Kary finansowe RODO stały się faktem. Urzędy zajmujące się ochroną danych osobowych w Unii Europejskiej coraz częściej egzekwują naruszenia przepisów RODO.  Warto zapoznać się z powodami, przez które firmy zostały ukarane i rozważyć, czy nasza organizacja jest dobrze przygotowana. Błędna interpretacja przepisów może sporo kosztować, dlatego lepiej upewnić się, czy wszystkie operacje na danych osobowych przebiegają właściwie.

Ostatnia aktualizacja: 16.03.2020 r.

Kraj Data Wysokość kary (w euro) Ukarany podmiot Podstawa prawna Podsumowanie Decyzja
Szwecja 2020-03-11 7.000.000 EUR Google LLC Art. 5 GDPR, Art. 6 GDPR, Art. 17 GDPR Szwedzki organ ochrony danych nałożył na Google LLC grzywnę w wysokości 7 milionów euro za niedostateczne wywiązanie się z obowiązków dotyczących prawa osób, których dane dotyczą, do usunięcia danych ich dotyczących z listy wyników wyszukiwania. Szwedzki Urząd Ochrony Danych w 2017 r. zakończył ocenę sposobu, w jaki firma Google zajmuje się prawem osób do usunięcia wyników wyszukiwania i polecił jej usunąć część wyników wyszukiwania. Ponadto w roku 2018 podjęto decyzję o ponownej weryfikacji praktyk Google, po tym jak do urzędu wpłynęła informacja o tym, że część wyników wyszukiwania, które powinny zostać usunięte, wciąż pojawia się w wyszukiwarce. Szwedzki Urząd Ochrony Danych sprzeciwił się również praktyce informowania właścicieli witryn o tym, jakie informacje są usuwane z wyników wyszukiwania, a w szczególności o tym, który link został usunięty i kto stał za wnioskiem o jego usunięcie. Zdaniem Urzędu nie ma to podstawy prawnej. link
Dania 2020-03-10 7.000 EUR Hørsholm Municipality Art. 5 (1) f) GDPR, Art. 32 GDPR Urzędnikowi miasta skradziono komputer roboczy, który zawierał dane osobowe około 1600 pracowników samorządu miejskiego, w tym poufne informacje i numery ubezpieczenia społecznego. link
Dania 2020-03-10 14.000 EUR Gladsaxe Municipality Art. 5 (1) f) GDPR, Art. 32 GDPR Skradziono niezabezpieczony komputer, który zawierał informacje poufne oraz osoboste numery idendyfikacyjneg 20 620 mieszkańców miasta. link
Islandia 2020-03-10 20.600 EUR National Center of Addiction Medicine (‚SAA’) Art. 5 (1) f) GDPR, Art. 32 GDPR W osobistych rzeczach zwróconych byłemu pracownikowi SAA znajdowały się również dane pacjentów, w tym dokumentacja medyczna 252 byłych pacjentów i dokumenty z nazwiskami około 3000 osób, które uczestniczyły w rehabilitacji z powodu nadużywania alkoholu i narkotyków link
Islandia 2020-03-10 9.000 EUR Breiðholt Upper Secondary School Art. 5 (1) f) GDPR, Art. 32 GDPR Nauczyciel wysłał e-mail do swoich uczniów i ich rodziców, który zawierał dane na temat ich stanu zdrowia (dot. samopoczucia), wyników w nauce oraz warunków społecznych. Mail nie był odpowiednio zabezpieczony i tym samym naruszył art. 32 RODO. link
Hiszpania 2020-03-09 15.000 EUR Gesthotel Activos Balagares Art. 5 (1) f) GDPR Osoba, której dane dotyczą wysłała prywatny list do kierownictwa hotelu oraz delegatów związkowych. Autor listu opisał sytuację, w której był prześladowany. Kierownictwo hotelu i delegaci związkowi naruszyli zasadę uczciowości i poufności udostępniając treść listu innym pracownikom. link
Włochy 2020-03-06 4.000 EUR Liceo Artistico Statale di Napoli Art. 5 GDPR, Art. 6 GDPR, Art. 9 GDPR Liceum w rankinach nauczycieli na stronie internetowej Instytutu opublikowało informacje zawierające dane osobowe, np. o stanie zdrowia. Publikacja została sporządzona z naruszeniem zasad legalności, uczciwości, przejrzystości i minimalizacji danych. link
Włochy 2020-03-06 4.000 EUR Liceo Scientifico Nobel di Torre del Greco Art. 5 GDPR, Art. 6 GDPR, Art. 9 GDPR Liceum w rankinach nauczycieli na stronie internetowej Instytutu opublikowało informacje zawierające dane osobowe, np. o stanie zdrowia. Publikacja została sporządzona z naruszeniem zasad legalności, uczciwości, przejrzystości i minimalizacji danych. link
Hiszpania 2020-03-06 4.000 EUR Osoba prywatna Art. 5 GDPR Zainstalowane kamery monitorujace rejsterowały również przestrzeń publiczną (naruszenie zasady minimalizacji danych). link
Niemcy 2019 2.000 EUR Restauracja Art. 5 (1) c) GDPR Kamery nadzoru wideo zostały wykorzystane z naruszeniem zasady minimalizacji danych (monitorowanie również obszarów klientów w restauracjach). link
Norwegia 2020-02-26 73.600 EUR Rælingen Municipality Art. 5 (1) f) GDPR, Art. 32 GDPR Informacje na temat zdrowia 15 dzieci niepełnosprawnych fizycznie i umysłowo były przetwarzane na cyfrowej platformie edukacyjnej Showbie w celu przekazania danych osobowych związanych ze zdrowiem między szkołami a ich domami. Przed użyciem aplikacji nie przeprowadzono niezbędnych ocen ryzyka, ocen wpływu na prywatność ani testów, a brak bezpieczeństwa podczas logowania do aplikacji umożliwił dostęp do informacji innym studentom w grupie. link
Hiszpania 2020-03-04 60.000 EUR Vodafone España, S.A.U. Art. 5 GDPR, Art. 6 GDPR Osoba, której dane dotyczą, otrzymała SMS-y od oddzielnego operatora wskazujące na aktywację nowej umowy. Powodem było aktywowanie przez pracownika Vodafone España umowy z trzecim operatorem w imieniu osoby, której dane dotyczą. Vodafone nie był w stanie wykazać zgody ani wystarczających uzasadnionych interesów na przetwarzanie danych osobowych. link
Hiszpania 2020-03-03 1.800 EUR Solo Embrague Art. 13 GDPR Strona internetowa firmy nie zawierała polityki prywatności oraz banera plików cookie. link
Hiszpania 2020-03-03 42.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) GDPR, Art. 32 GDPR Firma nie była w stanie wykazać odpowiednich środków zapewniających bezpieczeństwo informacji, prowadzących do nieuprawnionego dostępu do danych osobowych klienta. link
Hiszpania 2020-03-03 40.000 EUR Vodafone España, S.A.U. Art. 5 GDPR, Art. 6 GDPR Firma wysłała SMS potwierdzający zawarcie umowy telefonicznej z właścicielem telefonu komórkowego. Osoba ta nie była klientem Vodafone, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą. link
Hiszpania 2020-03-03 24.000 EUR Vodafone España, S.A.U. Art. 5 GDPR, Art. 6 GDPR „Hiszpański orgach ochrony danych stwierdził, że firma wysłała dwa SMS-y na numer telefonu komórkowego klienta, dotyczące zmiany stawki w umowie oraz potwierdzajacy zakup nowego telefonu komórkowego. Firma przetwrzała dane osobowe bez zgody osoby, której dane dotczą.
link
Polska 2020-03-04 4.600 EUR Szkoła w Gdańsku Art. 5 RODO, Art. 9 RODO Szkoła w Gdańsku wykorzystała biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce. Chociaż rodzice wyrazili pisemną zgodę na takie przetwarzanie danych, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie. link
Hiszpania 2020-02-28 3.600 EUR AEMA Hispánica Art. 5 (1) f) RODO Firma przesłała listę płac pracownika innemu pracownikowi, przez co ujawniła dane osobowe nieupoważnionej osobie. link
Holandia 2020-03-03 525.000 EUR Royal Dutch Tennis Association („KNLTB”) Art. 5 RODO, Art. 6 RODO Holenderski Urząd Ochrony Danych nałożył grzywnę na Royal Dutch Tennis Association („KNLTB”) w wysokości 525,000 EUR za sprzedaż danych osobowych ponad 350 000 jej członków sponsorom, którzy skontaktowali się z niektórymi członkami pocztą i telefonicznie w celach marketingu bezpośredniego. Stwierdzono, że KNLTB sprzedawał dane osobowe, takie jak imię i nazwisko, płeć i adres stronom trzecim, bez uzyskania zgody osób, których dane dotyczą. Organ ochrony danych odrzucił również istnienie uzasadnionego interesu w zakresie sprzedaży danych i dlatego uznał, że nie ma podstawy prawnej do przekazania danych osobowych sponsorom. link
Hiszpania 2020-02-28 48.000 EUR Vodafone ONO, S.A.U. Art. 32 RODO Firma miala niedociagniecia w zakresie bezpieczeństwa informacji, np. dwie osoby otrzymały ten sam klucz bezpieczeństwa. link
Hiszpania 2020-02-27 120.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Vodafone España nie był w stanie udowodnić hiszpańskiemu organowi ochrony danych, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jego danych osobowych w celu zawarcia umowy telefonicznej. Ponadto decyzja organu ochrony danych podkreśla, że ​​Vodafone España bezprawnie ujawniła dane osobowe osoby, której dane dotyczą, różnym agencjom kredytowym. link
Hiszpania 2020-02-25 48.000 EUR HM Hospitales Art. 5 RODO, Art. 6 RODO „Osoba, której dane dotyczą, w momencie przyjęcia do szpitala musiała wyrazić zgodę na przekazanie swoich danych stronom trzecim. Formularz przyjęcia był niezgodny z RODO, ponieważ wymuszał na pacjencie wyrażenie zgody.” link
Hiszpania 2020-02-25 6.000 EUR Casa Gracio Operation Art. 5 (1) c) RODO Firma korzystała z kamer CCTV, która rejestrowała również sferę publiczną, co spowodowało naruszenie zasady minimalizacji danych. link
Włochy 2020-01-23 30.000 EUR Azienda Ospedaliero Universitaria Integrata di Verona (Hospital) Art. 5 (1) f) RODO, Art. 32 RODO Osoby nieupoważnione miały dostęp do danych zdrowotnych. Radiolog i stażysta mogli zobaczyć informacje o stanie zdrowia swoich kolegów. Włoski organ ochrony danych wykazał, że szpital nie zastosował wystarczajacych organizacyjnych i technicznych środków ochrony danych, co skutkowało niezgodnym z prawem przetwarzaniem. Według organu ochrony danych naruszenia można było uniknąć, np. poprzez zastosowanie się do wytycznych dotyczących dokumentacji medycznej wydanej przez organ ochrony danych w 2015 r. (wytyczne stanowią, że dostęp do dokumentacji medycznej musi być ograniczony tylko do personelu medycznego zaangażowanego w leczenie pacjenta). link
Włochy 2020-01-23 30.000 EUR Sapienza Università di Roma (Uniwersytet) Art. 5 (1) f) RODO, Art. 32 RODO Według włoskiego urzędu ochrony danych Sapienza Università udostępniła online dane identyfikacyjne dwóch osób, które zgłosiły uniwersytetowi możliwe nielegalne działanie. Naruszenie wynikał ze złego zastosowania technicznych środków kontroli dostępu w ramach systemu zarządzania (nieupoważnieni pracownicy mieli dostęp do danych osobowych). link
Hiszpania 2020-02-18 1.500 EUR Mymoviles Europa 2000, S.L. Art. 13 RODO Hiszpański urząd ochrony danych stwierdził, że firma nie opublikowała oświadczenia o ochronie prywatności na swojej stronie internetowej oraz, że jej informacja prawna nie identyfikuje się w wystarczającym stopniu. link
Hiszpania 2020-02-14 2.500 EUR Grupo Valsor Y Losan, S.L. Art. 5 (1) f) RODO Administrator ujawnił dane osobowe stronie trzeciej w umowie zakupu nieruchomości (naruszenie zasad integralności i poufności danych osobowych). link
Hiszpania 2020-02-14 3.000 EUR Colegio Arenales Carabanchel (Szkoła) Art. 6 RODO Szkoła przekazała zdjęcia (a zatem dane osobowe) stronom trzecim, które opublikowały je bez podstawy żadnej prawnej. link
Hiszpania 2020-02-14 50.000 EUR Iberdrola Clientes Art. 6 RODO Iberdola Clientes, spółka energetyczna, rozwiązała umowę osoby, której dane dotyczą, bez jej zgody, zawarła trzy nowe umowy z osobą, której dane dotyczą, przetwarzała jego dane osobowe niezgodnie z prawem i przekazała dane osobowe powoda podmiotowi trzeciemu bez podstawy prawnej. link
Hiszpania 2020-02-14 42.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Skarżący miał dostęp do danych stron trzecich w swoim osobistym profilu Vodafone link
Hiszpania 2020-02-14 30.000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO, Art. 32 RODO Strona trzecia miała dostęp do nazwiska, numeru telefonu i adresu innego klienta. link
Niemcy 2019-04-12 80.000 EUR Firma w sektorze finansowym Art. 5 RODO, Art. 32 RODO Średnie przedsiębiorstwo usług finansowych nie dochowało należytej staranności w celu zachowania integralności i poufności informacji w rozumieniu art. 5 ust. 1 lit. f RODO przy usuwaniu dokumentów zawierających dane osobowe dwóch klientów. W konsekwencji, bez uprzedniej anonimizacji, dokumenty zostały usunięte w ogólnym systemie recyklingu makulatury, w którym dokumenty zostały znalezione przez sąsiada. link
Niemcy 2019 51.000 EUR Facebook Germany GmbH Art. 37 RODO Facebook Ireland wyznaczył inspektora ochrony danych dla wszystkich spółek grupy z siedzibą w UE, jednak nie powiadomiono o tym DPA Hamburg, właściwego dla Facebook Germany GmbH. Grzywnę obliczono na podstawie obrotów niemieckiego oddziału (35 mln EUR). Istotny wpływ na wysokość kary miał fakt, że pominięte powiadomienie zostało natychmiast uzupełnione, Facebook działał niedbale i nie naruszył obowiązku wyznaczenia inspektora ochrony danych, a jedynie obowiązek powiadomienia. link
Niemcy 2019 20.000 EUR Hamburger Verkehrsverbund GmbH (HVV GmbH) Art. 33 RODO, Art. 34 RODO „W dniu 6 lipca 2018 r. HVV niemiecki organ nadzorczy został poinformowany przez klienta o luce w zabezpieczeniach na stronie www.hvv.de, która została spowodowana aktualizacją w dniu 5 lutego 2018 r. Luka dotyczyła tak zwanej E-usługi klienta (CES).
