450 EUR. W kwestii obliczenia grzywny sąd nie zgodził się z proponowaną wysokością grzywny. Stwierdził, że kwotę należy obliczyć na podstawie własnego obrotu przedsiębiorstwa, a nie całej grupy. Ponadto sąd uznał, że okoliczności łagodzące z art. 83 ust.2 RODO należy uwzględnić przy obliczaniu kary. Takich jak to, że firma wcześniej nie naruszyła RODO, a także, że naruszenie dotyczyło tylko ogólnych danych osobowych. Ponadto żadna osoba, której dane dotyczą, nie poniosła szkody w wyniku naruszenia. Wreszcie sąd uważa, że należy wziąć pod uwagę niedbały charakter naruszenia. | link |
| Hiszpania | 2021-02-12 | 1.600 EUR | Ripobruna 207, S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na Ripobruna 207, S.L. (restauracja) za nieuprawnione użycie dwóch kamer wideo, które nagrywały również fragmenty przestrzeni publicznej bez uzasadnionej przyczyny. Pierwotna kara w wysokości 2000 EUR została obniżona do natychmiastowej zapłaty do 1600 EUR. | link |
| Austria | 2020-10-19 | 600 EUR | Osoba prywatna | Art. 5 (1) a) RODO, Art. 9 RODO | Od lutego do czerwca 2020 roku osoba prywatna publikowała informacje o pacjentach na swojej osobistej stronie na Facebooku. Informacje zawierały dane zdrowotne w rozumieniu art. 4 (15) RODO. W szczególności opublikowane dane obejmowały nazwiska pacjentów, wyniki diagnostyczne, diagnozy medyczne, dane dotyczące leków, dane o przyjęciach do szpitala i wypisach, numery ubezpieczenia społecznego pacjentów oraz nazwiska lekarzy prowadzących. | link |
| Austria | 2020-10-19 | 150 EUR | Osoba prywatna | Art. 5 (1) a) RODO, Art. 6 RODO | Osoba prywatna zarejestrowała osobę płci żeńskiej podczas korzystania z jednej z kabin WC, umieszczając telefon komórkowy (smartfon z funkcją kamery) pod ścianką działową kabiny WC, z ekranem skierowanym do góry i przednią kamerą telefonu komórkowego. | link |
| Węgry | 2020-12-16 | 97.150 EUR | Nieznany | Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 9 (1) RODO, Art. 12 RODO | Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 97 150 EUR na instytucję kredytową. Dwóch rodziców skontaktowało się z węgierskim organem ochrony danych w sprawie przetwarzania danych osobowych przez ich instytucję kredytową w związku z „pożyczką motywacyjną na poród”. Para zażądała wstrzymania spłaty, za co musiała udowodnić, że płód ma co najmniej 12 tygodni. Aby potwierdzić ten fakt, kontroler skopiował całą ich książeczkę ciążową. NAIH stwierdził, że administrator naruszył zasadę minimalizacji danych, kopiując całą książeczkę ciążową, która zawierała nadmierne ilości danych zdrowotnych, mimo że nie było to konieczne ze względu na cel przetwarzania. Z tego powodu NAIH ostatecznie stwierdził, że administrator nie miał podstawy prawnej do tak rozległego przetwarzania danych | |
| Węgry | 10.12.2020 | 22.200 EUR | Budapesti Műszaki és Gazdaságtudományi Egyetem (Budapest University of Technology and Economics) | Art. 5 (1) a), b), c) RODO, Art. 6 (1) RODO, Art. 9 (2) RODO, Art. 12 RODO, Art. 13 RODO | Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 22 200 EUR na Uniwersytet Technologiczno-Ekonomiczny w Budapeszcie. NAIH stwierdza, że administrator niezgodnie z prawem przetwarzał dane osobowe w toku audytów wniosków o stypendia socjalne. Między innymi dane były przetwarzane bez podstawy prawnej, a w niektórych przypadkach były przetwarzane dane szczególnie wrażliwe, chociaż nie było to konieczne do oceny wniosków o stypendium. | |
| Węgry | 2020-11-18 | 28 EUR | Nieznany | Art. 5 (1) d) RODO | Osoba, której dane dotyczą, zapisała się do newslettera administratora. Po zmianie adresu e-mail nadal otrzymywał biuletyn za pośrednictwem starego adresu e-mail. Następnie osoba, której dane dotyczą, skontaktowała się z administratorem, po czym administrator potwierdził, że adres został zaktualizowany. Niemniej jednak osoba, której dane dotyczą, nadal otrzymywała biuletyn za pośrednictwem starego adresu e-mail. | link |
| Grecja | 2020-10-29 | 1.000 EUR | American College of Greece | Art. 12 (3), (4) RODO | Grecki organ ochrony danych (HDPA) nałożył grzywnę w wysokości 1000 EUR na American College of Greece za naruszenie prawa dostępu i prawa do usunięcia danych osobowych. | |
| Irlandia | 2020-12-17 | 70.00 EUR | University College Dublin | Art. 5 (1) e), f) RODO, Art. 32 (1) RODO, Art. 33 (1) RODO | Irlandzki organ ochrony danych (DPC) nałożył na University College Dublin (UCD) grzywnę w wysokości 70 000 EUR z powodu siedmiu naruszeń ochrony danych osobowych. Nieupoważnione osoby trzecie mogły uzyskać dostęp do kont e-mail UCD, a dane logowania do kont e-mail UCD zostały opublikowane online. Stwierdzono, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony bezpieczeństwa danych podczas przetwarzania danych osobowych w serwisie e-mail. Ponadto administrator przechował określone dane osobowe na koncie e-mail w formie umożliwiającej identyfikację osób, których dane dotyczą, dłużej niż jest to konieczne do celu, w jakim dane osobowe były przetwarzane. Ponadto administrator nie powiadomił w odpowiednim czasie DPC o naruszeniu ochrony danych osobowych. | link |
| Irlandia | 2020-08-18 | 65.000 EUR | Szpital położniczy Uniwersytetu Cork | Art. 5 RODO, Art. 32 RODO | Irlandzki organ ochrony danych nałożył grzywnę na szpital macierzyński Uniwersytetu Cork (CUMH) po tym, jak odkryto, że dane osobowe 78 pacjentów zostały utylizowane w publicznym centrum recyklingu. Wśród zbywanych dokumentów niektóre zawierają dane osobowe sześciu pacjentów specjalnej kategorii. Uważa się, że naruszenie w CUMH wiąże się z wrażliwymi danymi dotyczącymi zdrowia pacjentów, takimi jak historia medyczna i przyszłe planowane programy opieki. | link |
| Irlandia | 2020-08-12 | 85.000 EUR | Tusla Child and Family Agency | Art. 32 (1) RODO | Irlandzki organ ochrony danych (DPC) nałożył grzywnę na Tusla Child and Family Agency w wysokości 85 000 EUR. Administrator zgłosił do irlandzkiego organu ochrony danych 71 naruszeń ochrony danych, które miały miejsce między 25 maja a 16 listopada 2018 r., I dotyczyły nieuprawnionego dostępu do danych osobowych przetwarzanych przez administratora. Po szeroko zakrojonym dochodzeniu organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych, a tym samym naruszył art. 32 ust.1 RODO. | link |
| Włochy | 2021-01-27 | 50.000 EUR | Azienda USL della Romagna | Art. 5 (1) a), d), f) RODO, Art. 9 RODO, Art. 32 (1) b) RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 50 000 EUR na Azienda USL della Romagna. Po przybyciu na oddział ginekologii szpitala prowadzonego przez administratora (w celu przeprowadzenia aborcji) pacjentka wyraźnie poprosiła administratora o nieprzekazywanie jej danych dotyczących zdrowia osobom trzecim. Oddzielnie zostawiła numer telefonu w celu skontaktowania się. Po wypisaniu pacjentki pielęgniarka próbowała się z nią skontaktować w celu poinformowania o dalszej terapii. Pielęgniarka nie wykorzystała jednak specjalnie w tym celu podanego przez pacjentkę numeru telefonu, lecz swojego domowego numeru telefonu, który uzyskała z akt pacjenta. Gdy zamiast pacjentki telefon odebrał jej mąż, pielęgniarka poinformowała go o swoim leczeniu, wbrew życzeniom pacjentów. Pomimo braku dalszych informacji medycznych z rozmowy jasno wynikało, że osoba, której dane dotyczą, została przyjęta na ten oddział i ma przejść dalsze leczenie. | link |
| Włochy | 2021-01-27 | 50.000 EUR | Azienda Ospedaliero Universitaria Senese | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na Aziendę Ospedaliero Universitaria Senese grzywnę w wysokości 50 000 EUR. Kontroler, szpital, zgłosił włoskiemu organowi ochrony danych, że raport medyczny pary został omyłkowo wysłany niezaangażowanej stronie trzeciej. Raport zawierał informacje o konsultacji genetycznej oraz stanie zdrowia i życiu seksualnym osób, których dane dotyczą. Do incydentu doszło z powodu błędu w zapakowaniu listu, zgodnie z oświadczeniem kontrolera. | link |
| Włochy | 2021-01-27 | 50.000 EUR | Azienda Ospedaliero Universitaria di Parma | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na Aziendę Ospedaliero Universitaria di Parma grzywnę w wysokości 50 000 EUR. Administrator, szpital, zgłosił dwa naruszenia ochrony danych włoskiemu organowi ochrony danych, w których dane pacjentów zostały omyłkowo ujawnione stronom trzecim. W pierwszym przypadku rodzice odnaleźli w aktach ich małoletniego dziecka raport z badania mikrobiologicznego innego pacjenta. Raport ujawnił imię i nazwisko osoby, której dane dotyczą, numer podatkowy, adres, datę urodzenia i różne dane dotyczące zdrowia. W drugim przypadku spadkobierca pacjenta otrzymał orzeczenie o stanie zdrowia innego pacjenta, które zawierało imię i nazwisko oraz datę urodzenia, a także dane o stanie zdrowia osoby, której dane dotyczą. | link |
| Włochy | 2021-01-14 | 30.000 EUR | Azienda sanitaria provinciale di Enna | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda sanitaria provinciale di Enna grzywnę w wysokości 30 000 EUR. Administrator przetwarzał dane biometryczne pracowników w celu rejestracji ich obecności. Garante stwierdziła, że takie przetwarzanie nie było proporcjonalne, a zatem stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante stwierdził, że przetwarzanie danych biometrycznych odbywało się bez podstawy prawnej. | link |
| Włochy | 2021-01-14 | 2.000 EUR | Poliambulatorio Talenti S.r.l. | Art. 12 (3) RODO, Art. 15 RODO | Włoski organ ochrony danych (Garante) ukarał Poliambulatorio Talenti S.r.l. 2000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do danych jego i jego córek. | link |
| Włochy | 2021-01-14 | 18.000 EUR | Azienda Usl di Bologna | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda Usl di Bologna karę w wysokości 18 000 EUR. W szpitalu prowadzonym przez kontrolera 49 pacjentów oddziału onkologicznego otrzymało wypisy ze szczegółowymi informacjami na temat terapii farmakologicznej pochodzącymi od innych pacjentów. Czternastu z tych pacjentów miało już dostęp do tej błędnej dokumentacji, zanim została ona poprawiona. Awaria nastąpiła z powodu ręcznego błędu technika. | link |
| Włochy | 2020-12-17 | 500.000 EUR | Roma Capitale (Gmina Rzym) | Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 (2), (3) RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył na gminę Rzym grzywnę w wysokości 500 000 EUR za niezgodne z prawem przetwarzanie danych osobowych użytkowników i pracowników. Gmina Rzym od 2015 r. Korzysta z systemu rezerwacji „TuPassi” do zarządzania spotkaniami i innymi usługami. W trakcie szczegółowego dochodzenia włoski organ ochrony danych stwierdził, że administrator naruszył kilka przepisów o ochronie danych osobowych w odniesieniu do przetwarzania danych osobowych. dane klientów i pracowników, z którymi się umówili. Na przykład gmina nie poinformowała odpowiednio osób, których dane dotyczą, przed przetwarzaniem ich danych ani nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania. | link |
