Kary finansowe RODO stały się faktem. Urzędy zajmujące się ochroną danych osobowych w Unii Europejskiej coraz częściej egzekwują naruszenia przepisów RODO.  Warto zapoznać się z powodami, przez które firmy zostały ukarane i rozważyć, czy nasza organizacja jest dobrze przygotowana. Błędna interpretacja przepisów może sporo kosztować, dlatego lepiej upewnić się, czy wszystkie operacje na danych osobowych przebiegają właściwie.

Ostatnia aktualizacja: 14.10.2019 r.

Kraj Data Wysokość kary (w euro) Ukarany podmiot Podstawa prawna Podsumowanie Decyzja
Rumunia 9.10.2019 150.000 EUR Raiffeisen Bank SA Art. 32 RODO Pracownicy posiadali nieutoryzowany dostę do danych klientów link 1
Rumunia 9.10.2019 20.000 EUR Vreau Credit SRL Art. 32 RODO
Art. 33 RODO
Pracownicy posiadali nieautoryzowany dostęp do danych klientów link 1
Grecja 7.10.2019 200.000 EUR Dostawca usług telekomunikacyjnych Art. 5(1) RODO
Art. 25 RODO
Dobór nieodpowiednich środków technicznych uniemożliwił usunięcie danych dużej liczby klientów, która tego zażądała. W konsekwencji osoby te otrzymywały telelefony o charakterze marketingowym.
Grecja 7.10.2019 200.000 EUR Dostawca usług telekomunikacyjnych Art. 21(3) RODO
Art. 25 RODO
Zastosowanie nieodpowiednich środków technicznych uniemożliwiło usunięcie danych 8 000 klientów, którzy tego żądali.
Norwegia 29.04.2019 203.000 EUR Wydział Edukacji Miejskiej w Oslo Art. 32 RODO Wydział Edukacji Miejskiej w Oslo został ukrany za luki w zabezpieczeniach aplikacji do kominikacji mobilnej opracowanej do użytku w szkole w Oslo. Aplikacja pozwala rodzicom i uczniom wysyłać wiadomości do pracowników szkoły. Z powodu niewystarczających środków technicznych i organizacyjnych w celu ochrony bezpieczeństwa informacji, osoby nieupoważnione mogły zalogować się jako upoważnieni użytkownicy i uzyskać dostęp do danych osobowych studentów, przedstawicieli prawnych i pracowników. link 1
Węgry 2019-XX-XX 15.150 EUR brak danych Art. 33 RODO Administrator danych nie dopełnił swoich obowiązków w zakresie naruszenia ochrony danych w przypadku utraty pamięci flash z danymi osobowymi. link 1
Węgry 04.03.2019 3.200 EUR Instytucja finansowa Art. 5 (1) b) i c) RODO
Art. 13 (3) RODO
Art. 17 (1) RODO
Art. 6 (4) RODO
Kara została nałożona w związku z wnioskiem osoby, której dane dotyczą, o korektę i usunięcie danych. NAIH nałożył grzywnę na nienazwaną instytucję finansową za niezgodne z prawem przetwarzanie numeru telefonu klienta. Instytucja finansowa twierdziła, że leży to w uzasadnionym interesie firmy (administratora) – wyegzekwowanie roszczenia wobec klienta. W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest konieczny do celów windykacji, ponieważ wierzyciel może również komunikować się z dłużnikiem pocztą. W związku z tym zachowanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu. Zgodnie z prawem oszacowana grzywna oparta była na 0,025% rocznych przychodów netto firmy. link 1
Belgia 19.09.2019 10.000 EUR Kupiec Art. 5 (1) c) RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na handlowca, który chciał użyć elektronicznego dowodu tożsamości (eID) do stworzenia karty klienta. Dochodzenie przeprowadzone przez organ ochrony danych ujawniło, że akceptant wymagał dostępu do danych osobowych znajdujących się na eID, w tym zdjęcia i kodu kreskowego, które są powiązane z numerem identyfikacyjnym osoby, której dane dotyczą. link 1
Polska 10.09.2019 644.780 EUR Morele.net Art. 32 RODO Polski organ ochrony danych nałożył na Morele.net grzywnę w wysokości ponad 2,8 mln PLN (ok. 644 780 EUR) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do ​​nieuprawnionego dostępu do danych osobowych 2,2 mln osób. link 1
Austria 2019-08-XX 50.000 EUR Firma w sektorze medycznym Art. 13 RODO
Art. 37 RODO
(Ostateczna) grzywna została nałożona na firmę z sektora medycznego z powodu nieprzestrzegania obowiązków informacyjnych i nie wyznaczenia inspektora ochrony danych./td> link 1
Austria 2019-07-XX 11.000 EUR Trener piłki nożnej Art. 6 RODO Kara została nałożona na trenera piłki nożnej, który potajemnie filmował zawodniczki podczas kąpieli. link 1
Bułgaria 28.08.2019 2.600.000 EUR Krajowa Agencja Skarbowa Art. 32 RODO Wyciek danych osobowych podczas ataku hakerskiego z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Stwierdzono, że dane osobowe dotyczące około 6 milionów osób były nielegalnie dostępne. link 1
Bułgaria/td> 28.08.2019 511.000 EUR DSK Bank Art. 32 RODO Wyciek danych osobowych z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Strony trzecie miały dostęp do ponad 23 000 danych kredytowych dotyczących ponad 33 000 klientów banków, w tym danych osobowych, takich jak nazwiska, obywatelstwa, numery identyfikacyjne, adresy, kopie dowodów tożsamości i dane biometryczne. link 1
Łotwa 26.08.2019 7.000 EUR Usługi online Art. 17 RODO Sprzedawca, który świadczy usługi w sklepie internetowym, naruszył „prawo do bycia zapomnianym” zgodnie z art. 17 RODO, gdy osoba, której dane dotyczą, wielokrotnie wzywała go do usunięcia wszystkich swoich danych osobowych, w szczególności numeru telefonu komórkowego, które kupiec otrzymał w ramach zamówienia. Niemniej jednak sprzedawca wielokrotnie wysyłał SMS-y reklamowe na numer telefonu komórkowego osoby, której dane dotyczą. link 1
Szwecja 20.08.2019 18.630 EUR Szkoła w Skellefteå Art. 5 (1) c) RODO
Art. 9 RODO
Art. 35 RODO
Art. 36 RODO
