W Polsce pojawia się coraz więcej kar za uchybienia RODO – m.in. za brak zawarcia Umowy Powierzenia Danych. Oto przegląd kar:
>> 16 października 2019 roku – Polski Urząd Ochrony Danych nałożył 201 tys. zł kary na firmę ClickQuickNow Sp. z o.o. z siedzibą w Warszawie, za utrudnianie wypisania się z listy wysyłkowej
>> W październiku 2019 roku 40 tys. zł kary na burmistrza Aleksandrowa Kujawskiego za brak umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.
>> We wrześniu 2019 roku 2,8 miliona złotych kary na spółkę Morele.net za niewystarczające zabezpieczenie danych osobowych.
>> W maju 2019 roku prawie 56 tys. zł na Związek Piłkarski za opublikowanie na swojej stronie internetowej danych osobowych sędziów piłkarskich.
>> W marcu 2019 r. blisko 1 mln zł za zaniedbanie obowiązku informacyjnego przez spółkę Bisnode
Zobacz inne kary kary i uzasadnienia:
Kraj | Organ | Wyokość kary w EURO [€] | Kontrolowany podmiot | Opis / Uzasadnienie |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 15,150 | Administrator danych nie dopełnił swoich obowiązków w zakresie naruszenia ochrony danych w przypadku utraty pamięci flash z danymi osobowymi. | |
BELGIA | Belgijski organ ochrony danych (APD) | 10 000 | Kupiec | Belgijski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na handlowca, który chciał użyć elektronicznego dowodu tożsamości (eID) do stworzenia karty klienta.Dochodzenie przeprowadzone przez organ ochrony danych ujawniło, że akceptant wymagał dostępu do danych osobowych znajdujących się na eID, w tym zdjęcia i kodu kreskowego, które są powiązane z numerem identyfikacyjnym osoby, której dane dotyczą. |
POLSKA | Polisch National Data Protection Office (UODO) | 644,780 | Morele.net | Polski organ ochrony danych nałożył na Morele.net grzywnę w wysokości ponad 2,8 mln PLN (ok. 644 780 EUR) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do nieuprawnionego dostępu do danych osobowych 2,2 mln osób. |
AUSTRIA | Austriacki organ ochrony danych (dsb) | 50 000 | Firma w sektorze medycznym | (Ostateczna) grzywna została nałożona na firmę z sektora medycznego z powodu nieprzestrzegania obowiązków informacyjnych i nie wyznaczenia inspektora ochrony danych. |
BUŁGARIA | Komisja Ochrony Danych Bułgarii (KZLD) | 2 600 000 | Krajowa Agencja Skarbowa | Wyciek danych osobowych podczas ataku hakerskiego z powodu nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji.Stwierdzono, że dane osobowe dotyczące około 6 milionów osób były nielegalnie dostępne. |
BUŁGARIA | Komisja Ochrony Danych Bułgarii (KZLD) | 511,000 | DSK Bank | Wyciek danych osobowych z powodu nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji.Strony trzecie miały dostęp do ponad 23 000 danych kredytowych dotyczących ponad 33 000 klientów banków, w tym danych osobowych, takich jak nazwiska, obywatelstwa, numery identyfikacyjne, adresy, kopie dowodów tożsamości i dane biometryczne. |
ŁOTWA | Data State Inspectorate (DSI) | 7 000 | Usługi online | Sprzedawca, który świadczy usługi w sklepie internetowym, naruszył „prawo do bycia zapomnianym” zgodnie z art.17 RODO, gdy osoba, której dane dotyczą, wielokrotnie wzywała go do usunięcia wszystkich swoich danych osobowych, w szczególności numeru telefonu komórkowego, które kupiec otrzymał w ramach zamówienia.Niemniej jednak sprzedawca wielokrotnie wysyłał SMS-y reklamowe na numer telefonu komórkowego osoby, której dane dotyczą. |
SZWECJA | Szwedzki Urząd Ochrony Danych | 18,630 | Szkoła w Skellefteå | Szkoła w Skellefteå przeprowadziła próbę użycia technologii rozpoznawania twarzy.Kara została nałożona na szkołę, która wykorzystywała technologię rozpoznawania twarzy do monitorowania obecności uczniów.Mimo że ogólnie przetwarzanie danych w celu monitorowania obecności jest możliwe, to rozpoznawanie twarzy jest nieproporcjonalne w stosunku do celu monitorowania obecności.Organ nadzorczy jest zdania, że dane biometryczne studentów zostały przetworzone, dlatego art.Obowiązuje 9 RODO.Ponadto władze argumentowały, że zgody nie można zastosować, ponieważ studenci i ich opiekunowie nie mogą swobodnie decydować, czy ich dzieci chcą monitorować pod kątem obecności.Podczas badania, czy rada szkoły może powoływać się na którekolwiek z wyjątków wymienionych w art.9 ust. 2 organ nadzorczy stwierdził, że tak nie jest.Organ nadzorczy stwierdził również, że miał miejsce przypadek przetwarzania o wysokim ryzyku, ponieważ zastosowano nową technologię do przetwarzania wrażliwych danych osobowych dotyczących dzieci, które znajdują się w pozycji zależnej od rady szkoły średniej i ze względu na wykorzystywanie nadzoru przez uczniów codzienne środowisko.W opinii organu zarząd szkoły nie był w stanie wykazać zgodności z art.35 RODO oraz że zarząd szkoły musiał skonsultować się z władzami zgodnie z art.36 (1) RODO. |
HISZPANIA | Hiszpański Urząd Ochrony Danych (AEPD) | 60 000 | AVON COSMETICS | Konsument twierdził, że AVON COSMETICS bezprawnie przetwarzał jego dane bez odpowiedniej weryfikacji jego tożsamości, co doprowadziło do błędnego wpisania jego danych do rejestru roszczeń, uniemożliwiając mu współpracę ze swoim bankiem.W rezultacie osoba trzecia nieuczciwie wykorzystała dane osobowe konsumentów. |
NIEMCY | Urząd ochrony danych w Berlinie | 195,407 | Delivery Hero | Według ustaleń berlińskiego inspektora ochrony danych Delivery Delivery Germany GmbH nie usunęła kont byłych klientów w dziesięciu przypadkach, mimo że osoby, których dane dotyczą, nie działały przez lata na platformie usług dostawczych firmy – w jednym przypadku nawet od 2008 r. Ponadto ośmiu byłych klientów skarżyło się na niechciane e-maile reklamowe od firmy.Podmiot danych, który wyraźnie sprzeciwił się wykorzystaniu jego danych do celów reklamowych, otrzymał jednak 15 kolejnych e-maili reklamowych z usługi dostawy.W kolejnych pięciu przypadkach firma nie dostarczyła osobom, których dane dotyczą, wymaganych informacji lub dopiero po interwencji berlińskiego inspektora ochrony danych. |