| Włochy | 2020-12-17 | 40.000 EUR | Miropass S.r.l. | Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 28 RODO | Włoski organ ochrony danych (Garante) nałożył na Miropass S.r.l. grzywnę. 40 000 EUR. Miropass jest dostawcą systemu rezerwacji TuPassi, z którego między innymi Urząd Miasta Rzymu korzysta od 2015 roku. System rezerwacji umożliwia rezerwację spotkań zarówno na stronie internetowej administratora (www.tupassi.it), jak i poprzez odpowiednią aplikację. W tym celu firma zbiera i przetwarza dane osobowe użytkowników. W toku dochodzenia włoski organ ochrony danych stwierdził, że Miropass, w szczególności w kontekście danych zdrowotnych wynikających z rezerwacji wizyt w placówkach służby zdrowia, nie miał podstawy prawnej do przetwarzania i naruszył zasadę ograniczenia przechowywania. | link |
| Włochy | 2020-12-17 | 100.000 EUR | Azienda Unità Sanitaria Locale Toscana Sud Est | Art. 5 (1) f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda USL Toscana Sud Est grzywnę w wysokości 100 000 EUR. Kontroler to firma z sektora opieki zdrowotnej, która między innymi uruchomiła tak zwany program „Sanità di iniziativa” (Inicjatywa zdrowotna). W ramach tego programu uczestniczące firmy medyczne przekazują administratorowi dane dotyczące przewlekle chorych pacjentów. Na podstawie tych danych administrator opracowuje następnie plany zdrowotne dla pacjentów. Włoski organ ochrony danych odnotowuje kilka naruszeń przepisów dotyczących ochrony danych w związku z tym programem. Na przykład, wyrażając zgodę na przetwarzanie swoich danych, osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o tym, jak długo będą przechowywane ich dane, jakie przysługują im prawa (w szczególności prawo do skargi i dostępu), a także w jaki sposób dokładnie ich dane będą być przetwarzane iw jakim celu. Ponadto administrator nie prowadził rejestru czynności przetwarzania. Wreszcie administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania ani nie przeprowadził oceny skutków dla ochrony danych, chociaż byłoby to konieczne ze względu na charakter przetwarzanych danych (dane dotyczące zdrowia). | link |
| Włochy | 2020-11-26 | 3.000 EUR | Charly Mike s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 (2), (3) RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył na Charly Mike s.r.l .. karę w wysokości 3000 EUR. Administratorem jest operator hotelu Olimpo w Alberobello. Garante otrzymała skargę dotyczącą systemu monitoringu zainstalowanego w hotelu. W toku dochodzenia ustalono, że obiekt hotelowy miał 17 stałych kamer i jedną z nagrywaniem 360 °, umieszczonych wewnątrz i na zewnątrz obiektu, nagrywających zarówno pracowników, jak i klientów. System działał bez wymaganych znaków wskazujących na monitoring wizyjny. | link |
| Włochy | 2020-10-29 | 20.000 EUR | Gaypa s.r.l. | Art. 5 (1) a), c), e) RODO, Art. 12 RODO, Art. 13 RODO | Włoski organ ochrony danych (Garante) nałożył na Gaypa s.r.l. grzywnę w wysokości 20 000 EUR. Administrator danych utrzymywał aktywne konto e-mail byłego pracownika i miał dostęp do korespondencji osoby, której dane dotyczą, pomimo rozwiązania stosunku pracy. Osoba, której dane dotyczą, nie została poinformowana o takim dalszym korzystaniu z jej konta e-mail, a także o przechowywaniu wszystkich przychodzących i wychodzących wiadomości e-mail na serwerach firmy i związanym z tym przetwarzaniu jej danych osobowych. | link |
| Włochy | 2020-10-29 | 4.000 EUR | Borgo Fonte Scura s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 4000 EUR na Borgo Fonte Scura s.r.l .. Administrator zainstalował system nadzoru wideo, który rejestrował również trzy osoby, których dane dotyczą, podczas ich pracy. Osoby, których dane dotyczą, nie zostały wystarczająco poinformowane o nadzorze wideo i wynikającym z niego przetwarzaniu ich danych osobowych. | link |
| Polska | 2021-02-11 | 22.200 EUR | Krajowa Szkoła Sądownictwa i Prokuratury | Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 28 (3) RODO, Art. 32 (1), (2) RODO | Polski organ ochrony danych (UODO) nałożył na Krajową Szkołę Sądownictwa i Prokuratury grzywnę w wysokości 22 200 EUR. UODO wszczęło dochodzenie przeciwko administratorowi po tym, jak zgłosił naruszenie danych na swojej stronie internetowej platformy szkoleniowej. Podczas migracji testowej na nową platformę w Internecie ujawniono dane ponad 50 000 osób. Obejmuje to między innymi nazwiska, nazwy użytkowników, adresy pocztowe i e-mailowe, numery telefonów, jednostki i wydziały osób, których dane dotyczą. UODO stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych, aby zapewnić poufność przetwarzanych danych. Ponadto umowa, jaką administrator zawarł z firmą, której powierzono przetwarzanie danych, nie spełniała wymogów prawnych. Przykładowo umowa nie zawierała informacji o tym, jakie kategorie danych będą przetwarzane. | link |
| Polska | 2021-01-05 | 5.500 EUR | Śląski Uniwersytet Medyczny (Medical University of Silesia | Art. 33 (1) RODO, Art. 34 (1) RODO | Polski organ ochrony danych (UODO) nałożył na Śląski Uniwersytet Medyczny karę w wysokości 25 000 zł (5 500 euro). W trakcie egzaminów odbywających się w formie wideokonferencji pod koniec maja 2020 roku miała miejsce identyfikacja studentów. Po zakończeniu egzaminu nagrania egzaminów były dostępne nie tylko dla zdających, ale także dla innych osób posiadających dostęp do systemu. Dodatkowo każdy z zewnątrz miał dostęp do zapisów z egzaminów i danych badanych studentów prezentowanych podczas identyfikacji poprzez bezpośredni link. Uczelnia nie zgłosiła naruszenia ochrony danych do organu ochrony danych i nie powiadomiła osób, których dane dotyczą. | link |
| Polska | 2021-01-05 | 19.000 EUR | Nieznany | Art. 34 (1), (2) RODO, Art. 58 (2) e) RODO | Polski organ ochrony danych (UODO) nałożył na operatora szpitala karę w wysokości 19 000 EURO. Były pracownik bezprawnie skopiował dane osobowe 100 pacjentów z sieci komputerowej szpitala. Dane, które wyciekły, obejmowały numer ubezpieczenia społecznego, imię i nazwisko, datę urodzenia, adres i numer telefonu osób, których dane dotyczą. Chociaż administrator uznał, że potencjalne ryzyko dla osób, których dane dotyczą, jest wysokie, nie poinformowała osób, których dane dotyczą, o incydencie. Następnie organ ochrony danych zwrócił się do administratora o niezwłoczne poinformowanie osób, których dane dotyczą, o zdarzeniu i udzielenie im porady, jak zminimalizować potencjalne negatywne skutki naruszenia. Jednak administrator nie zastosował się do tego żądania. | link |
| Polska | 2020-12-09 | 2.850 EUR | Smart Cities Sp. z o.o. | Art. 31 RODO, Art. 58 RODO | Kara za niezastosowanie się do nakazu UODO. Administrator nie przekazał danych osobowych ani innych informacji, o które prosi UODO w celach dochodzeniowych. | link |
| Polska | 2019-11-01 | 1.770 EUR | L. Sp. z o.o. | Art. 5 (1) a), f) RODO | Polski organ ochrony danych (UODO) nałożył na L. Sp. ogród zoologiczny. za nadzór wizyjny wspólnoty mieszkaniowej, który nie był zgodny z przepisami RODO. | link |
| Hiszpania | 2021-02-12 | 120.000 EUR | Vodafone España, SAU | Art. 5 RODO, Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 200 000 EUR na Vodafone España, S.A.U. Były klient otrzymywał wiadomości e-mail zawierające rachunki elektroniczne nawet po rozwiązaniu umowy z administratorem, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. Osoba, której dane dotyczą, oświadcza, że nadal otrzymuje e-maile od administratora, chociaż kilkakrotnie sprzeciwiał się temu, a administrator już dwukrotnie otrzymał grzywnę dokładnie za to samo. Grzywna nałożona tym razem jest tak wysoka, ponieważ hiszpańskie organy ochrony danych sklasyfikowały naruszenie jako bardzo poważne. Między innymi dlatego, że było to już trzecie naruszenie w tej sprawie. Pierwotna kara w wysokości 200 000 EUR została obniżona zarówno za natychmiastową spłatę, jak i uznanie długu do 120 000 EUR. | link |
| Hiszpania | 2021-02-11 | 24.000 EUR | Vamavi Phone S.L. | Art. 48 (1) b) RODO, Art. 21 RODO, Art. 23 RODO Art. 28 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Vamavi Phone S.L .. Osoba, której dane dotyczą, otrzymała wezwanie reklamowe od administratora danych wykonane w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, została zarejestrowana na liście wykluczonych reklam Robinsona. Pierwotna kara w wysokości 40 000 EUR została obniżona do 24 000 EUR ze względu na natychmiastową spłatę i uznanie długu. | link |
| Holandia | 2021-02-11 | 440.000 EUR | OLVG | Art. 32 RODO | Holenderski organ ochrony danych (AP) nałożył grzywnę w wysokości 440 000 EUR na szpital OLVG w Amsterdamie. Administrator podjął niewystarczające środki w latach 2018-2020, aby uniemożliwić dostęp nieupoważnionych pracowników do dokumentacji medycznej. Administrator nie sprawdził odpowiednio, kto miał dostęp do jakiego pliku, ani też nie upewnił się, czy system komputerowy posiada wystarczające zabezpieczenia. Spowodowało to między innymi, że pracujący studenci i inni pracownicy mieli dostęp do akt pacjentów bez konieczności wykonywania ich pracy. Oprócz dokumentacji medycznej akta pacjentów zawierały również numery ubezpieczenia społecznego, adresy i numery telefonów osób, których dane dotyczą. | link |
| Rumunia | 2021-02-10 | 1.000 EUR | ING Bank N.V. Amsterdam - Bucharest office | Art. 29 RODO, Art. 32 (2), (4) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 1000 EUR na ING Bank N.V. Amsterdam - Oddział w Bukareszcie. Stwierdzono, że administrator wysłał pliki do kontrahenta w celu wystawienia polis ubezpieczeniowych. Przesłane pliki zawierały nieaktualne informacje, gdyż pracownicy działu monitoringu polis ubezpieczeniowych nie sprawdzali i nie przetwarzali polis zgodnie z przebiegiem pracy, co dotyczyło 270 osób. Biorąc pod uwagę te aspekty stwierdzono, że podjęte przez administratora środki techniczne i organizacyjne były niewystarczające, co skutkowało naruszeniem poufności danych osobowych. | link |
| Hiszpania | 2021-02-09 | 5.000 EUR | Predase Servicios Integrales S.L. | Art. 13 RODO | Serwis firmy nie przedstawiał polityki prywatności na swojej stronie głównej, ani nie zawierał informacji wymaganych przez art. 13 RODO | link |
| Łotwa | 2021-02-09 | 65.000 EUR | Lursoft IT SIA | Art. 6 (1) RODO | Łotewski organ ochrony danych (DSI) ukarał Lursoft IT SIA grzywną w wysokości 65 000 EUR za nielegalne przetwarzanie danych osobowych, publikując dokumenty zawierające dane osobowe na swojej stronie internetowej „www.lursoft.lv”. Organ nadzorczy ustalił, że administrator udostępnił publicznie część niepublicznego rejestru spółek, która zawierała między innymi dane osobowe. | |
