Kary finansowe RODO stały się faktem. Urzędy zajmujące się ochroną danych osobowych w Unii Europejskiej coraz częściej egzekwują naruszenia przepisów RODO.  Warto zapoznać się z powodami, przez które firmy zostały ukarane i rozważyć, czy nasza organizacja jest dobrze przygotowana. Błędna interpretacja przepisów może sporo kosztować, dlatego lepiej upewnić się, czy wszystkie operacje na danych osobowych przebiegają właściwie.

Ostatnia aktualizacja: 20.11.2020 r.

Kraj Data Wysokość kary (w euro) Ukarany podmiot Podstawa prawna Podsumowanie Decyzja
Niemcy 2020-11-11 900.000 EUR Dostawca usług telekomunikacyjnych (1 & 1 Telecom GmbH) Art. 32 RODO The Controller to firma oferująca usługi telekomunikacyjne. Osoba dzwoniąca może uzyskać obszerne informacje na temat danych osobowych klienta z działu obsługi klienta firmy, po prostu wprowadzając imię i nazwisko klienta oraz datę urodzenia. W tej procedurze uwierzytelniania BfDI grozi naruszeniem art.32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych nałożona kara znalazła się na dolnym końcu skali. – Aktualizacja: 11 listopada 2020 r., Po odwołaniu się od grzywny, Sąd Okręgowy w Bonn uznał, że chociaż grzywna jest co do zasady uzasadniona, to jest ona nieuzasadniona. W związku z tym izba obniżyła grzywnę z pierwotnie 9,55 mln EUR do 900 000 EUR. Jednym z powodów redukcji był fakt, że procedura firmy dotycząca uwierzytelniania klientów wykorzystywana przez jej infolinię telefoniczną (wymagająca jedynie imienia i nazwiska oraz daty urodzenia osoby dzwoniącej) pozostawała przez długi czas niezakłócona, w związku z czym firmie brakowało konkretnej świadomości problem, który prowadzi do tego, że konkretną winę w tym przypadku należało sklasyfikować jako raczej niską. Ponadto, według sądu, naruszenie było również niewielkie, ponieważ nie mogło doprowadzić do masowego wycieku danych. link
Hiszpania 2020-11-05 75.000 EUR Telefonica Moviles Espana, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Firma wystawiła osobie, której dane dotyczą, kilka faktur i zebrała kwoty faktur z jego konta bankowego, mimo że nie był on klientem firmy. Skargi osoby, której dane dotyczą, na firmę pozostały bezskuteczne. link
Hiszpania 2020-11-03 30.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Vodafone zażądało spłaty długu od niewłaściwej osoby z powodu błędów w prawidłowym przypisywaniu umów z klientami. Kara została nałożona z powodu przetwarzania danych osobowych bez wystarczającej podstawy prawnej. link
Wielka Brytania 2020-10-30 20.450.000 EUR Marriott International, Inc Art. 32 RODO ICO wydało zawiadomienie o zamiarze ukarania Marriott International Inc w związku z incydentem cybernetycznym, który został zgłoszony ICO przez Marriott w listopadzie 2018 r. Różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie zostały ujawnione przez incydent, z czego około 30 mln dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). Siedem milionów związanych z mieszkańcami Wielkiej Brytanii. Uważa się, że luka zaczęła się, gdy systemy grupy hoteli Starwood zostały naruszone w 2014 roku. Następnie Marriott przejął Starwood w 2016 roku, ale ujawnienie informacji o klientach zostało odkryte dopiero w 2018 roku. Dochodzenie ICO wykazało, że Marriott nie przeprowadził wystarczającej analizy due diligence. kiedy kupił Starwood i powinien był zrobić więcej, aby zabezpieczyć swoje systemy. -> Aktualizacja: 30.10.2020 ICO ogłosiło ostateczną decyzję o nałożeniu grzywny w wysokości 18,4 miliona funtów (około 20,4 miliona euro) na Marriott International Inc. W swojej decyzji ICO przedstawiła swoje rozważania do obliczenia grzywny, która obejmowała brak wcześniejszych naruszeń lub zaniechań przez Marriott oraz fakt, że Marriott w pełni współpracował w dochodzeniu i podjął kroki w celu powiadomienia zainteresowanych osób. Ponadto ICO zauważyła, że ​​dostosowała się również do innych kar nałożonych już na inne przedsiębiorstwa – w szczególności także na inne europejskie organy ochrony danych. link
Hiszpania 2020-10-28 36.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej z powodu błędów w prawidłowym przypisaniu umów z klientami link
Hiszpania 2020-10-28 4.000 EUR Play Orenes, S.L. Art. 5 (1) c) RODO Firma wykorzystywała kamery CCTV poza swoją siedzibą. Monitoring uchwycił także przestrzeń publiczną, co naruszyło zasadę minimalizacji danych. link
Włochy 2020-10-26 20.000 EUR Università Campus Bio-medico di Roma (Polyclinic) Art. 5 (2) a), f) RODO, Art. 9 RODO W przypadku zgłoszenia naruszenia danych zgodnie z art. 33 RODO, organ ochrony danych stwierdził, że pacjenci uzyskujący dostęp do swoich raportów medycznych online za pośrednictwem smartfonów mogą również uzyskać dostęp do danych dotyczących zdrowia 74 innych pacjentów. Jak podaje poliklinika, powodem tego był błąd człowieka w integracji dwóch systemów informatycznych. link
Węgry 2020-10-23 54.800 EUR Deichmann Cipőkereskedelmi Korlátolt Felelősségű Társaságnak Art. 12 RODO, Art. 15 RODO, Art. 18 (1) c) RODO, Art. 25 RODO Administrator danych odmówił osobie, której dane dotyczą, dostępu do materiału wideo nagranego przez CCTV w lokalnym sklepie, za pomocą którego osoba, której dane dotyczą, chciała udowodnić, że nie otrzymała zwrotu pieniędzy po dokonaniu płatności w sklepie. Spółka nie tylko odmówiła osobie, której dane dotyczą, dostępu do danych zgodnie z art. 15 RODO (z argumentem, że wymagałoby to oficjalnego nakazu), ale również usunęła nagrania wideo po pewnym czasie, chociaż osoba, której dane dotyczą, zażądała od firmy, aby nie usuwała danych z wyprzedzeniem zgodnie z art. 18 ust.1 lit.c) RODO. link
Cypr 2020-10-22 6.000 EUR Policja cypryjska Art. 32 RODO Policjant miał nieuprawniony dostęp do bazy danych zawierającej dane osobowe właścicieli pojazdów i wykorzystywał tę bazę do celów nieoficjalnych – przekazywał informacje z bazy danych osobom trzecim. W tym względzie środki organizacyjne i techniczne podjęte przez policję w celu zapobieżenia nieuprawnionemu dostępowi do bazy danych były niewystarczające, aby zapobiec nieuprawnionemu ujawnieniu danych osobowych osobom trzecim. link
Hiszpania 2020-10-09 2.000 EUR Osoba prywatna Art. 5 (1) c) RODO, Art. 6 RODO Wykorzystanie kamery CCTV, która rejestrowała przestrzeń prywatną sąsiada. link
Hiszpania 2020-10-09 5.000 EUR Caja Rural San José de Nules S. Cooperativa de Crédito Art. 5 (1) f) RODO Firma opublikowała informacje z imionami i nazwiskami swoich pracowników, co doprowadziło do ujawnienia sytuacji finansowej osoby, której dane dotyczą link
Hiszpania 2020-10-06 4.000 EUR Callesgarcia, S.L. Art. 5 RODO, Art. 6 RODO Wykorzystanie zdjęcia osób, których dane dotyczą, do celów komercyjnych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-10-03 3.000 EUR Avata Hispania, S.L. Art. 5 RODO, Art. 6 RODO, Art. 28 (3) g) RODO Dane osobowe były przetwarzane po rozwiązaniu stosunku umownego przez administratora z przetwarzającym, co naruszyło art. 28 ust. 3 lit. g) RODO. link
Hiszpania 2020-09-22 7.800 EUR Iweb Internet Learning, S.L. Art. 7 RODO, Art. 12 RODO, Art. 13 RODO Brak informacji w polityce prywatności (informacje o administratorze danych) oraz niedostateczne uzyskanie zgody, gdyż można było wyrazić jedynie zgodę ogólną bez rozróżnienia pomiędzy różnymi celami przetwarzania danych. link
Hiszpania 2020-08-05 3.000 EUR Restauracja Art. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODO Kamety CCTV monitorowały również przestrzeń publiczną bez spełnienia obowiązku informacyjnego. link
Polska 2020-06-03 1.168 EUR Przedsiębiorca prowadzący niepubliczne żłobek i przedszkole Art. 31 RODO, Art. 58 RODO Kara za brak odpowiedzi na wnioski urzędu ochrony danych o dalsze informacje w odpowiednim czasie po naruszeniu danych. link
Litwa 2020-10-21 15.000 EUR Zarząd Miasta Wilna Art. 5 (1) d) RODO, Art. 5 (1) f) RODO Podczas synchronizacji danych Systemu Ewidencji Ludności Urzędu Miasta z bazami Państwowego Ośrodka Ewidencji Działalności Gospodarczej, dane osobowe osoby ubiegającej się o wychowanie dziecka przysposobionego zostały zastąpione z powodu błędu danymi osobowymi biologicznych rodziców, które następnie były dostępne w ewidencji ludności Republiki Litewskiej. Stanowiło to naruszenie zasad integralności i poufności przetwarzania danych osobowych (art. 5 ust. 1 lit. f) RODO) oraz naruszenie zasady prawidłowości. link
Cypr 2020-10-19 1.000 EUR Grant Ideas Ltd Art. 5 RODO, Art. 6 RODO Wysyłanie e-maili do osób, których dane dotyczą, bez wystarczającej podstawy prawnej. link
Cypr 2020-10-19 15.000 EUR Bank of Cyprus Public Company Ltd Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 15 RODO, Art. 32 RODO, Art. 33 RODO Osoba, której dane dotyczą, złożyła wniosek o dostęp do informacji zgodnie z art. 15 RODO, na które nie można było odpowiedzieć, ponieważ nie można było znaleźć umowy ubezpieczenia osoby. Stanowiło to naruszenie praw osoby, której dane dotyczą, na podstawie art. 15 RODO oraz naruszenie obowiązku ochrony danych osobowych zgodnie z art. 5 (1) f) RODO i art. 32 RODO. Ponadto, obowiązek powiadomienia o naruszeniu danych zgodnie z art. 33 f. RODO również zostały naruszone, ponieważ osoba, której dane dotyczą, nie została poinformowana o zdarzeniu bezpieczeństwa w odpowiednim czasie. link
Węgry 2020-07-23 1.700 EUR Pracodawca Art. 12 RODO, Art. 15 RODO, Art. 17 RODO Brak zmiany prywatnego adresu zamieszkania pracownika na jego nowy adres, a take nieusunięcie starego adresu oraz utrudnianie pracownikowi moliwości realizacji jego prac link
Węgry 2020-07-16 28 EUR Google Ireland Ltd. Art. 12 RODO, Art. 15 RODO Brak odpowiedzi na żądanie osoby, której dane dotyczą, o dostęp do informacji (art. 15 RODO – tutaj: o danych przetwarzanych w kontekście Google AdWords) w odpowiednim terminie. link
Hiszpania 2020-10-09 900 EUR Café Restaurante B.B.B Art. 5 (1) c) RODO W kawiarni zastosowano kamery CCTV, które uchwyciły również przestrzeń publiczną na zewnątrz, naruszając tzw. zasadę minimalizacji danych. link
Hiszpania 2020-10-09 50.000 EUR Centro de Investigación y Estudio para la Obesidad, SL Art. 5 RODO, Art. 6 RODO Kary za przekazanie danych osobowych do Evo Finance EFC, SA w trakcie rozpatrywania wniosku o ubezpieczenie zdrowotne, bez wystarczającej podstawy prawnej do przeniesienia danych, ponieważ przedmiotowe leczenie nigdy nie zostało przeprowadzone. link
Hiszpania 2020-10-06 60.000 EUR Lycamobile Art. 5 RODO, Art. 6 RODO Kara za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej z powodu błędnych informacji o posiadaczach przedpłaconych kart telefonicznych (niezgodność między zarejestrowanymi właścicielami w rejestrze handlowym firmy a faktycznymi właścicielami kart). link
Niemcy 2020-10-01 35.258.708 EUR H&M Hennes & Mauritz Online Shop A.B. & Co. KG Art. 5 RODO, Art. 6 RODO Firma modowa z siedzibą w Hamburgu prowadzi centrum usługowe w Norymberdze. Tutaj, zgodnie z ustaleniami Inspektora Ochrony Danych z Hamburga, od co najmniej 2014 roku w sposób wyczerpujący rejestrowane są okoliczności życia prywatnego niektórych pracowników, a informacje te są przechowywane na dysku sieciowym. Na przykład firma przeprowadziła „Welcome Back Talk” po powrocie pracowników do pracy po urlopie lub chorobie. Informacje, które stały się znane w tym kontekście – w tym informacje o objawach choroby i diagnozach pracowników – były rejestrowane i przechowywane. Ponadto, według organu ochrony danych w Hamburgu, niektórzy nadzorcy używali również „Flurfunk” [co oznacza, że ​​można usłyszeć coś pocztą pantoflową], aby zdobyć szeroką wiedzę na temat poszczególnych pracowników, na przykład na temat problemów rodzinnych i przekonań religijnych. Informacje zapisane na dysku sieciowym były dostępne nawet dla 50 menadżerów firmy i służyły między innymi do oceny wydajności pracy pracowników i podejmowania decyzji o zatrudnieniu. Zbieranie danych stało się znane z powodu błędu konfiguracji technicznej w październiku 2019 r., zgodnie z którym dane przechowywane na dysku sieciowym były dostępne w całej firmie przez kilka godzin. Po ujawnieniu naruszenia kierownictwo przeprosiło pracowników i zaproponowało odszkodowanie pieniężne. Ponadto wraz z organem ochrony danych wprowadzono również dalsze środki ochronne. [Uwaga: Konkretna podstawa prawna kary nie została jeszcze opublikowana – zakładamy, że będzie to głównie art. 5 i 6 RODO] link
Rumunia 2020-10-01 3.000 EUR Megareduceri TV S.R.L. Art. 31 RODO, Art. 58 RODO Kara za niezastosowanie się do polecenia urzędu ochrony danych. link
Rumunia 2020-10-01 2.000 EUR Asociația de proprietari Militari R Art. 31 RODO, Art. 58 RODO Kara za niezastosowanie się do polecenia urzędu ochrony danych. link
Włochy 2020-09-30 80.000 EUR Azienda Ospedaliera di Rilievo Nazionale ‚Antonio Cardarelli’ (Private Hospital) Art. 5 (1) a) RODO, Art. 6 RODO, Art. 13 RODO, Art. 28 RODO, Art. 32 RODO Według organu ochrony danych dane osobowe uczestników konkursu publicznego zostały ujawnione w internecie bezprawnie. Powodem tego był fakt, że na skutek błędu konfiguracji lista kodów przydzielonych kandydatom była tymczasowo dostępna na platformie, co umożliwiało dostęp do dokumentów przesłanych przez kandydatów z ich danymi osobowymi. Było to naruszenie zasady ochrony bezpieczeństwa informacji. Ponadto organ ochrony danych stwierdził, że obowiązki informacyjne również nie zostały spełnione, a szpital nie przedstawił wystarczającej umowy o przetwarzanie danych z podmiotem przetwarzającym dane. link
Włochy 2020-09-30 60.000 EUR Scanshare s.r.l. Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 32 RODO Według organu ochrony danych dane osobowe uczestników konkursu publicznego zostały ujawnione w internecie bezprawnie. Powodem tego był fakt, że w wyniku błędu konfiguracji na platformie była chwilowo dostępna lista kodów przydzielonych kandydatom, co umożliwiało dostęp do dokumentów przesłanych przez kandydatów z ich danymi osobowymi. Było to naruszenie zasady ochrony bezpieczeństwa informacji, za które Scanshare – który był podmiotem przetwarzającym dane w imieniu administratora danych „Azienda Ospedaliera di Rilievo Nazionale ‚Antonio Cardarelli’” (prywatny szpital) – został ukarany grzywną w euro 60.000. link
Hiszpania 2020-09-30 3.000 EUR Venu Sanz Chef, S.L. Art. 5 RODO, Art. 6 RODO Wykorzystywanie danych osobowych do celów reklamowych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-25 60.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 6 RODO Brak usunięcia danych osobowych w momencie rozwiązania umowy o świadczenie usług telefonicznych i wysłanie ostrzeżenia do osoby, której dane dotyczą. Przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. link
Norwegia 2020-09-25 13.900 EUR Odin Flissenter AS Art. 5 RODO, Art. 6 RODO Firma dokonała oceny wiarygodności innej firmy i tym samym przetwarzała dane osobowe dotyczące osoby fizycznej (właściciela ocenianej firmy) bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-22 60.000 EUR GLP Instalaciones 86, SL Art. 5 RODO, Art. 6 RODO W celu uzyskania pomocy przy instalacji systemu klimatyzacji osoba, której dane dotyczą, skontaktowała się z Naturgy Energy Group S.A. Następnie skontaktowały się z nią dwie różne firmy, z których jedną była GLP Instalaciones 86, która udawała pracowników Naturgy. Naturgy zaprzeczył i stwierdził, że firmy nie są ani autoryzowanymi instalatorami, ani pracownikami Naturgy, co skutkuje przetwarzaniem danych osobowych osoby, której dane dotyczą, w tym jej imienia, nazwiska, numeru telefonu, danych bankowych i adresu e-mail bez podstawy prawnej. link
Belgia 2020-09-07 5.000 EUR Były burmistrz gminy Art. 5 RODO, Art. 6 RODO Kara została nałożona z powodu wysyłki ogłoszeń wyboryczych do obywateli bez wystarczającej podstawy prawnej przetwarzania danych osobowych. link
Grecja 2020-09-11 8.000 EUR Osoba prywatna Art. 5 RODO Administrator korzystał z kamery CCTV monitorującą również przestrzeń publiczną.
Grecja 2020-08-03 3.000 EUR Kandydat do wyborów parlamentarnych Art. 15 RODO Kara została nałożona za brak odpowiedzi na wniosek osoby, której dane dotyczą (art.15). Osoba, której dane dotyczą, otrzymywała telefony w sprawie kandydowania w wyborach parlamentarnych.