RUMUNIA | Rumuński krajowy organ nadzorczy ds. Przetwarzania danych osobowych (ANSPDCP) | 2500 | UTTIS INDUSTRIES SRL | Sankcje zostały nałożone na administratora, ponieważ nie mógł udowodnić, że osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu danych osobowych / obrazów za pośrednictwem systemu nadzoru wideo, który działają od 2016 r. I ponieważ ujawnił CNP pracownicy, przedstawiając zgłaszającemu raport dotyczący szkolenia upoważnionego personelu ISCIR za rok 2018, i nie mogli udowodnić legalności przetwarzania CNP poprzez ujawnienie, zgodnie z art.6 RODO. |
AUSTRIA | Austriacki organ ochrony danych (dsb) | 11 000 | Osoba prywatna (trener piłki nożnej) | Kara została nałożona na trenera piłki nożnej, który potajemnie filmował zawodniczki, które przez lata były nagie w kabinie prysznicowej. |
GRECJA | Hellenic Data Protection Authority (HDPA) | 150 000 | Rozwiązania biznesowe PWC | Przetwarzanie danych osobowych pracowników odbywało się na podstawie zgody.HDPA uznało, że zgoda jako podstawa prawna była nieodpowiednia, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, przestrzeganie prawnego obowiązku, któremu podlega administrator, oraz sprawne i skuteczne działanie firma jako uzasadniony interes.Ponadto firma dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe na podstawie prawnej zgody, podczas gdy w rzeczywistości przetwarza ich dane na innej podstawie prawnej.Było to sprzeczne z zasadą przejrzystości, a zatem naruszało obowiązek dostarczania informacji zgodnie z art. 13 ust. 1 lit. c) i art. 14 ust. 1 lit. c RODO.Wreszcie, naruszając zasadę odpowiedzialności, firma nie dostarczyła HDPA dowodów, że przeprowadziła uprzednią ocenę odpowiednich podstaw prawnych do przetwarzania danych osobowych pracowników |
FRANCJA | Francuski Urząd Ochrony Danych (CNIL) | 180 000 | AKTYWNE GWARANCJE (ubezpieczyciel samochodowy) | Duża liczba kont klientów, dokumenty klientów (w tym kopie praw jazdy, rejestracja pojazdu, wyciągi bankowe i dokumenty określające, czy dana osoba była przedmiotem cofnięcia prawa jazdy) oraz dane były łatwo dostępne online.CNIL, między innymi, skrytykował zarządzanie hasłami (nieautoryzowany dostęp był możliwy bez żadnego uwierzytelnienia). |
ZJEDNOCZONE KRÓLESTWO | Komisarz ds. Informacji (ICO) | 110,390,200 | Marriott International, Inc | Uwaga: grzywna nie jest ostateczna, ale zostanie podjęta w momencie, gdy spółka i inne zaangażowane organy nadzoru innych państw członkowskich złożą swoje oświadczenia.ICO wydało zawiadomienie o zamiarze nałożenia kary pieniężnej na Marriott International Inc, która dotyczy incydentu cybernetycznego, który został zgłoszony ICO przez Marriott w listopadzie 2018 r. Naruszenie GDPR może wiązać się z naruszeniem art.32 RODO.Incydent ujawnił różne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie, z czego około 30 milionów dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG).Siedem milionów związanych z rezydentami Wielkiej Brytanii.Uważa się, że luka ta rozpoczęła się, gdy systemy grupy hoteli Starwood zostały naruszone w 2014 r. Następnie Marriott nabył Starwood w 2016 r., Ale ujawnienie informacji o klientach zostało odkryte dopiero w 2018 r. Dochodzenie ICO wykazało, że Marriott nie dołożył należytej staranności kiedy kupił Starwood i powinien był zrobić więcej, aby zabezpieczyć swoje systemy. |
ZJEDNOCZONE KRÓLESTWO | Komisarz ds. Informacji (ICO) | 204.600.000 | Brytyjskie linie lotnicze | Uwaga: grzywna nie jest ostateczna, ale zostanie podjęta w momencie, gdy spółka i inne zaangażowane organy nadzoru innych państw członkowskich złożą swoje oświadczenia.ICO wydało zawiadomienie o zamiarze ukarania British Airways kwotą 183,39 mln GBP za naruszenia RODO, które prawdopodobnie wiążą się z naruszeniem art.32 RODO.Proponowana grzywna dotyczy incydentu cybernetycznego zgłoszonego ICO przez British Airways we wrześniu 2018 r. Incydent ten częściowo polegał na przekierowaniu ruchu użytkowników na stronę internetową British Airways na fałszywą stronę.Za pośrednictwem tej fałszywej witryny osoby atakujące pozyskały dane klientów.Dane osobowe około 500 000 klientów zostały naruszone w wyniku tego incydentu, który, jak się uważa, rozpoczął się w czerwcu 2018 r. W dochodzeniu ICO stwierdzono, że różnorodność informacji została naruszona z powodu złych warunków bezpieczeństwa w firmie, w tym logowania, karty płatniczej i szczegóły rezerwacji podróży oraz imię i nazwisko oraz adres. |
RUMUNIA | Rumuński krajowy organ nadzorczy ds. Przetwarzania danych osobowych (ANSPDCP) | 3000 | LEGAL COMPANY & TAX HUB SRL | Kara została nałożona, ponieważ nie wdrożono odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiedni do ryzyka przetwarzania.Doprowadziło to do nieuprawnionego ujawnienia i nieuprawnionego dostępu do danych osobowych osób, które dokonały transakcji otrzymanych przez stronę internetową avocatoo.ro (imię, nazwisko, adres do korespondencji, adres e-mail, telefon, stanowisko, szczegóły dokonanych transakcji), ze względu na publicznie dostępny dokumenty między 10 grudnia 2018 r. a 1 lutego 2019 r. Krajowy organ nadzorczy zastosował sankcję w następstwie powiadomienia z dnia 12 października 2018 r. wskazującego, że zbiór plików dotyczących szczegółów transakcji otrzymanych na stronie internetowej avocatoo.ro, który zawierał nazwę , nazwisko, korespondencja adresowa, adres e-mail, telefon, stanowisko i szczegóły dokonanych transakcji były publicznie dostępne za pośrednictwem dwóch linków. |
