Warto zapoznać się z powodami, przez które firmy zostały ukarane i rozważyć, czy nasza organizacja jest dobrze przygotowana. Błędna interpretacja przepisów może sporo kosztować, dlatego lepiej upewnić się, czy wszystkie operacje na danych osobowych przebiegają właściwie.

Ostatnia aktualizacja: 13.03.2021 r.

Kraj Data Wysokość kary (w euro) Ukarany podmiot Podstawa prawna Podsumowanie Decyzja
Niemcy 2021-03-10 300.000 EUR VfB Stuttgart 1893 AG Art. 5 (2) RODO DPA z Badenii-Wirtembergii nałożył na klub piłkarski VfB Stuttgart 1893 AG karę w wysokości 300 000 EUR za niedbałe naruszenie przepisów o ochronie danych osobowych na podstawie art. 5 ust.2 RODO. Jednak administrator z własnej inicjatywy promował dochodzenie i środki wyjaśniające organu ochrony danych oraz prowadził z nim intensywną współpracę. link
Hiszpania 2021-03-10 10.000 EUR Szpital Campogrande DE Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 10 000 EUR na Hospital Campogrande DE. Pacjent złożył skargę na administratora do organu ochrony danych. Kontroler wykonał rezonans magnetyczny pacjenta w dniu 05 września 2019 r. Z powodu urazu prawego kolana. Koszt badania pokrywał prywatne ubezpieczenie zdrowotne pacjenta. Z powodu urazu związanego z pracą, kolejny rezonans magnetyczny tego samego kolana musiał zostać wykonany 27 września 2019 r. Chociaż drugi rezonans magnetyczny został wykonany w innym szpitalu, choć należącym do grupy korporacyjnej, system szpitalny również połączył pierwszy, prywatnie zorganizował rezonans magnetyczny do karty pacjenta w drugim szpitalu. Pierwszy rezonans magnetyczny został wykonany przez sieć szpitali bez żadnego uzasadnienia medycznego. Okazało się to bardzo niekorzystne dla pacjenta, gdy po przedstawieniu drugiego rezonansu rezonansu magnetycznego lekarz zakładowy poinformował go, że z tym urazem będzie musiał skontaktować się z lekarzem prywatnym lub z ubezpieczeniem społecznym, gdyż incydentu nie można uznać za zawodowy. wypadek. Uzasadniał to istnieniem pierwszego rezonansu magnetycznego, który miał przyczynę pozazawodową. link
Hiszpania 2021-03-10 8.000 EUR Filigrana Comunicación S.L.U. Art. 6 (1) RODO Art. 13 RODO, Art. 14 RODO Hiszpański organ ochrony danych (AEPD) ukarał Filigrana Comunicación S.L.U. 8.000 EUR. Administrator prowadzi stronę internetową, na której znajdują się informacje o stażach oferowanych przez hiszpańskie Ministerstwo Edukacji i Sportu. Ponadto na stronie publikowane są wyniki różnych konkursów organizowanych przez Ministerstwo. Administrator zebrał i opublikował dane uczestników z publicznie dostępnych źródeł bez uprzedniego uzyskania zgody osób, których dane dotyczą. Podobnie administrator nie wypełnił swoich obowiązków informacyjnych wobec nich zgodnie z art. 13 RODO i art. 14 RODO. link
Hiszpania 2021-03-10 50.0000 EUR Equifax Iberica S.L. Art. 6 (1) f) RODO Hiszpański organ ochrony danych (AEPD) ukarał Equifax Iberica S.L. 50000 EUR za naruszenie art. 6 ust.1 lit.f) RODO. Administrator dodał osobę, której dane dotyczą, do rejestru dłużników bez uprzedniego poinformowania jej. Osoba, której dane dotyczą, miała zaległe płatności czynszu u właściciela, który wcześniej przesłał jej odpowiednie wezwania do zapłaty. Sam administrator wysłał również zawiadomienia do osoby, której dane dotyczą, z żądaniem zapłaty długów. Nie zawierały one jednak żadnej informacji, że osoba, której dane dotyczą, zostałaby wpisana do rejestru dłużników w przypadku braku zapłaty. Również umowa najmu osoby, której dane dotyczą, nie zawierała żadnych zapisów w tym zakresie, co doprowadziło UOD do wniosku, że administrator nie miał uzasadnionego interesu w rozumieniu RODO i tym samym przetwarzał dane osobowe osoby, której dane dotyczą. bez podstawy prawnej. link
Hiszpania 2021-03-10 90.0000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO, Art. 17 RODO, Art. 32 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 150 000 EUR na Xfera Móviles S.A .. Organ ochrony danych otrzymał dwie skargi od osoby, której dane dotyczą. Pierwsza skarga dotyczyła wysyłania reklamowych wiadomości SMS, które osoba, której dane dotyczą, otrzymywała od administratora, chociaż sprzeciwił się temu i zażądał usunięcia swoich danych. Według osoby, której dane dotyczą, w ciągu 30 dni otrzymał ponad 60 wiadomości SMS. Druga skarga została złożona przez osobę, której dane dotyczą, ponieważ administrator wielokrotnie wysyłał mu wiadomości zawierające poufne dane osoby trzeciej. Dotyczyło to danych logowania innego klienta do platformy firmowej. Na portalu można było m.in. przeglądać dane osobowe, a także faktury. Chociaż osoba, której dane dotyczą, poinformowała o tym firmę, niewłaściwa wysyłka nie zakończyła się. Pierwotna kara w wysokości 150 000 euro została obniżona do 90 000 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Hiszpania 2021-03-09 15.0000. EUR Homeowners Association Art. 5 (1) f) RODO Hiszpański organ ochrony (AEPD) nałożył grzywnę w wysokości 15 000 EUR na stowarzyszenie właścicieli domów. Kontroler publicznie pokazał zapis spotkania właścicieli domów w windzie budynku, w którym mieszkali uczestnicy. Z zapisów można było uzyskać nazwiska, piętra i numery mieszkań uczestników spotkania, a także piętra i numery mieszkań sąsiadów, na których narzekali uczestnicy podczas spotkania. Administrator uzasadnił publiczne obwieszczenie faktem, że wyniki tego spotkania dotyczyły planowanych działań prawnych wobec części mieszkańców. Miały zostać o tym poinformowane, aby nie mogły później twierdzić, że nie otrzymały odpowiednich powiadomień. Organ ochrony danych uważa to za naruszenie art. 5 ust.1 lit.f) RODO, w którym mowa o zasadach integralności i poufności danych osobowych. link
Rumunia 2021-03-04 500 EUR Osoba fizyczna zajmująca stanowisko Sekretarza Generalnego partii politycznej w Bukareszcie Art. 32 (1), (2) RODO, Art. 58 (1) a), e) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 500 EUR na osobę fizyczną pełniącą funkcję sekretarza generalnego partii politycznej w Bukareszcie. Administrator opublikował w sieci społecznościowej listę, która zawierała dane osobowe, takie jak imiona i nazwiska, podpisy, narodowości, daty urodzenia, adresy pocztowe dziesięciu zwolenników partii. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Ponadto administrator nie współpracował w wystarczającym stopniu z organem ochrony danych podczas dochodzenia. link
Niemcy 2021-03-03 200 EUR Osoba prywatna Art. 5 RODO, Art. 32 RODO Organ ochrony danych Saksonii-Anhalt nałożył grzywnę w wysokości 200 EUR na osobę fizyczną. Kontroler robił zdjęcia pojazdów, a w niektórych przypadkach ich kierowców i wysyłał je pocztą elektroniczną do miasta Magedburg w niezaszyfrowanej formie, w ramach zgłoszeń naruszeń przepisów ruchu drogowego. link
Cypr 2021-03-03 25.000 EUR Hellenic Bank Art. 5 (1) e), f) RODO, Art. 32 (1) b), c) RODO, Art. 33 (1) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 25 000 EUR na Hellenic Bank. Bank zamknął jeden ze swoich oddziałów w Nikozji w 2015 roku. Wyprowadzając się z tego miejsca zapomniano o sejfie zawierającym stare dokumenty dotychczasowych klientów, zamontowanym w jednej ze ścian. Ponieważ budynek był pusty w kolejnych latach, kontroler dowiedział się o tym zdarzeniu dopiero, gdy nieruchomość została ponownie wynajęta po raz pierwszy w 2019 roku. Nowy najemca znalazł sejf i poinformował o tym kontrolera. Pracownicy banku odzyskali następnie dokumenty i zgłosili naruszenie ochrony danych cypryjskiemu organowi ochrony danych. Cyprysjki urząd ochrony danych ostatecznie stwierdził, że administrator naruszył art. 5 ust.1 lit f) RODO, art. 32 ust.1 lit.b), c) RODO oraz art. 33 ust.1 RODO. link
Cypr 2021-03-03 10.000 EUR Cypriot Real Estate Registration Authority Art. 12 RODO, Art. 15 RODO, Art. 31 RODO, 58 (1) e) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na cypryjski urząd ds. Rejestracji nieruchomości. Osoba, której dane dotyczą, zwróciła się do administratora z pisemnym żądaniem różnych informacji, które jej dotyczą, korzystając z prawa dostępu przyznanego jej na podstawie art. 15 RODO. Po tym, jak administrator nie odpowiedział na żądanie informacji, osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. W trakcie późniejszego dochodzenia prowadzonego przez organ ochrony danych administrator również nie odpowiedział na wnioski organu ochrony danych o skomentowanie zarzutu. link
Cypr 2021-03-03 6.000 EUR KEPIDES Art. 32 (4) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 6000 EUR na KEPIDES (spółkę z branży nieruchomości). Kontroler przedłożył komisji parlamentarnej listę nabywców nieruchomości, którymi zarządza. Administratorowi jednak nie udało się zanonimizować listy, w wyniku czego przekazano nazwiska osób, których dane dotyczą link
Cypr 2021-03-03 40.000 EUR Urząd ds. Energii Elektrycznej Cypru Art. 6 (1) RODO, Art. 9 (2) RODO Cypryjski organ ochrony danych nałożył grzywnę w wysokości 40 000 EUR na Cypryjski Urząd ds. Energii Elektrycznej. Administrator wykorzystał zautomatyzowany system oparty na tzw. Brad-Factor do zarządzania, monitorowania i kontrolowania nieobecności pracowników z powodu choroby za pomocą narzędzia oceny. Organ ochrony danych stwierdził, że taki mechanizm oceny nie był objęty cypryjskim prawem pracy i dlatego był stosowany niezgodnie z prawem. Ponadto należało zapewnić osobom, których dane dotyczą, możliwość niewyrażenia zgody na takie zautomatyzowane przetwarzanie ich danych osobowych. link
Norwegia 2021-03-02 24.400 EUR Nieznany Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na firmę grzywnę w wysokości 250 000 NOK (24 400 EUR). Kontroler polecił pracownikowi ustawić automatyczne przekazywanie swojego konta e-mail pracownika na wspólne konto firmowe. Podano to jako przyczynę usprawnienia działalności firmy. Organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej, aby nakazać takie automatyczne przekazywanie. W związku z tym działał niezgodnie z prawem. link
Hiszpania 2021-03-02 9.000 EUR Nieznany Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na operatora strony grzywnę w wysokości 9 000 EUR. Administrator opublikował zdjęcia osoby, której dane dotyczą, na swojej stronie internetowej bez zgody osoby, której dane dotyczą. Wspomniana witryna internetowa nie zawierała również oświadczenia o ochronie prywatności. Grzywna przedstawia się następująco: 5.000 euro za naruszenie art. 6 RODO i 4000 EUR za naruszenie art. 13 RODO. link
Litwa 2021-03-02 15.000 EUR Registrų Centras Art. 32 (1) b), c) RODO Litewski organ ochrony danych (VDAI) nałożył na Registrų Centras grzywnę w wysokości 15 000 EUR. Administrator to firma, która zarządza kilkoma litewskimi rejestrami. Firma doznała naruszenia danych, które dotyczyło 22 z tych rejestrów. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Środki wdrożone przez administratora były ewidentnie niewystarczające, aby zapewnić ciągłą integralność, dostępność i odporność danych, ani też przywrócić dostępność danych po incydentach. link
Hiszpania 2021-03-02 200.000 EUR I-DE Redes Eléctricas Inteligentes, S.A.U Art. 5 (1) b), c) RODO, Art. 6 (1) b) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 200 000 EUR na I-DE Redes Eléctricas Inteligentes, S.A.U. Organ ochrony danych otrzymał skargi od Waitum, S.L. oraz Servicios Aby 2018, S.L. ponieważ ich klienci otrzymali listy od administratora. Obie firmy przekazywały wcześniej dane osobowe swoich klientów administratorowi na podstawie umowy o dostępie do sieci zawartej z administratorem. Na mocy tej umowy obie firmy występowały jako przedstawiciele swoich klientów, którym kontroler dostarczał energię elektryczną. W przesłanych pismach administrator wspomniał m.in. o domniemanym naruszeniu umowy i braku zapłaty przez firmy na rzecz administratora. W trakcie dochodzenia organ ochrony danych ustalił, że wysłanie tych pism nie było związane ani konieczne do wykonania danej umowy. Administrator naruszył zatem zasady celowości i minimalizacji danych, przez co wysłanie tych pism stanowiło niezgodne z prawem przetwarzanie danych osobowych klientów. link
Litwa 2021-02-26 12.000 EUR Nacionaliniam visuomenės sveikatos centrui (NVSC) Art. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODO Litewski organ ochrony zdrowia (VDAI) nałożył grzywnę w wysokości 12 000 EUR na Litewską Narodową Służbę Zdrowia (NVSC). Organ ochrony danych wszczął dochodzenie w sprawie aplikacji kwarantanny wprowadzonej na Litwie podczas pandemii COVID-19 wiosną 2020 r. Firma informatyczna „IT sprendimai sėkmei” opracowała aplikację, z której następnie korzystało NVSC. W trakcie dochodzenia organ ochrony danych stwierdził, że w okresie użytkowania aplikacji w różnym stopniu przetwarzane były dane łącznie 677 osób. Aplikacja była w stanie zbierać dane, takie jak imię i nazwisko, adres i numer telefonu osób, których dane dotyczą. Organ ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne w szczególności, ponieważ aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Ponadto organ ochrony danych stwierdził, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji. link
Litwa 2021-02-26 3.000 EUR IT sprendimai sėkmei Art. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODO Litewski organ ochrony danych (VDAI) nałożył grzywnę w wysokości 3000 EUR na spółkę „IT sprendimai sėkmei”. Organ ochrony danych wszczął dochodzenie w sprawie aplikacji kwarantanny wprowadzonej na Litwie podczas pandemii COVID-19 wiosną 2020 r. Administrator opracował aplikację, z której następnie korzystała litewska Państwowa Służba Zdrowia. W trakcie dochodzenia organ ochrony danych stwierdził, że w okresie użytkowania aplikacji w różnym stopniu przetwarzane były dane łącznie 677 osób. Aplikacja była w stanie zbierać dane, takie jak imię i nazwisko, adres i numer telefonu osób, których dane dotyczą. Organ ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne w szczególności, ponieważ aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Ponadto organ ochrony danych stwierdził, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji. link
Hiszpania 2021-02-24 12.000 EUR Avilon Center 2016 S.L. Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 20000 EUR na Avilon Center 2016 S.L. Osoba, której dane dotyczą, otrzymała telefony reklamowe od administratora, chociaż osoba, której dane dotyczą, została zarejestrowana na liście wykluczonych reklam Robinsona. Pierwotna kara w wysokości 20 000 EUR została obniżona do 12 000 EUR z powodu natychmiastowej spłaty i uznania długu. link
Niemcy 2021-02-23 0 EUR Deutsche Wohnen SE Art. 5 RODO, Art. 25 RODO Pierwotnie na Deutsche Wohnen SE została nałożona kara w wysokości 14.500.000 EUR za korzystanie z systemu archiwizacji do przechowywania danych osobowych najemców, który zdaniem organu ochrony danych nie przewidywał możliwości usunięcia danych, które nie było już potrzebne. Według organu ochrony danych dane osobowe najemców były przechowywane bez sprawdzania, czy ich przechowywanie było dopuszczalne lub nawet konieczne, dzięki czemu możliwy był dostęp do danych osobowych najemców, których to dotyczy, i które były przechowywane przez lata bez tych danych, które nadal służyły pierwotnemu celowi. Dotyczyło to danych o sytuacji osobistej i finansowej najemców, takich jak zestawienia wynagrodzeń, formularze oświadczeń, wyciągi z umów o pracę i szkolenia, dane podatkowe, dane dotyczące ubezpieczenia społecznego i zdrowotnego, a także wyciągi bankowe. Oprócz sankcji za to naruszenie strukturalne, komisarz ds. Ochrony danych w Berlinie nałożył na firmę kolejne grzywny w wysokości od 6 000 do 17 000 EUR za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. Zobacz osobny wpis. *** AKTUALIZACJA *** 24 lutego 2021 r.Sąd Okręgowy w Berlinie uchylił grzywnę nałożoną na Deutsche Wohnen SE z powodu błędów proceduralnych. link
Chorwacja 2021-02-22 Nieznana Firma ochroniarska Art. 32 (1) b), d) RODO, Art. 32 (2), (4) RODO Administrator danych korzystający z usług firmy ochroniarskiej zgłosił do organu ochrony danych naruszenie danych osobowych, które nastąpiło po tym, jak pracownik firmy ochroniarskiej nagrał telefonem materiał z monitoringu wideo i udostępnił go osobie trzeciej. Nagranie zostało ostatecznie udostępnione w mediach społecznościowych oraz w mediach. Organ ochrony danych stwierdził, że firma ochroniarska jako podmiot przetwarzający dane umożliwiła naruszenie, nie utrzymując odpowiednich i wystarczających środków technicznych i organizacyjnych w zakresie bezpieczeństwa danych osobowych przez ponad dwa i pół roku. Ponadto podmiot przetwarzający nie przewidział ani nie wdrożył odpowiednich technicznych środków bezpieczeństwa po incydencie w celu zapobieżenia lub zminimalizowania ryzyka. W konsekwencji jedna osoba, której dane dotyczą, była narażona na zniewagi i wyśmiewanie w opinii publicznej, a firma ochroniarska nie podjęła żadnych działań w celu usunięcia nagrania z sieci społecznościowych i mediów. Kwota grzywny nie jest w tej chwili znana, ale organ ochrony danych wyjaśnił, jakie okoliczności obciążające wziął pod uwagę przy ustalaniu grzywny - (i) fakt, że podmiot przetwarzający nie dopełnił obowiązku poinformowania administratora o zdarzeniu zgodnie z wymogami art. 33 ust. 2 RODO oraz (ii) fakt, że podstawową działalnością spółki jest zapewnienie ochrony fizycznej i technicznej, w tym stosowanie monitoringu wizyjnego. DPA zauważył również, że ukarana grzywną firma ochroniarska jest jedną z wiodących firm w Chorwacji w tej działalności i jako taka powinna być podmiotem właściwym w zakresie opiniowania, wytycznych, porad i proponowania kontrolerom rozwiązań w zakresie korzystania z systemu monitoringu wizyjnego oraz udzielania przykład do swojej pracy i zwracaj na nią większą uwagę niż inni. link
Hiszpania 2021-02-16 1.000 EUR The Washpoint S.L. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1000 EUR na The Washpoint S.L. za brak polityki prywatności na swojej stronie internetowej, z naruszeniem art. 13 RODO. link
Dania 2021-02-12 13.450 EUR IDdesign A / S Art. 5 (1) e) RODO, Art. 5 (2) RODO Oryginalne podsumowanie: W dniu 3 czerwca 2019 roku duński organ ochrony danych (Datatilsynet) zgłosił na policję IDdesign i zażądał zapłaty grzywny w wysokości 200.850 EUR za przetwarzanie danych osobowych około 385000 klientów przez okres dłuższy niż jest to konieczne cele, w jakich były przetwarzane. Ponadto firma nie ustaliła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM. Terminy wyznaczone dla starego systemu nie zostały usunięte po upływie terminu przekazania informacji. Ponadto administrator nie udokumentował odpowiednio swoich procedur usuwania danych osobowych. Uwaga: ponieważ prawo duńskie nie przewiduje kar administracyjnych, jak w RODO (chyba że jest to sprawa nieskomplikowana, a osoba oskarżona się na to zgodzi), kary nałożą sądy. Aktualizacja: 12 lutego 2021 roku Sąd Rejonowy w Aarhus zdecydował o nałożeniu na IDdesign grzywny w wysokości 13 450 EUR. W kwestii obliczenia grzywny sąd nie zgodził się z proponowaną wysokością grzywny. Stwierdził, że kwotę należy obliczyć na podstawie własnego obrotu przedsiębiorstwa, a nie całej grupy. Ponadto sąd uznał, że okoliczności łagodzące z art. 83 ust.2 RODO należy uwzględnić przy obliczaniu kary. Takich jak to, że firma wcześniej nie naruszyła RODO, a także, że naruszenie dotyczyło tylko ogólnych danych osobowych. Ponadto żadna osoba, której dane dotyczą, nie poniosła szkody w wyniku naruszenia. Wreszcie sąd uważa, że ​​należy wziąć pod uwagę niedbały charakter naruszenia. link
Hiszpania 2021-02-12 1.600 EUR Ripobruna 207, S.L. Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2000 EUR na Ripobruna 207, S.L. (restauracja) za nieuprawnione użycie dwóch kamer wideo, które nagrywały również fragmenty przestrzeni publicznej bez uzasadnionej przyczyny. Pierwotna kara w wysokości 2000 EUR została obniżona do natychmiastowej zapłaty do 1600 EUR. link
Austria 2020-10-19 600 EUR Osoba prywatna Art. 5 (1) a) RODO, Art. 9 RODO Od lutego do czerwca 2020 roku osoba prywatna publikowała informacje o pacjentach na swojej osobistej stronie na Facebooku. Informacje zawierały dane zdrowotne w rozumieniu art. 4 (15) RODO. W szczególności opublikowane dane obejmowały nazwiska pacjentów, wyniki diagnostyczne, diagnozy medyczne, dane dotyczące leków, dane o przyjęciach do szpitala i wypisach, numery ubezpieczenia społecznego pacjentów oraz nazwiska lekarzy prowadzących. link
Austria 2020-10-19 150 EUR Osoba prywatna Art. 5 (1) a) RODO, Art. 6 RODO Osoba prywatna zarejestrowała osobę płci żeńskiej podczas korzystania z jednej z kabin WC, umieszczając telefon komórkowy (smartfon z funkcją kamery) pod ścianką działową kabiny WC, z ekranem skierowanym do góry i przednią kamerą telefonu komórkowego. link
Węgry 2020-12-16 97.150 EUR Nieznany Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 9 (1) RODO, Art. 12 RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 97 150 EUR na instytucję kredytową. Dwóch rodziców skontaktowało się z węgierskim organem ochrony danych w sprawie przetwarzania danych osobowych przez ich instytucję kredytową w związku z „pożyczką motywacyjną na poród”. Para zażądała wstrzymania spłaty, za co musiała udowodnić, że płód ma co najmniej 12 tygodni. Aby potwierdzić ten fakt, kontroler skopiował całą ich książeczkę ciążową. NAIH stwierdził, że administrator naruszył zasadę minimalizacji danych, kopiując całą książeczkę ciążową, która zawierała nadmierne ilości danych zdrowotnych, mimo że nie było to konieczne ze względu na cel przetwarzania. Z tego powodu NAIH ostatecznie stwierdził, że administrator nie miał podstawy prawnej do tak rozległego przetwarzania danych
Węgry 10.12.2020 22.200 EUR Budapesti Műszaki és Gazdaságtudományi Egyetem (Budapest University of Technology and Economics) Art. 5 (1) a), b), c) RODO, Art. 6 (1) RODO, Art. 9 (2) RODO, Art. 12 RODO, Art. 13 RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 22 200 EUR na Uniwersytet Technologiczno-Ekonomiczny w Budapeszcie. NAIH stwierdza, że ​​administrator niezgodnie z prawem przetwarzał dane osobowe w toku audytów wniosków o stypendia socjalne. Między innymi dane były przetwarzane bez podstawy prawnej, a w niektórych przypadkach były przetwarzane dane szczególnie wrażliwe, chociaż nie było to konieczne do oceny wniosków o stypendium.
Węgry 2020-11-18 28 EUR Nieznany Art. 5 (1) d) RODO Osoba, której dane dotyczą, zapisała się do newslettera administratora. Po zmianie adresu e-mail nadal otrzymywał biuletyn za pośrednictwem starego adresu e-mail. Następnie osoba, której dane dotyczą, skontaktowała się z administratorem, po czym administrator potwierdził, że adres został zaktualizowany. Niemniej jednak osoba, której dane dotyczą, nadal otrzymywała biuletyn za pośrednictwem starego adresu e-mail. link
Grecja 2020-10-29 1.000 EUR American College of Greece Art. 12 (3), (4) RODO Grecki organ ochrony danych (HDPA) nałożył grzywnę w wysokości 1000 EUR na American College of Greece za naruszenie prawa dostępu i prawa do usunięcia danych osobowych.
Irlandia 2020-12-17 70.00 EUR University College Dublin Art. 5 (1) e), f) RODO, Art. 32 (1) RODO, Art. 33 (1) RODO Irlandzki organ ochrony danych (DPC) nałożył na University College Dublin (UCD) grzywnę w wysokości 70 000 EUR z powodu siedmiu naruszeń ochrony danych osobowych. Nieupoważnione osoby trzecie mogły uzyskać dostęp do kont e-mail UCD, a dane logowania do kont e-mail UCD zostały opublikowane online. Stwierdzono, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony bezpieczeństwa danych podczas przetwarzania danych osobowych w serwisie e-mail. Ponadto administrator przechował określone dane osobowe na koncie e-mail w formie umożliwiającej identyfikację osób, których dane dotyczą, dłużej niż jest to konieczne do celu, w jakim dane osobowe były przetwarzane. Ponadto administrator nie powiadomił w odpowiednim czasie DPC o naruszeniu ochrony danych osobowych. link
Irlandia 2020-08-18 65.000 EUR Szpital położniczy Uniwersytetu Cork Art. 5 RODO, Art. 32 RODO Irlandzki organ ochrony danych nałożył grzywnę na szpital macierzyński Uniwersytetu Cork (CUMH) po tym, jak odkryto, że dane osobowe 78 pacjentów zostały utylizowane w publicznym centrum recyklingu. Wśród zbywanych dokumentów niektóre zawierają dane osobowe sześciu pacjentów specjalnej kategorii. Uważa się, że naruszenie w CUMH wiąże się z wrażliwymi danymi dotyczącymi zdrowia pacjentów, takimi jak historia medyczna i przyszłe planowane programy opieki. link
Irlandia 2020-08-12 85.000 EUR Tusla Child and Family Agency Art. 32 (1) RODO Irlandzki organ ochrony danych (DPC) nałożył grzywnę na Tusla Child and Family Agency w wysokości 85 000 EUR. Administrator zgłosił do irlandzkiego organu ochrony danych 71 naruszeń ochrony danych, które miały miejsce między 25 maja a 16 listopada 2018 r., I dotyczyły nieuprawnionego dostępu do danych osobowych przetwarzanych przez administratora. Po szeroko zakrojonym dochodzeniu organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych, a tym samym naruszył art. 32 ust.1 RODO. link
Włochy 2021-01-27 50.000 EUR Azienda USL della Romagna Art. 5 (1) a), d), f) RODO, Art. 9 RODO, Art. 32 (1) b) RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 50 000 EUR na Azienda USL della Romagna. Po przybyciu na oddział ginekologii szpitala prowadzonego przez administratora (w celu przeprowadzenia aborcji) pacjentka wyraźnie poprosiła administratora o nieprzekazywanie jej danych dotyczących zdrowia osobom trzecim. Oddzielnie zostawiła numer telefonu w celu skontaktowania się. Po wypisaniu pacjentki pielęgniarka próbowała się z nią skontaktować w celu poinformowania o dalszej terapii. Pielęgniarka nie wykorzystała jednak specjalnie w tym celu podanego przez pacjentkę numeru telefonu, lecz swojego domowego numeru telefonu, który uzyskała z akt pacjenta. Gdy zamiast pacjentki telefon odebrał jej mąż, pielęgniarka poinformowała go o swoim leczeniu, wbrew życzeniom pacjentów. Pomimo braku dalszych informacji medycznych z rozmowy jasno wynikało, że osoba, której dane dotyczą, została przyjęta na ten oddział i ma przejść dalsze leczenie. link
Włochy 2021-01-27 50.000 EUR Azienda Ospedaliero Universitaria Senese Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Aziendę Ospedaliero Universitaria Senese grzywnę w wysokości 50 000 EUR. Kontroler, szpital, zgłosił włoskiemu organowi ochrony danych, że raport medyczny pary został omyłkowo wysłany niezaangażowanej stronie trzeciej. Raport zawierał informacje o konsultacji genetycznej oraz stanie zdrowia i życiu seksualnym osób, których dane dotyczą. Do incydentu doszło z powodu błędu w zapakowaniu listu, zgodnie z oświadczeniem kontrolera. link
Włochy 2021-01-27 50.000 EUR Azienda Ospedaliero Universitaria di Parma Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Aziendę Ospedaliero Universitaria di Parma grzywnę w wysokości 50 000 EUR. Administrator, szpital, zgłosił dwa naruszenia ochrony danych włoskiemu organowi ochrony danych, w których dane pacjentów zostały omyłkowo ujawnione stronom trzecim. W pierwszym przypadku rodzice odnaleźli w aktach ich małoletniego dziecka raport z badania mikrobiologicznego innego pacjenta. Raport ujawnił imię i nazwisko osoby, której dane dotyczą, numer podatkowy, adres, datę urodzenia i różne dane dotyczące zdrowia. W drugim przypadku spadkobierca pacjenta otrzymał orzeczenie o stanie zdrowia innego pacjenta, które zawierało imię i nazwisko oraz datę urodzenia, a także dane o stanie zdrowia osoby, której dane dotyczą. link
Włochy 2021-01-14 30.000 EUR Azienda sanitaria provinciale di Enna Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda sanitaria provinciale di Enna grzywnę w wysokości 30 000 EUR. Administrator przetwarzał dane biometryczne pracowników w celu rejestracji ich obecności. Garante stwierdziła, że ​​takie przetwarzanie nie było proporcjonalne, a zatem stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante stwierdził, że przetwarzanie danych biometrycznych odbywało się bez podstawy prawnej. link
Włochy 2021-01-14 2.000 EUR Poliambulatorio Talenti S.r.l. Art. 12 (3) RODO, Art. 15 RODO Włoski organ ochrony danych (Garante) ukarał Poliambulatorio Talenti S.r.l. 2000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do danych jego i jego córek. link
Włochy 2021-01-14 18.000 EUR Azienda Usl di Bologna Art. 5 (1) f) RODO, Art. 9 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda Usl di Bologna karę w wysokości 18 000 EUR. W szpitalu prowadzonym przez kontrolera 49 pacjentów oddziału onkologicznego otrzymało wypisy ze szczegółowymi informacjami na temat terapii farmakologicznej pochodzącymi od innych pacjentów. Czternastu z tych pacjentów miało już dostęp do tej błędnej dokumentacji, zanim została ona poprawiona. Awaria nastąpiła z powodu ręcznego błędu technika. link
Włochy 2020-12-17 500.000 EUR Roma Capitale (Gmina Rzym) Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 (2), (3) RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył na gminę Rzym grzywnę w wysokości 500 000 EUR za niezgodne z prawem przetwarzanie danych osobowych użytkowników i pracowników. Gmina Rzym od 2015 r. Korzysta z systemu rezerwacji „TuPassi” do zarządzania spotkaniami i innymi usługami. W trakcie szczegółowego dochodzenia włoski organ ochrony danych stwierdził, że administrator naruszył kilka przepisów o ochronie danych osobowych w odniesieniu do przetwarzania danych osobowych. dane klientów i pracowników, z którymi się umówili. Na przykład gmina nie poinformowała odpowiednio osób, których dane dotyczą, przed przetwarzaniem ich danych ani nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania. link
Włochy 2020-12-17 40.000 EUR Miropass S.r.l. Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 28 RODO Włoski organ ochrony danych (Garante) nałożył na Miropass S.r.l. grzywnę. 40 000 EUR. Miropass jest dostawcą systemu rezerwacji TuPassi, z którego między innymi Urząd Miasta Rzymu korzysta od 2015 roku. System rezerwacji umożliwia rezerwację spotkań zarówno na stronie internetowej administratora (www.tupassi.it), jak i poprzez odpowiednią aplikację. W tym celu firma zbiera i przetwarza dane osobowe użytkowników. W toku dochodzenia włoski organ ochrony danych stwierdził, że Miropass, w szczególności w kontekście danych zdrowotnych wynikających z rezerwacji wizyt w placówkach służby zdrowia, nie miał podstawy prawnej do przetwarzania i naruszył zasadę ograniczenia przechowywania. link
Włochy 2020-12-17 100.000 EUR Azienda Unità Sanitaria Locale Toscana Sud Est Art. 5 (1) f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO Włoski organ ochrony danych (Garante) nałożył na Azienda USL Toscana Sud Est grzywnę w wysokości 100 000 EUR. Kontroler to firma z sektora opieki zdrowotnej, która między innymi uruchomiła tak zwany program „Sanità di iniziativa” (Inicjatywa zdrowotna). W ramach tego programu uczestniczące firmy medyczne przekazują administratorowi dane dotyczące przewlekle chorych pacjentów. Na podstawie tych danych administrator opracowuje następnie plany zdrowotne dla pacjentów. Włoski organ ochrony danych odnotowuje kilka naruszeń przepisów dotyczących ochrony danych w związku z tym programem. Na przykład, wyrażając zgodę na przetwarzanie swoich danych, osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o tym, jak długo będą przechowywane ich dane, jakie przysługują im prawa (w szczególności prawo do skargi i dostępu), a także w jaki sposób dokładnie ich dane będą być przetwarzane iw jakim celu. Ponadto administrator nie prowadził rejestru czynności przetwarzania. Wreszcie administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania ani nie przeprowadził oceny skutków dla ochrony danych, chociaż byłoby to konieczne ze względu na charakter przetwarzanych danych (dane dotyczące zdrowia). link
Włochy 2020-11-26 3.000 EUR Charly Mike s.r.l. Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 (2), (3) RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył na Charly Mike s.r.l .. karę w wysokości 3000 EUR. Administratorem jest operator hotelu Olimpo w Alberobello. Garante otrzymała skargę dotyczącą systemu monitoringu zainstalowanego w hotelu. W toku dochodzenia ustalono, że obiekt hotelowy miał 17 stałych kamer i jedną z nagrywaniem 360 °, umieszczonych wewnątrz i na zewnątrz obiektu, nagrywających zarówno pracowników, jak i klientów. System działał bez wymaganych znaków wskazujących na monitoring wizyjny. link
Włochy 2020-10-29 20.000 EUR Gaypa s.r.l. Art. 5 (1) a), c), e) RODO, Art. 12 RODO, Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył na Gaypa s.r.l. grzywnę w wysokości 20 000 EUR. Administrator danych utrzymywał aktywne konto e-mail byłego pracownika i miał dostęp do korespondencji osoby, której dane dotyczą, pomimo rozwiązania stosunku pracy. Osoba, której dane dotyczą, nie została poinformowana o takim dalszym korzystaniu z jej konta e-mail, a także o przechowywaniu wszystkich przychodzących i wychodzących wiadomości e-mail na serwerach firmy i związanym z tym przetwarzaniu jej danych osobowych. link
Włochy 2020-10-29 4.000 EUR Borgo Fonte Scura s.r.l. Art. 5 (1) a) RODO, Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 4000 EUR na Borgo Fonte Scura s.r.l .. Administrator zainstalował system nadzoru wideo, który rejestrował również trzy osoby, których dane dotyczą, podczas ich pracy. Osoby, których dane dotyczą, nie zostały wystarczająco poinformowane o nadzorze wideo i wynikającym z niego przetwarzaniu ich danych osobowych. link
Polska 2021-02-11 22.200 EUR Krajowa Szkoła Sądownictwa i Prokuratury Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 28 (3) RODO, Art. 32 (1), (2) RODO Polski organ ochrony danych (UODO) nałożył na Krajową Szkołę Sądownictwa i Prokuratury grzywnę w wysokości 22 200 EUR. UODO wszczęło dochodzenie przeciwko administratorowi po tym, jak zgłosił naruszenie danych na swojej stronie internetowej platformy szkoleniowej. Podczas migracji testowej na nową platformę w Internecie ujawniono dane ponad 50 000 osób. Obejmuje to między innymi nazwiska, nazwy użytkowników, adresy pocztowe i e-mailowe, numery telefonów, jednostki i wydziały osób, których dane dotyczą. UODO stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych, aby zapewnić poufność przetwarzanych danych. Ponadto umowa, jaką administrator zawarł z firmą, której powierzono przetwarzanie danych, nie spełniała wymogów prawnych. Przykładowo umowa nie zawierała informacji o tym, jakie kategorie danych będą przetwarzane. link
Polska 2021-01-05 5.500 EUR Śląski Uniwersytet Medyczny (Medical University of Silesia Art. 33 (1) RODO, Art. 34 (1) RODO Polski organ ochrony danych (UODO) nałożył na Śląski Uniwersytet Medyczny karę w wysokości 25 000 zł (5 500 euro). W trakcie egzaminów odbywających się w formie wideokonferencji pod koniec maja 2020 roku miała miejsce identyfikacja studentów. Po zakończeniu egzaminu nagrania egzaminów były dostępne nie tylko dla zdających, ale także dla innych osób posiadających dostęp do systemu. Dodatkowo każdy z zewnątrz miał dostęp do zapisów z egzaminów i danych badanych studentów prezentowanych podczas identyfikacji poprzez bezpośredni link. Uczelnia nie zgłosiła naruszenia ochrony danych do organu ochrony danych i nie powiadomiła osób, których dane dotyczą. link
Polska 2021-01-05 19.000 EUR Nieznany Art. 34 (1), (2) RODO, Art. 58 (2) e) RODO Polski organ ochrony danych (UODO) nałożył na operatora szpitala karę w wysokości 19 000 EURO. Były pracownik bezprawnie skopiował dane osobowe 100 pacjentów z sieci komputerowej szpitala. Dane, które wyciekły, obejmowały numer ubezpieczenia społecznego, imię i nazwisko, datę urodzenia, adres i numer telefonu osób, których dane dotyczą. Chociaż administrator uznał, że potencjalne ryzyko dla osób, których dane dotyczą, jest wysokie, nie poinformowała osób, których dane dotyczą, o incydencie. Następnie organ ochrony danych zwrócił się do administratora o niezwłoczne poinformowanie osób, których dane dotyczą, o zdarzeniu i udzielenie im porady, jak zminimalizować potencjalne negatywne skutki naruszenia. Jednak administrator nie zastosował się do tego żądania. link
Polska 2020-12-09 2.850 EUR Smart Cities Sp. z o.o. Art. 31 RODO, Art. 58 RODO Kara za niezastosowanie się do nakazu UODO. Administrator nie przekazał danych osobowych ani innych informacji, o które prosi UODO w celach dochodzeniowych. link
Polska 2019-11-01 1.770 EUR L. Sp. z o.o. Art. 5 (1) a), f) RODO Polski organ ochrony danych (UODO) nałożył na L. Sp. ogród zoologiczny. za nadzór wizyjny wspólnoty mieszkaniowej, który nie był zgodny z przepisami RODO. link
Hiszpania 2021-02-12 120.000 EUR Vodafone España, SAU Art. 5 RODO, Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 200 000 EUR na Vodafone España, S.A.U. Były klient otrzymywał wiadomości e-mail zawierające rachunki elektroniczne nawet po rozwiązaniu umowy z administratorem, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. Osoba, której dane dotyczą, oświadcza, że ​​nadal otrzymuje e-maile od administratora, chociaż kilkakrotnie sprzeciwiał się temu, a administrator już dwukrotnie otrzymał grzywnę dokładnie za to samo. Grzywna nałożona tym razem jest tak wysoka, ponieważ hiszpańskie organy ochrony danych sklasyfikowały naruszenie jako bardzo poważne. Między innymi dlatego, że było to już trzecie naruszenie w tej sprawie. Pierwotna kara w wysokości 200 000 EUR została obniżona zarówno za natychmiastową spłatę, jak i uznanie długu do 120 000 EUR. link
Hiszpania 2021-02-11 24.000 EUR Vamavi Phone S.L. Art. 48 (1) b) RODO, Art. 21 RODO, Art. 23 RODO Art. 28 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Vamavi Phone S.L .. Osoba, której dane dotyczą, otrzymała wezwanie reklamowe od administratora danych wykonane w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, została zarejestrowana na liście wykluczonych reklam Robinsona. Pierwotna kara w wysokości 40 000 EUR została obniżona do 24 000 EUR ze względu na natychmiastową spłatę i uznanie długu. link
Holandia 2021-02-11 440.000 EUR OLVG Art. 32 RODO Holenderski organ ochrony danych (AP) nałożył grzywnę w wysokości 440 000 EUR na szpital OLVG w Amsterdamie. Administrator podjął niewystarczające środki w latach 2018-2020, aby uniemożliwić dostęp nieupoważnionych pracowników do dokumentacji medycznej. Administrator nie sprawdził odpowiednio, kto miał dostęp do jakiego pliku, ani też nie upewnił się, czy system komputerowy posiada wystarczające zabezpieczenia. Spowodowało to między innymi, że pracujący studenci i inni pracownicy mieli dostęp do akt pacjentów bez konieczności wykonywania ich pracy. Oprócz dokumentacji medycznej akta pacjentów zawierały również numery ubezpieczenia społecznego, adresy i numery telefonów osób, których dane dotyczą. link
Rumunia 2021-02-10 1.000 EUR ING Bank N.V. Amsterdam - Bucharest office Art. 29 RODO, Art. 32 (2), (4) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 1000 EUR na ING Bank N.V. Amsterdam - Oddział w Bukareszcie. Stwierdzono, że administrator wysłał pliki do kontrahenta w celu wystawienia polis ubezpieczeniowych. Przesłane pliki zawierały nieaktualne informacje, gdyż pracownicy działu monitoringu polis ubezpieczeniowych nie sprawdzali i nie przetwarzali polis zgodnie z przebiegiem pracy, co dotyczyło 270 osób. Biorąc pod uwagę te aspekty stwierdzono, że podjęte przez administratora środki techniczne i organizacyjne były niewystarczające, co skutkowało naruszeniem poufności danych osobowych. link
Hiszpania 2021-02-09 5.000 EUR Predase Servicios Integrales S.L. Art. 13 RODO Serwis firmy nie przedstawiał polityki prywatności na swojej stronie głównej, ani nie zawierał informacji wymaganych przez art. 13 RODO link
Łotwa 2021-02-09 65.000 EUR Lursoft IT SIA Art. 6 (1) RODO Łotewski organ ochrony danych (DSI) ukarał Lursoft IT SIA grzywną w wysokości 65 000 EUR za nielegalne przetwarzanie danych osobowych, publikując dokumenty zawierające dane osobowe na swojej stronie internetowej „www.lursoft.lv”. Organ nadzorczy ustalił, że administrator udostępnił publicznie część niepublicznego rejestru spółek, która zawierała między innymi dane osobowe.