Szkoła w Skellefteå przeprowadziła próbę użycia technologii rozpoznawania twarzy. Kara została nałożona na szkołę, która wykorzystywała technologię rozpoznawania twarzy do monitorowania obecności uczniów. Mimo że ogólnie przetwarzanie danych w celu monitorowania obecności jest możliwe, to rozpoznawanie twarzy jest nieproporcjonalne w stosunku do celu monitorowania obecności. Organ nadzorczy (szwecki urząd ochrony danych) uważa, że ​​dane biometryczne studentów zostały przetworzone. Ponadto władze argumentowały, że zgody nie można zastosować, ponieważ studenci i ich opiekunowie nie mogą swobodnie decydować, czy chcą monitorować dzieci pod kątem obecności. Organ nadzorczy stwierdził, że rada szkoły nie może powoływać się na którekolwiek z wyjątków wymienionych w art. 9 ust. 2. Organ nadzorczy stwierdził również, że miał miejsce przypadek przetwarzania o wysokim ryzyku, ponieważ zastosowano nową technologię do przetwarzania wrażliwych danych osobowych dotyczących dzieci, które znajdują się w pozycji zależnej od rady szkoły średniej i ze względu na wykorzystywanie nadzoru przez uczniów codzienne środowisko. W opinii organu zarząd szkoły nie był w stanie wykazać zgodności z art. 35 RODO oraz zarząd powinien skonsultować się w tej sprawie z władzami zgodnie z art. 36 (1) RODO. link 1
Hiszpania 16.08.2019 60.000 EUR Avon Cosmetics Art. 6 RODO Konsument twierdził, że AVON COSMETICS przetwarzał jego dane niezgodnie z prawem bez odpowiedniej weryfikacji jego tożsamości, co doprowadziło do błędnego wpisania jego danych do rejestru roszczeń, uniemożliwiając mu współpracę ze swoim bankiem. W rezultacie osoba trzecia nieuczciwie wykorzystała dane osobowe konsumentów. link 1
Niemcy 19.08.2019 195.407 EUR Delivery Hero Art. 15 RODO
Art. 17 RODO
Art. 21 RODO
Według ustaleń berlińskiego inspektora ochrony danych Delivery Delivery Germany GmbH nie usunęła kont byłych klientów w dziesięciu przypadkach, mimo że osoby, których dane dotyczą, nie działały przez lata na platformie usług dostawczych firmy – w jednym przypadku nawet od 2008 r. Ponadto ośmiu byłych klientów skarżyło się na niechciane e-maile reklamowe od firmy. Podmiot danych, który wyraźnie sprzeciwił się wykorzystaniu jego danych do celów reklamowych, otrzymał jednak 15 kolejnych e-maili reklamowych z usługi dostawy. W kolejnych pięciu przypadkach firma nie dostarczyła osobom, których dane dotyczą, wymaganych informacji lub dopiero po interwencji berlińskiego inspektora ochrony danych. link 1
Rumunia 07.2019 2.500 EUR UTTIS INDUSTRIES SRL Art. 12 RODO
Art. 13 RODO
Art. 5 (1) c) RODO
Art. 6 RODO
Administrator danych osobowych nie potrafił udowodnić, że osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu danych osobowych (obrazów za pośrednictwem systemu nadzoru wideo, który działa od 2016 r.) i ponieważ ujawnił numery PESEL pracowników Państwowej Inspekcji Kontroli (ISCIR) oraz nie mógł udowodnić legalności ich przetwarzania zgodnie z Art. 6 RODO link
Grecja 30.07.2019 150.000 EUR PWC Business Solutions Art. 5 (1) a) b) i c) RODO
Art. 5 (2) RODO
Art. 6 (1) RODO
Art. 13 (1) c) RODO
Art. 14 (1) c) RODO
Przetwarzanie danych osobowych pracowników odbywało się na podstawie zgody. Grecki urząd ochrony danych osobowych uznał, że zgoda jako podstawa prawna była nieodpowiednia, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, przestrzeganie prawnego obowiązku, któremu podlega administrator, oraz sprawne i skuteczne działanie firma jako uzasadniony interes. Ponadto firma dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe na podstawie prawnej zgody, podczas gdy w rzeczywistości przetwarza ich dane na innej podstawie prawnej. Było to sprzeczne z zasadą przejrzystości, a zatem naruszało obowiązek dostarczania informacji zgodnie z art. 13 ust. 1 lit. c) i art. 14 ust. 1 lit. c RODO. Wreszcie, naruszając zasadę odpowiedzialności, firma nie dostarczyła greckiemu urzędowi ochrony danych osobowych dowodów, że przeprowadziła uprzednią ocenę odpowiednich podstaw prawnych do przetwarzania danych osobowych pracowników. link do PDF
Francja 25.07.2019 180.000 EUR ACTIVE ASSURANCES (branża samochodowa) Art. 32 RODO Łatwy dostęp oneline do dużej liczby kont klientów, dokumentów klientów (w tym kopi praw jazdy, rejestracji pojazdu, wyciągów bankowych i dokumentów określających, czy dana osoba była przedmiotem cofnięcia prawa jazdy) oraz danych. Francuski urząd ochrony danych osobowych skrytykował zarządzanie hasłami (nieautoryzowany dostęp był możliwy bez żadnego uwierzytelnienia). link do PDF
Wielka Brytania 09.07.2019 110.390.000 EUR Marriott International Inc. (sieć hoteli) Art. 32 RODO Uwaga: Decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o zamiarze ukarania Marriott International Inc, które dotyczyło incydentu cybernetycznego zgłoszonego ICO przez Marriott w listopadzie 2018 r. Naruszenia przepisów RODO mogą wiązać się z naruszeniem art. 32 RODO. W następstwie incydentu ujawnionych zostało szereg danych osobowych zawartych w około 339 milionach wpisów dotyczących gości na całym świecie, z czego około 30 milionów dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). 7 milionów wpisów związanych było z mieszkańcami Wielkiej Brytanii. Uważa się, że luka w zabezpieczeniach rozpoczęła się, gdy systemy grupy hoteli Starwood zostały zainfekowane w 2014 r. Następnie grupa Marriott przejęła sieć hoteli Starwood w 2016 r., ale ujawnienie informacji o klientach nie zostało odkryte aż do 2018 r. Dochodzenie ICO wykazało, że Marriott nie dochował wystarczającej staranności, kiedy przejął grupę Starwood i powinien był zrobić więcej, aby zabezpieczyć swoje systemy. link