RUMUNIA | Rumuński krajowy organ nadzorczy ds. Przetwarzania danych osobowych (ANSPDCP) | 15,056 | WORLD TRADE CENTRE BUCHAREST SA | Naruszenie bezpieczeństwa danych polegało na tym, że drukowana lista papierowa używana do sprawdzania klientów śniadaniowych i zawierająca dane osobowe 46 klientów, którzy przebywali w hotelu WORLD TRADE CENTRE BUCHAREST SA została sfotografowana przez osoby nieupoważnione spoza firmy, co doprowadziło do ujawnienia danych osobowych dane niektórych klientów poprzez publikację online.Operator WORLD TRADE CENTRE BUCHAREST SA został ukarany, ponieważ nie podjął kroków w celu zapewnienia, że dane nie zostaną ujawnione osobom nieupoważnionym. |
RUMUNIA | Rumuński krajowy organ nadzorczy ds. Przetwarzania danych osobowych (ANSPDCP) | 130 000 | UNICREDIT BANK SA | Grzywna została nałożona w wyniku niewdrożenia odpowiednich środków technicznych i organizacyjnych (związanych z (1) określeniem środków / operacji przetwarzania oraz (2) integracją niezbędnych zabezpieczeń) skutkującą ujawnieniem online identyfikatorów oraz adresy (transakcje wewnętrzne / zewnętrzne) 337 042 osób, których dane dotyczą, do ich odpowiednich beneficjentów (między 25.05.2018 a 10.12.2018). |
HOLANDIA | Holenderski organ nadzorczy ds. Ochrony danych (AP) | 460 000 | Szpital Haga | Szpital Haga nie ma odpowiedniego wewnętrznego bezpieczeństwa dokumentacji pacjenta.Jest to wynik dochodzenia przeprowadzonego przez holenderski organ ochrony danych.Śledztwo to nastąpiło, gdy okazało się, że dziesiątki pracowników szpitala niepotrzebnie sprawdzili dokumentację medyczną znanej holenderskiej osoby.Aby zmusić szpital do poprawy bezpieczeństwa dokumentacji pacjenta, AP nakłada jednocześnie nakaz podlegający karze.Jeśli Szpital Haga nie poprawi bezpieczeństwa przed 2 października 2019 r., Szpital musi zapłacić 100 000 EUR co dwa tygodnie, maksymalnie 300 000 EUR.Tymczasem szpital Haga wskazał na podjęcie środków. |
FRANCJA | Francuski Urząd Ochrony Danych (CNIL) | 20 000 | Pracodawca UNIONTRAD COMPANY | W latach 2013–2017 do CNIL wpłynęły skargi od kilku pracowników firmy, którzy zostali sfilmowani na swoim stanowisku pracy.Dwukrotnie ostrzegł firmę o zasadach, których należy przestrzegać podczas instalowania kamer w miejscu pracy, w szczególności o tym, że pracownicy nie powinni być filmowani w sposób ciągły i że należy podać informacje o przetwarzaniu danych.Wobec braku zadowalających środków na koniec terminu określonego w oficjalnym zawiadomieniu CNIL przeprowadził drugą kontrolę w październiku 2018 r., Która potwierdziła, że pracodawca nadal narusza przepisy dotyczące ochrony danych, rejestrując pracowników za pomocą telewizji przemysłowej.Określając wysokość grzywny, CNLIN wziął pod uwagę wielkość (9 pracowników) i sytuację finansową spółki, która przedstawiła ujemny wynik netto w 2017 r. (Obrót w wysokości 885 739 EUR w 2017 r. I ujemny wynik netto w wysokości 110 844 EUR ), aby zachować odstraszającą, ale proporcjonalną grzywnę administracyjną. |
DANIA | Duński Urząd Ochrony Danych (Datatilsynet) | 200,850 | IDdesign A / S | Grzywna została nałożona w wyniku kontroli przeprowadzonej jesienią 2018 r. IDdesign przetwarzało dane osobowe około 385,000 klientów przez okres dłuższy niż jest to konieczne do celów, dla których zostały przetworzone.Ponadto firma nie ustanowiła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM.Terminy ustalone dla starego systemu nie zostały usunięte po upływie terminu dostarczenia informacji.Ponadto administrator nie udokumentował odpowiednio swoich procedur usuwania danych osobowych.Uwaga: ponieważ prawo duńskie nie przewiduje kar administracyjnych jak w RODO (chyba że sprawa jest nieskomplikowana, a oskarżony wyraził zgodę), grzywny będą nakładane przez sądy. |
BELGIA | Belgijski organ ochrony danych (APD) | 2000 | Burmistrz | Kara administracyjna została nałożona za niewłaściwe wykorzystanie danych osobowych przez burmistrza do celów kampanii. |
FRANCJA | Francuski Urząd Ochrony Danych (CNIL) | 400 000 | SERGIC, firma specjalizująca się w rozwoju, zakupie, sprzedaży, wynajmie i zarządzaniu nieruchomościami | CNIL oparł karę z dwóch powodów: braku podstawowych środków bezpieczeństwa i nadmiernego przechowywania danych.Jeśli chodzi o pierwsze, poufne dokumenty użytkownika przesłane przez kandydatów na wynajem (w tym dowody osobiste, karty zdrowia, zawiadomienia podatkowe, zaświadczenia wydane przez fundusz zasiłków rodzinnych, orzeczenia rozwodowe, wyciągi z konta) były dostępne online bez żadnej procedury uwierzytelnienia.Chociaż luka była znana firmie od marca 2018 r., Nie została ostatecznie rozwiązana do września 2018 r. Ponadto firma przechowywała dokumentację dostarczoną przez kandydatów dłużej niż to konieczne.CNIL uwzględnił między innymi powagę naruszenia (brak należytej staranności w usuwaniu podatności na zagrożenia oraz fakt, że dokumenty ujawniły bardzo intymne aspekty życia użytkowników), wielkość firmy i jej sytuację finansową. |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 92, 146 | Organizator festiwalu SZIGET i festiwalu VOLT | NAIH stwierdził, że istniały niewłaściwe podstawy prawne, a administrator danych nie przestrzegał zasady ograniczenia celu.Ponadto informacje o przetwarzaniu danych nie zostały w pełni przekazane osobom, których dane dotyczą. |