| Hiszpania | 2021-02-08 | 3.000 EUR | Patio Ancestral S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na Patio Ancestral S.L .. Skarżący pracował dla firmy budowlanej i wykonywał prace remontowe dla kontrolera. Podczas tych prac doszło do uszkodzenia mienia kontrolera. Następnie kontroler wysłał pismo z roszczeniami o odszkodowanie nie tylko do skarżącego, ale także do ojca skarżącego, który był wcześniej zatrudniony w tej samej firmie budowlanej. Jednak ojciec był w tej sprawie niezaangażowaną osobą trzecią. Hiszpański organ ochrony danych stwierdził, że przetwarzanie danych osobowych ojca z tego powodu odbywało się bez podstawy prawnej. Pierwotna kara została obniżona do 3 000 EUR z powodu natychmiastowej spłaty i uznania długu. | link |
| Hiszpania | 2021-02-08 | 5.000 EUR | Osooba prywatna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 5000 EUR za nielegalny nadzór kamer. Osoba, której dane dotyczą, wynajęła dwa pokoje w mieszkaniu administratora. Kontroler zainstalował kamerę wideo w mieszkaniu i stwierdził, że została ona zainstalowana wyłącznie ze względów bezpieczeństwa, a także monitorowała tylko obszar drzwi wejściowych. Okazało się jednak, że kamera została zorientowana w taki sposób, że nagrywała również inne części mieszkania, np. Salon. Hiszpański organ ochrony danych stwierdza, że stanowi to nieuzasadnione naruszenie prywatności osoby, której dane dotyczą. | link |
| Hiszpania | 2021-02-04 | 2.000 EUR | Osoba prywatna | Art. 5 (1) c) RODO | Nieautoryzowane użycie dwóch kamer monitorujących wideo, które nagrywały również części przestrzeni publicznej, takie jak chodniki i posesje za nimi. | link |
| Norwegia | 2021-02-03 | 19.300 EUR | Cyberbook AS | Art. 5 RODO, Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Cyberbooka 200 000 NOK (19 300 EUR) za nielegalne automatyczne przekazywanie dalej e-maili od byłego pracownika. Przekazywanie odbywało się przez kilka miesięcy bez poinformowania osoby, której dane dotyczą. | link |
| Hiszpania | 2021-02-03 | 100.000 EUR | Iberdrola Clientes | Art. 5 (1) d) RODO, Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 100 000 EUR na Iberdrola Clientes, SAU. Osoba, której dane dotyczą, rozwiązała istniejącą umowę z administratorem z powodu przeprowadzki i w związku z tym zażądała usunięcia swoich danych. To żądanie zostało odrzucone przez kontrolera w odniesieniu do zaległych faktur. Okazało się, że administrator przesłał rachunki na stary adres osoby, której dane dotyczą. Nawet po tym, jak osoba, której dane dotyczą, poinformowała administratora o zmianie adresu, nowe powiadomienia dotyczące żądania usunięcia i faktury zostały wysłane na stary adres. | link |
| Hiszpania | 2021-02-01 | 24.000 EUR | Xfera Moviles S.A. | Art. 58 (2) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Xfera Móviles S.A .. Osoba, której dane dotyczą, zgłosiła AEPD naruszenie jej prawa do informacji. Następnie AEPD wystosował do administratora wniosek o spełnienie żądania osoby, której dane dotyczą, o udzielenie informacji w ciągu 10 dni i udowodnienie tego AEPD. Administrator nie spełnił jednak żądania w wyznaczonym terminie. Pierwotna kara w wysokości 40 000 EUR została obniżona do 24 000 EUR z powodu natychmiastowej zapłaty i uznania długu przez kontrolera. | link |
| Hiszpania | 2021-02-01 | 3.000 EUR | IDFINANCE Spain, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na IDFINANCE Spain S.L .. Osoba otrzymała wiadomość e-mail dotyczącą windykacji od IDFinance, która zawierała łącze do zapłaty faktury bezpośrednio przez stronę internetową administratora. Za pośrednictwem linku dana osoba mogła wyświetlić dane osobowe innego klienta. Pierwotna kara w wysokości 5 000 EUR została obniżona do 3 000 EUR z powodu natychmiastowej spłaty i uznania długu. | link |
| Francja | 2021-01-27 | 150.000 EUR | Nieznany | Art. 32 RODO | Francuski organ ochrony danych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom polegającym na fałszowaniu poświadczeń na stronie internetowej firmy. Od czerwca 2018 r. do stycznia 2020 r. Do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której regularnie robi zakupy kilka milionów klientów. W odpowiedzi CNIL zdecydował się zbadać firmę i jej podwykonawcę, któremu powierzono zarządzanie tą stroną internetową. W trakcie śledztwa CNIL ustalił, że wspomniana witryna internetowa była poddawana licznym falom ataków polegających na fałszowaniu poświadczeń. W tego typu ataku złośliwa osoba uzyskuje listy „niezaszyfrowanych” identyfikatorów i haseł publikowane w Internecie, zwykle po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, osoba atakująca będzie próbować zalogować się do dużej liczby witryn za pomocą „botów”. Jeśli uwierzytelnienie powiedzie się, osoba atakująca będzie mogła zobaczyć informacje powiązane z tymi kontami. CNIL ustaliła, że napastnicy byli w stanie uzyskać następujące informacje: nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer i saldo karty lojalnościowej oraz informacje związane z zamówieniami. CNIL uważa, że obie firmy naruszyły obowiązek zachowania bezpieczeństwa danych osobowych klientów zgodnie z art. 32 NRD. W rzeczywistości firmy podejmowały powolne działania, aby skutecznie zwalczać te powtarzające się ataki. Postanowili skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Jednak opracowanie tego narzędzia zajęło rok od pierwszych ataków. W międzyczasie jednak można było rozważyć szereg innych środków o szybszym wpływie, aby zapobiec dalszym atakom lub złagodzić negatywny wpływ na osoby. W wyniku tego braku staranności dane około 40000 klientów serwisu zostały udostępnione nieuprawnionym podmiotom trzecim w okresie od marca 2018 do lutego 2019. | link |
| Francja | 2021-01-27 | 75.000 EUR | Nieznany | Art. 32 GDPR | Francuski organ ochrony danych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom polegającym na fałszowaniu poświadczeń na stronie internetowej firmy. Od czerwca 2018 r. do stycznia 2020 r. Do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której regularnie robi zakupy kilka milionów klientów. W odpowiedzi CNIL zdecydował się zbadać firmę i jej podwykonawcę, któremu powierzono zarządzanie tą stroną internetową. W trakcie śledztwa CNIL ustalił, że wspomniana witryna internetowa była poddawana licznym falom ataków polegających na fałszowaniu poświadczeń. W tego typu ataku złośliwa osoba uzyskuje listy „niezaszyfrowanych” identyfikatorów i haseł publikowane w Internecie, zwykle po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, osoba atakująca będzie próbować zalogować się do dużej liczby witryn za pomocą „botów”. Jeśli uwierzytelnienie powiedzie się, osoba atakująca będzie mogła zobaczyć informacje powiązane z tymi kontami. CNIL ustaliła, że napastnicy byli w stanie uzyskać następujące informacje: nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer i saldo karty lojalnościowej oraz informacje związane z zamówieniami. CNIL uważa, że obie firmy naruszyły obowiązek zachowania bezpieczeństwa danych osobowych klientów zgodnie z art. 32 NRD. W rzeczywistości firmy podejmowały powolne działania, aby skutecznie zwalczać te powtarzające się ataki. Postanowili skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Jednak opracowanie tego narzędzia zajęło rok od pierwszych ataków. W międzyczasie jednak można było rozważyć szereg innych środków o szybszym wpływie, aby zapobiec dalszym atakom lub złagodzić negatywny wpływ na osoby. W wyniku tego braku staranności dane około 40000 klientów serwisu zostały udostępnione nieuprawnionym podmiotom trzecim w okresie od marca 2018 do lutego 2019. | link |
| Belgia | 2021-01-22 | 50.000 EUR | Family Service / N.D.P.K. nv. | Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODO, Art. 28 RODO | Belgijski organ ochrony danych nałożył grzywnę w wysokości 50 000 EUR na Family Service / N.D.P.K. nv. Administratorem jest agencja reklamowa, która przesyła między innymi pudełka upominkowe przyszłej mamie zawierające różne bony rabatowe, próbki produktów oraz informacje o ciąży i porodzie. Pozycje skrzynek są dostarczane przez osoby trzecie, którym administrator przekazuje następnie dane kontaktowe odbiorców w celach marketingowych. Zgoda odbiorców na ten transfer i późniejsze działania reklamowe osób trzecich jest w tym celu uprzednio uzyskiwana przez administratora. Osoba, której dane dotyczą, złożyła skargę do belgijskiego organu ochrony danych, ponieważ chociaż cofnęła udzieloną wcześniej zgodę, nadal otrzymywała telefony reklamowe od stron trzecich, którym administrator przekazał jej dane. | link |
| Belgia | 2021-01-21 | 25.000 EUR | Nieznany | Art. 5 (1) f), (2) RODO, Art. 24 RODO, Art. 32 RODO, Art. 33 (1), (5) RODO, Art. 34 (1) RODO | Belgijski organ ochrony danych nałożył na operatora telefonii komórkowej 25 000 EUR grzywny. Administrator przydzielił numer telefonu osoby, której dane dotyczą, nieuprawnionej stronie trzeciej, przez co osoba, której dane dotyczą, utraciła dostęp do swojego numeru telefonu. Ponieważ karta SIM osoby, której dane dotyczą, została dezaktywowana, umożliwiłoby to stronie trzeciej dostęp do różnych danych osobowych osoby, której dane dotyczą, w okresie od 16 września do 19 września 2019 r., Takich jak historia połączeń i konta różnych usług ( np. Paypal, WhatsApp i Facebook) powiązane z numerem. | link |
| Hiszpania | 2021-01-21 | 50.000 EUR | Alterna Operador Integral S.L. | Art. 6 (1) b) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Alterna Operador Integral S.L. grzywnę w wysokości 50 000 EUR. Zmiana sprzedawcy energii elektrycznej nastąpiła bez zgody osoby, której dane dotyczą. Jednak dane osobowe osoby, której dane dotyczą, zostały włączone do systemów informatycznych administratora (nowego dostawcy energii elektrycznej) bez sprawdzenia przez administratora, że została zawarta ważna umowa. Przetwarzanie danych osobowych osób, których dane dotyczą, odbywało się zatem bez podstawy prawnej. | link |
| Hiszpania | 2021-01-21 | 75.000 EUR | Telefónica Móviles España, SAU | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 75 000 EUR na Telefónica Móviles España, SAU. Kontroler przydzielił osobie, której dane dotyczą, pięć linii telefonicznych z pięcioma numerami w ramach umowy telefonicznej. Jednego z numerów użył jej syn. Kiedy nie mógł już korzystać z danych mobilnych, skontaktował się z administratorem. Administrator poinformował go, że dane mobilne zostały dezaktywowane, ponieważ numer nie był już w jego posiadaniu. Okazało się, że nieuprawnione osoby trzecie udawały osobę, której dane dotyczą i przekazywały numer osobie trzeciej bez konieczności uwierzytelnienia administratora. W rezultacie nieuprawnione osoby trzecie zażądały i otrzymały nową kartę SIM pod pretekstem domniemanej utraty lub kradzieży. W rezultacie karta SIM syna została zablokowana. | link |