Węgry 2020-07-23 560 EUR Forbes Hungary Art. 5 RODO, Art. 6 RODO Grzywna nałożona na Forbes Węgry za opublikowanie listy 50 najbogatszych Węgrów oraz listy największych firm rodzinnych bez przeprowadzenia dostatecznego ważenia interesów (art. 6 ust. 1 lit. f) RODO). link
Włochy 2020-09-07 2.000 EUR Istituto Comprensivo Statale Crucoli Torretta Art. 5 (1) f) RODO, Art. 32 RODO Publikacja danych osobowych uczniów na stronie internetowej Instytutu (zawierające m. in. informacje o stanie zdrowia i postępach w nauce) z powodu awarii technicznej. link
Włochy 2020-01-30 4.000 EUR Comune di Colledara Art. 5 RODO, Art. 6 RODO Publikacja dokumentów dotyczących zamówienia publicznego z danymi osobowymi na stronie internetowej link
Włochy 2020-07-02 15.000 EUR Mapei S.p.A. Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO Firma nie odpowiedziała na żądanie dostępu do danych osobowych osoby, której dane dotyczą. Ponadto ukarana firma pozostawiła aktywne konto e-mail osoby zainteresowanej nawet po rozwiązaniu umowy. link
Polska 2020-09-08 11.200 EUR Szkoła Główna Gospodarstwa Wiejskiego w Warszawie Art. 32 RODO Kradzież prywatnego laptopa uczelni, który również korzystał z tego urządzenia w celach służbowych i na którym znajdowały się dane osobowe kandydatów na studia w SGGW do działań rekrutacyjnych. link
Polska 2020-08-31 22.700 EUR Geodeta Generalny Polski („GKK”) Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej. link
Rumunia 2020-09-08 2.000 EUR Sanatatea Press Group S.R.L. Art. 5 (1) f) RODO, Art. 32 RODO Przesyłanie danych osobowych zebranych w celu rejestracji na kurs online innym uczestnikom z powodu awarii technicznej. link
Rumunia 2020-09-01 500 EUR Stowarzyszenie właścicieli budynków mieszkalnych Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODO Eksport nieruchomego obrazu z systemu monitoringu wideo i umieszczenie go na billboardzie budynku bez wystarczającej podstawy prawnej. Ponadto naruszenie obowiązków informacyjnych wynikających z art. 12, 13 RODO i naruszenie art. 25 i 32 RODO, ponieważ nie podano wystarczających informacji na temat kamery przemysłowej oraz nie podjęto wystarczających technicznych i organizacyjnych środków bezpieczeństwa w celu ochrony danych osobowych gromadzonych przez system monitoringu wizyjnego. link
Hiszpania 2020-09-17 60.000 EUR Vodafone España, SAU Art. 5 RODO, Art. 6 RODO Były klient otrzymywał e-maile zawierające rachunki elektroniczne nawet po rozwiązaniu umowy z firmą, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. link
Hiszpania 2020-09-17 3.000 EUR Grupo Carolizan Art. 5 RODO Obsługa systemów kamer CCTV w strefie arkadowej przed budynkiem, czyli obejmująca również przestrzeń publiczną. Naruszyło to zasady minimalizacji danych, ponieważ kamery monitoringu mogły być obsługiwane w sposób, który nie wpływałby na przestrzeń publiczną. link
Hiszpania 2020-09-16 10.000 EUR Property owners community Art. 5 RODO Publikacja dokumentu zawierającego dane osobowe (informacje o tożsamości osoby, której dane dotyczą, a także o zadłużeniu) na tablicy ogłoszeń społecznościowych. link
Hiszpania 2020-09-11 1.500 EUR Political Party Art. 5 RODO, Art. 6 RODO Wysłanie e-maila do byłego członka partii, który złożył rezygnację, z wnioskiem o pełnienie funkcji pełnomocnika w wyborach bez wystarczającej podstawy prawnej do przetwarzania danych osobowych w tym celu link
Hiszpania 2020-09-07 3.000 EUR Barcelona Airport Security Guard Association (‚AVSAB’) Art. 5 (1) f) RODO Członek komitetu bezpieczeństwa AVSAB używał WhatsApp do wysyłania wiadomości na prywatne numery telefonów zawierających dane osobowe pracowników. Stanowiło to naruszenie zasady poufności, której według hiszspańskiego urzędu ochrony danych musi przestrzegać nie tylko administrator danych, ale także każdy inny podmiot zaangażowany na jakimkolwiek etapie przetwarzania. link
Hiszpania 2020-09-01 75.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Według organu nadzorczego spółka przetwarzała dane osobowe bez wystarczającej podstawy prawnej, w wyniku czego osoba, której dane dotyczą, otrzymała kilkaset niechcianych połączeń i wiadomości SMS. link
Hiszpania 2020-08-28 50.000 EUR Bankia S.A. Art. 5 (1) b) RODO Bank przez kilka lat przechował dane osobowe osoby, nie była już jego klientem. W tym czasie dane były również dostępne dla pracowników banku. Stanowiło to naruszenie zasady celowości. link
Hiszpania 2020-08-28 5.000 EUR Basketball Federation of Castilla and Leon Art. 5 RODO, Art. 6 RODO Związek Koszykówki przekazał dane osobowe stronom trzecim, które zostały następnie opublikowane w Internecie bez zgody osób, których dane dotyczą. Ponadto organ ochrony danych uznał, że Federacja Koszykówki ujawniła również gazecie dane osobowe, naruszając – dodatkowo – zasadę integralności i poufności (art. 5 ust. 1 lit. f) RODO). link
Hiszpania 2020-07-31 1.500 EUR Tour & People Max S.L. Art. 21 RODO Wysyłanie informacji marketingowych pomimo sprzeciwu osób, których dane dotyczą. Oprócz RODO uznano to również za naruszenie art. 48 ust. 1 lit. b) ustawy ogólnej 9/2014 (hiszpańskie prawo krajowe). link
Hiszpania 2020-08-17 5.000 EUR Partia Socjalistów Katalonii Art. 5 (1) b) RODO Osoba, której dane dotyczą złożyła skargę na Socjalistyczną Partię Katalonii, która wykorzystała, przekazane przez lekarza, dane osobowe do wysyłki listu z prośbą o poparcie polityczne. Dane zostały wykorzystane w innym celu i tym samym została naruszona zasada celowości. link
Estonia 2020-08-17 48 EUR Policjant Art. 5 RODO, Art. 6 RODO Kara została nałożona za wykorzystanie danych osobowych z policyjnej bazy danych na potrzeby prywatnych działań badawczych. link
Włochy 2020-08-10 10.000 EUR Cavauto S.R.L. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO Kara została nałożona za wykorzystanie dostępu do danych osobowych byłego pracownika (zawierających historię przeglądarki) na jego komputerze służbowym. link
Włochy 2020-08-10 10.000 EUR Społeczność Baronissi Art. 5 RODO, Art. 6 RODO Społeczność opublikowała na swojej stronie internetowej dane osobowe osób, których dane dotyczą, w tym imiona i nazwiska, daty urodzenia, miejsce urodzenia, miejsce zamieszkania itp. link
Hiszpania 2020-08-06 3.000 EUR GROW BEATS SL Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Spółka opublikowała na swojej stronie internetowej politykę plików cookies, która z jednej strony nie zawierała informacji o celu ich wykorzystywania, a z drugiej strony nie zawierała informacji o właściwościach zainstalowanych plików cookies oraz okresie ich aktywności w urządzeniu końcowym użytkownika końcowego. link
Włochy 2020-08-06 3.000 EUR GTL S.R.L. Art. 12 RODOR, Art. 15 RODO Brak pełnego dostępu do danych osobowych osoby, której dane dotyczą, zgodnie z art. 15 RODO. link
Hiszpania 2020-08-06 3.000 EUR Just Landed S.L. Art. 13 RODO Just Landed został ukarany grzywną w wysokości 3000 EUR za niewystarczające informacje o plikach cookie zgodnie z krajowymi przepisami o ochronie danych i jednocześnie ostrzeżony za niewystarczające wypełnienie obowiązków informacyjnych zgodnie z art. 13 RODO (polityka prywatności tylko w języku angielskim). link
Francja 2020-08-05 250.000 EUR Spartoo Art. 5 (1) RODO, Art. 13 RODO, Art. 14 RODO Na sprzedawcę internetowego Spartoo nałożono grzywnę w wysokości 250000 EUR. Firma, która ma swoją siedzibę we Francji, ale zaopatruje wiele krajów europejskich, w pełni rejestrowała wszystkie rozmowy telefoniczne z infolinią (w tym dane osobowe, takie jak adres i dane bankowe zamówień), a ponadto częściowo zapisywała dane bankowe niezaszyfrowane. Stanowi to między innymi naruszenie zasady minimalizacji danych. Ponadto organ nadzorczy stwierdził naruszenie obowiązków informacyjnych zgodnie z art. 13 RODO, ponieważ informacje dotyczące ochrony danych firmy były częściowo nieprawidłowe. link
Finlandia 2020-08-05 7.000 EUR Acc Consulting Varsinais-Suomi Art. 5 RODO, Art. 6 RODO Niezamówione marketingowe SMS-y bez uprzedniej zgody link
Hiszpania 05.08.2020 3.000 EUR Restauracja Art. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODO Instalacja kamer monitorujących CCTV monitorujących również przestrzeń publiczną bez odpowiedniej informacji. link
Austria 2020-08-05 100 EUR Bank Art. 5 RODO, Art. 6 RODO Pracownik banku sporządził kopię dowodu osobistego klienta, który chciał wymienić 100 euro w obcej walucie i uzasadnił to powołując się na ustawę o przeciwdziałaniu prania brudnych pieniędzy. Konieczność takiej weryfikacji dotyczy jednak kwot powyżej 1000 EUR. link
Włochy 2020-08-05 2.000 EUR Szkoła Art. 5 RODO, Art. 6 RODO Umieszczenie danych osobowych uczniów na publicznej tablicy ogłoszeń. link
Dania 2020-08-04 20.100 EUR PrivatBo A.M.B.A. Art. 5 RODO, Art. 32 RODO W ramach sprzedaży nieruchomości spółka dystrybuowała pendrive’y USB, które zawierały nie tylko dane nieosobowe dotyczące przedmiotowych nieruchomości, ale także dane osobowe innych osób, takie jak umowy najmu i inne dokumenty zawierające poufne dane osobowe. link
Hiszpania 2020-08-04 60.000 EUR Vodafone España, SAU Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała od Vodafone potwierdzenie przeniesienia numeru, którego ta ostatnia nigdy nie zleciła. link
Włochy 2020-08-04 15.000 EUR Mapei S.p.A. Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODO Firma pozostawiła aktywne konto e-mail osoby, której dane dotyczą, nawet po rozwiązaniu stosunku pracy i automatycznie przekazywała przychodzące wiadomości e-mail. Firma nie dostarczyła wystarczających informacji na ten temat. Ponadto firma nie reagowała na żądania dostępu i usunięcia. link
Włochy 2020-08-04 5.000 EUR National Institute for Social Security – Department of the Province of Brescia Art. 15 RODO Brak pełnego dostępu do danych dotyczących zdrowia osoby, której dane dotyczą, zgodnie z art. 15 RODO. link
Włochy 2020-08-04 1.000 EUR Supermarket Art. 5 RODO, Art. 6 RODO Operator supermarketu umieścił pismo o zwolnieniu kierownika personalnego na widocznej publicznie tablicy ogłoszeń supermarketu. link
Hiszpania 2020-07-31 45.000 EUR Vodafone España SAU Art. 5 RODO, Art. 6 RODO Bezprawne przetwarzanie numeru telefonu w celach marketingowych, pomimo skorzystania przez osobę, której dane dotyczą z prawa do usunięcia danych. link
Rumunia 2020-07-30 2.000 EUR SC Viva Credit IFN SA Art. 17 RODO Firma nie poinformowała osoby, której dane dotyczą, w ciągu jednego miesiąca (lub do trzech miesięcy, jeśli podano przyczynę opóźnienia) o środkach podjętych w związku z żądaniem usunięcia danych. link
Rumunia 2020-07-30 2.000 EUR Romanian Post National Company Art. 32 RODO Przetwarzanie danych osobowych, a mianowicie numerów telefonów i adresów e-mail 81 osób, których dane dotyczą, przez pocztę rumuńską jako administratora danych, przy braku odpowiednich środków technicznych i organizacyjnych, takich jak pseudonimizacja. link
Włochy 2020-07-30 2.000 EUR Społeczność Mandurii Art. 5 RODO, Art. 6 RODO Społeczność przekazała prasie dane osobowe pracownika społeczności bez wystarczającej podstawy prawnej. link
Włochy 2020-07-29 3.000 EUR Społeczność San Giorgio Jonico Art. 5 RODO, Art. 6 RODO Publikacja danych osobowych na stronie internetowej gminy w związku z postępowaniem sądowym. link
Włochy 2020-07-29 4.000 EUR Region Kampania Art. 5 RODO, Art. 6 RODO Publikacja tytułu egzekucyjnego w postępowaniu cywilnym na stronie internetowej Województwa. W dokumencie wymieniono nazwiska i miejsce zamieszkania oraz kwotę roszczenia. link
Belgia 2020-07-28 3.000 EUR Gminne Stowarzyszenie Polityczne Art. 5 RODO, Art. 6 RODO, Art. 14 RODO Lokalne stowarzyszenie polityczne rozesłało do mieszkańców gminy ogłoszenia wyborcze dotyczące wyborów samorządowych w 2018 r. W tym celu stowarzyszenie wykorzystało listę wyborczą z 2012 r. i porównało ją z listą z 2018 r., Bez wystarczającej podstawy prawnej i bez odpowiednich informacje zgodnie z art. 14 RODO. link
Rumunia 2020-07-27 5.000 EUR SC Cntar Tarom SA Art. 32 RODO Nieuprawnione ujawnienie danych pięciu pasażerów Tarom z powodu nieodpowiednich środków technicznych i organizacyjnych dla bezpiecznego przetwarzania danych. Spółka została między innymi zobowiązana do podjęcia działań naprawczych, w tym przeszkolenia pracowników oraz przeprowadzenia procedur oceny ryzyka. link
Polska 2020-07-15 22.300 EUR Biuro Geodezji i Kartografii Art. 31 RODO, Art. 58 RODO Niewystarczająca współpraca z organem nadzorczym link
Belgia 2020-07-14 5.000 EUR Operator telewizji przemysłowej budynku mieszkalnego Art. 6 RODO, Art. 7 RODO Operator kamer wideo zainstalował na nieruchomości mieszkalnej kamery do monitorowania obszaru wspólnego dwóch bloków. Administrator danych argumentował, że właściciele wyrazili na to zgodę, podpisując poświadczone notarialnie umowy kupna. Jednak organ ochrony danych, po sprawdzeniu umów, zaprzeczył temu. link
Belgia 2020-06-08 5.000 EUR Pracownik komunalny Art. 5 RODO, Art. 6 RODO W kontekście wyborów samorządowych w 2018 roku administrator danych wysłał ogłoszenia wyborcze grupie pracowników tej samej administracji miejskiej, korzystając z listy danych kontaktowych, do których nie miał dostępu. link
Belgia 2019-12-17 2.000 EUR Organizacja opieki pielęgniarskiej Art. 12 RODO, Art. 15 RODO, Art. 17 RODO Spółka nie zareagowała na żądania osoby, której dane dotyczą, o uzyskanie dostępu do jej danych i ich usunięcia. link
Belgia 2019-12-17 15.000 EUR Portal internetowy z wiadomościami prawniczymi Art. 6 RODO, Art. 12 RODO, Art. 13 RODO Operator witryny z wiadomościami prawniczymi miał oświadczenie o ochronie prywatności dostępne tylko w języku angielskim, chociaż było ono również adresowane do odbiorców mówiących po holendersku i francusku. Ponadto pierwsza wersja oświadczenia o ochronie prywatności nie była łatwo dostępna i nie wspominała o podstawie prawnej przetwarzania danych w ramach RODO. Ponadto, w nawiązaniu do orzeczenia ETS w sprawie Planety 49, stwierdzono, że na korzystanie z Google Analytics wymagana jest skuteczna zgoda. link
Włochy 2020-03-06 4.000 EUR Liceo Artistico Statale di Napoli Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Z decyzji włoskiego urzędu ochrony danych wynika, że ​​szkoła średnia bezprawnie opublikowała dane zdrowotne i inne informacje w rankingach nauczycieli publikowanych na stronie internetowej Instytutu. Niniejsza publikacja została wydana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych. link
Włochy 2020-03-06 4.000 EUR Liceo Scientifico Nobel di Torre del Greco Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Decyzja włoskiego urzędu ochrony danych ujawnia, że ​​liceum bezprawnie opublikowało dane zdrowotne i inne informacje o ponad 2000 nauczycieli w rankingach nauczycieli publikowanych na stronie internetowej Instytutu. Niniejsza publikacja została wydana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych. link
Włochy 2020-03-05 3.000 EUR San Giorgio Jonico Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Publikacja danych osobowych obywatela na stronie internetowej i niezastosowanie się do żądań usunięcia. link
Rumunia 2020-04-23 3.000 EUR Estee Lauder Romania Art. 6 RODO, Art. 7 RODO, Art. 9 RODO Przetwarzanie danych osobowych bez wystarczającej podstawy prawnej, w tym danych dotyczących zdrowia. link
Rumunia 2020-04-23 3.000 EUR Telekom Romania Communications SA Art. 32 RODO Spółka nie podjęła wystarczających środków technicznych i organizacyjnych, aby zapewnić poprawność danych osobowych przekazywanych telefonicznie w celu zawarcia umów. Doprowadziło to do zawierania umów telefonicznych w imieniu innych osób, których dane dotyczą link
Hiszpania 2020-03-06 3.200 EUR Detalista Art. 13 RODO, Art. 14 RODO Niewystarczająca deklaracja nadzoru wideo. link
Rumunia 2020-07-30 2.000 EUR SC Viva Credit IFN SA Art. 17 RODO Firma nie poinformowała osoby, której dane dotyczą, w ciągu jednego miesiąca (lub do trzech miesięcy, jeśli podano przyczynę opóźnienia) o środkach podjętych w następstwie żądania usunięcia danych. link
Dania 2020-07-28 147.800 EUR rp-Hansen Hotel Group A/S Art. 5 (1) e) RODO W trakcie kontroli organ nadzorczy dokonał przeglądu szeregu systemów informatycznych w celu sprawdzenia, czy Arp-Hansen dysponował wystarczającymi procedurami zapewniającymi, że dane osobowe nie są przechowywane dłużej niż jest to konieczne do celów ich gromadzenia. Stwierdzono, że jeden z systemów rezerwacji zawierał dużą ilość danych osobowych, które należało już usunąć zgodnie z terminami usuwania ustalonymi przez samą Arp-Hansen. link
Rumunia 2020-07-27 5.000 EUR SC Cntar Tarom SA Art. 32 RODO Nieuprawnione ujawnienie danych pięciu pasażerów Tarom z powodu nieodpowiednich środków technicznych i organizacyjnych dla bezpiecznego przetwarzania danych. Spółka została między innymi zobowiązana do podjęcia działań naprawczych, w tym przeszkolenia pracowników oraz przeprowadzenia procedur oceny ryzyka. link
Hiszpania 2020-07-23 10.000 EUR El Periódico de Catalunya, S.L.U. Art. 5 RODO, Art. 6 RODO Po skierowaniu do firmy prośby o usunięcie, osoba, której dane dotyczą, otrzymała kolejny biuletyn z gazety, chociaż El Periódico de Catalunya twierdziła, że ​​przychyliła się do żądania. Było to spowodowane awarią zewnętrznego usługodawcy firmy. link
Hiszpania 2020-07-23 55.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Telefónica Móviles España przetworzyła dane osobowe osoby, której dane dotyczą, takie jak imię i nazwisko oraz dane bankowe, w celu aktywacji trzech linii telefonicznych, o które nigdy nie wnioskowano. Stanowi to naruszenie zasady zgodności z prawem przetwarzania. link
Hiszpania 2020-07-23 70.000 EUR 70.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Konto osoby, której dane dotyczą, zostało obciążone dwoma liniami telefonicznymi, których nigdy nie zamówił ani nie zatwierdził. Stanowiło to niezgodne z prawem przetwarzanie danych osobowych, ponieważ informacje o osobie, której dane dotyczą, były przechowywane w systemach informatycznych Telefónica Móviles España bez podstawy prawnej do wystawiania faktur. link
Hiszpania 2020-07-23 75.000 EUR Telefónica Móviles España, SAU Art. 5 RODO, Art. 6 RODO Firma przeniosłą numer telefonu klienta do innego operatora bez jego zgody. Dane osobowe zostały przekazane do firmy Telefónica Móviles España bez wystarczającej podstawy prawnej. link
Hiszpania 2020-07-23 5.000 EUR Xfera Moviles S.A. Art. 58 RODO W następstwie skargi Xfera Móviles została wezwana przez hiszpański urząd ochrony danych do przedstawienia pewnych informacji i dokumentów, ale nie uczyniła tego w wyznaczonym terminie. link
Hiszpania 2020-07-23 5.000 EUR El Real Sporting de Gijón S.A.D. Art. 6 RODO, Art. 7 RODO Kary za wysyłanie bezpośrednich komunikatów marketingowych bez wystarczającej zgody, ponieważ formularz Real Sporting de Gijón przesłany członkom klubu nie był zgodny z RODO (rezygnacja zamiast zgody). link
Hiszpania 2020-07-20 24.000 EUR Banco Bilbao Vizcaya Argentaria, SA Art. 5 RODO, Art. 6 RODO BBVA nie miała uzasadnionej podstawy do przetwarzania danych osoby, której dane dotyczą i tym samym naruszyła art. 6 ust. 1 RODO, ponieważ spółka przetwarzała pliki z informacjami dotyczącymi wypłacalności i kredytu bez wcześniejszego stosunku umownego z osobą, której dane dotyczą. link
Hiszpania 2020-07-20 40.000 EUR Iberia Lae SA Operadora Unipersonal Art. 58 RODO Spółka nie udostępniła osobie, której dane dotyczą, zapisów telefonicznych. Wniosek skarżącej o dostęp nie otrzymał odpowiedzi pomimo wcześniejszego nakazu hiszpanskiego organu nadzorczego. link
Hiszpania 2020-07-20 1.5000 EUR Comercial Vigobrandy, SL Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Kara została nałożona za zainstalowanie monitoringu CCTV bez odpowiednich informacji na ten temat. link
Hiszpania 2020-07-20 80.000 EUR Orange Espagne S.A.U. Art. 5 RODO, Art. 6 RODO Firma bezprawnie aktywowała kilka umów dotyczących linii telefonicznych, wykorzystując dane osobowe osoby, której dane dotyczą. Stanowiło to niezgodną z prawem operację przetwarzania, ponieważ dane osoby, której dane dotyczą, zostały wprowadzone do bazy danych firmy i tam przetwarzane bez uzasadnionej podstawy prawnej. link
Hiszpania 2020-07-20 70.000 EUR Xfera Moviles S.A. Art. 5 RODO Osoba, której dane dotyczą, otrzymała telefon od innego klienta Xfera Móviles, który stwierdził, że firma obciążyła jego konto bankowe fakturą, ujawniając dane osobowe drugiej osoby, której dane dotyczą. Było to spowodowane błędem ze strony Xfera Móviles, a zatem stanowiło naruszenie zasad integralności i poufności. link
Belgia 2020-07-14 600.000 EUR Google Belgium SA Art. 5 RODO, Art. 6 RODO, Art. 17 (1) a) RODO, Art. 12 RODO Belgijski organ ochrony danych nałożył na Google Belgium SA, spółkę zależną Google, grzywnę w wysokości 600 000 EURO. Przyczyną nałożenia grzywny było odrzucenie wniosku osoby, której dane dotyczą, o wyrejestrowanie nieaktualnych artykułów, które ta osoba uznała za szkodliwe dla jej reputacji oraz brak przejrzystości w formularzu Google dotyczącym wniosków o wyrejestrowanie. Belgijski organ ochrony danych stwierdził, że artykuły zwiazane ze skargami dotyczącymi bezpodstawnego molestowania mogą mieć poważne konsekwencje dla osób, których dane dotyczą, a zatem osoby fizyczne były uprawnione do usunięcia / wyrejestrowania artykułów. Dotyczy to również osób sprawujących urzędy polityczne, mimo że urzędy te są generalnie mniej warte ochrony ze względu na ich status publiczny, a artykuły dotyczące osób politycznych mogą w związku z tym być przechowywane przez dłuższy okres. Odrzucenie aplikacji przez Google było zatem naruszeniem art. 17 RODO (kara za to naruszenie: 500 000 EUR). Ponadto nałożono kolejne 100 000 EUR za naruszenie zasady przejrzystości, ponieważ odrzucenie przez Google wniosku o usunięcie nie było wystarczająco uzasadnione. link
Włochy 2020-07-13 200.000 EUR Merlini s.r.l. Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 28 RODO, Art. 29 RODO Firma prowadziła działania telemarketingowe w imieniu Wind Tre SpA za pośrednictwem zewnętrznego dostawcy jako podmiotu przetwarzającego dane bez wystarczającej podstawy prawnej do przetwarzania danych (art. 5-7 RODO) i bez wystarczających uzgodnień umownych (art. 28, 29 RODO) z dostawca zewnętrzny. link
Włochy 2020-07-13 16.700.000 EUR Wind Tre S.p.A. Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 24 RODO, Art. 25 RODO Kary za kilka niezgodnych z prawem czynności przetwarzania danych związanych z marketingiem bezpośrednim. Setki osób, których dane dotyczą, twierdziło, że otrzymały niezamówioną komunikację wysłaną bez ich uprzedniej zgody za pośrednictwem wiadomości SMS, e-mail, rozmów telefonicznych i połączeń automatycznych. Osoby, których dane dotyczą, nie mogły skorzystać z przysługującego im prawa do cofnięcia zgody oraz sprzeciwienia się przetwarzaniu w celach marketingu bezpośredniego, ponieważ informacje zawarte w Polityce Ochrony Danych były niekompletne w stosunku do danych kontaktowych. Ponadto organ ochrony danych stwierdził, że mimo sprzeciwu dane osób, których dane dotyczą, zostały opublikowane na publicznych listach telefonicznych. Ponadto kilka aplikacji dystrybuowanych przez firmę zostało skonfigurowanych w taki sposób, że użytkownik za każdym razem, gdy miał do nich dostęp, musiał wyrażać zgodę na różne czynności przetwarzania, z możliwością cofnięcia zgody dopiero po 24 godzinach. link
Włochy 2020-07-13 800.000 EUR Iliad Italia S.p.A. Art. 5 RODO, Art. 25 RODO Kara została nałożona z powodu naruszeń ochrony danych dotyczących przetwarzania danych klientów w celu aktywacji kart SIM oraz sposobu rejestracji danych płatniczych. Ponadto organ ochrony danych stwierdził, że spółka naruszyła zasady legalności, rzetelności i przejrzystości oraz integralności i poufności w zakresie przetwarzania danych osobowych do celów marketingu bezpośredniego oraz przechowywania danych klientów w obszarze osobowym swojej witryny internetowej. link
Polska 2020-07-10 3.400 EUR East Power Sp. z o.o. Art. 31 RODO, Art. 58 RODO Po trzech wezwaniach do East Power, w których ta ostatnia nie przedstawiła wystarczających wyjaśnień w sprawie skargi dotyczącej marketingu bezpośredniego, Urzad Ochrony Danych Osobowych stwierdził, że East Power celowo utrudniało przebieg postępowania lub przynajmniej nie wywiązywało się ze swoich zobowiązań dotyczących współpracy z organem nadzoryczym. link
Norwegia 2020-07-10 46.660 EUR Municipality of Rælingen Art. 32 RODO, Art. 35 RODO Grzywna za przetwarzanie danych dotyczących zdrowia dzieci w związku z niepełnosprawnością za pośrednictwem cyfrowej platformy edukacyjnej „Showbie”. Gmina nie przeprowadziła oceny skutków dla ochrony danych („DPIA”) zgodnie z art. 35 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) („RODO”) przed rozpoczęciem przetwarzania oraz nie podjął odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO, co skutkuje zwiększonym ryzykiem nieuprawnionego dostępu do danych osobowych uczniów. link
Hiszpania 2020-07-10 1.500 EUR Auto Desguaces Iglesias S.L. Art. 5 RODO Firma zainstalowała kamery monitorujące, które zarejestrowały drogę publiczną, a tym samym naruszyły zasadę minimalizacji danych. link
Hiszpania 2020-07-10 1.000 EUR Centro Internacional De Crecimiento Laboral Y Profesional S.L. Art. 5 RODO, Art. 6 RODO Wysyłanie wiadomości handlowych bez zgody i bez możliwości sprzeciwu. link
Hiszpania 2020-07-10 12.000 EUR Vodafone España, SAU Art. 5 RODO Kary zostaly nałożone za naruszenie art. 5 (1) d) RODO w celu zmiany podstawowych danych klienta na nazwisko osoby trzeciej, byłego małżonka klienta. link
Hiszpania 2020-07-10 5.000 EUR Global Business Travel Spain SLU Art. 32 RODO Grzywna została poprzedzona udostępnieniem pracownikowi danych zdrowotnych osoby, której dotyczy postępowanie. W trakcie dochodzenia organ ochrony danych stwierdził, że Global Business Travel Spain, jako administrator danych, naruszył art. 32 ust. 2 i 4 RODO, nie podejmując odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym ujawnienieniem. link
Hiszpania 2020-07-10 5.000 EUR School Fitness Holiday & Franchising S.L. Art. 5 RODO Naruszenie zasady przejrzystości. W tej chwili brak dalszych informacji. link
Hiszpania 2020-07-10 55.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 32 RODO Firma zmieniła umowę na połączenie telefonu komórkowego z nowym właścicielem, dzięki czemu dane osobowe osoby, której dane dotyczą, takie jak jej adres i numery telefonów, były swobodnie dostępne. Stanowiło to naruszenie zasad poufności i integralności. link
Rumunia 2020-07-09 15.000 EUR Proleasing Motors SRL Art. 32 RODO Spółka nie podjęła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, co doprowadziło do opublikowania na Facebooku dokumentu zawierającego hasło dostępu do danych osobowych 436 klientów. link
Holandia 2020-07-06 830.000 EUR Bureau Krediet Registration (‚BKR’) Art. 12 RODO, Art. 15 RODO BKR rządał zapłąty za dostęp do swoich danych osobowych. Bezpłatnie udzielał takich informacji tylko raz rocznie. link
Hiszpania 2020-07-02 24.000 EUR Iberdrola Clientes Art. 5 RODO Osoba trzecia otrzymała rachunek za prąd zawierający dane osobowe, takie jak imię i nazwisko, adres i konto bankowe innego klienta. Powodem tego był fakt, że Iberdola Clientes nie była w stanie zagwarantować odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych osoby, której dane dotyczą, z naruszeniem zasad integralności i poufności danych. Grzywna w wysokości 40 000 EUR została obniżona do 24 000 euro z powodu dobrowolnej wpłaty. link
Hiszpania 2020-07-02 4.000 EUR De Vere Spain S.L. Art. 21 RODO Firma nie odpowiedziała na żądanie osoby, której dane dotyczą, o zaprzestanie przetwarzania jej danych, w związku z czym osoba, której dane dotyczą, nadal otrzymywała telefony handlowe. link
Norwegia 2020-07-02 28.000 EUR Odin Flissenter AS Art. 5 RODO, Art. 6 RODO Firma oceniła wiarygodność innej firmy i tym samym przetwarzała dane osobowe dotyczące osoby fizycznej (właściciela ocenianej firmy) bez wystarczającej podstawy prawnej. link
Hiszpania 2020-07-02 3.600 EUR Saunier-Tec Mantenimientos de Calor y Frio, SL Art. 33 RODO Chociaż firma podjęła kroki w celu usunięcia naruszenia danych, nie poinformowała hiszpańskiego urzędu ochrony danych w wystarczającym stopniu. W rezultacie organ nadzorczy nałożył grzywnę w wysokości 4.800 EUR, która została obniżona do 3.600 EUR z powodu dobrowolnej wpłaty. link
Hiszpania 2020-07-02 5.000 EUR Xfera Moviles S.A. Art. 31 RODO, Art. 58 RODO Firma nie współpracowała dostatecznie z organem ochrony danych. link
Niemcy 2020-06-30 1.240.000 EUR Allgemeine Ortskrankenkasse („AOK”) (health insurance company) Art. 5 RODO, Art. 6 RODO, Art. 32 RODO W latach 2015-2019 AOK Baden-Württemberg (organizacja ubezpieczeniowa) przy różnych okazjach organizowała konkursy i zbierała dane osobowe uczestników, w tym ich dane kontaktowe i ubezpieczenie zdrowotne. AOK chciał również wykorzystać te dane do celów reklamowych, o ile uczestnicy wyrazili na to zgodę. Za pomocą środków technicznych i organizacyjnych, w tym wewnętrznych wytycznych i szkoleń z zakresu ochrony danych, AOK chciał zapewnić, aby do celów reklamowych wykorzystywane były wyłącznie dane tych uczestników konkursu, którzy wcześniej wyrazili skuteczną zgodę. Jednak środki określone przez AOK nie spełniały wymogów prawnych. W efekcie dane osobowe ponad 500 uczestników loterii zostały wykorzystane do celów reklamowych bez ich zgody. Natychmiast po tym, jak stało się to znane, AOK Baden-Württemberg wstrzymał wszelkie działania marketingowe, aby dokładnie zbadać wszystkie procesy. link
Dania 2020-06-30 6.700 EUR Lejre Municipality Art. 5 RODO, Art. 6 RODO, Art. 33 RODO, Art. 34 RODO Organ ochrony danych ustalił, że Miejski Ośrodek Dzieci i Młodzieży w Lejre regularnie przesyłał protokoły spotkań zawierających szczególnie wrażliwe i wrażliwe dane osobowe, w tym obywateli poniżej 18 roku życia, do Miejskiego Portalu Kadrowego Lejre, do którego mieli dostęp pracownicy gmina Lejre, niezależnie od tego, czy pracownicy, o których mowa, zajmowali się tymi sprawami. Ponadto organ ochrony danych zaprzeczył niedopełnieniu obowiązku poinformowania osób, których dane dotyczą, o naruszeniu ochrony danych. link
Irlandia 2020-06-30 40.000 EUR Tusla Child and Family Agency Art. 33 RODO Organizacja wysłała list z zarzutami nadużycia do strony trzeciej, która następnie przesłała go do sieci społecznościowych. link
Grecja 2020-06-29 5.000 EUR New York College S.A. Art. 5 RODO Kolegium skontaktowało się ze skarżącym bezpośrednio telefonicznie w sprawie programu edukacyjnego i przetworzyło dane osobowe w nieprzejrzysty sposób.