Klienci logowali się do CES, który posiadał kartę HVV i powiązali swoje konto klienta CES z co najmniej jednym aktywnym stosunkiem umownym w systemach działających w tle, zmieniając adres URL, mogli wyświetlać dane innych klientów, którzy mieli Kartę HVV. Naruszenie danych nie zostało zgłoszone organowi ochrony danych w odpowiednim czasie.”
link
Niemcy 2019 nieznana Hamburger Volksbank eG Art. 21 RODO Firma wysłała klientowi biuletyn z treściami reklamowymi pocztą elektroniczną, pomimo wcześniejszego sprzeciwu tego klienta. link
Hiszpania 2020-02-04 1.500 EUR Cafetería Nagasaki Art. 5 RODO, Art. 6 RODO Nagasaki Cafetería nie wywiązała się ze swoich obowiązków wynikających z RODO, ponieważ umieściła kamery monitorujące w taki sposób, aby monitorować przestrzeń publiczną poza jej lokalami, co nieproporcjonalnie dotknęło pieszych. link
Hiszpania 2020-02-03 60.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 6 RODO Osoba, której dane dodyczą złożyła skargę na Vodafone España, która bez wiedzy tej osoby, podpisała umowę na przeniesienie abonamentu telefonicznego ze stroną trzecią. W rezultacie osoba skarżąca otrzymywała e-maile od strony trzeciej w sprawie dokonanego zakupu. link
Hiszpania 2020-02-03 75.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba, której dane dodyczą złożyła skargę na Vodafone España, która bez wiedzy tej osoby, podpisała umowę na przeniesienie abonamentu telefonicznego ze stroną trzecią. W rezultacie osoba skarżąca otrzymywała e-maile od strony trzeciej w sprawie dokonanego zakupu. link
Hiszpania 2020-02-03 60.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba otrzymała fakturę za korzystanie z usługi, której nigdy nie żądała. Dane tej osoby zostały włączone do systemów informatycznych Vodafone España bez jej zgody na przetwarzanie. Grzywna w wysokości 100 000 EUR została obniżona do 60 000 EUR z powodu dobrowolnej zapłaty. link
Hiszpania 2020-02-03 50.000 EUR Vodafone España, S.A.U. Art. 5 RODO Grzywnę poprzedziła skarga osoby, której dane dotyczą, która twierdziła, że ​​Vodafone España przesłała sąsiadowi faktury zawierające jego dane osobowe, takie jak imię i nazwisko, dowód tożsamości i adres. link
Hiszpania 2020-02-03 20.000 EUR Iberia Lineas Aereas de Espana, S.A. Operadora Unipersonal Art. 5 RODO, Art. 6 RODO, Art. 21 RODO Iberia, pomimo żądania wycofania zgody oraz usunięcia danych, w dalszymciągu wysyłała e-maile do osoby, której dane dotyczą. link
Hiszpania 2020-02-03 75.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Były klient firmy w dalszym ciągu otrzymywał powiadomienia na fakturze, chociaż w tym czasie nie było ani stosunku umownego, ani jakiejkolwiek płatności zaległej z powodu wygasłego stosunku umownego. Jako przyczynę nieprawidłowych wysyłek Vodafone wskazał błąd techniczny. link
Hiszpania 2020-02-03 6.670 EUR Banco Bilbao Vizcaya Argentaria S.L. Art. 5 RODO, Art. 6 RODO, Art. 21 RODO Firma, pomimo wniesienia sprzeciwu, wielokrotnie wysyłała komunikaty reklamowe do osoby, której dane dotyczą. link
Hiszpania 2020-02-03 5.000 EUR Queseria Artesenal Ameco S.L. Art. 5 RODO, Art. 6 RODO Firma przetwarzała dane osobowe klientów bez wymaganej zgody. link
Hiszpania 2020-02-03 800 EUR Automoción Art. 5 RODO, Art. 6 RODO Pracownik firmy utworzył fałszywy profil koleżance na portalu erotycznym (zawierał m.in. jej dane kontaktowe, zdjęcie oraz informacje o orientacji seksualnej. Osoba, której dane dotyczą, otrzymała kilka telefonów od zainteresowanych profilem. Pierwotna grzywna miała wynosić 1000 EUR ale z powodu zaburzenia osobowości ukarnaego zminiejszono ją do 800 EUR. link
Hiszpania 2020-01-14 3.600 EUR Zhang Bordeta 2006, S.L. (Store and Restaurant) Art. 5 RODO Właściciel sklepu i restauracji zainstalował system nadzoru wideo, który m.in. robił zdjęcia chodnika, a tym samym przestrzeni publicznej, co narusza podstawową zasadę minimalizacji danych. link
Niemcy 2019-10-24 100.000 EUR Firma spożywcza Art. 5 RODO, Art. 32 RODO Firma utworzyła portal aplikacyjny na swojej stronie internetowej. Zainteresowane osoby mogły składać dokumenty aplikacyjne oneline. Firma nie zabezpieczyła danych poprzez np. zaszyfrowanie lub wprowadzenie hasła.Ponadto niezabezpieczone dane wnioskodawcy zostały połączone z Google, aby każdy, korzystający z wyszukiwarki Google, mógł również znaleźć dokumenty aplikacji i mieć do nich dostęp bez ograniczonego dostępu. link
Włochy 2020-01-15 10.000 EUR Community of Francavilla Fontana Art. 5 RODO, Art. 6 RODO Społeczność opublikowała na swojej stronie internetowej informacje o procesie sądowym, w tym dane osobowe, np dotyczące stanu zdrowia. link
Norwegia 2019-04-29 120.000 EUR Wydział Edukacji Miejskiej w Oslo Art. 32 RODO Gmina wprowadziła aplikację służącą do komunikacji między pracownikami szkoły, rodzicami i uczniami. Gmina nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa. Norweski urząd ochrony danych nie znalazł żadnych środków technicznych, które mogłyby zabezpieczyć dane szczególnych kategorii danych (np. dane dotyczące stanu zdrowia). Ponadto organ nazdorczy stwierdził, że aplikacja zawiera luki w zabezpieczeniach przed jej uruchomieniem z powodu nieodpowiednich testów bezpieczeństwa, oraz że niewystarczające bezpieczeństwo logowania umożliwia nieupoważnionym o dostęp i modyfikację danych osobowych ponad 63 000 studentów. link
Włochy 2020-01-15 27.800.000 EUR TIM (operator telekomunikacyjny) Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO „Kara została nałożona między innymi za:

  • brak zgody na działania marketingowe (telemarketing i cold calling),
  • nieprawidłowe zgody zbierane w aplikacjach TIM,
  • brak odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych (w tym nieprawidłową wymianę czarnych list z call center),
  • brak jasnych okresów przechowywania danych.

Organ nadzorczy nałożył również na TIM 20 środków naprawczych, zabraniając wykorzystywania danych osobowych do celów marketingowych od tych, którzy odmówili otrzymywania połączeń promocyjnych z centrów obsługi telefonicznej.”

link
Grecja 2020-01-13 15.000 EUR Allseas Marine S.A. Art. 5 (1) a), (2) RODO Grecki organ nadzorczy ds. ochrony danych osobowych nałożył karę finansową za niezgodne z prawem wprowadzenie systemu nadzoru wideo w miejscu pracy (zakres danych pracowników przetwarzanych przez monitoring) oraz za brak poinformowania pracowników o wprowadzonym systemie nadzoru wideo.  
Grecja 2019-12-19 150.000 EUR Aegean Marine Petroleum Network Inc. Art. 5 RODO, Art. 6 RODO, Art. 32 RODO Aegean Marine Petroleum nie podjęło niezbędnych środków technicznych w celu zabezpieczenia przetwarzania dużych ilości danych i oddzielenia odpowiedniego oprogramowania z danymi osobowymi przechowywanymi na serwerach. W konsekwencji firmy spoza Aegean Marine Petroleum Group miały dostęp do serwerów zawierających dane osobowe i skopiowały zawartość tych serwerów. Ponadto Aegean Marine Petroleum nie poinformowało osób, których dane dotyczą, o przetwarzaniu ich danych osobowych przechowywanych na serwerach.  
Niemcy 2019 294.000 EUR Nieznany Art. 5 RODO Firma została ukarana grzywną w wysokości 294 000 EUR za „niepotrzebnie długie” przechowywanie akt osobowych oraz za „nadmierne” gromadzenie danych w procesie selekcji personelu, podczas którego zażądano również danych dotyczących zdrowia. link
Włochy 2019-12-11 8.500.000 EUR Eni Gas e Luce Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Pierwsza grzywna w wysokości 8,5 mln EUR dotyczy nielegalnego przetwarzania w związku z działalnością telemarketingową i telesprzedaży. Połączenia promocyjne były wykonywane między innymi bez zgody osoby, z którą nawiązano kontakt lub pomimo odmowy przez nią otrzymania połączeń promocyjnych lub bez uruchamiania specjalnych procedur sprawdzania publicznego rejestru rezygnacji. Ponadto brakowało środków technicznych i organizacyjnych uwzględniających informacje przekazywane przez użytkowników; dane były przetwarzane dłużej niż dozwolone okresy przechowywania danych; a dane dotyczące potencjalnych klientów zostały zebrane od podmiotów (dostawców list), którzy nie uzyskali zgody na ujawnienie takich danych. link
Włochy 2019-12-11 3.000.000 EUR Eni Gas e Luce Art. 5 RODO, Art. 6 RODO Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Druga grzywna w wysokości 3 mln EUR dotyczy naruszeń wynikających z zawarcia niezamówionych umów na dostawę energii elektrycznej i gazu na warunkach gospodarki rynkowej. Wiele osób skarżyło się Urzędowi, że dowiedziały się o zawarciu nowej umowy dopiero po otrzymaniu pisma o wypowiedzeniu umowy z poprzednim dostawcą lub pierwszych faktur Egl. W niektórych przypadkach skargi zgłaszały fałszywe informacje w umowach i fałszywe podpisy. link
Rumunia 2019-12-16 6.000 EUR SC Enel Energie S.A. (Electricity Distributor) Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 21 RODO Sankcje zostały nałożone w następstwie skargi, w której Enel Energie przetwarzał dane osobowe osoby w sposób niezgodny z prawem i nie był w stanie udowodnić, że uzyskał zgodę tej osoby na wysyłanie powiadomień e-mail. Ponadto rumuński urząd ds. ochrony danych osobowych wskazał, że operator nie podjął niezbędnych środków w celu zaprzestania przesyłania powiadomień, mimo że osoba ta wielokrotnie korzystała z prawa do sprzeciwu. Operator SC Enel Energie SRL został ukarany z naruszeniem dwóch grzywn, każda w wysokości 14 334,30 lei, co stanowi równowartość 3000 EUR. link
Rumunia 2019-12-13 5.000 EUR Entirely Shipping & Trading S.R.L. Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODO Firma nadmiernie przetwarzała dane osobowe swoich pracowników za pomocą kamer wideo zainstalowanych w biurach oraz w miejscach, w których znajdują się szafki, w których pracownicy przechowują swoje zapasowe ubrania (szatnie) (naruszenie zasady „minimalizacji danych”) link