LITWA | Litewski Urząd Ochrony Danych (VDAI) | 61,500 | Dostawca usług płatniczych UAB MisterTango | Podczas kontroli litewski organ nadzorczy ds. Ochrony danych stwierdził, że administrator przetworzył więcej danych, niż jest to konieczne do osiągnięcia celów, dla których był administratorem.Ponadto okazało się, że w dniach 09–10 lipca 2018 r. Dane dotyczące płatności były publicznie dostępne w Internecie z powodu nieodpowiednich środków technicznych i organizacyjnych.Wpłynęło to na 9000 płatności w 12 bankach z różnych krajów.Według organu nadzorczego powiadomienie o naruszeniu danych zgodnie z art.33 DSGVO byłoby konieczne.Administrator nie zgłosił naruszenia danych. |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 3,105 | Nieznany | |
NIEMCY | Urząd ochrony danych Badenii-Wirtembergii | 1400 | Policjant | Funkcjonariusz policji, używając swojego oficjalnego identyfikatora użytkownika, ale bez odniesienia do obowiązków służbowych, zapytał właściciela o dane dotyczące tablicy rejestracyjnej osoby, której nie znał dobrze, za pośrednictwem Centralnego Systemu Informacji o Ruchu Drogowym (ZEVIS) Federalnego Urzędu Transportu Samochodowego.Korzystając z uzyskanych w ten sposób danych osobowych, przeprowadził tak zwane zapytanie SARS z Federalną Agencją Sieci, w której poprosił nie tylko o dane osobowe poszkodowanych, ale także o przechowywane tam numery domowe i telefony komórkowe .Korzystając z uzyskanego w ten sposób numeru telefonu komórkowego, policjant skontaktował się ze stroną poszkodowaną telefonicznie – bez oficjalnego powodu lub zgody strony poszkodowanej.Poprzez zapytanie ZEVIS i SARS do celów prywatnych oraz wykorzystanie uzyskanego w ten sposób numeru telefonu komórkowego do kontaktu prywatnego policjant przetwarzał dane osobowe poza zakresem prawa na własną odpowiedzialność.Naruszenia tego nie można przypisać wydziałowi funkcjonariusza policji, ponieważ nie popełnił on czynu w ramach wykonywania obowiązków służbowych, lecz wyłącznie w celach prywatnych.Zakaz kary zgodnie z § 28 LDSG, zgodnie z którym sankcje DSGVO nie mogą być nakładane na organy publiczne, nie ma zastosowania w niniejszej sprawie, ponieważ nie był to przypadek niewłaściwego postępowania przypisanego organowi, ani osoba, której to dotyczy być klasyfikowany jako odrębny organ publiczny w rozumieniu § 2 ust. 1 lub 2 LDSG w przypadku przedmiotowych czynności. |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 194 | Nieznany | Informacje nie zostały dostarczone. |
NORWEGIA | Norweski organ nadzorczy (Datatilsynet) | 203 000 | Wydział Edukacji Miejskiej w Oslo | Kara za luki w zabezpieczeniach w aplikacji do komunikacji mobilnej opracowanej do użytku w szkole w Oslo.Aplikacja pozwala rodzicom i uczniom wysyłać wiadomości do pracowników szkoły.Z powodu niewystarczających środków technicznych i organizacyjnych w celu ochrony bezpieczeństwa informacji osoby nieupoważnione mogły zalogować się jako upoważnieni użytkownicy i uzyskać dostęp do danych osobowych studentów, przedstawicieli prawnych i pracowników. |
POLSKA | Polisch National Data Protection Office (UODO) | 12,950 | Stowarzyszenie sportowe | Jedno stowarzyszenie sportowe opublikowało dane osobowe dotyczące sędziów, którym przyznano licencje sądowe online.Podano jednak nie tylko ich nazwy, ale także ich dokładne adresy i numery PESEL.Tymczasem nie ma podstawy prawnej, aby tak szeroki zakres danych o sędziach był dostępny w Internecie.Podając je do wiadomości publicznej, administrator stanowił potencjalne ryzyko ich nieuprawnionego użycia, np. Podszywania się pod nich w celu zaciągnięcia pożyczki lub innych zobowiązań.Chociaż samo stowarzyszenie zauważyło własny błąd, o czym świadczy powiadomienie Prezesa PDPA o naruszeniu ochrony danych osobowych, fakt, że próby jego usunięcia były nieskuteczne, determinował nałożenie kary.Przy ustalaniu kwoty grzywny (55 750,50 zł) Prezes UODO wziął również pod uwagę, między innymi, czas trwania naruszenia oraz fakt, że dotyczyło ono dużej grupy osób (585 sędziów).Stwierdzono, że chociaż naruszenie zostało ostatecznie usunięte, miało ono poważny charakter, jednak nakładając karę, Prezes Urzędu Ochrony Konkurencji i Konsumentów wziął również pod uwagę okoliczności łagodzące, takie jak dobra współpraca między administratorem danych a administratorem organ nadzoru lub brak dowodów na to, że szkody zostały wyrządzone osobom, których dane zostały ujawnione. |
WŁOCHY | Włoski organ ochrony danych (Garante) | 50 000 | Włoska partia polityczna Movimento 5 Stelle | Wiele stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest obsługiwanych za pomocą procesora danych za pośrednictwem platformy o nazwie Rousseau.Platforma doznała naruszenia danych latem 2017 r., Co spowodowało, że włoski organ ochrony danych, Garante, wymagał wdrożenia szeregu środków bezpieczeństwa, oprócz obowiązku aktualizacji informacji o prywatności w celu zapewnienia dodatkowej przejrzystości do przeprowadzonych działań związanych z przetwarzaniem danych. Podczas gdy terminowa aktualizacja informacji o polityce prywatności została zakończona, włoski organ ochrony danych wyraził obawy co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa związanych z RODO.Warto wspomnieć, że postępowanie wszczęte przed majem 2018 r., Ale włoski organ ochrony danych wydał grzywnę na podstawie RODO, ponieważ platforma Rousseau nie przyjęła wymaganych środków bezpieczeństwa w drodze nakazu wydanego po 25 maja 2018 r. Co ciekawe , grzywna nie została wydana przeciwko Movimento 5 Stelle, który jest administratorem danych platformy, ale przeciwko stowarzyszeniu Rousseau, które jest procesorem danych. |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 9400 | Nieznany | Administrator danych wykorzystał, z punktu widzenia NAIH, niewłaściwą podstawę prawną przetwarzania danych osobowych (art. 6.1.b) w celu cesji roszczeń. |