| Hiszpania | 2021-01-20 | 1.200 EUR | Indywidualny | Art. 5 (1) c) RODO | Kontroler zainstalował na swoim budynku kamery skierowane na fragmenty przestrzeni publicznej. Jednak do nagrania nie doszło, ponieważ kamery służyły jedynie jako odstraszacz i pozostawały nieaktywne. DPA zauważa jednak, że nawet symulowany nadzór wideo ma wpływ na prywatność osób, których dane dotyczą, ponieważ są one przekonane, że są one trwale rejestrowane przez kamery. Według organu ochrony danych ma to przerażający skutek. Dlatego też w tym przypadku zorientowanie kamer na przestrzeń publiczną było niewłaściwe. Organ ochrony danych nałożył na kontrolera karę w wysokości 2000 euro, która została obniżona do 1200 euro z powodu natychmiastowej zapłaty i przyznania się do winy. | link |
| Norwegia | 2021-01-19 | 9.700 EUR | Aquateknikk AS | Art. 5 RODO, Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na firmę Aquateknikk karę pieniężną w wysokości 100 000 NOK (9 700 EUR). Administrator przeprowadził ocenę zdolności kredytowej osoby fizycznej bez powiązania z klientem lub innego powiązania. Dane osobowe osoby, której dane dotyczą, były zatem przetwarzane bez podstawy prawnej. | link |
| Norwegia | 2021-01-14 | 38.600 EUR | Coop Finnmark SA | Art. 5 (1) a) RODO, Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Coop Finnmark SA karę w wysokości 400 000 NOK (38 600 EUR). Kierownik przedmiotowego sklepu nagrał materiał z kamer CCTV telefonem komórkowym i udostępnił materiał wideo. Norweski organ ochrony danych twierdzi, że Coop Finnmark nie miał podstawy prawnej do udostępniania nagrań z CCTV. DPA zauważa, że sprawa jest bardzo poważna, ponieważ na nagraniu pokazano dzieci, co stwarza potencjalnie wysokie zagrożenie dla ich prywatności. | link |
| Włochy | 2021-01-14 | 8.000 EUR | Agenzia regionale protezione ambientale Campania (ARPAC) | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 8 000 EUR na Regionalną Agencję Ochrony Środowiska Kampanii (ARPAC). Zewnętrzny dysk twardy zawierający dane osobowe został skradziony administratorowi. Zawierała między innymi kopie dokumentów tożsamości, ewidencji podatkowej i list płac. W trakcie dochodzenia organ ochrony danych odkrył, że dysk twardy znajdował się w pomieszczeniu, do którego mieli dostęp wszyscy pracownicy administratora. Ponadto administrator nie wykonał kopii zapasowej danych, których to dotyczy, więc zostały one nieodwracalnie utracone. W konsekwencji organ nadzorczy uznał, że administrator naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych. | link |
| Hiszpania | 2021-01-13 | 6.000.000 EUR | Caixabank S.A. | Art. 6 RODO, Art. 13 RODO, Art. 14 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Caixabank SA grzywnę w wysokości 6 000 000 EUR za naruszenie art. 6 RODO, art. 13 RODO i art. 14 RODO. Klienci banku mieli zaakceptować nowe polityki prywatności umożliwiające administratorowi przekazywanie danych osobowych klientów do wszystkich spółek z Grupy CaixaBank. Jednocześnie osoby, których dane dotyczą, nie miały możliwości wyraźnego nie wyrażenia zgody na to przekazanie. Zamiast tego, jeśli chcieli nie zgodzić się na przekazanie swoich danych, byli zobowiązani do wysłania pisma wyrażającego sprzeciw do każdej spółki w grupie. OOD stwierdził, że bank naruszył swoje obowiązki informacyjne określone w art. 13 RODO i art. 14 RODO, gdyż informacje przekazywane klientom w ramach polityki prywatności nie były spójne, zawierały nieprecyzyjną terminologię oraz nie zawierały wystarczających informacji o rodzaju przetwarzanych danych osobowych i charakterze przetwarzania. Również informacje o prawach osób, których dane dotyczą, jak również dane kontaktowe administratora nie zostały podane w sposób spójny. Ponadto organ ochrony danych zauważa, że administrator przetwarzał dane swoich klientów poza swoimi prawnie uzasadnionymi interesami, częściowo bez podstawy prawnej, a uzyskana przez niego zgoda nie spełniała wymogów skutecznej zgody. Ponadto uchybienia w procedurach firmy pozwoliły na uzyskanie zgody klientów na przetwarzanie ich danych osobowych. Ponadto organ ochrony danych stwierdza, że w rezultacie dane zostały przekazane niezgodnie z prawem spółkom grupy CaixaBank. Stanowi to naruszenie art. 6 RODO. | link |
| Norwegia | 2021-01-12 | 38.600 EUR | Nieznany | Art. 5 RODO, Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) ukarał firmę grzywną w wysokości 400 000 NOK (38 600 EUR) za nielegalne automatyczne przekazywanie poczty elektronicznej pracownika. Przekazywanie automatyczne zostało uruchomione w związku ze zwolnieniem lekarskim pracownika i trwało ponad miesiąc. | link |
| Belgia | 2021-01-12 | 10.000 EUR | Nieznany | Art. 6 (1) RODO, Art. 12 (3) RODO, Art. 21 (1) RODO | Prowadzenie fanpage na Facebooku bez zgody osoby, której dane dotyczą, oraz niezastosowanie się do żądania osoby, której dane dotyczą, po wykonaniu przysługującego jej prawa sprzeciwu. | link |
| Niemcy | 2021-01-08 | 10.400.000 EUR | notebooksbilliger.de | Art. 5 RODO, Art. 6 RODO | Dolnosaksoński organ ochrony danych (LfD Niedersachsen) nałożył grzywnę w wysokości 10,4 mln EUR na sprzedawcę elektroniki notebooksbilliger.de. Firma monitorowała wideo swoich pracowników przez co najmniej dwa lata, nie mając do tego podstawy prawnej. Kamery obejmowały między innymi miejsca pracy, powierzchnie handlowe, magazyny i tereny rekreacyjne. Firma stwierdziła, że celem zainstalowanych kamer wideo było zapobieganie przestępstwom i śledzenie ich oraz śledzenie ruchu towarów w magazynach. Jednak aby zapobiec kradzieży, firma musi najpierw rozważyć łagodniejsze metody. Ponadto nadzór wideo w celu wykrycia przestępstw jest dozwolony tylko wtedy, gdy istnieje uzasadnione podejrzenie co do konkretnych osób. W takim przypadku może być dopuszczalne monitorowanie ich za pomocą kamer przez ograniczony czas. W przypadku notebooksbilliger.de nadzór wideo nie był jednak ograniczony do określonego okresu ani do określonych pracowników. Ponadto w wielu przypadkach nagrania były przechowywane przez 60 dni, czyli znacznie dłużej niż jest to wymagane. Klienci notebooksbilliger.de również ucierpieli z powodu niezgodnego z prawem nadzoru wideo, ponieważ niektóre kamery zostały skierowane na miejsca siedzące w obszarze sprzedaży. Jak dotąd kara dla notebooksbilliger.de jest najwyższą karą nałożoną przez LfD Niedersachen na mocy RODO. | link |
| Norwegia | 2021-01-07 | 7.250 EUR | Gveik AS | Art. 5 RODO, Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Gveik AS grzywnę w wysokości 7 250 EUR. Osoba odpowiedzialna przeprowadziła kontrolę kredytową osoby fizycznej, chociaż nie było do tego podstawy prawnej. | link |
| Norwegia | 2021-01-06 | 9.700 EUR | Lindstrand Trading AS | Art. 5 RODO, Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na Lindstrand Trading AS 9 700 EUR. Osoba odpowiedzialna przeprowadziła cztery kontrole kredytowe osób fizycznych i poszczególnych przedsiębiorstw, chociaż nie było do tego podstawy prawnej | link |
| Francja | 2021-01-05 | 20.000 EUR | Nestor SAS | Art. 12 RODO, Art. 13 RODO | Francuski organ ochrony danych (CNIL) nałożył na firmę Nestor grzywnę w wysokości 20 000 EUR. CNIL zauważa, że polityka prywatności przedstawiona podczas procesu rejestracji na stronie internetowej firmy nie zawierała niezbędnych informacji wymaganych przez RODO. Ponadto administrator podał niewystarczające informacje na temat przetwarzania danych podczas rejestracji aplikacji. | link |
| Hiszpania | 2021-01-04 | 54.000 EUR | Vodafone España, S.A.U. | Art. 5 (1) d), f) RODO | Strona poszkodowana zawarła umowę ze stroną odpowiedzialną (Vodafone España, S.A.U.). Jednak produkty dostarczone w ramach tej umowy nie zostały dostarczone na nazwisko osoby, której dane dotyczą, ale w imieniu strony trzeciej. Następnie osoba, której dane dotyczą, skontaktowała się pocztą elektroniczną z inspektorem ochrony danych firmy w celu przywrócenia prawidłowości swoich danych przechowywanych w Vodafone. Jednak nie otrzymano żadnej odpowiedzi na to żądanie. Kiedy osoba, której dane dotyczą, ostatecznie skontaktowała się telefonicznie z przedsiębiorstwem telekomunikacyjnym, zwrócono się do niej z podaniem nazwy osoby trzeciej. Na jego zapytanie odpowiedziano odpowiedzią, która nie odnosiła się do jego / jej zapytania, ale do zapytania osoby trzeciej. Według firmy telekomunikacyjnej incydent był spowodowany defektem ich systemu w wyniku migracji systemu. Hiszpański organ ochrony danych (AEPD) początkowo ukarał Vodafone España, S.A.U. 90 000 euro, ale pierwotna kara została obniżona do 54 000 euro ze względu na terminową zapłatę i przyznanie się do winy. | link |
| Norwegia | 2021-01-04 | 95.500 EUR | Innovasjon Norge | Art. 5 (1) RODO, Art. 6 (1) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na krajowy bank rozwoju Innovasjon Norge 1 000 000 NOK (95 500 EUR) grzywny. Osoba odpowiedzialna przeprowadziła cztery kontrole zdolności kredytowej osoby, której dane dotyczą, bez żadnej podstawy umownej, aby to zrobić. W tym celu bank przeanalizował wiele danych finansowych osoby, której dane dotyczą, w okresie trzech miesięcy bez zgody osoby, której dane dotyczą. | link |
| Czechy | 2021-01-04 | 118.500 EUR | Nieznany | Art. 6 (1) RODO, Art. 14 RODO | Czeski organ ochrony danych (UOOU) ukarał 11 przedsiębiorstw grzywną w łącznej wysokości 118 500 EUR za wysyłanie niechcianych pocztowych wiadomości reklamowych do skrzynek pocztowych różnych obywateli. Decyzją rządu Republiki Czeskiej z końca października wprowadzono możliwość przesyłania danych pocztowych bez opłat do zakończenia pandemii Covid-19. Ukarane grzywny firmy nadużyły tej możliwości. OOD stwierdza, że firmy nie miały podstaw prawnych do wysyłania ofert towarów i usług, co stanowi naruszenie art. 6 ust.1 RODO. Ponadto organ ochrony danych stwierdza, że naruszenie art. 14 RODO również wystąpiło, ponieważ firmy nie podały osobom, których dane dotyczą, informacji o komercyjnym wykorzystaniu ich danych przy pierwszym kontakcie. | link |
| Rumunia | 2020-12-30 | 3.000 EUR | ING Bank N.V. Amsterdam - Bucharest office | Art. 5 (1) a) - d) RODO, Art. 6 (1) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na ING Bank N.V. Amsterdam - biuro w Bukareszcie karę w wysokości 3000 EUR. Bank skontaktował się z osobą, której dane dotyczą, pocztą elektroniczną w celu zaktualizowania jej danych. W tym czasie jednak osoba, której dane dotyczą, zamknęła już swoje konto w banku, tak że stosunek umowny został rozwiązany. W efekcie administrator przetwarzał dane osobowe byłego klienta niezgodnie z prawem, bez jego zgody, takie jak adres e-mail oraz imię i nazwisko oraz osoba, której dane dotyczą. | link |
