Kary RODO

Kary RODO – jeśli chcesz ich uniknąć, najlepiej ucz się na błędach. Cudzych.
Dowiedz się za co UODO i inne europejskie organy ochrony danych osobowych nałożyły kary RODO. Dzięki temu łatwiej unikniesz błędów, które popełnili inni.

IDKrajOrganDataWysokość kary (w euro)Ukarany podmiotPodstawa prawnaPodsumowanieŹródłoDodatkowe materiały
731GrecjaHellenic Data Protection Authority (HDPA)2021-06-0315000PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ Art. 5 (1) a), b) RODO, Art. 5 (2) RODOGrecki organ ochrony danych nałożył na PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ karę pieniężną w wysokości 15 000 EUR w związku z nielegalną instalacją i obsługą systemu nadzoru wideo. Administrator zainstalował system nadzoru wideo w pomieszczeniach biurowych, nie informując o tym pracowników, naruszając tym samym zasady legalności, uczciwości, przejrzystości, celowości i odpowiedzialności.Link
730DaniaDatatilsynet2021-06-1627000Gmina VejleArt. 32 RODODuński organ ochrony danych (Datatilsynet) nałożył na gminę Vejle karę w wysokości 27 000 EUR. Duński organ ochrony danych wszczął dochodzenie przeciwko gminie po tym, jak zgłosiła ona naruszenie ochrony danych zgodnie z art. 33 RODO. W ramach leczenia dzieci gminna służba dentystyczna wysyłała automatyczne listy powitalne do obojga rodziców, które zawierały dane kontaktowe obojga rodziców. Gmina nie sprawdziła przy tym, czy wolno jej było przekazać te informacje drugiemu rodzicowi. W kilku przypadkach rodzice otrzymali w ten sposób adres drugiego rodzica, niezależnie od tego, czy drugi rodzic był objęty ochroną nazwisk i adresów. Organ ochrony danych uznał to za brak podjęcia przez gminę środków technicznych i organizacyjnych w celu zapewnienia odpowiedniej ochrony danych.Link
729PolskaUrząd ochrony danych osobowych (UODO)2021-03-194900Funeda Sp. z o.o.Art. 31 RODO, Art. 58 (1) a), e) RODOPolski organ ochrony danych (UODO) nałożył na Funeda Sp. z o.o. karę pieniężną w wysokości 4.900 EUR za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie postępowania wyjaśniającego.Link i LinkKara z RODO dla Funeda Sp. z o.o. - omówienie
728RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-06-092000La Santrade S.R.L.Art. 31 RODO, Art. 58 RODORumuński organ ochrony danych (ANSPDCP) nałożył na La Santrade S.R.L. karę w wysokości 2 000 EUR za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia.Link
727HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-141200Inmopiso Zaragoza S.L.Art. 13 RODOAdministrator nie dostarczył dokładnych informacji na temat gromadzenia danych zgodnie z art. 13 RODO. Pierwotna kara pieniężna w wysokości 2 000 EUR została obniżona do 1 200 EUR w związku z natychmiastową płatnością i przyznaniem się do winy.Link
726LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-3118000NieznanyArt. 38 (1), (2) RODO, Art. 39 (1) a) RODOOrgan ochrony danych w Luksemburgu nałożył na pewną firmę karę w wysokości 18 000 euro. Według organu ochrony danych, administrator po pierwsze nie włączył inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie zapewnił inspektorowi ochrony danych środków niezbędnych do wykonywania jego obowiązków.Link
725NiderlandyAutoriteit Persoonsgegevens (AP)2021-02-0412000Klinika OrtodontycznaArt. 32 (1) RODOHolenderska agencja DPA (AP) ukarała klinikę ortodontyczną karą pieniężną w wysokości 12 000 euro. Formularz internetowy, za pomocą którego nowi pacjenci zapisywali się do kliniki, zawierał obowiązkowe pola na wszelkiego rodzaju dane osobowe pacjentów. Dane, które pacjenci (w większości dzieci) wpisywali do formularza, były następnie przesyłane do kliniki ortodontycznej za pośrednictwem niezaszyfrowanego - a zatem niezabezpieczonego - połączenia. Wiązało się to z ryzykiem uzyskania przez nieupoważnione osoby trzecie dostępu do danych osobowych osób, których te dane dotyczą.Link
724LiechtensteinDatenschutzstelle20204100NieznanyNieznanaBezprawna obsługa systemu monitoringu wizyjnego.Link
723NorwegiaDatatilsynet2021-05-2839700BRAbank ASAArt. 24 RODO, Art. 32 (1), (2) RODONorweski organ ochrony danych (Datatilsynet) nałożył na BRAbank ASA karę w wysokości 39 700 EUR. Administrator zgłosił naruszenie danych do organu ochrony danych w dniu 6 września 2019 r. Na stronie internetowej administratora niektórzy klienci byli w stanie wyświetlić dane innych klientów w sekcji "Moja strona". Obejmowały one warunki kredytowe i dane adresowe innych klientów. Sekcja została aktywowana krótko wcześniej dla 500 wybranych klientów i miała na celu m.in. zapewnienie przeglądu kredytów zaciągniętych u administratora. Na podstawie przeprowadzonych w tej sprawie dochodzeń organ ochrony danych stwierdził, że administrator danych nie spełnił wymogów RODO dotyczących oceny ryzyka i odpowiednich środków technicznych w związku z uruchomieniem portalu dla klientów. Zgodnie z oceną organu ochrony danych osobowych można było zapobiec naruszeniu bezpieczeństwa danych osobowych, gdyby administrator przeprowadził ocenę ryzyka i przegląd zgodnie z wymogami prawa.Link
722SzwecjaDatainspektionen2021-06-0934800Dyrekcja Służby Ratowniczej Östra SkaraborgArt. 5 (1) a), c) RODO, Art. 32 (1), (4) RODOSzwedzki urząd ochrony danych osobowych nałożył karę w wysokości 34 800 euro na dyrekcję służb ratowniczych Östra Skaraborg. Organ ten otrzymał informację, że w kilku remizach strażackich w Östra Skaraborg działały kamery monitorujące, które filmowały miejsca, w których strażacy zmieniali się podczas akcji ratunkowej, w związku z czym rozpoczął przegląd nadzoru kamer. Nadzór wideo odbywał się przez całą dobę, chociaż sam administrator stwierdził, że nadzór wideo był wymagany jedynie w przypadku alarmów awaryjnych. Organ ochrony danych stwierdza, że całodobowy monitoring był zbyt daleko idący, ale zauważa, że administrator miał ważne powody dla nadzoru kamer. Nadzór kamer powinien być jednak ograniczony do nagłych przypadków. Kara pieniężna składa się proporcjonalnie z 29.800 EUR za naruszenie Art. 5 (1) a), c) RODO oraz 5.000 EUR za naruszenie art. 32 (1), (4) RODO.Link
721PolskaUrząd ochrony danych osobowych (UODO)2021-04-275050PNP S.A.Art. 31 RODO, Art. 58 (1) e) RODOAdministrator danych nie udzielił informacji, o które zwrócił się polski organ ochrony danych (UODO) do celów dochodzeniowych.LinkKara z RODO dla PNP S.A. - omówienie
720RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-06-092000S.C. Dreamtime Call S.R.L.Art. 58 RODORumuński organ ochrony danych (ANSPDCP) ukarał S.C. Dreamtime Call S.R.L. karą pieniężną w wysokości 2.000 EUR za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia, z naruszeniem przepisów art. 83 (5) e), 58 RODO.Link
719SzwecjaDatainspektionen2021-06-0764500Voice Integrate Nordic ABArt. 32 RODOSzwedzki organ ochrony danych nałożył na Voice Integrate Nordic AB karę w wysokości 64 500 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem regionom Szwecji. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Dzięki luce w zabezpieczeniach uzyskano dostęp do dużej liczby połączeń. Szwedzki organ ochrony danych stwierdził, że Voice Integrate nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w celu ochrony danych osobowych, tak aby osoby nieupoważnione nie mogły uzyskać do nich dostępu.Link
718SzwecjaDatainspektionen2021-06-07120000MedHelp ABArt. 5 (1) a), f) RODO, Art. 6 RODO, Art. 9 (1) RODO, Art. 13 RODO, Art. 32 RODOSzwedzki organ ochrony danych (DPA) nałożył na MedHelp AB karę w wysokości 1.200.000 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem regionom Szwecji. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Z powodu luki uzyskano dostęp do dużej liczby połączeń. Szwedzki organ ochrony danych stwierdził, że MedHelp nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w celu ochrony danych osobowych, tak aby osoby nieupoważnione nie mogły uzyskać do nich dostępu. Ponadto MedHelp nie poinformowała odpowiednio dzwoniących o przetwarzaniu ich danych osobowych zgodnie z art. 13 RODO. Ponadto organ uważa, że powierzenie przetwarzania danych osobowych firmie Medicall stanowi naruszenie zasady legalności określonej w RODO. Dzieje się tak dlatego, że Medicall nie jest objęty szwedzkim ustawodawstwem zdrowotnym i medycznym, a zatem nie podlega prawnie uregulowanemu obowiązkowi zachowania poufności, który istnieje w szwedzkim sektorze opieki zdrowotnej.Link
717SzwecjaDatainspektionen2021-06-0750000Region StockholmArt. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODOSzwedzki Urząd Ochrony Danych nałożył na Region Sztokholm karę w wysokości 50.000 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Z powodu luki uzyskano dostęp do dużej liczby połączeń. Inspektor ochrony danych nałożył grzywnę na Region Sztokholm za gromadzenie danych o połączeniach od osób, których dane dotyczą, bez uprzedniego odpowiedniego poinformowania ich o ich przetwarzaniu.Link
716SzwecjaDatainspektionen2021-06-0725000Region VärmlandArt. 5 (1) a) RODO, Art. 13 RODOSzwedzki urząd ochrony danych osobowych nałożył na region Värmland karę w wysokości 25 000 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Z powodu luki uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na Region Värmland za gromadzenie danych o połączeniach od osób, których dane dotyczą, bez uprzedniego odpowiedniego poinformowania ich o ich przetwarzaniu.Link
715SzwecjaDatainspektionen2021-06-0725000Region SörmlandArt. 5 (1) a) RODO, Art. 13 RODOSzwedzki urząd ochrony danych osobowych nałożył na region Sörmland karę w wysokości 25 000 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Z powodu luki uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na Region Sörmland za gromadzenie danych o połączeniach od osób, których dane dotyczą, bez uprzedniego odpowiedniego poinformowania ich o ich przetwarzaniu.Link
714LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-121000NieznanyArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na przedsiębiorstwo karę w wysokości 1.000 euro. Administrator zainstalował system nadzoru wideo w celu ochrony własności, zabezpieczenia dostępu do miejsc prywatnych i ryzykownych, jak również bezpieczeństwa użytkowników i zapobiegania wypadkom. Jednakże kamery nadmiernie rejestrowały również fragmenty przestrzeni publicznej. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informacyjny.Link
713LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-122600NieznanyArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 2.600 euro. Administrator zainstalował system nadzoru wideo w celu ochrony majątku firmy i uniemożliwienia wstępu osobom nieupoważnionym, jednak kamery nadmiernie rejestrowały również fragmenty stołówki, która służy pracownikom jako miejsce przerw w pracy. Organ ochrony danych stwierdza, że nagrywanie pracowników podczas ich przerwy nie jest konieczne do zapewnienia celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ Ochrony Danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych na mocy art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informacyjny.Link
712LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-122400Nieznany Art. 5 (1) c) RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 2.400 euro. Administrator zainstalował system nadzoru wideo w celu ochrony majątku firmy i uniemożliwienia wstępu osobom nieupoważnionym. Jednak kamery nadmiernie rejestrowały również fragmenty tarasu stołówki, który służy pracownikom jako miejsce wypoczynku. Organ ochrony danych stwierdza, że nagrywanie pracowników podczas ich przerwy nie jest konieczne do zapewnienia celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ Ochrony Danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych na mocy art. 5 (1) c) RODO.Link
711LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-121900Nieznany Art. 5 (1) c), e) RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 1.900 euro. Administrator zainstalował system nadzoru wideo w celu ochrony majątku firmy i uniemożliwienia wstępu osobom nieupoważnionym. Jednak kamery nadmiernie rejestrowały również fragmenty przestrzeni publicznej. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto organ ochrony danych stwierdza, że administrator danych przechowywał nagrania dłużej niż jest to prawnie dozwolone, a tym samym naruszył art. 5 ust. 1 lit. e) RODO.Link
710HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-0719600Radiotelevisión del principado de AsturiasArt. 5 (1) c) RODO, Art. 12 RODOHiszpański organ ochrony danych (AEPD) nałożył na Radiotelevisión del principado de Asturias karę w wysokości 26.000 EUR. Kara składa się z 20 000 EUR z powodu naruszenia art. 5 (1) c) RODO oraz 6.000 EUR z tytułu naruszenia art. 12 RODO. Podstawą nałożenia kary był fakt, że administrator zainstalował system nadzoru wideo obejmujący łącznie 14 kamer wideo i monitorujący teren przedsiębiorstwa. Administrator twierdzi, że kamery zostały zainstalowane w celu zapewnienia bezpieczeństwa pomieszczeń. Jednak kamery uchwyciły gabinety pracowników w sposób, który nie był konieczny do tego celu. Na przykład jedna kamera uchwyciła również znaczną część pokoju wypoczynkowego pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informacyjny. Grzywna została zmniejszona do 19 600 EUR ze względu na terminową płatność i przyznanie się do winy.Link
709HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-0720000Master Distancia S.A.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Master Distancia S.A. karę w wysokości 25 000 EUR. Administrator danych umieścił dane osobowe podmiotu danych w rejestrze raportów kredytowych bez wystarczającej podstawy prawnej. Administrator uzasadnił to rzekomymi długami, jakie osoba, której dane dotyczą, miała wobec administratora. W rzeczywistości jednak strony były nadal w trakcie postępowania arbitrażowego. W związku z tym administrator danych nie miał upoważnienia do umieszczenia danych podmiotu danych w rejestrze. Pierwotna grzywna w wysokości 25 000 EUR została zmniejszona do 20 000 EUR ze względu na natychmiastową płatność.Link
708HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-066000Creator Energy S.L.Art. 6 (1) b) RODOHiszpański organ ochrony danych (AEPD) nałożył na Creator Energy S.L. karę pieniężną w wysokości 6 000 EUR. Administrator danych wykorzystał dane osobowe osoby, której dane dotyczą, bez jej zgody w celu zawarcia umów na dostawy gazu i energii elektrycznej oraz usługi konserwacyjne.Link
707WłochyGarante per la protezione dei dati personali (Garante)2021-04-1512000Krajowy Instytut Zabezpieczenia Społecznego - Istituto Nazionale Previdenza Sociale (INPS)Art. 5 (1) a) RODO, Art. 12 RODO, Art. 15 RODOWłoski organ ochrony danych (Garante) nałożył na włoski Krajowy Instytut Zabezpieczenia Społecznego (Istituto Nazionale della Previdenza Sociale) karę pieniężną w wysokości 12 000 EUR. Kara ta wynikała z faktu, że administrator danych nie udzielił właściwej odpowiedzi na dwa wnioski o udzielenie informacji, które osoba, której dane dotyczą, skierowała do administratora danych. Wnioski te dotyczyły ujawnienia danych osobowych osoby, której dane dotyczą, osobom trzecim. Początkowo osoba, której dane dotyczą, nie otrzymała odpowiedzi na żaden z tych wniosków. W trakcie dochodzenia administrator przekazał mu informacje i wyjaśnił, że na poprzednie wnioski nie udzielono odpowiedzi z powodu błędu technicznego w jego systemie poczty elektronicznej.Link
706HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-024000Avalos Consultores, S.L.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Avalos Consultores, S.L. karę w wysokości 4.000 EUR. Osoba, której dane dotyczą, będąca klientem administratora, złożyła skargę do AEPD, ponieważ administrator przekazał jej dane osobowe do agencji Torrent Asesores Nga, S.L. bez jej zgody.Link
705HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-2145000Telefónica de España, S.A.UArt. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Telefonica de España, S.A.U. karę w wysokości 75 000 euro. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko spółce telekomunikacyjnej. Administrator danych dokonał rezerwacji usługi dla osoby, której dane dotyczą, bez zawarcia przez nią umowy na tę usługę. Po tym, jak osoba, której dane dotyczą, nie dokonała żadnych płatności za tę usługę, została ona anulowana w tym samym roku i zlecono firmie windykacyjnej odzyskanie rzekomo zaległych należności. AEPD stwierdził, że ani przetwarzanie danych w celu rezerwacji usługi, ani przekazanie danych osobowych osoby, której dane dotyczą, firmie windykacyjnej nie odbyło się zgodnie z prawem. Pierwotna kara w wysokości 75 000 EUR została zmniejszona do 45 000 EUR ze względu na natychmiastową zapłatę i uznanie długu.Link
704WłochyGarante per la protezione dei dati personali (Garante)2021-04-2115000Fundacja Polikliniki Tor Vergata z RzymuArt. 5 (1) a), f) RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na Fondazione Policlinico Tor Vergata di Roma karę pieniężną w wysokości 15 000 EUR. W lutym 2020 r. osoba, której dane dotyczą, złożyła skargę do Garante, zarzucając naruszenie przepisów o ochronie danych w związku z usługami rezerwacji dla lekarzy specjalistów oferowanymi przez administratora. W celu zarezerwowania odpowiedniej wizyty na portalu rezerwacyjnym odwiedzający musieli wypełnić formularz online, w którym wymagane były różne dane osobowe. Jak ustalił organ ochrony danych, administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzania danych. Ponadto administrator nie wypełnił swoich obowiązków informacyjnych zgodnie z art. 13 RODO, ponieważ nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w momencie zbierania danych.Link
703GrecjaHellenic Data Protection Authority (HDPA)2021-05-125000KAPIEPA A.E.Art. 17 RODO, Art. 21 RODO, Art. 25 RODOGrecki organ ochrony danych nałożył na ΚΑΡΙΕΡΑ A.E. karę w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi, ponieważ administrator nadal wysyłał jej reklamy pocztą elektroniczną, mimo że osoba ta zażądała usunięcia swoich danych, a administrator potwierdził ich usunięcie. Z powodu błędu technicznego dane osoby, której dane dotyczą, nie zostały usunięte.Link
702HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-213000Stowarzyszenie Właścicieli DomówArt. 5 (1) c) RODO, Art. 12 RODOMonitoring wizyjny przestrzeni publicznej, a tym samym naruszenie zasady minimalizacji danych. Ponadto: Naruszenie obowiązków informacyjnych, ponieważ nie udzielono wystarczających informacji na temat monitoringu wizyjnego.Link
701HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-272000Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną karę w wysokości 2000 euro za nieuprawnione użycie kamer monitoringu, które bez uzasadnionego powodu nagrywały również fragmenty przestrzeni publicznej, oraz za publikację tych nagrań w Internecie.Link
700NorwegiaDatatilsynet2021-05-1895500Innovasjon NorgeArt. 5 (1) RODO, Art. 6 (1) RODONorweski organ ochrony danych (Datatilsynet) ukarał krajowy bank rozwoju Innovasjon Norge karą pieniężną w wysokości 1 000 000 NOK (95 500 EUR). Administrator danych przeprowadził kilka kontroli kredytowych osoby, której dane dotyczą, bez żadnej podstawy umownej. W tym celu bank przeanalizował liczne dane finansowe osoby, której dane dotyczą, bez jej zgody.Link
699GrecjaHellenic Data Protection Authority (HDPA)2021-05-1710000Miejska Organizacja Edukacji Przedszkolnej i Solidarności Społecznej (DOPAKA) w gminie Tavros MoschatoArt. 6 (1) c) RODO, Art. 12 (3), (4) RODO, Art. 17 (1) d) RODOGrecki organ ochrony danych ukarał karą pieniężną w wysokości 10 000 EUR Gminną Organizację Edukacji Przedszkolnej i Solidarności Społecznej (DOPAKA) w gminie Tavros Moschato. Administrator opublikował bez podstawy prawnej dokumenty zawierające dane osobowe osoby, której dane dotyczą. Dokumenty te zawierały, oprócz imienia i nazwiska, informacje o jego zawodzie, miejscu pracy oraz ocenę jego zachowania. Kara składa się proporcjonalnie z 7.000 EUR za naruszenie art. 6 (1) c) RODO i 3.000 EUR za naruszenie art. 12 (3), (4) RODO i art. 17 (1) d) RODO.Link
698WłochyGarante per la protezione dei dati personali (Garante)2021-03-257000TECNOMEDICAL S.r.l.Art. 12 (3) RODO, Art. 15 RODOWłoski organ ochrony danych (Garante) nałożył na TECNOMEDICAL S.r.l. karę w wysokości 7.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych po tym, jak administrator danych nie odpowiedział prawidłowo na jej wniosek o udzielenie informacji. Osoba, której dane dotyczą, zażądała dostępu do swoich danych osobowych. W tym celu zażądał kopii swojej dokumentacji medycznej oraz dokumentacji medycznej dotyczącej przeprowadzonej operacji wszczepienia implantów dentystycznych. Administrator danych nie dostarczył jednak tych informacji w odpowiednim czasie i w całości.Link
697HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-05-263000Vodafone España, S.A.U.Art. 58 (1) RODONieprzekazanie informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganych ramach czasowych z naruszeniem art. 57 RODO. Pierwotna kara w wysokości 5 000 EUR została zmniejszona o 20% ze względu na natychmiastową płatność i przyznanie się do winy.Link
696HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-256000Desolasol Restauración, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) ukarał Desolasol Restauración S.L. karą pieniężną w wysokości 6 000 EUR. Osoba, której dane dotyczą, złożyła w restauracji formularz skargi konsumenckiej, ponieważ nie była w stanie rozmawiać przy stole z powodu głośności muzyki. Kopia formularza pozostała u administratora danych. Z powodu błędu pracownika restauracji, kopie formularza zostały przekazane innym gościom restauracji, którzy byli obecni podczas zdarzenia.Link
695HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-254000Alava Norte, S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał Alava Norte, S.L. karą pieniężną w wysokości 4.000 euro. Administrator zainstalował trzy kamery monitoringu 360° na fasadzie jednego ze swoich budynków w celu zabezpieczenia obiektu. Uchwyciły one również część przestrzeni publicznej. AEPD uznał to za naruszenie zasady minimalizacji danych, ponieważ tak rozległy nadzór wideo nie był konieczny do osiągnięcia celu przetwarzania danych (zabezpieczenie obiektu).Link
694HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-25100000Vodafone España, SAUArt. 28 RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. karę w wysokości 100 000 euro. Osoba, której dane dotyczą, złożyła skargę do hiszpańskiego organu ochrony danych przeciwko przedsiębiorstwu telekomunikacyjnemu. Zgodnie ze skargą, osoba, której dane dotyczą, otrzymała telefon reklamowy od firmy, który został wykonany w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, była wpisana na listę osób wykluczonych z reklam Robinsona. Według podmiotu przetwarzającego dane na zlecenie Vodafone, połączenie reklamowe z osobą, której dane dotyczą, zostało wykonane z powodu błędu w systemie filtrowania numerów połączeń. W trakcie swojego dochodzenia organ ochrony danych ustalił, że Vodafone nie ustanowił żadnych środków w celu uniknięcia połączeń reklamowych z numerami znajdującymi się na liście Robinson. W niniejszej sprawie Vodafone nie wiedziała nawet, że numer osoby, której dane dotyczą, znajduje się na liście Robinsona, co oznaczało, że nie został on zablokowany dla spółki, której udzielono zlecenia.Link
693WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-04-27570FirmaArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 13 RODOWęgierski organ ochrony danych osobowych (NAIH) nałożył na pewną firmę karę w wysokości 570 EUR. W ramach swojej działalności zawodowej osoba, której dane dotyczą, przeprowadziła w dniu 23 września 2019 r. rozmowę telefoniczną z firmą. Firma nagrała tę rozmowę bez poinformowania osoby, której dane dotyczą, ani uzyskania jej zgody, a następnie udostępniła ją firmie, w której osoba, której dane dotyczą, była zatrudniona (administratorowi danych). Następnie administrator rozwiązał stosunek pracy, ponieważ nagrana rozmowa telefoniczna najwyraźniej nie spełniała standardów usług i standardów zawodowych administratora. Inspektor Ochrony Danych stwierdza, że administrator nie tylko przetwarzał dane osoby, której dane dotyczą, bez podstawy prawnej, ale także naruszył swoje obowiązki w zakresie rozliczalności, nie wykazując zgodności przetwarzania z prawem. Ponadto administrator naruszył swój obowiązek informacyjny zgodnie z art. 13 RODO.Link
692WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-04-271400FirmaArt. 5 (1) (2) RODO, Art. 6 RODO, Art. 13 RODOWęgierski organ ochrony danych osobowych (NAIH) nałożył na pewną firmę karę w wysokości 1 400 EUR. W ramach swojej działalności zawodowej osoba, której dane dotyczą, przeprowadziła w dniu 23 września 2019 r. rozmowę telefoniczną z administratorem danych. Administrator nagrał tę rozmowę bez poinformowania osoby, której dane dotyczą, ani uzyskania jej zgody, a następnie przekazał ją firmie, w której osoba, której dane dotyczą, była zatrudniona. Pracodawca osoby, której dane dotyczą, rozwiązał następnie umowę o pracę, ponieważ nagrana rozmowa telefoniczna najwyraźniej nie spełniała standardów usługowych i zawodowych firmy. Organ ochrony danych stwierdza, że administrator nie tylko przetwarzał dane osoby, której dane dotyczą, bez podstawy prawnej, lecz także naruszył swój obowiązek rozliczalności, nie wykazując zgodności przetwarzania z prawem. Ponadto administrator naruszył swój obowiązek informacyjny na mocy art. 13 RODO.Link
691HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-25900Dyrektor zarządzający firmyArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 1 500 euro na dyrektora zarządzającego pewnej firmy. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych, z którym zawarła umowę. Podstawą nałożenia grzywny jest fakt, że administrator nie poinformował odpowiednio osoby, której dane dotyczą, o przetwarzaniu jej danych podczas ich zbierania. AEPD uważa to za naruszenie art. 13 RODO. Pierwotna grzywna w wysokości 1 500 EUR została zmniejszona do 900 EUR ze względu na natychmiastową płatność i przyznanie się do winy.Link
690HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-213000LekarzArt. 6 RODOHiszpański organ ochrony danych (AEPD) ukarał lekarza grzywną w wysokości 3 000 EUR. Administrator opuścił swoją poprzednią klinikę i rozpoczął pracę w nowej klinice. Skarżący przejął dawną klinikę administratora. W umowie kupna wyraźnie stwierdzono, że strona sprzedająca (administrator danych) nie może w żadnym wypadku sporządzać kopii akt pacjenta. Niemniej jednak, administrator poinformował swoich byłych pacjentów, że w przyszłości będą mogli korzystać z jego usług w jego nowej klinice. AEPD stwierdził, że administrator danych kontaktując się z byłymi pacjentami działał nie tylko niezgodnie z umową, ale także z naruszeniem przepisów o ochronie danych.Link
689IrlandiaData Protection Commission (DPC)2021-03-2390000Irish Credit Bureau DACArt. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODOIrlandzki organ ochrony danych osobowych (DPC) nałożył na Irish Credit Bureau (ICB) karę w wysokości 90 000 EUR. Kara wynika z naruszenia danych zgłoszonego przez administratora do organu ochrony danych osobowych w dniu 31 sierpnia 2018 r. Administrator danych jest agencją sprawozdawczości kredytowej, która prowadzi bazę danych o realizacji umów kredytowych między instytucjami finansowymi a kredytobiorcami. Naruszenie danych nastąpiło, gdy administrator dokonał zmiany kodu w swojej bazie danych, która zawierała błąd techniczny. W rezultacie, między 28 czerwca 2018 r. a 30 sierpnia 2018 r., baza danych ICB niedokładnie zaktualizowała rekordy 15 120 zamkniętych rachunków. Administrator ujawnił 1 062 niedokładne rekordy kont instytucjom finansowym lub dotkniętym osobom fizycznym, zanim problem został rozwiązany.Link
688NorwegiaDatatilsynet2021-05-2039000Gmina OsloArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) nałożył na gminę Oslo karę w wysokości 39.000 euro. Na stronie internetowej administratora danych opublikowano wezwanie z prokuratury dotyczące osoby, której dane dotyczą. Wezwanie zawierało m.in. informacje osobowe, takie jak dane dotyczące zdrowia. Do incydentu doszło, ponieważ wezwanie nie zostało pierwotnie zaklasyfikowane jako poufne i w związku z tym nie było wyłączone z publicznego ujawniania. Dokument był publicznie dostępny przez pięć godzin, zanim został usunięty.Link
687NiderlandyAutoriteit Persoonsgegevens (AP)2020-03-2415000CP&AArt. 9 RODO, Art. 32 RODOHolenderski organ ochrony danych (AP) nałożył na CP&A karę w wysokości 15 000 EUR. Administrator danych w ramach ewidencji nieobecności pracowników z powodu choroby dokumentował zarówno przyczyny choroby, jak i konkretne skargi osób, których dane dotyczą w ramach rejestracji nieobecności pracowników z powodu choroby. W opinii organu ochrony danych było to niezgodne z prawem, ponieważ dane dotyczące zdrowia są objęte szczególną ochroną. Pracodawcom nie wolno rejestrować ani powodów, ani przyczyn zwolnień lekarskich. Ponadto organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych podczas rejestrowania nieobecności. Mianowicie, rejestracja nieobecności była dostępna online, bez żadnej formy uwierzytelnienia. Tymczasem, gdy system rejestracji nieobecności jest dostępny przez Internet, dostęp do niego powinien być możliwy wyłącznie poprzez uwierzytelnienie wieloskładnikowe. Zdaniem organu ochrony danych, oprócz "normalnego" logowania, wymagana byłaby inna forma uwierzytelnienia.Link
686WłochyGarante per la protezione dei dati personali (Garante)2021-04-1540000Gmina PalermoArt. 5 (1) f) RODO, Art. 25 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na gminę Palermo karę w wysokości 40000 euro. Osoba, której dane dotyczą, złożyła skargę do włoskiego organu ochrony danych przeciwko gminie Palermo. Jego skarga opierała się na fakcie, że jego dane osobowe pochodzące ze złożonego przez niego wniosku o dopłaty do żywności zostały przejęte przez osobę nieuprawnioną i przetworzone dla własnych celów. Jak ustalił organ ochrony danych w trakcie swojego dochodzenia, do takiego przetwarzania doszło, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa i poufności przetwarzania danych.Link
685RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-192000Banca Comercială Română S.A.Art. 5 (1) a), d) RODO, Art. 5 (2) RODO, Art. 6 RODORumuński organ ochrony danych (ANSPDCP) nałożył na Banca Comercială Română S.A. karę pieniężną w wysokości 2 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator danych wykorzystał jej dane osobowe w kontekście postępowania egzekucyjnego dotyczącego długów wynikających z umowy kredytowej, o której istnieniu osoba ta nie wiedziała.Link
684RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-19500Stowarzyszenia Właścicieli Gminy IasiArt. 58 (1) a), e) RODORumuński organ ochrony danych (ANSPDCP) nałożył na Asociație de Proprietari din municipiul Iași (Stowarzyszenie Właścicieli Gminy Iasi) grzywnę w wysokości 500 EUR. Administrator danych nie przekazał organowi ochrony danych informacji, o które ten wnioskował.Link
683WłochyGarante per la protezione dei dati personali (Garante)2021-04-155000LekarzArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na lekarza karę w wysokości 5000 euro. Administrator pokazywał na kongresie slajdy z przypadków klinicznych, które następnie zostały opublikowane na stronie internetowej towarzystwa chirurgii trójnaczyniowej. Slajdy zawierały dane osobowe pacjenta, takie jak inicjały pacjenta, wiek, płeć, szczegółową historię medyczną pacjenta, szczegóły dotyczące przyjęć w latach 1980-2016 i zabiegów chirurgicznych przeprowadzonych w tym okresie, ze wskazaniem daty przyjęcia i daty operacji, oddziału chirurgicznego, który przeprowadził zabiegi, dni spędzonych w szpitalu, liczne obrazy diagnostyczne i 22 fotografie przedstawiające pacjenta podczas operacji. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych osobowych.Link
682WłochyGarante per la protezione dei dati personali (Garante)2021-04-152000Società triveneta di chirurgiaArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Società triveneta di chirurgia karę w wysokości 2000 EUR. Lekarz pokazywał na kongresie slajdy z przypadków klinicznych, które następnie zostały opublikowane na stronie internetowej administratora. Slajdy te zawierały dane osobowe pacjenta, takie jak inicjały pacjenta, wiek, płeć, szczegółową historię patologii, na którą cierpiał pacjent, szczegóły dotyczące przyjęć w latach 1980-2016 oraz zabiegów chirurgicznych wykonanych w tym okresie, ze wskazaniem daty przyjęcia i operacji, oddziału chirurgicznego, który przeprowadził zabiegi, dni spędzonych w szpitalu, liczne obrazy diagnostyczne oraz 22 fotografie przedstawiające pacjenta podczas operacji. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych osobowych.Link
681PolskaUrząd ochrony danych osobowych (UODO)2021-04-22245000 Cyfrowy Polsat S.A.Art. 24 (1) RODO, Art. 32 (1), (2) RODO, Art. 34 (1) RODOUODO nałożył na Cyfrowy Polsat S.A. karę pieniężną w wysokości 245 000 EUR. Podstawą nałożenia kary była duża liczba naruszeń danych osobowych zgłoszonych przez administratora do UODO. Często zdarzało się, że korespondencja pocztowa zawierająca dane osobowe ginęła lub była dostarczana do niewłaściwego odbiorcy. Organ ochrony danych zauważa, że chociaż naruszenia danych zostały spowodowane przez firmę kurierską, z którą administrator zawarł umowę, to administrator miał obowiązek zapewnić, aby takie naruszenia nie miały miejsca. Administrator nie wdrożył środków technicznych i organizacyjnych odpowiednich do ryzyka w celu ochrony przetwarzania danych. Ponadto, administrator powiadomił osoby, których dane dotyczą, o naruszeniu danych dopiero po dwóch lub trzech miesiącach.Link i LinkKara z RODO dla Cyfrowy Polsat S.A. - omówienie
680GrecjaHellenic Data Protection Authority (HDPA)2021-05-125000A. EPILOGI IDIOTIKI KEFALAIOUCHIKI ETAIREIAArt. 5 (1) a), b) RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 17 RODOGrecki organ ochrony danych nałożył na A. EPILOGI IDIOTIKI KEFALAIOUCHIKI ETAIREIA karę w wysokości 5 000 EUR. Administrator danych nie odpowiedział na wnioski o udzielenie informacji i usunięcie danych złożone przez osobę, której dane dotyczą. W trakcie dochodzenia prowadzonego przez organ ochrony danych administrator poinformował organ ochrony danych, że usunął dane osoby, której dane dotyczą. Osoba, której dane dotyczą, nie została jednak o tym poinformowana. Ponadto, organ ochrony danych ustalił, że dane osoby, której dane dotyczą, zostały zebrane w celu innym niż uzgodniony cel. Nie uzyskano odpowiedniej zgody osoby, której dane dotyczą, na ten nowy cel przetwarzania.Link
679WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-03-251425Podmiot prowadzący placówkę opiekuńcząArt. 5 (1) a), b), c) RODO, Art. 5 RODO, Art. 6 RODO, Art. 13 (1), (2) RODOWęgierski Urząd Ochrony Danych (NAIH) nałożył karę w wysokości 1 425 EUR na operatora placówki opiekuńczej. Operator zainstalował łącznie 25 kamer we wszystkich pomieszczeniach placówki, z wyjątkiem toalet, szatni i głównego stanowiska pielęgniarek. Zarówno mieszkańcy placówki, jak i pracownicy byli rejestrowani przez monitoring wizyjny. Administrator twierdzi, że kamery zostały zainstalowane w celach bezpieczeństwa. Chodziło m.in. o uniemożliwienie dostępu do obiektu osobom nieupoważnionym oraz odstraszenie od kradzieży. Organ ochrony danych stwierdza, że tak rozległy nadzór wideo nie był konieczny dla celu przetwarzania (bezpieczeństwo obiektu). Ponadto, administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych.Link
678NiderlandyAutoriteit Persoonsgegevens (AP)2020-12-20525000Locatefamily.comArt. 27 RODONiderlandzki DPA (AP) nałożył na Locatefamily.com grzywnę w wysokości 525 000 euro. Locatefamily.com to platforma, na której ludzie mogą wyszukiwać dane kontaktowe członków rodziny, z którymi stracili kontakt, lub innych osób, z którymi chcieliby się skontaktować. Osoby, których dane dotyczą, skarżyły się, że ich dane kontaktowe (imię i nazwisko, adres, numer telefonu) zostały opublikowane na stronie internetowej bez ich wiedzy. Osoby, których dane dotyczą, nie mogły łatwo zażądać usunięcia swoich danych opublikowanych na stronie, ponieważ Locatefamily.com nie miała żadnego przedstawicielstwa w Unii Europejskiej. Organizacje oferujące towary lub usługi w UE muszą mieć przedstawiciela, do którego obywatele UE mogą się zwrócić w celu uzyskania informacji lub wykonania swoich praw w zakresie ochrony danych. W związku z tym niderlandzki organ ochrony danych stwierdził naruszenie art. 27 RODO.Link
677HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-1430000Allianz Compañia de Seguros y Reaseguros, S.A. Art. 6 RODOHiszpański organ ochrony danych (AEPD) ukarał Allianz Compañia de Seguros y Reaseguros, S.A. karą pieniężną w wysokości 30 000 EUR. Administrator danych przesłał fakturę osobie, której dane dotyczą, mimo że nie istniał żaden stosunek umowny. Osoba, której dane dotyczą, zawarła z administratorem polisę ubezpieczeniową na motocykl w 2016 r., ale wypowiedziała ją w 2017 r.Link
676RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-132000Telekom Romania Communications SAArt. 6 RODO, Art. 21 RODORumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Communications SA karę pieniężną w wysokości 2000 EUR. Administrator wykonał telefon reklamowy do osoby, której dane dotyczą, mimo że osoba ta skorzystała z przysługującego jej prawa do sprzeciwu wobec przetwarzania jej danych osobowych do celów marketingowych i reklamowych, żądając od administratora usunięcia jej numeru telefonu i adresu e-mail z bazy danych Telekom.Link
675RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-14200Operator strony internetowejArt. 5 (1) a), b) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1), (2), (3) RODO, Art. 32 (2) RODORumuński organ ochrony danych osobowych (ANSPDCP) nałożył karę w wysokości 200 EUR na operatora strony internetowej declaratieppr.ro. Podczas pandemii koronawirusa odwiedzający stronę mogli wypełnić formularz, który był wymagany do opuszczenia swojego miejsca zamieszkania. W tym celu gromadzone były dane osobowe, takie jak imię i nazwisko, adres i numer identyfikacyjny. Administrator danych nie był jednak w stanie udowodnić, że przetwarzał te dane zgodnie z prawem. Ponadto administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych podczas zbierania ich danych osobowych oraz nie wdrożył wystarczających środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych.Link
674WłochyGarante per la protezione dei dati personali (Garante)2021-03-254000Gmina CastellanzaArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacyWłoski organ ochrony danych (Garante) nałożył na gminę Castellanza karę w wysokości 4 000 EUR. Gmina ta zamieściła na swojej stronie internetowej dokumenty zawierające dane osobowe osoby, której dane dotyczą, które były swobodnie dostępne. Dokumenty te dotyczyły postępowania sądowego prowadzonego przez osobę, której dane dotyczą.Link
673HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-123000Solram T Y R S.L.Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na Solram T Y R S.L. karę pieniężną w wysokości 3 000 EUR. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych z uwagi na fakt, że administrator nadal wysyłał jej reklamy za pośrednictwem WhatsApp, pomimo tego, że zażądała ona usunięcia swoich danych.Link
672NiderlandyAutoriteit Persoonsgegevens (AP)2020-06-167500PVV OverijsselArt. 33 RODOHolenderski organ ochrony danych (AP) ukarał lokalny oddział partii PVV w Overijssel karą pieniężną w wysokości 7 500 EUR za niepowiadomienie AP o naruszeniu danych osobowych, co stanowiło naruszenie art. 33 RODO. Z powodu błędu ludzkiego wiadomość e-mail dotycząca zwołania posiedzenia została wysłana za pośrednictwem otwartej listy dystrybucyjnej. Ponieważ w e-mailu 101 adresatów było zaadresowanych jako "przyjaciele PVV", przekonania polityczne osób, których dane dotyczą, zostały w ten sposób ujawnione wszystkim adresatom.Link
671HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-05-041500000 EDP Energía, SAUArt. 13 RODO, Art. 25 RODOHiszpański organ ochrony danych (AEPD) nałożył na EDP Energía, S.A.U. karę w wysokości 1 500 000 EUR. Decyzja ta wynika w szczególności z kilku skarg otrzymanych w związku z przetwarzaniem danych osobowych bez zgody. Jak ustalił organ ochrony danych, administrator danych nie poinformował osób, których dane dotyczą, zgodnie z art. 13 RODO przy gromadzeniu ich danych. W związku z tym osoby, których dane dotyczą, nie zostały poinformowane o prawach przysługujących im na mocy art. 15 -22 RODO, a dane kontaktowe administratora (np. jego adres) były niekompletne. Ponadto praktyka biznesowa firmy pozwalała jej na zawieranie umów z przedstawicielami klientów zamiast bezpośrednio z klientami. W tych przypadkach administrator danych nie sprawdził jednak, czy rzeczywiście istniało upoważnienie do reprezentowania osób, których dane dotyczą. Organ ochrony danych stwierdza, że administrator danych nie wdrożył procedury weryfikacji upoważnienia domniemanych przedstawicieli. Kara składa się proporcjonalnie z 1.000.000 EUR za naruszenie art. 13 RODO i 500 000 EUR za naruszenie art. 25 RODO.Link
670HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-05-041500000 EDP Comercializadora, S.A.U.Art. 13 RODO, Art. 25 RODOHiszpański organ ochrony danych (AEPD) nałożył na EDP Comercializadora, S.A.U. karę w wysokości 1 500 000 EUR. Decyzja ta wynika w szczególności z kilku skarg otrzymanych w związku z przetwarzaniem danych osobowych bez zgody. Jak ustalił organ ochrony danych, administrator danych nie poinformował osób, których dane dotyczą, zgodnie z art. 13 RODO, o gromadzeniu ich danych. W związku z tym osoby, których dane dotyczą, nie zostały poinformowane o prawach przysługujących im na mocy art. 15-22 RODO, a dane kontaktowe administratora (np. jego adres) były niekompletne. Ponadto praktyka biznesowa firmy pozwalała jej na zawieranie umów z przedstawicielami klientów zamiast bezpośrednio z klientami. W tych przypadkach administrator danych nie sprawdził jednak, czy rzeczywiście istniało upoważnienie do reprezentowania osób, których dane dotyczą. Organ stwierdza, że administrator danych nie wdrożył procedury weryfikacji upoważnienia rzekomych przedstawicieli. Kara składa się proporcjonalnie z 1.000.000 EUR za naruszenie Art. 13 RODO i 500 000 EUR za naruszenie art. 25 RODO.Link
669IslandiaPersónuvernd2021-04-2923100InfoMentor ehf Art. 5 (1) f) RODO, Art. 32 (1) b), d) RODOIslandzki organ ochrony danych (Persónuvernd) nałożył na InfoMentor ehf karę w wysokości 23 100 EUR. Wcześniej administrator zgłosił naruszenie danych zgodnie z art. 33 RODO. Incydent dotyczył systemu online firmy, który jest wykorzystywany głównie przez szkoły i inne instytucje do celów komunikacyjnych i informacyjnych. W trakcie swojego dochodzenia organ ochrony danych ustalił, że do naruszenia doprowadziły nieodpowiednie techniczne i organizacyjne środki bezpieczeństwa po stronie administratora danych. Z powodu nieszczelności zabezpieczeń, w wyniku której sześciocyfrowy numer systemowy każdego użytkownika był widoczny w adresie URL konkretnej strony w systemie mentor, osoby nieuprawnione uzyskały dostęp do danych osobowych 424 dzieci.Link
668RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-072000World Class România S.A.Art. 5 (1) f) RODO, Art. 32 (1) b), d) RODORumuński organ ochrony danych osobowych (ANSPDCP) nałożył na World Class România S.A. karę pieniężną w wysokości 2.000 EUR. Administrator opublikował pismo o rozwiązaniu umowy o pracę z pracownikiem w grupie WhatsApp używanej przez pracowników administratora. W rezultacie wszyscy członkowie tej grupy WhatsApp uzyskali nieuprawniony dostęp do pewnych danych osobowych osoby, której dane dotyczą (nazwisko, imię, adres, numer identyfikacyjny, informacje związane z wnioskiem o rozwiązanie umowy o pracę).Link
667NorwegiaDatatilsynet2021-05-05Zamiar nałożenia karyDisqus Inc.Art. 32 RODOW dniu 5 maja 2021 roku norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na firmę Disqus Inc. EUR 2 500 000 za naruszenie art. 5 (1), (2) RODO, art. 6 RODO, art. 12 RODO i art. 13 RODO. Zarzuca się, że Disqus bezprawnie śledził osoby odwiedzające norweskie strony internetowe, które korzystały z wtyczki Disqus. Ich dane były następnie przekazywane reklamodawcom będącym osobami trzecimi.Link
666WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-03-2427700Budapest Főváros Kormányhivatala XI. kerületi Hivatalát (11. Dzielnicowy Wydział Zdrowia Publicznego Urzędu Miasta Stołecznego Budapeszt)Art. 32 (1) a), b) RODO, Art. 32 (2) RODO, Art. 33 (1) RODO, Art. 34 (1) RODOWęgierski organ ochrony danych (NAIH) nałożył karę pieniężną na XI Urząd Dzielnicowy rządu Budapesztu w wysokości 27 700 EUR. Administrator danych przesyłał dane dotyczące zdrowia w odniesieniu do szybkich testów Covid-19, jak również dane kontaktowe osób poddanych testom, do lekarzy w jednym pliku Excel, w sposób niezaszyfrowany i bez żadnych dalszych środków zapewniających poufność. Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. Ponadto, administrator nie poinformował organu ochrony danych i osób, których dane dotyczą, o naruszeniu danych.Link