BUŁGARIA | Komisja Ochrony Danych Bułgarii (KZLD) | 510 | Centra medyczne | Na każde centrum medyczne nałożono sankcję w wysokości 510 EUR za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą GB, przez centrum medyczne w celu zmiany lekarza rodzinnego.Centrum medyczne wykorzystało oprogramowanie do wygenerowania formularza rejestracyjnego w celu zmiany lekarza rodzinnego, które zostało przesłane do Regionalnego Funduszu Ubezpieczenia Zdrowotnego, a następnie do innego centrum medycznego, które następnie również bezprawnie przetworzyło dane osobowe GB |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 34,375 | Hugariańska partia polityczna | NAIH nałożył grzywnę w wysokości 11 000 000 HUF (34 375 EUR) na nieujawnioną węgierską partię polityczną za nie powiadomienie NAIH i odpowiednich osób o naruszeniu danych oraz nieudokumentowanie naruszenia zgodnie z art. 33.5 RODO.Zgodnie z prawem grzywna oparta była na 4% rocznego obrotu partii i 2,65% jej przewidywanego obrotu na nadchodzący rok.Naruszenie było wynikiem cyberataku przeprowadzonego przez anonimowego hakera, który uzyskał dostęp do informacji na temat podatności systemu organizacji – bazy danych zawierającej ponad 6000 osób – i ujawnił informacje o niej oraz polecenie użyte do ataku.System był podatny na atak z powodu problemu przekierowania ze strony internetowej organizacji.Po tym, jak atakujący opublikował polecenie, nawet osoby o niskiej wiedzy informatycznej mogły pobrać informacje z bazy danych. |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 1900 | Nieznany | Administrator danych nie spełnił żądania dostępu osoby, której dane dotyczą. |
NORWEGIA | Norweski organ nadzorczy (Datatilsynet) | 170 000 | Gmina Bergen | Incydent dotyczy plików komputerowych z nazwami użytkowników i hasłami do ponad 35 000 kont użytkowników w systemie komputerowym gminy.Konta użytkowników dotyczyły zarówno uczniów szkół podstawowych w gminie, jak i pracowników tych samych szkół.Z powodu niewystarczających środków bezpieczeństwa pliki te zostały niechronione i są ogólnodostępne.Brak środków bezpieczeństwa w systemie umożliwił każdemu zalogowanie się do różnych systemów informatycznych szkoły, a tym samym dostęp do różnych kategorii danych osobowych dotyczących uczniów i pracowników szkół.Fakt, że naruszenie bezpieczeństwa obejmuje dane osobowe ponad 35 000 osób i że większość z nich to dzieci, uznano za czynniki obciążające.Gmina była także kilkakrotnie ostrzegana, zarówno przez władze, jak i wewnętrznego informatora, że bezpieczeństwo danych jest niewystarczające. |
POLSKA | Polisch National Data Protection Office (UODO) | 219,538 | Prywatna firma pracująca z danymi z publicznie dostępnych źródeł | Grzywna dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczą, uzyskane z publicznie dostępnych źródeł, między innymi z Centralnego Rejestru Elektronicznego i Informacji o Działalności Gospodarczej, i przetwarzała dane w celach komercyjnych.Organ zweryfikował niezgodność z obowiązkiem informacyjnym w odniesieniu do osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy obecnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości.Administrator wypełnił obowiązek informacyjny, przekazując informacje wymagane na podstawie art.14 ust. 1–3 RODO tylko w odniesieniu do osób, których adresy e-mail miały do dyspozycji.W przypadku pozostałych osób administrator nie dopełnił obowiązku informacyjnego – jak wyjaśniono w toku postępowania – z powodu wysokich kosztów operacyjnych.Dlatego przedstawił klauzulę informacyjną tylko na swojej stronie internetowej.Według UODO to nie wystarczy. |
BUŁGARIA | Komisja Ochrony Danych Bułgarii (KZLD) | 5,100 | AP EOOD | Sankcja została nałożona na administratora danych osobowych AP EOOD za niezgodne z prawem przetwarzanie danych osobowych.Dane osobowe osoby, której dane dotyczą DD, zostały wykorzystane przez AP EOOD do przygotowania umowy o pracę, gdy był on w więzieniu. |
PORTUGALIA | Portugalski Urząd Ochrony Danych (CNPD) | 2000 | Nieznany | Nieznany |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 9,704 | Nieznany | Dane były przetwarzane nie tylko, jeśli są odpowiednie, odpowiednie i ograniczone do tego, co jest konieczne w odniesieniu do celów, dla których są przetwarzane („minimalizacja danych”), i nie tylko przechowywane w formie, która pozwala na identyfikację osób, których dane dotyczą, nie dłużej niż jest to konieczne do celów, w których przetwarzane są dane osobowe („ograniczenie przechowywania”). |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 3200 | Nienazwana instytucja finansowa | Kara została nałożona w związku z wnioskiem osoby, której dane dotyczą, o korektę i usunięcie danych.NAIH nałożył grzywnę na nienazwaną instytucję finansową za niezgodne z prawem żądanie klienta, aby usunąć jego numer telefonu po tym, jak argumentował, że przetwarzanie tych danych w uzasadnionym interesie firmy leży w celu dochodzenia roszczenia wobec klienta.W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest konieczny do celów windykacji, ponieważ wierzyciel może również komunikować się z dłużnikiem pocztą.W związku z tym zachowanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu.Zgodnie z prawem oszacowana grzywna oparta była na 0,025% rocznych przychodów netto firmy. |
