Kary RODO
Kary RODO – jeśli chcesz ich uniknąć, najlepiej ucz się na błędach. Cudzych.
Dowiedz się za co UODO i inne europejskie organy ochrony danych osobowych nałożyły kary RODO. Dzięki temu łatwiej unikniesz błędów, które popełnili inni.
ID | Kraj | Organ | Data | Wysokość kary (w euro) | Ukarany podmiot | Podstawa prawna | Podsumowanie | Źródło | Dodatkowe materiały |
---|---|---|---|---|---|---|---|---|---|
1642 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2023-02-08 | 5 000,00 € | Medijobs Platform SRL | Art. 32 (1) b), (2) RODO. | Rumuński organ ochrony danych nałożył na Medijobs Platform SRL karę w wysokości 5 000 EUR. Administrator danych poinformował organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Nieupoważnionym osobom trzecim udało się uzyskać dostęp do infrastruktury informatycznej administratora danych i pobrały, usunęły i przekazały dane osobowe kandydatów, takie jak imię i nazwisko, adres e-mail, historia zawodowa, stan cywilny itp. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co ostatecznie również przyczyniło się do naruszenia danych. Przetłumaczono z www.DeepL.com/Translator (wersja darmowa) | Link | |
1641 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 3 000,00 € | Gmina Monte Sant'Angelo | Art. 5 (1) a) RODO, Art. 6 (1) e) RODO, Art. 17 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Comune di Monte Sant'Angelo karę w wysokości 3 000 euro. Osoba, która uczestniczyła w procedurze wyboru, złożyła skargę do organu ochrony danych w związku z tym, że gmina opublikowała na swojej stronie internetowej listę kandydatów i ich wyniki w procedurze wyboru. W swoim dochodzeniu organ ochrony danych stwierdził, że gmina nie miała ważnej podstawy prawnej do opublikowania wyników i danych osobowych kandydatów. Ponadto organ ochrony danych stwierdził, że administrator nie spełnił wniosku osoby, której dane dotyczą, o usunięcie jej danych osobowych. | Link | |
1640 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-24 | 3 000,00 € | Ordine dei Medici Chirurghi e degli Odontoiatri della Provincia di Cagliari | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Radę Chirurgów i Dentystów prowincji Cagliari grzywnę w wysokości 3 tys. euro. Administrator danych ujawnił dane lekarza osobom trzecim bez ważnej podstawy prawnej. | Link | |
1639 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-20 | 12 000,00 € | Gmina Salento | Art. 5 (1) a), b), e) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 30 RODO | Włoski organ ochrony danych nałożył na Comune di Salento karę w wysokości 12 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z tym, że została nagrana przez kamerę monitoringu wizyjnego, która udowodniła, że osoba ta zlekceważyła godzinę policyjną wprowadzoną w ramach środków przeciwdziałania pandemii Covid-19. W trakcie dochodzenia organ ochrony danych stwierdził, że przetwarzanie danych osobowych w celu udowodnienia naruszenia godziny policyjnej nie było zgodne z prawem, ponieważ kamery zostały pierwotnie zainstalowane w celu zwalczania przestępczości ulicznej. Gmina nie przetwarza zatem danych w ich pierwotnym celu, co stanowi naruszenie zasady ograniczenia celu określonej w RODO. Organ ochrony danych stwierdził również, że gmina przechowywała nagrania nadmiernie długo i nie przekazała osobie, której dane dotyczą, wystarczających informacji na temat monitoringu wizyjnego. Ponadto organ ochrony danych stwierdził, że gmina nie odpowiedziała w odpowiednim czasie na wniosek o udzielenie informacji złożony przez osobę, której dane dotyczą. Wreszcie, gmina nie prowadziła rejestru czynności przetwarzania danych przez określone okresy. | Link | |
1638 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 2 000,00 € | Właścicel sklepu | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych ukarał właściciela sklepu "Turkish City" karą pieniężną w wysokości 2 tys. euro. Administrator zainstalował w swoim lokalu kamery monitoringu wizyjnego, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny. Organ ochrony danych uznał, że administrator naruszył obowiązek informacyjny określony w RODO. | Link | |
1637 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-24 | 1 000,00 € | Osoba fizyczna | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 32 RODO, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych nałożył na osobę fizyczną karę pieniężną w wysokości 1 000 EUR. Dwie osoby złożyły skargę do organu ochrony danych w związku z tym, że administrator opublikował dane osobowe ich i ich rodzin w swojej pracy doktorskiej. Osoby te uczestniczyły w zabiegach prowadzonych przez administratora, ale nie wyraziły zgody na publikację ich danych w rozprawie doktorskiej w formie niezanonimizowanej. | Link | |
1636 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-15 | 6 000,00 € | Gmina Bracciano | Art.5 RODO, Art. 6 RODO, Art. 9 GDPR, Art. 2-ter Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych nałożył na Comune die Bracciano karę w wysokości 6 000 euro. Były pracownik złożył skargę do organu ochrony danych w związku z faktem, że gmina opublikowała na swojej stronie internetowej dokument zawierający jego dane osobowe dotyczące zdrowia. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że gmina opublikowała te dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem. | Link | |
1635 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-15 | 8 000,00 € | Gmina Vicchio | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 (2), (4) RODO | Włoski organ ochrony danych (Garante) nałożył na Comune di Vicchio karę w wysokości 8 tys. euro. Gmina przetwarzała dane biometryczne pracowników w celu rejestracji ich obecności. Garante stwierdził, że takie przetwarzanie nie było proporcjonalne i dlatego stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante ustaliła, że przetwarzanie danych biometrycznych odbyło się bez podstawy prawnej. | Link | |
1634 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-15 | 5 000,00 € | Gmina Borgia | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 (2), (4) RODO, Art. 37 (7) RODO | Włoski organ ochrony danych (Garante) nałożył na Comune di Borgia karę w wysokości 5 tys. euro. Gmina przetwarzała dane biometryczne pracowników w celu rejestracji ich obecności. Garante stwierdził, że takie przetwarzanie nie było proporcjonalne i dlatego stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante ustaliła, że przetwarzanie danych biometrycznych odbywało się bez podstawy prawnej. Garante stwierdziła również, że gmina nie przekazała organowi ochrony danych danych danych kontaktowych swojego inspektora ochrony danych. | Link | |
1633 | Włochy | Garante per la protezione dei dati personali (Garante) | 2023-01-11 | 2 500,00 € | Azienda Sanitaria Locale di Brindisi | Art. 12 (3) RODO, Art. 15 RODO | Włoski organ ochrony danych nałożył na Azienda Sanitaria Locale di Brindisi karę w wysokości 2500 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z brakiem odpowiedzi organu służby zdrowia na wniosek o dostęp do jej danych osobowych. | Link | |
1632 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-11-30 | 9 600,00 € | PIONIER (kancelaria prawna) | Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 9 RODO | Polski organ ochrony danych nałożył na kancelarię PIONIER karę pieniężną w wysokości 9.600 euro. Kancelaria reprezentuje głównie poszkodowanych w wypadkach komunikacyjnych w postępowaniach przeciwko zakładom ubezpieczeń i innym podmiotom. W tym kontekście wspiera swoich klientów w roszczeniach o odszkodowanie, jak również w roszczeniach o zwrot kosztów leczenia. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że kancelaria przetwarzała dane osobowe, w tym dane dotyczące zdrowia, potencjalnych klientów bez ważnej podstawy prawnej. Kancelaria uzyskała dane osobowe potencjalnych klientów na podstawie informacji prasowych, a także doniesień z mediów społecznościowych. Dzięki temu mogła skontaktować się z potencjalnymi klientami i zaoferować im swoje usługi. Podczas wstępnej rozmowy poprosiła ich o ustną zgodę na przetwarzanie ich danych osobowych do momentu zawarcia umowy. Organ ochrony danych uznał jednak, że zgoda powinna była zostać udzielona w taki sposób, aby można było to udowodnić na późniejszym etapie (np. poprzez rejestr zgód). | Link Link | |
1631 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 15 000,00 € | Poliambulatorio Radiologico 'il Sorriso' S.r.l. | Art. 5 RODO, Art. 13 RODO, Art. 37 RODO | Włoski organ ochrony danych nałożył na Poliambulatorio Radiologico "il Sorriso" S.r.l. karę w wysokości 15 000 EUR. Pacjent złożył skargę do organu ochrony danych z powodu nieotrzymania wystarczających informacji dotyczących przetwarzania jego danych osobowych. Administrator danych nie przedstawił między innymi informacji na temat inspektora ochrony danych oraz rodzaju przetwarzanych danych. Organ ochrony danych stwierdził również, że administrator nie przekazał organowi ochrony danych danych danych kontaktowych. | Link | |
1630 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-20 | 10 000,00 € | Italian Archery Federation (FITARCO) | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-octies Codice della privacy | Włoski organ ochrony danych (Garante) ukarał włoską federację łuczniczą (FITARCO) karą grzywny w wysokości 10 000 euro. Członek federacji złożył skargę do organu ochrony danych w związku z tym, że federacja bezprawnie opublikowała na swojej stronie internetowej dokumenty zawierające jego dane osobowe. Dokumenty te zawierały między innymi informacje kryminalne dotyczące osoby, której dane dotyczą. | Link | |
1629 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-20 | 900,00 € | Istituto di Istruzione Superiore G. Renda di Polistena, Reggio Calabria | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył karę w wysokości 900 euro na instytucję edukacyjną "Istituto di Istruzione Superiore G. Renda di Polistena, Reggio Calabria". Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ dokument zawierający jego dane osobowe został bezprawnie opublikowany na stronie internetowej instytucji edukacyjnej. Dokument ten zawierał informacje o rozwiązaniu stosunku pracy. | Link | |
1628 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-02-03 | 600,00 € | HOTEL VILLA SORO, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył karę na HOTEL VILLA SORO, S.L.. Administrator zainstalował system nadzoru wideo bez dostarczenia wymaganych informacji zgodnie z art. 13 RODO. Pierwotna grzywna w wysokości 1000 EUR została zmniejszona do 600 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1627 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-02-03 | 500,00 € | MIRACLE IBIZA S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na firmę MIRACLE IBIZA S.L. karę w wysokości 500 EUR. Administrator zainstalował system nadzoru wideo, który uchwycił drzwi wejściowe do mieszkania osoby fizycznej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych zgodnie z art. 5 (1) c) RODO. | Link | |
1626 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-15 | 3 000,00 € | Scuola Statale Secondaria di I^ grado 'Bianco-Pascol' | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy | Włoski organ ochrony danych nałożył karę w wysokości 3.000 euro na szkołę "Scuola Statale Secondaria di I^ grado "Bianco-Pascoli", di Fasano (BR)". Instytucja edukacyjna opublikowała w elektronicznym rejestrze szkoły dokument zawierający dane osobowe dotyczące zdrowia niektórych uczniów. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że szkoła opublikowała te dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem. Ponadto szkoła nie odpowiedziała w terminie na wnioski o udzielenie informacji. | Link | |
1625 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 7 500,00 € | DW Dynamic Works LIMITED | Art. 32 RODO | Cypryjski organ ochrony danych nałożył na DW Dynamic Works LIMITED karę w wysokości 7 500 EUR. Administrator działał jako podmiot przetwarzający dane dla cypryjskiego Ministerstwa Obrony. Ministerstwo ucierpiało w wyniku cyberataku, który według organu ochrony danych był spowodowany m.in. brakiem środków technicznych i organizacyjnych ze strony Dynamic Works w celu ochrony danych osobowych. | Link | |
1624 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 5 000,00 € | Ministerstwo Obrony Cypru | Art. 24 RODO, Art. 32 RODO | Cypryjski organ ochrony danych nałożył na cypryjskie Ministerstwo Obrony karę w wysokości 5 tys. euro. Administrator danych ucierpiał w wyniku cyberataku, który według organu ochrony danych został spowodowany brakiem technicznych i organizacyjnych środków ochrony danych osobowych oraz brakiem nadzoru nad procesorem. | Link | |
1623 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 5 000,00 € | Cypryjski Urząd Energetyczny | Art. 5 (1) f) RODO, Art. 24 (1) RODO, Art. 32 RODO | Cypryjski organ ochrony danych nałożył karę w wysokości 5000 euro na Cypryjski Urząd Energetyczny. Osoba, której dane dotyczą złożyła skargę do organu w związku z wyciekiem jej danych osobowych do osoby trzeciej. Jak się okazało w trakcie rozpatrywania skargi, administrator nie zapewnił, tak jak powinien, ochrony danych osobowych przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem. Nie podjął również, z wyprzedzeniem, odpowiednich środków, aby móc zapobiec lub wykryć domniemane naruszenie. | Link | |
1622 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 17 000,00 € | Bank of Cyprus Public Company Ltd. | Art. 5 (1) f) RODO, Art. 24 (1) RODO, Art. 32 RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 17 000 EUR na Bank of Cyprus Public Company Ltd. W kontekście sprzedaży kredytów bank nieumyślnie przekazał nabywcy dane klientów, których kredyty nie zostały sprzedane. Incydenty dotyczyły około 11 673 rekordów i 5 500 osób. Organ ochrony danych stwierdził, że bank nie wdrożył wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1621 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 3 750,00 € | PRINTAFORM Ltd. | Art. 28 (3) RODO, Art. 32 (1) RODO | Cypryjski organ ochrony danych nałożył na firmę PRINTAFORM Ltd. grzywnę w wysokości 3.750 EUR. PRINTAFORM, która pracowała jako podmiot przetwarzający dane dla Universal Life Insurance Public Co Ltd. Doznała naruszenia ochrony danych, w którym dane osobowe klientów zostały omyłkowo ujawnione innym klientom. Według organu ochrony danych, naruszenie danych było spowodowane brakiem środków technicznych i organizacyjnych ze strony PRINTAFORM w celu ochrony danych osobowych. | Link | |
1620 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 3 500,00 € | Universal Life Insurance Public Co Ltd. | Art. 24 (1) RODO, Art. 28 (1) RODO | Cypryjski organ ochrony danych nałożył grzywnę w wysokości 3.500 EUR na Universal Life Insurance Public Co Ltd. Podmiot przetwarzający administratora danych dopuścił się naruszenia ochrony danych, w wyniku którego dane osobowe klientów zostały omyłkowo ujawnione innym klientom. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator danych nie uregulował w umowie stosunków ze swoim podmiotem przetwarzającym. Organ ochrony danych stwierdził, że administrator danych zawarł umowę z przetwarzającym bez zapewnienia, że przetwarzający zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1619 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 5 000,00 € | DW Dynamic Works LIMITED | Art. 32 RODO | Cypryjski organ ochrony danych nałożył na DW Dynamic Works LIMITED karę w wysokości 5 000 EUR. Administrator działał jako podmiot przetwarzający dla Hermes Airport Ltd.. Hermes doznał cyberataku, który według organu ochrony danych był spowodowany m.in. brakiem środków technicznych i organizacyjnych ze strony Dynamic Works w celu ochrony danych osobowych. | Link | |
1618 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 6 000,00 € | Hermes Airport Ltd. | Art. 24 RODO, Art. 32 RODO | Cypryjski organ ochrony danych nałożył karę w wysokości 6 000 euro na Hermes Airport Ltd. Administrator danych ucierpiał w wyniku cyberataku, który według organu ochrony danych został spowodowany brakiem technicznych i organizacyjnych środków ochrony danych osobowych oraz brakiem nadzoru nad podmiotem przetwarzającym. | Link | |
1617 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia-Anhalt | 2023 | 9 000,00 € | Szpital Uniwersytecki w Magdeburgu | Art. 33 RODO | Organ ochrony danych w Sachsen-Anhalt nałożył na szpital uniwersytecki w Magdeburgu grzywnę w wysokości 9 000 euro. Klinika nie zgłosiła organowi ochrony danych naruszenia ochrony danych, polegającego na tym, że były pracownik bezprawnie udostępnił dane osobowe z systemów kliniki osobom trzecim. | Link | |
1616 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 6 000,00 € | Conservatorio di Musica S. Cecilia di Roma | Art. 5 RODO, Art. 6 RODO, Art. 38 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na "Conservatorio di Musica S. Cecilia di Roma" karę pieniężną w wysokości 6 000 EUR. Student tej instytucji edukacyjnej złożył skargę do organu ochrony danych, ponieważ został ukarany dyscyplinarnie za wypowiedź podczas zgromadzenia studentów. Zgromadzenie to, mimo że nie miało być, było nagrywane, a instytucja wykorzystała nagrania, aby oprzeć na nich postępowanie dyscyplinarne. W toku postępowania wyjaśniającego organ ochrony danych ustalił, że administrator nie miał ważnej podstawy prawnej do wykorzystania nagrań ze zgromadzenia, a zatem przetwarzanie danych osobowych studenta było niezgodne z prawem. Ponadto organ ochrony danych ustalił, że inspektor ochrony danych w instytucji edukacyjnej był jednocześnie dyrektorem tej instytucji. Organ ochrony danych uznał to za niezgodny z prawem konflikt interesów. | Link | |
1615 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 5 000,00 € | Gmina Cisterna di Latina | Art. 5 RODO, Art. 12 RODO, Art. 37 RODO | Włoski organ ochrony danych nałożył na gminę Cisterna di Latina grzywnę w wysokości 5 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ gmina nie odpowiedziała w terminie na jej wniosek o dostęp do jej danych osobowych. W trakcie dochodzenia organ ochrony danych ustalił, że gmina omyłkowo przesłała dane, o które wnioskowała osoba, której dane dotyczą, do strony trzeciej, a nie do osoby, której dane dotyczą. Ponadto organ ochrony danych stwierdził, że gmina nie wyznaczyła nowego inspektora ochrony danych kilka miesięcy po tym, jak pierwotnie wyznaczony inspektor ochrony danych złożył rezygnację. | Link | |
1614 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-20 | 9 000,00 € | Azienda Ospedaliero-Universitaria Careggi di Firenze | Art. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył na Azienda Ospedaliero-Universitaria Careggi di Firenze karę w wysokości 9 tys. euro. Administrator danych omyłkowo przesłał dokumentację medyczną pacjenta do niewłaściwego pacjenta. Organ ochrony danych stwierdził, że zakład opieki zdrowotnej nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych, co pozwoliło na zaistnienie takiego incydentu. | Link | |
1613 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-20 | 5 000,00 € | Fondazione Teatro Regio di Torino | Art. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych nałożył na Fondazione Teatro Regio di Torino karę w wysokości 5 000 euro. Jeden z członków fundacji złożył skargę do organu ochrony danych w związku z tym, że fundacja opublikowała na swojej stronie internetowej dokument zawierający jego dane osobowe dotyczące zdrowia. W trakcie dochodzenia organ ochrony danych stwierdził, że fundacja opublikowała te dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem. | Link | |
1612 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-06 | 1 000,00 € | Poste Italiane S.p.a. | Art. 12 (3), (4) RODO | Włoski organ ochrony danych (Garante) ukarał Poste Italiane S.p.a. karą pieniężną w wysokości 10 000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych. | Link | |
1611 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-06 | 3 000,00 € | Associazione Rescue Drones Network ODV | Art. 12 RODO, Art. 15 (3) RODO | Włoski organ ochrony danych nałożył na Associazione Rescue Drones Network ODV karę w wysokości 3 tys. euro. Jeden z członków założycieli stowarzyszenia złożył skargę do organu ochrony danych. Członek dowiedział się o toczących się przeciwko niemu postępowaniach dyscyplinarnych, w związku z czym zamierzał wykorzystać do obrony dokumenty ze swojego konta e-mail. Administrator zablokował jednak dostęp do jego konta e-mail, uniemożliwiając mu dostęp do potrzebnych dokumentów. W związku z tym zwrócił się on do administratora o udzielenie mu dostępu do swojego konta e-mail. Administrator nie odpowiedział jednak na ten wniosek. Organ ochrony danych uznał to za naruszenie prawa osoby, której dane dotyczą, do informacji na podstawie art. 12 RODO i art. 15 (3) RODO. | Link | |
1610 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-24 | 1 000,00 € | STS Di Prisinzano s.r.l | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych ukarał STS Di Prisinzano s.r.l grzywną w wysokości 1 000 EUR. Przedsiębiorstwo przetwarzało dane klienta w ramach usługi usuwania awarii, nie informując go w wystarczającym stopniu o przetwarzaniu jego danych osobowych. | Link | |
1609 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-02 | 24 000,00 € | FACTOR ENERGÍA, S.A. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył karę na spółkę FACTOR ENERGÍA, S.A. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymywała wiadomości reklamowe od administratora danych, mimo że nie istniał między nimi żaden stosunek umowny. Zdaniem organu ochrony danych, administrator przetwarzał dane niezgodnie z prawem, przy braku ważnej podstawy prawnej. Pierwotna kara w wysokości 40 000 EUR została zmniejszona do 24 000 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności. | Link | |
1608 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-15 | 55 000,00 € | Azienda Universitaria Giuliano Isontina | Art. 5 (1) a) RODO, Art. 9 RODO, Art. 14 RODO, Art. 35 RODO, Art. 2-sexies Codice della privacy | Włoski organ ochrony danych nałożył na Azienda Universitaria Friuli Isontina karę w wysokości 55 000 euro. Organ służby zdrowia stworzył profile pacjentów, wykorzystując algorytmy i osobiste dane pacjentów, aby wskazać ryzyko wystąpienia powikłań w przypadku zakażenia wirusem SARS-COV-2. Miało to na celu określenie w odpowiednim czasie odpowiednich ścieżek diagnostycznych i terapeutycznych w przypadku wystąpienia powikłań. Organ ochrony danych stwierdził jednak, że organ służby zdrowia nie miał ważnej podstawy prawnej do przetwarzania danych osobowych pacjentów w celu profilowania. Ponadto organ ochrony danych stwierdził, że organ służby zdrowia nie przeprowadził oceny skutków w zakresie ochrony danych. Przy obliczaniu grzywny organ ochrony danych wziął pod uwagę okoliczność obciążającą, jaką jest fakt, że naruszenie dotyczyło dużej liczby osób. | Link Link | |
1607 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-15 | 55 000,00 € | Azienda Universitaria Friuli Centrale | Art. 5 (1) a) RODO, Art. 9 RODO, Art. 14 RODO, Art. 35 RODO, Art. 2-sexies Codice della privacy | Włoski organ ochrony danych nałożył na Azienda Universitaria Friuli Centrale karę w wysokości 55 000 euro. Organ służby zdrowia stworzył profile pacjentów, wykorzystując algorytmy i osobiste dane pacjentów, aby wskazać ryzyko wystąpienia powikłań w przypadku zakażenia wirusem SARS-COV-2. Miało to na celu określenie w odpowiednim czasie odpowiednich ścieżek diagnostycznych i terapeutycznych w przypadku wystąpienia powikłań. Organ ochrony danych stwierdził jednak, że organ służby zdrowia nie miał ważnej podstawy prawnej do przetwarzania danych osobowych pacjentów w celu profilowania. Ponadto organ ochrony danych stwierdził, że organ służby zdrowia nie przeprowadził oceny skutków w zakresie ochrony danych. Przy obliczaniu grzywny organ ochrony danych wziął pod uwagę okoliczność obciążającą, jaką jest fakt, że naruszenie dotyczyło dużej liczby osób. | Link Link | |
1606 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-15 | 55 000,00 € | Azienda Universitaria Friuli Occidentale | Art. 5 (1) a) RODO, Art. 9 RODO, Art. 14 RODO, Art. 35 RODO, Art. 2-sexies Codice della privacy | Włoski organ ochrony danych nałożył na Azienda Universitaria Friuli Occidentale karę w wysokości 55 000 euro. Organ służby zdrowia stworzył profile pacjentów, wykorzystując algorytmy i osobiste dane pacjentów, aby wskazać ryzyko wystąpienia powikłań w przypadku zakażenia wirusem SARS-COV-2. Miało to na celu określenie w odpowiednim czasie odpowiednich ścieżek diagnostycznych i terapeutycznych w przypadku wystąpienia powikłań. Organ ochrony danych stwierdził jednak, że organ służby zdrowia nie miał ważnej podstawy prawnej do przetwarzania danych osobowych pacjentów w celu profilowania. Ponadto organ ochrony danych stwierdził, że organ służby zdrowia nie przeprowadził oceny skutków w zakresie ochrony danych. Przy obliczaniu grzywny organ ochrony danych wziął pod uwagę okoliczność obciążającą, jaką jest fakt, że naruszenie dotyczyło dużej liczby osób. | Link Link | |
1605 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2023-02-01 | 1 000,00 € | Tensa Art Design SA | Art. 21 (3) RODO | Rumuński organ ochrony danych (AEPD) nałożył na Tensa Art Design SA karę w wysokości 1000 euro. Osoba, której dane dotyczą, sprzeciwiła się dalszej subskrypcji newslettera, jednak nadal otrzymywała reklamy od administratora danych. | Link | |
1604 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-31 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną karę pieniężną w wysokości 600 euro. Osoba ta zainstalowała w swoim domu kamerę monitoringu, która rejestrowała m.in. wspólne obszary osiedla mieszkaniowego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1603 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-31 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny | Link | |
1602 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-31 | 180,00 € | Nieznany | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na administratora danych. Administrator danych nie dostarczył informacji o monitoringu wideo w swoich pomieszczeniach. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności. | Link | |
1601 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2023-01-31 | 1 000,00 € | Dentysta | Art. 6 (1) a) RODO, Art. 9 (2) a) RODO | Rumuński organ ochrony danych ukarał dentystę grzywną w wysokości 1 000 EUR. Administrator opublikował informacje medyczne pacjenta, takie jak zdjęcia i zdjęcia rentgenowskie, w artykule na blogu medycznym. Nie uzyskał jednak zgody pacjenta przed opublikowaniem danych medycznych. W związku z tym organ ochrony danych uznał, że administrator danych przetwarzał dane niezgodnie z prawem. | Link | |
1600 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2023-01-31 | 1 000,00 € | Dent Estet Clinic SA | Art. 33 RODO | Rumuński organ ochrony danych nałożył na Dent Estet Clinic SA (gabinet stomatologiczny) karę pieniężną w wysokości 1 000 EUR. Zatrudniony w tej praktyce dentysta opublikował informacje medyczne pacjenta, takie jak zdjęcia i zdjęcia rentgenowskie, w artykule na blogu medycznym. Przed opublikowaniem danych medycznych nie uzyskał jednak zgody pacjenta. Mimo że pacjent poinformował klinikę, ta nie powiadomiła organu ochrony danych o naruszeniu w odpowiednim czasie. | Link | |
1599 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-21 | 2 000,00 € | Istituto Comprensivo - IC Cosenza III “V. Negroni” | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 2 000 euro na Istituto Comprensivo - IC Cosenza III "V. Negroni". Instytucja edukacyjna opublikowała na platformie internetowej dla kadry nauczycielskiej dokument, który zawierał również osobiste dane zdrowotne niektórych nauczycieli. Dokument ten zawierał informacje na temat świadczeń związanych ze stanem zdrowia nauczycieli, którzy byli uprawnieni do takich świadczeń. W trakcie dochodzenia organ ochrony danych stwierdził, że szkoła opublikowała dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem. | Link | |
1598 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-25 | 3 000,00 € | CASAL DE L'ESPLUGA DE FRANCOLÍ | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył karę na CASAL DE L'ESPLUGA DE FRANCOLÍ. Klub zarządzany przez administratora umieścił na mediach społecznościowych zdjęcia z zawodów, na których widać było osoby niepełnoletnie. Matka dziecka złożyła skargę, ponieważ nie wyraziła zgody na publikację zdjęć. Organ ochrony danych stwierdził zatem, że administrator, z braku ważnej podstawy prawnej, bezprawnie przetwarzał te zdjęcia. Pierwotna grzywna w wysokości 5000 EUR została zmniejszona do 3000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1597 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-25 | 180,00 € | Nieznany | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na administratora danych. Administrator danych nie dostarczył informacji na temat nadzoru wideo w jego siedzibie. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności. | Link | |
1596 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-27 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną karę w wysokości 300 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. nagrywały posesję sąsiada i przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1595 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-12-08 | 2 654,00 € | Sprzedawca | Art. 27 (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 2 654 EUR. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1594 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-12-08 | 2 654,00 € | Producent biżuterii | Art. 27 (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył na producenta biżuterii karę w wysokości 2 654 EUR. Administrator zainstalował w swojej siedzibie system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1593 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-12-07 | 1 991,00 € | Targ rybny | Art. 27 (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył na targ rybny grzywnę w wysokości 1 991 EUR. Administrator zainstalował w swoim lokalu system nadzoru wideo, jednak organ ochrony danych stwierdził, że informacja o nadzorze wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1592 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-12-07 | 2 654,00 € | Sprzedawca | Art. 27 (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 2 654 EUR. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1591 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-12-06 | 1 991,00 € | Sprzedawca | Art. 27 (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 1 991 EUR. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1590 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-12-06 | 3 185,00 € | Sprzedawca | Art. 27 (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (Chorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 3 185 EUR. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.) nałożył na sprzedawcę detalicznego karę w wysokości 3 583 EUR. Administrator zainstalował w swojej siedzibie system monitoringu wizyjnego, jednak organ ochrony danych stwierdził, że administrator nie poinformował osób, których dane dotyczą, o tym, że będą one nagrywane przez telewizję przemysłową. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (1) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1589 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-12-05 | 3 583,00 € | Sprzedawca | Art. 27 (1) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 3 583 EUR. Administrator zainstalował w swojej siedzibie system monitoringu wizyjnego, jednak organ ochrony danych stwierdził, że administrator nie poinformował osób, których dane dotyczą, o tym, że będą one nagrywane przez telewizję przemysłową. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (1) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1588 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-12-05 | 1 991,00 € | Miejsce dokonywania zakładów | Art. 27 (1), (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył na zakład bukmacherski grzywnę w wysokości 1 991 EUR. Administrator zainstalował w swoim lokalu system nadzoru wideo, jednak organ ochrony danych stwierdził, że zawiadomienie o nadzorze wideo nie było widoczne dla osób, których dane dotyczą, wchodzących w obręb wideo. Ponadto informacja o monitoringu wizyjnym nie zawierała wszystkich istotnych informacji na temat monitoringu wizyjnego. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (1) i (2) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1587 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-11-25 | 1 991,00 € | Miejsce dokonywania zakładów | Art. 27 (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył na zakład bukmacherski grzywnę w wysokości 1 991 euro. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że zawiadomienie o monitoringu wideo nie zawierało wszystkich istotnych informacji. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1586 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-11-25 | 1 991,00 € | Przedsiębiorstwo w branży hotelarskiej | Art. 27 (2) chorwackiej ustawy o wdrożeniu RODO | Chorwacki organ ochrony danych (azop) nałożył karę w wysokości 1 991 EUR na firmę z branży hotelarskiej. Administrator zainstalował w swoich pomieszczeniach system monitoringu wideo, jednak organ ochrony danych stwierdził, że zawiadomienie o monitoringu wideo nie zawierało wszystkich istotnych informacji. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO. | Link | |
1585 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-28 | 2 000,00 € | Wspólnota mieszkaniowa | Art. 6 (1) RODO, Art. 15 RODO | Hiszpański organ ochrony danych nałożył na wspólnotę mieszkaniową grzywnę w wysokości 2 tys. euro. Osoba fizyczna, która wykonywała prace porządkowe w kompleksie mieszkalnym, złożyła skargę do organu ochrony danych, ponieważ członkowie wspólnoty dodali ją do grupy WhatsApp bez jej zgody. Osoba, której dane dotyczyły, została poproszona o przesłanie zdjęć wykonanych prac porządkowych w celach dokumentacyjnych. Organ ochrony danych stwierdził, że dodanie ich numeru telefonu do grupy WhatsApp bez ich zgody naruszało art. 6 RODO, a zatem było niezgodne z prawem. Organ ochrony danych stwierdził również, że administrator nie spełnił wniosku osoby, której dane dotyczą, o dostęp do danych osobowych w odpowiednim czasie, naruszając tym samym art. 15 RODO. | Link | |
1584 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-28 | 100 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. grzywnę w wysokości 100,00 EUR za przetwarzanie danych bez wystarczającej podstawy prawnej. Osoba, której dane dotyczą, oświadczyła, że numer prepaid, za który pobierano opłaty, został zarejestrowany na jej nazwisko. Jednakże osoba, której dane dotyczą, nigdy nie zawarła z przedsiębiorstwem umowy dotyczącej tego numeru. Przedmiotowa umowa została raczej zawarta przez oszustów przy użyciu danych osobowych osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowa została zawarta zgodnie z prawem i rzeczywiście przez osobę, której dane dotyczą. | Link | |
1583 | Finlandia | Tietosuojavaltuutetun Toimisto | 2022-12-27 | 122 000,00 € | Przedsiębiorstwo | Art. 9 RODO | Fiński organ ochrony danych nałożył grzywnę w wysokości 122 000 EUR na firmę posiadającą produkty, które przetwarzają dane dotyczące zdrowia, takie jak rytm serca itp. Organ ochrony danych otrzymał kilka skarg dotyczących przetwarzania danych zdrowotnych od osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo nie posiadało wystarczającej podstawy prawnej do przetwarzania różnych rodzajów danych dotyczących zdrowia. Chociaż przedsiębiorstwo poinformowało użytkowników produktów o przetwarzaniu danych osobowych dotyczących zdrowia w ogólności, nie dostarczyło informacji dla każdego z różnych rodzajów danych dotyczących zdrowia (np. wskaźnik masy ciała lub pojemność tlenowa), takich jak cel przetwarzania. W związku z tym organ ochrony danych stwierdził, że zgoda użytkowników nie może być ważna, ponieważ nie została udzielona w sposób indywidualny i z pełną świadomością faktów. | Link Link | |
1582 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-18 | 2 000,00 € | Prywatny detektyw | Art. 13 RODO | Hiszpański organ ochrony danych ukarał prywatnego detektywa grzywną w wysokości 2 tys. euro. Osoba fizyczna, która wynajęła detektywa, złożyła skargę do organu ochrony danych. Stwierdziła, że administrator nie poinformował jej w wystarczającym stopniu o przetwarzaniu jej danych osobowych prowadzonym w ramach dochodzenia. Ponadto organ ochrony danych stwierdził, że administrator na swojej stronie internetowej posiadał formularz kontaktowy bez odniesienia do polityki prywatności. | Link | |
1581 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-20 | 360,00 € | TECNO MOTOR LA MUELA, S.L.L | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na TECNO MOTOR LA MUELA, S.L.L.. Administrator miał zainstalowane kamery monitoringu wizyjnego, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował należycie o monitoringu wizyjnym, a tym samym naruszył obowiązek informacyjny wynikający z art. 13 RODO. Pierwotna grzywna w wysokości 600 EUR została zmniejszona do 360 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1580 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-20 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Administrator miał zainstalowane kamery monitoringu wizyjnego, które m.in. obserwowały posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1579 | Szwecja | Datainspektionen | 2023-01-17 | 17 900,00 € | Region Dalarna | Art. 32 (1) RODO | Szwedzki organ ochrony danych nałożył na region Dalarna karę w wysokości 17 900 euro. Region ten wysyłał zaproszenia na wizyty pacjentów, na których w okienku koperty widoczna była odpowiednia placówka służby zdrowia, np. szpital dziecięcy. Organ ochrony danych stwierdził, że taka widoczność umożliwiała osobom nieuprawnionym uzyskanie dostępu do danych osobowych pacjentów. Organ ochrony danych stwierdził, że region nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link Link | |
1578 | Irlandia | Data Protection Commission (DPC) | 2023-01-19 | 5 500 000,00 € | WhatsApp Ireland Ltd. | Art. 6 (1) RODO, Art. 12 RODO, Art. 13 (1) c) RODO. | Irlandzki organ ochrony danych (DPC) ukarał WhatsApp Ireland Ltd. 5,5 mln euro. Austriacka organizacja "None of Your Business" (NOYB) złożyła skargę do organu ochrony danych w imieniu osoby fizycznej. WhatsApp zaktualizował swoje warunki świadczenia usług na krótko przed wejściem w życie RODO. W nim WhatsApp poinformował swoich użytkowników, aby kliknęli "Zgadzam się i kontynuuj", aby zaznaczyć swoją zgodę na nowe warunki świadczenia usług. Było to wymagane do dalszego dostępu do usługi przesyłania wiadomości. WhatsApp zakładał, że zgoda na zaktualizowane warunki korzystania z usługi stanowiła umowę między WhatsApp Ireland a użytkownikiem, ponieważ przetwarzanie danych będzie niezbędne do świadczenia, jak również ulepszania usługi przesyłania wiadomości. Przetwarzanie danych było zatem zgodne z prawem zgodnie z art. 6 (1) b) RODO. Skarżący argumentował jednak, że WhatsApp w rzeczywistości próbował oprzeć się na zgodzie jako legalnej podstawie przetwarzania danych użytkowników. Uzależniając dostęp do swoich usług od zgody użytkowników na zaktualizowane warunki świadczenia usług, WhatsApp Ireland w rzeczywistości zmuszał użytkowników do wyrażenia zgody na przetwarzanie ich danych osobowych. Po przeprowadzeniu dochodzenia DPC przedłożył projekt decyzji na podstawie art. 60 RODO do innych zainteresowanych europejskich organów nadzorczych. DPC stwierdził, że WhatsApp nie opierał się na zgodzie użytkownika jako podstawie prawnej, więc nie dostrzegł w tym przypadku "wymuszonej zgody". Nie wykluczył również możliwości, że WhatsApp opierał się na podstawie umownej. W odpowiedzi, DPC otrzymała zastrzeżenia od 6 organów nadzorczych.Stwierdziła jednak, że Meta naruszyła swoje obowiązki w zakresie przejrzystości wynikające z RODO. Organ ochrony danych stwierdził, że Meta nie wyjaśniła wyraźnie użytkownikom, w jakim celu i na jakiej podstawie prawnej przetwarzane są ich dane osobowe. Ponieważ nie udało się osiągnąć porozumienia w spornych kwestiach, DPC wszczęła procedurę rozstrzygania sporów zgodnie z art. 65 RODO. W swojej decyzji EROD potwierdził naruszenie przez WhatsApp obowiązków w zakresie przejrzystości. EROD zajął jednak inne stanowisko niż DPC w kwestii podstawy prawnej i stwierdził, że WhatsApp nie był uprawniony do powoływania się na umowną podstawę prawną. EROD uznał zatem, że WhatsApp naruszył art. 6 (1) RODO. DPC zgodził się w swojej ostatecznej decyzji i nałożył grzywnę, a także zobowiązał WhatsApp do doprowadzenia przetwarzania danych do zgodności z przepisami w ciągu 6 miesięcy. | Link Link | |
1577 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2023-01-18 | 1 000,00 € | Dante Internațional SA | Art. 17 RODO | Rumuński organ ochrony danych nałożył na Dante Internațional SA grzywnę w wysokości 1.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora ze względu na fakt, że administrator nadal wysyłał jej reklamy, mimo że zażądała ona usunięcia swoich danych. | Link | |
1576 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-16 | 40 000,00 € | Thomas International Systems, S.A. | Art. 9 RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę Thomas International Systems, S.A.. Thomas International wykonuje testy psychologiczne na zlecenie innych firm. Thomas International przeprowadził taki test na zlecenie spółki Agroxarxa, S.L.. Uczestnik takiego testu złożył skargę na administratora, ponieważ musiał podać wrażliwe dane osobowe (pochodzenie etniczne, niepełnosprawność). Agroxarxa wskazała jednak, że w ramach testu nie żądano i nie przetwarzano takich wrażliwych danych. W trakcie dochodzenia organ ochrony danych stwierdził, że spółka Thomas International przetwarzała jednak wrażliwe dane osobowe bez zgody osoby, której dane dotyczą, lub gdy przetwarzanie było niezbędne do realizacji celu określonego w umowie między Agroxarxą a Thomas International. Organ ochrony danych uznał to za naruszenie art. 9 RODO. Pierwotna grzywna w wysokości 50 000 EUR została zmniejszona do 40 000 EUR ze względu na dobrowolną zapłatę. | Link | |
1575 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-01 | 20 000,00 € | Amazon Italia Logistica s.r.l. | Art. 12 RODO, Art. 15 RODO | Włoski organ ochrony danych ukarał Amazon Italia Logistica s.r.l. grzywną w wysokości 20 000 EUR. Były pracownik zażądał od administratora danych dokumentów, których jednak nie otrzymał na czas. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wywiązał się w wystarczającym stopniu z obowiązku spełnienia wniosku o dostęp złożonego przez osobę, której dane dotyczą. | Link | |
1574 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-01 | 6 000,00 € | A.R.N.A.S. Civico | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych nałożył na A.R.N.A.S. Civico grzywnę w wysokości 6 tys. euro. Dwóch pracowników administratora złożyło skargę do organu ochrony danych. W trakcie dochodzenia organ ochrony danych ustalił, że administrator opublikował w Internecie dwa dokumenty zawierające dane osobowe dotyczące zdrowia osób, których dane dotyczą, bez ich zgody, udostępniając je tym samym publicznie. | Link | |
1573 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-01 | 3 000,00 € | Właściciel sklepu (Woolen) | Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych ukarał właściciela sklepu "Woolen" grzywną w wysokości 3 tys. euro . Administrator obsługiwał kamery nadzoru wideo w swoim lokalu bez wymaganej autoryzacji. Ponadto organ ochrony danych stwierdził, że brakowało znaków informacyjnych dotyczących przetwarzania danych osobowych przez kamery. | Link | |
1572 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-16 | 56 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat jej karty SIM nieuprawnionej, nieuczciwej stronie trzeciej bez zgody osoby, której dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pozwoliło to oszustom na uzyskanie dostępu do konta bankowego osoby, której dane dotyczą, i dokonanie nieautoryzowanych transakcji. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę. | Link | |
1571 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-16 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i sąsiednie nieruchomości. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1570 | Polska | Urząd ochrony danych osobowych (UODO) | Nieznana | 960,00 € | Przedsiębiorca | Art. 58 RODO | Polski organ ochrony danych (UODO) ukarał grzywną 960 EUR administratora danych za nieprzekazanie informacji żądanych przez organ ochrony danych podczas dochodzenia. Administrator całkowicie ignorował kierowaną do niego przez UODO korespondencję. | Link | |
1569 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-08-30 | 6 800,00 € | TIMSHEL Sp. z o.o. | Art. 58 (1) e) RODO | UODO nałożył na TIMSHEL Sp. z o.o. karę pieniężną w wysokości 6.800 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. | Link Link | |
1568 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-03-23 | 490,00 € | Nieznany | Art. 31 RODO, Art. 58 (1) e) RODO | Polski organ ochrony danych (UODO) ukarał grzywną w wysokości 490 EUR administratora danych za nieprzekazanie informacji żądanych przez organ ochrony danych w trakcie postępowania wyjaśniającego. | Link Link | |
1567 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-08-31 | 1 450,00 € | Nieznany | Art. 31 RODO, Art. 58 (1) a), e) RODO | Polski organ ochrony danych (UODO) ukarał grzywną 1 450 EUR administratora danych za nieprzekazanie informacji żądanych przez organ ochrony danych podczas dochodzenia. | Link Link | |
1566 | Grecja | Hellenic Data Protection Authority (HDPA) | 2023-01-13 | 50 000,00 € | Intellexa SA | Art. 31 RODO | Grecki organ ochrony danych nałożył na Intellexa SA grzywnę w wysokości 50 tys. euro. Administrator nie współpracował należycie z organem ochrony danych podczas dochodzenia. | Link | |
1565 | Finlandia | Tietosuojavaltuutetun Toimisto | 2022-12-13 | 750 000,00 € | Alektum Oy | Art. 12 (3) RODO, Art. 15 (1), (3) RODO | Fiński organ ochrony danych nałożył na firmę windykacyjną Alektum Oy karę pieniężną w wysokości 750 000 euro. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi danych po tym, jak trzy osoby złożyły na niego skargi. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie odpowiedział w ogóle lub w niewystarczającym stopniu na wnioski osób, których dane dotyczą, dotyczące ich praw do ochrony danych. Organ ochrony danych stwierdził również, że administrator nie współpracował w wystarczającym stopniu z organem ochrony danych. | Link Link | |
1564 | Irlandia | Data Protection Commission (DPC) | 2022-12-22 | 100 000,00 € | VIEC Limited | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Irlandzki organ ochrony danych nałożył karę w wysokości 100 000 EUR na operatora domu opieki VIEC Limited. Administrator danych powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Administrator ucierpiał w wyniku ataku phishingowego, w którym nieupoważniona osoba trzecia uzyskała dostęp do konta poczty elektronicznej kierownika VIEC. W rezultacie nieznana osoba trzecia zdołała również uzyskać dostęp do danych osobowych, takich jak dane zdrowotne i biometryczne mieszkańców domu. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Organ ochrony danych stwierdził również, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link Link | |
1563 | Litwa | Valstybinė duomenų apsaugos inspekcija (VDAI) | 2023-01-09 | 6 000,00 € | Praktiškas UAB | Art. 5 (1) a) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 (1), (3) RODO, Art. 35 (1), (3) RODO | Litewski organ ochrony danych nałożył na spółkę Praktiškas UAB, operatora klubów sportowych SportGates, karę w wysokości 6 000 EUR. Administrator przetwarzał dane biometryczne klientów w kontekście ich dostępu do obiektów sportowych. W trakcie dochodzenia organ ochrony danych stwierdził, że zgody klientów na przetwarzanie ich danych biometrycznych nie można uznać za dobrowolną. Wynikało to z faktu, że administrator danych nie oferował podania żadnego innego rodzaju informacji w celu uzyskania dostępu do klubów sportowych. Nie przedstawił też osobom, których dane dotyczą, informacji o możliwych alternatywach dostępu do klubu sportowego. Ponadto organ ochrony danych stwierdził, że administrator nie udzielił osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania ich osobistych danych biometrycznych. Administrator nie przeprowadził również oceny skutków dla ochrony danych przed przetwarzaniem danych osobowych. | Link | |
1562 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-01 | 6 000,00 € | Właściciel sklepu (Joy Unique Collection) | Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych ukarał właściciela sklepu "Joy Unique Collection" grzywną w wysokości 6 tys. euro . Administrator obsługiwał kamery nadzoru wideo w swoim lokalu bez wymaganego zezwolenia. Ponadto organ ochrony danych stwierdził, że brakowało znaków informacyjnych dotyczących przetwarzania danych osobowych przez kamery. | Link | |
1561 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-29 | 24 000,00 € | SUMINISTRADOR IBÉRICO DE ENERGÍA, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył karę na SUMINISTRADOR IBÉRICO DE ENERGÍA, S.L.. Klient złożył skargę do organu ochrony danych w związku z tym, że administrator przeprowadził zmianę dostawcy energii elektrycznej i gazu bez uprzedniego uzyskania jego zgody. Pierwotna grzywna w wysokości 30.000 EUR została zmniejszona do 24.000 EUR dzięki dobrowolnej wpłacie. | Link | |
1560 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-28 | 300,00 € | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu karą 300 euro za brak znaków informacyjnych o monitoringu wizyjnym w jego lokalu. | Link | |
1559 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-28 | 600,00 € | Wspólnota mieszkaniowa | Art. 6 (1) e) RODO, Art. 13 RODO | Hiszpański organ ochrony danych ukarał stowarzyszenie właścicieli domów karą 600 euro. Administrator danych zainstalował na terenie osiedla nieautoryzowany system monitoringu wizyjnego. Ponadto organ ochrony danych stwierdził, że administrator nie przedstawił wystarczających informacji na temat przetwarzania danych przez monitoring wizyjny. | Link | |
1558 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-09 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 300 EUR. Osoba ta zainstalowała na swojej posesji kamery nadzoru wideo, które obejmowały m.in. sąsiednią posesję. AEPD uznał, że tak rozległy nadzór wideo stanowił naruszenie zasady minimalizacji danych. | Link | |
1557 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-10 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 300 EUR. Osoba ta zainstalowała na swojej posesji kamery nadzoru wideo, które obejmowały m.in. sąsiednią posesję. AEPD uznał, że tak rozległy nadzór wideo stanowił naruszenie zasady minimalizacji danych. | Link | |
1556 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-10 | 120,00 € | Wspólnota mieszkaniowa | Art. 13 RODO | Hiszpański organ ochrony danych nałożył karę pieniężną na wspólnotę mieszkaniową za niedostarczenie wystarczających informacji na temat nadzoru wideo w dzielnicy mieszkalnej. Pierwotna grzywna w wysokości 150 euro została zmniejszona do 120 euro ze względu na dobrowolną zapłatę. | Link | |
1555 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-12 | 3 000,00 € | SERVICIOS INTEGRALES DEL HOGAR TENERIFE, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył karę na firmę SERVICIOS INTEGRALES DEL HOGAR TENERIFE, S.L.. Były pracownik złożył skargę do organu ochrony danych w związku z nieuprawnionym ujawnieniem przez administratora jego danych osobowych za pośrednictwem aplikacji Whatsapp po jego odejściu z firmy. Pierwotna grzywna w wysokości 5 000 EUR została zmniejszona do 3 000 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności. | Link | |
1554 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-13 | 1 000,00 € | EDITORIAL RIBADEO S.L. | Art. 58 (2) RODO | Hiszpański organ ochrony danych nałożył na EDITORIAL RIBADEO S.L. grzywnę w wysokości 1 000 EUR za niezastosowanie się do nakazu wydanego przez organ ochrony danych. | Link | |
1553 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 10 000,00 € | I-Model s.r.l. | Art. 6 (1) RODO, Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na I-Model s.r.l. karę pieniężną w wysokości 10 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora ze względu na fakt, że administrator nadal wysyłał jej reklamy SMS, pomimo tego, że zażądała ona usunięcia swoich danych, a administrator potwierdził ich usunięcie. | Link | |
1552 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2023-01-12 | 2 000,00 € | BRISTOL LOGISTICS SA | Art. 32 (1) b) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych nałożył na BRISTOL LOGISTICS SA karę pieniężną w wysokości 10 000 EUR. Organ ochrony danych otrzymał od BRISTOL LOGISTICS SA zawiadomienie o naruszeniu danych osobowych na podstawie art. 33 RODO. W zgłoszeniu stwierdzono, że skradziono segregator zawierający akta osobowe 12 pracowników, co doprowadziło do uzyskania dostępu do danych osobowych przez osoby nieupoważnione. Organ ochrony danych uznał to za naruszenie art. 32 RODO, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony współmiernego do ryzyka. | Link | |
1551 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-29 | 3 000,00 € | ADENET SYSTEMS, S.L. | Art. 58 (1) RODO | Nieprzekazanie wymaganych informacji do hiszpańskiego organu ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 58 RODO. | Link | |
1550 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-28 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1549 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2023-01-03 | 3 000,00 € | Związek Zawodowy Pracowników Transportu w Aragonii | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych ukarał Związek Pracowników Transportu w Aragonii grzywną w wysokości 3 tys. euro. Związek opublikował na różnych portalach społecznościowych dokument zawierający dane osobowe (nazwisko, imię i numer dowodu osobistego) członków komitetu strajkowego. Podczas dochodzenia organ ochrony danych stwierdził, że do incydentu mogło dojść z powodu niewdrożenia przez związek wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1548 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-28 | 400,00 € | MAE WEST SYSTEMS, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał MAE WEST SYSTEMS, S.L. karą pieniężną w wysokości 400 EUR. Administrator zainstalował monitoring wideo w prowadzonym przez siebie barze, nie dostarczając wystarczających informacji na temat monitoringu wideo. | Link | |
1547 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-28 | 300,00 € | Wspólnota mieszkaniowa | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na wspólnotę mieszkaniową karę w wysokości 300 euro za brak wystarczających informacji na temat monitoringu wizyjnego w dzielnicy mieszkalnej. | Link | |
1546 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2023-01-04 | 3 000,00 € | Apă Canal Ilfov SA | Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 32 (4) RODO | Rumuński organ ochrony danych nałożył na Apă Canal Ilfov SA karę w wysokości 3 tys. euro. Administrator wysłał wiadomość e-mail z danymi osobowymi do kilku odbiorców na otwartej liście dystrybucyjnej. Dzięki temu odbiorcy mogli zapoznać się z adresami e-mail wszystkich pozostałych odbiorców. | Link | |
1545 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2023-01-03 | 500,00 € | Wspólnota mieszkaniowa | Art. 5 (1) e) RODO | Rumuński organ ochrony danych nałożył na wspólnotę mieszkaniową karę pieniężną w wysokości 500 EUR. Administrator opublikował publicznie listę zawierającą imiona i nazwiska wszystkich członków wspólnoty. | Link | |
1544 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 5 000,00 € | Gmina Cisterna di Latina | Art. 5 RODO, Art. 12 RODO, Art. 37 RODO | Włoski organ ochrony danych nałożył na gminę Cisterna di Latina grzywnę w wysokości 5 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych. Osoba ta złożyła wniosek do gminy o dostęp do swoich danych osobowych. Z powodu błędu dane te nie zostały ujawnione osobie, której dotyczą, lecz osobie trzeciej. Z tego powodu osoba, której dane dotyczą, nie otrzymała odpowiedzi na swój wniosek. Ponadto organ ochrony danych stwierdził, że gmina nie wyznaczyła inspektora ochrony danych. | Link | |
1543 | Irlandia | Data Protection Commission (DPC) | 2023-01-04 | 390 000 000,00 € | Meta Platforms Ireland Limited | Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 12 RODO, Art. 13 (1) c) RODO. | Irlandzki organ ochrony danych (DPC) nałożył na Meta Platforms Ireland Limited karę w wysokości 390 mln euro. Organ ochrony danych nałożył karę w wysokości 210 mln EUR za naruszenia związane ze świadczeniem usługi na Facebooku oraz 180 mln EUR za naruszenia związane ze świadczeniem usługi na Instagramie. Austriacka organizacja "None of Your Business" (NOYB) złożyła skargę do organu ochrony danych w imieniu dwóch osób. Skargi dotyczyły zaktualizowanych warunków świadczenia usług przez Metę. W tej aktualizacji Meta zmieniła podstawę prawną przetwarzania danych osobowych w kontekście reklamy behawioralnej i innych spersonalizowanych usług. Opierając wcześniej przetwarzanie danych na zgodzie użytkownika, Meta oparła się teraz na swoim regulaminie, który obejmował również przetwarzanie danych osobowych dla celów reklamy spersonalizowanej. Użytkownicy powinni, aby nadal mieć dostęp do usług meta na Facebooku i Instagramie, zaakceptować zaktualizowany regulamin. Początkowo organ ochrony danych uznał, że Meta naruszyła obowiązki w zakresie przejrzystości wynikające z RODO. Organ ochrony danych stwierdził, że Meta nie przedstawiła użytkownikom jasno, w jakim celu i na jakiej podstawie prawnej przetwarzane są ich dane osobowe. Ponadto organ ochrony danych stwierdził, że Meta nie mogła powoływać się na warunki umowne uzgodnione z użytkownikami jako na podstawę prawną przetwarzania danych w celu prowadzenia reklamy behawioralnej. Organ ochrony danych stwierdził, że użytkownicy byliby zmuszani do akceptacji warunków, ponieważ w przeciwnym razie nie mogliby korzystać z usług. W tym kontekście organ ochrony danych stwierdził, że użytkownicy muszą mieć możliwość wyraźnego wyrażenia zgody lub sprzeciwu wobec przetwarzania ich danych dla celów reklamy spersonalizowanej za pomocą opcji tak/nie. Oprócz nałożenia grzywien, organ ochrony danych nakazał również Mecie dostosowanie swoich operacji przetwarzania danych do RODO w ciągu trzech miesięcy. | Link | |
1542 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 20 000,00 € | Sportitalia | Art. 5 (1) a) RODO, Art. 9 RODO, Art. 13 RODO, Art. 30 (1) c) RODO | Włoski organ ochrony danych (Garante) nałożył na spółkę Sportitalia grzywnę w wysokości 20 tys. euro. Administrator danych przetwarzał dane biometryczne (odciski palców) pracowników w celu rejestracji ich obecności. Garante stwierdził, że tak rozległe przetwarzanie nie było proporcjonalne i dlatego stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Ponadto Garante ustaliła, że przetwarzanie danych biometrycznych odbywało się bez dostatecznego poinformowania osób, których dane dotyczą, o tym przetwarzaniu. | Link Link | |
1541 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-24 | 1 000 000,00 € | Areti spa | Art. 5 (1) d), e) RODO, Art. 5 (2) RODO, Art. 12 RODO, Art. 15 RODO, Art. 24 RODO | Włoski organ ochrony danych ukarał dostawcę energii elektrycznej Areti spa grzywną w wysokości 1 mln euro. Klient złożył skargę do organu ochrony danych, ponieważ Areti zaklasyfikowała go jako klienta zalegającego z płatnościami, co uniemożliwiło mu zmianę dostawcy energii elektrycznej. Wynikało to z faktu, że nieaktualne dane w bazach danych Areti nie zostały zaktualizowane w wyniku rozbieżności w wewnętrznych systemach przedsiębiorstwa. Incydent ten dotknął około 47 000 klientów. Dochodzenie organów ochrony danych wykazało również, że Areti przechowywała dane przez nieodpowiedni czas. Ponadto Areti nie odpowiedziała właściwie na wnioski o wykonanie praw osób, których dane dotyczą. | Link Link | |
1540 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-12-27 | 3 000,00 € | Kaufland Romania SCS | Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO | Rumuński organ ochrony danych nałożył na Kaufland Romania SCS grzywnę w wysokości 3 000 EUR. Administrator zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Pracownik zrobił zdjęcia nagrań z monitoringu wizyjnego za pomocą swojego telefonu komórkowego i przekazał je stronie trzeciej. Strona trzecia opublikowała następnie na stronie internetowej lokalnej gazety zdjęcia, na których można było zidentyfikować dwie osoby i tablicę rejestracyjną. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1539 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-12-22 | 10 000,00 € | SUDREZIDENȚIAL Broker S.R.L. | Art. 32 (4) RODO | Rumuński organ ochrony danych nałożył na SUDREZIDENȚIAL Broker S.R.L. grzywnę w wysokości 10 000 EUR. Pracownik administratora danych nieuprawnienie opublikował w Internecie arkusz kalkulacyjny Excel zawierający dane osobowe, takie jak imię, nazwisko, numer telefonu, numer identyfikacyjny, adres e-mail, dane bankowe itp. 509 klientów administratora danych. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1538 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 4 000,00 € | Gmina Villafranca di Verona | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na gminę Villafranca di Verona grzywnę w wysokości 4.000 euro. Gmina ta opublikowała na swojej stronie internetowej dokument zawierający dane osobowe pracownika. | Link | |
1537 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-12-01 | 100 000,00 € | Region Lazio | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 113 Codice della privacy, Art. 114 Codice della privacy | Włoski organ ochrony danych ukarał Region Lazio grzywną w wysokości 100 000 euro. Związek zawodowy złożył skargę do organu ochrony danych, zarzucając regionowi monitorowanie kont poczty elektronicznej pracowników działu prawnego regionu. Region rozpoczął taki monitoring w związku z podejrzeniem możliwego ujawnienia osobom trzecim informacji chronionych tajemnicą służbową. Region przechowywał i analizował dane pracowników przez 180 dni. Dane te zawierały nie tylko informacje związane z pracą, ale również dane osobowe osób, których dane dotyczą, dotyczące ich sfery prywatnej. W trakcie dochodzenia organ ochrony danych stwierdził, że ówczesny Region nie posiadał ważnej podstawy prawnej do gromadzenia danych osobowych na tak dużą skalę. | Link Link | |
1536 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-20 | 3 000,00 € | Osoba fizyczna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 3.000 euro. Osoba fizyczna zamieściła w Internecie filmy wideo przedstawiające nauczycieli i nieletnich uczniów podczas zajęć wychowania fizycznego, aby wyrazić swój gniew z powodu faktu, że uczniowie musieli nosić maski podczas zajęć. Organ ochrony danych stwierdził, że osoba ta bezprawnie przetwarzała dane osób, których dane dotyczą, ze względu na brak zgody osób, których dane dotyczą, jak również innej podstawy prawnej. | Link | |
1535 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-20 | 2 000,00 € | Wspólnota mieszkaniowa | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na wspólnotę mieszkaniową grzywnę w wysokości 2.000 euro. Dwóch właścicieli nieruchomości złożyło skargę do organu ochrony danych. Osoby te złożyły do zarządu wniosek o kopię dokumentów finansowych. Wspólnota opublikowała jednak wnioski wraz z danymi osobowymi zainteresowanych osób na tablicy ogłoszeń w części wspólnej danego budynku mieszkalnego. Organ ochrony danych uznał to za naruszenie zasady poufności. | Link | |
1534 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-20 | 1 000,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 1 000 euro. Osoba złożyła skargę do organu ochrony danych, ponieważ administrator opublikował jej dane osobowe, takie jak imię, nazwisko, numer dowodu osobistego i data urodzenia, bez jej zgody w grupie WhatsApp liczącej 31 członków. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1533 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-15 | 30 000,00 € | ORANGE ESPAGNE, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na ORANGE ESPAGNE, S.A.U. grzywnę z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, złożyła skargę na administratora danych za zarejestrowanie numeru telefonicznego na jej nazwisko bez jej zgody lub jakiegokolwiek stosunku umownego. Przedmiotowe umowy zostały raczej zawarte przez oszustów z wykorzystaniem danych osobowych osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowy były zgodne z prawem i rzeczywiście zawarte przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 60 000 EUR została zmniejszona do 30 000 EUR ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