Wielka Brytania 08.07.2019 204.600.000 EUR British Airways (linie lotnicze) Art. 32 RODO Uwaga: Decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o swoim zamiarze ukarania British Airways £183,39 mln za naruszenie przepisów RODO, które prawdopodobnie jest skutkiem nie zastosowania się do art. 32 RODO. Proponowana grzywna dotyczy incydentu cybernetycznego zgłoszonego ICO przez British Airways we wrześniu 2018 r. Incydent ten częściowo polegał na przekierowaniu ruchu użytkowników na fałszywą stronę internetową za pośrednictwem strony internetowej British Airways. Dzięki tej fałszywej stronie przestępcy mieli możliwość wejść w posiadanie danych klientów firmy. Incydent, który prawdopodobnie rozpoczął się w czerwcu 2018 spowodował że zagrożone były dane osobowe około 500 000 klientów. Dochodzenie przeprowadzone przez ICO wykazało, że przez zastosowanie złych rozwiązań dot. bezpieczeństwa w firmie, następujące informacje mogły zostać przejęte przez przestępców: loginy, dane kart płatniczych, szczegóły rezerwacji podróży, a także informacje o tożsamości i adresie. link
Rumunia 02.07.2019 15.056 EUR World Trade Center Bucharest SA Art. 32 RODO Naruszenie bezpieczeństwa danych polegało na tym, że używana do sprawdzania klientów korzystających z hotelowego śniadania lista zawierająca dane osobowe 46 osób, została sfotografowana przez nieupoważnione osoby spoza firmy, co doprowadziło do ujawnienia danych osobowych niektórych klientów za pośrednictwem publikacji online. Operator World Trade Center Bucharest SA został ukarany, ponieważ nie podjął kroków w celu zapewnienia, że dane nie zostaną ujawnione osobom nieupoważnionym. link
Rumunia 5.07.2019 3.000 EUR Legal Company & Tax Hub SRL/td> Art. 32 (1) i Art. 32 (2) RODO Grzywnę nałożono, ponieważ nie wdrożono odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa w odniesieniu do ryzyka przetwarzania. Doprowadziło to do nieuprawnionego ujawnienia i nieautoryzowanego dostępu do danych osobowych osób, które dokonały transakcji za pośrednictwem strony internetowej avocatoo.ro. Dane takie jak imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy, szczegóły dokonanych transakcji, zostały ujawnione, ze względu na otwarty dostęp do dokumentów między 10 grudnia 2018 r., a 1 lutego 2019 r. Krajowy organ nadzorczy zastosował sankcję po powiadomieniu z dnia 12 października 2018 r., wskazując, że zbiór plików dotyczących szczegółów transakcji zrealizowanych przez stronę internetową avocatoo.ro zawierał imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy i szczegóły dotyczące dokonanych transakcji i był publicznie dostępny za pośrednictwem dwóch linków. link
Rumunia 27.06.2019 130.000 EUR Unicredit Bank SA Art. 25 (1) i Art. 5 (1c) RODO Grzywna została wydana w wyniku braku wdrożenia odpowiednich środków technicznych i organizacyjnych (związanych z (1) określeniem środków / operacji przetwarzania oraz (2) integracji niezbędnych zabezpieczeń), co doprowadziło do ujawnienia identyfikatorów online oraz dokumentów tożsamości i adresów (interla / transakcje zewnętrzne) 337 042 osób, których dane dotyczą (między 25.05.2018 a 10.12.2018). link
Holandia 18.06.2019 460.000 EUR Szpital w Hadze Art. 32 RODO Szpital w Hadze ukarany został karą za brak odpowiedniego zabezpieczenia dokumentacji pacjenta. Holenderski Organ Ochrony Danych wszczął dochodzenie, gdy okazało się, że dziesiątki osób z personelu szpitalnego bez powodu sprawdzały dokumentację medyczną popularnej w Holandii osoby. Aby zmusić szpital do poprawy bezpieczeństwa dot. dokumentacji pacjenta, AP (holenderski organ nadzorczy) po zakończeniu dochodzenia nałożył na szpital karę. Jeśli szpital w Hadze nie poprawi środków bezpieczeństwa przed 2 października 2019 r., będzie musiał zapłacić zapłacić 100 000 EUR co dwa tygodnie, maksymalnie 300 000 EUR. Szpital w Hadze zgodził się na wdrożenie nowych środków. link
Francja 13.06.2019 20.000 EUR Uniontrad Company Art. 5 (1c) RODO, Art. 12 RODO, Art. 13 RODO, Art. 32 RODO W latach 2013–2017 CNIL (francuski organ ochrony danych osobowych) otrzymał skargi od kilku pracowników firmy, którzy zostali sfilmowani na ich stanowisku pracy. Organ dwukrotnie ostrzegał firmę o zasadach, które należy przestrzegać podczas instalowania kamer w miejscu pracy, w szczególności o tym, że pracownicy nie powinni być filmowani w sposób ciągły, a informacje o przetwarzaniu danych muszą być dostarczone. Wobec braku zadowalających środków pod koniec terminu określonego w wezwaniu do usunięcia uchybienia, CNIL przeprowadził drugą kontrolę w październiku 2018 r., która potwierdziła, że pracodawca nadal narusza przepisy o ochronie danych, rejestrując pracowników przy użyciu monitoringu wizyjnego. Przy ustalaniu kwoty grzywny CNIL wziął pod uwagę wielkość (9 pracowników) i sytuację finansową spółki, która wykazała ujemny wynik netto w 2017 r. (Obrót w wysokości 885 739 EUR w 2017 r. i ujemny wynik netto w wysokości 110 844 EUR ), aby zachować skuteczną, ale proporcjonalną grzywnę administracyjną. link
Dania 03.06.2019 200.850 EUR IDdesign A/S Art. 5 (1e) i (2) RODO Grzywna została nałożona w wyniku kontroli przeprowadzonej w 2018 r. IDdesign przetworzyło dane osobowe około 385 000 klientów przez okres dłuższy niż jest to konieczne do celów, dla których zostały pozyskane. Ponadto firma nie ustanowiła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM. Terminy ustalone dla starego systemu nie zostały zachowane i dane osobowe nie zostały usunięte po upływie wyznaczonego terminu. Ponadto administrator nie udokumentował w odpowiedni sposób swoich procedur usuwania danych osobowych. Uwaga: prawo duńskie nie przewiduje kar administracyjnych nakładanych przez organ nadzorczy jak zostało to określone w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd. link
Belgia 28.05 .2019 2.000 EUR Burmistrz Art. 5 (1b) RODO, Art. 6 RODO Grzywna administracyjna została nałożona za niewłaściwe wykorzystanie danych osobowych przez burmistrza do celów kampanii wyborczej. link