Hiszpania 2021-02-08 3.000 EUR Patio Ancestral S.L. Art. 6 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na Patio Ancestral S.L .. Skarżący pracował dla firmy budowlanej i wykonywał prace remontowe dla kontrolera. Podczas tych prac doszło do uszkodzenia mienia kontrolera. Następnie kontroler wysłał pismo z roszczeniami o odszkodowanie nie tylko do skarżącego, ale także do ojca skarżącego, który był wcześniej zatrudniony w tej samej firmie budowlanej. Jednak ojciec był w tej sprawie niezaangażowaną osobą trzecią. Hiszpański organ ochrony danych stwierdził, że przetwarzanie danych osobowych ojca z tego powodu odbywało się bez podstawy prawnej. Pierwotna kara została obniżona do 3 000 EUR z powodu natychmiastowej spłaty i uznania długu. link
Hiszpania 2021-02-08 5.000 EUR Osooba prywatna Art. 5 (1) c) RODO Hiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną grzywnę w wysokości 5000 EUR za nielegalny nadzór kamer. Osoba, której dane dotyczą, wynajęła dwa pokoje w mieszkaniu administratora. Kontroler zainstalował kamerę wideo w mieszkaniu i stwierdził, że została ona zainstalowana wyłącznie ze względów bezpieczeństwa, a także monitorowała tylko obszar drzwi wejściowych. Okazało się jednak, że kamera została zorientowana w taki sposób, że nagrywała również inne części mieszkania, np. Salon. Hiszpański organ ochrony danych stwierdza, że ​​stanowi to nieuzasadnione naruszenie prywatności osoby, której dane dotyczą. link
Hiszpania 2021-02-04 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO Nieautoryzowane użycie dwóch kamer monitorujących wideo, które nagrywały również części przestrzeni publicznej, takie jak chodniki i posesje za nimi. link
Norwegia 2021-02-03 19.300 EUR Cyberbook AS Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Cyberbooka 200 000 NOK (19 300 EUR) za nielegalne automatyczne przekazywanie dalej e-maili od byłego pracownika. Przekazywanie odbywało się przez kilka miesięcy bez poinformowania osoby, której dane dotyczą. link
Hiszpania 2021-02-03 100.000 EUR Iberdrola Clientes Art. 5 (1) d) RODO, Art. 17 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 100 000 EUR na Iberdrola Clientes, SAU. Osoba, której dane dotyczą, rozwiązała istniejącą umowę z administratorem z powodu przeprowadzki i w związku z tym zażądała usunięcia swoich danych. To żądanie zostało odrzucone przez kontrolera w odniesieniu do zaległych faktur. Okazało się, że administrator przesłał rachunki na stary adres osoby, której dane dotyczą. Nawet po tym, jak osoba, której dane dotyczą, poinformowała administratora o zmianie adresu, nowe powiadomienia dotyczące żądania usunięcia i faktury zostały wysłane na stary adres. link
Hiszpania 2021-02-01 24.000 EUR Xfera Moviles S.A. Art. 58 (2) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Xfera Móviles S.A .. Osoba, której dane dotyczą, zgłosiła AEPD naruszenie jej prawa do informacji. Następnie AEPD wystosował do administratora wniosek o spełnienie żądania osoby, której dane dotyczą, o udzielenie informacji w ciągu 10 dni i udowodnienie tego AEPD. Administrator nie spełnił jednak żądania w wyznaczonym terminie. Pierwotna kara w wysokości 40 000 EUR została obniżona do 24 000 EUR z powodu natychmiastowej zapłaty i uznania długu przez kontrolera. link
Hiszpania 2021-02-01 3.000 EUR IDFINANCE Spain, S.L. Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 5 000 EUR na IDFINANCE Spain S.L .. Osoba otrzymała wiadomość e-mail dotyczącą windykacji od IDFinance, która zawierała łącze do zapłaty faktury bezpośrednio przez stronę internetową administratora. Za pośrednictwem linku dana osoba mogła wyświetlić dane osobowe innego klienta. Pierwotna kara w wysokości 5 000 EUR została obniżona do 3 000 EUR z powodu natychmiastowej spłaty i uznania długu. link
Francja 2021-01-27 150.000 EUR Nieznany Art. 32 RODO Francuski organ ochrony danych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom polegającym na fałszowaniu poświadczeń na stronie internetowej firmy. Od czerwca 2018 r. do stycznia 2020 r. Do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której regularnie robi zakupy kilka milionów klientów. W odpowiedzi CNIL zdecydował się zbadać firmę i jej podwykonawcę, któremu powierzono zarządzanie tą stroną internetową. W trakcie śledztwa CNIL ustalił, że wspomniana witryna internetowa była poddawana licznym falom ataków polegających na fałszowaniu poświadczeń. W tego typu ataku złośliwa osoba uzyskuje listy „niezaszyfrowanych” identyfikatorów i haseł publikowane w Internecie, zwykle po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, osoba atakująca będzie próbować zalogować się do dużej liczby witryn za pomocą „botów”. Jeśli uwierzytelnienie powiedzie się, osoba atakująca będzie mogła zobaczyć informacje powiązane z tymi kontami. CNIL ustaliła, że ​​napastnicy byli w stanie uzyskać następujące informacje: nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer i saldo karty lojalnościowej oraz informacje związane z zamówieniami. CNIL uważa, że ​​obie firmy naruszyły obowiązek zachowania bezpieczeństwa danych osobowych klientów zgodnie z art. 32 NRD. W rzeczywistości firmy podejmowały powolne działania, aby skutecznie zwalczać te powtarzające się ataki. Postanowili skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Jednak opracowanie tego narzędzia zajęło rok od pierwszych ataków. W międzyczasie jednak można było rozważyć szereg innych środków o szybszym wpływie, aby zapobiec dalszym atakom lub złagodzić negatywny wpływ na osoby. W wyniku tego braku staranności dane około 40000 klientów serwisu zostały udostępnione nieuprawnionym podmiotom trzecim w okresie od marca 2018 do lutego 2019. link
Francja 2021-01-27 75.000 EUR Nieznany Art. 32 GDPR Francuski organ ochrony danych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom polegającym na fałszowaniu poświadczeń na stronie internetowej firmy. Od czerwca 2018 r. do stycznia 2020 r. Do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której regularnie robi zakupy kilka milionów klientów. W odpowiedzi CNIL zdecydował się zbadać firmę i jej podwykonawcę, któremu powierzono zarządzanie tą stroną internetową. W trakcie śledztwa CNIL ustalił, że wspomniana witryna internetowa była poddawana licznym falom ataków polegających na fałszowaniu poświadczeń. W tego typu ataku złośliwa osoba uzyskuje listy „niezaszyfrowanych” identyfikatorów i haseł publikowane w Internecie, zwykle po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, osoba atakująca będzie próbować zalogować się do dużej liczby witryn za pomocą „botów”. Jeśli uwierzytelnienie powiedzie się, osoba atakująca będzie mogła zobaczyć informacje powiązane z tymi kontami. CNIL ustaliła, że ​​napastnicy byli w stanie uzyskać następujące informacje: nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer i saldo karty lojalnościowej oraz informacje związane z zamówieniami. CNIL uważa, że ​​obie firmy naruszyły obowiązek zachowania bezpieczeństwa danych osobowych klientów zgodnie z art. 32 NRD. W rzeczywistości firmy podejmowały powolne działania, aby skutecznie zwalczać te powtarzające się ataki. Postanowili skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Jednak opracowanie tego narzędzia zajęło rok od pierwszych ataków. W międzyczasie jednak można było rozważyć szereg innych środków o szybszym wpływie, aby zapobiec dalszym atakom lub złagodzić negatywny wpływ na osoby. W wyniku tego braku staranności dane około 40000 klientów serwisu zostały udostępnione nieuprawnionym podmiotom trzecim w okresie od marca 2018 do lutego 2019. link
Belgia 2021-01-22 50.000 EUR Family Service / N.D.P.K. nv. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODO, Art. 28 RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 50 000 EUR na Family Service / N.D.P.K. nv. Administratorem jest agencja reklamowa, która przesyła między innymi pudełka upominkowe przyszłej mamie zawierające różne bony rabatowe, próbki produktów oraz informacje o ciąży i porodzie. Pozycje skrzynek są dostarczane przez osoby trzecie, którym administrator przekazuje następnie dane kontaktowe odbiorców w celach marketingowych. Zgoda odbiorców na ten transfer i późniejsze działania reklamowe osób trzecich jest w tym celu uprzednio uzyskiwana przez administratora. Osoba, której dane dotyczą, złożyła skargę do belgijskiego organu ochrony danych, ponieważ chociaż cofnęła udzieloną wcześniej zgodę, nadal otrzymywała telefony reklamowe od stron trzecich, którym administrator przekazał jej dane. link
Belgia 2021-01-21 25.000 EUR Nieznany Art. 5 (1) f), (2) RODO, Art. 24 RODO, Art. 32 RODO, Art. 33 (1), (5) RODO, Art. 34 (1) RODO Belgijski organ ochrony danych nałożył na operatora telefonii komórkowej 25 000 EUR grzywny. Administrator przydzielił numer telefonu osoby, której dane dotyczą, nieuprawnionej stronie trzeciej, przez co osoba, której dane dotyczą, utraciła dostęp do swojego numeru telefonu. Ponieważ karta SIM osoby, której dane dotyczą, została dezaktywowana, umożliwiłoby to stronie trzeciej dostęp do różnych danych osobowych osoby, której dane dotyczą, w okresie od 16 września do 19 września 2019 r., Takich jak historia połączeń i konta różnych usług ( np. Paypal, WhatsApp i Facebook) powiązane z numerem. link
Hiszpania 2021-01-21 50.000 EUR Alterna Operador Integral S.L. Art. 6 (1) b) RODO Hiszpański organ ochrony danych (AEPD) nałożył na Alterna Operador Integral S.L. grzywnę w wysokości 50 000 EUR. Zmiana sprzedawcy energii elektrycznej nastąpiła bez zgody osoby, której dane dotyczą. Jednak dane osobowe osoby, której dane dotyczą, zostały włączone do systemów informatycznych administratora (nowego dostawcy energii elektrycznej) bez sprawdzenia przez administratora, że ​​została zawarta ważna umowa. Przetwarzanie danych osobowych osób, których dane dotyczą, odbywało się zatem bez podstawy prawnej. link
Hiszpania 2021-01-21 75.000 EUR Telefónica Móviles España, SAU Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 75 000 EUR na Telefónica Móviles España, SAU. Kontroler przydzielił osobie, której dane dotyczą, pięć linii telefonicznych z pięcioma numerami w ramach umowy telefonicznej. Jednego z numerów użył jej syn. Kiedy nie mógł już korzystać z danych mobilnych, skontaktował się z administratorem. Administrator poinformował go, że dane mobilne zostały dezaktywowane, ponieważ numer nie był już w jego posiadaniu. Okazało się, że nieuprawnione osoby trzecie udawały osobę, której dane dotyczą i przekazywały numer osobie trzeciej bez konieczności uwierzytelnienia administratora. W rezultacie nieuprawnione osoby trzecie zażądały i otrzymały nową kartę SIM pod pretekstem domniemanej utraty lub kradzieży. W rezultacie karta SIM syna została zablokowana. link
Hiszpania 2021-01-20 1.200 EUR Indywidualny Art. 5 (1) c) RODO Kontroler zainstalował na swoim budynku kamery skierowane na fragmenty przestrzeni publicznej. Jednak do nagrania nie doszło, ponieważ kamery służyły jedynie jako odstraszacz i pozostawały nieaktywne. DPA zauważa jednak, że nawet symulowany nadzór wideo ma wpływ na prywatność osób, których dane dotyczą, ponieważ są one przekonane, że są one trwale rejestrowane przez kamery. Według organu ochrony danych ma to przerażający skutek. Dlatego też w tym przypadku zorientowanie kamer na przestrzeń publiczną było niewłaściwe. Organ ochrony danych nałożył na kontrolera karę w wysokości 2000 euro, która została obniżona do 1200 euro z powodu natychmiastowej zapłaty i przyznania się do winy. link
Norwegia 2021-01-19 9.700 EUR Aquateknikk AS Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na firmę Aquateknikk karę pieniężną w wysokości 100 000 NOK (9 700 EUR). Administrator przeprowadził ocenę zdolności kredytowej osoby fizycznej bez powiązania z klientem lub innego powiązania. Dane osobowe osoby, której dane dotyczą, były zatem przetwarzane bez podstawy prawnej. link
Norwegia 2021-01-14 38.600 EUR Coop Finnmark SA Art. 5 (1) a) RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Coop Finnmark SA karę w wysokości 400 000 NOK (38 600 EUR). Kierownik przedmiotowego sklepu nagrał materiał z kamer CCTV telefonem komórkowym i udostępnił materiał wideo. Norweski organ ochrony danych twierdzi, że Coop Finnmark nie miał podstawy prawnej do udostępniania nagrań z CCTV. DPA zauważa, że ​​sprawa jest bardzo poważna, ponieważ na nagraniu pokazano dzieci, co stwarza potencjalnie wysokie zagrożenie dla ich prywatności. link
Włochy 2021-01-14 8.000 EUR Agenzia regionale protezione ambientale Campania (ARPAC) Art. 5 (1) f) RODO, Art. 32 RODO Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 8 000 EUR na Regionalną Agencję Ochrony Środowiska Kampanii (ARPAC). Zewnętrzny dysk twardy zawierający dane osobowe został skradziony administratorowi. Zawierała między innymi kopie dokumentów tożsamości, ewidencji podatkowej i list płac. W trakcie dochodzenia organ ochrony danych odkrył, że dysk twardy znajdował się w pomieszczeniu, do którego mieli dostęp wszyscy pracownicy administratora. Ponadto administrator nie wykonał kopii zapasowej danych, których to dotyczy, więc zostały one nieodwracalnie utracone. W konsekwencji organ nadzorczy uznał, że administrator naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych. link
Hiszpania 2021-01-13 6.000.000 EUR Caixabank S.A. Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Caixabank SA grzywnę w wysokości 6 000 000 EUR za naruszenie art. 6 RODO, art. 13 RODO i art. 14 RODO. Klienci banku mieli zaakceptować nowe polityki prywatności umożliwiające administratorowi przekazywanie danych osobowych klientów do wszystkich spółek z Grupy CaixaBank. Jednocześnie osoby, których dane dotyczą, nie miały możliwości wyraźnego nie wyrażenia zgody na to przekazanie. Zamiast tego, jeśli chcieli nie zgodzić się na przekazanie swoich danych, byli zobowiązani do wysłania pisma wyrażającego sprzeciw do każdej spółki w grupie. OOD stwierdził, że bank naruszył swoje obowiązki informacyjne określone w art. 13 RODO i art. 14 RODO, gdyż informacje przekazywane klientom w ramach polityki prywatności nie były spójne, zawierały nieprecyzyjną terminologię oraz nie zawierały wystarczających informacji o rodzaju przetwarzanych danych osobowych i charakterze przetwarzania. Również informacje o prawach osób, których dane dotyczą, jak również dane kontaktowe administratora nie zostały podane w sposób spójny. Ponadto organ ochrony danych zauważa, że ​​administrator przetwarzał dane swoich klientów poza swoimi prawnie uzasadnionymi interesami, częściowo bez podstawy prawnej, a uzyskana przez niego zgoda nie spełniała wymogów skutecznej zgody. Ponadto uchybienia w procedurach firmy pozwoliły na uzyskanie zgody klientów na przetwarzanie ich danych osobowych. Ponadto organ ochrony danych stwierdza, że ​​w rezultacie dane zostały przekazane niezgodnie z prawem spółkom grupy CaixaBank. Stanowi to naruszenie art. 6 RODO. link
Norwegia 2021-01-12 38.600 EUR Nieznany Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) ukarał firmę grzywną w wysokości 400 000 NOK (38 600 EUR) za nielegalne automatyczne przekazywanie poczty elektronicznej pracownika. Przekazywanie automatyczne zostało uruchomione w związku ze zwolnieniem lekarskim pracownika i trwało ponad miesiąc. link
Belgia 2021-01-12 10.000 EUR Nieznany Art. 6 (1) RODO, Art. 12 (3) RODO, Art. 21 (1) RODO Prowadzenie fanpage na Facebooku bez zgody osoby, której dane dotyczą, oraz niezastosowanie się do żądania osoby, której dane dotyczą, po wykonaniu przysługującego jej prawa sprzeciwu. link
Niemcy 2021-01-08 10.400.000 EUR notebooksbilliger.de Art. 5 RODO, Art. 6 RODO Dolnosaksoński organ ochrony danych (LfD Niedersachsen) nałożył grzywnę w wysokości 10,4 mln EUR na sprzedawcę elektroniki notebooksbilliger.de. Firma monitorowała wideo swoich pracowników przez co najmniej dwa lata, nie mając do tego podstawy prawnej. Kamery obejmowały między innymi miejsca pracy, powierzchnie handlowe, magazyny i tereny rekreacyjne. Firma stwierdziła, że ​​celem zainstalowanych kamer wideo było zapobieganie przestępstwom i śledzenie ich oraz śledzenie ruchu towarów w magazynach. Jednak aby zapobiec kradzieży, firma musi najpierw rozważyć łagodniejsze metody. Ponadto nadzór wideo w celu wykrycia przestępstw jest dozwolony tylko wtedy, gdy istnieje uzasadnione podejrzenie co do konkretnych osób. W takim przypadku może być dopuszczalne monitorowanie ich za pomocą kamer przez ograniczony czas. W przypadku notebooksbilliger.de nadzór wideo nie był jednak ograniczony do określonego okresu ani do określonych pracowników. Ponadto w wielu przypadkach nagrania były przechowywane przez 60 dni, czyli znacznie dłużej niż jest to wymagane. Klienci notebooksbilliger.de również ucierpieli z powodu niezgodnego z prawem nadzoru wideo, ponieważ niektóre kamery zostały skierowane na miejsca siedzące w obszarze sprzedaży. Jak dotąd kara dla notebooksbilliger.de jest najwyższą karą nałożoną przez LfD Niedersachen na mocy RODO. link
Norwegia 2021-01-07 7.250 EUR Gveik AS Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Gveik AS grzywnę w wysokości 7 250 EUR. Osoba odpowiedzialna przeprowadziła kontrolę kredytową osoby fizycznej, chociaż nie było do tego podstawy prawnej. link
Norwegia 2021-01-06 9.700 EUR Lindstrand Trading AS Art. 5 RODO, Art. 6 RODO Norweski organ ochrony danych (Datatilsynet) nałożył na Lindstrand Trading AS 9 700 EUR. Osoba odpowiedzialna przeprowadziła cztery kontrole kredytowe osób fizycznych i poszczególnych przedsiębiorstw, chociaż nie było do tego podstawy prawnej link
Francja 2021-01-05 20.000 EUR Nestor SAS Art. 12 RODO, Art. 13 RODO Francuski organ ochrony danych (CNIL) nałożył na firmę Nestor grzywnę w wysokości 20 000 EUR. CNIL zauważa, że ​​polityka prywatności przedstawiona podczas procesu rejestracji na stronie internetowej firmy nie zawierała niezbędnych informacji wymaganych przez RODO. Ponadto administrator podał niewystarczające informacje na temat przetwarzania danych podczas rejestracji aplikacji. link
Hiszpania 2021-01-04 54.000 EUR Vodafone España, S.A.U. Art. 5 (1) d), f) RODO Strona poszkodowana zawarła umowę ze stroną odpowiedzialną (Vodafone España, S.A.U.). Jednak produkty dostarczone w ramach tej umowy nie zostały dostarczone na nazwisko osoby, której dane dotyczą, ale w imieniu strony trzeciej. Następnie osoba, której dane dotyczą, skontaktowała się pocztą elektroniczną z inspektorem ochrony danych firmy w celu przywrócenia prawidłowości swoich danych przechowywanych w Vodafone. Jednak nie otrzymano żadnej odpowiedzi na to żądanie. Kiedy osoba, której dane dotyczą, ostatecznie skontaktowała się telefonicznie z przedsiębiorstwem telekomunikacyjnym, zwrócono się do niej z podaniem nazwy osoby trzeciej. Na jego zapytanie odpowiedziano odpowiedzią, która nie odnosiła się do jego / jej zapytania, ale do zapytania osoby trzeciej. Według firmy telekomunikacyjnej incydent był spowodowany defektem ich systemu w wyniku migracji systemu. Hiszpański organ ochrony danych (AEPD) początkowo ukarał Vodafone España, S.A.U. 90 000 euro, ale pierwotna kara została obniżona do 54 000 euro ze względu na terminową zapłatę i przyznanie się do winy. link
Norwegia 2021-01-04 95.500 EUR Innovasjon Norge Art. 5 (1) RODO, Art. 6 (1) RODO Norweski organ ochrony danych (Datatilsynet) nałożył na krajowy bank rozwoju Innovasjon Norge 1 000 000 NOK (95 500 EUR) grzywny. Osoba odpowiedzialna przeprowadziła cztery kontrole zdolności kredytowej osoby, której dane dotyczą, bez żadnej podstawy umownej, aby to zrobić. W tym celu bank przeanalizował wiele danych finansowych osoby, której dane dotyczą, w okresie trzech miesięcy bez zgody osoby, której dane dotyczą. link
Czechy 2021-01-04 118.500 EUR Nieznany Art. 6 (1) RODO, Art. 14 RODO Czeski organ ochrony danych (UOOU) ukarał 11 przedsiębiorstw grzywną w łącznej wysokości 118 500 EUR za wysyłanie niechcianych pocztowych wiadomości reklamowych do skrzynek pocztowych różnych obywateli. Decyzją rządu Republiki Czeskiej z końca października wprowadzono możliwość przesyłania danych pocztowych bez opłat do zakończenia pandemii Covid-19. Ukarane grzywny firmy nadużyły tej możliwości. OOD stwierdza, że ​​firmy nie miały podstaw prawnych do wysyłania ofert towarów i usług, co stanowi naruszenie art. 6 ust.1 RODO. Ponadto organ ochrony danych stwierdza, że ​​naruszenie art. 14 RODO również wystąpiło, ponieważ firmy nie podały osobom, których dane dotyczą, informacji o komercyjnym wykorzystaniu ich danych przy pierwszym kontakcie. link
Rumunia 2020-12-30 3.000 EUR ING Bank N.V. Amsterdam - Bucharest office Art. 5 (1) a) - d) RODO, Art. 6 (1) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na ING Bank N.V. Amsterdam - biuro w Bukareszcie karę w wysokości 3000 EUR. Bank skontaktował się z osobą, której dane dotyczą, pocztą elektroniczną w celu zaktualizowania jej danych. W tym czasie jednak osoba, której dane dotyczą, zamknęła już swoje konto w banku, tak że stosunek umowny został rozwiązany. W efekcie administrator przetwarzał dane osobowe byłego klienta niezgodnie z prawem, bez jego zgody, takie jak adres e-mail oraz imię i nazwisko oraz osoba, której dane dotyczą. link
Rumunia 2020-12-29 1.000 EUR Qualitance QBS SA Art. 32 RODO Rumuński organ ochrony danych (ANSPDCP) ukarał Qualitance QBS SA grzywną w wysokości 1000 EUR za naruszenie art. 32 RODO. Firma wysłała informacje pocztą elektroniczną do 295 osób, ujawniając adresy e-mail pozostałych odbiorców. ANSPDCP zauważył, że firma nie podjęła wystarczających środków bezpieczeństwa, aby zapewnić poufność danych osobowych osób, których dane dotyczą. link
Polska 2020-12-28 18.930 EUR Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. Art. 33 (1) RODO, Art. 34 (1) RODO Za naruszenie art. 33 ust.1 RODO i art. 34 ust.1 RODO. W maju 2020 r.UODO otrzymał zawiadomienie od osoby trzeciej o naruszeniu ochrony danych osobowych z udziałem agenta ubezpieczeniowego działającego jako agent obsługi Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., który wysłał polisę do nieuprawnionego adresata pocztą elektroniczną. Dokument zawierał dane osobowe dotyczące m.in. nazwisk, imion, adresów zamieszkania oraz informacji dotyczących przedmiotu polisy ubezpieczeniowej. W rezultacie organ nadzorczy zwrócił się do podmiotu odpowiedzialnego o wyjaśnienie, czy w odniesieniu do wysyłania korespondencji elektronicznej do nieuprawnionego adresata została przeprowadzona analiza ryzyka dotycząca bezpieczeństwa danych osób fizycznych, która jest niezbędna do oceny, czy dane doszło do naruszenia. Takie naruszenie wymaga powiadomienia organu ochrony danych i osób, których dotyczy naruszenie. W piśmie organ nadzorczy poinstruował podmiot odpowiedzialny, w jaki sposób ma zgłosić naruszenie, i poprosił o wyjaśnienia. Pomimo pisma z prośbą o wyjaśnienia, osoba odpowiedzialna nie zgłosiła naruszenia ochrony danych ani nie poinformowała o zdarzeniu osób, których dane dotyczą. W związku z tym organ ochrony danych wszczął postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania podmiot odpowiedzialny zgłosił naruszenie danych osobowych i poinformował dwie osoby, których naruszenie dotyczy. link
Belgia 2020-12-23 50.000 EUR Nieznany Art. 14 (1), (2) RODO, Art. 12 (1), (2), (3) RODO, Art. 15 (1) RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODO Belgijski organ ochrony danych (APD) nałożył na firmę grzywnę w wysokości 50 000 EUR za kilka naruszeń RODO. Strona odpowiedzialna to firma, która przeprowadza kontrole biletów parkingowych. Osoba odpowiedzialna nałożyła na osobę, której dane dotyczą, karę za nielegalne parkowanie. Jednak osoba, której dane dotyczą, oświadcza, że ​​nie otrzymała mandatu. Zamiast tego osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy otrzymała oficjalne pismo przypominające od kancelarii prawniczej, której zlecono windykację, która następnie zażądała zapłaty opłaty za ponaglenie oprócz pierwotnej grzywny. Osoba, której dane dotyczą, skontaktowała się wówczas z firmą i zażądała m.in. informacji o tym, które z jej danych osobowych były przetwarzane. Po tym, jak żądanie to nie zostało należycie zrealizowane i terminowo, osoba, której dane dotyczą, złożyła skargę na osobę odpowiedzialną. Podczas dochodzenia organ ochrony danych stwierdził, że osoba odpowiedzialna naruszyła kilka przepisów RODO. Po pierwsze, organ ochrony danych stwierdził, że podmiot odpowiedzialny nie zapewnił odpowiedniej polityki prywatności. Polityka prywatności na stronie internetowej podmiotu odpowiedzialnego nie zawierała żadnych informacji dotyczących przetwarzania danych osobowych ani żadnych danych kontaktowych firmy. Po drugie, osoba odpowiedzialna naruszyła prawo osoby, której dane dotyczą, do informacji, nie wykonując żądania osoby, której dane dotyczą, o udzielenie informacji o przetwarzaniu danych. Wreszcie podmiot odpowiedzialny naruszył zasadę minimalizacji, przetwarzając dane osoby, której dane dotyczą, w celu wysłania wezwania do zapłaty dopiero jeden dzień po wystawieniu biletu, mimo że osoba, której dane dotyczą, miała możliwość zapłacenia grzywny bez takiego przypomnienia w tym czasie. link
Belgia 2020-12-23 15.000 EUR Nieznany Art. 14 (1), (2) RODO, Art. 12 (3) RODO, Art. 6 RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODO Belgijski organ ochrony danych (APD) nałożył grzywnę w wysokości 15 000 EUR na przedsiębiorstwo z powodu niewystarczającego wykonywania praw osoby, której dane dotyczą. Podmiotem odpowiedzialnym jest firma windykacyjna, której windykacja należnych jej należności została zlecona przez inną firmę. Na osobę, której dane dotyczą, została nałożona kara za nielegalne parkowanie przez ostatnią z wymienionych firm. Jednak osoba, której dane dotyczą, oświadcza, że ​​nie otrzymała zawiadomienia o grzywnie. Zamiast tego osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy otrzymała oficjalne pismo z przypomnieniem od strony odpowiedzialnej, która następnie zażądała uiszczenia opłaty za ponaglenie oprócz pierwotnej grzywny. Osoba, której dane dotyczą, skontaktowała się następnie z osobą odpowiedzialną i zażądała między innymi informacji o tym, które z jej danych osobowych były przetwarzane. Po nieuwzględnieniu tego żądania w terminie osoba, której dane dotyczą, złożyła skargę na osobę odpowiedzialną. W toku dochodzenia organ ochrony danych stwierdził, że administrator naruszył przepisy RODO, na przykład nie spełniając żądania osoby, której dane dotyczą, o udzielenie informacji o przetwarzaniu danych. link
Hiszpania 2020-12-22 6.000 EUR Iberdrola Clientes, SAU Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD Hiszpański organ ochrony danych (AEPD) nałożył na Iberdrola Clientes grzywnę w wysokości 6000 EUR. Osoba, której dane dotyczą, otrzymała telefony promocyjne z dwóch różnych numerów telefonów osoby odpowiedzialnej, chociaż osoba, której dane dotyczą, była zarejestrowana na liście Robinsona. Spółka przypisuje incydent błędowi ludzkiemu, ponieważ numery telefonów, z których dzwoniono do osoby, której dane dotyczą, nie były regularnie wykorzystywane do celów reklamowych. link
Rumunia 2020-12-22 2.000 EUR S.C. C&V Water Control S.A. Art. 58 (1) a), e) RODO, Art. 58 (2) i) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na S.C. C&V Water Control S.A. karę pieniężną w wysokości 2000 EUR za niezastosowanie się do żądania organu ochrony danych o udzielenie informacji w trakcie dochodzenia, naruszając tym samym art. 58 ust. 1 lit. a), e) RODO i art. 58 ust. 2 lit. i) RODO. link
Hiszpania 2020-12-21 36.000 EUR Banco Bilbao Vizcaya Argentaria, S.A. Art. 5 (1) d) RODO Hiszpański organ ochrony danych (AEPD) nałożył na instytucję finansowo-kredytową Banco Bilbao Vizcaya Argentaria, SA (BBVA) grzywnę w wysokości 36000 EUR. BBVA zwróciła się do osoby, której dane dotyczą, o uregulowanie długów w BBVA, chociaż osoba, której dane dotyczą, nie miała żadnych długów w banku. W rezultacie BBVA przekazała dane osobowe osoby, której dane dotyczą, firmie windykacyjnej Multigestión Iberia, SL, która przez kilka miesięcy kontaktowała się z osobą, której dane dotyczą, telefonicznie i pocztą elektroniczną w imieniu BBVA i zwróciła się o zapłatę. Następnie osoba, której dane dotyczą, zażądała usunięcia swoich danych z BBVA. Jednak osoba odpowiedzialna odmówiła. link
Rumunia 2020-12-17 100.000 EUR Banca Transilvania SA Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Banca Transilvania SA karę pieniężną w wysokości 100 000 EUR za naruszenie art. 5 (1) f) RODO, art. 32 (1) RODO i art. 32 ust.2 RODO. Stwierdzono, że bank zażądał od klienta oświadczenia o przeznaczeniu określonej kwoty pieniędzy, które chciałby wypłacić z jego konta. Oświadczenie to zostało przesłane do banku online i przekazane kilku pracownikom banku. Jeden z pracowników sfotografował deklarację telefonem komórkowym i rozpowszechnił ją za pośrednictwem WhatsApp. Następnie dokument został opublikowany w serwisie społecznościowym Facebook i na stronie internetowej. Sytuacja ta doprowadziła do ujawnienia i nieuprawnionego dostępu do niektórych danych osobowych czterech osób, których dane dotyczą, pomimo zobowiązania Banku do poszanowania zasady integralności i poufności danych osobowych zgodnie z art. 5 (1) f) RODO. Urząd zwraca uwagę, że wystąpienie ujawnienia danych świadczy również o nieskuteczności wewnętrznych szkoleń pracowników Banku w zakresie przestrzegania standardów ochrony danych. Szkolenia te stanowią jednak integralną część środków technicznych i organizacyjnych, do których podjęcia Bank był zobowiązany, art. 32 RODO. link
Francja 2020-12-17 3.000 EUR Doktor Art. 32 RODO, Art. 33 RODO Francuski organ ochrony danych (CNIL) nałożył na lekarza grzywnę w wysokości 3000 EUR za naruszenie art. 32 RODO i art. 33 RODO. Osoba odpowiedzialna przechowywała na swoim komputerze medyczne dane obrazowe, takie jak obrazy rezonansu magnetycznego i rentgenowskie, a także dane osobowe, takie jak imiona i nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów. Administrator nie podjął odpowiednich środków technicznych, aby zapewnić bezpieczeństwo danych, w wyniku czego dostęp do danych jego pacjentów był możliwy dla każdego, kto nie miał ochrony dostępu. Organ ochrony danych zauważa, że ​​dane były narażone przez około cztery miesiące. link
Francja 2020-12-17 6.000 EUR Doktor Art. 32 RODO, Art. 33 RODO Francuski organ ochrony danych (CNIL) nałożył na lekarza grzywnę w wysokości 6 000 EUR za naruszenie art. 32 RODO i art. 33 RODO. Osoba odpowiedzialna przechowywała na serwerze medyczne dane obrazowe, takie jak obrazy rezonansu magnetycznego i zdjęcia rentgenowskie, a także dane osobowe, takie jak imiona i nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów, aby mieć do nich dostęp z komputera domowego. Przegląd systemów osoby odpowiedzialnej wykazał, że dostęp do serwera nie był odpowiednio zabezpieczony. Dzięki temu każdy miałby dostęp do danych swoich pacjentów. Ponadto wyciek danych istniał przez około pięć lat. W związku z tym organ ochrony danych stwierdził, że lekarz nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych. link
Polska 2020-12-17 235.300 EUR ID Finance Poland Sp. z o.o. Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO Polski organ ochrony danych (UODO) nałożył karę w wysokości 235 300 EUR na ID Finance Poland Sp. z o.o.. W związku z błędem podczas restartowania serwera, ustawienia oprogramowania odpowiedzialnego za bezpieczeństwo serwera zostały zresetowane, udostępniając publicznie dane osobowe 140 699 klientów. Dane te zawierały na przykład informacje o imieniu i nazwisku, adresie, narodowości, a nawet stanie cywilnym danych osób. Baza danych znajdująca się na tym serwerze została pobrana i usunięta przez nieokreśloną osobę trzecią, która zażądała od firmy opłaty za zwrot bazy danych. Organ ochrony danych zauważył, że podmiot odpowiedzialny podjął niewystarczające środki techniczne i organizacyjne w celu zapewnienia ochrony przetwarzania, mimo że istniało wysokie ryzyko dla osób, których dane dotyczą, ze względu na charakter przetwarzanych danych. link
Węgry 2020-12-16 1.940 EUR Nieznany Art. 5 (1) b), c) RODO, Art. 13 (1) RODO Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 700 000 HUF (1940 EUR) na firmę budowlaną. Osoba odpowiedzialna zainstalowała system monitoringu wideo na placu budowy, aby chronić swoją własność i integralność fizyczną pracowników. Kamery zostały ustawione w taki sposób, aby mogły rejestrować część pomieszczenia rekreacyjnego, a tym samym także działania jego pracowników w wymaganym zakresie. Zainteresowani pracownicy nie byli o tym wystarczająco poinformowani w momencie zawierania umowy. link
Węgry 2020-12-16 55.400 EUR Robinson Tours Ltd. (Robinson Tours Idegenforgalmi és Szolgáltató Kft.) Art. 25 (1), (2) RODO, Art. 32 (1) b) RODO, Art. 34 (1) RODO Węgierski organ ochrony danych (NAIH) nałożył na Robinson Tours Idegenforgalmi és Szolgáltató Kft grzywnę w wysokości 20 500 000 HUF (55 400 EUR). (Robinson Tours Ltd.) System rezerwacji biura podróży zawierał niezabezpieczone dane klientów, które każdy mógł przeglądać i wyszukiwać za pośrednictwem Google. Dane zawierały m.in. imiona i nazwiska, dane teleadresowe, kopie dowodu osobistego oraz numery paszportów. W trakcie śledztwa DPA okazało się, że przedmiotowe dane pochodziły z testowej bazy danych stworzonej przez Next Time Media Agency Ltd, agencję internetową, która zleciła opracowanie i obsługę bazy danych, która została uzupełniona nie tylko o dane testowe, ale także o dane rzeczywiste klientów Robinson Tours. Ogółem dotyczyło to danych 781 osób, do których każdy miał dostęp w okresie od 13 listopada 2019 r. Do 4 lutego 2020 r. NAIH zwraca również uwagę, że Robinson Tours nie prowadził regularnych przeglądów zagrożeń bezpieczeństwa. Robinson Tours nie powiadomił również poszkodowanych osób o naruszeniu danych. link
Węgry 2020-12-16 1.385 EUR Next Time Media Agency Ltd. (Next Time Media Ügynökség Kft.) Next Time Media Agency Ltd. (Next Time Media Ügynökség Kft.) Węgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 50 000 HUF (1 385 EUR) na spółkę Next Time Media Ügynökség Kft. (Next Time Media Agency Ltd.). Agencja internetowa została podpisana przez biuro podróży Robinson Tours Idegenforgalmi és Szolgáltató Kft. (Robinson Tours Ltd.) w celu opracowania i obsługi systemu rezerwacji online biura podróży. Baza została jednak uzupełniona nie tylko o dane testowe, ale także o rzeczywiste dane klientów Robinson Tours. W sumie ujawniono dane 781 osób. W okresie od 13 listopada 2019 r. Do 4 lutego 2020 r. Dane te były dostępne dla każdego i można było je znaleźć za pośrednictwem Google. OOD stwierdził, że Next Time Media Agency Ltd. nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. link
Irlandia 2020-12-15 450.000 EUR Twitter International Company Art. 33 (1), (5) RODO Irlandzki organ ochrony danych (DPC) ukarał Twitter International Company grzywną w wysokości 450 000 EUR za naruszenie art. 33 ust.1 RODO i art. 33 (5) RODO za niezawiadomienie organu ochrony danych w odpowiednim czasie o naruszeniu ochrony danych i niewystarczające udokumentowanie tego naruszenia. Naruszenie danych dotyczyło ustawień prywatności postów użytkowników na platformie mediów społecznościowych Twitter. Tam użytkownicy mają możliwość ustawienia widoczności swoich postów na prywatne lub publiczne. Posty prywatne mogą być widoczne tylko dla subskrybentów danego profilu użytkownika, podczas gdy posty publiczne są widoczne dla wszystkich. Błąd programowania w aplikacji Twittera na Androida spowodował, że niektóre prywatne posty były widoczne publicznie. Organ ochrony danych stwierdził, że Twitter nie wypełnił należycie swoich obowiązków w zakresie sprawozdawczości i dokumentacji. Zespół prawny Twittera dowiedział się o błędzie 2 stycznia 2019 roku i dopiero 8 stycznia firma poinformowała DPC. W konsekwencji firma nie poinformowała DPC w terminie 72 godzin wymaganym przez art. 33 ust.1 RODO. Ponadto nie udokumentował zdarzenia w sposób zgodny z art. 33 ust.5 RODO. link
Szwecja 2020-12-15 29.500 EUR Uppsalahem AB Art. 5 RODO, Art. 6 (1) f) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na spółkę mieszkaniową Uppsalahem AB grzywnę w wysokości 300 000 SEK (29 500 EUR). Firma mieszkaniowa zainstalowała kamery monitorujące w budynku mieszkalnym, aby monitorować jedno piętro po wystąpieniu zakłóceń i incydentów bezpieczeństwa. Kamery monitorowały nie tylko klatkę schodową, ale także drzwi wejściowe mieszkańca. Dlatego po otwarciu drzwi system monitoringu uchwycił również wnętrze mieszkania. Chociaż firma mogła mieć uzasadniony interes w monitorowaniu wideo, przeważa to prawo mieszkańców do prywatności. link
Łotwa 2020-12-15 15.000 EUR HH Invest SIA Art. 13 RODO Łotewski organ ochrony danych (DSI) nałożył na sklep internetowy HH Invest SIA karę w wysokości 15 000 EUR. Informacje podane na stronie internetowej firmy dotyczące polityki prywatności uznano za niezrozumiałe. Stanowi to naruszenie art. 13 RODO. link
Łotwa 2020-12-15 6.250 EUR Nieznany Art. 5 RODO, Art. 6 RODO Łotewski organ ochrony danych (DSI) nałożył na pracodawcę grzywnę w wysokości 6 250 EUR za przesłanie danych osobowych pracownika, w tym danych dotyczących zdrowia, do współpracowników pocztą elektroniczną. DSI stwierdził, że dane osobowe osoby, której dane dotyczą, były przetwarzane bez odpowiedniej podstawy prawnej, a zatem przetwarzanie to było niezgodne z prawem.