Rumunia 2019-12-13 5.000 EUR Entirely Shipping & Trading S.R.L. Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODO, Art. 9 RODO Firma przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, przy użyciu twardych i mniej inwazyjnych środków ochrony prywatności osób, których dane dotyczą (naruszenie zasady „minimalizacji danych”) link/td>
Cypr 2020-01-13 9.000 EUR Social Insurance Services of the Ministry of Labor, Welfare and Social Insurance Art. 32 RODO Przyznanie nieuprawnionemu podmiotowi dostępu do danych osobowych (w tym wypadku policji). Mimo zaleceń inspektora – zastosowanie nieadekwatnych środków w celu ochrony danych. link
Cypr 2020-01-13 1.000 EUR eShop for Sports (M.L. PRO.FIT SOLUTIONS LTD) Art. 6 RODO Firma wysyłąłą wiadomości marketingowe SMS bez otrzymania na to zgody. Przede wszystkim nie pojdęto żadnych odpowiednich środków, takich jak możliwość zablokowania przez użytkowników telefonu wiadomości marketingowych z eShop for Sports poprzez rezygnację z otrzymywania wiadomości marketingowych SMS. link
Hiszpania 2020-01-09 3.000 EUR VODAFONE ESPANA, S.A.U. Art. 58 RODO Firma nie dostarczyła hiszpańskiemu urzędowi ochrony danych wymaganych informacji w wyznaczonym terminie. Stanowiło to naruszenie art. 58 RODO. link
Hiszpania 2020-01-07 44.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 (1) f) RODO Firma wysłała umowę, która zaiwerała dane osobowe (nazwa, adres i numer telefonu wnioskodawcy), do niewłaściwego odbiorcy. link
Hiszpania 2020-01-07 75.000 EUR EDP España S.A.U. Art. 6 RODO Firma przetwarzała dane osobowe, takie jak imię i nazwisko, numer identyfikacji podatkowej, adres i numer telefonu komórkowego bez zgody osoby, której dane dotyczą link
Hiszpania 2020-01-07 75.000 EUR EDP Comercializadora, S.A.U. Art. 6 RODO Firma przetwarzała dane osobowe w związku z umową gazową bez zgody wnioskodawcy. W decyzji stwierdzono, że wnioskodawca otrzymał fakturę za umowę gazową, której nie podpisał. EDP Comercializadora uważa, że przetwarzanie danych jest uzasadnione, ponieważ skarżący jest stroną umowy z innym przedsiębiorstwem energetycznym, które z kolei zawarło umowę na dostawę z EDP Comercializadora. Hiszpański urząd ochrony danych stoi na stanowisku, że EDP Comercializadora powinno udowodnić, że osoba, której sprawa dotyczy, zgodziła się na umowę z drugim podmiotem, a nie tylko z jego bezpośrednim dostawcą energii. link
Hiszpania 2020-01-07 10.000 EUR Asociación de Médicos Demócratas Art. 6 RODO Asociación de Médicos Demócratas przetwarzało dane osobowe swoich członków, bez ich zgody. Przetwarzanie odbywało się pomimo ostrzeżenia hiszpańskiego urzędu ochrony danych osobowych. link
Rumunia 2019-12-10 14.000 EUR Hora Credit IFN SA Art. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 33 RODO Sankcje zostały zastosowane w wyniku skargi, w której Hora Credit IFN SA przekazał dokumenty zawierające dane osobowe innej osoby na niewłaściwy adres e-mail. W wyniku dochodzenia ustalono, że Hora Credit IFN SA przetwarzał dane bez zapewnienia skutecznych mechanizmów weryfikacji i walidacji dokładności gromadzonych danych przetwarzanych zgodnie z zasadami określonymi w art. 5 RODO. Stwierdzono również, że operator nie podjął wystarczających środków bezpieczeństwa w odniesieniu do danych osobowych, zgodnie z art. 25 i 32 RODO, aby uniknąć nieuprawnionego i dostępnego ujawnienia danych osobowych stronom trzecim. Jednocześnie Hora Credit IFN SA nie powiadomił organu nadzorczego o zdarzeniu naruszającym bezpieczeństwo, o którym zostało powiadomione, zgodnie z art. 33 RODO, w ciągu 72 godzin od dnia, w którym dowiedział się o tym. Grzywna składa się z trzech częściowych grzywien w wysokości 3000 EUR, 10000 EUR i 1000 EUR. link
Cypr 2019-10-25 70.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Cypr 2019-10-25 10.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Cypr 2019-10-25 2.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Wielka Brytania 2019-12-20 320.000 EUR Doorstep Dispensaree Ltd. (Apteka ) Art. 32 GDPR Niedostateczny dobór środków zabezpieczających dane osobowe. Firma przechowała około 500 000 dokumentów zawierających nazwiska, adresy, daty urodzenia, numery NHS (numer ten podawany jest pacjentowi na piśmie podczas rejestracji w przychodni zdrowia (GP Practice). Numer NHS pomaga personelowi służby zdrowia uzyskać dostęp do danych medycznych pacjenta) oraz informacje medyczne i recepty w niezamkniętych, niezabezpieczonych pojemnikach, co spowodowało zalanie tych dokumentów i częściowe ich uszkodzenie. link
Rumunia 2019-12-18 2.000 EUR Telekom Romania Mobile Communications SA Art. 32 GDPR Firma nie zachowała należytej starnooności przetwarzając dane osobowe swoich klientów – dane osobowe klienta ujawniła innemu klientowi. link
Belgia 2019-12-17 15.000 EUR website providing legal information Art. 6 GDPR Art. 12, 13 GDPR tbd link
Belgia 2019-12-17 2.000 EUR tbd Art. 12, 15 GDPR tbd link
Bułgaria 2019-10-28 511 EUR firma nieznana Art. 12 (3) GDPR, Art. 15 (1) GDPR Pracowca został ukarany za odmowę udzielenia dostępu do danych osobowych byłemu pracownikowi, który o to wnioskował (prawo dostępu do danych osobowych). link
Węgry 2019-12-11 1.500 EUR firma nieznana Art. 6 GDPR Firma przetwarzała prywatne emaile byłego pracownika bez podstawy prawnej i tym samym łamiąc przepisy dotyczące przechowywania danych. link
Rumunia 2019-11-29 500 EUR Stowarzyszenie właścicieli domów Art. 32 GDPR Stowarzyszenie korzystało z monitoringu bez udzielenia odpowiednich informacji o tym (brak tzw. obowiązku informacyjnego wynikającego z art. 13 RODO) oraz zostały zastosowane nieodpowiednie środki zabezpieczajace w związku z dostępem do systemu. link
Hiszpania 2019-10-01 5.000 EUR Shop Macoyn, S.L. Art. 32 GDPR Firma wysłała e-maile reklamowe z możliwością odczytu wszystkich adresatów. Adresy e-mail wszystkich odbiorców były widoczne, ponieważ zostały wysłane jako DW – do wiadomości (zamiast UDW – ukryte do wiadomości). link
Bułgaria 2019-10-08 5.112 EUR Ministerstwo Spraw Wewnętrznych Art. 5 (1) GDPR, Art. 6 (1) GDPR Ministerstwo Spraw Wewnętrznych zostało ukarane za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą A.K. Ministerstwo Spraw Wewnętrznych przesłało dane osobowe A.K. do Republiki Togijskiej (Togo). link
Bułgaria 2019-10-07 511 EUR B.D. Art. 31 GDPR B.D. otrzymało karę pieniężną za brak dostępu do informacji potrzebnych Komisji Ochrony Danych Osobowych do wykonania jej zadań i wydawaniaa dyspozycji. link
Bułgaria 2019-09-03 1.022 EUR Usługi telekomunikacyjne Art. 6 (1) GDPR, Art. 25 (1) GDPR Dostawca usług telekomunikacyjnych i jego przedstawiciel handlowy w Bułgarii zostali ukarani za niezgodne z prawem przetwarzanie danych osobowych – w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 5.113 EUR Usługi telekomunikacyjne Art. 6 (1) GDPR, Art. 25 (1) GDPR Przedstawiciel handlowy dostawcy usług telekomunikacyjnych został ukarany za niezgodne z prawem przetwarzanie danych osobowych – w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 11.760 EUR Przedstawiciel handlowy dostawcy usług telekomunikacyjnych Art. 6 (1) GDPR Przedstawiciel handlowy dostawcy usług telekomunikacyjnych został ukarany za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą – dane były przetwarzane niezgodnie z prawem w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 1.121 EUR Prywatny agent egzekucyjny Art. 12 (4) GDPR, Art. 15 GDPR Osoba, której dane dotyczą, złożyla wniosek o dostęo do swoich danych osobowych zarejestrowanych w formie wideo. Firma nie udzieliła dostępu i nie poinformowała o przyczynie odrzucenia wniosku. link
Węgry 2019-11-18 90 EUR Szpital Art. 15 RODO Szpital naruszył prawo dostępu do danych osobowych pacjenta. Opłata za kopiowanie została naliczona niezgodnie z prawem. link
Węgry 2019-10-24 7.400 EUR Szpital wojskowy Art. 32 RODO
Art. 33 RODO
Szpital wojskowy nie dotrzymał terminu zgłoszenia naruszenia danych. Kolejna część grzywny dotyczy niezastosowania odpowiednich środków technicznych i organizacyjnych. link
Hiszpania 2019-11-19 6.000 EUR Bar sportowy Art. 5 (1) c) RODO Kamery monitoringu swoim zasięgiem obejmowały obszar publiczny link
Hiszpania 2019-11-06 60.000 EUR VODAFONE ESPANA, S.A.U. Art. 6 RODO Vodafone wysłał dane do faktury klienta do nieautoryzowanych stron trzecich. Pierwotnie grożono grzywną w wysokości 75 000 EUR, ale obniżono ją do 60 000 EUR w związku z natychmiastową zapłatą i uchyleniem odwołania. link
Hiszpania 2019-10-23 60.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 (1) f) RODO Vodafone, w ramach reklamacji, przesłał subskrybentowi historię faktur. Historia zawierała również dane do faktury nieznanej strony trzeciej. link
Rumunia 2019-12-02 2.000 EUR Nicola Medical Team 17 SRL Art. 58 RODO Firma nie zastosowała środków zarządzonych przez krajowy urząd ochrony danych. link
Holandia 2019-10-31 50.000 EUR Menzis (Health Insurance Company) Art. 5 RODO Zespół marketingowy miał dostęp do danych pacjentów. Naruszało to między innymi zasadę ograniczenia celu. link
Grecja 2019-10-18 20.000 EUR Wind Hellas Telecommunications Art. 21 RODO Firma zignorowała sprzeciwy osób, które otrzymywały telefony z ofertami reklamowymi.
Szwecja 2019-12-16 35.000 EUR Nusvar AB Art. 6 RODO Szwedzki organ ochrony danych nałożył grzywnę administracyjną w wysokości 35 000 EUR na Mrkoll.se – stronę internetową, która publikuje dane osobowe wszystkich Szwedów w wieku powyżej 16 lat – za naruszenie Ustawy o informacji kredytowej. link
Niemcy 2019 800 EUR Policja Art. 6 RODO Policjant wykorzystał dane osobowe świadka, aby skontaktować się z nim w prywatnym celu. link
Hiszpania 2019-12-10 1.600 EUR Megastar SL Art. 5 (1) c) RODO
Art. 13 RODO
Firma obsługiwała system nadzoru wideo, w którym oko kamery niepotrzebnie sięgało do strefy ruchu publicznego. Ponadto, nie została umieszczona informacja o ochronie danych osobowych.