Francja 28.05 .2019 400.000 EUR Sergic – firma specjalizująca się w rozwoju nieruchomości, zakupie, sprzedaży, wynajmie i zarządzaniu nieruchomościami Art. 32 and 5 (1e) RODO CNIL (francuski organ nadzorczy) oparł karę na dwóch podstawach: brak podstawowych środków bezpieczeństwa i nadmierne przechowywanie danych. Jeśli chodzi o pierwsze, dokumenty zawierające dane wrażliwe osób zainteresowanych wynajęciem lokali (w tym dowody osobiste, karty zdrowia, zawiadomienia podatkowe, zaświadczenia wydane przez fundusz zasiłków rodzinnych, wyroki rozwodowe, wyciągi z rachunków) były dostępne online bez procedury uwierzytelniania. Chociaż luka ta była znana firmie od marca 2018 r., nie została ostatecznie załatana do września 2018 r. Ponadto firma przechowywała dokumentację dostarczoną przez kandydatów dłużej niż to konieczne. CNIL wziął pod uwagę m.in. powagę naruszenia (brak należytej staranności w eliminowaniu powstałej luki oraz fakt, że dokumenty ujawniły bardzo intymne aspekty życia klientów firmy), wielkość firmy i jej sytuację finansową. link
Węgry 23.05.2019 92.146 EUR Organizator: Sziget festival i Volt festival Art. 6 RODO, Art. 5 (1b) RODO, Art. 13 RODO NAIH (węgierski organ nadzorczy) stwierdził, że przetwarzanie danych osobowych odbywało się na niewłaściwych podstawach prawnych, a Administrator nie przestrzegał zasady ograniczenia celu. Ponadto informacje dotyczące przetwarzania danych nie były w pełni przekazywane osobom, których dane dotyczą. link
Litwa 16.05.2019 61.500 EUR UAB MisterTango – dostawca usług płatniczych Art. 5 GDPR, Art. 32 GDPR, Art. 33 GDPR Podczas kontroli litewski organ nadzoru ochrony danych stwierdził, że Administrator przetwarzał więcej danych niż było to konieczne do osiągnięcia celów, dla których był Administratorem. Ponadto okazało się, że od 09 do 10 lipca 2018 r. dane dotyczące płatności były publicznie dostępne w Internecie z powodu nieodpowiedniego dobrania środków technicznych i organizacyjnych. Dotyczyło to 9 tys. płatności w 12 bankach z różnych krajów. Według organu nadzoru powiadomienie o naruszeniu danych zgodnie z art. 33 RODO byłoby konieczne. Administrator nie zgłosił naruszenia danych. link
Czechy 13.05.2019 3.105 EUR brak danych Art. 5 (1a) i 1b) RODO, Art. 32 (1) RODO Podczas kontroli ustalono, że spółka jako zarządzający danymi osobowymi swojego klienta, wykorzystując dane osobowe takie jak imię i nazwisko, data urodzenia, płeć, miejsce urodzenia, obywatelstwo, adres, numer dowodu tożsamości w dniu 21 czerwca 2017r. utworzyła bieżacy rachunek bankowy bez jego wiedzy i zgody. Konto istniało aż do 20 listopada 2018, kiedy to zostało anulowane. link
Niemcy 09.05.2019 1.400 EUR Funkcjonariusz Policji Art. 6 RODO Funkcjonariusz policji, używając swojej legitymacji służowej, ale bez odniesienia do obowiązków służbowych, zapytał właściciela o dane dotyczące tablicy rejestracyjnej osoby, której danych nie poznał za pośrednictwem wyszukania w Centralnym Systemie Informacji o Ruchu Drogowym (ZEVIS) udostępnionym przez Federalny Urząd Transportu Samochodowego. Korzystając z uzyskanych w ten sposób danych osobowych, przeprowadził następnie tzw. Zapytanie SARS w Federalnej Agencji Sieciowej, w którym poprosił nie tylko o dane osobowe stron poszkodowanych, ale także o przechowywane tam numery telefonów domowych i komórkowych . Korzystając z uzyskanego w ten sposób numeru telefonu komórkowego, policjant skontaktował się telefonicznie z poszkodowanym – bez żadnego oficjalnego powodu lub zgody strony poszkodowanej. Poprzez zapytanie ZEVIS i SARS do celów prywatnych i wykorzystanie uzyskanego w ten sposób numeru telefonu komórkowego do prywatnego kontaktu, funkcjonariusz policji przetwarzał dane osobowe poza zakresem prawa na własną odpowiedzialność. Tego naruszenia nie można przypisać jednostce policji, w której funkcjonariusz pełni służbę, ponieważ nie popełnił on tego czynu podczas wykonywania swoich obowiązków służbowych, ale wyłącznie w celach prywatnych. Zakaz karania na podstawie § 28 LDSG (lokalnych przepisów o ochronie danych osobowych), zgodnie z którym sankcje RODO nie mogą być nakładane na organy publiczne, nie ma zastosowania w niniejszej sprawie, ponieważ nie był to przypadek niewłaściwego postępowania przypisany organowi, a osoba określona jako sprawca nie może być sklasyfikowana jako odrębny organ publiczny w rozumieniu § 2 (1) lub (2) LDSG w przypadku czynów stanowiących przedmiot sprawy. link
Czechy 06.05.2019 194 EUR Organizacja non-profit Art. 15 GDPR Grzywna nałożona została na organizację non-profit, która przetworzyła niedokładne dane i odmówiła dostępu do przetwarzanych przez nią danych. link
Polska 25.04.2019 12.950 EUR Związek sportowy Art. 6 GDPR Związek sportowy opublikował dane osobowe dotyczące sędziów, którym przyznano licencje sędziego drogą internetową.: imiona i nazwiska, a także dokładne adresy i numery PESEL. Tymczasem nie ma podstawy prawnej, aby tak szeroki zakres danych dotyczących sędziów był dostępny w Internecie. Ujawniając je, Administrator stwarzał potencjalne ryzyko ich nieuprawnionego użycia, np. podszywać się pod nich w celu zaciągania pożyczek lub innych zobowiązań. Chociaż Związek sam zauważył swój błąd, o czym świadczy powiadomienie Prezesa UODO (polski organ nadzorczy) o naruszeniu ochrony danych osobowych, fakt, że próby usunięcia go były nieskuteczne, determinował nałożenie kary. Przy ustalaniu wysokości grzywny (55 750,50 zł) Prezes UODO wziął pod uwagę między innymi czas trwania naruszenia oraz fakt, że dotyczył on dużej grupy osób (585 sędziów). UODO stwierdziło, że chociaż naruszenie zostało ostatecznie usunięte, miało ono poważny charakter. Nakładając karę, UODO wzięło również pod uwagę okoliczności łagodzące, takie jak dobra współpraca między Administratorem a organem nadzorczym lub brak dowodów, że szkoda została wyrządzona osobom, których dane zostały ujawnione. link