Wyspa Man 2020-06-25 13.500 EUR Department of Home Affairs Art. 12 RODO, Art. 15 RODO Kary za nieprzestrzeganie prawa dostępu do danych osobowych na podstawie art. 12 i 15 RODO. Wyspa Man zadeklarowała, że ​​RODO – choć nie jest państwem UE – ma zastosowanie. link
Hiszpania 2020-06-23 7.500 EUR Miraclia (telecommunications company) Art. 5 RODO, Art. 6 RODO Nagrywanie żartów telefonicznych za pośrednictwem aplikacji oznacza przetwarzanie danych osobowych zgodnie z obowiązującym prawem o ochronie danych, ponieważ głosy osób mogą stanowić dane osobowe, jeśli są powiązane z innymi informacjami, takimi jak numer telefonu. Zgoda użytkowników pod koniec rozmowy nie była w tym przypadku wystarczająca. link
Hiszpania 2020-06-22 2.000 EUR Nieznany Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Nielegalne używanie kamer CCTV ze względu na pokrycie przestrzeni publicznej i nagrywanie przechodzących pieszych. Ponadto niedostateczne wypełnianie obowiązków informacyjnych. link
Norwegia 22.06.2020 112.000 EUR Szpital Østfold HF Art. 32 RODO Stwierdzono, że Szpital Østfold HF przechowywał dane pacjentów, w tym dane wrażliwe, takie jak powód hospitalizacji, w latach 2013-2019 bez kontrolowania dostępu do folderów, w których były przechowywane. Norweski urząd ochrony danych uznał zatem, że szpital nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych i tym samym naruszył RODO oraz ustawę o dokumentacji pacjentów. link
Belgia 2020-06-19 10.000 EUR Nieznany Art. 5 RODO, Art. 6 RODO, Art. 15 RODO Firma wysłała wiadomość e-mail do osoby zainteresowanej bez jej zgody. Następnie osoba zainteresowana zażądała aktualnych informacji o wpisach w bazie danych dotyczących jej osoby, na które nie udzielono odpowiedzi. link
Norwegia 2020-06-19 28.000 EUR Aquateknikk AS Art. 5 RODO, Art. 6 RODO Żądanie danych od agencji kredytowej bez podstawy prawnej. link
Hiszpania 2020-06-19 6.000 EUR National Police Brigade Art. 5 RODO, Art. 6 RODO Wykonywanie kopii akt handlowych firmy w kontekście dochodzeń, które zawierały dane od osób trzecich i dla których nie było podstawy prawnej do przetwarzania. link
Rumunia 2020-06-18 4.000 EUR Enel Energie Art. 32 RODO Niepodjęcie odpowiednich środków zapobiegających ujawnieniu danych osobowych przez osoby nieuprawnione. Kara została poprzedzona skargą na udostępnienie danych osobowych osoby, której dane dotyczą, innemu klientowi drogą elektroniczną. link
Hiszpania 2020-06-16 2.000 EUR Café Bar Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO Nielegalne używanie kamer CCTV (nagrywanie osób trzecich) i niedostateczne wypełnianie obowiązków informacyjnych. link
Szwecja 2020-06-16 1.900 EUR Housing Association Art. 5 RODO, Art. 6 RODO Bezprawne użycie kamer monitorujących. W decyzji organ ochrony danych podkreślił, że nagrania dźwiękowe mają dodatkowe konsekwencje dla prywatności, szczególnie w budynku mieszkalnym, i że w tym przypadku nie ma co uzasadniać nagrania dźwiękowego. Ponadto decyzja nakazuje spółdzielni mieszkaniowej zatrzymanie kamer rejestrujących klatki schodowe i wejścia, zaprzestanie nagrywania dźwięku oraz poprawę informacji o monitoringu kamer. link
Belgia 2020-06-16 1.000 EUR Nieznany Art. 17 RODO, Art. 21 RODO, Art. 31 RODO Osoba, której dane dotyczą, wielokrotnie otrzymywała e-maile z treścią reklamową od firmy, chociaż sprzeciwiła się przetwarzaniu swoich danych osobowych i zażądała usunięcia swoich danych. Ponadto firma nie odpowiedziała na żadne zapytania ze strony organu ochrony danych w tym zakresie. link
Hiszpania 2020-06-15 75.000 EUR Xfera Moviles S.A. Art. 6 RODO Osoba, której dane dotyczą, otrzymała zawiadomienie od firmy windykacyjnej, żądające zapłaty w związku z usługami Xfera Móviles, mimo że ta osoba nie była klientem Xfera Móviles od września 2017 r. Ponadto w rezolucji stwierdzono, że Xfera Móviles przeprowadziła przetwarzanie dane osobowe skarżącego bez jego zgody, co stanowi naruszenie art.6 RODO. link
Węgry 2020-06-12 288.000 EUR Digi Távközlési Szolgáltató Kft. („Digi”) (electronic communication service provider) Art. 5 (1) b), (e) RODO, Art. 32 (1), (2) RODO Firma naruszyła zasady celowości i ograniczenia przechowywania, ponieważ w jej bazie danych znajdowała się duża liczba danych klientów, które nie były już istotne z punktu widzenia faktycznego celu gromadzenia i dla których nie określono okresu przechowywania. Ponadto węgierski urząd ochrony danych zwrócił uwagę, że pozwany nie podjął proporcjonalnych środków w celu zmniejszenia ryzyka w obszarze zarządzania danymi i bezpieczeństwa danych, m.in. nie stosował mechanizmów szyfrowania. link
Rumunia 2020-06-11 3.000 EUR Telekom Romania Art. 32 RODO Niewystarczające środki bezpieczeństwa firmy doprowadziły do ​​niezgodnego z prawem przetwarzania danych osobowych bez weryfikacji ich prawidłowości. Z tego powodu na Telekom Romania została nałożona kara pieniężna za naruszenie art.32 RODO, a wprowadzenie skutecznych mechanizmów identyfikacji i ochrony danych przed nieuprawnionym ujawnieniem i niezgodnym z prawem przetwarzaniem nakazuje zapewnienie zgodności z RODO. link
Hiszpania 2020-06-09 5.000 EUR Consulting de Seguridad e Investigacion Mira Dp Madrid S.L. Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała wiadomości marketingowe bez udzieloną przez nią zgodę. link
Hiszpania 2020-06-09 540 EUR Chenming Ye (Bazar Real) Art. 13 RODO, Art. 14 RODO Kara została nałożona z powodu braku spełnienia obowiązku informacyjnego przy wykorzystywaniu kamery CCTV w sklepie. link
Hiszpania 2020-06-09 1.000 EUR Właściciel posesji Art. 5 (1) c) RODO Wykorzystanie kamery CCTV, która uchwyciła także publiczne drogi na zewnątrz, naruszając tzw. Zasadę minimalizacji danych. link
Hiszpania 2020-06-09 75.000 EUR Equifax Iberica, S.L. Art. 15 RODO Osoba, której dane dotyczą, zażądała drogą elektroniczną usunięcia swoich danych z akt Krajowego Stowarzyszenia Instytucji Kredytowych Finansowych („ASNEF”). Equifax Iberica odpowiedział, że skorzystanie z prawa skarżącego było nadmierne z powodu wcześniejszego wniosku i że w związku z tym usunięcie nie zostanie wykonane. Było to postrzegane jako naruszenie praw osób, których dane dotyczą, do usunięcia zgodnie z RODO, a także naruszenie obowiązków blokowania wynikających z krajowych przepisów o ochronie danych. link
Hiszpania 2020-06-09 39.000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO Klient twierdził, że otrzymał SMS od Xfera Móviles informujący o braku płatności i wynikającym z niej zawieszeniu usługi w związku z kontem innej osoby, której dane dotyczą. link
Hiszpania 2020-06-09 25.000 EUR Glovoapp23 Art. 37 RODO Firma nie wyznaczyła inspektora ochrony danych (IOD), do którego można było kierować wnioski osób, których dane dotyczą, również na stronie internetowej nie było informacji o wyznaczonym IOD. link
Hiszpania 2020-06-09 40.000 EUR TELEFONICA MOVILES ESPAÑA, S.A.U. Art. 6 RODO Przedstawiciel handlowy nie sprawdził dokładnie tożsamości powoda, aby mógł pojawić się w imieniu osoby, której dane dotyczą, i zamówić połączenie telefoniczne dla czterech linii telefonicznych w jego imieniu. link
Hiszpania 2020-06-09 3.000 EUR Salad Market S.L. (Catering Company) Art. 13 RODO, Art. 14 RODO Kara została nałożona za brak wystarczających informacji o przetwarzaniu danych w związku z nadzorem wideo w siedzibie firmy oraz za niewystarczające informacje, dotyczące plików cookie używanych na stronie internetowej. link
Hiszpania 2020-06-09 2.000 EUR Adwokat Art. 32 RODO W toku postępowania pełnomocnik przedłożył dokumenty, które zawierały dane osobowe innych stron. link
Hiszpania 2020-06-09 2.000 EUR Właściciel posesji Art. 5 (1) c) RODO Kara została nałożona za wykorzystanie kamery CCTV, która uchwyciła także drogi publiczne na zewnątrz, naruszając tzw. zasadę minimalizacji danych. link
Hiszpania 2020-06-04 4.000 EUR Iberdrola Clientes Art. 58 RODO Firma została poproszona o przekazanie hiszpanskiemu urzędowi ochrony danych osobowych szczegółowych informacji dotyczących skargi. Firma nie odpowiedziała jednak na żądanie organów ochrony danych w określonym terminie, co stanowi naruszenie art. 58 RODO. link
Belgia 2020-05-29 1.000 EUR Organizacja non-profit Art. 6 RODO, Art. 21 RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 1000 EUR na organizację non-profit za wysyłanie komunikatów marketingu bezpośredniego, mimo że osoby, których dane dotyczą, skorzystały z prawa do usunięcia danych i sprzeciwu. Organizacja twierdziła, że ​​opierała się na uzasadnionych interesach jako podstawie prawnej, a nie na wyraźnej zgodzie osób, których dane dotyczą. Organ ochrony danych zaprzeczył jednak istnieniu jakiegokolwiek przeważającego uzasadnionego interesu. link
Finlandia 2020-05-22 72.000 EUR Taksi Helsinki Art. 5 RODO, Art. 6 RODO, Art. 35 RODO Firma nie oceniła ryzyka i konsekwencji przetwarzania danych osobowych przed wprowadzeniem systemu nadzoru kamery, który rejestruje dźwięk i obraz w taksówkach, a także nie przeprowadziła ocen wpływu swoich działań związanych z przetwarzaniem danych, w tym nadzoru nad kamery bezpieczeństwa, przetwarzanie danych o lokalizacji, automatyczne podejmowanie decyzji i profilowanie w ramach programu lojalnościowego. Ponadto przetwarzanie danych dźwiękowych było niezgodne z zasadą minimalizacji danych RODO. link
Belgia 2020-05-14 50.000 EUR Dostawca mediów społecznościowych Art. 6 RODO Firma wysłała zaproszenia do kontaktów przesłanych przez użytkowników bez ich zgody lub jakiejkolwiek innej podstawy prawnej. link
Bułgaria 2020-04-14 2.000 EUR Partia polityczna Art. 6 RODO Sfałszowanie podpisów na liście wyborców. link
Estonia 2020-04-30 500 EUR Wspólnota mieszkaniowa Art. 6 RODO Grzywna w wysokości 500 EUR przeciwko spółdzielni mieszkaniowej za opublikowanie zdjęć przedstawiających członków stowarzyszenia bez ich zgody. link
Węgry 2020-03-26 2.890 EUR Bank Art. 5 RODO, Art. 6 RODO Z powodu błędu administracyjnego dane osobowe osoby, której dane dotyczą, zostały zarejestrowane i przekazane do Centralnego Systemu Informacji Kredytowej (CCI) w związku z umową pożyczki, przy czym osoba, której dane dotyczą, nie jest stroną umowy. link
Węgry 2020-03-19 5.800 EUR Nieznana firma Art. 6 RODO, Art. 15 RODO Administrator danych nie wywiązał się z obowiązku dotyczącego prawa dostępu do nagrań wideo, a także nie był w stanie wykazać, że jego działania związane z przetwarzaniem danych były zgodne z przepisami o ochronie danych. link
Węgry 2020-03-09 870 EUR Wierzyciel Art. 5 RODO, Art. 6 RODO Kara została nałożona z powodu wysyłki wiadomości SMS do osoby, której dane dotyczą, jako przypomnienie o długu, który został już spłacony. link
Węgry 2020-01-24 1.450 EUR Biuro rachunkowe Art. 24 RODO, Art. 32 RODO Osoby trzecie, nieupoważnione mogły mieć dostęp do wydrukowanej listy klientów firmy księgowej, która zawierała dane osobowe. link
Norwegia 2020-05-19 283.000 EUR Bergen Municipality Art. 5 (1) f) RODO, Art. 32 RODO Kara została nałożona z powodu kilku niedociągnięć w zakresie bezpieczeństwa i niezgodności z ogólnymi zasadami przetwarzania danych w module do komunikacji między szkołami a rodzicami. link
Norwegia 2020-05-03 134.000 EUR Telenor Norge AS Art. 32 RODO Naruszenie bezpieczeństwa w poczcie głosowej link
Finlandia 2020-05-22 100.000 EUR Posti Group Oyj Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO Firma stosowała marketing bezpośredni wobec osób, które zażądały zaprzestania przetwarzania ich danych osobowych. Dochodzenia ujawniły również, że informacje o ochronie danych dostarczone przez firmę nie były wystarczająco przejrzyste. link
Finlandia 2020-05-22 16.000 EUR Kymen Vesi Oy Art. 35 RODO Firma nie przeprowadzila oceny skutków dla ochrony danych (DPIA / OSOD) w przypadku przetwarzania danych dotyczących lokalizacji pracowników za pomocą systemu informacji o pojeździe. link
Finlandia 2020-05-22 12.500 EUR Nieznana firma Art. 5 RODO, Art. 6 RODO Firma przetwarzała dane osobowe pracowników bez wystarczającej podstawy prawnej. link
Rumunia 2020-05-05 5.000 EUR Banca Comercială Română SA Art. 32 RODO Firma nie zastosowała właściwych środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. Dotyczy to w szczególności gromadzenia i przekazywania kopii dokumentów identyfikacyjnych klientów za pośrednictwem WhatsApp. link
Szwecja 2020-05-12 11.200 EUR Rada Zdrowia i Medycyny Okręgu Örebro Art. 5 RODO, Art. 6 RODO Firma opublikowała danye osobowe pacjenta bez wystarczającej podstawy prawnej. link
Irlandia 2020-05-17 75.000 EUR Tusla Art. 5 GDPR, Art. 6 GDPR Firma błędnie ujawniła dane osobowe, w tym informacje o dzieciach, osobom nieupoważnionym. W jednym przypadku dane kontaktowe i lokalizacyjne matki i dziecka zostały ujawnione domniemanemu sprawcy, a w dwóch innych przypadkach dane dotyczące dzieci przebywających w rodzinie zastępczej zostały nieprawidłowo ujawnione krewnym, w tym w jednym przypadku ojcu, który przebywał w więzieniu. link
Dania 2020-05-15 6.700 EUR JobTeam A/S DKK Art. 15 GDPR Niewystarczające spełnienie prawa osób, których dane dotyczą link
Holandia 2020-04-30 725.000 EUR Nieznana organizacja Art. 5 RODO, Art. 9 RODO Organizacja wymagała od swoich pracowników skanowania odcisków palców w celu sprawdzania obecności. Urząd ochrony danych stwierdził, że argumentacja organizacji pozwalająca przetwarzać dane szczególnej kategorii jest niewystarczająca, ponadto firma nie posiadała wyrażonej zgody pracowników do przetwarzania tych danych. link
Szwecja 2020-04-29 18.700 EUR Krajowe Centrum Obsługi Rządowej (NGSC) Art. 33 RODO, Art. 34 RODO Firma zwlekała z powiadomieniem o naruszeniu danych. Potrzebowała prawie 5 miesięcy, aby poinformować osoby, których dane zostały naruszone oraz prawie 3 miesiący aby zawiadomić urząd o naruszeniu związanym z brakiem odpowiednich zabezpieczeń w systemie IT. link
Belgia 2020-04-28 50.000 EUR Proximus SA Art. 31 RODO, Art. 58 RODO, Art. 37 RODO Według organu ds. ochrony danych Inspektor Ochrony Danych spółki nie był wystarczająco zaangażowany w przetwarzanie naruszeń danych osobowych, a firma nie posiadała systemu zapobiegającego konfliktowi interesów IOD, który zajmował również wiele innych stanowisk w przedsiębiorstwo (szef działu zgodności i audytu), co doprowadziło organ ochrony danych do wniosku, że Inspektor Ochrony Danych przedsiębiorstwa nie mógł wykonywać swoich zadań w sposób należyty. link
Bułgaria 2020-02-20 2.560 EUR T.K. EOOD Art. 25 (1) RODO, Art. 32 RODO „Firma przetwarzała dane osobowe niezgodnie z prawem 9 razy w ciągu 5 miesięcy. Naruszenia spowodowały szkody dla osoby, której dane dotyczyły. Ponadto T.K. EOOD przyjął niewystarczające środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa informacji.
Bułgaria 2020-02-20 2.560 EUR L.E. EOOD Art. 25 (1) RODO, Art. 32 RODO, Art. 6 RODO „Firma przetwarzała dane osobowe niezgodnie z prawem 7 razy w ciągu 3 miesięcy. Ponadto firma nie zastosowała odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji.
Oprócz nałożonej kary pieniężnej, błgarski urząd ochrony danych zalecił ukaranej firmie przeprowadzenie regularnych kontroli obszarów, w których dochodzi do przetwarzania danych osobowych, przeprowadzenia analizy ryzyka oraz przeszkolenie pracowników z zakresu ochrony danych. Urząd nakazał również archiwizację dokumentów wyłącznie w konkretnym celu i w ramach czasowych wymaganych przez prawo. „
Bułgaria 2020-01-06 5.110 EUR Utility Company Art. 6 (1) RODO Firma przetwarzała dane osobowe niezgodnie z prawem. Dane osobowe zostały wykorzystane do wszczęscia postępowania egzekucyjnego z tytułu zaległych zobowiązań płatniczych. W konsekwencji komornik zajął wynagrodzenie poszkodowanej osoby.
Niemcy 2019 50.000 EUR Nieznana firma Art. 15 RODO, Art. 28 RODO „Administrator korzystał z usług firmy zewnętrznej, która na jego polecenie przetwarzała dane osobowe. Podwykonawca prowadził korespondencje z osobami, ktorych dane dotyczą, w języku angielskim i pod własnych logo.
W rezultacie administrator danych naruszył zasadę przejrzystości określoną w art. 12 RODO i nie wypełnił w wystarczającym stopniu swojego obowiązku dostarczenia informacji zgodnie z art. 15 RODO. Ponadto organ nadzorujący ochronę danych stwierdził, że nie zawarto żadnej pisemnej umowy na przetwarzanie danych między administratorem danych a firmą zewnętrzną, co stanowi dalsze naruszenie art. 28 (9) RODO.”
link
Włochy 2020-02-13 4.000 EUR Comune di Urago Art. 5 RODO, Art. 6 RODO Lokalna rada opublikowała na swojej stronie internetowej informacje zawierające dane osobowe, w tym informacje o stanie zdrowia. link
Polska 2020-03-09 4.000 EUR Vis Consulting Sp. z o.o. Art. 31 RODO, Art. 58 RODO Firma uniemożliwiła Urzędowi Ochrony Danych Osobowych przeprowadzenie kontroli. link
Hiszpania 2019-12-10 5.000 EUR Shop Macoyn, S.L. Art. 32 RODO Firma wysłała e-maile zawierające treści marketingowe, w których adresaci widzieli adresy mailowe wszystkich osób, które otrzymały tego maila. Adresy odbiorców zostały wymienione przy użyciu funkcji DW (do wiadomości) zamiast UDW (do ukrytej wiadomości). link
Rumunia 2020-03-25 2.000 EUR SOS Infertility Association Art. 58 RODO Stowarzyszenie przetwarzało dane osobowe bez wystarczającej podstawy prawnej. Ponadto, nie przekazało do urzędu ochrony danych osobowych wymaganych informacji. link
Rumunia 2020-03-25 3.000 EUR Enel Energie Art. 32 RODO Firma wysłała wiadomość e-mail do klienta, który zawierał dane osobowe innego klienta. Firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. link
Rumunia 2020-03-25 4.150 EUR Vodafone Romania Art. 32 RODO Firma wysłała wiadomość e-mail do klienta, który zawierał dane osobowe innego klienta. Firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. link
Rumunia 2020-03-25 3.000 EUR Dante International Art. 6 RODO, Art. 21 RODO Firma wysłała e-mail zawierajacy informacje marketingowe do klienta, który wcześniej zrezygnował z otrzymywania tego typu wiadomości. link
Hiszpania 2020-03-25 5.000 EUR Xfera Moviles S.A Art. 58 RODO Firma nie dostarczyła urzędowi ochrony danych osobowych wymaganych informacji w odpowiednim czasie. Wniosek hiszpańskiego urzędu ochrony danych osobowych poprzedzony był wnioskiem osoby, której dane dotyczą o dostęp do jej danych osobowych. link
Chorwacja 2020-03-13 nieznana Bank (nazwa w tej chwili niedostępna) Art. 15 (1), (3) RODO „Bank (w okresie od maja 2018 r. – do kwietnia 2019 r.) odmówił przekazania kopii dokumentacji kredytowej (np. planu spłaty, aneksu umowy kredytowej, przeglądu zmian stóp procentowych itp.).