665FinlandiaTietosuojavaltuutetun Toimisto2021-04-2175000ParkkiPate OyArt. 5 (1) c) RODO, Art. 12 (3), (4), (6) RODO, Art. 14 (2) a) RODO, Art. 14 (3) RODO, Art. 15 RODO, Art. 17 (1) a) RODO, Art. 25 (2) RODOFiński organ ochrony danych nałożył na spółkę ParkkiPate Oy karę w wysokości 75 000 EUR. Pewna liczba osób otrzymała od administratora bilety parkingowe i zażądała informacji o tym, jakie dane osobowe były przetwarzane, a w niektórych przypadkach zażądała usunięcia swoich danych. Jednak w celu rozpatrzenia tych wniosków administrator oświadczył, że potrzebuje numeru dowodu osobistego i adresu osób, których dane dotyczą, do celów identyfikacji, ponieważ ich nazwisko wraz z numerem biletu parkingowego nie wystarcza do zweryfikowania ich tożsamości. Zdaniem organu ochrony danych, administrator nie tylko naruszył obowiązek informowania osób, których dane dotyczą, oraz prawo do usunięcia ich danych, ale także naruszył zasadę minimalizacji danych. Organ podkreślił, że w przypadku uzasadnionych wątpliwości co do tożsamości osoby, której dane dotyczą, dopuszczalne jest zażądanie dodatkowego dowodu tożsamości. Jednak w omawianych przypadkach takie wątpliwości nie istniały. Ponadto, organ ochrony danych stwierdził naruszenie zasady ograniczenia przechowywania danych. Administrator danych przechowywał zdjęcia nieprawidłowo zaparkowanych samochodów oraz kopie biletów parkingowych na potrzeby ewentualnych przyszłych sporów sądowych, nie określając terminu usunięcia tych danych.Link
664BelgiaGegevensbeschermingsautoriteit (GBA)2021-04-26100000Przedsiębiorstwo finansoweArt. 5 (1) f) RODO, Art. 32 RODOBelgijski organ ochrony danych (APD) nałożył na firmę finansową karę w wysokości 100 000 euro. Osoba, której dane dotyczą, złożyła dwie skargi do organu ochrony danych przeciwko tej firmie. Opierały się one na 20 zapytaniach o jej dane osobowe z rejestru kredytowego Narodowego Banku Belgii. Administrator danych zatrudnia byłego męża osoby, której dane dotyczą, który rzekomo wykorzystał swoją pozycję, aby bezprawnie uzyskać dostęp do rejestru w celu uzyskania informacji finansowych na temat osoby, której dane dotyczą, a tym samym uzyskać przewagę w ich postępowaniu rozwodowym. Jak zauważył organ ochrony danych, do naruszenia ochrony danych doszło z uwagi na fakt, że administrator nie podjął odpowiednich środków organizacyjnych w celu ochrony danych osobowych przed nieuprawnionym przetwarzaniem.Link
663WłochyGarante per la protezione dei dati personali (Garante)2021-03-2520000GEDI News Network SpaArt. 12 (3), (4) RODOWłoski organ ochrony danych (Garante) nałożył na GEDI News Network Spa karę w wysokości 20.000 EUR. Osoba, której dane dotyczą, złożyła skargę do włoskiego organu ochrony danych przeciwko administratorowi danych w związku z opublikowanym przez niego artykułem, w którym była o niej mowa. W tym kontekście osoba, której dane dotyczą, skorzystała z prawa przysługującego jej na mocy art. 17 RODO i zażądał usunięcia artykułu, uznając, że nie jest on już istotny. Administrator danych nie odpowiedział jednak na wniosek podmiotu danych w odpowiednim czasie.Link
662WłochyGarante per la protezione dei dati personali (Garante)2021-03-2530000OneDirect SrlArt. 6 (1) RODO, Art. 7 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 130 (1), (2) Codice della privacy, Art. 157 Codice della privacyWłoski organ ochrony danych (Garante) nałożył na OneDirect Srl karę w wysokości 30 000 euro. Osoba, której dane dotyczą, złożyła dwie skargi do organu ochrony danych po tym, jak otrzymała od administratora reklamy pocztą elektroniczną, mimo że nie wyraziła na to zgody. Nawet po tym, jak osoba, której dane dotyczą, wielokrotnie sprzeciwiła się wysyłaniu reklam, administrator nie zaprzestał ich wysyłania. Co więcej, administrator nie odpowiadał na zastrzeżenia osoby, której dane dotyczą. Co więcej, administrator nie prowadził rejestru czynności przetwarzania danych i nie współpracował w wystarczającym stopniu z organem ochrony danych w trakcie dochodzenia.Link
661WłochyGarante per la protezione dei dati personali (Garante)2021-03-1180000Planet Group SpaArt. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 21 (2), (3) RODO, Art. 12 (3) RODO, Art. 25 (1) RODO, Art. 130 Codice della privacyWłoski organ ochrony danych (Garante) nałożył na Planet Group Spa karę w wysokości 80.000 euro. Administrator danych wykonywał telefony promocyjne w imieniu TIM s.p.a.. Kilka z tych połączeń wykonano, mimo że osoby, których dane dotyczyły, nie wyraziły na nie zgody lub sprzeciwiły się im. Garante stwierdziła, że administrator skontaktował się łącznie z 47 981 numerami telefonów bez zgody lub podstawy prawnej. Ponadto Garante podkreśliła, że administrator nie respektował prawa do sprzeciwu przysługującego osobom, których dane dotyczą. W jednym przypadku z użytkownikiem skontaktowano się 155 razy w ciągu jednego miesiąca, mimo że skorzystał on z prawa do sprzeciwu.Link
660WłochyGarante per la protezione dei dati personali (Garante)2021-03-1115000Mediacom s.r.l.Art. 5 (1) a) RODO, Art. 6 (1) RODOWłoski organ ochrony danych (Garante) nałożył na Mediacom s.r.l. karę w wysokości 15.000 EUR. Administrator przeprowadził rozmowy reklamowe w imieniu TIM s.p.a.. Kilka z tych połączeń zostało wykonanych, mimo że osoby, których dane dotyczą, nie wyraziły na nie zgody, sprzeciwiły się im lub ich numery znajdowały się na liście Robinsona. Garante stwierdziła, że administrator nie sprawdził legalności danych zawartych w listach kontaktowych nabytych od przedsiębiorstw trzecich, ani nie zapewnił w wystarczającym stopniu, że osoby, których dane dotyczą, wyraziły ważne zgody na odpowiednie działania promocyjne.Link
659NiderlandyAutoriteit Persoonsgegevens (AP)2021-03-11600000Gmina EnschedeArt. 5 (1) a) RODO, Art. 6 (1) RODONiderlandzki organ ochrony danych (AP) ukarał gminę Enschede grzywną w wysokości 600 tys. euro. W 2017 r. gmina zdecydowała się na zainstalowanie specjalnych skrzynek pomiarowych do mierzenia tłumów w centrum miasta Enschede. Czujniki w skrzynkach pomiarowych wykrywały sygnały wifi z telefonów komórkowych przechodniów i rejestrowały je za pomocą kodu. Na podstawie zarejestrowanych kodów można było obliczyć, jak ruchliwe było centrum miasta. Umożliwiło to jednak również śledzenie, obok której skrzynki pomiarowej przejechał dany telefon komórkowy, co pozwoliło na śledzenie ruchu przechodniów. Władze miasta twierdzą, że śledzenie przechodniów nigdy nie było ich zamiarem. Organ ochrony danych stwierdza jednak, że śledzenie za pomocą sieci wifi (nawet jeśli było niezamierzone) stanowi poważne naruszenie RODO. Organ ochrony danych stwierdza, że gmina śledziła przechodniów bez skutecznej podstawy prawnej, a tym samym naruszyła art. 5 (1) a) RODO i art. 6 (1) RODO.Link
658HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-2715000Anytime Fitness Iberia S.L.Art. 17 RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) nałożył na Anytime Fitness Iberia S.L. karę pieniężną w wysokości 15.000 EUR. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych z uwagi na fakt, że administrator nadal wysyłał jej reklamy SMS-owe, mimo że zażądała ona usunięcia swoich danych, a administrator potwierdził ich usunięcie. Grzywna składa się proporcjonalnie z 10.000 EUR za naruszenie Art. 17 RODO i 5.000 EUR za naruszenie art. 21 LSSI.Link
657HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-273000Pagamastarde S.L.Art. 17 (1) RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) nałożył na Pagamastarde S.L. karę w wysokości 5.000 EUR. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych z uwagi na fakt, że administrator nadal wysyłał jej reklamy SMS-em, mimo że osoba ta zażądała usunięcia swoich danych, a administrator potwierdził usunięcie. Administrator stwierdził, że żądanie osoby, której dane dotyczą, nie zostało spełnione z powodu błędu ludzkiego. Grzywna składa się proporcjonalnie z 3.000 EUR za naruszenie art. 17 (1) RODO i 2.000 EUR za naruszenie art. 21 LSSI. Pierwotna grzywna w wysokości 5 000 EUR została obniżona do 3 000 EUR w związku z natychmiastową płatnością i przyznaniem się do winy.Link
656HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-231000000Equifax Iberica S.L.Art. 5 (1) a), b), c), d) RODO, Art. 6 (1) RODO, Art. 14 RODOHiszpański organ ochrony danych (AEPD) nałożył na Equifax Ibérica, SL karę w wysokości 1.000.000 EUR. Do organu ochrony danych wpłynęło łącznie 96 skarg przeciwko administratorowi danych, ponieważ umieścił on dane osobowe osób związanych z domniemanymi długami w zbiorze danych dotyczących roszczeń sądowych i podmiotów publicznych ("FIJ") bez ich zgody. W niektórych przypadkach dane te nie były nawet prawidłowe. Według organu ochrony danych przetwarzanie danych osobowych osób, których dane dotyczą, w związku z kartoteką FIJ było niezgodne z prawem i naruszało kilka zasad ochrony danych dotyczących przetwarzania danych (zgodność z prawem i przejrzystość, ograniczenie celu, minimalizacja danych i prawidłowość). Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych, naruszając tym samym obowiązek informacyjny.Link
655CzechyÚřad pro ochranu osobních údajů (UOOU)202019200NieznanyArt. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 12 (2), (3), Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 18 RODO, Art. 19 RODO, Art. 20 RODO, Art. 21 RODO, Art. 22 RODOFirma skopiowała dane osobowe z rejestrów publicznych, co zostało uznane przez czeski organ ochrony danych osobowych za nielegalne, ponieważ nie uznano tego za konieczne.Link
654CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaNieznanyArt. 5 (1) a) RODODotowana przez państwo organizacja udostępniła na swojej stronie internetowej zdjęcia swoich pracowników bez wystarczającej podstawy prawnej.Link
653CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaMiasto Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 13 RODO, Art. 14 (3) RODOSzkoła publiczna udostępniła dane osobowe burmistrzowi miasta, który ujawnił je za pośrednictwem aplikacji mobilnej radia miejskiego.Link
652CzechyÚřad pro ochranu osobních údajů (UOOU)20203850Nadawca telewizyjnyArt. 12 (1) RODONadawca telewizyjny zamieścił na swojej stronie internetowej informacje o przetwarzaniu danych osobowych, które były jednak ukryte i niedokładne (odsyłacze do nieaktualnych przepisów prawnych).Link
651CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaNieznanyArt. 5 (1) c) RODOFirma przechowywała podpisy biometryczne swoich klientów, co naruszało zasadę minimalizacji danych.Link
650CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaBankArt. 5 (1) c), e) RODO, Art. 6 (1) RODO, Art. 7 (4) RODOPewien bank uzależnił otwarcie rachunku od przedstawienia kopii dowodu osobistego.Link
649CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaDostawca usług medycznychArt. 5 (1) a) RODO, Art. 12 (1) RODO, Art. 28 (2), (3) RODOPodmiot świadczący usługi opieki zdrowotnej gromadził dane osobowe za pomocą oprogramowania dostarczonego przez podmiot zewnętrzny, nie informując o tym pacjentów.Link
648CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaUczelnia publicznaArt. 6 (1) RODO, Art. 13 RODOUczelnia publiczna zażądała od ubiegających się o przyjęcie studentów danych osobowych bez wystarczającej podstawy prawnej.Link
647WłochyGarante per la protezione dei dati personali (Garante)2021-02-253000Gmina San Marco w LamisArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacyWłoski organ ochrony danych (Garante) nałożył karę w wysokości 3 000 EUR na gminę San Marco w Lamis. Gmina ta zamieściła na swojej stronie internetowej dokumenty zawierające dane osobowe osoby, której dane dotyczą, oraz jej rodziny, które były swobodnie dostępne. Dokumenty te zawierały dwa nakazy przeciwko osobie, której dane dotyczą. Dokumenty były związane z postępowaniem przeciwko osobie, której dane dotyczą, dotyczącym działalności budowlanej bez pozwolenia na budowę i zawierały datę urodzenia, miejsce urodzenia, numer identyfikacji podatkowej i adres osoby, której dane dotyczą, oraz jej krewnych. Osoba, której dane dotyczą, zwróciła się już wcześniej do gminy o usunięcie tych dokumentów ze strony internetowej. Gmina jednak nie zastosowała się do tego żądania.Link
646GrecjaHellenic Data Protection Authority (HDPA)2021-04-162000Kandydat w wyborach parlamentarnychArt. 15 RODO, Art. 11 ustawy nr 3471/2006Grecki organ ochrony danych osobowych (HDPA) ukarał kandydata do parlamentu karą pieniężną w wysokości 2 000 EUR. Przed wyborami parlamentarnymi w Grecji w lipcu 2019 r. osoba, której dane dotyczą, otrzymała połączenie od administratora na swój prywatny numer telefonu komórkowego. Połączenie zostało wykonane w celu promowania kandydatury administratora. Na zapytania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych administrator odpowiadał w sposób sprzeczny.Link
645HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-224000HazteOir.Org Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na HazteOir.Org karę w wysokości 5.000 euro. Administrator opublikował broszurę na temat edukacji seksualnej w szkołach, która niezgodnie z prawem zawierała zdjęcia i nazwiska trzech osób, których dane dotyczyły, a które nie wyraziły na to zgody. Pierwotna grzywna w wysokości 5.000 EUR została obniżona o 20% do 4.000 EUR z powodu natychmiastowej zapłaty.Link
644HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-221500Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną karę w wysokości 1.500 euro. Administrator zainstalował na swojej posesji kamerę nadzorującą, która rejestrowała m.in. przestrzeń publiczną i sąsiednie nieruchomości. Według administratora, zainstalował on kamerę w celu zapewnienia bezpieczeństwa swojej nieruchomości. AEPD uznał to za naruszenie zasady minimalizacji danych, gdyż tak rozległy monitoring nie był konieczny do ochrony własności administratora.Link
643NorwegiaDatatilsynet2021-03-2119900Basaren Drift ASArt. 5 RODO, Art. 6 RODO, Art. 13 RODONorweski urząd ochrony danych (Datatilsynet) nałożył na firmę Basaren Drift AS karę w wysokości 19 900 euro. Administrator zainstalował w swojej siedzibie kamery wideo, które nagrywały zarówno jego pracowników, jak i klientów. Norweski organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej do prowadzenia nadzoru za pomocą kamer. Ponadto Norweski Urząd Ochrony Danych stwierdził, że administrator nie przekazał osobom, których dane dotyczą, wystarczających informacji na temat nadzoru.Link
642HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-208000Highcliffe Estates Marbella S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Highcliffe Estates Marbella S.L. karę w wysokości 8 000 EUR. Administrator opublikował na swojej stronie internetowej zdjęcie osoby, której dane dotyczą, bez jej zgody.Link
641CzechyÚřad pro ochranu osobních údajů (UOOU)20201900NieznanyArt. 12 (2) RODO, Art. 15 (1) RODOPewna osoba otrzymała fakturę za zamówione towary, która jednak pochodziła od innej firmy niż ta, u której je zamówiła. W związku z tym osoba, której dane dotyczą, skontaktowała się z przedsiębiorstwem, które dostarczyło towary i zażądała informacji o tym, skąd wzięły się jej dane osobowe, w jaki sposób były przetwarzane i na jakiej podstawie prawnej. Ponieważ przedsiębiorstwo nie odpowiedziało na jej wniosek osoba, której dane dotyczą, skontaktowała się z organem ochrony danych. Organ ten zażądał od administratora niezwłocznego udzielenia osobie, której dane dotyczą, żądanych informacji. Ponieważ administrator również nie odpowiedział na to żądanie, organ ochrony danych nałożył karę w wysokości 1 900 EUR.Link
640CzechyÚřad pro ochranu osobních údajů (UOOU)2020-05-26NieznanaNieznanyArt. 5 (1) a) RODO, Art. 6 RODOCzeski organ ochrony danych (UOOU) nałożył karę na przedsiębiorstwo za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. Z kilkoma osobami fizycznymi skontaktowali się sprzedawcy administratora w celach reklamowych. Osoby, których dane dotyczą, korzystały w przeszłości (do około 2016 r.) z usług sprzedawców w celu zawarcia umów ubezpieczeniowych lub finansowych. W tym czasie sprzedawcy pracowali jednak dla innej firmy, z którą zawarli umowę agencyjną. Organ ochrony danych zauważa, że z jednej strony wykorzystanie danych osobowych znanych przedstawicielom z ich poprzedniej działalności stanowi naruszenie umowy zawartej z poprzednią firmą, a z drugiej strony nie istniała żadna podstawa prawna do dalszego przetwarzania danych w celach reklamowych na rzecz administratora.Link
639CzechyÚřad pro ochranu osobních údajů (UOOU)2020387Prywatny zakład opieki zdrowotnejArt. 24 RODO, Art. 32 (1) RODOCzeski organ ochrony danych (UOOU) przeprowadził dochodzenie przeciwko operatorowi pozarządowej placówki medycznej w związku z naruszeniem bezpieczeństwa. Podmiot ten oferuje pacjentom szereg badań diagnostycznych. Wyniki tych badań są następnie przekazywane na jego stronie internetowej zarówno pacjentom, jak i lekarzom, którzy zalecili przeprowadzenie badań. Zgłoszone naruszenie ochrony danych wynikało z ataku nieznanej osoby na stronę internetową operatora. W następstwie tego incydentu operator zaprzestał prowadzenia przedmiotowej strony internetowej i zaproponował środki techniczne w celu zwiększenia bezpieczeństwa. Organ ochrony danych stwierdził jednak, że inne strony internetowe prowadzone przez tego samego operatora miały takie same braki. Operator nie ograniczył jednak ich działania ani nie podjął żadnych nowych środków technicznych. W związku z tym organ nałożył na niego grzywnę w wysokości 387 EUR.Link
638HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-191500Właściciel pubuArt. 5 (1) c) RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela pubu grzywną w wysokości 1.500 euro w związku z nieuprawnionym użyciem dwóch kamer nadzoru wideo obejmujących część przestrzeni publicznej.Link
637RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-04-191500Lugera & Makler Broker S.R.L.Art. 29 RODO, Art. 32 (2), (4) RODORumuński organ ochrony danych (ANSPDCP) nałożył na Lugera & Makler Broker S.R.L. karę w wysokości 1 500 EUR. Administrator przypadkowo zniszczył dane klientów Raiffeisen Bank S.A., dla którego działał jako podmiot przetwarzający. ANSPDCP stwierdza, że do incydentu doszło z uwagi na fakt, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu ochrony przetwarzanych danych.Link
636HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-1390000Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España S.A.U. karę w wysokości 150 000 euro. Trzy osoby, których dane dotyczą, złożyły do AEPD skargi przeciwko administratorowi danych. Skarżyły się one na otrzymywanie od administratora niezamówionych wiadomości tekstowych informujących je o nowych fakturach, mimo że między nimi a administratorem nie istniał już stosunek umowny. Ponadto nie było żadnych zaległych faktur, ponieważ kwota do zapłaty zawsze wynosiła zero euro. Podmioty danych kilkakrotnie zwracały się do administratora o zaprzestanie wysyłania im wiadomości tekstowych i o usunięcie ich danych. Administrator wyjaśnił, że wiadomości zostały wysłane z powodu błędu technicznego i zapewnił osoby, których dane dotyczą, że nie będą już otrzymywać takich powiadomień w przyszłości. Wysyłanie wiadomości było jednak kontynuowane. Pierwotna grzywna w wysokości 150 000 EUR została obniżona do 90 000 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
635HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-153000Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną karę w wysokości 3.000 euro. Administrator zamieszkuje na 1. piętrze apartamentowca, w którym jest właścicielem mieszkań na 2. i 3. piętrze. Regularnie wynajmuje te apartamenty turystom. Administrator zainstalował cztery kamery wideo na trzech piętrach oraz w strefie wejściowej budynku. Ich działanie uzasadniał względami bezpieczeństwa związanymi z wynajmowaniem mieszkań turystom. Wspólnota mieszkaniowa nie wyraziła zgody na działanie kamer. Administrator nie umieścił również w budynku znaku informującego o działaniu kamer. Organ uznał to za naruszenie zasady minimalizacji danych, gdyż kamery obejmowały obszary budynku użytkowane przez wspólnotę, których monitorowanie nie było konieczne dla ochrony mienia administratora. Ponadto, administrator naruszył obowiązek informacyjny, gdyż nie poinformował pozostałych mieszkańców budynku o przetwarzaniu ich danych.Link
634GrecjaHellenic Data Protection Authority (HDPA)2020-04-072000Ignatiadis Nikolaos i SpółkaArt. 5 (1) c) RODO, Art. 6 (1) f) RODOGrecki organ ochrony danych (HDPA) nałożył grzywnę w wysokości 2 000 EUR na Ignatiadis Nikolaos i Spółka. Administrator zainstalował kamery monitoringu obejmujące obszary, w których przebywali jego pracownicy. Administrator twierdzi, że kamery zostały zainstalowane dla celów bezpieczeństwa, ponieważ w przeszłości miały miejsce przypadki kradzieży. W związku z tym system nadzoru miał służyć do wykrywania osób wchodzących na teren obiektu. Jednak w trakcie dochodzenia przeprowadzonego przez organ ochrony danych stwierdzono, że instalacja kamer nie była ograniczona do obszarów niezbędnych do ochrony mienia. Organ Ochrony Danych uznał to za naruszenie zasady minimalizacji danych.Link
633RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-04-155000S.C. Tip Top Food Industry S.R.LArt. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 7 RODORumuński organ ochrony danych (ANSPDCP) nałożył na S.C. Tip Top Food Industry S.R.L. grzywnę w wysokości 5 000 EUR. Kontroler zainstalował kilka kamer wideo w pomieszczeniach z żywnością i szatniach, aby obserwować swoich pracowników. Monitoring miał na celu powstrzymanie kradzieży i ochronę wyprodukowanych towarów. Rumuński organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, ponieważ tak rozległy nadzór nie był konieczny. Wyprodukowane towary mogły być chronione metodami mniej ingerującymi w prywatność pracowników.Link
632CzechyÚřad pro ochranu osobních údajů (UOOU)2020nieznanaWypożyczalnia sprzętu narciarskiegoArt. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 18 RODO, Art. 19 RODO, Art. 20 RODO, Art. 21 RODOCzeski organ ochrony danych (UOOU) nałożył grzywnę na wypożyczalnię sprzętu narciarskiego. Ze względu na wysoką wartość sprzętu sportowego, administrator wymagał przy wypożyczaniu sprzętu sportowego depozytu pieniężnego lub pełnej kopii ważnego dowodu tożsamości. Zgoda na kopię dowodu osobistego była zawarta w samej umowie wypożyczenia sprzętu sportowego. W ten sposób w momencie podpisania umowy wypożyczenia sprzętu sportowego uzyskiwano jednocześnie zgodę na przetwarzanie kopii dowodu osobistego. Organ Ochrony Danych uznał ten sposób uzyskiwania zgody za naruszenie zgodności z prawem przetwarzania danych. Ponadto stwierdzono, że osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o przetwarzaniu ich danych osobowych.Link
631CzechyÚřad pro ochranu osobních údajů (UOOU)20202700Mall.tvArt. 5 RODO, Art. 6 RODOCzeski Urząd Ochrony Danych (UOOU) ukarał Mall.tv grzywną w wysokości 2.700 euro za nagrywanie części przestrzeni publicznej bez podstawy prawnej. Przedmiotem dochodzenia Urzędu Ochrony Danych była eksploatacja dwóch kamer przez jedną z firm. Kamery te rejestrowały fragmenty przestrzeni publicznej, a następnie transmitowały materiał w czasie rzeczywistym w telewizji internetowej. Materiał filmowy miał tak wysoką rozdzielczość, że przejeżdżające osoby i pojazdy były wyraźnie widoczne i możliwe do zidentyfikowania.Link
630HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-0860000Kutxabank, S.A.Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na Kutxabank, S.A. karę w wysokości 100.000 EUR. W związku ze skargą byłego klienta, który twierdził, że bank nie spełnił jego prośby o usunięcie danych, organ ochrony danych wszczął postępowanie przeciwko administratorowi danych. Podmiot danych był już w przeszłości klientem banku. Wówczas skorzystał z prawa do usunięcia swoich danych. Gdy próbował otworzyć nowe konto u administratora, został poinformowany, że nie jest to możliwe, ponieważ jego dane są nadal zablokowane (ze względu na jego poprzedni wniosek o usunięcie danych). Administrator poinformował ponadto osobę, której dane dotyczą, że będzie musiała odblokować dane, jeśli chce otworzyć konto. W tym celu do pisma dołączony był formularz. W formularzu stwierdzono, że podpisując go, osoba, której dane dotyczą, odwołuje swoje prawo do usunięcia danych i zezwala na (ponowne) wykorzystanie swoich danych przez administratora. Organ ochrony danych stwierdził, że tymczasowe zablokowanie danych nie odpowiada prawu do ich usunięcia. Organ podkreślił również, że usunięte lub zablokowane dane nie mogą być ponownie przetwarzane w przypadku nawiązania nowego stosunku umownego z administratorem danych, nawet jeśli nowy cel przetwarzania jest taki sam jak poprzedni. Pierwotna grzywna w wysokości 100.000 euro została zmniejszona do 60.000 euro ze względu na natychmiastową zapłatę i uznanie winy.Link
629WłochyGarante per la protezione dei dati personali (Garante)2021-02-256000Azienda Ospedaliera Universitaria CareggiArt. 5 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda Ospedaliera Universitaria Careggi grzywnę w wysokości 6 000 EUR za naruszenie art. 5 RODO i Art. 9 RODO. Azienda Ospedaliera Universitaria Careggi powiadomiła organ ochrony danych o naruszeniu ochrony danych osobowych na mocy art. 33 RODO w odniesieniu do przekazywania danych dotyczących zdrowia niewłaściwej osobie. Dokumenty medyczne pacjenta zostały wysłane pocztą zarówno do pacjenta, którego dotyczyło naruszenie, jak i do innego pacjenta. Administrator danych twierdzi, że do incydentu doszło z powodu błędu w procesie drukowania. Oddział, na którym leczony był poszkodowany pacjent, wyposażony był tylko w dwie drukarki, a jeden z lekarzy nieświadomie wziął wydruki kolegi (dokumenty poszkodowanego pacjenta) podczas pobierania swojego wydruku (dokumenty niewłaściwego odbiorcy).Link
628NorwegiaDatatilsynet2021-04-093400Miljø- og Kvalitetsledelse ASArt. 5 (1) a) RODO, Art. 6 (1) RODONorweski urząd ochrony danych (Datatilsynet) nałożył na Miljø- og Kvalitetsledelse AS karę w wysokości 3 400 EUR. W jednej z myjni obsługiwanych przez administratora miały miejsce przypadki wandalizmu przy terminalu płatniczym. Administrator przesłał następnie pracodawcy domniemanego wandala nagranie incydentu z kamery nadzorującej. Norweski organ ochrony danych stwierdził, że udostępnienie nagrania wideo odbyło się bez podstawy prawnej, a tym samym administrator naruszył art. 6 (1) RODO i art. 5 (1) a) RODO. Ponadto organ ochrony danych podkreślił, że ujawnienie nagrań nie było konieczne do wyjaśnienia incydentu, ponieważ nagrania zostały już przekazane policji.Link
627NorwegiaDatatilsynet2021-03-15100000Gmina AskerArt. 5 RODO, Art. 6 RODO, Art. 32 (1) b) RODO, Art. 24 RODONorweski organ ochrony danych (Datatilsynet) nałożył na gminę Asker grzywnę w wysokości 100 000 EUR. W dniu 20 maja 2020 r. organ ochrony danych otrzymał zawiadomienie, że gmina bezprawnie opublikowała dane osobowe na swojej stronie internetowej. Na stronie internetowej użytkownicy mogli zapoznać się z nazwami dokumentów, które zostały wcześniej wysłane za pośrednictwem listy dystrybucyjnej poczty elektronicznej gminy. Oprócz nazw konkretnych dokumentów zawierały one również imiona i nazwiska oraz daty urodzenia 127 osób, w tym dzieci. Mimo że listy dystrybucyjne były codziennie sprawdzane przez dwie osoby, gmina nie wykryła rozbieżności. Norweski organ ochrony danych stwierdził, że do naruszenia ochrony danych doszło częściowo z powodu braku wymaganych procedur postępowania z listami elektronicznymi.Link
626GrecjaHellenic Data Protection Authority (HDPA)2021-03-222000Kandydat w wyborach parlamentarnychArt. 15 RODO, Art. 11 Prawa 3471/2006Grecki organ ochrony danych osobowych (HDPA) ukarał kandydata do parlamentu grzywną w wysokości 2 000 EUR. Przed wyborami parlamentarnymi w Grecji w lipcu 2019 r. osoba, której dane dotyczą, otrzymała połączenie od administratora na swój prywatny numer telefonu komórkowego. Połączenie zostało wykonane w celu promowania kandydatury administratora. Na zapytania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych administrator odpowiadał w sposób sprzeczny.Link
625WłochyGarante per la protezione dei dati personali (Garante)2021-02-1145000Istituti ospedalieri bergamaschiArt. 5 (1) a), f) RODO, Art. 9 RODO, Art. 32 RODO,Włoski organ ochrony danych (Garante) nałożył na Istituti ospedalieri bergamaschi grzywnę w wysokości 45 000 EUR. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi danych po tym, jak ten zgłosił mu naruszenie ochrony danych. Pacjent omyłkowo otrzymał w swoim cyfrowym zapisie medycznym dokumentację medyczną i kliniczną siedmiu innych pacjentów.Link
624HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-062400Promotech Digital S.L.Art. 21 RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał Promotech Digital S.L. grzywną w wysokości 2.400 EUR za wielokrotne wysyłanie osobie, której dane dotyczą, SMS-ów reklamowych, mimo że osoba ta nigdy nie zapisała się ani nie wyraziła zgody na otrzymywanie SMS-ów. Co więcej, SMS-y nie oferowały bezpośredniej możliwości rezygnacji z otrzymywania reklam. Zamiast tego wskazywano na możliwość rezygnacji za pośrednictwem poczty elektronicznej. Mimo że osoba, której dane dotyczą, sprzeciwiła się otrzymywaniu dalszych SMS-ów, nadal otrzymywała SMS-y od administratora. Pierwotna grzywna w wysokości 3.000 EUR została zmniejszona o 20% do 2.400 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
623HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-054000Stockhunters S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na Stockhunters S.L. grzywnę w wysokości 4.000 EUR. Administrator danych nie był w stanie odpowiedzieć na wnioski osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych. Ponadto, polityka ochrony danych na stronie internetowej administratora nie była zgodna z przepisami art. 13 RODO Osoba, której dane dotyczą, nie była zatem pewna, w jaki sposób wykorzystywane są jej dane osobowe.Link
622HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-053000Electrotecnica Bastida S.L.Art. 32 (1) RODOHiszpański organ ochrony danych (AEPD) ukarał Electrotecnica Bastida S.L. grzywną w wysokości 3.000 euro. Funkcjonariusze policji znaleźli 29 kopert zaadresowanych do poszczególnych pracowników administratora na pustej działce w lokalnym obszarze przemysłowym. Dwie koperty zostały już otwarte. Koperty te zawierały wyniki badań lekarskich. AEPD uznało, że jest to naruszenie obowiązku administratora w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych.Link
621HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-053000Kukimbia S.L.Art. 32 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Kukimbia S.L. grzywnę w wysokości 3.000 euro. Administrator danych to firma zajmująca się magazynowaniem, transportem i dystrybucją towarów. Dokumenty zawierające dane osobowe klientów i dostawców administratora zostały znalezione w wolnym dostępie obok kosza na śmieci w pobliżu jednego z magazynów administratora. Organ ochrony danych stwierdził, że administrator naruszył art. 32 RODO.Link
620WłochyGarante per la protezione dei dati personali (Garante)2021-03-254500000Fastweb S.p.A.Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 RODO, Art. 32 GPDR, Art. 33 (1) RODO, Art. 34 (1) RODOWłoski urząd ochrony danych (Garante) nałożył na Fastweb S.p.A. grzywnę w wysokości 4 500 000 euro za agresywny telemarketing. Po przeprowadzeniu złożonego dochodzenia wstępnego, wszczętego po otrzymaniu setek zgłoszeń i skarg od użytkowników, organ ochrony danych stwierdził, że administrator nielegalnie przetwarzał dane osobowe milionów użytkowników w celach telemarketingowych. Mianowicie, call center pracujące dla Fastweb w dużej mierze działały z pominięciem przepisów o ochronie danych osobowych. Często używały one do rozmów numerów telefonów, które nie były zarejestrowane we włoskim rejestrze operatorów telekomunikacyjnych (Registro degli Operatori di Comunicazione). Ponadto, przetwarzali dane kontaktowe dotyczące promocji, które Fastweb otrzymał od partnerów zewnętrznych, bez ważnej zgody osób, których dane dotyczą, na ich udostępnienie. Ponadto wielu użytkowników zgłosiło, że kontaktowali się z nimi "samozwańczy operatorzy Fastwebu", którzy próbowali uzyskać dokumenty tożsamości wykonawców za pośrednictwem aplikacji WhatsApp, prawdopodobnie w celu wysyłania spamu, wyłudzania informacji i innych nieuczciwych działań. Inne naruszenia dotyczyły procedur związanych z usługą "oddzwoń do mnie", które uniemożliwiały użytkownikom wyrażenie dobrowolnej, konkretnej i świadomej zgody oraz dezaktywację usługi w sposób zautomatyzowany.Link
619WłochyGarante per la protezione dei dati personali (Garante)2021-02-254000Ministerstwo Edukacji, Regionalne Biuro Szkolnictwa w LazioArt. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył karę w wysokości 4.000 euro na władze szkolne regionu Lazio. Rodzic złożył skargę na władze szkolne w związku z przekazaniem danych jego niepełnosprawnego syna do Urzędu Administracji Publicznej. Przekazane dane zawierały m.in. informacje o stanie zdrowia dziecka. Rodzic wcześniej skarżył się na nieprawidłowości w przyznawaniu godzin wsparcia dla uczniów niepełnosprawnych w szkole I.C.G. Pitocco w Castelnuovo di Porto. Organ prowadzący szkołę przekazał wówczas dane w celu wyjaśnienia zarzutu. Organ ochrony danych stwierdził jednak, że przekazanie danych odbyło się bez podstawy prawnej.Link
618WłochyGarante per la protezione dei dati personali (Garante)2021-02-1160000Roma Servizi per La Mobilita S.r.l.Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na Roma Servizi per La Mobilita S.r.l. grzywnę w wysokości 60.000 EUR za niepodjęcie odpowiednich środków technicznych i organizacyjnych w odniesieniu do danych obywateli, którzy uzyskali zezwolenia na dostęp do stref ograniczonego ruchu. Administrator danych działał jako podmiot przetwarzający dane na rzecz miasta Rzym. W ramach tej działalności przetwarzał dane osób, które posiadały zezwolenia na dostęp do stref ograniczonego ruchu. Weryfikacja zezwoleń odbywała się poprzez skanowanie kodów QR umieszczonych na plakietkach umieszczonych na przednich szybach samochodów. Dzięki temu pracownicy miasta mogli w czasie rzeczywistym sprawdzić, czy dany pojazd może poruszać się w danej strefie i komu zostało wydane zezwolenie. Jednak, jak twierdzi DPA, nie tylko pracownicy miasta, ale każdy mógł zeskanować kody i uzyskać dostęp do informacji, ponieważ wymagało to jedynie zwykłego skanera QR. Informacje przechowywane w systemie obejmowały np. nazwisko użytkownika lub numer rejestracyjny pojazdu. DPA zauważa, że administrator nie przeanalizował ryzyka związanego z przetwarzaniem danych i w rezultacie nie wdrożył odpowiednich środków ochrony przetwarzania.Link
617WłochyGarante per la protezione dei dati personali (Garante)2021-02-11350000Roma CapitaleArt. 5 RODO, Art. 6 RODO, Art. 28 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na miasto Rzym grzywnę w wysokości 350 000 euro za brak odpowiednich środków technicznych i organizacyjnych w odniesieniu do danych obywateli, którzy uzyskali zezwolenia na dostęp do stref ograniczonego ruchu. Zezwolenia te były weryfikowane poprzez skanowanie kodów QR umieszczonych na plakietkach przymocowanych do przednich szyb. Dzięki temu służby miejskie mogły w czasie rzeczywistym sprawdzić, czy dany pojazd może znajdować się w danej strefie i komu zostało wydane zezwolenie. Jednak, jak twierdzi DPA, nie tylko pracownicy miasta, ale każdy mógł zeskanować kody i uzyskać dostęp do informacji, ponieważ wymagało to jedynie zwykłego skanera QR. Informacje przechowywane w systemie obejmowały np. nazwisko użytkownika lub numer rejestracyjny pojazdu. Ponadto organ ochrony danych ustalił, że miasto Rzym korzystało z usług dostawcy w zakresie hostingu i utrzymania baz danych bez odpowiedniej umowy, czego wymaga art. 28 RODO. 28 RODO.Link
616WłochyGarante per la protezione dei dati personali (Garante)2021-02-2520000Gedi Gruppo Editoriale S.p.A.Art. 5 (1) a) RODOWłoski DPA (Garante) ukarał Gedi Gruppo Editoriale S.p.A. grzywną w wysokości 20.000 euro. Administrator opublikował w swojej gazecie zdjęcia osób, które przebywały w areszcie w związku z morderstwem. Zdjęcia te przedstawiały oskarżonych w kajdankach i zostały wykonane bez ich zgody. Mimo że niektóre zdjęcia zostały rozpikselowane wokół kajdanek, twarze oskarżonych pozostały widoczne, co pozwalało na ich identyfikację. Organ ochrony danych z wyprzedzeniem nakazał administratorowi powstrzymanie się od dalszego wykorzystywania tych zdjęć. DPA nałożył grzywnę, ponieważ administrator nie zastosował się do tego nakazu.Link
615WłochyGarante per la protezione dei dati personali (Garante)2021-02-115000Fondazione di religione e di culto “Casa sollievo della sofferenza” Opera di San Pio da PietrelcinaArt. 5 (1) a), f) RODO, Art. 9 RODOWłoski organ ochrony danych osobowych (Garante) nałożył na Fundację na rzecz religii i kultu "Casa sollievo della sofferenza" Opera di San Pio da Pietrelcina grzywnę w wysokości 5.000 EUR. W dniu 31 stycznia 2020 r. administrator danych powiadomił organ ochrony danych osobowych o naruszeniu danych osobowych na mocy art. 33 RODO. Dokumenty zawierające informacje o stanie zdrowia osoby, której dane dotyczą, zostały przypadkowo wysłane pocztą do niewłaściwego adresata. Stało się to w wyniku pomyłki: Faktura została wcześniej wysłana nie do osoby, której dane dotyczą, lecz do innej osoby o tym samym nazwisku, której adres został następnie wykorzystany do dalszej korespondencji z osobą, której dane dotyczą.Link
614WłochyGarante per la protezione dei dati personali (Garante)2021-02-256000Gmina CommezzaduraArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na gminę Commezzadura grzywnę w wysokości 6.000 euro. Były pracownik tej gminy złożył skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jego dane osobowe. Dokument ten zawierał potwierdzenie i akceptację dobrowolnego rozwiązania stosunku pracy przez pracownika oraz informacje o ówczesnym stosunku pracy, w tym oceny jego pracy i informacje o jego stanie zdrowia. Osoba, której dane dotyczą, skarżyła się również, że informacje te zostały wspomniane w artykule w gazecie. W szczególności w artykule tym omówiono zakończenie stosunku pracy i zacytowano oświadczenie burmistrza gminy odnoszące się do faktu, że osoba, której dane dotyczą, poprosiła o elastyczne godziny pracy i była nieobecna w pracy podczas ferii świątecznych z powodu choroby.Link
613RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-03-3010000Telekom Romania Mobile Communications S.A.Art. 32 (1), (2) RODORumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Mobile Communications S.A. grzywnę w wysokości 10 000 EUR za niewdrożenie odpowiednich środków bezpieczeństwa w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. W szczególności dochodzenie przeprowadzone przez ANSPDCP wykazało, że niewdrożenie przez administratorów odpowiednich środków bezpieczeństwa doprowadziło do nieuprawnionego ujawnienia danych 99 210 osób, których dane dotyczą, w tym numeru klienta, płci i numeru telefonu, a także nieuprawnionego dostępu do danych osobowych przechowywanych na kontach 413 klientów. Na tej podstawie ANSPDCP orzekł, że administrator naruszył Art. 32 (1) i (2) RODO.Link
612NiderlandyAutoriteit Persoonsgegevens (AP)2020-12-10475000Booking.com B.V.Art. 33 RODONiderlandzki organ ochrony danych osobowych (Autoriteit Persoonsgegevens) ukarał Booking.com grzywną w wysokości 475 tys. euro za zbyt późne zgłoszenie naruszenia danych do organu ochrony danych osobowych. W grudniu 2018 r. przestępcy uzyskali dostęp do danych 4 109 osób, które zarezerwowały pokój hotelowy za pośrednictwem strony rezerwacyjnej. Obejmowało to ich nazwiska, adresy i numery telefonów, a także szczegóły dotyczące ich rezerwacji. Przestępcy uzyskali również dostęp do danych kart kredytowych 283 osób. W 97 przypadkach był to kod zabezpieczający kartę kredytową. Próbowali również uzyskać dane kart kredytowych innych ofiar, podając się za pracowników Booking.com za pośrednictwem poczty elektronicznej lub telefonu. Booking.com został powiadomiony o naruszeniu danych 13 stycznia 2019 r., ale zgłosił je do AP dopiero 7 lutego. Tym samym administrator spóźnił się ze zgłoszeniem naruszenia danych o 22 dni, ponieważ jest zobowiązany do zgłoszenia naruszenia danych do organu ochrony danych w ciągu 72 godzin.Link
611NorwegiaDatatilsynet2021-03-0814900Dragefossen ASArt. 5 (1) a) RODO, Art. 6 (1) RODONorweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 14.900 euro na firmę energetyczną Dragefossen AS. Przedsiębiorstwo to zainstalowało na dachu swojego biurowca w centrum Rognan kamerę internetową, która działała 24 godziny na dobę przez 7 dni w tygodniu i nagrywała centrum miasta. Nagrania te można było oglądać poprzez strumień wideo na żywo w serwisie Youtube oraz na stronie głównej administratora. Ponadto, nagrania można było przewijać do 12 godzin. Obszar objęty monitoringiem kamer obejmował ulicę publiczną, parking i wejście do dwóch sklepów spożywczych, aptekę, sklep monopolowy, lokalny bank, ratusz i kilka innych budynków. Ze względu na jakość obrazu i odległość od kamery nie było możliwe rozpoznanie szczegółów twarzy ani odczytanie tablic rejestracyjnych na samochodach. Niemniej jednak jakość obrazu była na tyle dobra, że można było zidentyfikować, jakim samochodem jechali badani, jaki rodzaj ubrania mieli na sobie, jaki kolor włosów mieli i inne cechy osobiste. Było to wystarczające, aby osoby oglądające transmisję na żywo mogły zidentyfikować i śledzić współpracowników, kolegów, przyjaciół, rodzinę lub innych znajomych. Norweski organ ochrony danych stwierdził, że transmisja na żywo stanowi naruszenie art. 6 (1) RODO i art. 5 (1) a) RODO. W decyzji podkreślono, że nielegalny nadzór za pomocą kamer dotyczył znacznej liczby pracowników i że wielu z nich było monitorowanych wielokrotnie, niektórzy codziennie. Monitorowane osoby były w drodze do i z pracy, musiały kupić artykuły spożywcze, leki lub alkohol, lub z innych powodów przebywały w przestrzeni publicznej. Są to czynności, w przypadku których osoby, których dane dotyczą, nie spodziewają się, że będą monitorowane, a tym bardziej nie spodziewają się, że monitoring będzie transmitowany na żywo w Internecie.Link
610WłochyGarante per la protezione dei dati personali (Garante)2021-02-252000Gmina ConflentiArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODOWłoski organ ochrony danych (Garante) nałożył na gminę Conflenti grzywnę w wysokości 2.000 euro. Była pracownica tej gminy złożyła skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jej dane osobowe, w tym informacje o jej zatrudnieniu w gminie oraz fragment pisma o rozwiązaniu umowy o pracę.Link
609HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-15600000Air Europa Lineas Aereas, SA.Art. 32 (1) RODO, Art. 33 RODOHiszpański organ ochrony danych (AEPD) ukarał Air Europa Lineas Aereas, SA. 600 000 EUR po tym, jak do AEPD zgłoszono poważne naruszenie ochrony danych obejmujące nieuprawniony dostęp do danych kontaktowych i kont bankowych. Naruszenie dotyczyło około 489.000 osób i 1.500.000 rekordów. AEPD ogłosiła, że nałożyła na administratora danych grzywnę w wysokości 500 000 EUR za naruszenie art. 32 (1) RODO z powodu niepodjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, oraz 100 000 EUR za naruszenie art. 33 RODO z powodu powiadomienia AEPD. 33 RODO za powiadomienie AEPD o naruszeniu bezpieczeństwa z 41-dniowym opóźnieniem. Przy ustalaniu wysokości grzywny jako okoliczność obciążającą wzięto pod uwagę fakt, że incydent nie ograniczał się do obszaru lokalnego, lecz dotknął dużą liczbę osób nie tylko w Hiszpanii, ale i na całym świecie, oraz że naruszone zostały wrażliwe dane bankowe i finansowe, co zaszkodziło kilku tysiącom osób.Link
608NorwegiaDatatilsynet2021-03-154900Gmina ÅlesundArt. 32 (1) b) RODO, Art. 24 (1) RODO, Art. 35 RODONorweski Urząd Ochrony Danych (Datatilsynet) nałożył na gminę Ålesund karę w wysokości 4 900 euro. W dwóch szkołach w Ålesund nauczyciele poprosili uczniów o pobranie aplikacji treningowej Strava na zajęcia wychowania fizycznego. Uczniowie otrzymywali następnie zadania, które nauczyciele kontrolowali za pomocą funkcji śledzenia. Zgodnie z dochodzeniem norweskiego organu ochrony danych, doprowadziło to do naruszenia danych, ponieważ władze miasta nie zapewniły standardowych procedur zgodnego z zasadami ochrony prywatności korzystania z aplikacji w szkołach. Na przykład nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne ze względu na potencjalne ryzyko dla uczniów. Ponadto nie wdrożono odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, aby zapewnić ochronę przetwarzania danych.Link
607HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-231000Laboratorio Octogón, S.L.Art. 5 (1) c) RODOWykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych).Link
606RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-03-232000S.C. Medicover S.R.L.Art. 32 (1) b), (2), (4) RODOW lutym rumuński organ ochrony danych (ANSPDCP) zamknął dochodzenie przeciwko S.C. Medicover S.R.L. i stwierdził naruszenie art. 32 (1) b), (2), (4) RODO. Organ ochrony danych nałożył na administratora grzywnę w wysokości 2.000 EUR. Dochodzenie zostało wszczęte po kolejnych zgłoszeniach administratora dotyczących naruszeń danych osobowych związanych z nieuprawnionym ujawnieniem i nieuprawnionym dostępem do danych osobowych, takich jak imię i nazwisko, adres do korespondencji, adres e-mail i dane dotyczące zdrowia osób, których dane dotyczą. W kilku przypadkach dokumenty zawierające dane osobowe zostały wysłane do niewłaściwych odbiorców. Organ ochrony danych ustalił, że do incydentów doszło z powodu niewdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych.