Włochy 17.04.2019 50.000 EUR Movimento 5 Stelle – włoska partia polityczna – Ruch Pięciu Gwiazd Art. 32 GDPR Szereg stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest uruchamianych za pośrednictwem podmiotu przetwarzającego dane za pomocą platformy o nazwie Rousseau. W lecie 2017 r. na platformie nastąpiło naruszenie danych co spowodowało, że Garante (włoski organ nadzorczy), zażądał wdrożenia szeregu środków bezpieczeństwa, oprócz obowiązku aktualizacji informacji o prywatności w celu zapewnienia dodatkowej przejrzystości do czynności przetwarzania, które miały miejsce. W związku z przeprowadzonymi aktualizacjami informacji o prywatności, włoski organ ochrony danych wyraził obawy co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa związanych z RODO. Warto wspomnieć, że postępowanie wszczęto przed majem 2018 r., ale włoski organ ochrony danych wydał grzywnę na mocy RODO, ponieważ platforma Rousseau nie przyjęła wymaganych środków bezpieczeństwa w drodze nakazu wydanego po 25 maja 2018 r. Co ciekawe, grzywna nie została wydana przeciwko Movimento 5 Stelle, która jest administratorem danych platformy, ale przeciwko stowarzyszeniu Rousseau, które jest podmiotem przetwarzającym dane. link
Węgry 17.04.2019 9.400 EUR brak danych Art. 5 (1a) RODO, Art. 6 RODO W ocenie NAIH (wegierski organ ochrony danych osobowych), Administrator danych wykorzystał niewłaściwą podstawę prawną przetwarzania danych osobowych (art. 6.1.b) w celu cesji roszczeń. link
Bułgaria 08.04.2019 510 EUR Centra medyczne Art. 5 (1a) RODO; Art. 9 (1) i Art. 9 (2) RODO; Art. 6 (1) RODO. Każdemu ośrodkowi medycznemu nałożono sankcję w wysokości 510 EUR za bezprawne przetwarzanie danych osobowych osoby, której dane dotyczą, w celu zmiany lekarza rodzinnego. Centrum medyczne wykorzystało oprogramowanie do wygenerowania formularza rejestracyjnego zmiany lekarza rodzinnego, który został przekazany do Regionalnego Funduszu Ubezpieczeń Zdrowotnych, a następnie do innego ośrodka medycznego, który następnie bezprawnie przetwarzał dane osobowe. link
Węgry 04.05.2019 34.375 EUR Węgierska partia polityczna Art. 33 (1) RODO, Art. 33 (5) RODO, Art. 34 (1) RODO NAIH (węgierski organ nadzorczy) nałożył grzywnę w wysokości 11 000 000 HUF (34 375 EUR) na nieujawnioną węgierską partię polityczną za niepowiadomienie NAIH i osób, które dane dotyczą o naruszeniu ochrony danych i nie udokumentowanie naruszenia zgodnie z art. 35 RODO. Zgodnie z obowiązującymi przepisami grzywna została ustalona na podstawie 4% rocznego obrotu partii i 2,65% jej przewidywanych obrotów w nadchodzącym roku. Naruszenie było wynikiem cyberataku dokonanego przez anonimowego hakera, który uzyskał dostęp do informacji o słabości systemu organizacji – bazy danych liczącej ponad 6 000 osób – oraz polecenia (kodu) użytego do ataku. System był narażony na atak z powodu problemu z przekierowaniem na stronie internetowej organizacji. Po opublikowaniu kodu przez atakującego nawet osoby z niską wiedzą informatyczną były w stanie pobrać informacje z bazy danych. link
Węgry 05.04.2019 1.900 EUR brak danych Art. 15 RODO Administrator danych nie spełnił żądania dostępu do danych złożonego przez osobę, którą dane dotyczą link
Norwegia 03.2019 170.000 EUR Gmina Bergen Art. 5 (1f) RODO, Art. 32 RODO Incydent dotyczy plików komputerowych z nazwami użytkowników i hasłami do ponad 35 000 kont użytkowników w systemie komputerowym gminy. Konta użytkowników dotyczyły zarówno uczniów szkół podstawowych gminy, jak i pracowników tych szkół. Z powodu niewystarczających środków bezpieczeństwa pliki te nie były chronione i były łatwo dostępne. Brak środków bezpieczeństwa w systemie umożliwił każdemu zalogowanie się do różnych systemów informatycznych szkoły, a tym samym dostęp do różnych kategorii danych osobowych dotyczących uczniów i pracowników szkół. Fakt, że naruszenie bezpieczeństwa obejmuje dane osobowe ponad 35 000 osób, a większość z nich to dzieci, uznano za czynniki obciążające. Gmina była również wielokrotnie ostrzegana, zarówno przez władze, jak i osoby wewnątrz organizacji, że bezpieczeństwo danych było niewystarczające. link
Polska 26.03.2019 219.538 EUR Bisnode Polska Sp. z o.o. Art. 14 RODO Grzywna dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczą, uzyskane z publicznie dostępnych źródeł, między innymi z Centralnej Ewidencji i Informacji o Działalności Gospodarczej i przetwarzała dane do celów komercyjnych. Organ zweryfikował niezgodność z obowiązkiem informacyjnym w stosunku do osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy obecnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator spełnił obowiązek informacyjny, przekazując informacje wymagane zgodnie z art. 14 (1) – (3) RODO jedynie w odniesieniu do osób, których adresy e-mail posiadał. W przypadku pozostałych osób administrator nie wywiązał się z obowiązku informacyjnego – jak wyjaśnił w trakcie postępowania – z powodu wysokich kosztów operacyjnych. Dlatego przedstawił klauzulę informacyjną tylko na swojej stronie internetowej. Według UODO nie było to wystarczające. link
Bułgaria 26.03.2019 5.100 EUR A.P. EOOD Art. 5 (1) a) RODOD, Art. 6 RODO Sankcję nałożono na administratora danych osobowych A.P. EOOD za niezgodne z prawem przetwarzanie danych osobowych. Osoba, której dane dotyczą przebywała w więzieniu i w tymc czasie A.P. EOOD wykorzystał jej dane do przygotowania umowy o pracę. link
Czechy 21.03.2019 9.704 EUR brak danych Art. 5 (1c i 1e) RODO Dane nie były przetwarzane w sposób adekwatny, odpowiedni i ograniczony – zgodnie z celem przetwarzania („minimalizacja danych”), a także dane były przechowywane w formie umożliwiającej identyfikację osób, których dotyczyły dłużej niż to konieczne do celów, dla których przetwarzane są dane osobowe („ograniczenie przechowywania”). link