Hiszpania 2020-12-15 10.000 EUR Usługi online Art. 13 RODO, Art. 8 (1) RODO, Art. 6 (1) a) RODO Hiszpański organ ochrony danych (AEPD) ukarał operatora sklepu internetowego banderacatalana.cat. 10.000 EUR za naruszenie art. 13 RODO. Operator zaznaczył na swojej stronie internetowej, że do zapisania się do newslettera niezbędny jest minimalny wiek 13 lat lub wystarczająca zdolność do czynności prawnych. Stwierdzono również, że wypełnienie formularza zapisu na newsletter będzie traktowane jako wyrażenie zgody na przetwarzanie danych osobowych. Stanowi to naruszenie RODO, ponieważ zgodnie z art. 8 RODO, przetwarzanie danych osobowych osób poniżej 16 roku życia wymaga zgody osoby sprawującej władzę rodzicielską nad dzieckiem. link
Polska 2020-12-14 443.000 EUR Virgin Mobile Polska Art. 5 (1) f), (2) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO Polski organ ochrony danych (UODO) nałożył na Virgin Mobile Polska karę w wysokości 443 000 EUR za wyciek danych, który umożliwił nieuprawnionym osobom trzecim dostęp do danych osobowych przechowywanych przez Virgin Mobile Polska w wyniku zastosowania nieodpowiednich środków bezpieczeństwa. UODO zwraca uwagę, że firma nie przeprowadzała regularnych i obszernych testów skuteczności zastosowanych środków w celu zapewnienia bezpieczeństwa danych. Rzeczywiście, działania w tym zakresie były prowadzone tylko w przypadku podejrzenia wycieku bezpieczeństwa. link
Hiszpania 2020-12-11 5.000.000 EUR Banco Bilbao Vizcaya Argentaria, S.A. Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) ukarał Banco Bilbao Vizcaya Argentaria, S.A. 5000000 EUR za naruszenie art. 6 RODO (3000000 EUR) i art. 13 RODO (2000000 EUR). Bank nie wdrożył specjalnego mechanizmu uzyskiwania zgody klientów na przetwarzanie ich danych. Ponadto nie użył precyzyjnej terminologii w swojej polityce prywatności, ani nie podał odpowiednich informacji o rodzaju danych osobowych, które mogą być przetwarzane. W szczególności AEPD zauważa, że ​​w oświadczeniu o ochronie prywatności nie można dostatecznie określić celu i podstawy prawnej przetwarzania danych. link
Szwecja 2020-12-11 54.000 EUR Umeå University Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na Uniwersytet Umeå grzywnę w wysokości 550 000 SEK (54 000 EUR) w związku z niezastosowaniem przez niego odpowiednich środków technicznych i organizacyjnych w celu ochrony danych. W ramach projektu badawczego dotyczącego gwałtu na mężczyznach uniwersytet przechował kilka raportów policyjnych dotyczących takich powiązanych incydentów w chmurze usługodawcy z USA. Raporty zawierały nazwiska, numery identyfikacyjne i dane kontaktowe zaangażowanych osób, a także informacje o ich stanie zdrowia i życiu seksualnym, a także informacje o podejrzeniu popełnienia przestępstwa. Organ ochrony danych zauważa, że ​​przechowywanie w tej chmurze nie zapewnia odpowiedniej ochrony takich szczególnie wrażliwych danych. Ponadto jeden z raportów z dochodzenia został przesłany w postaci niezaszyfrowanej do szwedzkiej policji pocztą elektroniczną. Jednak osoba odpowiedzialna nie udokumentowała incydentu ani nie zgłosiła go organowi ochrony danych. link
Hiszpania 2020-12-10 4.000 EUR Borjamotor, S.A. Art. 7 RODO Hiszpański organ ochrony danych (AEPD) nałożył na Borjamotor, SA grzywnę w wysokości 4000 EUR.Firma nadal wysyłała do osoby, której dane dotyczą, reklamy komercyjne za pośrednictwem poczty elektronicznej i SMS-a, mimo że osoba, której dane dotyczą, wcześniej cofnęła zgodę na otrzymywanie reklam i złożyła wniosek usunąć swoje dane. Chociaż firma to potwierdziła, osoba, której dane dotyczą, nadal otrzymywała reklamy. link
Hiszpania 2020-12-09 40.000 EUR Xfera Moviles S.A. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Xfera Móviles, S.A. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, twierdzi, że na jej nazwisko zarejestrowano dwa połączenia telefoniczne i internetowe wraz z kontem opłat. Jednak osoba, której dane dotyczą, nigdy nie podpisała umów z firmą na którekolwiek z tych połączeń. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów wykorzystujących dane osobowe osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych firmy bez weryfikacji, czy umowy zostały zawarte zgodnie z prawem i faktycznie przez osobę, której dane dotyczą, czy wyraziła zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych lub czy istniał jakikolwiek inny powód uzasadniający przetwarzanie. link
Hiszpania 2020-12-09 10.000 EUR Nieznany Art. 5 (1) f) RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę w wysokości 10 000 EUR za naruszenie art. 5 RODO. Firma wysłała do osoby trzeciej wiadomość e-mail z dokumentem zwolnienia i rozliczenia osoby, której dane dotyczą, ujawniając jej dane osobowe bez jej zgody. link
Polska 2020-12-09 18.850 EUR TUiR Warta S.A. Art. 33 (1) RODO, Art. 34 (1) RODO Agent ubezpieczeniowy wynajęty przez osobę odpowiedzialną wysłał wiadomość e-mail do nieuprawnionych stron trzecich w sprawie polis ubezpieczeniowych, które zawierały dane osobowe dwóch klientów firmy po tym, jak omyłkowo podali fałszywe adresy e-mail. Dane, które wyciekły, obejmowały takie dane, jak nazwiska, adresy e-mail i adresy pocztowe osób, których dane dotyczą. Osoba odpowiedzialna nie poinformowała polskiego organu ochrony danych ani osób, których dane dotyczą, o naruszeniu danych w odpowiednim czasie w ciągu 72 godzin. Osoba odpowiedzialna uważała, że ​​nie doszło do naruszenia wymagającego powiadomienia, ponieważ same osoby, których dane dotyczą, omyłkowo podały nieprawidłowe adresy e-mail. Polski organ ochrony danych stwierdza, że ​​okoliczność ta nie zwalnia administratora z obowiązku terminowego zgłaszania naruszenia ochrony danych. link
Francja 2020-12-07 7.300 EUR Perfomeclic Art. 5 (1) c), e) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. L34-5 CPCE Francuski organ ochrony danych (CNIL) nałożył na spółkę Perfomeclic grzywnę w wysokości 7 300 EUR. Firma wysłała komercyjne e-maile reklamowe bez potwierdzenia uprzedniej zgody i bez wystarczających informacji. link
Szwecja 2020-12-03 1.463.000 EUR Aleris Sjukvård AB Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na Aleris Sjukvård AB grzywnę w wysokości 15 000 000 SEK (1 463 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Szwecja 2020-12-03 1.168.000 EUR Aleris Sjukvård AB Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na Aleris Sjukvård AB grzywnę w wysokości 12 000 000 SEK (1 168 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego Nationell patientöversikt (NPÖ) nie były przyznawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Hiszpania 2020-12-03 2.400 EUR Dr Marín Cirugia Plástica, S.L.P. Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na lekarza grzywnę w wysokości 4000 EUR z powodu braku polityki prywatności na jego stronie internetowej, naruszając tym samym art. 13 RODO. Pierwotna kara w wysokości 4 000 EUR została obniżona zarówno za natychmiastową spłatę, jak i za uznanie długu o każde 20% do 2 400 EUR. link
Szwecja 2020-12-03 243.800 EUR Östergötland Region Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na region Östergötland grzywnę w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego Cosmic nie były nadawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Szwecja 2020-12-03 243.800 EUR Västerbotten Region Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na region Västerbotten grzywnę w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników systemu dokumentacji medycznej NCS Cross nie były nadawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Szwecja 2020-12-03 341.300 EUR Szpital Uniwersytecki Sahlgrenska Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył grzywnę na Szpital Uniwersytecki Sahlgrenska w wysokości 3 500 000 SEK (341 300 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informatycznych Melior i Nationell patientöversikt nie były przyznawane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. Ponadto system informacyjny szpitala Melior nie prowadził rejestrów, kiedy i w jakim celu uzyskano dostęp do danych pacjentów. link
Szwecja 2020-12-03 390.100 EUR Szpital Uniwersytecki Karolinska w Solnej Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył grzywnę na Karolinska University Hospital w Solna w wysokości 4 000 000 SEK (390 100 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Szwecja 2020-12-03 2.9000.000 EUR Capio St. Göran AB Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODO Szwedzki organ ochrony danych (Datainspektionen) nałożył na Capio St. Göran AB grzywnę w wysokości 30 000 000 SEK (2 900 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informatycznych Cosmic, Nationell patientöversikt i TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, których nie potrzebowali do pracy. link
Norwegia 2020-12-03 18.840 EUR Municipality of Indre Østfold Art. 6 RODO, Art. 32 (1) b) RODO Norweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 200 000 NOK (18 840 EUR) na gminę Indre Østfold. Datatilsynet stwierdził, że na stronie internetowej gminy opublikowano akta ucznia zawierające dane osobowe link
Hiszpania 2020-12-02 6.000 EUR Servicio de Alojamientos Responsables, S.L. Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 6000 EUR za nieuprawnione zawarcie umowy w imieniu osoby, której dane dotyczą, bez jej zgody. Osoba, której dane dotyczą, dowiedziała się o tym dopiero wtedy, gdy wniesiono przeciwko niej skargę z tytułu naruszenia umowy. AEPD uznał, że na mocy tej ustawy podmiot odpowiedzialny przetwarzał dane osobowe osoby, której dane dotyczą, niezgodnie z prawem. link
Hiszpania 2020-12-02 3.000 EUR Comercio Online Levante, S.L. Art. 5 (1) f) RODO, Art. 32 RODO Kobieta złożyła skargę do hiszpańskiego organu ochrony danych (AEPD) przeciwko Comercio Online Levante, S.L. ze względu na to, że podczas próby uzyskania dostępu do jej konta użytkownika sklepu internetowego perfumerespremium.es prowadzonego przez odpowiedzialną firmę pokazano jej dane osobowe innego użytkownika. link
Hiszpania 2020-12-02 5.000 EUR Asociación de Víctimas por Arbitrariedades Judiciales, (JAVA) Art. 6 (1) RODO Hiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie grzywnę w wysokości 5 000 EUR za publikację danych osobowych osób, których dane dotyczą, na swojej stronie internetowej. Dane zostały bezprawnie zarejestrowane bez ich zgody w toku innego postępowania prawnego i zostały przekazane przez nagrywającego stowarzyszeniu. link
Hiszpania 2020-12-02 10.000 EUR Losada Advocats S.L. Art. 5 (1) f) RODO, Art. 32 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Losada Advocats S.L. za wysłanie wiadomości e-mail do kilkudziesięciu odbiorców bez umieszczania ich na liście Blind Carbon Copy (BCC), naruszając tym samym art. 32 RODO i art. 5 (1) f) RODO link
Estonia 2020-12-01 100.000 EUR Apotheka e-apteek Art. 5 RODO, Art. 6 RODO Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie. link
Estonia 2020-12-01 100.000 EUR Südameapteegi e-apteek Art. 5 RODO, Art. 6 RODO Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie. link
Estonia 2020-12-01 100.000 EUR Azeta.ee e-apteek Art. 5 RODO, Art. 6 RODO Estoński organ ochrony danych (Andmekaitse Inspektsioon) ukarał trzy apteki internetowe w wysokości 100 000 EUR za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, wyłącznie na podstawie dostępu do ich osobistego kodu identyfikacyjnego. OOD podkreślił, że o ile musi istnieć możliwość zakupu leków na receptę dla innych osób, to na firmie spoczywa odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych wymaganych w tym celu odbywało się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie innej osoby, że ma ona dostęp do danych, nie jest jednak zgodne z dobrowolną zgodą posiadacza recepty, gdyż e-apteka nie może sprawdzić, czy iw jakim celu została wyrażona zgoda oraz czy została wyrażona dobrowolnie.
Hiszpania 2020-11-27 1.200 EUR Osoba prywatna Art. 5 (1) a) RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1200 EUR na osobę fizyczną za podszywanie się pod osobę trzecią na portalach społecznościowych Tinder i WhatsApp poprzez umieszczanie zdjęć tej osoby na ich profilu. Zdjęcia zostały wykorzystane bez zgody osoby, której dane dotyczą. link
Włochy 2020-10-26 10.000 EUR Reti Televisive Italiane S.p.a. Art. 5 (1) a) RODO Stacja telewizyjna wyemitowała film dokumentalny o związku między emisjami z lokalnej wytwórni ceramiki a problemami zdrowotnymi ludności, w którym osoba przesłuchiwana nie była wystarczająco anonimowa. link
Włochy 2020-11-26 20.000 EUR Concentrix Cvg Italy s.r.l. Art. 5 (1) a), c) RODO, Art. 6 (1) b), c) RODO, Art. 9 (1) b) RODO Związek UILCOM Sardegna złożył skargę do włoskiego organu ochrony danych (garante) przeciwko operatorowi call center Concentrix Cvg Italy s.r.l. dotyczące regulacji wewnętrznej strony odpowiedzialnej. Zgodnie z zasadami „polityki czystego biurka” firma zakazała pracownikom trzymania niektórych przedmiotów, takich jak smartfony, na biurkach, co miało zapewnić poufność przetwarzania danych osobowych klientów. Wyjątki dotyczyły leków, które poszkodowani pracownicy udowodnili, że powinni przyjmować podczas zmiany. Należało je umieścić w widocznym miejscu na biurku, umożliwiając pośrednio innym pracownikom uzyskanie informacji o stanie zdrowia osób, których dane dotyczą. Administrator rzeczywiście poinformował osoby, których dane dotyczą, o zasadach postępowania i uzyskał ich zgody. Nie zawierało to jednak żadnych informacji o przetwarzaniu ich danych zdrowotnych. link
Szwecja 2020-11-25 19.500 EUR Gnosjö Municipality Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 35 RODO, Art. 36 RODO Szwedzki organ ochrony danych nałożył grzywnę na gminę Gnosjö za nielegalny monitoring wideo w domu opieki dla osób z pewnymi niepełnosprawnościami funkcjonalnymi. link
Hiszpania 2020-11-25 40.00 EUR Miraclia Telecomunicaciones S.L. Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 EUR na Miraclia Telecomunicaciones S.L. za naruszenie art. 6, 13 i 14 RODO. Miraclia Telecomunicaciones S.L. jest operatorem aplikacji do żartów na telefon, w której możesz wybrać `` żart '' i wprowadzić numer telefonu odbiorcy. Odbiorca jest następnie wywoływany na ukryty numer i wykonywany jest żart. AEPD zauważa, że ​​operator naruszył obowiązek informowania o zbieraniu danych osobowych osoby, której dane dotyczą. Ponadto zwraca uwagę, że Miraclia, za pośrednictwem tej aplikacji, w żadnym momencie nie informuje osoby, której dane dotyczą (osoby, która odbiera połączenie z dowcipem i jest nagrywana) o jej prawie do wyrażenia zgody zgodnie z przepisami RODO. link
Belgia 2020-11-25 1.500 EUR Osoba prywatna Art. 6 RODO, Art. 25 RODO Belgijski organ ochrony danych (APD) nałożył grzywnę na osoby prywatne. Osoby odpowiedzialne zainstalowały kamery wideo na swojej prywatnej posesji, z których dwie zostały umieszczone w taki sposób, aby mogły rejestrować obrazy przestrzeni publicznej i prywatnej własności sąsiada. Również osoby odpowiedzialne przekazały zdjęcia osobom trzecim. link
Rumunia 2020-11-24 5.000 EUR Dada Creation S.R.L. Art. 32 RODO, Art. 33 RODO W związku z nieodpowiednimi środkami technicznymi i organizacyjnymi firma za pośrednictwem swojego sklepu internetowego ujawniła zamówienie, dostawę oraz dane osobowe ponad 1000 klientów. Dane zostały wyświetlone na dokumencie w sklepie internetowym, który można było pobrać bez ochrony dostępu. Ponadto operator nie zgłosił wycieku bezpieczeństwa do organu ochrony danych. link
Szwecja 2020-11-24 394.000 EUR Misto Sztokholm Art. 5 RODO, Art. 32 RODO Szwedzki organ ochrony danych nałożył grzywnę na miasto Sztokholm za naruszenia danych na platformie szkolnej. Platforma składa się z różnych podsystemów, w tym systemu monitorowania obecności w szkole, systemu administrowania uczniami, interfejsu dla rodziców oraz interfejsu administracyjnego dla nauczycieli. W jednym z podsystemów brak możliwości ograniczenia dostępu użytkowników do danych umożliwił dużej liczbie pracowników dostęp do informacji o studentach przy użyciu chronionej tożsamości. W innym podsystemie rodzice mogli stosunkowo łatwo uzyskać dostęp do informacji o innych uczniach, takich jak oceny. W wyszukiwarce Google można było znaleźć linki prowadzące do interfejsu administracyjnego, w którym dostępne były informacje o nauczycielach o chronionej tożsamości. link
Hiszpania 2020-11-23 12.000 EUR Recambios Villalegre S.L. Art. 6 RODO, Art. 13 RODO Hiszpański organ ochrony danych (AEPD) nałożył na firmę grzywnę za opublikowanie zdjęć osoby na Facebooku i WhatsApp oraz za oskarżenie osoby o kradzież w powiązanych postach. Zdjęcia uzyskano dzięki systemowi monitoringu firmy. Firma dodatkowo zachęcała innych użytkowników do udostępniania zarówno zdjęć, jak i postów. Wpisy zaowocowały setkami upokarzających, obraźliwych, a nawet groźnych komentarzy. AEPD nałożyła grzywnę w wysokości 10 000 euro za publikację zdjęć i 2 000 euro za niezainstalowanie szyldu wymaganego do monitoringu sklepu. link
Rumunia 2020-10-23 4.000 EUR Vodafone România SA Art. 12 RODO, Art. 15 RODO, Art. 17 RODO Rumuński organ ochrony danych (ANSPDCP) nałożył na Vodafone România SA karę w wysokości 4 000 EUR. Kara została nałożona w wyniku skarg dotyczących braku odpowiedzi operatora na żądania dostępu i usunięcia danych. Operator nie mógł przedstawić żadnych dowodów na zwolnienie. link
Włochy 2020-11-23 20.000 EUR Burgo Group S.p.A Art. 5 RODO, Art. 13 RODO Włoski organ ochrony danych (Garante) nałożył na spółkę grzywnę w wysokości 20 000 EUR za nieprzestrzeganie praktyk. Na przykład dyrektor personalny przekazał rozmowę e-mail między osobą, której dane dotyczą, a współpracownikiem, zawierającą dane osobowe (informacje dotyczące dyskomfortu fizycznego i psychicznego w miejscu pracy) do czterech osób w firmie. link
Hiszpania 2020-11-19 36.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Firma wysłała fakturę osobie, której dane dotyczą, bez możliwości udowodnienia, że ​​zawarła umowę z osobą, której dane dotyczą link
Hiszpania 2020-11-18 2.000 EUR Anmavas 61, S.L. Art. 58 RODO Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Anmavas 61, S.L. za ani nie przyznanie, ani uzasadniona odmowa prawa do usunięcia danych osobie, której dane dotyczą, nawet po otrzymaniu ostrzeżenia wydanego przez AEPD. link
Francja 2020-11-18 800.000 EUR Carrefour Banque Art. 5 RODO Francuski organ ochrony danych (CNIL) nałożył na Carrefour Banque grzywnę za naruszenie obowiązku rzetelnego przetwarzania danych (art. 5 ust. 1 RODO). Jeżeli osoba, która subskrybowała kartę Pass (karta kredytowa, którą można podpiąć do konta lojalnościowego) również chciała uczestniczyć w programie lojalnościowym, musiała zaznaczyć okienko, w którym zgodziła się na wysłanie przez Carrefour Banque lub jej nazwisko, imię i adres e-mail do „Carrefour fidélité”. Carrefour Banque wyraźnie zaznaczył, że dalsze dane nie będą przekazywane. Jednak CNIL zauważyła, że ​​przekazano inne dane, takie jak adres pocztowy, numer telefonu i liczba dzieci, chociaż spółka zobowiązała się nie przekazywać żadnych dalszych danych. link
Francja 2020-11-18 2.250.000 EUR Carrefour France Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO, Art. 33 RODO Francuski organ ochrony danych (CNIL) nałożył na Carrefour France grzywnę w wysokości 2 250 000 EUR za kilka naruszeń przepisów o ochronie danych, w tym RODO. Podczas dochodzenia CNIL stwierdził, że informacje dotyczące danych osobowych przekazanych użytkownikom stron internetowych carrefour.fr oraz osobom pragnącym przystąpić do programu lojalnościowego nie były ani łatwo dostępne, ani zrozumiałe. CNIL stwierdził również, że informacje dotyczące przekazywania danych do krajów spoza UE oraz czasu przechowywania danych były niekompletne. CNIL zauważa również, że przedsiębiorstwo nie przestrzegało terminów przechowywania. Ponadto na potrzeby programu lojalnościowego przechowywano dane ponad dwudziestu ośmiu milionów klientów nieaktywnych przez pięć do dziesięciu lat. Tak było również w przypadku 750 000 użytkowników serwisu carrefour.fr, którzy byli nieaktywni przez pięć do dziesięciu lat. CNIL stwierdza, że ​​spółka wymagała potwierdzenia tożsamości w przypadku prawie każdego wniosku użytkownika o skorzystanie z prawa. Jednak ten automatyczny wymóg nie był uzasadniony, ponieważ w większości przypadków nie było wątpliwości co do tożsamości użytkowników, których dotyczy problem. Ponadto firma nie odpowiedziała na kilka wniosków osób, które chciały uzyskać dostęp do ich danych osobowych. Ponadto w wielu przypadkach spółka nie usuwała danych żądanych przez osoby fizyczne. Wreszcie firma nie odpowiedziała na kilka próśb osób, które nie zgodziły się na otrzymywanie reklam przez SMS lub e-mail. link
Włochy 2020-11-17 30.000 EUR Provincial Health Authority of Cosenza Art. 9 RODO Publikacja danych osobowych (w tym imienia i nazwiska, adresu, NIP) na stronie internetowej organu o osobach, które mają roszczenia odszkodowawcze wobec organu, bez wystarczającej podstawy prawnej link
Włochy 2020-11-17 2.000 EUR Comune di Collegno Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Kara za nieprzestrzeganie prawa osoby, której dane dotyczą, do dostępu do informacji, ponieważ gmina odmówiła osobie, której dane dotyczą, wniosku o dostęp do danych z systemu monitoringu kamer. link
Hiszpania 2020-11-16 1.600 EUR Stowarzyszenie Właścicieli Domów Art. 5 (1) c) RODO Wykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych). link
Hiszpania 2020-11-16 42.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO W 2019 roku po postępowaniu arbitrażowym spółka zgodziła się na przedterminowe rozwiązanie umowy z osobą, której dane dotyczą, oraz na usunięcie danych osobowych. Niemniej jednak osoba, której dane dotyczą, nadal otrzymywała e-maile od firmy, co stanowiło przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. link
Wielka Brytania 2020-11-13 1.405.000 EUR Ticketmaster UK Limited Art. 5 (1) f) RODO, Art. 32 RODO Ticketmaster UK Limited został ukarany grzywną w wysokości 1,25 miliona GBP (około 1,405 miliona EUR) za brak ochrony danych osobowych swoich klientów za pomocą odpowiednich środków bezpieczeństwa. Potencjalnie 9,4 mln europejskich klientów mogło zostać dotkniętych cyberatakiem między lutym 2018 r. a 23 czerwca 2018 r. Z powodu użycia niedostatecznie zabezpieczonego bota czatu hostowanego przez osobę trzecią w jej witrynie płatności online, który umożliwił atakującemu uzyskanie dostępu do klientów ' Informacje finansowe. Według Agencji Ochrony Danych dotyczyło to danych osobowych, takich jak imiona i nazwiska, pełne numery kart płatniczych, nazwy użytkowników i hasła Ticketmaster, daty wygaśnięcia oraz numery CVV (Card Verification Value). DPA wykrył również, że 60 000 kart płatniczych należących do klientów Barclays Bank było ofiarami oszustw, a kilka międzynarodowych banków również zgłosiło oszustwa do Ticketmaster. link
Belgia 2020-11-13 1.500 EUR Nieznany Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODO, Art. 37 (5) RODO, Art. 37 (7) RODO Belgijski organ ochrony danych (APD / GBA) nałożył grzywnę w wysokości 1500 EUR na przedsiębiorstwo budownictwa społecznego za nieprzestrzeganie kilku zasad RODO, takich jak przetwarzanie danych, a także zasad legalności i przejrzystości (np. niewystarczająca polityka prywatności, brak informacje o monitoringu kamer). link
Włochy 2020-11-12 12.251.601 EUR Vodafone Italia S.p.A. Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 15 (1) RODO, Art. 16 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 32 RODO, Art. 33 RODO Firma została ukarana grzywną w wysokości 12 251 601 EUR za niezgodne z prawem przetwarzanie danych osobowych milionów klientów w celach telemarketingowych. Postępowanie zostało poprzedzone setkami skarg osób, których dane dotyczą, na niezamówione rozmowy telefoniczne, które doprowadziły do ​​wszczęcia dochodzenia przez organ ochrony danych. Dochodzenie ujawniło kilka naruszeń prawa o ochronie danych, w tym naruszenie wymogów dotyczących zgody oraz naruszenie ogólnych obowiązków w zakresie ochrony danych, takich jak odpowiedzialność. Jedną z głównych krytyki ze strony Agencji Ochrony Danych było wykorzystywanie fałszywych numerów do wykonywania promocyjnych połączeń przez zakontraktowane call center (tj. numery telefonów niezarejestrowane w Krajowym Skonsolidowanym Rejestrze Operatorów Łączności). Ponadto dalsze naruszenia można znaleźć w obsłudze list kontaktów zakupionych od zewnętrznych dostawców. Wreszcie, środki bezpieczeństwa dotyczące zarządzania danymi klientów również uznano za nieodpowiednie. link
Niemcy 2020-11-11 900.000 EUR Dostawca usług telekomunikacyjnych (1 & 1 Telecom GmbH) Art. 32 RODO The Controller to firma oferująca usługi telekomunikacyjne. Osoba dzwoniąca może uzyskać obszerne informacje na temat danych osobowych klienta z działu obsługi klienta firmy, po prostu wprowadzając imię i nazwisko klienta oraz datę urodzenia. W tej procedurze uwierzytelniania BfDI grozi naruszeniem art.32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych nałożona kara znalazła się na dolnym końcu skali. - Aktualizacja: 11 listopada 2020 r., Po odwołaniu się od grzywny, Sąd Okręgowy w Bonn uznał, że chociaż grzywna jest co do zasady uzasadniona, to jest ona nieuzasadniona. W związku z tym izba obniżyła grzywnę z pierwotnie 9,55 mln EUR do 900 000 EUR. Jednym z powodów redukcji był fakt, że procedura firmy dotycząca uwierzytelniania klientów wykorzystywana przez jej infolinię telefoniczną (wymagająca jedynie imienia i nazwiska oraz daty urodzenia osoby dzwoniącej) pozostawała przez długi czas niezakłócona, w związku z czym firmie brakowało konkretnej świadomości problem, który prowadzi do tego, że konkretną winę w tym przypadku należało sklasyfikować jako raczej niską. Ponadto, według sądu, naruszenie było również niewielkie, ponieważ nie mogło doprowadzić do masowego wycieku danych. link
Hiszpania 2020-11-05 75.000 EUR Telefonica Moviles Espana, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Firma wystawiła osobie, której dane dotyczą, kilka faktur i zebrała kwoty faktur z jego konta bankowego, mimo że nie był on klientem firmy. Skargi osoby, której dane dotyczą, na firmę pozostały bezskuteczne. link
Niemcy 2020-11-11 900.000 EUR Dostawca usług telekomunikacyjnych (1 & 1 Telecom GmbH) Art. 32 RODO The Controller to firma oferująca usługi telekomunikacyjne. Osoba dzwoniąca może uzyskać obszerne informacje na temat danych osobowych klienta z działu obsługi klienta firmy, po prostu wprowadzając imię i nazwisko klienta oraz datę urodzenia. W tej procedurze uwierzytelniania BfDI grozi naruszeniem art.32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych nałożona kara znalazła się na dolnym końcu skali. - Aktualizacja: 11 listopada 2020 r., Po odwołaniu się od grzywny, Sąd Okręgowy w Bonn uznał, że chociaż grzywna jest co do zasady uzasadniona, to jest ona nieuzasadniona. W związku z tym izba obniżyła grzywnę z pierwotnie 9,55 mln EUR do 900 000 EUR. Jednym z powodów redukcji był fakt, że procedura firmy dotycząca uwierzytelniania klientów wykorzystywana przez jej infolinię telefoniczną (wymagająca jedynie imienia i nazwiska oraz daty urodzenia osoby dzwoniącej) pozostawała przez długi czas niezakłócona, w związku z czym firmie brakowało konkretnej świadomości problem, który prowadzi do tego, że konkretną winę w tym przypadku należało sklasyfikować jako raczej niską. Ponadto, według sądu, naruszenie było również niewielkie, ponieważ nie mogło doprowadzić do masowego wycieku danych. link
Hiszpania 2020-11-05 75.000 EUR Telefonica Moviles Espana, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Firma wystawiła osobie, której dane dotyczą, kilka faktur i zebrała kwoty faktur z jego konta bankowego, mimo że nie był on klientem firmy. Skargi osoby, której dane dotyczą, na firmę pozostały bezskuteczne. link
Hiszpania 2020-11-03 30.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Vodafone zażądało spłaty długu od niewłaściwej osoby z powodu błędów w prawidłowym przypisywaniu umów z klientami. Kara została nałożona z powodu przetwarzania danych osobowych bez wystarczającej podstawy prawnej. link
Wielka Brytania 2020-10-30 20.450.000 EUR Marriott International, Inc Art. 32 RODO ICO wydało zawiadomienie o zamiarze ukarania Marriott International Inc w związku z incydentem cybernetycznym, który został zgłoszony ICO przez Marriott w listopadzie 2018 r. Różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie zostały ujawnione przez incydent, z czego około 30 mln dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). Siedem milionów związanych z mieszkańcami Wielkiej Brytanii. Uważa się, że luka zaczęła się, gdy systemy grupy hoteli Starwood zostały naruszone w 2014 roku. Następnie Marriott przejął Starwood w 2016 roku, ale ujawnienie informacji o klientach zostało odkryte dopiero w 2018 roku. Dochodzenie ICO wykazało, że Marriott nie przeprowadził wystarczającej analizy due diligence. kiedy kupił Starwood i powinien był zrobić więcej, aby zabezpieczyć swoje systemy. -> Aktualizacja: 30.10.2020 ICO ogłosiło ostateczną decyzję o nałożeniu grzywny w wysokości 18,4 miliona funtów (około 20,4 miliona euro) na Marriott International Inc. W swojej decyzji ICO przedstawiła swoje rozważania do obliczenia grzywny, która obejmowała brak wcześniejszych naruszeń lub zaniechań przez Marriott oraz fakt, że Marriott w pełni współpracował w dochodzeniu i podjął kroki w celu powiadomienia zainteresowanych osób. Ponadto ICO zauważyła, że ​​dostosowała się również do innych kar nałożonych już na inne przedsiębiorstwa - w szczególności także na inne europejskie organy ochrony danych. link