Link
605HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1660000Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone Hiszpania grzywnę w wysokości 60 000 EUR. Osoba, której dane dotyczą, była klientem administratora kilka lat temu. Po otrzymaniu od administratora SMS-em przypomnień o płatności za usługi, których nigdy nie zamówiła, poinformowała o tym administratora i poprosiła o wyjaśnienie i usunięcie swoich danych. Pomimo pozytywnej odpowiedzi, nadal otrzymywała te same SMS-y. Osoba, której dane dotyczą, złożyła następnie dwie skargi do hiszpańskiego organu ochrony danych przeciwko Vodafone Hiszpania. W obu przypadkach administrator zapewnił, że poprawił przyczynę nieprawidłowej wysyłki i usunął dane osoby, której dane dotyczą. Mimo to korespondencja była kontynuowana, co skłoniło osobę, której dane dotyczą, do złożenia trzeciej skargi. Pierwotna grzywna w wysokości 100 000 EUR została obniżona do 60 000 EUR w związku z natychmiastową płatnością i przyznaniem się do winy.
Link
604HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-183000 Asesoría Alpi-Clúa S.L.Art. 5 (1) f) RODO, Art. 32 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Asesoría Alpi-Clúa S.L. grzywnę w wysokości 3.000 euro. Klientka zażądała od administratora dokumentów w celu przedłożenia ich organom podatkowym. Administrator przesłał jej wiadomość e-mail, która jednak nie zawierała dokumentów, o które prosiła, lecz dokumenty pochodzące od innego klienta.
Link
603HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-152000Heredad de Urueña S.A.Art. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał Heredad de Urueña S.A. grzywną w wysokości 2.000 EUR, ponieważ jej polityka przetwarzania danych osobowych nie spełniała wymogów art. 13 RODO. Ponadto administrator nie zamieścił na swojej stronie internetowej polityki prywatności informującej użytkowników o przetwarzaniu ich danych osobowych.
Link
602HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-153000Stowarzyszenie kulturalneArt. 6 (1) a) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na stowarzyszenie kulturalne. Administrator opublikował zdjęcia czteroletniego dziecka na różnych grupach chińskiego komunikatora WeChat bez zgody rodziców dziecka. Na zdjęciach widać dziecko biorące udział w lekcjach języka chińskiego prowadzonych przez administratora. Mimo że administrator próbował ukryć twarz dziecka za pomocą cyfrowej naklejki, była ona nadal częściowo widoczna. Administrator nie zareagował również na prośbę rodziców o usunięcie zdjęć i przeprosił ich.
Link
601BelgiaGegevensbeschermingsautoriteit (GBA)2021-03-151000SzkołaArt. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 8 RODOBelgijski organ ochrony danych (APD) ukarał szkołę grzywną w wysokości 1 000 EUR. Administrator danych przeprowadził ankietę na temat samopoczucia uczniów za pośrednictwem systemu smartschooling. Organ ochrony danych stwierdził, że administrator nie uzyskał zgody rodziców nieletnich uczniów i naruszył zasadę minimalizacji danych. Pierwotna grzywna w wysokości 2.000 EUR została obniżona do 1.000 EUR po tym, jak administrator odwołał się od decyzji APD.
Link
600WłochyGarante per la protezione dei dati personali (Garante)2021-01-1475000Regione LazioArt. 5 (2) RODO, Art. 28 RODOWłoski organ ochrony danych (Garante) ukarał Regione Lazio (Region Lacjum) grzywną w wysokości 75.000 euro za brak wskazania Capodarco, spółki, której w 1999 r. powierzył zarządzanie rezerwacjami na usługi zdrowotne, jako podmiotu przetwarzającego dane. Administrator danych nie zawarł z Capodarco umowy, która regulowałaby jej rolę jako podmiotu przetwarzającego dane zgodnie z wymogami prawa ochrony danych. W związku z tym do 2019 r. nie została zawarta właściwa umowa o powierzonym przetwarzaniu, co oznaczało, że dane były przetwarzane niezgodnie z prawem przez okres około 20 lat.Link
599WłochyGarante per la protezione dei dati personali (Garante)2021-02-1175000Ministero dello Sviluppo Economico (Ministerstwo Rozwoju)Art. 5 (1) a), b), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 37 (1), (7) RODOWłoski organ ochrony danych (Garante) ukarał Ministerstwo Rozwoju Gospodarczego (Ministero dello Sviluppo Economico) grzywną w wysokości 75 tys. euro za niepowołanie do 28 maja 2018 r. inspektora ochrony danych oraz za opublikowanie na swojej stronie internetowej danych osobowych ponad pięciu tysięcy menedżerów. We Włoszech małe i średnie przedsiębiorstwa, które wcześniej otrzymały stosowny voucher, mogły za pośrednictwem administratora zarezerwować porady dotyczące procesów technologicznych i cyfrowych od doświadczonych specjalistów biznesowych. Włoski organ ochrony danych wszczął dochodzenie przeciwko administratorowi po tym, jak okazało się, że dane osobowe ponad pięciu tysięcy menedżerów, którzy zgłosili się do odpowiednich konsultacji, były swobodnie dostępne na jego stronie internetowej. Dane osobowe, takie jak imię i nazwisko, numer identyfikacji podatkowej, adres e-mail, pełny życiorys, a w niektórych przypadkach kopia dowodu osobistego i karty zdrowia osób, których dane dotyczą, były publicznie widoczne i mogły być swobodnie pobierane. Na stronie internetowej można było również pobrać uchwałę dyrekcji, która zatwierdziła listę, zawierającą dane i informacje o wszystkich dyrektorach. Organ ochrony danych stwierdził, że przetwarzanie danych było niezgodne z prawem oraz że uchwała dyrekcji, na którą powołał się administrator, nie stanowiła odpowiedniej podstawy prawnej dla ujawnienia danych online.
Link
598WłochyGarante per la protezione dei dati personali (Garante)2020-12-172000Ordine degli Assistenti Sociali della Regione LazioArt. 12 (3), (4) RODOWłoski organ ochrony danych osobowych (Garante) nałożył na Ordine degli Assistenti Sociali della Regione Lazio grzywnę w wysokości 2 000 EUR. W dniu 27 listopada 2019 r. osoba, której dane dotyczą, wysłała wiadomość e-mail do administratora z zapytaniem, jakie dane są przetwarzane w odniesieniu do niej i jej córek. Po początkowym nieotrzymaniu odpowiedzi na swój wniosek o udzielenie informacji, w dniu 10 stycznia 2020 r. osoba, której dane dotyczą, złożyła skargę na administratora do włoskiego organu ochrony danych. Jego wniosek o udzielenie informacji został następnie spełniony w dniu 17 czerwca 2020 r., ale bez wyjaśnienia opóźnienia, a w szczególności początkowego braku odpowiedzi na wniosek.
Link
597HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-155000Certime S.A.Art. 5 (1) b) RODOHiszpański organ ochrony danych (AEPD) nałożył na Certime S.A. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, odnowiła swoje prawo jazdy u administratora w 2009 r. Po zmianie adresu w 2018 r., w 2019 r. otrzymała pocztę od administratora na swój nowy adres bez poinformowania administratora o zmianie adresu. W liście administrator poinformował osobę, której dane dotyczą, że jej prawo jazdy wkrótce straci ważność. W odpowiedzi na zapytanie osoby, której dane dotyczą, skąd pochodzą jej nowe dane kontaktowe, administrator poinformował ją, że jego baza danych jest regularnie aktualizowana z wykorzystaniem danych uzyskanych od hiszpańskiego urzędu ds. transportu DGT (Dirección General de Tráfico). Ponieważ osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych, złożyła skargę na administratora danych do hiszpańskiego organu ochrony danych. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że przedsiębiorstwo rzeczywiście zawarło umowę z DGT. DGT wyjaśniła jednak, że celem przetwarzania danych kontaktowych w ramach tej umowy było zapewnienie dokładności adresu przy odnawianiu prawa jazdy lub przy wydawaniu orzeczeń lekarskich, tak aby mogły być one wysyłane na właściwy adres. Niemniej jednak osoby, których dane dotyczą, muszą zażądać takiej zmiany adresu i w konsekwencji wyrazić na nią zgodę. Ponieważ kryteria te nie zostały spełnione w tym konkretnym przypadku, organ ochrony danych stwierdził naruszenie zasady ograniczenia celu.
Link
596HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1212000NBQ Technology, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na NBQ Technology, S.A.U. grzywnę w wysokości 20 000 EUR. Złodziej tożsamości uzyskał dane osoby trzeciej bez upoważnienia i złożył wniosek o mikrokredyt u administratora danych z wykorzystaniem tożsamości osoby, której dane dotyczą. Następnie administrator zatwierdził pożyczkę. Ponieważ dane przetwarzane w trakcie udzielania pożyczki nie należały do odbiorcy pożyczki, lecz do osoby, której dane dotyczą, AEPD stwierdził, że administrator nie miał podstawy prawnej do przetwarzania tych danych. Przetwarzanie danych było zatem niezgodne z prawem i doszło do naruszenia art. 6 (1) RODO zostało potwierdzone. Pierwotna grzywna w wysokości 20 000 EUR została obniżona do 12 000 EUR ze względu na natychmiastową zapłatę i uznanie długu.
Link
595HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-121500Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 1.500 euro. Administrator zainstalował kamerę nadzoru wideo skierowaną w stronę drogi publicznej i obejmującą część wspólnego patio kompleksu apartamentów. Ponadto, w widocznym miejscu nie było żadnego znaku informującego o obecności kamery (osoba odpowiedzialna, cel, itp.). Wreszcie, administrator nie uzyskał zgody pozostałych lokatorów przed uruchomieniem kamery.Link
594HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-118150000Vodafone España, S.A.U.Art. 28 RODO, Art. 24 RODO, Art. 44 RODO, Art. 21 LSSI, Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDDOd 2018 r. hiszpański organ ochrony danych (AEPD) otrzymał łącznie 191 skarg przeciwko Vodafone España, S.A.U. Osoby, których dane dotyczą, skarżyły się na połączenia reklamowe i wiadomości (e-mail i SMS) wykonywane w imieniu Vodafone España w ramach kampanii marketingowych. Kontakty nawiązywano bez uprzedniej zgody osób, których dane dotyczą, i kontynuowano je nawet po skorzystaniu przez nie z prawa do sprzeciwu. Ponadto, z wieloma osobami, których dane dotyczyły, kontaktowano się, mimo że ich numery znajdowały się na liście Robinsona. AEPD wyjaśnia, że obciążająco wzięła pod uwagę fakt, że Vodafone España regularnie otrzymywała grzywny w ponad 50 przypadkach od stycznia 2018 r. do lutego 2020 r., a także fakt, że w ciągu niespełna dwóch lat do AEPD wpłynęły 162 skargi. Grzywna składa się z następujących elementów: 4 mln EUR za naruszenie Art. 28 RODO i Art. 24 RODO; 2 miliony euro za naruszenie art. 44 RODO; 150 000 EUR za naruszenie Art. 21 LSSI; oraz 2 miliony euro za naruszenie Art. 48 (1) b) LGT, Art. 21 RODO oraz Art. 23 LOPDGDD.
Link
593HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1090000Xfera Moviles S.A.Art. 5 (1) f) RODO, Art. 17 RODO, Art. 32 RODOHiszpański organ ochrony danych (AEPD) nałożył na Xfera Móviles S.A. grzywnę w wysokości 150.000 EUR. Organ ochrony danych otrzymał dwie skargi od osoby, której dane dotyczą. Pierwsza skarga dotyczyła wysyłania reklamowych wiadomości SMS, które osoba, której dane dotyczą, otrzymywała od administratora, mimo że sprzeciwiła się temu i zażądała usunięcia swoich danych. Według osoby, której dane dotyczą, otrzymała ona ponad 60 wiadomości SMS w ciągu 30 dni. Druga skarga została złożona przez osobę, której dane dotyczą, ponieważ administrator wielokrotnie wysyłał jej wiadomości zawierające poufne dane osoby trzeciej. Dotyczyło to danych logowania innego klienta do platformy firmowej. Na portalu tym można było przeglądać między innymi dane osobowe oraz faktury. Mimo że osoba, której dane dotyczą, poinformowała o tym przedsiębiorstwo, nie zaprzestano nieprawidłowej wysyłki. Pierwotna grzywna w wysokości 150 000 EUR została zmniejszona do 90 000 EUR w związku z natychmiastową zapłatą i przyznaniem się do winy.
Link
592HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1050000Equifax Iberica S.L.Art. 6 (1) f) RODOHiszpański organ ochrony danych (AEPD) ukarał Equifax Iberica S.L. grzywną w wysokości 50.000 EUR za naruszenie art. 6 (1) f) RODO. Administrator danych wpisał osobę, której dane dotyczą, do rejestru dłużników bez uprzedniego poinformowania jej o tym. Osoba, której dane dotyczą, miała zaległości w zapłacie czynszu u swojego właściciela, który wcześniej wysłał jej odpowiednie wezwania do zapłaty. Sam administrator danych również wysłał do osoby, której dane dotyczą, zawiadomienia wzywające ją do spłaty zadłużenia. Nie zawierały one jednak żadnej informacji, że w przypadku braku zapłaty osoba, której dane dotyczą, zostanie wpisana do rejestru dłużników. Również umowa najmu zawarta z osobą, której dane dotyczą, nie zawierała żadnych postanowień w tym zakresie, co doprowadziło organ ochrony danych do wniosku, że administrator nie miał uzasadnionego interesu w rozumieniu RODO, a tym samym przetwarzał dane osobowe osoby, której dane dotyczą, bez podstawy prawnej.
Link
591WłochyGarante per la protezione dei dati personali (Garante)2021-02-25300000Istituto Nazionale Previdenza Sociale (INPS)Art. 5 (1) a), c), d) RODO, Art. 25 RODO, Art. 35 RODOWłoski organ ochrony danych (Garante) nałożył na Istituto Nazionale Previdenza Sociale (INPS) grzywnę w wysokości 300 000 EUR. Włoski Krajowy Instytut Zabezpieczenia Społecznego miał za zadanie prowadzenie dochodzeń w sprawie nadużyć finansowych związanych z funduszami pomocowymi COVID-19. Po tym, jak doniesienia prasowe poruszyły problemy związane z praktykami przetwarzania danych stosowanymi przez instytut w zakresie weryfikacji wniosków polityków, włoski organ ochrony danych wszczął dochodzenie przeciwko INPS w sierpniu 2020 r. W trakcie tego dochodzenia organ ochrony danych stwierdził kilka naruszeń. Administrator zgromadził dane o dziesiątkach tysięcy polityków ze źródeł publicznych i porównał je z danymi od kandydatów. Czyniąc to, administrator nie zadbał jednak o to, aby dane były zbierane wyłącznie od tych polityków, którzy kwalifikowali się do otrzymania środków pomocowych. W ten sposób administrator naruszył zasady legalności, rzetelności i przejrzystości określone w RODO. Ponadto, administrator naruszył zasadę minimalizacji danych, inicjując kontrole zwrotów nawet w przypadku osób, których wnioski zostały odrzucone i które w związku z tym nigdy nie otrzymały płatności. Co więcej, administrator nie ocenił odpowiednio ryzyka związanego z tak wrażliwą operacją przetwarzania danych jak operacja dotycząca wniosków o świadczenia socjalne, ponieważ nie przeprowadził oceny skutków dla praw i wolności osób, których dane dotyczą.
Link
590WłochyGarante per la protezione dei dati personali (Garante)2020-12-1710000Comune di LuinoArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 37 (1) a) RODO, Art. 37 (7) RODOWłoski organ ochrony danych (Garante) nałożył na gminę Luino grzywnę w wysokości 10.000 euro. Administrator opublikował dokument zawierający dane osobowe członka rady gminy. Oprócz danych osobowych dokument ten zawierał również informacje o postępowaniu w sprawie skargi złożonej na niego przez burmistrza. Ten swobodnie dostępny dokument można było pobrać bez dalszego uwierzytelniania. Ponadto gmina nie wyznaczyła inspektora ochrony danych i nie przekazała organowi ochrony danych jego danych kontaktowych.
Link
589WłochyGarante per la protezione dei dati personali (Garante)2020-12-174000Comune di Santo Stefano BelbArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODOWłoski organ ochrony danych (Garante) nałożył na gminę Santo Stefano Belbo grzywnę w wysokości 4.000 euro. Powodem było to, że administrator danych opublikował na swojej stronie internetowej dwa dokumenty dotyczące ugody prawnej z osobą, której dane dotyczą. Dokumenty te były nie tylko swobodnie dostępne, ale można je było również pobrać. Dokumenty te zawierały dane osobowe i informacje o osobie, której dane dotyczą, w tym - oprócz imienia i nazwiska - potwierdzenie uiszczenia kosztów sądowych, kod IBAN jej rachunku czekowego, informacje o pozwie i kwotach zapłaconych na rzecz osoby, której dane dotyczą.
Link
588HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-108000Filigrana Comunicación S.L.U.Art. 6 (1) RODO, Art. 13 GPDR, Art. 14 RODOHiszpański organ ochrony danych (AEPD) ukarał Filigrana Comunicación S.L.U. grzywną w wysokości 8.000 EUR. Administrator prowadzi stronę internetową, na której znajdują się informacje o stażach oferowanych przez hiszpańskie Ministerstwo Edukacji i Sportu. Ponadto na stronie tej publikowane są wyniki różnych konkursów organizowanych przez ministerstwo. Administrator zebrał i opublikował dane uczestników z publicznie dostępnych źródeł bez uprzedniego uzyskania zgody osób, których dane dotyczą. Administrator nie dopełnił również swoich obowiązków informacyjnych wobec tych osób zgodnie z art. 13 RODO i art. 12 ust. 1 lit. a). 13 RODO i art. 14 RODO.
Link
587HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1010000Hospital Campogrande DEArt. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na Hospital Campogrande DE grzywnę w wysokości 10 000 EUR. Pacjent złożył skargę przeciwko administratorowi danych do organu ochrony danych. Administrator przeprowadził u pacjenta w dniu 05 września 2019 r. badanie MRI z powodu urazu prawego kolana. Koszt badania został pokryty z prywatnego ubezpieczenia zdrowotnego pacjenta. Ze względu na uraz związany z pracą, w dniu 27 września 2019 r. konieczne było wykonanie kolejnego badania MRI tego samego kolana. Chociaż drugi rezonans magnetyczny został wykonany w innym szpitalu, aczkolwiek należącym do grupy korporacyjnej, system szpitalny powiązał również pierwszy, prywatnie zorganizowany rezonans magnetyczny z rekordem pacjenta w drugim szpitalu. Pierwszy rezonans magnetyczny został wykonany w sieci szpitali bez żadnego uzasadnienia medycznego. Okazało się to bardzo niekorzystne dla pacjenta, gdy po przedstawieniu drugiego MRI lekarz zakładowy poinformował go, że z tą szkodą będzie musiał zwrócić się do swojego prywatnego lekarza lub do ubezpieczenia społecznego, ponieważ zdarzenie nie może być uznane za wypadek przy pracy. Uzasadnił to istnieniem pierwszego rezonansu magnetycznego, który miał przyczynę pozazawodową.
Link
586NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2021-03-10300000VfB Stuttgart 1893 AGArt. 5 (2) RODOOrgan ochrony danych osobowych z Badenii-Wirtembergii nałożył na klub piłkarski VfB Stuttgart 1893 AG grzywnę w wysokości 300.000 euro za nieumyślne naruszenie obowiązku ochrony danych osobowych na podstawie art. 5 (2) RODO. Administrator z własnej inicjatywy wspierał działania dochodzeniowe i wyjaśniające prowadzone przez organ ochrony danych i szeroko współpracował z tym organem.
Link
585HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-0915000Stowarzyszenie właścicieli domówArt. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie właścicieli domów grzywnę w wysokości 15.000 euro. Administrator danych publicznie umieścił w windzie budynku, w którym mieszkali uczestnicy, zapisy z zebrania właścicieli domów. Z zapisów można było uzyskać nazwiska, piętra i numery mieszkań uczestników zebrania, a także piętra i numery mieszkań sąsiadów, na których poskarżyli się uczestnicy podczas zebrania. Kontroler uzasadnił publiczne ogłoszenie faktem, że wyniki tego spotkania dotyczyły planowanych działań prawnych przeciwko niektórym mieszkańcom. Mieli oni zostać o tym poinformowani, aby nie mogli później twierdzić, że nie otrzymali odpowiednich powiadomień. Zdaniem RODO stanowi to naruszenie art. 5 (1) f) RODO, który odnosi się do zasad integralności i poufności danych osobowych.
Link
584PolskaUrząd ochrony danych osobowych (UODO)2021-01-1130000Enea S.A.Art. 33 (1) RODOUODO ukarał Enea S.A. grzywną w wysokości 30.000 EUR za niezgłoszenie przez administratora naruszenia ochrony danych osobowych, co stanowiło naruszenie art. 33 (1) RODO. UODO otrzymał informację o naruszeniu ochrony danych osobowych od osoby, która stała się nieuprawnionym odbiorcą danych osobowych. Naruszenie polegało na przesłaniu wiadomości e-mail z niezaszyfrowanym, niezabezpieczonym hasłem załącznikiem, który zawierał dane osobowe kilkuset osób. Nadawcą wiadomości był pracownik administratora danych objętego sankcjami.
LinkKara z RODO dla ENEA S.A. - omówienie
583PolskaUrząd ochrony danych osobowych (UODO)2021-01-154600Anwara Sp. z.o.o.Art. 31 RODO, Art. 58 (1) a) RODOPolski organ ochrony danych (UODO) ukarał firmę Anwara Sp. z.o.o. grzywną w wysokości 4.600 euro. Administrator danych nie współpracował z organem ochrony danych i nie przekazał mu wszystkich informacji niezbędnych do przeprowadzenia postępowania wyjaśniającego. Administrator dwukrotnie zignorował pisemne prośby o wyjaśnienia dotyczące procedury rozpatrywania skargi złożonej przez osobę fizyczną. Mimo że pisma zostały prawidłowo wysłane, spółka nie przedstawiła powodów, dla których tego nie zrobiła.
Link
582RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-03-04500Osoba fizyczna zajmująca stanowisko Sekretarza Generalnego partii politycznej w BukareszcieArt. 32 (1), (2) RODO, Art. 58 (1) a), e) RODORumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 500 EUR na osobę fizyczną pełniącą funkcję sekretarza generalnego partii politycznej w Bukareszcie. Administrator opublikował na portalu społecznościowym listę dziesięciu zwolenników partii, która zawierała dane osobowe, takie jak nazwiska, podpisy, narodowość, daty urodzenia, adresy pocztowe. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Ponadto administrator danych nie współpracował w wystarczającym stopniu z organem ochrony danych podczas dochodzenia.
Link
581CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-03-0340000Urząd ds. Energii Elektrycznej CypruArt. 6 (1) RODO, Art. 9 (2) RODOCypryjski organ ochrony danych nałożył na Urząd ds. Energii Elektrycznej Cypru grzywnę w wysokości 40.000 EUR. Administrator danych wykorzystywał zautomatyzowany system oparty na tzw. Brad-Factor do zarządzania, monitorowania i kontrolowania nieobecności pracowników z powodu choroby przy użyciu oceny narzędziowej. Organ ochrony danych stwierdził, że taki mechanizm oceny nie był objęty cypryjskim prawem pracy, a zatem został zastosowany niezgodnie z prawem. Ponadto należało zapewnić osobom, których dane dotyczą, możliwość niewyrażenia zgody na takie zautomatyzowane przetwarzanie ich danych osobowych.
Link
580CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-03-036000KEPIDES (firma z branży nieruchomości)Art. 32 (4)Cypryjski organ ochrony danych nałożył na KEPIDES (spółkę zajmującą się obrotem nieruchomościami) grzywnę w wysokości 6.000 EUR. Administrator danych przedłożył komisji parlamentarnej listę nabywców zarządzanych przez siebie nieruchomości. Nie dokonał on jednak anonimizacji listy, w wyniku czego przekazane zostały nazwiska osób, których dane dotyczą.
Link
579CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-03-0310000Cypryjski urząd ds. rejestracji nieruchomościArt. 12 RODO, Art. 15 RODO, Art. 31 RODO, Art. 58 (1) e) RODOCypryjski organ ochrony danych nałożył na cypryjski urząd rejestracji nieruchomości grzywnę w wysokości 10 000 EUR. Osoba, której dane dotyczą, złożyła pisemny wniosek do administratora danych, żądając różnych informacji dotyczących jej osobiście, korzystając z prawa dostępu przyznanego jej na mocy art. 15 RODO. Po tym jak administrator danych nie odpowiedział na wniosek o udzielenie informacji, osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. W trakcie późniejszego dochodzenia prowadzonego przez IOD administrator nie odpowiedział również na prośby IOD o ustosunkowanie się do zarzutów.
Link
578CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-03-0325000Hellenic BankArt. 5 (1) e), f) RODO, Art. 32 (1) b), c) RODO, Art. 33 (1) RODOCypryjski organ ochrony danych nałożył na Hellenic Bank grzywnę w wysokości 25 tys. euro. Bank ten w 2015 r. zamknął jeden ze swoich oddziałów w mieście Nikozja. Podczas wyprowadzki z pomieszczenia zapomniano o sejfie zawierającym stare dokumenty wciąż obecnych klientów, zainstalowanym w jednej ze ścian. Ponieważ w kolejnych latach budynek stał pusty, kontroler dowiedział się o tym incydencie dopiero wtedy, gdy nieruchomość została ponownie wynajęta po raz pierwszy w 2019 roku. Nowy najemca odnalazł sejf i poinformował o tym kontrolera. Pracownicy banku odzyskali wówczas dokumenty i zgłosili naruszenie ochrony danych do cypryjskiego organu ochrony danych. Organ ochrony danych ostatecznie stwierdził, że administrator danych naruszył art. 5 (1) e), f) RODO, Art. 32 (1) b), c) RODO oraz art. 33 (1) RODO.
Link
577HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-02200000I-DE Redes Eléctricas Inteligentes, S.A.UArt. 5 (1) b), c) RODO, Art. 6 (1) b) RODOHiszpański organ ochrony danych (AEPD) nałożył na I-DE Redes Eléctricas Inteligentes, S.A.U. grzywnę w wysokości 200 000 EUR. Organ ochrony danych otrzymał skargi od Waitum, S.L. i Servicios Aby 2018, S.L., ponieważ ich klienci otrzymali pisma od administratora danych. Obie firmy przekazały wcześniej dane osobowe swoich klientów administratorowi na podstawie umowy o dostępie do sieci zawartej z administratorem. Na mocy tej umowy obie spółki działały jako przedstawiciele swoich klientów, którym administrator dostarczał energię elektryczną. W przesłanych pismach administrator wspomniał między innymi o domniemanych naruszeniach umowy i braku płatności ze strony przedsiębiorstw na rzecz administratora. W toku postępowania wyjaśniającego organ ochrony danych ustalił, że wysłanie tych pism nie było ani związane, ani konieczne do wykonania odpowiedniej umowy. Administrator naruszył zatem zasady ograniczenia celu i minimalizacji danych, a zatem wysłanie tych pism stanowiło niezgodne z prawem przetwarzanie danych osobowych klientów.
Link
576LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2021-03-0215000Registrų Centras (Państwowe Centrum Rejestrów Przedsiębiorstw)Art. 32 (1) b), c) RODOLitewski organ ochrony danych (VDAI) nałożył na Registrų Centras grzywnę w wysokości 15 000 EUR. Administrator danych jest spółką, która zarządza kilkoma litewskimi rejestrami. Doszło do naruszenia danych, które dotknęło 22 z tych rejestrów. W trakcie dochodzenia, organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Środki wdrożone przez administratora były wyraźnie niewystarczające do zapewnienia ciągłej integralności, dostępności i odporności danych, ani do przywrócenia dostępności danych po incydentach.
Link
575NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia-Anhalt2021-03-03200Osoba fizycznaArt. 5 RODO, Art. 32 RODOOrgan ochrony danych w Saksonii-Anhalt nałożył na osobę fizyczną grzywnę w wysokości 200 EUR. Administrator robił zdjęcia pojazdów, a w niektórych przypadkach także ich kierowców, i przesyłał je w niezaszyfrowanej formie pocztą elektroniczną do miasta Magedburg w ramach zgłoszeń naruszeń przepisów ruchu drogowego.
Link
574HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-029000NieznanyArt. 6 RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na operatora strony internetowej grzywnę w wysokości 9.000 euro. Administrator opublikował na swojej stronie internetowej zdjęcia osoby, której dane dotyczą, bez zgody tej osoby. Ponadto, przedmiotowa strona internetowa nie zawierała oświadczenia o ochronie prywatności. Grzywna składa się z następujących elementów: 5.000 EUR za naruszenie art. 6 RODO oraz 4.000 EUR za naruszenie art. 13 RODO.
Link
573NorwegiaDatatilsynet2021-03-0224400Nieznany Art. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał firmę grzywną w wysokości 250.000 NOK (24.400 EUR). Administrator danych nakazał pracownikowi skonfigurowanie automatycznego przekierowania jego pracowniczego konta e-mail na wspólne konto firmowe. Jako powód podano chęć usprawnienia działalności przedsiębiorstwa. Inspektor ochrony danych stwierdził, że administrator nie miał podstawy prawnej, aby nakazać takie automatyczne przekierowanie. W związku z tym działał on niezgodnie z prawem.
Link
572LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2021-02-263000 IT sprendimai sėkmeiArt. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODOLitewski organ ochrony danych (VDAI) nałożył grzywnę w wysokości 3 000 EUR na spółkę "IT sprendimai sėkmei". Organ ochrony danych wszczął dochodzenie w sprawie aplikacji do kwarantanny wprowadzonej na Litwie w czasie pandemii COVID-19 wiosną 2020 r. Administrator opracował aplikację, która była następnie wykorzystywana przez krajowy organ ochrony danych. Administrator opracował tę aplikację, która następnie była wykorzystywana przez litewską krajową służbę zdrowia. W trakcie dochodzenia organ ochrony danych ustalił, że w okresie użytkowania aplikacji dane łącznie 677 osób fizycznych były w różnym stopniu przetwarzane. Aplikacja była w stanie gromadzić dane takie jak nazwisko, adres i numer telefonu osób, których dane dotyczą. Inspektor ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne, w szczególności ze względu na fakt, że aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Organ ochrony danych stwierdził ponadto, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji.
Link
571LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2021-02-2612000Nacionaliniam visuomenės sveikatos centrui (NVSC) (Narodowe Centrum Zdrowia Publicznego podległe Ministerstwu Zdrowia)Art. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODOLitewski organ ochrony danych (VDAI) nałożył grzywnę w wysokości 12 000 EUR na Litewską Narodową Służbę Zdrowia (NVSC). Organ ochrony danych wszczął dochodzenie w sprawie aplikacji do kwarantanny wprowadzonej na Litwie podczas pandemii COVID-19 wiosną 2020 r. Spółka informatyczna "IT sprendimai sėkmei" opracowała aplikację, która była następnie wykorzystywana przez NVSC. W trakcie dochodzenia organ ochrony danych ustalił, że w okresie korzystania z aplikacji dane łącznie 677 osób fizycznych były w różnym stopniu przetwarzane. Aplikacja była w stanie gromadzić takie dane, jak nazwisko, adres i numer telefonu osób, których dane dotyczą. Inspektor ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne, w szczególności ze względu na fakt, że aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Organ ochrony danych stwierdził ponadto, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji.
Link
570IrlandiaData Protection Commission (DPC)2020-08-1285000Tusla Child and Family AgencyArt. 32 (1) RODOIrlandzki organ ochrony danych (DPC) ukarał Tusla Child and Family Agency grzywną w wysokości 85 000 euro. Administrator zgłosił do irlandzkiego organu ochrony danych 71 naruszeń ochrony danych, które miały miejsce w okresie od 25 maja do 16 listopada 2018 r. i dotyczyły nieuprawnionego dostępu do danych osobowych przetwarzanych przez administratora. Po przeprowadzeniu szerokiego dochodzenia, organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych, a tym samym naruszył art. 32 ust. 1 RODO.
Link
569WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-1022200Budapesti Műszaki és Gazdaságtudományi Egyetem (Uniwersytet Techniczno-Ekonomiczny w Budapeszcie)Art. 5 (1) a), b), c) RODO, Art. 6 (1) RODO, Art. 9 (2) RODO, Art. 12 RODO, Art. 13 RODOWęgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 22 200 euro na Uniwersytet Technologii i Ekonomii w Budapeszcie. NAIH stwierdził, że administrator danych przetwarzał dane osobowe niezgodnie z prawem w trakcie kontroli wniosków o stypendia socjalne. Między innymi dane były przetwarzane bez podstawy prawnej, a w niektórych przypadkach przetwarzane były dane szczególnie wrażliwe, chociaż nie było to konieczne do oceny wniosków o stypendia.
Link
568WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-1697150NieznanyArt. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 9 (1) RODO, Art. 12 RODOWęgierski organ ochrony danych (NAIH) nałożył na instytucję kredytową grzywnę w wysokości 97 150 EUR. Dwoje rodziców skontaktowało się z węgierskim organem ochrony danych w związku z przetwarzaniem przez ich instytucję kredytową danych osobowych dotyczących "pożyczki motywacyjnej z tytułu urodzenia dziecka". Para zwróciła się o zawieszenie spłaty, w związku z czym musiała udowodnić, że płód ma co najmniej 12 tygodni. Aby poświadczyć ten fakt, kontroler skopiował całą ich książeczkę ciąży. NAIH uznał, że administrator naruszył zasadę minimalizacji danych, kopiując całą książeczkę ciąży, która zawierała nadmierną ilość danych dotyczących zdrowia, mimo że nie było to konieczne ze względu na cel przetwarzania. Z tego powodu NAIH ostatecznie stwierdził, że administrator nie miał podstawy prawnej do tak szerokiego przetwarzania danych.Link
567HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-2412000 Avilon Center 2016 S.L.Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDDHiszpański organ ochrony danych (AEPD) nałożył na Avilon Center 2016 S.L. grzywnę w wysokości 20.000 EUR. Osoba, której dane dotyczyły, otrzymywała od administratora telefony reklamowe, mimo że osoba ta była wpisana na listę osób wykluczonych z reklamy Robinsona. Pierwotna grzywna w wysokości 20.000 EUR została obniżona do 12.000 EUR dzięki natychmiastowej płatności i uznaniu długu.Link
566ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2021-02-22NieznanaFirma ochroniarska (nazwa w tej chwili niedostępna)Art. 32 (1) b), d) RODO, Art. 32 (2), (4) RODOAdministrator danych korzystający z usług firmy ochroniarskiej zgłosił do organu ochrony danych osobowych naruszenie danych osobowych, które nastąpiło po tym, jak pracownik firmy ochroniarskiej nagrał telefonem materiał z monitoringu i udostępnił go osobie trzeciej. Nagranie to zostało ostatecznie udostępnione na portalach społecznościowych i w mediach. Urząd ochrony danych ustalił, że firma ochroniarska jako podmiot przetwarzający dane umożliwiła naruszenie, nie utrzymując odpowiednich i wystarczających środków technicznych i organizacyjnych w zakresie bezpieczeństwa danych osobowych przez ponad dwa i pół roku. Ponadto podmiot przetwarzający nie przewidział ani nie wdrożył odpowiednich technicznych środków bezpieczeństwa po incydencie, aby zapobiec ryzyku lub je zminimalizować. Jedna osoba, której dane dotyczą, została w konsekwencji narażona na obelgi i ośmieszenie w oczach opinii publicznej, a firma ochroniarska nie podjęła żadnych działań w celu usunięcia nagrania z sieci społecznościowych i mediów. Wysokość grzywny nie jest na razie znana, ale organ ochrony danych wyjaśnił, jakie okoliczności obciążające wziął pod uwagę przy ustalaniu wysokości grzywny - (i) fakt, że podmiot przetwarzający nie dopełnił obowiązku poinformowania administratora o incydencie zgodnie z wymogami art. 33 ust. 2 RODO oraz (ii) fakt, że podstawową działalnością firmy jest zapewnianie ochrony fizycznej i technicznej, która obejmuje stosowanie monitoringu wizyjnego. DPA zauważył również, że ukarana grzywną firma ochroniarska jest jedną z wiodących firm w Chorwacji w tej działalności i jako taka powinna być właściwym podmiotem w zakresie dostarczania opinii, wytycznych, porad i proponowania rozwiązań dla kontrolerów w zakresie korzystania z systemu monitoringu wizyjnego oraz dawać przykład swojej pracy i zwracać na nią większą uwagę niż inni.
Link
565HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-121600Ripobruna 207, S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na Ripobruna 207, S.L. (restauracja) grzywnę w wysokości 2.000 EUR za nieuprawnione użycie dwóch kamer monitoringu, które nagrywały również część przestrzeni publicznej bez żadnego uzasadnionego powodu. Pierwotna grzywna w wysokości 2.000 EUR została obniżona do 1.600 EUR w celu natychmiastowej zapłaty.
Link
564PolskaUrząd ochrony danych osobowych (UODO)2021-02-1122200Krajowa Szkoła Sądownictwa i ProkuraturyArt. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 28 (3) RODO, Art. 32 (1), (2) RODOUODO nałożył na Krajową Szkołę Sądownictwa i Prokuratury grzywnę w wysokości 22 200 euro. UODO wszczął dochodzenie przeciwko administratorowi danych po tym, jak zgłosił on naruszenie ochrony danych na swojej stronie internetowej platformy szkoleniowej. Podczas testowej migracji na nową platformę dane ponad 50 000 osób zostały ujawnione w Internecie. Były to m.in. imiona i nazwiska, nazwy użytkowników, adresy pocztowe i e-mailowe, numery telefonów, jednostki i działy osób, których dane dotyczyły. UODO stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, aby zapewnić poufność przetwarzanych danych. Ponadto umowa, jaką administrator zawarł z firmą, której powierzono przetwarzanie danych, nie spełniała wymogów prawnych. Na przykład, umowa nie zawierała informacji o tym, jakie kategorie danych będą przetwarzane.
Link
563WłochyGarante per la protezione dei dati personali (Garante)2021-01-1418000Azienda Usl di BolognaArt. 5 (1) f) GDRP, Art. 9 RODOWłoski organ ochrony danych (Garante) ukarał Azienda Usl di Bologna grzywną w wysokości 18 000 EUR. W szpitalu prowadzonym przez administratora 49 pacjentów na oddziale onkologicznym otrzymało listy wypisowe zawierające szczegółowe informacje o terapii farmakologicznej, które pochodziły od innych pacjentów. Czternastu z tych pacjentów miało już dostęp do tej nieprawidłowej dokumentacji, zanim została ona skorygowana. Awaria nastąpiła w wyniku ręcznego błędu technika.
Link
562WłochyGarante per la protezione dei dati personali (Garante)2021-01-142000Poliambulatorio Talenti S.r.l.Art. 12 (3) RODO, Art. 15 RODOWłoski organ ochrony danych (Garante) ukarał spółkę Poliambulatorio Talenti S.r.l. grzywną w wysokości 2 000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do danych jej i jej córki.
Link
561WłochyGarante per la protezione dei dati personali (Garante)2021-01-2750000Azienda Ospedaliero Universitaria di ParmaArt. 5 (1) f) GDRP, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda Ospedaliero Universitaria di Parma grzywnę w wysokości 50 000 EUR. Administrator danych, szpital, zgłosił włoskiemu organowi ochrony danych dwa przypadki naruszenia ochrony danych, w których dane pacjentów zostały omyłkowo ujawnione osobom trzecim. W pierwszym przypadku rodzice znaleźli w aktach swojego małoletniego dziecka raport z badania mikrobiologicznego innego pacjenta. Raport ten ujawniał nazwisko, numer identyfikacji podatkowej, adres, datę urodzenia i różne dane dotyczące zdrowia osoby, której dane dotyczą. W drugim przypadku spadkobierca pacjenta otrzymał kartę zdrowia innego pacjenta, która zawierała imię i nazwisko oraz datę urodzenia, a także dane dotyczące stanu zdrowia osoby, której dane dotyczą.
Link
560WłochyGarante per la protezione dei dati personali (Garante)2021-01-2750000Azienda Ospedaliero Universitaria SeneseArt. 5 (1) f) GDRP, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda Ospedaliero Universitaria Senese grzywnę w wysokości 50 000 EUR. Administrator danych, szpital, zgłosił włoskiemu organowi ochrony danych, że raport medyczny pewnej pary został omyłkowo wysłany do niezaangażowanej osoby trzeciej. Raport zawierał informacje na temat konsultacji genetycznej oraz stanu zdrowia i życia seksualnego osób, których dane dotyczą. Zgodnie z oświadczeniem administratora danych incydent nastąpił z powodu błędu w pakowaniu listu.
Link
559WłochyGarante per la protezione dei dati personali (Garante)2021-01-2750000Azienda USL della RomagnaArt. 5 (1) a), d), f) RODO, Art. 9 RODO, Art. 32 (1) b) RODOWłoski organ ochrony danych (Garante) nałożył na Azienda USL della Romagna grzywnę w wysokości 50.000 EUR. Pacjentka po przybyciu na oddział ginekologiczny szpitala prowadzonego przez administratora (w celu dokonania aborcji) wyraźnie poprosiła administratora, aby nie udostępniał jej danych zdrowotnych osobom trzecim. Osobno zostawiła numer telefonu, aby można było się z nią skontaktować. Po wypisaniu pacjentki pielęgniarka próbowała się z nią skontaktować, aby poinformować ją o dalszym leczeniu. Pielęgniarka nie skorzystała jednak z podanego przez pacjentkę specjalnie w tym celu numeru telefonu, lecz z jej domowego numeru telefonu, który mogła uzyskać z kartoteki pacjenta. Kiedy jej mąż odebrał telefon zamiast pacjentki, pielęgniarka poinformowała go o jej leczeniu, wbrew prośbie pacjentki. Pomimo braku dalszych informacji medycznych, z rozmowy jasno wynikało, że osoba, której dane dotyczą, została przyjęta na ten oddział i ma być poddana dalszej terapii.
Link
558WłochyGarante per la protezione dei dati personali (Garante)2021-01-1430000Azienda sanitaria provinciale di EnnaArt. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda sanitaria provinciale di Enna grzywnę w wysokości 30.000 euro. Administrator przetwarzał dane biometryczne pracowników w celu rejestrowania ich obecności. Garante stwierdziła, że takie przetwarzanie nie było proporcjonalne i w związku z tym stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante ustaliła, że przetwarzanie danych biometrycznych odbywało się bez podstawy prawnej.
Link
557HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-161000The Washpoint S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na The Washpoint S.L. karę pieniężną w wysokości 1.000 EUR za brak polityki prywatności na stronie internetowej, co stanowi naruszenie art. 13 RODO.
Link
556WłochyGarante per la protezione dei dati personali (Garante)2021-01-148000Agenzia regionale protezione ambientale Campania (ARPAC)Art. 5 (1) f) RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 8 000 EUR na Regionalną Agencję Ochrony Środowiska Kampanii (ARPAC). Zewnętrzny dysk twardy zawierający dane osobowe został skradziony administratorowi danych. Zawierał on m.in. kopie dokumentów tożsamości, rejestry podatkowe i rejestry płac. W trakcie dochodzenia organ ochrony danych odkrył, że dysk twardy znajdował się w pomieszczeniu, do którego dostęp mieli wszyscy pracownicy administratora danych. Ponadto administrator nie utworzył kopii zapasowej danych, których dotyczyło naruszenie, w związku z czym zostały one nieodwracalnie utracone. W związku z powyższym, organ ochrony danych stwierdził, że administrator naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych.
Link
555NiderlandyAutoriteit Persoonsgegevens (AP)2021-02-11440000 OLVGArt. 32 RODONiderlandzki organ ochrony danych (AP) nałożył na amsterdamski szpital OLVG grzywnę w wysokości 440 tys. euro. Administrator danych podjął niewystarczające środki w latach 2018-2020, aby zapobiec dostępowi nieuprawnionych pracowników do dokumentacji medycznej. Administrator nie sprawdził odpowiednio, kto miał dostęp do jakiej kartoteki, ani nie zapewnił, że system komputerowy prezentował wystarczające bezpieczeństwo. Skutkowało to m.in. tym, że pracujący studenci i inni pracownicy mogli uzyskać dostęp do akt pacjentów bez konieczności wykonywania przez nich pracy. Oprócz dokumentacji medycznej, akta pacjentów zawierały również numery ubezpieczenia społecznego, adresy i numery telefonów osób, których dane dotyczą.
Link


Link
554HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-12120000Vodafone España, SAUArt. 5 RODO, Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. grzywnę w wysokości 200.000 euro. Były klient otrzymywał e-maile zawierające elektroniczne rachunki nawet po tym, jak rozwiązał umowę z administratorem, co prowadziło do przetwarzania danych osobowych bez wystarczającej podstawy prawnej. Osoba, której dane dotyczą, twierdzi, że nadal otrzymuje e-maile od administratora danych, mimo że już kilkakrotnie się temu sprzeciwiała, a administrator danych już dwukrotnie otrzymał grzywnę za dokładnie te same okoliczności. Grzywna nałożona tym razem jest tak wysoka, ponieważ naruszenie zostało zakwalifikowane przez hiszpański organ ochrony danych jako bardzo poważne. Między innymi dlatego, że było to już trzecie naruszenie w tej sprawie. Pierwotna grzywna w wysokości 200 000 EUR została obniżona do 120 000 EUR w związku z natychmiastową płatnością i uznaniem długu.
Link
553ŁotwaDatu Valsts Inspekcija (DVI)2021-02-0965000Lursoft IT SIAArt. 6 (1) RODOŁotewski organ ochrony danych (DSI) ukarał Lursoft IT SIA grzywną w wysokości 65 000 EUR za nielegalne przetwarzanie danych osobowych poprzez publikowanie dokumentów zawierających dane osobowe na swojej stronie internetowej "www.lursoft.lv". Organ ochrony danych stwierdził, że administrator udostępnił publicznie części niepublicznego rejestru firmy, które zawierały m.in. dane osobowe.
Link
552IrlandiaData Protection Commission (DPC)2020-12-1770000University College DublinArt. 5 (1) e), f) RODO, Art. 32 (1) RODO, Art. 33 (1) RODOIrlandzki organ ochrony danych (DPC) nałożył na University College Dublin (UCD) grzywnę w wysokości 70 000 EUR w związku z siedmioma przypadkami naruszenia danych osobowych. Nieupoważnione osoby trzecie mogły uzyskać dostęp do kont poczty elektronicznej UCD, a dane uwierzytelniające do kont poczty elektronicznej UCD zostały umieszczone w Internecie. Stwierdzono, że administrator danych nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony bezpieczeństwa danych podczas przetwarzania danych osobowych w ramach swojej usługi poczty elektronicznej. Ponadto administrator przechowywał niektóre dane osobowe na koncie poczty elektronicznej w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres dłuższy niż wymagany do celów, w których dane te były przetwarzane. Administrator nie powiadomił również w odpowiednim czasie DPC o naruszeniu ochrony danych osobowych.