Bank tłumaczył, że dokumentacja dotyczy spłaconych pożyczek, dlatego w tym przypadku nie obowiązuje prawo dostępu do informacji.
Organ ochrony danych nakazał Bankowi dostarczyć kopie dokumentów. Na wysokość kary miał wpływ brak zastosowania zarządzonych środków, kontynuowanie takiej praktyki przez ponad rok oraz odmówienie prawa dostępu do danych ponad 2500 klientów.
Wysokość kary nie jest jeszcze znana, ale chorwacki urząd ochrony danych zapowiedział, że z uwagi na powyższe, należy spodziewać się wysokiej grzywny.”
link
Niemcy 2019-08-05 200 EUR Osoba prywatna (kanał YouTube) Art. 5 RODO, Art. 6 RODO Osoba prywatna wykorzystała kamerę samochodową do nagrania ruchu publicznego, a następnie opublikowała je na YouTube. link
Grecja 2020-03-20 8.000 EUR Centrum Mowy i Edukacji Specjalnej – Mihou Dimitra Art. 15 RODO, Art. 58 RODO „Administrator danych odmówił dostępu do danych osobowych skarżącego (informacje podatkowe oraz na temat danych swojego dziecka).
Ponadto administrator danych naruszył polecenie urzędu ochrony danych dotyczące dostępu do danych. Z tego powodu nałożono grzywnę w wysokości 8000 EUR: 3000 EUR za nieprzyznanie dostępu do danych i 5000 EUR za naruszenie nakazów organu ochrony danych.”
Grecja 2020-02-21 5.000 EUR Public Power Corporation S.A. Art. 15 RODO W decyzji wyjaśniono, że osoby, których dane dotyczą, mają prawo dostępu do przetwarzania swoich danych osobowych oraz należy im także dostarczyć kopię przetwarzanych danych osobowych. Żądanie nie wymaga podania przyczyny
Węgry 2020-03-04 290 EUR Przedstawiciel samorządu lokalnego Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODO „Lokalny przedstawiciel zrobił zdjęcie dyrektorowi firmy należącej w całości do samorządu w towarzystwie jego dziecka. Zdjęcie przedstawiało dyrektora rzekomo odrywającego plakat wyborczy opozycji.
Lokalny przedstawiciel zamieścił to zdjęcie na Facebooku. Obraz dziecka był zamazany, ale pod zdjęciem była informacja, że to córka dyrektora. Dyrektor powiedział lokalnemu przedstawicielowi, że nie wyraża zgody na zrobienie zdjęcia. Węgierski organ ochrony danych osobowych stwierdził, że akt dyrektora nie był informacją publiczną, a zdjęcie nie dowodzi, że dyrektor oderwał plakat wyborczy. Urząd ochrony danych podkreślił również, że jedynie nazwisko dyrektora spółki w pełni będącej własnością samorządu lokalnego było informacją publiczną.”
link
Węgry 2019-10-15 2.860 EUR nieznana firma Art. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODO Pracownik był na zwolnieniu lekarskim, gdy pracodawca sprawdził jego komputer stacjonarny, laptop i e-maile, aby upewnić się, że jego obowiązki są wykonywane. Pracodawca następnie zawiesił jego konto. Pracownik nie otrzymał wcześniejszego powiadomienia i nie miał możliwości skopiować / usunąć swoich prywatnych danych (numerów telefonów, wiadomości). Według węgierskiego urzędu ochrony danych pracodawca może monitorować aktywność pracowników. Umowy o pracę muszą regulować, czy pracownicy mogą używać sprzętu roboczego do celów prywatnych. Informacje o prywatności muszą zawierać powody monitorowania (np. ciągłość działania, dochodzenie wewnętrzne, cele dyscyplinarne), a także określać okres przechowywania danych – w tym długość historii kopii zapasowych. Pracodawcy muszą również przygotować „testy bilansujące”, aby na konkretnych przypadkach móc udowodnić, że monitoring pracowników jest uzasadniony. link
Węgry 2019-08-08 1.715 EUR Biuro Rządowe Zarządzające Rejestrem Nieruchomości Art. 5 RODO, Art. 14 RODO Właściciele nieruchomości skarżyli się, że rząd przekazał decyzję o zmianie osoby najemcy (która zawarła umowę najmu z właścicielami nieruchomości) innym właścicielom 40 nieruchomości zawartych przez tego samego najemcę. Decyzja zawierała dane osobowe wszystkich właścicieli, którzy mieli umowę najmu z tym samym najemcą. link
Węgry 2019-08-02 4.290 EUR Firma zajmująca się utrzymaniem przestrzeni publicznej Art. 5 RODO, Art. 6 RODO, Art. 13 RODO Były pracownik skarżył się, że jego pracodawca, niezgodnie z prawem, monitorował jego pracę przez CCTV. Pracodawca argumentował, że monitorowanie CCTV było konieczne do oceny, czy pracownik wywiązał się ze swoich obowiązków związanych z zatrudnieniem (tj. monitorowanie niektórych obszarów publicznych i sygnalizowanie nietypowych zdarzeń swoim kolegom) oraz że monitorowanie służyło również ochronie jego systemu nadzoru przed nielegalnym dostępem. Węgierski urząd ochrony danych stwierdził, że monitorowanie pracownika przez CCTV nie jest właściwym sposobem oceny jego wydajności pracy, a pracodawca oparł się na niewłaściwej podstawie prawnej (interes publiczny, organ urzędowy) w odniesieniu do operacji CCTV. Pracodawca mógł zabezpieczyć swój system nadzoru przestrzeni publicznej innymi metodami (np. instalując zapory ogniowe lub inne aktualizacje zabezpieczeń swoich systemów). Pracodawca umieścił także tylko krótki arkusz informacyjny przy wejściu do stanowiska pracy pracownika dotyczący monitorowania CCTV, który urząd ochrony danych uznał za niewystarczający. link
Węgry 2019-07-17 8.575 EUR Sąd Okręgowy w Budapeszcie Art. 5 RODO, Art. 6 RODO Przewodniczący Sądu Okręgowego w Budapeszcie zorganizował spotkanie dla urzędników sądowych, podczas którego oświadczył, że zrezygnował z Węgierskiego Związku Sędziów i zwrócił się do obecnych urzędników sądowych, aby namówili do tego również swoich kolegów. Przewodniczący przedstawił istę członków Stowarzyszenia w powiecie Peszt, która zawierała również informacje o wysokości składek członkowskich potrąconych z wynagrodzenia sędziów. Lista zawierała dane zebrane z rejestrów płac sędziów. Węgierski urząd ochrony danych ustalił, że Sąd Okręgowy w Budapeszcie może przetwarzać takie dane wyłącznie w celu odliczenia i zarządzania płacami. Urząd ochrony danych osobowych stwierdził również, że Sąd Okręgowy w Budapeszcie nie miał podstawy prawnej do przetwarzania danych, do udzielenia danych pracowników dotyczących ich członkostwa w stowarzyszeniu innym osobom. link
Węgry 2019-06-26 2.850 EUR nieznana firma Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Osoba zażądała usunięcia swoich danych kontaktowych (w tym numeru telefonu). Administrator nie zrealizował prawa, powołując się na swój uzasadniony interes (w celu kontaktowania się w sprawie dochodzenia roszczeń) Wegierski urząd ochrony danych ustalił, że administrator nie miał istotnych uzasadnionych podstaw do przetwarzania numeru telefonu osoby, której dane dotyczą (do celów kontaktowych wystarczy adres). link
Węgry 2019-06-26 2.850 EUR Przedsiębiorstwo finansowe Art. 5 RODO, Art. 6 RODO, Art. 21 RODO „Przedsiębiorstwo finansowe pomimo sprzeciwu do przetwrzania, przekazało dane osobowe stronie trzeciej. Przedsiębiorstwo nie udzieliło również informacji o przetwarzaniu na wniosek osoby, której dane dotyczą.
Przedsiębiorstwo finansowe uważa, że przekazanie stronie trzeciej danych osobowych klienta było niezbędne w celu sprzedaży roszczeń wynikających z umowy. Węgierski urząd ochrony danych podkreślił, że przedsiębiorstwo finansowe sprzedało przedmiotową wierzytelność i przekazało odpowiednie dane po niespełnieniu przez klienta danej umowy; oznacza to również, że przedsiębiorstwo finansowe nie może polegać na wykonaniu umowy zawartej z klientem. Odpowiednią podstawą prawną byłby prawnie uzasadniony interes administratora, w przypadku gdy konieczny jest również test bilansujący, opisujący jego interes w przeniesieniu roszczenia i odpowiednich danych na stronę trzecią.”
link
Węgry 2019-06-03 2.850 EUR Firma zarządzająca roszczeniami Art. 5 RODO, Art. 6 RODO Skarżący zawarli umowę kredytową z bankiem, który sprzedał swoje roszczenie przeciwko skarżącym i przekazał ich dane firmie zewnętrznej (administratorowi). Węgierski urząd ochrony danych ustalił, że bank powołał się na błędną podstawę prawną przetwarzania. Bank nie mógł polegać ani na zgodzie osób, których dane dotyczą, ani na wykonaniu umowy kredytowej, ponieważ osoby zawarły taką umowę z bankiem, a nie z administratorem. Powinien oprzeć się na uzasadnionym interesie administratora. link
Węgry 2019-05-31 2.000 EUR Bank lokalny Art. 12 (3), (4), (5) RODO, Art. 15 RODO, Art. 18 RODO Klient lokalnego banku poprosił o dostęp do nagrań rozmów telefonicznych oraz nagrań z kamery przemysłowej. Bank dostarczył kopie nagrań rozmów telefonicznych, a także dał szansę przejrzenia nagrań w banku, ale odmówił dostarczenia kopii nagrań z kamery przemysłowej, ponieważ nagrania zawierały również dane osobowe stron trzecich. Węgierski urząd ochrony danych zdecydował, że bank nie wypełnił praw osób, których dane dotyczą, ponieważ nie odpowiedział w odpowiednim czasie, a także nie dostarczył kopii żądanych nagrań. Według węgierskiego urzędu ochrony danych administrator nie może odnieść się do ochrony danych osób trzecich, ponieważ nagrania z kamery przemysłowej miały wpływ na przestrzeń publiczną otwartą dla każdego klienta, a bank mógł również zanonimizować niektóre części nagrań. link
Węgry 2019-05-21 286 EUR Dyrekcja Instytucji Społecznych i Opieki nad Dziećmi Ferencvaros w Budapeszcie Art. 33 RODO Pracownik dyrekcji wysłał omyłkowo 9 listów do niewłaściwego odbiorcy, które zawierały dane osobowe 18 osób (w tym dane dzieci, dane przestępcze oraz dane dotyczące życia prywatnego). Odbiorca poinformował dyrekcję telefonicznie 5 dni po wysłaniu, że przez pomyłkę otrzymał określone listy. Dyrekcja dopiero po kilku tygodniach powiadomiła o naruszeniu węgierski urząd ochrony danych. link
Włochy 2020-02-06 20.000 EUR RTI – Reti Televisive Italiane s.p.a. Art. 5 RODO, Art. 6 RODO Stacja telewizyjna wyemitowała film dokumentalny o prostytucji w Szwajcariiosoby. Bohaterowie filmu, osoby, z którymi były prowadzone wywiady nie były wystarczająco anonimowe. link
Norwegia 2020-02-28 36.800 EUR Coop Finnmark SA Art. 5 RODO, Art. 6 RODO Firma rozpowszechniła nagrania z monitoringu wideo dzieci poniżej 16 roku życia, które rzekomo kradły w sklepie. Firma została ukarana za brak wystarczającej podstawy prawnej dla takiego przetwarzania danych. link
Rumunia 2020-02-11 3.000 EUR Vodafone Romania Art. 5 (1) f) RODO, Art. 32 RODO Vodafone Romania nieprawidło przetwarzał dane osobowe w celu rozpatrzenia skargi, która następnie została wysłana na niewłaściwy adres e-mail. Powodem tego było zastosowanie niewłaściwych środków bezpieczeństwa. link
Hiszpania 2020-03-19 6.000 EUR Oliveros Ustrell, S.L. Art. 5 RODO, Art. 6 RODO Firma przekazała operatorowi Vodafone podpisaną umowę o przeniesienie. Administrator danych nie był jednak w stanie przedstawić dowodu zamówienia. Z tego powodu dane osobowe osoby, której dane dotyczą, zostały przetworzone bez wystarczającej podstawy prawnej. link
Hiszpania 2020-03-18 30.000 EUR Telefónica Art. 58 RODO Telefonica nie zastosowała się do decyzji TD / 00127/2019 dyrektora hiszpańskiego urzędu ochrony danych, która stanowi, że trzeba odpowiedzieć na wnioski osób, których dane dotyczą, o prawo dostępu i usunięcia danych. link
Hiszpania 2020-03-16 5.000 EUR Centro De Estudio Dirigidos Delta, S.L. Art. 5 (1) f) RODO Centro De Estudio Dirigidos Delta wysłało do osoby trzeciej wiadomość zawierającą dane osobowe (imię i nazwisko oraz numery identyfikacyjne), za pośrednictwem WhatsApp, bez zgody osób, których dane dotyczą. Stanowi to naruszenie zasad rzetelności i poufności zgodnie z art. 5 ust. 1 lit. f RODO. link
Hiszpania 2020-03-16 4.000 EUR Osoba prywatna Art. 5 RODO, Art. 6 RODO Osoba fotografowała na plaży kąpiące się kobiety. Policja powiadomiła urząd ochrony danych. link
Hiszpania 2020-03-16 6.000 EUR Amalfi Servicios de Restauracion S.L. Art. 5 RODO, Art. 13 RODO, Art. 14 RODO „- Monitoring obejmował swoim zasięgiem przestrzeń publiczną (naruszenie zasady minimalizacji danych).
– Brak spełnionego obowiazku informacyjnego dotyczącego monitoringu.”
link
Hiszpania 2020-03-12 2.000 EUR Stowarzyszenie właścicieli domów Art. 5 RODO, Art. 13 RODO, Art. 14 RODO „- Monitoring obejmował swoim zasięgiem przestrzeń publiczną (naruszenie zasady minimalizacji danych).
– Brak spełnionego obowiazku informacyjnego dotyczącego monitoringu.”
link
Szwecja 2020-03-11 7.000.000 EUR Google LLC Art. 5 RODO, Art. 6 RODO, Art. 17 RODO Szwedzki organ ochrony danych nałożył na Google LLC grzywnę w wysokości 7 milionów euro za niedostateczne wywiązanie się z obowiązków dotyczących prawa osób, których dane dotyczą, do usunięcia danych ich dotyczących z listy wyników wyszukiwania. Szwedzki Urząd Ochrony Danych w 2017 r. zakończył ocenę sposobu, w jaki firma Google zajmuje się prawem osób do usunięcia wyników wyszukiwania i polecił jej usunąć część wyników wyszukiwania. Ponadto w roku 2018 podjęto decyzję o ponownej weryfikacji praktyk Google, po tym jak do urzędu wpłynęła informacja o tym, że część wyników wyszukiwania, które powinny zostać usunięte, wciąż pojawia się w wyszukiwarce. Szwedzki Urząd Ochrony Danych sprzeciwił się również praktyce informowania właścicieli witryn o tym, jakie informacje są usuwane z wyników wyszukiwania, a w szczególności o tym, który link został usunięty i kto stał za wnioskiem o jego usunięcie. Zdaniem Urzędu nie ma to podstawy prawnej. link
Dania 2020-03-10 7.000 EUR Hørsholm Municipality Art. 5 (1) f) RODO, Art. 32 RODO Urzędnikowi miasta skradziono komputer roboczy, który zawierał dane osobowe około 1600 pracowników samorządu miejskiego, w tym poufne informacje i numery ubezpieczenia społecznego. link
Dania 2020-03-10 14.000 EUR Gladsaxe Municipality Art. 5 (1) f) RODO, Art. 32 RODO Skradziono niezabezpieczony komputer, który zawierał informacje poufne oraz osoboste numery idendyfikacyjneg 20 620 mieszkańców miasta. link
Islandia 2020-03-10 20.600 EUR National Center of Addiction Medicine (‚SAA’) Art. 5 (1) f) RODO, Art. 32 RODO W osobistych rzeczach zwróconych byłemu pracownikowi SAA znajdowały się również dane pacjentów, w tym dokumentacja medyczna 252 byłych pacjentów i dokumenty z nazwiskami około 3000 osób, które uczestniczyły w rehabilitacji z powodu nadużywania alkoholu i narkotyków link
Islandia 2020-03-10 9.000 EUR Breiðholt Upper Secondary School Art. 5 (1) f) RODO, Art. 32 RODO Nauczyciel wysłał e-mail do swoich uczniów i ich rodziców, który zawierał dane na temat ich stanu zdrowia (dot. samopoczucia), wyników w nauce oraz warunków społecznych. Mail nie był odpowiednio zabezpieczony i tym samym naruszył art. 32 RODO. link
Hiszpania 2020-03-09 15.000 EUR Gesthotel Activos Balagares Art. 5 (1) f) RODO Osoba, której dane dotyczą wysłała prywatny list do kierownictwa hotelu oraz delegatów związkowych. Autor listu opisał sytuację, w której był prześladowany. Kierownictwo hotelu i delegaci związkowi naruszyli zasadę uczciowości i poufności udostępniając treść listu innym pracownikom. link
Włochy 2020-03-06 4.000 EUR Liceo Artistico Statale di Napoli Art. 5 RODO, Art. 6 RODO, Art. 9 RODO Liceum w rankinach nauczycieli na stronie internetowej Instytutu opublikowało informacje zawierające dane osobowe, np. o stanie zdrowia. Publikacja została sporządzona z naruszeniem zasad legalności, uczciwości, przejrzystości i minimalizacji danych. link
Hiszpania 2020-03-06 4.000 EUR Osoba prywatna Art. 5 RODO Zainstalowane kamery monitorujace rejsterowały również przestrzeń publiczną (naruszenie zasady minimalizacji danych). link
Niemcy 2019 2.000 EUR Restauracja Art. 5 (1) c) RODO Kamery nadzoru wideo zostały wykorzystane z naruszeniem zasady minimalizacji danych (monitorowanie również obszarów klientów w restauracjach). link
Norwegia 2020-02-26 73.600 EUR Rælingen Municipality Art. 5 (1) f) RODO, Art. 32 RODO Informacje na temat zdrowia 15 dzieci niepełnosprawnych fizycznie i umysłowo były przetwarzane na cyfrowej platformie edukacyjnej Showbie w celu przekazania danych osobowych związanych ze zdrowiem między szkołami a ich domami. Przed użyciem aplikacji nie przeprowadzono niezbędnych ocen ryzyka, ocen wpływu na prywatność ani testów, a brak bezpieczeństwa podczas logowania do aplikacji umożliwił dostęp do informacji innym studentom w grupie. link
Hiszpania 2020-03-04 60.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba, której dane dotyczą, otrzymała SMS-y od oddzielnego operatora wskazujące na aktywację nowej umowy. Powodem było aktywowanie przez pracownika Vodafone España umowy z trzecim operatorem w imieniu osoby, której dane dotyczą. Vodafone nie był w stanie wykazać zgody ani wystarczających uzasadnionych interesów na przetwarzanie danych osobowych. link
Hiszpania 2020-03-03 1.800 EUR Solo Embrague Art. 13 RODO Strona internetowa firmy nie zawierała polityki prywatności oraz banera plików cookie. link
Hiszpania 2020-03-03 42.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Firma nie była w stanie wykazać odpowiednich środków zapewniających bezpieczeństwo informacji, prowadzących do nieuprawnionego dostępu do danych osobowych klienta. link
Hiszpania 2020-03-03 40.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Firma wysłała SMS potwierdzający zawarcie umowy telefonicznej z właścicielem telefonu komórkowego. Osoba ta nie była klientem Vodafone, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą. link
Hiszpania 2020-03-03 24.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO „Hiszpański orgach ochrony danych stwierdził, że firma wysłała dwa SMS-y na numer telefonu komórkowego klienta, dotyczące zmiany stawki w umowie oraz potwierdzajacy zakup nowego telefonu komórkowego. Firma przetwrzała dane osobowe bez zgody osoby, której dane dotczą.