NIEMCY | Urząd ochrony danych w Berlinie | 50 000 | N26 | Grzywna została nałożona na bank (według gazety N26), który przetwarzał „dane osobowe wszystkich byłych klientów” bez pozwolenia. Bank potwierdził, że zatrzymał dane dotyczące byłych klientów w celu utrzymania czarnej listy, rodzaj pliku ostrzeżenia, aby nie udostępnić nowego konta tym osobom.Bank początkowo uzasadnił to stwierdzeniem, że zgodnie z niemiecką ustawą bankową jest zobowiązany do podjęcia środków bezpieczeństwa wobec klientów podejrzanych o pranie pieniędzy.Berliński organ nadzoru uznał to za nielegalne.Władze twierdzą, że aby zapobiec otwarciu nowego rachunku bankowego, tylko osoby, których to dotyczy, mogą zostać uwzględnione w pliku porównawczym, które są faktycznie podejrzane o pranie pieniędzy lub dla których istnieją inne ważne powody odmowy przyjęcia nowego rachunku bankowego.Władze poinformowały gazetę, że postępowanie karne wszczęte przeciwko bankowi „nie zostało jeszcze prawnie zakończone”. |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 582 | Nieznany | Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 3200 | Biuro burmistrza miasta Kecdkemét | Grzywna została nałożona na urząd burmistrza miasta Kecskemét za niezgodne z prawem ujawnienie danych osobowych demaskatora. NAIH nałożył grzywnę po tym, jak pracownik nadzorowanej przez nią organizacji zgłosił skargę w interesie publicznym skierowaną bezpośrednio przeciwko jego pracodawcy.Po tym, jak organizacja dowiedziała się o skardze, poprosiła o szczegóły w celu przeprowadzenia dochodzenia, a lokalny rząd przypadkowo ujawnił nazwisko skarżącego.NAIH uznał za czynnik obciążający, że w wyniku naruszenia danych organizacja zwolniła osobę, która dokonała zgłoszenia. |
BUŁGARIA | Bułgarska Komisja Ochrony Danych Osobowych (KZLD) | 27 100 | Dostawca usług telekomunikacyjnych | Ponowna rejestracja usług przedpłaconych bez wiedzy i zgody osoby, której dane dotyczą Pracownicy operatora telekomunikacyjnego wykorzystali dane osobowe i zarejestrowali skarżącego w usłudze przedpłaconej firmy.Osoba, której dane dotyczą, nie podpisała wniosku i nie wyraziła zgody na przetwarzanie jego danych osobowych w określonym celu.Nie miała również zastosowania inna podstawa prawna.Podpis wniosku i własny autentyczny wniosek skarżącego nie były identyczne i wskazano osobisty numer identyfikacyjny osoby, ale numer dowodu osobistego nie był numerem skarżącego. |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 776 | Nieznany | Informacje nie zostały dostarczone. |
BUŁGARIA | Bułgarska Komisja Ochrony Danych Osobowych (KZLD) | 500 | Pracodawca | Pracownik wysłał do swojego pracodawcy wniosek o dostęp do danych osobowych, które go dotyczą.Żądanie nie zostało udzielone na czas i nie w sposób kompletny. |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 1,560 | Komornik | Osoba, której dane dotyczą, zażądała informacji o przetwarzanych danych i usunęła je, a komornik odmówił stwierdzenia, że nie może zidentyfikować podmiotu.W celu identyfikacji poprosił osobę, której dane dotyczą, o miejsce urodzenia, nazwisko panieńskie matki i dalsze dane.Po tym, jak administratorowi udało się zidentyfikować osoby, których dane dotyczą, odmówił zastosowania się do żądania usunięcia, argumentując, że jest prawnie zobowiązany do przechowywania kopii zapasowych zgodnie z ustawą o rachunkowości i zasadami wewnętrznymi.Ponieważ NAIH nie poinformował odpowiednio o tych zasadach, NAIH stwierdził, że administrator naruszył zasadę przejrzystości.Grzywna stanowi 0,0025% rocznego zysku kontrolera. |
MALTA | Komisarz ds. Ochrony danych na Malcie | 5000 | Lands Authority | W wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Lands Authority ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla społeczeństwa za pomocą prostej wyszukiwarki Google.Większość wycieków danych zawierała szczególnie chronione informacje i korespondencję między osobami fizycznymi a samym Urzędem.Lands Authority postanowił nie odwoływać się.Na Malcie, w przypadku naruszenia przez organ lub organ publiczny, komisarz ds. Ochrony danych może nałożyć grzywnę administracyjną w wysokości do 25 000 EUR za każde naruszenie i może dodatkowo nałożyć dzienną grzywnę w wysokości 25 EUR za każdy dzień takiego naruszenia. |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 1,560 | Bank | Bank przez pomyłkę wysłał SMS-a o zadłużeniu danej karty kredytowej na numer telefonu innej osoby.Po otrzymaniu od klienta niepoprawnego numeru telefonu w momencie zawierania umowy bank nie zastosował się do żądania osoby, której dane dotyczą, do usunięcia danych i kontynuował wysyłanie wiadomości SMS na nieprawidłowy numer telefonu.Grzywna stanowi 0,0016% rocznego zysku banku. |
NIEMCY | Urząd Ochrony Danych Sachsen-Anhalt | 2000 | Osoba prywatna | Grzywna została nałożona na osobę prywatną, która wysłała kilka e-maili między lipcem a wrześniem 2018 r., W której korzystał z osobistych adresów e-mail widocznych dla wszystkich odbiorców, z których każdy mógł odczytać niezliczoną liczbę innych odbiorców.Mężczyzna został oskarżony o dziesięć przestępstw w okresie od połowy lipca do końca lipca 2018 r. Zgodnie z listem organu na jego liście adresowej można było zidentyfikować od 131 do 153 osobistych adresów pocztowych. |
PORTUGALIA | Portugalski Urząd Ochrony Danych (CNPD) | 20 000 | Nieznany | Nieznany |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 1,165 | Wypożyczalnia samochodów | Osoba, która wynajęła samochód, dowiedziała się, że samochód był śledzony przez GPS przez firmę wynajmującą, chociaż nie podano żadnych informacji na temat tego, że samochód jest śledzony.Czeski organ ochrony danych stwierdził, że nie dostarczono żadnych informacji w związku z art.13 RODO i że art.6 (1) f) RODO nie może stanowić podstawy prawnej w konkretnych okolicznościach.Z tego powodu UOOU stwierdził, że doszło do naruszenia art.5 (1) a) RODO, na które nałożyła grzywnę. |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 1,165 | Pośrednictwo kredytowe | Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). |