Link
551PolskaUrząd ochrony danych osobowych (UODO)2021-01-0519000NieznanyArt. 34 (1), (2) RODO, Art. 58 (2) e) RODOUODO nałożył karę pieniężną w wysokości 19.000 euro na podmiot prowadzący szpital. Były pracownik bezprawnie skopiował z sieci komputerowej szpitala dane osobowe 100 pacjentów. Dane, które wyciekły, obejmowały numer ubezpieczenia społecznego, imię i nazwisko, datę urodzenia, adres i numer telefonu osób, których dane dotyczyły. Mimo że administrator uznał, że potencjalne ryzyko dla osób, których dane dotyczą, jest wysokie, nie poinformował ich o tym incydencie. Następnie organ ochrony danych zwrócił się do administratora o niezwłoczne poinformowanie osób, których dane dotyczą, o incydencie i udzielenie im porady, jak zminimalizować potencjalne negatywne skutki naruszenia. Administrator nie zastosował się jednak do tego żądania.
Link
550RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-02-101000ING Bank N.V. Amsterdam - Bucharest officeArt. 29 RODO, Art. 32 (2), (4) RODORumuński organ ochrony danych (ANSPDCP) nałożył na ING Bank N.V. Amsterdam - Bucharest Branch grzywnę w wysokości 1 000 EUR. Stwierdzono, że administrator danych przesłał pliki do partnera umownego w celu wystawienia polis ubezpieczeniowych. Przesłane pliki zawierały nieaktualne informacje, ponieważ pracownicy działu monitorowania polis ubezpieczeniowych nie sprawdzili i nie przetworzyli polis ubezpieczeniowych zgodnie z procesem pracy, co dotyczyło 270 osób. Biorąc pod uwagę te aspekty, stwierdzono, że środki techniczne i organizacyjne podjęte przez administratora były niewystarczające, co doprowadziło do naruszenia poufności danych osobowych.
Link
549HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-1124000 Vamavi Phone S.L.Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD, Art. 28 RODOHiszpański organ ochrony danych (AEPD) nałożył na Vamavi Phone S.L. grzywnę w wysokości 40.000 EUR. Osoba, której dane dotyczą, otrzymała od administratora połączenie reklamowe wykonane w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, była wpisana na listę osób wykluczonych z reklam Robinsona. Pierwotna grzywna w wysokości 40 000 EUR została obniżona do 24 000 EUR w związku z natychmiastową zapłatą i uznaniem długu.
Link
548HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-095000Predase Servicios Integrales S.L.Art. 13 RODOStrona internetowa spółki nie prezentowała na swojej głównej stronie polityki prywatności, ani nie zawierała informacji wymaganych przez art. 13 RODO.Link
547HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-085000Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 5 000 EUR za nielegalny nadzór za pomocą kamer. Osoba, której dane dotyczą, wynajmowała dwa pokoje w mieszkaniu administratora danych. Administrator zainstalował w mieszkaniu kamerę wideo i oświadczył, że została ona zainstalowana wyłącznie w celach bezpieczeństwa, a ponadto monitorowała jedynie obszar przy drzwiach wejściowych. Okazało się jednak, że kamera była skierowana w taki sposób, że rejestrowała również inne części mieszkania, takie jak salon. Hiszpański organ ochrony danych stwierdza, że stanowi to nieuzasadnione naruszenie prywatności osoby, której dane dotyczą.
Link
546HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-083000Patio Ancestral S.L.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Patio Ancestral S.L. grzywnę w wysokości 5.000 EUR. Skarżący pracował w firmie budowlanej i wykonał pewne prace remontowe dla kontrolera. W trakcie tych prac doszło do uszkodzenia nieruchomości kontrolera. Kontroler wysłał pismo z roszczeniami odszkodowawczymi nie tylko do skarżącego, ale również do ojca skarżącego, który wcześniej był zatrudniony w tej samej firmie budowlanej. Ojciec był jednak w tej sprawie niezaangażowaną stroną trzecią. Hiszpański organ ochrony danych stwierdził, że przetwarzanie danych osobowych ojca z tego powodu odbywało się bez podstawy prawnej. Pierwotna grzywna została zmniejszona do 3 000 EUR w związku z natychmiastową płatnością i uznaniem długu.
Link
545HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-042000Osoba fizycznaArt. 5 (1) c) RODONieuprawnione użycie dwóch kamer monitoringu wizyjnego, które rejestrowały również fragmenty przestrzeni publicznej, takie jak chodniki i posesje znajdujące się za nimi.
Link
544HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-03100000Iberdrola ClientesArt. 5 (1) d) RODO, Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na Iberdrola Clientes, SAU grzywnę w wysokości 100 000 EUR. Osoba, której dane dotyczą, rozwiązała istniejącą umowę z administratorem danych z powodu przeprowadzki i w związku z tym zażądała usunięcia swoich danych. Wniosek ten został odrzucony przez administratora danych w związku z nieuregulowanymi fakturami. Okazało się, że administrator wysłał rachunki na stary adres osoby, której dane dotyczą. Nawet po tym, jak osoba, której dane dotyczą, poinformowała administratora o zmianie adresu, nowe zawiadomienia dotyczące wniosku o usunięcie danych i faktur były wysyłane na stary adres.
Link
543WłochyGarante per la protezione dei dati personali (Garante)2020-11-263000Charly Mike s.r.l.Art. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na Charly Mike s.r.l. grzywnę w wysokości 3.000 EUR. Administrator danych jest zarządcą hotelu Olimpo w Alberobello. Do Garante wpłynęła skarga dotycząca systemu nadzoru wideo zainstalowanego w hotelu. W trakcie postępowania wyjaśniającego ustalono, że w obiekcie hotelowym było 17 kamer stałych i jedna z nagrywaniem 360°, umieszczonych wewnątrz i na zewnątrz obiektu, rejestrujących zarówno pracowników, jak i klientów. System działał bez wymaganych znaków informujących o monitoringu wizyjnym.
Link
542HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-013000 IDFINANCE Spain, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na IDFINANCE Spain S.L. grzywnę w wysokości 5 000 EUR. Pewna osoba otrzymała od IDFinance e-mail windykacyjny, który zawierał link do zapłaty faktury bezpośrednio przez stronę internetową administratora. Za pośrednictwem tego linku osoba ta mogła uzyskać dostęp do danych osobowych innego klienta. Pierwotna grzywna w wysokości 5 000 EUR została zmniejszona do 3 000 EUR ze względu na natychmiastową zapłatę i uznanie długu.
Link
541HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-0124000Xfera Moviles S.A.Art. 58 (2) RODOHiszpański organ ochrony danych (AEPD) nałożył na Xfera Móviles S.A. grzywnę w wysokości 40.000 EUR. Osoba, której dane dotyczą, wniosła do AEPD skargę na naruszenie jej prawa do informacji. Następnie AEPD wystosował do administratora danych wezwanie do spełnienia w terminie 10 dni żądania osoby, której dane dotyczą, o udzielenie informacji oraz do udowodnienia tego faktu AEPD. Administrator nie zastosował się jednak do tego żądania w wyznaczonym terminie. Pierwotna grzywna w wysokości 40 000 EUR została zmniejszona do 24 000 EUR ze względu na natychmiastową płatność i uznanie długu przez administratora.
Link
540NorwegiaDatatilsynet2021-02-0319300Cyberbook ASArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Cyberbook AS grzywną w wysokości 200 000 NOK (19 300 EUR) za nielegalne automatyczne przekazywanie wiadomości e-mail od byłego pracownika. Przekazywanie wiadomości odbywało się przez kilka miesięcy bez informowania o tym osoby, której dane dotyczą.
Link
539WłochyGarante per la protezione dei dati personali (Garante)2020-12-17100000Azienda Unità Sanitaria Locale Toscana Sud EstArt. 5 (1) f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda USL Toscana Sud Est grzywnę w wysokości 100.000 euro. Administrator danych jest spółką działającą w sektorze opieki zdrowotnej, która m.in. uruchomiła tzw. program "Sanità di iniziativa" (Inicjatywa na rzecz zdrowia). W ramach tego programu uczestniczące w nim zakłady opieki zdrowotnej przekazują administratorowi danych dane dotyczące przewlekle chorych pacjentów. Na podstawie tych danych kontroler opracowuje następnie plany zdrowotne dla pacjentów. Włoski organ ochrony danych zauważa kilka naruszeń przepisów o ochronie danych związanych z tym programem. Na przykład, wyrażając zgodę na przetwarzanie swoich danych, osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o tym, jak długo ich dane będą przechowywane, jakie prawa im przysługują (w szczególności prawo do skargi i dostępu) oraz jak dokładnie ich dane będą przetwarzane i w jakim celu. Ponadto administrator nie prowadził rejestru czynności przetwarzania. Wreszcie, administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych ani nie przeprowadził oceny skutków w zakresie ochrony danych, choć byłoby to konieczne ze względu na charakter przetwarzanych danych (dane dotyczące zdrowia).
Link
538PolskaUrząd ochrony danych osobowych (UODO)2020-12-092850Smart Cities Sp. z o.o.Art. 31 RODO, Art. 58 RODOGrzywna za niewykonanie nakazu polskiego organu ochrony danych (UODO). Administrator nie przekazał danych osobowych i innych informacji, o które UODO zwrócił się do niego w celach dochodzeniowych.Link
537BelgiaGegevensbeschermingsautoriteit (GBA)2021-01-2750000Family Service / N.D.P.K. nv.Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODO, Art. 28 RODOBelgijski organ ochrony danych nałożył na Family Service / N.D.P.K. nv. grzywnę w wysokości 50.000 euro. Administrator jest agencją reklamową, która m.in. wysyła przyszłym matkom pudełka upominkowe zawierające różne bony rabatowe, próbki produktów oraz informacje na temat ciąży i porodu. Pudełka te są dostarczane przez osoby trzecie, którym administrator przekazuje następnie dane kontaktowe odbiorców w celach marketingowych. W tym celu administrator z wyprzedzeniem uzyskuje zgodę odbiorców na takie przekazanie danych oraz na późniejsze działania reklamowe osób trzecich. Osoba, której dane dotyczą, złożyła skargę do belgijskiego organu ochrony danych, ponieważ pomimo cofnięcia uprzednio udzielonej zgody nadal otrzymywała telefony reklamowe od osób trzecich, którym administrator przekazał jej dane.Link
536FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-01-2775000NieznanyArt. 32 RODOFrancuski organ ochrony danych osobowych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 EUR i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom typu "credential stuffing" na stronę internetową firmy. W okresie od czerwca 2018 r. do stycznia 2020 r. do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której kilka milionów klientów regularnie dokonuje zakupów. W odpowiedzi CNIL postanowił przeprowadzić dochodzenie w sprawie przedsiębiorstwa i jego podwykonawcy, któremu powierzono zarządzanie tą stroną internetową. W trakcie dochodzenia CNIL ustalił, że przedmiotowa strona internetowa była przedmiotem licznych fal ataków typu "credential stuffing". W tego typu atakach złośliwa osoba uzyskuje listy "niezaszyfrowanych" identyfikatorów i haseł opublikowane w Internecie, zazwyczaj po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, atakujący użyje "botów", aby spróbować zalogować się do dużej liczby stron internetowych. Jeśli uwierzytelnienie się powiedzie, pozwoli to atakującemu na wgląd w informacje związane z tymi kontami. CNIL ustaliła, że atakujący byli w stanie uzyskać następujące informacje: Nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer ich karty lojalnościowej i saldo, oraz informacje związane z ich zamówieniami. CNIL uważa, że obie firmy naruszyły swój obowiązek utrzymania bezpieczeństwa danych osobowych klientów na mocy art. 32 RODO. W rzeczywistości przedsiębiorstwa podejmowały powolne działania w celu skutecznego zwalczania tych powtarzających się ataków. Postanowiły one skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Opracowanie tego narzędzia zajęło jednak rok od pierwszych ataków. W międzyczasie można było jednak rozważyć szereg innych środków o szybszym skutku, aby zapobiec dalszym atakom lub złagodzić ich negatywne skutki dla osób fizycznych. W wyniku tego braku staranności, w okresie od marca 2018 r. do lutego 2019 r. dane około 40 000 klientów witryny zostały udostępnione nieuprawnionym osobom trzecim.
Link
535FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-01-27150000NieznanyArt. 32 RODOFrancuski organ ochrony danych osobowych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 EUR i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom typu "credential stuffing" na stronę internetową firmy. W okresie od czerwca 2018 r. do stycznia 2020 r. do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której kilka milionów klientów regularnie dokonuje zakupów. W odpowiedzi CNIL postanowił przeprowadzić dochodzenie w sprawie przedsiębiorstwa i jego podwykonawcy, któremu powierzono zarządzanie tą stroną internetową. W trakcie dochodzenia CNIL ustalił, że przedmiotowa strona internetowa była przedmiotem licznych fal ataków typu "credential stuffing". W tego typu atakach złośliwa osoba uzyskuje listy "niezaszyfrowanych" identyfikatorów i haseł opublikowane w Internecie, zazwyczaj po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, atakujący użyje "botów", aby spróbować zalogować się do dużej liczby stron internetowych. Jeśli uwierzytelnienie się powiedzie, pozwoli to atakującemu na wgląd w informacje związane z tymi kontami. CNIL ustaliła, że atakujący byli w stanie uzyskać następujące informacje: Nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer ich karty lojalnościowej i saldo, oraz informacje związane z ich zamówieniami. CNIL uważa, że obie firmy naruszyły swój obowiązek utrzymania bezpieczeństwa danych osobowych klientów na mocy art. 32 RODO. W rzeczywistości przedsiębiorstwa podejmowały powolne działania w celu skutecznego zwalczania tych powtarzających się ataków. Postanowiły one skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Opracowanie tego narzędzia zajęło jednak rok od pierwszych ataków. W międzyczasie można było jednak rozważyć szereg innych środków o szybszym skutku, aby zapobiec dalszym atakom lub złagodzić ich negatywne skutki dla osób fizycznych. W wyniku tego braku staranności, w okresie od marca 2018 r. do lutego 2019 r. dane około 40 000 klientów witryny zostały udostępnione nieuprawnionym osobom trzecim.Link
534HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-2175000Telefónica Móviles España, SAUArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Telefónica Móviles España, SAU grzywnę w wysokości 75 000 EUR. Administrator przydzielił osobie, której dane dotyczą, pięć linii telefonicznych z pięcioma numerami w ramach umowy na telefon komórkowy. Jeden z tych numerów był używany przez jej syna. Gdy nie mógł on już korzystać z tych danych komórkowych, skontaktował się z administratorem danych. Administrator poinformował go, że dane komórkowe zostały dezaktywowane, ponieważ numer nie był już w jego posiadaniu. Okazało się, że nieuprawnione osoby trzecie podszyły się pod osobę, której dane dotyczą, i przekazały numer osobie trzeciej, nie wymagając w tym celu uwierzytelnienia przez administratora danych. Następnie nieuprawnione osoby trzecie zażądały i otrzymały zastępczą kartę SIM pod pretekstem rzekomej utraty lub kradzieży. W rezultacie karta SIM syna została zablokowana.Link
533BelgiaGegevensbeschermingsautoriteit (GBA)2021-01-2225000NieznanyArt. 5 (1) f), (2) RODO, Art. 24 RODO, Art. 32 RODO, Art. 33 (1), (5) RODO, Art. 34 (1) RODOBelgijski organ ochrony danych ukarał operatora telefonii komórkowej grzywną w wysokości 25 000 EUR. Administrator danych przydzielił numer telefonu osoby, której dane dotyczą, nieupoważnionej osobie trzeciej, co spowodowało, że osoba ta straciła dostęp do swojego numeru telefonu. Ponieważ karta SIM osoby, której dane dotyczą, została dezaktywowana, umożliwiłoby to osobie trzeciej dostęp do różnych danych osobowych osoby, której dane dotyczą, w okresie od 16 września do 19 września 2019 r., takich jak historia połączeń i konta różnych usług (np. Paypal, WhatsApp i Facebook) powiązanych z tym numerem.Link
532WłochyGarante per la protezione dei dati personali (Garante)2020-12-1740000Miropass S.r.l.Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 28 RODOWłoski organ ochrony danych osobowych (Garante) ukarał Miropass S.r.l. grzywną w wysokości 40.000 euro. Miropass jest dostawcą systemu rezerwacji TuPassi, z którego między innymi od 2015 roku korzysta Urząd Miasta Rzym. System rezerwacji umożliwia rezerwację terminów zarówno na stronie internetowej administratora (www.tupassi.it), jak i za pośrednictwem odpowiedniej aplikacji. W tym celu firma gromadzi i przetwarza dane osobowe użytkowników. W toku dochodzenia włoski organ ochrony danych stwierdził, że Miropass, w szczególności w kontekście danych dotyczących zdrowia, wynikających z rezerwacji wizyt w placówkach służby zdrowia, nie miał podstawy prawnej do przetwarzania i naruszył zasadę ograniczenia przechowywania danych.Link
531WłochyGarante per la protezione dei dati personali (Garante)2020-12-17500000Roma Capitale (Gmina Rzym) Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 (2), (3) RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na gminę Rzym grzywnę w wysokości 500 000 euro za niezgodne z prawem przetwarzanie danych osobowych użytkowników i pracowników. Gmina Rzym od 2015 r. korzystała z systemu rezerwacji "TuPassi" do zarządzania terminami i innymi usługami. W toku szczegółowego dochodzenia włoski organ ochrony danych stwierdził, że administrator naruszył kilka przepisów dotyczących ochrony danych w odniesieniu do przetwarzania danych osobowych klientów i pracowników, z którymi umawiali się na spotkania. Przykładowo, gmina nie poinformowała odpowiednio osób, których dane dotyczą, przed przystąpieniem do przetwarzania ich danych, ani nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania.Link
530NorwegiaDatatilsynet2021-01-199700Aquateknikk ASArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Aquateknikk AS grzywną w wysokości 100.000 NOK (9.700 EUR). Administrator danych przeprowadził rating kredytowy osoby fizycznej bez nawiązania relacji z klientem lub innych powiązań. Dane osobowe osoby, której dane dotyczą, były zatem przetwarzane bez podstawy prawnej.Link
529HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-2150000Alterna Operador Integral S.L.Art. 6 (1) b) RODOHiszpański organ ochrony danych (AEPD) nałożył na Alterna Operador Integral S.L. grzywnę w wysokości 50 000 EUR. Zmiana dostawcy energii elektrycznej nastąpiła bez zgody osoby, której dane dotyczą. Dane osobowe osoby, której dane dotyczą, zostały jednak wprowadzone do systemów informacyjnych administratora danych (nowego dostawcy energii elektrycznej) bez sprawdzenia przez niego, czy została zawarta ważna umowa. Przetwarzanie danych osobowych osoby, której dane dotyczą, odbywało się zatem bez podstawy prawnej.Link
528HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-201200Osoba fizycznaArt. 5 (1) c) RODOAdministrator zainstalował na swoim budynku kamery, które były skierowane na część przestrzeni publicznej. Nie doszło jednak do żadnego nagrania, ponieważ kamery służyły jedynie jako odstraszacz i pozostawały nieaktywne. Organ ochrony danych zauważa jednak, że nawet symulowany nadzór wideo ma wpływ na prywatność osób, których dane dotyczą, ponieważ osoby te są przekonane, że są stale rejestrowane przez kamery. Według organu ochrony danych ma to efekt zastraszający. Dlatego też w tym przypadku niewłaściwe było również skierowanie kamer na przestrzeń publiczną. Organ ochrony danych nałożył na administratora grzywnę w wysokości 2.000 EUR, która została zmniejszona do 1.200 EUR w związku z natychmiastową zapłatą i przyznaniem się do winy.Link
527PolskaUrząd ochrony danych osobowych (UODO)2021-01-055500Śląski Uniwersytet MedycznyArt. 33 (1) RODO, Art. 34 (1) RODOUODO nałożył na Śląski Uniwersytet Medyczny karę pieniężną w wysokości 25.000 zł (5.500 euro). W trakcie egzaminów przeprowadzanych w formie wideokonferencji pod koniec maja 2020 r. doszło do identyfikacji studentów. Po zakończeniu egzaminu nagrania z egzaminów były dostępne nie tylko dla zdających, ale również dla innych osób mających dostęp do systemu. Ponadto każda osoba postronna mogła uzyskać dostęp do zapisów egzaminów oraz danych egzaminowanych studentów prezentowanych podczas identyfikacji poprzez bezpośrednie łącze. Uniwersytet nie zgłosił naruszenia ochrony danych do UODO i nie powiadomił osób, których dane dotyczą.Link
526BelgiaGegevensbeschermingsautoriteit (GBA)2021-01-1210000NieznanyArt. 6 (1) RODO, Art. 12 (3) RODO, Art. 21 (1) RODOZarządzanie fanpage'em na Facebooku bez zgody osoby, której dane dotyczą, oraz niezastosowanie się do żądania osoby, której dane dotyczą, po skorzystaniu przez nią z prawa do sprzeciwu.Link
525NorwegiaDatatilsynet2021-01-1438600 Coop Finnmark SAArt. 5 (1) a) RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Coop Finnmark SA grzywną w wysokości 400 000 NOK (38 600 EUR). Kierownik sklepu, o którym mowa, nagrał telefonem komórkowym materiał z kamery przemysłowej i udostępnił go. Norweski organ ochrony danych stwierdza, że Coop Finnmark nie miał podstawy prawnej do udostępnienia nagrania z kamery przemysłowej. Organ ten zauważa, że sprawa jest bardzo poważna, ponieważ na nagraniu widać było dzieci, co stwarza potencjalnie duże zagrożenie dla ich prywatności.Link
524NorwegiaDatatilsynet2021-01-1238600NieznanyArt. 5 RODO, Art. 6 RODONorweski Urząd Ochrony Danych (Datatilsynet) ukarał firmę grzywną w wysokości 400 000 NOK (38 600 EUR) za nielegalne automatyczne przekierowanie skrzynki e-mailowej pracownika. Automatyczne przekierowanie zostało aktywowane w związku ze zwolnieniem lekarskim pracownika i trwało przez ponad miesiąc.Link
523WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-11-1828NieznanyArt. 5 (1) d) RODOOsoba, której dane dotyczą, zapisała się na newsletter administratora. Po zmianie swojego adresu e-mail nadal otrzymywała biuletyn za pośrednictwem starego adresu e-mail. Podmiot danych skontaktował się następnie z administratorem, który potwierdził, że adres został zaktualizowany. Mimo to osoba, której dane dotyczą, nadal otrzymywała biuletyn za pośrednictwem starego adresu e-mail.Link
522HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-136000000Caixabank S.A.Art. 6 RODO, Art. 13 RODO, Art. 14 RODOHiszpański organ ochrony danych (AEPD) ukarał Caixabank S.A. grzywną w wysokości 6.000.000 EUR za naruszenie Art. 6 RODO, Art. 13 RODO oraz Art. 14 RODO. Klienci banku mieli zaakceptować nowe polityki prywatności pozwalające administratorowi na przekazywanie danych osobowych klientów do wszystkich spółek w ramach Grupy CaixaBank. Jednocześnie osobom, których dane dotyczą, nie dano możliwości wyraźnego niewyrażenia zgody na to przekazanie. Zamiast tego, jeśli chciały nie zgodzić się na przekazanie ich danych, musiały wysłać pismo o braku zgody do każdej poszczególnej spółki w grupie. Inspektor Ochrony Danych stwierdził, że bank naruszył swoje obowiązki informacyjne określone w art. 13 RODO i Art. 14 RODO, ponieważ informacje przekazywane klientom w ramach polityki prywatności nie były spójne, zawierały nieprecyzyjną terminologię i nie zawierały wystarczających informacji na temat rodzaju przetwarzanych danych osobowych oraz charakteru przetwarzania. Również informacje dotyczące praw osób, których dane dotyczą, jak również dane kontaktowe administratora nie były przedstawione w spójny sposób. Ponadto IOD zauważa, że administrator przetwarzał dane swoich klientów poza swoimi prawnie uzasadnionymi interesami, częściowo bez podstawy prawnej, a zgoda, którą uzyskał od klientów, nie spełniała wymogów skutecznej zgody. Ponadto, braki w procedurach spółki umożliwiły jej uzyskanie zgody klientów na przetwarzanie ich danych osobowych. DPA stwierdza dalej, że w rezultacie dane zostały bezprawnie przekazane spółkom Grupy CaixaBank. Stanowi to naruszenie Art. 6 RODO.Link
521WłochyGarante per la protezione dei dati personali (Garante)2020-10-294000Borgo Fonte Scura s.r.l.Art. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na spółkę Borgo Fonte Scura s.r.l. grzywnę w wysokości 4.000 euro. Administrator danych zainstalował system nadzoru wideo, który nagrywał również trzy osoby, których dane dotyczą, podczas ich pracy. Osoby, których dane dotyczą, nie zostały wystarczająco poinformowane o nadzorze wideo i wynikającym z niego przetwarzaniu ich danych osobowych.Link
520WłochyGarante per la protezione dei dati personali (Garante)2020-10-2920000Gaypa s.r.l.Art. 5 (1) a), c), e) RODO, Art. 12 RODO, Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na spółkę Gaypa s.r.l. grzywnę w wysokości 20.000 euro. Administrator danych utrzymywał aktywne konto poczty elektronicznej byłego pracownika i miał dostęp do korespondencji osoby, której dane dotyczą, pomimo zakończenia jej zatrudnienia. Podmiot danych nie został poinformowany o takim dalszym wykorzystaniu jego konta poczty elektronicznej, jak również o przechowywaniu wszystkich przychodzących i wychodzących wiadomości e-mail na serwerach spółki i związanym z tym przetwarzaniem jego danych osobowych.Link
519NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2021-01-0810400000notebooksbilliger.deArt. 5 RODO, Art. 6 RODOUrząd Ochrony Danych Dolnej Saksonii (LfD Niedersachsen) nałożył grzywnę w wysokości 10,4 mln euro na sprzedawcę elektroniki notebooksbilliger.de. Przedsiębiorstwo to przez co najmniej dwa lata prowadziło monitoring wideo swoich pracowników, nie mając do tego podstawy prawnej. Kamery obejmowały między innymi miejsca pracy, obszary sprzedaży, magazyny i obszary rekreacyjne. Firma twierdziła, że celem zainstalowanych kamer wideo było zapobieganie przestępstwom i prowadzenie dochodzeń w ich sprawie oraz śledzenie przepływu towarów w magazynach. Jednak, aby zapobiec kradzieży, firma musi najpierw rozważyć łagodniejsze metody. Ponadto, nadzór wideo w celu wykrycia czynów przestępczych jest dozwolony tylko wtedy, gdy istnieje uzasadnione podejrzenie wobec konkretnych osób. W takim przypadku dopuszczalne może być monitorowanie ich za pomocą kamer przez określony czas. W przypadku notebooksbilliger.de nadzór wideo nie był jednak ograniczony ani do określonego czasu, ani do konkretnych pracowników. Ponadto w wielu przypadkach nagrania były przechowywane przez 60 dni, czyli znacznie dłużej niż jest to wymagane. Klienci notebooksbilliger.de również ucierpieli w wyniku niezgodnego z prawem nadzoru wideo, ponieważ niektóre kamery były skierowane na miejsca siedzące w obszarze sprzedaży. Jak dotąd grzywna nałożona na notebooksbilliger.de jest najwyższą grzywną nałożoną przez LfD Niedersachen w ramach RODO.Link
518EstoniaAndmekaitse Inspektsioon2020-12-01100000Azeta.ee e-apteekArt. 5 RODO, Art. 6 RODOEstoński organ ochrony danych (Andmekaitse Inspektsioon) nałożył na trzy apteki internetowe grzywny w wysokości 100 000 EUR każda za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, jedynie na podstawie dostępu do jej osobistego kodu identyfikacyjnego. Inspektor podkreślił, że chociaż musi istnieć możliwość zakupu leków na receptę dla innych osób, to obowiązkiem przedsiębiorstwa jest zapewnienie, że przetwarzanie danych osobowych wymaganych do tego celu odbywa się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie przez inną osobę, że może ona uzyskać dostęp do danych, nie odpowiada jednak dobrowolnej zgodzie posiadacza recepty, ponieważ e-apteka nie może sprawdzić, czy i w jakim celu zgoda została udzielona oraz czy została udzielona dobrowolnie.
Link
517EstoniaAndmekaitse Inspektsioon2020-12-01100000Südameapteegi e-apteekArt. 5 RODO, Art. 6 RODOEstoński organ ochrony danych (Andmekaitse Inspektsioon) nałożył na trzy apteki internetowe grzywny w wysokości 100 000 EUR każda za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, jedynie na podstawie dostępu do jej osobistego kodu identyfikacyjnego. Inspektor podkreślił, że chociaż musi istnieć możliwość zakupu leków na receptę dla innych osób, to obowiązkiem przedsiębiorstwa jest zapewnienie, że przetwarzanie danych osobowych wymaganych do tego celu odbywa się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie przez inną osobę, że może ona uzyskać dostęp do danych, nie odpowiada jednak dobrowolnej zgodzie posiadacza recepty, ponieważ e-apteka nie może sprawdzić, czy i w jakim celu zgoda została udzielona oraz czy została udzielona dobrowolnie.Link
516EstoniaAndmekaitse Inspektsioon2020-12-01100000Apotheka e-apteekArt. 5 RODO, Art. 6 RODOEstoński organ ochrony danych (Andmekaitse Inspektsioon) nałożył na trzy apteki internetowe grzywny w wysokości 100 000 EUR każda za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, jedynie na podstawie dostępu do jej osobistego kodu identyfikacyjnego. Inspektor podkreślił, że chociaż musi istnieć możliwość zakupu leków na receptę dla innych osób, to obowiązkiem przedsiębiorstwa jest zapewnienie, że przetwarzanie danych osobowych wymaganych do tego celu odbywa się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie przez inną osobę, że może ona uzyskać dostęp do danych, nie odpowiada jednak dobrowolnej zgodzie posiadacza recepty, ponieważ e-apteka nie może sprawdzić, czy i w jakim celu zgoda została udzielona oraz czy została udzielona dobrowolnie.
Link
515NorwegiaDatatilsynet2021-01-077250Gveik ASArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Gveik AS grzywną w wysokości 7 250 EUR. Administrator danych przeprowadził kontrolę kredytową osoby fizycznej, mimo że nie było ku temu podstawy prawnej.Link
514NorwegiaDatatilsynet2021-01-069700Lindstrand Trading ASArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Lindstrand Trading AS grzywną w wysokości 9 700 EUR. Administrator danych przeprowadził cztery kontrole kredytowe osób fizycznych i poszczególnych przedsiębiorstw, mimo że nie było ku temu podstawy prawnej.
Link
513CzechyÚřad pro ochranu osobních údajů (UOOU)2021-01-04118500NieznanyArt. 5 (1) a) - d) RODO, Art. 6 (1) RODOCzeski Urząd Ochrony Danych (UOOU) ukarał 11 firm grzywną w łącznej wysokości 118 500 euro za wysyłanie niezamówionych pocztowych wiadomości reklamowych do skrzynek pocztowych różnych obywateli. Na podstawie decyzji rządu Republiki Czeskiej z końca października wprowadzono możliwość bezpłatnego wysyłania pocztowych wiadomości z danymi do końca pandemii wirusa Covid-19. Ukarane przedsiębiorstwa nadużyły tej możliwości. Organ ochrony danych stwierdza, że firmy nie miały podstaw prawnych do wysyłania ofert towarów i usług, co stanowiło naruszenie art. 6 (1) RODO. Ponadto DPA stwierdza, że doszło do naruszenia art. 14 RODO, ponieważ firmy nie dostarczyły osobom, których dane dotyczą, informacji o komercyjnym wykorzystaniu ich danych przy pierwszym kontakcie z nimi.Link
512PolskaUrząd ochrony danych osobowych (UODO)2019-111770L. Sp. z o.o.Art. 5 (1) a), f) RODOUODO nałożył na L. Sp. z o.o. karę w wysokości 1.770 EUR za niezgodne z przepisami RODO prowadzenie monitoringu wizyjnego wspólnoty mieszkaniowej.Link
511FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-01-0520000Nestor SASArt. 12 RODO, Art. 13 RODOFrancuski organ ochrony danych (CNIL) ukarał firmę Nestor grzywną w wysokości 20 000 euro. CNIL zauważa, że polityka prywatności przedstawiona podczas procesu rejestracji na stronie internetowej firmy nie zawierała niezbędnych informacji wymaganych przez RODO. Ponadto administrator danych nie dostarczył wystarczających informacji na temat przetwarzania danych podczas rejestracji aplikacjiLink


Link
510PolskaUrząd ochrony danych osobowych (UODO)2020-12-0918850TUiR Warta S.A.Art. 33 (1) RODO, Art. 34 (1) RODOAgent ubezpieczeniowy zatrudniony przez administratora danych wysłał do nieuprawnionych osób trzecich wiadomość e-mail dotyczącą polis ubezpieczeniowych, która zawierała dane osobowe dwóch klientów spółki, po tym jak omyłkowo podali oni fałszywe adresy e-mail. Dane, które wyciekły, zawierały takie dane jak imiona i nazwiska, adresy e-mail i adresy pocztowe osób, których te dane dotyczyły. Administrator nie poinformował na czas, w ciągu 72 godzin, ani polskiego organu ochrony danych, ani osób, których dane dotyczą, o naruszeniu danych. Administrator uważał, że nie doszło do naruszenia wymagającego zawiadomienia, ponieważ osoby, których dane dotyczą, same omyłkowo podały nieprawidłowe adresy e-mail. Polski organ ochrony danych stwierdza, że okoliczność ta nie zwalnia administratora z obowiązku terminowego zgłoszenia tego naruszenia ochrony danych.Link
509PolskaUrząd ochrony danych osobowych (UODO)2020-12-17235300ID Finance Poland Sp. z o.o.Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODOPolski organ ochrony danych osobowych (UODO) nałożył karę pieniężną w wysokości 235 300 euro na ID Finance Poland Sp. z o.o. W wyniku błędu podczas restartu serwera zresetowano ustawienia oprogramowania odpowiedzialnego za bezpieczeństwo serwera, co spowodowało upublicznienie danych osobowych 140 699 klientów. Dane te zawierały m.in. informacje o imieniu i nazwisku, adresie, narodowości, a nawet stanie cywilnym osób, których te dane dotyczyły. Baza danych znajdująca się na tym serwerze została pobrana i usunięta przez bliżej nieokreśloną osobę trzecią, która zażądała od przedsiębiorstwa opłaty za zwrot bazy danych. Organ ochrony danych zauważył, że administrator danych podjął niewystarczające środki techniczne i organizacyjne w celu zapewnienia ochrony przetwarzania, mimo że istniało wysokie ryzyko dla osób, których dane dotyczą, ze względu na charakter przetwarzanych danych.
Link
508FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-12-077300PerfomeclicArt. 5 (1) c), e) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. L34-5 CPCEFrancuski organ ochrony danych (CNIL) nałożył na spółkę Perfomeclic grzywnę w wysokości 7.300 euro. Firma ta wysyłała komercyjne e-maile reklamowe bez dowodu uprzedniej zgody i bez wystarczających informacji.Link


Link
507NorwegiaDatatilsynet2021-01-0495500Innovasjon NorgeArt. 5 (1) RODO, Art. 6 (1) RODONorweski organ ochrony danych (Datatilsynet) ukarał krajowy bank rozwoju Innovasjon Norge grzywną w wysokości 1.000.000 NOK (95.500 EUR). Administrator danych przeprowadził cztery kontrole kredytowe osoby, której dane dotyczą, bez żadnej podstawy umownej do ich przeprowadzenia. W tym celu bank przeanalizował liczne dane finansowe osoby, której dane dotyczą, w okresie trzech miesięcy bez jej zgody.
Link
506HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-0454000Vodafone España, S.A.U.Art. 5 (1) d), f) RODOOsoba, której dane dotyczą, zawarła umowę z administratorem danych (Vodafone España, S.A.U.). Jednakże produkty dostarczone w ramach tej umowy nie zostały dostarczone w imieniu osoby, której dane dotyczą, lecz w imieniu osoby trzeciej. Następnie osoba, której dane dotyczą, skontaktowała się drogą elektroniczną z inspektorem ochrony danych spółki w celu przywrócenia poprawności jej danych przechowywanych w Vodafone. Jednakże nie otrzymano żadnej odpowiedzi na ten wniosek. Gdy osoba, której dane dotyczą, skontaktowała się w końcu telefonicznie z firmą telekomunikacyjną, zwrócono się do niej podając nazwę osoby trzeciej. Na jego zapytanie udzielono odpowiedzi, która nie odnosiła się do jego zapytania, lecz do zapytania osoby trzeciej. Według firmy telekomunikacyjnej, incydent był spowodowany wadą jej systemu, wynikającą z migracji systemu. Hiszpański organ ochrony danych (AEPD) początkowo nałożył na Vodafone España, S.A.U. grzywnę w wysokości 90.000 EUR, ale pierwotna grzywna została zmniejszona do 54.000 EUR ze względu na terminową płatność i przyznanie się do winy.Link
505RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-12-303000ING Bank N.V. Amsterdam - Bucharest officeArt. 5 (1) a) - d) RODO, Art. 6 (1) RODORumuński organ ochrony danych (ANSPDCP) nałożył na ING Bank N.V. Amsterdam - oddział w Bukareszcie grzywnę w wysokości 3 000 EUR. Bank skontaktował się z osobą, której dane dotyczą, za pośrednictwem poczty elektronicznej w celu aktualizacji jej danych. W tym czasie jednak osoba, której dane dotyczą, zlikwidowała już swoje konto w banku, a więc stosunek umowny został zakończony. W związku z tym administrator danych przetwarzał niezgodnie z prawem dane osobowe byłego klienta bez jego zgody - adres e-mail i imię i nazwisko osoby, której dane dotyczą.