1532 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-15 | 16 000,00 € | HOSPITAL RECOLETAS PONFERRADA, S.L. | Art. 6 (1) RODO, Art. 15 RODO | Hiszpański organ ochrony danych nałożył karę na zakład opieki zdrowotnej HOSPITAL RECOLETAS PONFERRADA, S.L.. Pacjent złożył skargę do organu ochrony danych. Pacjent wypełnił formularz zgody podczas badania lekarskiego, w którym pewne pozycje były już wstępnie zaznaczone. Organ ochrony danych stwierdził również, że administrator nie spełnił w odpowiednim czasie prośby pacjenta o dostęp do jego danych osobowych. Pierwotna grzywna w wysokości 20 000 EUR została zmniejszona do 16 000 EUR z powodu dobrowolnej zapłaty. | Link | |
1531 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-12-15 | 5 000,00 € | Societatea Energetică Electrica S.A. | Art. 28 (3) a) RODO | Rumuński organ ochrony danych nałożył na Societatea Energetică Electrica S.A. grzywnę w wysokości 5 000 EUR za naruszenie art. 28 (3) a) RODO. | Link | |
1530 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-13 | 56 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat jej karty SIM nieuprawnionej, nieuczciwej stronie trzeciej bez jej zgody. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo nie zweryfikowało tożsamości osoby trzeciej ani nie uzyskało zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę. | Link | |
1529 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-13 | 56 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat jej karty SIM nieuprawnionej, nieuczciwej stronie trzeciej bez jej zgody. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo nie zweryfikowało tożsamości osoby trzeciej ani nie uzyskało zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę. | Link | |
1528 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-20 | 7 000,00 € | I.S.P.R.O. | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 000 EUR na onkologiczny zakład opieki zdrowotnej I.S.P.R.O.. Osoba fizyczna omyłkowo otrzymała drogą elektroniczną dokumentację medyczną od innego pacjenta. | Link | |
1527 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-10-20 | 300 000,00 € | FREE SAS | Art. 12 RODO, Art. 15 RODO, Art. 17 RODO, Art. 32 RODO, Art. 33 RODO | Francuski organ ochrony danych nałożył na FREE SAS grzywnę w wysokości 300 000 euro. Organ ochrony danych otrzymał kilka skarg od osób fizycznych, które miały trudności z realizacją swoich praw do dostępu i usunięcia swoich danych osobowych w FREE. W trakcie dochodzenia organ ochrony danych stwierdził, że firma nie rozpatrywała wniosków o dostęp i usunięcie danych osobowych w odpowiednim czasie. Organ ochrony danych stwierdził również, że firma nie zapewniła bezpieczeństwa danych osobowych. Na przykład przedsiębiorstwo pozwalało użytkownikom na używanie niezbyt bezpiecznych haseł, a hasła użytkowników były przechowywane w niezaszyfrowany sposób w bazach danych przedsiębiorstwa. Wreszcie organ ochrony danych stwierdził, że przedsiębiorstwo nie udokumentowało w odpowiedni sposób naruszenia ochrony danych. | Link Link | |
1526 | Finlandia | Tietosuojavaltuutetun Toimisto | 2022-12-09 | 230 000,00 € | Viking Line Oy Abp | Art. 5 (1) a), d) RODO, Art. 12 (3) RODO, Art. 13 RODO, Art. 15 (1) RODO, Art. 25 (1) RODO | Fiński organ ochrony danych nałożył grzywnę w wysokości 230 000 EUR na Viking Line Oy Abp. Były pracownik złożył skargę do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie spełnił wniosku osoby, której dane dotyczą, o dostęp do jej danych zdrowotnych oraz że niektóre dane medyczne były przechowywane nieprawidłowo. Organ ochrony danych stwierdził również, że dane medyczne były przechowywane wraz z innymi danymi osobowymi, mimo że takie przechowywanie jest niezgodne z prawem. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio swoich pracowników o przetwarzaniu ich danych osobowych, wbrew obowiązkowi wynikającemu z art. 13 RODO. | Link Link | |
1525 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-13 | 56 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat jej karty SIM nieuprawnionej, nieuczciwej stronie trzeciej bez jej zgody. W trakcie dochodzenia organ ochrony danych stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pozwoliło to oszustom na uzyskanie dostępu do konta bankowego osoby, której dane dotyczą, i dokonanie nieautoryzowanych transakcji. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę. | Link | |
1524 | Portugalia | Comissão Nacional de Protecção de Dados (CNPD) | 2022-11-02 | 4 300 000,00 € | Portugalski Narodowy Instytut Statystyczny | Art. 5 (1) a) RODO, Art. 9 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 28 (1), (6), (7) RODO, Art. 35 (1), (2), (3) b) RODO, Art. 44 RODO, Art. 46 (2) RODO | Portugalski organ ochrony danych ukarał portugalski Narodowy Instytut Statystyczny grzywną w wysokości 4,3 mln euro. Organ ochrony danych stwierdził liczne naruszenia RODO w związku ze spisem ludności w Portugalii w 2021 r. Organ ochrony danych stwierdził najpierw, że administrator nie poinformował osób, których dane dotyczą, że podanie danych dotyczących religii i zdrowia jest całkowicie dobrowolne. Organ ochrony danych uznał to za ingerencję w zdolność osób, których dane dotyczą, do swobodnego wyrażenia woli w zakresie przetwarzania danych. Ponadto organ ochrony danych stwierdził, że administrator nie dochował należytej staranności przy wyborze podmiotu przetwarzającego dane, wbrew obowiązkowi wynikającemu z art. 28 RODO. Ponadto umowa zezwalała na przekazywanie danych osobowych poza EOG bez zapewnienia dodatkowych środków bezpieczeństwa poza SKU zatwierdzonym przez Komisję Europejską, zgodnie z wymogami orzeczenia Schrems II. Organ ochrony danych uznał to za naruszenie art. 44 RODO oraz Art. 46 (2) RODO. Wreszcie organ ochrony danych stwierdził, że administrator nie przeprowadził oceny skutków dla ochrony danych w odniesieniu do spisu. | Link Link | |
1523 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-09 | 120,00 € | Osoba fizyczna | Art. 13 RODO | Hiszpański organ ochrony danych ukarał grzywną osobę fizyczną. Administrator danych zainstalował system nadzoru wideo w należącym do niego budynku mieszkalnym dla wielu osób. W znaku informacyjnym dotyczącym systemu nadzoru wideo zabrakło jednak informacji na temat administratora danych i wykonywania praw osób, których dane dotyczą. Pierwotna grzywna w wysokości 150 EUR została zmniejszona do 120 EUR ze względu na dobrowolną zapłatę. | Link | |
1522 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-09 | 8 000,00 € | Notariusz | Art. 6 RODO | Hiszpański organ ochrony danych ukarał grzywną notariusza. Administrator danych sprawdził księgę wieczystą nieruchomości należącej do osoby, której dane dotyczą, bez zlecenia wymagającego sprawdzenia tych danych lub zgody osoby, której dane dotyczą. Pierwotna grzywna w wysokości 10 000 EUR została zmniejszona do 8 000 EUR z powodu dobrowolnej zapłaty. | Link | |
1521 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-09 | 480,00 € | Osoba fizyczna | Art. 6 RODO, Art. 13 RODO | Hiszpański organ ochrony danych ukarał grzywną osobę fizyczną. Osoba ta zainstalowała kamery nadzoru wideo w kompleksie mieszkalnym, które obejmowały również obszary wspólne. W trakcie dochodzenia organ ochrony danych stwierdził, że osoba ta nie miała pozwolenia na zainstalowanie kamer, a zatem nie miała ważnej podstawy prawnej do przetwarzania danych. Ponadto osoba ta nie przekazała osobom, których dane dotyczą, informacji na temat nadzoru wideo. Pierwotna grzywna w wysokości 600 EUR została zmniejszona do 480 EUR ze względu na dobrowolną zapłatę. | Link | |
1520 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-12-09 | 2 000,00 € | Casa Rusu S.R.L. | Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych nałożył na Casa Rusu S.R.L. grzywnę w wysokości 2 000 EUR. Administrator zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Administrator użył nieautoryzowanego formularza podczas procesu płatności na swojej stronie internetowej, za pomocą którego zbierane były dane bankowe kart klientów. Umożliwiło to nieautoryzowany dostęp do danych osobowych takich jak imię i nazwisko poszkodowanego posiadacza karty bankowej, numer karty, data i rok ważności, kod CVC. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1519 | Irlandia | Data Protection Commission (DPC) | 2022-01-26 | 5 000,00 € | Slane Credit Union Ltd. | Art. 5 (1) f) RODO, Art. 24 RODO, Art. 28 (1), (3) RODO, Art. 30 (1) RODO, Art. 32 (1) RODO | Irlandzki organ ochrony danych nałożył na Slane Credit Union Ltd. karę w wysokości 5 tys. euro. Administrator danych powiadomił organ ochrony danych o naruszeniu danych w 2018 r. Z powodu błędu w narzędziu do optymalizacji wyszukiwarek zainstalowanym na stronie internetowej administratora, cztery raporty zapytań członków zawierające osobiste dane członków zostały nieumyślnie opublikowane. Incydent dotyczył 76 członków, w tym osób niepełnoletnich, oraz ich danych osobowych, takich jak nazwiska, adresy, płeć, daty urodzenia, numery kont itp. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ponadto organ ochrony danych stwierdził, że administrator nie dochował należytej staranności wobec podmiotu przetwarzającego dane oraz nie zawarł z nim umowy zgodnej z RODO. | Link | |
1518 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-25 | 5 000,00 € | Stowarzyszenie na rzecz zapobiegania i badania przestępstw, nadużyć i zaniedbań w dziedzinie technologii informacyjnych i zaawansowanej komunikacji (APEDANICA) | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na Stowarzyszenie na rzecz zapobiegania i badania przestępstw, nadużyć i zaniedbań w dziedzinie technologii informacyjnych i zaawansowanej komunikacji (APEDANICA) grzywnę w wysokości 5.000 euro. Pracownicy firmy LEGAL ERASER SL złożyli skargę do organu ochrony danych. Administrator zwrócił się do organu ochrony danych o informacje na temat LEGAL ERASER w ramach prawa do informacji na podstawie hiszpańskiej ustawy o przejrzystości. Administrator opublikował następnie dokumenty, z których część zawierała dane osobowe klientów i pracowników LEGAL ERASER, na 58 linkach w Internecie. | Link | |
1517 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-25 | 1 800,00 € | ALPA 57 PRODUCCIONES, S.L. | Art. 58 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę ALPA 57 PRODUCCIONES, S.L. grzywnę za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. Pierwotna grzywna w wysokości 3.000 EUR została zmniejszona do 1.800 EUR ze względu na natychmiastową zapłatę i uznanie winy. | Link | |
1516 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-02 | 3 600,00 € | Federacja Sportu Osób Niepełnosprawnych Intelektualnie Castilla la Mancha-FECAM | Art. 9 (2) a) RODO, Art. 13 RODO | Hiszpański organ ochrony danych ukarał grzywną Federację Sportu Osób Niepełnosprawnych Intelektualnie Castilla la Mancha-FECAM. Administrator przetwarzał dane medyczne z badań antygenu Covid-19 uczestników zawodów sportowych bez ich zgody na przetwarzanie. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował osób, których dane dotyczą, o okresie przechowywania danych. Pierwotna grzywna w wysokości 6 000 EUR została zmniejszona do 3 600 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1515 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-02 | 3 500,00 € | CASA 7 PERSONAL SHOPPER, S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 3.500 EUR na CASA 7 PERSONAL SHOPPER, S.L. Administrator wysłał e-mail z danymi osobowymi do kilku odbiorców z otwartej listy dystrybucyjnej. Dzięki temu odbiorcy mogli zapoznać się z adresami e-mail wszystkich pozostałych odbiorców. | Link | |
1514 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 40 000,00 € | Usl Valle d'Aosta | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył na Azienda Usl Valle d'Aosta grzywnę w wysokości 40 000 euro. Pracownik i pacjent wydziału zdrowia złożyli skargę do organu ochrony danych, ponieważ kolega, który nigdy ich nie leczył, wielokrotnie uzyskiwał dostęp do ich dokumentacji medycznej, mimo że wyraźnie odmówili oni zgody na przetwarzanie danych. W trakcie dochodzenia organ ochrony danych ustalił, że w celu uproszczenia zarządzania pacjentami podczas pandemii Covid-19 organ ochrony danych uprościł system dokumentacji medycznej. W rezultacie dokumentacja medyczna pacjentów była dostępna dla każdego pracownika, niezależnie od tego, czy dany pacjent wyraził na to zgodę, czy nie. Organ ochrony danych uznał to za naruszenie obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link Link | |
1513 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-09-15 | 40 000,00 € | FCA Italy S.p.A. | Art. 12 (1), (2), (3), (4) RODO, Art. 15 RODO | Włoski organ ochrony danych nałożył na FCA Italy S.p.A. grzywnę w wysokości 40 000 EUR. Pracownik administratora danych wystąpił o dostęp do danych osobowych przetwarzanych w kontekście jego stosunku pracy. Administrator nie spełnił jednak tego wniosku w odpowiednim czasie, wbrew wymogom art. 12 RODO i art. 15 RODO. | Link | |
1512 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-06 | 10 000,00 € | Codess Sociale, Soc. Coop. sociale. | Art. 12 (3), (4) RODO, Art. 17 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na Codess Sociale, Soc. Coop. sociale. Były dobrowolny członek złożył skargę do organu ochrony danych. Osoba, której dane dotyczą, twierdzi, że w momencie rezygnacji zażądała usunięcia swoich danych osobowych z archiwum administratora. Administrator danych nie spełnił jednak tego wniosku w odpowiednim czasie. | Link | |
1511 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-06 | 2 000 000,00 € | Alpha Exploration | Art. 5 (1) a), e), f) RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 27 (4) RODO, Art. 28 RODO, Art. 32 RODO, Art. 35 RODO | Włoski organ ochrony danych nałożył na firmę Alpha Exploration karę w wysokości 2 mln euro. Alpha Exploration prowadzi sieć społecznościową Clubhouse. W trakcie swojego dochodzenia organ ochrony danych stwierdził liczne naruszenia RODO. Na przykład organ ochrony danych stwierdził brak przejrzystości w zakresie wykorzystania danych użytkowników i ich kontaktów na czacie. Ponadto użytkownicy sieci mogli przechowywać i udostępniać wiadomości audio od innych użytkowników bez ich zgody. Co więcej, informacje o kontach były udostępniane nieuprawnionym stronom trzecim bez ważnej podstawy prawnej. Ponadto firma nie określiła okresów przechowywania danych osobowych. Firma nie dostarczyła również użytkownikom wystarczających informacji na temat wielu aspektów przetwarzania ich danych osobowych i nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Wreszcie organ ochrony danych stwierdził, że przedsiębiorstwo nie przeprowadziło oceny skutków w zakresie ochrony danych. Po zakończeniu dochodzenia organ ochrony danych nie tylko nałożył grzywnę, ale również nakazał przedsiębiorstwu podjęcie szeregu środków. Na przykład firma musi określić okresy przechowywania danych i wprowadzić funkcję, która informuje użytkowników, że ich czaty są nagrywane. | Link | |
1510 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-03 | 300,00 € | Wspólnota mieszkaniowa | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na wspólnotę mieszkaniową. Wspólnota zainstalowała na terenie osiedla kilka kamer monitoringu, które między innymi obejmowały również teren wspólny. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1509 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-03 | 600,00 € | LORENT 2013, S.L | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę LORENT 2013, S.L. grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1508 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-12-03 | 3 000,00 € | INDECEMI, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na INDECEMI, S.L. grzywnę w wysokości 3.000 EUR. Pewna osoba złożyła skargę do organu ochrony danych przeciwko administratorowi po otrzymaniu od niego wiadomości e-mail zawierającej dane osobowe (imię, nazwisko, adres, numer telefonu itp.) innej osoby w kontekście skargi. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. | Link | |
1507 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-29 | 3 000,00 € | Przedsiębiorstwo | Art. 6 RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 3 tys. euro. Administrator zainstalował system nadzoru wideo, który rejestrował również głosy zarówno pracowników, jak i klientów. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie miał ważnej podstawy prawnej do przetwarzania informacji o głosach w ramach nadzoru wideo. Ponadto organ ochrony danych stwierdził, że administrator nie dostarczył wystarczających informacji na temat nadzoru wideo, w tym informacji o przetwarzaniu, tożsamości administratora danych oraz wykonywaniu praw osób, których dane dotyczą. | Link | |
1506 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-11-24 | 600 000,00 € | ÉLECTRICITÉ DE FRANCE | Art. 7 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO, Art. 21 RODO, Art. L. 34-5 CPCE | Francuski organ ochrony danych nałożył grzywnę w wysokości 600 000 EUR na ÉLECTRICITÉ DE FRANCE (EDF), największego dostawcę energii elektrycznej we Francji. Organ ochrony danych otrzymał kilka skarg, w których osoby fizyczne doświadczały trudności w korzystaniu ze swoich praw przez EDF. W trakcie dochodzenia organ ochrony danych stwierdził, że polityka prywatności EDF nie zawierała wystarczających informacji na temat różnych aspektów przetwarzania danych, takich jak okres przechowywania danych osobowych. Ponadto organ ochrony danych stwierdził, że EDF nie odpowiedział w odpowiednim czasie na szereg wniosków osób, których dane dotyczą. W niektórych przypadkach EDF nie przestrzegał również prawa osób, których dane dotyczą, do sprzeciwu względem reklam. Ponadto organ ochrony danych zauważył, że EDF nie wykazał, że uzyskał ważną zgodę od osób, których dane dotyczą, w kontekście komercyjnej kampanii reklamowej. Wreszcie organ ochrony danych stwierdził, że EDF nie wdrożył wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. EDF przechowywał w sposób niezabezpieczony hasła do ponad 25 000 kont klientów. Ponadto przedsiębiorstwo jedynie haszowało, a nie "soliło", hasła do 2,4 mln kont. | Link Link | |
1505 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-11-10 | 500 000,00 € | Vodafone Italia S.p.A. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 130 (1), (2), (3) Codice della privacy | Włoski organ ochrony danych nałożył na Vodafone Italia S.p.A. grzywnę w wysokości 500 000 euro. Klient złożył skargę na Vodafone do organu ochrony danych. Z 80-letnim klientem skontaktowało się zewnętrzne call center na zlecenie Vodafone. Podczas rozmowy call center zawarło z klientem nową umowę bez jego zgody. Podczas dochodzenia organ ochrony danych stwierdził również, że klient nie otrzymał wystarczających informacji na temat przetwarzania jego danych osobowych. Ponadto call center odczytywało informacje zbyt szybko, przez co ich treść była niezrozumiała. Przy obliczaniu kary organ ochrony danych wziął pod uwagę, jako czynnik obciążający, fakt, że Vodafone dopuszczał się już podobnych naruszeń w przeszłości. Jednak fakt, że Vodafone natychmiast rozwiązał przedmiotową umowę, został uwzględniony jako czynnik łagodzący. | Link Link | |
1504 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-29 | 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 500 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną, a ponadto opublikował zarejestrowane obrazy na Facebooku. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1503 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-11-25 | 3 000,00 € | OTP LEASING ROMANIA IFN SA | Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych nałożył na OTP LEASING ROMANIA IFN SA grzywnę w wysokości 3 000 EUR. Administrator danych zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Osoba fizyczna poinformowała administratora, że uzyskała nieautoryzowany dostęp do platformy informatycznej obsługiwanej przez administratora poprzez zmianę adresu URL i utworzenie konta administratora. Dzięki temu osoba ta mogła uzyskać nieuprawniony dostęp do danych osobowych. Organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Skutkowało to nieuprawnionym dostępem do danych osobowych. | Link | |
1502 | Irlandia | Data Protection Commission (DPC) | 2022-11-25 | 265 000 000,00 € | Meta Platforms Ireland Limited | Art. 25 (1), (2) RODO | Irlandzki organ ochrony danych ukarał Meta Platforms Ireland Limited grzywną w wysokości 265 mln euro. Organ ochrony danych wszczął dochodzenie przeciwko firmie Meta w 2021 r. po tym, jak media poinformowały, że zbiór danych zawierający dane osobowe z Facebooka był dostępny na platformie hakerskiej. Wyciek danych dotyczył nawet 533 mln użytkowników wraz z ich danymi, takimi jak numery telefonów i adresy e-mail. W ramach prowadzonego postępowania organ ochrony danych dokonał przeglądu i oceny narzędzi Facebook Search, Facebook Messenger Contact Importer oraz Instagram Contact Importer. Organ ochrony danych dokonał przede wszystkim przeglądu wdrożenia środków technicznych i organizacyjnych w celu ochrony danych osobowych i stwierdził naruszenie art. 25 RODO | Link Link | |
1501 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-11-24 | 1 000,00 € | Medicover S.R.L. | Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 32 (4) RODO | Rumuński organ ochrony danych nałożył na Medicover S.R.L. grzywnę w wysokości 1 000 EUR. Administrator zgłosił organowi ochrony danych naruszenie ochrony danych na podstawie art. 33 RODO. Administrator nieumyślnie wysłał dokumenty zawierające dane osobowe do niewłaściwego odbiorcy. W rezultacie dane osobowe, takie jak imię i nazwisko osoby, której dane dotyczą, adres korespondencyjny, e-mail i dane dotyczące zdrowia zostały ujawnione bez upoważnienia. Organ ochrony danych ustalił, że incydenty wynikały z niewdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. | Link | |
1500 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-11-21 | 20 000,00 € | ING Bank NV Amsterdam Sucursala București | Art. 32 (1), (2) RODO | Rumuński organ ochrony danych nałożył na ING Bank NV Amsterdam Sucursala București grzywnę w wysokości 20 000 EUR. Bank zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Uzyskano dostęp i ujawniono bez upoważnienia szereg danych osobowych klientów, takich jak dane z dowodu osobistego, dane bankowe, dane z kart bankowych itp. W wyniku tego transakcje płatnicze zostały przeprowadzone przez nieuprawnione osoby trzecie. Podczas dochodzenia organ ochrony danych stwierdził, że bank nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co umożliwiło nieautoryzowany dostęp. | Link | |
1499 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-21 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Administrator zainstalował kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną. | Link | |
1498 | Portugalia | Comissão Nacional de Protecção de Dados (CNPD) | 2022-11-02 | 180 000,00 € | Gmina Setúbal | Art. 5 (1) e), f) RODO, Art. 13 (1), (2) RODO, Art. 37 (1), (7) RODO | Portugalski organ ochrony danych nałożył na gminę Setúbal grzywnę w wysokości 170 tys. euro. Organ ochrony danych stwierdził naruszenie ochrony danych w związku z gromadzeniem danych osobowych od ukraińskich uchodźców. Gmina poprosiła uchodźców o wypełnienie formularza w momencie przybycia i podanie różnych szczegółów dotyczących danych osobowych, takich jak nazwisko, data urodzenia, stan cywilny itp. Organ ochrony danych zauważył, że gmina nie poinformowała w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych. Ponadto organ ochrony danych stwierdził, że gmina nie wdrożyła wystarczających technicznych i organizacyjnych środków ochrony danych osobowych, jak również nie określiła okresu przechowywania danych. Gmina nie wyznaczyła również inspektora ochrony danych. | Link Link | |
1497 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-11-18 | 300,00 € | Wspólnota mieszkaniowa | Art. 58 (1) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na wspólnotę mieszkaniową "Bld. Pipera 1-2E" karę w wysokości 300 EUR za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. | Link | |
1496 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-11-10 | 800 000,00 € | DISCORD INC. | Art. 5 (1) e) RODO, Art. 13 RODO, Art. 25 (2) RODO, Art. 32 RODO, Art. 35 RODO | Francuski organ ochrony danych nałożył na firmę DISCORD INC. grzywnę w wysokości 800 000 EUR. DISCORD oferuje usługę komunikacji online, za pośrednictwem której użytkownicy mogą prowadzić czat lub wykonywać połączenia wideo. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo nie ustaliło i nie przestrzegało okresu przechowywania danych odpowiedniego do celu przetwarzania. Na przykład w bazie danych DISCORD znajdowały się ponad dwa miliony kont francuskich użytkowników, którzy nie korzystali ze swoich kont przez ponad trzy lata i około 50 000 kont, które nie były używane przez ponad pięć lat. Ponadto organ ochrony danych zauważył, że firma nie posiadała pełnych informacji dotyczących okresów przechowywania danych. Organ ochrony danych stwierdził również, że firma nie zapewniła domyślnie ochrony danych, co jest sprzeczne z obowiązkiem wynikającym z art. 25 (2) RODO. W ten sposób możliwe było przesyłanie danych użytkownika nawet po zamknięciu aplikacji komunikacyjnej. Organ ochrony danych stwierdził również, że firma nie zapewniła w wystarczającym stopniu bezpieczeństwa danych osobowych poprzez przyjmowanie od użytkowników mało bezpiecznych haseł. Przedsiębiorstwo akceptowało hasła użytkowników, które składały się z sześciu znaków zawierających wyłącznie litery i cyfry. Wreszcie organ ochrony danych stwierdził, że przedsiębiorstwo nie przeprowadziło oceny skutków w zakresie ochrony danych. | Link Link | |
1495 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-11-16 | 28 000,00 € | Raiffeisen Bank SA | Art. 25 (1) RODO, Art. 32 (1), (2), (4) RODO | Rumuński organ ochrony danych nałożył na Raiffeisen Bank SA karę w wysokości 28 tys. euro. Bank zgłosił kilka naruszeń ochrony danych zgodnie z art. 33 RODO do organu ochrony danych. Podczas dochodzenia organ ochrony danych stwierdził, że bank przeprowadził zapytania w agencji kredytowej bez zgody osób, których dane dotyczą. Ponadto organ ochrony danych ustalił, że bank udzielił kredytu kilku klientom bez złożenia przez nich wniosku. Ponadto bank nieumyślnie przesłał dane osobowe osób, których dane dotyczą, do niewłaściwych odbiorców, umożliwiając im dostęp do tych danych. Organ ochrony danych stwierdził, że bank nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Skutkowało to nieuprawnionym dostępem i/lub ujawnieniem danych osobowych. | Link | |
1494 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-11-02 | 1 700,00 € | Burmistrz | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO | Polski organ ochrony danych nałożył na wójta gminy Dobrzyniewo Duże karę pieniężną w wysokości 1 700 euro (8 000 PLN). Wójt zgłosił organowi ochrony danych naruszenie ochrony danych na podstawie art. 33 RODO. Komputer służbowy pracownika, który zawierał dane osobowe, został skradziony. W trakcie dochodzenia organ ochrony danych ustalił, że dane na komputerze nie były odpowiednio zabezpieczone oraz że gmina nie podjęła odpowiednich środków technicznych w celu ochrony danych osobowych. | Link Link | |
1493 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2022-08-11 | 197 000,00 € | AMPLIFON Hungary Trade and Service Provider LLC | Art. 5 (1) b) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 14 RODO | Węgierski organ ochrony danych nałożył na spółkę AMPLIFON Hungary Trade and Service Provider LLC grzywnę w wysokości 197 000 EUR. Organ ochrony danych otrzymał skargi od kilku osób, których dane dotyczą, dotyczące otrzymania niezamówionych zaproszeń na badania przesiewowe słuchu. W trakcie dochodzenia organ ochrony danych ustalił, że przedsiębiorstwo skontaktowało się z osobami, których dane dotyczą, bez uprzedniego uzyskania ich zgody. Firma otrzymała dane od Ministerstwa Spraw Wewnętrznych do celów badania rynku. Organ ochrony danych stwierdził, że przedsiębiorstwo przetwarzało dane niezgodnie z prawem i z pierwotnym celem badania rynku. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo nie dostarczyło osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania danych. | Link | |
1492 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-15 | 80 000,00 € | BANKINTER, S.A. | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył karę na BANKINTER, S.A.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ podczas dostępu do jej konta bankowego wyświetlono jej również dane osobowe osoby trzeciej. Organ ochrony danych stwierdził, że nieuprawnione ujawnienie danych osób trzecich nastąpiło z powodu braku odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych w banku. Pierwotna grzywna w wysokości 100 000 euro została zmniejszona do 80 000 euro ze względu na dobrowolną zapłatę. | Link | |
1491 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-11 | 3 600,00 € | XASTRE DO PETO, S.L. | Art. 6 (1) RODO, Art. 13 RODO, Art. 21 RODO | Hiszpański organ ochrony danych nałożył na XASTRE DO PETO, S.L. (restauracja) grzywnę w wysokości 3.600 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z tym, że administrator wymagał od niej wypełnienia formularza z jej danymi osobowymi w celu śledzenia kontaktów w kontekście pandemii koronawirusa. W trakcie dochodzenia organ ochrony danych stwierdził jednak, że w międzyczasie wygasła podstawa prawna do gromadzenia informacji kontaktowych, a zatem administrator przetwarzał dane niezgodnie z prawem. Organ ochrony danych stwierdził również, że administrator nie zapewnił osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania danych. Organ ochrony danych ustalił ponadto, że administrator nie zapewnił osobom, których dane dotyczą, łatwego sposobu wniesienia sprzeciwu wobec przetwarzania danych osobowych. | Link | |
1490 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-11 | 48 000,00 € | Banco Bilbao Vizcaya Argentaria S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, S.A.. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z żądaniem informacji na temat jednego z jej kont, a następnie otrzymaniem informacji o umowie od strony trzeciej. Organ ochrony danych stwierdził, że nieuprawnione ujawnienie danych osób trzecich wynikało z nieodpowiednich środków technicznych i organizacyjnych w banku. Pierwotna grzywna w wysokości 80 000 EUR została zmniejszona do 48 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1489 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-10 | 900,00 € | Wspólnota mieszkaniowa | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na wspólnotę mieszkaniową. Wspólnota zainstalowała na terenie osiedla kilka kamer monitoringu, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna w wysokości 1500 euro została zmniejszona do 900 euro ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1488 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-10 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1487 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-03 | 70 000,00 € | UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył na UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC (UPS) grzywnę w wysokości 70 000 EUR. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ UPS dostarczył jej paczkę do sąsiada bez jej zgody. Organ ochrony danych uznał to za nieuprawnione ujawnienie jej danych, które wynikało z braku technicznych i organizacyjnych środków ochrony danych osobowych. Organ ochrony danych uznał również, że to nieuprawnione ujawnienie danych osobowych stanowiło naruszenie zasady integralności i poufności. | Link | |
1486 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-31 | 525 000,00 € | TECHPUMP SOLUTIONS S.L. | Art. 5 (1) a), b), e) RODO, Art. 6 (1) RODO, Art. 8 RODO, Art. 12 (1), (2) RODO, Art. 13 RODO, Art. 25 RODO, Art. 30 (1) RODO, Art. 22 (2) LSSI | Hiszpański organ ochrony danych ukarał Techpump Solutions S.L. grzywną w wysokości 525 tys. euro. Techpump prowadzi kilka stron internetowych zawierających treści dla dorosłych. W trakcie dochodzenia organ ochrony danych stwierdził kilka naruszeń prawa ochrony danych. Po pierwsze, organ ochrony danych stwierdził, że wbrew określonym informacjom w polityce prywatności, Techpump udostępniał dane osobowe użytkowników spółkom należącym do tej samej grupy. Ponadto organ ochrony danych stwierdził, że Techpump nie określił okresu przechowywania danych osobowych użytkowników i przechowywał je bezterminowo, dopóki użytkownicy nie zażądali wycofania swojej zgody. Techpump przetwarzał również dane osobowe użytkowników bez uprzedniego uzyskania ich zgody. Ponadto organy ochrony danych stwierdziły, że Techpump nie posiada wystarczającej kontroli rodzicielskiej, która uniemożliwiałaby dostęp do treści strony osobom niepełnoletnim poniżej 14 roku życia. Ponadto polityka prywatności Techpump była dostępna jedynie w języku angielskim, a nie hiszpańskim, a informacje w niej zawarte nie były zrozumiałe. Techpump wymagał również, aby osoby fizyczne, które chciały skorzystać z praw przysługujących podmiotom danych, podawały informacje ze swojego dowodu osobistego w celu weryfikacji ich tożsamości. Organ ochrony danych uznał to za niedopuszczalne utrudnienie w wykonywaniu praw osób, których dane dotyczą. Ponadto Techpump gromadził również różne dane, takie jak adresy IP i dane WIFI, bez określenia celu ich przetwarzania. | Link | |
1485 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-02 | 2 000,00 € | Rapido Finance, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na Rapido Finance, S.L. grzywnę w wysokości 2 000 EUR. Osoba, której dane dotyczą, otrzymała od firmy działającej w imieniu Rapido Finance wiadomość z żądaniem zapłaty zaległych długów. Osoba, której dane dotyczą, spłaciła już jednak długi, co zostało również potwierdzone w orzeczeniu sądowym. Z tego powodu organ ochrony danych stwierdził, że ujawnienie danych osobowych osoby, której dane dotyczą, w celu skontaktowania się z nią w sprawie uregulowania długu było niezgodne z prawem. | Link | |
1484 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-02 | 5 000,00 € | CÍTRICOS TANTA, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na CÍTRICOS TANTA, S.L. grzywnę w wysokości 5.000 EUR. Administrator danych wprowadził dane osobowe pracownika do Ogólnego Rejestru Pracowników Zabezpieczenia Społecznego, przy czym pracownik ten nigdy nie wykonywał pracy. Z tego powodu administrator danych byłby zobowiązany do usunięcia wpisu osoby, której dane dotyczą, do rejestru w ciągu 72 godzin, czego nie uczynił. Wobec braku świadczenia pracy przez osobę, której dane dotyczą, administrator nie miał już podstawy prawnej do umieszczenia danych w rejestrze. W związku z tym organ ochrony danych uznał, że brak usunięcia danych stanowił bezprawne przetwarzanie danych osobowych osoby, której dane dotyczą. | Link | |
1483 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-08-05 | 1 000,00 € | Colosseo S.r.l. | Art. 5 (2) RODO, Art. 6 (1) a) RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 24 RODO | Włoski organ ochrony danych nałożył na Colosseo S.r.l. grzywnę w wysokości 1.000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ administrator wysłał jej niezamówioną wiadomość handlową. Następnie osoba, której dane dotyczą, zwróciła się do administratora o zapewnienie dostępu do swoich danych osobowych, usunięcie swoich danych osobowych oraz sprzeciw wobec otrzymywania w przyszłości promocyjnych wiadomości e-mail. Administrator nie odpowiedział jednak na żądania podmiotu danych. | Link | |
1482 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-11-09 | 1 000,00 € | SC Das Sense Society SRL | Art. 58 (1) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na SC Das Sense Society SRL grzywnę w wysokości 1 000 EUR za nieprzekazanie informacji wymaganych przez organ ochrony danych podczas dochodzenia. | Link | |
1481 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-11-08 | 5 000,00 € | SC Prestige Media PHG SRL | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył na SC Prestige Media PHG SRL grzywnę w wysokości 5 000 EUR. Administrator opublikował na swojej stronie internetowej 23 dokumenty zawierające informacje o rozwiązaniu stosunków pracy i dane osobowe osób, których dane dotyczą. Niektóre z osób, których dane dotyczą, nie pozostawały w żadnym stosunku prawnym z administratorem. | Link | |
1480 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-31 | 56 000,00 € | Vodafone España, S.A.U. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ kilkakrotnie bezskutecznie domagała się od Vodafone kopii swojej umowy telefonicznej. W końcu osoba ta otrzymała e-mail, ale z umową telefoniczną innego klienta. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności określonej w art. 5 (1) f) RODO. Ponadto organ ochrony danych stwierdził, że Vodafone nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co mogło zapobiec incydentowi. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę. | Link | |
1479 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-11-07 | 2 000,00 € | Romanian Post | Art. 32 (1) b), (2) RODO. | Rumuński organ ochrony danych nałożył na Pocztę Rumuńską grzywnę w wysokości 2 tys. euro. Poczta doświadczyła naruszenia danych, w wyniku którego pracownicy stracili kilka przesyłek zawierających odcinki emerytalne, świadectwa pracy i akty zgonu. Incydent dotknął 35 osób (odbiorców). Organ ochrony danych stwierdził, że Poczta nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, które mogłyby zapobiec takiemu incydentowi. | Link | |
1478 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-11-02 | 25 000,00 € | CAIXABANK S.A. | Art. 16 RODO | Hiszpański organ ochrony danych nałożył na CAIXABANK S.A. grzywnę w wysokości 25 000 EUR. Osoba, której dane dotyczą, wielokrotnie i bezskutecznie zwracała się o aktualizację swojego adresu w aktach banku. Organ ochrony danych uznał to za naruszenie art. 16 RODO. | Link | |
1477 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-31 | 70 000,00 € | BANCO BILBAO VIZCAYA ARGENTARIA, S.A. | Art. 5 (1) b) RODO, Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył na BANCO BILBAO VIZCAYA ARGENTARIA, S.A. grzywnę w wysokości 70 000 EUR. Klient banku złożył skargę do organu ochrony danych. Klient ten w przeszłości, jako pełnomocnik, złożył pozew przeciwko bankowi przez swojego klienta, również klienta banku. Bank wysłał następnie odpowiedź do klienta, w której zamiast adresu służbowego osoby, której dane dotyczą, adwokata, omyłkowo wpisał jego adres prywatny. Organ ochrony danych stwierdził przede wszystkim, że bank przetwarzał dane osobowe pełnomocnika w sposób niezgodny z celami, dla których dane te zostały zebrane (zarządzanie jego prywatnym kontem). Ponadto organ ochrony danych stwierdził, że do nieuprawnionego ujawnienia danych osobowych pełnomocnika doszło z powodu nieodpowiednich środków technicznych i organizacyjnych w banku. | Link | |
1476 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-31 | 2 000,00 € | Osoba fizyczna | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2.000 EUR na członka rady pracowniczej. Osoba ta wysyłała protokoły z posiedzeń rady pracowniczej do nieuprawnionych osób trzecich, które nie były członkami rady pracowniczej. W trakcie dochodzenia organ ochrony danych stwierdził, że osoba ta nie miała skutecznej podstawy prawnej do wysłania wiadomości e-mail. | Link | |
1475 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-01 | 10 000,00 € | Osoba fizyczna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 10 000 euro. Osoba ta opublikowała dane osobowe innej osoby na blogu bez jej zgody i w sposób zniesławiający. | Link | |
1474 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-23 | 1 200,00 € | URBANO DIVERTIA, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył karę pieniężną na URBANO DIVERTIA S.L.. Klient złożył skargę do organu ochrony danych, w związku z otrzymaniem od administratora dokumentu z danymi dotyczącymi poprzedniego najemcy mieszkania, które obecnie wynajmował. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Pierwotna grzywna w wysokości 2 000 EUR została zmniejszona do 1 200 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1473 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-06-16 | 20 000,00 € | Deutsche Bank S.p.A. | Art. 12 (3) RODO, Art. 15 RODO | Brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych. | Link | |
1472 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-25 | 9 000,00 € | EL RACO DEL PIS INVERSIONES S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył na EL RACO DEL PIS INVERSIONES S.L. grzywnę w wysokości 9 000 EUR. Administrator wysłał wiadomość e-mail w ramach otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców były widoczne dla pozostałych odbiorców. | Link | |
1471 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-26 | 10 000,00 € | ACKERMANN & SCHWARTZ ATTORNEYS AT LAW SLP | Art. 6 (1) RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył na ACKERMANN & SCHWARTZ ATTORNEYS AT LAW SLP grzywnę w wysokości 10 000 EUR. Kancelaria ta gromadziła dane osobowe użytkowników strony internetowej bez uzyskania ich zgody. Ponadto organ ochrony danych stwierdził, że polityka prywatności na stronie internetowej nie zawierała wystarczających informacji. Brakowało na przykład informacji o danych kontaktowych administratora danych oraz informacji o korzystaniu z praw osób, których dane dotyczą. | Link | |
1470 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-17 | 35 000,00 € | OES GLOBAL ENERGY S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył na OES GLOBAL ENERGY S.L. grzywnę w wysokości 35.000 EUR. Klient administratora złożył skargę do organu ochrony danych po otrzymaniu od administratora wiadomości e-mail zawierającej dokumenty dotyczące rozwiązania umów o dostawę energii elektrycznej innych klientów. Dokumenty te zawierały dane osobowe klientów, takie jak ich nazwiska i numery identyfikacyjne. Organ ochrony danych uznał to bezprawne ujawnienie danych osobowych za naruszenie zasady poufności i integralności, jak również brak wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1469 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-09-15 | 3 000,00 € | Gmina Thiene | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na gminę Thiene grzywnę w wysokości 3 tys. euro. Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jego dane osobowe. Dokument ten zawierał informacje o rozwiązaniu stosunku pracy. | Link | |
1468 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-24 | 8 000,00 € | ADSL HOUSE, S.L. | Art. 48 (1) (b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył na ADSL HOUSE, S.L. grzywnę w wysokości 8 000 EUR. Osoba, której dane dotyczą, otrzymywała telefony reklamowe od administratora, mimo że osoba ta była wpisana na listę wykluczenia z reklam Robinsona. | Link | |
1467 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-24 | 400,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 400 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1466 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-24 | 240,00 € | Przedsiębiorstwo | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na pewną firmę grzywnę. Administrator danych zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna w wysokości 300 euro została zmniejszona do 240 euro ze względu na dobrowolną zapłatę. | Link | |
1465 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-21 | 20 000,00 € | Acqua Novara.VCO S.p.a. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacy | Włoskie organy ochrony danych nałożyły na Acqua Novara.VCO S.p.a. grzywnę w wysokości 20.000 EUR. Grzywna jest związana z grzywną nałożoną na Clio S.r.l. Clio dostarcza i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych, w tym dla Acqua Novara. W trakcie dochodzenia organ ochrony danych stwierdził, że Acqua Novara przekazała Clio dane osobowe w związku ze zgłoszeniami o nieprawidłowościach, umożliwiając Clio ich gromadzenie i przechowywanie bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że Acqua Novara nie uregulowała w odpowiedni sposób swoich stosunków z Clio. | Link | |
1464 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-21 | 5 000,00 € | Gmina Ginosa | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na gminę Ginosa grzywnę w wysokości 5.000 EUR. Grzywna jest związana z grzywną nałożoną na Clio S.r.l. Clio dostarcza i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych, w tym dla gminy Ginosa. W trakcie dochodzenia organ ochrony danych stwierdził, że gmina przekazała Clio dane osobowe w związku ze zgłoszeniami o nieprawidłowościach, umożliwiając Clio ich gromadzenie i przechowywanie bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że gmina nie uregulowała w odpowiedni sposób swoich stosunków z Clio. | Link | |
1463 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-21 | 10 000,00 € | Clio S.r.l. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 30 (2) RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Clio S.r.l. grzywnę w wysokości 10 000 EUR. Clio dostarcza i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych. W ramach prowadzonego dochodzenia organ ochrony danych stwierdził, że Clio nie uregulowało w odpowiedni sposób swoich relacji z klientami. Ponadto Clio udostępniało klientom dane dotyczące zgłoszeń sygnalistów bez ważnej podstawy prawnej. Organ ochrony danych uznał to za naruszenie art. 5 (1) a) RODO oraz Art. 6 RODO. Ponadto organ ochrony danych stwierdził, że Clio nie prowadziło rejestru kategorii czynności przetwarzania. Organ ochrony danych uznał to za naruszenie art. 30 (2) RODO. | Link | |
1462 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-10-06 | 15 000,00 € | Servizio Idrico Integrato S.c.p.a. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył na Servizio Idrico Integrato S.c.p.a. grzywnę w wysokości 15 000 euro. Administrator prowadził stronę internetową, na której przetwarzane były dane osobowe bez użycia protokołu SSL. Organ ochrony danych stwierdził, że użycie protokołu SSL byłoby konieczne dla bezpieczeństwa danych. Stwierdził zatem, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1461 | Wielka Brytania | Information Commissioner (ICO) | 2022-10-19 | 5 033 000,00 € | Interserve Group Limited | Art. 5 (1) f) RODO, Art. 32 RODO | Brytyjski organ ochrony danych nałożył na grupę budowlaną Interserve Group Limited grzywnę w wysokości 5 033 000 euro. Administrator danych powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Interserve ucierpiał w wyniku cyberataku, w którym napastnicy wysłali wiadomość phishingową na skrzynkę pocztową zespołu księgowego Interserve. Mail został otwarty przez pracownika, który również pobrał i otworzył załączony plik zip. Dzięki temu napastnicy mogli zainstalować złośliwe oprogramowanie i zassać dane osobowe 113 tysięcy pracowników. Zassane dane zawierały m.in. informacje o kontach bankowych, numery ubezpieczenia społecznego, pochodzenie etniczne, orientację seksualną i religię osób, których dane dotyczą. W wyniku dochodzenia organów ochrony danych stwierdzono, że nieodpowiednie środki bezpieczeństwa pozwoliły na przeprowadzenie ataku. Pracownicy Interservere nie zostali na przykład odpowiednio przeszkoleni w zakresie prywatności danych. Ponadto Interserve przetwarzał dane osobowe na niewspieranych systemach operacyjnych, które nie były już objęte aktualizacjami bezpieczeństwa w celu usunięcia luk w systemie. Ponadto Interserve nie przeprowadził odpowiednich skanowań podatności na zagrożenia. Wreszcie zespół ds. bezpieczeństwa informacji Interserve nie zbadał w wystarczającym stopniu ataku, ponieważ oprogramowanie antywirusowe informowało, że złośliwe oprogramowanie zostało usunięte. | Link Link | |
1460 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-09-15 | 10 000,00 € | Bper Banca S.p.A. | Art. 12 RODO | Włoski organ ochrony danych nałożył na Bper Banca S.p.A. grzywnę w wysokości 10 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z niespełnieniem jej prawa do usunięcia danych osobowych. Osoba ta zwróciła się do banku o usunięcie swoich danych osobowych przetwarzanych przez bank. Bank zwrócił się następnie do osoby, której dane dotyczą, o przesłanie jej dokumentów tożsamości w celu weryfikacji jej tożsamości dla potrzeb realizacji wniosku. Osoba, której dane dotyczą, przesłała swoje dane, ale nie otrzymała odpowiedzi na swój wniosek o usunięcie danych. Z tego powodu organ ochrony danych uznał, że bank naruszył art. 12 RODO poprzez brak odpowiedzi na wniosek w odpowiednim czasie. | Link | |
1459 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-20 | 1 000,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.000 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1458 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-10-03 | 20 000,00 € | NATIONAL BANK OF GREECE S.A. | Art. 13 RODO | Grecki organ ochrony danych nałożył na NATIONAL BANK OF GREECE S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych, informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te mogły być później odczytane. Organ ochrony danych stwierdził, że bank nie poinformował poszkodowanych klientów o takim przechowywaniu informacji o transakcjach i tym samym naruszył art. 13 RODO. | Link | |
1457 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-10-03 | 20 000,00 € | PIRAEUS BANK S.A. | Art. 13 RODO | Grecki organ ochrony danych nałożył na PIRAEUS BANK S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych, informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te mogły być później odczytane. Organ ochrony danych stwierdził, że bank nie poinformował poszkodowanych klientów o takim przechowywaniu informacji o transakcjach i tym samym naruszył art. 13 RODO. | Link | |
1456 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-10-03 | 20 000,00 € | EUROBANK ERGASIAS S.A. | Art. 13 RODO | Grecki organ ochrony danych nałożył na EUROBANK ERGASIAS S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych, informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te mogły być później odczytane. Organ ochrony danych stwierdził, że bank nie poinformował poszkodowanych klientów o takim przechowywaniu informacji o transakcjach i tym samym naruszył art. 13 RODO. | Link | |
1455 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-10-03 | 20 000,00 € | ALFA BANK S.A. | Art. 13 RODO | Grecki organ ochrony danych nałożył na ALFA BANK S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych, informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te mogły być później odczytane. Organ ochrony danych stwierdził, że bank nie poinformował poszkodowanych klientów o takim przechowywaniu informacji o transakcjach i tym samym naruszył art. 13 RODO. | Link | |
1454 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-09-09 | 15 000,00 € | Szkoła | Art. 5 (1) a), b) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODO | Grecki organ ochrony danych ukarał szkołę grzywną w wysokości 15 000 euro. Szkoła zainstalowała w budynku kilka kamer monitoringu, które stale nagrywały uczniów, nauczycieli i gości. W trakcie dochodzenia organ ochrony danych stwierdził, że szkoła nie miała wystarczającej podstawy prawnej do prowadzenia nadzoru wideo. Ze względu na rozległy nadzór wideo i wynikające z niego ograniczenie praw osobowych osób, których dane dotyczą, szkoła nie mogła powołać się na uzasadniony interes (ochrona własności). Ponadto organ ochrony danych stwierdził, że administrator danych naruszył obowiązek informacyjny, informując nauczycieli i rodziców jedynie ustnie i niekompletnie o systemie nadzoru wideo. | Link | |
1453 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-09-22 | 3 000,00 € | Stacja benzynowa | Art. 12 RODO, Art. 14 RODO | Grecki organ ochrony danych nałożył na operatora stacji benzynowej grzywnę w wysokości 3 000 EUR. Pewna osoba złożyła skargę do organu ochrony danych z powodu nieudzielenia jej przez administratora dostępu do wizerunków jej małoletniego dziecka zarejestrowanych przez system nadzoru wideo na stacji benzynowej. Organ ochrony danych uznał to za naruszenie art. 12 RODO. Ponadto operator udostępnił obrazy z systemu monitoringu wideo policji w trakcie dochodzenia policyjnego, nie informując o tym rodzica. Organ ochrony danych uznał, że brak poinformowania rodzica stanowił naruszenie art. 14 RODO. | Link | |
1452 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-09-15 | 2 000,00 € | Immobiliare Riscostruzione Meloria s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych nałożył na Immobiliare Riscostruzione Meloria s.r.l. grzywnę w wysokości 2 000 euro. Administrator zainstalował w swoim biurze system nadzoru wideo, który obejmował części wspólnego wejścia do budynku, a tym samym rejestrował również mieszkańców budynku. W trakcie dochodzenia organ ochrony danych stwierdził, że znak informacyjny dotyczący nadzoru wideo nie zawierał wystarczających informacji na temat celu przetwarzania danych osobowych i danych kontaktowych administratora danych. | Link | |
1451 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-17 | 6 000,00 € | Przedsiębiorstwo | Art. 6 RODO | Hiszpański organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 6 tys. euro. Administrator danych zainstalował kamery nadzoru wideo, które rejestrowały również dźwięk. Organ ochrony danych stwierdził jednak, że administrator nie miał wystarczającej podstawy prawnej do prowadzenia nadzoru, a zatem nagrania zostały uzyskane niezgodnie z prawem. | Link | |
1450 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-10-18 | 150,00 € | Osoba fizyczna | Art. 6 (1) a) RODO | Rumuński organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 150 euro. Osoba ta w sposób nieuprawniony wykorzystała dane osobowe innej osoby bez jej zgody. | Link | |
1449 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-10-18 | 2 000,00 € | SC Materiale Constructii Online SRL | Art. 58 (1) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na SC Materiale Constructii Online SRL grzywnę w wysokości 2 000 EUR za nieprzekazanie informacji wymaganych przez organ ochrony danych podczas dochodzenia. | Link | |
1448 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-10-17 | 20 000 000,00 € | Clearview Al Inc. | Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODO, Art. 31 RODO | Francuski organ ochrony danych ukarał Clearview Al Inc. 20 000 000 EUR. Firma posiada bazę ponad 20 miliardów zdjęć twarzy (w tym mieszkańców i obywateli Francji) z całego świata. Dane są zbierane online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych wyodrębnionych ze zdjęć. Profile osób fizycznych można wzbogacić o informacje związane z tymi obrazami, takie jak znaczniki obrazu i geolokalizacja. W trakcie dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych przedsiębiorstwa były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że Clearview AI ograniczała wykonywanie praw osób, których dane dotyczą. Na przykład bez uzasadnienia ograniczyła korzystanie z praw osób, których dane dotyczą, do dwóch razy w roku. Ponadto osoby, których dane dotyczą, musiały złożyć kilka wniosków, zanim udzielono odpowiedzi na jeden z nich. Ponadto na wnioski często nie odpowiadano w ogóle lub odpowiadano w sposób niewystarczający. Wreszcie organ ochrony danych skrytykował współpracę Clearview AI. Firma ta w ogóle nie odpowiadała na formularze dochodzeniowe lub odpowiadała bardzo niekompletnie. | Link Link | |
1447 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-17 | 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 500 euro. Osoba ta zainstalowała na swojej posesji kamery nadzoru wideo, które obejmowały m.in. przestrzeń publiczną i sąsiednią posesję. AEPD uznał, że tak rozległy nadzór wideo stanowił naruszenie zasady minimalizacji danych. | Link | |
1446 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-19 | 5 000,00 € | RESTEXPERIENCE, S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych ukarał RESTEXPERIENCE, S.L. grzywną w wysokości 5.000 EUR. Administrator przypadkowo wysłał e-mail zawierający informacje podatkowe 36 osób do 11 nieuprawnionych osób. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Stwierdził również, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1445 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-07 | 20 000,00 € | Intesa Sanpaolo Vita S.p.a. | Art. 5 (1) a), f) RODO | Włoski organ ochrony danych ukarał Intesa Sanpaolo Vita S.p.a. grzywną w wysokości 20 000 EUR. Osoba, której dane dotyczą, która zawarła z administratorem polisę ubezpieczeniową na życie, złożyła do organu ochrony danych skargę na administratora za nieuprawnione ujawnienie jej danych osobowych. W toku postępowania wyjaśniającego organ ochrony danych ustalił, że administrator ujawnił osobom trzecim bez upoważnienia dane osobowe, takie jak imię, nazwisko i informacje o polisie. Do nieuprawnionego ujawnienia doszło w wyniku błędu pracownika. | Link | |
1444 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-17 | 180,00 € | INMUR JOYEROS, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na INMUR JOYEROS, S.L.. Administrator nie dostarczył zawiadomienia z informacją o monitoringu wideo w swoich pomieszczeniach. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności. | Link | |
1443 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2022-07-08 | 1 500,00 € | Lekarz | Art. 5 (1) RODO, Art. 12 (2) RODO, Art. 13 (1) RODO | Węgierski organ ochrony danych nałożył na lekarza grzywnę w wysokości 1 500 EUR. Pacjentka poprosiła lekarza o przesłanie jej pełnej dokumentacji medycznej, takiej jak dokumentacja obrazowa oraz formularze zgody dotyczące opieki okołoporodowej. Lekarz nie zastosował się jednak do tej prośby. | Link | |
1442 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-08-05 | 20 000,00 € | Cosmopol Security S.p.A. | Art. 12 (3) RODO, Art. 15 RODO | Włoski organ ochrony danych ukarał Cosmopol Security S.p.A. grzywną w wysokości 20 000 EUR. Osoba fizyczna złożyła do organu ochrony danych skargę na administratora. Osoba ta otrzymywała faktury, mimo że nigdy nie pozostawała w stosunku umownym z firmą. W związku z tym osoba, której dane dotyczą, zażądała informacji na temat pochodzenia jej danych osobowych. Administrator danych nie odpowiedział jednak w terminie na wniosek osoby, której dane dotyczą, o udzielenie informacji. | Link | |
1441 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-14 | 12 000,00 € | SEAN SERIOS S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na SEAN SERIOS S.L. grzywnę w wysokości 12 000 EUR. Administrator opublikował na stronie internetowej wyniki procedury selekcji. Zawierały one między innymi dane osobowe uczestników, takie jak nazwisko, imię i wynik w procesie selekcji. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie miał wystarczającej podstawy prawnej do opublikowania tych danych. | Link | |
1440 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2022-10-05 | 72 500,00 € | Bank | Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO | Węgierski organ ochrony danych nałożył na bank grzywnę w wysokości 72 500 euro. Pewna osoba złożyła skargę do organu ochrony danych. Bank przeprowadził kontrolę kredytową tej osoby na podstawie wniosku kredytowego. Później jednak bank przeprowadził drugą kontrolę kredytową, mimo że osoba fizyczna nie złożyła wniosku o nową ofertę kredytową. Organ ochrony danych stwierdził zatem, że ta druga kontrola kredytowa została przeprowadzona niezgodnie z prawem ze względu na brak podstawy prawnej. | Link | |
1439 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-08-08 | 5 000,00 € | IDIKA SA | Art. 5 (1) e) RODO, Art. 25 RODO | Grecki organ ochrony danych nałożył na IDIKA SA grzywnę w wysokości 10 tys. euro. IDIKA prowadziła działalność w kontekście zapewnienia bezpłatnych testów COVID-19. Organ ochrony danych stwierdził, że IDIKA w trakcie swoich działań związanych z przetwarzaniem danych nie informowała w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych. Ponadto IDIKA przechowywała dane osobowe dłużej niż było to konieczne oraz nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1438 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-08-19 | 20 000,00 € | Laboratorium medyczne | Art. 5 (1) f) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 32 RODO, Art. 35 (1), (3) RODO | Belgijski organ ochrony danych nałożył na laboratorium medyczne grzywnę w wysokości 20 000 EUR. W trakcie dochodzenia organ ochrony danych stwierdził, że laboratorium nie przeprowadziło oceny skutków dla ochrony danych, a tym samym naruszyło art. 35 RODO. Ponadto laboratorium naruszyło art. 5 ust. 1 lit. f) RODO i art. 32 RODO, ponieważ lekarze mogli przeglądać dane osobowe pacjentów na stronie internetowej bez szyfrowania. Wreszcie organ ochrony danych stwierdził, że laboratorium nie opublikowało na swojej stronie internetowej klauzul informacyjnych dotyczących ochrony danych osobowych, co stanowiło naruszenie art. 12 RODO, art. 13 RODO i art. 14 RODO. | Link | |
1437 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-09-06 | 5 000,00 € | EDYTE SA | Art. 29 RODO | Grecki organ ochrony danych nałożył na EDYTE SA grzywnę w wysokości 5 000 EUR. EDYTE, jako podmiot przetwarzający, bezprawnie ujawnił dane osobowe osobom trzecim bez zgody administratora danych. | Link | |
1436 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-09-21 | 5 000,00 € | Curtea Veche Publishing SRL | Art. 32 (1) b), c) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych nałożył na Curtea Veche Publishing SRL grzywnę w wysokości 5 000 EUR. Administrator danych zgłosił organowi ochrony danych dwa naruszenia ochrony danych osobowych na podstawie art. 33 RODO. W przypadku pierwszego naruszenia ochrony danych osobowych administrator nieumyślnie opublikował na forum publicznym plik zawierający bazę danych klientów. Spowodowało to nieuprawnione ujawnienie danych osobowych takich jak imię, nazwisko, numer telefonu, e-mail, hasło w zaszyfrowanej formie oraz adres IP 10 793 klientów. Drugie naruszenie ochrony danych dotyczyło ataku ransomware, który spowodował nieuprawniony dostęp i utratę integralności, a także dostępności danych osobowych około 100 osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ten brak wdrożenia środków ochronnych umożliwił powstanie naruszeń danych. | Link | |
1435 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-09-01 | 4 000,00 € | Liceo Statale 'Edoardo Amaldi” | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych nałożył na szkołę "Edoardo Amaldi" grzywnę w wysokości 4.000 euro. Szkoła opublikowała na swojej stronie internetowej okólnik dotyczący letnich wakacji, który zawierał dokładne daty urlopów pracowników szkoły. | Link | |
1434 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-10-03 | 150,00 € | Operator strony internetowej | Art. 5 (1) a), f) RODO, Art. 6 (1) a) RODO | Rumuński organ ochrony danych nałożył na operatora strony internetowej grzywnę w wysokości 150 EUR. Administrator opublikował bezprawnie dane osobowe, takie jak numer telefonu, numer i seria dowodu osobistego, adres e-mail, dane bankowe i stan cywilny 383 osób fizycznych. | Link | |
1433 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-04 | 600,00 € | Wspólnota mieszkaniowa | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył na stowarzyszenie właścicieli domów grzywnę w wysokości 600 euro. Administrator zainstalował system nadzoru wideo, który rejestrował zarówno obraz, jak i dźwięk. W trakcie dochodzenia organ ochrony danych stwierdził, że system nadzoru wideo nagrywał m.in. części wspólnego terenu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto organ ochrony danych stwierdził, że administrator nie wypełnił w wystarczającym stopniu swoich obowiązków informacyjnych wynikających z art. 13 RODO w odniesieniu do monitoringu wizyjnego. | Link | |
1432 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-09 | 64 000,00 € | EVERIS SPAIN S.L | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na EVERIS SPAIN S.L.. Everis opublikował informacje o sprzedanych danych użytkowników firmy ubezpieczeniowej, a także zapisy z danymi osobowymi hiszpańskich klientów firmy ubezpieczeniowej. Organ ochrony danych uznał to za naruszenie poufności danych. Organ ochrony danych stwierdził również, że bezprawna publikacja danych była możliwa m.in. ze względu na brak środków technicznych i organizacyjnych służących ochronie danych osobowych w momencie naruszenia danych. Pierwotna grzywna w wysokości 80 000 EUR została zmniejszona do 64 000 EUR ze względu na dobrowolną zapłatę. | Link | |
1431 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-09 | 6 000,00 € | UNION DE OFICIALES DE LA GUARDIA CIVIL PROFESIONAL | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 6 000 EUR na stowarzyszenie UNION DE OFICIALES DE LA GUARDIA CIVIL PROFESIONAL. Jedna z osób złożyła skargę do organu ochrony danych, ponieważ administrator danych kontaktował się z nią, mimo że nie była ona członkiem stowarzyszenia lub nie wyraziła zgody na kontakt. | Link | |
1430 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-09 | 800,00 € | Przedsiębiorstwo | Art. 6 (1) e) RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 800 euro. Administrator danych zainstalował kamery nadzoru wideo bez uzyskania zezwolenia na ich instalację. Ponadto administrator nie zapewnił oznakowań dotyczących monitoringu wizyjnego z danymi kontaktowymi administratora danych. | Link | |