FRANCJA | Francuski Urząd Ochrony Danych (CNIL) | 50 000 000 | Google Inc. | Kara została nałożona na podstawie skarg austriackiej organizacji „None Of Your Business” i francuskiej organizacji pozarządowej „La Quadrature du Net”.Skargi zostały złożone w dniach 25 i 28 maja 2018 r. – natychmiast po wejściu w życie DSGVO.Skargi dotyczyły utworzenia konta Google podczas konfiguracji telefonu komórkowego za pomocą systemu operacyjnego Android.CNIL nałożył grzywnę w wysokości 50 milionów euro za brak przejrzystości (art. 5 RODO), niewystarczające informacje (art. 13/14 RODO) i brak podstawy prawnej (art. 6 RODO).Uzyskane zgody nie zostały udzielone „konkretnie” ani „jednoznacznie” (art. 4 nr 11 RODO). |
BUŁGARIA | Bułgarska Komisja Ochrony Danych Osobowych (KZLD) | 500 | Bank | Bank pozyskał dane osobowe dotyczące studenta bez podstawy prawnej. |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 388 | Pracodawca | Były pracownik firmy zażądał usunięcia związanych z nim informacji, które zostały opublikowane na stronie internetowej pracodawcy na Facebooku i które były nadal dostępne długo po rozwiązaniu stosunku pracy.Kara została nałożona, ponieważ pracodawca nie usunął informacji dotyczących byłego pracownika. |
AUSTRIA | Austriacki organ ochrony danych (dsb) | 2200 | Osoba prywatna | Kara została nałożona na osobę prywatną, która korzystała z telewizji przemysłowej w swoim domu.Nadzór wideo obejmował obszary przeznaczone do ogólnego użytku mieszkańców wielopartyjnego kompleksu mieszkalnego, a mianowicie: parkingi, chodniki, dziedziniec, ogród i obszary dojazdowe do kompleksu mieszkalnego;ponadto nadzór wideo obejmował obszary ogrodowe przyległej nieruchomości.Nadzór wideo będący przedmiotem postępowania nie ogranicza się zatem do obszarów podlegających wyłącznej kontroli administratora.Nadzór wideo nie jest zatem proporcjonalny do celu i nie ogranicza się do tego, co jest konieczne.Nadzór wideo rejestruje korytarz domu i filmuje mieszkańców wchodzących i wychodzących z okolicznych mieszkań, interweniując w ich bardzo osobistych obszarach życia bez zgody na rejestrowanie ich danych zdjęciowych.Nadzór wideo nie został poprawnie wskazany. |
WĘGRY | Węgierski krajowy organ ds. Ochrony danych i wolności informacji (NAIH) | 3200 | Nieznany | Kara została nałożona za (i) niedostarczenie osobie, której dane dotyczą, nagrań z telewizji przemysłowej, (ii) nieprzechowywanie nagrań do dalszego wykorzystania przez osobę, której dane dotyczą, oraz (iii) nie poinformowanie osoby, której dane dotyczą, o jej prawie do wniesienia skargi do organu nadzorczego autorytet. |
NIEMCY | Urząd Ochrony Danych w Hamburgu | 5000 | Kolibri Image Regina und Dirk Maass GbR | Uwaga: zgodnie z naszymi informacjami grzywna została w międzyczasie wycofana.Firma Kolibri Image wysłała zapytanie do organu ochrony danych w Hesji z pytaniem, jak postępować z usługodawcą, który nie chce podpisać umowy o przetwarzaniu.Po nie udzieleniu bardziej szczegółowej odpowiedzi na Kolibri Image, sprawa została przekazana do lokalnego organu ochrony danych w Hamburgu.Organ ten ukarał następnie Kolibri Image za kontrolera za brak umowy o przetwarzanie z usługodawcą.Kolibri Image oświadczyło, że zaskarży decyzję przed sądem, ponieważ są zdania, że usługodawca nie działa jako podmiot przetwarzający. |
AUSTRIA | Austriacki organ ochrony danych (dsb) | 4800 | Miejsce obstawiania | Nadzór wideo nie został wystarczająco oznakowany i zarejestrowano dużą część chodnika obiektu.Nadzór przestrzeni publicznej w ten sposób, tj. Na dużą skalę przez osoby prywatne, jest niedozwolony. |
NIEMCY | Urząd ochrony danych Badenii-Wirtembergii | 20 000 | Knuddels.de | Po lipcowym ataku hakerów dane osobowe około.Ujawniono 330 000 użytkowników, w tym hasła i adresy e-mail. |
REPUBLIKA CZESKA | Czeska ochrona danych osobowych (UOOU) | 388 | Nieznany | Informacje nie zostały dostarczone. |
PORTUGALIA | Portugalski Urząd Ochrony Danych (CNPD) | 400 000 | Szpital | Badanie ujawniło, że personel szpitala, psychologowie, dietetycy i inni specjaliści mieli dostęp do danych pacjentów poprzez fałszywe profile.System zarządzania profilami wydawał się wadliwy – szpital miał 985 zarejestrowanych profili lekarzy, a tylko 296 lekarzy.Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od specjalizacji lekarza. |
BUŁGARIA | Bułgarska Komisja Ochrony Danych Osobowych (KZLD) | 500 | Bank | Na bank nałożono grzywnę w wysokości 1000 BGN (lub około 500 EUR) za wezwanie klienta do nierozstrzygniętych rachunków jego sąsiada.Sprowokowało to klienta do skorzystania z prawa do bycia zapomnianym.Nie otrzymawszy odpowiedzi z banku, złożył kolejny wniosek, w stosunku do którego bank podjął działania w ustawowym terminie.Niemniej jednak klient złożył skargę do KZLD.Naruszenie, za które bank został ukarany grzywną, dotyczy przetwarzania danych osobowych klienta nie było powiązane z jego umową o kredyt konsumencki.Ponieważ cel, dla którego dane były przetwarzane, był inny niż cel podany w momencie zawarcia umowy, bank musiał, z punktu widzenia KZLD, wystąpić o dodatkową zgodę swojego klienta. |
AUSTRIA | Austriacki organ ochrony danych (dsb) | 1800 | Restauracja Kebab | CCTV był wykorzystywany niezgodnie z prawem.Brak dalszych informacji. |
AUSTRIA | Austriacki organ ochrony danych (dsb) | nieznany | Restauracja | CCTV był wykorzystywany niezgodnie z prawem.Brak dalszych informacji. |