Hiszpania 2019-12-03 1.500 EUR Cerrajeria Verin S.L. Art. 13 RODO Firma obsługiwała system nadzoru wideo, w którym oko kamery niepotrzebnie sięgało do strefy ruchu publicznego. Ponadto, nie została umieszczona informacja o ochronie danych osobowych. link
Hiszpania 2019-12-03 5.000 EUR Linea Directa Aseguradora Art. 6 RODO Firma ubezpieczeniowa bez wymaganej zgody wysłała e-maile reklamowe na platformę „Reto Nuez”. link
Rumunia 2019-12-16 2.000 EUR Globus Score SRL Art. 58 RODO Firma nie zastosowała się do środków zarządzonych przez krajowy organ nadzoru. link
Rumunia 2019-11-26 3.000 EUR Modern Barber Art. 58 RODO Firma nie zastosowała się do środków zarządzonych przez krajowy urząd ochrony danych. link
Bułgaria 2019-09-03 28.160 EUR National Revenue Agency Art 6 (1) GDPR, Art 58 (2) e) GDPR, Art 83 (5) a) GDPR Krajowa Agencja Skarbowa została ukarana karą pieniężną za niezgodne z prawem przetwarzanie danych osobowych G.B.I. Dane osobowe G.B.I. zostały bezprawnie zebrane, a następnie wykorzystane do rozpoczęcia procedury egzekucyjnej (w celu odzyskania ok 86.596,00 EUR). W związku z utworzoną sprawą egzekucyjną Krajowa Agencja Skarbowa zebrała dodatkowe dane dotyczące rachunków bankowych G.B.I z rejestru Narodowego Banku Bułgarii. Dodatkowe zgromadzone dane były również przetwarzane niezgodnie z prawem przez Krajową Agencję Skarbową podczas wysyłania nakazów poręczenia do banków, z którymi G.B.I. miał konta bankowe. link
Węgry 2019-10-01 15.100 EUR Miasto Kerepes Art. 6 (1) RODO Miasto korzystało z monitoringu na podstawie swoich uzasadnionych interesów (art. 6 ust. 1 lit. f) Jednak zgodnie z przepisem tego samego artykułu – powołana podstawa prawna nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoch zadań. Przetwarzanie nie mogło opierać się na innej podstawie prawnej. link
Hiszpania 2019-11-28 75.000 EUR Curenergía Comercializador de último recurso Art. 6 RODO An individual filed a complaint against the company alleging that the company had used its personal data as a former customer, such as first and last name, VAT identification number and address, to enter into an electricity supply contract. link
Hiszpania 2019 21.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 (1) RODO Vodafone przetwarzałł dane osobowe powoda (dane bankowe, imię, nazwisko i krajowy numer identyfikacyjny) wiele lat po zakończeniu stosunku umownego. Grzywna w wysokości 35 000 EUR została obniżona do 21 000 EUR. link
Hiszpania 2019 36.000 EUR VODAFONE ONO, S.A.U. Art. 5 (1) f) RODO Firma wysłała marketingową wiadomość mailową do dużej ilości osób, bez ukrycia adresów email odbiorów. Początkowa kara 60.000 EUR została obniżona do kwoty 36.000 EUR. link
Hiszpania 2019 48.000 EUR VODAFONE ONO, S.A.U. Art. 32 RODO Klienci mieli dostęp do danych osobowych innych klientów w strefie klienta. Początkowa grzywna w wysokości 60 000 EUR została obniżona do 48 000 EUR. link
Hiszpania 2019 48.000 EUR TELEFONICA MOVILES ESPAÑA, S.A.U. Art. 5 (1) a) RODO Rachunek bankowy powoda został obciążony przez firmę dwiema fakturami za usługi, które zlecił, jednak z danymi osobowymi innego klienta. Początkowa grzywna w wysokości 60 000 EUR została obniżona do 48 000 EUR. link
Hiszpania 2019 30.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 5 (1) f) RODO
Art. 32 RODO
Ujawnienie danych osobowych klientów (m.in. historia zakupów) za pośrednictwem wiadomości SMS do innego klienta. Początkowa grzywna w wysokości 50 000 EUR została obniżona do 30 000 EUR. link
Hiszpania 2019 40.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 RODO Firma obciążyła powoda za niezamówioną przez niego usługę (Netflix). Powód mógł udowodnić, że z usługi korzystało inne gospodarstwo domowe, które rzekomo otrzymało rachunek bankowy i numer telefonu powoda od Vodafone. Ponieważ Vodafone nie mógł udowodnić, że powód wyraził zgodę na zawarcie umowy dotyczącej usług Netflix, AEPD nałożyła grzywnę w wysokości 40 000 EUR. link
Hiszpania 2019 20.000 EUR Indywidualny Art. 5 (1) c) RODO Kamery nadzoru wideo były nie tylko wykorzystywane do ochrony mienia, ale także monitorowały pracowników (naruszenie zasady minimalizacji danych). link
Hiszpania 2019 9.000 EUR Indywidualny Art. 5 (1) c) RODO Kamery nadzoru wideo były nie tylko wykorzystywane do ochrony mienia, ale także monitorowały pracowników (naruszenie zasady minimalizacji danych). link
Hiszpania 2019 3.600 EUR AMADOR RECREATIVOS, S.L Art. 5 (1) c) RODO Nieuzasadniony monitoring przestrzeni publicznej. Nieprzestrzeganie zasady minimalizacji danych. link
Niemcy 2019-12-09 9.550.000 EUR Dostawca usług telekomunikacyjnych (1 & 1 Telecom GmbH) Art. 32 RODO Administrator to firma oferująca usługi telekomunikacyjne. Dzwoniący do firmy mogli uzyskać obszerne informacje na temat ich klientów. Wystarczyło podać imię i datę urodzenia. W tej procedurze uwierzytelnienia BfDI narusza art. 32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych nałożona grzywna znajdowała się w dolnej części skali. link
Niemcy 2019-12-09 10.000 EUR Rapidata GmbH Art. 37 RODO Pomimo wielokrotnych wniosków BfDI firma (dostawca Internetu) nie wywiązała się z obowiązku prawnego na mocy art. 37 RODO dotyczącego wyznaczenia inspektora ochrony danych. link
Rumunia 2019-12-04 20.000 EUR S CNTAR TAROM SA (Airline) Art. 32 RODO Linie lotnicze nie podjęły odpowiednich środków w celu zapewnienia bezpieczeństwa danych osobowych. Pracownicy lini lotniczych nie przetwarzały danych osobowych zgodnie z procedurami (art. 32 ust.4 RODO). W konsekwencji jeden z pracowników miał nieupraniony dostęp do aplikacji związanej z rezerwacjami. Sfotografował listę z danymi osobowymi 22 pasażerów / klientów, a następnie opublikował ją w Internecie. link
Niemcy 2019-12-03 105.000 EUR Szpital Art. 5 RODO Grzywna oparta jest na kilku naruszeniach podstawowego rozporządzenia o ochronie danych w związku z pomyłkami podczas przyjmowania pacjentów. Doprowadziło to do nieprawidłowego fakturowania i ujawniło strukturalne deficyty techniczne i organizacyjne w zarządzaniu informacjami o pacjentach w szpitalu. link
Hiszpania 2019-12-01 10.000 EUR Ikea Ibérica Art. 6 RODO Firma zainstalowała pliki cookie na urządzeniu końcowym użytkowników końcowych bez uprzedniej zgody osoby, której dane dotyczą link
Rumunia 2019-11-29 2.500 EUR Royal President S.R.L Art. 15 RODO,
Art. 6 RODO,
Art. 32 RODO
Royal President odrzucił wniosek o dostęp do danych osobowych zgodnie z art.15 RODO i ujawnił dane osobowe bez zgody osób, których dane dotyczą. Ponadto nie podjęto odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanych danych. link
Belgia 2019-11-28 5.000 EUR Burmistrz Art. 6 RODO Kara za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail były zbierane w innym celu. link
Belgia 2019-11-28 5.000 EUR Radny miejski Art. 6 RODO Kara za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail były zbierane w innym celu. link
Rumunia 2019-11-28 80.000 EUR ING Bank N.V. Bucharest Art. 32 RODO ING Bank nie podjął odpowiednich środków technicznych i organizacyjnych dla systemu zautomatyzowanego przetwarzania danych podczas procesu rozliczania transakcji kart dotyczących 225 525 klientów, co spowodowało podwójne transakcje realizowane między 8 a 10 października. link
Francja 2019-11-21 500.000 EUR Futura Internationale Art. 5 RODO,
Art. 6 RODO,
Art. 13 RODO,
Art. 14 RODO,
Art. 21 RODO
Futura Internationale została ukarana za bezprawny marketing telefoniczny pomimo zakazu kilku skarżących. Dochodzenie francuskiego urządu ochrony danych w sprawie Futura Internationale ujawniło, że Futura Internationale otrzymała kilka listów w sprawie sprzeciwu wykonywania marketingu telefonicznego oraz, że firma przechowywała nadmiarowe informacje o klientach i ich zdrowiu. Futura Internationale nie wywiązała się ze spełnienia obowiązku informacyjnego wobec osób, których dane przetwrzała, w tym nie udzielała informacji o nagrywaniu rozmów telefonicznych. link
Hiszpania 2019-11-19 60.000 EUR Xfera Moviles S.A. Art. 32 RODO Indywidualny skarżący otrzymał SMS od Xfera Móviles, który miał być adresowany do strony trzeciej i który umożliwiał mu dostęp do konta i danych osobowych tej strony trzeciej na stronie internetowej Xfera Móviles (za pośrednictwem numeru telefonu i hasła otrzymanego przez SMS). link
Łotwa 2019-11 150.000 EUR Nieznany Art. 6 RODO Nielegalne przetwarzanie danych. Brak dalszych informacji. link
Rumunia 2019-11-25 11.000 EUR Courier Services Company Art. 32 RODO Administrator nie podjął odpowiednich środków technicznych i organizacyjnych prowadzących do utraty i nieuprawnionego dostępu do danych osobowych (imię i nazwisko, numer karty bankowej, kod CVV, adres posiadacza karty, osobisty numer identyfikacyjny, numer seryjny i dowód osobisty, numer rachunku bankowego, autoryzowany limit kredytowy) około 1100 osób, których dane dotyczą. link
Rumunia 2019-11-22 2.000 EUR BNP Paribas Personal Finance S.A. Art. 12 RODO
Art. 17 RODO
BNP Paribas Personal Finance nie zareagował na żądanie usunięcia danych w terminie określonym w RODO. link
Hiszpania 2019-11-21 60.000 EUR Viaqua Xestión Integral Augas de Galicia Art. 6 RODO Przetwarzanie (modyfikacja) danych osobowych klienta zawartych w umowie przez osobę trzecią bez zgody klienta. link
Hiszpania 2019-11-19 60.000 EUR Corporacion de radio y television espanola Art. 32 RODO Utrata sześciu pamięci USB z nieszyfrowanymi danymi osobowymi link
Hiszpania 2019-11-14 30.000 EUR Telefónica SA Art. 5 RODO Telefónica obciążył skarżącego różnymi opłatami związanymi z obsługą linii telefonicznej, której skarżący nigdy nie posiadał. Rachunek bankowy skarżącego został powiazany z innym klientem Telefónica i tym samym został obciążony. Według hiszpańskiego urzędu ochrony danych jest to sprzeczne z zasadą dokładności wymaganą w art. 5 ust. 1 lit. d RODO. link
Niemcy 2019 80.000 EUR Nieznany Art. 32 RODO Brak odpowiednich mechanizmów kontroli wewnętrzej spowodowował udostępnienie w publikacji cyfrowej danych dotyczących stanu zdtowia. link
Polska 2019-10-16 47.000 EUR ClickQuickNow Art. 5 RODO UODO nałożyło grzywnę za utrudnianie korzystania z prawa odstąpienia od przetwarzania danych osobowych. Firma nie podjęła odpowiednich środków technicznych i organizacyjnych, które pozwalają na proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz korzystanie z prawa do żądania usunięcia danych osobowych. link
Portugalia 2019-03-19 2.000 EUR Nieznany Art. 13 RODO Brak sygnalizacji dotyczącej korzystania z systemów CCTV link
Hiszpania 2019-11-13 3.000 EUR General Confederation of Labour (‚CGT’) Art. 6 RODO CGT bez zgody osoby oskarżającej firmę o molestowanie, w celu zwołania spotkania przesłała do 400 członków związku wiadomość email zawierającą dane osobowe powoda, w tym: adres domowy, stosunki rodzinne, stan ciąż oraz datę rozprawy. link
Hiszpania 2019-11-07 900 EUR TODOTECNICOS24H S.L Art. 13 RODO TODOTECNICOS24H zebrał dane osobowe bez podania dokładnych informacji na temat gromadzenia danych w obowiązku informacyjnym zgodnym z art.13 RODO. link
Hiszpania 2019-11-06 1.500 EUR Cerrajero Online Art. 13 RODO Firma zgromadziła dane osobowe bez podania dokładnych informacji na temat gromadzenia danych w obowiązku informacyjnym zgodnym z art.13 RODO. link
Hiszpania 2019-10-31 6.000 EUR Jocker Premium Invex Art. 6 RODO Po zarejestrowaniu się w lokalnym spisie powszechnym Jocker Premium Invex wysłał reklamy i oferty handlowe za pośrednictwem poczty, chociaż dane takie jak imię, nazwisko i adres pocztowy zostały przekazane jedynie administracji publicznej. link
Hiszpania 2019-10-25 36.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 RODO
Art. 6 RODO
Dane powoda zostały przekazane firmie Vodafone España za pośrednictwem jego córki oraz za jego zgodą. Vodafone España skontaktowało się z powodem proponując swoje usługi. Powód nie przyjął oferty, mimo to firma Vodafone España rozpoczęła świadczene usług i rządał za nie zapłaty. Vodafone España przetworzyło dane osobowe powoda bez zgody powoda. link
Hiszpania 2019 12.000 EUR Restauracja Art. 5 (1) a) ROD
Art. 6 RODO
Restauracja chciała nałożyć sankcje dyscyplinarne na pracownika wykorzystującego obrazy wideo z telefonu komórkowego, który w celach dowodowych, został nagrany przez innego pracownika. link
Hiszpania 2019 12.000 EUR  Madrileña Red de Gas Art. 32 RODO Firma gazowa nie wprowadziła odpowiednich procedur w celu weryfikacji tożsamości osoby, której dane dotyczą. link
Holandia 2019-10-31 900.000 EUR UWV (Dutch employee insurance service provider) Art. 32 RODO Niewystarczający dobór środków zabezpieczających, ponieważ UWV (holenderski dostawca usług ubezpieczenia pracowników – „Uitvoeringsinstituut Werknemersverzekeringen”) nie korzystał z uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do internetowego portalu pracodawców. Pracodawcy oraz służby zdrowia i bezpieczeństwa były w stanie gromadzić i wyświetlać dane dotyczące zdrowia pracowników w systemie ewidencji nieobecności. link