1429 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-09 | 900,00 € | Osoba fizyczna | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na osobę fizyczną. Osoba ta w sposób nieuprawniony wysłała e-maile z danymi osobowymi do kilku odbiorców na otwartej liście dystrybucyjnej. Umożliwiło to odbiorcom wgląd w adresy e-mail wszystkich pozostałych odbiorców. Pierwotna grzywna w wysokości 1 200 EUR została zmniejszona do 900 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności. | Link | |
1428 | Islandia | Persónuvernd | 2022-05-03 | 10 600,00 € | HEI – Medical Travel | Art. 15 (1), (3) RODO, Art. 9 (1) Act 90/2018, Art. 17 (2) Act 90/2018 | Islandzki organ ochrony danych nałożył na HEI - Medical Travel grzywnę w wysokości 10 600 EUR. Osoba, której dane dotyczą, złożyła do organu ochrony danych skargę na administratora. Administrator uzyskał dostęp do poczty elektronicznej osoby, której dane dotyczą, za pośrednictwem wewnętrznej strony internetowej Islandzkiego Stowarzyszenia Medycznego, a następnie wysyłał jej niechciane wiadomości elektroniczne. Organ ochrony danych stwierdził, że taki dostęp był niezgodny z prawem ze względu na brak ważnej podstawy prawnej. Ponadto osoba, której dane dotyczą, poprosiła administratora o informacje na temat przetwarzania jej danych osobowych, takie jak pochodzenie adresu e-mail. Administrator nie zastosował się należycie do tego wniosku. | Link | |
1427 | Estonia | Andmekaitse Inspektsioon | 2020-08-17 | 56,00 € | Pracownik służby zdrowia | Art. 5 RODO, Art. 6 RODO | Dostęp do danych osobowych w bazie danych o zdrowiu na potrzeby prywatnej działalności badawczej. | Link | |
1426 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-09 | 24 000,00 € | CAJA DE SEGUROS REUNIDOS, COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na CAJA DE SEGUROS REUNIDOS, COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Osoba, której dane dotyczą, zawarła z administratorem polisę ubezpieczeniową, której beneficjentem był jej ówczesny partner życiowy. Po rozstaniu była partnerka życiowa zwróciła się do administratora o zmianę zapisu debetowego na składkę z konta osoby, której dane dotyczą, na jej konto. Administrator dokonał tej zmiany bez zgody osoby, której dane dotyczą. Organ ochrony danych uznał to za bezprawną zmianę danych osobowych osoby, której dane dotyczą. Pierwotna grzywna w wysokości 40 000 EUR została zmniejszona do 24 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1425 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-09 | 4 000,00 € | PUNTO BADAL-BCN S.L. | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył karę na agencję nieruchomości PUNTO BADAL-BCN S.L.. Administrator wysłał e-maile marketingowe do kilku osób z otwartej listy dystrybucyjnej, przez co adresy e-mail wszystkich odbiorców były widoczne dla pozostałych odbiorców. Pierwotna grzywna w wysokości 5.000 EUR została zmniejszona do 4.000 EUR z powodu dobrowolnej zapłaty. | Link | |
1424 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-07 | 45 000,00 € | Senseonics Inc. | Art. 5 (1) a), b), f) RODO, Art. 6 RODO, Art. 7 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 27 RODO | Włoski organ ochrony danych nałożył na Senseonics Inc. grzywnę w wysokości 45 000 EUR. Firma zgłosiła organowi ochrony danych naruszenie zgodnie z art. 33 RODO, polegające na przypadkowym wysłaniu przez pracownika kampanii informacyjnej pocztą elektroniczną do dużej liczby odbiorców na otwartej liście dystrybucyjnej. Umożliwiło to wszystkim odbiorcom wgląd w adresy e-mail innych odbiorców. Odbiorcami e-maili byli pacjenci z cukrzycą, co umożliwiło uzyskanie za ich pośrednictwem informacji o stanie zdrowia osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził również inne naruszenia prywatności związane z systemem monitorowania glukozy produkowanym przez firmę. Pobierając aplikację monitorującą, użytkownicy byli zobowiązani do zaakceptowania zarówno umownych warunków użytkowania, jak i treści polityki prywatności za pomocą jednego "kliknięcia". Nie pozwalało im to na oddzielne wyrażenie zgody na poszczególne operacje przetwarzania, w tym na przetwarzanie danych dotyczących zdrowia. Ponadto organ ochrony danych stwierdził, że firma naruszyła zasady uczciwości i przejrzystości, dostarczając użytkownikom mylące, a czasem błędne informacje dotyczące przetwarzania danych osobowych. Ponadto firma nie wyznaczyła swojego przedstawiciela w Unii Europejskiej jako osoby kontaktowej we wszystkich kwestiach związanych z ochroną danych. | Link Link | |
1423 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-09-15 | 100 000,00 € | Region Lazio | Art. 5 ust. 1 lit. a) i d) RODO, art. 5 ust. 2 RODO, art. 6 RODO, art. 9 RODO, art. 12 RODO, art. 13 RODO, art. 14 RODO, art. 24 RODO | Włoski organ ochrony danych nałożył na region Lazio grzywnę w wysokości 100 000 euro. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ otrzymała od regionalnego urzędu zdrowia zaproszenie do udziału w programie badań przesiewowych w kierunku raka szyjki macicy, które było skierowane do jej córki, która zmarła w 1995 roku. W trakcie dochodzenia organ ochrony danych odkrył, że dane córki nadal znajdowały się w bazie danych regionu, mimo że córka już nie żyła. Z tego powodu organ ochrony danych uznał, że region naruszył zasady dokładności i poprawności. Jako właściciel danych, Region powinien był zapewnić, że dane osobowe są dokładne i aktualizowane w razie potrzeby, a także podjąć wszelkie rozsądne kroki w celu usunięcia lub poprawienia informacji, z których korzystał w odpowiednim czasie. Oprócz powyższego Garante stwierdził również, że Region nie przekazał osobom, których dane dotyczą, wymaganych informacji na temat przetwarzania ich danych osobowych podczas wysyłania listów z zaproszeniem na kampanię badań przesiewowych w kierunku raka szyjki macicy. Nakładając grzywnę, organ ochrony danych wziął pod uwagę, jako czynnik obciążający, fakt, że Region otrzymał już wcześniej grzywnę. | Link Link | |
1422 | Wielka Brytania | Information Commissioner (ICO) | 2022-10-04 | 1 547 000,00 € | Easylife Ltd. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 (1) c) RODO, Rozporządzenie 21 PECR | Brytyjski organ ochrony danych nałożył na Easylife Ltd. grzywnę w wysokości 1 547 000 EUR. Easylife jest detalistą, który sprzedaje artykuły gospodarstwa domowego, a także usługi i produkty w ramach klubów zdrowotnych, motoryzacyjnych, supercard i ogrodniczych. Przy zakupie niektórych produktów firma przyjmowała założenia dotyczące stanu zdrowia klienta, po czym klientowi oferowano telefonicznie lub SMS-em kolejne produkty do zakupu, które były związane z jego stanem zdrowia. Ze 122 produktów w katalogu Health Club firmy Easylife, 80 pozycji zostało sklasyfikowanych jako "produkty wyzwalające". Gdy klienci zakupili te produkty, Easlylife stworzył ich profil, aby skierować do nich produkt związany ze zdrowiem. Podczas dochodzenia organ ochrony danych stwierdził, że firma gromadziła i wykorzystywała dane osobowe (dane dotyczące zdrowia) łącznie 145 500 osób, których dane dotyczą, bez ich zgody, a nawet wiedzy. Organ ochrony danych stwierdził, że to "niewidoczne" przetwarzanie danych osobowych stanowiło poważne naruszenie praw osób, których dane dotyczą, ponieważ nie były one w stanie w ogóle korzystać ze swoich praw do prywatności i ochrony danych ze względu na brak wiedzy o przetwarzaniu. Ponadto firma wykonała 1 345 732 niezamówionych połączeń marketingowych do osób fizycznych bez ich zgody na te połączenia. Organ ochrony danych uznał to za naruszenie PECR. | Link Link | |
1421 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-10-04 | 6 000,00 € | Club Náutico el Estacio | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Club Náutico el Estacio grzywnę w wysokości 6 000 EUR. Osoba, której dane dotyczą, złożyła skargę na administratora do AEPD. Skarga wynika z faktu, że administrator opublikował na swojej stronie internetowej ogłoszenie i protokół ze zwyczajnego zebrania klubu, ujawniając dane osobowe bez ograniczeń dostępu. | Link | |
1420 | Dania | Datatilsynet | 2021-08-17 | 20 100,00 € | Duńska Agencja Imigracyjna | Art. 5 (1) f) RODO, Art. 32 RODO | Duński organ ochrony danych nałożył na Duńską Agencję Imigracyjną grzywnę w wysokości 20 100 EUR. Doniesienia mediów zwróciły uwagę organu ochrony danych na możliwe błędy w logowaniu w jednym z systemów informatycznych agencji, które mogły mieć wpływ na prawa i wolności mieszkańców. W konsekwencji organ ochrony danych rozpoczął dochodzenie w agencji. Wiosną i latem 2020 r. w systemach agencji doszło do kilku incydentów bezpieczeństwa, w wyniku których utracono zapisy danych. Utrata danych doprowadziła do wszczęcia postępowań wobec szeregu rezydentów w sprawie obniżenia ich świadczeń pieniężnych, a także do zgłoszenia na policję szeregu rezydentów w związku z nieprzestrzeganiem przepisów ustawy o cudzoziemcach. W trakcie dochodzenia organ ochrony danych stwierdził, że do zaistnienia tego zdarzenia przyczynił się brak środków technicznych i organizacyjnych. Na przykład agencja nie wykonała odpowiednich kopii zapasowych przetwarzanych danych, chociaż byłoby to konieczne ze względu na konsekwencje prawne, jakie utrata danych mogłaby oznaczać dla imigrantów. Przetłumaczono z www.DeepL.com/Translator (wersja darmowa) | Link | |
1419 | Austria | Österreichische Datenschutzbehörde (DSB) | 2021 | 600,00 € | Osoba fizyczna | Art. 5 (1) a) RODO, Art. 9 (1), (2) RODO | Austriacki organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 600,00 EUR. Osoba ta skontaktowała się z instytucją publiczną, aby zwrócić jej uwagę na fakt, że oświadczenie przedszkolanki, iż jest ona w 50% niepełnosprawna, nie odpowiadało rzeczywistości. W tym celu osoba ta przedłożyła sprawozdanie sądowe, które zawierało dane dotyczące zdrowia osoby, której dane dotyczą. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że przekazanie sprawozdania sądowego stanowiło bezprawne przetwarzanie danych osobowych przedszkolanki. | Link | |
1418 | Austria | Österreichische Datenschutzbehörde (DSB) | 2021 | Nieznana | Osoba fizyczna | Art. 5 (1) a), c) RODO | Austriacki organ ochrony danych ukarał grzywną osobę fizyczną. Osoba ta zainstalowała system monitoringu, który między innymi nagrywał również przestrzeń publiczną i przechowywał obrazy zbyt długo. | Link | |
1417 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-28 | 31 200,00 € | BAYARD REVISTAS, S.A. | Art. 5 (1) f) RODO, Art. 32 RODO, Art. 33 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Bayard Revistas S.A.. Nieuprawnione osoby uzyskały dostęp do bazy danych Bayard, a tym samym w sposób nieuprawniony pozyskały dane lokalizacyjne i kontaktowe użytkowników bazy. Incydent dotyczył około 470 000 użytkowników. W wyniku dochodzenia przeprowadzonego przez organ ochrony danych ustalono, że do incydentu mogła doprowadzić luka w systemach administratora danych. Pierwotna grzywna w wysokości 52 000 EUR została zmniejszona do 31 200 EUR ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
1416 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-21 | 3 000,00 € | Azienda Socio Sanitaria Territoriale Rhodense | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych ukarał Azienda Socio Sanitaria Territoriale Rhodense grzywną w wysokości 3 tys. euro. Zakład opieki zdrowotnej zgłosił utratę dokumentacji medycznej pacjenta. Kartoteka zawierała dane osobowe takie jak nazwisko, imię, płeć, data i miejsce urodzenia, numer podatkowy, miejsce zamieszkania, numery telefonów osoby, której dane dotyczą. Organ ochrony danych ustalił, że przyczyną zdarzenia był brak środków technicznych i organizacyjnych zapewniających ochronę danych osobowych w zakładzie opieki zdrowotnej. | Link | |
1415 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-21 | 10 000,00 € | Stay over s.r.l. | Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych ukarał firmę Stay Over s.r.l. grzywną w wysokości 10 000 EUR. Były pracownik złożył skargę do organu ochrony danych. Firma nie odpowiedziała w odpowiednim czasie na wniosek o dostęp do danych osobowych. Ponadto, po zakończeniu stosunku pracy spółka nadal przetwarzała dane ze skrzynki e-mailowej pracownika bez jego zgody. | Link | |
1414 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-21 | 2 000,00 € | Global Service s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych ukarał Global Service s.r.l. grzywną w wysokości 2.000 EUR. Administrator zainstalował kamery monitoringu wideo w swoich pomieszczeniach bez odpowiedniego poinformowania osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informacyjny określony w RODO. | Link | |
1413 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-07-28 | 2 000,00 € | Auto Hi-Fi System S.n.c | Art. 5 (1) a), c) RODO, Art. 13 RODO | Włoski organ ochrony danych ukarał Auto Hi-Fi System S.n.c grzywną w wysokości 2 000 euro. Administrator zainstalował system nadzoru wideo, który obejmował nie tylko drogę publiczną, ale także prywatną posesję. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie zamieścił znaku z informacją o systemie nadzoru wideo. Organ ochrony danych uznał to za naruszenie art. 13 RODO. | Link | |
1412 | Dania | Datatilsynet | 2022-09-12 | 6 700,00 € | Gmina Hørsholm | Art. 32 RODO | Duński organ ochrony danych nałożył na gminę Hørsholm grzywnę w wysokości 6 700 EUR. Gmina zgłosiła organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Skradziono komputer służbowy pracownika, który zawierał wrażliwe i poufne informacje dotyczące około 1600 pracowników gminy. W trakcie dochodzenia organ ochrony danych ustalił, że dane na komputerze nie były odpowiednio zabezpieczone oraz że gmina nie podjęła odpowiednich środków technicznych w celu ochrony danych osobowych. | Link | |
1411 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-28 | 720,00 € | CLUB NATACIO LLEIDA | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę na CLUB NATACIO LLEIDA. Administrator danych zainstalował system monitoringu wizyjnego, który rejestrował strefy kasowe obiektu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna w wysokości 1200 euro została zmniejszona do 720 euro ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
1410 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-28 | 180,00 € | Y OTRO MAS C.B. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Y OTRO MAS C.B.. Administrator danych zainstalował system nadzoru wideo w kompleksie mieszkalnym. W trakcie dochodzenia organ ochrony danych stwierdził, że znak informacyjny o monitoringu wizyjnym nie zawierał wystarczających informacji o przetwarzaniu danych osobowych, administratorze danych i realizacji praw osób, których dane dotyczą. Organ ochrony danych uznał to za naruszenie art. 13 RODO. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR ze względu na uznanie odpowiedzialności i dobrowolną zapłatę. | Link | |
1409 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-09-22 | 2 000,00 € | Bitfactor SRL | Art. 25 (1) RODO, Art. 32 (1), (2) RODO | Rumuński organ ochrony danych nałożył na Bitfactor SRL grzywnę w wysokości 2 000 EUR. Administrator powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Z powodu nieprawidłowego działania aplikacji administratora do użytkowników strony internetowej wysyłane były wiadomości marketingowe, co spowodowało naruszenie poufności danych osobowych dotyczących 1757 osób, których dane dotyczą. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych osób, których dane dotyczą. | Link | |
1408 | Niemcy | Organ ochrony danych osobowych kraju związkowego Badenia-Wirtembergia | 2022-09-21 | 5 000,00 € | Geodeta | Art. 6 (1) RODO | Organ ochrony danych w Badenii-Wirtembergii nałożył na geodetę grzywnę w wysokości 5.000 euro. Geodeta wykorzystał swoje uprawnienia do kontroli elektronicznego rejestru gruntów w celu zidentyfikowania kilkuset właścicieli nieruchomości w dwóch przypadkach bez ich wiedzy i przekazał odpowiednie informacje deweloperowi. Ten z kolei skontaktował się ze zidentyfikowanymi właścicielami. Organ ochrony danych ustalił, że zarówno geodeta, jak i deweloper bezprawnie przetwarzali dane właścicieli nieruchomości. | Link | |
1407 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2022-09-25 | 1 200,00 € | Ubezpieczyciel zdrowotny | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 12 (3), (4) RODO, Art. 31 RODO | Węgierski organ ochrony danych nałożył na ubezpieczyciela zdrowotnego grzywnę w wysokości 1 200 EUR. Ubezpieczyciel opublikował na swojej stronie internetowej wynik testu Covid-19 przeprowadzonego na osobie, której dane dotyczą. Umożliwiłoby to osobom nieuprawnionym dostęp do danych osobowych osoby, której dane dotyczą. Ponadto ubezpieczyciel nie współpracował odpowiednio z organem ochrony danych podczas prowadzonego przez niego dochodzenia. | Link | |
1406 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2022-08-08 | 735,00 € | Przedsiębiorstwo | Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1), (2) RODO | Węgierski organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 735 euro. Pewna osoba złożyła skargę na przedsiębiorstwo do organu ochrony danych. Pracownik przedsiębiorstwa dokonał nagrań dźwiękowych telefonem komórkowym podczas prac remontowych w domu skarżącego bez poinformowania go o tym. | Link | |
1405 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-09-07 | 530,00 € | Sułkowicki Ośrodek Kultury | Art. 28 (1), (3), (9) RODO | Polski organ ochrony danych nałożył na Sułkowicki Ośrodek Kultury karę w wysokości 530 euro. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator przekazał przetwarzanie danych osobowych podmiotowi przetwarzającemu bez zawarcia pisemnej umowy. Ponadto administrator nie zweryfikował podmiotu przetwarzającego i nie sprawdził, czy podmiot przetwarzający zapewnia wystarczające gwarancje, aby zapewnić podjęcie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1404 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-23 | 3 000,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1403 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-09-19 | 2 000,00 € | Banca Comercială Română SA | Art. 25 (1) RODO, Art. 32 (1) b), d), e) RODO | Rumuński organ ochrony danych nałożył na Banca Comercială Română SA grzywnę w wysokości 2 tys. euro. Bank powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Z powodu błędu w aplikacji informatycznej administratora, wiadomości e-mail zawierające dane osobowe klientów zostały wysłane do niewłaściwych odbiorców. To naruszenie danych spowodowało nieuprawnione ujawnienie i dostęp do niektórych danych osobowych, takich jak imię i nazwisko, adres domowy, numer telefonu, adres e-mail i informacje finansowe. Incydent dotknął 564 osoby. Organ ochrony danych stwierdził, że bank nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka przetwarzania. | Link | |
1402 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-20 | 1 800,00 € | Union Sindical Obrera | Art. 6 RODO | Hiszpański organ ochrony danych nałożył grzywnę na związek zawodowy Union Sindical Obrera. Osoba fizyczna złożyła skargę do organu ochrony danych z powodu wielokrotnego otrzymywania wiadomości e-mail od administratora danych, mimo że zażądała usunięcia swoich danych. Pierwotna grzywna w wysokości 3 000 EUR została zmniejszona do 1 800 EUR ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
1401 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-16 | 2 000,00 € | Agent agencji nieruchomości BARCELONA DREAM HOUSE AGENCY | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2.000 euro na agenta agencji nieruchomości BARCELONA DREAM HOUSE AGENCY. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ agent nieruchomości nie poinformował jej w wystarczającym stopniu o przetwarzaniu jej danych osobowych w kontekście zawarcia umowy najmu. Brakowało na przykład informacji o celu przetwarzania, jak również o administratorze danych. | Link | |
1400 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-16 | 3 000,00 € | MARIELI GABRIELA, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na MARIELI GABRIELA, S.L. grzywnę w wysokości 3.000 EUR. Jedna z osób złożyła skargę do organu ochrony danych, ponieważ przedsiębiorstwo obciążyło jej rachunek bankowy, mimo że nie istniał żaden stosunek umowny. | Link | |
1399 | Niemcy | Organ ochrony danych osobowych kraju związkowego Badenia-Wirtembergia | 2022-09-21 | 50 000,00 € | Przedsiębiorstwo deweloperskie | Art. 6 (1) RODO, Art. 14 RODO | Organ ochrony danych z Badenii-Wirtembergii nałożył na firmę deweloperską grzywnę w wysokości 50.000 EUR. Przedsiębiorstwo to wysłało do właściciela nieruchomości pismo, w którym złożyło ofertę cenową na zakup jego nieruchomości. Pismo nie zawierało żadnych informacji o pochodzeniu danych. Nawet po tym, jak właściciel zapytał przedsiębiorstwo, skąd pochodzą dane, przedsiębiorstwo nie udzieliło odpowiedzi. W trakcie dochodzenia organ ochrony danych odkrył, że inspektor wykorzystał swoje uprawnienia do kontroli elektronicznego rejestru gruntów i w dwóch przypadkach zidentyfikował kilkuset właścicieli nieruchomości bez ich wiedzy. Następnie geodeta przekazał odpowiednie informacje spółce, która skontaktowała się z właścicielami nieruchomości. Organ ochrony danych uznał to z jednej strony za naruszenie art. 6 (1) RODO, a z drugiej strony naruszenie art. 14 RODO ze względu na brak informacji o pochodzeniu danych. | Link | |
1398 | Niemcy | Organ ochrony danych osobowych Berlina | 2022-09-20 | 525 000,00 € | Przedsiębiorstwo | Art. 38 (6) RODO | Organ ochrony danych w Berlinie nałożył grzywnę w wysokości 525 000 EUR na spółkę zależną grupy e-commerce z siedzibą w Berlinie. Firma ta powołała inspektora ochrony danych, który jednak był również dyrektorem zarządzającym dwóch firm usługowych, które przetwarzały dane osobowe w imieniu tej samej firmy, dla której pełnił funkcję inspektora ochrony danych. Te firmy usługowe są również częścią grupy, do której należy przedsiębiorstwo handlu elektronicznego. Organ ochrony danych uznał to za konflikt interesów i stwierdził naruszenie art. 38 (6) RODO. Organ ochrony danych już w 2021 roku wydał ostrzeżenie dla firmy z powodu konfliktu interesów. Kiedy nowa kontrola w tym roku ujawniła, że nie wyznaczono nowego inspektora ochrony danych, organ ochrony danych nałożył grzywnę. | Link | |
1397 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-15 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również sąsiednią, wspólną drogę dojazdową. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny. | Link | |
1396 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-04 | 1 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości EUR. Osoba, której dane dotyczą, złożyła do organu ochrony danych skargę na swoją byłą żonę. Była żona zainstalowała we wspólnie zajmowanym domu kamery monitoringu, które nagrywały również jego pomieszczenia mieszkalne i tym samym ingerowały w jego prywatność. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1395 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-28 | 5 600,00 € | SOLIVESA MASTER FRANCHISE S.L. | Art. 28 RODO, Art. 48 (1) b) LGT | Hiszpański organ ochrony danych (AEPD) nałożył na SOLIVESA MASTER FRANCHISE S.L. grzywnę w wysokości 5.600 EUR. Osoba, której dane dotyczą, otrzymała od administratora połączenie reklamowe wykonane w imieniu Vodafone España, S.A.U., mimo że osoba ta była zarejestrowana na liście wykluczenia z reklam Robinsona. | Link | |
1394 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-28 | 48 000,00 € | NATURGY ENERGY GROUP, S.A. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na NATURGY ENERGY GROUP, S.A.. Z przedsiębiorstwem energetycznym skontaktowała się osoba podająca się za krewnego klienta. Osoba ta poprosiła o otrzymywanie rachunków za energię elektryczną przy użyciu nowego adresu e-mail. W celu weryfikacji tożsamości osoba ta musiała podać imię i nazwisko, adres, numer dowodu osobistego, numer umowy oraz ostatnie 4 cyfry danych rachunku bankowego klienta. Organ ochrony danych stwierdził jednak, że ta weryfikacja nie spełniała wymogów RODO dotyczących weryfikacji tożsamości i uznał ją za naruszenie art. 5 (1) f) RODO oraz Art. 32 RODO. Pierwotna grzywna w wysokości 80 000 EUR została zmniejszona do 48 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1393 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-09-08 | 8 000,00 € | Realmedia Network SA | Art. 32 (1) b) RODO, Art. 32 (2) RODO | Rumuński organ ochrony danych ukarał Realmedia Network SA grzywną w wysokości 8 tys. euro. Firma doznała naruszeń bezpieczeństwa na prowadzonej przez siebie stronie internetowej. Pozwoliło to na wyciek i nieuprawniony dostęp do danych. Dane te obejmowały nazwiska, imiona, numery telefonów, adresy e-mail, adresy pocztowe, podpisy, kopie dowodów osobistych, dane bankowe oraz informacje z wypisów z ksiąg wieczystych osób, których dane dotyczyły. W sumie incydent bezpieczeństwa dotknął 194 309 osób. Organ ochrony danych stwierdził, że firma nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa danych odpowiedniego do ryzyka przetwarzania. | Link | |
1392 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-16 | 10 000,00 € | SOPHIE ET VOILA, S.L | Art. 6 RODO | Hiszpański organ ochrony danych nałożył na SOPHIE ET VOILA, S.L. grzywnę w wysokości 10 000 EUR. Firma produkująca suknie ślubne opublikowała na swoim koncie na Instagramie zdjęcie klientki w sukni ślubnej bez zgody klientki. Z tego powodu organ ochrony danych stwierdził, że przetwarzanie danych osobowych klienta było niezgodne z prawem. | Link | |
1391 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-16 | 480,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na osobę fizyczną. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna w wysokości 600 euro została zmniejszona do 480 euro ze względu na dobrowolną zapłatę. | Link | |
1390 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-06-16 | 2 000,00 € | Federazione Italiana Nuoto | Art. 12 (3), (4) RODO, Art. 15 RODO | Włoski organ ochrony danych (Garante) ukarał Federazione Italiana Nuoto grzywną w wysokości 2 000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych. | Link | |
1389 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-06-30 | 5 000,00 € | Federazione Italiana Sommelier, Albergatori e Ristoratori | Art. 5 (1) a), f) RODO, Art. 6 (1) RODO | Włoski organ ochrony danych nałożył na Federazione Italiana Sommelier, Albergatori e Ristoratori grzywnę w wysokości 5 tys. euro. Federacja przesłała wszystkim pozostałym członkom protokół zawierający dane osobowe jednego z członków. Protokół ujawnił informacje o środku dyscyplinarnym wobec danego członka, chociaż środek ten nie był jeszcze prawnie wiążący i został później uchylony. Ponadto, środek dyscyplinarny był nadal publikowany na platformie w chmurze, nawet po jego odwołaniu. | Link | |
1388 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-04 | 360,00 € | Właściciel sklepu | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na właściciela sklepu. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 600 EUR została zmniejszona do 360 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1387 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-06 | 20 000,00 € | MUXERS CONCEPT, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych nałożył na MUXERS CONCEPT, S.L. grzywnę w wysokości 20 000 EUR. Spółka zainstalowała kamery i mikrofony monitoringu wideo w szatni pracowników w jednej z prowadzonych przez siebie restauracji. Organ ochrony danych stwierdził, że nie istniała podstawa prawna dla tak szerokiego przetwarzania danych osobowych pracowników, a zatem przetwarzanie było niezgodne z prawem. | Link | |
1386 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-09 | 180,00 € | EURO DONER KEBAB | Art. 5 (1) c) GDPR, Art. 13 GDPR | Hiszpański organ ochrony danych (AEPD) nałożył karę na firmę EURO DONER KEBAB. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1385 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-09-09 | 2 000,00 € | SC Raiffeisen Bank SA | Art. 5 (1) d) RODO | Rumuński organ ochrony danych nałożył na SC Raiffeisen Bank SA grzywnę w wysokości 2.000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z otrzymywaniem wiadomości tekstowych dotyczących przelewów pieniężnych na rzecz określonych osób, których nie dokonała. W trakcie dochodzenia organ ochrony danych ustalił, że w 44 przypadkach bank przypadkowo wykorzystał numer telefonu osoby, której dane dotyczą, do celów transakcji. Osoba, której dane dotyczą, nie była klientem banku i nie wnioskowała o przeprowadzenie transakcji. | Link | |
1384 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-09 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1383 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-13 | 2 000,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 2.000 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1382 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-09-13 | 250 000,00 € | GIE INFOGREFFE | Art. 5 (1) e) RODO, Art. 32 RODO | Francuski organ ochrony danych nałożył na GIE INFOGREFFE karę w wysokości 250 tys. euro. Portal ten prowadzi stronę internetową, na której ludzie mogą uzyskać dostęp do informacji prawnych o firmach i zamówić dokumenty poświadczone przez sądy gospodarcze. W ramach dochodzenia organ ochrony danych stwierdził, że dane osobowe 25% członków i subskrybentów, takie jak dane bankowe, nazwiska, imiona, adresy i numery telefonów, były przechowywane dłużej niż zamierzano (36 miesięcy). Organ ochrony danych uznał to za naruszenie art. 5 (1) e) RODO. Ponadto organ ochrony danych stwierdził, że portal nie wymagał stosowania bezpiecznego hasła przy tworzeniu konta, w wyniku czego 3,7 mln kont nie miało wystarczająco bezpiecznego hasła. Ponadto portal przekazywał hasła umożliwiające dostęp do kont w sposób niezaszyfrowany za pośrednictwem poczty elektronicznej. Poza tym portal przechowywał również hasła oraz tajne pytania i odpowiedzi wykorzystywane podczas procesu resetowania haseł przez użytkowników w bazie danych bez szyfrowania. Z tego powodu organ ochrony danych stwierdził, że portal nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link Link | |
1381 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-13 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Osoba fizyczna zainstalowała na swojej posesji trzy kamery monitoringu, które między innymi obejmowały również drogę dojazdową sąsiada. | Link | |
1380 | Norwegia | Datatilsynet | 2022-08-25 | 20 000,00 € | Recover AS | Art. 6 (1) e) RODO | Norweski organ ochrony danych (Datatilsynet) ukarał Recover AS grzywną w wysokości 20 000 euro. Administrator danych przeprowadził kontrolę kredytową osoby, której dane dotyczą, bez żadnej ważnej podstawy prawnej. | Link | |
1379 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-09-01 | 240,00 € | MH VILASECA S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył karę pieniężną na MH VILASECA S.L.. Administrator udostępniał informacji o monitoringu wideo w swoich pomieszczeniach. Pierwotna grzywna w wysokości 400 EUR została zmniejszona do 240 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1378 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-30 | 1 700,00 € | Bazar Pekin | Art. 13 RODO, Art. 30 RODO | Hiszpański organ ochrony danych nałożył na Bazar Pekin karę w wysokości 1 700 euro. Administrator nie dostarczył zawiadomienia z informacją o monitoringu wizyjnym w swojej siedzibie. Ponadto administrator nie prowadził właściwego rejestru czynności przetwarzania. | Link | |
1377 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-08-29 | 1 000,00 € | Alpha Bank Romania SA | Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO | Rumuński organ ochrony danych nałożył na Alpha Bank Romania SA grzywnę w wysokości 1 tys. euro. Bank przypadkowo wysłał dokument do niewłaściwego odbiorcy za pośrednictwem aplikacji WhatsApp. Dokument zawierał dane osobowe czterech osób, których dane dotyczą, takie jak imiona i nazwiska oraz informacje na temat pożyczek i umów. Podczas dochodzenia organ ochrony danych stwierdził, że bank nie wdrożył wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1376 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-28 | 1 200,00 € | DIGITECNIA SOLUTIONS, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na DIGITECNIA SOLUTIONS, S.L.. Osoba fizyczna złożyła skargę do organu ochrony danych z powodu opublikowania przez firmę jej zdjęcia bez jej zgody. Pierwotna grzywna w wysokości 2.000 EUR została zmniejszona do 1.200 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności. | Link | |
1375 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-30 | 3 000,00 € | COLEGIO VILLAEUROPA, S.C.L | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na COLEGIO VILLAEUROPA, S.C.L. Szkoła nie dostarczyła wystarczających informacji na temat monitoringu wideo, zgodnie z wymogami art. 13 RODO. Znak informacyjny nie zawierał ani odniesienia do administratora danych, ani adresu, z którym można się skontaktować w przypadku chęci skorzystania z praw przysługujących podmiotom danych. Pierwotna grzywna w wysokości 5 000 EUR została zmniejszona do 3 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1374 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-25 | 480,00 € | SERVICIOS PROFESIONALES LA PARADA S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na SERVICIOS PROFESIONALES LA PARADA S.L.. Firma miała zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 800 EUR została zmniejszona do 480 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1373 | Irlandia | Data Protection Commission (DPC) | 2022-09-05 | 405 000 000,00 € | Meta Platforms, Inc. | Art. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 24 RODO, Art. 25 (1), (2) RODO, Art. 35 RODO | Irlandzki organ ochrony danych (DPC) nałożył na Meta Platforms, Inc (Instagram) grzywnę w wysokości 405 000 000 EUR. Po przeprowadzeniu dochodzenia organ przekazał projekt decyzji na podstawie art. 60 RODO innym zainteresowanym europejskim organom nadzorczym. W pierwotnym projekcie zaproponowano grzywnę w wysokości 30-50 mln EUR. DPC otrzymała następnie zastrzeżenia od sześciu organów nadzorczych, co doprowadziło do procedury rozstrzygania sporów w Europejskiej Radzie Ochrony Danych (EROD) w Brukseli. W swojej decyzji EROD zwróciła się do DPC o zwiększenie proponowanej grzywny. Dochodzenie DPC wykazało, że na kontach biznesowych na Instagramie osób niepełnoletnich publicznie wyświetlane były ich numery telefonów komórkowych i adresy e-mail. Ponadto ustawienia kont nieletnich użytkowników były domyślnie ustawione na "publiczne", co powodowało, że ich treści w mediach społecznościowych były publicznie widoczne, chyba że zmienili oni ustawienia konta. Naruszenie potencjalnie dotyczy milionów nastolatków. | Link Link | |
1372 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-30 | 2 000,00 € | Sindicato Intersectorial Trabajadores/as Provincia de Alicante | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2 tys. euro na związek Sindicato Intersectorial Trabajadores/as Provincia de Alicante. Związek opublikował protokoły rady zakładowej na swojej tablicy ogłoszeń oraz w grupie WhatsApp. W rezultacie opublikowano odręczne podpisy wszystkich przedstawicieli związku w radzie zakładowej. | Link | |
1371 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-07-07 | 4 000,00 € | E Software Concept SRL | Art. 32 (1) b), (2) RODO, Art. 58 (1) a), e) RODO. | Rumuński organ ochrony danych nałożył na E Software Concept SRL grzywnę w wysokości 4 000 EUR. Firma ta zamieściła na swojej stronie internetowej pewne dokumenty, które były publicznie dostępne. Dokumenty te zawierały między innymi faktury i dokumenty transportowe. Dokumenty te zawierały liczne dane osobowe, takie jak imię, nazwisko, adres nadawcy i odbiorcy, numer telefonu, nazwy użytkowników i hasła oraz adresy e-mail. W trakcie dochodzenia organ ochrony danych stwierdził, że do publicznego ujawnienia doszło w wyniku niewdrożenia przez przedsiębiorstwo odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Organ ochrony danych stwierdził również, że w trakcie dochodzenia przedsiębiorstwo nie zastosowało się do wniosków o udzielenie informacji wystosowanych przez organ ochrony danych. | Link | |
1370 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-08-22 | 10 000,00 € | Enel Energie Muntenia S.A. | Art. 32 RODO | Rumuński organ ochrony danych ukarał Enel Energie Muntenia S.A. grzywną w wysokości 10.000 EUR. Jeden z klientów omyłkowo otrzymał e-mail skierowany do innego klienta, zawierający dokumenty z danymi osobowymi tego drugiego klienta. W trakcie dochodzenia organ ochrony danych stwierdził, że do incydentu doszło z powodu niepodjęcia przez spółkę odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1369 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-06-16 | 70 000,00 € | Unicredit S.p.A. | Art. 12 RODO, Art. 15 RODO | Włoski organ ochrony danych nałożył na Unicredit S.p.A. grzywnę w wysokości 70 000 EUR. Jeden z pracowników złożył skargę do organu ochrony danych, twierdząc, że jego prawo do dostępu do swoich danych osobowych nie było wystarczająco przestrzegane. Przedsiębiorstwo wymagało wypełnienia specjalnego formularza w celu uzyskania dostępu do danych osobowych. W trakcie dochodzenia organ ochrony danych stwierdził, że wymóg wypełnienia formularza nieproporcjonalnie utrudniał korzystanie z prawa dostępu. | Link | |
1368 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-06-09 | 10 000,00 € | Cribis Credit Management s.r.l. | Art. 5 (1) a), c) RODO, Art. 6 RODO | Włoski organ ochrony danych ukarał Cribis Credit Management s.r.l. grzywną w wysokości 10 tys. euro. Firma ta nieumyślnie wysłała e-mail o opóźnionych płatnościach z tytułu abonamentu do szefa podmiotu danych. Dzięki temu szef uzyskał dostęp do danych osobowych swojego pracownika, takich jak imię, nazwisko i informacje o statusie płatności. | Link | |
1367 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-07 | 1 800,00 € | FINCAS ARENYS SL | Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę na FINCAS ARENYS SL. Jedna z osób złożyła skargę do organu ochrony danych. Osoba ta skontaktowała się z firmą zajmującą się obrotem nieruchomościami w celu wynajęcia nieruchomości. Firma zażądała przy tym pewnych dokumentów dotyczących wynajmu, nie informując jednak osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych w ramach procesu wynajmu. Pierwotna grzywna w wysokości 3 000 EUR została zmniejszona do 1 800 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1366 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-12 | 800,00 € | SMART ELECTRIC SOLUTIONS, S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę SMART ELECTRIC SOLUTIONS, S.L. grzywnę w wysokości 800 euro. Firma miała zainstalowane kamery monitoringu wizyjnego, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1365 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-22 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1364 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-22 | 900,00 € | UNONO NET 3.0, S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na UNONO NET 3.0, S.L.. Firma ta przekazała wiadomość e-mail do wielu odbiorców bez użycia funkcji "ukrytej kopii", przez co wszyscy odbiorcy mogli zobaczyć adresy e-mail innych odbiorców. Pierwotna grzywna w wysokości 1500 EUR została zmniejszona do 900 EUR dzięki dobrowolnej zapłacie i uznaniu odpowiedzialności. | Link | |
1363 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-07-19 | 30 000,00 € | DO VALUE GREECE LOANS & CREDITS CLAIM MANAGEMENT S.A. | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 12 (2) RODO | Grecki organ ochrony danych nałożył na DO VALUE GREECE LOANS & CREDITS CLAIM MANAGEMENT S.A. grzywnę w wysokości 30 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z otrzymywaniem od firmy licznych telefonów dotyczących długów, które zostały już uregulowane. Osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu swoich danych i zażądała natychmiastowego zaprzestania połączeń, a także usunięcia jej danych osobowych z bazy danych spółki. W trakcie dochodzenia organ ochrony danych stwierdził, że spółka w sposób niezgodny z prawem utrudniała wykonywanie praw osoby, której dane dotyczą. | Link | |
1362 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-08-03 | 30 000,00 € | Prywatna Poliklinika i Centrum Diagnostyczne Pyle Axiou | Art. 5 (1) f) RODO | Grecki organ ochrony danych nałożył na Prywatną Poliklinikę i Centrum Diagnostyczne Pyle Axiou grzywnę w wysokości 30 000 EUR. Pacjent zwrócił się o dostęp do danych z badania obrazowego. Ze względu na brak dostępności obrazów klinika nie mogła pozytywnie rozpatrzyć wniosku o dostęp. Organ ochrony danych stwierdził, że klinika nie zapewniła odpowiedniego miejsca do przechowywania obrazów i tym samym naruszyła art. 5 (1) f) RODO. | Link | |
1361 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-08-19 | 600 000,00 € | ACCOR SA | Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 21 RODO, Art. 32 RODO, L. 34-5 CPCE | Francuski organ ochrony danych (CNIL) nałożył na spółkę ACCOR SA karę w wysokości 600 000 EUR. Zarówno CNIL jak i inne europejskie organy ochrony danych otrzymały skargi na ACCOR od kilku osób. W trakcie dochodzenia CNIL stwierdziła, że goście hotelowi, którzy dokonali rezerwacji bezpośrednio w hotelu lub na jednej ze stron internetowych grupy hotelowej, stali się automatycznie odbiorcami biuletynu reklamowego, ponieważ pole zgody na otrzymywanie biuletynu było wcześniej zaznaczone. Ponadto CNIL stwierdziła, że z powodu problemów technicznych wiele osób nie było w stanie zrezygnować z otrzymywania promocyjnych wiadomości e-mail. W tym kontekście CNIL stwierdziła, że ACCOR nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w kontekście wiadomości promocyjnych, a tym samym naruszył art. 12 RODO i art. 13 RODO. Ponadto ACCOR nie odpowiedział na wnioski osób, których dane dotyczą, o dostęp do danych osobowych w odpowiednim czasie, a zatem CNIL stwierdził naruszenie art. 12 RODO i art. 15 RODO. Spółka nie przestrzegała również prawa do sprzeciwu przysługującego osobom, których dane dotyczą, ze względu na problemy techniczne. CNIL stwierdziła zatem naruszenie art. 12 RODO i art. 21 RODO. Wreszcie CNIL stwierdziła naruszenie art. 32 RODO, ponieważ ACCOR zezwolił na stosowanie haseł, które nie były wystarczająco bezpieczne. Nakładając grzywnę, CNIL uznała za obciążający fakt, że naruszenia dotyczyły kilku podstawowych zasad ochrony danych osobowych i stanowiły podstawowe naruszenie praw osób, których dane dotyczą, a także liczbę osób, których dane dotyczą. | Link Link | |
1360 | Słowacja | Úrad na ochranu osobných údajov (UOOU) | 2021 | 40 000,00 € | Nieznany | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 28 RODO | Słowacki organ ochrony danych nałożył na administratora danych grzywnę w wysokości 40 000 EUR. Administrator naruszył zasadę rozliczalności (brak dowodu na przeprowadzenie oceny skutków dla ochrony danych) oraz zasadę zgodności z prawem, rzetelności i przejrzystości. Ponadto administrator nie zawarł umowy z podmiotem przetwarzającym. | Link | |
1359 | Słowacja | Úrad na ochranu osobných údajov (UOOU) | 2021 | 100,00 € | Nieznany | Nieznana | Bezprawny monitoring wizyjny na terenie ogródków działkowych. | Link | |
1358 | Słowacja | Úrad na ochranu osobných údajov (UOOU) | 2021 | 500,00 € | Nieznany | Art. 31 RODO | Słowacki organ ochrony danych nałożył na administratora danych karę w wysokości 500 EUR za brak współpracy z organem ochrony danych. | Link | |
1357 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-12 | 1 600,00 € | JOYPAZAR, S.A. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę JOYPAZAR, S.A. grzywnę w wysokości 1.600. Firma ta miała zainstalowane kamery monitoringu, które m.in. obejmowały również publiczny plac zabaw. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1356 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-12 | 6 000,00 € | FREE SUN ENERGY S.L. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na FREE SUN ENERGY S.L.. Klient firmy złożył skargę do organu ochrony danych, ponieważ zamiast swojej faktury otrzymał fakturę innego klienta, zawierającą jego dane osobowe. Pierwotna grzywna w wysokości 10.000 euro została zmniejszona do 6.000 euro z powodu dobrowolnej zapłaty i uznania winy. | Link | |
1355 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-15 | 3 600,00 € | ECOZONO Y CULTURA, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę na ECOZONO Y CULTURA, S.L.. Econzo, za pośrednictwem usługodawcy, gromadził dane od osób, których dane dotyczą, które zgodziły się na ich ujawnienie w celu przeprowadzenia badań. Dane te zostały jednak później wykorzystane do skontaktowania się z tymi osobami w celach reklamowych. Pierwotna grzywna w wysokości 6 000 EUR została zmniejszona do 3 600 EUR w związku z dobrowolną zapłatą i uznaniem winy. | Link | |
1354 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-04-29 | 2 000,00 € | Gmina Santa Ninfa | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył na gminę Santa Ninfa grzywnę w wysokości 2 tys. euro. Gmina opublikowała na swojej stronie internetowej uchwałę, która zawierała dane osobowe, takie jak imię i nazwisko oraz wzmianki o tytule wykonawczym osoby, której dane dotyczą. | Link | |
1353 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-16 | 1 000,00 € | Farpa s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO, Art. 88 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych nałożył na firmę Farpa s.r.l. grzywnę w wysokości 1.000 EUR. Firma zainstalowała systemy nadzoru wideo w prowadzonych przez siebie obiektach socjalnych, jednak ich konkretne zastosowanie nie było dozwolone. Organ ochrony danych stwierdził, że system nadzoru wideo miał inne cechy niż te zatwierdzone i został zainstalowany w innym miejscu niż zatwierdzony. Organ ochrony danych stwierdził również, że firma nie poinformowała w wystarczającym stopniu osób, których dane dotyczą o monitoringu wideo. | Link | |
1352 | Wyspa Man | Information Commissioner | 2022-07-13 | 202 000,00 € | Manx Care Ltd | Art. 5 (1) c), f) RODO, Art. 5 (2) RODO, Art. 24 RODO, Art. 25 RODO, Art. 32 RODO, Art. 34 RODO, Art. 58 RODO | Organ ochrony danych na Wyspie Man nałożył na Manx Care Ltd. grzywnę w wysokości 202 000 EUR. Manx Care wysłał pocztą elektroniczną niezabezpieczony załącznik zawierający poufne informacje zdrowotne pacjenta do ponad 1870 odbiorców. Organ ochrony danych wydał następnie nakaz egzekucji wobec Manx Care. Manx Care nie zastosował się jednak do nakazów organu ochrony danych. W związku z tym organ ochrony danych podjął decyzję o nałożeniu na firmę grzywny. Organ ochrony danych stwierdził przede wszystkim, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ponadto organ ochrony danych stwierdził, że firma naruszyła zasadę minimalizacji danych zgodnie z art. 5 (1) c) RODO poprzez wysyłanie danych pacjenta do osób niezwiązanych z opieką nad pacjentem. Wreszcie organ ochrony danych stwierdził, że firma nie poinformowała osoby, której dane dotyczą, o naruszeniu danych. | Link Link | |
1351 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-16 | 5 000,00 € | RODALI GESTIÓN INMOBILIARIA, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na RODALI GESTIÓN INMOBILIARIA, S.L. grzywnę w wysokości 5.000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ administrator danych nie poinformował jej o przetwarzaniu jej danych osobowych w kontekście zakupu mieszkania. Z tego powodu organ ochrony danych uznał, że administrator naruszył swoje obowiązki informacyjne wynikające z art. 13 RODO. | Link | |
1350 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saara | 2021 | Nieznana | Organizacja polityczna | Nieznana | Pracownik organizacji politycznej wysłał e-mail do 400 osób z otwartej listy dystrybucyjnej. W ten sposób adresy e-mail wszystkich odbiorców były nie tylko widoczne dla innych odbiorców, ale również ujawniły orientację polityczną odbiorców. | Link | |
1349 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saara | 2021 | Nieznana | Restauracja | Art. 24 RODO, Art. 32 RODO | Restauracja wyrzuciła 120 wypełnionych formularzy rejestracji gości do celów śledzenia kontaktów podczas pandemii Covid-19 do publicznie dostępnego śmietnika. W trakcie dochodzenia organ ochrony danych stwierdził również, że już w trakcie działalności restauracja nie wdrożyła odpowiednich zabezpieczeń w celu ochrony danych przetwarzanych podczas procesu rejestracji gości. Na przykład wypełnione formularze rejestracji gości były przechowywane w sąsiednim pomieszczeniu dostępnym dla wszystkich pracowników bez specjalnych środków bezpieczeństwa, takich jak zamykana szafka. | Link | |
1348 | Niemcy | Organ ochrony danych osobowych kraju związkowego Szlezwik-Holsztyn | 2021 | Nieznana | Pracownik banku | Nieznana | Pracownik banku przez okres około roku regularnie uzyskiwał dostęp do danych dotyczących rachunku bankowego klienta banku w celach prywatnych. | Link | |
1347 | Niemcy | Organ ochrony danych osobowych kraju związkowego Szlezwik-Holsztyn | 2021 | Nieznana | Nieznany | Nieznana | Pracownik centrum testowego Covid wykorzystał numer telefonu uczestnika testu do prywatnego kontaktu. | Link | |
1346 | Niemcy | Organ ochrony danych osobowych kraju związkowego Szlezwik-Holsztyn | 2021 | Nieznana | Lekarz | Art. 32 RODO | Lekarz przechowywał dokumentację pacjentów w otwartej wiacie samochodowej, a nie w zamkniętym pomieszczeniu. | Link | |
1345 | Niemcy | Organ ochrony danych osobowych kraju związkowego Szlezwik-Holsztyn | 2021 | Nieznana | Lekarz | Art. 32 RODO | Gabinet lekarski wyrzucał dokumentację pacjentów do pojemnika na makulaturę używanego przez kilka gabinetów. | Link | |
1344 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia | 2021 | Nieznana | Właściciel siłowni | Nieznana | Właściciel siłowni przeprosił za późne jej otwarcie, ale jednocześnie przerzucił odpowiedzialność na wskazanego pracownika. W efekcie doszło do bezprawnego ujawnienia jego danych osobowych. | Link | |
1343 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia | 2021 | Nieznana | Osoba fizyczna | Nieznana | Osoba fizyczna nagrała telefonem komórkowym poufne nagrania wideo podczas rozprawy sądowej. | Link | |
1342 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia | 2021 | Nieznana | Osoba fizyczna | Nieznana | Mieszkaniec budynku mieszkalnego dokonał bezprawnie nagrań wideo, które między innymi obejmowały części wspólnie użytkowanego wewnętrznego dziedzińca. | Link | |
1341 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-12 | 180,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 180 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1340 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia | 2021 | Nieznana | Osoba fizyczna | Art. 5 (1) c) RODO | Osoba fizyczna zainstalowała kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną. | Link | |
1339 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia | 2021 | Kwoty między 100, a 1000 euro | Osoba fizyczna | Art. 6 RODO | Dziewiętnaście grzywien w wysokości od 100 do 1 000 EUR za bezprawne użycie kamer samochodowych. | Link | |
1338 | Niemcy | Organ ochrony danych osobowych kraju związkowego Dolna Saksonia | 2021 | Nieznana | Nieznany | Art. 32 RODO | Obraz z kamer w sklepie został rozpowszechniony bez wiedzy i zamiaru administratora z powodu wadliwej konfiguracji. Dystrybucja dotyczyła nagrań pracowników, jak i klientów. | Link | |
1337 | Niemcy | Organ ochrony danych osobowych kraju związkowego Dolna Saksonia | 2021 | Nieznana | Nieznany | Art. 32 RODO | Monitoring na żywo, który był dostępny przez Internet i ze względu na brak wystarczającej pikselacji lub redakcji pozwalał na rozpoznanie osób. | Link | |
1336 | Niemcy | Organ ochrony danych osobowych kraju związkowego Dolna Saksonia | 2021 | Nieznana | Przedsiębiorstwo | Art. 25 RODO, Art. 32 RODO | Pewna firma przechowywała sprzęt telekomunikacyjny, serwer i technologię backupu w łazience dla gości. Szafa serwerowa, która nie miała nienaruszonego zamka, służyła również jako przewijak. | Link | |
1335 | Niemcy | Organ ochrony danych osobowych kraju związkowego Dolna Saksonia | 2021 | 16 000,00 € | Sklep z elektroniką | Art. 5 (1) c) RODO, Art. 17 RODO, Art. 35 (3) RODO | Organ ochrony danych z Dolnej Saksonii nałożył na sklep z elektroniką grzywnę w wysokości 16.000 euro. Firma miała zainstalowany system monitoringu wizyjnego, który w sposób ciągły rejestrował pracowników, klientów, jak również pomieszczenia i urządzenia techniczne firmy. Monitoring został zainstalowany w celu ochrony klientów, pracowników, zabezpieczenia praw własności firmy oraz ścigania czynów przestępczych i wandalizmu. Organ ochrony danych stwierdził, że nagrywanie pracowników nie było konieczne do zapewnienia celów związanych z monitoringiem wizyjnym i dlatego było nieproporcjonalne. Organ ochrony danych uznał zatem, że administrator naruszył zasadę minimalizacji danych wynikającą z art. 5 (1) c) RODO. Organ ochrony danych stwierdził również, że firma przechowywała nagrania nadmiernie długo, a ponadto nie przeprowadziła oceny skutków dla ochrony danych. | Link | |
1334 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-05 | 9 000,00 € | Prodesspa Decoratius i Pintures , S.L. | Art. 6 RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę Prodesspa Decoratius i Pintures , S.L.. Były pracownik złożył skargę do organu ochrony danych w związku z bezprawnym ujawnieniem przez firmę jego danych agencji informacji kredytowej. Pierwotna grzywna w wysokości 15 000 EUR została zmniejszona do 9 000 EUR z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności. | Link | |
1333 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-03 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1332 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-08 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1331 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-08-09 | 1 000,00 € | Wabag Water Services SRL | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył na SC Wabag Water Services SRL grzywnę w wysokości 1 000 EUR. Pracownik firmy złożył skargę do organu ochrony danych w związku z tym, że pracodawca przetwarzał jego dane osobowe bez jego zgody w celu rejestracji i rezerwacji terminu szczepienia Covid-19. | Link | |
1330 | Dania | Datatilsynet | 2022-08-11 | 6 700,00 € | Gmina Lolland | Art. 32 RODO | Duński organ ochrony danych nałożył na gminę Lolland grzywnę w wysokości 6 700 EUR. Gmina zgłosiła organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Jednemu z pracowników gminy skradziono telefon służbowy. Pracownik wykorzystał telefon do uzyskania dostępu do służbowego konta e-mail, które zawierało informacje o nazwiskach kilku obywateli, numerach ubezpieczenia społecznego i danych dotyczących zdrowia. W trakcie dochodzenia organ ochrony danych ustalił, że telefon nie był chroniony hasłem. Dlatego też możliwy był dostęp do informacji przechowywanych w telefonie. Organ ochrony danych stwierdził, że do zdarzenia doszło z powodu niepodjęcia przez gminę wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Gmina powinna była zadbać przynajmniej o to, aby każdy pracownik zabezpieczył swój telefon komórkowy hasłem. | Link | |
1329 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-08 | 600,00 € | Właściciel restauracji | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela restauracji karę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku właściwego poinformowania o CCTV. | Link | |
1328 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-08-09 | 7 000,00 € | CDI Transport Intern și Internațional SRL | Art. 12 (1) RODO, Art. 58 (1) a), e) RODO | Rumuński organ ochrony danych nałożył na CDI Transport Intern și Internațional SRL grzywnę w wysokości 7 000 EUR. W trakcie dochodzenia organ ochrony danych stwierdził, że na stronie internetowej przedsiębiorstwa nie było informacji o tym, jakie prawa przysługują osobom, których dane dotyczą, zgodnie z RODO, i jak mogą one z tych praw korzystać. Ponadto przedsiębiorstwo nie dostarczyło organowi ochrony danych wymaganych informacji w odpowiednim czasie. | Link | |
1327 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-05-13 | 20 000,00 € | Synlab Med srl | Art. 5 (1) a), c) RODO, Art. 9 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Synlab Med srl grzywnę w wysokości 20 000 EUR. Firma ta przeprowadzała testy Covid-19 dla różnych regionalnych urzędów zdrowia. W związku z tym firma nieumyślnie przesłała wyniki testów 31 osób do niewłaściwego urzędu zdrowia. | Link | |
1326 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-08-01 | 26 000,00 € | Gmina Policoro | Art. 5 (1) a), e) RODO, Art. 5 (2) RODO, Art. 12 RODO, Art. 13 RODO, Art. 24 RODO, Art. 38 (6) RODO | Włoski organ ochrony danych nałożył na gminę Policoro grzywnę w wysokości 26 000 euro. Gmina zainstalowała system nadzoru wideo, nie dostarczając jednak wystarczających informacji na temat nadzoru. Ponadto organ ochrony danych stwierdził, że gmina nie ustaliła okresu przechowywania nagrań z monitoringu wideo i przechowywała je przez zbyt długi czas. Ponadto organ ochrony danych stwierdził, że gmina nie dopełniła obowiązków związanych z wyznaczeniem inspektora ochrony danych. Gmina wyznaczyła swojego pełnomocnika na inspektora ochrony danych, co zdaniem organu ochrony danych stanowiło konflikt interesów. | Link | |
1325 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-01 | 9 600,00 € | LAST LAP, S.L. | Art. 6 RODO, Art. 9 RODO | Hiszpański organ ochrony danych nałożył grzywnę na firmę LAST LAP, S.L.. Last Lap organizuje bieg drogowy San Silvestre. Uczestnicy wyścigu byli zobowiązani do okazania świadectwa szczepienia lub przedstawienia testu PCR lub antygenu przed startem. Podczas dochodzenia organ ochrony danych stwierdził, że firma nie miała skutecznej podstawy prawnej do przetwarzania danych dotyczących zdrowia. Pierwotna grzywna w wysokości 16 000 EUR została zmniejszona do 9 600 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1324 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-29 | 3 000,00 € | ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył na ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. grzywnę w wysokości 3 000 EUR. Pracownik złożył skargę do organu ochrony danych. Pracownik stwierdził, że przy zatrudnieniu otrzymał dostęp do firmowego konta e-mail. Jednakże po uzyskaniu dostępu do konta odkryła, że konto e-mail nie było w rzeczywistości jej kontem, ale raczej kontem e-mail innego pracownika. W ten sposób miała dostęp do wszystkich e-maili wysyłanych i otrzymywanych przez tego drugiego pracownika. W trakcie dochodzenia organ ochrony danych ustalił, że administrator nie skonfigurował odpowiednio konta i tym samym naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1323 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-04 | 2 000,00 € | JAÉN SENTIDO Y COMÚN | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Hiszpański organ ochrony danych nałożył na JAÉN SENTIDO Y COMÚN grzywnę w wysokości 2 000 EUR. Administrator wysłał wiadomość e-mail do 241 osób z otwartej listy dystrybucyjnej, czyniąc adresy e-mail wszystkich odbiorców widocznymi dla pozostałych odbiorców. | Link | |
1322 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-08-04 | 2 000,00 € | Sephora Cosmetics România SA | Art. 21 RODO | Rumuński organ ochrony danych nałożył na Sephora Cosmetics România SA grzywnę w wysokości 2.000 EUR. Osoba, której dane dotyczą, otrzymywała od Sephora promocyjne SMS-y, mimo że kilkakrotnie sprzeciwiła się przetwarzaniu jej danych osobowych w celach marketingowych, a Sephora potwierdziła zakończenie wysyłania SMS-ów. | Link | |
1321 | Norwegia | Datatilsynet | 2022-08-02 | 30 200,00 € | Krokatjønnvegen 15 AS | Art. 6 RODO | Norweski organ ochrony danych (Datatilsynet) ukarał Krokatjønnvegen 15 AS grzywną w wysokości 30 200 EUR. Administrator danych przeprowadził kontrolę kredytową dwóch osób, których dane dotyczą, bez żadnej podstawy umownej. | Link | |
1320 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-02 | 42 000,00 € | Banco Bilbao Vizcaya Argentaria S.L. | Art. 6 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, S.A.. Spółka ta wielokrotnie wysyłała wiadomości reklamowe do osoby, której dane dotyczą, mimo że osoba ta sprzeciwiła się przetwarzaniu jej danych. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 42 000 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności. | Link | |
1319 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-08-01 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1318 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-07-07 | 175 000,00 € | UBEEQO INTERNATIONAL | Art. 5 (1) c), e) RODO, Art. 12 RODO | Francuski organ ochrony danych (CNIL) ukarał firmę UBEEQO INTERNATIONAL grzywną w wysokości 175 tys. euro. Firma wynajmująca pojazdy gromadziła dane geolokalizacyjne na wynajmowanych pojazdach co 500 metrów. Firma stwierdziła, że gromadziła dane między innymi w celu monitorowania stanu floty, zlokalizowania pojazdu w przypadku kradzieży oraz udzielenia pomocy klientom w razie wypadku. Organ ochrony danych stwierdził jednak, że żaden z tych celów nie uzasadnia gromadzenia tak szczegółowych danych geolokalizacyjnych. Z tego powodu organ ochrony danych stwierdził naruszenie zasady minimalizacji danych zgodnie z Art. 5 (1) c) RODO. Organ ochrony danych stwierdził również, że firma przechowywała dane o pojazdach przez zbyt długi okres czasu. Dane były przechowywane przez okres trwania relacji biznesowych z klientem, a następnie przez kolejne trzy lata po zakończeniu wynajmu pojazdu. Ponadto dane osobowe użytkowników, którzy nie byli aktywni przez ponad osiem lat, były nadal przechowywane w bazach danych przedsiębiorstwa. CNIL uznała, że tak długie przechowywanie stanowiło naruszenie art. 5 (1) e) RODO. Wreszcie organ ochrony danych stwierdził, że użytkownicy nie byli odpowiednio informowani podczas procesu rejestracji na portalu firmy, a tym samym firma naruszyła art. 12 RODO. | Link Link | |
1317 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-07-06 | 2 120,00 € | Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego | Art. 33 RODO, Art. 34 RODO | Polski organ ochrony danych nałożył na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego karę w wysokości 2 120 euro. W szpitalu uniwersyteckim doszło do naruszenia danych, w którym pacjent otrzymał od lekarza skierowanie zawierające m.in. dane osobowe (nazwisko, adres itp.) innego pacjenta. Organ ochrony danych stwierdził, że ani lekarz, ani szpital nie poinformowali pacjenta ani organu ochrony danych o naruszeniu danych. | Link Link | |
1316 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-29 | 11 000,00 € | Administracja terytorialna rządu Genui | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył na Administrację Terytorialną Rządu Genui grzywnę w wysokości 11 000 euro. Departament ten opublikował na swojej stronie internetowej plik zawierający tabelę z informacjami na temat prawników dwóch spółek oraz ich dorosłych członków rodzin pozostających w konkubinacie (łącznie około stu osób). W trakcie dochodzenia organ ochrony danych stwierdził, że departament opublikował te informacje bez ważnej podstawy prawnej. | Link | |
1315 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-26 | 800,00 € | EFS MANTENIMIENTO Y SERVICIOS TÉCNICOS, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na EFS MANTENIMIENTO Y SERVICIOS TÉCNICOS, S.L. grzywnę w wysokości 800 EUR. Związek zawodowy złożył skargę do organu ochrony danych, ponieważ przedsiębiorstwo nieuprawnienie podzieliło się z radą zakładową informacjami dotyczącymi jednego z pracowników. Udostępnione informacje spowodowały, że pracownik znalazł się w niekorzystnej sytuacji. Organ ochrony danych uznał to za naruszenie zasad uczciwości i poufności. | Link | |
1314 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-26 | 2 500,00 € | Stowarzyszenie właścicieli domów | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych ukarał stowarzyszenie właścicieli domów grzywną w wysokości 2 500 euro za opublikowanie na swojej stronie internetowej informacji (imię, nazwisko, mieszkania) dotyczących kilku właścicieli. | Link | |
1313 | Niemcy | Organ ochrony danych osobowych kraju związkowego Dolna Saksonia | 2022-07-28 | 900 000,00 € | Hannoversche Volksbank | Art. 6 (1) RODO | Organ ochrony danych z Dolnej Saksonii nałożył na Hannoversche Volksbank karę w wysokości 900 tys. euro. Bank analizował dane aktywnych i byłych klientów bez ich zgody. W tym celu bank przeanalizował cyfrowe zachowania użytkowników i ocenił m.in. zakupy w sklepach z aplikacjami, częstotliwość korzystania z drukarek wyciągów bankowych oraz całkowitą liczbę przelewów w bankowości internetowej w porównaniu z korzystaniem z usług oddziałowych. Dodatkowo wyniki zostały zweryfikowane krzyżowo z agencją kredytową, gdzie zostały dodatkowo uzupełnione. Celem było zidentyfikowanie klientów o zwiększonej skłonności do korzystania z mediów cyfrowych i skierowanie do nich intensywniejszych działań promocyjnych za pośrednictwem elektronicznych kanałów komunikacji. Większość klientów otrzymała informacje z wyprzedzeniem. Organ ochrony danych uznał jednak, że nie zastąpiło to wymaganej zgody. Przy ustalaniu kary wzięto pod uwagę, że bank nie wykorzystał dalej wyników swoich ocen. Ponadto bank współpracował z organem ochrony danych podczas dochodzenia. | Link | |
1312 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-26 | 15 000,00 € | TELEFÓNICA MÓVILES ESPAÑA, S.A.U. | Art. 6 (1) RODO | Były klient otrzymywał e-maile zawierające elektroniczne rachunki nawet po rozwiązaniu umowy ze spółką, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej. | Link | |