Wegry 04.03.2019 3.200 EUR Nienazwana instytucja finansowa Art. 5 (1b) i 1c) RODO, Art. 13 (3) RODO, Art. 17 (1) RODO, Art. 6 (4) RODO Grzywna została nałożona w związku z wnioskiem osoby, której dane dotyczą o korektę i usunięcie danych. NAIH (organ nadzorczy) nałożył grzywnę na instytucję finansową za bezprawne odrzucenie prośby klienta o usunięcie jego numeru telefonu, twierdząc, że przetwarzanie danych leży w uzasadnionym interesie firmy w celu wyegzekwowania należności od klienta. W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest konieczny do celów windykacji należności, ponieważ wierzyciel może również komunikować się z dłużnikiem pocztą. W konsekwencji zachowanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu. Zgodnie z prawem, oszacowana grzywna była oparta na 0,025% rocznego przychodu netto firmy. link
Czechy 28.02.2019 582 EUR brak danych Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Węgry 28.02.2019 3.200 EUR Biuro burmistrza miasta Kecskemét Art. 5 (1a) RODO, Art. 6 RODO Grzywna została nałożona na biuro burmistrza miasta Kecskemét za niezgodne z prawem ujawnienie danych osobowych osoby, która poinformowała o nieprawidłowościach mających miejsce w nadzorownaej przez siebie organizacji. Osoba ta zgłosiła bezpośrednio do swojego pracodawcy skargę dotyczącą interesu publicznego. Po tym, jak organizacja dowiedziała się o skardze, poprosiła o szczegóły w celu zbadania sprawy, a samorząd lokalny przypadkowo ujawnił nazwisko skarżącego. NAIH (organ nadzorczy) w wyniku naruszenia nałożył grzywnę, za czynnik obciążający uznał zwolnienie tej osoby z pracy. link
Bułgaria 26.02.2019 27.100 EUR Dostawca usług telekomunikacyjnych Art. 6 RODO, Art. 5 (1a) RODO Wielokrotna rejestracja usług przedpłaconych bez wiedzy i zgody osoby, której dane dotyczą. Pracownicy operatorów telekomunikacyjnych wykorzystali dane osobowe i zarejestrowali skarżącego w przedpłaconej usłudze firmy. Osoba, której dane dotyczą, nie podpisała wniosku i nie wyraziła zgody na przetwarzanie jego danych osobowych w określonym celu. Nie miała również zastosowania inna podstawa prawna. Podpis wniosku i oryginalny wniosek skarżącego nie były identyczne. Wskazano także osobisty numer identyfikacyjny osoby, ale numer dowodu osobistego nie należał do skarżącego. link
Czechy 26.02.2019 776 EUR brak danych Art. 15 GDPR Osoba, której dane dotyczą zażadąła potwierdzenia, czy jej dane osobowe są przetwarzane, a jeśli tak, to czy w związku z tym, ma prawo dostępu do swoich danych osobowych na podstawie przepisów RODO. Skarżący, dwukrotnie (15 oraz 30 listopada 2018r.) kontaktował się z firmą, i zażądał informacji na temat przetwarzania jego danych osobowych, – w jaki sposób pozyskano jego nr telefonu i jak przetwarzane są jego dane osobowe. Organ nadzorczy nałożył grzywnę na firmę, która jako Administrator nie udzieliła odpowiedzi w przewidzianym w przepisach terminie. link
Bułgaria 22.02.2019 500 EUR Nieznany pracodawca Art 5 (1b i 1c) RODO, Art. 12 RODO, Art. 15 (1) RODO, Art. 15 (1) a), b), c), g) RODO, Art. 15 (3) RODO Pracownik wysłał do swojego pracodawcy wniosek o dostęp do swoich danych osobowych. Żądanie nie zostało odebrane w odpowiednim czasie. link
Węgry 20.02.2019 1.560 EUR Firma windykacyjna Art. 5 (1a i 1c) RODO – zasady przejrzystości i minimalizacji danych Osoba, której dane dotyczą, zażądała informacji na temat przetwarzanych danych i ich usunięcia. Firma windykacyjna odmówiła spełnienie tego żądania powołując sie na brak możliwości zidentyfikowania podmiotu. W celach identyfikacyjnych zażądano miejsca urodzenia, nazwiska panieńskiego matki i dalszych danych od osoby, której dane dotyczyły. Po tym, jak Administratorowi udało się zidentyfikować tę osobę, firma odmówiła zastosowania się do żądania usunięcia, twierdząc, że jest prawnie zobowiązana do przechowywania kopii zapasowych zgodnie z ustawą o rachunkowości i zasadami wewnętrznymi. Ponieważ nie poinformowano prawidłowo o tych zasadach, NAIH (organ nadzorczy) uznał, że firma naruszyła zasadę przejrzystości. Grzywna stanowi 0,0025% rocznego zysku Administratora. link
Malta 18.02.2019 5.000 EUR Urząd Ziemski Art. 5 RODO, Art. 32 RODO W wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Urzędu Ziemskiego, ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla społeczeństwa za pomocą prostego wyszukiwania google. Większość ujawnionych danych zawierała bardzo poufne informacje i korespondencję między jednostkami a samym Urzędem. Urząd Ziemski przyjął karę. Na Malcie, w przypadku naruszenia przez organ lub organ publiczny, Komisarz ds. Ochrony Danych może nałożyć karę administracyjną w wysokości do 25 000 EUR za każde naruszenie i może dodatkowo nałożyć karę dzienną w wysokości 25 EUR za każdy dzień, w którym takie naruszenie utrzymuje się. link
Węgry 09.02.2019 1.560 EUR Bank Art. 5 (1d) RODO – zasada prawidłowości Bank omyłkowo wysłał wiadomości SMS o zadłużeniu karty kredytowej podmiotu na numer telefonu innej osoby. Po otrzymaniu nieprawidłowego numeru telefonu od klienta w momencie zawierania umowy bank nie zastosował się do żądania osoby, której dane dotyczą, aby usunąć dane i kontynuował wysyłanie wiadomości SMS na nieprawidłowy numer telefonu. Grzywna stanowi 0,0016% rocznego zysku banku. link
Niemcy 05.02.2019 2.000 EUR Osoba fizyczna Art. 6 RODO, Art. 5 RODO Grzywna została nałożona na osobę prywatną, która w okresoie od lipca do września 2018 r., wysłała kilkanaście e-maili, w których użyła osobistych adresów e-mail widocznych dla wszystkich odbiorców, z których każdy odbiorca mógł przeczytać niezliczoną liczbę innych odbiorców. Mężczyzna został oskarżony o dziesięć przestępstw między połową lipca a końcem lipca 2018 r. Zgodnie z pismem organu na jego liście adresatów można było znaleźć od 131 do 153 osobistych adresów poczty elektronicznej. link