Słowacja   ?   Art. 15 RODO Administrator danych nie zastosował się do wniosku osoby, której dane dotyczą, o dostęp do jego danych osobowych przetwarzanych przez nagrania dźwiękowe. link
Słowacja     Art. 5 (1) f) RODO,
Art. 32 RODO
Dokumenty zawierające dane osobowe zostały wyrzucone na wysypisko śmieci link
Słowacja   ?   Art. 5 (1) a) ROD
Art. 32 RODO
Naruszenie środków bezpieczeństwa informacji (w tej chwili brak dalszych informacji) link
Słowacja   ?   Art. 5 (1) a) ROD
Art. 6 (1) a) RODO
Dane osobowe zostały bezprawnie opublikowane na stronie internetowej miasta w ramach wypełniania obowiązku ujawnienia zgodnie z ustawą o wolności informacji. Jednak organ ochrony danych stwierdził, że miasto opublikowało dane osobowe z naruszeniem prawa i bez zgody zainteresowanej osoby. link
Słowacja   40.000 Slovak Telekom Art. 32 RODO Administrator nie podjął odpowiednich środków bezpieczeństwa podczas przetwarzania danych osobowych, naruszając w ten sposób obowiązek ochrony przetwarzanych danych osobowych. link
Słowacja   50.000 EUR Social Insurance Agency Art. 32 RODO Wnioski o świadczenia socjalne od obywateli Słowacji przesłano pocztą do władz zagranicznych. Dokumenty zawierające dane osobowe zaginęły, a zlokalizowanie ich bylo niemożliwe. link
Czechy   3.140 EUR UniCredit Bank Czech Republic and Slovakia, a.s. Art. 6 RODO Bank założył osobiste konto bankowe dla osoby, której dane dotyczą, bez jego zgody lub wiedzy. Bank podobno miał swoje dane osobowe, ponieważ podmiot pozbył się konta firmowego swojego pracodawcy. Bank nie był w stanie dostarczyć Urzędowi Ochrony Danych Osobowych niezbędnej dokumentacji potwierdzającej zawarcie umowy z osobą, której dane dotyczą. link
Czechy    588 EUR  Alz.cz a.s. Art. 6 ROD Art. 7 RODO Firma uzyskała kopię dokumentu tożsamości od osoby, której dane dotyczą (za jej zgodą), jednak w momencie wycofania zgody przez tę osobę,w dalszym ciagu przetwrzała jej dane. link
Czechy   980 EUR Przedsiębiorca indywidualny Art. 32 RODO Operator gry online był narażony na kilka ataków DDoS, które spowodowały nieprawidłowe działanie serwerów. Atakujący szantażował operatora, twierdząc, że ataki nie ustaną, dopóki nie zapłaci pieniędzy. W ramach szantażu atakujący zaoferował operatorowi, że stworzy ulepszoną i lepszą ochronę zapory ogniowej na serwerach operatora. Operator zgodził się i zapłacił napastnikowi. Operator zaimplementował nowy kod atakującego, który okazał się lepszy niż stary, ale w kodzie był „backdoor”. Atakujący wykorzystał backdoora do kradzieży wszystkich danych o graczach z serwera i przesłał te dane na swoją stronę internetową. Urząd Ochrony Danych Osobowych stwierdził, że operator nie podjął odpowiednich środków bezpieczeństwa. link
Cypr   14.000 EUR Lekarz Art. 5 RODO
Art. 6 RODO
Pacjentka złożyła skargę do organu nadzorczego na szpital, który nie spełnił żądania dostępu do jej dokumentacji medycznej. Kontroler nie mógł zidentyfikować / zlokalizować dokumentacji. Po zbadaniu sprawy na szpital nałożono grzywnę administracyjną w wysokości 5000 euro. link 1
Niemcy 2019-10-30 14.500.000 EUR Deutsche Wohnen SE Art. 5 RODO
Art. 25 RODO
Firma zastosowała system archiwizacji do przechowywania danych osobowych najemców, który nie przewidywał możliwości usuwania danych, które nie były już potrzebne. Dane osobowe najemców były przechowywane bez sprawdzania, czy przechowywanie jest dozwolone i czy jest konieczne. W związku z tym możliwe było uzyskanie dostępu do danych osobowych najemców (przechowywanych przez lata, a dane te nie służyły do ​​celów ich pierwotnego gromadzenia). Dotyczyło to danych o sytuacji osobistej i finansowej najemców, takich jak wyciągi z wynagrodzeń, formularze do samodzielnego ujawnienia, wyciągi z umów o pracę i szkolenia, dane podatkowe, ubezpieczenia społecznego i ubezpieczenia zdrowotnego, a także wyciągi bankowe. Oprócz sankcji za to strukturalne naruszenie, berliński komisarz ds. ochrony danych nałożył na spółkę dodatkowe grzywny w wysokości od 6000 do 17 000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. Zobacz osobny wpis link 1
Niemcy 2019-10-30 ? Deutsche Wohnen SE Art. 5 RODO Oprócz sankcji za naruszenie zasad ochrony prywatności zgodnie z projektem (art. 5 RODO, art. 25 RODO – patrz osobny wpis) berliński komisarz ds. ochrony danych nałożył na spółkę dodatkowe grzywny w wysokości od 6000 do 17 000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. link 1
Austria 2019-10-23 18.000.000 EUR Poczta Austriacka Art. 5(1) a) RODO
Art. 6 RODO
Poczta austriacka utworzyła profile ponad trzech milionów Austriaków, które zawierały informacje o ich adresach domowych, osobistych preferencjach, zwyczajach i możliwym przynależności partyjnej – które następnie zostały sprzedane, np. partiom politycznym i firmom. link 1
Polska 2019-10-18 9.380 EUR Burmistrz Aleksandrowa Kujawskiego Art. 28 RODO Nie zostałą zawarta umowa powierzenia przetwarzania danych osobowych z firmą, której serwery zawierały zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miasta w Aleksandrowie Kujawskim. Z tego powodu na burmistrza miasta nałożono grzywnę w wysokości 40 000 PLN (9400 EUR). link 1
Rumunia 2019-10-17 2.500 EUR UTTIS Industries srl Art. 12 RODO
Art. 13 RODO
Art 5(1) c) RODO
Art. 6 RODO
Sankcje zostały nałożone na administratora, ponieważ nie mógł udowodnić, że osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu danych osobowych / obrazów za pośrednictwem systemu nadzoru wideo, który działają od 2016 r. I ponieważ ujawnił CNP pracownicy, przedstawiając zgłaszającemu raport sprawozdania ze szkolenia upoważnionego personelu ISCIR za rok 2018, i nie mogli udowodnić legalności przetwarzania CNP poprzez ujawnienie, zgodnie z art. 6 RODO. link 1
Hiszpania 2019-10-16 60.000 EUR Xfera Moviles S.A. Art. 5 RODO
Art. 6 RODO
Xfera Movile wykorzystała dane osobowe bez podstawy prawnej do zawarcia umowy telefonicznej i w dalszym ciągu przetwarza dane osobowe również osób, które zarządały zaprzestania przetwarzania. link 1
Hiszpania 2019-10-16 8.000 EUR Iberdrola Clientes Art. 31 RODO Iberdrola Clientes, spółka elektroenergetyczna, odmówiła złożenia osobie wniosku o zmianę dostawcy energii elektrycznej, ponieważ twierdziła, że ​​jej dane zostaną uwzględnione na liście wypłacalności. W rezultacie hiszpański organ nadzorczy zażądał od Iberdola Clientes dostarczenia informacji o możliwości dodania danych osoby do listy wypłacalności, na którą firma nie odpowiedziała. Ten brak współpracy z regulatorem stanowił naruszenie art. 31 RODO. link 1
Hiszpania 2019-10-01 30.000 EUR Vueling Airlines Art. 5 RODO
Art. 6 RODO
Hiszpańska Agencja Ochrony Danych (AEPD) ukarała Vueling Airlines kwotą 30 000 euro za to, że nie daje użytkownikom możliwości odrzucenia plików cookie i zmuszenia ich do korzystania z nich, jeśli chcą przeglądać jej stronę internetową. Innymi słowy, przeglądanie strony Vueling nie było możliwe bez akceptacji plików cookie. AEDP wydało sankcję w wysokości 30 000 euro, którą można by natychmiast obniżyć do 18 000 euro. link 1
Rumunia 2019-09-26 9.000 EUR Inteligo Media SA Art. 5(1) a) RODO
Art. 6(1) a) RODO
W ramach procesu rejestracji na stronie avocatnet.ro operator użył niewypełnionego pola wyboru, za pomocą którego użytkownicy mogliby oświadczyć, że nie chcą otrzymywać listów informacyjnych drogą elektroniczną (rezygnacja). Bez żadnego działania użytkownik został automatycznie wysłany pocztą e-mail z listami informacyjnymi. Nie spełniło to wymagań zgody zgodnej z RODO. link 1
Portugalia 2019-03-25 2.000 EUR Nieznany Art. 13 RODO Brak sygnalizacji dotyczącej korzystania z systemów CCTV link 1
Portugalia 2019-02-05 20.000 EUR Nieznany Art. 13 RODO Odmowa prawa dostępu do zarejestrowanych połączeń telefonicznych przez osobę, której dane dotyczą link 1
Rumunia 2019-10-09 150.000 EUR Raiffeisen Bank SA Art. 32 RODO Pracownicy posiadali nieutoryzowany dostę do danych klientów link 1
Rumunia 2019-10-09 20.000 EUR Vreau Credit SRL Art. 32 RODO
Art. 33 RODO
Pracownicy posiadali nieautoryzowany dostęp do danych klientów link 1
Grecja 2019-10-07 200.000 EUR Dostawca usług telekomunikacyjnych Art. 5(1) RODO
Art. 25 RODO
Dobór nieodpowiednich środków technicznych uniemożliwił usunięcie danych dużej liczby klientów, która tego zażądała. W konsekwencji osoby te otrzymywały telefony o charakterze marketingowym. link 1
Grecja 2019-10-07 200.000 EUR Dostawca usług telekomunikacyjnych Art. 21(3) RODO
Art. 25 RODO
Zastosowanie nieodpowiednich środków technicznych uniemożliwiło usunięcie danych 8 000 klientów, którzy tego żądali. link 1
Węgry 2019-06-25 15.150 EUR brak danych Art. 33 RODO Administrator danych nie dopełnił swoich obowiązków w zakresie naruszenia ochrony danych w przypadku utraty pamięci flash z danymi osobowymi. link 1
Węgry 2019-03-04 3.200 EUR Instytucja finansowa Art. 5 (1) b) i c) RODO
Art. 13 (3) RODO
Art. 17 (1) RODO
Art. 6 (4) RODO
Kara została nałożona w związku z wnioskiem osoby, której dane dotyczą, o korektę i usunięcie danych. NAIH nałożył grzywnę na nienazwaną instytucję finansową za niezgodne z prawem przetwarzanie numeru telefonu klienta. Instytucja finansowa twierdziła, że leży to w uzasadnionym interesie firmy (administratora) – wyegzekwowanie roszczenia wobec klienta. W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest konieczny do celów windykacji, ponieważ wierzyciel może również komunikować się z dłużnikiem pocztą. W związku z tym zachowanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu. Zgodnie z prawem oszacowana grzywna oparta była na 0,025% rocznych przychodów netto firmy. link 1
Belgia 2019-09-19 10.000 EUR Kupiec Art. 5 (1) c) RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na handlowca, który chciał użyć elektronicznego dowodu tożsamości (eID) do stworzenia karty klienta. Dochodzenie przeprowadzone przez organ ochrony danych ujawniło, że akceptant wymagał dostępu do danych osobowych znajdujących się na eID, w tym zdjęcia i kodu kreskowego, które są powiązane z numerem identyfikacyjnym osoby, której dane dotyczą. link 1
Polska 2019-09-10 644.780 EUR Morele.net Art. 32 RODO Polski organ ochrony danych nałożył na Morele.net grzywnę w wysokości ponad 2,8 mln PLN (ok. 644 780 EUR) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do ​​nieuprawnionego dostępu do danych osobowych 2,2 mln osób. link 1
Austria 2019-08 50.000 EUR Firma w sektorze medycznym Art. 13 RODO
Art. 37 RODO
(Ostateczna) grzywna została nałożona na firmę z sektora medycznego z powodu nieprzestrzegania obowiązków informacyjnych i nie wyznaczenia inspektora ochrony danych./td> link 1
Austria 2019-07 11.000 EUR Trener piłki nożnej Art. 6 RODO Kara została nałożona na trenera piłki nożnej, który potajemnie filmował zawodniczki podczas kąpieli. link 1
Bułgaria 2019-08-28 2.600.000 EUR Krajowa Agencja Skarbowa Art. 32 RODO Wyciek danych osobowych podczas ataku hakerskiego z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Stwierdzono, że dane osobowe dotyczące około 6 milionów osób były nielegalnie dostępne. link 1
Bułgaria/td> 2019-08-28 511.000 EUR DSK Bank Art. 32 RODO Wyciek danych osobowych z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Strony trzecie miały dostęp do ponad 23 000 danych kredytowych dotyczących ponad 33 000 klientów banków, w tym danych osobowych, takich jak nazwiska, obywatelstwa, numery identyfikacyjne, adresy, kopie dowodów tożsamości i dane biometryczne. link 1
Łotwa 2019-08-26 7.000 EUR Usługi online Art. 17 RODO Sprzedawca, który świadczy usługi w sklepie internetowym, naruszył „prawo do bycia zapomnianym” zgodnie z art. 17 RODO, gdy osoba, której dane dotyczą, wielokrotnie wzywała go do usunięcia wszystkich swoich danych osobowych, w szczególności numeru telefonu komórkowego, które kupiec otrzymał w ramach zamówienia. Niemniej jednak sprzedawca wielokrotnie wysyłał SMS-y reklamowe na numer telefonu komórkowego osoby, której dane dotyczą. link 1
Szwecja 2019-08-20 18.630 EUR Szkoła w Skellefteå Art. 5 (1) c) RODO
Art. 9 RODO
Art. 35 RODO
Art. 36 RODO