1311 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-27 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Wykorzystanie kamery monitoringu, która jednocześnie rejestrowała przestrzeń prywatną sąsiada i przestrzeń publiczną. | Link | |
1310 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2022-06-30 | 1 000,00 € | Przedsiębiorstwo | Art. 5 (1) a) RODO, Art. 12 (1), (7) RODO, Art. 13 RODO | Organ ochrony danych w Luksemburgu nałożył na pewną firmę grzywnę w wysokości 1.000 EUR. Przedsiębiorstwo to zainstalowało system nadzoru wideo, który rejestrował zarówno pracowników, jak i osoby trzecie. W trakcie dochodzenia organ ochrony danych stwierdził, że firma naruszyła swoje obowiązki informacyjne wynikające z art. 12 RODO i art. 13 RODO. | Link | |
1309 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2022-06-30 | 1 000,00 € | Przedsiębiorstwo | Art. 5 (1) a) RODO, Art. 12 (1), (7) RODO, Art. 13 RODO | Organ ochrony danych w Luksemburgu nałożył na pewną firmę grzywnę w wysokości 1.000 EUR. Przedsiębiorstwo to zainstalowało system nadzoru wideo, który rejestrował zarówno pracowników, jak i osoby trzecie. W trakcie dochodzenia organ ochrony danych stwierdził, że firma naruszyła swoje obowiązki informacyjne wynikające z art. 12 RODO i art. 13 RODO. | Link | |
1308 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-22 | 500,00 € | CINCON S.C. | Art. 13 (2) RODO | Hiszpański organ ochrony danych nałożył na CINCON S.C. grzywnę w wysokości 500 EUR. Firma nie podała informacji wymaganych przez art. 13 RODO na formularzu, poprzez który potencjalni klienci mogli uzyskać dostęp do darmowego kursu. | Link | |
1307 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2022-06-30 | 1 400,00 € | Przedsiębiorstwo | Art. 5 (1) e) RODO, Art. 13 RODO | Organ ochrony danych w Luksemburgu (CNPD) nałożył na pewną firmę grzywnę w wysokości 1 400 EUR. Administrator miał zainstalowane czujniki lokalizacji na kilku samochodach w swojej flocie. Miało to na celu m.in. ochronę majątku firmy, optymalne zarządzanie flotą i optymalizację przepływu pracy. Niektóre z danych lokalizacyjnych zebranych przez administratora były przechowywane przez rok. Organ ochrony danych stwierdza, że było to wyraźnie nadmierne i nie było konieczne do celów przetwarzania. Organ ochrony danych uznał to za naruszenie zasady ograniczenia przechowywania. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych dotyczących lokalizacji, a tym samym naruszył swoje obowiązki informacyjne zgodnie z art. 13 RODO. | Link | |
1306 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2022-06-22 | 3 000,00 € | Przedsiębiorstwo | Art. 5 (1) e) RODO, Art. 13 RODO | Organ ochrony danych w Luksemburgu (CNPD) nałożył na pewne przedsiębiorstwo grzywnę w wysokości 3.000 EUR. Przedsiębiorstwo zainstalowało system nadzoru wideo w celu ochrony mienia i personelu firmy. Kamery jednak stale rejestrowały również fragmenty miejsc pracy pracowników. Organ ochrony danych stwierdza, że administrator danych naruszył w ten sposób zasadę minimalizacji danych z art. 5 (1) c) RODO. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, poprzez brak odpowiedniego poinformowania swoich pracowników o nadzorze wideo. | Link | |
1305 | Niemcy | Organ ochrony danych osobowych kraju związkowego Dolna Saksonia | 2022-07-26 | 1 100 000,00 € | Volkswagen | Art. 13 RODO, Art. 28 RODO, Art. 30 RODO, Art. 35 RODO | Organ ochrony danych z Dolnej Saksonii nałożył na Volkswagena karę w wysokości 1,1 mln euro. Firma zainstalowała kamery w pojeździe testowym. Pojazd był wykorzystywany do testowania i szkolenia funkcjonalności systemu wspomagania jazdy w celu zapobiegania wypadkom drogowym. W tym celu za pomocą kamer rejestrowano ruch wokół pojazdu. Volkswagen nie przekazał jednak informacji zgodnie z art. 13 RODO o przetwarzaniu danych przez kamery przymocowane do pojazdu. Organ ochrony danych stwierdził ponadto, że wbrew obowiązkowi wynikającemu z art. 28 RODO, Volkswagen nie zawarł umowy o przetwarzaniu danych z firmą, która realizowała przejazdy. Nie przeprowadzono również oceny skutków w zakresie ochrony danych zgodnie z art. 35 DSGVO, a techniczne i organizacyjne środki ochrony nie zostały przedstawione w wykazie czynności przetwarzania. Volkswagen szeroko współpracował z organem ochrony danych. | Link | |
1304 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-22 | 40 000,00 € | ESVETEL, S.L. | Art. 28 RODO, Art. 48 (1) b) LGT | Hiszpański organ ochrony danych (AEPD) nałożył na ESVETEL, S.L. grzywnę w wysokości 40 000 EUR. Osoba, której dane dotyczą, otrzymała od administratora połączenie reklamowe wykonane w imieniu Vodafone España, S.A.U., mimo że osoba ta była zarejestrowana na liście wykluczenia z reklam Robinsona. | Link | |
1303 | Niemcy | Organ ochrony danych osobowych Hamburga | 2021 | 10 100,00 € | Grupa handlująca samochodami | Nieznana | Organ ochrony danych w Hamburgu nałożył na grupę zajmującą się handlem samochodami grzywnę w wysokości 10.110 euro. Przedsiębiorstwo poinformowało klientów, że powodem restrukturyzacji jest nieobecność pracownika z powodu choroby. Firma poinformowała około 3.000 klientów między innymi o dokładnej dacie wystąpienia niezdolności pracownika do pracy oraz o tym, że sytuacja ta będzie trwała przez czas nieokreślony. Organ ochrony danych stwierdził, że firma nie przedstawiła ważnej podstawy prawnej dla takiego przekazania danych osobowych dotyczących zdrowia, a zatem przekazała te dane niezgodnie z prawem. | Link | |
1302 | Niemcy | Organ ochrony danych osobowych Hamburga | 2021 | 12 500,00 € | Dostawca energii | Nieznana | Organ ochrony danych w Hamburgu nałożył na dostawcę energii grzywnę w wysokości 12.500 euro. Przedsiębiorstwo to dokonało outsourcingu i sprzedaży swojego działu energii cieplnej. Klienci, których dotyczyło przeniesienie, zostali poinformowani o przeniesieniu ich umów na dostawę energii elektrycznej i otrzymali prawo do sprzeciwu. W przypadku zadeklarowanego sprzeciwu, żadne dane osobowe klientów nie powinny zostać przekazane nowej spółce. Jednak pomimo należytego zgłoszenia sprzeciwu przez klientów, ich dane zostały przekazane nowej spółce. | Link | |
1301 | Niemcy | Organ ochrony danych osobowych Hamburga | 2021 | 12 500,00 € | Dostawca energii | Nieznana | Organ ochrony danych w Hamburgu nałożył na dostawcę energii grzywnę w wysokości 12.500 euro. Firma ta dokonała outsourcingu i sprzedaży swojego działu energii cieplnej. Klienci dotknięci przeniesieniem zostali poinformowani o przeniesieniu ich umów na dostawę energii elektrycznej i otrzymali prawo do sprzeciwu. W przypadku zadeklarowanego sprzeciwu, żadne dane osobowe klientów nie powinny zostać przekazane nowej spółce. Jednak pomimo należytego zgłoszenia sprzeciwu przez klientów, ich dane zostały przekazane nowej spółce. | Link | |
1300 | Niemcy | Organ ochrony danych osobowych Hamburga | 2021 | 5 000,00 € | Osoba fizyczna | Art. 5 (1) a) RODO, Art. 6 (1) RODO | Organ ochrony danych w Hamburgu nałożył na osobę fizyczną grzywnę w wysokości 5.000 euro. Osoba ta sfilmowała publicznie wiele młodych kobiet. Niektóre z nagranych kobiet miały najwyraźniej mniej niż 14 lat. W kilku przypadkach osoba ta zbliżała się do filmowanych osób na odległość kilku centymetrów i śledziła je z kamerą przez okres do 38 minut. Podczas przeszukania plecaka policjanci znaleźli kamerę cyfrową i osiem kart pamięci. Na przejętych kartach pamięci znajdowało się łącznie 156 plików wideo. W trakcie dochodzenia organ ochrony danych stwierdził, że dana osoba przetwarzała dane osobowe filmowanych przez siebie młodych kobiet, mimo braku skutecznej zgody. | Link | |
1299 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-22 | 12 000,00 € | Gmina Neapol Korpus Straży Miejskiej | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 88 RODO, Art. 113 Codice della privacy | Włoski organ ochrony danych nałożył na "Comune di Napoli Corpo di Polizia Municipale" grzywnę w wysokości 12 000 EUR. Administrator przesłał pocztą elektroniczną do różnych jednostek administracyjnych listę nazwisk, adresów, numerów podatkowych, danych kontaktowych i terminów badań na obecność Covid-19 pracowników. Administrator powołał się na zgodę udzieloną przez pracowników jako podstawę prawną przetwarzania danych. Organ ochrony danych stwierdził jednak, że administrator nie może powoływać się na zgodę, ponieważ dobrowolna zgoda jest wątpliwa w przypadku relacji pracownik-pracodawca. | Link | |
1298 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 50 000,00 € | Azienda sanitaria universitaria Friuli Occidentale | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 50 000 EUR na zakład opieki zdrowotnej Azienda sanitaria universitaria Friuli Occidentale. Pracownicy zakładu opieki zdrowotnej uzyskali dostęp do danych zdrowotnych pacjentów, mimo że nie byli zaangażowani w leczenie pacjentów i dostęp taki nie był wymagany. W trakcie dochodzenia organ ochrony danych stwierdził, że platforma informatyczna zakładu opieki zdrowotnej umożliwiała każdemu pracownikowi dostęp do danych osobowych pacjentów, nawet jeśli w rzeczywistości nie leczyli oni określonych pacjentów. Ponadto organ ochrony danych stwierdził, że na platformie informatycznej zakładu opieki zdrowotnej nie zainstalowano systemów, które uniemożliwiałyby niewłaściwe wykorzystanie danych osobowych. | Link | |
1297 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 70 000,00 € | Azienda sanitaria universitaria Friuli Centrale | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył grzywnę w wysokości 70 000 EUR na zakład opieki zdrowotnej Azienda sanitaria universitaria Friuli Centrale. Pracownicy zakładu opieki zdrowotnej uzyskali dostęp do danych zdrowotnych pacjentów, mimo że nie byli zaangażowani w leczenie pacjentów i dostęp taki nie był wymagany. W trakcie dochodzenia organ ochrony danych ustalił, że platforma informatyczna zakładu opieki zdrowotnej umożliwiała każdemu pracownikowi dostęp do danych osobowych pacjentów, nawet jeśli w rzeczywistości nie leczyli oni określonych pacjentów. Ponadto organ ochrony danych stwierdził, że na platformie informatycznej zakładu opieki zdrowotnej nie zainstalowano systemów, które uniemożliwiałyby niewłaściwe wykorzystanie danych osobowych. | Link | |
1296 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-12 | 2 000,00 € | Singh Market | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych ukarał właściciela sklepu "Singh Market" grzywną w wysokości 2 tys. euro. Administrator zainstalował w swoim lokalu kamery nadzoru wideo bez odpowiedniego poinformowania osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo. Organ ochrony danych uznał, że administrator naruszył obowiązek informacyjny określony w RODO. | Link | |
1295 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 4 000,00 € | Università Agraria di Nettuno | Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Università Agraria di Nettuno grzywnę w wysokości 4 tys. euro. Były pracownik uniwersytetu złożył skargę do organu ochrony danych w związku z tym, że uniwersytet opublikował dokument, który zawierał jego dane osobowe. Dokument ten ujawniał informacje dotyczące sporu prawnego między osobą, której dane dotyczą, a uniwersytetem. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że wobec braku ważnej podstawy prawnej publikacja była niezgodna z prawem. | Link | |
1294 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 16 000,00 € | Region Toskania | Art. 5 (1) c) RODO, Art. 6 (1) c) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył na region Toskania grzywnę w wysokości 16 000 euro. Region ten opublikował na swojej stronie internetowej dokumenty zawierające informacje o specjalistach z sektora turystycznego, którzy złożyli wnioski o pomoc w nagłych wypadkach w związku z pandemią Covid-19. Dokumenty te zawierały między innymi nazwisko, adres osób, których dane dotyczą, jak również kwotę przyznanej pomocy. | Link | |
1293 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-07-21 | 285 000,00 € | Przedsiębiorstwo telekomunikacyjne | Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODO | Chorwacki organ ochrony danych ukarał grzywną w wysokości 285 tys. euro firmę telekomunikacyjną. W firmie doszło do naruszenia danych. Atakującym udało się uzyskać dostęp do danych około 100 000 osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych ustalił, że do takiego naruszenia przyczyniło się niewdrożenie przez firmę odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w zakresie przetwarzania danych osobowych. Na przykład w systemach przetwarzania brakowało ograniczeń dostępu. Przy ocenie wysokości grzywny wzięto pod uwagę obciążający fakt, że spółka jest jedną z wiodących firm telekomunikacyjnych w Chorwacji, a zatem ze względu na dużą ilość przetwarzanych tam danych należało spodziewać się ryzyka ataku na systemy. Z tego właśnie powodu firma powinna była zwrócić większą uwagę na zapewnienie wystarczających środków bezpieczeństwa. | Link | |
1292 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-07-21 | 4 000,00 € | Salon samochodowy | Art. 27 (1) Zakona o provedbi Opće uredbe o zaštiti podataka | Chorwacki organ ochrony danych nałożył na salon samochodowy grzywnę w wysokości 4 tys. euro. Administrator zainstalował w swojej siedzibie kamery monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. | Link | |
1291 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-03-25 | 6 000,00 € | Convitto Nazionale Statale 'Giordano Bruno' di Maddaloni (internat) | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 2 ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 1000 euro na internat Convitto Nazionale Statale "Giordano Bruno" di Maddaloni (CE). Internat ten opublikował na swojej stronie internetowej dokument zawierający dane osobowe osoby, której dane dotyczą, bez podstawy prawnej. | Link | |
1290 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-12 | 6 000,00 € | Gmina Villabate | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 37 (1) a) RODO, Art. 37 (7) RODO, Art. 38 (6) RODO | Włoski organ ochrony danych nałożył na gminę Villabate grzywnę w wysokości 6 tys. euro. Gmina ujawniła dane osobowe byłego pracownika nieuprawnionym osobom trzecim bez ważnej podstawy prawnej. Organ ochrony danych stwierdził również, że gmina nie wyznaczyła inspektora ochrony danych. | Link | |
1289 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 10 000,00 € | Gmina Afragola | Art. 5 (1) a), c) RODO, Art. 12 (3), (4) RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na gminę Afragola grzywnę w wysokości 10 000 euro. Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ gmina opublikowała jego życiorys z danymi osobowymi na stronie internetowej gminy, mimo że stosunek pracy został zakończony. Ponadto były pracownik złożył wniosek o wyrażenie sprzeciwu wobec ujawnienia jego danych osobowych. Gmina nie odpowiedziała jednak na ten wniosek. | Link | |
1288 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-18 | 56 000,00 € | BANKINTER, S.A. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na BANKINTER, S.A. karę w wysokości 56 000 EUR. Administrator danych nieumyślnie przesłał stronie trzeciej raport dotyczący portfela inwestycyjnego osoby, której dane dotyczą. Administrator twierdzi, że do błędnego wysłania doszło z powodu błędu komputerowego. Z tego powodu organ ochrony danych ustalił, że administrator naruszył zasadę integralności i poufności określoną w art. 5 (1) f) RODO. | Link | |
1287 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-19 | 4 000,00 € | Pracownik księgarni | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpańska urząd ochrony danych osobowych nałożył na pracownika księgarni grzywnę w wysokości 4 tys. euro. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ otrzymała od innej osoby fakturę zawierającą jej dane osobowe. Pracownik nieumyślnie wysłał fakturę do niewłaściwego odbiorcy. | Link | |
1286 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-19 | 2 000,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 2.000 euro. Osoba ta miała zainstalowane w budynku mieszkalnym, w którym mieszka, kamery wideo, które rejestrowały m.in. wspólne przestrzenie wszystkich mieszkańców. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1285 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-19 | 5 000,00 € | Właściciel baru | Art. 5 (1) b) RODO | Hiszpański organ ochrony danych (AEPD) ukarał właściciela baru grzywną w wysokości 5 tys. euro. Właściciel bezprawnie udostępniał nagrania z telewizji przemysłowej w barze za pośrednictwem WhatsApp i innych platform mediów społecznościowych. | Link | |
1284 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-19 | 600,00 € | Osoba fizyczna | Art. 58 (2) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 600 EUR. Osoba ta nie wdrożyła w odpowiednim czasie środków wielokrotnie nakazywanych przez organ ochrony danych. | Link | |
1283 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-13 | 132 000,00 € | DKV Seguros y Reaseguros, S.A.E. | Art. 5 (1) f) RODO, Art. 32 RODO, Art. 33 RODO | Hiszpański organ ochrony danych nałożył grzywnę na DKV Seguros y Reaseguros, S.A.E.. Osoba fizyczna złożyła skargę do organu ochrony danych po otrzymaniu od administratora wielu e-maili zawierających informacje od nieznanej osoby. Administrator wysłał 51 e-maili z zaświadczeniami lekarskimi zawierającymi imiona, nazwiska i dane dotyczące badań medycznych osób, których dane dotyczą, do niewłaściwego odbiorcy. Skarżący kilkakrotnie ostrzegał administratora o błędnej korespondencji, ale administrator nie zareagował, dopóki nie dowiedział się o skardze do organu ochrony danych. Administrator nie zgłosił naruszenia ochrony danych organowi ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa ochrony danych odpowiedniego do ryzyka. Pierwotna grzywna w wysokości 220 000 EUR została zmniejszona do 132 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności. | Link | |
1282 | Niemcy | Organ ochrony danych osobowych Hamburga | 2021 | Kara sześcioocyfrowa (dokładnia kwota nieznana) | Przedsiębiorstwo | Art. 32 (1) RODO | Organ ochrony danych z Hamburga nałożył na hamburską firmę działającą w sektorze opieki zdrowotnej grzywnę w wysokości sześciocyfrowej. Firma ta nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego do ryzyka poziomu ochrony danych przy wysyłaniu listów lekarskich. W rezultacie listy lekarskie trafiały do osoby, która choć wykonywała zawód lekarza, nie była lekarzem prowadzącym dalsze leczenie poszkodowanych pacjentów. Zamiast tego listy były przeznaczone dla lekarza ogólnego o tym samym nazwisku co odbiorca. Spółka została w przeszłości kilkakrotnie poinformowana przez nieuprawnionego odbiorcę o nieprawidłowej wysyłce. Niemniej jednak nie podjęła ona środków organizacyjnych i technicznych w celu zapewnienia, że takie przypadki nie będą się powtarzać. Przy ustalaniu wysokości grzywny organ ochrony danych wziął pod uwagę fakt, że przetwarzane dane dotyczyły zdrowia, a takie dane są szczególnie wrażliwe. | Link | |
1281 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Nieznana | Wydział Policji | § 32 Absatz 1 BbgDSG | Funkcjonariusz policji uzyskał bezprawnie dostęp do danych w policyjnej bazie danych. Z tego powodu organ ochrony danych Brandenburgii nałożył grzywnę za naruszenie § 32 (1) BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do adaptowania RODO. | Link | |
1280 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Nieznana | Wydział Policji | § 32 Absatz 1 BbgDSG | Funkcjonariusz policji podczas przypadkowego spotkania bezprawnie ujawnił matce sprawcy dane osobowe dotyczące zdarzenia polegającego na prowadzeniu pojazdu pod wpływem alkoholu. Sądził, że matka, jako jego pracodawca, może zapobiec ponownemu popełnieniu przestępstwa poprzez odebranie samochodu sprawcy. Matka stanowi jednak nieuprawnioną osobę trzecią, co oznacza, że policjant nie miał prawa ujawnić tych informacji. Z tego powodu organ ochrony danych Brandenburgii nałożył grzywnę za naruszenie § 32 (1) BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do adaptacji RODO. | Link | |
1279 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Nieznana | Wydział Policji | § 32 Absatz 1 BbgDSG | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celu przeprowadzenia prywatnego dochodzenia. Policjant zapytał o proces dochodzenia przyjaciela na tle rozprawy sądowej. Za pośrednictwem WhatsApp podzielił się informacjami, które poznał dzięki nieuprawnionemu pobieraniu danych. Z tego powodu organ ochrony danych w Brandenburgii nałożył grzywnę za naruszenie § 32 (1) BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do adaptowaniaRODO. | Link | |
1278 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-01-27 | 10 000,00 € | Miasto Rzym | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacy | Włoski organ ochrony danych nałożył na miasto Rzym grzywnę w wysokości 10 000 euro. Miasto opublikowało na swojej stronie internetowej dokument stwierdzający, że pewna matka nie uiściła opłat za stołówkę. Dokument ten zawierał dane osobowe matki i jej małoletniego dziecka. Miasto stwierdziło, że wobec braku stałego adresu matki, na który można by wysłać zawiadomienie, opublikowało dokument w celu powiadomienia bezdomnej matki o zadłużeniu. Organ ochrony danych stwierdził jednak, że nie można tego uznać za wystarczającą podstawę prawną do przetwarzania danych osobowych, a tym samym miasto bezprawnie przetwarzało te dane. | Link | |
1277 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Kara czterocyfrowa (dokładnia kwota nieznana) | Lekarz | Art. 6 RODO | Organ ochrony danych w Brandenburgii nałożył czterocyfrową karę na lekarza psychoterapii dzieci i młodzieży. Lekarz założył grupę Whatsgroup z 230 uczestnikami, aby poinformować o swoim nowym adresie gabinetu. Matka byłego nieletniego pacjenta złożyła w związku z tym skargę do organu ochrony danych, ponieważ lekarz nie uzyskał zgody na utworzenie grupy. Wszystkim członkom grupy ujawniono numery telefonów innych członków. W niektórych przypadkach członkowie grupy byli w stanie wyciągnąć wnioski, że dzieci ze znanych im rodzin były lub są w trakcie leczenia u lekarza. Z tego powodu organ ochrony danych ustalił, że lekarz bezprawnie przetwarzał dane członków grupy WhatsApp ze względu na brak uzyskania zgody. | Link | |
1276 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Kara trzycyfrowa (dokładnia kwota nieznana) | Osoba fizyczna | Art. 6 RODO | Organ ochrony danych w Brandenburgii nałożył na pracownika firmy trzycyfrową grzywnę. Pracownik ten bez upoważnienia przesyłał na swój prywatny adres e-mail dokumenty aplikacyjne otrzymane przez pracodawcę z jego służbowego adresu e-mail, aby uzyskać sugestie dotyczące wyglądu własnych aplikacji. Wcześniej nie dokonał anonimizacji życiorysów, więc nadal zawierały one wszystkie dane osobowe i zawodowe kandydatów. Ponieważ przesłanie dokumentów aplikacyjnych na jego prywatny adres e-mail nie należało do jego obowiązków służbowych, organ ochrony danych uznał, że przekazanie ich było niezgodne z prawem. | Link | |
1275 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Kara trzycyfrowa (dokładnia kwota nieznana) | Osoba fizyczna | Art. 6 RODO | Organ ochrony danych z Brandenburgii nałożył na pracownika firmy trzycyfrową grzywnę. Osoba ta przesłała ze swojego służbowego komputera na swój prywatny adres e-mail arkusz kalkulacyjny Excel z danymi 56 pracowników, mimo że nie było to konieczne dla jej działalności służbowej. Z tego powodu organ ochrony danych uznał, że pracownica bezprawnie przekazała dane innych pracowników. Arkusz kalkulacyjny zawierał, oprócz pełnych nazwisk pracowników, zestawienie wykorzystanych i pozostałych dni urlopowych, naliczonych dni chorobowych, dane dotyczące wynagrodzeń, przepracowanych nadgodzin i składek na ubezpieczenie społeczne. | Link | |
1274 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-22 | 7 000,00 € | Azienda Socio Sanitaria Territoriale Dei Sette Laghi | Art. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 tys. euro na zakład opieki zdrowotnej Azienda Socio Sanitaria Territoriale Dei Sette Laghi. Pacjent omyłkowo otrzymał we własnych aktach dokumentację medyczną i kliniczną od innego pacjenta. | Link | |
1273 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 5 000,00 € | Cypryjska Federacja Judo | Art. 31 RODO | Cypryjski organ ochrony danych nałożył grzywnę na Cypryjską Federację Judo. Ojciec jednego z członków złożył skargę do organu ochrony danych, ponieważ trener judo jego nieletniego syna opublikował materiał fotograficzny i audiowizualny na platformie mediów społecznościowych bez jego uprzedniej zgody. W trakcie dochodzenia trener nie współpracował wystarczająco z organem ochrony danych, który w związku z tym nałożył grzywnę w wysokości 5 000 EUR za naruszenie art. 31 RODO. | Link Link | |
1272 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-01 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 300 euro za nieuprawnioną instalację kamery monitoringu na jej posesji. Kamery rejestrowały przestrzeń publiczną i sąsiednią nieruchomość. AEPD uznał zatem, że taki nadzór wideo stanowił naruszenie zasady minimalizacji danych. | Link | |
1271 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 2 000,00 € | Sklep "Turkish City" | Art. 13 RODO | Włoski organ ochrony danych ukarał właściciela sklepu "Turkish City" grzywną w wysokości 2 tys. euro. Administrator zainstalował w swoim lokalu kamery monitoringu wizyjnego, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny. Organ ochrony danych uznał, że administrator naruszył obowiązek informacyjny określony w RODO. | Link | |
1270 | Dania | Datatilsynet | 2022-07-14 | 67 200,00 € | SIRIUS (kancelaria prawna) | Art. 32 RODO | Duński organ ochrony danych nałożył na kancelarię prawną SIRIUS karę w wysokości 67 200 euro. Kancelaria ucierpiała w wyniku cyberataku, w którym hakerzy uzyskali dostęp do serwerów kancelarii i zaszyfrowali je. W ten sposób uzyskali dostęp do informacji o klientach i partnerach biznesowych kancelarii. W trakcie dochodzenia organ ochrony danych stwierdził, że kancelaria nie posiadała podstawowych środków bezpieczeństwa, co zwiększało ryzyko nieuprawnionego dostępu do danych klientów. Systemy kancelarii nie zawierały na przykład wystarczających środków weryfikacji, takich jak wieloskładnikowe uwierzytelnianie. | Link | |
1269 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-07-06 | 12 450,00 € | Główny Geodeta Kraju | Art. 33 (1) RODO, Art. 34 (1) RODO | Polski organ ochrony danych nałożył na Głównego Geodety Kraju karę w wysokości 12 450 euro. W Głównym Urzędzie Geodezji i Kartografii doszło do naruszenia ochrony danych, w wyniku którego na stronie internetowej instytutu przez ponad 48 godzin widoczne były liczne numery ksiąg wieczystych. Numer księgi wieczystej pozwala ustalić szereg danych właścicieli, w tym ich imiona, nazwiska, imiona rodziców i adres nieruchomości. Główny Urząd Geodezji i Kartografii nie zgłosił naruszenia do organu ochrony danych, w związku z czym organ o incydencie dowiedział się z doniesień medialnych. Główny Urząd Geodezji i Kartografii nie poinformował również o tym zdarzeniu osób, których dane dotyczą. Z tego powodu organ ochrony danych uznał, że administrator naruszył art. 33 ust. 1 RODO i art. 34 ust. 1 RODO. | Link | |
1268 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-07-13 | 20 000 000,00 € | Clearview Al Inc. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 15 RODO, Art. 27 RODO | Grecki organ ochrony danych nałożył na Clearview AI Inc. grzywnę w wysokości 20 000 000 EUR. Organizacja non-profit "Homos Digitalis" złożyła skargę do organu ochrony danych w imieniu osoby, której dane dotyczą. Firma posiada bazę danych zawierającą ponad 20 mld obrazów twarzy (w tym obrazów mieszkańców i obywateli Grecji) z całego świata. Dane są gromadzone online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych pobranych ze zdjęć. Profile osób fizycznych mogą być wzbogacone o informacje związane z tymi obrazami, takie jak znaczniki obrazu i geolokalizacja. W trakcie dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych przedsiębiorstwa były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że firma nie zapewniła osobie, której dane dotyczą, dostępu do jej danych osobowych, naruszając tym samym art. 15 RODO. Ponadto Cleaview naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. | Link | |
1267 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 1 500,00 € | Lekarz | Art. 31 RODO | Cypryjski organ ochrony danych nałożył na lekarza grzywnę w wysokości 1.500 EUR. Organ ochrony danych prowadził przeciwko lekarzowi dochodzenie w sprawie nielegalnego korzystania z systemu nadzoru wideo. Do celów dochodzeniowych organ ochrony danych zażądał od lekarza informacji, których ten nie dostarczył. Z tego powodu organ ochrony danych uznał, że lekarz naruszył art. 31 RODO ze względu na brak współpracy z organem ochrony danych. | Link Link | |
1266 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022-02-04 | 10 000,00 € | Εκδοτικού Οίκου Δίας | Art. 5 RODO, Art. 6 RODO | Cypryjski organ ochrony danych nałożył na wydawcę Εκδοτικού Οίκου Δίας grzywnę w wysokości 10 000 EUR. Osoba publiczna złożyła skargę do organu ochrony danych. Wydawca opublikował na stronie internetowej nieprawidłowe informacje o sytuacji finansowej osoby, której dane dotyczą. W toku postępowania wyjaśniającego organ ochrony danych, rozważając prawo wydawcy do swobody wypowiedzi oraz prawo osoby, której dane dotyczą, do prywatności i ochrony danych osobowych stwierdził, że wydawca bezprawnie przetwarzał dane osoby, której dane dotyczą. | Link | |
1265 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022 | 2 000,00 € | Rada Gminy Oroklini | Art. 31 RODO | Cypryjski organ ochrony danych nałożył na radę gminy Oroklini grzywnę w wysokości 2 tys. euro za brak należytej współpracy z organem ochrony danych podczas dochodzenia. | Link Link | |
1264 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-12 | 20 000,00 € | Bazar di Hu Xiaoyan | Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 20 000 euro na firmę "Bazar di Hu Xiaoyan". Administrator obsługiwał kamery nadzoru wideo na swoim terenie bez wymaganego zezwolenia. Ponadto organ ochrony danych stwierdził, że brakowało znaków informacyjnych dotyczących przetwarzania danych osobowych przez kamery. | Link | |
1263 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-06-23 | 1 000 000,00 € | TotalEnergies Electricité et Gaz France | Art. 14 RODO, Art. 15 RODO, Art. 21 RODO | Francuski organ ochrony danych nałożył na TotalEnergies Electricité et Gaz France grzywnę w wysokości 1 000 000 EUR. W ramach prowadzonego dochodzenia organ ochrony danych stwierdził, że administrator danych naruszył swoje obowiązki informacyjne wynikające z art. 14 RODO poprzez nieprzekazanie osobom, których dane dotyczą, wystarczających informacji podczas kontaktu telefonicznego na temat przetwarzania ich danych osobowych do celów reklamowych. Ponadto firma nie zastosowała się do wniosków osób, których dane dotyczą, o wyrażenie sprzeciwu wobec przetwarzania ich danych osobowych w celach reklamowych. Ponadto administrator nie odpowiadał na wnioski osób, których dane dotyczą, w odpowiednim czasie, wbrew obowiązkowi wynikającemu z art. 12 RODO. | Link Link | |
1262 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-06 | 3 000,00 € | ASOCIACIÓN DE AFICIONADOS Y PEQUEÑOS ACCIONISTAS UNIDAD HERCULANA | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.500 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Na grzywnę składa się 300 euro za naruszenie art. 5 (1) c) RODO oraz 300 EUR za naruszenie art. 13 RODO. | Link | |
1261 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-05 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.500 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Na grzywnę składa się 300 euro za naruszenie art. 5 (1) c) RODO oraz 300 EUR za naruszenie art. 13 RODO. | Link | |
1260 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-06 | 56 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że nieuprawnione osoby trzecie uzyskały dostęp do jej konta w Vodafone i zawarły nową umowę w swoim imieniu, a także zakupiły iPhone'a 12. Organ ochrony danych zauważa, że administrator nie sprawdził odpowiednio, czy umowy zostały legalnie i rzeczywiście zawarte przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę. | Link | |
1259 | Norwegia | Datatilsynet | 2022-03-04 | 195 000,00 € | Parlament norweski | Art. 5 ust. 1 lit. f) RODO, art. 32 ust. 1 lit. b), d) RODO | Norweski organ ochrony danych ukarał parlament norweski grzywną w wysokości 195 tys. euro. W parlamencie doszło do naruszenia danych, w wyniku którego nieupoważnione osoby uzyskały dostęp do kont poczty elektronicznej członków parlamentu i parlamentarnego personelu administracyjnego. Napastnikom udało się wyłudzić dane, w tym dane osobowe dotyczące kont bankowych, daty urodzenia i dane dotyczące zdrowia. W trakcie dochodzenia organ ochrony danych stwierdził, że parlament nie wprowadził wystarczających mechanizmów bezpieczeństwa, takich jak dwuskładnikowe uwierzytelnianie, mimo że analiza ryzyka przeprowadzona w 2020 r. wykazała, że stanowi to wysokie ryzyko dla prywatności. Z tego powodu organ ochrony danych stwierdził, że administracja parlamentarna nie podjęła odpowiednich środków technicznych i organizacyjnych w celu osiągnięcia wystarczającego poziomu bezpieczeństwa. | Link Link | |
1258 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 100 000,00 € | Intesa Sanpaolo S.p.A | Art. 5 (1) a), f) RODO, Art. 6 RODO | Włoski organ ochrony danych nałożył na Intesa Sanpaolo S.p.A. grzywnę w wysokości 100 000 euro. Bank bezprawnie ujawnił dane osoby, której dane dotyczą, nieupoważnionym osobom trzecim (ojcu osoby, której dane dotyczą). Ojciec osoby, której dane dotyczą, były pracownik banku, był upoważniony do dostępu do danych bankowych swojej córki do czasu osiągnięcia przez nią pełnoletności. Ojciec zażądał jednak dostępu do danych swojej córki, która w międzyczasie osiągnęła już pełnoletność. Pracownik banku podejrzewał, że ojciec nadal posiada upoważnienie i z tego powodu przekazał dane córki. | Link | |
1257 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-26 | 46 000,00 € | Azienda Sanitaria Locale Roma | Art. 5 (1) c) RODO, Art. 6 (1) c), d) RODO, Art. 6 (2), (3) RODO, Art. 9 (1), (2), (4) RODO, Art. 2-ter (1), (2) Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski organ ochrony danych ukarał Azienda Sanitaria Locale Roma grzywną w wysokości 46 000 euro. Zakład opieki zdrowotnej opublikował na swojej stronie internetowej nazwiska i informacje o stanie zdrowia 1337 pacjentów. W większości przypadków chodziło o dokumentację zdrowotną osób, których dane dotyczą, w tym dokumenty medyczne, oceny niepełnosprawności, testy, sprawozdania techniczne itp. W tym kontekście organ ochrony danych stwierdził, że placówka opieki zdrowotnej przetwarzała dane niezgodnie z prawem, a także naruszyła zasadę minimalizacji danych. | Link | |
1256 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-06-20 | 2 000,00 € | WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ | Art. 15 RODO | Grecki organ ochrony danych ukarał WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ grzywną w wysokości 2 000 EUR. Klient przedsiębiorstwa wysłał e-mail z prośbą o dostęp do materiału filmowego zarejestrowanego przez kamery sklepu, na którym się pojawił. Podmiot danych nigdy nie otrzymał odpowiedzi na ten wniosek. Dopiero gdy organ poprosił o odpowiedź, administrator danych odpowiedział, że wniosek osoby, której dane dotyczą, nie może zostać spełniony, ponieważ nagrany materiał został usunięty. Organ ochrony danych uznał to za naruszenie art. 15 RODO. | Link | |
1255 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-06-24 | 2 000,00 € | Kandydat do wyborów parlamentarnych | Art. 12 RODO, art. 11 ustawy 3471/2006 | Grecki organ ochrony danych nałożył na kandydata w wyborach parlamentarnych grzywnę w wysokości 2 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymała od polityka niezamówioną reklamę wyborczą w formie wiadomości SMS. Osoba, której dane dotyczą, podała politykowi, który przed wyborami był ministrem, swoje dane kontaktowe, ale nie w celu reklamy wyborczej. Polityk przetwarzał zatem dane w celu innym niż uzgodniony, a osoba, której dane dotyczą, nie wyraziła na to zgody ani nie została o tym poinformowana. Osoba, której dane dotyczą, zażądała zatem usunięcia swoich danych oraz zaprzestania wysyłania SMS-ów. Polityka nie zastosowała się jednak do tego żądania i SMS-y były nadal wysyłane. | Link | |
1254 | Finlandia | Tietosuojavaltuutetun Toimisto | 2022-05-09 | 85 000,00 € | Otavamedia Oy | art. 5 ust. 1 lit. c) RODO, art. 12 ust. 1, 2, 3, 4, 6 RODO, art. 15 RODO, art. 17 RODO, art. 25 RODO | Fiński organ ochrony danych nałożył na Otavamedia Oy grzywnę w wysokości 85 000 EUR. W latach 2018-2021 organ ochrony danych otrzymał jedenaście skarg dotyczących Otavamedia. Mianowicie, skargi dotyczyły przede wszystkim braku odpowiedzi na zapytania od osób, których dane dotyczą. Otavamedia wyjaśniła, że niektóre wnioski o ochronę prywatności nie zostały zrealizowane z powodu problemu technicznego z zarządzaniem pocztą elektroniczną. Podczas tego incydentu wiadomości otrzymane na skrzynkę mailową z zapytaniem o prywatność nie były przekazywane do przedstawicieli obsługi klienta. Sytuacja została odkryta dopiero po siedmiu miesiącach. W tym kontekście organ ochrony danych zauważył, że Otovamia powinna była przetestować nowy system poczty elektronicznej przed jego użyciem, aby móc zagwarantować odpowiedź na wnioski i prawa osób, których dane dotyczą. Analogiczne wnioski były możliwe, ale formularz wniosku musiał być podpisany przez osoby, których dane dotyczą, do celów identyfikacji. Otavamedia nie przetwarzała jednak danych z podpisu w żadnym innym kontekście, więc podpis nie mógł być nawet sprawdzony krzyżowo. Organ ochrony danych stwierdził, że Otavamedia gromadziła w ten sposób niepotrzebnie dużą ilość danych do celów identyfikacji i utrudniała wykonywanie praw osób, których dane dotyczą, poprzez wymóg składania podpisów. | Link Link | |
1253 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-24 | 42 000,00 € | Alquiler Seguro SA | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na Alquiler Seguro SA grzywnę w wysokości 42 000 euro. Spółka ta zamieściła ogłoszenie o pracę, na które zgłosiła się osoba, której dane dotyczą. W ramach procesu ubiegania się o pracę spółka zwróciła się do agencji kredytowej o informacje na temat zdolności kredytowej osoby, której dane dotyczą. Jednakże osoba zainteresowana nigdy nie wyraziła zgody na takie badanie jej zdolności kredytowej przez Alquiler Seguro, ani nie została o tym poinformowana. Z tego powodu organ ochrony danych uznał, że Alquiler Seguro przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej, a tym samym naruszył art. 6 (1) RODO. | Link | |
1252 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-07-01 | 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 500 euro za nieuprawnioną instalację kamery monitoringu na jej posesji. Kamery rejestrowały przestrzeń publiczną i sąsiednią nieruchomość. AEPD uznał zatem, że taki nadzór wideo stanowił naruszenie zasady minimalizacji danych. | Link | |
1251 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-06-29 | 3 000,00 € | Psycholog dziecięcy | Art. 31 RODO | Grecki organ ochrony danych ukarał psychologa dziecięcego grzywną w wysokości 3 tys. euro. Psycholog nie współpracował należycie z organem ochrony danych podczas dochodzenia. | Link | |
1250 | Wielka Brytania | Information Commissioner (ICO) | 2022-06-09 | 91 000,00 € | Tavistock & Portman NHS Foundation Trust | Art. 5 (1) f) RODO, Art. 32 RODO | Brytyjski organ ochrony danych (ICO) nałożył na Tavistock and Portman NHS Foundation Trust grzywnę w wysokości 91 000 euro. Tavistock and Portman NHS Foundation Trust to specjalistyczny trust zajmujący się zdrowiem psychicznym, zlokalizowany w Londynie. Na początku września 2019 r. trust chciał przeprowadzić konkurs, w którym prosił pacjentów kliniki dla dorosłych zajmującej się identyfikacją płci o dostarczenie prac plastycznych, które miały ozdobić odnowiony budynek kliniki. W tym celu nieumyślnie wysłano dwa e-maile z otwartą listą dystrybucyjną (jeden do 912 odbiorców, a drugi do 869 odbiorców). Z treści maila wynikało, że wszyscy odbiorcy byli pacjentami kliniki. Trust natychmiast rozpoznał błąd i bezskutecznie próbował wycofać maile. W ramach swojego dochodzenia ICO ustaliła, że trust nie posiadał żadnych środków technicznych lub organizacyjnych, aby zapobiec lub ograniczyć ten wysoce przewidywalny błąd ludzki. ICO oceniła szkodę dla dotkniętych osób jako wysoką, biorąc pod uwagę, że informacje o relacjach dotkniętych osób z kliniką tożsamości płciowej są bardzo wrażliwymi danymi osobowymi. Ze względu na natychmiastowe wdrożenie środków bezpieczeństwa i szeroką współpracę z ICO, grzywna została zmniejszona z 910 000 EUR do 91 00 EUR. | Link Link | |
1249 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-28 | 3 000,00 € | FLY FUT, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 3 000 EUR na firmę FLY FUT, S.L., specjalizującą się w filmowaniu dronem meczów piłkarskich. Ojciec złożył skargę do organu ochrony danych, ponieważ firma bez jego zgody filmowała jego nieletnią córkę grającą w piłkę podczas meczu w lokalnym klubie. Z tego powodu organ ochrony danych uznał, że administrator przetwarzał dane córki bez ważnej podstawy prawnej. | Link | |
1248 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-06-30 | 2 000,00 € | Continental Automotive Romania SRL | Art. 24 RODO, Art. 32 (1) d) RODO. | Rumuński organ ochrony danych nałożył na Continental Automotive Romania SRL grzywnę w wysokości 2 000 EUR. Administrator danych zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Administrator odkrył na swoim terenie 135 nieautoryzowanych i niewłaściwie skonfigurowanych kamer monitorujących, które między innymi rejestrowały obrazy pracowników w obszarze produkcyjnym. Kamery te były podłączone do nieoficjalnych i niezabezpieczonych systemów kamer. Z tego powodu organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych pracowników. | Link | |
1247 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-23 | 30 000,00 € | RADIO TELEVISION MADRID, S.A. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę na RADIO TELEVISION MADRID, S.A.. Kilka mediów, w tym administrator, opublikowało na swoich stronach internetowych oraz na Twitterze nagranie audio zeznań wielokrotnej ofiary gwałtu w sądzie, aby poinformować o sprawie. Sprawa wzbudziła duże zainteresowanie mediów. W trakcie dochodzenia organ ochrony danych stwierdził, że prawo ofiary gwałtu do prywatności przeważa nad wolnością informacji przysługującą administratorowi danych. Nagrania audio ofiary nie wniosły żadnej istotnej wartości do sprawozdania, a raczej poważnie naruszyły jej prywatność. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych. Pierwotna grzywna w wysokości 50 000 EUR została zmniejszona do 30 000 EUR ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
1246 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-23 | 30 000,00 € | CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył grzywnę na CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A. Kilka mediów, w tym administrator, opublikowało na swoich stronach internetowych, a także na Twitterze, nagranie audio zeznań wielokrotnej ofiary gwałtu w sądzie, aby poinformować o sprawie. Sprawa wzbudziła duże zainteresowanie mediów. W trakcie dochodzenia organ ochrony danych stwierdził, że prawo ofiary gwałtu do prywatności przeważa nad wolnością informacji przysługującą administratorowi danych. Nagrania audio ofiary nie wniosły żadnej istotnej wartości do sprawozdania, a raczej poważnie naruszyły jej prywatność. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych. Pierwotna grzywna w wysokości 50 000 EUR została zmniejszona do 30 000 EUR ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
1245 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-28 | 1 000,00 € | Przedsiębiorstwo | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na pewną firmę grzywnę w wysokości 1000 euro. Firma ta żądała od klientów różnych danych osobowych w celu rezerwacji wizyt. Organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. | Link | |
1244 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2022-02-08 | 634 000,00 € | Budapest Bank Zrt. | Art. 5 (1) a), b) RODO, Art. 6 (1), (4) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 (1), (2) RODO, Art. 24 (1) RODO, Art. 25 (1), (2) RODO | Węgierski organ ochrony danych (NAIH) nałożył na Budapest Bank Zrt. karę 634 000 euro. NAIH informuje, że bank używał rozwiązania programowego opartego na sztucznej inteligencji do automatyzacji oceny stanu emocjonalnego klientów. System oceny mowy określał, którzy klienci wymagali odwołania na podstawie nastroju klienta. Bank obsługiwał aplikację, aby zapobiec reklamacjom i zatrzymać klientów. Bank nie poinformował osób, których dane dotyczą, że przetwarzanie ich danych służy m.in. do celów utrzymania klientów, co oznacza, że klienci nie mieli możliwości wniesienia sprzeciwu wobec przetwarzania. W rezultacie nie zagwarantowano praw osób, których dane dotyczą, w zakresie odpowiednich informacji i prawa do sprzeciwu. Organ ochrony danych stwierdził również, że uzasadniony interes banku jako podstawa prawna przetwarzania danych osobowych nie został wystarczająco uzasadniony, ponieważ bank nie zbadał w wystarczającym stopniu interesów osób, których dane dotyczą. Bank przetwarzał zatem dane bez ważnej podstawy prawnej. | Link | |
1243 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-05-31 | 2 100,00 € | Stołeczny Ośrodek dla Osób Nietrzeźwych | Art. 5 (1) a) RODO, Art. 6 RODO | Polski organ ochrony danych nałożył grzywnę w wysokości 2.100 EUR na "Stołeczny Ośrodek dla Osób Nietrzeźwych", ośrodek dla osób cierpiących na alkoholizm. W trakcie dochodzenia organ ochrony danych ustalił, że w ośrodku zainstalowane były kamery monitoringu. System monitoringu rejestrował zarówno obraz, jak i dźwięk mieszkańców. Placówka uzasadniała system nadzoru wideo celami związanymi z bezpieczeństwem i zdrowiem osób z problemem alkoholowym. Organ ochrony danych stwierdził jednak, że cele te nie stanowiły wystarczającej podstawy prawnej i że ośrodek bezprawnie przetwarzał dane osobowe pensjonariuszy. | Link Link | |
1242 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-05-22 | 3 000,00 € | Zito Auto di Gianfranco Zito | Art. 5 (1) a), c) RODO, Art. 114 Codice della privacy | Włoski organ ochrony danych nałożył grzywnę w wysokości 3 tys. euro na firmę Zito Auto di Gianfranco Zito. Firma miała zainstalowane kamery monitoringu, które monitorowały m.in. przestrzeń publiczną i pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych (art. 5 (1) c) RODO). | Link | |
1241 | Dania | Datatilsynet | 2022-06-22 | 134 000,00 € | Gyldendal A/S | Art. 5 (1) e) RODO | Duński organ ochrony danych ukarał wydawcę Gyldendal A/S grzywną w wysokości 134 000 EUR. W trakcie dochodzenia organ ochrony danych stwierdził, że firma przechowywała dane około 685 000 wypisanych członków klubów książki Gyldendal dłużej niż było to konieczne. Zamiast usunąć dane wyrejestrowanych członków klubów książki, Gyldendal przechowywał je w bazie danych. Dane około 395.000 byłych członków, których dotyczyła sprawa, były przechowywane przez ponad 10 lat. Ponadto organ ochrony danych stwierdził, że Gyldendal nie posiadał procedury ani wytycznych dotyczących usuwania danych. | Link | |
1240 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-24 | 180,00 € | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 euro za brak znaków informacyjnych o monitoringu w placówce. | Link | |
1239 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-06-20 | 7 000,00 € | Asociația de Proprietari Aviației Park | Art. 5 (1) a), c), e) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył na Asociația de Proprietari Aviației Park, operatora obiektu mieszkalnego, grzywnę w wysokości 7 000 EUR. Administrator przetwarzał dane osobowe (nazwisko, imię, numer i seria dowodu osobistego, miejsce przeznaczenia, godzina przyjazdu, godzina odjazdu, uwagi) osób dostarczających przesyłki i/lub kurierów bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych. Ponadto organ ochrony danych stwierdził, że administrator nie ustalił okresu przechowywania danych osobowych przetwarzanych przez system monitoringu wizyjnego i przechowywał je dłużej niż to konieczne. | Link | |
1238 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-06-20 | 1 000,00 € | SC Interactions Marketing SRL | Art. 32 (1) b) RODO | Rumuński organ ochrony danych nałożył na SC Interactions Marketing SRL grzywnę w wysokości 1 000 EUR. Administrator wysłał wiadomości reklamowe pocztą elektroniczną do kilku osób w imieniu innej firmy. Jeden z odbiorców złożył skargę do organu ochrony danych ze względu na fakt, że administrator wysłał wiadomości reklamowe w ramach otwartej listy dystrybucyjnej, przez co adresy e-mail wszystkich odbiorców były widoczne dla innych odbiorców. | Link | |
1237 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-17 | 1 000,00 € | Przedsiębiorstwo | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał firmę grzywną w wysokości 1000 euro za brak znaków informacyjnych o monitoringu w jej siedzibie. | Link | |
1236 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-16 | 1 000,00 € | SCOTCH CORNER BAR | Art. 5 (1) c) RODO, Art. 58 (2) RODO | Hiszpański organ ochrony danych ukarał operatora baru SCOTCH CORNER BAR grzywną w wysokości 1000 euro. Administrator zainstalował telewizję przemysłową, która obejmowała również część przestrzeni publicznej. Ponadto administrator nie dostarczył organowi ochrony danych informacji, o które wnioskowano. | Link | |
1235 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 70 000,00 € | Ospedale San Raffaele s.r.l. | Art. 5 (1) f) GDPR, Art. 9 GDPR | Włoski organ ochrony danych nałożył na zakład opieki zdrowotnej Ospedale San Raffaele s.r.l. grzywnę w wysokości 70 000 EUR. Szpital zgłosił organowi ochrony danych dwa naruszenia danych na podstawie art. 33 RODO. W pierwszym przypadku oddział neurologii szpitala wysłał newsletter na otwartej liście dystrybucyjnej, co spowodowało, że adresy e-mail odbiorców były widoczne dla wszystkich odbiorców. Spośród 499 adresów e-mail, których to dotyczyło, 321 adresów e-mail dotyczyło pacjentów, a 46 dotyczyło członków rodzin/opiekunów pacjentów, co umożliwiło identyfikację tych osób z imienia i nazwiska. W drugim przypadku oddział chirurgiczny wysłał biuletyn na otwartej liście dystrybucyjnej, więc ponownie adresy e-mail odbiorców były widoczne dla wszystkich odbiorców. Z 90 adresów e-mail, których to dotyczyło, 75 adresów e-mail odnosiło się do pacjentów i/lub członków rodzin/opiekunów pacjentów, co oznaczało, że osoby te mogły zostać zidentyfikowane z imienia i nazwiska. Organ ochrony danych uznał to za naruszenie zasady "integralności i poufności", która wymaga, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych i organizacyjnych. Przy obliczaniu kary organ ochrony danych wziął pod uwagę fakt, że naruszenie danych dotyczyło również danych dotyczących zdrowia osób, których dotyczyło. Korzystnie uwzględniono fakt, że szpital wprowadził środki zapobiegające takim zdarzeniom w przyszłości i w wysokim stopniu współpracował z organem ochrony danych. | Link | |
1234 | Norwegia | Datatilsynet | 2022-05-16 | 14 500,00 € | Arbeidstilsynet | Art. 6 (1) e) RODO | Norweski organ ochrony danych (Datatilsynet) nałożył na norweską inspekcję pracy "Arbeidstilsynet" grzywnę w wysokości 14 500 euro. Administrator danych przeprowadził kontrolę kredytową osoby, której dane dotyczą, bez żadnej ważnej podstawy prawnej. | Link | |
1233 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-06-16 | 50 000,00 € | SA Rossel & Cie | Art. 6 (1) a) RODO, Art. 7 (1) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO | Belgijski organ ochrony danych nałożył na firmę medialną SA Rossel & Cie grzywnę w wysokości 50 000 EUR. Podczas dochodzenia organ ochrony danych stwierdził naruszenia RODO na trzech stronach internetowych prowadzonych przez firmę. Na przykład firma umieściła pliki cookie, które nie były wymagane, bez zgody odwiedzających stronę. Ponadto firma uznała odwiedzanie innych stron internetowych za zgodę na dalsze umieszczanie plików cookie na tych stronach. Ponadto pola dotyczące zgody na pliki cookie stron trzecich były już wstępnie zaznaczone. Ponadto polityka dotycząca plików cookie była niekompletna i trudno dostępna dla odwiedzających. Wreszcie organ ochrony danych stwierdził, że firma umieszczała nowe pliki cookie pomimo cofnięcia przez użytkowników zgody na ich umieszczanie. | Link | |
1232 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 20 000,00 € | Nos s.r.l.s. | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 14 RODO | Włoski organ ochrony danych ukarał Nos s.r.l.s. grzywną w wysokości 20 000 euro. Nos działał jako podmiot przetwarzający dane dla Vodafone i wykonywał reklamy dla tego przedsiębiorstwa telekomunikacyjnego. W tym celu Nos pozyskiwał i przetwarzał dane osobowe od spółek Kdata ltd. oraz Dynamic Web Solution ltd. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że osoby, których dane dotyczą, nie wyraziły zgody na takie wykorzystanie danych ani nie zostały o tym poinformowane przez Nos. | Link | |
1231 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-09 | 10 000,00 € | Osoba fizyczna | Art. 6 RODO | Hiszpański organ ochrony danych ukarał osobę fizyczną grzywną w wysokości 10 000 euro. Osoba ta stworzyła upokarzające i dyskryminujące wideo o trójce rodzeństwa na podstawie ich koloru skóry i udostępniła je na swoim profilu na Instagramie, a także na WhatsApp. | Link | |
1230 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-06-15 | 3 000,00 € | S.C. Wine Point S.R.L. | Art. 32 (1) b) RODO | Rumuński organ ochrony danych nałożył na S.C. Wine Point S.R.L. grzywnę w wysokości 3.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z otrzymaniem od administratora reklamowej wiadomości e-mail, która zawierała listę dystrybucyjną, na której widoczne były adresy e-mail 810 innych osób, a także jej własny, dla pozostałych odbiorców. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poufności przetwarzanych danych osobowych. | Link | |
1229 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Kara czterocyfrowa (dokładnia kwota nieznana) | Agent nieruchomości | Art. 6 RODO, Art. 12 RODO | Organ ochrony danych w Brandenburgii nałożył grzywnę na pośrednika w handlu nieruchomościami. Pośrednik w obrocie nieruchomościami skontaktował się z osobą fizyczną i zaoferował jej sprzedaż nieruchomości, której był właścicielem. Ponieważ osoba ta sama nie przekazała swoich danych pośrednikowi nieruchomości, poprosiła o informacje na temat pochodzenia danych oraz o ich usunięcie. Agent nieruchomości poinformował osobę, której dane dotyczą, że usunął dane. Nie zastosowała się jednak do prawa osoby, której dane dotyczą, do dostępu do danych. Pół roku później osoba, której dane dotyczą, ponownie otrzymała wiadomość od pośrednika nieruchomości, pomimo potwierdzonego usunięcia jej danych. Z tego powodu organ ochrony danych ustalił, że agent nieruchomości przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej, a tym samym niezgodnie z prawem. | Link | |
1228 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 40 000,00 € | Il Sole 24 Ore S.p.a. | Art. 5 RODO, Art. 9 RODO, Art. 12 RODO | Włoski organ ochrony danych nałożył na gazetę Il Sole 24 Ore S.p.a. grzywnę w wysokości 40 000 euro. Gazeta opublikowała artykuł dotyczący uznania przez władze włoskie decyzji sędziego amerykańskiego w sprawie adopcji dziecka przez parę tej samej płci. Przez pomyłkę gazeta opublikowała również dane osobowe pary i adoptowanego dziecka. Para zażądała następnie usunięcia danych osobowych i dostępu do informacji o ich przetwarzaniu. Gazeta usunęła dane osobowe, ale nie zastosowała się do prawa dostępu przysługującego osobom, których dane dotyczą. | Link | |
1227 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 2 000,00 € | Ekss s.r.l. | Art. 5 (1) a) RODO, Art. 13 RODO | Włoski organ ochrony danych nałożył na operatora restauracji Ekss s.r.l. grzywnę w wysokości 2 000 EUR. Administrator zainstalował w swoim lokalu kamery nadzoru wideo bez odpowiedniego poinformowania osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informacyjny określony w RODO. | Link | |
1226 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-09 | 600,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Wykorzystanie kamery monitoringu, która rejestrowała również obcą przestrzeń prywatną sąsiada i przestrzeń publiczną | Link | |
1225 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Kara czterocyfrowa (dokładnia kwota nieznana) | Przedsiębiorstwo | Nieznana | Organ ochrony danych w Brandenburgii nałożył na przedsiębiorstwo grzywnę. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ przedsiębiorstwo wyprodukowało nagranie wideo, na którym widać skarżącego. Skarżący skontaktował się następnie z przedsiębiorstwem i poprosił o usunięcie nagrania oraz o niepublikowanie go w Internecie. Niemniej jednak przedsiębiorstwo opublikowało nagranie na swojej stronie internetowej oraz na kilku portalach społecznościowych. Ponadto, nawet gdy organ ochrony danych zwrócił się do przedsiębiorstwa o usunięcie filmu, przedsiębiorstwo usunęło film jedynie ze swojej strony internetowej, ale nie z sieci społecznościowych. Dopiero gdy organ ochrony danych ponownie zażądał od przedsiębiorstwa usunięcia filmu, przedsiębiorstwo faktycznie zastosowało się do tego żądania i usunęło film również z sieci społecznościowych. | Link | |
1224 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2021 | Kara trzycyfrowa (dokładnia kwota nieznana) | Lekarz | Art. 6 RODO, Art. 9 RODO | Organ ochrony danych w Brandenburgii nałożył na lekarza grzywnę. Ojciec małoletniego pacjenta złożył skargę do organu ochrony danych, ponieważ lekarz przekazał do centralnego biura rozliczeń liczne dane dotyczące jego dziecka. Dane te zawierały informacje o nazwisku, adresie, dacie urodzenia, numerze ubezpieczenia zdrowotnego, wykonanych usługach medycznych i postawionych diagnozach. Lekarz przekazał te dane bez zgody rodziców, a tym samym bez ważnej podstawy prawnej. | Link | |
1223 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 2 000,00 € | Gmina Partanna | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Gmina opublikowała na swojej stronie internetowej informacje o sprawie sądowej, w tym dane osobowe, takie jak nazwisko i informacje zawodowe osoby, której dane dotyczą. | Link | |
1222 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Klinika | Nieznana | Organ ochrony danych z Berlina nałożył grzywnę na pewną klinikę. Klinika wyznaczyła kierownika kliniki, który był jednocześnie jej udziałowcem, na inspektora ochrony danych. Inspektor ochrony danych może wykonywać inne zadania i obowiązki, ale spółka musi zapewnić, że inne zadania i obowiązki nie prowadzą do konfliktu interesów. W niniejszej sprawie taki konflikt interesów jednak wystąpił. Z jednej strony kierownik kliniki musiał podejmować decyzje gospodarcze na swoim stanowisku kierowniczym, a z drugiej strony musiał monitorować przestrzeganie przez klinikę prawa o ochronie danych osobowych. Organ ochrony danych zauważył również, że taka podwójna rola niesie ze sobą ryzyko, że pacjenci i pracownicy będą wahać się, czy zwrócić się o pomoc do inspektora ochrony danych, będącego również dyrektorem szpitala, z krytycznymi pytaniami dotyczącymi przetwarzania danych osobowych. | Link | |
1221 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Adwokat | Art. 5 RODO, Art. 6 RODO | Organ ochrony danych z Berlina nałożył karę na adwokata. Adwokat od kilku lat był w sporze z klientem o roszczenia pieniężne. Przez dwa lata publikował on na swoim blogu imiona i nazwiska, adresy zamieszkania klienta i członków jego rodziny, jak również różne nieredagowane części akt - powołując się przy tym na przywilej prasowy. Nie była to jednak wyłącznie publikacja dziennikarska. Pełnomocnikowi chodziło raczej o przyspieszenie wypłaty kwoty pieniężnej, do której - jego zdaniem - był uprawniony. Ponieważ pełnomocnik nie mógł zatem powołać się na przywilej prasowy jako podstawę prawną przetwarzania danych, organ ochrony danych stwierdził, że przetwarzał on dane osób, których dane dotyczą, niezgodnie z prawem. | Link | |
1220 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Sprzedawca detaliczny napojów | Nieznana | Organ ochrony danych z Berlina nałożył grzywnę na sprzedawcę napojów. Sprzedawca stosował system nadzoru wideo, w którym kąt obserwacji kamer rozciągał się na przestrzeń publiczną. | Link | |
1219 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Klinika medyczna | Art. 5 RODO, Art. 6 RODO | Organ ochrony danych z Berlina nałożył grzywnę na klinikę medyczną. W celu ochrony przed przestępczością i szkodami materialnymi klinika zainstalowała w swoich pomieszczeniach 21 kamer. Umożliwiło to całodobowy monitoring pracowników i pacjentów. Jako podstawę prawną nadzoru wideo klinika powołała się na zgodę udzieloną przez pracowników i znaki informacyjne. Organ ochrony danych doszedł jednak do wniosku, że klinika nie mogła oprzeć nadzoru wideo na zgodzie, ponieważ dobrowolna zgoda w relacji pracownik-pracodawca jest wątpliwa. Również wyraźnie widoczne zawiadomienia o prowadzonym nadzorze wideo nie pozwalają na stwierdzenie, że pacjenci, wchodząc do monitorowanych pomieszczeń, prawnie wyrażają zgodę na obserwację. Organ ochrony danych nie mógł znaleźć żadnych innych dowodów, które uzasadniałyby tak szeroki nadzór wideo nad kliniką. | Link | |
1218 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Pracownik urzędu pracy | Art. 5 RODO, Art. 6 RODO | Pracownik urzędu pracy uzyskał dostęp do danych w systemach baz danych socjalnych oraz w rejestrze ludności w celu prywatnym. | Link | |
1217 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Pracownik urzędu pracy | Art. 5 RODO, Art. 6 RODO | Pracownica urzędu pracy uzyskała dostęp do danych w systemach baz danych socjalnych oraz w rejestrze cywilnym w celu przeprowadzenia prywatnych badań. Pracownica chciała udowodnić, że dwie jej koleżanki pozostają ze sobą w związku i sprawdziła adresy zameldowania obu tych osób. | Link | |
1216 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych dla prywatnych celów. Policjant oskarżony w sprawie karnej zamierzał wykorzystać informacje z policyjnej bazy danych do przygotowania swoich zeznań w sądzie. | Link | |
1215 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych dla celów prywatnych. Policjant zapytał o nową partnerkę byłej żony przyjaciela, ponieważ obawiał się, że dobro wspólnego dziecka może być zagrożone przez nową partnerkę. | Link | |
1214 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych dla prywatnych celów. Policjant zapytał o proces dochodzeniowy swojego pasierba, aby przygotować go do zeznań i przekonać funkcjonariusza prowadzącego sprawę o innej sekwencji przestępstw. | Link | |
1213 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Policjant wykorzystał dane osobowe świadka do osobistego kontaktu z nią. | Link | |
1212 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji wielokrotnie uzyskiwał dostęp do danych w policyjnej bazie danych w celu prywatnym. | Link | |
1211 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Nieznany | Nieznana | W ramach walki z pandemią Covid 19 pewien cmentarz umieścił otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Pracownik cmentarza uzyskał imiona, nazwiska i numery telefonów kobiet z list kontaktowych, aby skontaktować się z nimi prywatnie i zapytać je m.in. o status związku. Organ ochrony danych stwierdził, że wykorzystanie danych osobowych z list kontaktowych do dokumentacji kontroli zakażeń poza śledzeniem kontaktów było niezgodne z prawem i w związku z tym nałożył karę pieniężną. | Link | |
1210 | Niemcy | Organ ochrony danych osobowych Berlina | 2021 | Nieznana | Nieznany | Nieznana | W celu zwalczania pandemii Covid 19, pewna restauracja umieściła otwartą listę, na której goście musieli podać swoje dane kontaktowe. Pracownik restauracji uzyskał imiona, nazwiska i numery telefonów kobiet z list kontaktowych, aby skontaktować się z nimi prywatnie i zapytać je między innymi o status związku. Organ ochrony danych stwierdził, że wykorzystanie danych osobowych z list kontaktowych do dokumentacji kontroli zakażeń poza śledzeniem kontaktów było niezgodne z prawem i w związku z tym nałożył grzywnę. | Link | |
1209 | Niemcy | Organ ochrony danych osobowych kraju związkowego Hesja | 2021 | 170,00 € | Restauracja | Art. 5 (1) b) RODO | W celu identyfikacji gościa, który nie zapłacił, z kilkoma gośćmi skontaktowali się pracownicy restauracji. W tym celu wykorzystano numery telefonów podane przez gości w ramach śledzenia kontaktów z Covid. Ponieważ goście przekazali swoje dane wyłącznie w celu kontroli zakażeń, organ ochrony danych uznał, że kontaktowanie się w celu identyfikacji gościa stanowi naruszenie zasady ograniczenia celu (art. 5 ust. 1 lit. b) RODO). | Link | |