Link
504RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-12-291000Qualitance QBS SAArt. 32 RODORumuński organ ochrony danych (ANSPDCP) ukarał Qualitance QBS SA grzywną w wysokości 1.000 EUR za naruszenie art. 32 RODO. Spółka wysłała informacje pocztą elektroniczną do 295 osób, ujawniając adresy e-mail pozostałych odbiorców. ANSPDCP zauważyło, że spółka nie podjęła wystarczających środków bezpieczeństwa w celu zapewnienia poufności danych osobowych osób, których dane dotyczą.Link
503WłochyGarante per la protezione dei dati personali (Garante)2020-11-2620000Concentrix Cvg Italy s.r.l.Art. 5 (1) a), c) RODO, Art. 6 (1) b), c) RODO, Art. 9 (1) b) RODOZwiązek zawodowy UILCOM Sardegna złożył skargę do włoskiego organu ochrony danych ( Garante) przeciwko operatorowi call center Concentrix Cvg Italy s.r.l. w związku z wewnętrzną regulacją administratora danych. Zgodnie z warunkami "polityki czystego biurka" spółka zakazała pracownikom trzymania na biurkach niektórych przedmiotów, takich jak smartfony, co miało na celu zapewnienie poufności przy przetwarzaniu danych osobowych klientów. Wyjątkiem były leki, których zażycie w czasie zmiany udowodnili pracownicy. Leki te musiały być umieszczone w widocznym miejscu na biurku, co pośrednio umożliwiało innym pracownikom uzyskanie informacji o stanie zdrowia osób, których dane dotyczą. Administrator danych rzeczywiście poinformował osoby, których dane dotyczą, o zasadach postępowania i uzyskał ich zgodę. Nie zawierały one jednak żadnych informacji na temat przetwarzania danych dotyczących ich zdrowia.Link
502WłochyGarante per la protezione dei dati personali (Garante)2020-11-2610000Reti Televisive Italiane S.p.a.Art. 5 (1) a) RODOStacja telewizyjna wyemitowała film dokumentalny o związku między emisjami z miejscowej fabryki ceramiki a problemami zdrowotnymi ludności. Oosoba, z którą przeprowadzono wywiad, nie została wystarczająco zanonimizowana.Link
501PolskaUrząd ochrony danych osobowych (UODO)2020-12-2818930Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.Art. 33 (1) RODO, Art. 34 (1) RODOUODO nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. karę pieniężną w wysokości 18.930 EUR za naruszenie art. 33 (1) RODO oraz Art. 34 (1) RODO. W maju 2020 r. do IOD wpłynęło zgłoszenie od osoby trzeciej o naruszeniu danych osobowych dotyczące agenta ubezpieczeniowego działającego jako podmiot przetwarzający dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., który przesłał drogą elektroniczną polisę ubezpieczeniową do nieuprawnionego adresata. Dokument zawierał dane osobowe dotyczące m.in. nazwisk, imion, adresów zamieszkania oraz informacji o przedmiocie polisy ubezpieczeniowej. W związku z powyższym organ nadzorczy zwrócił się do administratora o wyjaśnienie, czy w związku z wysłaniem korespondencji elektronicznej do nieuprawnionego adresata przeprowadzono analizę ryzyka w zakresie bezpieczeństwa danych osób fizycznych, która jest niezbędna do oceny, czy doszło do naruszenia ochrony danych. Naruszenie takie wymaga zawiadomienia organu ochrony danych oraz osób, których dotyczy naruszenie. W piśmie organ nadzorczy pouczył administratora o sposobie zgłoszenia naruszenia i poprosił o wyjaśnienia. Pomimo pisma wzywającego do złożenia wyjaśnień, administrator nie zgłosił naruszenia ochrony danych, ani nie poinformował o tym zdarzeniu osób, których dane dotyczą. W związku z tym organ ochrony danych wszczął postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania administrator zgłosił naruszenie ochrony danych osobowych i poinformował dwie osoby, których dotyczyło naruszenie.Link
500BelgiaGegevensbeschermingsautoriteit (GBA)2020-12-2315000NieznanyArt. 14 (1), (2) RODO, Art. 12 (3) RODO, Art. 6 RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODOBelgijski organ ochrony danych (APD) nałożył na spółkę grzywnę w wysokości 15.000 euro w związku z niewystarczającym wypełnianiem praw osób, których dane dotyczą. Administratorem danych jest firma windykacyjna, której inna firma zleciła ściągnięcie należnych jej długów. Osoba, której dane dotyczą, otrzymała od tej ostatniej spółki mandat za nielegalne parkowanie. Osoba, której dane dotyczą, twierdzi jednak, że nie otrzymała zawiadomienia o nałożeniu kary. Zamiast tego osoba, której dane dotyczą, dowiedziała się o niej dopiero po otrzymaniu oficjalnego pisma przypominającego od administratora danych, który następnie zażądał uiszczenia opłat za upomnienie oprócz pierwotnej grzywny. Osoba, której dane dotyczą, skontaktowała się następnie z administratorem i zażądała m.in. informacji o tym, które z jej danych osobowych były przetwarzane. Po tym, jak wniosek ten nie został zrealizowany w odpowiednim czasie, osoba, której dane dotyczą, złożyła skargę na administratora danych. W toku postępowania wyjaśniającego organ stwierdził, że administrator naruszył przepisy RODO, m.in. nie spełniając żądania osoby, której dane dotyczą, o udzielenie informacji o przetwarzaniu danych.Link
499BelgiaGegevensbeschermingsautoriteit (GBA)2020-12-2350000NieznanyArt. 14 (1), (2) RODO, Art. 12 (1), (2), (3) RODO, Art. 15 (1) RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODOBelgijski organ ochrony danych (APD) nałożył na firmę karę w wysokości 50.000 euro za kilka naruszeń RODO. Administratorem danych jest firma, która przeprowadza kontrole biletów parkingowych. Administrator danych wystawił osobie, której dane dotyczą, karę za nielegalne parkowanie. Osoba, której dane dotyczą, twierdzi jednak, że nie otrzymała mandatu. Zamiast tego osoba, której dane dotyczą, dowiedziała się o nim dopiero po otrzymaniu oficjalnego pisma przypominającego od kancelarii prawnej, której zlecono windykację należności, która następnie zażądała uiszczenia opłaty za upomnienie oprócz pierwotnej grzywny. Następnie osoba, której dane dotyczą, skontaktowała się z firmą i zażądała m.in. informacji o tym, które z jej danych osobowych były przetwarzane. Po tym, jak żądanie to nie zostało odpowiednio i terminowo spełnione, osoba, której dane dotyczą, złożyła skargę na administratora danych W toku postępowania wyjaśniającego organ ochrony danych odkrył, że administrator danych naruszył kilka przepisów RODO. Po pierwsze, organ ten stwierdził, że administrator nie zapewnił odpowiedniej polityki prywatności. Polityka prywatności na stronie internetowej administratora nie zawierała żadnych informacji dotyczących przetwarzania danych osobowych ani żadnych informacji kontaktowych firmy. Po drugie, administrator naruszył prawo podmiotu danych do informacji, ponieważ nie spełnił prośby podmiotu danych o udzielenie informacji na temat przetwarzania danych. Wreszcie, administrator naruszył zasadę minimalizacji, przetwarzając dane podmiotu danych w celu wysłania przypomnienia o zapłacie dopiero dzień po wystawieniu mandatu, mimo że podmiot danych miał w tym czasie możliwość zapłaty grzywny bez takiego przypomnienia.Link
498RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-12-222000S.C. C&V Water Control S.A.Art. 58 (1) a), e) RODO, Art. 58 (2) i) RODORumuński organ ochrony danych (ANSPDCP) ukarał S.C. C&V Water Control S.A. grzywną w wysokości 2.000 EUR za niezastosowanie się do żądania organu ochrony danych o udzielenie informacji w trakcie dochodzenia, naruszając w ten sposób art. 58 (1) a), e) RODO oraz Art. 58 (2) i) RODO.Link
497HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-226000Iberdrola Clientes, SAUArt. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDDHiszpański organ ochrony danych (AEPD) ukarał Iberdrola Clientes, SAU grzywną w wysokości 6 000 EUR. Osoba, której dane dotyczyły, otrzymywała telefony promocyjne z dwóch różnych numerów telefonicznych administratora, mimo że osoba ta była wpisana na listę Robinsona. Firma przypisuje ten incydent błędowi ludzkiemu, ponieważ numery telefonów, z których dzwoniono do osoby, której dane dotyczą, nie były regularnie wykorzystywane do celów reklamowych.Link
496HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-2136000Banco Bilbao Vizcaya Argentaria, S.A.Art. 5 (1) d) RODOHiszpański organ ochrony danych (AEPD) nałożył na instytucję finansową i kredytową Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) grzywnę w wysokości 36 000 EUR. BBVA zwróciła się do osoby, której dane dotyczą, o uregulowanie długów wobec BBVA, chociaż osoba, której dane dotyczą, nie miała żadnych długów wobec banku. W związku z tym BBVA przekazała dane osobowe osoby, której dane dotyczą, spółce windykacyjnej Multigestión Iberia, S.L., która przez kilka miesięcy kontaktowała się z osobą, której dane dotyczą, telefonicznie i pocztą elektroniczną w imieniu BBVA i żądała zapłaty. Osoba, której dane dotyczą, zażądała następnie od BBVA usunięcia swoich danych. Administrator danych jednak odmówił.Link
495WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-161385Next Time Media Ügynökség Kft.Art. 32 (1) RODOWęgierski organ ochrony danych osobowych (NAIH) nałożył grzywnę w wysokości 50.000 HUF (1.385 EUR) na Next Time Media Ügynökség Kft. (Next Time Media Agency Ltd.). Agencja internetowa została zakontraktowana przez biuro podróży Robinson Tours Idegenforgalmi és Szolgáltató Kft. (Robinson Tours Ltd.) na opracowanie i obsługę systemu rezerwacji online biura podróży. Baza danych została jednak uzupełniona nie tylko o dane testowe, ale również o rzeczywiste dane klientów Robinson Tours. W sumie narażone na szwank zostały dane 781 osób. W okresie od 13 listopada 2019 r. do 4 lutego 2020 r. dane te były dostępne dla każdego i można je było znaleźć za pośrednictwem Google. Organ ochrony danych stwierdził, że Next Time Media Agency Ltd. nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych.Link
494WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-1655400Robinson Tours Idegenforgalmi és Szolgáltató Kft.Art. 25 (1), (2) RODO, Art. 32 (1) b) RODO, Art. 34 (1) RODOWęgierski Urząd Ochrony Danych (NAIH) nałożył na Robinson Tours Idegenforgalmi és Szolgáltató Kft. (Robinson Tours Ltd.) karę w wysokości 20 500 000 HUF (55 400 EUR). (Robinson Tours Ltd.) System rezerwacji biura podróży zawierał niezabezpieczone dane klientów, które mogły być przeglądane przez każdego i znalezione przez Google. Dane te zawierały m.in. nazwiska, dane kontaktowe i adresowe, kopie dowodów osobistych i numery paszportów. W trakcie dochodzenia prowadzonego przez organ ochrony danych okazało się, że przedmiotowe dane pochodziły z testowej bazy danych stworzonej przez Next Time Media Agency Ltd, agencję internetową, której zlecono opracowanie i obsługę bazy danych, która została uzupełniona nie tylko o dane testowe, ale również o rzeczywiste dane klientów Robinson Tours. W sumie dotknięte zostały dane 781 osób, do których dostęp miał każdy w okresie od 13 listopada 2019 roku do 4 lutego 2020 roku. NAIH zauważa również, że Robinson Tours nie przeprowadzał regularnych badań ryzyka bezpieczeństwa. Robinson Tours nie powiadomił również osób, których dane dotyczą, o naruszeniu danych.Link
493WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-161940NieznanyArt. 5 (1) b), c) RODO, Art. 13 (1) RODOWęgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 700.000 HUF (1.940 EUR) na przedsiębiorstwo budowlane. Administrator zainstalował system nadzoru wideo na placu budowy w celu ochrony swojego mienia i nietykalności cielesnej pracowników. Kamery były ustawione w taki sposób, że były w stanie rejestrować część pomieszczenia rekreacyjnego, a tym samym również działania jego pracowników poza wymaganym zakresem. Osoby, których dane dotyczą, nie zostały o tym dostatecznie poinformowane w momencie zawierania umowy.Link
492HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-1510000Przedsiębiorca prowadzący sklep internetowy Banderacatalana.catArt. 13 RODO, Art. 8 (1) RODO, Art. 6 (1) a) RODOHiszpański organ ochrony danych (AEPD) ukarał operatora sklepu internetowego banderacatalana.cat. 10.000 euro za naruszenie art. 13 RODO. Operator podał w informacjach o ochronie prywatności na swojej stronie internetowej, że do zapisania się na newsletter wymagany jest minimalny wiek 13 lat lub wystarczająca zdolność do czynności prawnych. Stwierdzono również, że wypełnienie formularza subskrypcji newslettera będzie traktowane jako zgoda na przetwarzanie danych osobowych. Stanowi to naruszenie RODO, gdyż zgodnie z art. 8 RODO, przetwarzanie danych osobowych osób poniżej 16 roku życia wymaga zgody osoby, której przysługuje władza rodzicielska nad dzieckiem.Link
491FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-12-176000LekarzArt. 32 RODO, Art. 33 RODOFrancuski organ ochrony danych (CNIL) ukarał lekarza grzywną w wysokości 6.000 euro za naruszenie art. 32 RODO i Art. 33 RODO. Administrator danych przechowywał na serwerze dane obrazów medycznych, takie jak obrazy rezonansu magnetycznego i zdjęcia rentgenowskie, a także dane osobowe, takie jak nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów, aby móc uzyskać do nich dostęp ze swojego domowego komputera. Przegląd systemów kontrolera wykazał, że dostęp do serwera nie był odpowiednio zabezpieczony. Pozwoliłoby to każdemu na dostęp do danych jego pacjentów. Ponadto wyciek danych istniał od około pięciu lat. Organ ochrony danych stwierdził zatem, że lekarz nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych.Link


Link
490FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-12-173000LekarzArt. 32 RODO, Art. 33 RODOFrancuski organ ochrony danych (CNIL) ukarał lekarza grzywną w wysokości 3.000 euro za naruszenie art. 32 RODO i Art. 33 RODO. Administrator danych przechowywał na swoim komputerze dane obrazów medycznych, takich jak zdjęcia z rezonansu magnetycznego i zdjęcia rentgenowskie, a także dane osobowe, takie jak nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów. Administrator nie podjął odpowiednich środków technicznych w celu zapewnienia bezpieczeństwa danych, w związku z czym dostęp do danych jego pacjentów mogła uzyskać każda osoba bez ochrony dostępu. Organ ochrony danych zauważa, że dane te były dostępne przez około cztery miesiące.Link


Link
489RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-12-17100000Banca Transilvania SAArt. 5 (1) f) RODO, Art. 32 (1), (2) RODORumuński organ ochrony danych (ANSPDCP) ukarał Banca Transilvania SA grzywną w wysokości 100 000 EUR za naruszenie art. 5 (1) f) RODO, Art. 32 (1) RODO oraz Art. 32 (2) RODO. Stwierdzono, że bank zażądał od klienta oświadczenia o przeznaczeniu określonej kwoty pieniędzy, którą chciał wypłacić ze swojego konta. Oświadczenie to zostało złożone w banku przez Internet i przekazane kilku pracownikom banku. Jeden z pracowników sfotografował oświadczenie telefonem komórkowym i rozpowszechnił je za pomocą aplikacji WhatsApp. Następnie dokument został umieszczony na portalu społecznościowym Facebook oraz na stronie internetowej. Sytuacja ta doprowadziła do ujawnienia i nieuprawnionego dostępu do niektórych danych osobowych dotyczących czterech osób, których dane dotyczą, pomimo zobowiązania Banku do przestrzegania zasady integralności i poufności danych osobowych zgodnie z wymogami art. 5 (1) f) RODO. Organ zwraca uwagę, że ujawnienie danych świadczy również o nieskuteczności wewnętrznych szkoleń pracowników Banku w zakresie przestrzegania standardów ochrony danych osobowych. Szkolenia te są jednak integralną częścią środków technicznych i organizacyjnych, które Bank był zobowiązany wdrożyć, art. 32 RODO.Link
488ŁotwaDatu Valsts Inspekcija (DVI)2020-12-156250NieznanyArt. 13 RODOŁotewski organ ochrony danych (DSI) ukarał pracodawcę grzywną w wysokości 6 250 EUR za przesłanie drogą elektroniczną danych osobowych pracownika, w tym danych dotyczących jego zdrowia, do innych pracowników. DSI stwierdził, że dane osobowe osoby, której dane dotyczą, były przetwarzane bez odpowiedniej podstawy prawnej, a zatem przetwarzanie to było niezgodne z prawem.Link
487ŁotwaDatu Valsts Inspekcija (DVI)2020-12-1515000HH Invest SIAArt. 5 RODO, Art. 6 (1) f) RODOŁotewski organ ochrony danych (DSI) ukarał sklep internetowy HH Invest SIA grzywną w wysokości 15 000 EUR. Stwierdzono, że informacje dotyczące polityki prywatności zamieszczone na stronie internetowej spółki nie są łatwo zrozumiałe. Stanowi to naruszenie art. 13 RODO.Link
486SzwecjaDatainspektionen2020-12-1529500Uppsalahem ABArt. 5 RODO, Art. 6 (1) f) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał przedsiębiorstwo mieszkaniowe Uppsalahem AB grzywną w wysokości 300.000 SEK (29.500 EUR). Przedsiębiorstwo mieszkaniowe zainstalowało w budynku mieszkalnym kamery monitorujące jedno piętro po tym, jak doszło do zakłóceń porządku i zdarzeń naruszających bezpieczeństwo. Kamery monitorowały nie tylko klatkę schodową, ale również drzwi wejściowe jednego z mieszkańców. W związku z tym, gdy drzwi zostały otwarte, wnętrze mieszkania było również rejestrowane przez monitoring. Chociaż firma mogła mieć uzasadniony interes w monitoringu, to przeważyło nad nim prawo mieszkańców do prywatności.Link
485IrlandiaData Protection Commission (DPC)2020-12-15450000Twitter International CompanyArt. 33 (1), (5) RODOIrlandzki organ ochrony danych (DPC) nałożył na Twitter International Company grzywnę w wysokości 450 000 EUR za naruszenie art. 33 (1) RODO oraz Art. 33 ust. 5 RODO za niezawiadomienie organu ochrony danych w odpowiednim czasie o naruszeniu ochrony danych i nieodpowiednie udokumentowanie tego naruszenia. Naruszenie danych dotyczyło ustawień prywatności wpisów użytkowników na platformie mediów społecznościowych Twitter. Użytkownicy mają tam możliwość ustawienia widoczności swoich postów na prywatną lub publiczną. Posty prywatne mogą być widziane tylko przez subskrybentów danego profilu użytkownika, natomiast posty publiczne są widoczne publicznie. Błąd programistyczny w aplikacji Twittera na Androida spowodował, że niektóre prywatne posty były widoczne publicznie. Urząd Ochrony Danych stwierdził, że Twitter nie wypełnił należycie swoich obowiązków w zakresie sprawozdawczości i dokumentacji. Zespół prawny Twittera dowiedział się o błędzie 2 stycznia 2019 r., a dopiero 8 stycznia firma poinformowała DPC. W związku z tym spółka nie poinformowała DPC w terminie 72 godzin wymaganym przez Art. 33 (1) RODO. Ponadto nie udokumentowało odpowiednio incydentu zgodnie z art. 33 ust. 5 RODO. 33 (5) RODO.Link
484GrecjaHellenic Data Protection Authority (HDPA)2020-10-291000American College of GreeceArt. 12 (3), (4) RODOGrecki organ ochrony danych (HDPA) nałożył na American College of Greece grzywnę w wysokości 1 000 EUR za naruszenie prawa dostępu i prawa do usunięcia danych osobowych.Link
483PolskaUrząd ochrony danych osobowych (UODO)2020-12-14443000Virgin Mobile PolskaArt. 5 (1) f), (2) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODOUODO nałożył na Virgin Mobile Polska karę pieniężną w wysokości 443 000 euro w związku z wyciekiem danych, który umożliwił nieupoważnionym osobom trzecim dostęp do danych osobowych przechowywanych przez Virgin Mobile Polska w wyniku nieodpowiednich środków bezpieczeństwa. DPA zauważa, że spółka nie przeprowadzała regularnych i szeroko zakrojonych testów skuteczności środków stosowanych w celu zapewnienia bezpieczeństwa danych. Działania w tym zakresie były bowiem prowadzone jedynie w przypadku podejrzenia wycieku zabezpieczeń.Link
482SzwecjaDatainspektionen2020-12-1154000Umeå UniversityArt. 5 (1) f) RODO, Art. 32 (1), (2) RODOSzwedzki DPA (Datainspektionen) ukarał Uniwersytet Umeå grzywną w wysokości 550 000 SEK (54 000 EUR) w związku z niestosowaniem odpowiednich środków technicznych i organizacyjnych w celu ochrony danych. W ramach projektu badawczego dotyczącego gwałtów na mężczyznach, uniwersytet przechowywał w chmurze amerykańskiego dostawcy usług kilka raportów policyjnych dotyczących tego typu incydentów. Raporty zawierały nazwiska, numery identyfikacyjne i dane kontaktowe osób, których dane dotyczą, jak również informacje o ich zdrowiu i życiu seksualnym, wraz z informacjami o podejrzeniu popełnienia przestępstwa. DPA zauważa, że przechowywanie danych w tej chmurze nie chroni w odpowiedni sposób tak szczególnie wrażliwych danych. Ponadto jeden z raportów z dochodzenia został wysłany w niezaszyfrowanej formie do szwedzkiej policji za pośrednictwem poczty elektronicznej. Jednak administrator nie udokumentował tego incydentu ani nie zgłosił go do organu ochrony danych.Link
481HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-115000000Banco Bilbao Vizcaya Argentaria, S.A.Art. 6 RODO, Art. 13 RODOHiszpański DPA (AEPD) ukarał Banco Bilbao Vizcaya Argentaria, S.A. grzywną w wysokości 5.000.000 EUR za naruszenie Art. 6 RODO (3.000.000 EUR) oraz Art. 13 RODO (2.000.000 EUR). Bank nie wdrożył konkretnego mechanizmu uzyskiwania zgody klientów na przetwarzanie ich danych. Ponadto, w swojej polityce prywatności nie użył precyzyjnej terminologii, ani nie dostarczył odpowiednich informacji na temat rodzaju danych osobowych, które mogą być przetwarzane. W szczególności AEPD zauważa, że cel i podstawa prawna przetwarzania danych nie są wystarczająco określone w oświadczeniu o ochronie prywatności.Link
480HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-104000Borjamotor, S.A.Art. 7 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4.000 euro na Borjamotor, S.A. Spółka ta nadal wysyłała reklamy komercyjne do osoby, której dane dotyczą, za pośrednictwem poczty elektronicznej i SMS-ów, mimo że osoba, której dane dotyczą, cofnęła wcześniej zgodę na otrzymywanie reklam i złożyła wniosek o usunięcie swoich danych. Pomimo potwierdzenia tego faktu przez spółkę, osoba, której dane dotyczą, nadal otrzymywała reklamy.Link
479BelgiaGegevensbeschermingsautoriteit (GBA)2020-11-131500NieznanyArt. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODO, Art. 37 (5) RODO, Art. 37 (7) RODOBelgijski organ ochrony danych (APD/GBA) nałożył grzywnę w wysokości 1 500 EUR na przedsiębiorstwo budownictwa społecznego za nieprzestrzeganie kilku zasad RODO, np. zasad legalności i przejrzystości (np. niewystarczające informacje w polityce prywatności, brak informacji na temat nadzoru kamer).Link
478HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-0910000NieznanyArt. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na firmę karę w wysokości 10.000 EUR za naruszenie art. 5 RODO. Firma wysłała e-mail do osoby trzeciej z dokumentem zwolnienia i rozliczenia osoby, której dane dotyczą, ujawniając jej dane osobowe bez jej zgody.Link
477HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-0940000Xfera Moviles S.A.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Xfera Móviles, S.A. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, twierdzi, że dwa numery telefoniczne zostały zarejestrowane na jej nazwisko. Jednakże osoba, której dane dotyczą, nigdy nie podpisała ze spółką umów na żadne z tych usług. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów z wykorzystaniem danych osobowych osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych przedsiębiorstwa bez sprawdzenia, czy umowy zostały zawarte zgodnie z prawem i faktycznie przez osobę, której dane dotyczą, czy wyraziła ona zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych lub czy istniał jakikolwiek inny powód uzasadniający przetwarzanie.Link
476HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-0210000Losada Advocats S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Losada Advocats S.L. za wysłanie wiadomości e-mail do kilkudziesięciu odbiorców bez umieszczenia ich na liście BCC, naruszając w ten sposób art. 32 RODO oraz Art. 5 ust. 1 lit. f) RODO.Link
475HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-271200Osoba fizycznaArt. 5 (1) a) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1 200 EUR na osobę fizyczną za podszywanie się pod osobę trzecią na portalach społecznościowych Tinder i WhatsApp poprzez wykorzystanie zdjęć osoby trzeciej na swoim profilu. Zdjęcia te zostały wykorzystane bez zgody osoby, której dane dotyczą.Link
474NorwegiaDatatilsynet2020-12-0318840Gmina Indre ØstfoldArt. 6 RODO, Art. 32 (1) b) RODONorweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 200 000 NOK (18 840 EUR) na gminę Indre Østfold. Datatilsynet ustaliło, że na stronie internetowej gminy opublikowano akta uczniów zawierające dane osobowe.Link
473SzwecjaDatainspektionen2020-12-032900000Capio St. Göran ABArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki DPA (Datainspektionen) ukarał Capio St. Göran AB grzywną w wysokości 30 000 000 SEK (2 900 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informatycznych Cosmic, Nationell patientöversikt i TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dało to użytkownikom pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do celów służbowych.Link
472SzwecjaDatainspektionen2020-12-03390100Szpital Uniwersytecki Karolinska w SolnaArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał szpital uniwersytecki Karolinska w Solnej grzywną w wysokości 4 000 000 SEK (390 100 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do celów służbowych.
Link
471SzwecjaDatainspektionen2020-12-03341300Szpital Uniwersytecki SahlgrenskaArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał szpital uniwersytecki Sahlgrenska grzywną w wysokości 3 500 000 SEK (341 300 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informacyjnych Melior i Nationell patientöversikt nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do celów służbowych. Ponadto w szpitalnym systemie informacyjnym Melior nie prowadzono ewidencji, kiedy i w jakim celu uzyskano dostęp do danych pacjentów.Link
470SzwecjaDatainspektionen2020-12-03243800Region VästerbottenArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał region Västerbotten grzywną w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników systemu dokumentacji medycznej NCS Cross nie były przydzielane zgodnie z zasadą minimalnego dostępu. Powodowało to, że użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do pracy.Link
469SzwecjaDatainspektionen2020-12-03243800Region ÖstergötlandArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał region Östergötland grzywną w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego Cosmic nie były przydzielane zgodnie z zasadą minimalnego dostępu. Powodowało to, że użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do pracy.Link
468HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-032400Dr Marín Cirugia Plástica, S.L.P.Art. 13 RODOHiszpański organ ochrony danych (aepd) nałożył na lekarza grzywnę w wysokości 4.000 euro z powodu braku polityki prywatności na jego stronie internetowej, naruszając tym samym art. 13 RODO. Pierwotna grzywna w wysokości 4.000 EUR została obniżona w przypadku zarówno natychmiastowej zapłaty do kwoty 2.400 EUR.Link
467SzwecjaDatainspektionen2020-12-031168000Aleris Sjukvård ABArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki DPA (Datainspektionen) ukarał Aleris Sjukvård AB grzywną w wysokości 12 000 000 SEK (1 168 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego Nationell patientöversikt (NPÖ) nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do pracy.Link
466SzwecjaDatainspektionen2020-12-031463000Aleris Sjukvård ABArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki DPA (Datainspektionen) ukarał Aleris Sjukvård AB grzywną w wysokości 15 000 000 SEK (1 463 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do pracy.Link
465HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-025000Asociación de Víctimas por Arbitrariedades Judiciales, (JAVA)Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie grzywnę w wysokości 5.000 EUR za opublikowanie na swojej stronie internetowej danych osobowych osób, których dane dotyczą. Dane te zostały bezprawnie zarejestrowane bez ich zgody w toku innego postępowania sądowego i zostały przekazane stowarzyszeniu przez stronę dokonującą nagrania.Link
464HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-023000Comercio Online Levante, S.L.Art. 5 (1) f) RODO, Art. 32 RODOPewna kobieta złożyła skargę do hiszpańskiego organu ochrony danych (AEPD) przeciwko Comercio Online Levante, S.L. w związku z tym, że przy próbie dostępu do jej konta użytkownika w sklepie internetowym perfumespremium.es, prowadzonym przez administratora, pokazano jej dane osobowe innego użytkownika.Link
463HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-026000Servicio de Alojamientos Responsables, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na administratora danych grzywnę w wysokości 6.000 euro za nieuprawnione zawarcie umowy w imieniu osoby, której dane dotyczą, bez jej zgody. Osoba, której dane dotyczą, dowiedziała się o tym dopiero po złożeniu przeciwko niej skargi o naruszenie umowy. AEPD uznał, że tym aktem administrator danych bezprawnie przetwarzał dane osobowe osoby, której dane dotyczą.Link
462AustriaÖsterreichische Datenschutzbehörde (DSB)2020-10-19150Osoba fizycznaArt. 5 (1) a) RODO, Art. 6 RODOOsoba fizyczna nagrywała kobietę podczas korzystania przez nią z jednej z kabin WC, umieszczając telefon komórkowy (smartfon z funkcją aparatu fotograficznego) pod ścianką działową kabiny WC, z ekranem skierowanym do góry i aktywną podczas całego procesu przednią kamerą telefonu komórkowego.Link
461AustriaÖsterreichische Datenschutzbehörde (DSB)2020-10-19600Osoba fizycznaArt. 5 (1) a) RODO, Art. 9 RODOW okresie od lutego do czerwca 2020 r. osoba fizyczna publikowała na swojej prywatnej stronie na Facebooku informacje o pacjentach. Informacje te zawierały dane o stanie zdrowia w rozumieniu art. 4 (15) RODO. W szczególności opublikowane dane obejmowały nazwiska pacjentów, wyniki badań diagnostycznych, diagnozy lekarskie, dane dotyczące leków, dane dotyczące przyjęć i wypisów ze szpitala, numery ubezpieczenia społecznego pacjentów oraz nazwiska lekarzy prowadzących leczenie.Link
460BelgiaGegevensbeschermingsautoriteit (GBA)2020-11-251500Osoba fizycznaArt. 6 RODO, Art. 25 RODOBelgijski organ ochrony danych (APD) nałożył grzywnę na osoby fizyczne. Administratorzy zainstalowali na swojej prywatnej posesji kamery wideo, z których dwie były ustawione w taki sposób, że mogły rejestrować obrazy przestrzeni publicznej i prywatnej posesji sąsiada. Ponadto administratorzy przekazali te obrazy osobie trzeciej.Link
459WłochyGarante per la protezione dei dati personali (Garante)2020-11-2320000Burgo Group S.p.AArt. 5 RODO, Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na przedsiębiorstwo grzywnę w wysokości 20 000 EUR za praktyki niezgodne z przepisami. I tak, na przykład, dyrektor personalny przekazał czterem osobom w firmie rozmowę e-mailową między osobą, której dane dotyczą, a kolegą z pracy, zawierającą dane osobowe (informacje dotyczące dyskomfortu fizycznego i psychicznego w miejscu pracy).Link
458HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-2540000Miraclia Telecomunicaciones S.L.Art. 6 RODO, Art. 13 RODO, Art. 14 RODOHiszpański organ ochrony danych (AEPD) nałożył na Miraclia Telecomunicaciones S.L. karę pieniężną w wysokości 40.000 euro za naruszenie art. 6, 13 i 14 RODO. Miraclia Telecomunicaciones S.L. jest operatorem aplikacji prank na telefon, w której można wybrać "prank" i wprowadzić numer telefonu odbiorcy. Następnie odbiorca dzwoni na wprowadzony numer i dowcip jest realizowany. AEPD zauważa, że operator naruszył obowiązek udzielenia informacji dotyczących zbierania danych osobowych osoby, której dane dotyczą. Ponadto zauważa, że Miraclia za pośrednictwem tej aplikacji w żadnym momencie nie informuje osoby, której dane dotyczą (osoby, która odbiera "prank call" i jest nagrywana) o przysługującym jej prawie do wyrażenia zgody zgodnie z przepisami RODO.Link
457FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-11-182250000Carrefour FranceArt. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO, Art. 33 RODOFrancuski organ ochrony danych (CNIL) ukarał Carrefour France grzywną w wysokości 2 250 000 euro za kilka naruszeń przepisów dotyczących ochrony danych, w tym RODO. W trakcie dochodzenia CNIL stwierdziła, że informacje dotyczące danych osobowych przekazywane użytkownikom stron internetowych carrefour.fr oraz osobom pragnącym przystąpić do programu lojalnościowego nie były ani łatwo dostępne, ani zrozumiałe. CNIL stwierdził również, że informacje dotyczące przekazywania danych do krajów spoza UE oraz dotyczące czasu przechowywania danych były niekompletne. CNIL zauważa również, że firma nie przestrzegała limitów czasowych przechowywania danych. Ponadto, dane ponad dwudziestu ośmiu milionów klientów, którzy byli nieaktywni przez pięć do dziesięciu lat, były przechowywane dla celów związanych z programem lojalnościowym. Dotyczyło to również 750.000 użytkowników strony carrefour.fr, którzy byli nieaktywni od pięciu do dziesięciu lat. CNIL stwierdza, że firma wymagała dowodu tożsamości w przypadku prawie każdego wniosku użytkownika o skorzystanie z prawa. Ten automatyczny wymóg nie był jednak uzasadniony, ponieważ w większości przypadków nie było wątpliwości co do tożsamości osób, których dane dotyczą. Ponadto przedsiębiorstwo nie odpowiedziało na kilka wniosków osób, które chciały uzyskać dostęp do swoich danych osobowych. W wielu przypadkach przedsiębiorstwo nie usunęło również danych, o które wnioskowały osoby fizyczne. Wreszcie, przedsiębiorstwo nie odpowiedziało na kilka wniosków osób, które nie wyraziły zgody na otrzymywanie reklam za pośrednictwem wiadomości SMS lub e-mail.Link
456SzwecjaDatainspektionen2020-11-2519500Gmina GnosjöArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 35 RODO, Art. 36 RODOSzwedzki organ ochrony danych nałożył grzywnę na gminę Gnosjö za nielegalny monitoring wideo w domu opieki dla osób z pewną niepełnosprawnością funkcjonalną.Link
455SzwecjaDatainspektionen2020-11-24394000Miasto SztokholmArt. 5 RODO, Art. 32 RODOSzwedzki urząd ochrony danych osobowych nałożył grzywnę na miasto Sztokholm za naruszenie danych na szkolnej platformie edukacyjnej. Platforma składa się z różnych podsystemów, w tym systemu monitorowania frekwencji w szkole, systemu administracji uczniami, interfejsu dla rodziców oraz interfejsu administracyjnego dla nauczycieli. W jednym z podsystemów brak możliwości ograniczenia dostępu użytkowników do danych umożliwił znacznej liczbie pracowników dostęp do informacji o uczniach przy użyciu chronionej tożsamości. W innym podsystemie rodzice mogli stosunkowo łatwo uzyskać dostęp do informacji o innych uczniach, takich jak oceny. Za pomocą wyszukiwarki Google można było znaleźć linki umożliwiające wejście do interfejsu administracyjnego, w którym dostępne były informacje o nauczycielach posługujących się tożsamością chronioną.Link
454FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-11-18800000Carrefour BanqueArt. 5 RODOFrancuski organ ochrony danych (CNIL) nałożył na Carrefour Banque grzywnę za naruszenie obowiązku rzetelnego przetwarzania danych (art. 5 ust. 1 RODO). Jeżeli osoba, która zapisała się na kartę Pass (karta kredytowa, która może być dołączona do konta lojalnościowego), chciała również uczestniczyć w programie lojalnościowym, musiała zaznaczyć pole, w którym wyrażała zgodę na przesyłanie przez Carrefour Banque jej nazwiska, imienia i adresu e-mail do "Carrefour fidélité". Carrefour Banque wyraźnie zaznaczył, że nie będą przekazywane żadne inne dane. CNIL zauważyła jednak, że inne dane, takie jak adres pocztowy, numer telefonu i liczba dzieci, zostały przekazane, chociaż przedsiębiorstwo zobowiązało się nie przekazywać żadnych innych danych..Link
453RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-11-245000Dada Creation S.R.L.Art. 32 RODO, Art. 33 RODOZe względu na nieodpowiednie środki techniczne i organizacyjne firma ujawniła za pośrednictwem sklepu internetowego dane dotyczące zamówień, dostaw i dane osobowe ponad 1000 klientów. Dane te były wyświetlane na dokumencie w sklepie internetowym, który można było łatwo pobrać (braj ochrony dostępu). Ponadto przedsiębiorca nie zgłosił wycieku do organu ochrony danych.Link
452HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-182000Anmavas 61, S.L.Art. 58 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Anmavas 61, S.L. za nieprzyznanie lub nieuzasadnioną odmowę prawa do usunięcia danych osobie, której dane dotyczą, nawet po otrzymaniu ostrzeżenia wydanego przez AEPD.Link
451RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-11-234000 Vodafone România SAArt. 12 RODO, Art. 15 RODO, Art. 17 RODORumuński organ ochrony danych osobowych (ANSPDCP) nałożył na Vodafone România SA karę w wysokości 4.000 EUR. Grzywna została nałożona w wyniku skarg, w których zarzucono operatorowi, że nie odpowiedział na wnioski o dostęp do danych i ich usunięcie. Operator nie był w stanie przedstawić żadnych dowodów na uniewinnienie.Link
450HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-2312000Recambios Villalegre S.L.Art. 6 RODO, Art. 13 RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał firmę grzywną za zamieszczenie zdjęć osoby na Facebooku i WhatsApp oraz oskarżenie jej o kradzież w powiązanych postach. Zdjęcia zostały uzyskane dzięki systemowi nadzoru wideo firmy. Firma dalej zachęcała innych użytkowników do udostępniania zarówno zdjęć, jak i postów. Posty zaowocowały setkami upokarzających, obraźliwych, a nawet zawierających groźby komentarzy. AEPD nałożyła grzywnę w wysokości 10 000 EUR za publikację zdjęć oraz 2 000 EUR za niezainstalowanie znaku wymaganego do monitoringu wizyjnego sklepu.Link
449IrlandiaData Protection Commission (DPC)2020-08-1865000Szpital położniczy Uniwersytetu CorkArt. 5 RODO, Art. 32 RODOUrząd Ochrony Danych Osobowych w Irlandii nałożył karę na Cork University Maternity Hospital (CUMH) po tym, jak odkryto, że dane osobowe 78 pacjentów zostały wyrzucone do publicznego centrum recyklingu. Wśród wyrzuconych dokumentów, niektóre zawierają dane osobowe kategorii specjalnej sześciu pacjentów. Uważa się, że naruszenie w CUMH dotyczy wrażliwych danych zdrowotnych pacjentów, takich jak historia medyczna i przyszły planowany program opieki.Link
448WłochyGarante per la protezione dei dati personali (Garante)2020-11-172000Gmina CollegnoArt. 12 RODO, Art. 13 RODO, Art. 14 RODOGrzywna za nieprzestrzeganie prawa osoby, której dane dotyczą, do dostępu do informacji, ponieważ gmina odrzuciła wniosek osoby, której dane dotyczą, o udostępnienie danych z systemu nadzoru kamer.Link
447WłochyGarante per la protezione dei dati personali (Garante)2020-11-1730000Prowincjonalny Urząd Zdrowia CosenzaArt. 9 RODOPublikowanie na stronie internetowej urzędu danych osobowych (m.in. imię i nazwisko, adres, numer identyfikacji podatkowej) osób, które mają roszczenia odszkodowawcze wobec urzędu, bez wystarczającej podstawy prawnejLink
446HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-1642000Vodafone España, S.A.UArt. 5 RODO, Art. 6 RODOW 2019 r., po przeprowadzeniu postępowania arbitrażowego, firma zgodziła się na wcześniejsze rozwiązanie umowy z osobą, której dane dotyczą, oraz na usunięcie danych osobowych, których to dotyczy. Mimo to osoba, której dane dotyczą, nadal otrzymywała e-maile od firmy, co stanowiło przetwarzanie danych osobowych bez wystarczającej podstawy prawnej.Link
445HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-161600Stowarzyszenie właścicieli nieruchomościArt. 5 (1) c) RODOWykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych).Link
444HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-1142000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOFirma przeniosła numer telefonu osoby, której dane dotyczą, bez jej zgody (brak podpisu na umowie przeniesienia).Link
443HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-2650000Conseguridad SLArt. 37 RODOSpółka (prywatna firma ochroniarska zajmująca się systemami monitoringu wizyjnego) nie posiadała inspektora ochrony danych osobowych, co stanowiło naruszenie art. 37 RODO.Link
442HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-264000Organic Natur 03 S.L.Art. 13 RODOStosowanie umowy członkowskiej zawierającej predefiniowane klauzule prywatności, co uniemożliwia skuteczne negocjacje i uzyskanie wyraźnej zgody podpisującego ją klienta.Link
441HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-103000Miguel Ibáñez Bezanilla, S.L.Art. 13 RODO, Art. 32 RODOStrona internetowa firmy (sprzedawcy tablic rejestracyjnych) wymagała podania danych osobowych, takich jak imię i nazwisko, kopia dowodu osobistego i prawa jazdy oraz numer VIN samochodu, ale nie oferowała ani szyfrowanego protokołu przesyłania danych, ani zaktualizowanej polityki przetwarzania danych zgodnie z RODO.Link
440Wielka BrytaniaInformation Commissioner (ICO)2020-11-131405000Ticketmaster UK LimitedArt. 5 (1) f) RODO, Art. 32 RODOTicketmaster UK Limited został ukarany grzywną w wysokości 1,25 mln GBP (około 1,405 mln EUR) za brak ochrony danych osobowych swoich klientów za pomocą odpowiednich środków bezpieczeństwa. Potencjalnie 9,4 mln europejskich klientów mogło zostać dotkniętych cyberatakiem w okresie od lutego 2018 r. do 23 czerwca 2018 r. z powodu korzystania z niewystarczająco zabezpieczonego chatbota hostowanego przez stronę trzecią w swojej witrynie płatności online, co umożliwiło atakującemu uzyskanie dostępu do informacji finansowych klientów. ICO stwierdziła również, że 60 000 kart płatniczych należących do klientów Barclays Bank było przedmiotem oszustwa, a kilka międzynarodowych banków również zgłosiło Ticketmasterowi oszustwo.Link
439HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-0620000Xfera Moviles S.A.Art. 31 RODOXfera Móviles nie współpracowała z AEPD w dochodzeniu dotyczącym naruszeń prywatności. Xfera Móviles nie odpowiedziała na wniosek o udzielenie informacji ani nie dostarczyła wymaganej dokumentacji.Link
438WłochyGarante per la protezione dei dati personali (Garante)2020-11-1212251601Vodafone Italia S.p.A.Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 15 (1) RODO, Art. 16 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 32 RODO, Art. 33 RODOSpółka została ukarana grzywną w wysokości 12 251 601 euro za bezprawne przetwarzanie danych osobowych milionów klientów w celach telemarketingowych. Postępowanie poprzedziły setki skarg od osób, których dane dotyczyły, dotyczących niezamówionych połączeń telefonicznych, które doprowadziły do wszczęcia dochodzenia przez organ ochrony danych. Dochodzenie to wykazało szereg naruszeń prawa ochrony danych, w tym naruszenie wymogów dotyczących zgody oraz naruszenie ogólnych obowiązków w zakresie ochrony danych, takich jak rozliczalność. Jednym z głównych zarzutów sformułowanych przez organ ochrony danych było wykorzystywanie fałszywych numerów do wykonywania połączeń promocyjnych przez wynajęte centra telefoniczne (tj. numerów telefonów niezarejestrowanych w krajowym skonsolidowanym rejestrze operatorów komunikacyjnych). Ponadto stwierdzono dalsze naruszenia w zakresie obsługi list kontaktowych zakupionych od zewnętrznych dostawców. Wreszcie, środki bezpieczeństwa w zakresie zarządzania danymi klientów również zostały uznane za nieodpowiednie.Link
437HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-1936000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Przedsiębiorstwo wysłało fakturę osobie, której dane dotyczą, nie będąc w stanie udowodnić, że zawarło z nią umowę.Link
436HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-0575000Telefonica Moviles Espana, S.A.U.Art. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Przedsiębiorstwo wystawiło kilka faktur osobie, której dane dotyczą, i pobrało kwoty faktur z jej rachunku bankowego, przy czym osoba ta nie była klientem przedsiębiorstwa. Skargi złożone przeciwko spółce przez osobę, której dane dotyczą, pozostały bezskuteczne.Link
435HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-0330000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej z powodu błędów w prawidłowym przypisaniu umów z klientami. W tym przypadku Vodafone zażądał należności od osoby, której dane dotyczą, z powodu pomylenia klientów.Link
434HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-284000Play Orenes, S.L.Art. 5 (1) c) RODOFirma używała kamer CCTV na zewnątrz swojej siedziby, które rejestrowały również przestrzeń publiczną, co stanowiło naruszenie zasady minimalizacji danych.Link
433WłochyGarante per la protezione dei dati personali (Garante)2020-10-2620000Università Campus Bio-medico di RomaArt. 5 (2) a), f) RODO, Art. 9 RODOW zgłoszeniu naruszenia danych zgodnie z art. 33 RODO, organ ochrony danych stwierdził, że pacjenci uzyskujący dostęp do swoich raportów medycznych online za pomocą smartfonów mogli uzyskać dostęp do danych osobowych 74 innych pacjentów. Według polikliniki powodem tego był błąd ludzki w integracji dwóch systemów informatycznych.Link
432CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-10-226000Policja cypryjskaArt. 32 RODOFunkcjonariusz policji uzyskał nieuprawniony dostęp do bazy danych zawierającej dane osobowe właścicieli pojazdów i wykorzystał bazę danych do celów nieoficjalnych, przekazując informacje z bazy danych osobie trzeciej. W tym zakresie środki organizacyjne i techniczne podjęte przez policję w celu zapobieżenia nieuprawnionemu dostępowi do bazy danych były niewystarczające, aby zapobiec nieuprawnionemu ujawnieniu danych osobowych osobom trzecim.Link
431HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-2836000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej z powodu błędów w prawidłowym przypisaniu umów z klientami.Link
430WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-10-23548000Deichmann Cipőkereskedelmi Korlátolt Felelősségű TársaságnakArt. 12 RODO, Art. 15 RODO, Art. 18 (1) c) RODO, Art. 25 RODOAdministrator danych odmówił osobie, której dane dotyczą, dostępu do materiału wideo zarejestrowanego przez telewizję przemysłową w lokalnym sklepie, za pomocą którego osoba, której dane dotyczą, chciała udowodnić, że nie otrzymała zwrotu pieniędzy po dokonaniu płatności w sklepie. Spółka nie tylko odmówiła osobie, której dane dotyczą, dostępu do danych zgodnie z art. 15 RODO (argumentując, że wymagałoby to urzędowego nakazu), ale również usunęła nagrania wideo po pewnym czasie, mimo że osoba, której dane dotyczą, zwróciła się do firmy o nieusuwanie danych z wyprzedzeniem zgodnie z art. 18 ust. 1 lit. c) RODO. 18 (1) c) RODO.Link
429LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2020-10-2115000Zarząd Miasta WilnaArt. 5 (1) d) RODO, Art. 5 (1) f) RODOPodczas synchronizacji danych Systemu Informacji o Ludności Administracji Miejskiej z bazami danych Państwowego Centrum Rejestrów Gospodarczych, dane osobowe osoby ubiegającej się o przyznanie prawa do opieki nad adoptowanym dzieckiem zostały zastąpione, z powodu błędu, danymi osobowymi rodziców biologicznych, które następnie były dostępne w Rejestrze Ludności Republiki Litewskiej. Stanowiło to naruszenie zasad integralności i poufności przetwarzania danych osobowych (art. 5 ust. 1 lit. f) RODO) oraz naruszenie zasady ścisłości.Link


Link
428WłochyGarante per la protezione dei dati personali (Garante)2020-09-032000Gmina CasaloldoArt. 5 RODO, Art. 6 RODOPublikacja danych osobowych na stronie internetowej gminy.Link
427WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-07-231700PracodawcaArt. 12 RODO, Art. 15 RODO, Art. 17 RODOBrak zmiany prywatnego adresu pracownika na nowy i usunięcia starego adresu, a także niewystarczające umożliwienie pracownikowi skorzystania z przysługujących mu praw.Link
426HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-227800Iweb Internet Learning, S.L.Art. 7 RODO, Art. 12 RODO, Art. 13 RODOBrak informacji w polityce prywatności (informacji o administratorze danych), a także nieodpowiednie uzyskanie zgody, gdyż można było wyrazić jedynie ogólną zgodę bez rozróżnienia na różne cele przetwarzania danych.Link
425RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-10-202000Globus Score SRLArt. 58 RODOFirma nie dostarczyła danych, których zarządał organLink
424HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-064000Callesgarcia, S.L.Art. 5 RODO, Art. 6 RODOWykorzystanie fotografii osób, których dane dotyczą, do celów komercyjnych bez wystarczającej podstawy prawnej.Link
423HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-033000Avata Hispania, S.L.Art. 5 RODO, Art. 6 RODO, Art. 28 (3) g) RODONaruszenie art. 28 ust. 3 lit. g) RODO, gdyż dane osobowe były dalej przetwarzane po rozwiązaniu przez administratora stosunku umownego z podmiotem przetwarzającym.Link
422CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-10-1915000Bank of Cyprus Public Company LtdArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 15 RODO, Art. 32 RODO, Art. 33 RODOOsoba, której dane dotyczą, złożyła wniosek o dostęp do informacji zgodnie z art. 15 RODO, na które nie można było odpowiedzieć, ponieważ umowa ubezpieczenia osoby, której dane dotyczą, nie mogła zostać odnaleziona i została utracona. Stanowiło to naruszenie praw osoby, której dane dotyczą, wynikających z art. 15 RODO, jak również naruszenie obowiązków ochrony danych osobowych zgodnie z art. 5 (1) f) RODO oraz art. 32 RODO. Ponadto, obowiązki w zakresie powiadamiania o naruszeniu danych osobowych zgodnie z art. 33 f. RODO, ponieważ osoba, której dane dotyczą, nie została poinformowana o incydencie bezpieczeństwa w odpowiednim czasie.Link
421CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-10-191000Grant Ideas LtdArt. 5 RODO, Art. 6 RODOWysyłanie wiadomości e-mail do osób, których dane dotyczą, bez wystarczającej podstawy prawnej.Link
420RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-10-153000S.C. Marsorom S.R.L.Art. 32 RODOUjawnienie danych osobowych klientów na stronie internetowej firmy z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo informacji.Link
419HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-095000Caja Rural San José de Nules S. Cooperativa de CréditoArt. 5 (1) f) RODOFirma opublikowała informacje z imionami i nazwiskami swoich pracowników, co doprowadziło do ujawnienia sytuacji finansowej osoby, której dane dotyczą.Link
418HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-0950000Centro de Investigación y Estudio para la Obesidad, SLArt. 5 RODO, Art. 6 RODOGrzywny za przekazanie danych osobowych osoby, której dane dotyczą, do Evo Finance EFC, SA w ramach rozpatrywania wniosku o ubezpieczenie zdrowotne, bez wystarczającej podstawy prawnej do przekazania danych, ponieważ leczenie, o którym mowa, nigdy nie zostało przeprowadzone.Link
417HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-092000Osoba fizycznaArt. 5 (1) c) RODO, Art. 6 RODOWykorzystanie kamery CCTV, która rejestrowała również przestrzeń prywatną sąsiada.