link
Polska 2020-03-04 4.600 EUR Szkoła w Gdańsku Art. 5 RODO, Art. 9 RODO Szkoła w Gdańsku wykorzystała biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce. Chociaż rodzice wyrazili pisemną zgodę na takie przetwarzanie danych, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie. link
Hiszpania 2020-02-28 3.600 EUR AEMA Hispánica Art. 5 (1) f) RODO Firma przesłała listę płac pracownika innemu pracownikowi, przez co ujawniła dane osobowe nieupoważnionej osobie. link
Holandia 2020-03-03 525.000 EUR Royal Dutch Tennis Association („KNLTB”) Art. 5 RODO, Art. 6 RODO Holenderski Urząd Ochrony Danych nałożył grzywnę na Royal Dutch Tennis Association („KNLTB”) w wysokości 525,000 EUR za sprzedaż danych osobowych ponad 350 000 jej członków sponsorom, którzy skontaktowali się z niektórymi członkami pocztą i telefonicznie w celach marketingu bezpośredniego. Stwierdzono, że KNLTB sprzedawał dane osobowe, takie jak imię i nazwisko, płeć i adres stronom trzecim, bez uzyskania zgody osób, których dane dotyczą. Organ ochrony danych odrzucił również istnienie uzasadnionego interesu w zakresie sprzedaży danych i dlatego uznał, że nie ma podstawy prawnej do przekazania danych osobowych sponsorom. link
Hiszpania 2020-02-28 48.000 EUR Vodafone ONO, S.A.U. Art. 32 RODO Firma miala niedociagniecia w zakresie bezpieczeństwa informacji, np. dwie osoby otrzymały ten sam klucz bezpieczeństwa. link
Hiszpania 2020-02-27 120.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Vodafone España nie był w stanie udowodnić hiszpańskiemu organowi ochrony danych, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jego danych osobowych w celu zawarcia umowy telefonicznej. Ponadto decyzja organu ochrony danych podkreśla, że ​​Vodafone España bezprawnie ujawniła dane osobowe osoby, której dane dotyczą, różnym agencjom kredytowym. link
Hiszpania 2020-02-25 48.000 EUR HM Hospitales Art. 5 RODO, Art. 6 RODO „Osoba, której dane dotyczą, w momencie przyjęcia do szpitala musiała wyrazić zgodę na przekazanie swoich danych stronom trzecim. Formularz przyjęcia był niezgodny z RODO, ponieważ wymuszał na pacjencie wyrażenie zgody.” link
Hiszpania 2020-02-25 6.000 EUR Casa Gracio Operation Art. 5 (1) c) RODO Firma korzystała z kamer CCTV, która rejestrowała również sferę publiczną, co spowodowało naruszenie zasady minimalizacji danych. link
Włochy 2020-01-23 30.000 EUR Azienda Ospedaliero Universitaria Integrata di Verona (Hospital) Art. 5 (1) f) RODO, Art. 32 RODO Osoby nieupoważnione miały dostęp do danych zdrowotnych. Radiolog i stażysta mogli zobaczyć informacje o stanie zdrowia swoich kolegów. Włoski organ ochrony danych wykazał, że szpital nie zastosował wystarczajacych organizacyjnych i technicznych środków ochrony danych, co skutkowało niezgodnym z prawem przetwarzaniem. Według organu ochrony danych naruszenia można było uniknąć, np. poprzez zastosowanie się do wytycznych dotyczących dokumentacji medycznej wydanej przez organ ochrony danych w 2015 r. (wytyczne stanowią, że dostęp do dokumentacji medycznej musi być ograniczony tylko do personelu medycznego zaangażowanego w leczenie pacjenta). link
Włochy 2020-01-23 30.000 EUR Sapienza Università di Roma (Uniwersytet) Art. 5 (1) f) RODO, Art. 32 RODO Według włoskiego urzędu ochrony danych Sapienza Università udostępniła online dane identyfikacyjne dwóch osób, które zgłosiły uniwersytetowi możliwe nielegalne działanie. Naruszenie wynikał ze złego zastosowania technicznych środków kontroli dostępu w ramach systemu zarządzania (nieupoważnieni pracownicy mieli dostęp do danych osobowych). link
Hiszpania 2020-02-18 1.500 EUR Mymoviles Europa 2000, S.L. Art. 13 RODO Hiszpański urząd ochrony danych stwierdził, że firma nie opublikowała oświadczenia o ochronie prywatności na swojej stronie internetowej oraz, że jej informacja prawna nie identyfikuje się w wystarczającym stopniu. link
Hiszpania 2020-02-14 2.500 EUR Grupo Valsor Y Losan, S.L. Art. 5 (1) f) RODO Administrator ujawnił dane osobowe stronie trzeciej w umowie zakupu nieruchomości (naruszenie zasad integralności i poufności danych osobowych). link
Hiszpania 2020-02-14 3.000 EUR Colegio Arenales Carabanchel (Szkoła) Art. 6 RODO Szkoła przekazała zdjęcia (a zatem dane osobowe) stronom trzecim, które opublikowały je bez podstawy żadnej prawnej. link
Hiszpania 2020-02-14 50.000 EUR Iberdrola Clientes Art. 6 RODO Iberdola Clientes, spółka energetyczna, rozwiązała umowę osoby, której dane dotyczą, bez jej zgody, zawarła trzy nowe umowy z osobą, której dane dotyczą, przetwarzała jego dane osobowe niezgodnie z prawem i przekazała dane osobowe powoda podmiotowi trzeciemu bez podstawy prawnej. link
Hiszpania 2020-02-14 42.000 EUR Vodafone España, S.A.U. Art. 5 (1) f) RODO, Art. 32 RODO Skarżący miał dostęp do danych stron trzecich w swoim osobistym profilu Vodafone link
Hiszpania 2020-02-14 30.000 EUR Xfera Moviles S.A. Art. 5 (1) f) RODO, Art. 32 RODO Strona trzecia miała dostęp do nazwiska, numeru telefonu i adresu innego klienta. link
Niemcy 2019-04-12 80.000 EUR Firma w sektorze finansowym Art. 5 RODO, Art. 32 RODO Średnie przedsiębiorstwo usług finansowych nie dochowało należytej staranności w celu zachowania integralności i poufności informacji w rozumieniu art. 5 ust. 1 lit. f RODO przy usuwaniu dokumentów zawierających dane osobowe dwóch klientów. W konsekwencji, bez uprzedniej anonimizacji, dokumenty zostały usunięte w ogólnym systemie recyklingu makulatury, w którym dokumenty zostały znalezione przez sąsiada. link
Niemcy 2019 51.000 EUR Facebook Germany GmbH Art. 37 RODO Facebook Ireland wyznaczył inspektora ochrony danych dla wszystkich spółek grupy z siedzibą w UE, jednak nie powiadomiono o tym DPA Hamburg, właściwego dla Facebook Germany GmbH. Grzywnę obliczono na podstawie obrotów niemieckiego oddziału (35 mln EUR). Istotny wpływ na wysokość kary miał fakt, że pominięte powiadomienie zostało natychmiast uzupełnione, Facebook działał niedbale i nie naruszył obowiązku wyznaczenia inspektora ochrony danych, a jedynie obowiązek powiadomienia. link
Niemcy 2019 20.000 EUR Hamburger Verkehrsverbund GmbH (HVV GmbH) Art. 33 RODO, Art. 34 RODO „W dniu 6 lipca 2018 r. HVV niemiecki organ nadzorczy został poinformowany przez klienta o luce w zabezpieczeniach na stronie www.hvv.de, która została spowodowana aktualizacją w dniu 5 lutego 2018 r. Luka dotyczyła tak zwanej E-usługi klienta (CES).
Klienci logowali się do CES, który posiadał kartę HVV i powiązali swoje konto klienta CES z co najmniej jednym aktywnym stosunkiem umownym w systemach działających w tle, zmieniając adres URL, mogli wyświetlać dane innych klientów, którzy mieli Kartę HVV. Naruszenie danych nie zostało zgłoszone organowi ochrony danych w odpowiednim czasie.”
link
Niemcy 2019 nieznana Hamburger Volksbank eG Art. 21 RODO Firma wysłała klientowi biuletyn z treściami reklamowymi pocztą elektroniczną, pomimo wcześniejszego sprzeciwu tego klienta. link
Hiszpania 2020-02-04 1.500 EUR Cafetería Nagasaki Art. 5 RODO, Art. 6 RODO Nagasaki Cafetería nie wywiązała się ze swoich obowiązków wynikających z RODO, ponieważ umieściła kamery monitorujące w taki sposób, aby monitorować przestrzeń publiczną poza jej lokalami, co nieproporcjonalnie dotknęło pieszych. link
Hiszpania 2020-02-03 60.000 EUR Xfera Moviles S.A. Art. 5 RODO, Art. 6 RODO Osoba, której dane dodyczą złożyła skargę na Vodafone España, która bez wiedzy tej osoby, podpisała umowę na przeniesienie abonamentu telefonicznego ze stroną trzecią. W rezultacie osoba skarżąca otrzymywała e-maile od strony trzeciej w sprawie dokonanego zakupu. link
Hiszpania 2020-02-03 75.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba, której dane dodyczą złożyła skargę na Vodafone España, która bez wiedzy tej osoby, podpisała umowę na przeniesienie abonamentu telefonicznego ze stroną trzecią. W rezultacie osoba skarżąca otrzymywała e-maile od strony trzeciej w sprawie dokonanego zakupu. link
Hiszpania 2020-02-03 60.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Osoba otrzymała fakturę za korzystanie z usługi, której nigdy nie żądała. Dane tej osoby zostały włączone do systemów informatycznych Vodafone España bez jej zgody na przetwarzanie. Grzywna w wysokości 100 000 EUR została obniżona do 60 000 EUR z powodu dobrowolnej zapłaty. link
Hiszpania 2020-02-03 50.000 EUR Vodafone España, S.A.U. Art. 5 RODO Grzywnę poprzedziła skarga osoby, której dane dotyczą, która twierdziła, że ​​Vodafone España przesłała sąsiadowi faktury zawierające jego dane osobowe, takie jak imię i nazwisko, dowód tożsamości i adres. link
Hiszpania 2020-02-03 20.000 EUR Iberia Lineas Aereas de Espana, S.A. Operadora Unipersonal Art. 5 RODO, Art. 6 RODO, Art. 21 RODO Iberia, pomimo żądania wycofania zgody oraz usunięcia danych, w dalszymciągu wysyłała e-maile do osoby, której dane dotyczą. link
Hiszpania 2020-02-03 75.000 EUR Vodafone España, S.A.U. Art. 5 RODO, Art. 6 RODO Były klient firmy w dalszym ciągu otrzymywał powiadomienia na fakturze, chociaż w tym czasie nie było ani stosunku umownego, ani jakiejkolwiek płatności zaległej z powodu wygasłego stosunku umownego. Jako przyczynę nieprawidłowych wysyłek Vodafone wskazał błąd techniczny. link
Hiszpania 2020-02-03 6.670 EUR Banco Bilbao Vizcaya Argentaria S.L. Art. 5 RODO, Art. 6 RODO, Art. 21 RODO Firma, pomimo wniesienia sprzeciwu, wielokrotnie wysyłała komunikaty reklamowe do osoby, której dane dotyczą. link
Hiszpania 2020-02-03 5.000 EUR Queseria Artesenal Ameco S.L. Art. 5 RODO, Art. 6 RODO Firma przetwarzała dane osobowe klientów bez wymaganej zgody. link
Hiszpania 2020-02-03 800 EUR Automoción Art. 5 RODO, Art. 6 RODO Pracownik firmy utworzył fałszywy profil koleżance na portalu erotycznym (zawierał m.in. jej dane kontaktowe, zdjęcie oraz informacje o orientacji seksualnej. Osoba, której dane dotyczą, otrzymała kilka telefonów od zainteresowanych profilem. Pierwotna grzywna miała wynosić 1000 EUR ale z powodu zaburzenia osobowości ukarnaego zminiejszono ją do 800 EUR. link
Hiszpania 2020-01-14 3.600 EUR Zhang Bordeta 2006, S.L. (Store and Restaurant) Art. 5 RODO Właściciel sklepu i restauracji zainstalował system nadzoru wideo, który m.in. robił zdjęcia chodnika, a tym samym przestrzeni publicznej, co narusza podstawową zasadę minimalizacji danych. link
Niemcy 2019-10-24 100.000 EUR Firma spożywcza Art. 5 RODO, Art. 32 RODO Firma utworzyła portal aplikacyjny na swojej stronie internetowej. Zainteresowane osoby mogły składać dokumenty aplikacyjne oneline. Firma nie zabezpieczyła danych poprzez np. zaszyfrowanie lub wprowadzenie hasła.Ponadto niezabezpieczone dane wnioskodawcy zostały połączone z Google, aby każdy, korzystający z wyszukiwarki Google, mógł również znaleźć dokumenty aplikacji i mieć do nich dostęp bez ograniczonego dostępu. link
Włochy 2020-01-15 10.000 EUR Community of Francavilla Fontana Art. 5 RODO, Art. 6 RODO Społeczność opublikowała na swojej stronie internetowej informacje o procesie sądowym, w tym dane osobowe, np dotyczące stanu zdrowia. link
Norwegia 2019-04-29 120.000 EUR Wydział Edukacji Miejskiej w Oslo Art. 32 RODO Gmina wprowadziła aplikację służącą do komunikacji między pracownikami szkoły, rodzicami i uczniami. Gmina nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa. Norweski urząd ochrony danych nie znalazł żadnych środków technicznych, które mogłyby zabezpieczyć dane szczególnych kategorii danych (np. dane dotyczące stanu zdrowia). Ponadto organ nazdorczy stwierdził, że aplikacja zawiera luki w zabezpieczeniach przed jej uruchomieniem z powodu nieodpowiednich testów bezpieczeństwa, oraz że niewystarczające bezpieczeństwo logowania umożliwia nieupoważnionym o dostęp i modyfikację danych osobowych ponad 63 000 studentów. link
Włochy 2020-01-15 27.800.000 EUR TIM (operator telekomunikacyjny) Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO „Kara została nałożona między innymi za:

  • brak zgody na działania marketingowe (telemarketing i cold calling),
  • nieprawidłowe zgody zbierane w aplikacjach TIM,
  • brak odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych (w tym nieprawidłową wymianę czarnych list z call center),
  • brak jasnych okresów przechowywania danych.

Organ nadzorczy nałożył również na TIM 20 środków naprawczych, zabraniając wykorzystywania danych osobowych do celów marketingowych od tych, którzy odmówili otrzymywania połączeń promocyjnych z centrów obsługi telefonicznej.”

link
Grecja 2020-01-13 15.000 EUR Allseas Marine S.A. Art. 5 (1) a), (2) RODO Grecki organ nadzorczy ds. ochrony danych osobowych nałożył karę finansową za niezgodne z prawem wprowadzenie systemu nadzoru wideo w miejscu pracy (zakres danych pracowników przetwarzanych przez monitoring) oraz za brak poinformowania pracowników o wprowadzonym systemie nadzoru wideo.
Grecja 2019-12-19 150.000 EUR Aegean Marine Petroleum Network Inc. Art. 5 RODO, Art. 6 RODO, Art. 32 RODO Aegean Marine Petroleum nie podjęło niezbędnych środków technicznych w celu zabezpieczenia przetwarzania dużych ilości danych i oddzielenia odpowiedniego oprogramowania z danymi osobowymi przechowywanymi na serwerach. W konsekwencji firmy spoza Aegean Marine Petroleum Group miały dostęp do serwerów zawierających dane osobowe i skopiowały zawartość tych serwerów. Ponadto Aegean Marine Petroleum nie poinformowało osób, których dane dotyczą, o przetwarzaniu ich danych osobowych przechowywanych na serwerach.
Niemcy 2019 294.000 EUR Nieznany Art. 5 RODO Firma została ukarana grzywną w wysokości 294 000 EUR za „niepotrzebnie długie” przechowywanie akt osobowych oraz za „nadmierne” gromadzenie danych w procesie selekcji personelu, podczas którego zażądano również danych dotyczących zdrowia. link
Włochy 2019-12-11 8.500.000 EUR Eni Gas e Luce Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Pierwsza grzywna w wysokości 8,5 mln EUR dotyczy nielegalnego przetwarzania w związku z działalnością telemarketingową i telesprzedaży. Połączenia promocyjne były wykonywane między innymi bez zgody osoby, z którą nawiązano kontakt lub pomimo odmowy przez nią otrzymania połączeń promocyjnych lub bez uruchamiania specjalnych procedur sprawdzania publicznego rejestru rezygnacji. Ponadto brakowało środków technicznych i organizacyjnych uwzględniających informacje przekazywane przez użytkowników; dane były przetwarzane dłużej niż dozwolone okresy przechowywania danych; a dane dotyczące potencjalnych klientów zostały zebrane od podmiotów (dostawców list), którzy nie uzyskali zgody na ujawnienie takich danych. link
Włochy 2019-12-11 3.000.000 EUR Eni Gas e Luce Art. 5 RODO, Art. 6 RODO Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Druga grzywna w wysokości 3 mln EUR dotyczy naruszeń wynikających z zawarcia niezamówionych umów na dostawę energii elektrycznej i gazu na warunkach gospodarki rynkowej. Wiele osób skarżyło się Urzędowi, że dowiedziały się o zawarciu nowej umowy dopiero po otrzymaniu pisma o wypowiedzeniu umowy z poprzednim dostawcą lub pierwszych faktur Egl. W niektórych przypadkach skargi zgłaszały fałszywe informacje w umowach i fałszywe podpisy. link
Rumunia 2019-12-16 6.000 EUR SC Enel Energie S.A. (Electricity Distributor) Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 21 RODO Sankcje zostały nałożone w następstwie skargi, w której Enel Energie przetwarzał dane osobowe osoby w sposób niezgodny z prawem i nie był w stanie udowodnić, że uzyskał zgodę tej osoby na wysyłanie powiadomień e-mail. Ponadto rumuński urząd ds. ochrony danych osobowych wskazał, że operator nie podjął niezbędnych środków w celu zaprzestania przesyłania powiadomień, mimo że osoba ta wielokrotnie korzystała z prawa do sprzeciwu. Operator SC Enel Energie SRL został ukarany z naruszeniem dwóch grzywn, każda w wysokości 14 334,30 lei, co stanowi równowartość 3000 EUR. link
Rumunia 2019-12-13 5.000 EUR Entirely Shipping & Trading S.R.L. Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODO Firma nadmiernie przetwarzała dane osobowe swoich pracowników za pomocą kamer wideo zainstalowanych w biurach oraz w miejscach, w których znajdują się szafki, w których pracownicy przechowują swoje zapasowe ubrania (szatnie) (naruszenie zasady „minimalizacji danych”) link
Rumunia 2019-12-13 5.000 EUR Entirely Shipping & Trading S.R.L. Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODO, Art. 9 RODO Firma przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, przy użyciu twardych i mniej inwazyjnych środków ochrony prywatności osób, których dane dotyczą (naruszenie zasady „minimalizacji danych”) link/td>
Cypr 2020-01-13 9.000 EUR Social Insurance Services of the Ministry of Labor, Welfare and Social Insurance Art. 32 RODO Przyznanie nieuprawnionemu podmiotowi dostępu do danych osobowych (w tym wypadku policji). Mimo zaleceń inspektora – zastosowanie nieadekwatnych środków w celu ochrony danych. link
Cypr 2020-01-13 1.000 EUR eShop for Sports (M.L. PRO.FIT SOLUTIONS LTD) Art. 6 RODO Firma wysyłąłą wiadomości marketingowe SMS bez otrzymania na to zgody. Przede wszystkim nie pojdęto żadnych odpowiednich środków, takich jak możliwość zablokowania przez użytkowników telefonu wiadomości marketingowych z eShop for Sports poprzez rezygnację z otrzymywania wiadomości marketingowych SMS. link
Hiszpania 2020-01-09 3.000 EUR VODAFONE ESPANA, S.A.U. Art. 58 RODO Firma nie dostarczyła hiszpańskiemu urzędowi ochrony danych wymaganych informacji w wyznaczonym terminie. Stanowiło to naruszenie art. 58 RODO. link
Hiszpania 2020-01-07 44.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 (1) f) RODO Firma wysłała umowę, która zaiwerała dane osobowe (nazwa, adres i numer telefonu wnioskodawcy), do niewłaściwego odbiorcy. link
Hiszpania 2020-01-07 75.000 EUR EDP España S.A.U. Art. 6 RODO Firma przetwarzała dane osobowe, takie jak imię i nazwisko, numer identyfikacji podatkowej, adres i numer telefonu komórkowego bez zgody osoby, której dane dotyczą link
Hiszpania 2020-01-07 75.000 EUR EDP Comercializadora, S.A.U. Art. 6 RODO Firma przetwarzała dane osobowe w związku z umową gazową bez zgody wnioskodawcy. W decyzji stwierdzono, że wnioskodawca otrzymał fakturę za umowę gazową, której nie podpisał. EDP Comercializadora uważa, że przetwarzanie danych jest uzasadnione, ponieważ skarżący jest stroną umowy z innym przedsiębiorstwem energetycznym, które z kolei zawarło umowę na dostawę z EDP Comercializadora. Hiszpański urząd ochrony danych stoi na stanowisku, że EDP Comercializadora powinno udowodnić, że osoba, której sprawa dotyczy, zgodziła się na umowę z drugim podmiotem, a nie tylko z jego bezpośrednim dostawcą energii. link
Hiszpania 2020-01-07 10.000 EUR Asociación de Médicos Demócratas Art. 6 RODO Asociación de Médicos Demócratas przetwarzało dane osobowe swoich członków, bez ich zgody. Przetwarzanie odbywało się pomimo ostrzeżenia hiszpańskiego urzędu ochrony danych osobowych. link
Rumunia 2019-12-10 14.000 EUR Hora Credit IFN SA Art. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 33 RODO Sankcje zostały zastosowane w wyniku skargi, w której Hora Credit IFN SA przekazał dokumenty zawierające dane osobowe innej osoby na niewłaściwy adres e-mail. W wyniku dochodzenia ustalono, że Hora Credit IFN SA przetwarzał dane bez zapewnienia skutecznych mechanizmów weryfikacji i walidacji dokładności gromadzonych danych przetwarzanych zgodnie z zasadami określonymi w art. 5 RODO. Stwierdzono również, że operator nie podjął wystarczających środków bezpieczeństwa w odniesieniu do danych osobowych, zgodnie z art. 25 i 32 RODO, aby uniknąć nieuprawnionego i dostępnego ujawnienia danych osobowych stronom trzecim. Jednocześnie Hora Credit IFN SA nie powiadomił organu nadzorczego o zdarzeniu naruszającym bezpieczeństwo, o którym zostało powiadomione, zgodnie z art. 33 RODO, w ciągu 72 godzin od dnia, w którym dowiedział się o tym. Grzywna składa się z trzech częściowych grzywien w wysokości 3000 EUR, 10000 EUR i 1000 EUR. link
Cypr 2019-10-25 70.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Cypr 2019-10-25 10.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Cypr 2019-10-25 2.000 EUR LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd Art. 6 RODO, Art. 9 RODO W decyzji stwierdzono, że zastosowanie wskaźnika Bradforda do profilowania i monitorowania zwolnienia chorobowego stanowi niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70 000 EUR, 10 000 EUR i 2 000 EUR. link
Wielka Brytania 2019-12-20 320.000 EUR Doorstep Dispensaree Ltd. (Apteka ) Art. 32 RODO Niedostateczny dobór środków zabezpieczających dane osobowe. Firma przechowała około 500 000 dokumentów zawierających nazwiska, adresy, daty urodzenia, numery NHS (numer ten podawany jest pacjentowi na piśmie podczas rejestracji w przychodni zdrowia (GP Practice). Numer NHS pomaga personelowi służby zdrowia uzyskać dostęp do danych medycznych pacjenta) oraz informacje medyczne i recepty w niezamkniętych, niezabezpieczonych pojemnikach, co spowodowało zalanie tych dokumentów i częściowe ich uszkodzenie. link
Rumunia 2019-12-18 2.000 EUR Telekom Romania Mobile Communications SA Art. 32 RODO Firma nie zachowała należytej starnooności przetwarzając dane osobowe swoich klientów – dane osobowe klienta ujawniła innemu klientowi. link
Bułgaria 2019-10-28 511 EUR firma nieznana Art. 12 (3) RODO, Art. 15 (1) RODO Pracowca został ukarany za odmowę udzielenia dostępu do danych osobowych byłemu pracownikowi, który o to wnioskował (prawo dostępu do danych osobowych). link
Węgry 2019-12-11 1.430 EUR firma nieznana art. 5 RODO, art. 6 RODO, art. 13 RODO, art. 24 RODO, art 25 RODO Firma przetwarzała prywatne emaile byłego pracownika bez podstawy prawnej i tym samym łamiąc przepisy dotyczące przechowywania danych. link
Rumunia 2019-11-29 500 EUR Stowarzyszenie właścicieli domów Art. 32 RODO Stowarzyszenie korzystało z monitoringu bez udzielenia odpowiednich informacji o tym (brak tzw. obowiązku informacyjnego wynikającego z art. 13 RODO) oraz zostały zastosowane nieodpowiednie środki zabezpieczajace w związku z dostępem do systemu. link
Hiszpania 2019-10-01 5.000 EUR Shop Macoyn, S.L. Art. 32 RODO Firma wysłała e-maile reklamowe z możliwością odczytu wszystkich adresatów. Adresy e-mail wszystkich odbiorców były widoczne, ponieważ zostały wysłane jako DW – do wiadomości (zamiast UDW – ukryte do wiadomości). link
Bułgaria 2019-10-08 5.112 EUR Ministerstwo Spraw Wewnętrznych Art. 5 (1) RODO, Art. 6 (1) RODO Ministerstwo Spraw Wewnętrznych zostało ukarane za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą A.K. Ministerstwo Spraw Wewnętrznych przesłało dane osobowe A.K. do Republiki Togijskiej (Togo). link
Bułgaria 2019-10-07 511 EUR B.D. Art. 31 RODO B.D. otrzymało karę pieniężną za brak dostępu do informacji potrzebnych Komisji Ochrony Danych Osobowych do wykonania jej zadań i wydawaniaa dyspozycji. link
Bułgaria 2019-09-03 1.022 EUR Usługi telekomunikacyjne Art. 6 (1) RODO, Art. 25 (1) RODO Dostawca usług telekomunikacyjnych i jego przedstawiciel handlowy w Bułgarii zostali ukarani za niezgodne z prawem przetwarzanie danych osobowych – w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 5.113 EUR Usługi telekomunikacyjne Art. 6 (1) RODO, Art. 25 (1) RODO Przedstawiciel handlowy dostawcy usług telekomunikacyjnych został ukarany za niezgodne z prawem przetwarzanie danych osobowych – w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 11.760 EUR Przedstawiciel handlowy dostawcy usług telekomunikacyjnych Art. 6 (1) RODO Przedstawiciel handlowy dostawcy usług telekomunikacyjnych został ukarany za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą – dane były przetwarzane niezgodnie z prawem w celu zawarcia umowy na usługi mobilne i umowy dzierżawy. link
Bułgaria 2019-09-03 1.121 EUR Prywatny agent egzekucyjny Art. 12 (4) RODO, Art. 15 RODO Osoba, której dane dotyczą, złożyla wniosek o dostęo do swoich danych osobowych zarejestrowanych w formie wideo. Firma nie udzieliła dostępu i nie poinformowała o przyczynie odrzucenia wniosku. link
Węgry 2019-10-24 7.400 EUR Szpital wojskowy Art. 32 RODO
Art. 33 RODO
Szpital wojskowy nie dotrzymał terminu zgłoszenia naruszenia danych. Kolejna część grzywny dotyczy niezastosowania odpowiednich środków technicznych i organizacyjnych. link
Hiszpania 2019-11-19 6.000 EUR Bar sportowy Art. 5 (1) c) RODO Kamery monitoringu swoim zasięgiem obejmowały obszar publiczny link
Hiszpania 2019-11-06 60.000 EUR VODAFONE ESPANA, S.A.U. Art. 6 RODO Vodafone wysłał dane do faktury klienta do nieautoryzowanych stron trzecich. Pierwotnie grożono grzywną w wysokości 75 000 EUR, ale obniżono ją do 60 000 EUR w związku z natychmiastową zapłatą i uchyleniem odwołania. link
Hiszpania 2019-10-23 60.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 (1) f) RODO Vodafone, w ramach reklamacji, przesłał subskrybentowi historię faktur. Historia zawierała również dane do faktury nieznanej strony trzeciej. link
Rumunia 2019-12-02 2.000 EUR Nicola Medical Team 17 SRL Art. 58 RODO Firma nie zastosowała środków zarządzonych przez krajowy urząd ochrony danych. link
Holandia 2019-10-31 50.000 EUR Menzis (Health Insurance Company) Art. 5 RODO Zespół marketingowy miał dostęp do danych pacjentów. Naruszało to między innymi zasadę ograniczenia celu. link
Grecja 2019-10-18 20.000 EUR Wind Hellas Telecommunications Art. 21 RODO Firma zignorowała sprzeciwy osób, które otrzymywały telefony z ofertami reklamowymi.