1208 | Niemcy | Organ ochrony danych osobowych kraju związkowego Hesja | 2021 | 400,00 € | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych do celów prywatnych. Funkcjonariusz zakupił na platformie internetowej notebook do użytku prywatnego. Ponieważ sprzedawca nie zgodził się na negocjacje dotyczące sposobu zapłaty, funkcjonariusz wykorzystał policyjny system informacyjny do uzyskania informacji o sprzedawcy. Następnie policjant wysłał do sprzedawcy kilka wiadomości, w których podał mu pewne dane osobowe, które uzyskał w wyniku poszukiwań w policyjnej bazie danych. Celem było wzmocnienie jego żądania alternatywnej metody płatności poprzez wspomnienie uzyskanych informacji. | Link | |
1207 | Niemcy | Organ ochrony danych osobowych kraju związkowego Hesja | 2021 | 600,00 € | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych dla celów prywatnych, aby uzyskać informacje o nowym adresie swojej byłej żony. Odkrył, gdzie w międzyczasie przeprowadziła się jego była żona. Następnie funkcjonariusz faktycznie udał się do nowego mieszkania swojej byłej żony i spotkał ją przed wejściem do nowego domu. To tak przestraszyło byłą żonę, że zgłosiła zdarzenie na policję. | Link | |
1206 | Niemcy | Organ ochrony danych osobowych kraju związkowego Hesja | 2021 | 500,00 € | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych dla prywatnych celów, tj. uzyskania informacji o koledze. | Link | |
1205 | Niemcy | Organ ochrony danych osobowych kraju związkowego Hesja | 2021 | 1 800,00 € | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji wielokrotnie uzyskiwał dostęp do danych w policyjnej bazie danych w celu prowadzenia prywatnych badań. | Link | |
1204 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 2 500,00 € | Liceum Ogólnokształcące im. Izabela Gonzaga | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-sexties Codice della privacy | Włoski organ ochrony danych nałożył na liceum im. Isabelli Gonzagi grzywnę w wysokości 2 500 euro. Szkoła opublikowała na platformie internetowej dla kadry nauczycielskiej dokument, który zawierał również dane osobowe dotyczące zdrowia niektórych nauczycieli. Dokument ten zawierał informacje o świadczeniach związanych ze stanem zdrowia nauczycieli, którzy byli uprawnieni do takich świadczeń. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że szkoła opublikowała dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem. | Link | |
1203 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-06-06 | 3 500,00 € | Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. | Art. 33 RODO | Polski organ ochrony danych ukarał Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. 3 500 EUR. U administratora doszło do naruszenia ochrony danych, podczas którego zaginęło świadectwo pracy zawierające dane osobowe pracownika. Administrator nie zgłosił tego naruszenia ochrony danych do organu ochrony danych i tym samym naruszył art. 33 RODO. | Link Link | |
1202 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-03 | 3 000,00 € | LODEJU, S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na prowadzącego restaurację LODEJU, S.L. karę pieniężną w wysokości 3 000 euro. Administrator zainstalował w swoim lokalu kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował należycie osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1201 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-06-08 | 1 500,00 € | Wens Experience SRL | Art. 28 (2) RODO | Rumuński organ ochrony danych nałożył na spółkę Wens Experience SRL grzywnę w wysokości 1 500 EUR. W toku dochodzenia organ ochrony danych ustalił, że Wens Experience, działając jako podmiot przetwarzający w imieniu administratora danych, zaangażował inny podmiot przetwarzający do przetwarzania danych pracowników bez uzyskania wcześniejszego zezwolenia od administratora danych. Stanowi to naruszenie art. 28 (2) RODO. | Link | |
1200 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-03 | 360,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 360 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. | Link | |
1199 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-03 | 1 000,00 € | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 euro za brak znaków informacyjnych o monitoringu wizyjnym w placówce. | Link | |
1198 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-06-03 | 2 000,00 € | Kaufland Romania SCS | Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODO | Rumuński organ ochrony danych nałożył na Kaufland România SCS grzywnę w wysokości 2 000 EUR. Administrator zgłosił organowi ochrony danych dwa naruszenia danych zgodnie z art. 33 RODO. Pracownik, który rozpatrywał skargę, nie przestrzegał wewnętrznej procedury rozpatrywania skarg, umożliwiając pracownikowi ochrony wgląd w dane skarżącego i niewłaściwe ich wykorzystanie. Ponadto administrator omyłkowo przekazał dane z formularza zamówienia klienta nieuprawnionej osobie trzeciej. Doprowadziło to do ujawnienia danych osobowych (imię, nazwisko, adres e-mail, numer telefonu) poszkodowanego klienta Kauflandu. Z tego powodu organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony i bezpieczeństwa danych osobowych. | Link | |
1197 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 50 000,00 € | Istituto Nazionale Assicurazione Infortuni sul Lavoro | Art. 5 (1) a), f) RODO, Art. 6 (1) e) RODO, Art. 9 (2) g) RODO, Art. 32 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy | Włoski organ ochrony danych nałożył na Istituto Nazionale Assicurazione Infortuni sul Lavoro (publiczne ubezpieczenie pracowników od wypadków) grzywnę w wysokości 50 000 euro. W ramach prowadzonego dochodzenia organ ochrony danych ustalił, że trzykrotnie wypadki i choroby zawodowe innych pracowników były publicznie widoczne w systemie internetowym ubezpieczyciela. Do incydentu doszło z powodu nieaktualnej wersji systemu. Organ ochrony danych stwierdził, że ubezpieczyciel nie wywiązał się w wystarczającym stopniu z obowiązku podjęcia odpowiednich środków technicznych i organizacyjnych w celu zapobieżenia naruszeniom danych osobowych. Ubezpieczyciel powinien był zapewnić stosowanie zaktualizowanych i bezpiecznych systemów online. | Link | |
1196 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 10 000,00 € | Ministerstwo Obrony Włoch | Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy, Art. 2-octies Codice della privacy | Włoski organ ochrony danych nałożył na włoskie Ministerstwo Obrony karę w wysokości 10 tys. euro. Pracownik ministerstwa złożył skargę do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że dwa e-maile zostały przekazane bez upoważnienia. E-maile te zawierały między innymi wrażliwe informacje na temat stanu zdrowia osoby, której dane dotyczą, jak również informacje na temat postępowania sądowego. | Link | |
1195 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-06-01 | 300,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Wykorzystanie kamery monitoringu, która uchwyciła również obcą przestrzeń prywatną sąsiada i przestrzeń publiczną. | Link | |
1194 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-31 | 1 600,00 € | CORON ISLAND SLU | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na CORON ISLAND SLU grzywnę w wysokości 1 600 euro. Klient złożył skargę na restaurację do organu ochrony danych. Klientka poprosiła po posiłku o wystawienie rachunku na swoje nazwisko. Kierownik wyjaśnił jednak, że rachunek może być wystawiony tylko wtedy, gdy klient poda swój numer telefonu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1193 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-28 | 1 000,00 € | Educationest s.r.l. | Art. 5 (1) a), e) RODO, Art. 6 (1) b), c) RODO | Włoski organ ochrony danych ukarał firmę Educationest s.r.l. grzywną w wysokości 1 000 euro. Świetlica wysłała e-mail do rodzin dzieci znajdujących się pod jej opieką, informując je o ciąży i urlopie macierzyńskim jednego z wychowawców. Żłobek napisał maila, aby zapobiec plotkom o nieobecności wychowawczyni i aby ją chronić. Wychowawczyni nie wyraziła jednak zgody na ujawnienie informacji o jej ciąży. Organ ochrony danych uznał zatem, że Educationest bezprawnie przetwarzał dane wychowawczyni i naruszył art. 5 RODO oraz art. 6 RODO. | Link | |
1192 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-07 | 10 000,00 € | E-Mac Professional s.r.l. | Art. 12 (3) RODO, Art. 15 RODO | Brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych. | Link | |
1191 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-05-25 | 50 000,00 € | Roularta Media Group | Art. 5 (1) e) RODO, Art. 5 (2) RODO, Art. 6 (1) a) RODO, Art. 7 (1), (3) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 RODO | Belgijski organ ochrony danych nałożył na Roularta Media Group grzywnę w wysokości 50 000 EUR. W ramach swojego dochodzenia organ ochrony danych stwierdził, że zarządzanie plikami cookie na dwóch stronach internetowych prowadzonych przez Roularta nie było zgodne z RODO. W celu stosowania plików cookie administratorzy muszą uzyskać uprzednią zgodę użytkownika, z wyjątkiem przypadków, w których pliki cookie są absolutnie niezbędne do działania strony internetowej. Organ ochrony danych stwierdził, że zgoda na przetwarzanie danych osobowych za pośrednictwem plików cookie na stronach internetowych obsługiwanych przez Roulartę nie była ważna, ponieważ nie spełniono wszystkich niezbędnych warunków. W związku z tym około 60 plików cookie, które nie były wymagane, zostało umieszczonych przez strony internetowe na urządzeniach odwiedzających, nawet zanim wyrazili oni na to zgodę. Roularta nie poinformowała również w wystarczającym stopniu użytkowników o plikach cookie. Ponadto pola dotyczące zgody na umieszczanie plików cookie przez strony trzecie były z góry zaznaczone, chociaż użytkownicy zawsze muszą wyrazić aktywną zgodę. Ponadto organ ochrony danych stwierdził, że użytkownicy nie mogli odwołać swojej zgody na umieszczanie plików cookie tak łatwo, jak ją wyrazili. | Link Link | |
1190 | Wielka Brytania | Information Commissioner (ICO) | 2022-05-18 | 9 000 000,00 € | Clearview Al Inc. | Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 14 RODO, Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 21 RODO, Art. 22 RODO, Art. 35 RODO | Brytyjski organ ochrony danych nałożył na Clearview AI Inc. 9 mln euro. Firma posiada bazę ponad 20 miliardów zdjęć twarzy (w tym mieszkańców i obywateli Wielkiej Brytanii) z całego świata. Dane są gromadzone online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych pobranych ze zdjęć. Profile osób mogą być wzbogacone o informacje związane z tymi obrazami, takie jak tagi obrazu i geolokalizacja. Clearview AI nie oferuje już swoich usług w Wielkiej Brytanii, ale robi to w innych krajach, co oznacza, że firma nadal wykorzystuje dane osobowe mieszkańców Wielkiej Brytanii. W trakcie swojego dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto, aby skorzystać z praw przysługujących im na mocy RODO, takich jak prawo dostępu na mocy art. 15 RODO, osoby, których dane dotyczą, musiały dostarczyć Clearview dodatkowe dane osobowe, przesyłając swoje zdjęcie, które można było dopasować do bazy danych Clearview. Zdaniem organu ochrony danych stanowi to znaczące utrudnienie i czynnik zniechęcający do korzystania z takich praw. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo naruszyło kilka zasad RODO. Na przykład przedsiębiorstwo naruszyło zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. Clearview naruszyła również zasadę ograniczenia przechowywania, nie przedstawiając polityki przechowywania danych, a tym samym nie będąc w stanie zapewnić, że dane osobowe nie są przechowywane dłużej niż to konieczne. Ponadto Clearview nie przeprowadziła oceny wpływu na prywatność, pomimo wysokiego ryzyka dla danych osób, których dane dotyczą. | Link Link | |
1189 | Finlandia | Tietosuojavaltuutetun Toimisto | 2022-04-29 | 8 300,00 € | Przedsiębiorstwo telemarketingowe | Art. 58 (2) RODO | Fiński organ ochrony danych nałożył na firmę telemarketingową grzywnę w wysokości 8 300 EUR za nieprzestrzeganie nakazu organu ochrony danych. Klient firmy zażądał dostępu do nagrania rozmowy sprzedażowej. Firma nie zastosowała się jednak do tego wniosku, w związku z czym organ ochrony danych nakazał jej udzielenie klientowi dostępu do nagrań. Później klient poinformował, że pomimo nakazu organu ochrony danych nadal nie otrzymał nagrania rozmowy. | Link | |
1188 | Wielka Brytania | Information Commissioner (ICO) | 2022-03-10 | 115 000,00 € | Tuckers Solicitors LLP | Art. 5 (1) a) f) RODO | Brytyjski organ ochrony danych (ICO) ukarał kancelarię prawną Tuckers Solicitors LLP grzywną w wysokości 115 tys. euro. Tuckers ucierpiał w wyniku ataku ransomware na swoje systemy, co doprowadziło do naruszenia danych osobowych. W ramach dochodzenia organ ochrony danych ustalił, że firma Tuckers nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. To zaniedbanie sprawiło, że jej systemy były podatne na złośliwe ataki. Napastnikom udało się zaszyfrować 972 191 pojedynczych plików, z których 24 712 dotyczyło postępowań sądowych, a także wyłudzić 60 plików i opublikować je na podziemnych rynkach danych. Pliki zawierały zarówno dane osobowe, jak i dane kategorii specjalnej, takie jak dokumentacja medyczna, zeznania świadków, nazwiska i adresy świadków i ofiar oraz domniemane przestępstwa osób, których dane dotyczą. | Link | |
1187 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-07 | 10 000,00 € | Findomestic Banca spa | Art. 5 (1) a), c) RODO | Włoski organ ochrony danych nałożył na Findomestic Banca spa grzywnę w wysokości 10 000 euro. Klient złożył do organu ochrony danych osobowych skargę dotyczącą naruszenia poufności w odniesieniu do instytucji finansowej. Administrator danych nieuprawnienie wysłał kilka przypomnień o płatności do żony osoby, której dane dotyczą, w związku z pożyczką zaciągniętą przez tę osobę. Żona rzeczywiście poręczyła pożyczkę zaciągniętą przez osobę, której dane dotyczą, jednak nie przedmiotową. | Link Link | |
1186 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-07 | 20 000,00 € | Made in Italy s.r.l.s. | Art. 6 RODO, Art. 7 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 130 (3) Codice della privacy, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na Made in Italy s.r.l.s. grzywnę w wysokości 20 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych po otrzymaniu telefonów promocyjnych od administratora danych, mimo że nie wyraziła na to zgody. Nawet po tym, jak osoba, której dane dotyczą, sprzeciwiła się temu, administrator danych nie zaprzestał połączeń. Osoba, której dane dotyczą, zażądała następnie informacji o pochodzeniu danych oraz usunięcia tych danych. Administrator nie odpowiedział jednak na ten wniosek. Ponadto administrator nie współpracował w wystarczającym stopniu z organem ochrony danych w trakcie dochodzenia. | Link Link | |
1185 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-07 | 50 000,00 € | Palumbo Superyacht Ancona s.r.l. | Art. 5 (1) a), e) RODO, Art. 13 RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy | Włoski organ ochrony danych ukarał firmę Palumbo Superyacht Ancona s.r.l. grzywną w wysokości 50 000 euro. Firma zablokowała bez pozwolenia służbowe konto e-mail pracownika. Pracownik zgłosił ten incydent firmie i poprosił o przywrócenie skrzynki mailowej, która zawierała zarówno prywatne, jak i służbowe wiadomości. Firma nie spełniła jednak tego żądania. W trakcie swojego dochodzenia organ ochrony danych stwierdził dalsze naruszenia. Na przykład firma nie odpowiedziała na wniosek o udzielenie informacji wystosowany przez organ ochrony danych i naruszyła zasadę ograniczania przechowywania danych. | Link Link | |
1184 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-20 | 2 000,00 € | Osoba fizyczna | Art. 6 (1) RODO | Hiszpański organ ochrony danych ukarał grzywną w wysokości 2 000 euro osobę fizyczną prowadzącą trzy strony internetowe. W trakcie dochodzenia organ ochrony danych stwierdził, że na wszystkich trzech stronach internetowych brakowało pola do wyrażenia zgody na przetwarzanie danych osobowych. Ponadto organ ten stwierdził, że w polityce prywatności na stronach internetowych brakowało jakiegokolwiek odniesienia do tożsamości administratora danych oraz do prawa osób, których dane dotyczą, do wycofania zgody na przetwarzanie danych. | Link | |
1183 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-20 | 1 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1500 euro. Administrator zainstalował w swoim samochodzie kamery monitoringu, które m.in. obejmowały również część garażu gminnego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1182 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-20 | 2 000,00 € | Osoba fizyczna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 2.000 euro. Osoba ta zrobiła zdjęcia grupie nieletnich oraz policjantom bez ich zgody, a następnie umieściła je na Facebooku. | Link | |
1181 | Norwegia | Datatilsynet | 2022-03-15 | 9 700,00 € | Przedsiębiorstwo | Art. 6 (1) RODO, Art. 13 RODO, Art. 21 RODO | Norweski organ ochrony danych nałożył na pewną firmę karę w wysokości 9 700 euro. Do organu ochrony danych wpłynęła skarga od byłego pracownika firmy. Tłem skargi jest fakt, że po rozwiązaniu stosunku pracy przez pracownika, zarówno zawodowe, jak i prywatne wiadomości e-mail ze skrzynki pocztowej pracownika były automatycznie przekazywane na adres e-mail administrowany przez dyrektora zarządzającego. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator danych dokonał automatycznego przekazania wiadomości e-mail bez ważnej podstawy prawnej. Ponadto administrator nie poinformował byłego pracownika o przetwarzaniu danych poprzez przekazywanie wiadomości e-mail, wbrew obowiązkowi wynikającemu z art. 13 RODO. Wreszcie, organ ochrony danych stwierdził, że administrator nie zastosował się należycie do wniosku o wyrażenie sprzeciwu wobec przetwarzania danych złożonego przez byłego pracownika. | Link Link | |
1180 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-05-24 | 5 000,00 € | MED LIFE S.A. | Art. 32 (1) b), (2), (4) RODO | Rumuński organ ochrony danych (DPA) nałożył na MED LIFE S.A. karę w wysokości 5 000 EUR. Spółka wyrzuciła dokumenty zawierające poufne dane pacjentów do publicznie dostępnego pojemnika na śmieci. Osoba fizyczna znalazła te dokumenty i złożyła skargę do organu ochrony danych. Podczas dochodzenia organ ochrony danych stwierdził, że MED Life nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych i uniknięcia takich incydentów. | Link | |
1179 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-17 | 42 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España S.A.U.. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Podmiot danych skarżył się na otrzymywanie faktur, mimo że między nim a administratorem nie istniał już stosunek umowny. Jednak mimo że osoba, której dane dotyczą, sprzeciwiła się dalszemu otrzymywaniu wiadomości, ponieważ nie było już żadnych zaległych faktur, a administrator to potwierdził, wysyłanie wiadomości było kontynuowane. W związku z tym organ ochrony danych stwierdził, że administrator przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 42 000 EUR ze względu na natychmiastową zapłatę i uznanie winy. | Link | |
1178 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-18 | 600,00 € | SCF ZHU, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na SCF ZHU, S.L. grzywnę z powodu braku wystarczających informacji o przetwarzaniu danych w odniesieniu do nadzoru wideo na terenie przedsiębiorstwa. Pierwotna grzywna w wysokości 1 000 EUR została zmniejszona do 600 EUR ze względu na natychmiastową zapłatę i uznanie odpowiedzialności. | Link | |
1177 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-03-10 | 10 000,00 € | Alfa Shipyard s.r.l. | Art. 58 (2) RODO | Włoski organ ochrony danych nałożył na Alfa Shipyard s.r.l. grzywnę w wysokości 10 000 EUR. Administrator nie wdrożył w odpowiednim czasie środków nakazanych przez organ ochrony danych. | Link | |
1176 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-18 | 10 000 000,00 € | Google LLC | Art. 6 RODO, Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na GOOGLE LLC grzywnę w wysokości 10 mln euro. Dwie osoby, których dane dotyczą, złożyły do organu ochrony danych osobowych skargę, że Google bez upoważnienia ujawnił ich dane osobowe osobom trzecim. W trakcie długotrwałego dochodzenia organ ochrony danych ustalił, że Google przekazał dane osobowe osób, których dane dotyczą, do tzw. projektu Lumen. Lumen to projekt prowadzony przez Berkman Klein Center for Internet & Society na Uniwersytecie Harvarda. Projekt ten rozpoczął się w 2002 roku i ma na celu gromadzenie wniosków o usunięcie treści ze stron internetowych w Stanach Zjednoczonych i poza nimi. Do danych tych mogą mieć następnie dostęp badacze i inne zainteresowane osoby. Użytkownicy platform obsługiwanych przez Google, takich jak YouTube czy Google Drive, mają możliwość zażądania usunięcia treści na swój temat znajdujących się na tych platformach. W tym celu Google udostępnił różne formularze kontaktowe i reklamacyjne. Dane osób, których dane dotyczą, korzystających z tych formularzy, były jednak automatycznie przekazywane do projektu Lumen. Osoby, których dane dotyczą, nie miały możliwości sprzeciwienia się temu przekazywaniu, ponieważ automatyczne przekazywanie do Lumen było warunkiem korzystania z formularzy. Z tego powodu organ ochrony danych stwierdził, że ze względu na brak możliwości wyrażenia sprzeciwu wobec przekazywania danych do Lumen, Google przetwarzał dane osób, których dane dotyczą, bez ważnej podstawy prawnej. W tym kontekście organ ochrony danych stwierdził również, że Google nie umożliwił w wystarczającym stopniu osobom, których dane dotyczą, skorzystania z prawa do usunięcia ich danych. Przy ustalaniu wysokości grzywny organ ochrony danych wziął pod uwagę jako czynniki obciążające fakt, że dane zostały nie tylko ujawnione, ale również przekazane do państwa trzeciego bez umożliwienia osobom, których dane dotyczą, wyrażenia sprzeciwu. Pozbawiło to osoby, których dane dotyczą, kontroli nad przetwarzaniem ich danych osobowych. Ponadto organ ochrony danych stwierdził, że przekazywanie danych odbywało się przez bardzo długi czas. Dotyczyło to również dużej liczby osób fizycznych, a w niektórych przypadkach przetwarzane były dane wrażliwe. | Link | |
1175 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-17 | 4 000,00 € | INSEKT FOOD S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na INSEKT FOOD SL. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi, ponieważ administrator opublikował dane osobowe osoby, której dane dotyczą w trzech grupach WhatsApp . W rezultacie wszystkim 541 członkom tych grup WhatsApp przyznano nieautoryzowany dostęp do niektórych danych osobowych osoby, której dane dotyczą (nazwisko, imię, adres). | Link | |
1174 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-17 | 18 000,00 € | RAMONA FILMS, S.L. | Art. 58 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na RAMONA FILMS, S.L. grzywnę za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. Pierwotna grzywna w wysokości 30 000 EUR została zmniejszona do 18 000 EUR w związku z natychmiastową zapłatą i uznaniem winy. | Link | |
1173 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-17 | 8 000,00 € | TIGERS MARKET, S.L. | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył na TIGERS MARKET, S.L. grzywnę w wysokości 8 000 EUR. Osoba, której dane dotyczą, otrzymywała telefony reklamowe od administratora, mimo że osoba ta była wpisana na listę wykluczenia z reklam (listę Robinsona). | Link | |
1172 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-17 | 1 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1500 euro. Administrator danych zainstalował na swojej posesji kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1171 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-05-17 | 1 500,00 € | MAYR MELNHOF PACKAGING ROMANIA S.R.L. | Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych nałożył na MAYR MELNHOF PACKAGING ROMANIA S.R.L. grzywnę w wysokości 1 500 EUR. Administrator zainstalował w pomieszczeniach kamery nadzoru wideo w celu ochrony majątku firmy i bezpieczeństwa pracowników. W trakcie dochodzenia organ ochrony danych ustalił również, że kamery obejmowały kafeterię pracowniczą i strefę dla palaczy, umożliwiając monitorowanie pracowników poza ich godzinami pracy. Organ ochrony danych stwierdził, że nagrywanie pracowników nie było konieczne do zapewnienia celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1170 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-05-18 | 5 000,00 € | Kredyt Inkaso Investments RO S.A | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 33 RODO | Rumuński organ ochrony danych ukarał Kredyt Inkaso Investments RO S.A. grzywną w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora za ujawnienie danych osobowych jej i jej małoletniego dziecka instytucjom medycznym bez upoważnienia i bez związku osoby, której dane dotyczą, z tymi instytucjami. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator danych ujawnił dane takie jak adres zamieszkania, status zawodowy, a także dane z umowy o pracę. Ponadto organ ochrony danych stwierdził, że administrator nie powiadomił organu ochrony danych o naruszeniu danych w terminie wymaganym przez art. 33 RODO. | Link | |
1169 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2022-03-29 | 1 300,00 € | Warsztat | Art. 5 (1) b), c) RODO, Art. 6 (1) f) RODO, Art. 13 (1), (2) RODO | Węgierski organ ochrony danych nałożył na warsztat samochodowy grzywnę w wysokości 1300 EUR. Warsztat zainstalował system nadzoru wideo w celu ochrony majątku firmy. Kamery uchwyciły jednak również część obszaru pracy pracowników. Organ ochrony danych stwierdził, że nagrywanie pracowników nie było konieczne do zapewnienia celów związanych z nadzorem wideo i dlatego było nieproporcjonalne. Organ ochrony danych stwierdził również, że warsztat nie wypełnił w wystarczającym stopniu swoich obowiązków informacyjnych wynikających z art. 13 RODO. Warsztat powołał się na zgodę udzieloną przez pracowników, jako podstawę prawną nadzoru wideo. Organ ochrony danych stwierdził jednak, że warsztat nie mógł oprzeć nadzoru wideo na zgodzie, ponieważ dobrowolna zgoda w relacji pracownik-pracodawca jest wątpliwa. Zamiast tego warsztat powinien był oprzeć nadzór wideo na uzasadnionym interesie. | Link | |
1168 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-13 | 170 000,00 € | Mercadona S.A. | Art. 6 RODO, Art. 12 RODO, Art. 15 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na sieć supermarketów Mercadona S.A. grzywnę w wysokości 170 000 euro. Pewna osoba złożyła skargę do organu ochrony danych. Osoba ta uległa wypadkowi w jednym z supermarketów i zwróciła się do Mercadony o udostępnienie nagrań wypadku z systemu nadzoru wideo w celu uzyskania odszkodowania. Mercadona nie spełniła jednak tego żądania. Po tym, jak adwokat osoby, której dotyczą dane, ponownie zwrócił się do Mercadony o dostarczenie nagrań, Mercadona odpowiedziała, że obrazy zostały już usunięte. | Link | |
1167 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2022-02-02 | 1 000,00 € | Prowadzący kawiarnię | Art. 5 (1) c) RODO, Art. 13 RODO | Organ ochrony danych osobowych z Luksemburga nałożył na przedsiębiorcę prowadzącego kawiarnię grzywnę w wysokości 1 000 EUR. Operator zainstalował w kawiarni dwie kamery monitoringu w celu ochrony majątku firmy oraz bezpieczeństwa klientów i pracowników. Kamery te jednak stale rejestrowały fragmenty miejsc pracy pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Stwierdził również, że administrator danych nie wypełnił w wystarczającym stopniu swoich obowiązków informacyjnych wynikających z art. 13 RODO. | Link | |
1166 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-11 | 6 000,00 € | Wspólnota mieszkaniowa | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 6 000 EUR na wspólnotę mieszkaniową. Właściciel mieszkania, który był jego mieszkańcem od 15 lat, złożył skargę do organu ochrony danych osobowych w związku z koniecznością okazania dowodu tożsamości przed skorzystaniem z basenu wspólnego. Wniosek o udostępnienie danych osobowych dotyczył działań mających na celu zwalczanie pandemii koronawirusa. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że gromadzenie danych osobowych poprzez kontrolę tożsamości było zbędne, biorąc pod uwagę fakt, że osoba, której dane dotyczą, była rezydentem od 15 lat, a tym samym naruszało zasadę minimalizacji danych określoną w art. 5 ust. 1 lit. c) RODO. Ponadto organ ochrony danych stwierdził, że osoba, której dane dotyczą, nie została dostatecznie poinformowana o przetwarzaniu jej danych osobowych. | Link | |
1165 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-12 | 2 000,00 € | Osoba fizyczna | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 2 000 euro. Osoba ta udostępniła w serwisie WhatsApp nagranie wideo przedstawiające brutalny atak na osobę, której dane dotyczą, bez uzyskania jej zgody. | Link | |
1164 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-12 | 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 500 EUR. Administrator zainstalował na swojej posesji kamerę monitorującą, która nagrywała m.in. sąsiednie posesje. AEPD uznał to za naruszenie zasady minimalizacji danych. | Link | |
1163 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-05-12 | 1 000,00 € | LORIS FUEL SHOP SRL | Art. 29 RODO, Art. 32 (4) RODO | Rumuński urząd ochrony danych osobowych nałożył na operatora stacji benzynowej LORIS FUEL SHOP SRL grzywnę w wysokości 1 000 EUR. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ jej zdjęcia zostały opublikowane na Facebooku. Zdjęcia pochodziły z systemu monitoringu wideo zainstalowanego na jednej ze stacji benzynowych administratora. W trakcie dochodzenia, organ ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu zapewnienia poufności danych osobowych generowanych przez system telewizji przemysłowej zainstalowany na stacjach benzynowych. Skutkowało to tym, że nieupoważnione osoby trzecie filmowały obrazy z kamer wideo, a następnie publikowały je na portalach społecznościowych. | Link | |
1162 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-11 | 600,00 € | Właściciel baru | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela baru grzywną w wysokości 600 euro. Bar posiadał system nadzoru wideo, w którym kąt obserwacji kamer rozciągał się na przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1161 | Dania | Datatilsynet | 2022-05-12 | 13 400,00 € | Civilstyrelsen | Art. 32 RODO, Art. 33 RODO | Duński urząd ochrony danych (DPA) nałożył na duńską agencję Civilstyrelsen karę w wysokości 13 400 EUR. Zgubiono pamięć USB Civilstyrelsen zawierającą ponad 800 stron poufnych i wrażliwych informacji. W trakcie dochodzenia organ ochrony danych ustalił, że pamięć USB nie była zaszyfrowana. Ponadto agencja nie posiadała żadnej polityki dla swoich pracowników w zakresie korzystania z nośników wymiennych i przenośnych. Co więcej, organ ochrony danych stwierdził, że pomimo świadomości naruszenia ochrony danych, agencja nie zgłosiła tego naruszenia, co jest sprzeczne z jej obowiązkiem wynikającym z art. 33 RODO. Organ ochrony danych stwierdził, że agencja nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Na przykład szyfrowanie nośników wymiennych jest koniecznym i wymaganym środkiem bezpieczeństwa, zwłaszcza jeśli nośniki wymienne zawierają informacje wrażliwe, takie jak dane osobowe. | Link | |
1160 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-07 | 40 000,00 € | ISWEB S.p.A. | Art. 28 RODO | Włoski organ ochrony danych nałożył na ISWEB S.p.A. grzywnę w wysokości 40 000 EUR. Kara ta jest związana z grzywną nałożoną na zakład opieki zdrowotnej Azienda ospedaliera di Perugia. ISWEB dostarczyło zakładowi opieki zdrowotnej aplikację internetową do systemu informowania o nieprawidłowościach. Podczas dochodzenia przeprowadzonego w zakładzie opieki zdrowotnej organ ochrony danych stwierdził liczne naruszenia RODO związane z systemem informowania o nieprawidłowościach. Dochodzenie organu ochrony danych odbyło się w ramach serii inspekcji dotyczących przetwarzania danych w systemach informowania o nieprawidłowościach u pracodawców. W odniesieniu do ISWEB, organ ochrony danych ustalił, że firma korzystała z usług zewnętrznego dostawcy w celu hostingu systemów informowania o nieprawidłowościach. ISWEB nie przekazała jednak dostawcy zewnętrznemu szczegółowych instrukcji dotyczących przetwarzania danych osób, których dane dotyczą, ani nie poinformowała o tym zakładu opieki zdrowotnej. | Link Link | |
1159 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-07 | 40 000,00 € | Azienda ospedaliera di Perugia | Art. 5 (1) a), f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 25 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda ospedaliera di Perugia grzywnę w wysokości 40 000 EUR. Podczas dochodzenia przeprowadzonego w zakładzie opieki zdrowotnej organ ochrony danych stwierdził liczne naruszenia RODO. Dochodzenie organu ochrony danych odbyło się w ramach serii inspekcji dotyczących przetwarzania danych w kontekście systemów informowania o nieprawidłowościach u pracodawców. Zakład opieki zdrowotnej korzystał z aplikacji internetowej opartej na otwartym oprogramowaniu do zgłaszania nieprawidłowości. Dostęp do tej aplikacji był jednak możliwy za pośrednictwem systemów, które nie były odpowiednio skonfigurowane. Umożliwiło to rejestrowanie i przechowywanie danych o przeglądaniu stron przez użytkowników, a tym samym identyfikację tych użytkowników, a więc potencjalnych sygnalistów. Jeśli chodzi o przetwarzanie danych osobowych, ośrodek zdrowia nie poinformował pracowników z wyprzedzeniem. Ponadto organ ochrony danych stwierdził, że ośrodek zdrowia nie przeprowadził oceny skutków w zakresie ochrony danych i nie zarejestrował przetwarzania danych w rejestrze czynności przetwarzania. Tym samym nie przeprowadzono wystarczającej oceny ryzyka dla praw i wolności osób, których dane dotyczą. | Link Link | |
1158 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-04-24 | 1 000,00 € | ASST di Lodi | Art. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył na ASST di Lodi grzywnę w wysokości 1 000 EUR. Zakład opieki zdrowotnej zgłosił naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Pacjent podał dwie osoby kontaktowe do swoich spraw medycznych. Placówka została wyraźnie upoważniona do uzyskania od tych dwóch osób informacji medycznych dotyczących pacjenta w nagłych wypadkach. W związku z ważnym badaniem diagnostycznym pacjenta, dwie upoważnione osoby nie były osiągalne, więc pracownik ośrodka zdrowia poprosił o te informacje członka rodziny, którego osobiście znał. W trakcie postępowania wyjaśniającego organ ochrony danych ustalił, że placówka opieki zdrowotnej przetwarzała informacje dotyczące osoby, której dane dotyczą, bez jej zgody, a zatem bez ważnej podstawy prawnej. Ponadto organ ten stwierdził, że placówka opieki zdrowotnej nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, aby zapobiec takim zdarzeniom. | Link | |
1157 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-28 | 40 000,00 € | Working Capital Management España, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 euro na agencję informacji kredytowej Working Capital Management España, S.L.. Osoba, której dane dotyczą, złożyła skargę na firmę do AEPD. Nieuczciwe osoby trzecie zaciągnęły kredyt w NBQ Technology, S.A.U. w imieniu osoby, której dane dotyczą, bez faktycznego zawarcia przez nią umowy. Po tym, jak osoba, której dane dotyczą, nie dokonała płatności, NBQ ujawniła jej dane spółce Working Capital Management. AEPD ustaliła, że Working Capital Management przetwarzała dane osoby, której dane dotyczyły, niezgodnie z prawem, ponieważ dane osobowe zostały wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. | Link | |
1156 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-10 | 300,00 € | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu karę w wysokości 300 euro. Administrator danych żądał od klientów różnych danych osobowych w celu rezerwacji wizyt. Organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu tych danych zgodnie z art. 13 RODO. | Link | |
1155 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-09 | 1 200,00 € | CONTIMAG INVEST, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał CONTIMAG INVEST, S.L. grzywną w wysokości 1 200 EUR za nieprzekazanie wystarczających informacji na temat monitoringu wizyjnego w jednej z prowadzonych przez siebie restauracji. | Link | |
1154 | Islandia | Persónuvernd | 2022-05-03 | 36 000,00 € | Miasto Reykjavík | Art. 5 RODO, Art. 6 RODO, Art. 32 RODO | Islandzki organ ochrony danych osobowych nałożył na miasto Reykjavík grzywnę w wysokości 36 000 EUR. Miasto korzystało z cyfrowego systemu edukacyjnego "Seesaw" w kilku szkołach. System ten przetwarzał m.in. dane osobowe nieletnich uczniów, takie jak informacje zwrotne od nauczycieli oraz informacje o prywatnych sprawach uczniów. W trakcie dochodzenia organ ochrony danych stwierdził, że cel przetwarzania danych dzieci nie został dostatecznie jasno określony. W tym kontekście, organ stwierdził również naruszenie zasady proporcjonalności i minimalizacji danych. Ponadto organ stwierdził, że miasto nie wdrożyło odpowiednich środków technicznych i organizacyjnych w zakresie ochrony danych osobowych. Było to konieczne ze względu na wysokie ryzyko, że dane mogą być przekazywane do Stanów Zjednoczonych i tam przetwarzane. Przy ustalaniu wysokości grzywny wzięto pod uwagę fakt, że naruszenie danych nie spowodowało żadnych szkód. | Link | |
1153 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-28 | 15 000,00 € | MEDEROS MOVITEN, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na MEDEROS MOVITEN, S.L. grzywnę w wysokości 15 000 EUR. Osoba, której dane dotyczą, podpisała ze spółką umowę o świadczenie usług telefonii komórkowej. Firma ta wystawiła jednak osobie, której dane dotyczą, faktury za usługi, na które osoba ta nie wyraziła zgody. Umowy dotyczące tych usług zawierały dane osobowe osoby, której dane dotyczą, ale nie zawierały podpisu. Ze względu na brak ważnej umowy, organ ochrony danych stwierdził, że firma nielegalnie przetwarzała dane osobowe osoby, której dane dotyczą, w odniesieniu do przedmiotowych umów, naruszając tym samym art. 6 (1) RODO. | Link | |
1152 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-05-03 | 5 000,00 € | MISTORE CANARIAS, S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę MISTORE CANARIAS, S.L. grzywnę w wysokości 5 000 EUR. Osoba, która dokonała zakupu w tej firmie, złożyła na nią skargę do organu ochrony danych. Według tej osoby, podczas zakupu zgromadzono jej dane osobowe, takie jak nazwisko, imię i dane rachunku bankowego. W trakcie dokonywania zakupu zaproponowano jej produkty trzech innych firm, które odrzuciła. Mimo to administrator przekazał jej dane do tych trzech firm bez jej zgody na takie przekazanie. | Link | |
1151 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-05-04 | 10 000,00 € | Nationale Maatschappij der Belgische Spoorwegen | Art. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 12 (2) RODO, Art. 21 (2), (3), (4) RODO | Belgijski organ ochrony danych (DPA) nałożył na belgijskie państwowe przedsiębiorstwo kolejowe (Nationale Maatschappij der Belgische Spoorwegen) karę w wysokości 10 000 EUR. Skargę do organu ochrony danych złożył użytkownik Twittera, który otrzymał drogą elektroniczną biuletyn informacyjny od przedsiębiorstwa kolejowego. Według użytkownika Twittera, newsletter nie zawierał opcji rezygnacji z subskrypcji. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził po pierwsze, że nie istniała ważna podstawa prawna do przetwarzania danych osobowych za pośrednictwem newslettera. Wbrew opinii spółki kolejowej, organ ten stwierdził, że biuletyn nie był niezbędny do wykonania umów między pasażerami a spółką, a zatem interes związany z wykonaniem umowy nie stanowił podstawy prawnej przetwarzania danych. Ponadto organ ochrony danych stwierdził, że prawo do sprzeciwu przysługujące osobom, których dane dotyczą, nie zostało uwzględnione w wystarczającym stopniu, ponieważ nie było możliwości wypisania się z biuletynu bezpośrednio za pośrednictwem poczty elektronicznej. | Link | |
1150 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-03-24 | 10 000,00 € | Brav s.r.l. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych nałożył na firmę Brav s.r.l. grzywnę w wysokości 10 000 EUR. Operator platformy internetowej zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Nieupoważnionym osobom udało się uzyskać dostęp do platformy wykorzystywanej przez policję w Genui do zarządzania wykroczeniami drogowymi, a także do zawartych na niej danych osobowych. Według Miasta Genua, uzyskanie nieuprawnionego dostępu do platformy było możliwe z uwagi na fakt, że niektórzy pracownicy nieuprawnienie ujawnili hasło dostępu do platformy, naruszając oficjalne przepisy. Z tego powodu organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Administrator powinien był zapewnić regularną zmianę haseł, aby uniemożliwić osobom nieupoważnionym uzyskanie dostępu do danych osobowych. | Link | |
1149 | Norwegia | Datatilsynet | 2022-02-02 | 30 000,00 € | Gmina Lillestrøm | Art. 5 RODO, Art. 6 RODO, Art. 32 (1) b) RODO | Norweski organ ochrony danych osobowych nałożył na gminę Lillestrøm karę w wysokości 30 000 EUR. Gmina przypadkowo opublikowała dokument, w którym 10 z 21 załączników zawierało dane osobowe uczniów. Dane te zawierały informacje o nazwiskach uczniów, datach urodzenia, wynikach testów, ocenach zachowania uczniów oraz wyzwaniach, przed jakimi stają uczniowie. Błąd ten nie został wykryty przez odpowiedzialnego administratora i przeszedł jeszcze dwie ręczne kontrole jakości w centrum dokumentacji, gdzie również nie został wykryty. Dopiero dziennikarz zwrócił później uwagę na naruszenie danych. W trakcie dochodzenia organ ochrony danych stwierdził, że gmina nie podjęła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ponadto fakt, że incydent został wykryty nie przez władze miasta, lecz przez osobę trzecią, wskazuje na brak odpowiednich procedur w tym zakresie. | Link | |
1148 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-05-04 | 4 000,00 € | Concordia Capital IFN S.A. | Art. 5 RODO, Art. 6 RODO | Rumuński organ ochrony danych ukarał Concordia Capital IFN S.A. grzywną w wysokości 4 000 EUR. Administrator bezprawnie zainstalował kamery audio i wideo w biurach swoich pracowników. Monitoring wizyjny miał na celu ochronę pracowników i towarów firmy. Organ ochrony danych stwierdził jednak, że administrator naruszył Art. 5 RODO i Art. 6 RODO, ponieważ tak rozległy nadzór nie był konieczny. | Link | |
1147 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-28 | 1 500,00 € | CAFFE VECCHIO, S.L. | Art. 5 (1) f) RODO, Art. 6 (1) a) RODO | Hiszpański organ ochrony danych ukarał CAFFE VECCHIO, S.L. grzywną w wysokości 1 500 EUR. Były pracownik kawiarni złożył skargę do organu ochrony danych. Operator kawiarni odpowiedział na negatywne recenzje online dotyczące kawiarni, ujawniając dane osobowe byłego pracownika. Ponadto operator opublikował informacje o przyczynach rozwiązania stosunku pracy. | Link | |
1146 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2021-09-17 | 10 000,00 € | Szpital Śródziemnomorski na Cyprze | Art. 31 RODO, Art. 58 (1) a) RODO | Cypryjski organ ds. ochrony danych nałożył na Mediterranean Hospital of Cyprus grzywnę w wysokości 10 000 EUR za nieprzekazanie informacji, o które zwrócił się organ podczas dochodzenia. | Link | |
1145 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-05-03 | 4 000,00 € | Megareduceri TV S.R.L. | Art. 58 (1) RODO | Nieprzekazanie wymaganych informacji rumuńskiemu organowi ochrony danych w wymaganym terminie z naruszeniem art. 58 RODO. | Link | |
1144 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-29 | 16 000,00 € | LABORATORIOS GONZÁLEZ, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na LABORATORIOS GONZÁLEZ, S.L. Laboratorium wysłało wyniki testu Covid-19, który osoba, której dane dotyczą, wykonała nie tylko do niej samej, ale także do jej przełożonego, bez jej zgody. Pierwotna grzywna w wysokości 20 000 EUR została zmniejszona do 16 000 EUR ze względu na natychmiastową zapłatę. | Link | |
1143 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-29 | 4 200,00 € | CLÍNICA DENTAL SAN FRANCISCO, S.L. | Art. 17 RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na CLÍNICA DENTAL SAN FRANCISCO, S.L. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych w związku z faktem, że administrator nadal wysyłał jej reklamy za pośrednictwem aplikacji WhatsApp, mimo że zażądała ona usunięcia swoich danych. Pierwotna grzywna w wysokości 7 000 EUR została zmniejszona do 4 200 EUR ze względu na natychmiastową zapłatę i uznanie winy przez administratora. | Link | |
1142 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-22 | 5 600,00 € | Lekarz | Art. 6 (1) RODO | Hiszpański organ ochrony danych osobowych (AEPD) ukarał grzywną lekarza. Lekarz ten wykorzystywał nagrania z leczenia pacjenta do celów reklamowych. Pacjent nie wyraził jednak na to zgody. Z tego powodu organ ochrony danych stwierdził, że lekarz przetwarzał dane bez ważnej podstawy prawnej. Pierwotna grzywna w wysokości 7 000 EUR została zmniejszona do 5 600 EUR ze względu na natychmiastową zapłatę. | Link | |
1141 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-27 | 1 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1 500 EUR. Administrator zainstalował kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny. Grzywna składa się z 1 000 EUR za naruszenie art. 5 (1) c) RODO oraz 500 EUR za naruszenie art. 13 RODO. | Link | |
1140 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-23 | 1 200,00 € | MOVALIA TRASLADOS, S.L.U. | Art. 6 (1) RDOD, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na MOVALIA TRASLADOS, S.L.U.. W trakcie postępowania wyjaśniającego organ ten stwierdził liczne uchybienia na stronie internetowej prowadzonej przez administratora. Przykładowo, administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto, wbrew obowiązkowi ciążącemu na administratorze zgodnie z art. 13 RODO, strona nie posiadała polityki prywatności. Pierwotna grzywna w wysokości 2 000 EUR została zmniejszona do 1 200 EUR ze względu na natychmiastową zapłatę i uznanie winy. | Link | |
1139 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-19 | 600,00 € | DOOR2DOOR SPAIN, S.L. | Art. 58 (2) RODO | Hiszpański organ ochrony danych nałożył grzywnę na DOOR2DOOR SPAIN, S.L.. Administrator nie wdrożył w odpowiednim czasie środków wielokrotnie nakazywanych przez organ ochrony danych. Ponadto administrator nie przekazał organowi ochrony danych informacji, o które organ wnioskował. Pierwotna grzywna w wysokości 1 000 EUR została zmniejszona do 600 EUR w związku z natychmiastową płatnością i uznaniem winy przez administratora. | Link | |
1138 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2022-03-02 | 13 500,00 € | Przedsiębiorstwo | Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (2) RODO, Art. 17 (1) b) RODO | Węgierski organ ochrony danych nałożył na firmę grzywnę w wysokości 13 500 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych twierdząc, że firma opublikowała bez jej zgody dane osobowe, takie jak jej imię i nazwisko, adres i numer telefonu. Ponadto firma nie odpowiedziała na prośbę osoby fizycznej o usunięcie danych. | Link | |
1137 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-04-04 | 5 000,00 € | Burmistrz | Art. 5 (1) a) RODO | Grecki organ ochrony danych ukarał burmistrza grzywną w wysokości 5 000 EUR. Burmistrz wysłał dokumenty pracownika gminy do osób trzecich bez jego zgody. Organ ochrony danych uznał to za naruszenie art. 5 (1) a) RODO. | Link | |
1136 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2022-04-15 | 1 500 000,00 € | DEDALUS BIOLOGIE | Art. 28 RODO, Art. 29 RODO, Art. 32 RODO | Francuski organ ochrony danych (CNIL) nałożył na firmę DEDALUS BIOLOGIE grzywnę w wysokości 1,5 mln EUR. DEDALUS zajmuje się dystrybucją oprogramowania dla laboratoriów analiz medycznych. W lutym prasa ujawniła wyciek danych w firmie DEDALUS, w wyniku którego wyciekły dane prawie 500 tys. osób. Dane, które wyciekły, zawierały informacje o nazwiskach, imionach, numerze ubezpieczenia społecznego, nazwisku lekarza prowadzącego, dane dotyczące badań lekarskich i chorób osób, których dane dotyczyły. W trakcie dochodzenia CNIL stwierdziła kilka naruszeń GDPR. Mianowicie, firma DEDALUS naruszyła art. 29 RODO, pobierając więcej danych niż było to wymagane w trakcie przetwarzania danych w imieniu dwóch laboratoriów. Ponadto organ ochrony danych stwierdził, że firma DEDALUS nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. Stanowi to naruszenie Art. 32 RODO. Na przykład, nie wdrożono żadnej konkretnej procedury dotyczącej operacji migracji danych. Ponadto dane, które wyciekły, nie były przechowywane na serwerze w postaci zaszyfrowanej. Ponadto organ ochrony danych stwierdził, że w firmie DEDALUS brakowało uwierzytelnienia przy dostępie do publicznej części serwera. Brak takich środków bezpieczeństwa był jedną z głównych przyczyn wycieku danych. Ponadto organ ochrony danych stwierdził, że dokumenty umowne między firmą DEDALUS a jej klientami nie spełniały wymogów określonych w art. 28 RODO. Nakładając grzywnę, organ ochrony danych wziął pod uwagę powagę popełnionych naruszeń, w szczególności naruszenia bezpieczeństwa, a także dużą liczbę osób, których one dotyczyły. | Link Link | |
1135 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-18 | 1 800,00 € | Operator strony internetowej | Art. 6 (1) RODO, Art. 13 RODO, Art. 22 (2) LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na operatora strony internetowej. W trakcie dochodzenia organ ten stwierdził liczne uchybienia na stronie internetowej prowadzonej przez administratora. Przykładowo, administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto strona internetowa nie zawierała żadnego rodzaju polityki prywatności. W związku z tym organ ochrony danych stwierdził, że administrator naruszył swoje obowiązki określone w art. 13 RODO. Ponadto organ ochrony danych stwierdził uchybienia w stosowaniu plików cookie. Pierwotna grzywna w wysokości 3 000 EUR została zmniejszona do 1 800 EUR ze względu na natychmiastową płatność i uznanie winy. | Link | |
1134 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-18 | 9 000,00 € | JIMBO NETWORKS, S.L. | Art. 6 (1) RODO, Art. 13 RODO, Art. 22 (2) LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na firmę JIMBO NETWORKS, S.L.. W trakcie dochodzenia organ ten stwierdził liczne uchybienia na stronie internetowej prowadzonej przez administratora. Przykładowo, administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto, polityka prywatności na stronie internetowej nie spełniała wymogów określonych w art. 13 RODO. . Polityka prywatności zawierała nieaktualne informacje i odwoływała się do przepisów, które nie obowiązywały. Ponadto organ ochrony danych stwierdził uchybienia w stosowaniu plików cookie. Pierwotna grzywna w wysokości 15 000 EUR została zmniejszona do 9 000 EUR dzięki natychmiastowej płatności i uznaniu winy. | Link | |
1133 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-03-10 | 8 000,00 € | Agenzia Regionale per la Tutela dell'Ambiente dell'Abruzzo | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-octies Codice della privacy | Włoski organ ochrony danych (Garante) ukarał Agenzia Regionale per la Tutela dell'Ambiente dell'Abruzzo grzywną w wysokości 8 000 EUR. Były pracownik agencji ochrony środowiska złożył skargę do organu ochrony danych w związku z faktem, że agencja swobodnie opublikowała na swojej stronie internetowej dokumenty zawierające jego dane osobowe. Dokumenty te zawierały m.in. informacje o poprzednim zatrudnieniu oraz informacje o karalności. | Link | |
1132 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-04-04 | 10 000,00 € | Piraeus Bank | Art. 5 (1) f) RODO, Art. 33 RODO, Art. 34 RODO | Grecki organ ochrony danych osobowych nałożył na Piraeus Bank grzywnę w wysokości 10 000 EUR. Bank ten omyłkowo wysłał do osoby trzeciej dokument zawierający dane osoby, której dane dotyczą. Błąd ten wynikał z błędnie podanego adresu e-mail przez współwłaściciela konta. Mimo że bank dowiedział się o tym błędzie, nie zaprzestał wysyłania komunikatów do osoby trzeciej, lecz zamiast tego poinstruował osobę, której dane dotyczą, by skorzystała z prawa do poprawienia niedokładnych danych. W wyniku przeprowadzonego dochodzenia organ ochrony danych stwierdził, że bank naruszył zasadę poufności, ponieważ nie zaprzestał wysyłania komunikatów. Organ ten stwierdził również, że bank nie zgłosił naruszenia ochrony danych organowi ochrony danych i osobie, której dane dotyczą, w odpowiednim czasie. | Link | |
1131 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-03-10 | 6 000,00 € | Azienda sanitaria provinciale di Caltanissetta | Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 37 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na Azienda sanitaria provinciale di Caltanissetta grzywnę w wysokości 6 000 EUR. Osoba, której dane dotyczą, poprosiła administratora danych, w kontekście postępowania sądowego, o przesyłanie wszelkiej korespondencji w tej sprawie wyłącznie na jej prywatną skrzynkę poczty elektronicznej. Niemniej jednak administrator wysłał komunikaty na służbowy adres poczty elektronicznej osoby, której dane dotyczą. Ponadto osoba, której dane dotyczą, zażądała dostępu do swoich danych. Administrator danych nie spełnił jednak tego żądania w należyty sposób. W toku postępowania wyjaśniającego organ ochrony danych ustalił również, że zakład opieki zdrowotnej nie powiadomił organu ochrony danych o nazwisku i danych kontaktowych nowego inspektora ochrony danych oraz nie zaktualizował ich na swojej stronie internetowej. | Link | |
1130 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-13 | 8 000,00 € | RAMONA FILMS, S.L. | Art. 13 RODO, Art. 22 (2) LSSI | Hiszpański organ ochrony danych (AEPD) ukarał RAMONA FILMS, S.L. grzywną za niedopełnienie obowiązku zapewnienia zgodności polityki prywatności firmy z wymogami Art. 13 RODO. W szczególności, strona internetowa zawierała nieaktualne informacje i odwoływała się do nieobowiązujących przepisów. Ponadto organ ochrony danych stwierdził uchybienia w stosowaniu plików cookie. Pierwotna grzywna w wysokości 10 000 EUR została zmniejszona do 8 000 EUR ze względu na natychmiastową zapłatę i przyznanie się do winy. | Link | |
1129 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-11 | 150 000,00 € | BASER COMERCIALIZADORA DE REFERENCIA, S.A. | Art. 6 RODO, Art. 32 RODO | Hiszpański organ ochrony danych (DPA) nałożył na BASER COMERCIALIZADORA DE REFERENCIA, S.A. grzywnę w wysokości 150 000 EUR. Klient firmy złożył skargę do organu ochrony danych, ponieważ jego umowa na dostawę energii elektrycznej została zmieniona bez jego zgody. Spowodowało to zwiększenie dostaw energii elektrycznej. W trakcie dochodzenia organ ochrony danych ustalił, że oszust podał się za osobę, której dane dotyczą, podając jej imię i nazwisko oraz numer identyfikacyjny. W ten sposób był w stanie zmienić umowę osoby, której dane dotyczą. Według organu ochrony danych, administrator nie sprawdził odpowiednio tożsamości oszusta przed zmianą umowy i z powodu braku wystarczających środków bezpieczeństwa, nie upewnił się, że pytający jest rzeczywiście osobą, której dane dotyczą. | Link | |
1128 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-18 | 1 800,00 € | FLORAQUEEN FLOWERING THE WORLD S.L. | Art. 58 (1) RODO | Hiszpański organ ochrony danych ukarał firmę FLORAQUEEN FLOWERING THE WORLD S.L. grzywną za nieprzekazanie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. Pierwotna grzywna w wysokości 3 000 EUR została obniżona do 1 800 EUR dzięki natychmiastowej płatności i uznaniu winy. | Link | |
1127 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-03-10 | 10 000,00 € | Azienda USL Toscana Centro | Art. 5 (1) a), f) RODO, Art. 9 RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył na Azienda USL Toscana Centro grzywnę w wysokości 10 000 EUR. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi po tym, jak zgłosił on naruszenie ochrony danych zgodnie z art. 33 RODO. Administrator omyłkowo wysłał dokumentację medyczną pacjentów do niewłaściwych pacjentów. W związku z tym organ ochrony danych stwierdził, że zakład opieki zdrowotnej nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. | Link | |
1126 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-04-18 | 1 000,00 € | IKEA România S.R.L. | Art. 12 (3) RODO | Rumuński organ ochrony danych nałożył na IKEA România S.R.L. grzywnę w wysokości 1 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, że IKEA nie spełniła jej żądań dotyczących usunięcia danych osobowych osoby, której dane dotyczą, z jej konta użytkownika w IKEA w odpowiednim czasie. Organ ochrony danych stwierdził, że IKEA Romania naruszyła art. 12 ust. 3 RODO. | Link | |
1125 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-04-12 | 500,00 € | Wspólnota mieszkaniowa | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 500 EUR na wspólnotę mieszkaniową. Zarząd wspólnoty mieszkaniowej opublikował listę właścicieli zalegających z płatnościami. Organ ochrony danych uznał to za naruszenie zasady poufności i integralności określonej w art. 5 ust. 1 lit. f) RODO. | Link | |
1124 | Niderlandy | Autoriteit Persoonsgegevens (AP) | 2022-04-07 | 3 700 000,00 € | Niderlandzka Administracja Podatkowa i Celna | Art. 5 (1) a), b), d), e) RODO, Art. 6 (1) RODO, Art. 32 (1) RODO, Art. 35 (2) RODO | Niderlandzki organ ochrony danych nałożył na niderlandzki urząd podatkowy i celny grzywnę w wysokości 3,7 mln EUR. Jest to najwyższa grzywna nałożona do tej pory przez niderlandzki organ ochrony danych. W ramach dochodzenia organ ochrony danych wykrył szereg naruszeń RODO. Urząd podatkowy i celny przez kilka lat prowadził listę, na której odnotowywał przypadki oszustw. Lista ta zawierała informacje o ponad 270 000 osób, w tym o nieletnich. W ramach prowadzenia listy administracja przetwarzała dane osobowe, takie jak dane dotyczące stanu zdrowia, obywatelstwa i dane osobowe dotyczące przestępstw. Organ ochrony danych wstępnie stwierdził, że administracja nie miała ważnej podstawy prawnej do przetwarzania danych zawartych w wykazie. Z tego powodu dane te były przetwarzane niezgodnie z prawem. Ponadto organ ten stwierdził, że informacje zawarte w wykazie były często nieprawidłowe, przez co duża liczba osób została fałszywie zarejestrowana jako potencjalni oszuści. Ponadto dochodzenie wykazało, że prowadzenie tej listy prowadziło do dyskryminacji niektórych osób, ponieważ ryzyko oszustwa było określane na podstawie narodowości i wyglądu osób, których dane dotyczą, między innymi na podstawie innych czynników. Na przykład darowizny na rzecz meczetów uznawano za czynnik ryzyka oszustwa. Ponadto organ ochrony danych stwierdził, że administracja naruszyła swój obowiązek wynikający z RODO, polegający na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią właściwą ochronę gromadzonych przez nią danych osobowych. W rzeczywistości administracja nieodpowiednio zabezpieczyła dane osobowe. Organ ochrony danych stwierdził również, że administracja naruszyła zasadę ograniczenia przechowywania, przechowując dane przez dłuższy czas wbrew okresowi przechowywania ustalonemu dla danych osobowych w wykazie. Ponadto organ ochrony danych stwierdził, że przetwarzanie danych zawartych w wykazie nie było niezbędne do prawidłowego wykonywania zadań przez administrację. Przetwarzanie danych było zatem nieproporcjonalne. Administracja nie określiła również w wystarczający sposób celów przetwarzania danych, naruszając tym samym zasadę ograniczenia celu. Wysokość grzywny przedstawia się następująco: 1 mln EUR za naruszenie art. 5 (1) a) RODO i art. 6 (1) RODO; 750 000 EUR za naruszenie art. 5 (1) b) RODO 750 000 EUR za naruszenie art. 5 (1) d) RODO; 250 000 EUR za naruszenie art. 5 (1) e) RODO; 500 000 EUR za naruszenie art. 32 (1) RODO; 450 000 EUR za naruszenie art. 32 (1) RODO; 450 000 EUR za naruszenie art. 35 (2) RODO. | Link Link | |
1123 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-02-10 | 1 500,00 € | Studio Colli Aniene Verderocca S.r.l. | Art. 12 (3) RODO, Art. 14 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO | Włoski organ ochrony danych nałożył na Studio Colli Aniene Verderocca S.r.l. grzywnę w wysokości 1 500 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezamówioną reklamą telefoniczną. Ponadto osoba, której dane dotyczą, stwierdziła, że nie otrzymała odpowiedzi na swój wniosek o udzielenie informacji i usunięcie danych dotyczących przetwarzania jej danych osobowych. | Link | |
1122 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-02-10 | 5 000,00 € | Arte del vivere S.r.l. | Art. 12 RODO, Art. 17 RODO, Art. 157 Codice della privacy | Włoski organ ochrony danych nałożył na spółkę Arte del vivere S.r.l. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ jej dane osobowe zostały opublikowane na stronie internetowej www.mondoshiatsu.com prowadzonej przez administratora. Osoba, której dane dotyczą, została automatycznie włączona do portalu Shiatsu po odbyciu rocznego szkolenia Shiatsu. Ponieważ jednak nigdy nie pracował w tej dziedzinie, wielokrotnie prosił o usunięcie swoich danych. Administrator nie spełnił jednak żądania, mimo że obiecał usunąć dane. | Link | |
1121 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-04-01 | 7 500,00 € | Przedsiębiorstwo | Art. 5 (1) a) RODO, Art. 6 (1) f) RODO, Art. 15 RODO, Art. 17 RODO, Art. 18 RODO, Art. 21 RODO, Art. 28 RODO | Belgijski organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 7 500 EUR. Były dyrektor zarządzający złożył skargę na firmę do organu ochrony danych. W związku ze zwolnieniem z pracy były dyrektor zarządzający usunął wszystkie dane ze służbowego laptopa przed oddaniem sprzętu technicznego. Według dyrektora, usunięte zostały jedynie dane prywatne, takie jak prywatna skrzynka e-mail. Firma stwierdziła jednak, że dyrektor usunął zarówno dane prywatne, jak i związane z pracą. Następnie firma przywróciła dane, które wcześniej znajdowały się na laptopie. Z tego powodu były dyrektor zarządzający zwrócił się o skorzystanie z prawa do usunięcia danych, ograniczenia ich przetwarzania oraz wniesienia sprzeciwu. Przedsiębiorstwo odrzuciło jednak ten wniosek. W trakcie dochodzenia organ ochrony danych stwierdził, że firma naruszyła swój obowiązek wynikający z RODO, polegający na przyznaniu byłemu dyrektorowi zarządzającemu możliwości skorzystania z tych praw. Ponadto organ ten stwierdził, że ze względu na brak ważnej podstawy prawnej w momencie przywracania danych firma przetwarzała je niezgodnie z prawem. | Link | |
1120 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-04-07 | 500,00 € | Stowarzyszenie właścicieli nieruchomości | Art. 58 (1) a), e) RODO | Rumuński organ ochrony danych osobowych (ANSPDCP) ukarał grzywną w wysokości 500 EUR stowarzyszenie właścicieli nieruchomości za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia. | Link | |
1119 | Niderlandy | Autoriteit Persoonsgegevens (AP) | 2022-02-24 | 565 000,00 € | Ministerstwo Spraw Zagranicznych Niderlandów | Art. 13 (1) e) RODO, Art. 32 (1) RODO | Niderlandzki urząd ds. ochrony danych osobowych nałożył na niderlandzkie Ministerstwo Spraw Zagranicznych grzywnę w wysokości 565 000 EUR. W ramach prowadzonego dochodzenia organ ten stwierdził, że w krajowym systemie informacji wizowej (NVIS) występowały istotne braki w zakresie bezpieczeństwa. Jest to szczególnie poważne, ponieważ w ciągu ostatnich trzech lat Ministerstwo Spraw Zagranicznych rozpatrywało średnio 530 000 wniosków wizowych rocznie, w związku z czym dane osobowe przetwarzane w trakcie rozpatrywania wniosków były nieodpowiednio zabezpieczone. Dane te obejmowały informacje wrażliwe, takie jak odciski palców, imię i nazwisko, adres, miejsce zamieszkania, kraj urodzenia, cel podróży i obywatelstwo. Z powodu nieodpowiednich środków bezpieczeństwa dostęp do tych danych mogły uzyskać osoby nieuprawnione. Według agencji DPA, Ministerstwo Spraw Zagranicznych od pewnego czasu wiedziało o błędach w zabezpieczeniach systemu wizowego. Pomimo tej wiedzy, ministerstwo nie dostosowało na czas środków bezpieczeństwa. Z tego powodu organ uznał, że ministerstwo dopuściło się rażącego zaniedbania. Organ ochrony danych stwierdził również, że Ministerstwo Spraw Zagranicznych nie poinformowało w odpowiedni sposób osób ubiegających się o wizy, że ich dane osobowe zostaną udostępnione innym podmiotom. | Link Link | |