Szkoła w Skellefteå przeprowadziła próbę użycia technologii rozpoznawania twarzy. Kara została nałożona na szkołę, która wykorzystywała technologię rozpoznawania twarzy do monitorowania obecności uczniów. Mimo że ogólnie przetwarzanie danych w celu monitorowania obecności jest możliwe, to rozpoznawanie twarzy jest nieproporcjonalne w stosunku do celu monitorowania obecności. Organ nadzorczy (szwecki urząd ochrony danych) uważa, że ​​dane biometryczne studentów zostały przetworzone. Ponadto władze argumentowały, że zgody nie można zastosować, ponieważ studenci i ich opiekunowie nie mogą swobodnie decydować, czy chcą monitorować dzieci pod kątem obecności. Organ nadzorczy stwierdził, że rada szkoły nie może powoływać się na którekolwiek z wyjątków wymienionych w art. 9 ust. 2. Organ nadzorczy stwierdził również, że miał miejsce przypadek przetwarzania o wysokim ryzyku, ponieważ zastosowano nową technologię do przetwarzania wrażliwych danych osobowych dotyczących dzieci, które znajdują się w pozycji zależnej od rady szkoły średniej i ze względu na wykorzystywanie nadzoru przez uczniów codzienne środowisko. W opinii organu zarząd szkoły nie był w stanie wykazać zgodności z art. 35 RODO oraz zarząd powinien skonsultować się w tej sprawie z władzami zgodnie z art. 36 (1) RODO. link 1
Hiszpania 2019-08-16 60.000 EUR Avon Cosmetics Art. 6 RODO Konsument twierdził, że AVON COSMETICS przetwarzał jego dane niezgodnie z prawem bez odpowiedniej weryfikacji jego tożsamości, co doprowadziło do błędnego wpisania jego danych do rejestru roszczeń, uniemożliwiając mu współpracę ze swoim bankiem. W rezultacie osoba trzecia nieuczciwie wykorzystała dane osobowe konsumentów. link 1
Niemcy 2019-09-19 195.407 EUR Delivery Hero Art. 15 RODO
Art. 17 RODO
Art. 21 RODO
Według ustaleń berlińskiego inspektora ochrony danych Delivery Delivery Germany GmbH nie usunęła kont byłych klientów w dziesięciu przypadkach, mimo że osoby, których dane dotyczą, nie działały przez lata na platformie usług dostawczych firmy – w jednym przypadku nawet od 2008 r. Ponadto ośmiu byłych klientów skarżyło się na niechciane e-maile reklamowe od firmy. Podmiot danych, który wyraźnie sprzeciwił się wykorzystaniu jego danych do celów reklamowych, otrzymał jednak 15 kolejnych e-maili reklamowych z usługi dostawy. W kolejnych pięciu przypadkach firma nie dostarczyła osobom, których dane dotyczą, wymaganych informacji lub dopiero po interwencji berlińskiego inspektora ochrony danych. link 1
Grecja 2019-07-30 150.000 EUR PWC Business Solutions Art. 5 (1) a) b) i c) RODO
Art. 5 (2) RODO
Art. 6 (1) RODO
Art. 13 (1) c) RODO
Art. 14 (1) c) RODO
Przetwarzanie danych osobowych pracowników odbywało się na podstawie zgody. Grecki urząd ochrony danych osobowych uznał, że zgoda jako podstawa prawna była nieodpowiednia, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, przestrzeganie prawnego obowiązku, któremu podlega administrator, oraz sprawne i skuteczne działanie firma jako uzasadniony interes. Ponadto firma dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe na podstawie prawnej zgody, podczas gdy w rzeczywistości przetwarza ich dane na innej podstawie prawnej. Było to sprzeczne z zasadą przejrzystości, a zatem naruszało obowiązek dostarczania informacji zgodnie z art. 13 ust. 1 lit. c) i art. 14 ust. 1 lit. c RODO. Wreszcie, naruszając zasadę odpowiedzialności, firma nie dostarczyła greckiemu urzędowi ochrony danych osobowych dowodów, że przeprowadziła uprzednią ocenę odpowiednich podstaw prawnych do przetwarzania danych osobowych pracowników. link do PDF
Francja 2019-07-25 180.000 EUR ACTIVE ASSURANCES (branża samochodowa) Art. 32 RODO Łatwy dostęp oneline do dużej liczby kont klientów, dokumentów klientów (w tym kopi praw jazdy, rejestracji pojazdu, wyciągów bankowych i dokumentów określających, czy dana osoba była przedmiotem cofnięcia prawa jazdy) oraz danych. Francuski urząd ochrony danych osobowych skrytykował zarządzanie hasłami (nieautoryzowany dostęp był możliwy bez żadnego uwierzytelnienia). link do PDF
Wielka Brytania 2019-07-09 110.390.000 EUR Marriott International Inc. (sieć hoteli) Art. 32 RODO Uwaga: Decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o zamiarze ukarania Marriott International Inc, które dotyczyło incydentu cybernetycznego zgłoszonego ICO przez Marriott w listopadzie 2018 r. Naruszenia przepisów RODO mogą wiązać się z naruszeniem art. 32 RODO. W następstwie incydentu ujawnionych zostało szereg danych osobowych zawartych w około 339 milionach wpisów dotyczących gości na całym świecie, z czego około 30 milionów dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). 7 milionów wpisów związanych było z mieszkańcami Wielkiej Brytanii. Uważa się, że luka w zabezpieczeniach rozpoczęła się, gdy systemy grupy hoteli Starwood zostały zainfekowane w 2014 r. Następnie grupa Marriott przejęła sieć hoteli Starwood w 2016 r., ale ujawnienie informacji o klientach nie zostało odkryte aż do 2018 r. Dochodzenie ICO wykazało, że Marriott nie dochował wystarczającej staranności, kiedy przejął grupę Starwood i powinien był zrobić więcej, aby zabezpieczyć swoje systemy. link
Wielka Brytania 2019-07-08 204.600.000 EUR British Airways (linie lotnicze) Art. 32 RODO Uwaga: Decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o swoim zamiarze ukarania British Airways £183,39 mln za naruszenie przepisów RODO, które prawdopodobnie jest skutkiem nie zastosowania się do art. 32 RODO. Proponowana grzywna dotyczy incydentu cybernetycznego zgłoszonego ICO przez British Airways we wrześniu 2018 r. Incydent ten częściowo polegał na przekierowaniu ruchu użytkowników na fałszywą stronę internetową za pośrednictwem strony internetowej British Airways. Dzięki tej fałszywej stronie przestępcy mieli możliwość wejść w posiadanie danych klientów firmy. Incydent, który prawdopodobnie rozpoczął się w czerwcu 2018 spowodował że zagrożone były dane osobowe około 500 000 klientów. Dochodzenie przeprowadzone przez ICO wykazało, że przez zastosowanie złych rozwiązań dot. bezpieczeństwa w firmie, następujące informacje mogły zostać przejęte przez przestępców: loginy, dane kart płatniczych, szczegóły rezerwacji podróży, a także informacje o tożsamości i adresie. link
Rumunia 2019-07-02 15.056 EUR World Trade Center Bucharest SA Art. 32 RODO Naruszenie bezpieczeństwa danych polegało na tym, że używana do sprawdzania klientów korzystających z hotelowego śniadania lista zawierająca dane osobowe 46 osób, została sfotografowana przez nieupoważnione osoby spoza firmy, co doprowadziło do ujawnienia danych osobowych niektórych klientów za pośrednictwem publikacji online. Operator World Trade Center Bucharest SA został ukarany, ponieważ nie podjął kroków w celu zapewnienia, że dane nie zostaną ujawnione osobom nieupoważnionym. link
Rumunia 2019-07-05 3.000 EUR Legal Company & Tax Hub SRL/td> Art. 32 (1) i Art. 32 (2) RODO Grzywnę nałożono, ponieważ nie wdrożono odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa w odniesieniu do ryzyka przetwarzania. Doprowadziło to do nieuprawnionego ujawnienia i nieautoryzowanego dostępu do danych osobowych osób, które dokonały transakcji za pośrednictwem strony internetowej avocatoo.ro. Dane takie jak imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy, szczegóły dokonanych transakcji, zostały ujawnione, ze względu na otwarty dostęp do dokumentów między 10 grudnia 2018 r., a 1 lutego 2019 r. Krajowy organ nadzorczy zastosował sankcję po powiadomieniu z dnia 12 października 2018 r., wskazując, że zbiór plików dotyczących szczegółów transakcji zrealizowanych przez stronę internetową avocatoo.ro zawierał imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy i szczegóły dotyczące dokonanych transakcji i był publicznie dostępny za pośrednictwem dwóch linków. link
Rumunia 2019-06-27 130.000 EUR Unicredit Bank SA Art. 25 (1) i Art. 5 (1c) RODO Grzywna została wydana w wyniku braku wdrożenia odpowiednich środków technicznych i organizacyjnych (związanych z (1) określeniem środków / operacji przetwarzania oraz (2) integracji niezbędnych zabezpieczeń), co doprowadziło do ujawnienia identyfikatorów online oraz dokumentów tożsamości i adresów (interla / transakcje zewnętrzne) 337 042 osób, których dane dotyczą (między 25.05.2018 a 10.12.2018). link
Holandia 2019-06-18 460.000 EUR Szpital w Hadze Art. 32 RODO Szpital w Hadze ukarany został karą za brak odpowiedniego zabezpieczenia dokumentacji pacjenta. Holenderski Organ Ochrony Danych wszczął dochodzenie, gdy okazało się, że dziesiątki osób z personelu szpitalnego bez powodu sprawdzały dokumentację medyczną popularnej w Holandii osoby. Aby zmusić szpital do poprawy bezpieczeństwa dot. dokumentacji pacjenta, AP (holenderski organ nadzorczy) po zakończeniu dochodzenia nałożył na szpital karę. Jeśli szpital w Hadze nie poprawi środków bezpieczeństwa przed 2 października 2019 r., będzie musiał zapłacić zapłacić 100 000 EUR co dwa tygodnie, maksymalnie 300 000 EUR. Szpital w Hadze zgodził się na wdrożenie nowych środków. link
Francja 2019-06-13 20.000 EUR Uniontrad Company Art. 5 (1c) RODO, Art. 12 RODO, Art. 13 RODO, Art. 32 RODO W latach 2013–2017 CNIL (francuski organ ochrony danych osobowych) otrzymał skargi od kilku pracowników firmy, którzy zostali sfilmowani na ich stanowisku pracy. Organ dwukrotnie ostrzegał firmę o zasadach, które należy przestrzegać podczas instalowania kamer w miejscu pracy, w szczególności o tym, że pracownicy nie powinni być filmowani w sposób ciągły, a informacje o przetwarzaniu danych muszą być dostarczone. Wobec braku zadowalających środków pod koniec terminu określonego w wezwaniu do usunięcia uchybienia, CNIL przeprowadził drugą kontrolę w październiku 2018 r., która potwierdziła, że pracodawca nadal narusza przepisy o ochronie danych, rejestrując pracowników przy użyciu monitoringu wizyjnego. Przy ustalaniu kwoty grzywny CNIL wziął pod uwagę wielkość (9 pracowników) i sytuację finansową spółki, która wykazała ujemny wynik netto w 2017 r. (Obrót w wysokości 885 739 EUR w 2017 r. i ujemny wynik netto w wysokości 110 844 EUR ), aby zachować skuteczną, ale proporcjonalną grzywnę administracyjną. link
Dania 2019-06-03 200.850 EUR IDdesign A/S Art. 5 (1e) i (2) RODO Grzywna została nałożona w wyniku kontroli przeprowadzonej w 2018 r. IDdesign przetworzyło dane osobowe około 385 000 klientów przez okres dłuższy niż jest to konieczne do celów, dla których zostały pozyskane. Ponadto firma nie ustanowiła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM. Terminy ustalone dla starego systemu nie zostały zachowane i dane osobowe nie zostały usunięte po upływie wyznaczonego terminu. Ponadto administrator nie udokumentował w odpowiedni sposób swoich procedur usuwania danych osobowych. Uwaga: prawo duńskie nie przewiduje kar administracyjnych nakładanych przez organ nadzorczy jak zostało to określone w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd. link
Belgia 2019-05-28 2.000 EUR Burmistrz Art. 5 (1b) RODO, Art. 6 RODO Grzywna administracyjna została nałożona za niewłaściwe wykorzystanie danych osobowych przez burmistrza do celów kampanii wyborczej. link
Francja 2019-05-28 400.000 EUR Sergic – firma specjalizująca się w rozwoju nieruchomości, zakupie, sprzedaży, wynajmie i zarządzaniu nieruchomościami Art. 32 and 5 (1e) RODO CNIL (francuski organ nadzorczy) oparł karę na dwóch podstawach: brak podstawowych środków bezpieczeństwa i nadmierne przechowywanie danych. Jeśli chodzi o pierwsze, dokumenty zawierające dane wrażliwe osób zainteresowanych wynajęciem lokali (w tym dowody osobiste, karty zdrowia, zawiadomienia podatkowe, zaświadczenia wydane przez fundusz zasiłków rodzinnych, wyroki rozwodowe, wyciągi z rachunków) były dostępne online bez procedury uwierzytelniania. Chociaż luka ta była znana firmie od marca 2018 r., nie została ostatecznie załatana do września 2018 r. Ponadto firma przechowywała dokumentację dostarczoną przez kandydatów dłużej niż to konieczne. CNIL wziął pod uwagę m.in. powagę naruszenia (brak należytej staranności w eliminowaniu powstałej luki oraz fakt, że dokumenty ujawniły bardzo intymne aspekty życia klientów firmy), wielkość firmy i jej sytuację finansową. link
Węgry 2019-05-23 92.146 EUR Organizator: Sziget festival i Volt festival Art. 6 RODO, Art. 5 (1b) RODO, Art. 13 RODO NAIH (węgierski organ nadzorczy) stwierdził, że przetwarzanie danych osobowych odbywało się na niewłaściwych podstawach prawnych, a Administrator nie przestrzegał zasady ograniczenia celu. Ponadto informacje dotyczące przetwarzania danych nie były w pełni przekazywane osobom, których dane dotyczą. link
Litwa 2019-05-16 61.500 EUR UAB MisterTango – dostawca usług płatniczych Art. 5 GDPR, Art. 32 GDPR, Art. 33 GDPR Podczas kontroli litewski organ nadzoru ochrony danych stwierdził, że Administrator przetwarzał więcej danych niż było to konieczne do osiągnięcia celów, dla których był Administratorem. Ponadto okazało się, że od 09 do 10 lipca 2018 r. dane dotyczące płatności były publicznie dostępne w Internecie z powodu nieodpowiedniego dobrania środków technicznych i organizacyjnych. Dotyczyło to 9 tys. płatności w 12 bankach z różnych krajów. Według organu nadzoru powiadomienie o naruszeniu danych zgodnie z art. 33 RODO byłoby konieczne. Administrator nie zgłosił naruszenia danych. link