| Rumunia | 2020-12-29 | 1.000 EUR | Qualitance QBS SA | Art. 32 RODO | Rumuński organ ochrony danych (ANSPDCP) ukarał Qualitance QBS SA grzywną w wysokości 1000 EUR za naruszenie art. 32 RODO. Firma wysłała informacje pocztą elektroniczną do 295 osób, ujawniając adresy e-mail pozostałych odbiorców. ANSPDCP zauważył, że firma nie podjęła wystarczających środków bezpieczeństwa, aby zapewnić poufność danych osobowych osób, których dane dotyczą. | link |
| Polska | 2020-12-28 | 18.930 EUR | Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. | Art. 33 (1) RODO, Art. 34 (1) RODO | Za naruszenie art. 33 ust.1 RODO i art. 34 ust.1 RODO. W maju 2020 r.UODO otrzymał zawiadomienie od osoby trzeciej o naruszeniu ochrony danych osobowych z udziałem agenta ubezpieczeniowego działającego jako agent obsługi Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., który wysłał polisę do nieuprawnionego adresata pocztą elektroniczną. Dokument zawierał dane osobowe dotyczące m.in. nazwisk, imion, adresów zamieszkania oraz informacji dotyczących przedmiotu polisy ubezpieczeniowej. W rezultacie organ nadzorczy zwrócił się do podmiotu odpowiedzialnego o wyjaśnienie, czy w odniesieniu do wysyłania korespondencji elektronicznej do nieuprawnionego adresata została przeprowadzona analiza ryzyka dotycząca bezpieczeństwa danych osób fizycznych, która jest niezbędna do oceny, czy dane doszło do naruszenia. Takie naruszenie wymaga powiadomienia organu ochrony danych i osób, których dotyczy naruszenie. W piśmie organ nadzorczy poinstruował podmiot odpowiedzialny, w jaki sposób ma zgłosić naruszenie, i poprosił o wyjaśnienia. Pomimo pisma z prośbą o wyjaśnienia, osoba odpowiedzialna nie zgłosiła naruszenia ochrony danych ani nie poinformowała o zdarzeniu osób, których dane dotyczą. W związku z tym organ ochrony danych wszczął postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania podmiot odpowiedzialny zgłosił naruszenie danych osobowych i poinformował dwie osoby, których naruszenie dotyczy. | link |
| Belgia | 2020-12-23 | 50.000 EUR | Nieznany | Art. 14 (1), (2) RODO, Art. 12 (1), (2), (3) RODO, Art. 15 (1) RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODO | Belgijski organ ochrony danych (APD) nałożył na firmę grzywnę w wysokości 50 000 EUR za kilka naruszeń RODO. Strona odpowiedzialna to firma, która przeprowadza kontrole biletów parkingowych. Osoba odpowiedzialna nałożyła na osobę, której dane dotyczą, karę za nielegalne parkowanie. Jednak osoba, której dane dotyczą, oświadcza, że nie otrzymała mandatu. Zamiast tego osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy otrzymała oficjalne pismo przypominające od kancelarii prawniczej, której zlecono windykację, która następnie zażądała zapłaty opłaty za ponaglenie oprócz pierwotnej grzywny. Osoba, której dane dotyczą, skontaktowała się wówczas z firmą i zażądała m.in. informacji o tym, które z jej danych osobowych były przetwarzane. Po tym, jak żądanie to nie zostało należycie zrealizowane i terminowo, osoba, której dane dotyczą, złożyła skargę na osobę odpowiedzialną. Podczas dochodzenia organ ochrony danych stwierdził, że osoba odpowiedzialna naruszyła kilka przepisów RODO. Po pierwsze, organ ochrony danych stwierdził, że podmiot odpowiedzialny nie zapewnił odpowiedniej polityki prywatności. Polityka prywatności na stronie internetowej podmiotu odpowiedzialnego nie zawierała żadnych informacji dotyczących przetwarzania danych osobowych ani żadnych danych kontaktowych firmy. Po drugie, osoba odpowiedzialna naruszyła prawo osoby, której dane dotyczą, do informacji, nie wykonując żądania osoby, której dane dotyczą, o udzielenie informacji o przetwarzaniu danych. Wreszcie podmiot odpowiedzialny naruszył zasadę minimalizacji, przetwarzając dane osoby, której dane dotyczą, w celu wysłania wezwania do zapłaty dopiero jeden dzień po wystawieniu biletu, mimo że osoba, której dane dotyczą, miała możliwość zapłacenia grzywny bez takiego przypomnienia w tym czasie. | link |
| Belgia | 2020-12-23 | 15.000 EUR | Nieznany | Art. 14 (1), (2) RODO, Art. 12 (3) RODO, Art. 6 RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODO | Belgijski organ ochrony danych (APD) nałożył grzywnę w wysokości 15 000 EUR na przedsiębiorstwo z powodu niewystarczającego wykonywania praw osoby, której dane dotyczą. Podmiotem odpowiedzialnym jest firma windykacyjna, której windykacja należnych jej należności została zlecona przez inną firmę. Na osobę, której dane dotyczą, została nałożona kara za nielegalne parkowanie przez ostatnią z wymienionych firm. Jednak osoba, której dane dotyczą, oświadcza, że nie otrzymała zawiadomienia o grzywnie. Zamiast tego osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy otrzymała oficjalne pismo z przypomnieniem od strony odpowiedzialnej, która następnie zażądała uiszczenia opłaty za ponaglenie oprócz pierwotnej grzywny. Osoba, której dane dotyczą, skontaktowała się następnie z osobą odpowiedzialną i zażądała między innymi informacji o tym, które z jej danych osobowych były przetwarzane. Po nieuwzględnieniu tego żądania w terminie osoba, której dane dotyczą, złożyła skargę na osobę odpowiedzialną. W toku dochodzenia organ ochrony danych stwierdził, że administrator naruszył przepisy RODO, na przykład nie spełniając żądania osoby, której dane dotyczą, o udzielenie informacji o przetwarzaniu danych. | link |
| Hiszpania | 2020-12-22 | 6.000 EUR | Iberdrola Clientes, SAU | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył na Iberdrola Clientes grzywnę w wysokości 6000 EUR. Osoba, której dane dotyczą, otrzymała telefony promocyjne z dwóch różnych numerów telefonów osoby odpowiedzialnej, chociaż osoba, której dane dotyczą, była zarejestrowana na liście Robinsona. Spółka przypisuje incydent błędowi ludzkiemu, ponieważ numery telefonów, z których dzwoniono do osoby, której dane dotyczą, nie były regularnie wykorzystywane do celów reklamowych. | link |
| Rumunia | 2020-12-22 | 2.000 EUR | S.C. C&V Water Control S.A. | Art. 58 (1) a), e) RODO, Art. 58 (2) i) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na S.C. C&V Water Control S.A. karę pieniężną w wysokości 2000 EUR za niezastosowanie się do żądania organu ochrony danych o udzielenie informacji w trakcie dochodzenia, naruszając tym samym art. 58 ust. 1 lit. a), e) RODO i art. 58 ust. 2 lit. i) RODO. | link |
| Hiszpania | 2020-12-21 | 36.000 EUR | Banco Bilbao Vizcaya Argentaria, S.A. | Art. 5 (1) d) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na instytucję finansowo-kredytową Banco Bilbao Vizcaya Argentaria, SA (BBVA) grzywnę w wysokości 36000 EUR. BBVA zwróciła się do osoby, której dane dotyczą, o uregulowanie długów w BBVA, chociaż osoba, której dane dotyczą, nie miała żadnych długów w banku. W rezultacie BBVA przekazała dane osobowe osoby, której dane dotyczą, firmie windykacyjnej Multigestión Iberia, SL, która przez kilka miesięcy kontaktowała się z osobą, której dane dotyczą, telefonicznie i pocztą elektroniczną w imieniu BBVA i zwróciła się o zapłatę. Następnie osoba, której dane dotyczą, zażądała usunięcia swoich danych z BBVA. Jednak osoba odpowiedzialna odmówiła. | link |
| Rumunia | 2020-12-17 | 100.000 EUR | Banca Transilvania SA | Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Banca Transilvania SA karę pieniężną w wysokości 100 000 EUR za naruszenie art. 5 (1) f) RODO, art. 32 (1) RODO i art. 32 ust.2 RODO. Stwierdzono, że bank zażądał od klienta oświadczenia o przeznaczeniu określonej kwoty pieniędzy, które chciałby wypłacić z jego konta. Oświadczenie to zostało przesłane do banku online i przekazane kilku pracownikom banku. Jeden z pracowników sfotografował deklarację telefonem komórkowym i rozpowszechnił ją za pośrednictwem WhatsApp. Następnie dokument został opublikowany w serwisie społecznościowym Facebook i na stronie internetowej. Sytuacja ta doprowadziła do ujawnienia i nieuprawnionego dostępu do niektórych danych osobowych czterech osób, których dane dotyczą, pomimo zobowiązania Banku do poszanowania zasady integralności i poufności danych osobowych zgodnie z art. 5 (1) f) RODO. Urząd zwraca uwagę, że wystąpienie ujawnienia danych świadczy również o nieskuteczności wewnętrznych szkoleń pracowników Banku w zakresie przestrzegania standardów ochrony danych. Szkolenia te stanowią jednak integralną część środków technicznych i organizacyjnych, do których podjęcia Bank był zobowiązany, art. 32 RODO. | link |
| Francja | 2020-12-17 | 3.000 EUR | Doktor | Art. 32 RODO, Art. 33 RODO | Francuski organ ochrony danych (CNIL) nałożył na lekarza grzywnę w wysokości 3000 EUR za naruszenie art. 32 RODO i art. 33 RODO. Osoba odpowiedzialna przechowywała na swoim komputerze medyczne dane obrazowe, takie jak obrazy rezonansu magnetycznego i rentgenowskie, a także dane osobowe, takie jak imiona i nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów. Administrator nie podjął odpowiednich środków technicznych, aby zapewnić bezpieczeństwo danych, w wyniku czego dostęp do danych jego pacjentów był możliwy dla każdego, kto nie miał ochrony dostępu. Organ ochrony danych zauważa, że dane były narażone przez około cztery miesiące. | link |
| Francja | 2020-12-17 | 6.000 EUR | Doktor | Art. 32 RODO, Art. 33 RODO | Francuski organ ochrony danych (CNIL) nałożył na lekarza grzywnę w wysokości 6 000 EUR za naruszenie art. 32 RODO i art. 33 RODO. Osoba odpowiedzialna przechowywała na serwerze medyczne dane obrazowe, takie jak obrazy rezonansu magnetycznego i zdjęcia rentgenowskie, a także dane osobowe, takie jak imiona i nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów, aby mieć do nich dostęp z komputera domowego. Przegląd systemów osoby odpowiedzialnej wykazał, że dostęp do serwera nie był odpowiednio zabezpieczony. Dzięki temu każdy miałby dostęp do danych swoich pacjentów. Ponadto wyciek danych istniał przez około pięć lat. W związku z tym organ ochrony danych stwierdził, że lekarz nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych. | link |
| Polska | 2020-12-17 | 235.300 EUR | ID Finance Poland Sp. z o.o. | Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO | Polski organ ochrony danych (UODO) nałożył karę w wysokości 235 300 EUR na ID Finance Poland Sp. z o.o.. W związku z błędem podczas restartowania serwera, ustawienia oprogramowania odpowiedzialnego za bezpieczeństwo serwera zostały zresetowane, udostępniając publicznie dane osobowe 140 699 klientów. Dane te zawierały na przykład informacje o imieniu i nazwisku, adresie, narodowości, a nawet stanie cywilnym danych osób. Baza danych znajdująca się na tym serwerze została pobrana i usunięta przez nieokreśloną osobę trzecią, która zażądała od firmy opłaty za zwrot bazy danych. Organ ochrony danych zauważył, że podmiot odpowiedzialny podjął niewystarczające środki techniczne i organizacyjne w celu zapewnienia ochrony przetwarzania, mimo że istniało wysokie ryzyko dla osób, których dane dotyczą, ze względu na charakter przetwarzanych danych. | link |