Czechy 04.02.2019 1.165 EUR Firma wynajmująca samochody Art. 5 (1a) RODO Osoba, która wynajęła samochód, dowiedziała się, że wynajęty samochód był śledzony przez GPS, chociaż nie podano żadnych informacji na temat tego, że samochód jest wyposażony w urządzenie śledzące. Czeski Urząd Ochrony Danych stwierdził, że nie podano żadnych informacji w rozumieniu art. 13 RODO i że art. 6 (1f) RODO nie może być podstawą prawną w konkretnych okolicznościach. W związku z tym Organ stwierdził naruszenie art. 5 (1a) RODO, za który nałożył grzywnę. link
Czechy 04.02.2019 1.165 EUR Pośrednik kredytowy Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Francja 21.01.2019
50.000.000 EUR
Google Inc. Art. 13 RODO, Art. 14 RODO, Art. 6 RODO, Art. 4 nr. 11 RODO, Art. 5 RODO Grzywnę nałożono na podstawie skarg austriackiej organizacji „None Of Your Business” i francuskiej organizacji pozarządowej „La Quadrature du Net”. Skargi zostały złożone w dniach 25 i 28 maja 2018 r. – natychmiast po rozpoczęciu stosowania przepisów RODO. Skargi dotyczyły utworzenia konta Google podczas konfiguracji telefonu komórkowego za pomocą systemu operacyjnego Android. CNIL (organ nadzorczy) nałożył grzywnę w wysokości 50 milionów euro z powodu braku przejrzystości (art. 5 RODO), niewystarczających informacj (art. 13/14 RODO) i braku podstawy prawnej (art. 6 RODO). Uzyskane zgody nie były „konkretne” ani „jednoznaczne” (art. 4 nr 11 RODO). link
Bułgaria 17.01.2019 500 EUR Bank Art.6 RODO, Art. 5 (1a) RODO Bank uzyskał dane osobowe dotyczące studenta bez podstawy prawnej. link
Czechy 10.01.2019 388 EUR Nieznany pracodawca Art.6 RODO Były pracownik firmy poprosił o usunięcie związanych z nim informacji, która zostały opublikowana na fanpage’u pracodawcy na Facebooku i która była dostępna jeszcze długo po zakończeniu stosunku pracy. Grzywna została nałożona, ponieważ pracodawca nie usunął informacji dotyczących byłego pracownika. link
Austria 20.12.2018 2.200 EUR Osoba fizyczna Art. 5 (1a i 1c RODO, Art. 6 (1) RODO, Art. 13 RODO Grzywnę nałożono na osobę prywatną, która korzystała z monitoringu wizyjnego w swoim domu. Nadzór wideo obejmował obszary przeznaczone do ogólnego użytku mieszkańców wielopartyjnego kompleksu mieszkalnego, a mianowicie: parkingi, chodniki, dziedziniec, ogród i obszary dostępu do kompleksu mieszkalnego; ponadto nadzór wideo obejmował ogródki przyległej nieruchomości. Nadzór wideo nie jest zatem ograniczony do obszarów, które podlegają wyłącznej kontroli tej osoby. Nadzór wideo nie jest zatem proporcjonalny do celu i nie ogranicza się do tego, co jest konieczne. Nadzór wideo rejestruje korytarz domu i filmuje mieszkańców wchodzących i wychodzących z okolicznych apartamentów, tym samym naruszając ich osobistych przestrzeń życiową bez zgody na rejestrowanie obrazu. Nadzór wideo nie został prawidłowo określony. link
Węgry 18.12.2018 3.200 EUR brak danych Art. 12 (4) RODO, Art. 15 RODO, Art. 18 (1c) RODO, Art. 13 RODO Grzywna została nałożona za (1) nieudzielenie podmiotowi danych nagrań z monitoringu wizyjnego; (2) niezatrzymywanie nagrań do dalszego wykorzystania przez osobę, której dane dotyczą, oraz (3) niepoinformowanie osoby, której dane dotyczą, o prawie do złożenia skargi do organu nadzorczego. link
Niemcy 17.12.2018 5.000 EUR Kolibri Image Regina und Dirk Maass GbR Art. 28 (3) RODO Uwaga: zgodnie z informacjami grzywna została w międzyczasie wycofana. Kolibri Image wysłał prośbę do organu nadzorczego w Hesji z pytaniem, jak postępować z usługodawcą, który nie chce podpisać umowy o przetwarzanie. Kolibri nie otrzymał dostatecznej odpowiedzi i sprawę przekazał właściwemu lokalnie organowi ochrony danych w Hamburgu. Organ ukarał Kolibri Image jako Administratora za brak umowy o powierzeniu przetwarzania z usługodawcą. Kolibri Image oświadczył, że zakwestionuje decyzję przed sądem, ponieważ jest zdania, że usługodawca nie działa jako podmiot przetwarzający. link
Austria 09.12.2018 4.800 EUR Punkt przyjmowania zakładów bukmacherskich Art. 13 RODO Monitoring wizyjny nie został dostatecznie oznaczony, a ponadto nadzór wideo obejmował dużą część chodnika wokół obiektu. Nadzór nad przestrzenią publiczną w ten sposób, tj. na tzw. dużą skalę, przez osoby prywatne nie jest dozwolony. link
Niemcy 21.11.2018 20.000 EUR Sieć mediów społecznościowych Art. 32 (1a) RODO Po ataku hakerów w lipcu, ujawnione zostały dane osobowe ok. 330 000 użytkowników, w tym hasła i ich adresy e-mail. link
Czechy 25.10.2018 388 EUR nie ujawniono Art. 15 RODO Udowodniono, że stowarzyszenie zwlekało z realizacją żądania usunięcia danych osobowych, osoby której dane dotyczą, a także nie dostarczono wymaganych informacji na żądanie dotyczące przetwarzania danych osobowych strony. link
Portugalia 17.07.2018 400.000 EUR Szpital Art. 5 (1f) RODO, Art. 32 RODO Dochodzenie wykazało, że personel szpitala, psycholodzy, dietetycy i inni specjaliści mieli dostęp do danych pacjentów za pomocą fałszywych profili. System zarządzania profilami okazał się niewystarczający – szpital miał 985 zarejestrowanych profili lekarzy, a jedynie 296 lekarzy. Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od specjalizacji lekarza. link
Bułgaria 12.04.2018 500 EUR Bank Art. 5 (1b) RODO, Art. 6 RODO Grzywna została nałożona na bank za wezwanie klienta za niezapłacone rachunki sąsiada. To sprowokowało klienta do skorzystania z jego prawa do bycia zapomnianym. Po nieotrzymaniu odpowiedzi od banku złożył kolejny wniosek, w którym bank podjął działania w ustawowym terminie. Niemniej jednak klient złożył skargę do KZLD (organu nadzorczego). Naruszenie, za które bank został ukarany, dotyczyło przetwarzania danych osobowych klienta niepowiązanych z umową o kredyt konsumencki. Ponieważ cel przetwarzania danych był inny niż cel przekazany w momencie zawarcia umowy, bank z punktu widzenia KZLD powinien posiadać dodatkową zgodę od swojego klienta. link