Niemcy 2019-05-09 1.400 EUR Funkcjonariusz Policji Art. 6 RODO Funkcjonariusz policji, używając swojej legitymacji służowej, ale bez odniesienia do obowiązków służbowych, zapytał właściciela o dane dotyczące tablicy rejestracyjnej osoby, której danych nie poznał za pośrednictwem wyszukania w Centralnym Systemie Informacji o Ruchu Drogowym (ZEVIS) udostępnionym przez Federalny Urząd Transportu Samochodowego. Korzystając z uzyskanych w ten sposób danych osobowych, przeprowadził następnie tzw. Zapytanie SARS w Federalnej Agencji Sieciowej, w którym poprosił nie tylko o dane osobowe stron poszkodowanych, ale także o przechowywane tam numery telefonów domowych i komórkowych . Korzystając z uzyskanego w ten sposób numeru telefonu komórkowego, policjant skontaktował się telefonicznie z poszkodowanym – bez żadnego oficjalnego powodu lub zgody strony poszkodowanej. Poprzez zapytanie ZEVIS i SARS do celów prywatnych i wykorzystanie uzyskanego w ten sposób numeru telefonu komórkowego do prywatnego kontaktu, funkcjonariusz policji przetwarzał dane osobowe poza zakresem prawa na własną odpowiedzialność. Tego naruszenia nie można przypisać jednostce policji, w której funkcjonariusz pełni służbę, ponieważ nie popełnił on tego czynu podczas wykonywania swoich obowiązków służbowych, ale wyłącznie w celach prywatnych. Zakaz karania na podstawie § 28 LDSG (lokalnych przepisów o ochronie danych osobowych), zgodnie z którym sankcje RODO nie mogą być nakładane na organy publiczne, nie ma zastosowania w niniejszej sprawie, ponieważ nie był to przypadek niewłaściwego postępowania przypisany organowi, a osoba określona jako sprawca nie może być sklasyfikowana jako odrębny organ publiczny w rozumieniu § 2 (1) lub (2) LDSG w przypadku czynów stanowiących przedmiot sprawy. link
Czechy 2019-05-06 194 EUR Organizacja non-profit Art. 15 GDPR Grzywna nałożona została na organizację non-profit, która przetworzyła niedokładne dane i odmówiła dostępu do przetwarzanych przez nią danych. link
Polska 2019-04-25 12.950 EUR Związek sportowy Art. 6 GDPR Związek sportowy opublikował dane osobowe dotyczące sędziów, którym przyznano licencje sędziego drogą internetową.: imiona i nazwiska, a także dokładne adresy i numery PESEL. Tymczasem nie ma podstawy prawnej, aby tak szeroki zakres danych dotyczących sędziów był dostępny w Internecie. Ujawniając je, Administrator stwarzał potencjalne ryzyko ich nieuprawnionego użycia, np. podszywać się pod nich w celu zaciągania pożyczek lub innych zobowiązań. Chociaż Związek sam zauważył swój błąd, o czym świadczy powiadomienie Prezesa UODO (polski organ nadzorczy) o naruszeniu ochrony danych osobowych, fakt, że próby usunięcia go były nieskuteczne, determinował nałożenie kary. Przy ustalaniu wysokości grzywny (55 750,50 zł) Prezes UODO wziął pod uwagę między innymi czas trwania naruszenia oraz fakt, że dotyczył on dużej grupy osób (585 sędziów). UODO stwierdziło, że chociaż naruszenie zostało ostatecznie usunięte, miało ono poważny charakter. Nakładając karę, UODO wzięło również pod uwagę okoliczności łagodzące, takie jak dobra współpraca między Administratorem a organem nadzorczym lub brak dowodów, że szkoda została wyrządzona osobom, których dane zostały ujawnione. link
Włochy 2019-04-17 50.000 EUR Movimento 5 Stelle – włoska partia polityczna – Ruch Pięciu Gwiazd Art. 32 GDPR Szereg stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest uruchamianych za pośrednictwem podmiotu przetwarzającego dane za pomocą platformy o nazwie Rousseau. W lecie 2017 r. na platformie nastąpiło naruszenie danych co spowodowało, że Garante (włoski organ nadzorczy), zażądał wdrożenia szeregu środków bezpieczeństwa, oprócz obowiązku aktualizacji informacji o prywatności w celu zapewnienia dodatkowej przejrzystości do czynności przetwarzania, które miały miejsce. W związku z przeprowadzonymi aktualizacjami informacji o prywatności, włoski organ ochrony danych wyraził obawy co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa związanych z RODO. Warto wspomnieć, że postępowanie wszczęto przed majem 2018 r., ale włoski organ ochrony danych wydał grzywnę na mocy RODO, ponieważ platforma Rousseau nie przyjęła wymaganych środków bezpieczeństwa w drodze nakazu wydanego po 25 maja 2018 r. Co ciekawe, grzywna nie została wydana przeciwko Movimento 5 Stelle, która jest administratorem danych platformy, ale przeciwko stowarzyszeniu Rousseau, które jest podmiotem przetwarzającym dane. link
Węgry 2019-04-17 9.400 EUR brak danych Art. 5 (1a) RODO, Art. 6 RODO W ocenie NAIH (wegierski organ ochrony danych osobowych), Administrator danych wykorzystał niewłaściwą podstawę prawną przetwarzania danych osobowych (art. 6.1.b) w celu cesji roszczeń. link
Bułgaria 2019-04-08 510 EUR Centra medyczne Art. 5 (1a) RODO; Art. 9 (1) i Art. 9 (2) RODO; Art. 6 (1) RODO. Każdemu ośrodkowi medycznemu nałożono sankcję w wysokości 510 EUR za bezprawne przetwarzanie danych osobowych osoby, której dane dotyczą, w celu zmiany lekarza rodzinnego. Centrum medyczne wykorzystało oprogramowanie do wygenerowania formularza rejestracyjnego zmiany lekarza rodzinnego, który został przekazany do Regionalnego Funduszu Ubezpieczeń Zdrowotnych, a następnie do innego ośrodka medycznego, który następnie bezprawnie przetwarzał dane osobowe. link
Węgry 2019-04-05 34.375 EUR Węgierska partia polityczna Art. 33 (1) RODO, Art. 33 (5) RODO, Art. 34 (1) RODO NAIH (węgierski organ nadzorczy) nałożył grzywnę w wysokości 11 000 000 HUF (34 375 EUR) na nieujawnioną węgierską partię polityczną za niepowiadomienie NAIH i osób, które dane dotyczą o naruszeniu ochrony danych i nie udokumentowanie naruszenia zgodnie z art. 35 RODO. Zgodnie z obowiązującymi przepisami grzywna została ustalona na podstawie 4% rocznego obrotu partii i 2,65% jej przewidywanych obrotów w nadchodzącym roku. Naruszenie było wynikiem cyberataku dokonanego przez anonimowego hakera, który uzyskał dostęp do informacji o słabości systemu organizacji – bazy danych liczącej ponad 6 000 osób – oraz polecenia (kodu) użytego do ataku. System był narażony na atak z powodu problemu z przekierowaniem na stronie internetowej organizacji. Po opublikowaniu kodu przez atakującego nawet osoby z niską wiedzą informatyczną były w stanie pobrać informacje z bazy danych. link
Węgry 2019-04-05 1.900 EUR brak danych Art. 15 RODO Administrator danych nie spełnił żądania dostępu do danych złożonego przez osobę, którą dane dotyczą link
Norwegia 2019-03 170.000 EUR Gmina Bergen Art. 5 (1f) RODO, Art. 32 RODO Incydent dotyczy plików komputerowych z nazwami użytkowników i hasłami do ponad 35 000 kont użytkowników w systemie komputerowym gminy. Konta użytkowników dotyczyły zarówno uczniów szkół podstawowych gminy, jak i pracowników tych szkół. Z powodu niewystarczających środków bezpieczeństwa pliki te nie były chronione i były łatwo dostępne. Brak środków bezpieczeństwa w systemie umożliwił każdemu zalogowanie się do różnych systemów informatycznych szkoły, a tym samym dostęp do różnych kategorii danych osobowych dotyczących uczniów i pracowników szkół. Fakt, że naruszenie bezpieczeństwa obejmuje dane osobowe ponad 35 000 osób, a większość z nich to dzieci, uznano za czynniki obciążające. Gmina była również wielokrotnie ostrzegana, zarówno przez władze, jak i osoby wewnątrz organizacji, że bezpieczeństwo danych było niewystarczające. link
Polska 2019-03-26 219.538 EUR Bisnode Polska Sp. z o.o. Art. 14 RODO Grzywna dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczą, uzyskane z publicznie dostępnych źródeł, między innymi z Centralnej Ewidencji i Informacji o Działalności Gospodarczej i przetwarzała dane do celów komercyjnych. Organ zweryfikował niezgodność z obowiązkiem informacyjnym w stosunku do osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy obecnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator spełnił obowiązek informacyjny, przekazując informacje wymagane zgodnie z art. 14 (1) – (3) RODO jedynie w odniesieniu do osób, których adresy e-mail posiadał. W przypadku pozostałych osób administrator nie wywiązał się z obowiązku informacyjnego – jak wyjaśnił w trakcie postępowania – z powodu wysokich kosztów operacyjnych. Dlatego przedstawił klauzulę informacyjną tylko na swojej stronie internetowej. Według UODO nie było to wystarczające. link
Bułgaria 2019-03-26 5.100 EUR A.P. EOOD Art. 5 (1) a) RODOD, Art. 6 RODO Sankcję nałożono na administratora danych osobowych A.P. EOOD za niezgodne z prawem przetwarzanie danych osobowych. Osoba, której dane dotyczą przebywała w więzieniu i w tymc czasie A.P. EOOD wykorzystał jej dane do przygotowania umowy o pracę. link
Czechy 2019-03-21 9.704 EUR brak danych Art. 5 (1c i 1e) RODO Dane nie były przetwarzane w sposób adekwatny, odpowiedni i ograniczony – zgodnie z celem przetwarzania („minimalizacja danych”), a także dane były przechowywane w formie umożliwiającej identyfikację osób, których dotyczyły dłużej niż to konieczne do celów, dla których przetwarzane są dane osobowe („ograniczenie przechowywania”). link
Czechy 2019-02-28 582 EUR brak danych Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Węgry 2019-02-28 3.200 EUR Biuro burmistrza miasta Kecskemét Art. 5 (1a) RODO, Art. 6 RODO Grzywna została nałożona na biuro burmistrza miasta Kecskemét za niezgodne z prawem ujawnienie danych osobowych osoby, która poinformowała o nieprawidłowościach mających miejsce w nadzorownaej przez siebie organizacji. Osoba ta zgłosiła bezpośrednio do swojego pracodawcy skargę dotyczącą interesu publicznego. Po tym, jak organizacja dowiedziała się o skardze, poprosiła o szczegóły w celu zbadania sprawy, a samorząd lokalny przypadkowo ujawnił nazwisko skarżącego. NAIH (organ nadzorczy) w wyniku naruszenia nałożył grzywnę, za czynnik obciążający uznał zwolnienie tej osoby z pracy. link
Bułgaria 2019-02-26 27.100 EUR Dostawca usług telekomunikacyjnych Art. 6 RODO, Art. 5 (1a) RODO Wielokrotna rejestracja usług przedpłaconych bez wiedzy i zgody osoby, której dane dotyczą. Pracownicy operatorów telekomunikacyjnych wykorzystali dane osobowe i zarejestrowali skarżącego w przedpłaconej usłudze firmy. Osoba, której dane dotyczą, nie podpisała wniosku i nie wyraziła zgody na przetwarzanie jego danych osobowych w określonym celu. Nie miała również zastosowania inna podstawa prawna. Podpis wniosku i oryginalny wniosek skarżącego nie były identyczne. Wskazano także osobisty numer identyfikacyjny osoby, ale numer dowodu osobistego nie należał do skarżącego. link
Czechy 2019-02-26 776 EUR brak danych Art. 15 GDPR Osoba, której dane dotyczą zażadąła potwierdzenia, czy jej dane osobowe są przetwarzane, a jeśli tak, to czy w związku z tym, ma prawo dostępu do swoich danych osobowych na podstawie przepisów RODO. Skarżący, dwukrotnie (15 oraz 30 listopada 2018r.) kontaktował się z firmą, i zażądał informacji na temat przetwarzania jego danych osobowych, – w jaki sposób pozyskano jego nr telefonu i jak przetwarzane są jego dane osobowe. Organ nadzorczy nałożył grzywnę na firmę, która jako Administrator nie udzieliła odpowiedzi w przewidzianym w przepisach terminie. link
Bułgaria 2019-02-22 500 EUR Nieznany pracodawca Art 5 (1b i 1c) RODO, Art. 12 RODO, Art. 15 (1) RODO, Art. 15 (1) a), b), c), g) RODO, Art. 15 (3) RODO Pracownik wysłał do swojego pracodawcy wniosek o dostęp do swoich danych osobowych. Żądanie nie zostało odebrane w odpowiednim czasie. link
Węgry 2019-02-20 1.560 EUR Firma windykacyjna Art. 5 (1a i 1c) RODO – zasady przejrzystości i minimalizacji danych Osoba, której dane dotyczą, zażądała informacji na temat przetwarzanych danych i ich usunięcia. Firma windykacyjna odmówiła spełnienie tego żądania powołując sie na brak możliwości zidentyfikowania podmiotu. W celach identyfikacyjnych zażądano miejsca urodzenia, nazwiska panieńskiego matki i dalszych danych od osoby, której dane dotyczyły. Po tym, jak Administratorowi udało się zidentyfikować tę osobę, firma odmówiła zastosowania się do żądania usunięcia, twierdząc, że jest prawnie zobowiązana do przechowywania kopii zapasowych zgodnie z ustawą o rachunkowości i zasadami wewnętrznymi. Ponieważ nie poinformowano prawidłowo o tych zasadach, NAIH (organ nadzorczy) uznał, że firma naruszyła zasadę przejrzystości. Grzywna stanowi 0,0025% rocznego zysku Administratora. link