Hiszpania 2020-10-28 36.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej z powodu błędów w prawidłowym przypisaniu umów z klientami link
Hiszpania 2020-10-28 4.000 EUR Play Orenes, S.L. Art. 5 (1) c) RODO Firma wykorzystywała kamery CCTV poza swoją siedzibą. Monitoring uchwycił także przestrzeń publiczną, co naruszyło zasadę minimalizacji danych. link
Włochy 2020-10-26 20.000 EUR Università Campus Bio-medico di Roma (Polyclinic) Art. 5 (2) a), f) RODO, Art. 9 RODO W przypadku zgłoszenia naruszenia danych zgodnie z art. 33 RODO, organ ochrony danych stwierdził, że pacjenci uzyskujący dostęp do swoich raportów medycznych online za pośrednictwem smartfonów mogą również uzyskać dostęp do danych dotyczących zdrowia 74 innych pacjentów. Jak podaje poliklinika, powodem tego był błąd człowieka w integracji dwóch systemów informatycznych. link
Węgry 2020-10-23 54.800 EUR Deichmann Cipőkereskedelmi Korlátolt Felelősségű Társaságnak Art. 12 RODO, Art. 15 RODO, Art. 18 (1) c) RODO, Art. 25 RODO Administrator danych odmówił osobie, której dane dotyczą, dostępu do materiału wideo nagranego przez CCTV w lokalnym sklepie, za pomocą którego osoba, której dane dotyczą, chciała udowodnić, że nie otrzymała zwrotu pieniędzy po dokonaniu płatności w sklepie. Spółka nie tylko odmówiła osobie, której dane dotyczą, dostępu do danych zgodnie z art. 15 RODO (z argumentem, że wymagałoby to oficjalnego nakazu), ale również usunęła nagrania wideo po pewnym czasie, chociaż osoba, której dane dotyczą, zażądała od firmy, aby nie usuwała danych z wyprzedzeniem zgodnie z art. 18 ust.1 lit.c) RODO. link
Cypr 2020-10-22 6.000 EUR Policja cypryjska Art. 32 RODO Policjant miał nieuprawniony dostęp do bazy danych zawierającej dane osobowe właścicieli pojazdów i wykorzystywał tę bazę do celów nieoficjalnych - przekazywał informacje z bazy danych osobom trzecim. W tym względzie środki organizacyjne i techniczne podjęte przez policję w celu zapobieżenia nieuprawnionemu dostępowi do bazy danych były niewystarczające, aby zapobiec nieuprawnionemu ujawnieniu danych osobowych osobom trzecim. link
Hiszpania 2020-10-09 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 6 RODO Wykorzystanie kamery CCTV, która rejestrowała przestrzeń prywatną sąsiada. link
Hiszpania 2020-10-09 5.000 EUR Caja Rural San José de Nules S. Cooperativa de Crédito Art. 5 (1) f) RODO Firma opublikowała informacje z imionami i nazwiskami swoich pracowników, co doprowadziło do ujawnienia sytuacji finansowej osoby, której dane dotyczą link
Hiszpania 2020-10-06 4.000 EUR Callesgarcia, S.L. Art. 5 RODO, Art. 6 RODO Wykorzystanie zdjęcia osób, których dane dotyczą, do celów komercyjnych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-10-03 3.000 EUR Avata Hispania, S.L. Art. 5 RODO, Art. 6 RODO, Art. 28 (3) g) RODO Dane osobowe były przetwarzane po rozwiązaniu stosunku umownego przez administratora z przetwarzającym, co naruszyło art. 28 ust. 3 lit. g) RODO. link
Hiszpania 2020-09-22 7.800 EUR Iweb Internet Learning, S.L. Art. 7 RODO, Art. 12 RODO, Art. 13 RODO Brak informacji w polityce prywatności (informacje o administratorze danych) oraz niedostateczne uzyskanie zgody, gdyż można było wyrazić jedynie zgodę ogólną bez rozróżnienia pomiędzy różnymi celami przetwarzania danych. link
Hiszpania 2020-08-05 3.000 EUR Restauracja Art. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODO Kamety CCTV monitorowały również przestrzeń publiczną bez spełnienia obowiązku informacyjnego. link
Polska 2020-06-03 1.168 EUR Przedsiębiorca prowadzący niepubliczne żłobek i przedszkole Art. 31 RODO, Art. 58 RODO Kara za brak odpowiedzi na wnioski urzędu ochrony danych o dalsze informacje w odpowiednim czasie po naruszeniu danych. link
Litwa 2020-10-21 15.000 EUR Zarząd Miasta Wilna Art. 5 (1) d) RODO, Art. 5 (1) f) RODO Podczas synchronizacji danych Systemu Ewidencji Ludności Urzędu Miasta z bazami Państwowego Ośrodka Ewidencji Działalności Gospodarczej, dane osobowe osoby ubiegającej się o wychowanie dziecka przysposobionego zostały zastąpione z powodu błędu danymi osobowymi biologicznych rodziców, które następnie były dostępne w ewidencji ludności Republiki Litewskiej. Stanowiło to naruszenie zasad integralności i poufności przetwarzania danych osobowych (art. 5 ust. 1 lit. f) RODO) oraz naruszenie zasady prawidłowości. link
Cypr 2020-10-19 1.000 EUR Grant Ideas Ltd Art. 5 RODO, Art. 6 RODO Wysyłanie e-maili do osób, których dane dotyczą, bez wystarczającej podstawy prawnej. link
Cypr 2020-10-19 15.000 EUR Bank of Cyprus Public Company Ltd Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 15 RODO, Art. 32 RODO, Art. 33 RODO Osoba, której dane dotyczą, złożyła wniosek o dostęp do informacji zgodnie z art. 15 RODO, na które nie można było odpowiedzieć, ponieważ nie można było znaleźć umowy ubezpieczenia osoby. Stanowiło to naruszenie praw osoby, której dane dotyczą, na podstawie art. 15 RODO oraz naruszenie obowiązku ochrony danych osobowych zgodnie z art. 5 (1) f) RODO i art. 32 RODO. Ponadto, obowiązek powiadomienia o naruszeniu danych zgodnie z art. 33 f. RODO również zostały naruszone, ponieważ osoba, której dane dotyczą, nie została poinformowana o zdarzeniu bezpieczeństwa w odpowiednim czasie. link
Węgry 2020-07-23 1.700 EUR Pracodawca Art. 12 RODO, Art. 15 RODO, Art. 17 RODO Brak zmiany prywatnego adresu zamieszkania pracownika na jego nowy adres, a take nieusunięcie starego adresu oraz utrudnianie pracownikowi moliwości realizacji jego prac link
Węgry 2020-07-16 28 EUR Google Ireland Ltd. Art. 12 RODO, Art. 15 RODO Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do informacji (art. 15 RODO - tutaj: o danych przetwarzanych w kontekście Google AdWords) w odpowiednim terminie. link
Hiszpania 2020-10-09 900 EUR Café Restaurante B.B.B Art. 5 (1) c) RODO W kawiarni zastosowano kamery CCTV, które uchwyciły również przestrzeń publiczną na zewnątrz, naruszając tzw. zasadę minimalizacji danych. link
Hiszpania 2020-10-09 50.000 EUR Centro de Investigación y Estudio para la Obesidad, SL Art. 5 RODO, Art. 6 RODO Kary za przekazanie danych osobowych do Evo Finance EFC, SA w trakcie rozpatrywania wniosku o ubezpieczenie zdrowotne, bez wystarczającej podstawy prawnej do przeniesienia danych, ponieważ przedmiotowe leczenie nigdy nie zostało przeprowadzone. link
Hiszpania 2020-10-06 60.000 EUR Lycamobile Art. 5 RODO, Art. 6 RODO Kara za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej z powodu błędnych informacji o posiadaczach przedpłaconych kart telefonicznych (niezgodność między zarejestrowanymi właścicielami w rejestrze handlowym firmy a faktycznymi właścicielami kart). link
Niemcy 2020-10-01 35.258.708 EUR H&M Hennes & Mauritz Online Shop A.B. & Co. KG Art. 5 RODO, Art. 6 RODO Firma modowa z siedzibą w Hamburgu prowadzi centrum usługowe w Norymberdze. Tutaj, zgodnie z ustaleniami Inspektora Ochrony Danych z Hamburga, od co najmniej 2014 roku w sposób wyczerpujący rejestrowane są okoliczności życia prywatnego niektórych pracowników, a informacje te są przechowywane na dysku sieciowym. Na przykład firma przeprowadziła „Welcome Back Talk” po powrocie pracowników do pracy po urlopie lub chorobie. Informacje, które stały się znane w tym kontekście - w tym informacje o objawach choroby i diagnozach pracowników - były rejestrowane i przechowywane. Ponadto, według organu ochrony danych w Hamburgu, niektórzy nadzorcy używali również „Flurfunk” [co oznacza, że ​​można usłyszeć coś pocztą pantoflową], aby zdobyć szeroką wiedzę na temat poszczególnych pracowników, na przykład na temat problemów rodzinnych i przekonań religijnych. Informacje zapisane na dysku sieciowym były dostępne nawet dla 50 menadżerów firmy i służyły między innymi do oceny wydajności pracy pracowników i podejmowania decyzji o zatrudnieniu. Zbieranie danych stało się znane z powodu błędu konfiguracji technicznej w październiku 2019 r., zgodnie z którym dane przechowywane na dysku sieciowym były dostępne w całej firmie przez kilka godzin. Po ujawnieniu naruszenia kierownictwo przeprosiło pracowników i zaproponowało odszkodowanie pieniężne. Ponadto wraz z organem ochrony danych wprowadzono również dalsze środki ochronne. [Uwaga: Konkretna podstawa prawna kary nie została jeszcze opublikowana - zakładamy, że będzie to głównie art. 5 i 6 RODO] link
Rumunia 2020-10-01 3.000 EUR Megareduceri TV S.R.L. Art. 31 RODO, Art. 58 RODO Kara za niezastosowanie się do polecenia urzędu ochrony danych. link
Rumunia 2020-10-01 2.000 EUR Asociația de proprietari Militari R Art. 31 RODO, Art. 58 RODO Kara za niezastosowanie się do polecenia urzędu ochrony danych. link
Włochy 2020-09-30 80.000 EUR Azienda Ospedaliera di Rilievo Nazionale 'Antonio Cardarelli' (Private Hospital) Art. 5 (1) a) RODO, Art. 6 RODO, Art. 13 RODO, Art. 28 RODO, Art. 32 RODO Według organu ochrony danych dane osobowe uczestników konkursu publicznego zostały ujawnione w internecie bezprawnie. Powodem tego był fakt, że na skutek błędu konfiguracji lista kodów przydzielonych kandydatom była tymczasowo dostępna na platformie, co umożliwiało dostęp do dokumentów przesłanych przez kandydatów z ich danymi osobowymi. Było to naruszenie zasady ochrony bezpieczeństwa informacji. Ponadto organ ochrony danych stwierdził, że obowiązki informacyjne również nie zostały spełnione, a szpital nie przedstawił wystarczającej umowy o przetwarzanie danych z podmiotem przetwarzającym dane. link
Włochy 2020-09-30 60.000 EUR Scanshare s.r.l. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 32 RODO Według organu ochrony danych dane osobowe uczestników konkursu publicznego zostały ujawnione w internecie bezprawnie. Powodem tego był fakt, że w wyniku błędu konfiguracji na platformie była chwilowo dostępna lista kodów przydzielonych kandydatom, co umożliwiało dostęp do dokumentów przesłanych przez kandydatów z ich danymi osobowymi. Było to naruszenie zasady ochrony bezpieczeństwa informacji, za które Scanshare - który był podmiotem przetwarzającym dane w imieniu administratora danych „Azienda Ospedaliera di Rilievo Nazionale 'Antonio Cardarelli'” (prywatny szpital) - został ukarany grzywną w euro 60.000. link
Hiszpania 2020-09-30 3.000 EUR Venu Sanz Chef, S.L. Art. 5 RODO, Art. 6 RODO Wykorzystywanie danych osobowych do celów reklamowych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-25 60.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 6 RODO Brak usunięcia danych osobowych w momencie rozwiązania umowy o świadczenie usług telefonicznych i wysłanie ostrzeżenia do osoby, której dane dotyczą. Przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. link
Norwegia 2020-09-25 13.900 EUR Odin Flissenter AS Art. 5 RODO, Art. 6 RODO Firma dokonała oceny wiarygodności innej firmy i tym samym przetwarzała dane osobowe dotyczące osoby fizycznej (właściciela ocenianej firmy) bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-22 60.000 EUR GLP Instalaciones 86, SL Art. 5 RODO, Art. 6 RODO W celu uzyskania pomocy przy instalacji systemu klimatyzacji osoba, której dane dotyczą, skontaktowała się z Naturgy Energy Group S.A. Następnie skontaktowały się z nią dwie różne firmy, z których jedną była GLP Instalaciones 86, która udawała pracowników Naturgy. Naturgy zaprzeczył i stwierdził, że firmy nie są ani autoryzowanymi instalatorami, ani pracownikami Naturgy, co skutkuje przetwarzaniem danych osobowych osoby, której dane dotyczą, w tym jej imienia, nazwiska, numeru telefonu, danych bankowych i adresu e-mail bez podstawy prawnej. link
Belgia 2020-09-07 5.000 EUR Były burmistrz gminy Art. 5 RODO, Art. 6 RODO Kara została nałożona z powodu wysyłki ogłoszeń wyboryczych do obywateli bez wystarczającej podstawy prawnej przetwarzania danych osobowych. link
Grecja 2020-09-11 8.000 EUR Osoba prywatna Art. 5 RODO Administrator korzystał z kamery CCTV monitorującą również przestrzeń publiczną.
Grecja 2020-08-03 3.000 EUR Kandydat do wyborów parlamentarnych Art. 15 RODO Kara została nałożona za brak odpowiedzi na wniosek osoby, której dane dotyczą (art.15). Osoba, której dane dotyczą, otrzymywała telefony w sprawie kandydowania w wyborach parlamentarnych.
Węgry 2020-07-23 560 EUR Forbes Hungary Art. 5 RODO, Art. 6 RODO Grzywna nałożona na Forbes Węgry za opublikowanie listy 50 najbogatszych Węgrów oraz listy największych firm rodzinnych bez przeprowadzenia dostatecznego ważenia interesów (art. 6 ust. 1 lit. f) RODO). link
Włochy 2020-09-07 2.000 EUR Istituto Comprensivo Statale Crucoli Torretta Art. 5 (1) f) RODO, Art. 32 RODO Publikacja danych osobowych uczniów na stronie internetowej Instytutu (zawierające m. in. informacje o stanie zdrowia i postępach w nauce) z powodu awarii technicznej. link
Włochy 2020-01-30 4.000 EUR Comune di Colledara Art. 5 RODO, Art. 6 RODO Publikacja dokumentów dotyczących zamówienia publicznego z danymi osobowymi na stronie internetowej link
Włochy 2020-07-02 15.000 EUR Mapei S.p.A. Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO Firma nie odpowiedziała na żądanie dostępu do danych osobowych osoby, której dane dotyczą. Ponadto ukarana firma pozostawiła aktywne konto e-mail osoby zainteresowanej nawet po rozwiązaniu umowy. link
Polska 2020-09-08 11.200 EUR Szkoła Główna Gospodarstwa Wiejskiego w Warszawie Art. 32 RODO Kradzież prywatnego laptopa uczelni, który również korzystał z tego urządzenia w celach służbowych i na którym znajdowały się dane osobowe kandydatów na studia w SGGW do działań rekrutacyjnych. link
Polska 2020-08-31 22.700 EUR Geodeta Generalny Polski („GKK”) Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej. link
Rumunia 2020-09-08 2.000 EUR Sanatatea Press Group S.R.L. Art. 5 (1) f) RODO, Art. 32 RODO Przesyłanie danych osobowych zebranych w celu rejestracji na kurs online innym uczestnikom z powodu awarii technicznej. link
Rumunia 2020-09-01 500 EUR Stowarzyszenie właścicieli budynków mieszkalnych Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODO Eksport nieruchomego obrazu z systemu monitoringu wideo i umieszczenie go na billboardzie budynku bez wystarczającej podstawy prawnej. Ponadto naruszenie obowiązków informacyjnych wynikających z art. 12, 13 RODO i naruszenie art. 25 i 32 RODO, ponieważ nie podano wystarczających informacji na temat kamery przemysłowej oraz nie podjęto wystarczających technicznych i organizacyjnych środków bezpieczeństwa w celu ochrony danych osobowych gromadzonych przez system monitoringu wizyjnego. link
Hiszpania 2020-09-17 60.000 EUR Vodafone España, SAU Art. 5 RODO, Art. 6 RODO Były klient otrzymywał e-maile zawierające rachunki elektroniczne nawet po rozwiązaniu umowy z firmą, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-17 3.000 EUR Grupo Carolizan Art. 5 RODO Obsługa systemów kamer CCTV w strefie arkadowej przed budynkiem, czyli obejmująca również przestrzeń publiczną. Naruszyło to zasady minimalizacji danych, ponieważ kamery monitoringu mogły być obsługiwane w sposób, który nie wpływałby na przestrzeń publiczną. link
Hiszpania 2020-09-16 10.000 EUR Property owners community Art. 5 RODO Publikacja dokumentu zawierającego dane osobowe (informacje o tożsamości osoby, której dane dotyczą, a także o zadłużeniu) na tablicy ogłoszeń społecznościowych. link
Hiszpania 2020-09-11 1.500 EUR Political Party Art. 5 RODO, Art. 6 RODO Wysłanie e-maila do byłego członka partii, który złożył rezygnację, z wnioskiem o pełnienie funkcji pełnomocnika w wyborach bez wystarczającej podstawy prawnej do przetwarzania danych osobowych w tym celu link
Hiszpania 2020-09-07 3.000 EUR Barcelona Airport Security Guard Association ('AVSAB') Art. 5 (1) f) RODO Członek komitetu bezpieczeństwa AVSAB używał WhatsApp do wysyłania wiadomości na prywatne numery telefonów zawierających dane osobowe pracowników. Stanowiło to naruszenie zasady poufności, której według hiszspańskiego urzędu ochrony danych musi przestrzegać nie tylko administrator danych, ale także każdy inny podmiot zaangażowany na jakimkolwiek etapie przetwarzania. link
Hiszpania 2020-09-01 75.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Według organu nadzorczego spółka przetwarzała dane osobowe bez wystarczającej podstawy prawnej, w wyniku czego osoba, której dane dotyczą, otrzymała kilkaset niechcianych połączeń i wiadomości SMS. link
Hiszpania 2020-08-28 50.000 EUR Bankia S.A. Art. 5 (1) b) RODO Bank przez kilka lat przechował dane osobowe osoby, nie była już jego klientem. W tym czasie dane były również dostępne dla pracowników banku. Stanowiło to naruszenie zasady celowości. link
Hiszpania 2020-08-28 5.000 EUR Basketball Federation of Castilla and Leon Art. 5 RODO, Art. 6 RODO Związek Koszykówki przekazał dane osobowe stronom trzecim, które zostały następnie opublikowane w Internecie bez zgody osób, których dane dotyczą. Ponadto organ ochrony danych uznał, że Federacja Koszykówki ujawniła również gazecie dane osobowe, naruszając - dodatkowo - zasadę integralności i poufności (art. 5 ust. 1 lit. f) RODO). link
Hiszpania 2020-07-31 1.500 EUR Tour & People Max S.L. Art. 21 RODO Wysyłanie informacji marketingowych pomimo sprzeciwu osób, których dane dotyczą. Oprócz RODO uznano to również za naruszenie art. 48 ust. 1 lit. b) ustawy ogólnej 9/2014 (hiszpańskie prawo krajowe). link
Hiszpania 2020-08-17 5.000 EUR Partia Socjalistów Katalonii Art. 5 (1) b) RODO Osoba, której dane dotyczą złożyła skargę na Socjalistyczną Partię Katalonii, która wykorzystała, przekazane przez lekarza, dane osobowe do wysyłki listu z prośbą o poparcie polityczne. Dane zostały wykorzystane w innym celu i tym samym została naruszona zasada celowości. link
Estonia 2020-08-17 48 EUR Policjant Art. 5 RODO, Art. 6 RODO Kara została nałożona za wykorzystanie danych osobowych z policyjnej bazy danych na potrzeby prywatnych działań badawczych. link
Włochy 2020-08-10 10.000 EUR Cavauto S.R.L. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO Kara została nałożona za wykorzystanie dostępu do danych osobowych byłego pracownika (zawierających historię przeglądarki) na jego komputerze służbowym. link
Włochy 2020-08-10 10.000 EUR Społeczność Baronissi Art. 5 RODO, Art. 6 RODO Społeczność opublikowała na swojej stronie internetowej dane osobowe osób, których dane dotyczą, w tym imiona i nazwiska, daty urodzenia, miejsce urodzenia, miejsce zamieszkania itp. link
Hiszpania 2020-08-06 3.000 EUR GROW BEATS SL Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Spółka opublikowała na swojej stronie internetowej politykę plików cookies, która z jednej strony nie zawierała informacji o celu ich wykorzystywania, a z drugiej strony nie zawierała informacji o właściwościach zainstalowanych plików cookies oraz okresie ich aktywności w urządzeniu końcowym użytkownika końcowego. link
Włochy 2020-08-06 3.000 EUR GTL S.R.L. Art. 12 RODOR, Art. 15 RODO Brak pełnego dostępu do danych osobowych osoby, której dane dotyczą, zgodnie z art. 15 RODO. link
Hiszpania 2020-08-06 3.000 EUR Just Landed S.L. Art. 13 RODO Just Landed został ukarany grzywną w wysokości 3000 EUR za niewystarczające informacje o plikach cookie zgodnie z krajowymi przepisami o ochronie danych i jednocześnie ostrzeżony za niewystarczające wypełnienie obowiązków informacyjnych zgodnie z art. 13 RODO (polityka prywatności tylko w języku angielskim). link
Francja 2020-08-05 250.000 EUR Spartoo Art. 5 (1) RODO, Art. 13 RODO, Art. 14 RODO Na sprzedawcę internetowego Spartoo nałożono grzywnę w wysokości 250000 EUR. Firma, która ma swoją siedzibę we Francji, ale zaopatruje wiele krajów europejskich, w pełni rejestrowała wszystkie rozmowy telefoniczne z infolinią (w tym dane osobowe, takie jak adres i dane bankowe zamówień), a ponadto częściowo zapisywała dane bankowe niezaszyfrowane. Stanowi to między innymi naruszenie zasady minimalizacji danych. Ponadto organ nadzorczy stwierdził naruszenie obowiązków informacyjnych zgodnie z art. 13 RODO, ponieważ informacje dotyczące ochrony danych firmy były częściowo nieprawidłowe. link
Finlandia 2020-08-05 7.000 EUR Acc Consulting Varsinais-Suomi Art. 5 RODO, Art. 6 RODO Niezamówione marketingowe SMS-y bez uprzedniej zgody link
Hiszpania 05.08.2020 3.000 EUR Restauracja Art. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODO Instalacja kamer monitorujących CCTV monitorujących również przestrzeń publiczną bez odpowiedniej informacji. link
Austria 2020-08-05 100 EUR Bank Art. 5 RODO, Art. 6 RODO Pracownik banku sporządził kopię dowodu osobistego klienta, który chciał wymienić 100 euro w obcej walucie i uzasadnił to powołując się na ustawę o przeciwdziałaniu prania brudnych pieniędzy. Konieczność takiej weryfikacji dotyczy jednak kwot powyżej 1000 EUR.
Włochy 2020-08-05 2.000 EUR Szkoła Art. 5 RODO, Art. 6 RODO Umieszczenie danych osobowych uczniów na publicznej tablicy ogłoszeń. link
Dania 2020-08-04 20.100 EUR PrivatBo A.M.B.A. Art. 5 RODO, Art. 32 RODO W ramach sprzedaży nieruchomości spółka dystrybuowała pendrive'y USB, które zawierały nie tylko dane nieosobowe dotyczące przedmiotowych nieruchomości, ale także dane osobowe innych osób, takie jak umowy najmu i inne dokumenty zawierające poufne dane osobowe. link
Hiszpania 2020-08-04 60.000 EUR Vodafone España, SAU Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała od Vodafone potwierdzenie przeniesienia numeru, którego ta ostatnia nigdy nie zleciła. link
Włochy 2020-08-04 15.000 EUR Mapei S.p.A. Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODO Firma pozostawiła aktywne konto e-mail osoby, której dane dotyczą, nawet po rozwiązaniu stosunku pracy i automatycznie przekazywała przychodzące wiadomości e-mail. Firma nie dostarczyła wystarczających informacji na ten temat. Ponadto firma nie reagowała na żądania dostępu i usunięcia. link
Włochy 2020-08-04 5.000 EUR National Institute for Social Security - Department of the Province of Brescia Art. 15 RODO Brak pełnego dostępu do danych dotyczących zdrowia osoby, której dane dotyczą, zgodnie z art. 15 RODO. link
Włochy 2020-08-04 1.000 EUR Supermarket Art. 5 RODO, Art. 6 RODO Operator supermarketu umieścił pismo o zwolnieniu kierownika personalnego na widocznej publicznie tablicy ogłoszeń supermarketu. link
Hiszpania 2020-07-31 45.000 EUR Vodafone España SAU Art. 5 RODO, Art. 6 RODO Bezprawne przetwarzanie numeru telefonu w celach marketingowych, pomimo skorzystania przez osobę, której dane dotyczą z prawa do usunięcia danych. link
Rumunia 2020-07-30 2.000 EUR SC Viva Credit IFN SA Art. 17 RODO Firma nie poinformowała osoby, której dane dotyczą, w ciągu jednego miesiąca (lub do trzech miesięcy, jeśli podano przyczynę opóźnienia) o środkach podjętych w związku z żądaniem usunięcia danych. link
Rumunia 2020-07-30 2.000 EUR Romanian Post National Company Art. 32 RODO Przetwarzanie danych osobowych, a mianowicie numerów telefonów i adresów e-mail 81 osób, których dane dotyczą, przez pocztę rumuńską jako administratora danych, przy braku odpowiednich środków technicznych i organizacyjnych, takich jak pseudonimizacja. link
Włochy 2020-07-30 2.000 EUR Społeczność Mandurii Art. 5 RODO, Art. 6 RODO Społeczność przekazała prasie dane osobowe pracownika społeczności bez wystarczającej podstawy prawnej. link
Włochy 2020-07-29 3.000 EUR Społeczność San Giorgio Jonico Art. 5 RODO, Art. 6 RODO Publikacja danych osobowych na stronie internetowej gminy w związku z postępowaniem sądowym. link
Włochy 2020-07-29 4.000 EUR Region Kampania Art. 5 RODO, Art. 6 RODO Publikacja tytułu egzekucyjnego w postępowaniu cywilnym na stronie internetowej Województwa. W dokumencie wymieniono nazwiska i miejsce zamieszkania oraz kwotę roszczenia. link
Belgia 2020-07-28 3.000 EUR Gminne Stowarzyszenie Polityczne Art. 5 RODO, Art. 6 RODO, Art. 14 RODO Lokalne stowarzyszenie polityczne rozesłało do mieszkańców gminy ogłoszenia wyborcze dotyczące wyborów samorządowych w 2018 r. W tym celu stowarzyszenie wykorzystało listę wyborczą z 2012 r. i porównało ją z listą z 2018 r., Bez wystarczającej podstawy prawnej i bez odpowiednich informacje zgodnie z art. 14 RODO. link
Rumunia 2020-07-27 5.000 EUR SC Cntar Tarom SA Art. 32 RODO Nieuprawnione ujawnienie danych pięciu pasażerów Tarom z powodu nieodpowiednich środków technicznych i organizacyjnych dla bezpiecznego przetwarzania danych. Spółka została między innymi zobowiązana do podjęcia działań naprawczych, w tym przeszkolenia pracowników oraz przeprowadzenia procedur oceny ryzyka. link
Polska 2020-07-15 22.300 EUR Biuro Geodezji i Kartografii Art. 31 RODO, Art. 58 RODO Niewystarczająca współpraca z organem nadzorczym link
Belgia 2020-07-14 5.000 EUR Operator telewizji przemysłowej budynku mieszkalnego Art. 6 RODO, Art. 7 RODO Operator kamer wideo zainstalował na nieruchomości mieszkalnej kamery do monitorowania obszaru wspólnego dwóch bloków. Administrator danych argumentował, że właściciele wyrazili na to zgodę, podpisując poświadczone notarialnie umowy kupna. Jednak organ ochrony danych, po sprawdzeniu umów, zaprzeczył temu. link
Belgia 2020-06-08 5.000 EUR Pracownik komunalny Art. 5 RODO, Art. 6 RODO W kontekście wyborów samorządowych w 2018 roku administrator danych wysłał ogłoszenia wyborcze grupie pracowników tej samej administracji miejskiej, korzystając z listy danych kontaktowych, do których nie miał dostępu. link
Belgia 2019-12-17 2.000 EUR Organizacja opieki pielęgniarskiej Art. 12 RODO, Art. 15 RODO, Art. 17 RODO Spółka nie zareagowała na żądania osoby, której dane dotyczą, o uzyskanie dostępu do jej danych i ich usunięcia. link
Belgia 2019-12-17 15.000 EUR Portal internetowy z wiadomościami prawniczymi Art. 6 RODO, Art. 12 RODO, Art. 13 RODO Operator witryny z wiadomościami prawniczymi miał oświadczenie o ochronie prywatności dostępne tylko w języku angielskim, chociaż było ono również adresowane do odbiorców mówiących po holendersku i francusku. Ponadto pierwsza wersja oświadczenia o ochronie prywatności nie była łatwo dostępna i nie wspominała o podstawie prawnej przetwarzania danych w ramach RODO. Ponadto, w nawiązaniu do orzeczenia ETS w sprawie Planety 49, stwierdzono, że na korzystanie z Google Analytics wymagana jest skuteczna zgoda. link
Włochy 2020-03-06 4.000 EUR Liceo Artistico Statale di Napoli Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Z decyzji włoskiego urzędu ochrony danych wynika, że ​​szkoła średnia bezprawnie opublikowała dane zdrowotne i inne informacje w rankingach nauczycieli publikowanych na stronie internetowej Instytutu. Niniejsza publikacja została wydana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych. link
Włochy 2020-03-06 4.000 EUR Liceo Scientifico Nobel di Torre del Greco Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Decyzja włoskiego urzędu ochrony danych ujawnia, że ​​liceum bezprawnie opublikowało dane zdrowotne i inne informacje o ponad 2000 nauczycieli w rankingach nauczycieli publikowanych na stronie internetowej Instytutu. Niniejsza publikacja została wydana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych. link
Włochy 2020-03-05 3.000 EUR San Giorgio Jonico Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Publikacja danych osobowych obywatela na stronie internetowej i niezastosowanie się do żądań usunięcia. link
Rumunia 2020-04-23 3.000 EUR Estee Lauder Romania Art. 6 RODO, Art. 7 RODO, Art. 9 RODO Przetwarzanie danych osobowych bez wystarczającej podstawy prawnej, w tym danych dotyczących zdrowia. link
Rumunia 2020-04-23 3.000 EUR Telekom Romania Communications SA Art. 32 RODO Spółka nie podjęła wystarczających środków technicznych i organizacyjnych, aby zapewnić poprawność danych osobowych przekazywanych telefonicznie w celu zawarcia umów. Doprowadziło to do zawierania umów telefonicznych w imieniu innych osób, których dane dotyczą link
Hiszpania 2020-03-06 3.200 EUR Detalista Art. 13 RODO, Art. 14 RODO Niewystarczająca deklaracja nadzoru wideo. link
Rumunia 2020-07-30 2.000 EUR SC Viva Credit IFN SA Art. 17 RODO Firma nie poinformowała osoby, której dane dotyczą, w ciągu jednego miesiąca (lub do trzech miesięcy, jeśli podano przyczynę opóźnienia) o środkach podjętych w następstwie żądania usunięcia danych. link
Dania 2020-07-28 147.800 EUR rp-Hansen Hotel Group A/S Art. 5 (1) e) RODO W trakcie kontroli organ nadzorczy dokonał przeglądu szeregu systemów informatycznych w celu sprawdzenia, czy Arp-Hansen dysponował wystarczającymi procedurami zapewniającymi, że dane osobowe nie są przechowywane dłużej niż jest to konieczne do celów ich gromadzenia. Stwierdzono, że jeden z systemów rezerwacji zawierał dużą ilość danych osobowych, które należało już usunąć zgodnie z terminami usuwania ustalonymi przez samą Arp-Hansen.