| Węgry | 2020-12-16 | 1.940 EUR | Nieznany | Art. 5 (1) b), c) RODO, Art. 13 (1) RODO | Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 700 000 HUF (1940 EUR) na firmę budowlaną. Osoba odpowiedzialna zainstalowała system monitoringu wideo na placu budowy, aby chronić swoją własność i integralność fizyczną pracowników. Kamery zostały ustawione w taki sposób, aby mogły rejestrować część pomieszczenia rekreacyjnego, a tym samym także działania jego pracowników w wymaganym zakresie. Zainteresowani pracownicy nie byli o tym wystarczająco poinformowani w momencie zawierania umowy. | link |
| Węgry | 2020-12-16 | 55.400 EUR | Robinson Tours Ltd. (Robinson Tours Idegenforgalmi és Szolgáltató Kft.) | Art. 25 (1), (2) RODO, Art. 32 (1) b) RODO, Art. 34 (1) RODO | Węgierski organ ochrony danych (NAIH) nałożył na Robinson Tours Idegenforgalmi és Szolgáltató Kft grzywnę w wysokości 20 500 000 HUF (55 400 EUR). (Robinson Tours Ltd.) System rezerwacji biura podróży zawierał niezabezpieczone dane klientów, które każdy mógł przeglądać i wyszukiwać za pośrednictwem Google. Dane zawierały m.in. imiona i nazwiska, dane teleadresowe, kopie dowodu osobistego oraz numery paszportów. W trakcie śledztwa DPA okazało się, że przedmiotowe dane pochodziły z testowej bazy danych stworzonej przez Next Time Media Agency Ltd, agencję internetową, która zleciła opracowanie i obsługę bazy danych, która została uzupełniona nie tylko o dane testowe, ale także o dane rzeczywiste klientów Robinson Tours. Ogółem dotyczyło to danych 781 osób, do których każdy miał dostęp w okresie od 13 listopada 2019 r. Do 4 lutego 2020 r. NAIH zwraca również uwagę, że Robinson Tours nie prowadził regularnych przeglądów zagrożeń bezpieczeństwa. Robinson Tours nie powiadomił również poszkodowanych osób o naruszeniu danych. | link |
| Węgry | 2020-12-16 | 1.385 EUR | Next Time Media Agency Ltd. (Next Time Media Ügynökség Kft.) | Next Time Media Agency Ltd. (Next Time Media Ügynökség Kft.) | Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 50 000 HUF (1 385 EUR) na spółkę Next Time Media Ügynökség Kft. (Next Time Media Agency Ltd.). Agencja internetowa została podpisana przez biuro podróży Robinson Tours Idegenforgalmi és Szolgáltató Kft. (Robinson Tours Ltd.) w celu opracowania i obsługi systemu rezerwacji online biura podróży. Baza została jednak uzupełniona nie tylko o dane testowe, ale także o rzeczywiste dane klientów Robinson Tours. W sumie ujawniono dane 781 osób. W okresie od 13 listopada 2019 r. Do 4 lutego 2020 r. Dane te były dostępne dla każdego i można było je znaleźć za pośrednictwem Google. OOD stwierdził, że Next Time Media Agency Ltd. nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. | link |
| Irlandia | 2020-12-15 | 450.000 EUR | Twitter International Company | Art. 33 (1), (5) RODO | Irlandzki organ ochrony danych (DPC) ukarał Twitter International Company grzywną w wysokości 450 000 EUR za naruszenie art. 33 ust.1 RODO i art. 33 (5) RODO za niezawiadomienie organu ochrony danych w odpowiednim czasie o naruszeniu ochrony danych i niewystarczające udokumentowanie tego naruszenia. Naruszenie danych dotyczyło ustawień prywatności postów użytkowników na platformie mediów społecznościowych Twitter. Tam użytkownicy mają możliwość ustawienia widoczności swoich postów na prywatne lub publiczne. Posty prywatne mogą być widoczne tylko dla subskrybentów danego profilu użytkownika, podczas gdy posty publiczne są widoczne dla wszystkich. Błąd programowania w aplikacji Twittera na Androida spowodował, że niektóre prywatne posty były widoczne publicznie. Organ ochrony danych stwierdził, że Twitter nie wypełnił należycie swoich obowiązków w zakresie sprawozdawczości i dokumentacji. Zespół prawny Twittera dowiedział się o błędzie 2 stycznia 2019 roku i dopiero 8 stycznia firma poinformowała DPC. W konsekwencji firma nie poinformowała DPC w terminie 72 godzin wymaganym przez art. 33 ust.1 RODO. Ponadto nie udokumentował zdarzenia w sposób zgodny z art. 33 ust.5 RODO. | link |
| Szwecja | 2020-12-15 | 29.500 EUR | Uppsalahem AB | Art. 5 RODO, Art. 6 (1) f) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył na spółkę mieszkaniową Uppsalahem AB grzywnę w wysokości 300 000 SEK (29 500 EUR). Firma mieszkaniowa zainstalowała kamery monitorujące w budynku mieszkalnym, aby monitorować jedno piętro po wystąpieniu zakłóceń i incydentów bezpieczeństwa. Kamery monitorowały nie tylko klatkę schodową, ale także drzwi wejściowe mieszkańca. Dlatego po otwarciu drzwi system monitoringu uchwycił również wnętrze mieszkania. Chociaż firma mogła mieć uzasadniony interes w monitorowaniu wideo, przeważa to prawo mieszkańców do prywatności. | link |
| Łotwa | 2020-12-15 | 15.000 EUR | HH Invest SIA | Art. 13 RODO | Łotewski organ ochrony danych (DSI) nałożył na sklep internetowy HH Invest SIA karę w wysokości 15 000 EUR. Informacje podane na stronie internetowej firmy dotyczące polityki prywatności uznano za niezrozumiałe. Stanowi to naruszenie art. 13 RODO. | link |
| Łotwa | 2020-12-15 | 6.250 EUR | Nieznany | Art. 5 RODO, Art. 6 RODO | Łotewski organ ochrony danych (DSI) nałożył na pracodawcę grzywnę w wysokości 6 250 EUR za przesłanie danych osobowych pracownika, w tym danych dotyczących zdrowia, do współpracowników pocztą elektroniczną. DSI stwierdził, że dane osobowe osoby, której dane dotyczą, były przetwarzane bez odpowiedniej podstawy prawnej, a zatem przetwarzanie to było niezgodne z prawem. | |
| Hiszpania | 2020-12-15 | 10.000 EUR | Usługi online | Art. 13 RODO, Art. 8 (1) RODO, Art. 6 (1) a) RODO | Hiszpański organ ochrony danych (AEPD) ukarał operatora sklepu internetowego banderacatalana.cat. 10.000 EUR za naruszenie art. 13 RODO. Operator zaznaczył na swojej stronie internetowej, że do zapisania się do newslettera niezbędny jest minimalny wiek 13 lat lub wystarczająca zdolność do czynności prawnych. Stwierdzono również, że wypełnienie formularza zapisu na newsletter będzie traktowane jako wyrażenie zgody na przetwarzanie danych osobowych. Stanowi to naruszenie RODO, ponieważ zgodnie z art. 8 RODO, przetwarzanie danych osobowych osób poniżej 16 roku życia wymaga zgody osoby sprawującej władzę rodzicielską nad dzieckiem. | link |
| Polska | 2020-12-14 | 443.000 EUR | Virgin Mobile Polska | Art. 5 (1) f), (2) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO | Polski organ ochrony danych (UODO) nałożył na Virgin Mobile Polska karę w wysokości 443 000 EUR za wyciek danych, który umożliwił nieuprawnionym osobom trzecim dostęp do danych osobowych przechowywanych przez Virgin Mobile Polska w wyniku zastosowania nieodpowiednich środków bezpieczeństwa. UODO zwraca uwagę, że firma nie przeprowadzała regularnych i obszernych testów skuteczności zastosowanych środków w celu zapewnienia bezpieczeństwa danych. Rzeczywiście, działania w tym zakresie były prowadzone tylko w przypadku podejrzenia wycieku bezpieczeństwa. | link |
| Hiszpania | 2020-12-11 | 5.000.000 EUR | Banco Bilbao Vizcaya Argentaria, S.A. | Art. 6 RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał Banco Bilbao Vizcaya Argentaria, S.A. 5000000 EUR za naruszenie art. 6 RODO (3000000 EUR) i art. 13 RODO (2000000 EUR). Bank nie wdrożył specjalnego mechanizmu uzyskiwania zgody klientów na przetwarzanie ich danych. Ponadto nie użył precyzyjnej terminologii w swojej polityce prywatności, ani nie podał odpowiednich informacji o rodzaju danych osobowych, które mogą być przetwarzane. W szczególności AEPD zauważa, że w oświadczeniu o ochronie prywatności nie można dostatecznie określić celu i podstawy prawnej przetwarzania danych. | link |
| Szwecja | 2020-12-11 | 54.000 EUR | Umeå University | Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył na Uniwersytet Umeå grzywnę w wysokości 550 000 SEK (54 000 EUR) w związku z niezastosowaniem przez niego odpowiednich środków technicznych i organizacyjnych w celu ochrony danych. W ramach projektu badawczego dotyczącego gwałtu na mężczyznach uniwersytet przechował kilka raportów policyjnych dotyczących takich powiązanych incydentów w chmurze usługodawcy z USA. Raporty zawierały nazwiska, numery identyfikacyjne i dane kontaktowe zaangażowanych osób, a także informacje o ich stanie zdrowia i życiu seksualnym, a także informacje o podejrzeniu popełnienia przestępstwa. Organ ochrony danych zauważa, że przechowywanie w tej chmurze nie zapewnia odpowiedniej ochrony takich szczególnie wrażliwych danych. Ponadto jeden z raportów z dochodzenia został przesłany w postaci niezaszyfrowanej do szwedzkiej policji pocztą elektroniczną. Jednak osoba odpowiedzialna nie udokumentowała incydentu ani nie zgłosiła go organowi ochrony danych. | link |
| Hiszpania | 2020-12-10 | 4.000 EUR | Borjamotor, S.A. | Art. 7 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Borjamotor, SA grzywnę w wysokości 4000 EUR.Firma nadal wysyłała do osoby, której dane dotyczą, reklamy komercyjne za pośrednictwem poczty elektronicznej i SMS-a, mimo że osoba, której dane dotyczą, wcześniej cofnęła zgodę na otrzymywanie reklam i złożyła wniosek usunąć swoje dane. Chociaż firma to potwierdziła, osoba, której dane dotyczą, nadal otrzymywała reklamy. | link |
| Hiszpania | 2020-12-09 | 40.000 EUR | Xfera Moviles S.A. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Xfera Móviles, S.A. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, twierdzi, że na jej nazwisko zarejestrowano dwa połączenia telefoniczne i internetowe wraz z kontem opłat. Jednak osoba, której dane dotyczą, nigdy nie podpisała umów z firmą na którekolwiek z tych połączeń. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych firmy bez weryfikacji, czy umowy zostały zawarte zgodnie z prawem i faktycznie przez osobę, której dane dotyczą, czy wyraziła zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych lub czy istniał jakikolwiek inny powód uzasadniający przetwarzanie. | link |
| Hiszpania | 2020-12-09 | 10.000 EUR | Nieznany | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 10 000 EUR za naruszenie art. 5 RODO. Firma wysłała do osoby trzeciej wiadomość e-mail z dokumentem zwolnienia i rozliczenia osoby, której dane dotyczą, ujawniając jej dane osobowe bez jej zgody. | link |