1118 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-04-04 | 20 000,00 € | Ambuce Rescue Team | Art. 5 RODO, Art. 6 RODO, Art. 9 RODO | Belgijski organ ochrony danych osobowych nałożył na Ambuce Rescue Team grzywnę w wysokości 20 000 EUR. Grzywna ta jest powiązana z grzywnami nałożonymi na Brussels Airport Charleroi i Brussels Airport Zaventem. W związku z pandemią wirusa Covid 19 lotniska użyły kamer termowizyjnych, aby odfiltrować osoby o temperaturze ciała przekraczającej 38 stopni. Osoby odfiltrowane były następnie proszone o udzielenie odpowiedzi na pytania dotyczące ewentualnych objawów koronawirusa. W tym procesie kwestionariusze były dostarczane przez Ambuce Rescue Team. Organ ochrony danych stwierdził w szczególności, że nie istniała ważna podstawa prawna do przetwarzania tych danych zdrowotnych. Dane dotyczące zdrowia są szczególną kategorią danych w rozumieniu art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 (2) RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym celu jednak przetwarzanie musi być oparte na wyraźnej normie prawnej. W omawianych przypadkach przetwarzanie odbywało się na podstawie protokołu, który nie spełniał tych wymogów. | Link | |
1117 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-04-04 | 100 000,00 € | Port lotniczy Bruksela Charleroi | Art. 5 (1) a), b) RODO, Art. 6 (1) c) RODO, Art. 6 (3) RODO, Art. 9 (2) i) RODO, Art. 12 (1) RODO, Art. 13 (1) c) RODO, Art. 13 (2) e) RODO, Art. 35 (1), (7) RODO | Belgijski organ ochrony danych (DPA) nałożył na lotnisko Charleroi w Brukseli grzywnę w wysokości 100 000 EUR. Organ ten wszczął dochodzenie przeciwko lotnisku w związku z doniesieniami mediów na temat monitorowania temperatury osób przebywających na lotnisku. W związku z pandemią koronawirusa lotnisko używało kamer termowizyjnych do odfiltrowania osób, których temperatura ciała przekraczała 38 stopni. Osoby odfiltrowane musiały następnie odpowiedzieć na pytania dotyczące ewentualnych objawów koronawirusa. Organ ochrony danych zauważył w szczególności, że lotnisko nie miało ważnej podstawy prawnej do przetwarzania tych danych zdrowotnych. Dane zdrowotne stanowią dane wrażliwe zgodnie z art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 (2) RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym celu jednak przetwarzanie musi być oparte na wyraźnej normie prawnej. W omawianej sprawie przetwarzanie odbywało się na podstawie protokołu, który nie spełniał tych wymogów. Ponadto organ ochrony danych stwierdził braki w ocenie skutków dla ochrony danych. Co więcej, lotnisko nie poinformowało odpowiednio osób, których dane dotyczą, o przetwarzaniu danych. | Link | |
1116 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-04-04 | 200 000,00 € | Port lotniczy Bruksela Zaventem | Art. 5 (1) c) RODO, Art. 6 (1) e) RODO, Art. 9 (2) g) RODO, Art. 12 RODO, Art. 13 (1) c) RODO, Art. 13 (2) e) RODO, Art. 35 (1), (3), (7) b) RODO | Belgijski organ ochrony danych (DPA) nałożył na lotnisko Zaventem w Brukseli grzywnę w wysokości 200 000 EUR. Organ ten wszczął dochodzenie przeciwko lotnisku w związku z doniesieniami mediów na temat monitorowania temperatury osób przebywających na lotnisku. W związku z pandemią koronawirusa lotnisko używało kamer termowizyjnych w celu odfiltrowania osób z temperaturą ciała przekraczającą 38 stopni. Osoby odfiltrowane musiały następnie odpowiedzieć na pytania dotyczące ewentualnych objawów koronawirusa. Organ ochrony danych zauważył w szczególności, że lotnisko nie miało ważnej podstawy prawnej do przetwarzania tych danych zdrowotnych. Dane zdrowotne stanowią dane wrażliwe zgodnie z art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 (2) RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym celu jednak przetwarzanie musi być oparte na wyraźnej normie prawnej. W omawianej sprawie przetwarzanie odbywało się na podstawie protokołu, który nie spełniał tych wymogów. Ponadto organ ochrony danych stwierdził braki w ocenie skutków dla ochrony danych. Co więcej, lotnisko nie poinformowało odpowiednio osób, których dane dotyczą, o przetwarzaniu danych. | Link | |
1115 | Irlandia | Data Protection Commission (DPC) | 2022-04-05 | 463 000,00 € | Bank Irlandii | Art. 32 RODO, Art. 33 RODO, Art. 34 RODO | Irlandzki organ ochrony danych (DPA) ukarał Bank of Ireland grzywną w wysokości 463 000 EUR. Na mocy art. 33 RODO bank zgłosił organowi ochrony danych 22 przypadki naruszenia ochrony danych. W ramach prowadzonego dochodzenia organ ochrony danych ustalił, że bank przekazał fałszywe informacje do Centralnego Rejestru Kredytowego z powodu pomylenia danych dotyczących rachunków klientów banku. Błąd ten mógł mieć potencjalnie negatywny wpływ na zdolność kredytową osób, których dane dotyczą. Organ ochrony danych stwierdził, że do naruszenia danych osobowych doszło z powodu nieodpowiednich środków technicznych i organizacyjnych ze strony banku. Ponadto bank nie poinformował niezwłocznie osób, których dane dotyczą, oraz organu ochrony danych o naruszeniu danych. | Link Link | |
1114 | Dania | Datatilsynet | 2022-04-05 | 1 300 000,00 € | Danske Bank | Art. 5 (2) RODO | Duński organ ochrony danych nałożył na Danske Bank grzywnę w wysokości 1,3 mln euro. Organ ten wszczął dochodzenie przeciwko bankowi po tym, jak poinformował on, że ma problem z usuwaniem danych osobowych. W trakcie dochodzenia organ ten ustalił, że bank nie udokumentował zasad usuwania i przechowywania danych osobowych w ponad 400 systemach. W związku z tym bank nie był w stanie udowodnić, że takie zasady, wymagane na mocy RODO, istniały. Organ ochrony danych uznał to za naruszenie obowiązku rozliczalności banku na mocy art. 5 ust. 2 RODO. | Link | |
1113 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-03-09 | 2 000,00 € | Szkoła języków obcych | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO | Grecki organ ochrony danych nałożył na pracodawcę (właściciela prywatnej szkoły języków obcych) grzywnę w wysokości 2 000 EUR. Pracownik, który pracuje w szkole jako nauczyciel języków obcych, złożył skargę do organu ochrony danych osobowych na swojego pracodawcę. Powodem skargi było to, że administrator danych kontynuował stałe monitorowanie pracownika podczas kursów online za pośrednictwem platformy "Zoom", pomimo jego sprzeciwu. W związku z tym organ ochrony danych stwierdził, że administrator naruszył obowiązek przestrzegania prawa podmiotu danych do sprzeciwu. Ponadto, organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych zgodnie z art. 13 RODO. | Link Link | |
1112 | Szwecja | Datainspektionen | 2022-03-28 | 720 000,00 € | Klarna Bank AB | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 12 (1) RODO, Art. 13 (2) f) RODO, Art. 14 (2) g) RODO | Szwedzki urząd ochrony danych osobowych nałożył na Klarna Bank AB grzywnę w wysokości 720 000 EUR. Klarna jest firmą finansową, która na różne sposoby przetwarza dużą ilość danych osobowych. W ramach prowadzonego dochodzenia organ ochrony danych ustalił, że Klarna nie wywiązywała się należycie ze swoich obowiązków informacyjnych. Na przykład, Klarna nie przedstawiła na swojej stronie internetowej wystarczających informacji na temat celu i podstawy prawnej przetwarzania danych osobowych. Ponadto, jeśli chodzi o przekazywanie danych szwedzkim i zagranicznym agencjom kredytowym, Klarna podała niepełne informacje o odbiorcach danych osobowych. Klarna nie dostarczyła również informacji o państwach trzecich, do których przekazywane są dane osobowe. Wreszcie, organ ochrony danych stwierdził, że Klarna w niewystarczającym stopniu informowała osoby, których dane dotyczą, o ich prawach wynikających z RODO. | Link Link | |
1111 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-03-28 | 2 000,00 € | Condor SA | Art. 32 (1), (2), (4) RODO | Rumuński organ ochrony danych osobowych nałożył na firmę Condor SA karę w wysokości 2 000 EUR. U administratora nastąpiło naruszenie, w wyniku którego osoby nieuprawnione uzyskały dostęp do kilku dokumentów zawierających dane osobowe pracowników i byłych pracowników, takie jak miejsce pracy, nazwisko, imię, stanowisko, wynagrodzenie i dane bankowe. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych, które zapewniłyby ochronę danych osobowych. | Link | |
1110 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-03-25 | 2 000,00 € | Kaufland Romania SCS | Art. 15 (3) RODO | Rumuński organ ochrony danych osobowych nałożył na Kaufland Romania SCS grzywnę w wysokości 2 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezastosowaniem się przez administratora do jej prośby o dostarczenie kopii nagrań z systemu monitoringu wizyjnego, na których osoba, której dane dotyczą, mogła być widoczna. W toku postępowania organ ustalił, że administrator danych naruszył obowiązek udzielenia informacji, zwłaszcza że nagrania były dostępne. | Link | |
1109 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022-03-21 | 5 000,00 € | English School staff union (ESSA) | Art. 32 RODO | Cypryjski organ ochrony danych nałożył na związek zawodowy pracowników szkoły angielskiej (ESSA) grzywnę w wysokości 5 000 EUR. Szkoła powiadomiła organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Nauczyciel, będący również członkiem związku zawodowego, wykorzystał adresy e-mail rodziców uczniów do celów innych niż te, dla których adresy te zostały pierwotnie zebrane. Organ ochrony danych stwierdził, że związek zawodowy pracowników nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych i zapobiegania takim incydentom. | Link | |
1108 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2022-03-22 | 4 000,00 € | English School Cyprus | Art. 32 RODO | Cypryjski organ ochrony danych nałożył na English School in Cyprus grzywnę w wysokości 4 000 EUR. Szkoła zgłosiła naruszenie ochrony danych do organu ochrony danych na mocy art. 33 RODO Nauczyciel wykorzystał adresy e-mail rodziców uczniów do celów innych niż te, do których adresy e-mail zostały pierwotnie zebrane. Organ ochrony danych stwierdził, że szkoła nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych i zapobiegania takim incydentom. | Link | |
1107 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-03-09 | 2 000,00 € | Pracodawca | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO | Grecki organ ochrony danych nałożył na pracodawcę grzywnę w wysokości 2 000 EUR. Pracownik złożył skargę w związku z nieprzestrzeganiem przez pracodawcę prawa pracownika do sprzeciwu. Pracownik sprzeciwił się ciągłemu monitorowaniu jego kursów online oferowanych za pośrednictwem aplikacji zoom. Pracodawca jednak kontynuował monitoring. Ponadto organ ochrony danych stwierdził, że pracodawca nie potrafił podać wystarczającej podstawy prawnej do przetwarzania danych. | Link | |
1106 | Dania | Datatilsynet | 2022-03-25 | 6 700,00 € | Duńskie Narodowe Centrum Genomu | Art. 36 RODO | Duński organ ochrony danych nałożył na Duńskie Narodowe Centrum Genomu grzywnę w wysokości 6 700 EUR. Centrum przeprowadziło ocenę skutków dla ochrony danych, która ujawniła okoliczności mogące stanowić wysokie ryzyko dla praw osób, których dane dotyczą. Organ ochrony danych nałożył grzywnę, ponieważ centrum przetwarzało dane osobowe bez uprzedniej konsultacji z organem ochrony danych, mimo że ocena skutków ujawniła wysokie ryzyko dla osób, których dane dotyczą. Ośrodek zastosował się do wszystkich żądań organu ochrony danych i wykazał się dobrą współpracą z tym organem. | Link Link | |
1105 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-01-19 | 53 000,00 € | PIKA Sp. z o.o. | Art. 28 (3) c), f) RODO, Art. 32 (1), (2) RODO | Polski organ ochrony danych nałożył na PIKA Sp. z o.o. karę pieniężną w wysokości 53 000 EUR. Kara ta jest związana z karą nałożoną na Fortum Marketing and Sales Polska S.A.. PIKA działała na rzecz Fortum jako podmiot przetwarzający dane. Naruszenie danych nastąpiło w momencie wprowadzania przez PIKA zmian w środowisku informatycznym firmy. W ramach tej zmiany została utworzona dodatkowa baza danych klientów Fortum. Serwer, na którym przechowywana była baza danych, nie posiadał jednak wystarczających zabezpieczeń, dlatego osoby nieuprawnione mogły uzyskać dostęp do tych danych. Organ ochrony danych stwierdził również, że PIKA nie dokonała pseudonimizacji i szyfrowania danych. Ponadto, PIKA do testowania zmian w systemie wykorzystywała prawdziwe dane klientów, a nie dane testowe. Z tego powodu organ stwierdził, że PIKA nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych. | Link Link | |
1104 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-01-19 | 1 000 000,00 € | Fortum Marketing and Sales Polska S.A. | Art. 5 (1) f) RODO, Art 24 (1) RODO, Art. 25 (1) RODO, Art. 28 (1) RODO, Art. 32 (1), (2) RODO | Urząd Ochrony Danych Osobowych nałożył na Fortum Marketing and Sales Polska S.A. karę w wysokości 1 mln EUR. Firma zgłosiła naruszenie ochrony danych osobowych do Urzędu Ochrony Danych Osobowych zgodnie z Art. 33 RODO. W trakcie dochodzenia Urząd Ochrony Danych Osobowych ustalił, że nieupoważnione osoby uzyskały dostęp do danych klientów i wyłudziły je. Naruszenie danych nastąpiło w momencie wprowadzenia zmiany w środowisku informatycznym firmy. Zmiany dokonał podmiot przetwarzający dane. W ramach tej zmiany utworzono dodatkową bazę danych klientów Fortum. Serwer, na którym przechowywana była baza danych, nie posiadał jednak wystarczających zabezpieczeń, dlatego osobom nieupoważnionym udało się uzyskać dostęp do danych. Organ ochrony danych ustalił również, że podmiot przetwarzający nie dokonał pseudonimizacji i szyfrowania danych. Ponadto, do testowania zmian w systemie podmiot przetwarzający używał prawdziwych danych klientów, a nie danych testowych. Z tego powodu organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych. Ponadto, organ ochrony danych stwierdził, że administrator byłby zobowiązany do monitorowania pracy podmiotu przetwarzającego w celu zapewnienia ciągłej gwarancji ochrony danych osobowych. | Link Link | |
1103 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brema | 2022-03-03 | 1 900 000,00 € | BREBAU GmbH | Art. 5 (1) RODO, Art. 6 (1) RODO, Art. 9 RODO | Organ ochrony danych osobowych w Bremie nałożył karę w wysokości 1,9 mln EUR na spółdzielnię mieszkaniową BREBAU GmbH. Spółka BREBAU GmbH przetwarzała ponad 9 500 zbiorów danych dotyczących potencjalnych lokatorów bez ważnej podstawy prawnej. W szczególności organ ochrony danych stwierdził, że administrator przetwarzał szczególnie wrażliwe dane w rozumieniu art. 9 RODO. Przykładowo, administrator bezprawnie przetwarzał informacje o kolorze skóry, pochodzeniu etnicznym, przynależności religijnej, orientacji seksualnej i stanie zdrowia osób, których dane dotyczą. Spółka BREBAU GmbH celowo ignorowała również prośby osób, których dane dotyczą, o zapewnienie przejrzystości w zakresie przetwarzania ich danych. Nakładając grzywnę, organ ochrony danych wziął pod uwagę, jako okoliczność obciążającą, nadzwyczajną głębokość naruszenia podstawowego prawa do ochrony danych. Ponieważ jednak BREBAU GmbH w pełni współpracował podczas dochodzenia, podjął wysiłki w celu złagodzenia szkód, samodzielnie wyjaśnił fakty i zapewnił, że takie naruszenia nie będą się powtarzać, wysokość grzywny mogła zostać obniżona. | Link | |
1102 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-02-10 | 2 000,00 € | Gmina Guidizzolo | Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Gmina opublikowała na swojej stronie internetowej informacje o sprawie sądowej, w tym dane osobowe, takie jak imię i nazwisko oraz informacje zawodowe osoby, której dane dotyczą. | Link | |
1101 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-02-10 | 10 000,00 € | Scanshare S.r.l. | Art. 28 (2) RODO, Art. 32 RODO | Włoski organ ochrony danych osobowych nałożył na Scanshare S.r.l. grzywnę w wysokości 10 000 EUR. Kara ta jest związana z grzywną nałożoną na Region Toskanii. Region ten stwierdził, że nieumyślnie opublikował dane osobowe 3 548 osób ubiegających się o stanowiska asystentów administracyjnych. Dane te dotyczyły informacji, które kandydaci podali w ramach testu wstępnej selekcji. Organizację testu preselekcyjnego powierzono Scanshare. Z powodu błędu popełnionego przez Scanshare, błędnie opublikowano adres URL, pod którym można było obejrzeć dane osobowe i wyniki testu. | Link | |
1100 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-02-10 | 10 000,00 € | Region Toskania | Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych nałożył na region Toskania (administrator danych) grzywnę w wysokości 10 000 EUR. Administrator powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Administrator stwierdził, że nieumyślnie opublikował dane osobowe 3 548 osób ubiegających się o stanowiska asystentów administracyjnych. Dane te dotyczyły informacji, które kandydaci udostępnili w ramach testu wstępnego. Region przez pomyłkę opublikował adres URL, pod którym można było zapoznać się z danymi osobowymi i wynikami testu. | Link | |
1099 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-02-10 | 3 500,00 € | Azienda socio sanitaria territoriale Melegnano e della Martesana | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 3 500 EUR na Azienda socio sanitaria territoriale Melegnano e della Martesana. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi danych po tym, jak zgłosił on do niego naruszenie ochrony danych. Pacjent omyłkowo otrzymał dokumentację medyczną i kliniczną innego pacjenta w swojej cyfrowej dokumentacji medycznej. | Link | |
1098 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-02-10 | 20 000 000,00 € | Clearview Al. | Art. 5 (1) a), b), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO, Art. 27 RODO | Włoski urząd ochrony danych nałożył na amerykańską firmę Clearview AI grzywnę w wysokości 20 mln euro po ujawnieniu, że stosowała ona techniki nadzoru biometrycznego na terytorium Włoch. Firma jest właścicielem bazy danych zawierającej ponad 10 miliardów zdjęć twarzy z całego świata. Firma oferuje usługę wyszukiwania, która umożliwia tworzenie profili na podstawie danych biometrycznych pobranych z obrazów. Profile mogą być wzbogacone o informacje związane z tymi zdjęciami, takie jak znaczniki zdjęć i geolokalizacja. Organ ochrony danych wszczął dochodzenie w sprawie firmy po tym, jak okazało się, że Clearview - wbrew początkowym twierdzeniom - umożliwia również wyszukiwanie obywateli i mieszkańców Włoch. Organ ten stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że firma naruszyła kilka zasad RODO. Na przykład, firma naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. Clearview naruszyła również zasadę ograniczenia celu, przetwarzając dane użytkowników do celów innych niż te, dla których zostały one udostępnione online. Wreszcie, naruszyła zasadę ograniczenia przechowywania danych, nie określając okresu ich przechowywania. | Link Link | |
1097 | Islandia | Persónuvernd | 2022-03-08 | 7 000,00 € | Hörpu tónlistar- og ráðstefnuhúss ohf. | Art. 5 (1) c) RODO, Art. 6 RODO | Islandzki organ ochrony danych nałożył karę w wysokości 7000 euro na Hörpu tónlistar- og ráðstefnuhúss ohf. Organ ochrony danych otrzymał skargę dotyczącą gromadzenia przez przedsębiorstwo informacji o numerze dowodu osobistego i dacie urodzenia w ramach elektronicznego zakupu biletów. Incydent miał miejsce przed rozpoczęciem pandemii Covid-19, kiedy rejestracja danych osobowych w celu śledzenia kontaktów w kontekście wizyt na imprezach nie była jeszcze wymagana. Organ ochrony danych stwierdził, że gromadzenie danych w celu wystawienia biletu nie byłoby konieczne, ponieważ zawarcie umowy kupna byłoby możliwe nawet bez tego gromadzenia. Z tego powodu organ ochrony danych uznał, że przedsiębiorstwo naruszyło zasadę minimalizacji danych. | Link | |
1096 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-03-10 | 2 000,00 € | Operatorul Briza Land S.R.L. | Art. 15 RODO | Rumuński organ ochrony danych osobowych (ANSPDCP) nałożył na spółkę Operatorul Briza Land S.R.L. grzywnę w wysokości 2 000 EUR. Administrator nie udzielił właściwej odpowiedzi na wniosek o udzielenie informacji. | Link | |
1095 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-02-10 | 10 000,00 € | Costampress S.p.A. | Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO | Firma pozostawiła aktywne konto poczty elektronicznej osoby, której dane dotyczą, nawet po ustaniu jej zatrudnienia i nie przekazała wystarczających informacji na ten temat. | Link | |
1094 | Irlandia | Data Protection Commission (DPC) | 2022-03-15 | 17 000 000,00 € | Meta Platforms Ireland Limited | Art. 5 (2) RODO, Art. 24 (1) RODO | Irlandzki organ ochrony danych nałożył na Meta Platforms Ireland Limited (dawniej Facebook Ireland Limited) karę w wysokości 17 mln EUR. Decyzja została podjęta na podstawie dwunastu powiadomień o naruszeniach ochrony danych, które miały miejsce między 7 czerwca 2018 r., a 4 grudnia 2018 r. Wynik dochodzenia organ ujawnił, że Meta naruszyła art. 5 (2) RODO i art. 24 (1) RODO. W toku dochodzenia organ stwierdził, że Meta nie wykazała, że podjęła odpowiednie środki techniczne i organizacyjne w celu ochrony danych użytkowników z UE. Postępowanie w sprawie grzywny dotyczyło transgranicznego przetwarzania danych, dlatego też decyzja podlegała procedurze współdecydowania na mocy art. 60 RODO z udziałem wszystkich pozostałych europejskich organów nadzorczych jako współdecydentów. Mimo że dwa europejskie organy ochrony danych zgłosiły zastrzeżenia do projektu decyzji organu irlandzkiego, ostatecznie osiągnięto konsensus. W związku z tym decyzja organu irlandzkiego odzwierciedla zbiorowe poglądy pozostałych europejskich organów ochrony danych. | Link | |
1093 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-03-08 | 89 250,00 € | Firma handlowa (nazwa w tej chwili niedostępna) | Art. 32 (1) b), Art. 32 (1) d) RODO, Art. 32 (2) RODO, Art. 32 (4) RODO | Firma handlowa, tj. administrator danych, zgłosiła naruszenie danych osobowych do organu ochrony danych osobowych, informując, że jej pracownicy nagrali telefonem komórkowym materiał z monitoringu, co było nieuprawnione i sprzeczne z wewnętrznymi aktami i instrukcjami firmy. Nagranie zostało upublicznione poprzez wyciek do mediów społecznościowych, a następnie do innych mediów. Organ ochrony danych ustalił, że administrator danych nie podjął odpowiednich działań, by zapobiec stworzeniu tego nagrania przez swoich pracowników. Mimo że spółka podjęła pewne działania, takie jak przyjęcie wewnętrznych aktów dotyczących dostępu do nagrań z monitoringu wizyjnego, przeszkolenie pracowników i wdrożenie oświadczeń o zachowaniu poufności, organ ustalił, że spółka nie zapewniła - ani przed, ani po ujawnieniu nieautoryzowanego nagrania - odpowiednich organizacyjnych i technicznych środków bezpieczeństwa w celu zminimalizowania ryzyka takiego lub podobnego naruszenia danych. Ponadto, administrator danych nie monitorował ani nie sprawdzał regularnie skuteczności środków technicznych i organizacyjnych wdrożonych w celu zachowania poufności, integralności i dostępności danych osobowych. W związku z tym organ ochrony danych nałożył grzywnę w wysokości 675 000,00 HRK za niepodjęcie odpowiednich środków technicznych i wyjaśnił, że grzywna ta powinna mieć również ogólne skutki prewencyjne i zwiększać świadomość administratorów danych i podmiotów przetwarzających dane w zakresie obowiązków dotyczących przetwarzania danych. | Link | |
1092 | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | 2022-03-08 | 124 245,00 € | Przedsiębiorstwo energetyczne (nazwa w tej chwili niedostępna) | Art. 15 (3) RODO | Ukarane przedsiębiorstwo energetyczne jest właścicielem stacji benzynowych i sprzedaje klientom paliwa. Podmiotem danych jest klient, który złożył skargę konsumencką dotyczącą nieprawidłowego odmierzania, a w konsekwencji pobierania opłat za tankowane paliwo na jednej ze stacji benzynowych. Osoba, której dane dotyczą, zwróciła się o kopię swoich danych osobowych, tj. kopię nagrania z monitoringu wizyjnego dotyczącego określonego czasu i obszaru. Przedsiębiorstwo energetyczne uzasadniło odrzucenie wniosku tym, że: (i) brakiem pisemnego wniosku właściwych organów o dostarczenie materiału filmowego, (ii) brakiem uzasadnionego celu żądania oraz (iii) twierdzeniem, że dostarczenie kopii materiału filmowego wpłynęłoby negatywnie na prawa i wolności personelu stacji oraz innych klientów. Po przekazaniu klientowi ogólnej opinii organu ochrony danych osobowych w sprawie obowiązku administratorów danych do udostępniania nagrań z monitoringu osobom, których dane zostały na nich sfilmowane, przedsiębiorstwo energetyczne poinformowało klienta o braku możliwości udostępnienia nagrań, ponieważ archiwa nagrań z monitoringu są usuwane po siedmiu dniach. W związku z naruszeniem podstawowych praw osoby, której dane dotyczą, organ ochrony danych nałożył karę w wysokości 940 000,00 HRK. W wyjaśnieniu dotyczącym wysokości grzywny zauważono, że organ ochrony danych wziął pod uwagę nie tylko pośrednie szkody poniesione przez klienta, ale także potencjalne zyski finansowe firmy, która pośrednio uniknęła szkód, jakie mogłyby powstać w trakcie sporu konsumenckiego, oraz fakt, że usuwając materiał filmowy, firma wyeliminowała potencjalnie ważne dowody. | Link | |
1091 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia-Anhalt | 2020-10-24 | 200,00 € | Osoba fizyczna | Art. 5 RODO, Art. 32 RODO | Organ ochrony danych osobowych w Saksonii-Anhalt nałożył na osobę fizyczną grzywnę w wysokości 200 EUR. Administrator robił zdjęcia pojazdów oraz, w niektórych przypadkach, ich kierowców i przesyłał je w niezaszyfrowanej formie pocztą elektroniczną do miasta Magedburg w ramach zgłoszeń o naruszeniach przepisów ruchu drogowego. | Link | |
1090 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-23 | 1 500,00 € | WORLDWIDE CLASSIC CARS NETWORK S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na WORLDWIDE CLASSIC CARS NETWORK S.L. grzywnę w wysokości 1 500 EUR. Administrator zainstalował kamery monitoringu wizyjnego, które między innymi obejmowały również część przestrzeni publicznej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie wywiązał się z obowiązku właściwego informowania o monitoringu wizyjnym. | Link | |
1089 | Niderlandy | Autoriteit Persoonsgegevens (AP) | 2022-01-14 | 525 000,00 € | DPG Media Magazines B.V. | Art. 12 (2) RODO | Niderlandzki organ ochrony danych nałożył na DPG Media Magazines B.V. grzywnę w wysokości 525 000 EUR. Do organu ochrony danych wpłynęło kilka skarg dotyczących sposobu, w jaki administrator rozpatrywał wnioski klientów. Klienci, którzy chcieli dowiedzieć się, jakiego rodzaju dane osobowe przechowuje administrator, lub chcieli, aby ich dane zostały usunięte, musieli najpierw przesłać lub załadować dowód tożsamości. Organ ochrony danych ustalił, że przesłanie dowodu tożsamości nie było konieczne do celów rozpatrzenia wniosku. Ponadto proces wysyłania korespondencji stanowił dla osób, których dane dotyczą, nadmierną przeszkodę w wykonywaniu ich praw. | Link Link | |
1088 | Finlandia | Tietosuojavaltuutetun Toimisto | 2021-12-26 | 5 000,00 € | Klinika medyczna | Art. 5 (1) a) RODO, Art. 12 (1), (2), (3), (4) RODO, Art. 13 (1), (2) RODO, Art. 15 (1), (3) RODO, Art. 25 RODO | Fiński urząd ochrony danych osobowych nałożył na klinikę medyczną grzywnę w wysokości 5 000 EUR. Klient tej kliniki złożył skargę do organu ochrony danych, że nie otrzymał od kliniki dostępu do swojej dokumentacji medycznej po złożeniu wniosku o udzielenie informacji. Ponadto klinika nie poinformowała w odpowiedni sposób swoich klientów o przetwarzaniu danych osobowych. W szczególności organ ochrony danych zwrócił uwagę na fakt, że klinika nie informowała swoich klientów o zakresie, w jakim działała jako administrator danych w odniesieniu do danych pacjentów generowanych w ramach prowadzonej przez nią działalności. | Link | |
1087 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-23 | 1 200,00 € | FRUTAS Y VERDURAS LOS CAMPEONES, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na FRUTAS Y VERDURAS LOS CAMPEONES, S.L. grzywnę w wysokości 1 000 EUR. Administrator zainstalował system monitoringu wizyjnego, jednak nie umieścił znaków informujących o stosowaniu monitoringu wizyjnego. | Link | |
1086 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-22 | 3 000,00 € | Prowadzący hotel | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na operatora hotelu grzywnę w wysokości 3 000 EUR. Administrator zainstalował kamery monitoringu, które obejmowały m.in. przestrzeń publiczną i część hotelowego basenu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku właściwego poinformowania o monitoringu wizyjnym. | Link | |
1085 | Polska | Urząd ochrony danych osobowych (UODO) | 2022-01-19 | 117 000,00 € | Santander Bank Polska S. A. | Art. 34 (1) RODO | Polski organ ochrony danych ukarał Santander Bank Polska S.A. grzywną w wysokości 118 000 EUR za niepowiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych. Byłemu pracownikowi banku udało się uzyskać nieuprawniony dostęp do bazy danych usług elektronicznych. Pozwoliło to m.in. na uzyskanie dostępu do danych wielu klientów Santander. Ze względu na wysokie ryzyko dla danych osób, których dane dotyczą, bank byłby zobowiązany do poinformowania ich o naruszeniu danych. Jednakże bank celowo tego zaniechał i nadal twierdził, że nie będzie przestrzegał tego obowiązku w przyszłości. Organ ochrony danych zauważył, że stanowiło to poważną ingerencję w życie osób, których dane dotyczą, ponieważ nie miały one możliwości podjęcia odpowiednich kroków w celu ochrony swoich praw. | Link Link | |
1084 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-22 | 1 000,00 € | MALAGATROM, S.L.U. | Art. 58 (2) RODO | Hiszpański organ ochrony danych nałożył na MALAGATROM, S.L.U. grzywnę w wysokości 1 000 EUR za niezastosowanie się do nakazu wydanego przez organ ochrony danych. | Link | |
1083 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-02-22 | 3 000,00 € | IAMSAT Muntenia SA | Art. 12 RODO, Art. 13 RODO, Art. 21 RODO | Rumuński organ ochrony danych nałożył na IAMSAT Muntenia SA grzywnę w wysokości 3 000 EUR. Organ ochrony danych wszczął dochodzenie w następstwie skargi byłego pracownika, który twierdził, że administrator nadal przetwarzał jego dane osobowe nawet po rozwiązaniu umowy o pracę w 2020 r. Osoba, której dane dotyczą, oświadczyła wcześniej, że nie wyraża zgody na dalsze wykorzystywanie jej adresu e-mail oraz że sprzeciwia się przetwarzaniu jej danych osobowych przez administratora lub/i przez osoby trzecie po rozwiązaniu umowy o pracę. W toku postępowania wyjaśniającego organ ochrony danych ustalił również, że administrator nie poinformował swoich pracowników, w tym osoby, której dane dotyczą, z wyprzedzeniem i w sposób wyczerpujący o przetwarzaniu ich danych osobowych przez system monitoringu wizyjnego w miejscu pracy. | Link | |
1082 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-02-22 | 1 000,00 € | Spółka prawa cywilnego "Sabou, Burz & Cuc" | Art. 5 (1) a), b), c), f) RODO, Art. 5 (2) RODO, Art. 6 RODO | Rumuński organ ochrony danych ukarał grzywną w wysokości 1 000 EUR spółkę prawa cywilnego "Sabou, Burz & Cuc". Organ ten wszczął dochodzenie po tym, jak klient złożył skargę, że administrator opublikował jego dane osobowe w grupie WhatsApp, z której korzystało kilku prawników zrzeszonych w stowarzyszeniu prawników, bez jego uprzedniej zgody. Organ ochrony danych stwierdził, że administrator przetwarzał dane bez ważnej podstawy prawnej, ponieważ opublikował je w celu innym niż pierwotnie uzgodniony z osobą, której dane dotyczą. | Link | |
1081 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-21 | 1 000,00 € | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 euro za niedostarczenie znaków informacyjnych o monitoringu CCTV w placówce. | Link | |
1080 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-21 | 1 500,00 € | RESTATURANTE FUENTEBRO, S.C. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na firmę RESTATURANTE FUENTEBRO, S.C. grzywnę w wysokości 1 500 EUR za brak znaków informacyjnych o nadzorze za pomocą kamer monitoringu w zakładzie. | Link | |
1079 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-18 | 2 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 2 500 EUR. Administrator danych zainstalował w swoim domu kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną i sąsiednie nieruchomości. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto znaki informacyjne dotyczące nadzoru wideo były zamazane, a przez to mało czytelne. Organ ochrony danych uznał to za naruszenie obowiązku informowania zgodnie z art. 13 RODO. | Link | |
1078 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-01-27 | 40 000,00 € | T.S.M. s.r.l. | Art. 13 RODO, Art. 15 RODO, Art. 21 RODO, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacy | Włoski organ ochrony danych nałożył na spółkę T.S.M. s.r.l. grzywnę w wysokości 40 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych osobowych na firmę, która nie spełniła jej żądań dotyczących usunięcia jej danych i sprzeciwu wobec przyszłego przetwarzania jej danych osobowych. | Link | |
1077 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-02-15 | 30 000,00 € | ΛΙΜΕΝΟΣ ΗΡΑΚΛΕΙΟΥ Α.Ε. | Art. 12 (1), (2) RODO, Art. 15 (1) RODO | Grecki organ ochrony danych nałożył grzywnę w wysokości 30 000 EUR na organizację LΛΙΜΕΝΟΣ ΗΡΑΚΛΕΙΟΥ Α.Ε. Osoba, której dane dotyczą, która uległa wypadkowi samochodowemu na terenie należącym do organizacji, złożyła skargę na organizację do organu ochrony danych osobowych. Organizacja posiadała system nadzoru wideo który, między innymi, zarejestrował wypadek samochodowy. W związku z wypadkiem osoba, której dane dotyczą, zwróciła się do organizacji o udostępnienie jej nagrań. Jednak organizacja nie spełniła tego żądania. | Link | |
1076 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-01-27 | 2 000,00 € | Prywatny klub "Ruian" | Art. 5 (1) c) RODO, Art. 13 RODO | Włoski urząd ochrony danych osobowych (Garante) nałożył na prywatny klub "Ruian" grzywnę w wysokości 2 000 EUR. Administrator zainstalował kamery monitoringu wizyjnego, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny. | Link | |
1075 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-01-13 | 1 000,00 € | A.S.L. Napoli 1 Centro | Art. 5 rodo, Art. 6 RODO, Art. 2-ter Codice della privacy | Włoski organ ochrony danych (Garante) nałożył na A.S.L. Napoli 1 Centro grzywnę w wysokości 1 000 EUR. Pracownik urzędu zdrowia złożył skargę do organu ochrony danych przeciwko temu urzędowi. Organ służby zdrowia opublikował na swojej stronie internetowej komunikat prasowy zawierający dane osobowe osoby, której dane dotyczą, oraz informacje o postępowaniu dyscyplinarnym. Organ służby zdrowia uważał, że publikacja była zgodna z prawem, ponieważ osoba, której dane dotyczą, przekazała już te informacje prasie, która z kolei opublikowała reportaż na ten temat. Organ ochrony danych stwierdził jednak, że organ ten nadal potrzebuje ważnej podstawy prawnej do publikacji, niezależnie od tego, czy informacje te zostały już opublikowane w innych mediach. | Link | |
1074 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-16 | 6 000,00 € | Osoba fizyczna | Art. 6 (1) a) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 6 000 euro. Osoba, której dane dotyczą, wniosła skargę przeciwko administratorowi danych za opublikowanie na stronie internetowej zdjęć siebie w bikini bez uprzedniego upoważnienia. Podmiot danych pierwotnie umieścił zdjęcia siebie w bikini na platformie z używanymi rzeczami Vinted, gdzie oferował bikini na sprzedaż. | Link | |
1073 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-11 | 2 000 000,00 € | Amazon Road Transport Spain S.L. | Art. 6 (1) RODO, Art. 10 RODO, Art. 10 LOPDGDD | Hiszpański organ ochrony danych (AEPD) ukarał firmę Amazon Road Transport Spain S.L. grzywną w wysokości 2 000 000 EUR. Do AEPD wpłynęła skarga związku zawodowego na firmę. Przy zatrudnianiu kierowców Amazon Road wymagał zaświadczeń potwierdzających niekaralność. Amazon Road uważała, że zaświadczenia te nie podlegają art. 10 RODO. Jednakże, wbrew interpretacji Amazon Road, AEPD stwierdził, że dane te podlegają pod art. 10 RODO. Podczas dochodzenia AEPD stwierdził, że przetwarzanie tych danych w konsekwencji nie było zgodne z wymogami art. 10 RODO. Z tego powodu organ ochrony danych doszedł do wniosku, że firma Amazon Road przetwarzała dane dotyczące niekaralności bez ważnej podstawy prawnej. | Link | |
1072 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-01-13 | 1 000,00 € | Villa Masi Residenza per anziani | Art. 13 RODO | Brak informacji na temat stosowania systemów monitoringu wizyjnego w placówce opiekuńczej. | Link | |
1071 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-14 | 1 600,00 € | RECLAMADOR, S.L. | Art. 17 RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na RECLAMADOR, S.L. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych w związku z tym, że administrator nadal wysyłał jej reklamy SMS-owe, mimo że zażądała ona usunięcia swoich danych, a administrator potwierdził ich usunięcie. Grzywna składa się proporcjonalnie z 1000 EUR za naruszenie Art. 17 GDPR i 1000 EUR za naruszenie Art. 21 LSSI. Pierwotna grzywna w wysokości 2 000 EUR została zmniejszona do 1 800 EUR ze względu na natychmiastową i dobrowolną zapłatę. | Link | |
1070 | Norwegia | Datatilsynet | 2022-02-01 | 5 000,00 € | Etterforsker1 Gruppen AS | Art. 6 (1) RODO | Norweski organ ochrony danych (Datatilsynet) ukarał Etterforsker1 Gruppen AS grzywną w wysokości 5 000 EUR. Administrator danych przeprowadził kontrolę kredytową osoby fizycznej, mimo że nie było ku temu podstawy prawnej. | Link | |
1069 | Polska | Urząd ochrony danych osobowych (UODO) | 2021-12-01 | 4 000,00 € | Pactum Poland Sp. z o.o. | Art. 31 RODO, Art. 58 (1) e) RODO | Grzywna za brak odpowiedzi na wnioski o dalsze informacje od organu nadzorczego w odpowiednim czasie po naruszeniu ochrony danych. | Link | |
1068 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-01-13 | 14 000,00 € | Azienda sanitaria unica regionale Marche | Art. 5 (1) f) RODO, Art. 32 RODO, Art. 35 RODO | Włoski organ ochrony danych (DPA) nałożył na Azienda sanitaria unica regionale Marche grzywnę w wysokości 14 000 EUR. Organ ochrony danych wszczął dochodzenie przeciwko departamentowi zdrowia po doniesieniach medialnych o niedociągnięciach w systemie wykorzystywanym do gromadzenia i zarządzania danymi dotyczącymi badań przesiewowych na obecność koronawirusa. Departament zdrowia korzystał z aplikacji, która generowała kody QR dla osób, które zostały przebadane na obecność koronawirusa. Kod QR był generowany w oparciu o progresywne kryterium, a nie w sposób losowy. Każdej osobie przypisany był więc numer. Z tego powodu osoby nieuprawnione mogły zmienić cyfrę i uzyskać dostęp do profilu innej osoby, a tym samym do jej danych osobowych. Organ ochrony danych stwierdził, że urząd zdrowia nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone były osoby, których dane dotyczą. | Link | |
1067 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-01-13 | 4 000,00 € | Medicina & Lavoro s.r.l. | Art. 12 (3) RODO, Art. 15 RODO | Brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych. | Link | |
1066 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-16 | 1 000,00 € | Università Telematica Internazionale Uninettuno | Art. 5 (1) c) RODO | Włoski organ ochrony danych nałożył na Università Telematica Internazionale Uninettuno grzywnę w wysokości 1 000 EUR. Jeden z profesorów złożył skargę do organu ochrony danych osobowych na tę instytucję edukacyjną. Profesor ubiegał się o stanowisko na uniwersytecie i w tym celu przesłał swoje CV. Następnie uczelnia opublikowała je bez zaczernienia pewnych danych osobowych, które dotyczyły jego sfery osobistej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
1065 | Włochy | Garante per la protezione dei dati personali (Garante) | 2022-01-13 | 7 500,00 € | Azienda Sanitaria Locale Frosinone | Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO | Włoski organ ochrony danych (DPA) nałożył na Azienda Sanitaria Locale Frosinone grzywnę w wysokości 7 500 EUR. W trakcie dochodzenia przeciwko tej placówce medycznej Garante stwierdziła, że jej polityka prywatności wykazywała istotne braki. Na przykład placówka wskazała kilka celów przetwarzania danych, ale nie zawsze podawano odpowiednie podstawy prawne do ich przetwarzania. Podane podstawy prawne były często nieprawidłowe lub sprzeczne. Ponadto placówka nie podała wystarczających informacji na temat okresu przechowywania zgromadzonych danych. | Link | |
1064 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-16 | 20 000,00 € | FCA Italy s.p.a. | Art. 12 RODO | Włoski organ ochrony danych nałożył na FCA Italy s.p.a. grzywnę w wysokości 20 000 EUR. Były klient administratora zwrócił się do niego o przekazanie mu stenogramów rozmów telefonicznych pomiędzy nim, a działem obsługi klienta, z którym wcześniej kontaktował się w sprawie nieprawidłowego działania przyrządów w jednym z jego pojazdów, a także dokumentów dotyczących tej sprawy. Administrator nie spełnił jednak tego żądania. | Link | |
1063 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-16 | 100 000,00 € | Ubi Banca spa | Art. 5 (1) a), c) RODO | Włoski organ ochrony danych nałożył na Ubi Banca spa (obecnie Intesa Sanpaolo spa) grzywnę w wysokości 100 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych osobowych w związku z otrzymaniem od administratora danych listu z napisem na kopercie "anomalie kredytowe Chieti". Pismo nie zawierało jednak przypomnienia o płatności, a jedynie informacje o przejrzystości usług bankowych i finansowych. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasady legalności i przejrzystości oraz zasadę minimalizacji danych. W końcu określenie na kopercie mogło umożliwić osobom trzecim uzyskanie informacji o sytuacji finansowej odbiorcy, niezależnie od zawartości koperty. | Link | |
1062 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-07 | 10 000,00 € | PINTODIS, S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych ukarał PINTODIS, S.L. grzywną w wysokości 10 000 EUR. Administrator danych zainstalował kilka kamer wideo, które obejmowały również miejsca spożywania posiłków i przebieralnie swoich pracowników. Hiszpański organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, ponieważ tak rozległy nadzór nie był konieczny. | Link | |
1061 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-04 | 2 000,00 € | Osoba fizyczna | Art. 6 (1) a) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 2.000 euro. Osoba ta opublikowała na Twitterze materiały audiowizualne z procesu sądowego bez uzyskania zgody świadków i stron procesu, które można było na nich zobaczyć. | Link | |
1060 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-07 | 1 000,00 € | Prowadzący kawiarnię | Art. 5 (1) c) RODO | W kawiarni zastosowano kamery CCTV, które zarejestrowały również przestrzeń publiczną na zewnątrz, co stanowiło naruszenie tzw. zasady minimalizacji danych. | Link | |
1059 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-01 | 900 000,00 € | TELEFÓNICA MÓVILES ESPAÑA, S.A.U. | Art. 5 (1) f) RODO | Hiszpański urząd ochrony danych osobowych ukarał TELEFÓNICA MÓVILES ESPAÑA, S.A.U. grzywną w wysokości 900 000 euro. Czterech klientów spółki Telefónica złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ten ustalił, że oszuści, kontaktując się z firmą Telefónica, podawali się za osoby, których dane dotyczą, i żądali kopii ich kart SIM. Dzięki temu mogli oni zawierać umowy na koszt osób, których dane dotyczyły, oraz dokonywać różnych przelewów. Według organu ochrony danych osobowych, Telefónica nie zweryfikowała odpowiednio tożsamości oszustów przed wydaniem kart SIM i nie upewniła się, że pytający są rzeczywiście posiadaczami kart SIM. | Link | |
1058 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-01 | 200 000,00 € | XFERA MÓVILES, S.A. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na spółkę XFERA MÓVILES, S.A. grzywnę w wysokości 200.000 EUR. Dwóch klientów spółki Xfera złożyło skargi do organu ochrony danych. W toku dochodzenia organ ten ustalił, że oszuści, kontaktując się ze spółką Xfera, podawali się za osoby, których dane dotyczą, i żądali kopii ich kart SIM. Dzięki temu mogli oni zawierać umowy na koszt osób, których dane dotyczyły, i dokonywać różnych przelewów. Według organu ochrony danych osobowych Xfera nie sprawdziła w odpowiedni sposób tożsamości oszustów przed wydaniem kart SIM i nie upewniła się, że pytający są rzeczywiście posiadaczami kart SIM. | Link | |
1057 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-01 | 700 000,00 € | Orange Espagne S.A.U. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na Orange Espagne S.A.U. grzywnę w wysokości 700 000 euro. Dwóch klientów Orange Espagne złożyło skargi do organu ochrony danych. W toku dochodzenia organ ten ustalił, że oszuści, kontaktując się z Orange Espagne, podawali się za osoby, których dane dotyczą, i żądali kopii ich kart SIM. Dzięki temu mogli oni zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych przelewów. Według organu ochrony danych osobowych, Orange Espagne nie zweryfikowała odpowiednio tożsamości oszustów przed wydaniem kart SIM i nie upewniła się, że pytający są rzeczywiście posiadaczami kart SIM. | Link | |
1056 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-01 | 70 000,00 € | ORANGE ESPAÑA VIRTUAL, S.L. | Art. 5 (1) f) RODO | Hiszpański organ ochrony danych nałożył na ORANGE ESPAÑA VIRTUAL, S.L. grzywnę w wysokości 70.000 EUR. Dwóch klientów Orange España Virtual złożyło skargi do organu ochrony danych. W toku dochodzenia organ ten ustalił, że oszuści, kontaktując się z Orange España Virtual, podawali się za osoby, których dane dotyczą, i żądali kopii ich kart SIM. W ten sposób mogli oni zawierać umowy na koszt osób, których dane dotyczyły, oraz dokonywać różnych przelewów. Zdaniem organu ochrony danych osobowych, Orange España Virtual przed wydaniem kart SIM nie zweryfikowała w odpowiedni sposób tożsamości oszustów i nie upewniła się, że pytający są rzeczywiście posiadaczami kart SIM. | Link | |
1055 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-01 | 3 940 000,00 € | Vodafone España, S.A.U. | Art. 5 (1) f) RODO, Art. 5 (2) RODO | Hiszpański organ ochrony danych nałożył na Vodafone España, S.A.U. grzywnę w wysokości 3,94 mln euro. Dziewięciu klientów Vodafone złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ten ustalił, że oszuści, kontaktując się z Vodafone, podawali się za osoby, których dane dotyczą, i zażądali kopii ich kart SIM. Dzięki temu mogli oni zawierać umowy na koszt osób, których dane dotyczą, i dokonywać różnych przelewów. Według organu ochrony danych, Vodafone nie zweryfikował odpowiednio tożsamości oszustów przed wydaniem kart SIM i nie upewnił się, że pytający są rzeczywiście posiadaczami kart SIM, ze względu na brak wystarczających środków bezpieczeństwa. | Link | |
1054 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-17 | 10 000,00 € | ASL Latina | Art. 5 (1) f) RODO, Art. 6 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) ukarał ASL Latina grzywną w wysokości 10 000 EUR. Administrator omyłkowo wysłał dokumenty zawierające dane zdrowotne osoby, której dane dotyczą, do niezaangażowanej strony trzeciej. | Link | |
1053 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-04 | 300 000,00 € | SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS | Art. 6 RODO, Art. 17 RODO, Art. 28 RODO | Hiszpański organ ochrony danych (AEPD) ukarał SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS. grzywną w wysokości 300.000 EUR. Osoba, której dane dotyczą, otrzymywała od administratora e-maile marketingowe, mimo że była wpisana na listę osób wykluczonych z reklam (lista Robinsona). Wysyłanie e-maili było kontynuowane nawet po tym, jak osoba, której dane dotyczą, zażądała usunięcia swoich danych. | Link | |
1052 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-04 | 900,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Bezprawne użycie kamer monitoringu wizyjnego, które monitorowały również fragmenty przestrzeni publicznej (naruszenie zasady minimalizacji danych). | Link | |
1051 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-02-02 | 250 000,00 € | IAB Europe | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 9 (1), (2) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 32 (1), (2) RODO, Art. 37 RODO | Belgijski organ ochrony danych nałożył na IAB Europe karę w wysokości 250 tys. euro. Organ ochrony danych otrzymał kilka skarg przeciwko IAB Europe od 2019 roku. W kontekście tej skargi kwestionowano głównie zgodność "Transparency & Consent Framework (TCF)" z RODO. TCF został opracowany przez IAB w celu promowania zgodności z RODO przez organizacje korzystające z protokołu OpenRTB. Protokół OpenRTB jest protokołem dla "licytacji w czasie rzeczywistym", która jest zautomatyzowaną aukcją online profili użytkowników w celu sprzedaży i zakupu powierzchni reklamowej w Internecie. Kiedy użytkownicy odwiedzają stronę internetową, na której znajduje się miejsce na reklamę, firmy technologiczne, za pośrednictwem zautomatyzowanego systemu aukcyjnego, mogą w czasie rzeczywistym składać oferty dotyczące tego miejsca na reklamę w celu wyświetlenia spersonalizowanej reklamy. Kiedy użytkownicy odwiedzają stronę internetową po raz pierwszy, pojawia się interfejs, za pomocą którego mogą wyrazić zgodę na gromadzenie i udostępnianie swoich danych osobowych lub sprzeciwić się różnym rodzajom przetwarzania. Jako część TCF, podczas tego procesu pojawia się narzędzie do zarządzania zgodą. Narzędzie to umożliwia użytkownikowi wyrażenie sprzeciwu wobec niektórych rodzajów przetwarzania danych. TCF rejestruje preferencje użytkownika za pośrednictwem tego narzędzia, generując ciąg znaków TC i wysyłając go do wszystkich partnerów uczestniczących w systemie OpenRTB. Na podstawie tego łańcucha TC tworzone są profile użytkowników, które następnie przekazywane są reklamodawcom. W ten sposób staje się dla nich widoczne, na jakiego rodzaju przetwarzanie danych użytkownicy wyrazili zgodę. W ramach dochodzenia przeciwko IAB, organ ochrony danych stwierdził szereg naruszeń RODO. Stwierdził on, że ciągi TC stanowiły już dane osobowe, a zatem IAB musiał mieć podstawę prawną do przetwarzania tych danych. IAB nie było jednak w stanie wykazać żadnej takiej podstawy prawnej. Ponadto IAB nie informowała w odpowiedni sposób użytkowników o funkcjonowaniu TCF. Na przykład, informacje dostarczone użytkownikom były zbyt ogólne i niejasne, aby mogli oni zrozumieć zakres przetwarzania danych. Co więcej, IAB nie prowadziła rejestru swoich działań związanych z przetwarzaniem danych, nie wyznaczyła inspektora ochrony danych, jak również nie przeprowadziła oceny skutków w zakresie ochrony danych. | Link i Link | |
1050 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 50-100 | Restauracja | Art. 32 RODO | W celu zwalczania pandemii Covid 19, pewna restauracja opublikowała otwartą listę, na której goście musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawna, umożliwiał dostęp do tych danych nieupoważnionym osobom trzecim. | Link | |
1049 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 50-100 | Restauracja | Art. 32 RODO | W celu zwalczania pandemii Covid 19, pewna restauracja opublikowała otwartą listę, na której goście musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawna, umożliwiał dostęp do tych danych nieupoważnionym osobom trzecim. | Link | |
1048 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 50-100 | Restauracja | Art. 32 RODO | W celu zwalczania pandemii Covid 19, pewna restauracja opublikowała otwartą listę, na której goście musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawna, umożliwiał dostęp do tych danych nieupoważnionym osobom trzecim. | Link | |
1047 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-02-02 | 2 000,00 € | ASESORES DE SEGURIDAD PRIVADA, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na ASESORES DE SEGURIDAD PRIVADA, S.L. grzywnę w wysokości 2.000 EUR. Organ ochrony danych skrytykował, że administrator nie poinformował w wystarczającym stopniu osoby, której dane dotyczą, o przetwarzaniu danych, jak wymaga tego art. 13 RODO. | Link | |
1046 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | 13 000,00 € | Przedsiębiorstwo | Art. 26 (2) RODO | Organ ochrony danych z Hamburga nałożył na przedsiębiorstwo grzywnę w wysokości 13.000 euro. Osoba fizyczna zarezerwowała kurs w przedsiębiorstwie i uczestniczyła w nim, ale nie uiściła opłaty za kurs. Jakiś czas później zgłosił się na kurs w innej firmie należącej do tej samej spółki matki i tam został odrzucony. Jako powód podano, że nadal ma zaległości wobec firmy, w której kursach już uczestniczyła. Po złożeniu skargi przez osobę fizyczną na przedsiębiorstwo, organ ochrony danych wszczął dochodzenie. Ustalił on, że przedsiębiorstwa te korzystały ze wspólnej bazy danych. Zwrócił uwagę, że prowadzenie wspólnej bazy danych klientów przez kilka prawnie niezależnych firm prowadzi do wspólnej odpowiedzialności zgodnie z art. 26 RODO. Zgodnie z art. 26 ust. 2 RODO, wymaga to umowy, która odzwierciedla odpowiednie rzeczywiste funkcje i relacje stron współodpowiedzialnych wobec osób, których dane dotyczą. Takie porozumienie jednak nie istniało. | Link | |
1045 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Nieznana | Przedsiębiorstwo | Art. 6 RODO, Art. 32 RODO | Niemiecki organ ochrony danych osobowych z Hamburga nałożył grzywnę na firmę, która prowadzi internetową giełdę, specjalizującą się w noszonej bielizny. Firma deklaruje, że gwarantuje stuprocentową anonimowość. Na platformie użytkownicy mogą zamieszczać zdjęcia bielizny. W większości przypadków do wykonania zdjęć użyto smartfonów lub innych urządzeń mobilnych. Aplikacje aparatów w smartfonach lub moduły GPS w aparatach fotograficznych często standardowo zapisują w pliku zdjęciowym obok właściwego obrazu dodatkowe informacje. Na podstawie tych danych możliwa jest dość dokładna lokalizacja. Kontrola przeprowadzona przez organ ochrony danych wykazała, że przedsiębiorstwo nie usunęło pozostałych informacji lub metadanych z przesłanych zdjęć. W związku z tym dane te można było wprowadzić do dowolnego serwisu mapowego i ustalić dokładną lokalizację miejsca, w którym zrobiono zdjęcie. Liczba osób, których dane dotyczyły, wynosiła około 760 kobiet w wieku od 18 do 50 lat. Z tego powodu organ ochrony danych stwierdził, że przedsiębiorstwo nie podjęło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stwarzało to dla osób, których dane dotyczyły. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo bezprawnie przetwarzało powiązane dane, przesyłając zdjęcia bez ich oczyszczenia. | Link | |
1044 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | 3 000,00 € | Restauracja | Art. 5 (1) c) RODO | Nadmierne wykorzystanie monitoringu wizyjnego z naruszeniem zasady minimalizacji danych. | Link | |
1043 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 300-400 | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Policjant zrobił zdjęcia oficjalnej prezentacji, które zawierały dane osobowe i udostępnił je w grupie Whats App. | Link | |
1042 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 300-400 | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Policjant zrobił zdjęcia oficjalnej prezentacji, które zawierały dane osobowe i udostępnił je w grupie Whats App. | Link | |
1041 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 300-400 | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Policjant zrobił zdjęcia oficjalnej prezentacji, które zawierały dane osobowe i udostępnił je w grupie Whats App. | Link | |
1040 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 400-600 | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań. | Link | |
1039 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 400-600 | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań. | Link | |
1038 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | Pomiędzy 400-600 | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań. | Link | |
1037 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | 400,00 € | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań. | Link | |
1036 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | 300,00 € | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Funkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań. | Link | |
1035 | Niemcy | Organ ochrony danych osobowych Hamburga | 2020 | 10 000,00 € | Clearview AI Inc. | Art. 58 (1) RODO | Urząd Ochrony Danych w Hamburgu nałożył na Clearview AI Inc. 10 000 EUR za niedostarczenie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia. | Link | |
1034 | Niemcy | Organ ochrony danych osobowych kraju związkowego Hesja | 2020 | Kara pięciocyfrowa (dokładnia kwota nieznana) | Korporacja | Art. 12 (3) RODO, Art. 15 RODO | Brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych. | Link | |
1033 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2020 | Kara trzycyfrowa (dokładnia kwota nieznana) | Asystent medyczny | Art. 6 (1) RODO | Asystentka medyczna w gabinecie lekarskim zapisała w swoim telefonie komórkowym numer telefonu pacjenta, a następnie kontaktowała się z nim w celach prywatnych. | Link | |
1032 | Niemcy | Organ ochrony danych osobowych kraju związkowego Brandenburgia | 2020 | Kara czterocyfrowa (dokładnia kwota nieznana) | Prowadzący szkołę baletową | Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO | Prowadzący szkołę baletową opublikował na swojej stronie internetowej i Facebooku zdjęcia nieletnich uczniów bez zgody ich prawnych opiekunów. | Link | |
1031 | Niemcy | Organ ochrony danych osobowych kraju związkowego Badenia-Wirtembergia | 2020 | 5 000,00 € | Restauracja | Art. 5 (1) c) RODO | Nadmierne wykorzystanie monitoringu wizyjnego z naruszeniem zasady minimalizacji danych. | Link | |
1030 | Niemcy | Organ ochrony danych osobowych kraju związkowego Hesja | 2019-11 | 3 000,00 € | Pracownik centrum testowania Covid 19 | Art. 5 (1) A) RODO | Pracownik centrum testowego Covid 19 wykorzystał dane testowanej osoby, aby skontaktować się z nią za pośrednictwem aplikacji WhatsApp w celach prywatnych. | Link | |
1029 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saara | 2020 | 10 000,00 € | Restauracja | Art. 5 (1) c) RODO | Nadmierne wykorzystanie monitoringu wizyjnego z naruszeniem zasady minimalizacji danych. | Link | |
1028 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saara | 2020 | Nieznana | Funkcjonariusz policji | Art. 5 RODO, Art. 6 RODO | Kilka przypadków, w których funkcjonariusze policji uzyskali dostęp do danych w policyjnej bazie danych do celów prywatnych badań. | Link | |
1027 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-11-25 | 200 000,00 € | Aimon Srl | Art. 5 (1) a) RODO, Art. 6 (1) a) RODO, Art. 12 RODO, Art. 21 RODO | Włoski organ ochrony danych nałożył na Aimon Srl grzywnę w wysokości 200 000 EUR. Dwie osoby, których dane dotyczą, złożyły do organu ochrony danych skargę na niezamówione wiadomości SMS od B&T S.p.A. W trakcie dochodzenia Garante odkryła, że B&T zleciła Aimonowi wysyłanie promocyjnych wiadomości SMS do potencjalnych klientów. Następnie Aimon zawarł umowy z innymi dostawcami, którzy z kolei zakupili swoje bazy danych od stron trzecich. Jak się okazało, inni dostawcy uzyskali dane osób, z którymi nawiązano kontakt, z niezweryfikowanych i nielegalnych list firm zagranicznych, z których część pochodziła z rejestracji na portalach informacyjnych lub w internetowych grach hazardowych. Organ ochrony danych stwierdził, że Aimon przetwarzał te dane niezgodnie z prawem. | Link i Link | |
1026 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-11-25 | 400 000,00 € | B&T S.p.A. | Art. 5 (1) a) RODO, Art. 6 (1) a) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 RODO | Włoski organ ochrony danych nałożył na B&T S.p.A. grzywnę w wysokości 400 000 euro. Dwa podmioty danych złożyły do organu ochrony danych skargę na niezamówione reklamy SMS-owe. Ponadto stwierdziły one, że nie mogły skorzystać z przysługującego im prawa do informacji i prawa do sprzeciwu. W trakcie dochodzenia Garante odkryła, że B&T zleciła firmie marketingowej wysyłanie promocyjnych wiadomości SMS do potencjalnych klientów. Firma marketingowa zaangażowała następnie innych dostawców, którzy z kolei nabyli swoje bazy danych od stron trzecich. Jak się okazało, inni dostawcy pozyskali dane osób, z którymi nawiązano kontakt, z niesprawdzonych i nielegalnych list firm zagranicznych, z których część pochodziła z rejestracji na portalach informacyjnych lub w loteriach internetowych. W tym kontekście urząd zwrócił uwagę, że firmy zlecające kampanie reklamowe muszą zawsze upewnić się, że zlecone im firmy działają prawidłowo, a dane konsumentów są wykorzystywane zgodnie z prawem. | Link i Link | |
1025 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-01-27 | 3 200 000,00 € | OTE Group | Art. 32 RODO | Grecki urząd ochrony danych nałożył na spółkę zależną Cosmote, OTE Group, grzywnę w wysokości 3,2 mln euro. Grupa OTE wniosła między innymi wkład w infrastrukturę bezpieczeństwa Cosmote. Cosmote zgłosiło naruszenie danych do urzędu ochrony danych zgodnie z art. 33 RODO. Haker zdołał przeniknąć do systemów Cosmote z powodu braku środków bezpieczeństwa i zdobył dane klientów. Skradzione dane zawierały poufne informacje od abonentów Cosmote, takie jak wiek, płeć i informacje o umowach. Incydent dotknął prawie 10 milionów osób. Z tego powodu organ ochrony danych stwierdził, że Grupa OTE nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka dla osób, których dane dotyczą. | Link | |
1024 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-01-27 | 6 000 000,00 € | Cosmote Mobile Telecommunications S.A. | Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO, Art. 14 RODO, Art. 25 (1) RODO, Art. 26 RODO, Art. 28 RODO, Art. 35 (7) RODO | Grecki organ ochrony danych nałożył na spółkę Cosmote Mobile Telecommunications S.A. grzywnę w wysokości 6 mln EUR. Cosmote zgłosił naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Haker przeniknął do systemów administratora i pozyskał dane klientów Cosmote. Skradzione dane zawierały wrażliwe informacje od abonentów Cosmote, takie jak wiek, płeć i informacje o umowach. Incydent ten dotknął prawie 10 milionów osób. Z tego powodu urząd ochrony danych stwierdził, że firma Cosmote nie wdrożyła odpowiednich środków technicznych i organizacyjnych, aby zapewnić prawidłowe przeprowadzenie procesu anonimizacji danych. Ponadto Cosmote nie przeprowadził wystarczającej oceny skutków dla ochrony danych i nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych. Wreszcie, organ ochrony danych stwierdził, że Cosmote nie uregulował w jasny sposób podziału ról w procesie przetwarzania danych ze swoją spółką zależną, OTE Group. Obliczając wysokość grzywny, organ ochrony danych w sposób obciążający wziął pod uwagę bardzo długi czas trwania naruszeń (6 lat), dużą liczbę osób, których dane dotyczą, a także fakt, że przez długi okres czasu nie wdrożono żadnych środków pseudonimizacji danych. | Link | |
1023 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-01-27 | 2 800,00 € | EU DisinfoLab | Art. 5 (1) a), c), f) RODO, Art. 6 (1) RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODO | Belgijski organ ochrony danych (DPA) ukarał grzywną 2 700 euro organizację pozarządową EU DisinfoLab. W 2018 r. organizacja pozarządowa opublikowała analizę mającą na celu zidentyfikowanie możliwego politycznego pochodzenia tweetów krążących na temat szczególnie gorącej kontrowersji we Francji, "afery Benalla". Na potrzeby analizy organizacja przetworzyła dane 55 tys. kont na Twitterze, z których ponad 3300 zostało sklasyfikowanych jako polityczne. Uzyskane w ten sposób surowe dane zostały następnie opublikowane bez podjęcia minimalnych środków ostrożności, takich jak pseudonimizacja danych. Organ ochrony danych zauważył, że publikacja danych mogła potencjalnie narazić osoby, których dane dotyczą, na ryzyko dyskryminacji lub dyskredytacji z powodu niezanonimizowanego profilowania politycznego. Ponadto pliki zawierały również informacje o przekonaniach religijnych, pochodzeniu etnicznym lub orientacji seksualnej osób, których konta były analizowane. Z tego powodu organ ochrony danych stwierdził, że naruszono kilka obowiązków wynikających z RODO, takich jak zgodność z prawem przetwarzania danych, przejrzystość wobec osób, których dane dotyczą, oraz bezpieczeństwo danych. | Link i Link | |
1022 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2022-01-27 | 1 200,00 € | Badacz | Art. 5 (1) a), c), f) RODO, Art. 6 (1) RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 32 RODO | Belgijski organ ochrony danych osobowych ukarał badacza grzywną w wysokości 1.200 euro. Kara ta została nałożona w związku z inną karą nałożoną na organizację pozarządową EU DisinfoLab. Badacz był zatrudniony w tej organizacji pozarządowej. W 2018 r. organizacja pozarządowa opublikowała analizę mającą na celu zidentyfikowanie możliwego politycznego pochodzenia tweetów krążących na temat szczególnie gorącej kontrowersji we Francji, "afery Benalla". Na potrzeby analizy organizacja przetworzyła dane 55 000 kont na Twitterze, z których ponad 3 300 zostało sklasyfikowanych jako polityczne. Uzyskane w ten sposób surowe dane zostały następnie opublikowane bez podjęcia minimalnych środków ostrożności, takich jak pseudonimizacja danych. Organ ochrony danych zauważył, że publikacja tych danych mogła potencjalnie narazić osoby, których dane dotyczą, na ryzyko dyskryminacji lub dyskredytacji z powodu niezanonimizowanego profilowania politycznego. Ponadto pliki zawierały również informacje o przekonaniach religijnych, pochodzeniu etnicznym lub orientacji seksualnej osób, których konta były analizowane. Z tego powodu organ ochrony danych stwierdził, że naruszono kilka obowiązków wynikających z RODO, takich jak zgodność z prawem przetwarzania danych, przejrzystość wobec osób, których dane dotyczą, oraz bezpieczeństwo danych. | Link i Link | |