Szwecja 2019-12-16 35.000 EUR Nusvar AB Art. 6 RODO Szwedzki organ ochrony danych nałożył grzywnę administracyjną w wysokości 35 000 EUR na Mrkoll.se – stronę internetową, która publikuje dane osobowe wszystkich Szwedów w wieku powyżej 16 lat – za naruszenie Ustawy o informacji kredytowej. link
Niemcy 2019 800 EUR Policja Art. 6 RODO Policjant wykorzystał dane osobowe świadka, aby skontaktować się z nim w prywatnym celu. link
Hiszpania 2019-12-10 1.600 EUR Megastar SL Art. 5 (1) c) RODO
Art. 13 RODO
Firma obsługiwała system nadzoru wideo, w którym oko kamery niepotrzebnie sięgało do strefy ruchu publicznego. Ponadto, nie została umieszczona informacja o ochronie danych osobowych.
Hiszpania 2019-12-03 1.500 EUR Cerrajeria Verin S.L. Art. 13 RODO Firma obsługiwała system nadzoru wideo, w którym oko kamery niepotrzebnie sięgało do strefy ruchu publicznego. Ponadto, nie została umieszczona informacja o ochronie danych osobowych. link
Hiszpania 2019-12-03 5.000 EUR Linea Directa Aseguradora Art. 6 RODO Firma ubezpieczeniowa bez wymaganej zgody wysłała e-maile reklamowe na platformę „Reto Nuez”. link
Rumunia 2019-12-16 2.000 EUR Globus Score SRL Art. 58 RODO Firma nie zastosowała się do środków zarządzonych przez krajowy organ nadzoru. link
Rumunia 2019-11-26 3.000 EUR Modern Barber Art. 58 RODO Firma nie zastosowała się do środków zarządzonych przez krajowy urząd ochrony danych. link
Bułgaria 2019-09-03 28.160 EUR National Revenue Agency Art 6 (1) RODO, Art 58 (2) e) RODO, Art 83 (5) a) RODO Krajowa Agencja Skarbowa została ukarana karą pieniężną za niezgodne z prawem przetwarzanie danych osobowych G.B.I. Dane osobowe G.B.I. zostały bezprawnie zebrane, a następnie wykorzystane do rozpoczęcia procedury egzekucyjnej (w celu odzyskania ok 86.596,00 EUR). W związku z utworzoną sprawą egzekucyjną Krajowa Agencja Skarbowa zebrała dodatkowe dane dotyczące rachunków bankowych G.B.I z rejestru Narodowego Banku Bułgarii. Dodatkowe zgromadzone dane były również przetwarzane niezgodnie z prawem przez Krajową Agencję Skarbową podczas wysyłania nakazów poręczenia do banków, z którymi G.B.I. miał konta bankowe. link
Węgry 2019-10-01 15.100 EUR Miasto Kerepes Art. 6 (1) RODO Miasto korzystało z monitoringu na podstawie swoich uzasadnionych interesów (art. 6 ust. 1 lit. f) Jednak zgodnie z przepisem tego samego artykułu – powołana podstawa prawna nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoch zadań. Przetwarzanie nie mogło opierać się na innej podstawie prawnej. link
Hiszpania 2019-11-28 75.000 EUR Curenergía Comercializador de último recurso Art. 6 RODO An individual filed a complaint against the company alleging that the company had used its personal data as a former customer, such as first and last name, VAT identification number and address, to enter into an electricity supply contract. link
Hiszpania 2019 21.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 (1) RODO Vodafone przetwarzałł dane osobowe powoda (dane bankowe, imię, nazwisko i krajowy numer identyfikacyjny) wiele lat po zakończeniu stosunku umownego. Grzywna w wysokości 35 000 EUR została obniżona do 21 000 EUR. link
Hiszpania 2019 36.000 EUR VODAFONE ONO, S.A.U. Art. 5 (1) f) RODO Firma wysłała marketingową wiadomość mailową do dużej ilości osób, bez ukrycia adresów email odbiorów. Początkowa kara 60.000 EUR została obniżona do kwoty 36.000 EUR. link
Hiszpania 2019 48.000 EUR VODAFONE ONO, S.A.U. Art. 32 RODO Klienci mieli dostęp do danych osobowych innych klientów w strefie klienta. Początkowa grzywna w wysokości 60 000 EUR została obniżona do 48 000 EUR. link
Hiszpania 2019 48.000 EUR TELEFONICA MOVILES ESPAÑA, S.A.U. Art. 5 (1) a) RODO Rachunek bankowy powoda został obciążony przez firmę dwiema fakturami za usługi, które zlecił, jednak z danymi osobowymi innego klienta. Początkowa grzywna w wysokości 60 000 EUR została obniżona do 48 000 EUR. link
Hiszpania 2019 30.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 5 (1) f) RODO
Art. 32 RODO
Ujawnienie danych osobowych klientów (m.in. historia zakupów) za pośrednictwem wiadomości SMS do innego klienta. Początkowa grzywna w wysokości 50 000 EUR została obniżona do 30 000 EUR. link
Hiszpania 2019 40.000 EUR VODAFONE ESPAÑA, S.A.U. Art. 6 RODO Firma obciążyła powoda za niezamówioną przez niego usługę (Netflix). Powód mógł udowodnić, że z usługi korzystało inne gospodarstwo domowe, które rzekomo otrzymało rachunek bankowy i numer telefonu powoda od Vodafone. Ponieważ Vodafone nie mógł udowodnić, że powód wyraził zgodę na zawarcie umowy dotyczącej usług Netflix, AEPD nałożyła grzywnę w wysokości 40 000 EUR. link
Hiszpania 2019 20.000 EUR Indywidualny Art. 5 (1) c) RODO Kamery nadzoru wideo były nie tylko wykorzystywane do ochrony mienia, ale także monitorowały pracowników (naruszenie zasady minimalizacji danych). link
Hiszpania 2019 9.000 EUR Indywidualny Art. 5 (1) c) RODO Kamery nadzoru wideo były nie tylko wykorzystywane do ochrony mienia, ale także monitorowały pracowników (naruszenie zasady minimalizacji danych). link
Hiszpania 2019 3.600 EUR AMADOR RECREATIVOS, S.L Art. 5 (1) c) RODO Nieuzasadniony monitoring przestrzeni publicznej. Nieprzestrzeganie zasady minimalizacji danych. link
Niemcy 2019-12-09 9.550.000 EUR Dostawca usług telekomunikacyjnych (1 & 1 Telecom GmbH) Art. 32 RODO Administrator to firma oferująca usługi telekomunikacyjne. Dzwoniący do firmy mogli uzyskać obszerne informacje na temat ich klientów. Wystarczyło podać imię i datę urodzenia. W tej procedurze uwierzytelnienia BfDI narusza art. 32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych nałożona grzywna znajdowała się w dolnej części skali. link
Niemcy 2019-12-09 10.000 EUR Rapidata GmbH Art. 37 RODO Pomimo wielokrotnych wniosków BfDI firma (dostawca Internetu) nie wywiązała się z obowiązku prawnego na mocy art. 37 RODO dotyczącego wyznaczenia inspektora ochrony danych. link
Rumunia 2019-12-04 20.000 EUR S CNTAR TAROM SA (Airline) Art. 32 RODO Linie lotnicze nie podjęły odpowiednich środków w celu zapewnienia bezpieczeństwa danych osobowych. Pracownicy lini lotniczych nie przetwarzały danych osobowych zgodnie z procedurami (art. 32 ust.4 RODO). W konsekwencji jeden z pracowników miał nieupraniony dostęp do aplikacji związanej z rezerwacjami. Sfotografował listę z danymi osobowymi 22 pasażerów / klientów, a następnie opublikował ją w Internecie. link
Niemcy 2019-12-03 105.000 EUR Szpital Art. 5 RODO Grzywna oparta jest na kilku naruszeniach podstawowego rozporządzenia o ochronie danych w związku z pomyłkami podczas przyjmowania pacjentów. Doprowadziło to do nieprawidłowego fakturowania i ujawniło strukturalne deficyty techniczne i organizacyjne w zarządzaniu informacjami o pacjentach w szpitalu. link
Hiszpania 2019-12-01 10.000 EUR Ikea Ibérica Art. 6 RODO Firma zainstalowała pliki cookie na urządzeniu końcowym użytkowników końcowych bez uprzedniej zgody osoby, której dane dotyczą link
Rumunia 2019-11-29 2.500 EUR Royal President S.R.L Art. 15 RODO,
Art. 6 RODO,
Art. 32 RODO
Royal President odrzucił wniosek o dostęp do danych osobowych zgodnie z art.15 RODO i ujawnił dane osobowe bez zgody osób, których dane dotyczą. Ponadto nie podjęto odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanych danych. link
Belgia 2019-11-28 5.000 EUR Burmistrz Art. 6 RODO Kara za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail były zbierane w innym celu. link
Belgia 2019-11-28 5.000 EUR Radny miejski Art. 6 RODO Kara za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail były zbierane w innym celu. link
Rumunia 2019-11-28 80.000 EUR ING Bank N.V. Bucharest Art. 32 RODO ING Bank nie podjął odpowiednich środków technicznych i organizacyjnych dla systemu zautomatyzowanego przetwarzania danych podczas procesu rozliczania transakcji kart dotyczących 225 525 klientów, co spowodowało podwójne transakcje realizowane między 8 a 10 października. link
Francja 2019-11-21 500.000 EUR Futura Internationale Art. 5 RODO,
Art. 6 RODO,
Art. 13 RODO,
Art. 14 RODO,
Art. 21 RODO
Futura Internationale została ukarana za bezprawny marketing telefoniczny pomimo zakazu kilku skarżących. Dochodzenie francuskiego urządu ochrony danych w sprawie Futura Internationale ujawniło, że Futura Internationale otrzymała kilka listów w sprawie sprzeciwu wykonywania marketingu telefonicznego oraz, że firma przechowywała nadmiarowe informacje o klientach i ich zdrowiu. Futura Internationale nie wywiązała się ze spełnienia obowiązku informacyjnego wobec osób, których dane przetwrzała, w tym nie udzielała informacji o nagrywaniu rozmów telefonicznych. link
Hiszpania 2019-11-19 60.000 EUR Xfera Moviles S.A. Art. 32 RODO Indywidualny skarżący otrzymał SMS od Xfera Móviles, który miał być adresowany do strony trzeciej i który umożliwiał mu dostęp do konta i danych osobowych tej strony trzeciej na stronie internetowej Xfera Móviles (za pośrednictwem numeru telefonu i hasła otrzymanego przez SMS). link
Łotwa 2019-11 150.000 EUR Nieznany Art. 6 RODO Nielegalne przetwarzanie danych. Brak dalszych informacji. link
Rumunia 2019-11-25 11.000 EUR Courier Services Company Art. 32 RODO Administrator nie podjął odpowiednich środków technicznych i organizacyjnych prowadzących do utraty i nieuprawnionego dostępu do danych osobowych (imię i nazwisko, numer karty bankowej, kod CVV, adres posiadacza karty, osobisty numer identyfikacyjny, numer seryjny i dowód osobisty, numer rachunku bankowego, autoryzowany limit kredytowy) około 1100 osób, których dane dotyczą. link
Rumunia 2019-11-22 2.000 EUR BNP Paribas Personal Finance S.A. Art. 12 RODO
Art. 17 RODO
BNP Paribas Personal Finance nie zareagował na żądanie usunięcia danych w terminie określonym w RODO. link
Hiszpania 2019-11-21 60.000 EUR Viaqua Xestión Integral Augas de Galicia Art. 6 RODO Przetwarzanie (modyfikacja) danych osobowych klienta zawartych w umowie przez osobę trzecią bez zgody klienta. link
Hiszpania 2019-11-19 60.000 EUR Corporacion de radio y television espanola Art. 32 RODO Utrata sześciu pamięci USB z nieszyfrowanymi danymi osobowymi link
Hiszpania 2019-11-14 30.000 EUR Telefónica SA Art. 5 RODO Telefónica obciążył skarżącego różnymi opłatami związanymi z obsługą linii telefonicznej, której skarżący nigdy nie posiadał. Rachunek bankowy skarżącego został powiazany z innym klientem Telefónica i tym samym został obciążony. Według hiszpańskiego urzędu ochrony danych jest to sprzeczne z zasadą dokładności wymaganą w art. 5 ust. 1 lit. d RODO. link
Niemcy 2019 80.000 EUR Nieznany Art. 32 RODO Brak odpowiednich mechanizmów kontroli wewnętrzej spowodowował udostępnienie w publikacji cyfrowej danych dotyczących stanu zdtowia. link
Polska 2019-10-16 47.000 EUR ClickQuickNow Art. 5 RODO UODO nałożyło grzywnę za utrudnianie korzystania z prawa odstąpienia od przetwarzania danych osobowych. Firma nie podjęła odpowiednich środków technicznych i organizacyjnych, które pozwalają na proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz korzystanie z prawa do żądania usunięcia danych osobowych. link
Portugalia 2019-03-19 2.000 EUR Nieznany Art. 13 RODO Brak sygnalizacji dotyczącej korzystania z systemów CCTV link
Hiszpania 2019-11-13 3.000 EUR General Confederation of Labour (‚CGT’) Art. 6 RODO CGT bez zgody osoby oskarżającej firmę o molestowanie, w celu zwołania spotkania przesłała do 400 członków związku wiadomość email zawierającą dane osobowe powoda, w tym: adres domowy, stosunki rodzinne, stan ciąż oraz datę rozprawy. link
Hiszpania 2019-11-07 900 EUR TODOTECNICOS24H S.L Art. 13 RODO TODOTECNICOS24H zebrał dane osobowe bez podania dokładnych informacji na temat gromadzenia danych w obowiązku informacyjnym zgodnym z art.13 RODO. link
Hiszpania 2019-11-06 1.500 EUR Cerrajero Online Art. 13 RODO Firma zgromadziła dane osobowe bez podania dokładnych informacji na temat gromadzenia danych w obowiązku informacyjnym zgodnym z art.13 RODO. link
Hiszpania 2019-10-31 6.000 EUR Jocker Premium Invex Art. 6 RODO Po zarejestrowaniu się w lokalnym spisie powszechnym Jocker Premium Invex wysłał reklamy i oferty handlowe za pośrednictwem poczty, chociaż dane takie jak imię, nazwisko i adres pocztowy zostały przekazane jedynie administracji publicznej. link
Hiszpania 2019-10-25 36.000 EUR VODAFONE ESPANA, S.A.U. Art. 5 RODO
Art. 6 RODO
Dane powoda zostały przekazane firmie Vodafone España za pośrednictwem jego córki oraz za jego zgodą. Vodafone España skontaktowało się z powodem proponując swoje usługi. Powód nie przyjął oferty, mimo to firma Vodafone España rozpoczęła świadczene usług i rządał za nie zapłaty. Vodafone España przetworzyło dane osobowe powoda bez zgody powoda. link
Hiszpania 2019 12.000 EUR Restauracja Art. 5 (1) a) ROD
Art. 6 RODO
Restauracja chciała nałożyć sankcje dyscyplinarne na pracownika wykorzystującego obrazy wideo z telefonu komórkowego, który w celach dowodowych, został nagrany przez innego pracownika. link
Hiszpania 2019 12.000 EUR  Madrileña Red de Gas Art. 32 RODO Firma gazowa nie wprowadziła odpowiednich procedur w celu weryfikacji tożsamości osoby, której dane dotyczą. link
Holandia 2019-10-31 900.000 EUR UWV (Dutch employee insurance service provider) Art. 32 RODO Niewystarczający dobór środków zabezpieczających, ponieważ UWV (holenderski dostawca usług ubezpieczenia pracowników – „Uitvoeringsinstituut Werknemersverzekeringen”) nie korzystał z uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do internetowego portalu pracodawców. Pracodawcy oraz służby zdrowia i bezpieczeństwa były w stanie gromadzić i wyświetlać dane dotyczące zdrowia pracowników w systemie ewidencji nieobecności. link
Słowacja ? Art. 15 RODO Administrator danych nie zastosował się do wniosku osoby, której dane dotyczą, o dostęp do jego danych osobowych przetwarzanych przez nagrania dźwiękowe. link
Słowacja Art. 5 (1) f) RODO,
Art. 32 RODO
Dokumenty zawierające dane osobowe zostały wyrzucone na wysypisko śmieci link
Słowacja ? Art. 5 (1) a) ROD
Art. 32 RODO
Naruszenie środków bezpieczeństwa informacji (w tej chwili brak dalszych informacji) link
Słowacja ? Art. 5 (1) a) ROD
Art. 6 (1) a) RODO
Dane osobowe zostały bezprawnie opublikowane na stronie internetowej miasta w ramach wypełniania obowiązku ujawnienia zgodnie z ustawą o wolności informacji. Jednak organ ochrony danych stwierdził, że miasto opublikowało dane osobowe z naruszeniem prawa i bez zgody zainteresowanej osoby. link
Słowacja 40.000 Slovak Telekom Art. 32 RODO Administrator nie podjął odpowiednich środków bezpieczeństwa podczas przetwarzania danych osobowych, naruszając w ten sposób obowiązek ochrony przetwarzanych danych osobowych. link
Słowacja 50.000 EUR Social Insurance Agency Art. 32 RODO Wnioski o świadczenia socjalne od obywateli Słowacji przesłano pocztą do władz zagranicznych. Dokumenty zawierające dane osobowe zaginęły, a zlokalizowanie ich bylo niemożliwe. link
Czechy 3.140 EUR UniCredit Bank Czech Republic and Slovakia, a.s. Art. 6 RODO Bank założył osobiste konto bankowe dla osoby, której dane dotyczą, bez jego zgody lub wiedzy. Bank podobno miał swoje dane osobowe, ponieważ podmiot pozbył się konta firmowego swojego pracodawcy. Bank nie był w stanie dostarczyć Urzędowi Ochrony Danych Osobowych niezbędnej dokumentacji potwierdzającej zawarcie umowy z osobą, której dane dotyczą. link
Czechy  588 EUR  Alz.cz a.s. Art. 6 ROD Art. 7 RODO Firma uzyskała kopię dokumentu tożsamości od osoby, której dane dotyczą (za jej zgodą), jednak w momencie wycofania zgody przez tę osobę,w dalszym ciagu przetwrzała jej dane. link
Czechy 980 EUR Przedsiębiorca indywidualny Art. 32 RODO Operator gry online był narażony na kilka ataków DDoS, które spowodowały nieprawidłowe działanie serwerów. Atakujący szantażował operatora, twierdząc, że ataki nie ustaną, dopóki nie zapłaci pieniędzy. W ramach szantażu atakujący zaoferował operatorowi, że stworzy ulepszoną i lepszą ochronę zapory ogniowej na serwerach operatora. Operator zgodził się i zapłacił napastnikowi. Operator zaimplementował nowy kod atakującego, który okazał się lepszy niż stary, ale w kodzie był „backdoor”. Atakujący wykorzystał backdoora do kradzieży wszystkich danych o graczach z serwera i przesłał te dane na swoją stronę internetową. Urząd Ochrony Danych Osobowych stwierdził, że operator nie podjął odpowiednich środków bezpieczeństwa. link
Cypr 14.000 EUR Lekarz Art. 5 RODO
Art. 6 RODO
Pacjentka złożyła skargę do organu nadzorczego na szpital, który nie spełnił żądania dostępu do jej dokumentacji medycznej. Kontroler nie mógł zidentyfikować / zlokalizować dokumentacji. Po zbadaniu sprawy na szpital nałożono grzywnę administracyjną w wysokości 5000 euro. link 1
Niemcy 2019-10-30 14.500.000 EUR Deutsche Wohnen SE Art. 5 RODO
Art. 25 RODO
Firma zastosowała system archiwizacji do przechowywania danych osobowych najemców, który nie przewidywał możliwości usuwania danych, które nie były już potrzebne. Dane osobowe najemców były przechowywane bez sprawdzania, czy przechowywanie jest dozwolone i czy jest konieczne. W związku z tym możliwe było uzyskanie dostępu do danych osobowych najemców (przechowywanych przez lata, a dane te nie służyły do ​​celów ich pierwotnego gromadzenia). Dotyczyło to danych o sytuacji osobistej i finansowej najemców, takich jak wyciągi z wynagrodzeń, formularze do samodzielnego ujawnienia, wyciągi z umów o pracę i szkolenia, dane podatkowe, ubezpieczenia społecznego i ubezpieczenia zdrowotnego, a także wyciągi bankowe. Oprócz sankcji za to strukturalne naruszenie, berliński komisarz ds. ochrony danych nałożył na spółkę dodatkowe grzywny w wysokości od 6000 do 17 000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. Zobacz osobny wpis link 1
Niemcy 2019-10-30 ? Deutsche Wohnen SE Art. 5 RODO Oprócz sankcji za naruszenie zasad ochrony prywatności zgodnie z projektem (art. 5 RODO, art. 25 RODO – patrz osobny wpis) berliński komisarz ds. ochrony danych nałożył na spółkę dodatkowe grzywny w wysokości od 6000 do 17 000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach. link 1
Austria 2019-10-23 18.000.000 EUR Poczta Austriacka Art. 5(1) a) RODO
Art. 6 RODO
Poczta austriacka utworzyła profile ponad trzech milionów Austriaków, które zawierały informacje o ich adresach domowych, osobistych preferencjach, zwyczajach i możliwym przynależności partyjnej – które następnie zostały sprzedane, np. partiom politycznym i firmom. link 1
Polska 2019-10-18 9.380 EUR Burmistrz Aleksandrowa Kujawskiego Art. 28 RODO Nie zostałą zawarta umowa powierzenia przetwarzania danych osobowych z firmą, której serwery zawierały zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miasta w Aleksandrowie Kujawskim. Z tego powodu na burmistrza miasta nałożono grzywnę w wysokości 40 000 PLN (9400 EUR). link 1
Rumunia 2019-10-17 2.500 EUR UTTIS Industries srl Art. 12 RODO
Art. 13 RODO
Art 5(1) c) RODO
Art. 6 RODO
Sankcje zostały nałożone na administratora, ponieważ nie mógł udowodnić, że osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu danych osobowych / obrazów za pośrednictwem systemu nadzoru wideo, który działają od 2016 r. I ponieważ ujawnił CNP pracownicy, przedstawiając zgłaszającemu raport sprawozdania ze szkolenia upoważnionego personelu ISCIR za rok 2018, i nie mogli udowodnić legalności przetwarzania CNP poprzez ujawnienie, zgodnie z art. 6 RODO. link 1
Hiszpania 2019-10-16 60.000 EUR Xfera Moviles S.A. Art. 5 RODO
Art. 6 RODO
Xfera Movile wykorzystała dane osobowe bez podstawy prawnej do zawarcia umowy telefonicznej i w dalszym ciągu przetwarza dane osobowe również osób, które zarządały zaprzestania przetwarzania. link 1
Hiszpania 2019-10-16 8.000 EUR Iberdrola Clientes Art. 31 RODO Iberdrola Clientes, spółka elektroenergetyczna, odmówiła złożenia osobie wniosku o zmianę dostawcy energii elektrycznej, ponieważ twierdziła, że ​​jej dane zostaną uwzględnione na liście wypłacalności. W rezultacie hiszpański organ nadzorczy zażądał od Iberdola Clientes dostarczenia informacji o możliwości dodania danych osoby do listy wypłacalności, na którą firma nie odpowiedziała. Ten brak współpracy z regulatorem stanowił naruszenie art. 31 RODO. link 1
Hiszpania 2019-10-01 30.000 EUR Vueling Airlines Art. 5 RODO
Art. 6 RODO
Hiszpańska Agencja Ochrony Danych (AEPD) ukarała Vueling Airlines kwotą 30 000 euro za to, że nie daje użytkownikom możliwości odrzucenia plików cookie i zmuszenia ich do korzystania z nich, jeśli chcą przeglądać jej stronę internetową. Innymi słowy, przeglądanie strony Vueling nie było możliwe bez akceptacji plików cookie. AEDP wydało sankcję w wysokości 30 000 euro, którą można by natychmiast obniżyć do 18 000 euro. link 1
Rumunia 2019-09-26 9.000 EUR Inteligo Media SA Art. 5(1) a) RODO
Art. 6(1) a) RODO
W ramach procesu rejestracji na stronie avocatnet.ro operator użył niewypełnionego pola wyboru, za pomocą którego użytkownicy mogliby oświadczyć, że nie chcą otrzymywać listów informacyjnych drogą elektroniczną (rezygnacja). Bez żadnego działania użytkownik został automatycznie wysłany pocztą e-mail z listami informacyjnymi. Nie spełniło to wymagań zgody zgodnej z RODO. link 1