Rumunia 2020-07-27 5.000 EUR SC Cntar Tarom SA Art. 32 RODO Nieuprawnione ujawnienie danych pięciu pasażerów Tarom z powodu nieodpowiednich środków technicznych i organizacyjnych dla bezpiecznego przetwarzania danych. Spółka została między innymi zobowiązana do podjęcia działań naprawczych, w tym przeszkolenia pracowników oraz przeprowadzenia procedur oceny ryzyka. link
Hiszpania 2020-07-23 10.000 EUR El Periódico de Catalunya, S.L.U. Art. 5 RODO, Art. 6 RODO Po skierowaniu do firmy prośby o usunięcie, osoba, której dane dotyczą, otrzymała kolejny biuletyn z gazety, chociaż El Periódico de Catalunya twierdziła, że ​​przychyliła się do żądania. Było to spowodowane awarią zewnętrznego usługodawcy firmy. link
Hiszpania 2020-07-23 55.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Telefónica Móviles España przetworzyła dane osobowe osoby, której dane dotyczą, takie jak imię i nazwisko oraz dane bankowe, w celu aktywacji trzech linii telefonicznych, o które nigdy nie wnioskowano. Stanowi to naruszenie zasady zgodności z prawem przetwarzania. link
Hiszpania 2020-07-23 70.000 EUR 70.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Konto osoby, której dane dotyczą, zostało obciążone dwoma liniami telefonicznymi, których nigdy nie zamówił ani nie zatwierdził. Stanowiło to niezgodne z prawem przetwarzanie danych osobowych, ponieważ informacje o osobie, której dane dotyczą, były przechowywane w systemach informatycznych Telefónica Móviles España bez podstawy prawnej do wystawiania faktur. link
Hiszpania 2020-07-23 75.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Firma przeniosłą numer telefonu klienta do innego operatora bez jego zgody. Dane osobowe zostały przekazane do firmy Telefónica Móviles España bez wystarczającej podstawy prawnej. link
Hiszpania 2020-07-23 5.000 EUR Xfera Moviles S.A. Art. 58 RODO W następstwie skargi Xfera Móviles została wezwana przez hiszpański urząd ochrony danych do przedstawienia pewnych informacji i dokumentów, ale nie uczyniła tego w wyznaczonym terminie. link
Hiszpania 2020-07-23 5.000 EUR El Real Sporting de Gijón S.A.D. Art. 6 RODO, Art. 7 RODO Kary za wysyłanie bezpośrednich komunikatów marketingowych bez wystarczającej zgody, ponieważ formularz Real Sporting de Gijón przesłany członkom klubu nie był zgodny z RODO (rezygnacja zamiast zgody). link
Hiszpania 2020-07-20 24.000 EUR Banco Bilbao Vizcaya Argentaria, SA Art. 5 RODO, Art. 6 RODO BBVA nie miała uzasadnionej podstawy do przetwarzania danych osoby, której dane dotyczą i tym samym naruszyła art. 6 ust. 1 RODO, ponieważ spółka przetwarzała pliki z informacjami dotyczącymi wypłacalności i kredytu bez wcześniejszego stosunku umownego z osobą, której dane dotyczą. link
Hiszpania 2020-07-20 40.000 EUR Iberia Lae SA Operadora Unipersonal Art. 58 RODO Spółka nie udostępniła osobie, której dane dotyczą, zapisów telefonicznych. Wniosek skarżącej o dostęp nie otrzymał odpowiedzi pomimo wcześniejszego nakazu hiszpanskiego organu nadzorczego. link
Hiszpania 2020-07-20 1.5000 EUR Comercial Vigobrandy, SL Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Kara została nałożona za zainstalowanie monitoringu CCTV bez odpowiednich informacji na ten temat. link
Hiszpania 2020-07-20 80.000 EUR Orange Espagne S.A.U. Art. 5 RODO, Art. 6 RODO Firma bezprawnie aktywowała kilka umów dotyczących linii telefonicznych, wykorzystując dane osobowe osoby, której dane dotyczą. Stanowiło to niezgodną z prawem operację przetwarzania, ponieważ dane osoby, której dane dotyczą, zostały wprowadzone do bazy danych firmy i tam przetwarzane bez uzasadnionej podstawy prawnej. link
Hiszpania 2020-07-20 70.000 EUR Xfera Moviles S.A. Art. 5 RODO Osoba, której dane dotyczą, otrzymała telefon od innego klienta Xfera Móviles, który stwierdził, że firma obciążyła jego konto bankowe fakturą, ujawniając dane osobowe drugiej osoby, której dane dotyczą. Było to spowodowane błędem ze strony Xfera Móviles, a zatem stanowiło naruszenie zasad integralności i poufności. link
Belgia 2020-07-14 600.000 EUR Google Belgium SA Art. 5 RODO, Art. 6 RODO, Art. 17 (1) a) RODO, Art. 12 RODO Belgijski organ ochrony danych nałożył na Google Belgium SA, spółkę zależną Google, grzywnę w wysokości 600 000 EURO. Przyczyną nałożenia grzywny było odrzucenie wniosku osoby, której dane dotyczą, o wyrejestrowanie nieaktualnych artykułów, które ta osoba uznała za szkodliwe dla jej reputacji oraz brak przejrzystości w formularzu Google dotyczącym wniosków o wyrejestrowanie. Belgijski organ ochrony danych stwierdził, że artykuły zwiazane ze skargami dotyczącymi bezpodstawnego molestowania mogą mieć poważne konsekwencje dla osób, których dane dotyczą, a zatem osoby fizyczne były uprawnione do usunięcia / wyrejestrowania artykułów. Dotyczy to również osób sprawujących urzędy polityczne, mimo że urzędy te są generalnie mniej warte ochrony ze względu na ich status publiczny, a artykuły dotyczące osób politycznych mogą w związku z tym być przechowywane przez dłuższy okres. Odrzucenie aplikacji przez Google było zatem naruszeniem art. 17 RODO (kara za to naruszenie: 500 000 EUR). Ponadto nałożono kolejne 100 000 EUR za naruszenie zasady przejrzystości, ponieważ odrzucenie przez Google wniosku o usunięcie nie było wystarczająco uzasadnione. link
Włochy 2020-07-13 200.000 EUR Merlini s.r.l. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 28 RODO, Art. 29 RODO Firma prowadziła działania telemarketingowe w imieniu Wind Tre SpA za pośrednictwem zewnętrznego dostawcy jako podmiotu przetwarzającego dane bez wystarczającej podstawy prawnej do przetwarzania danych (art. 5-7 RODO) i bez wystarczających uzgodnień umownych (art. 28, 29 RODO) z dostawca zewnętrzny. link
Włochy 2020-07-13 16.700.000 EUR Wind Tre S.p.A. Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 24 RODO, Art. 25 RODO Kary za kilka niezgodnych z prawem czynności przetwarzania danych związanych z marketingiem bezpośrednim. Setki osób, których dane dotyczą, twierdziło, że otrzymały niezamówioną komunikację wysłaną bez ich uprzedniej zgody za pośrednictwem wiadomości SMS, e-mail, rozmów telefonicznych i połączeń automatycznych. Osoby, których dane dotyczą, nie mogły skorzystać z przysługującego im prawa do cofnięcia zgody oraz sprzeciwienia się przetwarzaniu w celach marketingu bezpośredniego, ponieważ informacje zawarte w Polityce Ochrony Danych były niekompletne w stosunku do danych kontaktowych. Ponadto organ ochrony danych stwierdził, że mimo sprzeciwu dane osób, których dane dotyczą, zostały opublikowane na publicznych listach telefonicznych. Ponadto kilka aplikacji dystrybuowanych przez firmę zostało skonfigurowanych w taki sposób, że użytkownik za każdym razem, gdy miał do nich dostęp, musiał wyrażać zgodę na różne czynności przetwarzania, z możliwością cofnięcia zgody dopiero po 24 godzinach. link
Włochy 2020-07-13 800.000 EUR Iliad Italia S.p.A. Art. 5 RODO, Art. 25 RODO Kara została nałożona z powodu naruszeń ochrony danych dotyczących przetwarzania danych klientów w celu aktywacji kart SIM oraz sposobu rejestracji danych płatniczych. Ponadto organ ochrony danych stwierdził, że spółka naruszyła zasady legalności, rzetelności i przejrzystości oraz integralności i poufności w zakresie przetwarzania danych osobowych do celów marketingu bezpośredniego oraz przechowywania danych klientów w obszarze osobowym swojej witryny internetowej. link
Polska 2020-07-10 3.400 EUR East Power Sp. z o.o. Art. 31 RODO, Art. 58 RODO Po trzech wezwaniach do East Power, w których ta ostatnia nie przedstawiła wystarczających wyjaśnień w sprawie skargi dotyczącej marketingu bezpośredniego, Urzad Ochrony Danych Osobowych stwierdził, że East Power celowo utrudniało przebieg postępowania lub przynajmniej nie wywiązywało się ze swoich zobowiązań dotyczących współpracy z organem nadzoryczym. link
Norwegia 2020-07-10 46.660 EUR Municipality of Rælingen Art. 32 RODO, Art. 35 RODO Grzywna za przetwarzanie danych dotyczących zdrowia dzieci w związku z niepełnosprawnością za pośrednictwem cyfrowej platformy edukacyjnej „Showbie”. Gmina nie przeprowadziła oceny skutków dla ochrony danych („DPIA”) zgodnie z art. 35 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) („RODO”) przed rozpoczęciem przetwarzania oraz nie podjął odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO, co skutkuje zwiększonym ryzykiem nieuprawnionego dostępu do danych osobowych uczniów. link
Hiszpania 2020-07-10 1.500 EUR Auto Desguaces Iglesias S.L. Art. 5 RODO Firma zainstalowała kamery monitorujące, które zarejestrowały drogę publiczną, a tym samym naruszyły zasadę minimalizacji danych. link
Hiszpania 2020-07-10 1.000 EUR Centro Internacional De Crecimiento Laboral Y Profesional S.L. Art. 5 RODO, Art. 6 RODO Wysyłanie wiadomości handlowych bez zgody i bez możliwości sprzeciwu. link
Hiszpania 2020-07-10 12.000 EUR Vodafone España, SAU Art. 5 RODO Kary zostaly nałożone za naruszenie art. 5 (1) d) RODO w celu zmiany podstawowych danych klienta na nazwisko osoby trzeciej, byłego małżonka klienta. link
Hiszpania 2020-07-10 5.000 EUR Global Business Travel Spain SLU Art. 32 RODO Grzywna została poprzedzona udostępnieniem pracownikowi danych zdrowotnych osoby, której dotyczy postępowanie. W trakcie dochodzenia organ ochrony danych stwierdził, że Global Business Travel Spain, jako administrator danych, naruszył art. 32 ust. 2 i 4 RODO, nie podejmując odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym ujawnienieniem. link
Hiszpania 2020-07-10 5.000 EUR School Fitness Holiday & Franchising S.L. Art. 5 RODO Naruszenie zasady przejrzystości. W tej chwili brak dalszych informacji. link
Hiszpania 2020-07-10 55.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 32 RODO Firma zmieniła umowę na połączenie telefonu komórkowego z nowym właścicielem, dzięki czemu dane osobowe osoby, której dane dotyczą, takie jak jej adres i numery telefonów, były swobodnie dostępne. Stanowiło to naruszenie zasad poufności i integralności. link
Rumunia 2020-07-09 15.000 EUR Proleasing Motors SRL Art. 32 RODO Spółka nie podjęła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, co doprowadziło do opublikowania na Facebooku dokumentu zawierającego hasło dostępu do danych osobowych 436 klientów. link
Holandia 2020-07-06 830.000 EUR Bureau Krediet Registration ('BKR') Art. 12 RODO, Art. 15 RODO BKR rządał zapłąty za dostęp do swoich danych osobowych. Bezpłatnie udzielał takich informacji tylko raz rocznie. link
Hiszpania 2020-07-02 24.000 EUR Iberdrola Clientes Art. 5 RODO Osoba trzecia otrzymała rachunek za prąd zawierający dane osobowe, takie jak imię i nazwisko, adres i konto bankowe innego klienta. Powodem tego był fakt, że Iberdola Clientes nie była w stanie zagwarantować odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych osoby, której dane dotyczą, z naruszeniem zasad integralności i poufności danych. Grzywna w wysokości 40 000 EUR została obniżona do 24 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2020-07-02 4.000 EUR De Vere Spain S.L. Art. 21 RODO Firma nie odpowiedziała na żądanie osoby, której dane dotyczą, o zaprzestanie przetwarzania jej danych, w związku z czym osoba, której dane dotyczą, nadal otrzymywała telefony handlowe. link
Norwegia 2020-07-02 28.000 EUR Odin Flissenter AS Art. 5 RODO, Art. 6 RODO Firma oceniła wiarygodność innej firmy i tym samym przetwarzała dane osobowe dotyczące osoby fizycznej (właściciela ocenianej firmy) bez wystarczającej podstawy prawnej. link
Hiszpania 2020-07-02 3.600 EUR Saunier-Tec Mantenimientos de Calor y Frio, SL Art. 33 RODO Chociaż firma podjęła kroki w celu usunięcia naruszenia danych, nie poinformowała hiszpańskiego urzędu ochrony danych w wystarczającym stopniu. W rezultacie organ nadzorczy nałożył grzywnę w wysokości 4.800 EUR, która została obniżona do 3.600 EUR z powodu dobrowolnej wpłaty. link
Hiszpania 2020-07-02 5.000 EUR Xfera Moviles S.A. Art. 31 RODO, Art. 58 RODO Firma nie współpracowała dostatecznie z organem ochrony danych. link
Niemcy 2020-06-30 1.240.000 EUR Allgemeine Ortskrankenkasse ("AOK") (health insurance company) Art. 5 RODO, Art. 6 RODO, Art. 32 RODO W latach 2015-2019 AOK Baden-Württemberg (organizacja ubezpieczeniowa) przy różnych okazjach organizowała konkursy i zbierała dane osobowe uczestników, w tym ich dane kontaktowe i ubezpieczenie zdrowotne. AOK chciał również wykorzystać te dane do celów reklamowych, o ile uczestnicy wyrazili na to zgodę. Za pomocą środków technicznych i organizacyjnych, w tym wewnętrznych wytycznych i szkoleń z zakresu ochrony danych, AOK chciał zapewnić, aby do celów reklamowych wykorzystywane były wyłącznie dane tych uczestników konkursu, którzy wcześniej wyrazili skuteczną zgodę. Jednak środki określone przez AOK nie spełniały wymogów prawnych. W efekcie dane osobowe ponad 500 uczestników loterii zostały wykorzystane do celów reklamowych bez ich zgody. Natychmiast po tym, jak stało się to znane, AOK Baden-Württemberg wstrzymał wszelkie działania marketingowe, aby dokładnie zbadać wszystkie procesy. link
Dania 2020-06-30 6.700 EUR Lejre Municipality Art. 5 RODO, Art. 6 RODO, Art. 33 RODO, Art. 34 RODO Organ ochrony danych ustalił, że Miejski Ośrodek Dzieci i Młodzieży w Lejre regularnie przesyłał protokoły spotkań zawierających szczególnie wrażliwe i wrażliwe dane osobowe, w tym obywateli poniżej 18 roku życia, do Miejskiego Portalu Kadrowego Lejre, do którego mieli dostęp pracownicy gmina Lejre, niezależnie od tego, czy pracownicy, o których mowa, zajmowali się tymi sprawami. Ponadto organ ochrony danych zaprzeczył niedopełnieniu obowiązku poinformowania osób, których dane dotyczą, o naruszeniu ochrony danych. link
Irlandia 2020-06-30 40.000 EUR Tusla Child and Family Agency Art. 33 RODO Organizacja wysłała list z zarzutami nadużycia do strony trzeciej, która następnie przesłała go do sieci społecznościowych. link
Grecja 2020-06-29 5.000 EUR New York College S.A. Art. 5 RODO Kolegium skontaktowało się ze skarżącym bezpośrednio telefonicznie w sprawie programu edukacyjnego i przetworzyło dane osobowe w nieprzejrzysty sposób.
Wyspa Man 2020-06-25 13.500 EUR Department of Home Affairs Art. 12 RODO, Art. 15 RODO Kary za nieprzestrzeganie prawa dostępu do danych osobowych na podstawie art. 12 i 15 RODO. Wyspa Man zadeklarowała, że ​​RODO - choć nie jest państwem UE - ma zastosowanie. link
Hiszpania 2020-06-23 7.500 EUR Miraclia (telecommunications company) Art. 5 RODO, Art. 6 RODO Nagrywanie żartów telefonicznych za pośrednictwem aplikacji oznacza przetwarzanie danych osobowych zgodnie z obowiązującym prawem o ochronie danych, ponieważ głosy osób mogą stanowić dane osobowe, jeśli są powiązane z innymi informacjami, takimi jak numer telefonu. Zgoda użytkowników pod koniec rozmowy nie była w tym przypadku wystarczająca. link
Hiszpania 2020-06-22 2.000 EUR Nieznany Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Nielegalne używanie kamer CCTV ze względu na pokrycie przestrzeni publicznej i nagrywanie przechodzących pieszych. Ponadto niedostateczne wypełnianie obowiązków informacyjnych. link
Norwegia 22.06.2020 112.000 EUR Szpital Østfold HF Art. 32 RODO Stwierdzono, że Szpital Østfold HF przechowywał dane pacjentów, w tym dane wrażliwe, takie jak powód hospitalizacji, w latach 2013-2019 bez kontrolowania dostępu do folderów, w których były przechowywane. Norweski urząd ochrony danych uznał zatem, że szpital nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych i tym samym naruszył RODO oraz ustawę o dokumentacji pacjentów. link
Belgia 2020-06-19 10.000 EUR Nieznany Art. 5 RODO, Art. 6 RODO, Art. 15 RODO Firma wysłała wiadomość e-mail do osoby zainteresowanej bez jej zgody. Następnie osoba zainteresowana zażądała aktualnych informacji o wpisach w bazie danych dotyczących jej osoby, na które nie udzielono odpowiedzi. link
Norwegia 2020-06-19 28.000 EUR Aquateknikk AS Art. 5 RODO, Art. 6 RODO Żądanie danych od agencji kredytowej bez podstawy prawnej. link
Hiszpania 2020-06-19 6.000 EUR National Police Brigade Art. 5 RODO, Art. 6 RODO Wykonywanie kopii akt handlowych firmy w kontekście dochodzeń, które zawierały dane od osób trzecich i dla których nie było podstawy prawnej do przetwarzania. link
Rumunia 2020-06-18 4.000 EUR Enel Energie Art. 32 RODO Niepodjęcie odpowiednich środków zapobiegających ujawnieniu danych osobowych przez osoby nieuprawnione. Kara została poprzedzona skargą na udostępnienie danych osobowych osoby, której dane dotyczą, innemu klientowi drogą elektroniczną. link
Hiszpania 2020-06-16 2.000 EUR Café Bar Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Nielegalne używanie kamer CCTV (nagrywanie osób trzecich) i niedostateczne wypełnianie obowiązków informacyjnych. link
Szwecja 2020-06-16 1.900 EUR Housing Association Art. 5 RODO, Art. 6 RODO Bezprawne użycie kamer monitorujących. W decyzji organ ochrony danych podkreślił, że nagrania dźwiękowe mają dodatkowe konsekwencje dla prywatności, szczególnie w budynku mieszkalnym, i że w tym przypadku nie ma co uzasadniać nagrania dźwiękowego. Ponadto decyzja nakazuje spółdzielni mieszkaniowej zatrzymanie kamer rejestrujących klatki schodowe i wejścia, zaprzestanie nagrywania dźwięku oraz poprawę informacji o monitoringu kamer. link
Belgia 2020-06-16 1.000 EUR Nieznany Art. 17 RODO, Art. 21 RODO, Art. 31 RODO Osoba, której dane dotyczą, wielokrotnie otrzymywała e-maile z treścią reklamową od firmy, chociaż sprzeciwiła się przetwarzaniu swoich danych osobowych i zażądała usunięcia swoich danych. Ponadto firma nie odpowiedziała na żadne zapytania ze strony organu ochrony danych w tym zakresie. link
Hiszpania 2020-06-15 75.000 EUR Xfera Moviles S.A. Art. 6 RODO Osoba, której dane dotyczą, otrzymała zawiadomienie od firmy windykacyjnej, żądające zapłaty w związku z usługami Xfera Móviles, mimo że ta osoba nie była klientem Xfera Móviles od września 2017 r. Ponadto w rezolucji stwierdzono, że Xfera Móviles przeprowadziła przetwarzanie dane osobowe skarżącego bez jego zgody, co stanowi naruszenie art.6 RODO. link
Węgry 2020-06-12 288.000 EUR Digi Távközlési Szolgáltató Kft. ("Digi") (electronic communication service provider) Art. 5 (1) b), (e) RODO, Art. 32 (1), (2) RODO Firma naruszyła zasady celowości i ograniczenia przechowywania, ponieważ w jej bazie danych znajdowała się duża liczba danych klientów, które nie były już istotne z punktu widzenia faktycznego celu gromadzenia i dla których nie określono okresu przechowywania. Ponadto węgierski urząd ochrony danych zwrócił uwagę, że pozwany nie podjął proporcjonalnych środków w celu zmniejszenia ryzyka w obszarze zarządzania danymi i bezpieczeństwa danych, m.in. nie stosował mechanizmów szyfrowania. link
Rumunia 2020-06-11 3.000 EUR Telekom Romania Art. 32 RODO Niewystarczające środki bezpieczeństwa firmy doprowadziły do ​​niezgodnego z prawem przetwarzania danych osobowych bez weryfikacji ich prawidłowości. Z tego powodu na Telekom Romania została nałożona kara pieniężna za naruszenie art.32 RODO, a wprowadzenie skutecznych mechanizmów identyfikacji i ochrony danych przed nieuprawnionym ujawnieniem i niezgodnym z prawem przetwarzaniem nakazuje zapewnienie zgodności z RODO. link
Hiszpania 2020-06-09 5.000 EUR Consulting de Seguridad e Investigacion Mira Dp Madrid S.L. Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała wiadomości marketingowe bez udzieloną przez nią zgodę. link
Hiszpania 2020-06-09 540 EUR Chenming Ye (Bazar Real) Art. 13 RODO, Art. 14 RODO Kara została nałożona z powodu braku spełnienia obowiązku informacyjnego przy wykorzystywaniu kamery CCTV w sklepie. link
Hiszpania 2020-06-09 1.000 EUR Właściciel posesji Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która uchwyciła także publiczne drogi na zewnątrz, naruszając tzw. Zasadę minimalizacji danych. link
Hiszpania 2020-06-09 75.000 EUR Equifax Iberica, S.L. Art. 15 RODO Osoba, której dane dotyczą, zażądała drogą elektroniczną usunięcia swoich danych z akt Krajowego Stowarzyszenia Instytucji Kredytowych Finansowych („ASNEF”). Equifax Iberica odpowiedział, że skorzystanie z prawa skarżącego było nadmierne z powodu wcześniejszego wniosku i że w związku z tym usunięcie nie zostanie wykonane. Było to postrzegane jako naruszenie praw osób, których dane dotyczą, do usunięcia zgodnie z RODO, a także naruszenie obowiązków blokowania wynikających z krajowych przepisów o ochronie danych. link
Hiszpania 2020-06-09 39.000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO Klient twierdził, że otrzymał SMS od Xfera Móviles informujący o braku płatności i wynikającym z niej zawieszeniu usługi w związku z kontem innej osoby, której dane dotyczą. link
Hiszpania 2020-06-09 25.000 EUR Glovoapp23 Art. 37 RODO Firma nie wyznaczyła inspektora ochrony danych (IOD), do którego można było kierować wnioski osób, których dane dotyczą, również na stronie internetowej nie było informacji o wyznaczonym IOD. link
Hiszpania 2020-06-09 40.000 EUR TELEFONICA MOVILES ESPAÑA, S.A.U. Art. 6 RODO Przedstawiciel handlowy nie sprawdził dokładnie tożsamości powoda, aby mógł pojawić się w imieniu osoby, której dane dotyczą, i zamówić połączenie telefoniczne dla czterech linii telefonicznych w jego imieniu. link
Hiszpania 2020-06-09 3.000 EUR Salad Market S.L. (Catering Company) Art. 13 RODO, Art. 14 RODO Kara została nałożona za brak wystarczających informacji o przetwarzaniu danych w związku z nadzorem wideo w siedzibie firmy oraz za niewystarczające informacje, dotyczące plików cookie używanych na stronie internetowej. link
Hiszpania 2020-06-09 2.000 EUR Adwokat Art. 32 RODO W toku postępowania pełnomocnik przedłożył dokumenty, które zawierały dane osobowe innych stron. link
Hiszpania 2020-06-09 2.000 EUR Właściciel posesji Art. 5 (1) c) RODO Kara została nałożona za wykorzystanie kamery CCTV, która uchwyciła także drogi publiczne na zewnątrz, naruszając tzw. zasadę minimalizacji danych. link
Hiszpania 2020-06-04 4.000 EUR Iberdrola Clientes Art. 58 RODO Firma została poproszona o przekazanie hiszpanskiemu urzędowi ochrony danych osobowych szczegółowych informacji dotyczących skargi. Firma nie odpowiedziała jednak na żądanie organów ochrony danych w określonym terminie, co stanowi naruszenie art. 58 RODO. link
Belgia 2020-05-29 1.000 EUR Organizacja non-profit Art. 6 RODO, Art. 21 RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 1000 EUR na organizację non-profit za wysyłanie komunikatów marketingu bezpośredniego, mimo że osoby, których dane dotyczą, skorzystały z prawa do usunięcia danych i sprzeciwu. Organizacja twierdziła, że ​​opierała się na uzasadnionych interesach jako podstawie prawnej, a nie na wyraźnej zgodzie osób, których dane dotyczą. Organ ochrony danych zaprzeczył jednak istnieniu jakiegokolwiek przeważającego uzasadnionego interesu. link
Finlandia 2020-05-22 72.000 EUR Taksi Helsinki Art. 5 RODO, Art. 6 RODO, Art. 35 RODO Firma nie oceniła ryzyka i konsekwencji przetwarzania danych osobowych przed wprowadzeniem systemu nadzoru kamery, który rejestruje dźwięk i obraz w taksówkach, a także nie przeprowadziła ocen wpływu swoich działań związanych z przetwarzaniem danych, w tym nadzoru nad kamery bezpieczeństwa, przetwarzanie danych o lokalizacji, automatyczne podejmowanie decyzji i profilowanie w ramach programu lojalnościowego. Ponadto przetwarzanie danych dźwiękowych było niezgodne z zasadą minimalizacji danych RODO. link
Belgia 2020-05-14 50.000 EUR Dostawca mediów społecznościowych Art. 6 RODO Firma wysłała zaproszenia do kontaktów przesłanych przez użytkowników bez ich zgody lub jakiejkolwiek innej podstawy prawnej. link
Bułgaria 2020-04-14 2.000 EUR Partia polityczna Art. 6 RODO Sfałszowanie podpisów na liście wyborców. link
Estonia 2020-04-30 500 EUR Wspólnota mieszkaniowa Art. 6 RODO Grzywna w wysokości 500 EUR przeciwko spółdzielni mieszkaniowej za opublikowanie zdjęć przedstawiających członków stowarzyszenia bez ich zgody. link
Węgry 2020-03-26 2.890 EUR Bank Art. 5 RODO, Art. 6 RODO Z powodu błędu administracyjnego dane osobowe osoby, której dane dotyczą, zostały zarejestrowane i przekazane do Centralnego Systemu Informacji Kredytowej (CCI) w związku z umową pożyczki, przy czym osoba, której dane dotyczą, nie jest stroną umowy. link
Węgry 2020-03-19 5.800 EUR Nieznana firma Art. 6 RODO, Art. 15 RODO Administrator danych nie wywiązał się z obowiązku dotyczącego prawa dostępu do nagrań wideo, a także nie był w stanie wykazać, że jego działania związane z przetwarzaniem danych były zgodne z przepisami o ochronie danych. link
Węgry 2020-03-09 870 EUR Wierzyciel Art. 5 RODO, Art. 6 RODO Kara została nałożona z powodu wysyłki wiadomości SMS do osoby, której dane dotyczą, jako przypomnienie o długu, który został już spłacony. link
Węgry 2020-01-24 1.450 EUR Biuro rachunkowe Art. 24 RODO, Art. 32 RODO Osoby trzecie, nieupoważnione mogły mieć dostęp do wydrukowanej listy klientów firmy księgowej, która zawierała dane osobowe. link
Norwegia 2020-05-19 283.000 EUR Bergen Municipality Art. 5 (1) f) RODO, Art. 32 RODO Kara została nałożona z powodu kilku niedociągnięć w zakresie bezpieczeństwa i niezgodności z ogólnymi zasadami przetwarzania danych w module do komunikacji między szkołami a rodzicami. link
Norwegia 2020-05-03 134.000 EUR Telenor Norge AS Art. 32 RODO Naruszenie bezpieczeństwa w poczcie głosowej link
Finlandia 2020-05-22 100.000 EUR Posti Group Oyj Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO Firma stosowała marketing bezpośredni wobec osób, które zażądały zaprzestania przetwarzania ich danych osobowych. Dochodzenia ujawniły również, że informacje o ochronie danych dostarczone przez firmę nie były wystarczająco przejrzyste. link
Finlandia 2020-05-22 16.000 EUR Kymen Vesi Oy Art. 35 RODO Firma nie przeprowadzila oceny skutków dla ochrony danych (DPIA / OSOD) w przypadku przetwarzania danych dotyczących lokalizacji pracowników za pomocą systemu informacji o pojeździe. link
Finlandia 2020-05-22 12.500 EUR Nieznana firma Art. 5 RODO, Art. 6 RODO Firma przetwarzała dane osobowe pracowników bez wystarczającej podstawy prawnej. link
Rumunia 2020-05-05 5.000 EUR Banca Comercială Română SA Art. 32 RODO Firma nie zastosowała właściwych środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. Dotyczy to w szczególności gromadzenia i przekazywania kopii dokumentów identyfikacyjnych klientów za pośrednictwem WhatsApp. link
Szwecja 2020-05-12 11.200 EUR Rada Zdrowia i Medycyny Okręgu Örebro Art. 5 RODO, Art. 6 RODO Firma opublikowała danye osobowe pacjenta bez wystarczającej podstawy prawnej. link
Irlandia 2020-05-17 75.000 EUR Tusla Art. 5 GDPR, Art. 6 GDPR Firma błędnie ujawniła dane osobowe, w tym informacje o dzieciach, osobom nieupoważnionym. W jednym przypadku dane kontaktowe i lokalizacyjne matki i dziecka zostały ujawnione domniemanemu sprawcy, a w dwóch innych przypadkach dane dotyczące dzieci przebywających w rodzinie zastępczej zostały nieprawidłowo ujawnione krewnym, w tym w jednym przypadku ojcu, który przebywał w więzieniu. link
Dania 2020-05-15 6.700 EUR JobTeam A/S DKK Art. 15 GDPR Niewystarczające spełnienie prawa osób, których dane dotyczą link
Holandia 2020-04-30 725.000 EUR Nieznana organizacja Art. 5 RODO, Art. 9 RODO Organizacja wymagała od swoich pracowników skanowania odcisków palców w celu sprawdzania obecności. Urząd ochrony danych stwierdził, że argumentacja organizacji pozwalająca przetwarzać dane szczególnej kategorii jest niewystarczająca, ponadto firma nie posiadała wyrażonej zgody pracowników do przetwarzania tych danych. link
Szwecja 2020-04-29 18.700 EUR Krajowe Centrum Obsługi Rządowej (NGSC) Art. 33 RODO, Art. 34 RODO Firma zwlekała z powiadomieniem o naruszeniu danych. Potrzebowała prawie 5 miesięcy, aby poinformować osoby, których dane zostały naruszone oraz prawie 3 miesiący aby zawiadomić urząd o naruszeniu związanym z brakiem odpowiednich zabezpieczeń w systemie IT. link
Belgia 2020-04-28 50.000 EUR Proximus SA Art. 31 RODO, Art. 58 RODO, Art. 37 RODO Według organu ds. ochrony danych Inspektor Ochrony Danych spółki nie był wystarczająco zaangażowany w przetwarzanie naruszeń danych osobowych, a firma nie posiadała systemu zapobiegającego konfliktowi interesów IOD, który zajmował również wiele innych stanowisk w przedsiębiorstwo (szef działu zgodności i audytu), co doprowadziło organ ochrony danych do wniosku, że Inspektor Ochrony Danych przedsiębiorstwa nie mógł wykonywać swoich zadań w sposób należyty. link
Bułgaria 2020-02-20 2.560 EUR T.K. EOOD Art. 25 (1) RODO, Art. 32 RODO "Firma przetwarzała dane osobowe niezgodnie z prawem 9 razy w ciągu 5 miesięcy. Naruszenia spowodowały szkody dla osoby, której dane dotyczyły. Ponadto T.K. EOOD przyjął niewystarczające środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa informacji. "
Bułgaria 2020-02-20 2.560 EUR L.E. EOOD Art. 25 (1) RODO, Art. 32 RODO, Art. 6 RODO "Firma przetwarzała dane osobowe niezgodnie z prawem 7 razy w ciągu 3 miesięcy. Ponadto firma nie zastosowała odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Oprócz nałożonej kary pieniężnej, błgarski urząd ochrony danych zalecił ukaranej firmie przeprowadzenie regularnych kontroli obszarów, w których dochodzi do przetwarzania danych osobowych, przeprowadzenia analizy ryzyka oraz przeszkolenie pracowników z zakresu ochrony danych. Urząd nakazał również archiwizację dokumentów wyłącznie w konkretnym celu i w ramach czasowych wymaganych przez prawo. "
Bułgaria 2020-01-06 5.110 EUR Utility Company Art. 6 (1) RODO Firma przetwarzała dane osobowe niezgodnie z prawem. Dane osobowe zostały wykorzystane do wszczęscia postępowania egzekucyjnego z tytułu zaległych zobowiązań płatniczych. W konsekwencji komornik zajął wynagrodzenie poszkodowanej osoby.
Niemcy 2019 50.000 EUR Nieznana firma Art. 15 RODO, Art. 28 RODO "Administrator korzystał z usług firmy zewnętrznej, która na jego polecenie przetwarzała dane osobowe. Podwykonawca prowadził korespondencje z osobami, ktorych dane dotyczą, w języku angielskim i pod własnych logo. W rezultacie administrator danych naruszył zasadę przejrzystości określoną w art. 12 RODO i nie wypełnił w wystarczającym stopniu swojego obowiązku dostarczenia informacji zgodnie z art. 15 RODO. Ponadto organ nadzorujący ochronę danych stwierdził, że nie zawarto żadnej pisemnej umowy na przetwarzanie danych między administratorem danych a firmą zewnętrzną, co stanowi dalsze naruszenie art. 28 (9) RODO."
Włochy 2020-02-13 4.000 EUR Comune di Urago Art. 5 RODO, Art. 6 RODO Lokalna rada opublikowała na swojej stronie internetowej informacje zawierające dane osobowe, w tym informacje o stanie zdrowia. link
Polska 2020-03-09 4.000 EUR Vis Consulting Sp. z o.o. Art. 31 RODO, Art. 58 RODO Firma uniemożliwiła Urzędowi Ochrony Danych Osobowych przeprowadzenie kontroli. link
Hiszpania 2019-12-10 5.000 EUR Shop Macoyn, S.L. Art. 32 RODO Firma wysłała e-maile zawierające treści marketingowe, w których adresaci widzieli adresy mailowe wszystkich osób, które otrzymały tego maila. Adresy odbiorców zostały wymienione przy użyciu funkcji DW (do wiadomości) zamiast UDW (do ukrytej wiadomości). link
Rumunia 2020-03-25 2.000 EUR SOS Infertility Association Art. 58 RODO Stowarzyszenie przetwarzało dane osobowe bez wystarczającej podstawy prawnej. Ponadto, nie przekazało do urzędu ochrony danych osobowych wymaganych informacji. link
Rumunia 2020-03-25 3.000 EUR Enel Energie Art. 32 RODO Firma wysłała wiadomość e-mail do klienta, który zawierał dane osobowe innego klienta. Firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. link
Rumunia 2020-03-25 4.150 EUR Vodafone Romania Art. 32 RODO Firma wysłała wiadomość e-mail do klienta, który zawierał dane osobowe innego klienta. Firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. link
Rumunia 2020-03-25 3.000 EUR Dante International Art. 6 RODO, Art. 21 RODO Firma wysłała e-mail zawierajacy informacje marketingowe do klienta, który wcześniej zrezygnował z otrzymywania tego typu wiadomości. link
Hiszpania 2020-03-25 5.000 EUR Xfera Moviles S.A Art. 58 RODO Firma nie dostarczyła urzędowi ochrony danych osobowych wymaganych informacji w odpowiednim czasie. Wniosek hiszpańskiego urzędu ochrony danych osobowych poprzedzony był wnioskiem osoby, której dane dotyczą o dostęp do jej danych osobowych. link
Chorwacja 2020-03-13 nieznana Bank (nazwa w tej chwili niedostępna) Art. 15 (1), (3) RODO "Bank (w okresie od maja 2018 r. - do kwietnia 2019 r.) odmówił przekazania kopii dokumentacji kredytowej (np. planu spłaty, aneksu umowy kredytowej, przeglądu zmian stóp procentowych itp.). Bank tłumaczył, że dokumentacja dotyczy spłaconych pożyczek, dlatego w tym przypadku nie obowiązuje prawo dostępu do informacji. Organ ochrony danych nakazał Bankowi dostarczyć kopie dokumentów. Na wysokość kary miał wpływ brak zastosowania zarządzonych środków, kontynuowanie takiej praktyki przez ponad rok oraz odmówienie prawa dostępu do danych ponad 2500 klientów. Wysokość kary nie jest jeszcze znana, ale chorwacki urząd ochrony danych zapowiedział, że z uwagi na powyższe, należy spodziewać się wysokiej grzywny."
Niemcy 2019-08-05 200 EUR Osoba prywatna (kanał YouTube) Art. 5 RODO, Art. 6 RODO Osoba prywatna wykorzystała kamerę samochodową do nagrania ruchu publicznego, a następnie opublikowała je na YouTube. link
Grecja 2020-03-20 8.000 EUR Centrum Mowy i Edukacji Specjalnej - Mihou Dimitra Art. 15 RODO, Art. 58 RODO "Administrator danych odmówił dostępu do danych osobowych skarżącego (informacje podatkowe oraz na temat danych swojego dziecka). Ponadto administrator danych naruszył polecenie urzędu ochrony danych dotyczące dostępu do danych. Z tego powodu nałożono grzywnę w wysokości 8000 EUR: 3000 EUR za nieprzyznanie dostępu do danych i 5000 EUR za naruszenie nakazów organu ochrony danych."