1021 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-31 | 5 000,00 € | INCOPROSOL, S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na INCOPROSOL, S.L. grzywnę w wysokości 5 000 EUR. Administrator nagrywał rozmowę telefoniczną z klientem bez uzyskania jego zgody. | Link | |
1020 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-31 | 5 000,00 € | Cyrana España General S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) ukarał Cyrana España General S.L. grzywną w wysokości 5.000 EUR. Administrator danych wysłał fakturę osobie, której dane dotyczą, mimo że nie istniał żaden stosunek umowny. | Link | |
1019 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-31 | 1 500,00 € | Wspólnota mieszkaniowa | Art. 6 RODO | Stosowanie kamer CCTV w kompleksie budynków bez uzyskania zgody wszystkich właścicieli nieruchomości. | Link | |
1018 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-02-01 | 1 000,00 € | SC Grupex 2000 SRL | Art. 6 RODO, Art. 9 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na SC Grupex 2000 SRL grzywnę w wysokości 1 000 EUR. Administrator bezprawnie zamieszczał na swojej stronie internetowej filmy wideo z udziałem pacjentów. | Link | |
1017 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2021-12-03 | 843,00 € | Prawnik | Art. 5 (1) a), b) RODO, Art. 6 (1) RODO, Art. 9 (1) RODO | Węgierski organ ochrony danych nałożył na adwokata grzywnę w wysokości 843 EUR za nieuprawnione ujawnienie dokumentów zawierających dane osobowe jego klienta w toku postępowania karnego. | Link | |
1016 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-16 | 20 000,00 € | Corradi s.r.l. | Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 157 Codice della privacy | Przedsiębiorstwo pozostawiło konto poczty elektronicznej osoby, której dane dotyczą, aktywne nawet po ustaniu jej zatrudnienia i automatycznie przekazywało przychodzące wiadomości e-mail. Firma nie dostarczyła wystarczających informacji na ten temat. | Link | |
1015 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-16 | 10 000,00 € | Centro di Medicina preventiva s.r.l. | Art. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 37 RODO | Włoski organ ochrony danych (Garante) nałożył na Centro di Medicina preventiva s.r.l. grzywnę w wysokości 10.000 EUR. Administrator zgłosił naruszenie na podstawie art. 33 RODO w związku z cyberatakiem przeprowadzonym przez grupę hakerów. Podczas cyberataku hakerowi udało się uzyskać dostęp do listy danych pacjentów. Następnie haker opublikował na Twitterze tę listę, która zawierała dane osobowe, w tym dane wrażliwe, pacjentów oraz wyniki badań radiodiagnostycznych. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. Na przykład serwer centrum medycznego ujawnił żądane dane osobowe podczas zapytania bez sprawdzenia tożsamości i poświadczeń osoby składającej zapytanie, umożliwiając nieautoryzowane połączenia spoza centrum medycznego. | Link | |
1014 | Szwecja | Datainspektionen | 2022-01-26 | 152 000,00 € | Rada szpitala w Uppsali | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Szwedzki organ ochrony danych nałożył na zarząd szpitala w Uppsali grzywnę w wysokości 152 000 EUR. Grzywna jest wynikiem dochodzenia przeprowadzonego przez władze regionu Uppsala (zarząd regionu i zarząd szpitala). Organ ochrony danych otrzymał dwa zgłoszenia incydentów dotyczących danych osobowych z regionu Uppsala. Incydenty dotyczyły wrażliwych danych osobowych dotyczących zdrowia, które były przekazywane w niezaszyfrowanej postaci do odbiorców w Szwecji i poza nią. Szpital Uniwersytecki w Uppsali wysyłał wiadomości e-mail zawierające dane pacjentów do pacjentów i nadawców w krajach trzecich bez szyfrowania. Ponadto administracja szpitala przechowywała wrażliwe dane osobowe w usłudze hostingowej poczty elektronicznej Outlook. Z tego powodu organ ochrony danych stwierdził, że zarząd szpitala nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym dostępem. | Link i Link | |
1013 | Szwecja | Datainspektionen | 2022-01-26 | 28 500,00 € | Zarząd regionalny w Uppsali | Art. 32 (1) RODO | Szwedzki organ ochrony danych nałożył na zarząd regionu Uppsala grzywnę w wysokości 28 500 EUR. Grzywna jest wynikiem dochodzenia przeprowadzonego w regionie Uppsala (zarząd regionalny i zarząd szpitala). Organ ochrony danych otrzymał dwa zgłoszenia o incydentach dotyczących danych osobowych z regionu Uppsala. Incydenty te dotyczyły wrażliwych danych osobowych dotyczących zdrowia, które zostały przekazane w niezaszyfrowanej formie odbiorcom w Szwecji i poza nią. Zarząd regionu przekazał wrażliwe dane osobowe i osobiste numery identyfikacyjne za pośrednictwem poczty elektronicznej. Sama transmisja wiadomości e-mail była zaszyfrowana, ale informacje w nich zawarte nie. Przedmiotowe wiadomości e-mail zawierały dane pacjentów, które zostały automatycznie przesłane do odpowiednich administratorów służby zdrowia w regionie, jak również dane pacjentów, które zostały ręcznie przesłane do badaczy i lekarzy w regionie. Z tego powodu organ ochrony danych stwierdził, że zarząd regionu nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym dostępem, na przykład. | Link i Link | |
1012 | Finlandia | Tietosuojavaltuutetun Toimisto | 2021-12-16 | 52 000,00 € | Centrum ubezpieczeń komunikacyjnych | Art. 5 (1) a), c) RODO, Art. 25 (2) RODO | Fiński organ ochrony danych nałożył na centrum ubezpieczeń komunikacyjnych grzywnę w wysokości 52 000 EUR. Administrator danych nadmiernie żądał danych pacjentów z systemu opieki zdrowotnej w celu rozpatrzenia roszczeń. Duża część tych danych nie była jednak niezbędna do rozpatrywania roszczeń. Przykładowo, organ ochrony danych stwierdził, że centrum ubezpieczeń pojazdów mechanicznych gromadziło również notatki z wizyt pacjentów w celu ustalenia, czy dostawca usług zdrowotnych wystawił rachunek za wizyty, które nie były związane z badaniem lub leczeniem obrażeń spowodowanych wypadkiem. Organ ochrony danych zauważył, że fińska ustawa o ubezpieczeniach komunikacyjnych nie uzasadnia bezpośredniego dostępu do wszystkich danych pacjenta, ale żądane informacje muszą być niezbędne do rozpatrzenia roszczenia. Z tego powodu organ uznał, że w praktyce doszło do naruszenia zasad legalności i przejrzystości, a także minimalizacji danych. | Link i Link | |
1011 | Finlandia | Tietosuojavaltuutetun Toimisto | 2021-12-16 | 6 500,00 € | Biuro podróży | Art. 5 (1) f) RODO, Art. 17 RODO, Art. 25 RODO, Art. 32 RODO | Fiński urząd ochrony danych osobowych nałożył na biuro podróży grzywnę w wysokości 6 500 EUR. Klient biura podróży poinformował organ ochrony danych o podejrzeniu, że firma może nie przetwarzać danych swoich klientów w sposób zgodny z zasadami ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że biuro podróży nie zapewniło bezpiecznego przetwarzania danych osobowych. Przykładowo, formularze wniosków wizowych wypełniane przez klientów były publicznie dostępne na serwerze internetowym biura podróży. Formularz zawierał m.in. imię i nazwisko, dane kontaktowe i numer paszportu. Ponadto biuro podróży nie spełniło prośby klienta o usunięcie jego danych z systemu. | Link i Link | |
1010 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-02 | 5 000,00 € | Azienda USL di Parma | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) ukarał Azienda USL di Parma grzywną w wysokości 5.000 EUR. Pacjentka złożyła skargę do organu ochrony danych, ponieważ omyłkowo otrzymała w swojej dokumentacji medycznej dwa raporty z badań diagnostycznych przeprowadzonych na dwóch innych pacjentach. | Link | |
1009 | Irlandia | Data Protection Commission (DPC) | 2021-12-09 | 110 000,00 € | Rada miasta i hrabstwa Limerick | Art. 13 RODO, Art. 12 RODO, Art. 15 RODO | Irlandzki organ ochrony danych nałożył na Radę miasta i hrabstwa Limerick grzywnę w wysokości 110 000 euro. W ramach dochodzenia organ ochrony danych przeprowadził kontrolę przetwarzania danych osobowych przez radę lub w jej imieniu z wykorzystaniem systemów nadzoru wideo, automatycznego rozpoznawania tablic rejestracyjnych, kamer noszonych na ciele i innych technologii, które mogą być wykorzystywane do monitorowania osób fizycznych. W wyniku tej kontroli stwierdzono, że rada naruszyła szereg przepisów dotyczących ochrony danych przy wykorzystywaniu tych technologii. Grzywna została jednak nałożona w związku z naruszeniem RODO. Organ ochrony danych stwierdził, że Rada naruszyła art. 13 RODO w odniesieniu do przetwarzania danych przez kamery drogowe. Rada nie przedstawiła informacji na temat tożsamości administratora danych, danych kontaktowych inspektora ochrony danych, celów przetwarzania danych oraz organów, od których można uzyskać dalsze informacje wymagane na mocy art. 13 RODO. Ponadto Rada nie przekazała tych informacji w łatwo dostępny sposób, np. na tablicach informacyjnych w pobliżu kamer. Ponadto organ ochrony danych stwierdził, że Rada nie zamieściła polityki w zakresie nadzoru wideo w jasnym i prostym języku, jak również w łatwo dostępnym miejscu na stronie internetowej Rady. W związku z tym DPA stwierdził naruszenie art. 12 RODO. Wreszcie, Rada odrzuciła wnioski o dostęp do danych osobowych przetwarzanych przez kamery nadzoru stosowane w zarządzaniu ruchem. Z tego powodu organ ochrony danych uznał, że Rada naruszyła art. 15 RODO. | Link i Link | |
1008 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-21 | 1 200,00 € | Wspólnota mieszkaniowa | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał wspólnotę mieszkaniową grzywną w wysokości 1.200 euro. Zarządca nieruchomości przesłał kopię protokołu z walnego zgromadzenia dyrektorowi firmy ochroniarskiej "CMM Seguridad". Dokument ten zawiera nazwiska i adresy mieszkańców, listę osób zalegających z płatnościami oraz rachunki ze wszystkimi dochodami i wydatkami wspólnoty. Według administratora celem przesłania przedmiotowego protokołu do spółki ochrony było poinformowanie jej o członkach zarządu powołanych na odpowiednim zwyczajnym walnym zgromadzeniu. W związku z tym administrator powinien był ograniczyć się do przekazania tylko tej informacji lub do przekazania dokumentu protokołu po jego odpowiedniej anonimizacji. Z tego powodu organ ochrony danych zauważa, że przekazanie pełnego protokołu nie byłoby konieczne. W związku z tym administrator naruszył zasadę minimalizacji danych. | Link | |
1007 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-21 | 2 000,00 € | Operator strony internetowej | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2.000 EUR na operatora strony internetowej za brak polityki prywatności na swojej stronie, co stanowiło naruszenie art. 13 RODO. | Link | |
1006 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2022-01-20 | 3 000,00 € | Kaufland România SCS | Art. 15 (3) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Kaufland Romania SCS grzywnę w wysokości 3 000 EUR. Organ ten wszczął dochodzenie na podstawie skargi osoby fizycznej, która twierdziła, że administrator danych nie dostarczył jej pełnej kopii nagrań wideo z pewnego okresu czasu, kiedy przebywała na terenie sklepu. Organ ochrony danych stwierdził, że administrator jest zobowiązany do ujawnienia obrazów wideo osoby, której dane dotyczą, po skorzystaniu przez nią z prawa dostępu oraz że administrator może ujawnić obrazy, podejmując w razie potrzeby środki w celu zamazania tych obrazów, które mogą naruszać prawa i wolności innych osób fizycznych. | Link | |
1005 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-16 | 26 500 000,00 € | Enel Energia S.p.A | Art. 5 (1) a), d) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 130 (1), (2), (4) Codice della privacy | Włoski organ ochrony danych (DPA) ukarał Enel Energia S.p.A grzywną w wysokości 26,5 mln euro za liczne naruszenia RODO. W wyniku wstępnego dochodzenia wszczętego po otrzymaniu setek zgłoszeń i skarg od użytkowników, organ ochrony danych stwierdził, że administrator danych nielegalnie przetwarzał dane osobowe milionów użytkowników do celów telemarketingu. Organ ochrony danych stwierdził między innymi, że osoby, których dane dotyczą, otrzymywały niezamówione telefony promocyjne w imieniu i na rzecz Enel Energia, w niektórych przypadkach nawet nagrane rozmowy. Niektóre z osób, których dane dotyczą, nadal otrzymywały telefony reklamowe, mimo że już kilkakrotnie zwracały się do Enel Energia o usunięcie swoich danych osobowych lub sprzeciwiały się ich przetwarzaniu do celów reklamowych. W szczególności, organ ochrony danych stwierdził, że Enel Energia nie przekazała osobom, których dane dotyczą, wymaganej i terminowej informacji zwrotnej na temat ich wniosków o skorzystanie z prawa dostępu i sprzeciwu. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo nie współpracowało w wystarczającym stopniu z organem ochrony danych podczas dochodzenia. Przykładowo, Enel Energia nie odpowiedziała na różne zapytania ze strony organu ochrony danych. Przy ustalaniu wysokości grzywny, organ ochrony danych uznał następujące czynniki za obciążające: powagę naruszeń, czas trwania i powtarzalność naruszeń, jak również dużą liczbę osób, których dotyczyły naruszenia oraz niedbalstwo w postępowaniu. | Link | |
1004 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-14 | 2 400,00 € | PHARMA TALENTS, S.L.U. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych osobowych nałożył grzywnę na PHARMA TALENTS, S.L.U. Osoba, której dane dotyczą, złożyła skargę przeciwko spółce po tym, jak na jednej ze stron internetowych spółki znalazła bazę danych zawierającą dane osobowe jej samej oraz setek innych pracowników służby zdrowia, w tym adres e-mail i numer telefonu. Zarówno strona internetowa, jak i baza danych były swobodnie dostępne. Organ ochrony danych stwierdził, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą, ponieważ dostęp do bazy danych nie wymagał nawet podania nazwy użytkownika i hasła. Pierwotna grzywna w wysokości 4 000 EUR została obniżona do 2 400 EUR ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
1003 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2021-11-09 | 1 500,00 € | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Organ ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę grzywnę w wysokości 1.500 euro. Przedsiębiorstwo to zainstalowało system nadzoru wideo, aby jego klienci nie musieli czekać, gdy personel recepcji był nieobecny. Jednak kamery stale rejestrowały również fragmenty miejsc pracy dwóch pracowników. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto, organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, poprzez brak odpowiedniego poinformowania pracowników i osób trzecich o nadzorze wideo. | Link | |
1002 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-18 | 15 000,00 € | GARLEX SOLUTIONS, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na GARLEX SOLUTIONS, S.L. grzywnę w wysokości 15 000 EUR. Osoba, której dane dotyczą, otrzymała od spółki telefon z prośbą o przedłużenie umowy na dostawę energii elektrycznej. Następnie osoba, której dane dotyczą, otrzymała wiadomość SMS zawierającą link do umowy o dostawę energii elektrycznej, w której jej dane osobowe zostały już wprowadzone. Osoba, której dane dotyczą, nie potrafiła wyjaśnić, w jaki sposób spółka weszła w posiadanie tych danych, ponieważ nigdy ich nie dostarczyła i z pewnością nie wyraziła zgody na ich przetwarzanie. | Link | |
1001 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2021-12-01 | 6 800,00 € | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Organ ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę grzywnę w wysokości 6.800 euro. Przedsiębiorstwo to zainstalowało system nadzoru wideo w celu ochrony majątku firmy, zapobiegania wtargnięciu osób nieupoważnionych oraz zapobiegania wypadkom. Kamery zarejestrowały jednak również fragmenty miejsca pracy pracownika, palarni, z której pracownicy często korzystali oraz fragmenty przestrzeni publicznej. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto, organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODo, poprzez brak odpowiedniego poinformowania pracowników i osób trzecich o nadzorze wideo. | Link | |
1000 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-17 | 1 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 1.500 euro. Osoba ta zainstalowała w budynku mieszkalnym, w którym mieszka, kamery wideo, które rejestrowały m.in. wspólne obszary wszystkich mieszkańców. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
999 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-17 | 2 000,00 € | MEETING PUERTO C.B. | Art. 6 (1) RODO | Hiszpański organ ochrony danych nałożył na MEETING PUERTO C.B. grzywnę w wysokości 2 000 EUR. Administrator danych bezprawnie opublikował na Facebooku i Instagramie zdjęcie skarżącego z jego partnerką, któremu towarzyszyły obraźliwe komentarze. | Link | |
998 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-14 | 1 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Wykorzystanie kamery CCTV, która rejestrowała również obcą przestrzeń prywatną sąsiada. | Link | |
997 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-18 | 56 000,00 € | VODAFONE ESPAÑA, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE ESPAÑA, S.A.U. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, twierdzi, że na jej nazwisko zarejestrowano dwa numery telefoniczne. Jednakże osoba, której dane dotyczą, nigdy nie podpisała umów z firmą na żadne z tych numerów. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów z wykorzystaniem danych osobowych osoby, której dane dotyczą. Niemniej jednak, dane osobowe zostały wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowy zostały zawarte zgodnie z prawem i faktycznie przez osobę, której dane dotyczą, czy wyraziła ona zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych. Pierwotna grzywna w wysokości 70.000 EUR została zmniejszona do 56.000 EUR dzięki natychmiastowej zapłacie. | Link | |
996 | Malta | Information and Data Protection Commissioner (IDPC) | 2022-01-17 | 65 000,00 € | C-Planet (IT Solutions) Limited | Art. 5 (1) f) RODO, Art. 6 (1) RODO, Art. 9 (1), (2) RODO, Art. 14 RODO, Art. 32 RODO, Art. 33 RODO, Art. 34 RODO | Maltański organ ochrony danych nałożył na C-Planet (IT Solutions) Limited grzywnę w wysokości 65 000 EUR. Organ ochrony danych wszczął dochodzenie przeciwko C-Planet w kwietniu 2020 r. po otrzymaniu informacji o naruszeniu ochrony danych. W wyniku tego organ ochrony danych zauważył, że C-Planet naruszył art. 6 (1) RODO, art. 9 (1), (2) RODO, art. 14 RODO i art. 5 ust. 1 lit. f) RODO w kontekście przetwarzania danych. Organ ochrony danych stwierdził również, że C-Planet nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka i że doprowadziło to do naruszenia danych. Stanowi to naruszenie art. 32 RODO. Ponadto organ ochrony danych stwierdził, że administrator nie zgłosił naruszenia ochrony danych osobowych w wymaganym prawem terminie i nie poinformował o tym osób, których dane dotyczą. Stanowi to naruszenie art. 33 i art. 34 RODO. | Link | |
995 | Portugalia | Comissão Nacional de Protecção de Dados (CNPD) | 2021-12-21 | 1 250 000,00 € | Rada Miasta Lizbona | Art. 5 (1) a), c), e) RODO, Art. 6 RODO, Art. 9 (1) a) RODO, Art. 13 (1), (2) RODO, Art. 35 (3) RODO | Portugalski organ ochrony danych osobowych nałożył na Radę Miejską Lizbony karę w wysokości 1,25 mln euro. Grzywna jest sumą 225 grzywien z różnych naruszeń popełnionych przez gminę od 2018 roku. Gmina wysłała 111 powiadomień o demonstracjach do różnych departamentów i biur w ramach gminy, a także do stron trzecich, aby zapewnić, że mogą one prawidłowo wykonywać swoje obowiązki publiczne. Zawiadomienia zawierały m.in. dane wrażliwe osób demonstrujących i organizatorów demonstracji. Dane te ujawniały m.in. poglądy polityczne, przekonania religijne lub filozoficzne oraz orientację seksualną osób, których dane dotyczą. Organ stwierdził, że przekazanie danych nie byłoby niezbędne do prawidłowego wykonywania zadań publicznych przez te podmioty. W związku z tym przetwarzanie danych odbywało się bez wystarczającej podstawy prawnej. Ponadto, organ ochrony danych stwierdził, że gmina dokonała przetwarzania bez poinformowania osób, których dane dotyczą, bez ustanowienia polityki w zakresie przechowywania ich danych osobowych oraz bez przeprowadzenia oceny skutków dla ochrony danych. | Link | |
994 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2021-12-16 | 75 000,00 € | Bank | Art. 38 (6) RODO | Belgijski organ ochrony danych nałożył na bank grzywnę w wysokości 75 000 euro. Organ ochrony danych stwierdził konflikt interesów dotyczący inspektora ochrony danych. Oprócz pracy na stanowisku inspektora ochrony danych, był on również kierownikiem działu, któremu musiał składać sprawozdania w ramach pełnienia funkcji inspektora ochrony danych. Organ ochrony danych uznał to za naruszenie art. 38 (6) RODO. | Link | |
993 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-11-25 | 6 000,00 € | Società H San Raffaele Resnati s.r.l. | Art. 5 (1) f) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 6 000 EUR na Società H San Raffaele Resnati s.r.l. Organ ochrony danych wszczął dochodzenie przeciwko dostawcy usług zdrowotnych po tym, jak zgłosił on naruszenie danych do organu ochrony danych. W wyniku błędu pracownika jeden z pacjentów omyłkowo otrzymał dokumentację medyczną i kliniczną dwóch innych pacjentów. | Link | |
992 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-02 | 30 000,00 € | Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył na Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. grzywnę w wysokości 30.000 EUR. Dom opieki powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Placówka ucierpiała w wyniku cyberataku hakera, który uzyskał dostęp do danych osobowych i opublikował je. Obejmowało to publikację zdjęć radiologicznych pacjentów na swoim koncie na Twitterze. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że dom zabezpieczył dane jedynie za pomocą prostych haseł. Z tego powodu organ ochrony danych stwierdził, że dom nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom ochrony współmierny do ryzyka. | Link | |
991 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-02 | 7 000,00 € | Società Med Store Saronno s.r.l. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski organ ochrony danych (Garante) nałożył na Società Med Store Saronno s.r.l. grzywnę w wysokości 7.000 EUR. Dom opieki powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Placówka ucierpiała w wyniku cyberataku hakera, który uzyskał dostęp do danych osobowych i opublikował je. Obejmowało to publikację zdjęć radiologicznych pacjentów na swoim koncie na Twitterze. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że dom zabezpieczył dane jedynie za pomocą prostych haseł. Z tego powodu organ ochrony danych stwierdził, że dom nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom ochrony współmierny do ryzyka. | Link | |
990 | Grecja | Hellenic Data Protection Authority (HDPA) | 2021-12-29 | 75 000,00 € | Ministerstwo Turystyki Grecji | Art. 13 RODO, Art. 32 RODO, Art. 33 RODO, Art. 37 RODO | Grecki organ ochrony danych osobowych nałożył na greckie Ministerstwo Turystyki grzywnę w wysokości 75 000 euro. W urzędzie tym doszło do naruszenia ochrony danych. Według organu ochrony danych próba wprowadzenia przez obywatela swoich danych uwierzytelniających na platformie internetowej urzędu spowodowała wyświetlenie cudzych danych uwierzytelniających, w tym imienia i nazwiska, numeru identyfikacji podatkowej, numeru ubezpieczenia społecznego, adresu pocztowego, numeru telefonu, adresu e-mail oraz pól wskazujących na niepełnosprawność. Organ ochrony danych stwierdził, że ministerstwo nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych. Ministerstwo nie zgłosiło tego incydentu do organu ochrony danych. Organ ochrony danych uznał to za naruszenie art. 33 RODO. Dochodzenie prowadzone przez organ ochrony danych wykazało również, że Ministerstwo Turystyki nie wyznaczyło inspektora ochrony danych, mimo że na wspomnianej platformie podano adres e-mail inspektora ochrony danych tego organu do komunikacji z użytkownikami platformy. Jak się okazało, ten adres e-mail nie był aktywny. | Link | |
989 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-13 | 1 500,00 € | Osoba fizyczna | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.500 euro. Administrator zainstalował kamery monitoringu, które między innymi obejmowały przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny. Grzywna składa się z 1.000 EUR za naruszenie art. 5 (1) c) RODO oraz 500 EUR za naruszenie art. 13 RODO. | Link | |
988 | Austria | Österreichische Datenschutzbehörde (DSB) | 2022-01-14 | 8 000 000,00 € | REWE International AG | Nieznana | Austriacki urząd ochrony danych (DPA) nałożył na REWE International AG karę w wysokości 8 milionów euro. Zaledwie latem 2021 r. spółka zależna "Unser Ö-Bonus Club GmbH" została ukarana grzywną w wysokości 2 mln EUR. Według gazety "Salzburger Nachrichten" grzywna wynika z różnych naruszeń RODO. Dalsze szczegóły dotyczące tego incydentu nie są w tej chwili znane. | Link | |
987 | Irlandia | Data Protection Commission (DPC) | 2021-12-02 | 60 000,00 € | Irlandzka Rada Nauczycieli | Art. 5 (1) RODO, Art. 32 (1) RODO, Art. 33 RODO | Irlandzki organ ochrony danych nałożył na Irlandzką Radę Nauczycieli grzywnę w wysokości 60 000 EUR. Rada powiadomiła organ ochrony danych o naruszeniu ochrony danych na mocy art. 33 RODO. W związku z tym dwóch pracowników Rady uzyskało dostęp do wiadomości phishingowej, która umożliwiła im skonfigurowanie systemu automatycznego przekierowania z ich kont e-mail na złośliwe konto e-mail. W rezultacie w okresie od 17 lutego 2020 r. do 6 marca 2020 r. na nieautoryzowany zewnętrzny adres e-mail przesłano 323 wiadomości e-mail. E-maile zawierały dane osobowe 9 735 osób, których dane dotyczą, oraz wrażliwe dane osobowe jednej osoby, której dane dotyczą. W związku z tym organ ochrony danych stwierdził, że Rada nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony danych osobowych osób, których dane dotyczą, proporcjonalnego do ryzyka. Ponadto organ ochrony danych stwierdził, że Rada nie zgłosiła naruszenia ochrony danych w odpowiednim czasie. | Link | |
986 | Grecja | Hellenic Data Protection Authority (HDPA) | 2021-12-31 | 30 000,00 € | INFO COMMUNICATION SERVICES | Art. 13 RODO, Art. 14 RODO, Art. 11 Law 3471/2006 | Grecki organ ochrony danych nałożył na INFO COMMUNICATION SERVICES grzywnę w wysokości 30.000 euro. Administrator prowadził rozmowy reklamowe bez zgody osób, których dane dotyczą. Ponadto, nie poinformował on w odpowiedni sposób osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, naruszając tym samym swoje obowiązki informacyjne. | Link | |
985 | Grecja | Hellenic Data Protection Authority (HDPA) | 2021-12-31 | 25 000,00 € | PLUS REAL ADVERTISEMENT | Art. 13 RODO, Art. 14 RODO, Art. 11 Law 3471/2006 | Grecki organ ochrony danych osobowych nałożył na PLUS REAL ADVERTIS grzywnę w wysokości 25 000 EUR. Administrator przeprowadził rozmowy reklamowe bez zgody osób, których dane dotyczą. Ponadto nie poinformował on odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, naruszając tym samym swoje obowiązki informacyjne. | Link | |
984 | Polska | Urząd ochrony danych osobowych (UODO) | 2021-12-09 | 10 000,00 € | Politechnika Warszawska | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO | UODO nałożył na Politechnikę Warszawską karę pieniężną w wysokości 10 000 euro. Uczelnia zgłosiła organowi naruszenie ochrony danych osobowych zgodnie z art. 33 RODO. Jedna z jednostek organizacyjnych uczelni korzystała z aplikacji stworzonej przez pracowników uczelni do rejestracji na kursy i dostępu do historii nauczania, oceny wyników egzaminów i rozliczania opłat. Na początku stycznia 2020 r. osoba nieuprawniona pobrała z aplikacji bazę danych, która zawierała dane osobowe studentów i wykładowców (ponad 5 tys. osób). W swoim dochodzeniu organ ochrony danych stwierdził, że Politechnika nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które zapewniłyby bezpieczeństwo danych osobowych. Urząd Ochrony Danych Osobowych stwierdził również, że Politechnika Warszawska nie przeprowadziła formalnej oceny ryzyka. | Link i Link | |
983 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-11 | 9 000,00 € | EDUCANDO JUNTOS SL | Art. 6 (1) RODO, Art. 17 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na EDUCANDO JUNTOS SL grzywnę w wysokości 9 000 EUR. Administrator danych opublikował zdjęcia pracownika na niektórych swoich kanałach w sieciach społecznościowych oraz na swojej stronie internetowej. Administrator opublikował jednak te zdjęcia bez uzyskania zgody osoby, której dane dotyczą. Z tego powodu osoba, której dane dotyczą, wielokrotnie zwracała się o usunięcie zdjęć z portali społecznościowych i strony internetowej. Administrator danych nie zastosował się jednak do tego żądania. Grzywna składa się z 6.000 EUR za naruszenie art. 6 (1) RODO oraz 3.000 EUR za naruszenie art. 17 RODO. | Link | |
982 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2022-01-11 | 3 000,00 € | Wspólnota mieszkaniowa | Art. 5 (1) c) RODO | Wykorzystanie kamery telewizji przemysłowej, która uchwyciła również drogi publiczne na zewnątrz, co stanowi naruszenie tzw. zasady minimalizacji danych. | Link | |
981 | Grecja | Hellenic Data Protection Authority (HDPA) | 2022-01-05 | 1 000,00 € | Εγνατία Οδός Α.Ε. | Art. 12 (3) GDPR | Grecki organ ochrony danych nałożył na Εγνατία Οδός Α.Ε. grzywnę w wysokości 1 000 EUR. Spółka ta stosowała system nadzoru wideo w celu monitorowania uiszczania opłat za przejazd. Właściciel samochodu, który otrzymał grzywnę za nieuiszczenie opłaty za przejazd, skorzystał z prawa do informacji przyznanego mu na mocy RODO. Zażądał materiału fotograficznego, który został zarejestrowany w kontekście grzywny. Zażądał również otrzymania kopii dokumentacji zdarzenia. Przedsiębiorstwo odmówiło jednak udzielenia tych informacji osobie, której dane dotyczą. Dopiero po interwencji organu ochrony danych przedsiębiorstwo dostarczyło informacje, ale bez załączenia materiału fotograficznego. Z tego powodu organ ochrony danych stwierdził naruszenie art. 12 (3) RODO. | Link | |
980 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2021-12-31 | 60 000 000,00 € | Facebook Ireland Ltd. | Art. 82 loi Informatique et Libertés | W dniu 31 grudnia 2021 r. francuski organ ochrony danych osobowych (CNIL) nałożył na Facebook Ireland Ltd. karę w wysokości 60 000 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu, w jaki można odrzucić pliki cookie na stronie internetowej Facebook.com. CNIL dokonał następnie przeglądu stron internetowych i stwierdził, że chociaż strony internetowe oferowały przycisk umożliwiający natychmiastową akceptację plików cookie, nie istniało równoważne rozwiązanie, które pozwalałoby internaucie w równie prosty sposób odrzucić składowanie plików cookie. Odrzucenie wszystkich plików cookie wymagało raczej kilku kliknięć, w przeciwieństwie do jednego kliknięcia w celu ich zaakceptowania. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy częściej akceptowaliby umieszczanie plików cookie ze względu na wygodę. Uznała ona, że konstrukcja taka narusza swobodę wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i swobodach. Przy ustalaniu wysokości grzywny wzięto pod uwagę fakt, że problem dotyczył dużej liczby osób, co stanowi okoliczność obciążającą. Ponadto CNIL wziął pod uwagę znaczne zyski, jakie przedsiębiorstwa mogły osiągnąć z dochodów z reklam generowanych pośrednio dzięki danym gromadzonym za pomocą plików cookie. CNIL zwróciła również uwagę na fakt, że organ już w lutym 2021 r. ostrzegał firmę o tym naruszeniu. Oprócz grzywny CNIL wydał nakaz zobowiązujący firmy do udostępnienia internautom we Francji sposobu na odrzucanie plików cookies tak łatwo, jak mogą je akceptować, w ciągu trzech miesięcy od powiadomienia o decyzji. W przeciwnym razie firmy będą musiały zapłacić karę w wysokości 100 tys. euro za każdy dzień zwłoki. | Link i Link | |
979 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2021-12-31 | 60 000 000,00 € | Google Ireland Ltd. | Art. 82 loi Informatique et Libertés | W dniu 31 grudnia 2021 r. francuski organ ochrony danych osobowych (CNIL) nałożył na Google Ireland Ltd. karę w wysokości 60 000 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu, w jaki można odrzucić pliki cookie na stronach internetowych google.fr i youtube.com. CNIL dokonał następnie przeglądu stron internetowych w trybie online i stwierdził, że chociaż strony internetowe oferowały przycisk umożliwiający natychmiastową akceptację plików cookie, nie istniało równoważne rozwiązanie, które pozwalałoby internaucie w równie prosty sposób odrzucić składowanie plików cookie. Odrzucenie wszystkich plików cookie wymagało raczej kilku kliknięć, w przeciwieństwie do jednego kliknięcia w celu ich zaakceptowania. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy częściej akceptowaliby umieszczanie plików cookie z wygody. Uznała ona, że konstrukcja taka ingeruje w swobodę wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i swobodach. Przy ustalaniu wysokości grzywny wzięto pod uwagę fakt, że problem dotyczył dużej liczby osób, co stanowi okoliczność obciążającą. Ponadto CNIL wziął pod uwagę znaczne zyski, jakie przedsiębiorstwa mogły osiągnąć z dochodów z reklam generowanych pośrednio dzięki danym gromadzonym za pomocą plików cookie. CNIL zwróciła również uwagę na fakt, że już w lutym 2021 r. organ ostrzegał firmy GOOGLE o tym naruszeniu. Oprócz grzywny CNIL wydał nakaz zobowiązujący firmę do udostępnienia internautom we Francji sposobu na odrzucanie ciasteczek z taką samą łatwością, z jaką mogą je akceptować, w ciągu trzech miesięcy od otrzymania powiadomienia o decyzji. W przeciwnym razie firmy będą musiały zapłacić karę w wysokości 100 000 euro za każdy dzień opóźnienia. | Link i Link | |
978 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2021-12-31 | 90 000 000,00 € | Google LLC | Art. 82 loi Informatique et Libertés | W dniu 31 grudnia 2021 r. francuski organ ochrony danych osobowych (CNIL) nałożył na GOOGLE LLC karę w wysokości 90 000 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu, w jaki można odrzucić pliki cookie na stronach internetowych google.fr i youtube.com. CNIL dokonał następnie przeglądu stron internetowych w trybie online i stwierdził, że chociaż strony internetowe oferowały przycisk umożliwiający natychmiastową akceptację plików cookie, nie istniało równoważne rozwiązanie, które pozwalałoby internaucie w równie prosty sposób odrzucić składowanie plików cookie. Odrzucenie wszystkich plików cookie wymagało raczej kilku kliknięć, w przeciwieństwie do jednego kliknięcia w celu ich zaakceptowania. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy częściej akceptowaliby umieszczanie plików cookie ze względu na wygodę. Uznała ona, że konstrukcja taka 82 francuskiej ustawy o informatyce i swobodach. Przy ustalaniu wysokości grzywny wzięto pod uwagę fakt, że problem dotyczył dużej liczby osób, co stanowi okoliczność obciążającą. Ponadto CNIL wziął pod uwagę znaczne zyski, jakie przedsiębiorstwa mogły osiągnąć z dochodów z reklam generowanych pośrednio dzięki danym gromadzonym za pomocą plików cookie. CNIL zwróciła również uwagę na fakt, że już w lutym 2021 r. organ ostrzegał firmy GOOGLE o tym naruszeniu. Oprócz grzywny CNIL wydał nakaz zobowiązujący firmę do udostępnienia internautom we Francji sposobu na odrzucanie ciasteczek z taką samą łatwością, z jaką mogą je akceptować, w ciągu trzech miesięcy od otrzymania powiadomienia o decyzji. W przeciwnym razie firmy będą musiały zapłacić karę w wysokości 100 000 euro za każdy dzień opóźnienia. | Link i Link | |
977 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2021-12-06 | 6 000,00 € | Telekom Romania Communications SA | Art. 5 (1) d), f) RODO, Art. 5 (2) RODO, Art. 17 RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Communications SA grzywnę w wysokości 6.000 EUR. Osoba, której dane dotyczą, złożyła skargę, że administrator danych wysyłał na jej adres e-mail faktury i wiadomości informujące ją o zaległościach płatniczych innej osoby. W trakcie dochodzenia organ ochrony danych ustalił, że administrator błędnie gromadził i przetwarzał pewne dane osobowe, co doprowadziło do bezprawnego ujawnienia danych osobowych. Jednocześnie organ ochrony danych stwierdził, że administrator nie podjął niezbędnych środków w celu spełnienia wniosku osoby, której dane dotyczą, o usunięcie jej danych osobowych. Grzywna składa się proporcjonalnie z 5.000 EUR za naruszenie Art. 5 (1) d), f) RODO, Art. 5 (2) RODO i 1.000 EUR za naruszenie art. 17 RODO. | Link | |
976 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-11-11 | 150 000,00 € | TIM S.p.A. | Art. 15 RODO | Włoski organ ochrony danych (Garante) ukarał operatora sieci komórkowej TIM S.p.A. grzywną w wysokości 150 000 EUR za odmowę osobie, której dane dotyczą, dostępu do danych dotyczących jej telefonu, potrzebnych do obrony w sprawie karnej. Ponieważ osoba, której dane dotyczą, nie otrzymała odpowiedzi na wielokrotne wnioski kierowane do przedsiębiorstwa, zwróciła się do organu ochrony danych, aby uzyskać dane w terminie umożliwiającym jej udział w rozprawie w postępowaniu karnym. | Link | |
975 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-12-02 | 30 000,00 € | Ica s.r.l. | Art. 5 (1) f) RODO, Art. 32 RODO | Włoski urząd ochrony danych (Garante) ukarał ICA s.r.l. grzywną w wysokości 30.000 euro. Gmina Collegno wdrożyła system opracowany przez ICA, za pomocą którego obywatele mogli płacić grzywny za wykroczenia drogowe. Jednak ze względu na brak środków bezpieczeństwa teoretycznie możliwy był dostęp osób nieuprawnionych do danych osobowych przechowywanych za pośrednictwem programu. Z tego powodu organ ochrony danych stwierdził, że ICA nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa współmierny do ryzyka, jakie stanowiły dla osoby, której dane dotyczą. | Link | |
974 | Norwegia | Datatilsynet | 2021-12-13 | 20 000,00 € | Elektro & Automasjon Systemer AS | Art. 6 (1) f) RODO | Norweski organ ochrony danych (Datatilsynet) ukarał Elektro & Automasjon Systemer AS grzywną w wysokości 20 000 EUR. Administrator danych przeprowadził kontrolę kredytową osoby fizycznej, mimo że nie było ku temu podstawy prawnej. | Link | |
973 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-28 | 2 000,00 € | Sklep | Art. 13 RODO | Hiszpański organ ochrony danych nałożył na kierownika call shopu grzywnę w wysokości 2.000 euro. W związku z ogłoszeniem o naborze na stanowisko kierownika, kierownik ten utworzył stanowisko, na którym kandydaci mogli składać swoje dokumenty aplikacyjne za opłatą w wysokości jednego euro. W tym kontekście kierownik nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, jak wymaga tego art. 13 RODO. | Link | |
972 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2021-12-28 | 300 000,00 € | FREE MOBILE | Art. 12 RODO, Art. 15 RODO, Art. 21 RODO, Art. 25 RODO, Art. 32 RODO | Francuski organ ochrony danych (CNIL) nałożył na FREEE MOBILE grzywnę w wysokości 300 000 euro. CNIL otrzymał liczne skargi dotyczące nieprzestrzegania przez spółkę praw osób, których dane dotyczą. Podczas dochodzenia CNIL stwierdziła, że spółka nie odpowiedziała w terminie na wnioski osób, których dane dotyczą. Ponadto przedsiębiorstwo nie przestrzegało prawa do sprzeciwu przysługującego osobom, których dane dotyczą, ponieważ nadal wysyłało reklamy do tych osób, mimo że skorzystały one z prawa do sprzeciwu. Ponadto CNIL stwierdził, że przedsiębiorstwo nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. Przykładowo, przesyłała użytkownikom hasła pocztą elektroniczną w postaci czystego tekstu. | Link i Link | |
971 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2021-12-28 | 180 000,00 € | SLIMPAY | Art. 28 RODO, Art. 32 RODO, Art. 34 RODO | Francuski organ ochrony danych osobowych (CNIL) nałożył na instytucję płatniczą SLIMPAY grzywnę w wysokości 180 tys. euro. W 2015 r. firma SLIMPAY prowadziła wewnętrzny projekt badawczy, w ramach którego przetwarzała dane osobowe w swoich bazach danych. Po zakończeniu projektu badawczego w lipcu 2016 r. dane te pozostały przechowywane na serwerze, bez żadnych zabezpieczeń i swobodnie dostępne w Internecie. Naruszenie danych dotyczyło około 12 milionów osób. Podczas swojego dochodzenia CNIL stwierdziła, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom bezpieczeństwa współmierny do ryzyka dla osób, których dane dotyczą. W związku z tym dostęp do serwera nie podlegał żadnym środkom bezpieczeństwa, tak że możliwy był dostęp do niego przez Internet w okresie od listopada 2015 r. do lutego 2020 r. Ponadto organ ochrony danych stwierdził, że firma nie poinformowała osób, których dane dotyczą, o naruszeniu danych. CNIL stwierdziła również, że w kilku przypadkach umowy, które firma zawarła z podmiotami przetwarzającymi, były nieodpowiednio sporządzone, ponieważ nie zawierały pewnych przewidzianych klauzul zobowiązujących podmioty przetwarzające do przetwarzania danych osobowych zgodnie z wymogami RODO. | Link i Link | |
970 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-28 | 6 000,00 € | REAL CLUB NÁUTICO DE RIBADEO | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na REAL CLUB NÁUTICO DE RIBADEO grzywnę w wysokości 6 000 EUR. Administrator umieścił na swojej stronie internetowej i na Facebooku linki do orzeczeń sądowych zawierających dane osobowe osoby, której dane dotyczą. | Link | |
969 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-28 | 2 000,00 € | VENTANAS MAKE YOURSELF, S.L. | Art. 13 RODO | Strona korporacyjna nie zawierała polityki prywatności na swojej głównej stronie. | Link | |
968 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-16 | 60 000,00 € | Banco Bilbao Vizcaya Argentaria S.A. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Banco Bilbao Vizcaya Argentaria S.A. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator wielokrotnie wysyłał jej wiadomości SMS o braku płatności, mimo że nie łączył jej z administratorem żaden stosunek umowny. Administrator stwierdził, że niechciane wiadomości SMS były wysyłane z powodu błędu ludzkiego jego pracowników. Pierwotna grzywna w wysokości 100 000 EUR została obniżona do 60 000 EUR ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
967 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-22 | 5 000,00 € | HUBSIDE IBÉRICA S.L. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na HUBSIDE IBÉRICA S.L. grzywnę w wysokości 5.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora danych za obciążenie jej kosztami kilku usług, których nie zamawiała. | Link | |
966 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-22 | 5 000,00 € | Sfam España General s.l. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na Sfam España General s.l. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych za obciążenie jej kosztami kilku usług, których nie zamówiła. | Link | |
965 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-21 | 6 000,00 € | Osoba fizyczna | Art. 6 (1) RODO | Hiszpański organ ochrony danych osobowych nałożył na osobę fizyczną grzywnę w wysokości 6.000 euro. Osoba ta udostępniła na Twitterze nagranie wideo przedstawiające obrazy napaści seksualnej mężczyzny na kobietę. Celem udostępnienia filmu było zwrócenie uwagi na przemoc domową wobec kobiet. Zgodnie z ustawą o ochronie danych osobowych udostępnienie filmu jest bezprawne. Nawet jeśli dana osoba mogła mieć uzasadniony interes w udostępnieniu filmu, prawo ofiary do prywatności przeważa. | Link | |
964 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-23 | 1 500,00 € | LA OFICINA BAR | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na LA OFICINA BAR. Bar ten stosował system nadzoru wideo, w którym kąt obserwacji kamer rozciągał się na obszar ruchu publicznego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. | Link | |
963 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-17 | 4 000,00 € | CLUB DEPORTIVO RITMO DE ANDALUCÍA | Art. 7 RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył na CLUB DEPORTIVO RITMO DE ANDALUCÍA grzywnę w wysokości 2.000 EUR. Organ ochrony danych wskazał, że informacja o ochronie danych osobowych administratora nie spełniała wymogów RODO. Tym samym informacje wymagane zgodnie z art. 13 RODO nie zostały przekazane w wystarczającym stopniu. Ponadto klauzule dotyczące ochrony danych nie zapewniały możliwości wyrażenia zgody na przetwarzanie danych. | Link | |
962 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-21 | 2 000,00 € | FUNDACION ESPANOLA DE MEDICINA ESTETICA Y LONGEVIDAD | Art. 7 RODO, Art. 13 RODO | Hiszpański organ ochrony danych nałożył grzywnę w wysokości 2 000 EUR na FUNDACION ESPANOLA DE MEDICINA ESTETICA Y LONGEVIDAD. Organ ochrony danych wskazał, że informacja o ochronie danych osobowych administratora nie spełniała wymogów RODO. Tym samym informacje wymagane zgodnie z art. 13 RODO nie zostały przekazane w wystarczającym stopniu. Ponadto klauzule dotyczące ochrony danych nie zapewniały możliwości wyrażenia zgody na przetwarzanie danych. | Link | |
961 | Austria | Österreichische Datenschutzbehörde (DSB) | 2021-08-05 | 600,00 € | Osoba fizyczna | Art. 9 RODO | Austriacki organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 600 EUR. Osoba fizyczna przesłała pracodawcy osoby, której dane dotyczą, dokument uzyskany w sprawie sądowej między osobą, której dane dotyczą, a nią samą. Dokument ten zawierał informacje dotyczące danych zdrowotnych osoby, której dane dotyczą. Osoba, której dane dotyczą, w żadnym momencie nie wyraziła zgody na przekazanie dokumentu swojemu pracodawcy. | Link | |
960 | Norwegia | Datatilsynet | 2021-12-17 | 3 900,00 € | T. Stene Transport AS | Nieznana | Norweski organ ochrony danych ukarał firmę T. Stene Transport AS grzywną w wysokości 3 900 EUR za nieuczciwe sprawdzenie zdolności kredytowej osoby, której dane dotyczą. | Link | |
959 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-17 | 2 000,00 € | Sprzedawca internetowy | Art. 6 RODO | Hiszpański organ ochrony danych osobowych nałożył na sprzedawcę internetowego grzywnę w wysokości 2 000 EUR. Osoba, której dane dotyczą, kupiła produkt w sklepie internetowym administratora za pośrednictwem eBay i zapłaciła za pomocą Paypal. Zamówienie otrzymał jednak za pośrednictwem Amazon. Ponieważ osoba, której dane dotyczą, nie wyraziła zgody na przekazanie swoich danych do Amazon, organ ochrony danych stwierdził, że administrator przetwarzał dane niezgodnie z prawem. | Link | |
958 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-17 | 2 000,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 2.000 euro. Administrator danych zainstalował kamery wideo w taki sposób, że mogły one rejestrować obrazy przestrzeni publicznej i wejścia do budynku mieszkalnego. AEPD uznał to za naruszenie zasady minimalizacji danych. | Link | |
957 | Grecja | Hellenic Data Protection Authority (HDPA) | 2021-12-08 | 30 000,00 € | One Way Private Company | Art. 28 (3) c) RODO, Art. 32 (2), (4) RODO, Art. 11 (1) Νόμος 3471/2006 | Grecki organ ochrony danych nałożył na One Way Private Company grzywnę w wysokości 30 000 EUR. Do organu ochrony danych wpłynęło 17 skarg dotyczących nielegalnych połączeń telefonicznych w celach reklamowych. Organ ochrony danych ustalił, że z powodu błędu w aplikacji administratora danych przeprowadzono rozmowy telefoniczne z abonentami znajdującymi się na liście chroniącej przed niezamówioną reklamą telefoniczną "Rejestr 11". Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. | Link | |
956 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-14 | 50 000,00 € | IZA OBRAS Y PROMOCIONES, S.A. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych ukarał IZA OBRAS Y PROMOCIONES, S.A. grzywną w wysokości 50.000 EUR. Pracownik złożył skargę do organu ochrony danych przeciwko spółce, twierdząc, że administrator danych nieuprawnienie udostępnił jego dane osobowe innej spółce, od której otrzymał zlecenie na budowę. Osoba, której dane dotyczą, pracowała przy projekcie jako kierownik budowy, ale była przez pewien czas nieobecna w pracy z powodu choroby. Administrator poinformował zatem swojego klienta i dodatkowo ujawnił adres e-mail osoby, której dane dotyczą, oraz pewne informacje o stanie zdrowia. Organ ochrony danych stwierdził, że ujawnienie tych danych nie byłoby konieczne i że w związku z tym administrator naruszył zasadę minimalizacji danych. | Link | |
955 | Węgry | Nemzeti Adatvédelmiés Információszabadság Hivatal (NAIH) | 2021-10-27 | 13 500,00 € | Importer samochodów | Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 13 RODO | Węgierski organ ochrony danych nałożył na importera samochodów karę w wysokości 13 500 euro. Klient jednego z autoryzowanych warsztatów naprawczych spółki złożył skargę do organu ochrony danych osobowych w związku z otrzymywaniem od spółki niezamówionych wiadomości e-mail dotyczących ankiet dla klientów po dokonaniu przeglądu samochodu. Węgierski organ ochrony danych stwierdził, że administrator nie miał ważnej podstawy prawnej do skontaktowania się z osobą, której dane dotyczą. Stwierdził również, że administrator nie wywiązał się ze swojego obowiązku informacyjnego na mocy art. 12 RODO i art. 13 RODO. Na przykład e-maile nie zawierały żadnych informacji kontaktowych administratora danych. | Link | |
954 | Dania | Datatilsynet | 2021-12-16 | 13 450,00 € | Gmina Frederiksberg | Art. 32 RODO | Duński organ ochrony danych osobowych nałożył na gminę Frederiksberg grzywnę w wysokości 13 450 EUR. W dniu 1 marca 2021 r. gmina zgłosiła naruszenie danych na mocy art. 33 RODO. Usługi stomatologiczne w gminie były obsługiwane przez system, za pośrednictwem którego rodzice mogli uzyskać dostęp online do informacji o opiece stomatologicznej swoich dzieci. Następnie gmina rozszerzyła ten dostęp na rodziców sprawujących wspólną opiekę nad dzieckiem. W rezultacie w kilku przypadkach rodzice uzyskali dostęp do informacji o drugim rodzicu i adresie dziecka, mimo że rodzic i dziecko, których to dotyczyło, byli zarejestrowani z ochroną nazwisk i adresów. Organ ochrony danych uznał to za naruszenie obowiązku gminy do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. | Link | |
953 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-16 | 1 200,00 € | Osoba fizyczna | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 1.200 euro za niedostarczenie wystarczających informacji na temat systemu nadzoru wideo zainstalowanego w jej posiadłości. | Link | |
952 | Finlandia | Tietosuojavaltuutetun Toimisto | 2021-12-07 | 608 000,00 € | Psykoterapiakeskus Vastaamo | Art. 5 (1) f) RODO, Art. 33 (1) RODO, Art. 34 (1) RODO | Fiński organ ochrony danych osobowych ukarał ośrodek psychoterapii Vastaamo grzywną w wysokości 608 tys. euro. We wrześniu 2020 r. ośrodek psychoterapii zgłosił do organu ochrony danych atak na swoją bazę danych pacjentów. Nieuprawniona osoba trzecia uzyskała dostęp do bazy danych medycznych Vastaamo co najmniej dwukrotnie, w grudniu 2018 r. i marcu 2019 r. Napastnik pobrał również dane i zostawił na serwerach wiadomość z żądaniem okupu. Ze względu na niewystarczające logi nie udało się zidentyfikować ani dokładnej daty naruszenia, ani adresów sieciowych używanych przez atakującego. Najbardziej prawdopodobną przyczyną wycieku danych z bazy medycznej był niezabezpieczony port w bazie danych, gdzie konto użytkownika root bazy danych nie było chronione hasłem. Serwer bazy danych pacjentów był otwarty na Internet bez ochrony firewall w okresie od 26 listopada 2017 r. do 13 marca 2019 r. Z tego powodu organ ustalił, że dane osobowe nie były odpowiednio zabezpieczone przed niedozwolonym i niezgodnym z prawem przetwarzaniem lub przypadkową utratą, zniszczeniem lub uszkodzeniem, a administrator nie wdrożył podstawowych środków bezpiecznego przetwarzania danych osobowych. W ramach swojego dochodzenia organ ochrony danych ustalił również, że administrator musiał wiedzieć już w marcu 2019 r., że dane w systemie informacji o pacjentach zostały utracone i mogły zostać narażone na szwank przez zewnętrznego napastnika. Vastaamo powinno było natychmiast zgłosić naruszenie bezpieczeństwa zarówno do organu ochrony danych osobowych, jak i do swoich pacjentów. Vastaamo jednak znacznie spóźniło się z wypełnieniem tego obowiązku. Grzywna składa się proporcjonalnie z kwoty 145 600 EUR za naruszenie art. 33 (1) RODO, 145 600 EUR za naruszenie art. 34 (1) RODO oraz 316 800 EUR za naruszenie art. 5 ust. 1 lit. f) RODO. | Link | |
951 | Austria | Österreichische Datenschutzbehörde (DSB) | 2021-02-12 | 3 000,00 € | Nieznany | Art. 31 RODO | Austriacki organ ochrony danych ukarał przedsiębiorstwo grzywną w wysokości 3 000 EUR za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia. | Link | |
950 | Norwegia | Datatilsynet | 2021-12-13 | 6 300 000,00 € | Grindr LLC | Art. 6 (1) RODO, Art. 9 (1) RODO | Norweski urząd ochrony danych osobowych ukarał Grindr LLC grzywną w wysokości 6,3 mln euro. Grindr to oparta na lokalizacji aplikacja społecznościowa przeznaczona dla gejów, osób bi, trans i queer. W 2020 r. norweski urząd ochrony konsumentów złożył skargę przeciwko Grindr do norweskiego organu ochrony danych, zarzucając, że portal udostępnił informacje o lokalizacji GPS użytkowników, adresie IP, identyfikatorze reklamowym telefonu komórkowego, wieku i płci kilku stronom trzecim w celach marketingowych. Zgodnie z RODO do udostępniania tych danych osobowych wymagana jest zgoda. Jednak podczas swojego dochodzenia organ stwierdził, że zgoda zebrana przez Grindr nie była ważna. Użytkownicy musieli zaakceptować politykę prywatności, aby móc korzystać z aplikacji, ale nie zostali wyraźnie zapytani, czy zgadzają się na udostępnianie ich danych stronom trzecim w celach marketingowych. Ponadto informacje o ujawnieniu danych osobowych nie były wystarczająco jasne lub dostępne dla użytkowników. Organ ochrony danych zwraca uwagę, że tego typu dane mogą identyfikować użytkownika Grindr jako członka mniejszości seksualnej. Użytkownicy Grindr chcieliby czasem korzystać z aplikacji anonimowo, nie podając np. swojego imienia i nazwiska lub przesyłając swoje zdjęcie. W związku z tym, w przypadku orientacji seksualnej użytkowników, naruszona została również szczególna kategoria danych osobowych, która podlega szczególnie wysokiemu poziomowi ochrony. Dlatego też organ ochrony danych uważa to naruszenie za szczególnie poważny przypadek, który uzasadnia odstraszająco wysoką grzywnę. Modele biznesowe oparte na marketingu behawioralnym są szeroko rozpowszechnione w gospodarce cyfrowej, dlatego ważne jest, aby grzywny za naruszenia RODO miały charakter odstraszający. | Link | |
949 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2021-12-13 | 2 000,00 € | SC Nobiotic Pharma SRL | Art. 58 (1) RODO | Nieprzekazanie żądanych informacji rumuńskiemu organowi ochrony danych w wymaganym terminie z naruszeniem art. 58 RODO. | Link | |
948 | Norwegia | Datatilsynet | 2021-11-24 | 98 000,00 € | Norweski Państwowy Fundusz Emerytalny (SPK) | Art. 5 (1) c), e) RODO, Art. 6 (1) RODO, Art. 9 (2) RODO | Norweski Urząd Ochrony Danych nałożył na Norweski Państwowy Fundusz Emerytalny (SPK) grzywnę w wysokości 98 000 EUR. Administrator danych powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Organ ochrony danych stwierdził, że administrator danych od 2016 r. bezprawnie gromadził pewne informacje o dochodach. Na przykład administrator gromadził informacje dotyczące zdrowia w zakresie renty inwalidzkiej, chociaż nie było to wymagane. Incydenty te dotyczyły około 24 000 osób fizycznych. Ponadto, organ ochrony danych stwierdził, że SPK nie wdrożył rutynowych działań w celu przeglądu i usunięcia nadmiernie zebranych informacji do 2019 r. | Link | |
947 | Belgia | Gegevensbeschermingsautoriteit (GBA) | 2021-12-08 | 10 000,00 € | Nieznany | Art. 12 (3) RODO, Art. 14 (1), (2), (3) RODO, Art. 15 RODO, Art. 17 (1) c) RODO, Art. 21 (2) RODO | Belgijski organ ochrony danych nałożył na przedsiębiorstwo grzywnę w wysokości 10 000 euro. Osoba, której dane dotyczą, wielokrotnie otrzymywała od przedsiębiorstwa pocztę o treści reklamowej, mimo że sprzeciwiła się przetwarzaniu swoich danych osobowych i zażądała ich usunięcia. Przedsiębiorstwo nie odpowiedziało jednak na zapytania organu ochrony danych w tym zakresie. Ponadto przedsiębiorstwo nie poinformowało w wystarczający sposób osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych. | Link | |
946 | Niderlandy | Autoriteit Persoonsgegevens (AP) | 2021-11-25 | 2 750 000,00 € | Niderlandzki minister finansów | Art. 5 (1) a) RODO, Art. 6 (1) e) RODO, Art. 8 Wbp | Niderlandzki urząd ochrony danych (DPA) ukarał ministra finansów grzywną w wysokości 2,75 mln euro. W kontekście wniosków o zasiłek na opiekę nad dzieckiem urzędy skarbowe przez kilka lat przetwarzały dane dotyczące podwójnego obywatelstwa wnioskodawców. Urząd Ochrony Danych stwierdził jednak, że dane dotyczące podwójnego obywatelstwa obywateli niderlandzkich nie byłyby konieczne przy ocenie wniosku o zasiłek wychowawczy. Wspomniane dane były również przetwarzane w celu zwalczania zorganizowanych oszustw oraz w celu automatycznej klasyfikacji w systemie ryzyka stosowanym przez organ. Jednak nawet dla tych celów przetwarzanie danych nie byłoby konieczne. Z tego powodu administracja podatkowa i celna powinna była usunąć dane dotyczące podwójnego obywatelstwa już w styczniu 2014 r. Mimo to na maj 2018 r. dane dotyczące podwójnego obywatelstwa łącznie 1,4 mln osób były nadal zarejestrowane w systemach administracji podatkowej i celnej. W związku z tym organ ochrony danych stwierdził, że dane te były przetwarzane niezgodnie z prawem ze względu na brak ważnej podstawy prawnej. Ponadto organ ten stwierdził, że osoby, których dane dotyczą, były dyskryminowane ze względu na swoją narodowość. | Link Link | |
945 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-07 | 24 000,00 € | NBQ Technology, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną NBQ Technology, S.A.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko tej firmie po tym, jak odmówiono jej przeprowadzenia transakcji finansowej z powodu rzekomych zaległości w spłacie pożyczki. Jak się okazało, złodziej tożsamości uzyskał dane osoby, której dane dotyczą, bez upoważnienia i złożył wniosek o pożyczkę u administratora danych podając się za osobę, której dane dotyczą. Następnie administrator danych zatwierdził pożyczkę. Ponieważ dane przetwarzane w celu udzielenia pożyczki nie należały do pożyczkobiorcy, lecz do osoby, której dane dotyczą, AEPD stwierdził, że administrator nie miał podstawy prawnej do przetwarzania tych danych. Przetwarzanie danych było zatem niezgodne z prawem i stwierdzono naruszenie art. 6 ust. 1 RODO. Pierwotna grzywna w wysokości 40 000 EUR została zmniejszona do 24 000 EUR ze względu na natychmiastową zapłatę i uznanie winy. | Link | |
944 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-03 | 1 000,00 € | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 euro za brak znaków informacyjnych o nadzorze CCTV w zakładzie. | Link | |
943 | Niemcy | Organ ochrony danych osobowych kraju związkowego Dolna Saksonia | 2019 | Wysokość kary pieniężnej od 350 EUR do 1 000 EUR | Nieznany | Art. 6 RODO | Dziewięć grzywien w wysokości od 350 do 1 000 EUR za niezgodne z prawem użycie kamery samochodowej. | Link | |
942 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia | 2019 | Wysokość kary pieniężnej od 50 EUR do 800 EUR | Nieznany | Art. 6 RODO | Dziewięć grzywien w wysokości od 50 do 800 EUR za niezgodne z prawem użycie kamery samochodowej. | Link | |
941 | Niemcy | Organ ochrony danych osobowych kraju związkowego Saksonia | 2019 | 500,00 € | Nieznany | Art. 15 RODO | Administrator danych nie spełnił żądania osoby, której dane dotyczą, dotyczącego dostępu do jej danych osobowych. | Link | |
940 | Niemcy | Organ ochrony danych osobowych kraju związkowego Nadrenia-Palatynat | Nieznana | 600,00 € | Nieznany | Art. 6 RODO | Bezprawne użycie kamery samochodowej | Link | |
939 | Niemcy | Organ ochrony danych osobowych kraju związkowego Nadrenia-Palatynat | Nieznana | 300,00 € | Nieznany | Art. 6 RODO | Bezprawne użycie kamery samochodowej | Link | |
938 | Niemcy | Organ ochrony danych osobowych kraju związkowego Nadrenia-Palatynat | Nieznana | 50,00 € | Nieznany | Art. 6 RODO | Bezprawne użycie kamery samochodowej | Link | |
937 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-02 | 2 000,00 € | COOPERA RC SERVICES, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na COOPERA RC SERVICES grzywnę w wysokości 2.000 EUR. Administrator nie podał wystarczających danych kontaktowych, za pomocą których osoby, których dane dotyczą, mogłyby egzekwować swoje prawa. | Link | |
936 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-23 | 40 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator danych przekazał jej numer telefonu komórkowego innej osobie bez jej zgody z powodu błędu technicznego. Ponadto konto osoby, której dane dotyczą, zostało obciążone kwotami należącymi do numeru telefonicznego osoby trzeciej. Organ ochrony danych stwierdził, że Vodafone bezprawnie przetwarzał dane osoby, której dane dotyczą. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 40 000 EUR w związku z dobrowolną wpłatą. | Link | |
935 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-23 | 40 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, wniosła skargę przeciwko administratorowi danych, ponieważ numery telefoniczne były zarejestrowane na jej nazwisko, chociaż nigdy nie zawarła ona umowy z firmą na żaden z tych numerów. Vodafone przypadkowo przypisała dane osoby, której dane dotyczą, do umów innego klienta Vodafone, dlatego też umowy zostały zarejestrowane na jego nazwisko. W tym kontekście organ ochrony danych uznał, że przetwarzanie danych osoby, której dane dotyczą, przez Vodafone było niezgodne z prawem. Pierwotna grzywna w wysokości 50.000 EUR została obniżona do 40.000 EUR z powodu dobrowolnej zapłaty. | Link | |
934 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-02 | 2 000,00 € | IMAGINA FRAN SPORT, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał IMAGINA FRAN SPORT, S.L. grzywną w wysokości 2.000 EUR w związku z tym, że jego polityka prywatności nie była zgodna z wymogami Art. 13 RODO. Na przykład, strona internetowa zawierała nieaktualne informacje. | Link | |
933 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-12-01 | 5 000,00 € | INTRODUCTION BUSINESS CAPITAL MEDIA, S.L. | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył na INTRODUCTION BUSINESS CAPITAL MEDIA, S.L. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, otrzymywała od administratora telefony reklamowe, mimo że była wpisana na listę osób wykluczonych z reklam (listę Robinsona). | Link | |
932 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-10-14 | 8 000,00 € | Agencja Ochrony Zdrowia Sardynii (ATS) | Art. 5 RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) nałożył na Agencję Ochrony Zdrowia Sardynii (ATS) grzywnę w wysokości 8 000 EUR. Pacjent omyłkowo otrzymał do własnych akt dokumentację medyczną i kliniczną innego pacjenta. | Link | |
931 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-29 | 2 000,00 € | Lekarz | Art. 5 (1) a) RODO, Art. 9 RODO | Włoski organ ochrony danych (Garante) ukarał lekarza grzywną w wysokości 2.000 euro. Pacjent złożył skargę do organu ochrony danych, że lekarz ujawnił jego dane osobowe osobom trzecim bez upoważnienia. Lekarz zalecił podmiotowi danych produkty medyczne w ramach jego leczenia. Kilka dni później osoba, której dane dotyczą, otrzymała telefon od konsultanta marketingowego stojącego za rekomendowanymi produktami. Osoba, której dane dotyczą, wskazała, że nigdy nie wyraziła zgody na ujawnienie swoich danych. Garante stwierdza, że do przetwarzania danych osobowych niezbędnych do leczenia nie jest wymagana szczególna zgoda. W tym przypadku jednak dane były przetwarzane w celu promocji produktów, a zatem wyraźna zgoda byłaby wymagana na mocy art. 9 RODO. Lekarz przetwarzał więc dane niezgodnie z prawem. | Link | |
930 | Wielka Brytania | Information Commissioner (ICO) | 2021-11-25 | 585 000,00 € | Kancelaria Rady Ministrów | Art. 5 (1) f) RODO, Art. 32 RODO | Brytyjski organ ochrony danych osobowych (ICO) ukarał Kancelarię Rady Ministrów (Cabinet Office) grzywną w wysokości 585 000 euro. W dniu 27 grudnia 2019 roku Kancelaria Rady Ministrów opublikowała na GOV.UK plik zawierający nazwiska i nieocenzurowane adresy ponad 1000 osób, które otrzymały noworoczne wyróżnienia. Osoby z szerokiego zakresu zawodów w całej Wielkiej Brytanii zostały poszkodowane, w tym osoby o wysokim statusie publicznym. Po dowiedzeniu się o naruszeniu danych, Kancelaria Rady Ministrów usunęła link internetowy do pliku. Jednak plik nadal znajdował się w pamięci podręcznej i był dostępny online dla osób, które znały dokładny adres strony internetowej. Ujawnione dane osobowe były dostępne w sieci przez dwie godziny i 21 minut, a dostęp do nich uzyskano 3 872 razy. Do naruszenia doszło z powodu błędu w konfiguracji nowego systemu informatycznego Kancelarii Rady Ministrów. ICO stwierdziło, że Kancelaria Rady Ministrów nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. | Link Link | |