Cypr 2019 5.000 EUR Szpital publiczny Art. 15 RODO Pacjent złożył skargę do organu nadzorczego, że wniosek o dostęp do jej akt medycznych nie został spełniony przez szpital, ponieważ Administrator nie może zidentyfikować / zlokalizować dokumentacji. link
Cypr 2019 10.000 EUR Wydawca gazety Art. 6 RODO Publikacja gazety w wersji papierowej i elektronicznej wiązała się rzekomo z niedogodnościami, niepotrzebnym i bezprawnym przetrzymywaniem obywatela oraz ujawniła nazwiska i zdjęcia trzech zaangażowanych śledczych policji. Komisarz uznał, że cel można osiągnąć, odwołując się jedynie do inicjałów ich nazwisk i / lub ich twarzy rozmazanych i / lub publikując fotografie narysowane z daleka, aby niemożliwe było zidentyfikowanie osób, a działania te nie miały by wpływu na przebieg sprawy. link
Dania 2019 160.000 EUR Taxa 4×35 (Taxi company) Art. 5(1e) RODO Duński organ ochrony danych poinformował policję o firmie taksówkarskiej i zalecił karę grzywny (w wysokości 1,2 mln DKK) za nieprzestrzeganie zasady minimalizacji danych. Firma usunęła tylko nazwiska swoich pasażerów ze wszystkich zapisów, ale pozostałych informacje o przejazdach (około 8 873 333 przejazdów taksówką). W związku z tym firma nadal utrzymywała indywidualne numery telefonów. Uwaga: Ponieważ prawo duńskie nie przewiduje kar administracyjnych, jak ujęte zostało to w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd. link
Niemcy 2019 80.000 EUR brak danych brak danych Brak dalszych informacji. Grzywny tej nie należy wiąząć z karą, która dotyczy danych dotyczących zdrowia i która została wydana przez ten sam organ, ponieważ ta dotycząca danych dotyczących zdrowia została wydana na mocy starej niemieckiej ustawy o ochronie danych. Istnienie drugiej grzywny o takiej samej wartości jest znane tylko dzięki tweetowi Komisarza ds. Ochrony Danych z Badenii-Wirtembergii. link
Hiszpania 2019 60.000 EUR Endesa Art. 5(1f) RODO brak danych link
Austria 2018 1.800 EUR Restauracja brak danych Monitoring wizyjny został wykorzystany niezgodnie z prawem. link
Austria 2018 brak danych Restauracja brak danych Monitoring wizyjny został wykorzystany niezgodnie z prawem. link
Austria 2018 300 EUR Właściciel samochodu osobowego brak danych Rejestrator jazdy został wykorzystany niezgodnie z prawem. . link
Niemcy 2018 20.000 EUR brak danych Art. 83 (4a) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO Późne powiadomienie o naruszeniu danych i niepowiadomienie osób, których dane dotyczą. link (strona 134)
Niemcy 2018 118 EUR brak danych Art. 6 RODO Nielegalne ujawnianie danych osobowych osób trzecich. link
Niemcy 2018 50.000 EUR Bank Art. 6 RODO Grzywna została nałożona przeciwko bankowi (zgodnie z gazetą N26), który przetwarzał „dane osobowe wszystkich byłych klientów” bez zezwolenia. Bank potwierdził, że zachował dane dotyczące byłych klientów w celu utrzymania czarnej listy, rodzaj pliku ostrzeżenia, aby nie udostępnić nowego konta tym osobom. Bank początkowo uzasadniał to stwierdzeniem, że zgodnie z niemiecką ustawą bankową był zobowiązany do podjęcia środków bezpieczeństwa wobec klientów podejrzanych o pranie pieniędzy. Berliński organ nadzorczy uznał to za nielegalne. Władze twierdzą, że w celu uniemożliwienia otwarcia nowego rachunku bankowego, do pliku porównawczego, mogą być wpisane osoby, które rzeczywiście są podejrzane o pranie pieniędzy lub dla których istnieją inne ważne powody odmowy przyjęcia nowego rachunku bankowego. Władze poinformowały gazetę, że grzywna wszczęta przeciwko bankowi „nie została jeszcze prawomocnie zawarta”. link (strona 131)
Hiszpania 2018 5.000 EUR Vodafone Espana S.A.U. Art. 5 (1d) RODO Hiszpańska agencja telekomunikacyjna i informacyjna (SETSI) zdecydowała, że Vodafone musi zwrócić klientowi koszty, za które został niesłusznie obciążony. Niemniej jednak Vodafone zgłosił dane osobowe tego odpowiedniego klienta do rejestru wypłacalności (BADEXCUG). AEPD (organ nadzorczy) stwierdził, że takie zachowanie narusza zasadę dokładności. link
Niemcy 2018 500 EUR brak danych brak danych brak danych link
Hiszpania brak danych 250.000 EUR Profesjonalna Liga Piłkarska (LaLiga) Art. 5 (1a), 7 (3) RODO Krajowa liga piłkarska (LaLiga) została ukarana grzywną za oferowanie aplikacji, która raz na minutę korzystała z mikrofonu telefonów komórkowych użytkowników w celu wykrywania pubów transmitujących mecze piłkarskie bez uiszczania opłaty. Zdaniem AEPD (organu nadzorczego) LaLiga nie poinformowała użytkowników aplikacji o tej praktyce. Ponadto aplikacja nie spełniała wymagań dotyczących cofnięcia zgody. link
Hiszpania brak danych 60.000 EUR Agencja Windykacyjna (Gestion De Cobros, Yo Cobro SL) Art. 5 (1f) RODO Po tym, jak powód nie spłacił mikrokredytu dla agenta kredytowego online, roszczenie zostało przekazane agencji windykacyjnej. Agencja wysyłała wiadomości e-mail nie tylko na adresy e-mail podane przez powoda, ale także na ogólny adres e-mail jego miejsca pracy, dostępny dla każdego współpracownika, a który nigdy nie został podany przez powoda. link
Hiszpania brak danych 27.000 EUR Vodafone Espana S.A.U. Art. 5 (1d) RODO Chociaż skarżący (były klient Vodafone) zwrócił się do Vodafone o usunięcie jego danych w 2015 r. i prośba ta została potwierdzona przez firmę, od 2018 r. otrzymał ponad 200 SMS-ów od Vodafone. Po oświadczeniu Vodafone stało się tak, ponieważ numer telefonu komórkowego skarżącego został błędnie wykorzystany do celów testowych i przypadkowo pojawił się w różnych plikach należących do innych klientów niż skarżący. Ponieważ firma zgodziła się zarówno na zapłatę, jak i przyjęcie odpowiedzialności, grzywna została obniżona zgodnie z hiszpańskim prawem administracyjnym do 27 000 EUR. link

Źródło: GDPR enforcementtracker.com