Link
416NorwegiaDatatilsynet2020-09-2513900Odin Flissenter ASArt. 5 RODO, Art. 6 RODOSpółka dokonała oceny wiarygodności innej spółki i tym samym, zdaniem Datatilsynet, przetwarzała dane osobowe dotyczące osoby fizycznej (właściciela ocenianej spółki), nie mając ku temu wystarczającej podstawy prawnej.Link
415HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-09900Café Restaurante B.B.BArt. 5 (1) c) RODOW kawiarni zastosowano kamery CCTV, które zarejestrowały również przestrzeń publiczną na zewnątrz, co stanowiło naruszenie tzw. zasady minimalizacji danych.Link
414HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-303000Venu Sanz Chef, S.L.Art. 5 RODO, Art. 6 RODOWykorzystywanie danych osobowych do celów reklamowych bez wystarczającej podstawy prawnej.Link
413RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-10-012000Asociația de proprietari Militari RArt. 31 RODO, Art. 58 RODOGrzywna za nieprzestrzeganie nakazu organu nadzorczego.Link
412RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-10-013000Megareduceri TV S.R.L.Art. 31 RODO, Art. 58 RODOGrzywna za nieprzestrzeganie nakazu organu nadzorczego.Link
411HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-0660000LycamobileArt. 5 RODO, Art. 6 RODOGrzywna za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej z powodu nieprawidłowych informacji o właścicielach przedpłaconych kart telefonicznych (niezgodność między właścicielami zarejestrowanymi w rejestrze handlowym firmy, a rzeczywistymi właścicielami kart).Link
410PolskaUrząd ochrony danych osobowych (UODO)2020-06-031168Przedsiębiorca prowadzący niepubliczny żłobek i przedszkoleArt. 31 RODO, Art. 58 RODOGrzywna za brak odpowiedzi na wnioski organu nadzorczego o udzielenie dalszych informacji w odpowiednim czasie po naruszeniu ochrony danych.Link
409WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-07-1628Google Ireland Ltd.Art. 12 RODO, Art. 15 RODOBrak odpowiedzi na wniosek o dostęp do informacji złożony przez osobę, której dane dotyczą (art. 15 RODO - tu: dotyczący danych przetwarzanych w kontekście Google AdWords) w odpowiednim czasie.Link
408HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-2560000Xfera Moviles S.A.Art. 5 RODO, Art. 6 RODONieusunięcie danych osobowych osoby, której dane dotyczą, w momencie rezygnacji z umowy o świadczenie usług telefonicznych oraz niewysłanie ostrzeżenia osobie, której dane dotyczą, po rezygnacji, co skutkuje przetwarzaniem jej danych osobowych bez wystarczającej podstawy prawnej.Link
407WłochyGarante per la protezione dei dati personali (Garante)2020-09-3060000Scanshare s.r.l.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 32 RODOWedług organu ochrony danych osobowych, dane osobowe uczestników konkursu publicznego zostały bezprawnie ujawnione w Internecie. Powodem tego był fakt, że z powodu błędu w konfiguracji na platformie tymczasowo dostępna była lista kodów przypisanych kandydatom, co umożliwiało dostęp do dokumentów złożonych przez kandydatów wraz z ich danymi osobowymi. Stanowiło to naruszenie zasady ochrony bezpieczeństwa informacji, za które Scanshare - która przetwarzała dane w imieniu administratora danych "Azienda Ospedaliera di Rilievo Nazionale "Antonio Cardarelli"" (szpital prywatny) - została ukarana grzywną w wysokości 60 000 EUR. [Zobacz również główną grzywnę nałożoną na szpital!]Link
406WłochyGarante per la protezione dei dati personali (Garante)2020-09-3080000Azienda Ospedaliera di Rilievo Nazionale 'Antonio Cardarelli' (Szpital prywatny)Art. 5 (1) a) RODO, Art. 6 RODO, Art. 13 RODO, Art. 28 RODO, Art. 32 RODOWedług organu ochrony danych osobowych, dane osobowe uczestników konkursu publicznego zostały bezprawnie ujawnione w Internecie. Powodem tego był fakt, że z powodu błędu w konfiguracji na platformie tymczasowo dostępna była lista kodów przypisanych kandydatom, co umożliwiało dostęp do dokumentów złożonych przez kandydatów wraz z ich danymi osobowymi. Stanowiło to naruszenie zasady ochrony bezpieczeństwa informacji. Ponadto organ ochrony danych stwierdził, że nie zostały również spełnione obowiązki informacyjne oraz że szpital nie przedstawił wystarczającej umowy o przetwarzanie danych z podmiotem przetwarzającym dane [który również został ukarany grzywną, zob. grzywna dla "Scanshare"] zgodnie z art. 28 RODO.Link
405NiemcyOrgan ochrony danych osobowych Hamburga2020-10-0135258708H&M Hennes & Mauritz Online Shop A.B. & Co. KGArt. 5 RODO, Art. 6 RODOKoncern z branży odzieżowej z siedzibą w Hamburgu prowadzi centrum serwisowe w Norymberdze. Tutaj, zgodnie z ustaleniami hamburskiego inspektora ochrony danych, co najmniej od 2014 r. kompleksowo rejestrowano okoliczności życia prywatnego niektórych pracowników i informacje te przechowywano na dysku sieciowym. Na przykład przedsiębiorstwo przeprowadzało "rozmowę powitalną" po powrocie pracowników do pracy po urlopie lub chorobie. Informacje, które w tym kontekście stały się znane - w tym informacje o objawach choroby i diagnozach pracowników - zostały zarejestrowane i zapisane. Ponadto, według organu ochrony danych osobowych w Hamburgu, niektórzy przełożeni wykorzystywali "Flurfunk" [co oznacza "usłyszeć coś przez pocztę pantoflową"], aby uzyskać szeroką wiedzę o poszczególnych pracownikach, na przykład o problemach rodzinnych i przekonaniach religijnych. Informacje przechowywane na dysku sieciowym były dostępne dla maksymalnie 50 menedżerów firmy i były wykorzystywane m.in. do oceny wydajności pracy pracowników i podejmowania decyzji o zatrudnieniu. Gromadzenie danych wyszło na jaw z powodu błędu w konfiguracji technicznej w październiku 2019 r., zgodnie z którym dane przechowywane na dysku sieciowym były dostępne w całej firmie przez kilka godzin. Po tym, jak naruszenie stało się znane, kierownictwo przeprosiło pracowników i zaoferowało rekompensatę pieniężną. Ponadto wspólnie z urzędem ochrony danych wprowadzono również dalsze środki ochronne. Uwaga: Konkretna podstawa prawna kary nie została jeszcze opublikowana - zakładamy, że będzie to głównie Art. 5 i 6 RODO]Link
404HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-2260000GLP Instalaciones 86, SLArt. 5 RODO, Art. 6 RODOW celu uzyskania pomocy przy instalacji systemu klimatyzacji osoba, której dane dotyczą, skontaktowała się z Naturgy Energy Group S.A. Następnie skontaktowały się z nią dwie różne firmy, z których jedna to GLP Instalaciones 86, podające się za współpracowników Naturgy. Naturgy zaprzeczyło temu i stwierdziło, że firmy te nie były ani autoryzowanymi instalatorami, ani pracownikami Naturgy, co spowodowało przetwarzanie danych osobowych osoby, której dane dotyczą, w tym jej imienia, nazwiska, numeru telefonu, danych bankowych i adresu e-mail, bez ważnej podstawy prawnej.Link
403BelgiaGegevensbeschermingsautoriteit (GBA)2020-09-070Były burmistrz gminyArt. 5 RODO, Art. 6 RODOPierwotne podsumowanie kary: Wysyłanie reklam wyborczych do obywateli bez wystarczającej podstawy prawnej. Aktualizacja: 27 stycznia 2021 roku Sąd Apelacyjny w Brukseli uchylił grzywnę w wysokości 5.000 EUR.Link
402WłochyGarante per la protezione dei dati personali (Garante)2020-09-072000Istituto Comprensivo Statale Crucoli TorrettaArt. 5 (1) f) RODO, Art. 32 RODOPublikacja danych osobowych uczniów na stronie internetowej Instytutu, m.in. z adnotacjami o stanie zdrowia i postępach w nauce.Publikacja nastąpiła z powodu awarii technicznej.Link
401RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-09-082000Sanatatea Press Group S.R.L.Art. 5 (1) f) RODO, Art. 32 RODOPrzesłanie danych osobowych zebranych w celu rejestracji na kurs online do innych uczestników z powodu awarii technicznej.Link
400GrecjaHellenic Data Protection Authority (HDPA)2020-09-118000Osoba fizycznaArt. 5 RODODziałanie kamery CCTV, która monitorowała również przestrzeń publiczną poza terenem siedziby administratora danych.Link
399HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-111500Partia politycznaArt. 5 RODO, Art. 6 RODOWysłanie wiadomości e-mail do byłego członka partii, który w międzyczasie zrezygnował, z prośbą o pełnienie funkcji przedstawiciela wyborczego, bez wystarczającej podstawy prawnej do przetwarzania wymaganych w tym celu danych osobowych.Link
398HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-1610000Stowarzyszenia właścicieli nieruchomościArt. 5 RODOPublikacja dokumentu zawierającego dane osobowe (informacje o tożsamości osoby, której dane dotyczą, a także o długach) na tablicy ogłoszeń w gminie.Link
397HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-173000Grupo CarolizanArt. 5 RODODziałanie systemów kamer CCTV na terenie pasażu przed budynkiem, a więc obejmujące również przestrzeń publiczną. Naruszało to zasady minimalizacji danych, ponieważ kamery monitoringu mogły być obsługiwane w sposób, który nie miałby wpływu na przestrzeń publiczną.Link
396HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-1760000Vodafone España, SAUArt. 5 RODO, Art. 6 RODOByły klient otrzymywał e-maile zawierające elektroniczne rachunki nawet po rozwiązaniu umowy ze spółką, co prowadziło do przetwarzania danych osobowych bez wystarczającej podstawy prawnej.Link
395RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-09-01500Stowarzyszenie właścicieli budynków mieszkalnychArt. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODOEksportowanie nieruchomego obrazu z systemu monitoringu wizyjnego i umieszczenie go na tablicy reklamowej budynku bez wystarczającej podstawy prawnej. Ponadto, naruszenie obowiązków informacyjnych wynikających z art. 12, 13 RODO oraz naruszenie art. 25 i 32 RODO, ponieważ nie udzielono wystarczających informacji o telewizji przemysłowej oraz nie zastosowano wystarczających technicznych i organizacyjnych środków bezpieczeństwa w celu ochrony danych osobowych gromadzonych przez system monitoringu wizyjnego.Link
394WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-07-23560Forbes HungaryArt. 5 RODO, Art. 6 RODOGrzywna nałożona na Forbes Hungary za opublikowanie listy 50 najbogatszych Węgrów oraz listy największych przedsiębiorstw rodzinnych bez zachowania odpowiedniej równowagi interesów (art. 6 ust. 1 lit. f) RODO).Link
393GrecjaHellenic Data Protection Authority (HDPA)2020-08-033000Kandydat w wyborach parlamentarnychArt. 15 RODOOsoba, której dane dotyczą, otrzymała połączenia telefoniczne dotyczące kandydatury w wyborach parlamentarnych. Gdy osoba, której dane dotyczą, skorzystała z prawa dostępu do danych zgodnie z art. 15 RODO, nie otrzymała żadnych takich informacji.Link
392PolskaUrząd ochrony danych osobowych (UODO)2020-09-0811200Szkoła Główna Gospodarstwa Wiejskiego w WarszawieArt. 32 RODOKradzież prywatnego notebooka należącego do pracownika uczelni, który wykorzystywał to urządzenie również do celów służbowych, a na którym znajdowały się dane osobowe kandydatów na studia w SGGW do działań rekrutacyjnych.Link
391WłochyGarante per la protezione dei dati personali (Garante)2020-07-0215000Mapei S.p.A.Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODOMapei nie odpowiedziała na wniosek o dostęp do danych osobowych osoby, której dane dotyczą. Ponadto Mapei pozostawiła aktywne konto poczty elektronicznej osoby, której dane dotyczą, nawet po rozwiązaniu umowy.Link
390HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-073000Barcelona Airport Security Guard Association ('AVSAB')Art. 5 (1) f) RODOCzłonek komitetu bezpieczeństwa AVSAB używał WhatsApp do wysyłania wiadomości na prywatne numery telefonów zawierających dane osobowe pracowników. Stanowiło to naruszenie zasady poufności, która musi być przestrzegana nie tylko przez administratora danych, ale także przez każdy inny podmiot zaangażowany w jakąkolwiek fazę przetwarzania.Link
389HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-0175000Telefónica Móviles España, SAUArt. 5 RODO, Art. 6 RODOWedług organu nadzorczego, spółka przetwarzała dane osobowe bez wystarczającej podstawy prawnej, w wyniku czego osoba, której dane dotyczą, otrzymała kilkaset niechcianych telefonów i wiadomości SMS.Link
388HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-311500Tour & People Max S.L.Art. 21 RODONiezamówione telefony marketingowe, mimo że osoby, których dane dotyczą, wyraziły sprzeciw wobec przetwarzania danych. Oprócz RODO, było to również postrzegane jako naruszenie art. 48 ust. 1 lit. b ustawy ogólnej 9/2014 (hiszpańskie prawo krajowe).Link
387PolskaUrząd ochrony danych osobowych (UODO)2020-08-3122700Główny Geodeta KrajuArt. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej.Link
386HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-285000Federacja Koszykówki Kastylii i LeonuArt. 5 RODO, Art. 6 RODOZwiązek Koszykówki przekazał dane osobowe osobom trzecim, które to dane zostały następnie opublikowane w Internecie bez zgody osób, których dane te dotyczą. Ponadto, organ ochrony danych osobowych stwierdził, że Związek Koszykówki udostępnił również dane osobowe gazecie, naruszając - dodatkowo - zasadę integralności i poufności (art. 5 ust. 1 lit. f) RODO).Link
385HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-2850000Bankia S.A.Art. 5 (1) b) RODOBank przechowywał dane osobowe osoby, której dane dotyczą, przez kilka lat, nawet po tym, jak osoba ta nie była już klientem. Dostęp do tych danych mieli w tym czasie również pracownicy banku. Stanowiło to naruszenie zasady ograniczenia celu.Link
384EstoniaAndmekaitse Inspektsioon2020-08-1748PolicjantArt. 5 RODO, Art. 6 RODODostęp do danych osobowych w policyjnej bazie danych do celów prywatnej działalności badawczej.Link
383HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-175000Partia Socjalistów KataloniiArt. 5 (1) b) RODOPartia Socjalistów Katalonii wykorzystała dane osobowe dostarczone przez lekarza prowadzącego działalność zawodową w celu wysłania listu do krewnego skarżącego z prośbą o wsparcie polityczne. Stanowi to inny cel niż pierwotny cel gromadzenia danych, a zatem narusza zasadę ograniczenia celu.Link
382HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-3145000Vodafone España SAUArt. 5 RODO, Art. 6 RODOBezprawne przetwarzanie numeru telefonu do celów marketingowych, nawet po skorzystaniu przez osobę, której dane dotyczą, z prawa do usunięcia danych.Link
381PolskaUrząd ochrony danych osobowych (UODO)2020-07-1522300Główny Geodeta KrajuArt. 31 RODO, Art. 58 RODOOdmowa dostępu do pomieszczeń przez organ nadzorczy w trakcie kontroli.Link
380BelgiaGegevensbeschermingsautoriteit (GBA)2020-07-283000Stowarzyszenie polityczneArt. 5 RODO, Art. 6 RODO, Art. 14 RODOLokalne stowarzyszenie polityczne rozesłało do mieszkańców gminy ogłoszenia wyborcze dotyczące wyborów samorządowych w 2018 roku. W tym celu stowarzyszenie wykorzystało spis wyborców z 2012 r. i porównało go z tym z 2018 r., bez wystarczającej podstawy prawnej i bez odpowiedniej informacji zgodnie z art. 14 RODO.Link
379WłochyGarante per la protezione dei dati personali (Garante)2020-07-294000Region KampaniaArt. 5 RODO, Art. 6 RODOPublikacja tytułu wykonawczego w postępowaniu cywilnym na stronie internetowej Regionu. W dokumencie tym wymienione były nazwiska i miejsce zamieszkania oraz wysokość roszczenia.Link
378WłochyGarante per la protezione dei dati personali (Garante)2020-07-293000Gmina San Giorgio JonicoArt. 5 RODO, Art. 6 RODOPublikacja danych osobowych na stronie internetowej gminy w związku z postępowaniem sądowym.Link
377WłochyGarante per la protezione dei dati personali (Garante)2020-07-302000Gmina ManduriiArt. 5 RODO, Art. 6 RODOGmina przekazała dane osobowe pracownika gminy do prasy bez wystarczającej podstawy prawnej.Link
376WłochyGarante per la protezione dei dati personali (Garante)2020-08-041000SupermarketArt. 5 RODO, Art. 6 RODOOperator supermarketu wywiesił pismo o zwolnieniu kierownika ds. personalnych na publicznej tablicy ogłoszeń w supermarkecie.Link
375WłochyGarante per la protezione dei dati personali (Garante)2020-08-045000Narodowy Instytut Zabezpieczenia Społecznego - Oddział Prowincji BresciaArt. 15 RODOBrak stopniowania dostępu do danych osobowych dotyczących zdrowia osoby, której dane dotyczą, zgodnie z art. 15 RODO.Link
374WłochyGarante per la protezione dei dati personali (Garante)2020-08-0415000Mapei S.p.A.Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODOPrzedsiębiorstwo pozostawiło konto poczty elektronicznej osoby, której dane dotyczą, aktywne nawet po zakończeniu jej zatrudnienia i automatycznie przekazywało przychodzące wiadomości. Przedsiębiorstwo nie dostarczyło wystarczających informacji na ten temat. Ponadto przedsiębiorstwo nie reagowało na wnioski o dostęp i usunięcie danych.Link
373WłochyGarante per la protezione dei dati personali (Garante)2020-08-052000SzkołaArt. 5 RODO, Art. 6 RODOUmieszczanie danych osobowych uczniów na publicznej tablicy ogłoszeń.Link
372AustriaÖsterreichische Datenschutzbehörde (DSB)2020-08-05100BankArt. 5 RODO, Art. 6 RODOPracownik banku zrobił kopię dowodu osobistego klienta banku, który chciał wymienić 100 euro w obcej walucie i uzasadnił to zarzutem prania pieniędzy. Dotyczy to jednak tylko kwoty 1000 euro i wyższej.Link
371HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-053000RestauracjaArt. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODOInstalacja kamer CCTV, które również monitorowały przestrzeń publiczną bez odpowiedniej informacji.Link
370FinlandiaTietosuojavaltuutetun Toimisto2020-08-057000Acc Consulting Varsinais-SuomiArt. 5 RODO, Art. 6 RODONiezamówione marketingowe wiadomości SMS bez uprzedniej zgody.Link
369HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-063000Just Landed S.L.Art. 13 RODOJust Landed został ukarany grzywną w wysokości 3000 EUR za niewystarczające informacje o plikach cookie zgodnie z krajowymi przepisami o ochronie danych i jednocześnie ostrzeżony z powodu niewystarczającego wypełnienia obowiązków informacyjnych zgodnie z art. 13 RODO (polityka prywatności tylko w języku angielskim).Link
368WłochyGarante per la protezione dei dati personali (Garante)2020-08-063000GTL S.R.L.Art. 12 RODO, Art. 15 RODOBrak stopniowania dostępu do danych osobowych osoby, której dane dotyczą, zgodnie z art. 15 RODO.Link
367WłochyGarante per la protezione dei dati personali (Garante)2020-08-1010000Gmina BaronissiArt. 5 RODO, Art. 6 RODOGmina opublikowała na swojej stronie internetowej dane osobowe osób, których dane dotyczą, w tym imiona i nazwiska, daty urodzenia, miejsce urodzenia, miejsce zamieszkania itp.Link
366WłochyGarante per la protezione dei dati personali (Garante)2020-08-1010000Cavauto S.R.L.Art. 5 RODO, Art. 6 RODO, Art. 7 RODODostęp do danych osobowych byłego pracownika (zawierających historię jego przeglądarki) na jego komputerze służbowym.Link
365HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-0460000Vodafone España, SAUArt. 5 RODO, Art. 6 RODOOsoba, której dane dotyczą, otrzymała od Vodafone potwierdzenie przeniesienia numeru, którego ta ostatnia nigdy nie zleciła.Link
364HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-063000GROW BEATS SLArt. 12 RODO, Art. 13 RODO, Art. 14 RODOSpółka opublikowała na swojej stronie internetowej politykę cookies, która z jednej strony nie zawierała informacji o celu stosowania plików cookies, a z drugiej strony nie zawierała informacji o właściwościach instalowanych plików cookies i czasie, przez jaki pozostają one aktywne w urządzeniu końcowym użytkownika.Link
363DaniaDatatilsynet2020-08-0420100PrivatBo A.M.B.A.Art. 5 RODO, Art. 32 RODOW ramach sprzedaży nieruchomości spółka rozdawała najemcom pamięci USB, które zawierały nie tylko nieosobiste informacje o przedmiotowych nieruchomościach, ale również dane osobowe innych osób, takie jak umowy najmu i inne dokumenty zawierające poufne dane osobowe.Link
362FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-08-05250000SpartooArt. 5 (1) RODO, Art. 13 RODO, Art. 14 RODOGrzywna w wysokości 250000 euro została nałożona na internetowego sprzedawcę detalicznego Spartoo. Powodem było to, że firma, która ma swoją siedzibę we Francji, ale zaopatruje wiele krajów europejskich, w pełni nagrywała wszystkie rozmowy telefoniczne na infolinii (w tym dane osobowe, takie jak adres i dane bankowe zamówień), a ponadto przechowywała dane bankowe częściowo niezaszyfrowane. Stanowi to m.in. naruszenie zasady minimalizacji danych. Ponadto organ nadzorczy stwierdził również naruszenie obowiązków informacyjnych zgodnie z art. 13 RODO, ponieważ informacje spółki dotyczące ochrony danych osobowych były częściowo nieprawidłowe.Link
361DaniaDatatilsynet2020-07-28147800Arp Hansen Hotel Group A/SArt. 5 (1) e) RODOPodczas kontroli organ nadzorczy dokonał przeglądu szeregu systemów informatycznych w celu zbadania, czy Arp-Hansen posiada wystarczające procedury gwarantujące, że dane osobowe nie są przechowywane dłużej niż jest to konieczne do celów ich gromadzenia. Stwierdzono, że jeden z systemów rezerwacji zawierał dużą ilość danych osobowych, które powinny już zostać usunięte zgodnie z terminami usuwania danych ustalonymi przez samo Arp-Hansen.Link
360RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-07-275000SC Cntar Tarom SAArt. 32 RODONieuprawnione ujawnienie danych pięciu pasażerów spółki Tarom z powodu niewłaściwych środków technicznych i organizacyjnych zapewniających bezpieczne przetwarzanie danych. Firma została zobowiązana m.in. do podjęcia działań naprawczych, w tym przeszkolenia pracowników i przeprowadzenia procedur oceny ryzyka.Link
359RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-07-302000Compania Națională „Poșta Română” SAArt. 32 RODOPrzetwarzanie danych osobowych, a mianowicie numerów telefonów i adresów e-mail 81 podmiotów danych, przez Pocztę Rumuńską jako administratora danych, z pominięciem odpowiednich środków technicznych i organizacyjnych, takich jak pseudonimizacja.Link
358RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-07-302000 SC Viva Credit IFN SAArt. 17 RODOPrzedsiębiorstwo nie poinformowało osoby, której dane dotyczą, w ciągu jednego miesiąca (lub do trzech miesięcy, jeśli podano powód opóźnienia) o środkach podjętych w następstwie wniosku o usunięcie danych.Link
357BelgiaGegevensbeschermingsautoriteit (GBA)2020-07-145000Operator of CCTV of a residential buildingArt. 6 RODO, Art. 7 RODOOperator kamer wideo na terenie nieruchomości mieszkalnej zainstalował tam kamery w celu monitorowania wspólnej przestrzeni dwóch bloków mieszkalnych. Administrator danych twierdził, że właściciele wyrazili na to zgodę, podpisując notarialnie poświadczone umowy kupna. Jednakże organ ochrony danych zaprzeczył temu po sprawdzeniu umów.Link
356HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-235000El Real Sporting de Gijón S.A.D.Art. 6 RODO, Art. 7 RODOGrzywny za wysyłanie bezpośrednich komunikatów marketingowych bez wystarczającej zgody, ponieważ formularz, który Real Sporting de Gijón przekazał członkom klubu, nie był zgodny z RODO (opt-out zamiast opt-in).Link
355HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-235000Xfera Moviles S.A.Art. 58 RODOW następstwie skargi spółka Xfera Móviles została wezwana przez AEPD do przedłożenia określonych informacji i dokumentów, jednak nie uczyniła tego w wyznaczonym terminie.Link
354HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2375000Telefónica Móviles España, SAUArt. 5 RODO, Art. 6 RODOSpółka ta dokonała przeniesienia numeru jego linii telefonicznej od jego dotychczasowego operatora bez jego zgody. Dane osobowe zostały przekazane przez poprzedniego operatora telefonicznego do Telefónica Móviles España w celu zmiany właściciela linii telefonicznej bez wystarczającej podstawy prawnej.Link
353HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2370000Telefónica Móviles España, SAUArt. 5 RODO, Art. 6 RODOKonto osoby, której dane dotyczą, zostało obciążone za dwie usługi telekomunikacyjne, których nigdy nie zamawiała ani nie zatwierdzała. Stanowiło to niezgodne z prawem przetwarzanie danych osobowych, ponieważ informacje dotyczące osoby, której dane dotyczą, były przechowywane w systemach informatycznych Telefónica Móviles España bez podstawy prawnej do wystawienia faktury.Link
352HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2355000Telefónica Móviles España, SAUArt. 5 RODO, Art. 6 RODOTelefónica Móviles España przetworzyła dane osobowe osoby, której dane dotyczą, takie jak imię i nazwisko oraz dane bankowe, w celu aktywacji trzech usług telekomunikacyjnych, o które osoba ta nigdy nie prosiła. Stanowi to naruszenie zasady legalności przetwarzania danych.Link
351HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2310000El Periódico de Catalunya, S.L.U.Art. 5 RODO, Art. 6 RODOW następstwie wniosku o usunięcie danych, skierowanego do spółki, osoba, której dane dotyczą, otrzymała od gazety kolejny biuletyn, chociaż El Periódico de Catalunya twierdziła, że wniosek został uwzględniony. Wynikało to z awarii zewnętrznego usługodawcy spółki.Link
350HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2070000Xfera Moviles S.A.Art. 5 RODOOsoba, której dane dotyczą, otrzymała telefon od innego klienta Xfera Móviles, który twierdził, że spółka obciążyła jego rachunek bankowy fakturą, ujawniając dane osobowe tej drugiej osoby. Wynikało to z błędu popełnionego przez Xfera Móviles, a zatem stanowiło naruszenie zasad integralności i poufności.Link
349HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2080000Orange Espagne S.A.U.Art. 5 RODO, Art. 6 RODOSpółka dokonała niezgodnej z prawem aktywacji kilku umów o świadczenie usług telekomunikacyjnych przy wykorzystaniu danych osobowych osoby, której dane dotyczą. Stanowiło to niezgodną z prawem operację przetwarzania danych, ponieważ dane osoby, której dane dotyczą, zostały wprowadzone do bazy danych spółki i były tam przetwarzane bez uzasadnionej podstawy prawnej.Link
348GrecjaHellenic Data Protection Authority (HDPA)2020-06-295000New York College S.A.Art. 5 RODOCollege kontaktował się bezpośrednio ze skarżącym przez telefon w sprawie programu edukacyjnego i przetwarzał dane osobowe w sposób nieprzejrzysty.Link
347HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-201500Comercial Vigobrandy, SLArt. 12 RODO, Art. 13 RODO, Art. 14 RODOInstalacja CCTV bez odpowiedniej informacji w postaci oznakowania.Link
346HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2040000Iberia Lae SA Operadora UnipersonalArt. 58 RODOPrzedsiębiorstwo nie udzieliło osobie, której dane dotyczą, dostępu do nagrań rozmów telefonicznych. Wniosek skarżącej o dostęp pozostał bez odpowiedzi, pomimo wcześniejszego postanowienia AEPD.Link
345HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2024000Banco Bilbao Vizcaya Argentaria, SAArt. 5 RODO, Art. 6 RODOBBVA nie miała uzasadnionej podstawy do przetwarzania danych osoby, której dane dotyczą, a zatem naruszyła art. 6 ust. 1 RODO, ponieważ spółka przetwarzała akta dotyczące wypłacalności i informacji kredytowej bez uprzedniego nawiązania stosunku umownego z osobą, której dane dotyczą.Link
344BelgiaGegevensbeschermingsautoriteit (GBA)2020-07-14600000Google Belgium SAArt. 5 RODO, Art. 6 RODO, Art. 17 (1) a) RODO, Art. 12 RODOBelgijski urząd ochrony danych osobowych ukarał Google Belgium SA, spółkę zależną Google, grzywną w wysokości 600.000 euro. Powodem nałożenia grzywny było odrzucenie wniosku osoby, której dane dotyczą, o odesłanie nieaktualnych artykułów, które osoba ta uznała za szkodliwe dla jej reputacji, oraz brak przejrzystości w stosowanym przez Google formularzu odesłań. Belgijski organ ochrony danych stwierdził, że artykuły dotyczące bezpodstawnych skarg na molestowanie mogą mieć poważne konsekwencje dla osób, których dane dotyczą, a zatem osoby fizyczne mają prawo żądać usunięcia/odniesienia się do tych artykułów. Dotyczy to również osób sprawujących urzędy polityczne, mimo że urzędy te są zasadniczo mniej wymagające ochrony ze względu na ich publiczny status, a zatem artykuły dotyczące osób zajmujących stanowiska polityczne mogą być przechowywane przez dłuższy czas. Odrzucenie wniosku przez Google stanowiło zatem naruszenie art. 17 RODO (grzywna za to naruszenie: 500 000 euro). Ponadto nałożono kolejną grzywnę w wysokości 100 000 euro za naruszenie zasady przejrzystości, ponieważ odrzucenie przez Google wniosku o usunięcie danych nie było wystarczająco uzasadnione.Link
343HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-1055000Xfera Moviles S.A.Art. 5 RODO, Art. 32 RODOPrzedsiębiorstwo zmieniło umowę na podłączenie telefonu komórkowego na rzecz nowego właściciela, na podstawie której dane osobowe osoby, której dane dotyczą, takie jak jej adres i numery telefonów, były swobodnie dostępne. Stanowiło to naruszenie zasad poufności i integralności.Link
342HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-105000School Fitness Holiday & Franchising S.L.Art. 5 RODONaruszenie zasady przejrzystości. W chwili obecnej nie są dostępne żadne dalsze informacje.Link
341HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-105000Global Business Travel Spain SLUArt. 32 RODOGrzywna została nałożona w związku z uzyskaniem przez pracownika dostępu do danych zdrowotnych osoby zainteresowanej. W toku postępowania Urząd Ochrony Danych Osobowych stwierdził, że Global Business Travel Spain, jako administrator danych, naruszył art. 32 ust. 2 i 4 RODO, nie podejmując odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym ujawnieniem.Link
340HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-1012000Vodafone España, SAUArt. 5 RODOKary za naruszenie Art. 5 ust. 1 lit. d) RODO za zmianę danych podstawowych klienta na nazwisko osoby trzeciej, byłego małżonka klienta.Link
339HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-101000Centro Internacional De Crecimiento Laboral Y Profesional S.L.Art. 5 RODO, Art. 6 RODOWysyłanie wiadomości handlowych bez zgody i bez możliwości sprzeciwu.Link
338HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-101500Auto Desguaces Iglesias S.L.Art. 5 RODOFirma zainstalowała kamery monitoringu, które nagrywały drogę publiczną i tym samym naruszyła zasadę minimalizacji danych.Link
337WłochyGarante per la protezione dei dati personali (Garante)2020-07-13800000Iliad Italia S.p.A.Art. 5 RODO, Art. 25 RODOGrzywna dotyczy naruszeń ochrony danych w zakresie przetwarzania danych klientów w celu aktywacji kart SIM oraz sposobu rejestrowania danych dotyczących płatności. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo naruszyło zasady legalności, uczciwości i przejrzystości, jak również integralności i poufności w odniesieniu do przetwarzania danych osobowych do celów marketingu bezpośredniego oraz przechowywania danych klientów w osobistej strefie swojej strony internetowej.Link
336WłochyGarante per la protezione dei dati personali (Garante)2020-07-1316700000Wind Tre S.p.A.Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 24 RODO, Art. 25 RODOGrzywny za kilka niezgodnych z prawem działań w zakresie przetwarzania danych związanych z marketingiem bezpośrednim. Setki osób, których dane dotyczą, twierdziły, że otrzymywały niezamówione komunikaty wysyłane bez ich uprzedniej zgody za pośrednictwem wiadomości SMS, poczty elektronicznej, połączeń telefonicznych i połączeń automatycznych. Osoby, których dane dotyczą, nie były w stanie skorzystać z prawa do wycofania zgody i sprzeciwu wobec przetwarzania danych do celów marketingu bezpośredniego, ponieważ informacje zawarte w polityce ochrony danych były niekompletne w odniesieniu do danych kontaktowych. Ponadto organ ochrony danych stwierdził, że dane osób, których dane dotyczą, zostały opublikowane na publicznych listach telefonicznych pomimo ich sprzeciwu. Ponadto kilka aplikacji dystrybuowanych przez spółkę zostało skonfigurowanych w taki sposób, że użytkownik musiał wyrazić zgodę na różne czynności przetwarzania danych za każdym razem, gdy uzyskiwał do nich dostęp, przy czym możliwość wycofania zgody istniała dopiero po 24 godzinach.Link
335WłochyGarante per la protezione dei dati personali (Garante)2020-07-13200000Merlini s.r.l.Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 28 RODO, Art. 29 RODOSpółka prowadziła działania telemarketingowe w imieniu Wind Tre S.p.A. za pośrednictwem zewnętrznego dostawcy jako podmiotu przetwarzającego dane bez wystarczającej podstawy prawnej do przetwarzania danych (art. 5-7 RODO) i bez wystarczających uzgodnień umownych (art. 28, 29 RODO) z zewnętrznym dostawcą.Link
334NiderlandyAutoriteit Persoonsgegevens (AP)2020-07-06830000Bureau Krediet Registration ('BKR')Art. 12 RODO, Art. 15 RODOBKR wymagał wniesienia opłaty, gdy osoby fizyczne żądały dostępu do swoich danych osobowych i tylko raz w roku zapewniał bezpłatny dostęp do tych danych drogą pocztową.Link
333NorwegiaDatatilsynet2020-07-1046660Gmina RælingenArt. 32 RODO, Art. 35 RODOGrzywna za przetwarzanie danych dotyczących zdrowia dzieci w związku z niepełnosprawnością za pośrednictwem cyfrowej platformy edukacyjnej "Showbie". Gmina nie przeprowadziła oceny skutków dla ochrony danych ("DPIA") zgodnie z art. 35 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) ("RODO") przed rozpoczęciem przetwarzania oraz nie podjęła odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO, co skutkowało zwiększonym ryzykiem nieuprawnionego dostępu do danych osobowych uczniów.Link
332PolskaUrząd ochrony danych osobowych (UODO)2020-07-103400East Power Sp. z o.o.Art. 31 RODO, Art. 58 RODOPo trzech wezwaniach skierowanych do East Power, w których spółka ta nie udzieliła wystarczających wyjaśnień w sprawie skargi dotyczącej marketingu bezpośredniego, organ ochrony danych stwierdził, że East Power celowo utrudniała przebieg postępowania lub co najmniej nie wywiązała się ze swoich obowiązków w zakresie współpracy z organem nadzorczym.Link
331RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-07-0915000Proleasing Motors SRLArt. 32 RODOSpółka nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych, co doprowadziło do opublikowania na Facebooku dokumentu zawierającego hasło dostępu do danych osobowych 436 klientów.Link
330HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-025000Xfera Moviles S.A.Art. 31 RODO, Art. 58 RODOPrzedsiębiorstwo nie współpracowało w wystarczającym stopniu z organem ochrony danych.Link
329HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-023600Saunier-Tec Mantenimientos de Calor y Frio, SL.Art. 33 RODOMimo że spółka podjęła kroki w celu zaradzenia naruszeniu danych, nie poinformowała AEPD w wystarczającym stopniu. W związku z tym AEPD nałożyło grzywnę w wysokości 4 800 EUR, która została zmniejszona do 3 600 EUR dzięki dobrowolnej wpłacie.Link
328NorwegiaDatatilsynet2020-07-020Odin Flissenter ASArt. 5 RODO, Art. 6 RODOW dniu 2 lipca 2020 r. norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na firmę Odin Flissenter AS grzywnę w wysokości 28 000 EUR za naruszenie art. 5 RODO i Art. 6 RODO. Grzywna ta została nałożona w międzyczasie, zobacz szczegóły pod naruszeniem ID 416Link
327HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-024000De Vere Spain S.L.Art. 21 RODOFirma nie odpowiedziała na wniosek osoby, której dane dotyczą, o zaprzestanie przetwarzania jej danych, w związku z czym osoba, której dane dotyczą, nadal otrzymywała telefony komercyjne.Link
326HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-0224000Iberdrola ClientesArt. 5 RODOOsoba trzecia otrzymała rachunek za energię elektryczną zawierający dane osobowe, takie jak nazwisko, adres i rachunek bankowy innego klienta. Powodem tego był fakt, że spółka Iberdola Clientes nie była w stanie zagwarantować odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych osoby, której dane dotyczą, co stanowiło naruszenie zasad integralności i poufności danych. Grzywna w wysokości 40 000 euro została zmniejszona do 24 000 euro ze względu na dobrowolną zapłatę.Link
325WłochyGarante per la protezione dei dati personali (Garante)2020-03-053000San Giorgio JonicoArt. 5 RODO, Art. 6 RODO, Art. 17 RODOPublikacja danych osobowych obywatela na stronie internetowej i niezastosowanie się do prośby o ich usunięcie.Link
324WłochyGarante per la protezione dei dati personali (Garante)2020-01-304000Gmina ColledaraArt. 5 RODO, Art. 6 RODOPublikacja na stronie internetowej dokumentów dotyczących przetargu publicznego zawierających dane osobowe.Link
323HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-196000Brygada Policji PaństwowejArt. 5 RODO, Art. 6 RODOWykonywanie kopii dokumentacji handlowej przedsiębiorstwa w kontekście dochodzeń, które zawierały dane pochodzące od stron trzecich i dla których nie istniała podstawa prawna do przetwarzania.Link
322NorwegiaDatatilsynet2020-06-190Aquateknikk ASArt. 5 RODO, Art. 6 RODOW dniu 19 czerwca 2020 r. norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na Aquateknikk AS grzywnę w wysokości 28 000 EUR za naruszenie art. 5 RODO i Art. 6 RODO . Grzywna ta została nałożona w międzyczasie, zobacz szczegóły pod naruszeniem 530.Link
321NorwegiaDatatilsynet2020-06-22112000Szpital Østfold HFArt. 32 RODOStwierdzono, że Østfold HF Hospital przechowywał dane pacjentów, w tym dane wrażliwe, takie jak powód hospitalizacji, w latach 2013-2019, bez kontrolowania dostępu do folderów, w których dane były przechowywane. Datatilsynet uznał zatem, że szpital nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych, a zatem naruszył RODO i ustawę o dokumentacji pacjentów.Link
320IrlandiaData Protection Commission (DPC)2020-06-3040000Tusla Child and Family AgencyArt. 33 RODOOrganizacja wysłała list z zarzutami o nadużycia do osoby trzeciej, która następnie umieściła go w sieciach społecznościowych.a href="https://www.irishlegal.com/article/tusla-fined-40-000-in-second-gdpr-breach" rel="nofollow">Link
319DaniaDatatilsynet2020-06-306700Gmina Lejre Art. 5 RODO, Art. 6 RODO, Art. 33 RODO, Art. 34 RODOOrgan ochrony danych ustalił, że Miejskie Centrum Dzieci i Młodzieży w Lejre regularnie umieszczało protokoły ze spotkań, na których znajdowały się szczególnie wrażliwe i delikatne dane osobowe, w tym dotyczące obywateli poniżej 18 roku życia, na portalu kadrowym gminy Lejre, do którego dostęp mieli pracownicy gminy Lejre, niezależnie od tego, czy pracownicy ci zajmowali się tymi sprawami. Ponadto organ ochrony danych zaprzeczył, że nie dopełniono obowiązku poinformowania zainteresowanych osób o naruszeniu danych.Link
318Wyspa ManInformation Commissioner2020-06-2513500Departament Spraw WewnętrznychArt. 12 RODO, Art. 15 RODOKary za nieprzestrzeganie prawa dostępu do danych osobowych na podstawie art. 12 i 15 RODO. Wyspa Man zadeklarowała stosowanie RODO, mimo że nie jest państwem UE.Link
317BelgiaGegevensbeschermingsautoriteit (GBA)2020-06-085000Pracownik komunalnyArt. 5 RODO, Art. 6 RODOW kontekście wyborów samorządowych w 2018 r. administrator danych wysłał ogłoszenia wyborcze do grupy pracowników tego samego zarządu gminy, bezprawnie wykorzystując listę danych kontaktowych, do których nie miał dostępu.Link
316BelgiaGegevensbeschermingsautoriteit (GBA)2020-06-161000NieznanyArt. 17 RODO, Art. 21 RODO, Art. 31 RODOOsoba, której dane dotyczą, wielokrotnie otrzymywała od przedsiębiorstwa e-maile o treści reklamowej, mimo że osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu jej danych osobowych i zażądała ich usunięcia. Ponadto przedsiębiorstwo nie odpowiedziało na żadne zapytanie organu ochrony danych w tym zakresie.Link
315BelgiaGegevensbeschermingsautoriteit (GBA)2020-06-1910000NieznanyArt. 5 RODO, Art. 6 RODO, Art. 15 RODOPrzedsiębiorstwo wysłało wiadomość e-mail do zainteresowanej osoby bez jej zgody. Następnie osoba zainteresowana zwróciła się o terminowe informacje na temat wpisów w bazie danych dotyczących jej osoby, które pozostały bez odpowiedzi.Link
314SzwecjaDatainspektionen2020-06-161900Spółdzielnia mieszkaniowaArt. 5 RODO, Art. 6 RODOBezprawne użycie kamer monitorujących. W decyzji organ ochrony danych podkreślił, że nagrania dźwiękowe mają dodatkowy wpływ na prywatność, zwłaszcza w budynku mieszkalnym, i że w tym przypadku nie ma nic, co uzasadniałoby nagrywanie dźwięku. Ponadto decyzja nakazuje spółdzielni mieszkaniowej zaprzestanie stosowania kamer rejestrujących klatki schodowe i wejścia, zaprzestanie nagrywania dźwięku oraz poprawę informacji na temat nadzoru kamer.Link
313WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-06-12288000 Digi Távközlési Szolgáltató Kft. (dostawca usług łączności elektronicznej)Art. 5 (1) b), (e) RODO, Art. 32 (1), (2) RODOPrzedsiębiorstwo naruszyło zasady ograniczenia celu i ograniczenia przechowywania, ponieważ jego baza danych zawierała dużą ilość danych klientów, które nie były już istotne dla rzeczywistego celu ich gromadzenia i dla których nie ustalono okresu przechowywania. Ponadto NAIH wskazał, że oskarżony nie podjął proporcjonalnych środków w celu zmniejszenia ryzyka w dziedzinie zarządzania danymi i bezpieczeństwa danych, argumentując między innymi, że nie zastosował mechanizmów szyfrowania.Link
312RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-06-113000Telekom RomaniaArt. 32 RODONieodpowiednie środki bezpieczeństwa stosowane przez spółkę doprowadziły do niezgodnego z prawem przetwarzania danych osobowych bez sprawdzenia ich prawidłowości. Z tego powodu na Telekom Romania nałożono grzywnę za naruszenie art. 32 RODO, a także nakazano wprowadzenie skutecznych mechanizmów identyfikacji i ochrony danych przed nieuprawnionym ujawnieniem i bezprawnym przetwarzaniem w celu zapewnienia zgodności z RODO.Link
311HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-1575000Xfera Moviles S.A.Art. 6 RODOOsoba, której dane dotyczą, otrzymała zawiadomienie od firmy windykacyjnej z żądaniem płatności w związku z usługami Xfera Móviles, mimo że skarżący nie był klientem Xfera Móviles od września 2017 r. Ponadto w uchwale wskazano, że Xfera Móviles dokonała przetwarzania danych osobowych skarżącego bez jego zgody, co stanowi naruszenie art. 6 RODO.Link
310RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-06-184000Enel EnergieArt. 32 RODOBrak podjęcia odpowiednich środków w celu zapobieżenia nieuprawnionemu ujawnieniu danych osobowych. Grzywna została nałożona w związku ze skargą na ujawnienie danych osobowych osoby, której dane dotyczą, innemu klientowi za pośrednictwem poczty elektronicznej.Link
309HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-162000Café BarArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODONielegalne wykorzystanie kamer CCTV (nagrywanie osób trzecich) oraz niewystarczające wypełnianie obowiązków informacyjnych.Link
308HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-222000Comunidad de propietarios demelza beachArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODONielegalne wykorzystanie kamer CCTV ze względu na objęcie monitoringiem przestrzeni publicznej i nagrywanie przechodzących pieszych. Ponadto, niewystarczające wypełnianie obowiązków informacyjnych.Link
307HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-237500Miraclia (firma telekomunikacyjna)Art. 5 RODO, Art. 6 RODONielegalne wykorzystanie kamer CCTV ze względu na objęcie monitoringiem przestrzeni publicznej i nagrywanie przechodzących pieszych. Ponadto, niewystarczające wypełnianie obowiązków informacyjnych.Link
306NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2020-06-301240000Allgemeine Ortskrankenkasse ('AOK') (firma ubezpieczeniowa zdrowotnego)Art. 5 RODO, Art. 6 RODO, Art. 32 RODOW latach 2015-2019 AOK Baden-Württemberg (organizacja ubezpieczeniowa) organizowała przy różnych okazjach konkursy i gromadziła dane osobowe uczestników, w tym ich dane kontaktowe i informacje o przynależności do ubezpieczenia zdrowotnego. AOK chciała również wykorzystywać te dane do celów reklamowych, o ile uczestnicy wyrazili na to zgodę. Za pomocą środków technicznych i organizacyjnych, w tym wewnętrznych wytycznych i szkoleń z zakresu ochrony danych, AOK chciała zapewnić, że do celów reklamowych będą wykorzystywane wyłącznie dane tych uczestników konkursu, którzy uprzednio wyrazili na to skuteczną zgodę. Środki określone przez AOK nie spełniały jednak wymogów prawnych. W efekcie dane osobowe ponad 500 uczestników loterii zostały wykorzystane do celów reklamowych bez ich zgody. Natychmiast po tym, jak stało się to wiadome, AOK Baden-Württemberg wstrzymał wszystkie działania marketingowe w celu dokładnego zbadania wszystkich procesów.Link
305WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)
2020-01-24
1450Biuro rachunkoweArt. 24 RODO, Art. 32 RODOWydrukowana lista klientów biura rachunkowego, która zawierała również dane osobowe, mogła zostać udostępniona osobom nieupoważnionym.Link
304WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-03-195800NieznanyArt. 6 RODO, Art. 15 RODOAdministrator danych nie wywiązał się z obowiązku dotyczącego prawa dostępu do nagrań wideo i nie był również w stanie wykazać, że jego działania w zakresie przetwarzania danych były zgodne z przepisami o ochronie danych.Link
303WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-03-262890BankArt. 5 RODO, Art. 6 RODOZ powodu błędu administracyjnego dane osobowe osoby, której dane dotyczą, zostały zarejestrowane i przekazane do Centralnej Informacji Kredytowej (CCI) w związku z umową kredytową, przy czym osoba, której dane dotyczą, nie była stroną tej umowy.Link
302EstoniaAndmekaitse Inspektsioon2020-04-30500Wspónota mieszkaniowaArt. 6 RODOGrzywna w wysokości 500 EUR nałożona na wspólnotę mieszkaniową za opublikowanie zdjęć przedstawiających członków wspólnoty bez ich zgody.Link
301RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-04-233000Telekom Romania Communications SAArt. 32 RODOPrzedsiębiorstwo nie podjęło wystarczających środków technicznych i organizacyjnych w celu zapewnienia prawidłowości danych osobowych przekazywanych przez telefon w celu zawarcia umów. Doprowadziło to do zawierania umów przez telefon w imieniu innych osób, których dane dotyczą.Link
300HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-092000Właściciel nieruchomościArt. 5 (1) c) RODOWykorzystanie kamery CCTV, która uchwyciła również drogi publiczne na zewnątrz, co stanowi naruszenie tzw. zasady minimalizacji danych.Link
299HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-092000AdwokatArt. 32 RODOW toku postępowania pełnomocnik przedłożył dokumenty, których grzbiety zawierały dane osobowe innych stron.Link
298HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-093000Salad Market S.L. (firma cateringowa)Art. 13 RODO, Art. 14 RODOGrzywny za brak wystarczających informacji na temat przetwarzania danych w odniesieniu do nadzoru wideo na terenie przedsiębiorstwa oraz za niewystarczające informacje w przypadku stosowania plików cookie na stronie internetowej.Link
297RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-04-233000Estee Lauder RomaniaArt. 6 RODO, Art. 7 RODO, Art. 9 RODOPrzetwarzanie danych osobowych bez wystarczającej podstawy prawnej, w tym danych dotyczących zdrowia.Link
296BelgiaGegevensbeschermingsautoriteit (GBA)2020-05-1450000Dostawaca mediów społecznościowychArt. 6 RODOFirma wysyłała zaproszenia do kontaktów przesłanych przez użytkowników bez ich zgody lub jakiejkolwiek innej podstawy prawnej.Link
295BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2020-04-142000Partia politycznaArt. 6 RODOFałszowanie podpisów na liście wyborców.Link
294NorwegiaDatatilsynet2020-05-03134000Telenor Norge ASArt. 32 RODOKary za naruszenia bezpieczeństwa w funkcji skrzynki głosowej.Link
293HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-0940000TELEFONICA MOVILES ESPAÑA, S.A.U.Art. 6 RODOPrzedstawiciel handlowy nie sprawdził dokładnie tożsamości powoda, tak aby mógł on występować w imieniu osoby, której dane dotyczą i zamówić na jej nazwisko przyłącze telefoniczne dla czterech linii telefonicznych.Link
292NorwegiaDatatilsynet2020-09-03276000Gmina BergenArt. 5 (1) f) RODO, Art. 32 RODOW październiku 2019 r. organ ochrony danych został poinformowany przez gminę Bergen o naruszeniu ochrony danych w związku z gminnym narzędziem do komunikacji między szkołą a domem o nazwie "Vigilo". Narzędzie to zawierało moduł umożliwiający szkole i rodzicom komunikację za pośrednictwem portalu lub aplikacji, który jednak nie został odpowiednio zabezpieczony, aby zapewnić ochronę danych osobowych przed zagrożeniami bezpieczeństwa.Link
291HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-044000Iberdrola ClientesArt. 58 RODOPrzedsiębiorstwo zostało poproszone o dostarczenie AEPD konkretnych informacji w związku ze złożoną skargą. Spółka nie odpowiedziała jednak w określonym terminie na wniosek organu ochrony danych o udzielenie informacji, co stanowiło naruszenie art. 58 RODO.Link
290HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-0925000Glovoapp23Art. 37 RODOPrzedsiębiorstwo nie wyznaczyło inspektora ochrony danych (" IOD"), do którego mogłyby być kierowane wnioski od osób, których dane dotyczą, a strona internetowa przedsiębiorstwa nie zawierała informacji o wyznaczonym IOD.Link
289HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-0939000Xfera Moviles S.A.Art. 5 (1) f) RODOKlient twierdził, że otrzymał od Xfera Móviles wiadomość SMS informującą o braku płatności i wynikającym z tego zawieszeniu usługi w odniesieniu do konta innej osoby, której dane dotyczą.Link
288HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-0975000Equifax Iberica, S.L.Art. 15 RODOPodmiot danych zwrócił się pocztą elektroniczną o usunięcie swoich danych z akt Krajowego Stowarzyszenia Instytucji Kredytów Finansowych (ASNEF). Equifax Iberica odpowiedziała, że wykonanie prawa skarżącego jest zbyteczne ze względu na wcześniejszy wniosek i że w związku z tym usunięcie danych nie zostanie dokonane. Uznano to za naruszenie praw osób, których dane dotyczą, do usunięcia danych na mocy RODO, jak również za naruszenie obowiązków blokowania danych na mocy krajowych przepisów o ochronie danych.Link
287HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-091000Właściciel nieruchomościArt. 5 (1) c) RODOWykorzystanie kamery CCTV, która uchwyciła również drogi publiczne na zewnątrz, co stanowi naruszenie tzw. zasady minimalizacji danych.Link
286HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-09540Chenming Ye (Bazar Real)Art. 13 RODO, Art. 14 RODOUżycie kamery CCTV w sklepie bez odpowiedniej informacji.Link
285HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-095000Consulting de Seguridad e Investigacion Mira Dp Madrid S.L.Art. 5 RODO, Art. 6 RODOOsoba, której dane dotyczą, otrzymała wiadomości marketingowe bez wyrażenia zgody.Link
284WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-03-09870WierzycielArt. 5 RODO, Art. 6 RODOWysyłanie wiadomości SMS do osoby, której dane dotyczą, jako przypomnienie o długu, nawet jeśli dług został już spłacony.Link
283FinlandiaTietosuojavaltuutetun Toimisto2020-05-2972000Taksi HelsinkiArt. 5 RODO, Art. 6 RODO, Art. 35 RODOSpółka między innymi nie oceniła ryzyka i konsekwencji przetwarzania danych osobowych przed wprowadzeniem systemu nadzoru kamer, który rejestruje dźwięk i obraz w swoich taksówkach, a także nie przeprowadziła oceny skutków dla ochrony danych w odniesieniu do swoich działań związanych z przetwarzaniem danych, w tym nadzoru kamer bezpieczeństwa, przetwarzania danych dotyczących lokalizacji, zautomatyzowanego podejmowania decyzji i profilowania w ramach programu lojalnościowego. Ponadto, przetwarzanie danych audio nie było zgodne z zasadą RODO dotyczącą minimalizacji danych.Link
282BelgiaGegevensbeschermingsautoriteit (GBA)2020-05-291000Organizacja non-profilArt. 6 RODO, Art. 21 RODOBelgijski organ ochrony danych nałożył na organizację non-profit grzywnę w wysokości 1000 EUR za wysyłanie bezpośrednich wiadomości marketingowych, mimo że osoby, których dane dotyczą, skorzystały z prawa do usunięcia danych i sprzeciwu. Organizacja powołała się na uzasadnione interesy jako podstawę prawną, a nie na wyraźną zgodę osób, których dane dotyczą. Organ ochrony danych zaprzeczył jednak istnieniu jakiejkolwiek przewagi uzasadnionych interesów.Link
281FinlandiaTietosuojavaltuutetun Toimisto2020-05-2212500NieznanyArt. 5 RODO, Art. 6 RODOPrzetwarzanie danych pracowników bez wystarczającej podstawy prawnej.Link
280FinlandiaTietosuojavaltuutetun Toimisto2020-05-2216000Kymen Vesi OyArt. 35 RODOKara za nieprzeprowadzenie oceny skutków w zakresie ochrony danych ("DPIA") w odniesieniu do przetwarzania danych dotyczących lokalizacji pracowników w ramach systemu informacji o pojazdach.Link
279FinlandiaTietosuojavaltuutetun Toimisto2020-05-22100000Posti Group OyjArt. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODODecyzja odnosi się do skarg, w których zarzuca się, że administrator prowadził marketing bezpośredni wobec osób, których dane dotyczą, mimo że zażądały one usunięcia swoich danych pocztowych. Dochodzenie wykazało również, że informacje dotyczące ochrony danych dostarczone przez przedsiębiorstwo nie były wystarczająco przejrzyste.Link
278IrlandiaData Protection Commission (DPC)2020-05-1775000Tusla Child and Family AgencyArt. 5 RODO, Art. 6 RODOSpółka omyłkowo udostępniała dane osobowe, w tym informacje o dzieciach, osobom nieuprawnionym. W jednym przypadku dane kontaktowe i lokalizacyjne matki z dzieckiem zostały ujawnione domniemanemu przestępcy, a w dwóch innych przypadkach dane o dzieciach przebywających w pieczy zastępczej zostały bezprawnie ujawnione krewnym, w tym w jednym przypadku ojcu przebywającemu w więzieniu.Link
277DaniaDatatilsynet2020-05-1567000JobTeam A/S DKKArt. 15 RODOFirma usunęła dane osobowe, których dotyczył wniosek o dostęp bez uzasadnienia prawnego.Link
276SzwecjaDatainspektionen2020-05-1211200Komisja ds. Zdrowia i Leków Regionu Örebro Art. 5 RODO, Art. 6 RODOPublikacja danych osobowych pacjenta bez wystarczającej podstawy prawnej.Link
275RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-05-055000Banca Comercială Română SAArt. 32 RODOOrgan ochrony danych stwierdza, że firma nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. Dotyczy to w szczególności gromadzenia i przesyłania kopii dokumentów tożsamości klientów za pośrednictwem aplikacji WhatsApp.Link
274NiderlandyAutoriteit Persoonsgegevens (AP)2020-04-30725000NieznanyArt. 5 RODO, Art. 9 RODOOrganizacja ta wymagała od swoich pracowników skanowania odcisków palców w celu rejestracji obecności. Jednakże, jak stwierdzono w decyzji organu ochrony danych, organizacja nie mogła powoływać się na wyjątki w zakresie przetwarzania tej szczególnej kategorii danych osobowych, a przedsiębiorstwo nie mogło również przedstawić żadnych dowodów na to, że pracownicy wyrazili zgodę na przetwarzanie danych.Link
273SzwecjaDatainspektionen2020-04-2918700National Government Service Centre (NGSC)Art. 33 RODO, Art. 34 RODOZ decyzji organu ochrony danych wynika, że przedsiębiorstwo potrzebowało prawie pięciu miesięcy na powiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych, a prawie trzech miesięcy na przekazanie organowi ochrony danych powiadomienia o naruszeniu ochrony danych dotyczącym braku bezpieczeństwa systemów informatycznych przedsiębiorstwa.Link
272BelgiaGegevensbeschermingsautoriteit (GBA)2020-04-2850000Proximus SAArt. 31 RODO, Art. 58 RODO, Art. 37 RODOWedług organu ochrony danych inspektor ochrony danych w przedsiębiorstwie nie był wystarczająco zaangażowany w przetwarzanie przypadków naruszenia danych osobowych, a przedsiębiorstwo nie posiadało systemu zapobiegającego konfliktowi interesów inspektora ochrony danych, który zajmował również wiele innych stanowisk w przedsiębiorstwie (kierownik działu zgodności i audytu), co doprowadziło organ ochrony danych do wniosku, że inspektor ochrony danych w przedsiębiorstwie nie był w stanie pracować niezależnie.Link
271NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia201950000NieznanyArt. 15 RODO, Art. 28 RODOAdministrator danych zaangażował firmę zewnętrzną do wykonywania obowiązków związanych z dostępem do danych zgodnie z art. 15 RODO. Zaangażowana firma prowadziła jednak korespondencję z osobami, których dane dotyczą, pod własnym logo i w języku angielskim, tak że dla osób, których dane dotyczą, nie było oczywiste, kto jest odpowiedzialny za przetwarzanie danych. W związku z tym administrator danych naruszył zasadę przejrzystości określoną w art. 12 RODO i nie wywiązał się w wystarczającym stopniu z obowiązku informacyjnego zgodnie z art. 15 RODO. Ponadto organ nadzorczy ds. ochrony danych stwierdził, że między administratorem danych a firmą zewnętrzną nie została zawarta pisemna umowa o powierzenie przetwarzania danych osobowych, co stanowiło kolejne naruszenie art. 28 ust. 9 RODO. 28 (9) RODO.Link
270BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2020-01-065110Przedsiębiorstwo użyteczności publicznejArt. 6 (1) RODOGrzywna w wysokości około 5.113 EUR została nałożona na bułgarskie przedsiębiorstwo użyteczności publicznej za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. Dane osobowe były przetwarzane niezgodnie z prawem, a następnie wykorzystane do wszczęcia przeciwko osobie sprawy egzekucyjnej z tytułu zaległych zobowiązań płatniczych. W trakcie postępowania egzekucyjnego komornik sądowy zajął wynagrodzenie osoby, której dane dotyczą, a osoba ta poniosła szkodę w wyniku bezprawnego przetwarzania danych.Link
269BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2020-02-202560L.E. EOODArt. 25 (1) RODO, Art. 32 RODO, Art. 6 RODOGrzywna w wysokości około 2 557 EUR została nałożona na L.E. EOOD za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą, I.S., bez wiedzy i zgody osoby, której dane dotyczą, a także bez ważnego stosunku umownego między L.E. EOOD a I.S. Przedsiębiorstwo przetwarzało dane osobowe I.S. niezgodnie z prawem siedem razy w okresie 3 miesięcy, nie przyjmując środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Oprócz grzywny, Komisja Ochrony Danych Osobowych ("KZLD") nakazała L.E. EOOD przeprowadzanie regularnych kontroli działań związanych z przetwarzaniem danych, przeprowadzanie analizy ryzyka w odniesieniu do klientów i pracowników oraz przeprowadzanie okresowych szkoleń pracowników. KZLD nakazał również spółce L.E. EOOD archiwizowanie i przechowywanie dokumentów zawierających dane osobowe wyłącznie w ograniczonych celach i w ramach czasowych wymaganych przez prawo.Link
268BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2020-02-202560T.K. EOODArt. 25 (1) RODO, Art. 32 RODOGrzywna w wysokości około 2.557 EUR została nałożona na T.K. EOOD za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą, I.S., poprzez brak przyjęcia środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. T.K. EOOD przetwarzała dane osobowe I.S. niezgodnie z prawem dziewięć razy w okresie pięciu miesięcy. Naruszenia te spowodowały szkody dla osoby, której dane dotyczą.Link
267PolskaUrząd ochrony danych osobowych (UODO)2020-03-094400Vis Consulting Sp. z o.o.Art. 31 RODO, Art. 58 RODOSpółka uniemożliwiła przeprowadzenie kontroli przez organ ochrony danych osobowych. W związku z tym spółka naruszyła art. 31 w związku z art. 58 ust. 1 lit. e) i f) RODO.Link
266HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-255000Xfera Moviles S.A.Art. 58 RODOPrzedsiębiorstwo nie dostarczyło organowi ochrony danych żądanych informacji w odpowiednim czasie. Wniosek AEPD został poprzedzony wnioskiem osoby, której dane dotyczą, o dostęp do jej danych osobowych.Link
265WłochyGarante per la protezione dei dati personali (Garante)2020-02-134000Gmina UragoArt. 5 RODO, Art. 6 RODOLokalna rada opublikowała na swojej stronie internetowej informacje zawierające dane osobowe danej osoby, w tym informacje o stanie zdrowia.Link
264RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-03-253000Dante InternationalArt. 6 RODO, Art. 21 RODOFirma wysłała komercyjną wiadomość e-mail do klienta, mimo że ten wcześniej zrezygnował z otrzymywania informacji handlowych.Link
263RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-03-254150Vodafone RomaniaArt. 32 RODOFirma wysłała wiadomość e-mail do klienta, która zawierała dane osobowe innego klienta, ze względu na nieodpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.Link
262RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-03-253000Enel EnergieArt. 32 RODOPrzedsiębiorstwo wysłało do klienta wiadomość e-mail, która zawierała dane osobowe innego klienta, ponieważ przedsiębiorstwo nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji.Link
261RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-03-252000SOS Infertility AssociationArt. 58 RODOStowarzyszenie nie przekazało organowi ochrony danych informacji, o które ten wnioskował, po tym jak Stowarzyszenie przetwarzało dane osobowe bez wystarczającej podstawy prawnej.Link
260WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-03-04290Przedstawiciel samorządu terytorialnegoArt. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODOPrzedstawiciel lokalny zrobił zdjęcie dyrektorowi firmy należącej w całości do samorządu przedstawiające dyrektora rzekomo zrywającego plakat wyborczy opozycji w towarzystwie swojego dziecka. Przedstawiciel samorządu umieścił zdjęcie na swojej stronie na Facebooku. Wizerunek dziecka był zamazany, jednak w poście pojawiła się sugestia, że jest to córka dyrektora. Dyrektor powiedział lokalnemu przedstawicielowi na miejscu zdarzenia, że nie wyraża zgody na zrobienie zdjęcia. NAIH ustalił, że czyn dyrektora nie był informacją publiczną, a zdjęcie nie dowodzi, że dyrektor zerwał plakat wyborczy. NAIH podkreślił również, że tylko nazwisko dyrektora firmy będącej w całości własnością samorządu lokalnego było informacją publiczną.Link
259WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-10-152860NieznanyArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODOPracownik przebywał na zwolnieniu lekarskim, kiedy pracodawca sprawdził jego komputer stacjonarny, laptopa i pocztę elektroniczną, aby upewnić się, że obowiązki związane z pracą są wykonywane podczas jego nieobecności. Następnie pracodawca zawiesił jego konto. Pracownik nie otrzymał wcześniejszego powiadomienia i nie miał możliwości skopiowania / usunięcia swoich prywatnych informacji (numery telefonów, wiadomości). Zgodnie z NAIH, pracodawcy muszą rejestrować dostęp do konta za pomocą protokołów i zdjęć. Umowy o pracę muszą regulować, czy pracownicy mogą używać sprzętu służbowego do celów prywatnych. Informacje o prywatności muszą zawierać powody monitorowania pracowników (np. ciągłość biznesowa, wewnętrzne śledztwo, cele dyscyplinarne, a także określony okres przechowywania danych pracowników - w tym długość i powtarzalność kopii zapasowych. Pracodawcy muszą również przygotować "testy równowagi", aby udowodnić swoje uzasadnione interesy w odniesieniu do ogólnego monitorowania pracowników i szczególnych przypadków.Link
258WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-08-081715Biuro rządowe zarządzające rejestrem nieruchomościArt. 5 RODO, Art. 14 RODOWłaściciele nieruchomości poskarżyli się, że urząd wydał decyzję o zmianie osoby dzierżawcy (który zawarł umowę dzierżawy z właścicielami nieruchomości) innym właścicielom 40 nieruchomości, których dzierżawcą jest ten sam dzierżawca. Decyzja zawierała dane osobowe wszystkich właścicieli, którzy mieli umowę dzierżawy z tym samym dzierżawcą.Link
257WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-08-024290Firma zajmująca się utrzymaniem terenów publicznychArt. 5 RODO, Art. 6 RODO, Art. 13 RODOByły pracownik skarżył się, że jego pracodawca bezprawnie monitorował jego pracę za pomocą telewizji przemysłowej. Pracodawca argumentował, że monitoring CCTV był konieczny do oceny, czy pracownik wypełniał swoje obowiązki związane z zatrudnieniem (tj. monitorowanie pewnych obszarów publicznych i sygnalizowanie współpracownikom wszelkich nietypowych zdarzeń) oraz że monitoring służył również ochronie jego systemu nadzoru przed bezprawnym dostępem lub użyciem. NAIH stwierdził, że monitorowanie pracownika za pomocą CCTV nie jest właściwym sposobem oceny jego wydajności pracy, a pracodawca oparł się na niewłaściwej podstawie prawnej (interes publiczny, władza publiczna) w odniesieniu do operacji CCTV. Pracodawca mógł zabezpieczyć swój system nadzoru obszaru publicznego innymi metodami (np. poprzez zainstalowanie zapór ogniowych lub innych ulepszeń bezpieczeństwa w swoich systemach). Pracodawca również umieścił tylko krótką kartkę informacyjną przy wejściu do stanowiska pracy pracownika dotyczącą monitoringu CCTV, co NAIH uznał za niewystarczające.Link
256WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-07-178575Sąd Okręgowy w BudapeszcieArt. 5 RODO, Art. 6 RODOPrezes Sądu Okręgowego w Budapeszcie zorganizował spotkanie dla urzędników sądowych, podczas którego oświadczył, że rezygnuje z członkostwa w Węgierskim Stowarzyszeniu Sędziów i zwrócił się do obecnych urzędników sądowych, aby przekonali do tego również swoich kolegów. Prezes przedstawił również listę członków Stowarzyszenia w okręgu Pest, która zawierała również informacje o wysokości składek członkowskich potrącanych z wynagrodzenia sędziów. Lista składała się z danych zebranych z kartotek płacowych sędziów. NAIH ustalił, że Sąd Okręgowy w Budapeszcie może przetwarzać takie dane wyłącznie w celu dokonywania potrąceń i zarządzania listą płac. NAIH ustalił również, że sąd okręgowy w Budapeszcie nie miał podstawy prawnej do przetwarzania danych, gdy udostępnił innym osobom dane pracowników dotyczące ich członkostwa w stowarzyszeniu.Link
255WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-06-262850Przedsiębiorstow z branży finansowejArt. 5 RODO, Art. 6 RODO, Art. 21 RODOKlient przedsiębiorstwa branży finansowej skarżył się, że przedsiębiorstwo to przekazało jego dane po tym, jak sprzeciwił się on ich przetwarzaniu i nie udzieliło na jego prośbę informacji na temat przetwarzania jego danych. Według przedsiębiorstwa z branży finansowej, sprzedało ono stronie trzeciej swoje roszczenie wynikające z umowy zawartej z klientem, dlatego też taka transakcja wymagała przekazania odpowiednich danych klienta. NAIH podkreślił, że przedsiębiorstwo to sprzedało roszczenie i przekazało odpowiednie dane po tym, jak klient nie wywiązał się z umowy; oznacza to również, że przedsiębiorstwo to nie może opierać się o wykonanie umowy zawartej z klientem. Właściwą podstawą prawną byłby uzasadniony interes administratora danych, przy czym konieczne jest również przeprowadzenie testu równowagi, opisującego jego interes w przekazaniu roszczenia i odpowiednich danych stronie trzeciej.Link
254WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-06-261850NieznanyArt. 5 RODO, Art. 6 RODO, Art. 17 RODOOsoba fizyczna zażądała usunięcia swoich danych kontaktowych (w tym numeru telefonu), jednak administrator danych przetwarzał dalej jej dane kontaktowe do celów dochodzenia roszczeń na podstawie swojego uzasadnionego interesu. NAIH ustalił, że administrator nie miał istotnych prawnie uzasadnionych podstaw do przetwarzania numeru telefonu osoby, której dane dotyczą, ponieważ dysponował również jej adresem, który jest wystarczający do celów dochodzenia roszczeń oraz do komunikacji z osobą, której dane dotyczą.Link
253WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-06-032850Firma zarządzająca roszczeniamiArt. 5 RODO, Art. 6 RODOSkarżący oświadczyli w trakcie sprawy, że zawarli umowę kredytową z bankiem, który sprzedał swoje roszczenia wobec skarżących i przekazał ich dane spółce trzeciej (administratorowi danych). NAIH ustalił w tej sprawie, że administrator danych nie może powoływać się na zgodę osób, których dane dotyczą, ani na wykonanie umowy kredytowej jako podstawę prawną przetwarzania danych, ponieważ osoby, których dane dotyczą, zawarły taką umowę z bankiem, a nie z administratorem danych. Właściwą podstawą prawną przetwarzania danych mógł być uzasadniony interes administratora.Link
252WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-05-312000Lokalny bankArt. 12 (3), (4), (5) RODO, Art. 15 RODO, Art. 18 RODOKlient lokalnego banku zażądał dostępu do nagrań rozmów telefonicznych oraz nagrań z kamer przemysłowych. Bank dostarczył kopie nagrań rozmów telefonicznych, a także zapewnił możliwość przejrzenia nagrań w banku, ale odmówił dostarczenia kopii nagrań z kamer przemysłowych, ponieważ nagrania te zawierały również dane osobowe osób trzecich. NAIH uznał w tej sprawie, że bank nie spełnił praw osób, których dane dotyczą, ponieważ nie odpowiedział w odpowiednim czasie, a także nie dostarczył kopii żądanych nagrań. Według NAIH administrator danych nie mógł odnieść się do ochrony danych osób trzecich, ponieważ nagrania CCTV dotyczyły przestrzeni publicznej dostępnej dla każdego klienta, a bank mógł również zanonimizować niektóre części nagrań.Link
251WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-05-21286Dyrekcja Instytucji Opieki Społecznej i Pomocy Dzieciom w Dzielnicy Ferencvaros w BudapeszcieArt. 33 RODOPracownik dyrekcji wysłał przez pomyłkę 9 listów do niewłaściwego adresata, które zawierały dane osobowe 18 osób, których dane dotyczą (w tym dane dzieci, dane o karalności i dane dotyczące życia prywatnego osób, których dane dotyczą). Odbiorca poinformował dyrekcję telefonicznie 5 dni po wysłaniu listów, że omyłkowo otrzymał niektóre z nich. Dyrekcja powiadomiła NAIH o naruszeniu danych dopiero kilka tygodni później.Link
250GrecjaHellenic Data Protection Authority (HDPA)2020-03-208000Speech and Special Education Centre - Mihou DimitraArt. 15 RODO, Art. 58 RODOSkarżący zażądał dostępu do danych swojego dziecka oraz do informacji podatkowych. Wniosek ten został odrzucony przez administratora danych. Ponadto administrator danych naruszył nakaz organu ochrony danych dotyczący dostępu do danych. Z tego tytułu nałożono grzywnę w wysokości 8000 EUR: 3000 EUR za nieudzielenie dostępu do danych i 5000 EUR za naruszenie nakazu organu ochrony danych.Link
249WłochyGarante per la protezione dei dati personali (Garante)2020-02-0620000RTI - Reti Televisive Italiane s.p.a.Art. 5 RODO, Art. 6 RODOStacja telewizyjna wyemitowała film dokumentalny o prostytucji w Szwajcarii, w którym osoby, z którymi przeprowadzono wywiady, nie zostały wystarczająco zanonimizowane.Link
248HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-196000Oliveros Ustrell, S.L.Art. 5 RODO, Art. 6 RODOPrzedsiębiorstwo przekazało operatorowi Vodafone niepodpisaną umowę o przeniesienie numeru. Administrator danych nie był jednak w stanie przedstawić dowodu zlecenia. Z tego powodu dane osobowe osoby, której dane dotyczą, były przetwarzane bez wystarczającej podstawy prawnej.Link
247HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-166000Amalfi Servicios de Restauracion S.L.Art. 5 RODO, Art. 13 RODO, Art. 14 GDPMonitoring wizyjny przestrzeni publicznej, a tym samym naruszenie zasady minimalizacji danych. Ponadto: Naruszenie obowiązków informacyjnych, ponieważ nie udzielono wystarczających informacji na temat monitoringu wizyjnego.Link
246HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-122000Stowarzyszenie właścicieli domówArt. 5 RODO, Art. 13 RODO, Art. 14 RODOMonitoring wizyjny przestrzeni publicznej, a tym samym naruszenie zasady minimalizacji danych. Ponadto: Naruszenie obowiązków informacyjnych, ponieważ nie udzielono wystarczających informacji na temat monitoringu wizyjnego.Link
245HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-063200Sprzedawca detalicznyArt. 13 RODO, Art. 14 RODONiewystarczające informacje o monitoringu wizyjnym.Link
244HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-164000Osoba fizycznaArt. 5 RODO, Art. 6 RODONa jednej z plaż osoba fizyczna ukradkiem fotografowała kąpiące się kobiety. Incydent został zgłoszony do AEPD przez lokalną policję.Link
243HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-165000Centro De Estudio Dirigidos Delta, S.L.Art. 5 (1) f) RODOCentro De Estudio Dirigidos Delta wysłało wiadomość zawierającą dane osobowe, takie jak imię i nazwisko oraz numery identyfikacyjne, do osoby trzeciej za pośrednictwem aplikacji WhatsApp bez zgody osób, których dane dotyczą. Stanowi to naruszenie zasad integralności i poufności na mocy art. 5 ust. 1 lit. f RODO.Link
242GrecjaHellenic Data Protection Authority (HDPA)2020-02-215000Public Power Corporation S.A.Art. 15 RODOW decyzji wyjaśniono, że osoby, których dane dotyczą, mają prawo dostępu do przetwarzania swoich danych osobowych i że należy im również dostarczyć kopię przetwarzanych danych osobowych. Wniosek nie musi być uzasadniony.Link
241RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-02-113000Vodafone RomaniaArt. 5 (1) f) RODO, Art. 32 RODOVodafone Romania nieprawidłowo przetworzyła dane osobowe osoby fizycznej w celu rozpatrzenia skargi, która następnie została wysłana na niewłaściwy adres e-mail. Powodem tego był fakt, że nie istniały wystarczające środki bezpieczeństwa, aby zapobiec takiemu błędnemu przetwarzaniu danych.Link
240HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-1830000TelefónicaArt. 58 RODOTelefonica nie zastosowała się do decyzji TD / 00127/2019 dyrektora AEPD, która stanowi, że musi odpowiedzieć na wniosek osoby, której dane dotyczą, o prawo dostępu i usunięcie danych.Link
239ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2020-03-13NieznanaBankArt. 15 (1), (3) RODOW okresie od maja 2018 r. do kwietnia 2019 r. bank (nazwa na chwilę obecną niedostępna) odmówił swoim klientom udostępnienia kopii dokumentacji kredytowej (np. planu spłaty, aneksu do umowy kredytowej, przeglądu zmian oprocentowania itp.). Bank argumentował, że dokumentacja ta jest związana ze spłaconymi kredytami i stanowi dokumentację kredytową, która nie może podlegać prawu dostępu klientów. W trakcie postępowania wszczętego na podstawie skarg osób, których dane dotyczą, organ ochrony danych nakazał bankowi umożliwienie skorzystania z prawa dostępu i dostarczenie kopii żądanej dokumentacji kredytowej. Nakładając grzywnę, organ wziął pod uwagę przede wszystkim fakt, że bank nie zastosował się do nakazanych środków, kontynuował taką praktykę przez prawie rok i odmówił prawa dostępu ponad 2500 swoim klientom. Wysokość grzywny nie jest na razie znana, ale ponieważ organ ochrony danych osobowych zakwalifikował naruszenie jako "poważne", można się spodziewać wysokiej grzywny.Link
238NiemcyOrgan ochrony danych osobowych kraju związkowego Nadrenia Północna-Westfalia2019-08-05200Osoba fizyczna (Youtuber)Art. 5 RODO, Art. 6 RODOOsoba prywatna wykorzystała rejestrator jazdy do wykonania nagrań z ruchu na drogach publicznych, a następnie opublikowała je na YouTube jako kompilację.Link
237NorwegiaDatatilsynet2020-02-280Coop Finnmark SAArt. 5 RODO, Art. 6 RODOW dniu 28 lutego 2020 r. norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na Coop Finnmark SA grzywnę w wysokości 38.600 EUR za naruszenie art. 5 RODO i Art. 6 RODO . Ta grzywna została nałożona w międzyczasie, zobacz szczegóły pod naruszeniem ID 525Link
236NiemcyOrgan ochrony danych osobowych kraju związkowego Saara20192000RestauracjaArt. 5 (1) c) RODOKamery monitoringu wizyjnego były wykorzystywane z naruszeniem zasady minimalizacji danych (monitoring również stref dla klientów w restauracjach).Link
235NorwegiaDatatilsynet2020-02-260Gmina RælingenArt. 5 (1) f) RODO, Art. 32 RODOW dniu 26 lutego 2020 r. norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na gminę Rælingen grzywnę w wysokości 73 600 EUR za naruszenie art. 5 (1) f) RODO i Art. 32 RODO. Grzywna ta została nałożona w międzyczasie, zobacz szczegóły pod naruszeniem ID 333
Link
234IslandiaPersónuvernd2020-03-109000Szkoła średnia BreiðholtArt. 5 (1) f) RODO, Art. 32 RODONaruszając art. 32 RODO, nauczyciel wysłał do swoich uczniów i ich rodziców e-mail z załącznikiem zawierającym dane dotyczące ich samopoczucia, wyników w nauce i warunków socjalnych.Link
233IslandiaPersónuvernd2020-03-1020600National Center of Addiction Medicine (S.Á.Á.)Art. 5 (1) f) RODO, Art. 32 RODOPersónuvernd zauważył, że były pracownik SAA otrzymał pudła z rzekomo osobistymi rzeczami, które tam zostawił, a które zawierały również dane pacjentów, w tym karty zdrowia 252 byłych pacjentów i dokumenty z nazwiskami około 3 tys. osób, które uczestniczyły w rehabilitacji z powodu nadużywania alkoholu i narkotyków.Link
232SzwecjaDatainspektionen2020-03-115000000Google LLCArt. 5 RODO, Art. 6 RODO, Art. 17 RODOPierwotne podsumowanie kary: Szwedzki organ ochrony danych ukarał Google LLC grzywną w wysokości 7 mln euro za niewywiązanie się w odpowiedni sposób z obowiązków dotyczących prawa osób, których dane dotyczą, do usunięcia wyników wyszukiwania z listy wyników. Datainspektionen już w 2017 r. zakończyła przegląd sposobu, w jaki Google radzi sobie z prawem osób fizycznych do usunięcia wyników wyszukiwania z wyszukiwarki Google oraz że Datainspektionen poleciła Google usunięcie szeregu wyników wyszukiwania. Ponadto organ ochrony danych stwierdziły, że w 2018 r. zainicjowały kolejny przegląd praktyk Google po otrzymaniu sygnałów, że kilka wyników, które powinny były zostać usunięte, nadal pojawiało się w wynikach wyszukiwania. Datainspektionen sprzeciwił się również obecnej praktyce Google polegającej na informowaniu właścicieli stron internetowych o tym, które wyniki Google usuwa z wyników wyszukiwania, a konkretnie, który link został usunięty i kto stoi za żądaniem usunięcia z listy, ponieważ jest to pozbawione podstaw prawnych. Aktualizacja: 23 listopada 2020 roku, po odwołaniu się od grzywny, The Administrative Court of Stockholm ogłosił, że odrzucił odwołanie Google LLC. Sąd zmniejszył jednak wysokość grzywny z 75 mln SEK (ok. 7 mln EUR) do 52 mln SEK (ok. 5 mln EUR).Link
231DaniaDatatilsynet2020-03-1014000Gmina GladsaxeArt. 5 (1) f) RODO, Art. 32 RODOSkradziono komputer zawierający niezabezpieczone szyfrowaniem dane osobowe, w tym wrażliwe informacje i numery identyfikacyjne 20 620 mieszkańców miasta.Link
230DaniaDatatilsynet2020-03-107000Gmina HørsholmArt. 5 (1) f) RODO, Art. 32 RODOPracownikowi urzędu miasta skradziono komputer służbowy, na którym znajdowały się dane osobowe około 1600 pracowników urzędu miasta, w tym informacje wrażliwe oraz informacje o numerach ubezpieczenia społecznego.Link
229HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0915000Gesthotel Activos BalagaresArt. 5 (1) f) RODOOsoba, której dane dotyczą, twierdziła, że wysłała prywatny list do kierownictwa hotelu i delegatów związkowych zawierający informacje o doznanym przez nią epizodzie molestowania, w którym opisała konkretną chorobę. Z naruszeniem zasady integralności i poufności, kierownictwo hotelu i delegaci związkowi zapoznali się następnie z treścią tego listu na spotkaniu z innymi pracownikami.Link
228HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-064000Osoba fizyczmaArt. 5 RODOBezprawne użycie kamer monitoringu wizyjnego, które monitorowały również fragmenty przestrzeni publicznej (naruszenie zasady minimalizacji danych).Link
227WłochyGarante per la protezione dei dati personali (Garante)2020-03-064000Liceum Naukowe Nobla w Torre del GrecoArt. 5 RODO, Art. 6 RODO, Art. 9 RODOZ decyzji AEPD wynika, że liceum bezprawnie opublikowało dane zdrowotne i inne informacje dotyczące ponad 2000 nauczycieli w rankingach nauczycieli publikowanych na stronie internetowej Instytutu. Publikacja ta została dokonana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych.Link
226WłochyGarante per la protezione dei dati personali (Garante)2020-03-064000Liceum Artystyczne Statale di NapoliArt. 5 RODO, Art. 6 RODO, Art. 9 RODOZ decyzji AEPD wynika, że liceum bezprawnie opublikowało dane o stanie zdrowia i inne informacje w rankingach nauczycieli publikowanych na stronie internetowej. Publikacja ta została dokonana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych.Link
225HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0460000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOWedług AEPD osoba, której dane dotyczą, otrzymała kilka SMS-ów od odrębnego operatora informujących o aktywacji nowej umowy. Powodem tego było to, że pracownik Vodafone España aktywował umowę z trzecim operatorem w imieniu osoby, której dane dotyczą. Vodafone nie mógł wykazać zgody ani wystarczającego uzasadnionego interesu dla tego przetwarzania danych osobowych.Link
224PolskaUrząd ochrony danych osobowych (UODO)2020-03-040Szkoła podstawowa w GdańskuArt. 5 RODO, Art. 9 RODOPierwotne podsumowanie kary: Szkoła w Gdańsku wykorzystywała biometryczne czytniki linii papilarnych do uwierzytelniania uczniów w procesie płatności w stołówce szkolnej. Pomimo wyrażenia przez rodziców pisemnej zgody na takie przetwarzanie danych, organ ochrony danych osobowych uznał, że przetwarzanie danych uczniów było niezgodne z prawem, gdyż zgoda na przetwarzanie danych nie została wyrażona dobrowolnie.
Aktualizacja: W dniu 7 sierpnia 2020 roku Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję polskiego IOD nakładającą karę pieniężną w wysokości 4.600 euro.