| Polska | 2020-12-09 | 18.850 EUR | TUiR Warta S.A. | Art. 33 (1) RODO, Art. 34 (1) RODO | Agent ubezpieczeniowy wynajęty przez osobę odpowiedzialną wysłał wiadomość e-mail do nieuprawnionych stron trzecich w sprawie polis ubezpieczeniowych, które zawierały dane osobowe dwóch klientów firmy po tym, jak omyłkowo podali fałszywe adresy e-mail. Dane, które wyciekły, obejmowały takie dane, jak nazwiska, adresy e-mail i adresy pocztowe osób, których dane dotyczą. Osoba odpowiedzialna nie poinformowała polskiego organu ochrony danych ani osób, których dane dotyczą, o naruszeniu danych w odpowiednim czasie w ciągu 72 godzin. Osoba odpowiedzialna uważała, że nie doszło do naruszenia wymagającego powiadomienia, ponieważ same osoby, których dane dotyczą, omyłkowo podały nieprawidłowe adresy e-mail. Polski organ ochrony danych stwierdza, że okoliczność ta nie zwalnia administratora z obowiązku terminowego zgłaszania naruszenia ochrony danych. | link |
| Francja | 2020-12-07 | 7.300 EUR | Perfomeclic | Art. 5 (1) c), e) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. L34-5 CPCE | Francuski organ ochrony danych (CNIL) nałożył na spółkę Perfomeclic grzywnę w wysokości 7 300 EUR. Firma wysłała komercyjne e-maile reklamowe bez potwierdzenia uprzedniej zgody i bez wystarczających informacji. | link |
| Szwecja | 2020-12-03 | 1.463.000 EUR | Aleris Sjukvård AB | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył na Aleris Sjukvård AB grzywnę w wysokości 15 000 000 SEK (1 463 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. | link |
| Szwecja | 2020-12-03 | 1.168.000 EUR | Aleris Sjukvård AB | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył na Aleris Sjukvård AB grzywnę w wysokości 12 000 000 SEK (1 168 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego Nationell patientöversikt (NPÖ) nie były przyznawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. | link |
| Hiszpania | 2020-12-03 | 2.400 EUR | Dr Marín Cirugia Plástica, S.L.P. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na lekarza grzywnę w wysokości 4000 EUR z powodu braku polityki prywatności na jego stronie internetowej, naruszając tym samym art. 13 RODO. Pierwotna kara w wysokości 4 000 EUR została obniżona zarówno za natychmiastową spłatę, jak i za uznanie długu o każde 20% do 2 400 EUR. | link |
| Szwecja | 2020-12-03 | 243.800 EUR | Östergötland Region | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył na region Östergötland grzywnę w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego Cosmic nie były nadawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. | link |
| Szwecja | 2020-12-03 | 243.800 EUR | Västerbotten Region | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył na region Västerbotten grzywnę w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników systemu dokumentacji medycznej NCS Cross nie były nadawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. | link |
| Szwecja | 2020-12-03 | 341.300 EUR | Szpital Uniwersytecki Sahlgrenska | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył grzywnę na Szpital Uniwersytecki Sahlgrenska w wysokości 3 500 000 SEK (341 300 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informatycznych Melior i Nationell patientöversikt nie były przyznawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. Ponadto system informacyjny szpitala Melior nie prowadził rejestrów, kiedy i w jakim celu uzyskano dostęp do danych pacjentów. | link |
| Szwecja | 2020-12-03 | 390.100 EUR | Szpital Uniwersytecki Karolinska w Solnej | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył grzywnę na Karolinska University Hospital w Solna w wysokości 4 000 000 SEK (390 100 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. | link |
| Szwecja | 2020-12-03 | 2.9000.000 EUR | Capio St. Göran AB | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO | Szwedzki organ ochrony danych (Datainspektionen) nałożył na Capio St. Göran AB grzywnę w wysokości 30 000 000 SEK (2 900 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informatycznych Cosmic, Nationell patientöversikt i TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. | link |
| Norwegia | 2020-12-03 | 18.840 EUR | Municipality of Indre Østfold | Art. 6 RODO, Art. 32 (1) b) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 200 000 NOK (18 840 EUR) na gminę Indre Østfold. Datatilsynet stwierdził, że na stronie internetowej gminy opublikowano akta ucznia zawierające dane osobowe | link |
| Hiszpania | 2020-12-02 | 6.000 EUR | Servicio de Alojamientos Responsables, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 6000 EUR za nieuprawnione zawarcie umowy w imieniu osoby, której dane dotyczą, bez jej zgody. Osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy wniesiono przeciwko niej skargę z tytułu naruszenia umowy. AEPD uznał, że na mocy tej ustawy podmiot odpowiedzialny przetwarzał dane osobowe osoby, której dane dotyczą, niezgodnie z prawem. | link |
| Hiszpania | 2020-12-02 | 3.000 EUR | Comercio Online Levante, S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Kobieta złożyła skargę do hiszpańskiego organu ochrony danych (AEPD) przeciwko Comercio Online Levante, S.L. ze względu na to, że podczas próby uzyskania dostępu do jej konta użytkownika sklepu internetowego perfumerespremium.es prowadzonego przez odpowiedzialną firmę pokazano jej dane osobowe innego użytkownika. | link |
| Hiszpania | 2020-12-02 | 5.000 EUR | Asociación de Víctimas por Arbitrariedades Judiciales, (JAVA) | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie grzywnę w wysokości 5 000 EUR za publikację danych osobowych osób, których dane dotyczą, na swojej stronie internetowej. Dane zostały bezprawnie zarejestrowane bez ich zgody w toku innego postępowania prawnego i zostały przekazane przez nagrywającego stowarzyszeniu. | link |
| Hiszpania | 2020-12-02 | 10.000 EUR | Losada Advocats S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Losada Advocats S.L. za wysłanie wiadomości e-mail do kilkudziesięciu odbiorców bez umieszczania ich na liście Blind Carbon Copy (BCC), naruszając tym samym art. 32 RODO i art. 5 (1) f) RODO | link |
| Estonia | 2020-12-01 | 100.000 EUR | Apotheka e-apteek | Art. 5 RODO, Art. 6 RODO | Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie. | link |
| Estonia | 2020-12-01 | 100.000 EUR | Südameapteegi e-apteek | Art. 5 RODO, Art. 6 RODO | Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie. | link |
| Estonia | 2020-12-01 | 100.000 EUR | Azeta.ee e-apteek | Art. 5 RODO, Art. 6 RODO | Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie. | |
| Hiszpania | 2020-11-27 | 1.200 EUR | Osoba prywatna | Art. 5 (1) a) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1200 EUR na osobę fizyczną za podszywanie się pod osobę trzecią na portalach społecznościowych Tinder i WhatsApp poprzez umieszczanie zdjęć tej osoby na ich profilu. Zdjęcia zostały wykorzystane bez zgody osoby, której dane dotyczą. | link |
| Włochy | 2020-11-26 | 20.000 EUR | Concentrix Cvg Italy s.r.l. | Art. 5 (1) a), c) RODO, Art. 6 (1) b), c) RODO, Art. 9 (1) b) RODO | Związek UILCOM Sardegna złożył skargę do włoskiego organu ochrony danych (garante) przeciwko operatorowi call center Concentrix Cvg Italy s.r.l. dotyczące regulacji wewnętrznej strony odpowiedzialnej. Zgodnie z zasadami „polityki czystego biurka” firma zakazała pracownikom trzymania niektórych przedmiotów, takich jak smartfony, na biurkach, co miało zapewnić poufność przetwarzania danych osobowych klientów. Wyjątki dotyczyły leków, które poszkodowani pracownicy udowodnili, że powinni przyjmować podczas zmiany. Należało je umieścić w widocznym miejscu na biurku, umożliwiając pośrednio innym pracownikom uzyskanie informacji o stanie zdrowia osób, których dane dotyczą. Administrator rzeczywiście poinformował osoby, których dane dotyczą, o zasadach postępowania i uzyskał ich zgody. Nie zawierało to jednak żadnych informacji o przetwarzaniu ich danych zdrowotnych. | link |
| Szwecja | 2020-11-25 | 19.500 EUR | Gnosjö Municipality | Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 35 RODO, Art. 36 RODO | Szwedzki organ ochrony danych nałożył grzywnę na gminę Gnosjö za nielegalny monitoring wideo w domu opieki dla osób z pewnymi niepełnosprawnościami funkcjonalnymi. | link |
| Hiszpania | 2020-11-25 | 40.00 EUR | Miraclia Telecomunicaciones S.L. | Art. 6 RODO, Art. 13 RODO, Art. 14 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Miraclia Telecomunicaciones S.L. za naruszenie art. 6, 13 i 14 RODO. Miraclia Telecomunicaciones S.L. jest operatorem aplikacji do żartów na telefon, w której możesz wybrać `` żart '' i wprowadzić numer telefonu odbiorcy. Odbiorca jest następnie wywoływany na ukryty numer i wykonywany jest żart. AEPD zauważa, że operator naruszył obowiązek informowania o zbieraniu danych osobowych osoby, której dane dotyczą. Ponadto zwraca uwagę, że Miraclia, za pośrednictwem tej aplikacji, w żadnym momencie nie informuje osoby, której dane dotyczą (osoby, która odbiera połączenie z dowcipem i jest nagrywana) o jej prawie do wyrażenia zgody zgodnie z przepisami RODO. | link |
| Belgia | 2020-11-25 | 1.500 EUR | Osoba prywatna | Art. 6 RODO, Art. 25 RODO | Belgijski organ ochrony danych (APD) nałożył grzywnę na osoby prywatne. Osoby odpowiedzialne zainstalowały kamery wideo na swojej prywatnej posesji, z których dwie zostały umieszczone w taki sposób, aby mogły rejestrować obrazy przestrzeni publicznej i prywatnej własności sąsiada. Również osoby odpowiedzialne przekazały zdjęcia osobom trzecim. | link |
| Rumunia | 2020-11-24 | 5.000 EUR | Dada Creation S.R.L. | Art. 32 RODO, Art. 33 RODO | W związku z nieodpowiednimi środkami technicznymi i organizacyjnymi firma za pośrednictwem swojego sklepu internetowego ujawniła zamówienie, dostawę oraz dane osobowe ponad 1000 klientów. Dane zostały wyświetlone na dokumencie w sklepie internetowym, który można było pobrać bez ochrony dostępu. Ponadto operator nie zgłosił wycieku bezpieczeństwa do organu ochrony danych. | link |
| Szwecja | 2020-11-24 | 394.000 EUR | Misto Sztokholm | Art. 5 RODO, Art. 32 RODO | Szwedzki organ ochrony danych nałożył grzywnę na miasto Sztokholm za naruszenia danych na platformie szkolnej. Platforma składa się z różnych podsystemów, w tym systemu monitorowania obecności w szkole, systemu administrowania uczniami, interfejsu dla rodziców oraz interfejsu administracyjnego dla nauczycieli. W jednym z podsystemów brak możliwości ograniczenia dostępu użytkowników do danych umożliwił dużej liczbie pracowników dostęp do informacji o studentach przy użyciu chronionej tożsamości. W innym podsystemie rodzice mogli stosunkowo łatwo uzyskać dostęp do informacji o innych uczniach, takich jak oceny. W wyszukiwarce Google można było znaleźć linki prowadzące do interfejsu administracyjnego, w którym dostępne były informacje o nauczycielach o chronionej tożsamości. | link |