Portugalia 2019-03-25 2.000 EUR Nieznany Art. 13 RODO Brak sygnalizacji dotyczącej korzystania z systemów CCTV link 1
Portugalia 2019-02-05 20.000 EUR Nieznany Art. 13 RODO Odmowa prawa dostępu do zarejestrowanych połączeń telefonicznych przez osobę, której dane dotyczą link 1
Rumunia 2019-10-09 150.000 EUR Raiffeisen Bank SA Art. 32 RODO Pracownicy posiadali nieutoryzowany dostę do danych klientów link 1
Rumunia 2019-10-09 20.000 EUR Vreau Credit SRL Art. 32 RODO
Art. 33 RODO
Pracownicy posiadali nieautoryzowany dostęp do danych klientów link 1
Grecja 2019-10-07 200.000 EUR Dostawca usług telekomunikacyjnych Art. 5(1) RODO
Art. 25 RODO
Dobór nieodpowiednich środków technicznych uniemożliwił usunięcie danych dużej liczby klientów, która tego zażądała. W konsekwencji osoby te otrzymywały telefony o charakterze marketingowym. link 1
Grecja 2019-10-07 200.000 EUR Dostawca usług telekomunikacyjnych Art. 21(3) RODO
Art. 25 RODO
Zastosowanie nieodpowiednich środków technicznych uniemożliwiło usunięcie danych 8 000 klientów, którzy tego żądali. link 1
Węgry 2019-06-25 15.150 EUR brak danych Art. 33 RODO Administrator danych nie dopełnił swoich obowiązków w zakresie naruszenia ochrony danych w przypadku utraty pamięci flash z danymi osobowymi. link 1
Węgry 2019-03-04 3.200 EUR Instytucja finansowa Art. 5 (1) b) i c) RODO
Art. 13 (3) RODO
Art. 17 (1) RODO
Art. 6 (4) RODO
Kara została nałożona w związku z wnioskiem osoby, której dane dotyczą, o korektę i usunięcie danych. NAIH nałożył grzywnę na nienazwaną instytucję finansową za niezgodne z prawem przetwarzanie numeru telefonu klienta. Instytucja finansowa twierdziła, że leży to w uzasadnionym interesie firmy (administratora) – wyegzekwowanie roszczenia wobec klienta. W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest konieczny do celów windykacji, ponieważ wierzyciel może również komunikować się z dłużnikiem pocztą. W związku z tym zachowanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu. Zgodnie z prawem oszacowana grzywna oparta była na 0,025% rocznych przychodów netto firmy. link 1
Belgia 2019-09-17 10.000 EUR Kupiec Art. 5 (1) c) RODO Belgijski organ ochrony danych nałożył grzywnę w wysokości 10 000 euro na handlowca, który chciał użyć elektronicznego dowodu tożsamości (eID) do stworzenia karty klienta. Dochodzenie przeprowadzone przez organ ochrony danych ujawniło, że akceptant wymagał dostępu do danych osobowych znajdujących się na eID, w tym zdjęcia i kodu kreskowego, które są powiązane z numerem identyfikacyjnym osoby, której dane dotyczą. link 1
Polska 2019-09-10 644.780 EUR Morele.net Art. 32 RODO Polski organ ochrony danych nałożył na Morele.net grzywnę w wysokości ponad 2,8 mln PLN (ok. 644 780 EUR) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do ​​nieuprawnionego dostępu do danych osobowych 2,2 mln osób. link 1
Austria 2019-08 50.000 EUR Firma w sektorze medycznym Art. 13 RODO
Art. 37 RODO
(Ostateczna) grzywna została nałożona na firmę z sektora medycznego z powodu nieprzestrzegania obowiązków informacyjnych i nie wyznaczenia inspektora ochrony danych./td> link 1
Austria 2019-07 11.000 EUR Trener piłki nożnej Art. 6 RODO Kara została nałożona na trenera piłki nożnej, który potajemnie filmował zawodniczki podczas kąpieli. link 1
Bułgaria 2019-08-28 2.600.000 EUR Krajowa Agencja Skarbowa Art. 32 RODO Wyciek danych osobowych podczas ataku hakerskiego z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Stwierdzono, że dane osobowe dotyczące około 6 milionów osób były nielegalnie dostępne. link 1
Bułgaria/td> 2019-08-28 511.000 EUR DSK Bank Art. 32 RODO Wyciek danych osobowych z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Strony trzecie miały dostęp do ponad 23 000 danych kredytowych dotyczących ponad 33 000 klientów banków, w tym danych osobowych, takich jak nazwiska, obywatelstwa, numery identyfikacyjne, adresy, kopie dowodów tożsamości i dane biometryczne. link 1
Łotwa 2019-08-26 7.000 EUR Usługi online Art. 17 RODO Sprzedawca, który świadczy usługi w sklepie internetowym, naruszył „prawo do bycia zapomnianym” zgodnie z art. 17 RODO, gdy osoba, której dane dotyczą, wielokrotnie wzywała go do usunięcia wszystkich swoich danych osobowych, w szczególności numeru telefonu komórkowego, które kupiec otrzymał w ramach zamówienia. Niemniej jednak sprzedawca wielokrotnie wysyłał SMS-y reklamowe na numer telefonu komórkowego osoby, której dane dotyczą. link 1
Szwecja 2019-08-20 18.630 EUR Szkoła w Skellefteå Art. 5 (1) c) RODO
Art. 9 RODO
Art. 35 RODO
Art. 36 RODO
Szkoła w Skellefteå przeprowadziła próbę użycia technologii rozpoznawania twarzy. Kara została nałożona na szkołę, która wykorzystywała technologię rozpoznawania twarzy do monitorowania obecności uczniów. Mimo że ogólnie przetwarzanie danych w celu monitorowania obecności jest możliwe, to rozpoznawanie twarzy jest nieproporcjonalne w stosunku do celu monitorowania obecności. Organ nadzorczy (szwecki urząd ochrony danych) uważa, że ​​dane biometryczne studentów zostały przetworzone. Ponadto władze argumentowały, że zgody nie można zastosować, ponieważ studenci i ich opiekunowie nie mogą swobodnie decydować, czy chcą monitorować dzieci pod kątem obecności. Organ nadzorczy stwierdził, że rada szkoły nie może powoływać się na którekolwiek z wyjątków wymienionych w art. 9 ust. 2. Organ nadzorczy stwierdził również, że miał miejsce przypadek przetwarzania o wysokim ryzyku, ponieważ zastosowano nową technologię do przetwarzania wrażliwych danych osobowych dotyczących dzieci, które znajdują się w pozycji zależnej od rady szkoły średniej i ze względu na wykorzystywanie nadzoru przez uczniów codzienne środowisko. W opinii organu zarząd szkoły nie był w stanie wykazać zgodności z art. 35 RODO oraz zarząd powinien skonsultować się w tej sprawie z władzami zgodnie z art. 36 (1) RODO. link 1
Hiszpania 2019-08-16 60.000 EUR Avon Cosmetics Art. 6 RODO Konsument twierdził, że AVON COSMETICS przetwarzał jego dane niezgodnie z prawem bez odpowiedniej weryfikacji jego tożsamości, co doprowadziło do błędnego wpisania jego danych do rejestru roszczeń, uniemożliwiając mu współpracę ze swoim bankiem. W rezultacie osoba trzecia nieuczciwie wykorzystała dane osobowe konsumentów. link 1
Niemcy 2019-09-19 195.407 EUR Delivery Hero Art. 15 RODO
Art. 17 RODO
Art. 21 RODO
Według ustaleń berlińskiego inspektora ochrony danych Delivery Delivery Germany GmbH nie usunęła kont byłych klientów w dziesięciu przypadkach, mimo że osoby, których dane dotyczą, nie działały przez lata na platformie usług dostawczych firmy – w jednym przypadku nawet od 2008 r. Ponadto ośmiu byłych klientów skarżyło się na niechciane e-maile reklamowe od firmy. Podmiot danych, który wyraźnie sprzeciwił się wykorzystaniu jego danych do celów reklamowych, otrzymał jednak 15 kolejnych e-maili reklamowych z usługi dostawy. W kolejnych pięciu przypadkach firma nie dostarczyła osobom, których dane dotyczą, wymaganych informacji lub dopiero po interwencji berlińskiego inspektora ochrony danych. link 1
Grecja 2019-07-30 150.000 EUR PWC Business Solutions Art. 5 (1) a) b) i c) RODO
Art. 5 (2) RODO
Art. 6 (1) RODO
Art. 13 (1) c) RODO
Art. 14 (1) c) RODO
Przetwarzanie danych osobowych pracowników odbywało się na podstawie zgody. Grecki urząd ochrony danych osobowych uznał, że zgoda jako podstawa prawna była nieodpowiednia, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, przestrzeganie prawnego obowiązku, któremu podlega administrator, oraz sprawne i skuteczne działanie firma jako uzasadniony interes. Ponadto firma dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe na podstawie prawnej zgody, podczas gdy w rzeczywistości przetwarza ich dane na innej podstawie prawnej. Było to sprzeczne z zasadą przejrzystości, a zatem naruszało obowiązek dostarczania informacji zgodnie z art. 13 ust. 1 lit. c) i art. 14 ust. 1 lit. c RODO. Wreszcie, naruszając zasadę odpowiedzialności, firma nie dostarczyła greckiemu urzędowi ochrony danych osobowych dowodów, że przeprowadziła uprzednią ocenę odpowiednich podstaw prawnych do przetwarzania danych osobowych pracowników. link do PDF
Francja 2019-07-25 180.000 EUR ACTIVE ASSURANCES (branża samochodowa) Art. 32 RODO Łatwy dostęp oneline do dużej liczby kont klientów, dokumentów klientów (w tym kopi praw jazdy, rejestracji pojazdu, wyciągów bankowych i dokumentów określających, czy dana osoba była przedmiotem cofnięcia prawa jazdy) oraz danych. Francuski urząd ochrony danych osobowych skrytykował zarządzanie hasłami (nieautoryzowany dostęp był możliwy bez żadnego uwierzytelnienia). link do PDF
Wielka Brytania 2019-07-09 110.390.000 EUR Marriott International Inc. (sieć hoteli) Art. 32 RODO Uwaga: Decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o zamiarze ukarania Marriott International Inc, które dotyczyło incydentu cybernetycznego zgłoszonego ICO przez Marriott w listopadzie 2018 r. Naruszenia przepisów RODO mogą wiązać się z naruszeniem art. 32 RODO. W następstwie incydentu ujawnionych zostało szereg danych osobowych zawartych w około 339 milionach wpisów dotyczących gości na całym świecie, z czego około 30 milionów dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). 7 milionów wpisów związanych było z mieszkańcami Wielkiej Brytanii. Uważa się, że luka w zabezpieczeniach rozpoczęła się, gdy systemy grupy hoteli Starwood zostały zainfekowane w 2014 r. Następnie grupa Marriott przejęła sieć hoteli Starwood w 2016 r., ale ujawnienie informacji o klientach nie zostało odkryte aż do 2018 r. Dochodzenie ICO wykazało, że Marriott nie dochował wystarczającej staranności, kiedy przejął grupę Starwood i powinien był zrobić więcej, aby zabezpieczyć swoje systemy. link
Wielka Brytania 2019-07-08 204.600.000 EUR British Airways (linie lotnicze) Art. 32 RODO Uwaga: Decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o swoim zamiarze ukarania British Airways £183,39 mln za naruszenie przepisów RODO, które prawdopodobnie jest skutkiem nie zastosowania się do art. 32 RODO. Proponowana grzywna dotyczy incydentu cybernetycznego zgłoszonego ICO przez British Airways we wrześniu 2018 r. Incydent ten częściowo polegał na przekierowaniu ruchu użytkowników na fałszywą stronę internetową za pośrednictwem strony internetowej British Airways. Dzięki tej fałszywej stronie przestępcy mieli możliwość wejść w posiadanie danych klientów firmy. Incydent, który prawdopodobnie rozpoczął się w czerwcu 2018 spowodował że zagrożone były dane osobowe około 500 000 klientów. Dochodzenie przeprowadzone przez ICO wykazało, że przez zastosowanie złych rozwiązań dot. bezpieczeństwa w firmie, następujące informacje mogły zostać przejęte przez przestępców: loginy, dane kart płatniczych, szczegóły rezerwacji podróży, a także informacje o tożsamości i adresie. link
Rumunia 2019-07-02 15.056 EUR World Trade Center Bucharest SA Art. 32 RODO Naruszenie bezpieczeństwa danych polegało na tym, że używana do sprawdzania klientów korzystających z hotelowego śniadania lista zawierająca dane osobowe 46 osób, została sfotografowana przez nieupoważnione osoby spoza firmy, co doprowadziło do ujawnienia danych osobowych niektórych klientów za pośrednictwem publikacji online. Operator World Trade Center Bucharest SA został ukarany, ponieważ nie podjął kroków w celu zapewnienia, że dane nie zostaną ujawnione osobom nieupoważnionym. link
Rumunia 2019-07-05 3.000 EUR Legal Company & Tax Hub SRL/td> Art. 32 (1) i Art. 32 (2) RODO Grzywnę nałożono, ponieważ nie wdrożono odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa w odniesieniu do ryzyka przetwarzania. Doprowadziło to do nieuprawnionego ujawnienia i nieautoryzowanego dostępu do danych osobowych osób, które dokonały transakcji za pośrednictwem strony internetowej avocatoo.ro. Dane takie jak imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy, szczegóły dokonanych transakcji, zostały ujawnione, ze względu na otwarty dostęp do dokumentów między 10 grudnia 2018 r., a 1 lutego 2019 r. Krajowy organ nadzorczy zastosował sankcję po powiadomieniu z dnia 12 października 2018 r., wskazując, że zbiór plików dotyczących szczegółów transakcji zrealizowanych przez stronę internetową avocatoo.ro zawierał imię, nazwisko, adres pocztowy, e-mail, telefon, miejsce pracy i szczegóły dotyczące dokonanych transakcji i był publicznie dostępny za pośrednictwem dwóch linków. link
Rumunia 2019-06-27 130.000 EUR Unicredit Bank SA Art. 25 (1) i Art. 5 (1c) RODO Grzywna została wydana w wyniku braku wdrożenia odpowiednich środków technicznych i organizacyjnych (związanych z (1) określeniem środków / operacji przetwarzania oraz (2) integracji niezbędnych zabezpieczeń), co doprowadziło do ujawnienia identyfikatorów online oraz dokumentów tożsamości i adresów (interla / transakcje zewnętrzne) 337 042 osób, których dane dotyczą (między 25.05.2018 a 10.12.2018). link
Holandia 2019-06-18 460.000 EUR Szpital w Hadze Art. 32 RODO Szpital w Hadze ukarany został karą za brak odpowiedniego zabezpieczenia dokumentacji pacjenta. Holenderski Organ Ochrony Danych wszczął dochodzenie, gdy okazało się, że dziesiątki osób z personelu szpitalnego bez powodu sprawdzały dokumentację medyczną popularnej w Holandii osoby. Aby zmusić szpital do poprawy bezpieczeństwa dot. dokumentacji pacjenta, AP (holenderski organ nadzorczy) po zakończeniu dochodzenia nałożył na szpital karę. Jeśli szpital w Hadze nie poprawi środków bezpieczeństwa przed 2 października 2019 r., będzie musiał zapłacić zapłacić 100 000 EUR co dwa tygodnie, maksymalnie 300 000 EUR. Szpital w Hadze zgodził się na wdrożenie nowych środków. link
Francja 2019-06-13 20.000 EUR Uniontrad Company Art. 5 (1c) RODO, Art. 12 RODO, Art. 13 RODO, Art. 32 RODO W latach 2013–2017 CNIL (francuski organ ochrony danych osobowych) otrzymał skargi od kilku pracowników firmy, którzy zostali sfilmowani na ich stanowisku pracy. Organ dwukrotnie ostrzegał firmę o zasadach, które należy przestrzegać podczas instalowania kamer w miejscu pracy, w szczególności o tym, że pracownicy nie powinni być filmowani w sposób ciągły, a informacje o przetwarzaniu danych muszą być dostarczone. Wobec braku zadowalających środków pod koniec terminu określonego w wezwaniu do usunięcia uchybienia, CNIL przeprowadził drugą kontrolę w październiku 2018 r., która potwierdziła, że pracodawca nadal narusza przepisy o ochronie danych, rejestrując pracowników przy użyciu monitoringu wizyjnego. Przy ustalaniu kwoty grzywny CNIL wziął pod uwagę wielkość (9 pracowników) i sytuację finansową spółki, która wykazała ujemny wynik netto w 2017 r. (Obrót w wysokości 885 739 EUR w 2017 r. i ujemny wynik netto w wysokości 110 844 EUR ), aby zachować skuteczną, ale proporcjonalną grzywnę administracyjną. link
Dania 2019-06-03 200.850 EUR IDdesign A/S Art. 5 (1e) i (2) RODO Grzywna została nałożona w wyniku kontroli przeprowadzonej w 2018 r. IDdesign przetworzyło dane osobowe około 385 000 klientów przez okres dłuższy niż jest to konieczne do celów, dla których zostały pozyskane. Ponadto firma nie ustanowiła i nie udokumentowała terminów usunięcia danych osobowych w nowym systemie CRM. Terminy ustalone dla starego systemu nie zostały zachowane i dane osobowe nie zostały usunięte po upływie wyznaczonego terminu. Ponadto administrator nie udokumentował w odpowiedni sposób swoich procedur usuwania danych osobowych. Uwaga: prawo duńskie nie przewiduje kar administracyjnych nakładanych przez organ nadzorczy jak zostało to określone w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd. link
Belgia 2019-05-28 2.000 EUR Burmistrz Art. 5 (1b) RODO, Art. 6 RODO Grzywna administracyjna została nałożona za niewłaściwe wykorzystanie danych osobowych przez burmistrza do celów kampanii wyborczej. link
Francja 2019-05-28 400.000 EUR Sergic – firma specjalizująca się w rozwoju nieruchomości, zakupie, sprzedaży, wynajmie i zarządzaniu nieruchomościami Art. 32 and 5 (1e) RODO CNIL (francuski organ nadzorczy) oparł karę na dwóch podstawach: brak podstawowych środków bezpieczeństwa i nadmierne przechowywanie danych. Jeśli chodzi o pierwsze, dokumenty zawierające dane wrażliwe osób zainteresowanych wynajęciem lokali (w tym dowody osobiste, karty zdrowia, zawiadomienia podatkowe, zaświadczenia wydane przez fundusz zasiłków rodzinnych, wyroki rozwodowe, wyciągi z rachunków) były dostępne online bez procedury uwierzytelniania. Chociaż luka ta była znana firmie od marca 2018 r., nie została ostatecznie załatana do września 2018 r. Ponadto firma przechowywała dokumentację dostarczoną przez kandydatów dłużej niż to konieczne. CNIL wziął pod uwagę m.in. powagę naruszenia (brak należytej staranności w eliminowaniu powstałej luki oraz fakt, że dokumenty ujawniły bardzo intymne aspekty życia klientów firmy), wielkość firmy i jej sytuację finansową. link
Węgry 2019-05-23 92.146 EUR Organizator: Sziget festival i Volt festival Art. 6 RODO, Art. 5 (1b) RODO, Art. 13 RODO NAIH (węgierski organ nadzorczy) stwierdził, że przetwarzanie danych osobowych odbywało się na niewłaściwych podstawach prawnych, a Administrator nie przestrzegał zasady ograniczenia celu. Ponadto informacje dotyczące przetwarzania danych nie były w pełni przekazywane osobom, których dane dotyczą. link
Litwa 2019-05-16 61.500 EUR UAB MisterTango – dostawca usług płatniczych Art. 5 RODO, Art. 32 RODO, Art. 33 RODO Podczas kontroli litewski organ nadzoru ochrony danych stwierdził, że Administrator przetwarzał więcej danych niż było to konieczne do osiągnięcia celów, dla których był Administratorem. Ponadto okazało się, że od 09 do 10 lipca 2018 r. dane dotyczące płatności były publicznie dostępne w Internecie z powodu nieodpowiedniego dobrania środków technicznych i organizacyjnych. Dotyczyło to 9 tys. płatności w 12 bankach z różnych krajów. Według organu nadzoru powiadomienie o naruszeniu danych zgodnie z art. 33 RODO byłoby konieczne. Administrator nie zgłosił naruszenia danych. link
Niemcy 2019-05-09 1.400 EUR Funkcjonariusz Policji Art. 6 RODO Funkcjonariusz policji, używając swojej legitymacji służowej, ale bez odniesienia do obowiązków służbowych, zapytał właściciela o dane dotyczące tablicy rejestracyjnej osoby, której danych nie poznał za pośrednictwem wyszukania w Centralnym Systemie Informacji o Ruchu Drogowym (ZEVIS) udostępnionym przez Federalny Urząd Transportu Samochodowego. Korzystając z uzyskanych w ten sposób danych osobowych, przeprowadził następnie tzw. Zapytanie SARS w Federalnej Agencji Sieciowej, w którym poprosił nie tylko o dane osobowe stron poszkodowanych, ale także o przechowywane tam numery telefonów domowych i komórkowych . Korzystając z uzyskanego w ten sposób numeru telefonu komórkowego, policjant skontaktował się telefonicznie z poszkodowanym – bez żadnego oficjalnego powodu lub zgody strony poszkodowanej. Poprzez zapytanie ZEVIS i SARS do celów prywatnych i wykorzystanie uzyskanego w ten sposób numeru telefonu komórkowego do prywatnego kontaktu, funkcjonariusz policji przetwarzał dane osobowe poza zakresem prawa na własną odpowiedzialność. Tego naruszenia nie można przypisać jednostce policji, w której funkcjonariusz pełni służbę, ponieważ nie popełnił on tego czynu podczas wykonywania swoich obowiązków służbowych, ale wyłącznie w celach prywatnych. Zakaz karania na podstawie § 28 LDSG (lokalnych przepisów o ochronie danych osobowych), zgodnie z którym sankcje RODO nie mogą być nakładane na organy publiczne, nie ma zastosowania w niniejszej sprawie, ponieważ nie był to przypadek niewłaściwego postępowania przypisany organowi, a osoba określona jako sprawca nie może być sklasyfikowana jako odrębny organ publiczny w rozumieniu § 2 (1) lub (2) LDSG w przypadku czynów stanowiących przedmiot sprawy. link
Czechy 2019-05-06 194 EUR Organizacja non-profit Art. 15 RODO Grzywna nałożona została na organizację non-profit, która przetworzyła niedokładne dane i odmówiła dostępu do przetwarzanych przez nią danych. link
Polska 2019-04-25 12.950 EUR Związek sportowy Art. 6 RODO Związek sportowy opublikował dane osobowe dotyczące sędziów, którym przyznano licencje sędziego drogą internetową.: imiona i nazwiska, a także dokładne adresy i numery PESEL. Tymczasem nie ma podstawy prawnej, aby tak szeroki zakres danych dotyczących sędziów był dostępny w Internecie. Ujawniając je, Administrator stwarzał potencjalne ryzyko ich nieuprawnionego użycia, np. podszywać się pod nich w celu zaciągania pożyczek lub innych zobowiązań. Chociaż Związek sam zauważył swój błąd, o czym świadczy powiadomienie Prezesa UODO (polski organ nadzorczy) o naruszeniu ochrony danych osobowych, fakt, że próby usunięcia go były nieskuteczne, determinował nałożenie kary. Przy ustalaniu wysokości grzywny (55 750,50 zł) Prezes UODO wziął pod uwagę między innymi czas trwania naruszenia oraz fakt, że dotyczył on dużej grupy osób (585 sędziów). UODO stwierdziło, że chociaż naruszenie zostało ostatecznie usunięte, miało ono poważny charakter. Nakładając karę, UODO wzięło również pod uwagę okoliczności łagodzące, takie jak dobra współpraca między Administratorem a organem nadzorczym lub brak dowodów, że szkoda została wyrządzona osobom, których dane zostały ujawnione. link