AUSTRIA | Austriacki organ ochrony danych (dsb) | 300 | Prywatny właściciel samochodu | Dashcam został wykorzystany niezgodnie z prawem.Brak dalszych informacji. |
CYPR | Cyprian komisarz ds. Ochrony danych | 5000 | Szpital Stanowy | Pacjentka poskarżyła się komisarzowi, że szpital nie spełnił żądania dostępu do jej dokumentacji medycznej, ponieważ kontroler nie mógł zidentyfikować / zlokalizować dokumentacji.Po zbadaniu sprawy na szpital nałożono grzywnę administracyjną w wysokości 5000 euro. |
CYPR | Cyprian komisarz ds. Ochrony danych | 10 000 | Newspapaer | Publikacja gazety, zarówno w formie papierowej, jak i elektronicznej, rzekomo wiązała się z niedogodnościami, niepotrzebnym i bezprawnym przetrzymywaniem obywatela oraz ujawniła nazwiska i zdjęcia dwóch zaangażowanych śledczych, a także zdjęcie trzeciego śledczego .Komisarz uznał, że cel można osiągnąć, odnosząc się wyłącznie do rozmycia inicjałów ich nazwiska i / lub twarzy i / lub publikując fotografie wykonane z dużej odległości, aby niemożliwe było zidentyfikowanie osób, a działania te nie byłyby wnieść dowolną zmianę charakteru sprawy. |
DANIA | Duński Urząd Ochrony Danych (Datatilsynet) | 160 000 | Taksony 4×35 | Duński organ ochrony danych poinformował policję o firmie taksówkowej i zalecił grzywnę (w wysokości 1,2 mln DKK) za nieprzestrzeganie zasady minimalizacji danych.Chociaż po dwóch latach firma usunęła nazwiska pasażerów ze wszystkich zapisów, usunięcie nie obejmowało reszty zapisów przejazdów (około 8 873 333 podróży taksówką).W związku z tym firma nadal utrzymywała numery telefonów poszczególnych osób.Uwaga: ponieważ prawo duńskie nie przewiduje kar administracyjnych jak w RODO (chyba że sprawa jest nieskomplikowana, a oskarżony wyraził zgodę), grzywny będą nakładane przez sądy. |
NIEMCY | Urząd ochrony danych Badenii-Wirtembergii | 80 000 | Nieznany | Brak dalszych informacji.Grzywny tej nie należy mylić z jedną grzywną dotyczącą danych zdrowotnych, która została również wydana przez ten sam organ, ponieważ ta, która dotyczy danych zdrowotnych, została wydana na podstawie starej niemieckiej ustawy o ochronie danych.Istnienie drugiej grzywny wartej tej samej kwoty jest znane tylko dzięki tweetowi komisarza ds. Ochrony danych w Badenii-Wirtembergii. |
NIEMCY | Urząd Ochrony Danych w Hamburgu | 20 000 | Nieznany | Późne powiadomienie o naruszeniu danych i brak powiadomienia osób, których dane dotyczą. |
NIEMCY | Urząd Ochrony Danych Saary | 118 | Nieznany | Nielegalne ujawnienie danych osobowych dotyczących strony trzeciej. |
NIEMCY | Urząd Ochrony Danych w Hamburgu | 500 | Nieznany | Nieznany |
HISZPANIA | Hiszpański Urząd Ochrony Danych (AEPD) | 5000 | VODAFONE ESPANA, SAU | Hiszpańska agencja telekomunikacyjna i informacyjna (SETSI) zdecydowała, że Vodafone musi zwrócić klientowi koszty, za które został niesłusznie obciążony.Niemniej jednak Vodafone zgłosił dane osobowe tego klienta do rejestru wypłacalności (BADEXCUG).AEPD stwierdził, że takie zachowanie narusza zasadę dokładności. |
HISZPANIA | Hiszpański Urząd Ochrony Danych (AEPD) | 250 000 | Professional Football League (LaLiga) | Krajowa Liga Piłki Nożnej (LaLiga) została ukarana grzywną za oferowanie aplikacji, która raz na minutę uzyskiwała dostęp do mikrofonu telefonów komórkowych użytkowników w celu wykrywania pubów oglądających mecze piłkarskie bez uiszczania opłaty.W opinii AEPD LaLiga nie poinformowała odpowiednio użytkowników aplikacji o tej praktyce.Ponadto aplikacja nie spełniała warunków wycofania zgody. |
HISZPANIA | Hiszpański Urząd Ochrony Danych (AEPD) | 60 000 | Agencja windykacyjna (GESTIÓN DE COBROS, YO COBRO SL) | Po tym, jak wierzyciel rzekomo nie spłacił mikrokredytu w internetowej agencji kredytowej, wierzytelność została przypisana do agencji windykacyjnej.Następnie ten ostatni rozpoczyna wysyłanie wiadomości e-mail nie tylko na adresy e-mail podane przez powoda, ale także na instytucjonalny adres e-mail jego miejsca pracy dostępny dla każdego współpracownika, który nigdy nie został podany przez powoda. |
HISZPANIA | Hiszpański Urząd Ochrony Danych (AEPD) | 27 000 | VODAFONE ESPANA, SAU | Chociaż skarżący (były klient Vodafone) zwrócił się do Vodafone o usunięcie jego danych w 2015 r., A firma potwierdziła to żądanie, od 2018 r. Otrzymał ponad 200 SMS-ów od firmy.Po oświadczeniu Vodafone stało się tak, ponieważ numer telefonu komórkowego skarżącego został błędnie wykorzystany do celów testowych i przypadkowo pojawił się w różnych plikach klientów należących do innych klientów niż skarżący.Ponieważ spółka zgodziła się na zapłatę i przyznanie odpowiedzialności, grzywna została obniżona zgodnie z hiszpańskim prawem administracyjnym do 27 tys. EUR. |
HISZPANIA | Hiszpański Urząd Ochrony Danych (AEPD) | 60 000 | ENDESA (dostawca energii) | Rachunek bankowy skarżącego został obciążony przez ENDESA, której beneficjentem była osoba trzecia, która została skazana na podstawie przepisów prawa karnego i nałożona dwuletnim nakazem krępującym w odniesieniu do powoda, jej miejsca zamieszkania i pracy.Zamiast tego zmieniając szczegóły umowy zgodnie z żądaniem powoda ENDESA błędnie usunęła swoje dane i wprowadziła dane strony trzeciej.AEPD stwierdził, że ujawnienie danych osoby wnoszącej roszczenie stronie trzeciej stanowi poważne naruszenie zasady poufności. |
HISZPANIA | Hiszpański Urząd Ochrony Danych (AEPD) | 12 000 | Restauracja | Restauracja chciała nałożyć sankcje dyscyplinarne na pracownika wykorzystującego obrazy z wideo z telefonu komórkowego, który został nagrany przez innego pracownika w celach dowodowych |