| Hiszpania | 2020-11-23 | 12.000 EUR | Recambios Villalegre S.L. | Art. 6 RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę za opublikowanie zdjęć osoby na Facebooku i WhatsApp oraz za oskarżenie osoby o kradzież w powiązanych postach. Zdjęcia uzyskano dzięki systemowi monitoringu firmy. Firma dodatkowo zachęcała innych użytkowników do udostępniania zarówno zdjęć, jak i postów. Wpisy zaowocowały setkami upokarzających, obraźliwych, a nawet groźnych komentarzy. AEPD nałożyła grzywnę w wysokości 10 000 euro za publikację zdjęć i 2 000 euro za niezainstalowanie szyldu wymaganego do monitoringu sklepu. | link |
| Rumunia | 2020-10-23 | 4.000 EUR | Vodafone România SA | Art. 12 RODO, Art. 15 RODO, Art. 17 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Vodafone România SA karę w wysokości 4 000 EUR. Kara została nałożona w wyniku skarg dotyczących braku odpowiedzi operatora na żądania dostępu i usunięcia danych. Operator nie mógł przedstawić żadnych dowodów na zwolnienie. | link |
| Włochy | 2020-11-23 | 20.000 EUR | Burgo Group S.p.A | Art. 5 RODO, Art. 13 RODO | Włoski organ ochrony danych (Garante) nałożył na spółkę grzywnę w wysokości 20 000 EUR za nieprzestrzeganie praktyk. Na przykład dyrektor personalny przekazał rozmowę e-mail między osobą, której dane dotyczą, a współpracownikiem, zawierającą dane osobowe (informacje dotyczące dyskomfortu fizycznego i psychicznego w miejscu pracy) do czterech osób w firmie. | link |
| Hiszpania | 2020-11-19 | 36.000 EUR | Vodafone España, S.A.U. | Art. 5 RODO, Art. 6 RODO | Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Firma wysłała fakturę osobie, której dane dotyczą, bez możliwości udowodnienia, że zawarła umowę z osobą, której dane dotyczą | link |
| Hiszpania | 2020-11-18 | 2.000 EUR | Anmavas 61, S.L. | Art. 58 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Anmavas 61, S.L. za ani nie przyznanie, ani uzasadniona odmowa prawa do usunięcia danych osobie, której dane dotyczą, nawet po otrzymaniu ostrzeżenia wydanego przez AEPD. | link |
| Francja | 2020-11-18 | 800.000 EUR | Carrefour Banque | Art. 5 RODO | Francuski organ ochrony danych (CNIL) nałożył na Carrefour Banque grzywnę za naruszenie obowiązku rzetelnego przetwarzania danych (art. 5 ust. 1 RODO). Jeżeli osoba, która subskrybowała kartę Pass (karta kredytowa, którą można podpiąć do konta lojalnościowego) również chciała uczestniczyć w programie lojalnościowym, musiała zaznaczyć okienko, w którym zgodziła się na wysłanie przez Carrefour Banque lub jej nazwisko, imię i adres e-mail do „Carrefour fidélité”. Carrefour Banque wyraźnie zaznaczył, że dalsze dane nie będą przekazywane. Jednak CNIL zauważyła, że przekazano inne dane, takie jak adres pocztowy, numer telefonu i liczba dzieci, chociaż spółka zobowiązała się nie przekazywać żadnych dalszych danych. | link |
| Francja | 2020-11-18 | 2.250.000 EUR | Carrefour France | Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO, Art. 33 RODO | Francuski organ ochrony danych (CNIL) nałożył na Carrefour France grzywnę w wysokości 2 250 000 EUR za kilka naruszeń przepisów o ochronie danych, w tym RODO. Podczas dochodzenia CNIL stwierdził, że informacje dotyczące danych osobowych przekazanych użytkownikom stron internetowych carrefour.fr oraz osobom pragnącym przystąpić do programu lojalnościowego nie były ani łatwo dostępne, ani zrozumiałe. CNIL stwierdził również, że informacje dotyczące przekazywania danych do krajów spoza UE oraz czasu przechowywania danych były niekompletne. CNIL zauważa również, że przedsiębiorstwo nie przestrzegało terminów przechowywania. Ponadto na potrzeby programu lojalnościowego przechowywano dane ponad dwudziestu ośmiu milionów klientów nieaktywnych przez pięć do dziesięciu lat. Tak było również w przypadku 750 000 użytkowników serwisu carrefour.fr, którzy byli nieaktywni przez pięć do dziesięciu lat. CNIL stwierdza, że spółka wymagała potwierdzenia tożsamości w przypadku prawie każdego wniosku użytkownika o skorzystanie z prawa. Jednak ten automatyczny wymóg nie był uzasadniony, ponieważ w większości przypadków nie było wątpliwości co do tożsamości użytkowników, których dotyczy problem. Ponadto firma nie odpowiedziała na kilka wniosków osób, które chciały uzyskać dostęp do ich danych osobowych. Ponadto w wielu przypadkach spółka nie usuwała danych żądanych przez osoby fizyczne. Wreszcie firma nie odpowiedziała na kilka próśb osób, które nie zgodziły się na otrzymywanie reklam przez SMS lub e-mail. | link |
| Włochy | 2020-11-17 | 30.000 EUR | Provincial Health Authority of Cosenza | Art. 9 RODO | Publikacja danych osobowych (w tym imienia i nazwiska, adresu, NIP) na stronie internetowej organu o osobach, które mają roszczenia odszkodowawcze wobec organu, bez wystarczającej podstawy prawnej | link |
| Włochy | 2020-11-17 | 2.000 EUR | Comune di Collegno | Art. 12 RODO, Art. 13 RODO, Art. 14 RODO | Kara za nieprzestrzeganie prawa osoby, której dane dotyczą, do dostępu do informacji, ponieważ gmina odmówiła osobie, której dane dotyczą, wniosku o dostęp do danych z systemu monitoringu kamer. | link |
| Hiszpania | 2020-11-16 | 1.600 EUR | Stowarzyszenie Właścicieli Domów | Art. 5 (1) c) RODO | Wykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych). | link |
| Hiszpania | 2020-11-16 | 42.000 EUR | Vodafone España, S.A.U. | Art. 5 RODO, Art. 6 RODO | W 2019 roku po postępowaniu arbitrażowym spółka zgodziła się na przedterminowe rozwiązanie umowy z osobą, której dane dotyczą, oraz na usunięcie danych osobowych. Niemniej jednak osoba, której dane dotyczą, nadal otrzymywała e-maile od firmy, co stanowiło przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. | link |
| Wielka Brytania | 2020-11-13 | 1.405.000 EUR | Ticketmaster UK Limited | Art. 5 (1) f) RODO, Art. 32 RODO | Ticketmaster UK Limited został ukarany grzywną w wysokości 1,25 miliona GBP (około 1,405 miliona EUR) za brak ochrony danych osobowych swoich klientów za pomocą odpowiednich środków bezpieczeństwa. Potencjalnie 9,4 mln europejskich klientów mogło zostać dotkniętych cyberatakiem między lutym 2018 r. a 23 czerwca 2018 r. Z powodu użycia niedostatecznie zabezpieczonego bota czatu hostowanego przez osobę trzecią w jej witrynie płatności online, który umożliwił atakującemu uzyskanie dostępu do klientów ' Informacje finansowe. Według Agencji Ochrony Danych dotyczyło to danych osobowych, takich jak imiona i nazwiska, pełne numery kart płatniczych, nazwy użytkowników i hasła Ticketmaster, daty wygaśnięcia oraz numery CVV (Card Verification Value). DPA wykrył również, że 60 000 kart płatniczych należących do klientów Barclays Bank było ofiarami oszustw, a kilka międzynarodowych banków również zgłosiło oszustwa do Ticketmaster. | link |
| Belgia | 2020-11-13 | 1.500 EUR | Nieznany | Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODO, Art. 37 (5) RODO, Art. 37 (7) RODO | Belgijski organ ochrony danych (APD / GBA) nałożył grzywnę w wysokości 1500 EUR na przedsiębiorstwo budownictwa społecznego za nieprzestrzeganie kilku zasad RODO, takich jak przetwarzanie danych, a także zasad legalności i przejrzystości (np. niewystarczająca polityka prywatności, brak informacje o monitoringu kamer). | link |
| Włochy | 2020-11-12 | 12.251.601 EUR | Vodafone Italia S.p.A. | Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 15 (1) RODO, Art. 16 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 32 RODO, Art. 33 RODO | Firma została ukarana grzywną w wysokości 12 251 601 EUR za niezgodne z prawem przetwarzanie danych osobowych milionów klientów w celach telemarketingowych. Postępowanie zostało poprzedzone setkami skarg osób, których dane dotyczą, na niezamówione rozmowy telefoniczne, które doprowadziły do wszczęcia dochodzenia przez organ ochrony danych. Dochodzenie ujawniło kilka naruszeń prawa o ochronie danych, w tym naruszenie wymogów dotyczących zgody oraz naruszenie ogólnych obowiązków w zakresie ochrony danych, takich jak odpowiedzialność. Jedną z głównych krytyki ze strony Agencji Ochrony Danych było wykorzystywanie fałszywych numerów do wykonywania promocyjnych połączeń przez zakontraktowane call center (tj. numery telefonów niezarejestrowane w Krajowym Skonsolidowanym Rejestrze Operatorów Łączności). Ponadto dalsze naruszenia można znaleźć w obsłudze list kontaktów zakupionych od zewnętrznych dostawców. Wreszcie, środki bezpieczeństwa dotyczące zarządzania danymi klientów również uznano za nieodpowiednie. | link |
| Niemcy | 2020-11-11 | 900.000 EUR | Dostawca usług telekomunikacyjnych (1 & 1 Telecom GmbH) | Art. 32 RODO | The Controller to firma oferująca usługi telekomunikacyjne. Osoba dzwoniąca może uzyskać obszerne informacje na temat danych osobowych klienta z działu obsługi klienta firmy, po prostu wprowadzając imię i nazwisko klienta oraz datę urodzenia. W tej procedurze uwierzytelniania BfDI grozi naruszeniem art.32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych nałożona kara znalazła się na dolnym końcu skali. - Aktualizacja: 11 listopada 2020 r., Po odwołaniu się od grzywny, Sąd Okręgowy w Bonn uznał, że chociaż grzywna jest co do zasady uzasadniona, to jest ona nieuzasadniona. W związku z tym izba obniżyła grzywnę z pierwotnie 9,55 mln EUR do 900 000 EUR. Jednym z powodów redukcji był fakt, że procedura firmy dotycząca uwierzytelniania klientów wykorzystywana przez jej infolinię telefoniczną (wymagająca jedynie imienia i nazwiska oraz daty urodzenia osoby dzwoniącej) pozostawała przez długi czas niezakłócona, w związku z czym firmie brakowało konkretnej świadomości problem, który prowadzi do tego, że konkretną winę w tym przypadku należało sklasyfikować jako raczej niską. Ponadto, według sądu, naruszenie było również niewielkie, ponieważ nie mogło doprowadzić do masowego wycieku danych. | link |
| Hiszpania | 2020-11-05 | 75.000 EUR | Telefonica Moviles Espana, S.A.U. | Art. 5 RODO, Art. 6 RODO | Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Firma wystawiła osobie, której dane dotyczą, kilka faktur i zebrała kwoty faktur z jego konta bankowego, mimo że nie był on klientem firmy. Skargi osoby, której dane dotyczą, na firmę pozostały bezskuteczne. | link |
| Hiszpania | 2020-11-03 | 30.000 EUR | Vodafone España, S.A.U. | Art. 5 RODO, Art. 6 RODO | Vodafone zażądało spłaty długu od niewłaściwej osoby z powodu błędów w prawidłowym przypisywaniu umów z klientami. Kara została nałożona z powodu przetwarzania danych osobowych bez wystarczającej podstawy prawnej. | link |
| Wielka Brytania | 2020-10-30 | 20.450.000 EUR | Marriott International, Inc | Art. 32 RODO | ICO wydało zawiadomienie o zamiarze ukarania Marriott International Inc w związku z incydentem cybernetycznym, który został zgłoszony ICO przez Marriott w listopadzie 2018 r. Różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie zostały ujawnione przez incydent, z czego około 30 mln dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). Siedem milionów związanych z mieszkańcami Wielkiej Brytanii. Uważa się, że luka zaczęła się, |