Włochy 2019-04-17 50.000 EUR Movimento 5 Stelle – włoska partia polityczna – Ruch Pięciu Gwiazd Art. 32 RODO Szereg stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest uruchamianych za pośrednictwem podmiotu przetwarzającego dane za pomocą platformy o nazwie Rousseau. W lecie 2017 r. na platformie nastąpiło naruszenie danych co spowodowało, że Garante (włoski organ nadzorczy), zażądał wdrożenia szeregu środków bezpieczeństwa, oprócz obowiązku aktualizacji informacji o prywatności w celu zapewnienia dodatkowej przejrzystości do czynności przetwarzania, które miały miejsce. W związku z przeprowadzonymi aktualizacjami informacji o prywatności, włoski organ ochrony danych wyraził obawy co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa związanych z RODO. Warto wspomnieć, że postępowanie wszczęto przed majem 2018 r., ale włoski organ ochrony danych wydał grzywnę na mocy RODO, ponieważ platforma Rousseau nie przyjęła wymaganych środków bezpieczeństwa w drodze nakazu wydanego po 25 maja 2018 r. Co ciekawe, grzywna nie została wydana przeciwko Movimento 5 Stelle, która jest administratorem danych platformy, ale przeciwko stowarzyszeniu Rousseau, które jest podmiotem przetwarzającym dane. link
Węgry 2019-04-17 9.400 EUR brak danych Art. 5 (1a) RODO, Art. 6 RODO W ocenie NAIH (wegierski organ ochrony danych osobowych), Administrator danych wykorzystał niewłaściwą podstawę prawną przetwarzania danych osobowych (art. 6.1.b) w celu cesji roszczeń. link
Bułgaria 2019-04-08 510 EUR Centra medyczne Art. 5 (1a) RODO; Art. 9 (1) i Art. 9 (2) RODO; Art. 6 (1) RODO. Każdemu ośrodkowi medycznemu nałożono sankcję w wysokości 510 EUR za bezprawne przetwarzanie danych osobowych osoby, której dane dotyczą, w celu zmiany lekarza rodzinnego. Centrum medyczne wykorzystało oprogramowanie do wygenerowania formularza rejestracyjnego zmiany lekarza rodzinnego, który został przekazany do Regionalnego Funduszu Ubezpieczeń Zdrowotnych, a następnie do innego ośrodka medycznego, który następnie bezprawnie przetwarzał dane osobowe. link
Węgry 2019-04-05 34.375 EUR Węgierska partia polityczna Art. 33 (1) RODO, Art. 33 (5) RODO, Art. 34 (1) RODO NAIH (węgierski organ nadzorczy) nałożył grzywnę w wysokości 11 000 000 HUF (34 375 EUR) na nieujawnioną węgierską partię polityczną za niepowiadomienie NAIH i osób, które dane dotyczą o naruszeniu ochrony danych i nie udokumentowanie naruszenia zgodnie z art. 35 RODO. Zgodnie z obowiązującymi przepisami grzywna została ustalona na podstawie 4% rocznego obrotu partii i 2,65% jej przewidywanych obrotów w nadchodzącym roku. Naruszenie było wynikiem cyberataku dokonanego przez anonimowego hakera, który uzyskał dostęp do informacji o słabości systemu organizacji – bazy danych liczącej ponad 6 000 osób – oraz polecenia (kodu) użytego do ataku. System był narażony na atak z powodu problemu z przekierowaniem na stronie internetowej organizacji. Po opublikowaniu kodu przez atakującego nawet osoby z niską wiedzą informatyczną były w stanie pobrać informacje z bazy danych. link
Węgry 2019-04-05 1.900 EUR brak danych Art. 15 RODO Administrator danych nie spełnił żądania dostępu do danych złożonego przez osobę, którą dane dotyczą link
Norwegia 2019-03 170.000 EUR Gmina Bergen Art. 5 (1f) RODO, Art. 32 RODO Incydent dotyczy plików komputerowych z nazwami użytkowników i hasłami do ponad 35 000 kont użytkowników w systemie komputerowym gminy. Konta użytkowników dotyczyły zarówno uczniów szkół podstawowych gminy, jak i pracowników tych szkół. Z powodu niewystarczających środków bezpieczeństwa pliki te nie były chronione i były łatwo dostępne. Brak środków bezpieczeństwa w systemie umożliwił każdemu zalogowanie się do różnych systemów informatycznych szkoły, a tym samym dostęp do różnych kategorii danych osobowych dotyczących uczniów i pracowników szkół. Fakt, że naruszenie bezpieczeństwa obejmuje dane osobowe ponad 35 000 osób, a większość z nich to dzieci, uznano za czynniki obciążające. Gmina była również wielokrotnie ostrzegana, zarówno przez władze, jak i osoby wewnątrz organizacji, że bezpieczeństwo danych było niewystarczające. link
Polska 2019-03-26 219.538 EUR Bisnode Polska Sp. z o.o. Art. 14 RODO Grzywna dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczą, uzyskane z publicznie dostępnych źródeł, między innymi z Centralnej Ewidencji i Informacji o Działalności Gospodarczej i przetwarzała dane do celów komercyjnych. Organ zweryfikował niezgodność z obowiązkiem informacyjnym w stosunku do osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy obecnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator spełnił obowiązek informacyjny, przekazując informacje wymagane zgodnie z art. 14 (1) – (3) RODO jedynie w odniesieniu do osób, których adresy e-mail posiadał. W przypadku pozostałych osób administrator nie wywiązał się z obowiązku informacyjnego – jak wyjaśnił w trakcie postępowania – z powodu wysokich kosztów operacyjnych. Dlatego przedstawił klauzulę informacyjną tylko na swojej stronie internetowej. Według UODO nie było to wystarczające. link
Bułgaria 2019-03-26 5.100 EUR A.P. EOOD Art. 5 (1) a) RODOD, Art. 6 RODO Sankcję nałożono na administratora danych osobowych A.P. EOOD za niezgodne z prawem przetwarzanie danych osobowych. Osoba, której dane dotyczą przebywała w więzieniu i w tymc czasie A.P. EOOD wykorzystał jej dane do przygotowania umowy o pracę. link
Czechy 2019-03-21 9.704 EUR brak danych Art. 5 (1c i 1e) RODO Dane nie były przetwarzane w sposób adekwatny, odpowiedni i ograniczony – zgodnie z celem przetwarzania („minimalizacja danych”), a także dane były przechowywane w formie umożliwiającej identyfikację osób, których dotyczyły dłużej niż to konieczne do celów, dla których przetwarzane są dane osobowe („ograniczenie przechowywania”). link
Czechy 2019-02-28 582 EUR brak danych Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Węgry 2019-02-28 3.200 EUR Biuro burmistrza miasta Kecskemét Art. 5 (1a) RODO, Art. 6 RODO Grzywna została nałożona na biuro burmistrza miasta Kecskemét za niezgodne z prawem ujawnienie danych osobowych osoby, która poinformowała o nieprawidłowościach mających miejsce w nadzorownaej przez siebie organizacji. Osoba ta zgłosiła bezpośrednio do swojego pracodawcy skargę dotyczącą interesu publicznego. Po tym, jak organizacja dowiedziała się o skardze, poprosiła o szczegóły w celu zbadania sprawy, a samorząd lokalny przypadkowo ujawnił nazwisko skarżącego. NAIH (organ nadzorczy) w wyniku naruszenia nałożył grzywnę, za czynnik obciążający uznał zwolnienie tej osoby z pracy. link
Bułgaria 2019-02-26 27.100 EUR Dostawca usług telekomunikacyjnych Art. 6 RODO, Art. 5 (1a) RODO Wielokrotna rejestracja usług przedpłaconych bez wiedzy i zgody osoby, której dane dotyczą. Pracownicy operatorów telekomunikacyjnych wykorzystali dane osobowe i zarejestrowali skarżącego w przedpłaconej usłudze firmy. Osoba, której dane dotyczą, nie podpisała wniosku i nie wyraziła zgody na przetwarzanie jego danych osobowych w określonym celu. Nie miała również zastosowania inna podstawa prawna. Podpis wniosku i oryginalny wniosek skarżącego nie były identyczne. Wskazano także osobisty numer identyfikacyjny osoby, ale numer dowodu osobistego nie należał do skarżącego. link
Czechy 2019-02-26 776 EUR brak danych Art. 15 RODO Osoba, której dane dotyczą zażadąła potwierdzenia, czy jej dane osobowe są przetwarzane, a jeśli tak, to czy w związku z tym, ma prawo dostępu do swoich danych osobowych na podstawie przepisów RODO. Skarżący, dwukrotnie (15 oraz 30 listopada 2018r.) kontaktował się z firmą, i zażądał informacji na temat przetwarzania jego danych osobowych, – w jaki sposób pozyskano jego nr telefonu i jak przetwarzane są jego dane osobowe. Organ nadzorczy nałożył grzywnę na firmę, która jako Administrator nie udzieliła odpowiedzi w przewidzianym w przepisach terminie. link
Bułgaria 2019-02-22 500 EUR Nieznany pracodawca Art 5 (1b i 1c) RODO, Art. 12 RODO, Art. 15 (1) RODO, Art. 15 (1) a), b), c), g) RODO, Art. 15 (3) RODO Pracownik wysłał do swojego pracodawcy wniosek o dostęp do swoich danych osobowych. Żądanie nie zostało odebrane w odpowiednim czasie. link
Węgry 2019-02-20 1.560 EUR Firma windykacyjna Art. 5 (1a i 1c) RODO – zasady przejrzystości i minimalizacji danych Osoba, której dane dotyczą, zażądała informacji na temat przetwarzanych danych i ich usunięcia. Firma windykacyjna odmówiła spełnienie tego żądania powołując sie na brak możliwości zidentyfikowania podmiotu. W celach identyfikacyjnych zażądano miejsca urodzenia, nazwiska panieńskiego matki i dalszych danych od osoby, której dane dotyczyły. Po tym, jak Administratorowi udało się zidentyfikować tę osobę, firma odmówiła zastosowania się do żądania usunięcia, twierdząc, że jest prawnie zobowiązana do przechowywania kopii zapasowych zgodnie z ustawą o rachunkowości i zasadami wewnętrznymi. Ponieważ nie poinformowano prawidłowo o tych zasadach, NAIH (organ nadzorczy) uznał, że firma naruszyła zasadę przejrzystości. Grzywna stanowi 0,0025% rocznego zysku Administratora. link
Malta 2019-02-18 5.000 EUR Urząd Ziemski Art. 5 RODO, Art. 32 RODO W wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Urzędu Ziemskiego, ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla społeczeństwa za pomocą prostego wyszukiwania google. Większość ujawnionych danych zawierała bardzo poufne informacje i korespondencję między jednostkami a samym Urzędem. Urząd Ziemski przyjął karę. Na Malcie, w przypadku naruszenia przez organ lub organ publiczny, Komisarz ds. Ochrony Danych może nałożyć karę administracyjną w wysokości do 25 000 EUR za każde naruszenie i może dodatkowo nałożyć karę dzienną w wysokości 25 EUR za każdy dzień, w którym takie naruszenie utrzymuje się. link
Węgry 2019-02-09 1.560 EUR Bank Art. 5 (1d) RODO – zasada prawidłowości Bank omyłkowo wysłał wiadomości SMS o zadłużeniu karty kredytowej podmiotu na numer telefonu innej osoby. Po otrzymaniu nieprawidłowego numeru telefonu od klienta w momencie zawierania umowy bank nie zastosował się do żądania osoby, której dane dotyczą, aby usunąć dane i kontynuował wysyłanie wiadomości SMS na nieprawidłowy numer telefonu. Grzywna stanowi 0,0016% rocznego zysku banku. link
Niemcy 2019-02-05 2.500 EUR Osoba fizyczna Art. 6 RODO, Art. 5 RODO Grzywna została nałożona na osobę prywatną, która w okresoie od lipca do września 2018 r., wysłała kilkanaście e-maili, w których użyła osobistych adresów e-mail widocznych dla wszystkich odbiorców, z których każdy odbiorca mógł przeczytać niezliczoną liczbę innych odbiorców. Mężczyzna został oskarżony o dziesięć przestępstw między połową lipca a końcem lipca 2018 r. Zgodnie z pismem organu na jego liście adresatów można było znaleźć od 131 do 153 osobistych adresów poczty elektronicznej. link
Czechy 2019-02-04 1.165 EUR Firma wynajmująca samochody Art. 5 (1a) RODO Osoba, która wynajęła samochód, dowiedziała się, że wynajęty samochód był śledzony przez GPS, chociaż nie podano żadnych informacji na temat tego, że samochód jest wyposażony w urządzenie śledzące. Czeski Urząd Ochrony Danych stwierdził, że nie podano żadnych informacji w rozumieniu art. 13 RODO i że art. 6 (1f) RODO nie może być podstawą prawną w konkretnych okolicznościach. W związku z tym Organ stwierdził naruszenie art. 5 (1a) RODO, za który nałożył grzywnę. link
Czechy 2019-02-04 1.165 EUR Pośrednik kredytowy Art. 5 (1f) RODO Dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem przy użyciu odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). link
Francja 2019-01-21
50.000.000 EUR
Google Inc. Art. 13 RODO, Art. 14 RODO, Art. 6 RODO, Art. 4 nr. 11 RODO, Art. 5 RODO Grzywnę nałożono na podstawie skarg austriackiej organizacji „None Of Your Business” i francuskiej organizacji pozarządowej „La Quadrature du Net”. Skargi zostały złożone w dniach 25 i 28 maja 2018 r. – natychmiast po rozpoczęciu stosowania przepisów RODO. Skargi dotyczyły utworzenia konta Google podczas konfiguracji telefonu komórkowego za pomocą systemu operacyjnego Android. CNIL (organ nadzorczy) nałożył grzywnę w wysokości 50 milionów euro z powodu braku przejrzystości (art. 5 RODO), niewystarczających informacj (art. 13/14 RODO) i braku podstawy prawnej (art. 6 RODO). Uzyskane zgody nie były „konkretne” ani „jednoznaczne” (art. 4 nr 11 RODO). link
Bułgaria 2019-01-17 500 EUR Bank Art.6 RODO, Art. 5 (1a) RODO Bank uzyskał dane osobowe dotyczące studenta bez podstawy prawnej. link
Czechy 2019-01-10 388 EUR Nieznany pracodawca Art.6 RODO Były pracownik firmy poprosił o usunięcie związanych z nim informacji, która zostały opublikowana na fanpage’u pracodawcy na Facebooku i która była dostępna jeszcze długo po zakończeniu stosunku pracy. Grzywna została nałożona, ponieważ pracodawca nie usunął informacji dotyczących byłego pracownika. link
Austria 2018-12-20 2.200 EUR Osoba fizyczna Art. 5 (1a i 1c RODO, Art. 6 (1) RODO, Art. 13 RODO Grzywnę nałożono na osobę prywatną, która korzystała z monitoringu wizyjnego w swoim domu. Nadzór wideo obejmował obszary przeznaczone do ogólnego użytku mieszkańców wielopartyjnego kompleksu mieszkalnego, a mianowicie: parkingi, chodniki, dziedziniec, ogród i obszary dostępu do kompleksu mieszkalnego; ponadto nadzór wideo obejmował ogródki przyległej nieruchomości. Nadzór wideo nie jest zatem ograniczony do obszarów, które podlegają wyłącznej kontroli tej osoby. Nadzór wideo nie jest zatem proporcjonalny do celu i nie ogranicza się do tego, co jest konieczne. Nadzór wideo rejestruje korytarz domu i filmuje mieszkańców wchodzących i wychodzących z okolicznych apartamentów, tym samym naruszając ich osobistych przestrzeń życiową bez zgody na rejestrowanie obrazu. Nadzór wideo nie został prawidłowo określony. link
Węgry 2018-12-18 3.200 EUR brak danych Art. 12 (4) RODO, Art. 15 RODO, Art. 18 (1c) RODO, Art. 13 RODO Grzywna została nałożona za (1) nieudzielenie podmiotowi danych nagrań z monitoringu wizyjnego; (2) niezatrzymywanie nagrań do dalszego wykorzystania przez osobę, której dane dotyczą, oraz (3) niepoinformowanie osoby, której dane dotyczą, o prawie do złożenia skargi do organu nadzorczego. link
Niemcy 2018-12-17 5.000 EUR Kolibri Image Regina und Dirk Maass GbR Art. 28 (3) RODO Uwaga: zgodnie z informacjami grzywna została w międzyczasie wycofana. Kolibri Image wysłał prośbę do organu nadzorczego w Hesji z pytaniem, jak postępować z usługodawcą, który nie chce podpisać umowy o przetwarzanie. Kolibri nie otrzymał dostatecznej odpowiedzi i sprawę przekazał właściwemu lokalnie organowi ochrony danych w Hamburgu. Organ ukarał Kolibri Image jako Administratora za brak umowy o powierzeniu przetwarzania z usługodawcą. Kolibri Image oświadczył, że zakwestionuje decyzję przed sądem, ponieważ jest zdania, że usługodawca nie działa jako podmiot przetwarzający. link
Austria 2018-12-09 4.800 EUR Punkt przyjmowania zakładów bukmacherskich Art. 13 RODO Monitoring wizyjny nie został dostatecznie oznaczony, a ponadto nadzór wideo obejmował dużą część chodnika wokół obiektu. Nadzór nad przestrzenią publiczną w ten sposób, tj. na tzw. dużą skalę, przez osoby prywatne nie jest dozwolony. link
Niemcy 2018-11-21 20.000 EUR Knuddels.de Art. 32 (1a) RODO Po ataku hakerów w lipcu, ujawnione zostały dane osobowe ok. 330 000 użytkowników, w tym hasła i ich adresy e-mail. link
Czechy 2018-10-25 388 EUR nie ujawniono Art. 15 RODO Udowodniono, że stowarzyszenie zwlekało z realizacją żądania usunięcia danych osobowych, osoby której dane dotyczą, a także nie dostarczono wymaganych informacji na żądanie dotyczące przetwarzania danych osobowych strony. link
Portugalia 2018-07-17 400.000 EUR Szpital Art. 5 (1f) RODO, Art. 32 RODO Dochodzenie wykazało, że personel szpitala, psycholodzy, dietetycy i inni specjaliści mieli dostęp do danych pacjentów za pomocą fałszywych profili. System zarządzania profilami okazał się niewystarczający – szpital miał 985 zarejestrowanych profili lekarzy, a jedynie 296 lekarzy. Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od specjalizacji lekarza. link
Bułgaria 2018-12-04 500 EUR Bank Art. 5 (1b) RODO, Art. 6 RODO Grzywna została nałożona na bank za wezwanie klienta za niezapłacone rachunki sąsiada. To sprowokowało klienta do skorzystania z jego prawa do bycia zapomnianym. Po nieotrzymaniu odpowiedzi od banku złożył kolejny wniosek, w którym bank podjął działania w ustawowym terminie. Niemniej jednak klient złożył skargę do KZLD (organu nadzorczego). Naruszenie, za które bank został ukarany, dotyczyło przetwarzania danych osobowych klienta niepowiązanych z umową o kredyt konsumencki. Ponieważ cel przetwarzania danych był inny niż cel przekazany w momencie zawarcia umowy, bank z punktu widzenia KZLD powinien posiadać dodatkową zgodę od swojego klienta. link
Cypr 2019 5.000 EUR Szpital publiczny Art. 15 RODO Pacjent złożył skargę do organu nadzorczego, że wniosek o dostęp do jej akt medycznych nie został spełniony przez szpital, ponieważ Administrator nie może zidentyfikować / zlokalizować dokumentacji. link
Cypr 2019 10.000 EUR Wydawca gazety Art. 6 RODO Publikacja gazety w wersji papierowej i elektronicznej wiązała się rzekomo z niedogodnościami, niepotrzebnym i bezprawnym przetrzymywaniem obywatela oraz ujawniła nazwiska i zdjęcia trzech zaangażowanych śledczych policji. Komisarz uznał, że cel można osiągnąć, odwołując się jedynie do inicjałów ich nazwisk i / lub ich twarzy rozmazanych i / lub publikując fotografie narysowane z daleka, aby niemożliwe było zidentyfikowanie osób, a działania te nie miały by wpływu na przebieg sprawy. link
Dania 2019 160.000 EUR Taxa 4×35 (Taxi company) Art. 5(1e) RODO Duński organ ochrony danych poinformował policję o firmie taksówkarskiej i zalecił karę grzywny (w wysokości 1,2 mln DKK) za nieprzestrzeganie zasady minimalizacji danych. Firma usunęła tylko nazwiska swoich pasażerów ze wszystkich zapisów, ale pozostałych informacje o przejazdach (około 8 873 333 przejazdów taksówką). W związku z tym firma nadal utrzymywała indywidualne numery telefonów. Uwaga: Ponieważ prawo duńskie nie przewiduje kar administracyjnych, jak ujęte zostało to w RODO (o ile nie jest to przypadek nieskomplikowany, a oskarżony wyraził na to zgodę), organem nakładającym grzywnę jest sąd. link
Hiszpania 2019 60.000 EUR Endesa Art. 5(1f) RODO brak danych link
Austria 2018 1.800 EUR Restauracja brak danych Monitoring wizyjny został wykorzystany niezgodnie z prawem. link
Austria 2018-09-27 300 EUR Właściciel samochodu osobowego brak danych Rejestrator jazdy został wykorzystany niezgodnie z prawem. . link
Niemcy 2018 20.000 EUR brak danych Art. 83 (4a) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO Późne powiadomienie o naruszeniu danych i niepowiadomienie osób, których dane dotyczą. link (strona 134)
Niemcy 2018 118 EUR brak danych Art. 6 RODO Nielegalne ujawnianie danych osobowych osób trzecich. link
Niemcy 2019-03 50.000 EUR Mobilny Bank N26 Art. 6 RODO Grzywna została nałożona przeciwko bankowi (zgodnie z gazetą N26), który przetwarzał „dane osobowe wszystkich byłych klientów” bez zezwolenia. Bank potwierdził, że zachował dane dotyczące byłych klientów w celu utrzymania czarnej listy, rodzaj pliku ostrzeżenia, aby nie udostępnić nowego konta tym osobom. Bank początkowo uzasadniał to stwierdzeniem, że zgodnie z niemiecką ustawą bankową był zobowiązany do podjęcia środków bezpieczeństwa wobec klientów podejrzanych o pranie pieniędzy. Berliński organ nadzorczy uznał to za nielegalne. Władze twierdzą, że w celu uniemożliwienia otwarcia nowego rachunku bankowego, do pliku porównawczego, mogą być wpisane osoby, które rzeczywiście są podejrzane o pranie pieniędzy lub dla których istnieją inne ważne powody odmowy przyjęcia nowego rachunku bankowego. Władze poinformowały gazetę, że grzywna wszczęta przeciwko bankowi „nie została jeszcze prawomocnie zawarta”. link (strona 131)
Hiszpania 2018 5.000 EUR Vodafone Espana S.A.U. Art. 5 (1d) RODO Hiszpańska agencja telekomunikacyjna i informacyjna (SETSI) zdecydowała, że Vodafone musi zwrócić klientowi koszty, za które został niesłusznie obciążony. Niemniej jednak Vodafone zgłosił dane osobowe tego odpowiedniego klienta do rejestru wypłacalności (BADEXCUG). AEPD (organ nadzorczy) stwierdził, że takie zachowanie narusza zasadę dokładności. link
Niemcy 2018 500 EUR brak danych brak danych brak danych link
Hiszpania 2019-06-11 250.000 EUR Profesjonalna Liga Piłkarska (LaLiga) Art. 5 (1a), 7 (3) RODO Krajowa liga piłkarska (LaLiga) została ukarana grzywną za oferowanie aplikacji, która raz na minutę korzystała z mikrofonu telefonów komórkowych użytkowników w celu wykrywania pubów transmitujących mecze piłkarskie bez uiszczania opłaty. Zdaniem AEPD (organu nadzorczego) LaLiga nie poinformowała użytkowników aplikacji o tej praktyce. Ponadto aplikacja nie spełniała wymagań dotyczących cofnięcia zgody. link

Źródło: GDPR enforcementtracker.com