Grecja 2020-02-21 5.000 EUR Public Power Corporation S.A. Art. 15 RODO W decyzji wyjaśniono, że osoby, których dane dotyczą, mają prawo dostępu do przetwarzania swoich danych osobowych oraz należy im także dostarczyć kopię przetwarzanych danych osobowych. Żądanie nie wymaga podania przyczyny
Węgry 2020-03-04 290 EUR Przedstawiciel samorządu lokalnego Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODO "Lokalny przedstawiciel zrobił zdjęcie dyrektorowi firmy należącej w całości do samorządu w towarzystwie jego dziecka. Zdjęcie przedstawiało dyrektora rzekomo odrywającego plakat wyborczy opozycji. Lokalny przedstawiciel zamieścił to zdjęcie na Facebooku. Obraz dziecka był zamazany, ale pod zdjęciem była informacja, że to córka dyrektora. Dyrektor powiedział lokalnemu przedstawicielowi, że nie wyraża zgody na zrobienie zdjęcia. Węgierski organ ochrony danych osobowych stwierdził, że akt dyrektora nie był informacją publiczną, a zdjęcie nie dowodzi, że dyrektor oderwał plakat wyborczy. Urząd ochrony danych podkreślił również, że jedynie nazwisko dyrektora spółki w pełni będącej własnością samorządu lokalnego było informacją publiczną." link
Węgry 2019-10-15 2.860 EUR nieznana firma Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODO Pracownik był na zwolnieniu lekarskim, gdy pracodawca sprawdził jego komputer stacjonarny, laptop i e-maile, aby upewnić się, że jego obowiązki są wykonywane. Pracodawca następnie zawiesił jego konto. Pracownik nie otrzymał wcześniejszego powiadomienia i nie miał możliwości skopiować / usunąć swoich prywatnych danych (numerów telefonów, wiadomości). Według węgierskiego urzędu ochrony danych pracodawca może monitorować aktywność pracowników. Umowy o pracę muszą regulować, czy pracownicy mogą używać sprzętu roboczego do celów prywatnych. Informacje o prywatności muszą zawierać powody monitorowania (np. ciągłość działania, dochodzenie wewnętrzne, cele dyscyplinarne), a także określać okres przechowywania danych - w tym długość historii kopii zapasowych. Pracodawcy muszą również przygotować „testy bilansujące”, aby na konkretnych przypadkach móc udowodnić, że monitoring pracowników jest uzasadniony. link
Węgry 2019-08-08 1.715 EUR Biuro Rządowe Zarządzające Rejestrem Nieruchomości Art. 5 RODO, Art. 14 RODO Właściciele nieruchomości skarżyli się, że rząd przekazał decyzję o zmianie osoby najemcy (która zawarła umowę najmu z właścicielami nieruchomości) innym właścicielom 40 nieruchomości zawartych przez tego samego najemcę. Decyzja zawierała dane osobowe wszystkich właścicieli, którzy mieli umowę najmu z tym samym najemcą. link
Węgry 2019-08-02 4.290 EUR Firma zajmująca się utrzymaniem przestrzeni publicznej Art. 5 RODO, Art. 6 RODO, Art. 13 RODO Były pracownik skarżył się, że jego pracodawca, niezgodnie z prawem, monitorował jego pracę przez CCTV. Pracodawca argumentował, że monitorowanie CCTV było konieczne do oceny, czy pracownik wywiązał się ze swoich obowiązków związanych z zatrudnieniem (tj. monitorowanie niektórych obszarów publicznych i sygnalizowanie nietypowych zdarzeń swoim kolegom) oraz że monitorowanie służyło również ochronie jego systemu nadzoru przed nielegalnym dostępem. Węgierski urząd ochrony danych stwierdził, że monitorowanie pracownika przez CCTV nie jest właściwym sposobem oceny jego wydajności pracy, a pracodawca oparł się na niewłaściwej podstawie prawnej (interes publiczny, organ urzędowy) w odniesieniu do operacji CCTV. Pracodawca mógł zabezpieczyć swój system nadzoru przestrzeni publicznej innymi metodami (np. instalując zapory ogniowe lub inne aktualizacje zabezpieczeń swoich systemów). Pracodawca umieścił także tylko krótki arkusz informacyjny przy wejściu do stanowiska pracy pracownika dotyczący monitorowania CCTV, który urząd ochrony danych uznał za niewystarczający. link
Węgry 2019-07-17 8.575 EUR Sąd Okręgowy w Budapeszcie Art. 5 RODO, Art. 6 RODO Przewodniczący Sądu Okręgowego w Budapeszcie zorganizował spotkanie dla urzędników sądowych, podczas którego oświadczył, że zrezygnował z Węgierskiego Związku Sędziów i zwrócił się do obecnych urzędników sądowych, aby namówili do tego również swoich kolegów. Przewodniczący przedstawił istę członków Stowarzyszenia w powiecie Peszt, która zawierała również informacje o wysokości składek członkowskich potrąconych z wynagrodzenia sędziów. Lista zawierała dane zebrane z rejestrów płac sędziów. Węgierski urząd ochrony danych ustalił, że Sąd Okręgowy w Budapeszcie może przetwarzać takie dane wyłącznie w celu odliczenia i zarządzania płacami. Urząd ochrony danych osobowych stwierdził również, że Sąd Okręgowy w Budapeszcie nie miał podstawy prawnej do przetwarzania danych, do udzielenia danych pracowników dotyczących ich członkostwa w stowarzyszeniu innym osobom. link
Węgry 2019-06-26 2.850 EUR nieznana firma Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Osoba zażądała usunięcia swoich danych kontaktowych (w tym numeru telefonu). Administrator nie zrealizował prawa, powołując się na swój uzasadniony interes (w celu kontaktowania się w sprawie dochodzenia roszczeń) Wegierski urząd ochrony danych ustalił, że administrator nie miał istotnych uzasadnionych podstaw do przetwarzania numeru telefonu osoby, której dane dotyczą (do celów kontaktowych wystarczy adres). link
Węgry 2019-06-26 2.850 EUR Przedsiębiorstwo finansowe Art. 5 RODO, Art. 6 RODO, Art. 21 RODO "Przedsiębiorstwo finansowe pomimo sprzeciwu do przetwrzania, przekazało dane osobowe stronie trzeciej. Przedsiębiorstwo nie udzieliło również informacji o przetwarzaniu na wniosek osoby, której dane dotyczą. Przedsiębiorstwo finansowe uważa, że przekazanie stronie trzeciej danych osobowych klienta było niezbędne w celu sprzedaży roszczeń wynikających z umowy. Węgierski urząd ochrony danych podkreślił, że przedsiębiorstwo finansowe sprzedało przedmiotową wierzytelność i przekazało odpowiednie dane po niespełnieniu przez klienta danej umowy; oznacza to również, że przedsiębiorstwo finansowe nie może polegać na wykonaniu umowy zawartej z klientem. Odpowiednią podstawą prawną byłby prawnie uzasadniony interes administratora, w przypadku gdy konieczny jest również test bilansujący, opisujący jego interes w przeniesieniu roszczenia i odpowiednich danych na stronę trzecią." link
Węgry 2019-06-03 2.850 EUR Firma zarządzająca roszczeniami Art. 5 RODO, Art. 6 RODO Skarżący zawarli umowę kredytową z bankiem, który sprzedał swoje roszczenie przeciwko skarżącym i przekazał ich dane firmie zewnętrznej (administratorowi). Węgierski urząd ochrony danych ustalił, że bank powołał się na błędną podstawę prawną przetwarzania. Bank nie mógł polegać ani na zgodzie osób, których dane dotyczą, ani na wykonaniu umowy kredytowej, ponieważ osoby zawarły taką umowę z bankiem, a nie z administratorem. Powinien oprzeć się na uzasadnionym interesie administratora. link
Węgry 2019-05-31 2.000 EUR Bank lokalny Art. 12 (3), (4), (5) RODO, Art. 15 RODO, Art. 18 RODO Klient lokalnego banku poprosił o dostęp do nagrań rozmów telefonicznych oraz nagrań z kamery przemysłowej. Bank dostarczył kopie nagrań rozmów telefonicznych, a także dał szansę przejrzenia nagrań w banku, ale odmówił dostarczenia kopii nagrań z kamery przemysłowej, ponieważ nagrania zawierały również dane osobowe stron trzecich. Węgierski urząd ochrony danych zdecydował, że bank nie wypełnił praw osób, których dane dotyczą, ponieważ nie odpowiedział w odpowiednim czasie, a także nie dostarczył kopii żądanych nagrań. Według węgierskiego urzędu ochrony danych administrator nie może odnieść się do ochrony danych osób trzecich, ponieważ nagrania z kamery przemysłowej miały wpływ na przestrzeń publiczną otwartą dla każdego klienta, a bank mógł również zanonimizować niektóre części nagrań. link
Węgry 2019-05-21 286 EUR Dyrekcja Instytucji Społecznych i Opieki nad Dziećmi Ferencvaros w Budapeszcie Art. 33 RODO Pracownik dyrekcji wysłał omyłkowo 9 listów do niewłaściwego odbiorcy, które zawierały dane osobowe 18 osób (w tym dane dzieci, dane przestępcze oraz dane dotyczące życia prywatnego). Odbiorca poinformował dyrekcję telefonicznie 5 dni po wysłaniu, że przez pomyłkę otrzymał określone listy. Dyrekcja dopiero po kilku tygodniach powiadomiła o naruszeniu węgierski urząd ochrony danych. link
Włochy 2020-02-06 20.000 EUR RTI - Reti Televisive Italiane s.p.a. Art. 5 RODO, Art. 6 RODO Stacja telewizyjna wyemitowała film dokumentalny o prostytucji w Szwajcariiosoby. Bohaterowie filmu, osoby, z którymi były prowadzone wywiady nie były wystarczająco anonimowe. link
Norwegia 2020-02-28 36.800 EUR Coop Finnmark SA Art. 5 RODO, Art. 6 RODO Firma rozpowszechniła nagrania z monitoringu wideo dzieci poniżej 16 roku życia, które rzekomo kradły w sklepie. Firma została ukarana za brak wystarczającej podstawy prawnej dla takiego przetwarzania danych. link
Rumunia 2020-02-11 3.000 EUR Vodafone Romania Art. 5 (1) f) RODO, Art. 32 RODO Vodafone Romania nieprawidło przetwarzał dane osobowe w celu rozpatrzenia skargi, która następnie została wysłana na niewłaściwy adres e-mail. Powodem tego było zastosowanie niewłaściwych środków bezpieczeństwa. link
Hiszpania 2020-03-19 6.000 EUR Oliveros Ustrell, S.L. Art. 5 RODO, Art. 6 RODO Firma przekazała operatorowi Vodafone podpisaną umowę o przeniesienie. Administrator danych nie był jednak w stanie przedstawić dowodu zamówienia. Z tego powodu dane osobowe osoby, której dane dotyczą, zostały przetworzone bez wystarczającej podstawy prawnej. link
Hiszpania 2020-03-18 30.000 EUR Telefónica Art. 58 RODO Telefonica nie zastosowała się do decyzji TD / 00127/2019 dyrektora hiszpańskiego urzędu ochrony danych, która stanowi, że trzeba odpowiedzieć na wnioski osób, których dane dotyczą, o prawo dostępu i usunięcia danych. link
Hiszpania 2020-03-16 5.000 EUR Centro De Estudio Dirigidos Delta, S.L. Art. 5 (1) f) RODO Centro De Estudio Dirigidos Delta wysłało do osoby trzeciej wiadomość zawierającą dane osobowe (imię i nazwisko oraz numery identyfikacyjne), za pośrednictwem WhatsApp, bez zgody osób, których dane dotyczą. Stanowi to naruszenie zasad rzetelności i poufności zgodnie z art. 5 ust. 1 lit. f RODO. link
Hiszpania 2020-03-16 4.000 EUR Osoba prywatna Art. 5 RODO, Art. 6 RODO Osoba fotografowała na plaży kąpiące się kobiety. Policja powiadomiła urząd ochrony danych. link
Hiszpania 2020-03-16 6.000 EUR Amalfi Servicios de Restauracion S.L. Art. 5 RODO, Art. 13 RODO, Art. 14 RODO "- Monitoring obejmował swoim zasięgiem przestrzeń publiczną (naruszenie zasady minimalizacji danych). - Brak spełnionego obowiazku informacyjnego dotyczącego monitoringu." link
Hiszpania 2020-03-12 2.000 EUR Stowarzyszenie właścicieli domów Art. 5 RODO, Art. 13 RODO, Art. 14 RODO "- Monitoring obejmował swoim zasięgiem przestrzeń publiczną (naruszenie zasady minimalizacji danych). - Brak spełnionego obowiazku informacyjnego dotyczącego monitoringu." link
Szwecja 2020-03-11 7.000.000 EUR Google LLC Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Szwedzki organ ochrony danych nałożył na Google LLC grzywnę w wysokości 7 milionów euro za niedostateczne wywiązanie się z obowiązków dotyczących prawa osób, których dane dotyczą, do usunięcia danych ich dotyczących z listy wyników wyszukiwania. Szwedzki Urząd Ochrony Danych w 2017 r. zakończył ocenę sposobu, w jaki firma Google zajmuje się prawem osób do usunięcia wyników wyszukiwania i polecił jej usunąć część wyników wyszukiwania. Ponadto w roku 2018 podjęto decyzję o ponownej weryfikacji praktyk Google, po tym jak do urzędu wpłynęła informacja o tym, że część wyników wyszukiwania, które powinny zostać usunięte, wciąż pojawia się w wyszukiwarce. Szwedzki Urząd Ochrony Danych sprzeciwił się również praktyce informowania właścicieli witryn o tym, jakie informacje są usuwane z wyników wyszukiwania, a w szczególności o tym, który link został usunięty i kto stał za wnioskiem o jego usunięcie. Zdaniem Urzędu nie ma to podstawy prawnej. link
Dania 2020-03-10 7.000 EUR Hørsholm Municipality Art. 5 (1) f) RODO, Art. 32 RODO Urzędnikowi miasta skradziono komputer roboczy, który zawierał dane osobowe około 1600 pracowników samorządu miejskiego, w tym poufne informacje i numery ubezpieczenia społecznego. link
Dania 2020-03-10 14.000 EUR Gladsaxe Municipality Art. 5 (1) f) RODO, Art. 32 RODO Skradziono niezabezpieczony komputer, który zawierał informacje poufne oraz osoboste numery idendyfikacyjneg 20 620 mieszkańców miasta. link
Islandia 2020-03-10 20.600 EUR National Center of Addiction Medicine ('SAA') Art. 5 (1) f) RODO, Art. 32 RODO W osobistych rzeczach zwróconych byłemu pracownikowi SAA znajdowały się również dane pacjentów, w tym dokumentacja medyczna 252 byłych pacjentów i dokumenty z nazwiskami około 3000 osób, które uczestniczyły w rehabilitacji z powodu nadużywania alkoholu i narkotyków link
Islandia 2020-03-10 9.000 EUR Breiðholt Upper Secondary School Art. 5 (1) f) RODO, Art. 32 RODO Nauczyciel wysłał e-mail do swoich uczniów i ich rodziców, który zawierał dane na temat ich stanu zdrowia (dot. samopoczucia), wyników w nauce oraz warunków społecznych. Mail nie był odpowiednio zabezpieczony i tym samym naruszył art. 32 RODO. link
Hiszpania 2020-03-09 15.000 EUR Gesthotel Activos Balagares Art. 5 (1) f) RODO Osoba, której dane dotyczą wysłała prywatny list do kierownictwa hotelu oraz delegatów związkowych. Autor listu opisał sytuację, w której był prześladowany. Kierownictwo hotelu i delegaci związkowi naruszyli zasadę uczciowości i poufności udostępniając treść listu innym pracownikom. link
Włochy 2020-03-06 4.000 EUR Liceo Artistico Statale di Napoli Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Liceum w rankinach nauczycieli na stronie internetowej Instytutu opublikowało informacje zawierające dane osobowe, np. o stanie zdrowia. Publikacja została sporządzona z naruszeniem zasad legalności, uczciwości, przejrzystości i minimalizacji danych. link
Hiszpania 2020-03-06 4.000 EUR Osoba prywatna Art. 5 RODO Zainstalowane kamery monitorujace rejsterowały również przestrzeń publiczną (naruszenie zasady minimalizacji danych). link
Niemcy 2019 2.000 EUR Restauracja Art. 5 (1) c) RODO Kamery nadzoru wideo zostały wykorzystane z naruszeniem zasady minimalizacji danych (monitorowanie również obszarów klientów w restauracjach). link
Norwegia 2020-02-26 73.600 EUR Rælingen Municipality Art. 5 (1) f) RODO, Art. 32 RODO Informacje na temat zdrowia 15 dzieci niepełnosprawnych fizycznie i umysłowo były przetwarzane na cyfrowej platformie edukacyjnej Showbie w celu przekazania danych osobowych związanych ze zdrowiem między szkołami a ich domami. Przed użyciem aplikacji nie przeprowadzono niezbędnych ocen ryzyka, ocen wpływu na prywatność ani testów, a brak bezpieczeństwa podczas logowania do aplikacji umożliwił dostęp do informacji innym studentom w grupie. link
Hiszpania 2020-03-04 60.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała SMS-y od oddzielnego operatora wskazujące na aktywację nowej umowy. Powodem było aktywowanie przez pracownika Vodafone España umowy z trzecim operatorem w imieniu osoby, której dane dotyczą. Vodafone nie był w stanie wykazać zgody ani wystarczających uzasadnionych interesów na przetwarzanie danych osobowych. link
Hiszpania 2020-03-03 1.800 EUR Solo Embrague Art. 13 RODO Strona internetowa firmy nie zawierała polityki prywatności oraz banera plików cookie. link
Hiszpania 2020-03-03 42.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Firma nie była w stanie wykazać odpowiednich środków zapewniających bezpieczeństwo informacji, prowadzących do nieuprawnionego dostępu do danych osobowych klienta. link
Hiszpania 2020-03-03 40.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Firma wysłała SMS potwierdzający zawarcie umowy telefonicznej z właścicielem telefonu komórkowego. Osoba ta nie była klientem Vodafone, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą. link
Hiszpania 2020-03-03 24.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO "Hiszpański orgach ochrony danych stwierdził, że firma wysłała dwa SMS-y na numer telefonu komórkowego klienta, dotyczące zmiany stawki w umowie oraz potwierdzajacy zakup nowego telefonu komórkowego. Firma przetwrzała dane osobowe bez zgody osoby, której dane dotczą. " link
Polska 2020-03-04 4.600 EUR Szkoła w Gdańsku Art. 5 RODO, Art. 9 RODO Szkoła w Gdańsku wykorzystała biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce. Chociaż rodzice wyrazili pisemną zgodę na takie przetwarzanie danych, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie. link
Hiszpania 2020-02-28 3.600 EUR AEMA Hispánica Art. 5 (1) f) RODO Firma przesłała listę płac pracownika innemu pracownikowi, przez co ujawniła dane osobowe nieupoważnionej osobie. link
Holandia 2020-03-03 525.000 EUR Royal Dutch Tennis Association ("KNLTB") Art. 5 RODO, Art. 6 RODO Holenderski Urząd Ochrony Danych nałożył grzywnę na Royal Dutch Tennis Association („KNLTB”) w wysokości 525,000 EUR za sprzedaż danych osobowych ponad 350 000 jej członków sponsorom, którzy skontaktowali się z niektórymi członkami pocztą i telefonicznie w celach marketingu bezpośredniego. Stwierdzono, że KNLTB sprzedawał dane osobowe, takie jak imię i nazwisko, płeć i adres stronom trzecim, bez uzyskania zgody osób, których dane dotyczą. Organ ochrony danych odrzucił również istnienie uzasadnionego interesu w zakresie sprzedaży danych i dlatego uznał, że nie ma podstawy prawnej do przekazania danych osobowych sponsorom. link
Hiszpania 2020-02-28 48.000 EUR Vodafone ONO, S.A.U. Art. 32 RODO Firma miala niedociagniecia w zakresie bezpieczeństwa informacji, np. dwie osoby otrzymały ten sam klucz bezpieczeństwa. link
Hiszpania 2020-02-27 120.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Vodafone España nie był w stanie udowodnić hiszpańskiemu organowi ochrony danych, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jego danych osobowych w celu zawarcia umowy telefonicznej. Ponadto decyzja organu ochrony danych podkreśla, że ​​Vodafone España bezprawnie ujawniła dane osobowe osoby, której dane dotyczą, różnym agencjom kredytowym. link
Hiszpania 2020-02-25 48.000 EUR HM Hospitales Art. 5 RODO, Art. 6 RODO "Osoba, której dane dotyczą, w momencie przyjęcia do szpitala musiała wyrazić zgodę na przekazanie swoich danych stronom trzecim. Formularz przyjęcia był niezgodny z RODO, ponieważ wymuszał na pacjencie wyrażenie zgody." link
Hiszpania 2020-02-25 6.000 EUR Casa Gracio Operation Art. 5 (1) c) RODO Firma korzystała z kamer CCTV, która rejestrowała również sferę publiczną, co spowodowało naruszenie zasady minimalizacji danych. link
Włochy 2020-01-23 30.000 EUR Azienda Ospedaliero Universitaria Integrata di Verona (Hospital) Art. 5 (1) f) RODO, Art. 32 RODO Osoby nieupoważnione miały dostęp do danych zdrowotnych. Radiolog i stażysta mogli zobaczyć informacje o stanie zdrowia swoich kolegów. Włoski organ ochrony danych wykazał, że szpital nie zastosował wystarczajacych organizacyjnych i technicznych środków ochrony danych, co skutkowało niezgodnym z prawem przetwarzaniem. Według organu ochrony danych naruszenia można było uniknąć, np. poprzez zastosowanie się do wytycznych dotyczących dokumentacji medycznej wydanej przez organ ochrony danych w 2015 r. (wytyczne stanowią, że dostęp do dokumentacji medycznej musi być ograniczony tylko do personelu medycznego zaangażowanego w leczenie pacjenta). link
Włochy 2020-01-23 30.000 EUR Sapienza Università di Roma (Uniwersytet) Art. 5 (1) f) RODO, Art. 32 RODO Według włoskiego urzędu ochrony danych Sapienza Università udostępniła online dane identyfikacyjne dwóch osób, które zgłosiły uniwersytetowi możliwe nielegalne działanie. Naruszenie wynikał ze złego zastosowania technicznych środków kontroli dostępu w ramach systemu zarządzania (nieupoważnieni pracownicy mieli dostęp do danych osobowych). link
Hiszpania 2020-02-18 1.500 EUR Mymoviles Europa 2000, S.L. Art. 13 RODO Hiszpański urząd ochrony danych stwierdził, że firma nie opublikowała oświadczenia o ochronie prywatności na swojej stronie internetowej oraz, że jej informacja prawna nie identyfikuje się w wystarczającym stopniu. link
Hiszpania 2020-02-14 2.500 EUR Grupo Valsor Y Losan, S.L. Art. 5 (1) f) RODO Administrator ujawnił dane osobowe stronie trzeciej w umowie zakupu nieruchomości (naruszenie zasad integralności i poufności danych osobowych). link
Hiszpania 2020-02-14 3.000 EUR Colegio Arenales Carabanchel (Szkoła) Art. 6 RODO Szkoła przekazała zdjęcia (a zatem dane osobowe) stronom trzecim, które opublikowały je bez podstawy żadnej prawnej. link
Hiszpania 2020-02-14 50.000 EUR Iberdrola Clientes Art. 6 RODO Iberdola Clientes, spółka energetyczna, rozwiązała umowę osoby, której dane dotyczą, bez jej zgody, zawarła trzy nowe umowy z osobą, której dane dotyczą, przetwarzała jego dane osobowe niezgodnie z prawem i przekazała dane osobowe powoda podmiotowi trzeciemu bez podstawy prawnej. link
Hiszpania 2020-02-14 42.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Skarżący miał dostęp do danych stron trzecich w swoim osobistym profilu Vodafone link
Hiszpania 2020-02-14 30.000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO, Art. 32 RODO Strona trzecia miała dostęp do nazwiska, numeru telefonu i adresu innego klienta. link
Niemcy 2019-04-12 80.000 EUR Firma w sektorze finansowym Art. 5 RODO, Art. 32 RODO Średnie przedsiębiorstwo usług finansowych nie dochowało należytej staranności w celu zachowania integralności i poufności informacji w rozumieniu art. 5 ust. 1 lit. f RODO przy usuwaniu dokumentów zawierających dane osobowe dwóch klientów. W konsekwencji, bez uprzedniej anonimizacji, dokumenty zostały usunięte w ogólnym systemie recyklingu makulatury, w którym dokumenty zostały znalezione przez sąsiada. link
Niemcy 2019 51.000 EUR Facebook Germany GmbH Art. 37 RODO Facebook Ireland wyznaczył inspektora ochrony danych dla wszystkich spółek grupy z siedzibą w UE, jednak nie powiadomiono o tym DPA Hamburg, właściwego dla Facebook Germany GmbH. Grzywnę obliczono na podstawie obrotów niemieckiego oddziału (35 mln EUR). Istotny wpływ na wysokość kary miał fakt, że pominięte powiadomienie zostało natychmiast uzupełnione, Facebook działał niedbale i nie naruszył obowiązku wyznaczenia inspektora ochrony danych, a jedynie obowiązek powiadomienia. link
Niemcy 2019 20.000 EUR Hamburger Verkehrsverbund GmbH (HVV GmbH) Art. 33 RODO, Art. 34 RODO "W dniu 6 lipca 2018 r. HVV niemiecki organ nadzorczy został poinformowany przez klienta o luce w zabezpieczeniach na stronie www.hvv.de, która została spowodowana aktualizacją w dniu 5 lutego 2018 r. Luka dotyczyła tak zwanej E-usługi klienta (CES). Klienci logowali się do CES, który posiadał kartę HVV i powiązali swoje konto klienta CES z co najmniej jednym aktywnym stosunkiem umownym w systemach działających w tle, zmieniając adres URL, mogli wyświetlać dane innych klientów, którzy mieli Kartę HVV. Naruszenie danych nie zostało zgłoszone organowi ochrony danych w odpowiednim czasie." link
Niemcy 2019 nieznana Hamburger Volksbank eG Art. 21 RODO Firma wysłała klientowi biuletyn z treściami reklamowymi pocztą elektroniczną, pomimo wcześniejszego sprzeciwu tego klienta. link
Hiszpania 2020-02-04 1.500 EUR Cafetería Nagasaki Art. 5 RODO, Art. 6 RODO Nagasaki Cafetería nie wywiązała się ze swoich obowiązków wynikających z RODO, ponieważ umieściła kamery monitorujące w taki sposób, aby monitorować przestrzeń publiczną poza jej lokalami, co nieproporcjonalnie dotknęło pieszych. link
Hiszpania 2020-02-03 60.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 6 RODO Osoba, której dane dodyczą złożyła skargę na Vodafone España, która bez wiedzy tej osoby, podpisała umowę na przeniesienie abonamentu telefonicznego ze stroną trzecią. W rezultacie osoba skarżąca otrzymywała e-maile od strony trzeciej w sprawie dokonanego zakupu. link
Hiszpania 2020-02-03 75.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba, której dane dodyczą złożyła skargę na Vodafone España, która bez wiedzy tej osoby, podpisała umowę na przeniesienie abonamentu telefonicznego ze stroną trzecią. W rezultacie osoba skarżąca otrzymywała e-maile od strony trzeciej w sprawie dokonanego zakupu. link
Hiszpania 2020-02-03 60.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba otrzymała fakturę za korzystanie z usługi, której nigdy nie żądała. Dane tej osoby zostały włączone do systemów informatycznych Vodafone España bez jej zgody na przetwarzanie. Grzywna w wysokości 100 000 EUR została obniżona do 60 000 EUR z powodu dobrowolnej zapłaty. link
Hiszpania 2020-02-03 50.000 EUR Vodafone España, S.A.U. Art. 5 RODO Grzywnę poprzedziła skarga osoby, której dane dotyczą, która twierdziła, że ​​Vodafone España przesłała sąsiadowi faktury zawierające jego dane osobowe, takie jak imię i nazwisko, dowód tożsamości i adres. link
Hiszpania 2020-02-03 20.000 EUR Iberia Lineas Aereas de Espana, S.A. Operadora Unipersonal Art. 5 RODO, Art. 6 RODO, Art. 21 RODO Iberia, pomimo żądania wycofania zgody oraz usunięcia danych, w dalszymciągu wysyłała e-maile do osoby, której dane dotyczą. link
Hiszpania 2020-02-03 75.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Były klient firmy w dalszym ciągu otrzymywał powiadomienia na fakturze, chociaż w tym czasie nie było ani stosunku umownego, ani jakiejkolwiek płatności zaległej z powodu wygasłego stosunku umownego. Jako przyczynę nieprawidłowych wysyłek Vodafone wskazał błąd techniczny. link
Hiszpania 2020-02-03 6.670 EUR Banco Bilbao Vizcaya Argentaria S.L. Art. 5 RODO, Art. 6 RODO, Art. 21 RODO Firma, pomimo wniesienia sprzeciwu, wielokrotnie wysyłała komunikaty reklamowe do osoby, której dane dotyczą. link
Hiszpania 2020-02-03 5.000 EUR Queseria Artesenal Ameco S.L. Art. 5 RODO, Art. 6 RODO Firma przetwarzała dane osobowe klientów bez wymaganej zgody. link
Hiszpania 2020-02-03 800 EUR Automoción Art. 5 RODO, Art. 6 RODO Pracownik firmy utworzył fałszywy profil koleżance na portalu erotycznym (zawierał m.in. jej dane kontaktowe, zdjęcie oraz informacje o orientacji seksualnej. Osoba, której dane dotyczą, otrzymała kilka telefonów od zainteresowanych profilem. Pierwotna grzywna miała wynosić 1000 EUR ale z powodu zaburzenia osobowości ukarnaego zminiejszono ją do 800 EUR. link
Hiszpania 2020-01-14 3.600 EUR Zhang Bordeta 2006, S.L. (Store and Restaurant) Art. 5 RODO Właściciel sklepu i restauracji zainstalował system nadzoru wideo, który m.in. robił zdjęcia chodnika, a tym samym przestrzeni publicznej, co narusza podstawową zasadę minimalizacji danych. link
Niemcy 2019-10-24 100.000 EUR Firma spożywcza Art. 5 RODO, Art. 32 RODO Firma utworzyła portal aplikacyjny na swojej stronie internetowej. Zainteresowane osoby mogły składać dokumenty aplikacyjne oneline. Firma nie zabezpieczyła danych poprzez np. zaszyfrowanie lub wprowadzenie hasła.Ponadto niezabezpieczone dane wnioskodawcy zostały połączone z Google, aby każdy, korzystający z wyszukiwarki Google, mógł również znaleźć dokumenty aplikacji i mieć do nich dostęp bez ograniczonego dostępu. link
Włochy 2020-01-15 10.000 EUR Community of Francavilla Fontana Art. 5 RODO, Art. 6 RODO Społeczność opublikowała na swojej stronie internetowej informacje o procesie sądowym, w tym dane osobowe, np dotyczące stanu zdrowia. link
Norwegia 2019-04-29 120.000 EUR Wydział Edukacji Miejskiej w Oslo Art. 32 RODO Gmina wprowadziła aplikację służącą do komunikacji między pracownikami szkoły, rodzicami i uczniami. Gmina nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa. Norweski urząd ochrony danych nie znalazł żadnych środków technicznych, które mogłyby zabezpieczyć dane szczególnych kategorii danych (np. dane dotyczące stanu zdrowia). Ponadto organ nazdorczy stwierdził, że aplikacja zawiera luki w zabezpieczeniach przed jej uruchomieniem z powodu nieodpowiednich testów bezpieczeństwa, oraz że niewystarczające bezpieczeństwo logowania umożliwia nieupoważnionym o dostęp i modyfikację danych osobowych ponad 63 000 studentów. link
Włochy 2020-01-15 27.800.000 EUR TIM (operator telekomunikacyjny) Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO "Kara została nałożona między innymi za:
  • brak zgody na działania marketingowe (telemarketing i cold calling),
  • nieprawidłowe zgody zbierane w aplikacjach TIM,
  • brak odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych (w tym nieprawidłową wymianę czarnych list z call center),
  • brak jasnych okresów przechowywania danych.
Organ nadzorczy nałożył również na TIM 20 środków naprawczych, zabraniając wykorzystywania danych osobowych do celów marketingowych od tych, którzy odmówili otrzymywania połączeń promocyjnych z centrów obsługi telefonicznej."
link
Grecja 2020-01-13 15.000 EUR Allseas Marine S.A. Art. 5 (1) a), (2) RODO Grecki organ nadzorczy ds. ochrony danych osobowych nałożył karę finansową za niezgodne z prawem wprowadzenie systemu nadzoru wideo w miejscu pracy (zakres danych pracowników przetwarzanych przez monitoring) oraz za brak poinformowania pracowników o wprowadzonym systemie nadzoru wideo.
Grecja 2019-12-19 150.000 EUR Aegean Marine Petroleum Network Inc. Art. 5 RODO, Art. 6 RODO, Art. 32 RODO Aegean Marine Petroleum nie podjęło niezbędnych środków technicznych w celu zabezpieczenia przetwarzania dużych ilości danych i oddzielenia odpowiedniego oprogramowania z danymi osobowymi przechowywanymi na serwerach. W konsekwencji firmy spoza Aegean Marine Petroleum Group miały dostęp do serwerów zawierających dane osobowe i skopiowały zawartość tych serwerów. Ponadto Aegean Marine Petroleum nie poinformowało osób, których dane dotyczą, o przetwarzaniu ich danych osobowych przechowywanych na serwerach.
Niemcy 2019 294.000 EUR Nieznany Art. 5 RODO Firma została ukarana grzywną w wysokości 294 000 EUR za „niepotrzebnie długie” przechowywanie akt osobowych oraz za „nadmierne” gromadzenie danych w procesie selekcji personelu, podczas którego zażądano również danych dotyczących zdrowia. link
Włochy 2019-12-11 8.500.000 EUR Eni Gas e Luce Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Pierwsza grzywna w wysokości 8,5 mln EUR dotyczy nielegalnego przetwarzania w związku z działalnością telemarketingową i telesprzedaży. Połączenia promocyjne były wykonywane między innymi bez zgody osoby, z którą nawiązano kontakt lub pomimo odmowy przez nią otrzymania połączeń promocyjnych lub bez uruchamiania specjalnych procedur sprawdzania publicznego rejestru rezygnacji. Ponadto brakowało środków technicznych i organizacyjnych uwzględniających informacje przekazywane przez użytkowników; dane były przetwarzane dłużej niż dozwolone okresy przechowywania danych; a dane dotyczące potencjalnych klientów zostały zebrane od podmiotów (dostawców list), którzy nie uzyskali zgody na ujawnienie takich danych. link
Włochy 2019-12-11 3.000.000 EUR Eni Gas e Luce Art. 5 RODO, Art. 6 RODO Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Druga grzywna w wysokości 3 mln EUR dotyczy naruszeń wynikających z zawarcia niezamówionych umów na dostawę energii elektrycznej i gazu na warunkach gospodarki rynkowej. Wiele osób skarżyło się Urzędowi, że dowiedziały się o zawarciu nowej umowy dopiero po otrzymaniu pisma o wypowiedzeniu umowy z poprzednim dostawcą lub pierwszych faktur Egl. W niektórych przypadkach skargi zgłaszały fałszywe informacje w umowach i fałszywe podpisy. link
Rumunia 2019-12-16 6.000 EUR SC Enel Energie S.A. (Electricity Distributor) Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 21 RODO Sankcje zostały nałożone w następstwie skargi, w której Enel Energie przetwarzał dane osobowe osoby w sposób niezgodny z prawem i nie był w stanie udowodnić, że uzyskał zgodę tej osoby na wysyłanie powiadomień e-mail. Ponadto rumuński urząd ds. ochrony danych osobowych wskazał, że operator nie podjął niezbędnych środków w celu zaprzestania przesyłania powiadomień, mimo że osoba ta wielokrotnie korzystała z prawa do sprzeciwu. Operator SC Enel Energie SRL został ukarany z naruszeniem dwóch grzywn, każda w wysokości 14 334,30 lei, co stanowi równowartość 3000 EUR. link
Rumunia 2019-12-13 5.000 EUR Entirely Shipping & Trading S.R.L. Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODO Firma nadmiernie przetwarzała dane osobowe swoich pracowników za pomocą kamer wideo zainstalowanych w biurach oraz w miejscach, w których znajdują się szafki, w których pracownicy przechowują swoje zapasowe ubrania (szatnie) (naruszenie zasady „minimalizacji danych”) link
Rumunia 2019-12-13 5.000 EUR Entirely Shipping & Trading S.R.L. Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODO, Art. 9 RODO Firma przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, przy użyciu twardych i mniej inwazyjnych środków ochrony prywatności osób, których dane dotyczą (naruszenie zasady „minimalizacji danych”) link/td>
Cypr 2020-01-13 9.000 EUR Social Insurance Services of the Ministry of Labor, Welfare and Social Insurance Art. 32 RODO Przyznanie nieuprawnionemu podmiotowi dostępu do danych osobowych (w tym wypadku policji). Mimo zaleceń inspektora - zastosowanie nieadekwatnych środków w celu ochrony danych. link
Cypr 2020-01-13 1.000 EUR eShop for Sports (M.L. PRO.FIT SOLUTIONS LTD) Art. 6 RODO Firma wysyłąłą wiadomości marketingowe SMS bez otrzymania na to zgody. Przede wszystkim nie pojdęto żadnych odpowiednich środków, takich jak możliwość zablokowania przez użytkowników telefonu wiadomości marketingowych z eShop for Sports poprzez rezygnację z otrzymywania wiadomości marketingowych SMS. link
Hiszpania 2020-01-09 3.000 EUR VODAFONE ESPANA, S.A.U. Art. 58 RODO Firma nie dostarczyła hiszpańskiemu urzędowi ochrony danych wymaganych informacji w wyznaczonym terminie. Stanowiło to naruszenie art. 58 RODO. link
Hiszpania 2020-01-07 44.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 (1) f) RODO Firma wysłała umowę, która zaiwerała dane osobowe (nazwa, adres i numer telefonu wnioskodawcy), do niewłaściwego odbiorcy. link
Hiszpania 2020-01-07 75.000 EUR EDP España S.A.U. Art. 6 RODO Firma przetwarzała dane osobowe, takie jak imię i nazwisko, numer identyfikacji podatkowej, adres i numer telefonu komórkowego bez zgody osoby, której dane dotyczą link
Hiszpania 2020-01-07 75.000 EUR EDP Comercializadora, S.A.U. Art. 6 RODO Firma przetwarzała dane osobowe w związku z umową gazową bez zgody wnioskodawcy. W decyzji stwierdzono, że wnioskodawca otrzymał fakturę za umowę gazową, której nie podpisał. EDP Comercializadora uważa, że przetwarzanie danych jest uzasadnione, ponieważ skarżący jest stroną umowy z innym przedsiębiorstwem energetycznym, które z kolei zawarło umowę na dostawę z EDP Comercializadora. Hiszpański urząd ochrony danych stoi na stanowisku, że EDP Comercializadora powinno udowodnić, że osoba, której sprawa dotyczy, zgodziła się na umowę z drugim podmiotem, a nie tylko z jego bezpośrednim dostawcą energii. link
Hiszpania 2020-01-07 10.000 EUR Asociación de Médicos Demócratas Art. 6 RODO Asociación de Médicos Demócratas przetwarzało dane osobowe swoich członków, bez ich zgody. Przetwarzanie odbywało się pomimo ostrzeżenia hiszpańskiego urzędu ochrony danych osobowych. link
Rumunia 2019-12-10 14.000 EUR Hora Credit IFN SA Art. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 33 RODO Sankcje zostały zastosowane w wyniku skargi, w której Hora Credit IFN SA przekazał dokumenty zawierające dane osobowe innej osoby na niewłaściwy adres e-mail. W wyniku dochodzenia ustalono, że Hora Credit IFN SA przetwarzał dane bez zapewnienia skutecznych mechanizmów weryfikacji i walidacji dokładności gromadzonych danych przetwarzanych zgodnie z zasadami określonymi w art. 5 RODO. Stwierdzono również, że operator nie podjął wystarczających środków bezpieczeństwa w odniesieniu do danych osobowych, zgodnie z art. 25 i 32 RODO, aby uniknąć nieuprawnionego i dostępnego ujawnienia danych osobowych stronom trzecim. Jednocześnie Hora Credit IFN SA nie powiadomił organu nadzorczego o zdarzeniu naruszającym bezpieczeństwo, o którym zostało powiadomione, zgodnie z art. 33 RODO, w ciągu 72 godzin od dnia, w którym dowiedział się o tym. Grzywna składa się z trzech częściowych grzywien w wysokości 3000 EUR, 10000 EUR i 1000 EUR. link
Cypr 2019-10-25 70.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Cypr 2019-10-25 10.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Cypr 2019-10-25 2.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Wielka Brytania 2019-12-20 320.000 EUR Doorstep Dispensaree Ltd. (Apteka ) Art. 32 RODO Niedostateczny dobór środków zabezpieczających dane osobowe. Firma przechowała około 500 000 dokumentów zawierających nazwiska, adresy, daty urodzenia, numery NHS (numer ten podawany jest pacjentowi na piśmie podczas rejestracji w przychodni zdrowia (GP Practice). Numer NHS pomaga personelowi służby zdrowia uzyskać dostęp do danych medycznych pacjenta) oraz informacje medyczne i recepty w niezamkniętych, niezabezpieczonych pojemnikach, co spowodowało zalanie tych dokumentów i częściowe ich uszkodzenie. link
Rumunia 2019-12-18 2.000 EUR Telekom Romania Mobile Communications SA Art. 32 RODO Firma nie zachowała należytej starnooności przetwarzając dane osobowe swoich klientów - dane osobowe klienta ujawniła innemu klientowi. link
Bułgaria 2019-10-28 511 EUR firma nieznana Art. 12 (3) RODO, Art. 15 (1) RODO Pracowca został ukarany za odmowę udzielenia dostępu do danych osobowych byłemu pracownikowi, który o to wnioskował (prawo dostępu do danych osobowych). link
Węgry 2019-12-11 1.430 EUR firma nieznana art. 5 RODO, art. 6 RODO, art. 13 RODO, art. 24 RODO, art 25 RODO Firma przetwarzała prywatne emaile byłego pracownika bez podstawy prawnej i tym samym łamiąc przepisy dotyczące przechowywania danych. link
Rumunia 2019-11-29 500 EUR Stowarzyszenie właścicieli domów Art. 32 RODO Stowarzyszenie korzystało z monitoringu bez udzielenia odpowiednich informacji o tym (brak tzw. obowiązku informacyjnego wynikającego z art. 13 RODO) oraz zostały zastosowane nieodpowiednie środki zabezpieczajace w związku z dostępem do systemu. link
Hiszpania 2019-10-01 5.000 EUR Shop Macoyn, S.L. Art. 32 RODO Firma wysłała e-maile reklamowe z możliwością odczytu wszystkich adresatów. Adresy e-mail wszystkich odbiorców były widoczne, ponieważ zostały wysłane jako DW - do wiadomości (zamiast UDW - ukryte do wiadomości). link
Bułgaria 2019-10-08 5.112 EUR Ministerstwo Spraw Wewnętrznych Art. 5 (1) RODO, Art. 6 (1) RODO Ministerstwo Spraw Wewnętrznych zostało ukarane za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą A.K. Ministerstwo Spraw Wewnętrznych przesłało dane osobowe A.K. do Republiki Togijskiej (Togo). link
Bułgaria 2019-10-07 511 EUR B.D. Art. 31 RODO B.D. otrzymało karę pieniężną za brak dostępu do informacji potrzebnych Komisji Ochrony Danych Osobowych do wykonania jej zadań i wydawaniaa dyspozycji. link
Bułgaria 2019-09-03 1.022 EUR Usługi telekomunikacyjne Art. 6 (1) RODO, Art. 25 (1) RODO Dostawca usług telekomunikacyjnych i jego przedstawiciel handlowy w Bułgarii zostali ukarani za niezgodne z prawem przetwarzanie danych osobowych - w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 5.113 EUR Usługi telekomunikacyjne Art. 6 (1) RODO, Art. 25 (1) RODO Przedstawiciel handlowy dostawcy usług telekomunikacyjnych został ukarany za niezgodne z prawem przetwarzanie danych osobowych - w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 11.760 EUR Przedstawiciel handlowy dostawcy usług telekomunikacyjnych Art. 6 (1) RODO Przedstawiciel handlowy dostawcy usług telekomunikacyjnych został ukarany za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą - dane były przetwarzane niezgodnie z prawem w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 1.121 EUR Prywatny agent egzekucyjny Art. 12 (4) RODO, Art. 15 RODO Osoba, której dane dotyczą, złożyla wniosek o dostęo do swoich danych osobowych zarejestrowanych w formie wideo. Firma nie udzieliła dostępu i nie poinformowała o przyczynie odrzucenia wniosku. link
Węgry 2019-10-24 7.400 EUR Szpital wojskowy Art. 32 RODO Art. 33 RODO Szpital wojskowy nie dotrzymał terminu zgłoszenia naruszenia danych. Kolejna część grzywny dotyczy niezastosowania odpowiednich środków technicznych i organizacyjnych. link
Hiszpania 2019-11-19 6.000 EUR Bar sportowy Art. 5 (1) c) RODO Kamery monitoringu swoim zasięgiem obejmowały obszar publiczny link
Hiszpania 2019-11-06 60.000 EUR VODAFONE ESPANA, S.A.U. Art. 6 RODO Vodafone wysłał dane do faktury klienta do nieautoryzowanych stron trzecich. Pierwotnie grożono grzywną w wysokości 75 000 EUR, ale obniżono ją do 60 000 EUR w związku z natychmiastową zapłatą i uchyleniem odwołania. link
Hiszpania 2019-10-23 60.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 (1) f) RODO Vodafone, w ramach reklamacji, przesłał subskrybentowi historię faktur. Historia zawierała również dane do faktury nieznanej strony trzeciej. link
Rumunia 2019-12-02 2.000 EUR Nicola Medical Team 17 SRL Art. 58 RODO Firma nie zastosowała środków zarządzonych przez krajowy urząd ochrony danych. link
Holandia 2019-10-31 50.000 EUR Menzis (Health Insurance Company) Art. 5 RODO Zespół marketingowy miał dostęp do danych pacjentów. Naruszało to między innymi zasadę ograniczenia celu. link
Grecja 2019-10-18 20.000 EUR Wind Hellas Telecommunications Art. 21 RODO Firma zignorowała sprzeciwy osób, które otrzymywały telefony z ofertami reklamowymi.