929 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-10-28 | 2 000,00 € | Anfiteatro Flavio s.r.l. | Art. 13 RODO | Włoski urząd ochrony danych (Garante) nałożył na spółkę Anfiteatro Flavio s.r.l. grzywnę w wysokości 2.000 euro. Podczas inspekcji administracyjnej w hotelu zarządzanym przez Anfiteatro Flavio, policja stwierdziła, że w sklepie zainstalowany jest system nadzoru wideo z trzema kamerami. Stwierdzono jednak, że administrator nie dostarczył wystarczających informacji na temat obecności systemu monitoringu wizyjnego. Organ Ochrony Danych uznał to za naruszenie art. 13 RODO. | Link | |
928 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-10-28 | 2 000,00 € | OTTO s.r.l. | Art. 13 RODO | Włoski organ ochrony danych (Garante) nałożył na spółkę OTTO s.r.l. grzywnę w wysokości 2.000 euro. Podczas inspekcji administracyjnej w sklepie zarządzanym przez OTTO, policja stwierdziła, że w sklepie zainstalowany był system nadzoru wideo z trzema kamerami. Stwierdzono jednak, że administrator nie dostarczył wystarczających informacji na temat obecności systemu monitoringu wizyjnego. Organ Ochrony Danych uznał to za naruszenie art. 13 RODO. | Link | |
927 | Litwa | Valstybinė duomenų apsaugos inspekcija (VDAI) | 2021-11-29 | 110 000,00 € | UAB Prime Leasing | Art. 32 (1) b), d) RODO | Litewski organ ochrony danych osobowych nałożył grzywnę w wysokości 110 000 EUR na spółkę UAB Prime Leasing, operatora platformy krótkoterminowego wynajmu samochodów CityBee. Urząd Ochrony Danych przeprowadził dochodzenie z własnej inicjatywy po tym, jak w lutym 2021 r. upubliczniono informacje o możliwym naruszeniu danych osobowych (art. 33 RODO) klientów firmy. Według firmy dowiedzieli się oni o naruszeniu bezpieczeństwa od innego dostawcy usług cyberbezpieczeństwa, który poinformował ich, że dane klientów 110 302 użytkowników CityBee zostały opublikowane na stronie internetowej forum hakerskiego RaidForums.com. Obejmowały one takie dane jak nazwiska, adresy, numery telefonów, adresy e-mail, osobiste numery identyfikacyjne, numery prawa jazdy, rodzaj karty płatniczej oraz cztery ostatnie cyfry numeru karty osób, których dane dotyczyły. Dochodzenie przeprowadzone przez Urząd Ochrony Danych wykazało, że opublikowane dane pochodziły z niezabezpieczonej kopii zapasowej bazy danych. Organ ochrony danych stwierdził, że do naruszenia danych doszło z powodu niedopełnienia przez przedsiębiorstwo obowiązku wdrożenia środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. Spółka nie wyznaczyła na przykład osoby o odpowiednich kompetencjach, która byłaby odpowiedzialna za bezpieczeństwo i zarządzanie ryzykiem. Nie zadbało również o to, by dostęp do plików bazy danych był rejestrowany i oceniany. Ponadto przedsiębiorstwo przechowywało bazę danych w formie niezaszyfrowanej, tak że osoba posiadająca wiedzę techniczną mogła mieć pełny dostęp do danych zawartych w pliku po jego pobraniu. Kody osobowe w bazie danych były ponadto przechowywane bez ochrony, a hasła w bazie danych były jedynie zaszyfrowane algorytmem szyfrowania, który uznano za niezabezpieczony. | Link | |
926 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-30 | 5 000,00 € | ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE | Art. 17 (1) RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) ukarał ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE grzywną w wysokości 5.000 EUR. Osoba, której dane dotyczą, poinformowała, że nie zgadza się na dalszą subskrypcję biuletynu i zażądała od administratora usunięcia wszystkich swoich danych. Nadal jednak otrzymywał reklamy od administratora danych. | Link | |
925 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-30 | 20 000,00 € | DAVISER SERVICIOS, S.L. | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na DAVISER SERVICIOS, S.L. grzywnę w wysokości 20 000 EUR. Firma przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, chociaż można było zastosować mniej inwazyjne środki (takie jak karty-klucze) w celu ochrony prywatności osób, których dane dotyczą. AEPD stwierdził, że administrator danych naruszył zasadę minimalizacji danych. | Link | |
924 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-30 | 5 000,00 € | ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE | Art. 17 (1) RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) ukarał ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE grzywną w wysokości 5.000 EUR. Osoba, której dane dotyczą, poinformowała, że nie zgadza się na dalszą subskrypcję biuletynu i zażądała od administratora usunięcia wszystkich swoich danych. Nadal jednak otrzymywał reklamy od administratora danych. | Link | |
923 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-30 | 1 500,00 € | Wspólnota sąsiedzka | Art. 5 (1) c) RODO | Hiszpański Urząd Ochrony Danych (AEPD) ukarał grzywną wspólnotę sąsiedzką. Administrator zainstalował kamery wideo na swojej prywatnej posesji w taki sposób, że mogły one rejestrować obrazy przestrzeni publicznej i prywatnej posesji sąsiada. AEPD uznała to za naruszenie zasady minimalizacji danych. | Link | |
922 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-29 | 1 000,00 € | Właściciel restauracji | Art. 13 RODO | Hiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela restauracji grzywną w wysokości 1 000 euro za brak znaków informacyjnych o nadzorze kamer monitorujących w lokalu. | Link | |
921 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-29 | 4 000,00 € | TIGERS MARKET, S.L. | Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD | Hiszpański organ ochrony danych (AEPD) nałożył na TIGERS MARKET, S.L. grzywnę w wysokości 4.000 EUR. Osoba, której dane dotyczą, otrzymywała od administratora telefony reklamowe, mimo że była wpisana na listę osób wykluczonych z reklam (listę Robinsona). | Link | |
920 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2021-10-27 | 15 400,00 € | Nieznany | Art. 38 (1), (3) RODO, Art. 39 (1) a), b) RODO | Luksemburski organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 15 400 euro. Według organu ochrony danych administrator nie zaangażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Ponadto, wbrew wymogom RODO, inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu; zamiast tego istniały dwa poziomy hierarchii pomiędzy nimi. Administrator nie posiadał również planu kontroli ochrony danych, aby wykazać, że inspektor ochrony danych właściwie wykonuje swoje obowiązki. | Link | |
919 | Grecja | Hellenic Data Protection Authority (HDPA) | 2021-10-14 | 20 000,00 € | ΚΑΠΑ ΛΑΜΔΑ ΩΜΕΓΑ ΔΙΑΦΗΜΙΣΤΙΚΗ ΕΜΠΟΡΙΚΗ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ | Art. 6 RODO, Art. 12 (2) RODO, Art. 21 RODO | Grecki organ ochrony danych nałożył na ΚΑΠΑ ΛΑΜΔΑ ΩΜΕΓΑ ΔΙΑΦΗΜΙΣΤΙΚΗ ΕΜΠΟΡΙΚΗ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ 20 000 EUR. W kilku przypadkach przedsiębiorstwo prowadziło rozmowy marketingowe bez zgody osób, których dane dotyczą. Pomimo kilkukrotnego cofnięcia zgody przez osoby, których dane dotyczą, nadal otrzymywały one niezamówione reklamy. | Link | |
918 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-24 | 9 000,00 € | UNIÓN FINANCIERA ASTURIANA S.A. E.F.C. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) ukarał grzywną UNIÓN FINANCIERA ASTURIANA S.A. E.F.C.. Administrator danych przeprowadził kontrolę kredytową osoby, której dane dotyczą, bez żadnej podstawy umownej. Pierwotna grzywna w wysokości 15 000 EUR została obniżona do 9 000 EUR w związku z dobrowolną zapłatą i uznaniem winy. | Link | |
917 | Islandia | Persónuvernd | 2021-11-23 | 27 200,00 € | YAY ehf. | Art. 5 RODO, Art. 6 RODO, Art. 28 RODO, Art. 32 RODO | Islandzki Urząd Ochrony Danych Osobowych nałożył karę w wysokości 51 000 EUR na Ministerstwo Przemysłu i Innowacji oraz karę w wysokości 27 200 EUR na YAY ehf. Grzywna jest związana z kampanią prowadzoną przez ministerstwo, której celem było zachęcenie Islandczyków do podróży krajowych latem 2020 roku. Kampania ta obejmowała cyfrowy voucher upominkowy, który można było uzyskać za pośrednictwem aplikacji przedsiębiorstwa YAY ehf. Organ ochrony danych otrzymał szereg skarg dotyczących faktu, że skorzystanie z prezentu turystycznego wymagało podania wielu danych osobowych i dostępu do telefonów użytkowników. W związku z tym organ ten wszczął dochodzenie przeciwko ministerstwu i spółce. Urząd Ochrony Danych stwierdził, że ministerstwo naruszyło zasadę legalności i przejrzystości. Osoby uczestniczące w promocji musiały jedynie wyrazić zgodę na ogólne warunki korzystania z aplikacji YAY, aby móc wziąć udział w promocji kuponowej. Organ ochrony danych stwierdził jednak, że w ten sposób osoby, których dane dotyczą, nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych w ramach promocji. Organ ochrony danych stwierdził również, że informacje przekazane na temat faktycznego przetwarzania danych osobowych były niewystarczające. Ponadto ani ministerstwo, ani YAY ehf. nie wdrożyły odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Ponadto, z powodu błędu konfiguracyjnego po stronie YAY, przetworzono więcej danych niż było to konieczne, dlatego też organ ochrony danych stwierdził naruszenie zasady minimalizacji danych. | Link | |
916 | Islandia | Persónuvernd | 2021-11-23 | 51 000,00 € | Islandzkie Ministerstwo Przemysłu i Innowacji | Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 25 RODO, Art. 28 RODO, Art. 32 RODO | Islandzki Urząd Ochrony Danych Osobowych nałożył karę w wysokości 51 000 EUR na Ministerstwo Przemysłu i Innowacji oraz karę w wysokości 27 200 EUR na YAY ehf. Grzywna jest związana z kampanią prowadzoną przez ministerstwo, której celem było zachęcenie Islandczyków do podróży krajowych latem 2020 roku. Kampania ta obejmowała cyfrowy voucher upominkowy, który można było uzyskać za pośrednictwem aplikacji przedsiębiorstwa YAY ehf. Organ ochrony danych otrzymał szereg skarg dotyczących faktu, że skorzystanie z prezentu turystycznego wymagało podania wielu danych osobowych i dostępu do telefonów użytkowników. W związku z tym organ ten wszczął dochodzenie przeciwko ministerstwu i spółce. Urząd Ochrony Danych stwierdził, że ministerstwo naruszyło zasadę legalności i przejrzystości. Osoby uczestniczące w promocji musiały jedynie wyrazić zgodę na ogólne warunki korzystania z aplikacji YAY, aby móc wziąć udział w promocji kuponowej. Organ ochrony danych stwierdził jednak, że w ten sposób osoby, których dane dotyczą, nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych w ramach promocji. Organ ochrony danych stwierdził również, że informacje przekazane na temat faktycznego przetwarzania danych osobowych były niewystarczające. Ponadto ani ministerstwo, ani YAY ehf. nie wdrożyły odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Ponadto, z powodu błędu konfiguracyjnego po stronie YAY, przetworzono więcej danych niż było to konieczne, dlatego też organ ochrony danych stwierdził naruszenie zasady minimalizacji danych. | Link | |
915 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2021-11-26 | 2 000,00 € | Valoris Center S.R.L. | Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (4) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na Valoris Center S.R.L. grzywnę w wysokości 2.000 EUR. Administrator powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Pracownik call center administratora przypadkowo wysłał klientowi plik Excel zawierający dane innych klientów administratora. W toku dochodzenia ustalono, że naruszenie to spowodowało nieuprawnione ujawnienie lub dostęp do danych osobowych, takich jak adres e-mail, nazwa użytkownika, identyfikator użytkownika, numer telefonu, nazwa klienta, kod klienta, PIN klienta, przy czym incydent dotknął łącznie 11169 osób fizycznych. Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. | Link | |
914 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-23 | 40 000,00 € | Vodafone España, SAU | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) ukarał Vodafone España S.A.U. grzywną w wysokości 40.000 euro. Pewna osoba złożyła skargę przeciwko Vodafone do organu ochrony danych, ponieważ jej numer telefonu komórkowego został bez jej zgody przeniesiony do osoby trzeciej i została ona obciążona kwotami z numeru telefonicznego osoby trzeciej. Powodem tego był błąd techniczny w systemach Vodafone. | Link | |
913 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-23 | 3 000,00 € | FUENSANTA S.L. | Art. 58 (1) RODO | Administrator danych nie dostarczył informacji, o które zwrócił się hiszpański organ ochrony danych (AEPD) do celów dochodzeniowych. | Link | |
912 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-22 | 2 000,00 € | ANIVERSALIA NETWORKS, S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) ukarał ANIVERSALIA NETWORKS, S.L. grzywną w wysokości 2.000 EUR w związku z tym, że polityka prywatności na jej stronie internetowej nie spełniała wymogów art. 13 RODO. | Link | |
911 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-22 | 3 000,00 € | Nieznany | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na pewną firmę grzywnę w wysokości 3 000 euro. Firma ta żądała od klientów różnych danych osobowych w celu rezerwacji wizyt. Urząd Ochrony Danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO. | Link | |
910 | Francja | Commission Nationale de l'Informatique et des Libertés (CNIL) | 2021-11-04 | 400 000,00 € | Régie autonome des transports parisiens | Art. 5 (1) c) RODO, Art. 5 (1) e) RODO, Art. 5 (2) RODO, Art. 32 RODO | Francuski organ ochrony danych (CNIL) nałożył na RATP (operatora systemu transportu publicznego w Paryżu) grzywnę w wysokości 400 000 EUR. W maju 2020 r. jeden ze związków zawodowych złożył skargę do CNIL, zarzucając, że liczba dni strajku odbytych przez pracowników została uwzględniona w aktach wykorzystywanych do przygotowania decyzji o awansie. CNIL przeprowadziła następnie dochodzenia w kilku centrach autobusowych RATP. Doprowadziły one do potwierdzenia tej praktyki w trzech centrach autobusowych RATP. CNIL wskazała, że akta dotyczące oceny wyników i perspektyw awansu powinny zawierać jedynie dane niezbędne do oceny pracowników, w szczególności wystarczające jest wskazanie całkowitej liczby dni nieobecności bez konieczności wchodzenia w szczegóły i wyróżnienia dni związanych z korzystaniem z prawa do strajku. Stwierdził on, że wykorzystanie danych dotyczących liczby dni, w których pracownicy strajkowali, nie było konieczne do tych celów, oraz że RATP naruszył w ten sposób zasadę minimalizacji danych określoną w art. 5 ust. 1 lit. c) RODO. Ponadto organ ochrony danych stwierdził, że RATP nadmiernie przechowywało wiele danych swoich pracowników. W rzeczywistości RATP przechowywał akta dotyczące oceny pracowników przez ponad trzy lata po komisji ds. awansu, chociaż ich przechowywanie było wymagane jedynie przez 18 miesięcy po przeprowadzeniu tych komisji. Ponadto CNIL stwierdziła, że RATP nie dokonała odpowiedniego rozróżnienia między poziomami uprawnień pracowników, umożliwiając dostęp do niektórych danych większej liczbie pracowników niż to konieczne. Z tego względu CNIL stwierdziła, że RATP nie wywiązała się z obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka. | Link Link | |
909 | Cypr | Grafeío Epitrópou Dedoménon Prosopikoú Charaktíra | 2021-11-12 | 925 000,00 € | WS WiSpear Systems Ltd | Art. 5 (1) a) RODO | Cypryjski organ ochrony danych (DPA) nałożył na WS WiSpear Systems Ltd. grzywnę w wysokości 925 000 euro. Przedsiębiorstwo to w ramach testów i prezentacji technologii gromadziło bez wiedzy osób prywatnych różne dane (adresy Media Access Control i dane International Mobile Subscriber Identity). W tym kontekście organ ochrony danych stwierdził naruszenie zasady zgodności z prawem, rzetelności i przejrzystości. | Link | |
908 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-15 | 40 000,00 € | Vodafone España, SAU | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba fizyczna złożyła skargę do organu ochrony danych. Osoba, której dane dotyczą, twierdzi, że we wrześniu 2020 r. otrzymała od Vodafone wiadomości tekstowe informujące ją, że ma długi z tytułu usług, które zamówiła w Vodafone. Adres rozliczeniowy wymieniony w wiadomościach tekstowych odpowiadał adresowi starego domu, w którym osoba, której dane dotyczą, mieszkała w przeszłości ze swoją byłą partnerką. Vodafone stwierdził, że do tego incydentu doprowadził błąd systemu. W wyniku tego osoba, której dane dotyczą, pojawiła się jako posiadacz konta klienta swojej byłej partnerki. Pierwotna grzywna w wysokości 50 000 EUR została zmniejszona do 40 000 EUR z powodu dobrowolnej zapłaty. | Link | |
907 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-22 | 1 000,00 € | Wspólnota sąsiedzka | Art. 13 RODO | Hiszpański DPA nałożył na wspólnotę sąsiedzką grzywnę w wysokości 1000 euro. Powodem było to, że znak informacyjny o systemie nadzoru wideo nie zawierał wystarczających informacji wymaganych przez art. 13 RODO. Znak nie zawierał ani odniesienia do administratora danych, ani adresu, z którym można się skontaktować w przypadku chęci skorzystania z praw przysługujących osobom, których dane dotyczą. | Link | |
906 | Bułgaria | Komisiyata za zashtita na lichnite danni (KZLD) | 2021-10-26 | 380,00 € | Bank | Art. 5 (1) b) RODO | Bułgarski organ ochrony danych ukarał bank grzywną w wysokości 380 euro za niezgodne z prawem przekazywanie danych osobowych stronom trzecim. | Link | |
905 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-15 | 30 000,00 € | Vodafone España, SAU | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Osoba, której dane dotyczą, twierdzi, że otrzymała faktury i obciążenia na swoim koncie bankowym za usługi Vodafone, których sama nie zarezerwowała. Podmiot danych stwierdził również, że został wezwany do zapłaty za te usługi przez firmę windykacyjną I.S.G.F. Informes Comerciales, S.L.. Jak się okazało, oszuści wykorzystali dane osobowe osoby, której dane dotyczą, do zawarcia umowy o świadczenie usług. Vodafone następnie anulował umowę na zamówione usługi. Jednak z powodu błędu w systemie, zaległe faktury nie zostały anulowane, dlatego też zostały przekazane do firmy windykacyjnej. AEPD uznała, że takie przekazanie było bezprawne z powodu nieistnienia ważnej umowy. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 30 000 EUR ze względu na dobrowolną zapłatę i uznanie winy. | Link | |
904 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-15 | 1 000,00 € | Osoba fizyczna | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.000 euro za nieuprawnioną instalację kamery monitoringu w jej samochodzie. Samochód był zaparkowany na publicznej ulicy, a zatem kamera rejestrowała również przestrzeń publiczną. AEPD uznała, że nadzór wideo nad przestrzenią publiczną stanowi naruszenie zasady minimalizacji danych. | Link | |
903 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-15 | 1 000,00 € | Supermarket | Art. 13 RODO | Używanie kamer monitoringu bez odpowiednich informacji. | Link | |
902 | Niderlandy | Autoriteit Persoonsgegevens (AP) | 2021-11-12 | 400 000,00 € | Transavia | Art. 32 (1), (2) RODO | Holenderski DPA ukarał linie lotnicze Transavia grzywną w wysokości 400 tys. euro. W 2019 r. linia lotnicza doznała naruszenia danych, w którym haker uzyskał dostęp do systemów Transavii za pośrednictwem dwóch kont należących do działu IT firmy. Mogło to potencjalnie umożliwić hakerowi dostęp do danych, takich jak nazwiska, daty urodzenia, płeć, adresy e-mail, numery telefonów, informacje o lotach i numery rezerwacji 25 milionów pasażerów. Okazało się, że haker faktycznie pobrał dane osobowe 83 tys. osób. W 367 przypadkach dane te zawierały informacje medyczne osób, które poprosiły np. o transport na wózku inwalidzkim lub dodatkowe usługi ze względu na to, że były niewidome lub głuche. Organ ochrony danych zauważył, że brak środków bezpieczeństwa umożliwił hakerowi dostęp do systemów. Dlatego też dostęp do systemów linii lotniczych można było uzyskać po prostu poprzez wprowadzenie hasła. Systemy nie obejmowały wieloczynnikowego uwierzytelniania. Ponadto prawa dostępu do kont nie były ograniczone do niezbędnych systemów, umożliwiając hakerowi wykorzystanie ich w celu uzyskania dostępu do wielu systemów Transavii. Organ ochrony danych stwierdził, że Transavia naruszyła swój obowiązek wdrożenia technicznych i organizacyjnych środków w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. | Link Link | |
901 | Polska | Urząd ochrony danych osobowych (UODO) | 2021-10-14 | 78 000,00 € | Bank Millennium S.A. | Art. 33 (1) RODO, Art. 34 (1) RODO | UODO nałożył na Bank Millennium S.A. karę pieniężną w wysokości 78.000 euro. UODO dowiedział się o naruszeniu ochrony danych osobowych w wyniku skargi na bank. Okazało się, że zaginęła korespondencja wysyłana przez bank za pośrednictwem firmy kurierskiej, zawierająca dane osobowe, takie jak imię, nazwisko, numer PESEL, adres zamieszkania, numery kont i numery identyfikacyjne klientów. W związku z tym UODO stwierdził, że bank nie zgłosił tego incydentu do UODO i nie powiadomił o tym w odpowiedni sposób osób, których dane dotyczą. | Link | |
900 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-12 | 3 000,00 € | AD735 DATA MEDIA ADVERTISING S.L. | Art. 58 (1) RODO | Nieprzekazanie wymaganych informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 58 RODO. | Link | |
899 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-11-12 | 1 500,00 € | Przedsiębiorstwo | Art. 13 RODO | Używanie kamer monitoringu bez odpowiednich informacji. | Link | |
898 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2021-11-14 | 2 900,00 € | Vodafone România SA | Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 3 (1) Law No. 506/2004, Art. 3 (3) a), b) Law No. 506/2004 | Rumuński organ ochrony danych (ANSPDCP) nałożył na VODAFONE România S.A. grzywnę w wysokości 2 900 EUR. Firma zgłosiła naruszenie danych do organu ochrony danych zgodnie z art. 33 RODO. W okresie od listopada 2020 r. do czerwca 2021 r. doszło do nieuprawnionego dostępu do danych osobowych siedemdziesięciu osób, których dane dotyczą (wysyłka umów o świadczenie usług na niewłaściwe adresy e-mail, nieuprawniony dostęp pracowników administratora do danych osobowych klientów Vodafone bez ich żądania). Organ stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. | Link | |
897 | Grecja | Hellenic Data Protection Authority (HDPA) | 2021-10-04 | 5 000,00 € | PREMIUMMEDIA ΠΑΡΑΓΩΓΗ ΟΠΤΙΚΟ-ΑΚΟΥΣΤΙΚΩΝ ΕΡΓΩΝ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΙΑ | Art. 21 (3) RODO, Art. 25 RODO | Grecki organ ochrony danych nałożył na przedsiębiorstwo PREMIUMMEDIA ΠΑΡΑΓΩΓΗ ΟΠΤΙΚΟ-ΑΚΟΥΣΤΙΚΩΝ ΕΡΓΩΝ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΙΑ grzywnę w wysokości 5 000 EUR. Osoba fizyczna próbowała wypisać się z listy wysyłkowej biuletynu przedsiębiorstwa, ale nie udało jej się to. Niemożność wypisania się z listy wynikała z wewnętrznego błędu technicznego przedsiębiorstwa. | Link | |
896 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2021-10-13 | 18 000,00 € | Nieznany | Art. 37 (7) RODO, Art. 38 (1) (2) RODO, Art. 39 (1) b) RODO | Urząd Ochrony Danych Osobowych z Luksemburga nałożył na pewną firmę karę w wysokości 13 200 euro. Według organu ochrony danych, administrator nie zaangażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Administrator nie dysponował również planem kontroli ochrony danych, aby wykazać, że inspektor ochrony danych odpowiednio wykonuje swoje zadania. Co więcej, administrator nie zapewnił inspektorowi ochrony danych zasobów niezbędnych do wykonywania jego obowiązków. Organ ochrony danych zauważył również, że strona internetowa administratora nie zawierała sekcji poświęconej ochronie danych oraz że nota informacyjna na temat ochrony danych była dostępna jedynie w języku angielskim, a nie w jednym z języków urzędowych Luksemburga. | Link | |
895 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2021-10-13 | 13 200,00 € | Nieznany | Art. 38 (1) RODO, Art. 39 (1) b) RODO | Organ ochrony danych osobowych z Luksemburga nałożył na pewną firmę karę w wysokości 13 200 euro. Według organu ochrony danych, administrator po pierwsze nie zaangażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie posiadał planu kontroli ochrony danych, aby wykazać, że inspektor ochrony danych odpowiednio wykonuje swoje zadania. | Link | |
894 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2021-10-06 | 5 300,00 € | Nieznany | Art. 5 (1) c) RODO, Art. 13 RODO | Organ ochrony danych osobowych z Luksemburga nałożył na pewną firmę grzywnę w wysokości 5 300 EUR. Przedsiębiorstwo to zainstalowało na swoim terenie 75 kamer monitorujących, a także urządzenia śledzące w niektórych swoich pojazdach, którymi pracownicy dojeżdżali do klientów. Kilka z tych kamer obejmowało m.in. część ulicy publicznej i prywatną sąsiednią posesję. W trakcie dochodzenia organ ochrony danych ustalił również, że kamery obejmowały swoim zasięgiem stołówkę pracowniczą, umożliwiając monitorowanie pracowników poza godzinami ich pracy. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Stwierdził również, że administrator danych nie wywiązał się w wystarczającym stopniu ze swoich obowiązków informacyjnych wynikających z art. 13 RODO. | Link | |
893 | Irlandia | Data Protection Commission (DPC) | 2021-08-20 | 1 500,00 € | MOVE Ireland | Art. 5 (1) f) RODO, Art. 32 (1) RODO | Irlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 1 500 euro na organizację MOVE (Men Overcoming Violence). MOVE jest organizacją charytatywną działającą w obszarze przemocy domowej. Organizacja ma na celu wspieranie bezpieczeństwa i dobrego samopoczucia kobiet i ich dzieci, które doświadczyły przemocy w związkach. W tym celu uczestnicy (mężczyźni) przychodzą na cotygodniowe sesje, aby zmienić swoje zachowanie. W dniu 3 lutego 2021 r. organizacja zgłosiła naruszenie danych zgodnie z art. 33 RODO. Organizacja stwierdziła, że zaginęło osiemnaście kart SD, które mogły zawierać nagrania sesji grupowych programu MOVE, podczas których uczestnicy omawiają z liderem grupy swoje zachowania i postawy dotyczące przemocy domowej. Na nagraniach widać i słychać było niektórych uczestników. Dodatkowo, nagrania zawierały materiał filmowy uczestników omawiających swoje zachowania i uczucia w odniesieniu do obecnych lub byłych partnerów, innych członków rodziny i przyjaciół, którzy mogli być wymienieni. Naruszenie danych mogło dotyczyć około 80-120 uczestników, jak również co najmniej jednego lidera grupy w każdej nagranej sesji. DPC stwierdził, że MOVE naruszyło swój obowiązek wynikający z art. 32 (1) RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stwarza przetwarzanie danych osobowych poprzez nagrywanie sesji grupowych. | Link Link | |
892 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-16 | 5 000,00 € | Gmina Montalbano Jonico | Art. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 9 (1), (2), (4) RODO, Art. 2-ter (1), (3) Codice della privacy, Art. 2-septies (8) Codice della privacy | Włoski urząd ochrony danych (Garante) nałożył na gminę Montalbano Jonico grzywnę w wysokości 5.000 euro. Pewna osoba złożyła skargę na gminę do organu ochrony danych. Skarżyła się, że na stronie internetowej gminy został upubliczniony dokument, który zawierał dane osobowe jej samej i jej ojca. W sekcji "Dokumenty i dane" na stronie internetowej można było zapoznać się z aktami gminy. W tym kontekście, poprzez wypełnienie odpowiedniego formularza wyszukiwania, można było uzyskać dostęp do decyzji w sprawie zawarcia ugody dotyczącej pokonania i likwidacji barier architektonicznych w ich domu. Decyzja zawierała wyraźnie dane osobowe i informacje w tekście i w temacie, takie jak imię i nazwisko skarżącego i jego ojca pozostającego na utrzymaniu, z odniesieniem do jego sytuacji jako osoby niepełnosprawnej. Tekst decyzji zawierał również datę urodzenia i miejsce zamieszkania skarżącego, jak również informację o kwocie ugody. Organ Ochrony Danych uznał, że publikacja ze wskazaniem danych stanowi naruszenie zasady minimalizacji danych. | Link | |
891 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2021-11-01 | 5 000,00 € | S.P.E.E.H. Hidroelectrica S.A. | Art. 32 (1) b), (2) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na S.P.E.H. Hidroelectrica S.A. grzywnę w wysokości 5 000 EUR. Administrator powiadomił organ ochrony danych o kilku naruszeniach ochrony danych osobowych zgodnie z art. 33 RODO. W wyniku naruszenia ochrony danych uzyskano bezprawny dostęp do danych 325 osób lub przekazano je niewłaściwym odbiorcom. Organ ochrony danych uznał to za naruszenie przez administratora danych obowiązku wynikającego z art. 32 ust. 1 lit. b) i art. 32 urt. 2 RODO, tj. wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stanowi przetwarzanie danych. Ponadto organ stwierdził, że administrator przetwarzał dane osobowe trzech klientów po tym, jak skorzystali oni z prawa do usunięcia swoich danych i cofnęli zgodę na ich przetwarzanie. Przetwarzanie odbywało się zatem bez ważnej podstawy prawnej. DPA nałożył grzywnę w wysokości 5.000 EUR za naruszenie art. 32 (1) b), (2) RODO. Za naruszenie art. 5 (1) a) RODO, Art. 6 (1) a) RODO, organ ochrony danych wydał ponadto ostrzeżenie. | Link | |
890 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2021-11-01 | 1 000,00 € | IKEA ROMÂNIA SA | Art. 32 (1) b), (2) RODO | Rumuński organ ochrony danych (ANSPDCP) nałożył na IKEA ROMÂNIA SA grzywnę w wysokości 1.000 EUR. Administrator danych przesłał do organu ochrony danych powiadomienie o naruszeniu danych osobowych na mocy art. 33 RODO. W związku z tym administrator zorganizował konkurs rysunkowy, w którym mogły wziąć udział dzieci członków IKEA Family. Uczestnicy przesyłali własne rysunki na platformę internetową wraz z formularzami zgłoszeniowymi zawierającymi ich dane osobowe oraz dane osobowe ich rodziców, w tym ich zgodę. W celu przeprowadzenia głosowania na najlepszy rysunek, rysunki dzieci zostały umieszczone na platformie internetowej, a wraz z nimi przypadkowo dane osobowe zawarte w formularzach zgłoszeniowych. W czasie dochodzenia ustalono, że incydent bezpieczeństwa doprowadził do nieuprawnionego ujawnienia danych osobowych członków IKEA Family (nazwisko, imię i wiek nieletnich, jak również nazwisko, imię, miasto, kraj, e-mail, numer członkowski IKEA Family oraz podpis rodziców) na platformie internetowej dostępnej tylko dla członków IKEA Family w Rumunii. Incydent ten dotknął 114 osób, z których połowa była niepełnoletnia. Organ ochrony danych stwierdził, że administrator naruszył w ten sposób swój obowiązek wynikający z art. 32 (1) b), (2) RODO do wdrożenia środków technicznych i organizacyjnych, które zapewniają poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą. | Link | |
889 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-26 | 40 000,00 € | VODAFONE SERVICIOS, S.L.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE SERVICIOS, S.L.U.. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Osoba, której dane dotyczą, twierdzi, że otrzymywała faktury i obciążenia swojego rachunku bankowego w celu zapłaty za usługi Vodafone, których sama nie zarezerwowała. Osoba, której dane dotyczą, stwierdziła również, że otrzymywała telefony od firmy windykacyjnej Bureau Veritas z prośbą o zapłatę za te usługi. Jak się okazało, oszuści wykorzystali dane osobowe osoby, której dane dotyczą, do zawarcia umowy o świadczenie usług. Dane osobowe zostały jednak wprowadzone do systemów informatycznych przedsiębiorstwa bez sprawdzenia, czy umowa była zgodna z prawem i czy została rzeczywiście zawarta przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 40 000 EUR w związku z dobrowolną wpłatą. | Link | |
888 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-26 | 40 000,00 € | VODAFONE SERVICIOS, S.L.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE SERVICIOS, S.L.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych. Osoba, której dane dotyczą, jest klientem administratora. Kiedy w grudniu ubiegłego roku sprawdził swoje rachunki na oficjalnej stronie internetowej "MY VODAFONE", odkrył, że ma cztery zaległe rachunki, ale nie może uzyskać do nich dostępu. Otrzymał również szereg wezwań do ich zapłaty. Poinformowano go, że w Vodafone istniało równoległe konto o danych częściowo odpowiadających jego kontu. Jak się okazało, oszuści zawarli umowę na telefon komórkowy, wykorzystując dane osobowe osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowa była zgodna z prawem i czy została rzeczywiście zawarta przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 40 000 EUR w związku z dobrowolną zapłatą. | Link | |
887 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-26 | 16 000,00 € | SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, S.L. | Art. 35 RODO | Hiszpański Urząd Ochrony Danych (AEPD) nałożył grzywnę na SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, S.L.. Przedsiębiorstwo to zainstalowało pięć terminali z systemem kontroli odcisków palców, aby rejestrować czas pracy swoich pracowników. Nie przeprowadziła przy tym oceny skutków dla ochrony danych. AEPD stwierdził naruszenie art. 35 RODO z tego powodu. Pierwotna grzywna w wysokości 20 000 EUR została zmniejszona do 16 000 EUR ze względu na dobrowolną zapłatę. | Link | |
886 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-26 | 64 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi danych. Podmiot danych stwierdził, że na jego nazwisko zarejestrowane były linie telefoniczne, za które były również zaległe płatności. Jednakże osoba, której dane dotyczą, nigdy nie zawarła z przedsiębiorstwem umów dotyczących tych linii. Umowy te zostały raczej zawarte przez oszustów przy wykorzystaniu danych osobowych osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowy były zgodne z prawem i rzeczywiście zawarte przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 80 000 EUR została obniżona do 64 000 EUR w związku z dobrowolną zapłatą. | Link | |
885 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-25 | 3 000,00 € | MERCEDES GERENCIA, S.L. | Art. 58 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na MERCEDES GERENCIA, S.L. karę pieniężną w wysokości 3.000 EUR. Administrator danych nie odpowiedział w terminie na wniosek o udzielenie informacji wystosowany przez organ ochrony danych. | Link | |
884 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-21 | 3 000 000,00 € | CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. grzywnę w wysokości 3 000 000 EUR. Osoba fizyczna złożyła skargę przeciwko administratorowi danych. Powodem było to, że Caixabank zażądał informacji o niej od firmy, mimo że ta ostatnia nie jest klientem Caixabank od 2014 r. i że została ona uwzględniona w kampanii reklamowej mającej na celu zaoferowanie jej kredytu. Caixabank wykorzystał dane osób fizycznych do oceny ich zdolności kredytowej bez ich zgody. Posłużyło to do stworzenia profili finansowych osób, których dane dotyczą, i reklamowania im na tej podstawie określonych usług finansowych (np. kart kredytowych lub pożyczek). Czyniąc to, organ ochrony danych stwierdził, że administrator nie uzyskał skutecznej zgody osób, których dane dotyczą. Prawdą jest, że osoby, których dane dotyczą, w pewnym momencie wyraziły zgodę na przetwarzanie ich danych przez całą Grupę CaixaBank. Jednakże administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych, w tym o profilowaniu. Na przykład administrator dostarczył osobom, których dane dotyczą, jedynie ogólne informacje o różnych operacjach przetwarzania danych na potrzeby profilowania, tak więc osoby, których dane dotyczą, nie mogły dokładnie wiedzieć, na czym polega przetwarzanie, na które wyraziły zgodę. | Link | |
883 | Wielka Brytania | Information Commissioner (ICO) | 2021-10-18 | 11 800,00 € | HIV Scotland | Art. 5 (1) f) RODO, Art. 32 (1), (2) RODO | Brytyjski urząd ochrony danych osobowych (ICO) nałożył karę w wysokości 11 800 euro na organizację non-profit HIV Scotland. Administrator wysłał wiadomość e-mail do 105 osób, których adresy e-mail z listy mailingowej były widoczne dla wszystkich odbiorców. W przypadku 65 adresów e-mail można było zidentyfikować osoby na podstawie nazwiska. Na podstawie dostarczonych danych osobowych można było wyciągnąć wnioski na temat statusu HIV lub ryzyka związanego z tymi osobami. Organ ochrony danych stwierdził, że organizacja nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka. Na przykład, organizacja przeprowadziła nieodpowiednie szkolenie pracowników i stosowała niewłaściwe metody wysyłania masowych wiadomości e-mail. | Link Link | |
882 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-19 | 2 000,00 € | BEEPING FULFILMENT S.L. | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na BEEPING FULFILMENT S.L. grzywnę w wysokości 2.000 euro. Administrator nie podał wymaganych informacji o celach i sposobach przetwarzania danych w polityce prywatności prowadzonej przez siebie strony internetowej. Organ ochrony danych uznał to za naruszenie art. 13 RODO. | Link | |
881 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-19 | 40 000,00 € | Vodafone España, S.A.U. | Art. 6 (1) RODO | Hiszpański organ ochrony danych (AEPD) ukarał Vodafone España, S.A.U. grzywną w wysokości 40 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych przeciwko Vodafone za obciążenie jej rachunku bankowego w maju 2020 r. za linię telefoniczną Vodafone, której właścicielem nie był on, lecz jego była partnerka. Jak się okazało, była partnerka skarżącego zawarła umowę z Vodafone na jego nazwisko. Stwierdziła, że była do tego upoważniona, ale nie przedstawiła na to żadnego dowodu. Organ ochrony danych stwierdził, że Vodafone przetwarzał dane skarżącego niezgodnie z prawem. Przestrzeganie zasady legalności przy przetwarzaniu danych osób trzecich wymaga bowiem, aby administrator był w stanie udowodnić, że przetwarzanie jest zgodne z prawem. | Link | |
880 | Rumunia | Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | 2021-10-21 | 5 000,00 € | Glove Technology SRL | Art. 5 (1) a) RODO, Art. 6 (1) a) RODO | Rumuński organ ochrony danych osobowych (ANSPDCP) nałożył na Glove Technology SRL grzywnę w wysokości 5.000 EUR. Administrator zainstalował system nadzoru wideo, który audiowizualnie monitorował pracowników w ich miejscu pracy i nagrywał rozmowy między nimi w celu wykorzystania ich przeciwko nim. Organ ochrony danych uznał, że administrator naruszył art. 5 (1) a) RODO i art. 6 (1) RODO. | Link | |
879 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-19 | 70 000,00 € | Vodafone España, S.A.U. | Art. 21 RODO, Art. 21 LSSI | Hiszpański organ ochrony danych (AEPD) nałożył na VODAFONE ESPAÑA, S.A.U. grzywnę w wysokości 70.000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymywała promocyjne wiadomości e-mail od Vodafone bez wyraźnej zgody i bez uprzedniego nawiązania stosunku umownego. Następnie osoba, której dane dotyczą, sprzeciwiła się otrzymywaniu przyszłych wiadomości e-mail. Vodafone potwierdził ten sprzeciw. Mimo to osoba, której dane dotyczą, otrzymała kilka miesięcy później cztery e-maile reklamowe. Grzywna składa się z 50 000 EUR za naruszenie art. 21 RODO i 20 000 EUR za naruszenie art. 21 LSSI. | Link | |
878 | Norwegia | Datatilsynet | 2021-10-18 | 412 000,00 € | Gmina Østre Toten | Art. 5 (1) f) RODO, Art. 32 RODO | Norweski organ ochrony danych osobowych nałożył na gminę Østre Toten grzywnę w wysokości 412 000 EUR. Gmina ucierpiała w wyniku cyberataku w styczniu 2021 r., w wyniku którego dane gminy zostały zaszyfrowane, a kopie zapasowe usunięte. Większa ilość danych została później opublikowana w darknecie. W wyniku ataku ucierpiało około 30 000 dokumentów. Dokumenty te zawierały m.in. informacje o pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności do związków zawodowych, orientacji seksualnej, stanie zdrowia, a także dane bankowe mieszkańców i pracowników gminy. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że w gminie istniały zasadnicze braki w zakresie bezpieczeństwa danych osobowych i związanych z tym kontroli wewnętrznych, m.in. gmina nie stosowała dwuskładnikowego uwierzytelniania przy logowaniu się do systemów i nie posiadała odpowiednich systemów tworzenia kopii zapasowych. | Link | |
877 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-16 | 3 296 326,00 € | Sky Italia S.r.l. | Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 12 (2) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. 29 RODO | Włoski urząd ochrony danych osobowych (Garante) ukarał spółkę Sky Italia S.r.l. grzywną w wysokości 3 296 326 euro za nielegalny telemarketing. Decyzja organu została podjęta w wyniku kompleksowego dochodzenia wszczętego po otrzymaniu dziesiątek zgłoszeń i skarg od osób, które twierdziły, że otrzymywały niezamówione telefony i SMS-y promocyjne zarówno bezpośrednio od Sky Italia, jak i za pośrednictwem centrów obsługi telefonicznej innych przedsiębiorstw. W tym względzie organ ochrony danych stwierdził, że połączenia promocyjne były wykonywane bez odpowiedniego poinformowania użytkowników (na przykład o pochodzeniu danych osobowych przekazywanych Sky Italia). W ten sposób osoby, których dane dotyczą, miałyby możliwość skontaktowania się z firmą, która zgromadziła dane, i sprzeciwienia się ich przetwarzaniu. Dopiero po uzyskaniu zgody spółka Sky mogłaby przystąpić do składania ofert handlowych. Do tych celów promocyjnych Sky wykorzystywała listy danych, które nabyła od innych spółek. Wbrew temu, co twierdzi Sky Italia, zgoda na udostępnienie danych osobom trzecim, udzielona przez osoby, których dane dotyczą, spółkom, od których Sky Italia nabyła listy, nie upoważniała Sky Italia do wykorzystania tych danych do własnych celów promocyjnych. Ponadto Sky nie zweryfikowała listy osób, które nie wyraziły zgody na kontakt w celach reklamowych, przed wykonaniem połączeń reklamowych. W rezultacie kilka osób, których dane dotyczą, otrzymało telefony reklamowe pomimo wyraźnego sprzeciwu. Ponadto organ ochrony danych stwierdził, że Sky nie wyznaczyła w odpowiedni sposób dostawców list jako podmiotów przetwarzających dane. Określając wysokość grzywny, organ ochrony danych wziął pod uwagę fakt, że naruszenia miały charakter "systemowy" i były zakorzenione w działalności spółki, jak również to, że spółka Sky powinna była zdobyć wystarczające doświadczenie i kompetencje do podejmowania podstawowych decyzji zgodnie z przepisami o ochronie danych ze względu na swoje stałe kontakty z organem oraz długotrwałą obecność na rynku. | Link Link | |
876 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-16 | 200 000,00 € | Uniwersytet Bocconi | Art. 5 (1) a), c), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 RODO, Art. 25 RODO, Art. 35 RODO, Art. 44 RODO, Art. 46 RODO | Włoski organ ochrony danych (Garante) nałożył na Uniwersytet Bocconi grzywnę w wysokości 200 000 EUR. Jeden ze studentów złożył skargę do organu ochrony danych o możliwych naruszeniach RODO związanych z wykorzystaniem systemu monitorowania podczas egzaminów pisemnych. W kontekście sytuacji kryzysowej wywołanej pandemią wirusa Covid-19, uniwersytet wyposażył się w oprogramowanie do zdalnego monitorowania Respondus, dostarczone przez amerykańską firmę Respondus Inc. w celu zapewnienia normalnego przebiegu egzaminów, ponieważ nie było możliwości zdawania ich na żywo i osobiście, jak to miało miejsce zazwyczaj. Oprogramowanie było w stanie monitorować zachowanie studentów za pomocą nagrań wideo i zrzutów ekranu wykonywanych w losowych odstępach czasu. Dodatkowo, egzamin był nagrywany audiowizualnie, a na początku egzaminu każdemu zdającemu robiono zdjęcie. Pod koniec egzaminu system przetwarzał nagranie wideo, wprowadzał sygnały ostrzegawcze dotyczące ewentualnych oznak nieprawidłowego zachowania i m.in. przypisywał tzw. priorytet przeglądu, tak aby egzaminator mógł następnie ocenić, czy podczas egzaminu nie doszło do popełnienia niedozwolonego czynu. W swoim dochodzeniu organ ochrony danych stwierdził, że studenci nie zostali odpowiednio poinformowani o przetwarzaniu ich danych osobowych w związku z korzystaniem z systemu Respondus. Nie poinformowano ich również, że będą nagrywani audiowizualnie, a obrazy będą następnie przetwarzane, ani że na początku egzaminu będą zobowiązani do okazania dokumentu tożsamości i wykonania zdjęcia panoramicznego otoczenia. Ponadto studenci nie otrzymali informacji dotyczących konkretnych okresów przechowywania danych osobowych. Osoby, których dane dotyczą, nie zostały również poinformowane, że ich dane osobowe zostaną przekazane do Stanów Zjednoczonych; zamiast tego zostały one jedynie ogólnie poinformowane, że dane osobowe będą przetwarzane zarówno na terytorium Unii Europejskiej, jak i poza nim. Ponadto, organ ochrony danych stwierdził, że niewielka ilość informacji, które otrzymali studenci, została przedstawiona w sposób fragmentaryczny i niezorganizowany w różnych dokumentach. Organ ochrony danych uznał to za naruszenie zasad zgodności z prawem, rzetelności i przejrzystości. Organ stwierdził również, że uniwersytet przetwarzał dane osobowe bez ważnej podstawy prawnej. Tym samym zgoda na przetwarzanie danych osobowych była warunkiem wstępnym uczestnictwa w egzaminach. Jako alternatywę dla egzaminów online zaproponowano możliwość zdawania egzaminów osobiście. Jednak w obliczu pandemii oznaczało to również zwiększone ryzyko dla zdrowia. Studenci obawiali się również, że odmowa przystąpienia do egzaminów online wpłynie negatywnie na ich oceny. W związku z tym organ ochrony danych stwierdził, że zgody studentów nie można uznać za dobrowolną. Ponadto, organ ochrony danych stwierdził, że uniwersytet przechowywał dane przez 12 miesięcy, chociaż nie było to konieczne do celów zapewnienia prawidłowego przeprowadzania egzaminów. Ostatecznie organ ochrony danych stwierdził naruszenia związane z przekazywaniem danych do firmy Respondus. Umowa o przetwarzaniu danych między uczelnią a Respondus nadal opierała się na umowie Privacy Shield między UE a USA, mimo że została ona unieważniona orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schrems II. Z tego powodu organ ochrony danych stwierdził, że uniwersytet przekazał dane osobowe do państwa trzeciego, mimo że przekazanie to nie było zgodne z warunkami określonymi w rozdziale V RODO. | Link | |
875 | Irlandia | Data Protection Commission (DPC) | 2021-10-06 | Zamiar nałożenia kary | Facebook Ireland Limited | Art. 5 (1) a) RODO, Art. 12 (1) RODO, Art. 13 (1) c) RODO | Organizacja "None of your business" (NOYB) opublikowała 13 października 2021 r. projekt decyzji irlandzkiego organu ochrony danych (DPC), z którego wynika, że proponuje ona nałożenie na Facebooka grzywny w wysokości od 28 mln do 36 mln euro. Projekt odnosi się przede wszystkim do faktu, że Facebook zawarł szczegóły dotyczące przetwarzania danych w swoich warunkach świadczenia usług, powołując się tym samym na Art. 6 ust. 1 lit. b), a nie na zgodę zgodnie z art. 6 ust. 1 lit. a) RODO. Krytycy uważają to za lukę wykorzystywaną przez Facebooka w celu obejścia bardziej rygorystycznych wymogów RODO dotyczących zgody zgodnie z art. 6 (1) a) RODO. DPC podkreśla jednak, że RODO nie ustanawia hierarchii podstaw prawnych, które mogą być wykorzystywane do przetwarzania danych osobowych. DPC zauważył jednak, że Facebook nie przedstawił jasnych informacji na temat swojej podstawy prawnej przetwarzania danych i podkreślił, że informacje dostarczone przez Facebook są nieciągłe, a użytkownicy są odsyłani do różnych dokumentów i tekstów polityki danych i warunków świadczenia usług. W konkluzji swojego projektu DPC stwierdza, że Facebook naruszył w ten sposób art. 5 (1) a) RODO, art. 12 (1) RODO i art. 13 (1) c) RODO. Projekt decyzji zostanie teraz przekazany innym europejskim organom ochrony danych, aby mogły się do niego odnieść. | Link | |
874 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-16 | 5 000,00 € | Ciechi Ardizzone Gioeni di Catania | Art. 5 (1) a), c) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 35 RODO | Włoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5.000 euro na dom opieki dla osób niewidomych Ciechi Ardizzone Gioeni di Catania. Osoba odwiedzająca ten dom złożyła skargę do organu ochrony danych. Opierał ją na zainstalowanym w mieszkaniu systemie monitoringu. System ten zarejestrował m.in. korytarz łączący mieszkanie z ogólnodostępnymi prysznicami. Co więcej, nagrania były nie tylko rejestrowane, ale również wyświetlane w czasie rzeczywistym na monitorach pracowników konsjerża, co stwarzało ryzyko, że obrazy mogły być również przypadkowo oglądane przez gości lub dostawców. W trakcie dochodzenia administracja instytutu uzasadniała instalację systemu nadzoru wideo, powołując się na potrzebę zapobiegania kradzieżom i zapewnienia zdrowia mieszkańców poprzez uniemożliwienie nieuprawnionego dostępu w okresie pandemii. Organ ochrony danych stwierdził, że instytut naruszył w ten sposób zasady legalności, przejrzystości i minimalizacji danych. Fakt, że - jak twierdził instytut - przejście gości do pomieszczeń z prysznicami było filmowane tylko sporadycznie i przez krótki czas oraz że jakość nagrań nie była "idealnie czysta", nie rozwiązuje kwestii bezprawności nagrań. Ponadto, organ ochrony danych zauważył, że pewne proceduralne środki ostrożności - takie jak zaplanowanie okien czasowych w celu wyłączenia kamer, aby umożliwić gościom odwiedzenie pomieszczeń z prysznicami bez bycia filmowanymi, lub tymczasowe zapewnienie bezpieczeństwa miejsc poprzez alternatywne środki, takie jak wykorzystanie pracowników ochrony - mogą pozwolić instytutowi na realizację celu nadzoru wideo w równie skuteczny sposób i uniknięcie nieuzasadnionego ograniczenia wolności osób, których dane dotyczą. Ponadto, organ ochrony danych stwierdził, że instytut nie wypełnił należycie swojego obowiązku informacyjnego. Instytut przekazał osobom, których dane dotyczą, szczegółowe informacje na temat systemu nadzoru wideo na tablicy ogłoszeń dopiero po rozpoczęciu dochodzenia. Tego typu informacje nie są jednak odpowiednie dla osób niedowidzących. Instytut powinien był dostarczyć mieszkańcom nagraną wcześniej wiadomość audio, którą można by odtworzyć w razie potrzeby. | Link | |
873 | Austria | Österreichische Datenschutzbehörde (DSB) | 2021 | 1 200 000,00 € | Program lojalnościowy dla klientów | Nieznana | Według gazety "Der Standard" austriacki urząd ochrony danych osobowych nałożył na program lojalnościowy dla klientów z 2021 roku grzywnę w wysokości 1,2 mln euro. Dalsze informacje nie zostały jeszcze ujawnione. | Link | |
872 | Austria | Österreichische Datenschutzbehörde (DSB) | 2021 | 4 000 000,00 € | Bank | Nieznana | Według gazety "Der Standard" austriacki organ ochrony danych (DSB) nałożył na bank w 2021 r. grzywnę w wysokości 4 mln EUR. Dalsze informacje nie zostały jeszcze ujawnione. | Link | |
871 | Austria | Österreichische Datenschutzbehörde (DSB) | 2021-09-28 | 9 500 000,00 € | Poczta Austriacka | Nieznana | Austriacki urząd ochrony danych osobowych nałożył 28 września 2021 r. na Pocztę Austriacką grzywnę w wysokości 9,5 mln euro. Główny zarzut polega na tym, że oprócz opcji kontaktu stosowanych przez Pocztę Austriacką za pośrednictwem poczty, internetowego formularza kontaktowego i działu obsługi klienta, zapytania dotyczące ochrony danych powinny być również dozwolone za pośrednictwem poczty elektronicznej. Według gazety "Der Standard" Poczta Austriacka wprowadziła jedynie formularz kontaktowy dla zapytań dotyczących ochrony danych, aby zautomatyzować proces składania zapytań i uzyskać wszystkie informacje niezbędne do ich rozpatrzenia. | Link i Link | |
870 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-13 | 40 000,00 € | Vodafone España, S.A.U. | Art. 5 (1) f) RODO, Art. 32 RODO | Hiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna kobieta złożyła skargę na administratora na podstawie faktu, że administrator przesłał na jej adres e-mail rachunki telefoniczne należące do osoby trzeciej. Po zwróceniu uwagi administratorowi danych na ten fakt, nie otrzymała żadnej odpowiedzi. W związku z tym skontaktowała się telefonicznie z administratorem w tej sprawie. Żaden z pracowników nie był jednak w stanie pomóc jej w tej sprawie. Organ ochrony danych stwierdził, że administrator danych naruszył zasadę integralności i poufności określoną w art. 5 ust. 1 lit. f) RODO, oraz że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 40 000 EUR ze względu na dobrowolną zapłatę. | Link | |
869 | Włochy | Garante per la protezione dei dati personali (Garante) | 2021-09-16 | 5 000,00 € | La Prima S.r.l. | Art. 5 RODO, Art. 6 RODO, Art. 24 RODO, Art. 25 RODO | Włoski organ ochrony danych (Garante) nałożył na portal nieruchomości La Prima S.r.l. grzywnę w wysokości 5.000 euro. Osoba, której dane dotyczą, złożyła skargę na administratora danych do organu ochrony danych. Skarżyła się ona na otrzymanie prośby o kontakt na Linkedin od pracownika La Prima, którego celem było zaoferowanie usług w zakresie nieruchomości związanych z konkretną nieruchomością należącą do osoby, której dane dotyczą. Administrator uzyskał informacje dotyczące własności nieruchomości przez osobę, której dane dotyczą, z ogólnodostępnego rejestru publicznego. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na taką formę kontaktu. W trakcie postępowania wyjaśniającego prowadzonego przez organ ochrony danych administrator twierdził, że zgodę na kontaktowanie się z nim przez inne osoby można wywnioskować z faktu posiadania przez niego publicznego profilu. Organ ochrony danych zauważył jednak, że wymiana informacji za pośrednictwem sieci społecznościowej powinna umożliwiać jedynie to, co zostało określone w odpowiednich warunkach użytkowania. Organ ochrony danych wyjaśnił, że platforma ma umożliwiać wymianę informacji kontaktowych w celu składania ofert pracy. Nie jest natomiast zamierzone, aby użytkownicy wykorzystywali platformę do wysyłania wiadomości do innych użytkowników w celu sprzedaży usług. Ponadto nie ma znaczenia, czy profil użytkownika jest publiczny czy nie. W związku z tym organ ochrony danych stwierdził, że administrator przetwarzał dane niezgodnie z prawem. | Link | |
868 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-11 | 10 000,00 € | MAF.COM ESQUI CLUB | Art. 7 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na MAF.COM ESQUI CLUB grzywnę w wysokości 10 000 euro. Matka niepełnoletniej dziewczynki, która uczęszczała na lekcje jazdy na nartach u administratora, złożyła skargę do organu ochrony danych na tego ostatniego. Administrator opublikował na swojej stronie internetowej i kanałach mediów społecznościowych filmy wideo z córką matki bez jej zgody. Zdjęcia były rozpowszechniane wyłącznie za zgodą ojca, który zapisał dziewczynkę na kurs narciarski. W chwili zdarzenia rodzice dziewczynki byli rozwiedzeni. Organ ochrony danych stwierdził, że administrator danych nie uzyskał zgody obojga rodziców, a tym samym przetwarzał zdjęcia bez ważnej podstawy prawnej. | Link | |
867 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-08 | 30 000,00 € | ORANGE ESPAGNE, S.A.U. | Art. 6 (1) a) RODO | Hiszpański urząd ochrony danych osobowych nałożył grzywnę na ORANGE ESPAGNE, S.A.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych osobowych, ponieważ otrzymała łącznie 30 połączeń od pracowników Jazztel (spółki zależnej Orange Espagne, S.A.U.) oraz wiadomości tekstowych w okresie od 01.03.2021 r. do 03.03.2021 r., nie będąc nigdy klientem tej spółki. Następnie zażądała usunięcia jej numeru telefonu z bazy danych spółki. Mimo że administrator potwierdził usunięcie danych, nadal otrzymywała ona od niego połączenia i wiadomości tekstowe. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 30 000 EUR ze względu na uznanie winy i dobrowolną zapłatę. | Link | |
866 | Luksemburg | Commission nationale pour la protection des données (CNPD) | 2021-08-05 | 135 000,00 € | Towarzystwo ubezpieczeniowe | Art. 5 (1) f) RODO, Art. 32 (1) a), b) RODO, Art. 33 (1), (5) RODO | Organ ochrony danych osobowych w Luksemburgu nałożył na firmę ubezpieczeniową grzywnę w wysokości 135 000 EUR. W dniu 19 października 2018 r. pracownik administratora danych wysłał wiadomość e-mail do niezaangażowanej osoby trzeciej zamiast do osoby, której dane dotyczą. Nastąpiło to z powodu błędu pracownika, który nieprawidłowo wprowadził adres e-mail osoby, której dane dotyczą. Oprócz imienia i nazwiska oraz płci osoby, której dane dotyczą, e-mail zawierał również szczegółowe informacje o chorobach osoby, której dane dotyczą. Ponadto w załączniku znajdowały się trzy formularze dotyczące chorób, które osoba, której dane dotyczą, zgłosiła w związku z zawarciem polisy ubezpieczeniowej na życie. 29 listopada miał miejsce ten sam incydent. Drugi błędnie skierowany e-mail zawierał, oprócz imienia i nazwiska osoby, której dane dotyczą, bardzo szczegółowe pytania dotyczące konkretnej patologii, nazwisko lekarza, adres tego lekarza oraz dwa puste formularze związane z tą patologią do wypełnienia przez tę osobę lub jej lekarza. Organ ochrony danych zauważył, że nie został poinformowany o naruszeniu danych w odpowiednim czasie zgodnie z art. 33 RODO. Firma nie dopełniła również obowiązku dokumentacyjnego zgodnie z art. 33 (5) RODO. Ponadto organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. | Link | |
865 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-05 | 4 000,00 € | CLUB DEPORTIVO SANSUEÑA, S.L. | Art. 5 (1) e) RODO, Art. 6 RODO, Art. 32 (1) b), d) RODO | Hiszpański organ ochrony danych (AEPD) nałożył na CLUB DEPORTIVO SANSUEÑA, S.L. grzywnę w wysokości 4 000 EUR za dodanie numeru telefonu komórkowego osoby, której dane dotyczą, do grupy WhatsApp bez zgody tej osoby. | Link | |
864 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-10-04 | 5 000,00 € | CALDERERIA Y SOLDADURA DE ESTRUCTURAS METALICAS, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na spółkę CALDERERIA Y SOLDADURA DE ESTRUCTURAS METALICAS, S.L. grzywnę w wysokości 5 000 EUR za niezgodne z prawem przetwarzanie danych osoby fizycznej. Wcześniej CYNGASA, S.L. udostępniła dane administratorowi bez zgody osoby, której dane dotyczą. Dane, o których mowa, obejmowały między innymi imię i nazwisko oraz numer ubezpieczenia społecznego. CYNGASA, S.L. została również ukarana grzywną w odrębnym postępowaniu. | Link | |
863 | Norwegia | Datatilsynet | 2021-09-21 | 12 500,00 € | Ultra-Technology AS | Art. 6 (1) RODO | Norweski Urząd Ochrony Danych Osobowych nałożył na Ultra-Technology AS grzywnę w wysokości 12 500 EUR. Powodem nałożenia grzywny jest skarga osoby, której dane dotyczyły, a która została sprawdzona pod kątem zdolności kredytowej bez jakichkolwiek relacji lub innych powiązań z Ultra-Technology AS. | Link | |
862 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-09-04 | 1 000,00 € | Właściciel sklepu | Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu karę w wysokości 1.000 euro. Administrator zainstalował system nadzoru wideo, jednak nie umieścił znaków informujących o stosowaniu nadzoru wideo. | Link | |
861 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-09-04 | 2 000,00 € | Właściciel sklepu | Art. 5 (1) c) RODO | Hiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 2.000 euro na właściciela sklepu. Administrator danych zainstalował system nadzoru wideo, który obejmował m.in. publiczną ulicę. W związku z tym, organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych. | Link | |
860 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-09-04 | 1 500,00 € | AMPUDIA DIAZ, S.L. | Art. 5 (1) c) RODO, Art. 13 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na spółkę AMPUDIA DIAZ, S.L. karę pieniężną w wysokości 1.500 euro. Administrator zainstalował w swojej siedzibie system nadzoru wideo, który rejestrował m.in. przyległy publiczny chodnik. Umożliwiło to nagrywanie przechodniów. Administrator nie zainstalował żadnych znaków informujących o monitoringu wizyjnym. Organ Ochrony Danych stwierdził, że administrator naruszył zasadę minimalizacji danych oraz obowiązek informacyjny. Grzywna wynosi 1 000 EUR za naruszenie art. 5(1)(c) RODO oraz 500 EUR za naruszenie art. 13 RODO. | Link | |
859 | Norwegia | Datatilsynet | 2021-09-20 | 75 600,00 € | ST. OLAVS HOSPITAL HF | Art. 32 RODO, § 22 pasientjournalloven, § 23 pasientjournalloven | Norweski urząd ochrony danych osobowych nałożył na szpital St. Olav's Hospital karę w wysokości 75 600 EUR. W szpitalu doszło do trzech wycieków danych. Pierwszy incydent miał miejsce między 13 stycznia 2011 r. i 27 stycznia 2020 r. na szpitalnym oddziale kardiologicznym w następstwie aktualizacji nowego, zorientowanego na leczenie rejestru zdrowia dla pracowni kardiologicznej. W związku z aktualizacją użyto serwera testowego, na którym tymczasowo buforowano raporty leczenia, a następnie kopiowano je do nowego systemu. Raporty na serwerze testowym nie zostały jednak skasowane. Ponadto wystąpił kolejny błąd, który umożliwił dostęp do raportów wszystkim uwierzytelnionym pracownikom. Problem dotyczył około 21 000 raportów. Drugie naruszenie miało miejsce w okresie od 17 maja 2015 r. do 28 stycznia 2020 r., kiedy raporty z urządzeń medycznych (pulsoksymetrów do długotrwałego pomiaru nasycenia tlenem i pulsu) były przechowywane w obszarze plików dostępnym dla każdego pracownika posiadającego uwierzytelnione i aktywne konto. Trzecie naruszenie miało miejsce w okresie od 01 stycznia 2018 roku do 09 grudnia 2019 roku. Hasła do różnych baz danych były przechowywane w postaci jawnego tekstu w pliku na serwerze szpitala. Pracownicy posiadający aktywne konto w systemie szpitalnym byli w stanie najpierw połączyć się z serwerem poprzez zdalny pulpit, a następnie wyszukać w bazie danych plik z hasłem. Organ stwierdził, że szpital nie ustanowił skutecznej kontroli dostępu. | Link | |
858 | Norwegia | Datatilsynet | 2021-09-20 | 40 200,00 € | Gmina Høylandet | Art. 32 (1) b), (2) RODO | Norweski Urząd Ochrony Danych nałożył na gminę Høylandet karę w wysokości 40 200 EUR. Ta ostatnia zgłosiła naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Pracownica uzyskała dostęp do kilku plików graficznych (bitmap), gdy musiała utworzyć nowe szablony listów i wstawić logo z pliku graficznego. Pliki graficzne, do których pracownik miał dostęp, zawierały poufne informacje o osobach, które nie miały żadnego związku z gminą Høylandet. Informacje te zawierały między innymi dane dotyczące zdrowia. Organ ochrony danych stwierdził, że gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone były osoby, których dane dotyczą. Zamiast tego gmina stwierdziła, że po prostu poprosiła pracowników korzystających z odpowiedniego programu komputerowego, aby unikali otwierania plików bitmapowych, które nie zostały utworzone przez gminę. Błąd został w międzyczasie skorygowany, a gmina wprowadziła nowy system kontroli wewnętrznej. | Link | |
857 | Dania | Datatilsynet | 2021-09-29 | 107 000,00 € | Duńskie Towarzystwo Onkologiczne | Art. 32 RODO | Duński urząd ochrony danych (DPA) nałożył na Duńskie Towarzystwo Onkologiczne grzywnę w wysokości 107 000 EUR za nieprzestrzeganie wymogów RODO dotyczących odpowiednich środków bezpieczeństwa. Duńskie Towarzystwo Onkologiczne zgłosiło cztery przypadki naruszenia danych zgodnie z art. 33 RODO do organu ochrony danych. Dwa z nich dotyczyły kradzieży komputerów, dwa ataków phishingowych - i wszystkie cztery wynikały z niewdrożenia przez Duńską Fundację Onkologiczną środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. Do podobnego naruszenia danych osobowych doszło już w sierpniu 2018 r., kiedy Fundacja padła ofiarą ataków hakerskich typu phishing i spoofing. W tym kontekście Duńskie Towarzystwo Onkologiczne stwierdziło, że powinno zwiększyć ochronę poprzez uwierzytelnianie wieloczynnikowe, jednak nie zostało to wdrożone. Naruszone zostały dane co najmniej 1 448 osób, a w kilku przypadkach dotyczyły one wrażliwych danych osobowych dotyczących zdrowia, w tym historii medycznej. | Link | |
856 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-09-29 | 10 000,00 € | ACONCAGUA JUEGOS S.A. | Art. 37 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na ACONCAGUA JUEGOS S.A. karę w wysokości 10.000 EUR. Administrator nie wyznaczył inspektora ochrony danych i tym samym naruszył art. 37 RODO. | Link | |
855 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-09-29 | 5 000,00 € | CYNGASA, S.L. | Art. 6 RODO | Hiszpański organ ochrony danych (AEPD) nałożył na CYNGASA, S.L. karę w wysokości 5 000 EUR. Osoba, której dane dotyczą, prosząc o raport z pracy, odkryła, że administrator danych ujawnił jej dane osobowe firmie zewnętrznej bez jej zgody. Dane te obejmowały między innymi imię i nazwisko, jak również numer ubezpieczenia społecznego. | Link | |
854 | Hiszpania | Agencia Española de Protección de Datos (AEPD) | 2021-09-28 | 3 000,00 € | Właściciel baru | Art. 5 (1) b) RODO | Hiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela baru karą pieniężną w wysokości 3 000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Uległ on w barze wypadkowi, który został zarejestrowany przez kamery monitoringu. Administrator twierdzi, że zainstalował kamery do celów bezpieczeństwa. W późniejszym czasie nagranie zostało rozpowszechnione za pośrednictwem WhatsApp i opublikowane w gazecie cyfrowej. Osoba, której dane dotyczą, twierdzi, że publikacja tego nagrania wpłynęła na jej reputację. Organ ochrony danych stwierdza, że publikacja obrazów nie była związana z celem nadzoru wideo i że w związku z tym administrator naruszył art. 5 (1) b) RODO. | Link | |