Malta   5.000 EUR Urząd Ziemski Art. 5 RODO, Art. 32 RODO W wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Urzędu Ziemskiego, ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla społeczeństwa za pomocą prostego wyszukiwania google. Większość ujawnionych danych zawierała bardzo poufne informacje i korespondencję między jednostkami a samym Urzędem. Urząd Ziemski przyjął karę. Na Malcie, w przypadku naruszenia przez organ lub organ publiczny, Komisarz ds. Ochrony Danych może nałożyć karę administracyjną w wysokości do 25 000 EUR za każde naruszenie i może dodatkowo nałożyć karę dzienną w wysokości 25 EUR za każdy dzień, w którym takie naruszenie utrzymuje się. link
Węgry 2019-02-09 1.560 EUR Bank Art. 5 (1d) RODO – zasada prawidłowości Bank omyłkowo wysłał wiadomości SMS o zadłużeniu karty kredytowej podmiotu na numer telefonu innej osoby. Po otrzymaniu nieprawidłowego numeru telefonu od klienta w momencie zawierania umowy bank nie zastosował się do żądania osoby, której dane dotyczą, aby usunąć dane i kontynuował wysyłanie wiadomości SMS na nieprawidłowy numer telefonu. Grzywna stanowi 0,0016% rocznego zysku banku. link
Niemcy 2019-02-05 2.500 EUR Osoba fizyczna Art. 6 RODO, Art. 5 RODO Grzywna została nałożona na osobę prywatną, która w okresoie od lipca do września 2018 r., wysłała kilkanaście e-maili, w których użyła osobistych adresów e-mail widocznych dla wszystkich odbiorców, z których każdy odbiorca mógł przeczytać niezliczoną liczbę innych odbiorców. Mężczyzna został oskarżony o dziesięć przestępstw między połową lipca a końcem lipca 2018 r. Zgodnie z pismem organu na jego liście adresatów można było znaleźć od 131 do 153 osobistych adresów poczty elektronicznej. link
Czechy 2019-02-04 1.165 EUR Firma wynajmująca samochody Art. 5 (1a) RODO Osoba, która wynajęła samochód, dowiedziała się, że wynajęty samochód był śledzony przez GPS, chociaż nie podano żadnych informacji na temat tego, że samochód jest wyposażony w urządzenie śledzące. Czeski Urząd Ochrony Danych stwierdził, że nie podano żadnych informacji w rozumieniu art. 13 RODO i że art. 6 (1f) RODO nie może być podstawą prawną w konkretnych okolicznościach. W związku z tym Organ stwierdził naruszenie art. 5 (1a) RODO, za który nałożył grzywnę. link
Czechy 2019-02-04 1.165 EUR Pośrednik kredytowy Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Francja 2019-01-21
50.000.000 EUR
Google Inc. Art. 13 RODO, Art. 14 RODO, Art. 6 RODO, Art. 4 nr. 11 RODO, Art. 5 RODO Grzywnę nałożono na podstawie skarg austriackiej organizacji „None Of Your Business” i francuskiej organizacji pozarządowej „La Quadrature du Net”. Skargi zostały złożone w dniach 25 i 28 maja 2018 r. – natychmiast po rozpoczęciu stosowania przepisów RODO. Skargi dotyczyły utworzenia konta Google podczas konfiguracji telefonu komórkowego za pomocą systemu operacyjnego Android. CNIL (organ nadzorczy) nałożył grzywnę w wysokości 50 milionów euro z powodu braku przejrzystości (art. 5 RODO), niewystarczających informacj (art. 13/14 RODO) i braku podstawy prawnej (art. 6 RODO). Uzyskane zgody nie były „konkretne” ani „jednoznaczne” (art. 4 nr 11 RODO). link
Bułgaria 2019-01-17 500 EUR Bank Art.6 RODO, Art. 5 (1a) RODO Bank uzyskał dane osobowe dotyczące studenta bez podstawy prawnej. link
Czechy 2019-01-10 388 EUR Nieznany pracodawca Art.6 RODO Były pracownik firmy poprosił o usunięcie związanych z nim informacji, która zostały opublikowana na fanpage’u pracodawcy na Facebooku i która była dostępna jeszcze długo po zakończeniu stosunku pracy. Grzywna została nałożona, ponieważ pracodawca nie usunął informacji dotyczących byłego pracownika. link
Austria 2018-12-20 2.200 EUR Osoba fizyczna Art. 5 (1a i 1c RODO, Art. 6 (1) RODO, Art. 13 RODO Grzywnę nałożono na osobę prywatną, która korzystała z monitoringu wizyjnego w swoim domu. Nadzór wideo obejmował obszary przeznaczone do ogólnego użytku mieszkańców wielopartyjnego kompleksu mieszkalnego, a mianowicie: parkingi, chodniki, dziedziniec, ogród i obszary dostępu do kompleksu mieszkalnego; ponadto nadzór wideo obejmował ogródki przyległej nieruchomości. Nadzór wideo nie jest zatem ograniczony do obszarów, które podlegają wyłącznej kontroli tej osoby. Nadzór wideo nie jest zatem proporcjonalny do celu i nie ogranicza się do tego, co jest konieczne. Nadzór wideo rejestruje korytarz domu i filmuje mieszkańców wchodzących i wychodzących z okolicznych apartamentów, tym samym naruszając ich osobistych przestrzeń życiową bez zgody na rejestrowanie obrazu. Nadzór wideo nie został prawidłowo określony. link
Węgry 2018-12-18 3.200 EUR brak danych Art. 12 (4) RODO, Art. 15 RODO, Art. 18 (1c) RODO, Art. 13 RODO Grzywna została nałożona za (1) nieudzielenie podmiotowi danych nagrań z monitoringu wizyjnego; (2) niezatrzymywanie nagrań do dalszego wykorzystania przez osobę, której dane dotyczą, oraz (3) niepoinformowanie osoby, której dane dotyczą, o prawie do złożenia skargi do organu nadzorczego. link
Niemcy 2018-12-17 5.000 EUR Kolibri Image Regina und Dirk Maass GbR Art. 28 (3) RODO Uwaga: zgodnie z informacjami grzywna została w międzyczasie wycofana. Kolibri Image wysłał prośbę do organu nadzorczego w Hesji z pytaniem, jak postępować z usługodawcą, który nie chce podpisać umowy o przetwarzanie. Kolibri nie otrzymał dostatecznej odpowiedzi i sprawę przekazał właściwemu lokalnie organowi ochrony danych w Hamburgu. Organ ukarał Kolibri Image jako Administratora za brak umowy o powierzeniu przetwarzania z usługodawcą. Kolibri Image oświadczył, że zakwestionuje decyzję przed sądem, ponieważ jest zdania, że usługodawca nie działa jako podmiot przetwarzający. link
Austria 2018-12-09 4.800 EUR Punkt przyjmowania zakładów bukmacherskich Art. 13 RODO Monitoring wizyjny nie został dostatecznie oznaczony, a ponadto nadzór wideo obejmował dużą część chodnika wokół obiektu. Nadzór nad przestrzenią publiczną w ten sposób, tj. na tzw. dużą skalę, przez osoby prywatne nie jest dozwolony. link
Niemcy 2018-11-21 20.000 EUR Knuddels.de Art. 32 (1a) RODO Po ataku hakerów w lipcu, ujawnione zostały dane osobowe ok. 330 000 użytkowników, w tym hasła i ich adresy e-mail. link
Czechy 2018-10-25 388 EUR nie ujawniono Art. 15 RODO Udowodniono, że stowarzyszenie zwlekało z realizacją żądania usunięcia danych osobowych, osoby której dane dotyczą, a także nie dostarczono wymaganych informacji na żądanie dotyczące przetwarzania danych osobowych strony. link
Portugalia 2018-07-17 400.000 EUR Szpital Art. 5 (1f) RODO, Art. 32 RODO Dochodzenie wykazało, że personel szpitala, psycholodzy, dietetycy i inni specjaliści mieli dostęp do danych pacjentów za pomocą fałszywych profili. System zarządzania profilami okazał się niewystarczający – szpital miał 985 zarejestrowanych profili lekarzy, a jedynie 296 lekarzy. Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od specjalizacji lekarza. link
Bułgaria 2018-12-04 500 EUR Bank Art. 5 (1b) RODO, Art. 6 RODO Grzywna została nałożona na bank za wezwanie klienta za niezapłacone rachunki sąsiada. To sprowokowało klienta do skorzystania z jego prawa do bycia zapomnianym. Po nieotrzymaniu odpowiedzi od banku złożył kolejny wniosek, w którym bank podjął działania w ustawowym terminie. Niemniej jednak klient złożył skargę do KZLD (organu nadzorczego). Naruszenie, za które bank został ukarany, dotyczyło przetwarzania danych osobowych klienta niepowiązanych z umową o kredyt konsumencki. Ponieważ cel przetwarzania danych był inny niż cel przekazany w momencie zawarcia umowy, bank z punktu widzenia KZLD powinien posiadać dodatkową zgodę od swojego klienta. link
Cypr 2019 5.000 EUR Szpital publiczny Art. 15 RODO Pacjent złożył skargę do organu nadzorczego, że wniosek o dostęp do jej akt medycznych nie został spełniony przez szpital, ponieważ Administrator nie może zidentyfikować / zlokalizować dokumentacji. link
Cypr 2019 10.000 EUR Wydawca gazety Art. 6 RODO Publikacja gazety w wersji papierowej i elektronicznej wiązała się rzekomo z niedogodnościami, niepotrzebnym i bezprawnym przetrzymywaniem obywatela oraz ujawniła nazwiska i zdjęcia trzech zaangażowanych śledczych policji. Komisarz uznał, że cel można osiągnąć, odwołując się jedynie do inicjałów ich nazwisk i / lub ich twarzy rozmazanych i / lub publikując fotografie narysowane z daleka, aby niemożliwe było zidentyfikowanie osób, a działania te nie miały by wpływu na przebieg sprawy. link
Dania 2019 160.000 EUR Taxa 4×35 (Taxi company) Art. 5(1e) RODO Duński organ ochrony danych poinformował policję o firmie taksówkarskiej i zalecił karę grzywny (w wysokości 1,2 mln DKK) za nieprzestrzeganie zasady minimalizacji danych. Firma usunęła tylko nazwiska swoich pasażerów ze wszystkich zapisów, ale pozostałych informacje o przejazdach (około 8 873 333 przejazdów taksówką). W związku z tym firma nadal utrzymywała indywidualne numery telefonów. Uwaga: Ponieważ prawo duńskie nie przewiduje kar administracyjnych, jak ujęte zostało to w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd. link
Hiszpania 2019 60.000 EUR Endesa Art. 5(1f) RODO brak danych link
Austria 2018 1.800 EUR Restauracja brak danych Monitoring wizyjny został wykorzystany niezgodnie z prawem. link
Austria 2018 brak danych Restauracja brak danych Monitoring wizyjny został wykorzystany niezgodnie z prawem. link
Austria 2018-09-27 300 EUR Właściciel samochodu osobowego brak danych Rejestrator jazdy został wykorzystany niezgodnie z prawem. . link
Niemcy 2018 20.000 EUR brak danych Art. 83 (4a) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO Późne powiadomienie o naruszeniu danych i niepowiadomienie osób, których dane dotyczą. link (strona 134)
Niemcy 2018 118 EUR brak danych Art. 6 RODO Nielegalne ujawnianie danych osobowych osób trzecich. link
Niemcy 2019-03 50.000 EUR Mobilny Bank N26 Art. 6 RODO Grzywna została nałożona przeciwko bankowi (zgodnie z gazetą N26), który przetwarzał „dane osobowe wszystkich byłych klientów” bez zezwolenia. Bank potwierdził, że zachował dane dotyczące byłych klientów w celu utrzymania czarnej listy, rodzaj pliku ostrzeżenia, aby nie udostępnić nowego konta tym osobom. Bank początkowo uzasadniał to stwierdzeniem, że zgodnie z niemiecką ustawą bankową był zobowiązany do podjęcia środków bezpieczeństwa wobec klientów podejrzanych o pranie pieniędzy. Berliński organ nadzorczy uznał to za nielegalne. Władze twierdzą, że w celu uniemożliwienia otwarcia nowego rachunku bankowego, do pliku porównawczego, mogą być wpisane osoby, które rzeczywiście są podejrzane o pranie pieniędzy lub dla których istnieją inne ważne powody odmowy przyjęcia nowego rachunku bankowego. Władze poinformowały gazetę, że grzywna wszczęta przeciwko bankowi „nie została jeszcze prawomocnie zawarta”. link (strona 131)
Hiszpania 2018 5.000 EUR Vodafone Espana S.A.U. Art. 5 (1d) RODO Hiszpańska agencja telekomunikacyjna i informacyjna (SETSI) zdecydowała, że Vodafone musi zwrócić klientowi koszty, za które został niesłusznie obciążony. Niemniej jednak Vodafone zgłosił dane osobowe tego odpowiedniego klienta do rejestru wypłacalności (BADEXCUG). AEPD (organ nadzorczy) stwierdził, że takie zachowanie narusza zasadę dokładności. link
Niemcy 2018 500 EUR brak danych brak danych brak danych link
Hiszpania 2019-06-11 250.000 EUR Profesjonalna Liga Piłkarska (LaLiga) Art. 5 (1a), 7 (3) RODO Krajowa liga piłkarska (LaLiga) została ukarana grzywną za oferowanie aplikacji, która raz na minutę korzystała z mikrofonu telefonów komórkowych użytkowników w celu wykrywania pubów transmitujących mecze piłkarskie bez uiszczania opłaty. Zdaniem AEPD (organu nadzorczego) LaLiga nie poinformowała użytkowników aplikacji o tej praktyce. Ponadto aplikacja nie spełniała wymagań dotyczących cofnięcia zgody. link
Hiszpania   60.000 EUR Agencja Windykacyjna (Gestion De Cobros, Yo Cobro SL) Art. 5 (1f) RODO Po tym, jak powód nie spłacił mikrokredytu dla agenta kredytowego online, roszczenie zostało przekazane agencji windykacyjnej. Agencja wysyłała wiadomości e-mail nie tylko na adresy e-mail podane przez powoda, ale także na ogólny adres e-mail jego miejsca pracy, dostępny dla każdego współpracownika, a który nigdy nie został podany przez powoda. link
Hiszpania   27.000 EUR Vodafone Espana S.A.U. Art. 5 (1d) RODO Chociaż skarżący (były klient Vodafone) zwrócił się do Vodafone o usunięcie jego danych w 2015 r. i prośba ta została potwierdzona przez firmę, od 2018 r. otrzymał ponad 200 SMS-ów od Vodafone. Po oświadczeniu Vodafone stało się tak, ponieważ numer telefonu komórkowego skarżącego został błędnie wykorzystany do celów testowych i przypadkowo pojawił się w różnych plikach należących do innych klientów niż skarżący. Ponieważ firma zgodziła się zarówno na zapłatę, jak i przyjęcie odpowiedzialności, grzywna została obniżona zgodnie z hiszpańskim prawem administracyjnym do 27 000 EUR. link

Źródło: GDPR enforcementtracker.com