Szwecja 2019-12-16 35.000 EUR Nusvar AB Art. 6 RODO Szwedzki organ ochrony danych nałożył grzywnę administracyjną w wysokości 35 000 EUR na Mrkoll.se - stronę internetową, która publikuje dane osobowe wszystkich Szwedów w wieku powyżej 16 lat - za naruszenie Ustawy o informacji kredytowej. link
Niemcy 2019 800 EUR Policja Art. 6 RODO Policjant wykorzystał dane osobowe świadka, aby skontaktować się z nim w prywatnym celu. link
Hiszpania 2019-12-10 1.600 EUR Megastar SL Art. 5 (1) c) RODO Art. 13 RODO Firma obsługiwała system nadzoru wideo, w którym oko kamery niepotrzebnie sięgało do strefy ruchu publicznego. Ponadto, nie została umieszczona informacja o ochronie danych osobowych.
Hiszpania 2019-12-03 1.500 EUR Cerrajeria Verin S.L. Art. 13 RODO Firma obsługiwała system nadzoru wideo, w którym oko kamery niepotrzebnie sięgało do strefy ruchu publicznego. Ponadto, nie została umieszczona informacja o ochronie danych osobowych. link
Hiszpania 2019-12-03 5.000 EUR Linea Directa Aseguradora Art. 6 RODO Firma ubezpieczeniowa bez wymaganej zgody wysłała e-maile reklamowe na platformę „Reto Nuez”. link
Rumunia 2019-12-16 2.000 EUR Globus Score SRL Art. 58 RODO Firma nie zastosowała się do środków zarządzonych przez krajowy organ nadzoru. link
Rumunia 2019-11-26 3.000 EUR Modern Barber Art. 58 RODO Firma nie zastosowała się do środków zarządzonych przez krajowy urząd ochrony danych. link
Bułgaria 2019-09-03 28.160 EUR National Revenue Agency Art 6 (1) RODO, Art 58 (2) e) RODO, Art 83 (5) a) RODO Krajowa Agencja Skarbowa została ukarana karą pieniężną za niezgodne z prawem przetwarzanie danych osobowych G.B.I. Dane osobowe G.B.I. zostały bezprawnie zebrane, a następnie wykorzystane do rozpoczęcia procedury egzekucyjnej (w celu odzyskania ok 86.596,00 EUR). W związku z utworzoną sprawą egzekucyjną Krajowa Agencja Skarbowa zebrała dodatkowe dane dotyczące rachunków bankowych G.B.I z rejestru Narodowego Banku Bułgarii. Dodatkowe zgromadzone dane były również przetwarzane niezgodnie z prawem przez Krajową Agencję Skarbową podczas wysyłania nakazów poręczenia do banków, z którymi G.B.I. miał konta bankowe. link
Węgry 2019-10-01 15.100 EUR Miasto Kerepes Art. 6 (1) RODO Miasto korzystało z monitoringu na podstawie swoich uzasadnionych interesów (art. 6 ust. 1 lit. f) Jednak zgodnie z przepisem tego samego artykułu - powołana podstawa prawna nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoch zadań. Przetwarzanie nie mogło opierać się na innej podstawie prawnej. link
Hiszpania 2019-11-28 75.000 EUR Curenergía Comercializador de último recurso Art. 6 RODO An individual filed a complaint against the company alleging that the company had used its personal data as a former customer, such as first and last name, VAT identification number and address, to enter into an electricity supply contract. link
Hiszpania 2019 21.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 (1) RODO Vodafone przetwarzałł dane osobowe powoda (dane bankowe, imię, nazwisko i krajowy numer identyfikacyjny) wiele lat po zakończeniu stosunku umownego. Grzywna w wysokości 35 000 EUR została obniżona do 21 000 EUR. link
Hiszpania 2019 36.000 EUR VODAFONE ONO, S.A.U. Art. 5 (1) f) RODO Firma wysłała marketingową wiadomość mailową do dużej ilości osób, bez ukrycia adresów email odbiorów. Początkowa kara 60.000 EUR została obniżona do kwoty 36.000 EUR. link
Hiszpania 2019 48.000 EUR VODAFONE ONO, S.A.U. Art. 32 RODO Klienci mieli dostęp do danych osobowych innych klientów w strefie klienta. Początkowa grzywna w wysokości 60 000 EUR została obniżona do 48 000 EUR. link
Hiszpania 2019 48.000 EUR TELEFONICA MOVILES ESPAÑA, S.A.U. Art. 5 (1) a) RODO Rachunek bankowy powoda został obciążony przez firmę dwiema fakturami za usługi, które zlecił, jednak z danymi osobowymi innego klienta. Początkowa grzywna w wysokości 60 000 EUR została obniżona do 48 000 EUR. link
Hiszpania 2019 30.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 5 (1) f) RODO Art. 32 RODO Ujawnienie danych osobowych klientów (m.in. historia zakupów) za pośrednictwem wiadomości SMS do innego klienta. Początkowa grzywna w wysokości 50 000 EUR została obniżona do 30 000 EUR. link
Hiszpania 2019 40.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 RODO Firma obciążyła powoda za niezamówioną przez niego usługę (Netflix). Powód mógł udowodnić, że z usługi korzystało inne gospodarstwo domowe, które rzekomo otrzymało rachunek bankowy i numer telefonu powoda od Vodafone. Ponieważ Vodafone nie mógł udowodnić, że powód wyraził zgodę na zawarcie umowy dotyczącej usług Netflix, AEPD nałożyła grzywnę w wysokości 40 000 EUR. link
Hiszpania 2019 20.000 EUR Indywidualny Art. 5 (1) c) RODO Kamery nadzoru wideo były nie tylko wykorzystywane do ochrony mienia, ale także monitorowały pracowników (naruszenie zasady minimalizacji danych). link
Hiszpania 2019 9.000 EUR Indywidualny Art. 5 (1) c) RODO Kamery nadzoru wideo były nie tylko wykorzystywane do ochrony mienia, ale także monitorowały pracowników (naruszenie zasady minimalizacji danych). link
Hiszpania 2019 3.600 EUR AMADOR RECREATIVOS, S.L Art. 5 (1) c) RODO Nieuzasadniony monitoring przestrzeni publicznej. Nieprzestrzeganie zasady minimalizacji danych. link
Niemcy 2019-12-09 9.550.000 EUR Dostawca usług telekomunikacyjnych (1 & 1 Telecom GmbH) Art. 32 RODO Administrator to firma oferująca usługi telekomunikacyjne. Dzwoniący do firmy mogli uzyskać obszerne informacje na temat ich klientów. Wystarczyło podać imię i datę urodzenia. W tej procedurze uwierzytelnienia BfDI narusza art. 32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych nałożona grzywna znajdowała się w dolnej części skali. link
Niemcy 2019-12-09 10.000 EUR Rapidata GmbH Art. 37 RODO Pomimo wielokrotnych wniosków BfDI firma (dostawca Internetu) nie wywiązała się z obowiązku prawnego na mocy art. 37 RODO dotyczącego wyznaczenia inspektora ochrony danych. link
Rumunia 2019-12-04 20.000 EUR S CNTAR TAROM SA (Airline) Art. 32 RODO Linie lotnicze nie podjęły odpowiednich środków w celu zapewnienia bezpieczeństwa danych osobowych. Pracownicy lini lotniczych nie przetwarzały danych osobowych zgodnie z procedurami (art. 32 ust.4 RODO). W konsekwencji jeden z pracowników miał nieupraniony dostęp do aplikacji związanej z rezerwacjami. Sfotografował listę z danymi osobowymi 22 pasażerów / klientów, a następnie opublikował ją w Internecie. link
Niemcy 2019-12-03 105.000 EUR Szpital Art. 5 RODO Grzywna oparta jest na kilku naruszeniach podstawowego rozporządzenia o ochronie danych w związku z pomyłkami podczas przyjmowania pacjentów. Doprowadziło to do nieprawidłowego fakturowania i ujawniło strukturalne deficyty techniczne i organizacyjne w zarządzaniu informacjami o pacjentach w szpitalu. link
Hiszpania 2019-12-01 10.000 EUR Ikea Ibérica Art. 6 RODO Firma zainstalowała pliki cookie na urządzeniu końcowym użytkowników końcowych bez uprzedniej zgody osoby, której dane dotyczą link
Rumunia 2019-11-29 2.500 EUR Royal President S.R.L Art. 15 RODO, Art. 6 RODO, Art. 32 RODO Royal President odrzucił wniosek o dostęp do danych osobowych zgodnie z art.15 RODO i ujawnił dane osobowe bez zgody osób, których dane dotyczą. Ponadto nie podjęto odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanych danych. link
Belgia 2019-11-28 5.000 EUR Burmistrz Art. 6 RODO Kara za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail były zbierane w innym celu. link
Belgia 2019-11-28 5.000 EUR Radny miejski Art. 6 RODO Kara za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail były zbierane w innym celu. link
Rumunia 2019-11-28 80.000 EUR ING Bank N.V. Bucharest Art. 32 RODO ING Bank nie podjął odpowiednich środków technicznych i organizacyjnych dla systemu zautomatyzowanego przetwarzania danych podczas procesu rozliczania transakcji kart dotyczących 225 525 klientów, co spowodowało podwójne transakcje realizowane między 8 a 10 października. link
Francja 2019-11-21 500.000 EUR Futura Internationale Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 RODO Futura Internationale została ukarana za bezprawny marketing telefoniczny pomimo zakazu kilku skarżących. Dochodzenie francuskiego urządu ochrony danych w sprawie Futura Internationale ujawniło, że Futura Internationale otrzymała kilka listów w sprawie sprzeciwu wykonywania marketingu telefonicznego oraz, że firma przechowywała nadmiarowe informacje o klientach i ich zdrowiu. Futura Internationale nie wywiązała się ze spełnienia obowiązku informacyjnego wobec osób, których dane przetwrzała, w tym nie udzielała informacji o nagrywaniu rozmów telefonicznych. link
Hiszpania 2019-11-19 60.000 EUR Xfera Moviles S.A. Art. 32 RODO Indywidualny skarżący otrzymał SMS od Xfera Móviles, który miał być adresowany do strony trzeciej i który umożliwiał mu dostęp do konta i danych osobowych tej strony trzeciej na stronie internetowej Xfera Móviles (za pośrednictwem numeru telefonu i hasła otrzymanego przez SMS). link
Łotwa 2019-11 150.000 EUR Nieznany Art. 6 RODO Nielegalne przetwarzanie danych. Brak dalszych informacji. link
Rumunia 2019-11-25 11.000 EUR Courier Services Company Art. 32 RODO Administrator nie podjął odpowiednich środków technicznych i organizacyjnych prowadzących do utraty i nieuprawnionego dostępu do danych osobowych (imię i nazwisko, numer karty bankowej, kod CVV, adres posiadacza karty, osobisty numer identyfikacyjny, numer seryjny i dowód osobisty, numer rachunku bankowego, autoryzowany limit kredytowy) około 1100 osób, których dane dotyczą. link
Rumunia 2019-11-22 2.000 EUR BNP Paribas Personal Finance S.A. Art. 12 RODO Art. 17 RODO BNP Paribas Personal Finance nie zareagował na żądanie usunięcia danych w terminie określonym w RODO. link
Hiszpania 2019-11-21 60.000 EUR Viaqua Xestión Integral Augas de Galicia Art. 6 RODO Przetwarzanie (modyfikacja) danych osobowych klienta zawartych w umowie przez osobę trzecią bez zgody klienta. link
Hiszpania 2019-11-19 60.000 EUR Corporacion de radio y television espanola Art. 32 RODO Utrata sześciu pamięci USB z nieszyfrowanymi danymi osobowymi link
Hiszpania 2019-11-14 30.000 EUR Telefónica SA Art. 5 RODO Telefónica obciążył skarżącego różnymi opłatami związanymi z obsługą linii telefonicznej, której skarżący nigdy nie posiadał. Rachunek bankowy skarżącego został powiazany z innym klientem Telefónica i tym samym został obciążony. Według hiszpańskiego urzędu ochrony danych jest to sprzeczne z zasadą dokładności wymaganą w art. 5 ust. 1 lit. d RODO. link
Niemcy 2019 80.000 EUR Nieznany Art. 32 RODO Brak odpowiednich mechanizmów kontroli wewnętrzej spowodowował udostępnienie w publikacji cyfrowej danych dotyczących stanu zdtowia. link
Polska 2019-10-16 47.000 EUR ClickQuickNow Art. 5 RODO UODO nałożyło grzywnę za utrudnianie korzystania z prawa odstąpienia od przetwarzania danych osobowych. Firma nie podjęła odpowiednich środków technicznych i organizacyjnych, które pozwalają na proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz korzystanie z prawa do żądania usunięcia danych osobowych. link
Portugalia 2019-03-19 2.000 EUR Nieznany Art. 13 RODO Brak sygnalizacji dotyczącej korzystania z systemów CCTV
Hiszpania 2019-11-13 3.000 EUR General Confederation of Labour ('CGT') Art. 6 RODO CGT bez zgody osoby oskarżającej firmę o molestowanie, w celu zwołania spotkania przesłała do 400 członków związku wiadomość email zawierającą dane osobowe powoda, w tym: adres domowy, stosunki rodzinne, stan ciąż oraz datę rozprawy. link
Hiszpania 2019-11-07 900 EUR TODOTECNICOS24H S.L Art. 13 RODO TODOTECNICOS24H zebrał dane osobowe bez podania dokładnych informacji na temat gromadzenia danych w obowiązku informacyjnym zgodnym z art.13 RODO. link
Hiszpania 2019-11-06 1.500 EUR Cerrajero Online Art. 13 RODO Firma zgromadziła dane osobowe bez podania dokładnych informacji na temat gromadzenia danych w obowiązku informacyjnym zgodnym z art.13 RODO. link
Hiszpania 2019-10-31 6.000 EUR Jocker Premium Invex Art. 6 RODO Po zarejestrowaniu się w lokalnym spisie powszechnym Jocker Premium Invex wysłał reklamy i oferty handlowe za pośrednictwem poczty, chociaż dane takie jak imię, nazwisko i adres pocztowy zostały przekazane jedynie administracji publicznej. link
Hiszpania 2019-10-25 36.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 RODO Art. 6 RODO Dane powoda zostały przekazane firmie Vodafone España za pośrednictwem jego córki oraz za jego zgodą. Vodafone España skontaktowało się z powodem proponując swoje usługi. Powód nie przyjął oferty, mimo to firma Vodafone España rozpoczęła świadczene usług i rządał za nie zapłaty. Vodafone España przetworzyło dane osobowe powoda bez zgody powoda. link
Hiszpania 2019 12.000 EUR Restauracja Art. 5 (1) a) ROD Art. 6 RODO Restauracja chciała nałożyć sankcje dyscyplinarne na pracownika wykorzystującego obrazy wideo z telefonu komórkowego, który w celach dowodowych, został nagrany przez innego pracownika. link
Hiszpania 2019 12.000 EUR  Madrileña Red de Gas Art. 32 RODO Firma gazowa nie wprowadziła odpowiednich procedur w celu weryfikacji tożsamości osoby, której dane dotyczą. link
Holandia 2019-10-31 900.000 EUR UWV (Dutch employee insurance service provider) Art. 32 RODO Niewystarczający dobór środków zabezpieczających, ponieważ UWV (holenderski dostawca usług ubezpieczenia pracowników - „Uitvoeringsinstituut Werknemersverzekeringen”) nie korzystał z uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do internetowego portalu pracodawców. Pracodawcy oraz służby zdrowia i bezpieczeństwa były w stanie gromadzić i wyświetlać dane dotyczące zdrowia pracowników w systemie ewidencji nieobecności. link
Słowacja ? Art. 15 RODO Administrator danych nie zastosował się do wniosku osoby, której dane dotyczą, o dostęp do jego danych osobowych przetwarzanych przez nagrania dźwiękowe. link
Słowacja Art. 5 (1) f) RODO, Art. 32 RODO Dokumenty zawierające dane osobowe zostały wyrzucone na wysypisko śmieci link
Słowacja ? Art. 5 (1) a) ROD Art. 32 RODO Naruszenie środków bezpieczeństwa informacji (w tej chwili brak dalszych informacji) link
Słowacja ? Art. 5 (1) a) ROD Art. 6 (1) a) RODO Dane osobowe zostały bezprawnie opublikowane na stronie internetowej miasta w ramach wypełniania obowiązku ujawnienia zgodnie z ustawą o wolności informacji. Jednak organ ochrony danych stwierdził, że miasto opublikowało dane osobowe z naruszeniem prawa i bez zgody zainteresowanej osoby. link
Słowacja 40.000 Slovak Telekom Art. 32 RODO Administrator nie podjął odpowiednich środków bezpieczeństwa podczas przetwarzania danych osobowych, naruszając w ten sposób obowiązek ochrony przetwarzanych danych osobowych. link
Słowacja 50.000 EUR Social Insurance Agency Art. 32 RODO Wnioski o świadczenia socjalne od obywateli Słowacji przesłano pocztą do władz zagranicznych. Dokumenty zawierające dane osobowe zaginęły, a zlokalizowanie ich bylo niemożliwe. link
Czechy 3.140 EUR UniCredit Bank Czech Republic and Slovakia, a.s. Art. 6 RODO Bank założył osobiste konto bankowe dla osoby, której dane dotyczą, bez jego zgody lub wiedzy. Bank podobno miał swoje dane osobowe, ponieważ podmiot pozbył się konta firmowego swojego pracodawcy. Bank nie był w stanie dostarczyć Urzędowi Ochrony Danych Osobowych niezbędnej dokumentacji potwierdzającej zawarcie umowy z osobą, której dane dotyczą. link
Czechy  588 EUR  Alz.cz a.s. Art. 6 ROD Art. 7 RODO Firma uzyskała kopię dokumentu tożsamości od osoby, której dane dotyczą (za jej zgodą), jednak w momencie wycofania zgody przez tę osobę,w dalszym ciagu przetwrzała jej dane. link
Czechy 980 EUR Przedsiębiorca indywidualny Art. 32 RODO Operator gry online był narażony na kilka ataków DDoS, które spowodowały nieprawidłowe działanie serwerów. Atakujący szantażował operatora, twierdząc, że ataki nie ustaną, dopóki nie zapłaci pieniędzy. W ramach szantażu atakujący zaoferował operatorowi, że stworzy ulepszoną i lepszą ochronę zapory ogniowej na serwerach operatora. Operator zgodził się i zapłacił napastnikowi. Operator zaimplementował nowy kod atakującego, który okazał się lepszy niż stary, ale w kodzie był „backdoor”. Atakujący wykorzystał backdoora do kradzieży wszystkich danych o graczach z serwera i przesłał te dane na swoją stronę internetową. Urząd Ochrony Danych Osobowych stwierdził, że operator nie podjął odpowiednich środków bezpieczeństwa. link
Cypr 14.000 EUR Lekarz Art. 5 RODO Art. 6 RODO Pacjentka złożyła skargę do organu nadzorczego na szpital, który nie spełnił żądania dostępu do jej dokumentacji medycznej. Kontroler nie mógł zidentyfikować / zlokalizować dokumentacji. Po zbadaniu sprawy na szpital nałożono grzywnę administracyjną w wysokości 5000 euro. link 1
Niemcy 2019-10-30 14.500.000 EUR Deutsche Wohnen SE Art. 5 RODO Art. 25 RODO Firma zastosowała system archiwizacji do przechowywania danych osobowych najemców, który nie przewidywał możliwości usuwania danych, które nie były już potrzebne. Dane osobowe najemców były przechowywane bez sprawdzania, czy przechowywanie jest dozwolone i czy jest konieczne. W związku z tym możliwe było uzyskanie dostępu do danych osobowych najemców (przechowywanych przez lata, a dane te nie służyły do ​​celów ich pierwotnego gromadzenia). Dotyczyło to danych o sytuacji osobistej i finansowej najemców, takich jak wyciągi z wynagrodzeń, formularze do samodzielnego ujawnienia, wyciągi z umów o pracę i szkolenia, dane podatkowe, ubezpieczenia społecznego i ubezpieczenia zdrowotnego, a także wyciągi bankowe. Oprócz sankcji za to strukturalne naruszenie, berliński komisarz ds. ochrony danych nałożył na spółkę dodatkowe grzywny w wysokości od 6000 do 17 000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. Zobacz osobny wpis link 1
Niemcy 2019-10-30 ? Deutsche Wohnen SE Art. 5 RODO Oprócz sankcji za naruszenie zasad ochrony prywatności zgodnie z projektem (art. 5 RODO, art. 25 RODO - patrz osobny wpis) berliński komisarz ds. ochrony danych nałożył na spółkę dodatkowe grzywny w wysokości od 6000 do 17 000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. link 1
Austria 2019-10-23 18.000.000 EUR Poczta Austriacka Art. 5(1) a) RODO Art. 6 RODO Poczta austriacka utworzyła profile ponad trzech milionów Austriaków, które zawierały informacje o ich adresach domowych, osobistych preferencjach, zwyczajach i możliwym przynależności partyjnej - które następnie zostały sprzedane, np. partiom politycznym i firmom. link 1
Polska 2019-10-18 9.380 EUR Burmistrz Aleksandrowa Kujawskiego Art. 28 RODO Nie zostałą zawarta umowa powierzenia przetwarzania danych osobowych z firmą, której serwery zawierały zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miasta w Aleksandrowie Kujawskim. Z tego powodu na burmistrza miasta nałożono grzywnę w wysokości 40 000 PLN (9400 EUR). link 1
Rumunia 2019-10-17 2.500 EUR UTTIS Industries srl Art. 12 RODO Art. 13 RODO Art 5(1) c) RODO Art. 6 RODO Sankcje zostały nałożone na administratora, ponieważ nie mógł udowodnić, że osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu danych osobowych / obrazów za pośrednictwem systemu nadzoru wideo, który działają od 2016 r. I ponieważ ujawnił CNP pracownicy, przedstawiając zgłaszającemu raport sprawozdania ze szkolenia upoważnionego personelu ISCIR za rok 2018, i nie mogli udowodnić legalności przetwarzania CNP poprzez ujawnienie, zgodnie z art. 6 RODO. link 1
Hiszpania 2019-10-16 60.000 EUR Xfera Moviles S.A. Art. 5 RODO Art. 6 RODO Xfera Movile wykorzystała dane osobowe bez podstawy prawnej do zawarcia umowy telefonicznej i w dalszym ciągu przetwarza dane osobowe również osób, które zarządały zaprzestania przetwarzania. link 1
Hiszpania 2019-10-16 8.000 EUR Iberdrola Clientes Art. 31 RODO Iberdrola Clientes, spółka elektroenergetyczna, odmówiła złożenia osobie wniosku o zmianę dostawcy energii elektrycznej, ponieważ twierdziła, że ​​jej dane zostaną uwzględnione na liście wypłacalności. W rezultacie hiszpański organ nadzorczy zażądał od Iberdola Clientes dostarczenia informacji o możliwości dodania danych osoby do listy wypłacalności, na którą firma nie odpowiedziała. Ten brak współpracy z regulatorem stanowił naruszenie art. 31 RODO. link 1
Hiszpania 2019-10-01 30.000 EUR Vueling Airlines Art. 5 RODO Art. 6 RODO Hiszpańska Agencja Ochrony Danych (AEPD) ukarała Vueling Airlines kwotą 30 000 euro za to, że nie daje użytkownikom możliwości odrzucenia plików cookie i zmuszenia ich do korzystania z nich, jeśli chcą przeglądać jej stronę internetową. Innymi słowy, przeglądanie strony Vueling nie było możliwe bez akceptacji plików cookie. AEDP wydało sankcję w wysokości 30 000 euro, którą można by natychmiast obniżyć do 18 000 euro. link 1
Rumunia 2019-09-26 9.000 EUR Inteligo Media SA Art. 5(1) a) RODO Art. 6(1) a) RODO W ramach procesu rejestracji na stronie avocatnet.ro operator użył niewypełnionego pola wyboru, za pomocą którego użytkownicy mogliby oświadczyć, że nie chcą otrzymywać listów informacyjnych drogą elektroniczną (rezygnacja). Bez żadnego działania użytkownik został automatycznie wysłany pocztą e-mail z listami informacyjnymi. Nie spełniło to wymagań zgody zgodnej z RODO. link 1
Portugalia 2019-03-25 2.000 EUR Nieznany Art. 13 RODO Brak sygnalizacji dotyczącej korzystania z systemów CCTV
Portugalia 2019-02-05 20.000 EUR Nieznany Art. 13 RODO Odmowa prawa dostępu do zarejestrowanych połączeń telefonicznych przez osobę, której dane dotyczą
Rumunia 2019-10-09 150.000 EUR Raiffeisen Bank SA Art. 32 RODO Pracownicy posiadali nieutoryzowany dostę do danych klientów link 1
Rumunia 2019-10-09 20.000 EUR Vreau Credit SRL Art. 32 RODO Art. 33 RODO Pracownicy posiadali nieautoryzowany dostęp do danych klientów link 1
Grecja 2019-10-07 200.000 EUR Dostawca usług telekomunikacyjnych Art. 5(1) RODO Art. 25 RODO Dobór nieodpowiednich środków technicznych uniemożliwił usunięcie danych dużej liczby klientów, która tego zażądała. W konsekwencji osoby te otrzymywały telefony o charakterze marketingowym. link 1
Grecja 2019-10-07 200.000 EUR Dostawca usług telekomunikacyjnych Art. 21(3) RODO Art. 25 RODO Zastosowanie nieodpowiednich środków technicznych uniemożliwiło usunięcie danych 8 000 klientów, którzy tego żądali. link 1
Węgry 2019-06-25 15.150 EUR brak danych Art. 33 RODO Administrator danych nie dopełnił swoich obowiązków w zakresie naruszenia ochrony danych w przypadku utraty pamięci flash z danymi osobowymi.
Węgry 2019-03-04 3.200 EUR Instytucja finansowa Art. 5 (1) b) i c) RODO Art. 13 (3) RODO Art. 17 (1) RODO Art. 6 (4) RODO Kara została nałożona w związku z wnioskiem osoby, której dane dotyczą, o korektę i usunięcie danych. NAIH nałożył grzywnę na nienazwaną instytucję finansową za niezgodne z prawem przetwarzanie numeru telefonu klienta. Instytucja finansowa twierdziła, że leży to w uzasadnionym interesie firmy (administratora) - wyegzekwowanie roszczenia wobec klienta. W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest konieczny do celów windykacji, ponieważ wierzyciel może również komunikować się z dłużnikiem pocztą. W związku z tym zachowanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu. Zgodnie z prawem oszacowana grzywna oparta była na 0,025% rocznych przychodów netto firmy.
Belgia 2019-09-17 10.000 EUR Kupiec Art. 5 (1) c) RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na handlowca, który chciał użyć elektronicznego dowodu tożsamości (eID) do stworzenia karty klienta. Dochodzenie przeprowadzone przez organ ochrony danych ujawniło, że akceptant wymagał dostępu do danych osobowych znajdujących się na eID, w tym zdjęcia i kodu kreskowego, które są powiązane z numerem identyfikacyjnym osoby, której dane dotyczą. link 1
Polska 2019-09-10 644.780 EUR Morele.net Art. 32 RODO Polski organ ochrony danych nałożył na Morele.net grzywnę w wysokości ponad 2,8 mln PLN (ok. 644 780 EUR) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do ​​nieuprawnionego dostępu do danych osobowych 2,2 mln osób. link 1
Austria 2019-08 50.000 EUR Firma w sektorze medycznym Art. 13 RODO Art. 37 RODO (Ostateczna) grzywna została nałożona na firmę z sektora medycznego z powodu nieprzestrzegania obowiązków informacyjnych i nie wyznaczenia inspektora ochrony danych./td> link 1
Austria 2019-07 11.000 EUR Trener piłki nożnej Art. 6 RODO Kara została nałożona na trenera piłki nożnej, który potajemnie filmował zawodniczki podczas kąpieli. link 1
Bułgaria 2019-08-28 2.600.000 EUR Krajowa Agencja Skarbowa Art. 32 RODO Wyciek danych osobowych podczas ataku hakerskiego z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Stwierdzono, że dane osobowe dotyczące około 6 milionów osób były nielegalnie dostępne. link 1
Bułgaria/td> 2019-08-28 511.000 EUR DSK Bank Art. 32 RODO Wyciek danych osobowych z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Strony trzecie miały dostęp do ponad 23 000 danych kredytowych dotyczących ponad 33 000 klientów banków, w tym danych osobowych, takich jak nazwiska, obywatelstwa, numery identyfikacyjne, adresy, kopie dowodów tożsamości i dane biometryczne. link 1
Łotwa 2019-08-26 7.000 EUR Usługi online Art. 17 RODO Sprzedawca, który świadczy usługi w sklepie internetowym, naruszył „prawo do bycia zapomnianym” zgodnie z art. 17 RODO, gdy osoba, której dane dotyczą, wielokrotnie wzywała go do usunięcia wszystkich swoich danych osobowych, w szczególności numeru telefonu komórkowego, które kupiec otrzymał w ramach zamówienia. Niemniej jednak sprzedawca wielokrotnie wysyłał SMS-y reklamowe na numer telefonu komórkowego osoby, której dane dotyczą. link 1
Szwecja 2019-08-20 18.630 EUR Szkoła w Skellefteå Art. 5 (1) c) RODO Art. 9 RODO Art. 35 RODO Art. 36 RODO Szkoła w Skellefteå przeprowadziła próbę użycia technologii rozpoznawania twarzy. Kara została nałożona na szkołę, która wykorzystywała technologię rozpoznawania twarzy do monitorowania obecności uczniów. Mimo że ogólnie przetwarzanie danych w celu monitorowania obecności jest możliwe, to rozpoznawanie twarzy jest nieproporcjonalne w stosunku do celu monitorowania obecności. Organ nadzorczy (szwecki urząd ochrony danych) uważa, że ​​dane biometryczne studentów zostały przetworzone. Ponadto władze argumentowały, że zgody nie można zastosować, ponieważ studenci i ich opiekunowie nie mogą swobodnie decydować, czy chcą monitorować dzieci pod kątem obecności. Organ nadzorczy stwierdził, że rada szkoły nie może powoływać się na którekolwiek z wyjątków wymienionych w art. 9 ust. 2. Organ nadzorczy stwierdził również, że miał miejsce przypadek przetwarzania o wysokim ryzyku, ponieważ zastosowano nową technologię do przetwarzania wrażliwych danych osobowych dotyczących dzieci, które znajdują się w pozycji zależnej od rady szkoły średniej i ze względu na wykorzystywanie nadzoru przez uczniów codzienne środowisko. W opinii organu zarząd szkoły nie był w stanie wykazać zgodności z art. 35 RODO oraz zarząd powinien skonsultować się w tej sprawie z władzami zgodnie z art. 36 (1) RODO. link 1
Hiszpania 2019-08-16 60.000 EUR Avon Cosmetics Art. 6 RODO Konsument twierdził, że AVON COSMETICS przetwarzał jego dane niezgodnie z prawem bez odpowiedniej weryfikacji jego tożsamości, co doprowadziło do błędnego wpisania jego danych do rejestru roszczeń, uniemożliwiając mu współpracę ze swoim bankiem. W rezultacie osoba trzecia nieuczciwie wykorzystała dane osobowe konsumentów. link 1
Niemcy 2019-09-19 195.407 EUR Delivery Hero Art. 15 RODO Art. 17 RODO Art. 21 RODO Według ustaleń berlińskiego inspektora ochrony danych Delivery Delivery Germany GmbH nie usunęła kont byłych klientów w dziesięciu przypadkach, mimo że osoby, których dane dotyczą, nie działały przez lata na platformie usług dostawczych firmy - w jednym przypadku nawet od 2008 r. Ponadto ośmiu byłych klientów skarżyło się na niechciane e-maile reklamowe od firmy. Podmiot danych, który wyraźnie sprzeciwił się wykorzystaniu jego danych do celów reklamowych, otrzymał jednak 15 kolejnych e-maili reklamowych z usługi dostawy. W kolejnych pięciu przypadkach firma nie dostarczyła osobom, których dane dotyczą, wymaganych informacji lub dopiero po interwencji berlińskiego inspektora ochrony danych. link 1
Grecja 2019-07-30 150.000 EUR PWC Business Solutions Art. 5 (1) a) b) i c) RODO Art. 5 (2) RODO Art. 6 (1) RODO Art. 13 (1) c) RODO Art. 14 (1) c) RODO Przetwarzanie danych osobowych pracowników odbywało się na podstawie zgody. Grecki urząd ochrony danych osobowych uznał, że zgoda jako podstawa prawna była nieodpowiednia, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, przestrzeganie prawnego obowiązku, któremu podlega administrator, oraz sprawne i skuteczne działanie firma jako uzasadniony interes. Ponadto firma dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe na podstawie prawnej zgody, podczas gdy w rzeczywistości przetwarza ich dane na innej podstawie prawnej. Było to sprzeczne z zasadą przejrzystości, a zatem naruszało obowiązek dostarczania informacji zgodnie z art. 13 ust. 1 lit. c) i art. 14 ust. 1 lit. c RODO. Wreszcie, naruszając zasadę odpowiedzialności, firma nie dostarczyła greckiemu urzędowi ochrony danych osobowych dowodów, że przeprowadziła uprzednią ocenę odpowiednich podstaw prawnych do przetwarzania danych osobowych pracowników.
Francja 2019-07-25 180.000 EUR ACTIVE ASSURANCES (branża samochodowa) Art. 32 RODO Łatwy dostęp oneline do dużej liczby kont klientów, dokumentów klientów (w tym kopi praw jazdy, rejestracji pojazdu, wyciągów bankowych i dokumentów określających, czy dana osoba była przedmiotem cofnięcia prawa jazdy) oraz danych. Francuski urząd ochrony danych osobowych skrytykował zarządzanie hasłami (nieautoryzowany dostęp był możliwy bez żadnego uwierzytelnienia). link do PDF
Wielka Brytania 2019-07-09 110.390.000 EUR Marriott International Inc. (sieć hoteli) Art. 32 RODO Uwaga: Decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o zamiarze ukarania Marriott International Inc, które dotyczyło incydentu cybernetycznego zgłoszonego ICO przez Marriott w listopadzie 2018 r. Naruszenia przepisów RODO mogą wiązać się z naruszeniem art. 32 RODO. W następstwie incydentu ujawnionych zostało szereg danych osobowych zawartych w około 339 milionach wpisów dotyczących gości na całym świecie, z czego około 30 milionów dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). 7 milionów wpisów związanych było z mieszkańcami Wielkiej Brytanii. Uważa się, że luka w zabezpieczeniach rozpoczęła się, gdy systemy grupy hoteli Starwood zostały zainfekowane w 2014 r. Następnie grupa Marriott przejęła sieć hoteli Starwood w 2016 r., ale ujawnienie informacji o klientach nie zostało odkryte aż do 2018 r. Dochodzenie ICO wykazało, że Marriott nie dochował wystarczającej staranności, kiedy przejął grupę Starwood i powinien był zrobić więcej, aby zabezpieczyć swoje systemy. link
Wielka Brytania 2019-07-08 204.600.000 EUR British Airways (linie lotnicze) Art. 32 RODO Uwaga: Decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o swoim zamiarze ukarania British Airways £183,39 mln za naruszenie przepisów RODO, które prawdopodobnie jest skutkiem nie zastosowania się do art. 32 RODO. Proponowana grzywna dotyczy incydentu cybernetycznego zgłoszonego ICO przez British Airways we wrześniu 2018 r. Incydent ten częściowo polegał na przekierowaniu ruchu użytkowników na fałszywą stronę internetową za pośrednictwem strony internetowej British Airways. Dzięki tej fałszywej stronie przestępcy mieli możliwość wejść w posiadanie danych klientów firmy. Incydent, który prawdopodobnie rozpoczął się w czerwcu 2018 spowodował że zagrożone były dane osobowe około 500 000 klientów. Dochodzenie przeprowadzone przez ICO wykazało, że przez zastosowanie złych rozwiązań dot. bezpieczeństwa w firmie, następujące informacje mogły zostać przejęte przez przestępców: loginy, dane kart płatniczych, szczegóły rezerwacji podróży, a także informacje o tożsamości i adresie. link
Rumunia 2019-07-02 15.056 EUR World Trade Center Bucharest SA Art. 32 RODO Naruszenie bezpieczeństwa danych polegało na tym, że używana do sprawdzania klientów korzystających z hotelowego śniadania lista zawierająca dane osobowe 46 osób, została sfotografowana przez nieupoważnione osoby spoza firmy, co doprowadziło do ujawnienia danych osobowych niektórych klientów za pośrednictwem publikacji online. Operator World Trade Center Bucharest SA został ukarany, ponieważ nie podjął kroków w celu zapewnienia, że dane nie zostaną ujawnione osobom nieupoważnionym. link
Rumunia 2019-07-05 3.000 EUR Legal Company & Tax Hub SRL/td> Art. 32 (1) i Art. 32 (2) RODO Grzywnę nałożono, ponieważ nie wdrożono odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa w odniesieniu do ryzyka przetwarzania. Doprowadziło to do nieuprawnionego ujawnienia i nieautoryzowanego dostępu do danych osobowych osób, które dokonały transakcji za pośrednictwem strony internetowej avocatoo.ro. Dane takie jak imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy, szczegóły dokonanych transakcji, zostały ujawnione, ze względu na otwarty dostęp do dokumentów między 10 grudnia 2018 r., a 1 lutego 2019 r. Krajowy organ nadzorczy zastosował sankcję po powiadomieniu z dnia 12 października 2018 r., wskazując, że zbiór plików dotyczących szczegółów transakcji zrealizowanych przez stronę internetową avocatoo.ro zawierał imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy i szczegóły dotyczące dokonanych transakcji i był publicznie dostępny za pośrednictwem dwóch linków. link
Rumunia 2019-06-27 130.000 EUR Unicredit Bank SA Art. 25 (1) i Art. 5 (1c) RODO Grzywna została wydana w wyniku braku wdrożenia odpowiednich środków technicznych i organizacyjnych (związanych z (1) określeniem środków / operacji przetwarzania oraz (2) integracji niezbędnych zabezpieczeń), co doprowadziło do ujawnienia identyfikatorów online oraz dokumentów tożsamości i adresów (interla / transakcje zewnętrzne) 337 042 osób, których dane dotyczą (między 25.05.2018 a 10.12.2018). link
Holandia 2019-06-18 460.000 EUR Szpital w Hadze Art. 32 RODO Szpital w Hadze ukarany został karą za brak odpowiedniego zabezpieczenia dokumentacji pacjenta. Holenderski Organ Ochrony Danych wszczął dochodzenie, gdy okazało się, że dziesiątki osób z personelu szpitalnego bez powodu sprawdzały dokumentację medyczną popularnej w Holandii osoby. Aby zmusić szpital do poprawy bezpieczeństwa dot. dokumentacji pacjenta, AP (holenderski organ nadzorczy) po zakończeniu dochodzenia nałożył na szpital karę. Jeśli szpital w Hadze nie poprawi środków bezpieczeństwa przed 2 października 2019 r., będzie musiał zapłacić zapłacić 100 000 EUR co dwa tygodnie, maksymalnie 300 000 EUR. Szpital w Hadze zgodził się na wdrożenie nowych środków. link
Francja 2019-06-13 20.000 EUR Uniontrad Company Art. 5 (1c) RODO, Art. 12 RODO, Art. 13 RODO, Art. 32 RODO W latach 2013–2017 CNIL (francuski organ ochrony danych osobowych) otrzymał skargi od kilku pracowników firmy, którzy zostali sfilmowani na ich stanowisku pracy. Organ dwukrotnie ostrzegał firmę o zasadach, które należy przestrzegać podczas instalowania kamer w miejscu pracy, w szczególności o tym, że pracownicy nie powinni być filmowani w sposób ciągły, a informacje o przetwarzaniu danych muszą być dostarczone. Wobec braku zadowalających środków pod koniec terminu określonego w wezwaniu do usunięcia uchybienia, CNIL przeprowadził drugą kontrolę w październiku 2018 r., która potwierdziła, że pracodawca nadal narusza przepisy o ochronie danych, rejestrując pracowników przy użyciu monitoringu wizyjnego. Przy ustalaniu kwoty grzywny CNIL wziął pod uwagę wielkość (9 pracowników) i sytuację finansową spółki, która wykazała ujemny wynik netto w 2017 r. (Obrót w wysokości 885 739 EUR w 2017 r. i ujemny wynik netto w wysokości 110 844 EUR ), aby zachować skuteczną, ale proporcjonalną grzywnę administracyjną. link
Dania 2019-06-03 200.850 EUR IDdesign A/S Art. 5 (1e) i (2) RODO Grzywna została nałożona w wyniku kontroli przeprowadzonej w 2018 r. IDdesign przetworzyło dane osobowe około 385 000 klientów przez okres dłuższy niż jest to konieczne do celów, dla których zostały pozyskane. Ponadto firma nie ustanowiła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM. Terminy ustalone dla starego systemu nie zostały zachowane i dane osobowe nie zostały usunięte po upływie wyznaczonego terminu. Ponadto administrator nie udokumentował w odpowiedni sposób swoich procedur usuwania danych osobowych. Uwaga: prawo duńskie nie przewiduje kar administracyjnych nakładanych przez organ nadzorczy jak zostało to określone w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd. link
Belgia 2019-05-28 2.000 EUR Burmistrz Art. 5 (1b) RODO, Art. 6 RODO Grzywna administracyjna została nałożona za niewłaściwe wykorzystanie danych osobowych przez burmistrza do celów kampanii wyborczej. link
Francja 2019-05-28 400.000 EUR Sergic - firma specjalizująca się w rozwoju nieruchomości, zakupie, sprzedaży, wynajmie i zarządzaniu nieruchomościami Art. 32 and 5 (1e) RODO CNIL (francuski organ nadzorczy) oparł karę na dwóch podstawach: brak podstawowych środków bezpieczeństwa i nadmierne przechowywanie danych. Jeśli chodzi o pierwsze, dokumenty zawierające dane wrażliwe osób zainteresowanych wynajęciem lokali (w tym dowody osobiste, karty zdrowia, zawiadomienia podatkowe, zaświadczenia wydane przez fundusz zasiłków rodzinnych, wyroki rozwodowe, wyciągi z rachunków) były dostępne online bez procedury uwierzytelniania. Chociaż luka ta była znana firmie od marca 2018 r., nie została ostatecznie załatana do września 2018 r. Ponadto firma przechowywała dokumentację dostarczoną przez kandydatów dłużej niż to konieczne. CNIL wziął pod uwagę m.in. powagę naruszenia (brak należytej staranności w eliminowaniu powstałej luki oraz fakt, że dokumenty ujawniły bardzo intymne aspekty życia klientów firmy), wielkość firmy i jej sytuację finansową. link
Węgry 2019-05-23 92.146 EUR Organizator: Sziget festival i Volt festival Art. 6 RODO, Art. 5 (1b) RODO, Art. 13 RODO NAIH (węgierski organ nadzorczy) stwierdził, że przetwarzanie danych osobowych odbywało się na niewłaściwych podstawach prawnych, a Administrator nie przestrzegał zasady ograniczenia celu. Ponadto informacje dotyczące przetwarzania danych nie były w pełni przekazywane osobom, których dane dotyczą. link
Litwa 2019-05-16 61.500 EUR UAB MisterTango - dostawca usług płatniczych Art. 5 RODO, Art. 32 RODO, Art. 33 RODO Podczas kontroli litewski organ nadzoru ochrony danych stwierdził, że Administrator przetwarzał więcej danych niż było to konieczne do osiągnięcia celów, dla których był Administratorem. Ponadto okazało się, że od 09 do 10 lipca 2018 r. dane dotyczące płatności były publicznie dostępne w Internecie z powodu nieodpowiedniego dobrania środków technicznych i organizacyjnych. Dotyczyło to 9 tys. płatności w 12 bankach z różnych krajów. Według organu nadzoru powiadomienie o naruszeniu danych zgodnie z art. 33 RODO byłoby konieczne. Administrator nie zgłosił naruszenia danych. link
Niemcy 2019-05-09 1.400 EUR Funkcjonariusz Policji Art. 6 RODO Funkcjonariusz policji, używając swojej legitymacji służowej, ale bez odniesienia do obowiązków służbowych, zapytał właściciela o dane dotyczące tablicy rejestracyjnej osoby, której danych nie poznał za pośrednictwem wyszukania w Centralnym Systemie Informacji o Ruchu Drogowym (ZEVIS) udostępnionym przez Federalny Urząd Transportu Samochodowego. Korzystając z uzyskanych w ten sposób danych osobowych, przeprowadził następnie tzw. Zapytanie SARS w Federalnej Agencji Sieciowej, w którym poprosił nie tylko o dane osobowe stron poszkodowanych, ale także o przechowywane tam numery telefonów domowych i komórkowych . Korzystając z uzyskanego w ten sposób numeru telefonu komórkowego, policjant skontaktował się telefonicznie z poszkodowanym - bez żadnego oficjalnego powodu lub zgody strony poszkodowanej. Poprzez zapytanie ZEVIS i SARS do celów prywatnych i wykorzystanie uzyskanego w ten sposób numeru telefonu komórkowego do prywatnego kontaktu, funkcjonariusz policji przetwarzał dane osobowe poza zakresem prawa na własną odpowiedzialność. Tego naruszenia nie można przypisać jednostce policji, w której funkcjonariusz pełni służbę, ponieważ nie popełnił on tego czynu podczas wykonywania swoich obowiązków służbowych, ale wyłącznie w celach prywatnych. Zakaz karania na podstawie § 28 LDSG (lokalnych przepisów o ochronie danych osobowych), zgodnie z którym sankcje RODO nie mogą być nakładane na organy publiczne, nie ma zastosowania w niniejszej sprawie, ponieważ nie był to przypadek niewłaściwego postępowania przypisany organowi, a osoba określona jako sprawca nie może być sklasyfikowana jako odrębny organ publiczny w rozumieniu § 2 (1) lub (2) LDSG w przypadku czynów stanowiących przedmiot sprawy. link
Czechy 2019-05-06 194 EUR Organizacja non-profit Art. 15 RODO Grzywna nałożona została na organizację non-profit, która przetworzyła niedokładne dane i odmówiła dostępu do przetwarzanych przez nią danych. link
Polska 2019-04-25 12.950 EUR Związek sportowy Art. 6 RODO Związek sportowy opublikował dane osobowe dotyczące sędziów, którym przyznano licencje sędziego drogą internetową.: imiona i nazwiska, a także dokładne adresy i numery PESEL. Tymczasem nie ma podstawy prawnej, aby tak szeroki zakres danych dotyczących sędziów był dostępny w Internecie. Ujawniając je, Administrator stwarzał potencjalne ryzyko ich nieuprawnionego użycia, np. podszywać się pod nich w celu zaciągania pożyczek lub innych zobowiązań. Chociaż Związek sam zauważył swój błąd, o czym świadczy powiadomienie Prezesa UODO (polski organ nadzorczy) o naruszeniu ochrony danych osobowych, fakt, że próby usunięcia go były nieskuteczne, determinował nałożenie kary. Przy ustalaniu wysokości grzywny (55 750,50 zł) Prezes UODO wziął pod uwagę między innymi czas trwania naruszenia oraz fakt, że dotyczył on dużej grupy osób (585 sędziów). UODO stwierdziło, że chociaż naruszenie zostało ostatecznie usunięte, miało ono poważny charakter. Nakładając karę, UODO wzięło również pod uwagę okoliczności łagodzące, takie jak dobra współpraca między Administratorem a organem nadzorczym lub brak dowodów, że szkoda została wyrządzona osobom, których dane zostały ujawnione. link
Włochy 2019-04-17 50.000 EUR Movimento 5 Stelle - włoska partia polityczna - Ruch Pięciu Gwiazd Art. 32 RODO Szereg stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest uruchamianych za pośrednictwem podmiotu przetwarzającego dane za pomocą platformy o nazwie Rousseau. W lecie 2017 r. na platformie nastąpiło naruszenie danych co spowodowało, że Garante (włoski organ nadzorczy), zażądał wdrożenia szeregu środków bezpieczeństwa, oprócz obowiązku aktualizacji informacji o prywatności w celu zapewnienia dodatkowej przejrzystości do czynności przetwarzania, które miały miejsce. W związku z przeprowadzonymi aktualizacjami informacji o prywatności, włoski organ ochrony danych wyraził obawy co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa związanych z RODO. Warto wspomnieć, że postępowanie wszczęto przed majem 2018 r., ale włoski organ ochrony danych wydał grzywnę na mocy RODO, ponieważ platforma Rousseau nie przyjęła wymaganych środków bezpieczeństwa w drodze nakazu wydanego po 25 maja 2018 r. Co ciekawe, grzywna nie została wydana przeciwko Movimento 5 Stelle, która jest administratorem danych platformy, ale przeciwko stowarzyszeniu Rousseau, które jest podmiotem przetwarzającym dane. link
Węgry 2019-04-17 9.400 EUR brak danych Art. 5 (1a) RODO, Art. 6 RODO W ocenie NAIH (wegierski organ ochrony danych osobowych), Administrator danych wykorzystał niewłaściwą podstawę prawną przetwarzania danych osobowych (art. 6.1.b) w celu cesji roszczeń. link
Bułgaria 2019-04-08 510 EUR Centra medyczne Art. 5 (1a) RODO; Art. 9 (1) i Art. 9 (2) RODO; Art. 6 (1) RODO. Każdemu ośrodkowi medycznemu nałożono sankcję w wysokości 510 EUR za bezprawne przetwarzanie danych osobowych osoby, której dane dotyczą, w celu zmiany lekarza rodzinnego. Centrum medyczne wykorzystało oprogramowanie do wygenerowania formularza rejestracyjnego zmiany lekarza rodzinnego, który został przekazany do Regionalnego Funduszu Ubezpieczeń Zdrowotnych, a następnie do innego ośrodka medycznego, który następnie bezprawnie przetwarzał dane osobowe. link
Węgry 2019-04-05 34.375 EUR Węgierska partia polityczna Art. 33 (1) RODO, Art. 33 (5) RODO, Art. 34 (1) RODO NAIH (węgierski organ nadzorczy) nałożył grzywnę w wysokości 11 000 000 HUF (34 375 EUR) na nieujawnioną węgierską partię polityczną za niepowiadomienie NAIH i osób, które dane dotyczą o naruszeniu ochrony danych i nie udokumentowanie naruszenia zgodnie z art. 35 RODO. Zgodnie z obowiązującymi przepisami grzywna została ustalona na podstawie 4% rocznego obrotu partii i 2,65% jej przewidywanych obrotów w nadchodzącym roku. Naruszenie było wynikiem cyberataku dokonanego przez anonimowego hakera, który uzyskał dostęp do informacji o słabości systemu organizacji - bazy danych liczącej ponad 6 000 osób - oraz polecenia (kodu) użytego do ataku. System był narażony na atak z powodu problemu z przekierowaniem na stronie internetowej organizacji. Po opublikowaniu kodu przez atakującego nawet osoby z niską wiedzą informatyczną były w stanie pobrać informacje z bazy danych. link
Węgry 2019-04-05 1.900 EUR brak danych Art. 15 RODO Administrator danych nie spełnił żądania dostępu do danych złożonego przez osobę, którą dane dotyczą link
Norwegia 2019-03 170.000 EUR Gmina Bergen Art. 5 (1f) RODO, Art. 32 RODO Incydent dotyczy plików komputerowych z nazwami użytkowników i hasłami do ponad 35 000 kont użytkowników w systemie komputerowym gminy. Konta użytkowników dotyczyły zarówno uczniów szkół podstawowych gminy, jak i pracowników tych szkół. Z powodu niewystarczających środków bezpieczeństwa pliki te nie były chronione i były łatwo dostępne. Brak środków bezpieczeństwa w systemie umożliwił każdemu zalogowanie się do różnych systemów informatycznych szkoły, a tym samym dostęp do różnych kategorii danych osobowych dotyczących uczniów i pracowników szkół. Fakt, że naruszenie bezpieczeństwa obejmuje dane osobowe ponad 35 000 osób, a większość z nich to dzieci, uznano za czynniki obciążające. Gmina była również wielokrotnie ostrzegana, zarówno przez władze, jak i osoby wewnątrz organizacji, że bezpieczeństwo danych było niewystarczające.
Polska 2019-03-26 219.538 EUR Bisnode Polska Sp. z o.o. Art. 14 RODO Grzywna dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczą, uzyskane z publicznie dostępnych źródeł, między innymi z Centralnej Ewidencji i Informacji o Działalności Gospodarczej i przetwarzała dane do celów komercyjnych. Organ zweryfikował niezgodność z obowiązkiem informacyjnym w stosunku do osób fizycznych prowadzących działalność gospodarczą - przedsiębiorców, którzy obecnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator spełnił obowiązek informacyjny, przekazując informacje wymagane zgodnie z art. 14 (1) - (3) RODO jedynie w odniesieniu do osób, których adresy e-mail posiadał. W przypadku pozostałych osób administrator nie wywiązał się z obowiązku informacyjnego - jak wyjaśnił w trakcie postępowania - z powodu wysokich kosztów operacyjnych. Dlatego przedstawił klauzulę informacyjną tylko na swojej stronie internetowej. Według UODO nie było to wystarczające. link
Bułgaria 2019-03-26 5.100 EUR A.P. EOOD Art. 5 (1) a) RODOD, Art. 6 RODO Sankcję nałożono na administratora danych osobowych A.P. EOOD za niezgodne z prawem przetwarzanie danych osobowych. Osoba, której dane dotyczą przebywała w więzieniu i w tymc czasie A.P. EOOD wykorzystał jej dane do przygotowania umowy o pracę. link
Czechy 2019-03-21 9.704 EUR brak danych Art. 5 (1c i 1e) RODO Dane nie były przetwarzane w sposób adekwatny, odpowiedni i ograniczony - zgodnie z celem przetwarzania („minimalizacja danych”), a także dane były przechowywane w formie umożliwiającej identyfikację osób, których dotyczyły dłużej niż to konieczne do celów, dla których przetwarzane są dane osobowe („ograniczenie przechowywania”). link
Czechy 2019-02-28 582 EUR brak danych Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Węgry 2019-02-28 3.200 EUR Biuro burmistrza miasta Kecskemét Art. 5 (1a) RODO, Art. 6 RODO Grzywna została nałożona na biuro burmistrza miasta Kecskemét za niezgodne z prawem ujawnienie danych osobowych osoby, która poinformowała o nieprawidłowościach mających miejsce w nadzorownaej przez siebie organizacji. Osoba ta zgłosiła bezpośrednio do swojego pracodawcy skargę dotyczącą interesu publicznego. Po tym, jak organizacja dowiedziała się o skardze, poprosiła o szczegóły w celu zbadania sprawy, a samorząd lokalny przypadkowo ujawnił nazwisko skarżącego. NAIH (organ nadzorczy) w wyniku naruszenia nałożył grzywnę, za czynnik obciążający uznał zwolnienie tej osoby z pracy. link
Bułgaria 2019-02-26 27.100 EUR Dostawca usług telekomunikacyjnych Art. 6 RODO, Art. 5 (1a) RODO Wielokrotna rejestracja usług przedpłaconych bez wiedzy i zgody osoby, której dane dotyczą. Pracownicy operatorów telekomunikacyjnych wykorzystali dane osobowe i zarejestrowali skarżącego w przedpłaconej usłudze firmy. Osoba, której dane dotyczą, nie podpisała wniosku i nie wyraziła zgody na przetwarzanie jego danych osobowych w określonym celu. Nie miała również zastosowania inna podstawa prawna. Podpis wniosku i oryginalny wniosek skarżącego nie były identyczne. Wskazano także osobisty numer identyfikacyjny osoby, ale numer dowodu osobistego nie należał do skarżącego. link
Czechy 2019-02-26 776 EUR brak danych Art. 15 RODO Osoba, której dane dotyczą zażadąła potwierdzenia, czy jej dane osobowe są przetwarzane, a jeśli tak, to czy w związku z tym, ma prawo dostępu do swoich danych osobowych na podstawie przepisów RODO. Skarżący, dwukrotnie (15 oraz 30 listopada 2018r.) kontaktował się z firmą, i zażądał informacji na temat przetwarzania jego danych osobowych, - w jaki sposób pozyskano jego nr telefonu i jak przetwarzane są jego dane osobowe. Organ nadzorczy nałożył grzywnę na firmę, która jako Administrator nie udzieliła odpowiedzi w przewidzianym w przepisach terminie. link
Bułgaria 2019-02-22 500 EUR Nieznany pracodawca Art 5 (1b i 1c) RODO, Art. 12 RODO, Art. 15 (1) RODO, Art. 15 (1) a), b), c), g) RODO, Art. 15 (3) RODO Pracownik wysłał do swojego pracodawcy wniosek o dostęp do swoich danych osobowych. Żądanie nie zostało odebrane w odpowiednim czasie. link
Węgry 2019-02-20 1.560 EUR Firma windykacyjna Art. 5 (1a i 1c) RODO - zasady przejrzystości i minimalizacji danych Osoba, której dane dotyczą, zażądała informacji na temat przetwarzanych danych i ich usunięcia. Firma windykacyjna odmówiła spełnienie tego żądania powołując sie na brak możliwości zidentyfikowania podmiotu. W celach identyfikacyjnych zażądano miejsca urodzenia, nazwiska panieńskiego matki i dalszych danych od osoby, której dane dotyczyły. Po tym, jak Administratorowi udało się zidentyfikować tę osobę, firma odmówiła zastosowania się do żądania usunięcia, twierdząc, że jest prawnie zobowiązana do przechowywania kopii zapasowych zgodnie z ustawą o rachunkowości i zasadami wewnętrznymi. Ponieważ nie poinformowano prawidłowo o tych zasadach, NAIH (organ nadzorczy) uznał, że firma naruszyła zasadę przejrzystości. Grzywna stanowi 0,0025% rocznego zysku Administratora. link
Malta 2019-02-18 5.000 EUR Urząd Ziemski Art. 5 RODO, Art. 32 RODO W wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Urzędu Ziemskiego, ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla społeczeństwa za pomocą prostego wyszukiwania google. Większość ujawnionych danych zawierała bardzo poufne informacje i korespondencję między jednostkami a samym Urzędem. Urząd Ziemski przyjął karę. Na Malcie, w przypadku naruszenia przez organ lub organ publiczny, Komisarz ds. Ochrony Danych może nałożyć karę administracyjną w wysokości do 25 000 EUR za każde naruszenie i może dodatkowo nałożyć karę dzienną w wysokości 25 EUR za każdy dzień, w którym takie naruszenie utrzymuje się. link
Węgry 2019-02-09 1.560 EUR Bank Art. 5 (1d) RODO - zasada prawidłowości Bank omyłkowo wysłał wiadomości SMS o zadłużeniu karty kredytowej podmiotu na numer telefonu innej osoby. Po otrzymaniu nieprawidłowego numeru telefonu od klienta w momencie zawierania umowy bank nie zastosował się do żądania osoby, której dane dotyczą, aby usunąć dane i kontynuował wysyłanie wiadomości SMS na nieprawidłowy numer telefonu. Grzywna stanowi 0,0016% rocznego zysku banku. link
Niemcy 2019-02-05 2.500 EUR Osoba fizyczna Art. 6 RODO, Art. 5 RODO Grzywna została nałożona na osobę prywatną, która w okresoie od lipca do września 2018 r., wysłała kilkanaście e-maili, w których użyła osobistych adresów e-mail widocznych dla wszystkich odbiorców, z których każdy odbiorca mógł przeczytać niezliczoną liczbę innych odbiorców. Mężczyzna został oskarżony o dziesięć przestępstw między połową lipca a końcem lipca 2018 r. Zgodnie z pismem organu na jego liście adresatów można było znaleźć od 131 do 153 osobistych adresów poczty elektronicznej. link
Czechy 2019-02-04 1.165 EUR Firma wynajmująca samochody Art. 5 (1a) RODO Osoba, która wynajęła samochód, dowiedziała się, że wynajęty samochód był śledzony przez GPS, chociaż nie podano żadnych informacji na temat tego, że samochód jest wyposażony w urządzenie śledzące. Czeski Urząd Ochrony Danych stwierdził, że nie podano żadnych informacji w rozumieniu art. 13 RODO i że art. 6 (1f) RODO nie może być podstawą prawną w konkretnych okolicznościach. W związku z tym Organ stwierdził naruszenie art. 5 (1a) RODO, za który nałożył grzywnę. link
Czechy 2019-02-04 1.165 EUR Pośrednik kredytowy Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Francja 2019-01-21
50.000.000 EUR
Google Inc. Art. 13 RODO, Art. 14 RODO, Art. 6 RODO, Art. 4 nr. 11 RODO, Art. 5 RODO Grzywnę nałożono na podstawie skarg austriackiej organizacji „None Of Your Business” i francuskiej organizacji pozarządowej „La Quadrature du Net”. Skargi zostały złożone w dniach 25 i 28 maja 2018 r. - natychmiast po rozpoczęciu stosowania przepisów RODO. Skargi dotyczyły utworzenia konta Google podczas konfiguracji telefonu komórkowego za pomocą systemu operacyjnego Android. CNIL (organ nadzorczy) nałożył grzywnę w wysokości 50 milionów euro z powodu braku przejrzystości (art. 5 RODO), niewystarczających informacj (art. 13/14 RODO) i braku podstawy prawnej (art. 6 RODO). Uzyskane zgody nie były „konkretne” ani „jednoznaczne” (art. 4 nr 11 RODO). link
Bułgaria 2019-01-17 500 EUR Bank Art.6 RODO, Art. 5 (1a) RODO Bank uzyskał dane osobowe dotyczące studenta bez podstawy prawnej. link
Czechy 2019-01-10 388 EUR Nieznany pracodawca Art.6 RODO Były pracownik firmy poprosił o usunięcie związanych z nim informacji, która zostały opublikowana na fanpage'u pracodawcy na Facebooku i która była dostępna jeszcze długo po zakończeniu stosunku pracy. Grzywna została nałożona, ponieważ pracodawca nie usunął informacji dotyczących byłego pracownika. link
Austria 2018-12-20 2.200 EUR Osoba fizyczna Art. 5 (1a i 1c RODO, Art. 6 (1) RODO, Art. 13 RODO Grzywnę nałożono na osobę prywatną, która korzystała z monitoringu wizyjnego w swoim domu. Nadzór wideo obejmował obszary przeznaczone do ogólnego użytku mieszkańców wielopartyjnego kompleksu mieszkalnego, a mianowicie: parkingi, chodniki, dziedziniec, ogród i obszary dostępu do kompleksu mieszkalnego; ponadto nadzór wideo obejmował ogródki przyległej nieruchomości. Nadzór wideo nie jest zatem ograniczony do obszarów, które podlegają wyłącznej kontroli tej osoby. Nadzór wideo nie jest zatem proporcjonalny do celu i nie ogranicza się do tego, co jest konieczne. Nadzór wideo rejestruje korytarz domu i filmuje mieszkańców wchodzących i wychodzących z okolicznych apartamentów, tym samym naruszając ich osobistych przestrzeń życiową bez zgody na rejestrowanie obrazu. Nadzór wideo nie został prawidłowo określony. link
Węgry 2018-12-18 3.200 EUR brak danych Art. 12 (4) RODO, Art. 15 RODO, Art. 18 (1c) RODO, Art. 13 RODO Grzywna została nałożona za (1) nieudzielenie podmiotowi danych nagrań z monitoringu wizyjnego; (2) niezatrzymywanie nagrań do dalszego wykorzystania przez osobę, której dane dotyczą, oraz (3) niepoinformowanie osoby, której dane dotyczą, o prawie do złożenia skargi do organu nadzorczego.
Niemcy 2018-12-17 5.000 EUR Kolibri Image Regina und Dirk Maass GbR Art. 28 (3) RODO Uwaga: zgodnie z informacjami grzywna została w międzyczasie wycofana. Kolibri Image wysłał prośbę do organu nadzorczego w Hesji z pytaniem, jak postępować z usługodawcą, który nie chce podpisać umowy o przetwarzanie. Kolibri nie otrzymał dostatecznej odpowiedzi i sprawę przekazał właściwemu lokalnie organowi ochrony danych w Hamburgu. Organ ukarał Kolibri Image jako Administratora za brak umowy o powierzeniu przetwarzania z usługodawcą. Kolibri Image oświadczył, że zakwestionuje decyzję przed sądem, ponieważ jest zdania, że usługodawca nie działa jako podmiot przetwarzający. link
Austria 2018-12-09 4.800 EUR Punkt przyjmowania zakładów bukmacherskich Art. 13 RODO Monitoring wizyjny nie został dostatecznie oznaczony, a ponadto nadzór wideo obejmował dużą część chodnika wokół obiektu. Nadzór nad przestrzenią publiczną w ten sposób, tj. na tzw. dużą skalę, przez osoby prywatne nie jest dozwolony.
Niemcy 2018-11-21 20.000 EUR Knuddels.de Art. 32 (1a) RODO Po ataku hakerów w lipcu, ujawnione zostały dane osobowe ok. 330 000 użytkowników, w tym hasła i ich adresy e-mail. link
Czechy 2018-10-25 388 EUR nie ujawniono Art. 15 RODO Udowodniono, że stowarzyszenie zwlekało z realizacją żądania usunięcia danych osobowych, osoby której dane dotyczą, a także nie dostarczono wymaganych informacji na żądanie dotyczące przetwarzania danych osobowych strony. link
Portugalia 2018-07-17 400.000 EUR Szpital Art. 5 (1f) RODO, Art. 32 RODO Dochodzenie wykazało, że personel szpitala, psycholodzy, dietetycy i inni specjaliści mieli dostęp do danych pacjentów za pomocą fałszywych profili. System zarządzania profilami okazał się niewystarczający - szpital miał 985 zarejestrowanych profili lekarzy, a jedynie 296 lekarzy. Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od specjalizacji lekarza.
Bułgaria 2018-12-04 500 EUR Bank Art. 5 (1b) RODO, Art. 6 RODO Grzywna została nałożona na bank za wezwanie klienta za niezapłacone rachunki sąsiada. To sprowokowało klienta do skorzystania z jego prawa do bycia zapomnianym. Po nieotrzymaniu odpowiedzi od banku złożył kolejny wniosek, w którym bank podjął działania w ustawowym terminie. Niemniej jednak klient złożył skargę do KZLD (organu nadzorczego). Naruszenie, za które bank został ukarany, dotyczyło przetwarzania danych osobowych klienta niepowiązanych z umową o kredyt konsumencki. Ponieważ cel przetwarzania danych był inny niż cel przekazany w momencie zawarcia umowy, bank z punktu widzenia KZLD powinien posiadać dodatkową zgodę od swojego klienta. link
Cypr 2019 5.000 EUR Szpital publiczny Art. 15 RODO Pacjent złożył skargę do organu nadzorczego, że wniosek o dostęp do jej akt medycznych nie został spełniony przez szpital, ponieważ Administrator nie może zidentyfikować / zlokalizować dokumentacji. link
Cypr 2019 10.000 EUR Wydawca gazety Art. 6 RODO Publikacja gazety w wersji papierowej i elektronicznej wiązała się rzekomo z niedogodnościami, niepotrzebnym i bezprawnym przetrzymywaniem obywatela oraz ujawniła nazwiska i zdjęcia trzech zaangażowanych śledczych policji. Komisarz uznał, że cel można osiągnąć, odwołując się jedynie do inicjałów ich nazwisk i / lub ich twarzy rozmazanych i / lub publikując fotografie narysowane z daleka, aby niemożliwe było zidentyfikowanie osób, a działania te nie miały by wpływu na przebieg sprawy. link
Dania 2019 160.000 EUR Taxa 4x35 (Taxi company) Art. 5(1e) RODO Duński organ ochrony danych poinformował policję o firmie taksówkarskiej i zalecił karę grzywny (w wysokości 1,2 mln DKK) za nieprzestrzeganie zasady minimalizacji danych. Firma usunęła tylko nazwiska swoich pasażerów ze wszystkich zapisów, ale pozostałych informacje o przejazdach (około 8 873 333 przejazdów taksówką). W związku z tym firma nadal utrzymywała indywidualne numery telefonów. Uwaga: Ponieważ prawo duńskie nie przewiduje kar administracyjnych, jak ujęte zostało to w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd.
Hiszpania 2019 60.000 EUR Endesa Art. 5(1f) RODO brak danych link
Austria 2018 1.800 EUR Restauracja brak danych Monitoring wizyjny został wykorzystany niezgodnie z prawem. link
Austria 2018-09-27 300 EUR Właściciel samochodu osobowego brak danych Rejestrator jazdy został wykorzystany niezgodnie z prawem. . link
Niemcy 2018 20.000 EUR brak danych Art. 83 (4a) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO Późne powiadomienie o naruszeniu danych i niepowiadomienie osób, których dane dotyczą. link (strona 134)
Niemcy 2018 118 EUR brak danych Art. 6 RODO Nielegalne ujawnianie danych osobowych osób trzecich. link
Niemcy 2019-03 50.000 EUR Mobilny Bank N26 Art. 6 RODO Grzywna została nałożona przeciwko bankowi (zgodnie z gazetą N26), który przetwarzał „dane osobowe wszystkich byłych klientów” bez zezwolenia. Bank potwierdził, że zachował dane dotyczące byłych klientów w celu utrzymania czarnej listy, rodzaj pliku ostrzeżenia, aby nie udostępnić nowego konta tym osobom. Bank początkowo uzasadniał to stwierdzeniem, że zgodnie z niemiecką ustawą bankową był zobowiązany do podjęcia środków bezpieczeństwa wobec klientów podejrzanych o pranie pieniędzy. Berliński organ nadzorczy uznał to za nielegalne. Władze twierdzą, że w celu uniemożliwienia otwarcia nowego rachunku bankowego, do pliku porównawczego, mogą być wpisane osoby, które rzeczywiście są podejrzane o pranie pieniędzy lub dla których istnieją inne ważne powody odmowy przyjęcia nowego rachunku bankowego. Władze poinformowały gazetę, że grzywna wszczęta przeciwko bankowi „nie została jeszcze prawomocnie zawarta”.
Hiszpania 2018 5.000 EUR Vodafone Espana S.A.U. Art. 5 (1d) RODO Hiszpańska agencja telekomunikacyjna i informacyjna (SETSI) zdecydowała, że Vodafone musi zwrócić klientowi koszty, za które został niesłusznie obciążony. Niemniej jednak Vodafone zgłosił dane osobowe tego odpowiedniego klienta do rejestru wypłacalności (BADEXCUG). AEPD (organ nadzorczy) stwierdził, że takie zachowanie narusza zasadę dokładności. link
Niemcy 2018 500 EUR brak danych brak danych brak danych
Hiszpania 2019-06-11 250.000 EUR Profesjonalna Liga Piłkarska (LaLiga) Art. 5 (1a), 7 (3) RODO Krajowa liga piłkarska (LaLiga) została ukarana grzywną za oferowanie aplikacji, która raz na minutę korzystała z mikrofonu telefonów komórkowych użytkowników w celu wykrywania pubów transmitujących mecze piłkarskie bez uiszczania opłaty. Zdaniem AEPD (organu nadzorczego) LaLiga nie poinformowała użytkowników aplikacji o tej praktyce. Ponadto aplikacja nie spełniała wymagań dotyczących cofnięcia zgody. link

Źródło: GDPR enforcementtracker.com