Decyzja UODO


Orzeczenie sądu
223HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0324000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOWedług AEPD, spółka wysłała dwa SMS-y na numer telefonu komórkowego klienta informujące o zmianie stawki w jego umowie i potwierdzające zakup nowego telefonu komórkowego, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą, lub innych uzasadnionych interesów spółki.Link
222HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0340000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOWedług AEPD, spółka wysłała SMS na numer telefonu komórkowego klienta, potwierdzając, że umowa telefoniczna z tym numerem została podpisana, mimo że klient nie był klientem Vodafone, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą, lub innych uzasadnionych interesów spółki.Link
221HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0342000Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 32 RODOWedług AEPD, firma nie była w stanie wykazać odpowiednich środków zapewniających bezpieczeństwo informacji, co doprowadziło do nieuprawnionego dostępu do danych osobowych klienta.Link
220HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-031800Solo EmbragueArt. 13 RODOStrona korporacyjna nie zawierała na swojej stronie głównej polityki prywatności ani informacji dotyczącej cookies.Link
219HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-283600AEMA HispánicaArt. 5 (1) f) RODOFirma przesłała listę płac jednego pracownika innemu pracownikowi, przez co ujawniła dane osobowe osobie nieuprawnionej.Link
218NiderlandyAutoriteit Persoonsgegevens (AP)2020-03-03525000Królewskie Niderlandzkie Stowarzyszenie Tenisowe ("KNLTB")Art. 5 RODO, Art. 6 RODONiderlandzki Urząd Ochrony Danych Osobowych ukarał Królewskie Niderlandzkie Stowarzyszenie Tenisowe ("KNLTB") grzywną w wysokości 525 000 euro za sprzedaż danych osobowych ponad 350 000 swoich członków sponsorom, którzy kontaktowali się z niektórymi z nich drogą pocztową i telefoniczną w celach marketingu bezpośredniego. Stwierdzono, że KNLTB sprzedała dane osobowe, takie jak imię i nazwisko, płeć i adres, osobom trzecim bez uzyskania zgody osób, których dane dotyczą. Organ ochrony danych osobowych odrzucił również istnienie uzasadnionego interesu dla sprzedaży danych i w związku z tym uznał, że nie istnieje podstawa prawna dla przekazania danych osobowych sponsorom.Link
217HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-256000Casa Gracio OperationArt. 5 (1) c) RODOSpółka używała kamer CCTV na terenie hotelu, które rejestrowały również drogi publiczne przed hotelem, co stanowiło naruszenie tzw. zasady minimalizacji danych.Link
216HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-2548000HM HospitalesArt. 5 RODO, Art. 6 RODOOsoba, której dane dotyczą, stwierdziła, że w momencie przyjęcia do szpitala musiała wypełnić formularz zawierający pole wyboru, w którym zaznaczono, że jeśli go nie zaznaczy, zgadza się na przekazanie swoich danych osobom trzecim. Formularz ten, dostarczony przez HM, nie był zgodny z RODO, ponieważ zgoda miała być uzyskana poprzez brak aktywności osoby, której dane dotyczą.Link
215HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-2848000Vodafone ONO, S.A.U.Art. 32 RODODecyzja ta została podjęta z powodu kilku niedociągnięć w zakresie bezpieczeństwa informacji. Na przykład, dwie osoby otrzymały ten sam klucz dostępu.Link
214HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-27120000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOVodafone España nie była w stanie udowodnić przed organem ochrony danych, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych w celu zawarcia umowy na świadczenie usługi telekomunikacyjnej. Ponadto, w decyzji organu ochrony danych podkreślono, że Vodafone España bezprawnie udostępniła dane osobowe osoby, której dane dotyczą, różnym agencjom kredytowym.href="https://www.aepd.es/es/documento/ps-00235-2019.pdf" rel="nofollow">Link
213WłochyGarante per la protezione dei dati personali (Garante)2020-01-2330000Sapienza Università di RomaArt. 5 (1) f) RODO, Art. 32 RODOGrzywna wynika z faktu, że według organu ochrony danych osobowych, uniwersytet Sapienza udostępnił online dane identyfikacyjne dwóch osób, które zgłosiły uniwersytetowi możliwe nielegalne zachowania. Wynikało to z braku odpowiednich technicznych środków kontroli dostępu w ramach systemu zarządzania informacją o nieprawidłowościach, który nie ograniczał dostępu do takich danych wyłącznie do upoważnionego personelu.Link
212WłochyGarante per la protezione dei dati personali (Garante)2020-01-2330000Azienda Ospedaliero Universitaria Integrata di Verona (Szpital)Art. 5 (1) f) RODO, Art. 32 RODOGrzywna została nałożona w związku z dostępem do danych zdrowotnych przez osoby nieuprawnione, co umożliwiło stażyście i radiologowi uzyskanie dostępu do danych zdrowotnych ich kolegów. Postępowanie wykazało, że środki techniczne i organizacyjne podjęte przez szpital w celu ochrony danych zdrowotnych okazały się niewystarczające do zapewnienia odpowiedniej ochrony danych osobowych pacjentów, co doprowadziło do niezgodnego z prawem przetwarzania danych. Według organu ochrony danych naruszenia można było uniknąć, gdyby szpital po prostu zastosował się do wytycznych dotyczących dokumentacji zdrowotnej wydanych przez organ ochrony danych w 2015 r., które stanowią, że dostęp do dokumentacji zdrowotnej musi być ograniczony wyłącznie do personelu medycznego zaangażowanego w opiekę nad pacjentem.Link
211HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-1430000Xfera Moviles S.A.Art. 5 (1) f) RODO, Art. 32 RODOAEPD ustaliło, że osoba trzecia miała dostęp do nazwiska, numeru telefonu i adresu innego klienta.Link
210HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-1442000Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 32 RODOSkarżący miał dostęp do danych osób trzecich w swoim osobistym profilu Vodafone.Link
209HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-1480000Iberdrola ClientesArt. 6 RODOIberdola Clientes, przedsiębiorstwo energetyczne, rozwiązało umowę z osobą, której dane dotyczą, bez jej zgody, zawarło z nią trzy nowe umowy, przetwarzało jej dane osobowe niezgodnie z prawem i przekazało dane osobowe skarżącej osobie trzeciej bez podstawy prawnej. Oprócz tej grzywny AEPD nałożył również inną grzywnę w wysokości 50.000 euro na podstawie starej hiszpańskiej ustawy o ochronie danych osobowych.Link
208HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-181500Mymoviles Europa 2000, S.L.Art. 13 RODOAEPD stwierdziła, że firma nie opublikowała oświadczenia o ochronie prywatności na swojej stronie internetowej i że nie podawała wystarczających informacji identyfikujących administratora.Link
207HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-143000Colegio Arenales Carabanchel (Szkoła)Art. 6 RODOW decyzji organu ochrony danych stwierdza się, że szkoła przekazała zdjęcia (a tym samym dane osobowe) osobom trzecim, które opublikowały je bez podstawy prawnej.Link
206HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-142500Grupo Valsor Y Losan, S.L.Art. 5 (1) f) RODOAdministrator ujawnił dane osobowe osobie trzeciej w ramach umowy kupna nieruchomości (naruszenie zasad integralności i poufności danych osobowych)Link
205NiemcyOrgan ochrony danych osobowych Hamburga2019NieznanaHamburger Volksbank eGArt. 21 RODOSpółka przesłała klientowi pocztą elektroniczną biuletyn zawierający treści reklamowe, mimo że klient ten wcześniej wyraźnie sprzeciwił się wysyłaniu dalszych listów reklamowych.Link
204NiemcyOrgan ochrony danych osobowych Hamburga201920000Hamburger Verkehrsverbund GmbH (HVV GmbH)Art. 33 RODO, Art. 34 RODOW dniu 6 lipca 2018 r. spółka HVV GmbH została poinformowana przez klienta o luce bezpieczeństwa na stronie internetowej www.hvv.de, która została spowodowana aktualizacją z dnia 5 lutego 2018 r. i dotyczyła tzw. Customer E-Service (CES). Luka bezpieczeństwa polegała na tym, że klienci zalogowani do CES, którzy posiadali kartę HVV i powiązali swoje konto klienta CES, mogli poprzez zmianę adresu URL wyświetlać dane innych klientów, którzy posiadali kartę HVV. To naruszenie ochrony danych nie zostało w odpowiednim czasie zgłoszone organowi ochrony danych.Link
203NiemcyOrgan ochrony danych osobowych Hamburga201951000Facebook Germany GmbHArt. 37 RODOPodczas gdy Facebook Ireland wyznaczył inspektora ochrony danych dla wszystkich spółek grupy mających siedzibę w UE, inspektor ten nie został zgłoszony do organu ochrony danych w Hamburgu, właściwego dla Facebook Germany GmbH. Wysokość grzywny obliczono na podstawie obrotu niemieckiego oddziału (35 mln EUR). Czynnikami istotnymi dla obliczenia grzywny były m.in. fakt, że pominięte zgłoszenie zostało niezwłocznie uzupełnione, Facebook działał niestarannie i nie naruszył obowiązku powołania inspektora ochrony danych, a jedynie obowiązek zgłoszenia.Link
202WłochyGarante per la protezione dei dati personali (Garante)2020-01-1510000Gmina Francavilla FontanaArt. 5 RODO, Art. 6 RODOGmina opublikowała na swojej stronie internetowej informacje o procesie sądowym, w tym dane osobowe, np. dane o stanie zdrowia osoby, której dane dotyczą.Link
201HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-041500Cafetería NagasakiArt. 5 RODO, Art. 6 RODOAEPD uznała, że Nagasaki Cafetería nie wywiązała się ze swoich obowiązków wynikających z RODO, ponieważ umieściła kamery monitoringu w taki sposób, aby monitorowały przestrzeń publiczną poza swoim lokalem, co nieproporcjonalnie wpłynęło na pieszych.Link
200HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-03800AutomociónArt. 5 RODO, Art. 6 RODOPracownik stworzył fałszywy profil koleżanki z pracy na portalu erotycznym, który zawierał m.in. jej dane kontaktowe, zdjęcie oraz informacje o jej seksualności. Na podstawie tego profilu osoba, której dane dotyczą, otrzymała kilka telefonów od osób, które chciały się z nią skontaktować w związku z informacjami podanymi na stronie internetowej. Ponieważ stwierdzono, że osoba fizyczna cierpi na zaburzenia osobowości, grzywna została zmniejszona z początkowych 1000 EUR do 800 EUR.Link
199HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-035000Queseria Artesenal Ameco S.L.Art. 5 RODO, Art. 6 RODOFirma przetwarzała dane osobowe klientów bez wymaganej zgody.Link
198HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-036670Banco Bilbao Vizcaya Argentaria S.L.Art. 5 RODO, Art. 6 RODO, Art. 21 RODOSpółka wielokrotnie wysyłała komunikaty reklamowe do osoby, której dane dotyczą, mimo że osoba ta sprzeciwiła się przetwarzaniu jej danych.Link
197HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0375000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOOsoba, której dane dotyczą, były klient spółki, nadal otrzymywała powiadomienia o fakturach, mimo że w tym czasie nie istniał ani stosunek umowny, ani zaległa płatność z tytułu wygasłego stosunku umownego. Jako przyczynę nieprawidłowych wysyłek Vodafone podał błąd techniczny.Link
196HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0320000Iberia Lineas Aereas de Espana, S.A. Operadora UnipersonalArt. 5 RODO, Art. 6 RODO, Art. 21 RODOIberia nadal wysyłała e-maile do osoby, której dane dotyczą, mimo że osoba, której dane dotyczą, wycofała zgodę i zażądała usunięcia swoich danych osobowych oraz że wykonanie tych środków zostało jej już potwierdzone.Link
195HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0350000Vodafone España, S.A.U.Art. 5 RODOKarę poprzedziła skarga osoby, której dane dotyczą, która twierdziła, że Vodafone España wysłała faktury zawierające jej dane osobowe, takie jak nazwisko, dowód osobisty i adres, do sąsiada.Link
194HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0360000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOWymierzenie kary zostało poprzedzone skargą osoby, której dane dotyczą, która twierdziła, że otrzymała od Vodafone España wiadomość e-mail zawierającą billing usługi, o którą osoba, której dane dotyczą, nigdy nie prosiła, co doprowadziło do przetwarzania jej danych osobowych bez jej zgody. W rezultacie dane osobowe osoby, której dane dotyczą, zostały włączone do systemów informatycznych Vodafone España bez możliwości wykazania przez Vodafone, że osoba, której dane dotyczą, wyraziła zgodę na gromadzenie, a następnie przetwarzanie jej danych osobowych. Grzywna w wysokości 100.000 EUR została zmniejszona do 60.000 EUR dzięki dobrowolnej wpłacie.Link
193HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0375000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOThe fine preceded the complaint by the data subject, who argued that Vodafone España had signed a contract for the transfer of a telephone subscription with a third party without the data subject's knowledge or consent and that, as a result, he, the data subject, had received an e-mail from the third party for a purchase made by him.Link
192HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0360000Xfera Moviles S.A.Art. 5 RODO, Art. 6 RODOWedług organu ochrony danych osobowych, XFERA MOVILES naruszyła art. 6 ust. 1 RODO, ponieważ spółka bezprawnie przetwarzała dane, w tym dane bankowe, adres klienta i nazwisko osoby, której dane dotyczą.Link
191HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-143600Zhang Bordeta 2006, S.L.Art. 5 RODOWłaściciel sklepu i restauracji zainstalował system monitoringu wizyjnego, który m.in. objął swoim zasięgiem również chodnik, a więc przestrzeń publiczną, co narusza podstawową zasadę minimalizacji danych.Link
190NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2019-10-24100000Firma spożywczaArt. 5 RODO, Art. 32 RODOPrzedsiębiorstwo utworzyło na swojej stronie internetowej portal dla wnioskodawców, na którym zainteresowane strony mogły składać dokumenty zgłoszeniowe przez Internet. Przedsiębiorstwo nie oferowało jednak szyfrowanej transmisji danych ani nie przechowywało danych wnioskodawców w sposób zaszyfrowany lub chroniony hasłem. Ponadto niezabezpieczone dane wnioskodawców były dostępne dla Google, tak że każda osoba wyszukująca odpowiednie nazwy wnioskodawców w Google mogła znaleźć ich dokumenty aplikacyjne i pobrać je bez ograniczeń dostępu.Link
189WłochyGarante per la protezione dei dati personali (Garante)2020-01-1527800000TIM (operator telekomunikacyjny)Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODOW okresie od stycznia 2017 r. do 2019 r. do organu ochrony danych osobowych wpłynęło kilkaset zgłoszeń, w szczególności dotyczących otrzymywania niezamówionych informacji handlowych przekazywanych bez zgody osób, których dane dotyczą, lub pomimo ich rejestracji w publicznym rejestrze sprzeciwów. Ponadto skarżono się również na nieprawidłowości w przetwarzaniu danych w związku z konkursami. Ponadto w aplikacjach udostępnianych przez Spółkę podawano nieprawidłowe i nieprzejrzyste informacje o przetwarzaniu danych oraz stosowano nieprawidłowe sposoby wyrażania zgody. W niektórych przypadkach do różnych celów, w tym marketingowych, wykorzystywano papierowe formularze wymagające jednorazowej zgody. Ponadto dane były przechowywane dłużej niż to konieczne, co naruszało okresy usuwania danych. Za te naruszenia firma telekomunikacyjna została ukarana grzywną w wysokości 27,8 mln euro. Kara została nałożona m.in. za: brak zgody na działania marketingowe (telemarketing i cold calling), kierowanie do osób, których dane dotyczyły, prośby o niekontaktowanie się z nimi z ofertami marketingowymi, nieważne zgody zbierane w aplikacjach TIM, brak odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych (w tym nieprawidłową wymianę "black list" z call center), brak jasnych okresów przechowywania danych. Organ nadzorczy zobowiązał również TIM do zastosowania 20 środków naprawczych, zakazując wykorzystywania danych osobowych do celów marketingowych od osób, które odmówiły otrzymywania połączeń marketingowych z call center.Link
188GrecjaHellenic Data Protection Authority (HDPA)2019-12-19150000Aegean Marine Petroleum Network Inc.Art. 5 RODO, Art. 6 RODO, Art. 32 RODOSpółki spoza grupy Aegean Marine Petroleum miały dostęp do jej serwerów zawierających dane osobowe i kopiowały zawartość serwerów, ponieważ Aegean Marine Petroleum nie podjęła niezbędnych środków technicznych w celu zabezpieczenia przetwarzania dużych ilości danych i oddzielenia odpowiedniego oprogramowania od danych osobowych przechowywanych na serwerach. Ponadto, Aegean Marine Petroleum nie poinformowała osób, których dane dotyczą, o przetwarzaniu ich danych osobowych przechowywanych na serwerach.Link
187WłochyGarante per la protezione dei dati personali (Garante)2019-12-113000000Eni Gas e LuceArt. 5 RODO, Art. 6 RODOWłoski organ nadzoru nałożył na spółkę Eni Gas and Luce (Egl) dwie grzywny w łącznej wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działalności reklamowej i zawierania niezamówionych umów. Druga grzywna w wysokości 3 mln EUR dotyczy naruszeń wynikających z zawierania niezamówionych umów na dostawy energii elektrycznej i gazu w warunkach gospodarki rynkowej. Wiele osób skarżyło się Urzędowi, że o zawarciu nowej umowy dowiedziały się dopiero po otrzymaniu pisma rozwiązującego umowę z poprzednim dostawcą lub pierwszych faktur Egl. W niektórych przypadkach w skargach podawano nieprawdziwe informacje w umowach oraz sfałszowane podpisy.Link
186WłochyGarante per la protezione dei dati personali (Garante)2019-12-118500000Eni Gas e LuceArt. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODOWłoski organ nadzoru nałożył na spółkę Eni Gas and Luce (Egl) dwie grzywny w łącznej wysokości 11,5 mln euro za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Pierwsza grzywna w wysokości 8,5 mln EUR dotyczy niezgodnego z prawem przetwarzania danych w związku z działaniami telemarketingowymi i telesprzedażowymi. Wykonywano m.in. połączenia promocyjne bez zgody osoby, z którą nawiązano kontakt, lub pomimo odmowy tej osoby na otrzymywanie połączeń promocyjnych, lub bez uruchomienia specjalnych procedur sprawdzania publicznego rejestru opt-out. Ponadto brakowało środków technicznych i organizacyjnych uwzględniających informacje przekazywane przez użytkowników, dane były przetwarzane dłużej niż dopuszczalne okresy przechowywania danych, a dane o potencjalnych klientach były zbierane od podmiotów (dostawców list), które nie uzyskały zgody na ujawnienie takich danych.Link
185RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-135000Entirely Shipping & Trading S.R.L.Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODOSpółka przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, ponieważ można było zastosować mniej inwazyjne środki ochrony prywatności osób, których dane dotyczą (naruszenie zasady "minimalizacji danych")Link
184RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-135000Entirely Shipping & Trading S.R.L.Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODOSpółka w sposób nadmierny przetwarzała dane osobowe swoich pracowników poprzez kamery wideo zainstalowane w biurach oraz w miejscach, gdzie znajdują się szafki, w których pracownicy przechowują zapasową odzież (szatnie) (naruszenie zasady "minimalizacji danych").Link
183GrecjaHellenic Data Protection Authority (HDPA)2020-01-1315000Allseas Marine S.A.Art. 5 (1) a), (2) RODOOrgan nadzorczy ukarał grzywną za zakres przetwarzania danych pracowników przez system nadzoru wideo w miejscu pracy, za to, że wprowadzenie systemu nadzoru wideo było niezgodne z prawem oraz za to, że spółka nie poinformowała o tym w wystarczającym stopniu swoich pracowników.Link
182CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-01-131000eShop for Sports (M.L. PRO.FIT SOLUTIONS LTD)Art. 6 RODOWysyłanie wiadomości SMS o charakterze marketingowym bez zgody. W szczególności nie podjęto odpowiednich środków, takich jak możliwość blokowania przez użytkowników telefonów komunikatów marketingowych pochodzących z eSklepu Sportowego poprzez rezygnację z otrzymywania komunikatów marketingowych SMS.Link
181CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2019-10-252000LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation LtdArt. 6 RODO, Art. 9 RODOW decyzji stwierdzono, że wykorzystanie czynnika Bradford do profilowania i monitorowania zwolnień lekarskich stanowiło niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70.000 EUR, 10.000 EUR i 2.000 EUR. Decyzja została ogłoszona w dniu 2020/10/13.Link
180CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2019-10-2510000LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation LtdArt. 6 RODO, Art. 9 RODOW decyzji stwierdzono, że wykorzystanie czynnika Bradford do profilowania i monitorowania zwolnień lekarskich stanowiło niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70.000 EUR, 10.000 EUR i 2.000 EUR. Decyzja została ogłoszona w dniu 2020/10/13.Link
179CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2019-10-2570000LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation LtdArt. 6 RODO, Art. 9 RODOW decyzji stwierdzono, że wykorzystanie czynnika Bradford do profilowania i monitorowania zwolnień lekarskich stanowiło niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70.000 EUR, 10.000 EUR i 2.000 EUR. Decyzja została ogłoszona w dniu 2020/10/13.Link
178CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-01-139000Służby ubezpieczeń społecznych Ministerstwa Pracy, Opieki Społecznej i Ubezpieczeń SpołecznychArt. 32 RODOUdzielenie policji dostępu do danych osobowych i niepodjęcie odpowiednich środków zabezpieczających te dane, pomimo ostrzeżeń Inspektora, stanowiło naruszenie art. 32 RODO.Link
177RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-166000SC Enel Energie S.A.Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 21 RODOSankcje zostały nałożone w związku ze skargą, w której zarzucono Enel Energie bezprawne przetwarzanie danych osobowych osoby fizycznej oraz brak możliwości udowodnienia, że uzyskała zgodę tej osoby na wysyłanie powiadomień pocztą elektroniczną. Ponadto ANSPDCP wskazał, że operator nie podjął niezbędnych środków w celu zaprzestania przesyłania powiadomień, pomimo faktu, że osoba ta wielokrotnie korzystała z prawa do sprzeciwu.Link
176RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-1014000Hora Credit IFN SAArt. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 33 RODOSankcje zostały zastosowane w wyniku skargi, w której zarzucono Hora Credit IFN SA przekazanie dokumentów zawierających dane osobowe innej osoby na niewłaściwy adres e-mail. W wyniku przeprowadzonego postępowania wyjaśniającego ustalono, że Hora Credit IFN SA przetwarzała dane bez zapewnienia skutecznych mechanizmów weryfikacji i walidacji prawidłowości gromadzonych danych przetwarzanych zgodnie z zasadami określonymi w art. 5 RODO. Stwierdzono również, że przedsiębiorca nie zastosował wystarczających środków bezpieczeństwa dla danych osobowych, zgodnie z art. 25 i 32 RODO, tak aby uniknąć nieuprawnionego i dostępnego ujawnienia danych osobowych osobom trzecim. Jednocześnie Hora Credit IFN SA nie powiadomiła organu nadzoru o zgłoszonym incydencie bezpieczeństwa, zgodnie z art. 33 RODO, w terminie 72 godzin od powzięcia wiadomości o tym zdarzeniu. Kara pieniężna składa się z trzech kar częściowych w wysokości 3000 EUR, 10000 EUR i 1000 EUR.Link
175HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-0710000Asociación de Médicos DemócratasArt. 6 RODOAsociación de Médicos Demócratas przetwarzała dane osobowe swoich członków, pomimo ostrzeżenia ze strony AEPD, że przetwarzanie odbywało się bez zgody osób, których dane dotyczą.Link
174HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-0775000EDP Comercializadora, S.A.U.Art. 6 RODOSpółka ta przetwarzała dane osobowe w związku z umową gazową bez zgody skarżącego. W decyzji stwierdzono, że skarżący otrzymał fakturę za umowę gazową, której nie podpisał oraz że EDP Comercializadora twierdzi, iż skarżący jest stroną umowy z innym przedsiębiorstwem energetycznym, które zawarło umowę na dostawy z EDP Comercializadora, a zatem przetwarzanie danych jest uzasadnione. AEPD stwierdził, że EDP Comercializadora musi udowodnić, że powódka zgodziła się na umowę z drugim podmiotem, a nie tylko ze swoim bezpośrednim dostawcą energii.Link
173HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-0775000EDP España S.A.U.Art. 6 RODOFirma przetwarzała dane osobowe takie jak imię i nazwisko, numer identyfikacji podatkowej, adres i numer telefonu komórkowego bez zgody osoby, której dane dotyczą.Link
172HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-093000Vodafone España, S.A.U.Art. 58 RODONieprzekazanie informacji do AEPD w wymaganym terminie z naruszeniem art. 58.Link
171HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-0744000Vodafone España, S.A.U.Art. 5 (1) f) RODOPrzedsiębiorstwo wysłało umowę zawierającą dane osobowe, w tym nazwisko, adres i numer telefonu skarżącej, do niewłaściwego odbiorcy.Link
170NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2019294000NieznanyArt. 5 RODONa przedsiębiorstwo nałożono grzywnę w wysokości 294 000 EUR za " zbyt długie" przechowywanie i przetrzymywanie akt osobowych oraz za "nadmierne" gromadzenie danych w procesie doboru pracowników, podczas którego wymagano również danych dotyczących zdrowia.Link
169BelgiaGegevensbeschermingsautoriteit (GBA)2019-12-1715000Witryna internetowa zawierająca informacje prawneArt. 6 RODO, Art. 12 RODO, Art. 13 RODOOperator strony internetowej z wiadomościami prawnymi miał oświadczenie o ochronie prywatności dostępne tylko w języku angielskim, chociaż było ono skierowane również do odbiorców niderlandzko- i francuskojęzycznych. Ponadto pierwsza wersja oświadczenia o ochronie prywatności nie była łatwo dostępna i nie wymieniała podstawy prawnej przetwarzania danych na mocy RODO. Ponadto, w odniesieniu do orzeczenia ETS w sprawie Planet 49, ustalono, że do korzystania z Google Analytics wymagana jest skuteczna zgoda.Link
168BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-10-085112Ministerstwo Spraw WewnętrznychArt. 5 (1) RODO, Art. 6 (1) RODOGrzywna w wysokości 5 112 EUR została nałożona na Ministerstwo Spraw Wewnętrznych za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą, A.K. Ministerstwo Spraw Wewnętrznych przesłało dane osobowe A.K. do Republiki Togijskiej (Togo).Link
167BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-10-07511B.D.Art. 31 RODOGrzywna w wysokości 511 EUR została nałożona na B.D. z powodu nieudostępnienia informacji, których Komisja Ochrony Danych Osobowych potrzebowała do wykonania swoich zadań i wykonania zarządzenia.Link
166BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-10-28511PracodawcaArt. 12 (3) RODO, Art. 15 (1) RODOSankcja pieniężna w wysokości 511 EUR została nałożona na pracodawcę za odmowę udzielenia dostępu do danych osobowych osoby, której dane dotyczą, która złożyła wniosek o dostęp do swoich danych osobowych do swojego byłego pracodawcy.Link
165BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-031121WindykatorArt. 12 (4) RODO, Art. 15 RODOGrzywna w wysokości 1121 EUR została nałożona na prywatnego agenta egzekucyjnego za przetwarzanie danych osobowych osoby, której dane dotyczą, poprzez nagrywanie za pomocą środków technicznych do nadzoru wideo oraz za odmowę udzielenia dostępu do zebranych danych. Osoba, której dane dotyczą, złożyła wniosek o dostęp do swoich danych osobowych do prywatnego agenta egzekucyjnego, który nie poinformował jej o powodach odrzucenia jej wniosku.Link
164BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-0311760Przedstawiciel handlowy dostawcy usług telekomunikacyjnychArt. 6 (1) RODOSankcja pieniężna w wysokości 11760 EUR została nałożona na przedstawiciela handlowego dostawcy usług telekomunikacyjnych za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. Dane osobowe osoby, której dane dotyczą, były przetwarzane niezgodnie z prawem w celu zawarcia umowy o świadczenie usług telefonii komórkowej i umowy leasingu.Link
163BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-035113Dostawca usług telekomunikacyjnychArt. 6 (1) RODO, Art. 25 (1) RODOSankcje pieniężne w wysokości 1022 EUR i 5113 EUR zostały nałożone na dostawcę usług telekomunikacyjnych i jego przedstawiciela handlowego w Bułgarii za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. Dane osobowe podmiotu danych były przetwarzane niezgodnie z prawem w celu zawarcia umów o świadczenie usług bez jego wiedzy lub zgody.Link
162BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-031022Dostawca usług telekomunikacyjnychArt. 6 (1) RODO, Art. 25 (1) RODOSankcje pieniężne w wysokości 1022 EUR i 5113 EUR zostały nałożone na dostawcę usług telekomunikacyjnych i jego przedstawiciela handlowego w Bułgarii za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. Dane osobowe podmiotu danych były przetwarzane niezgodnie z prawem w celu zawarcia umów o świadczenie usług bez jego wiedzy lub zgody.Link
161HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-12-105000Shop Macoyn, S.L.Art. 32 RODOFirma wysłała e-maile reklamowe do kilku odbiorców, w których adresy e-mail wszystkich pozostałych odbiorców były widoczne dla wszystkich odbiorców, ponieważ adresy odbiorców zostały wstawione jako CC, a nie jako BCC.Link
160RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-29500Stowarzyszenie właścicieli domówArt. 32 RODOStowarzyszenie korzystało z systemów monitoringu wizyjnego bez odpowiedniej informacji zgodnie z art. 13 RODO oraz bez odpowiednich środków bezpieczeństwa dotyczących osób mających dostęp do systemu.Link
159BelgiaGegevensbeschermingsautoriteit (GBA)2019-12-172000Organizacja opieki pielęgniarskiejArt. 12 RODO, Art. 15 RODO, Art. 17 RODOPrzedsiębiorstwo nie podjęło działań w odpowiedzi na wnioski osoby, której dane dotyczą, o uzyskanie dostępu do jej danych oraz o ich usunięcie.Link
158Wielka BrytaniaInformation Commissioner (ICO)2019-12-17320000Doorstep Dispensaree Ltd. Art. 32 RODOPrzedsiębiorstwo przechowywało około 500 000 dokumentów zawierających nazwiska, adresy, daty urodzenia, numery NHS oraz informacje medyczne i recepty w nieuszczelnionych pojemnikach na tyłach budynku i nie zabezpieczyło tych dokumentów przed czynnikami atmosferycznymi, co doprowadziło do uszkodzenia dokumentów przez wodę.Link
157WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-12-111430NieznanyArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODOPracodawca przywrócił skrzynkę pocztową dyrektora, który odszedł z firmy rok wcześniej i znalazł e-mail zawierający dokument związany z pracą. Dyrektor nie otrzymał żadnego ostrzeżenia, że jego dawna skrzynka zostanie aktywowana i nie miał możliwości skopiowania / usunięcia swoich prywatnych danych (haseł i informacji finansowych). Według NAIH, pracownik lub jego przedstawiciel powinien być obecny przy dostępie do danych pracownika, nawet jeśli jego zatrudnienie zostało zakończone. Pracownicy powinni mieć możliwość zażądania kopii lub usunięcia swoich prywatnych danych. Pracodawcy muszą rejestrować dostęp do danych za pomocą protokołów i zdjęć, a jeśli pracownik nie może być obecny, to w obecności niezależnych świadków. Pracodawcy muszą przyjąć wewnętrzną politykę w zakresie archiwizacji i korzystania z zasobów informatycznych i kont poczty elektronicznej, w tym zasady proceduralne, takie jak etapy kontroli i urzędnicy upoważnieni do jej przeprowadzenia.Link
156RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-182000Telekom Romania Mobile Communications SAArt. 32 RODOFirma nie zapewniła poprawności przetwarzania danych osobowych, co spowodowało ujawnienie danych osobowych klienta innemu klientowi.Link
155GrecjaHellenic Data Protection Authority (HDPA)2019-10-1820000Wind Hellas TelecommunicationsArt. 21 RODOFirma zignorowała m.in. zastrzeżenia zgłaszane przez poszkodowanych wobec rozmów reklamowych.Link
154NiderlandyAutoriteit Persoonsgegevens (AP)2019-10-3150000Menzis (Zakład ubezpieczeń zdrowptnych)Art. 5 RODOPracownicy działu marketingu mieli dostęp do danych pacjentów. Między innymi naruszyło to zasadę celowości.Link
153HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-2360000Vodafone España, S.A.U.Art. 5 (1) f) RODOVodafone przesłał do abonenta historię faktur w ramach reklamacji faktur przez abonenta. Historia ta zawierała również dane dotyczące faktur nieznanej osoby trzeciej.Link
152HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-0660000Vodafone España, S.A.U.Art. 6 RODOVodafone w wyniku reklamacji wysłał dane klienta dotyczące faktur do nieuprawnionych stron trzecich. Pierwotnie groziła grzywna w wysokości 75.000 EUR, ale została zmniejszona do 60.000 EUR w zamian za natychmiastową zapłatę i rezygnację z odwołania.Link
151HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-196000Sports BarArt. 5 (1) c) RODOW barze sportowym funkcjonował system monitoringu wizyjnego, w którym kąt obserwacji kamer rozciągał się na obszar ruchu publicznego.Link
150WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-10-247400Szpital wojskowyArt. 32 RODO, Art. 33 RODOSzpital wojskowy nie dotrzymał terminu zgłaszania przypadków naruszenia danych. Kolejna część kary dotyczy braku środków technicznych i organizacyjnych.Link
149RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-022000Nicola Medical Team 17 SRLArt. 58 RODOSpółka nie zastosowała się do środków nakazanych przez Krajowy Urząd Nadzoru.Link
148RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-263000FryzjerArt. 58 RODOSpółka nie zastosowała się do środków nakazanych przez Krajowy Urząd Nadzoru.Link
147HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-12-101600Megastar SLArt. 5 (1) c) RODO, Art. 13 RODOPrzedsiębiorstwo stosowało system nadzoru wideo, w którym kąt obserwacji kamer niepotrzebnie sięgał daleko w strefę ruchu publicznego. Ponadto nie umieszczono żadnej tabliczki z informacją o ochronie danych.
146HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-12-035000Linea Directa AseguradoraArt. 6 RODOFirma ubezpieczeniowa wysyłała e-maile reklamowe dla platformy "Reto Nuez" bez wymaganej zgody.Link
145RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-162000Globus Score SRLArt. 58 RODOSpółka nie zastosowała się do środków nakazanych przez Krajowy Urząd Nadzoru.Link
144SzwecjaDatainspektionen2019-12-1635000Nusvar ABArt. 6 RODONusvar AB, operator strony internetowej Mrkoll.se, która zawiera informacje o wszystkich Szwedach powyżej 16 roku życia, opublikował informacje o osobach, które zalegają z opłatami.Link
143NiemcyOrgan ochrony danych osobowych kraju związkowego Meklemburgia-Pomorze Przednie2019800PolicjantArt. 6 RODOPolicjant wykorzystał dane osobowe świadka, aby skontaktować się z nią osobiście.Link
142HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-12-031500Cerrajeria Verin S.L.Art. 13 RODOFirma gromadziła dane osobowe, nie podając dokładnych informacji o swoich działaniach związanych z przetwarzaniem danych w polityce prywatności opublikowanej na swojej stronie internetowej.Link
141HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-2875000Curenergía Comercializador de último recursoArt. 6 RODOOsoba fizyczna złożyła skargę przeciwko spółce, twierdząc, że spółka wykorzystała jej dane osobowe jako byłego klienta, takie jak imię i nazwisko, numer identyfikacyjny VAT oraz adres, w celu zawarcia umowy na dostawę energii elektrycznej.Link
140BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-0328100Krajowa Agencja SkarbowaArt. 6 (1) RODO, Art. 58 (2) e) RODOSankcja pieniężna w wysokości 28 121 EUR została nałożona na Krajową Agencję Skarbową za niezgodne z prawem przetwarzanie danych osobowych podmiotu danych G.B.I. Dane osobowe G.B.I. zostały bezprawnie zgromadzone, a następnie wykorzystane do wszczęcia przeciwko tej osobie postępowania egzekucyjnego w celu odzyskania kwoty około 86 569 EUR. W związku z utworzoną sprawą egzekucyjną, Krajowa Agencja Skarbowa zgromadziła dodatkowe dane dotyczące rachunków bankowych G.B.I. z rejestru Narodowego Banku Bułgarii. Dodatkowe zgromadzone dane zostały również bezprawnie przetworzone przez Krajową Agencję Skarbową w celu wysłania nakazów zajęcia do banków, w których G.B.I. miała rachunki bankowe.Link
139WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-1015100Miasto KerepesArt. 6 (1) RODOMiasto oparło swoją praktykę nadzoru wideo na swoich uzasadnionych interesach (Art. 6 (1) f RODO). Jednakże, zgodnie z art. 6 (1) akapit 2 ta podstawa prawna nie ma zastosowania do przetwarzania dokonywanego przez organy publiczne w ramach wykonywania ich zadań. Przetwarzanie nie może być oparte na innej podstawie prawnej.Link
138HiszpaniaAgencia Española de Protección de Datos (AEPD)20193600AMADOR RECREATIVOS, S.LArt. 5 (1) c) RODOInwigilacja przestrzeni publicznej przez kamery monitoringu wizyjnego z naruszeniem zasad minimalizacji danych.Link
137HiszpaniaAgencia Española de Protección de Datos (AEPD)20199000PracodawcaArt. 5 (1) c) RODOKamery monitoringu służyły nie tylko do ochrony mienia, ale także do monitorowania pracowników (naruszenie zasady minimalizacji danych).Link
136HiszpaniaAgencia Española de Protección de Datos (AEPD)201920000PracodawcaArt. 5 (1) c) RODOKamery monitoringu służyły nie tylko do ochrony mienia, ale także do monitorowania pracowników (naruszenie zasady minimalizacji danych).Link
135HiszpaniaAgencia Española de Protección de Datos (AEPD)201940000Vodafone España, S.A.U.Art. 6 RODOSpółka naliczyła opłatę za usługę Netflix, która nie została zamówiona przez powoda. Powódka mogła udowodnić, że z usługi korzystało inne gospodarstwo domowe, które rzekomo otrzymało od Vodafone rachunek bankowy i numer telefonu powódki. Ponieważ Vodafone nie był w stanie udowodnić, że powód wyraził zgodę na zawarcie umowy dotyczącej usług Netflix, AEPD nałożył na niego karę w wysokości 40.000 EUR.Link
134HiszpaniaAgencia Española de Protección de Datos (AEPD)201930000Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 32 RODOUjawnienie danych osobowych klienta (m.in. historii zakupów) za pośrednictwem wiadomości SMS innemu klientowi. Początkowa grzywna w wysokości 50 000 EUR została zmniejszona do 30 000 EUR.Link
133HiszpaniaAgencia Española de Protección de Datos (AEPD)201948000TELEFONICA MOVILES ESPAÑA, S.A.U.Art. 5 (1) a) RODORachunek bankowy skarżącego został obciążony przez spółkę dwiema fakturami za zamówione przez niego usługi, na których jednak widniały dane osobowe innego klienta. Początkowa grzywna w wysokości 60.000 euro została obniżona do 48.000 euro.Link
132HiszpaniaAgencia Española de Protección de Datos (AEPD)201948000VODAFONE ONO, S.A.U.Art. 32 RODOKlienci mogli uzyskać dostęp do danych osobowych innych klientów w strefie klienta. Początkowa grzywna w wysokości 60 000 EUR została zmniejszona do 48 000 EUR.Link
131HiszpaniaAgencia Española de Protección de Datos (AEPD)201936000VODAFONE ONO, S.A.U.Art. 5 (1) f) RODOPrzedsiębiorstwo wysłało wiadomość e-mail o charakterze marketingowym do dużej liczby odbiorców (klientów), nie korzystając z funkcji ślepej kopii (BCC). Początkowa grzywna w wysokości 60 000 EUR została obniżona do 36 000 EUR.Link
130HiszpaniaAgencia Española de Protección de Datos (AEPD)201921000Vodafone España, S.A.U.Art. 6 (1) RODOVodafone przetwarzał dane osobowe skarżącego (dane bankowe, imię, nazwisko i krajowy numer identyfikacyjny) wiele lat po zakończeniu stosunków umownych. Kara w wysokości 35000 euro została obniżona do 21000 euro.
Link
129NiemcyDer Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)2019-12-0910000Rapidata GmbHArt. 37 RODOPomimo wielokrotnych wezwań BfDI firma (dostawca internetu) nie wywiązała się ze swojego prawnego obowiązku wynikającego z art. 37 RODO, polegającego na wyznaczeniu inspektora ochrony danych.Link
128NiemcyDer Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)2020-11-119000001&1 Telecom GmbHArt. 32 RODOPierwotne podsumowanie kary: Administrator jest firmą oferującą usługi telekomunikacyjne. Osoba dzwoniąca mogła uzyskać obszerne informacje na temat danych osobowych klientów z działu obsługi klienta firmy po prostu wpisując imię i nazwisko klienta oraz datę urodzenia. W tej procedurze uwierzytelniania BfDI dopatruje się naruszenia art. 32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych osobowych, nałożona grzywna znalazła się w dolnej granicy skali. -- Aktualizacja: 11 listopada 2020 r., po złożeniu odwołania od grzywny, Sąd Okręgowy w Bonn uznał, że choć grzywna jest co do zasady uzasadniona, to jest ona nieracjonalnie wysoka. Izba obniżyła zatem grzywnę z pierwotnie 9,55 mln EUR do 900.000 EUR. Jednym z powodów obniżenia grzywny był fakt, że stosowana przez przedsiębiorstwo procedura uwierzytelniania klientów korzystających z infolinii (wymagająca podania jedynie nazwiska i daty urodzenia osoby dzwoniącej) przez długi czas nie budziła zastrzeżeń, w związku z czym przedsiębiorstwo nie miało konkretnej świadomości problemu, co prowadzi do tego, że konkretne zawinienie w tym przypadku musiało zostać zakwalifikowane jako raczej niskie. Ponadto, zdaniem sądu, naruszenie było również raczej niewielkie, ponieważ nie mogło doprowadzić do masowego wycieku danych.Link
127RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-292500Royal President S.R.L.Art. 15 RODO, Art. 6 RODO, Art. 32 RODORoyal President odrzucił wniosek o dostęp do danych osobowych na podstawie art. 15 RODO oraz ujawnił dane osobowe bez zgody osób, których dane dotyczą. Ponadto Royal President nie zastosował odpowiednich środków technicznych lub organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.Link
126RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-2880000ING Bank N.V.Art. 32 RODOING Bank nie zastosował odpowiednich środków technicznych i organizacyjnych dla zautomatyzowanego systemu przetwarzania danych w procesie rozliczania transakcji kartowych dotyczących 225 525 klientów, w wyniku czego w dniach od 8 do 10 października br. dokonano podwójnych transakcji.Link
125RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-0420000S CNTAR TAROM SA (Linia lotnicza)Art. 32 RODORumuński organ ochrony danych nałożył sankcję na linię lotniczą, ponieważ nie podjęła ona odpowiednich środków w celu zapewnienia, że każda osoba fizyczna działająca pod jej nadzorem przetwarza dane osobowe zgodnie z jej instrukcjami (art. 32 ust. 4 RODO). W wyniku tego jeden z pracowników uzyskał nieuprawniony dostęp do aplikacji rezerwacyjnej i mógł sfotografować listę z danymi osobowymi 22 pasażerów/klientów, a następnie ujawnić ją w Internecie.Link
124BelgiaGegevensbeschermingsautoriteit (GBA)2019-11-285000Radny miejskiArt. 6 RODOGrzywna za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail nie były gromadzone w tym celu.Link
123BelgiaGegevensbeschermingsautoriteit (GBA)2019-11-285000BurmistrzArt. 6 RODOGrzywna za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail nie były gromadzone w tym celu.Link
122NiemcyOrgan ochrony danych osobowych kraju związkowego Nadrenia-Palatynat2019-12-03105000SzpitalArt. 32 RODOGrzywna wynika z kilku naruszeń RODO w związku z pomyleniem pacjentów przy ich przyjmowaniu. Spowodowało to nieprawidłowe fakturowanie i ujawniło strukturalne braki techniczne i organizacyjne w zarządzaniu danymi pacjentów w szpitalu.Link
121HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana10000Ikea IbéricaArt. 6 RODOFirma instalowała pliki cookie na urządzeniu końcowym użytkownika bez uprzedniej zgody osoby, której dane dotyczą.Link
120ŁotwaDatu Valsts Inspekcija (DVI)2019-11150000NieznanyArt. 6 RODONiezgodne z prawem przetwarzanie danych. Nie są jeszcze dostępne dalsze informacje.Link
119HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-1960000Xfera Moviles S.A.Art. 32 RODOIndywidualny skarżący otrzymał od Xfera Móviles wiadomość SMS, która miała być zaadresowana do osoby trzeciej i która umożliwiała mu dostęp do konta i danych osobowych tej osoby trzeciej na stronie internetowej Xfera Móviles za pośrednictwem numeru telefonu i hasła otrzymanego w wiadomości SMS.Link
118FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2019-11-21500000Futura InternationaleArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 RODOSpółka Futura Internationale została ukarana grzywną za prowadzenie rozmów typu "cold calling" po tym, jak kilku skarżących otrzymało takie połączenia, mimo że bezpośrednio dzwoniącemu i listownie oświadczyli, że sobie tego nie życzą. W decyzji wskazano w szczególności, że w wyniku kontroli Futura Internationale przeprowadzonej przez CNIL na miejscu stwierdzono między innymi, że Futura Internationale otrzymała kilka pism, w których wyrażono sprzeciw wobec "cold calling", że przechowywała nadmierną ilość informacji o klientach i ich zdrowiu oraz że Futura Internationale nie poinformowała osób fizycznych o przetwarzaniu ich danych osobowych lub nagrywaniu rozmów telefonicznych.Link
117HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-1430000Telefónica SAArt. 5 RODOTelefónica obciążyła skarżącego różnymi opłatami w związku z obsługą linii telefonicznej, której skarżący nigdy nie posiadał. Wynikało to z faktu, że rachunek bankowy skarżącego był powiązany z innym klientem Telefóniki, co powodowało, że opłaty były pobierane z rachunku skarżącego. Zdaniem AEPD jest to sprzeczne z zasadą prawidłowości wymaganą przez art. 5 ust. 1 lit. d RODO.Link
116RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-222000BNP Paribas Personal Finance S.A.Art. 12 RODO, Art. 17 RODOBNP Paribas Personal Finance nie zareagował na wniosek o usunięcie danych w terminie określonym w RODO.Link
115RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-2511000Courier Services CompanyArt. 32 RODOGrzywna została nałożona, ponieważ administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, co doprowadziło do utraty i nieuprawnionego dostępu do danych osobowych (imię i nazwisko, numer karty bankowej, kod CVV, adres posiadacza karty, osobisty numer identyfikacyjny, numer seryjny i identyfikacyjny karty, numer rachunku bankowego, dozwolony limit kredytowy) około 1100 osób, których dane dotyczą.Link
114HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-2160000Viaqua Xestión Integral Augas de GaliciaArt. 6 RODOPrzetwarzanie (modyfikacja) danych osobowych klienta zawartych w umowie przez osobę trzecią bez zgody klienta.Link
113HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-1960000Corporación radiotelevisión espanolaArt. 32 RODOCORPORACIÓN RADIOTELEVISIÓN ESPAÑOLA i związek zawodowy zgłosiły naruszenie bezpieczeństwa do AEPD po tym, jak sześć niezaszyfrowanych pamięci USB zawierających dane osobowe zostało utraconych. Naruszenie dotyczyło około 11 000 osób, w tym danych identyfikacyjnych, danych o zatrudnieniu, danych o wyrokach karnych i danych o stanie zdrowia.Link
112CzechyÚřad pro ochranu osobních údajů (UOOU)nieznana980PrzedsiębiorcaArt. 32 RODOOperator gry online został narażony na kilka ataków DDoS, które spowodowały nieprawidłowe działanie serwerów. Napastnik szantażował operatora, że ataki nie ustaną, jeśli nie zapłaci pieniędzy. W ramach szantażu atakujący zaproponował operatorowi, że stworzy zmodernizowaną i lepszą ochronę firewall dla serwerów operatora. Operator zgodził się i zapłacił napastnikowi. Operator wdrożył nowy kod od napastnika, który okazał się lepszy od starego, ale w kodzie znajdował się "backdoor". Atakujący wykorzystał backdoora do wykradzenia z serwera wszystkich danych o graczach i umieścił je na swojej stronie internetowej. Urząd Ochrony Danych Osobowych stwierdził, że operator nie podjął odpowiednich środków bezpieczeństwa.Link
111CzechyÚřad pro ochranu osobních údajů (UOOU)nieznana588Alza.cz a.s.Art. 6 RODO, Art. 7 RODOFirma uzyskała kopię dowodu osobistego z fotografią osoby, której dane dotyczą, za jej zgodą, jednak nie zareagowała na cofnięcie przez nią zgody i kontynuowała przetwarzanie jej danych osobowych.Link
110HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-133000Confederación General del Trabajo ("CGT")Art. 6 RODOCGT, w celu zwołania spotkania, przesłała pocztą elektroniczną dane osobowe skarżącej w tym jej adres domowy, informacje o pokrewieństwie, stanie ciąży i datę toczącej się sprawy o znęcanie się słowne i molestowanie, do 400 członków związku bez jej zgody.Link
109SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznana50000Agencja Ubezpieczeń SpołecznychArt. 32 RODOWnioski o przyznanie świadczeń socjalnych od obywateli Słowacji zostały wysłane pocztą do zagranicznych organów. Zostały one zagubione przez pocztę, co spowodowało, że nie można było wyjaśnić, gdzie znajdują się te dane osobowe.Link
108PortugaliaComissão Nacional de Protecção de Dados (CNPD)2019-03-192000NieznanyArt. 13 RODOBrak sygnalizacji w zakresie stosowania systemów CCTV.Link
107NiderlandyAutoriteit Persoonsgegevens (AP)2019-10-31900000Uitvoeringsinstituut Werknemersverzekeringen ("UWV") (Niderlandzki dostawca usług ubezpieczeniowych dla pracowników)Art. 32 RODOPonieważ UWV (holenderski dostawca usług w zakresie ubezpieczeń pracowniczych - "Uitvoeringsinstituut Werknemersverzekeringen") nie stosował uwierzytelniania wieloskładnikowego przy dostępie do portalu internetowego pracodawcy, poziom bezpieczeństwa był nieodpowiedni. Pracodawcy i służby ds. bezpieczeństwa i higieny pracy były w stanie gromadzić i wyświetlać dane dotyczące zdrowia pracowników w systemie nieobecności.Link
106HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-316000Jocker Premium InvexArt. 6 RODOPo zarejestrowaniu się w lokalnym spisie powszechnym Jocker Premium Invex wysłała skarżącej pocztą reklamy i oferty handlowe, przy czym dane takie jak imię, nazwisko i adres pocztowy zostały przekazane jedynie administracji publicznej.Link
105HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-06900Cerrajero OnlineArt. 13 RODOSpółka gromadziła dane osobowe, nie podając dokładnych informacji o ich gromadzeniu w oświadczeniu o ochronie danych osobowych zgodnie z art. 13 RODO.Link
104HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana12000Madrileña Red de GasArt. 32 RODOPrzedsiębiorstwo gazownicze nie posiadało odpowiednich środków umożliwiających weryfikację tożsamości osoby, której dane dotyczą. Osoba, która złożyła skargę, twierdzi, że w odpowiedzi na wniosek spółka przesłała drogą elektroniczną informacje na jej temat osobie trzeciej.Link
103HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-07900TODOTECNICOS24H S.L.Art. 13 RODOTODOTECNICOS24H gromadził dane osobowe, nie podając dokładnych informacji o ich gromadzeniu w oświadczeniu o ochronie danych osobowych zgodnie z art. 13 RODO.Link
102PolskaUrząd ochrony danych osobowych (UODO)2019-10-1647000ClickQuickNowArt. 5 RODOUODO nałożył karę w wysokości 47000 euro za utrudnianie korzystania z prawa do wycofania zgody na przetwarzanie danych osobowych. Firma nie zastosowała odpowiednich środków technicznych i organizacyjnych, które umożliwiają proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych.Link
101NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia201980000NieznanyArt. 32 RODOW publikacji cyfrowej dane dotyczące zdrowia zostały przypadkowo opublikowane z powodu nieodpowiednich mechanizmów kontroli wewnętrznej.Link
100HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-2536000Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOSkarżący, którego dane zostały przekazane spółce przez jego córkę, zgodnie z jego upoważnieniem, otrzymał telefon od spółki z ofertą usług, której odmówił. Vodafone España przystąpiła jednak do świadczenia mu usług i żądania od niego zapłaty, a zatem Vodafone España przetwarzała dane osobowe skarżącego bez jego zgody.Link
99NiemcyOrgan ochrony danych osobowych Berlina2019-10-30NieznanaDeutsche Wohnen SE (firma z branży nieruchomości)Art. 5 RODOOprócz sankcji za naruszenie zasad ochrony prywatności w fazie projektowania (art. 5 RODO, art. 25 RODO - patrz osobny wpis), berliński pełnomocnik ds. ochrony danych osobowych nałożył na firmę kolejne grzywny w wysokości od 6.000 do 17.000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych, indywidualnych przypadkach.Link
98NiemcyOrgan ochrony danych osobowych Berlina2021-02-230Deutsche Wohnen SE (firma z branży nieruchomości)Art. 5 RODO, Art. 25 RODOPierwotnie na Deutsche Wohnen SE została nałożona grzywna w wysokości 14 500 000 EUR za stosowanie systemu archiwizacji do przechowywania danych osobowych najemców, który zdaniem organu ochrony danych nie przewidywał możliwości usunięcia danych, które nie były już potrzebne. Według organu ochrony danych osobowych dane osobowe najemców były przechowywane bez sprawdzenia, czy ich przechowywanie jest dopuszczalne, a nawet konieczne, w związku z czym możliwy był dostęp do danych osobowych zainteresowanych najemców, które były przechowywane przez lata, a które nie służyły celowi ich pierwotnego gromadzenia. Chodziło o dane dotyczące sytuacji osobistej i finansowej najemców, takie jak zaświadczenia o zarobkach, formularze ujawniające tożsamość, wyciągi z umów o pracę i umów szkoleniowych, dane podatkowe, dane dotyczące ubezpieczenia społecznego i zdrowotnego, a także wyciągi bankowe. Oprócz sankcji za to naruszenie berliński organ ds. ochrony danych nałożył na przedsiębiorstwo dalsze grzywny w wysokości od 6000 do 17000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych przypadkach indywidualnych. Patrz oddzielny wpis.
AKTUALIZACJA W dniu 24 lutego 2021 r. Sąd Okręgowy w Berlinie odrzucił grzywnę nałożoną na Deutsche Wohnen SE z powodu błędów proceduralnych, zob. link (https://www.deutsche-wohnen.com/ueber-uns/presse-news/pressemitteilungen/landgericht-berlin-stellt-bussgeldverfahren-gegen-deutsche-wohnen-ein/) i link (https://www.heise.de/news/Gravierende-Maengel-Deutsche-Wohnen-wendet-DSGVO-Millionenstrafe-vorerst-ab-5064633.html)
Link
97PolskaUrząd ochrony danych osobowych (UODO)2019-10-189380Burmistrz Aleksandrowa KujawskiegoArt. 28 RODOZ firmą, na której serwerach znajdowały się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim, nie została zawarta umowa powierzenia przetwarzania danych. Z tego powodu na burmistrza miasta została nałożona grzywna w wysokości 40.000 zł (9400 euro).Link
96AustriaÖsterreichische Datenschutzbehörde (DSB)2019-10-290Österreichische Post (Poczta Austriacka)Art. 5 (1) a) RODO, Art. 6 RODOPierwotne podsumowanie kary: Wysyłanie reklam wyborczych do obywateli bez wystarczającej podstawy prawnej. Aktualizacja: 27 stycznia 2021 roku Sąd Apelacyjny w Brukseli uchylił karę grzywny w wysokości 5.000 EUR.Link
95SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznana40000Slovak TelekomArt. 32 RODOAdministrator nie zastosował odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych, przez co naruszył obowiązek ochrony przetwarzanych danych osobowych.Link
94HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-168000Iberdrola ClientesArt. 31 RODOIberdrola Clientes, przedsiębiorstwo energetyczne, odmówiło złożenia osobie wniosku o zmianę dostawcy energii elektrycznej, ponieważ twierdziło, że jej dane zostaną umieszczone na liście wypłacalności. W związku z tym AEPD zażądał od Iberdola Clientes informacji o możliwości dodania danych tej osoby do wykazu wypłacalności, na co przedsiębiorstwo nie odpowiedziało. Ten brak współpracy z AEPD stanowił naruszenie art. 31 RODO.Link
93HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-1660000Xfera Moviles S.A.Art. 5 RODO, Art. 6 RODOXfera Movile wykorzystywała dane osobowe bez podstawy prawnej w celu zawarcia umowy telekomunikacyjnej i kontynuowała przetwarzanie danych osobowych nawet wtedy, gdy osoba, której dane dotyczą, zażądała zaprzestania przetwarzania.Link
92SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznanaNieznanaNieznanyArt. 5 (1) a) RODO, Art. 6 (1) a) RODODane osobowe zostały bezprawnie opublikowane na stronie internetowej miasta w ramach wypełniania obowiązku informacyjnego wynikającego z ustawy o wolności informacji. Urząd Ochrony Danych Osobowych stwierdził jednak, że miasto opublikowało dane osobowe z naruszeniem prawa i bez zgody osoby, której one dotyczą.Link
91SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznanaNieznanaNieznanyArt. 5 (1) f) RODO, Art. 32 RODONaruszenie środków bezpieczeństwa informacji (w chwili obecnej brak dalszych informacji)Link
90SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznanaNieznanaNieznanyArt. 5 (1) f) RODO, Art. 32 RODODokumenty zawierające dane osobowe zostały wyrzucone na teren miejskiego wysypiska śmieci.Link
89SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznanaNieznanaNieznanyArt. 15 RODOAdministrator danych nie spełnił żądania osoby, której dane dotyczą, dotyczącego dostępu do jej danych osobowych przetwarzanych za pomocą nagrań dźwiękowych.Link
88RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-09-269000Inteligo Media SAArt. 5 (1) a) RODO, Art. 6 (1) a) RODOW ramach procesu rejestracji na stronie internetowej avocatnet.ro, operator użył niewypełnionego pola wyboru, za pomocą którego użytkownicy mogli zadeklarować, że nie chcą otrzymywać listów informacyjnych za pośrednictwem poczty elektronicznej (opt-out). Bez żadnego działania użytkownik automatycznie otrzymywał listy informacyjne pocztą elektroniczną. Nie spełniało to wymogów zgody zgodnej z RODO.Link
87CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra201914000LekarzArt. 5 RODO, Art. 6 RODOPacjentka złożyła do komisarza skargę, że szpital nie spełnił jej prośby o dostęp do jej dokumentacji medycznej, ponieważ administrator danych nie mógł zidentyfikować/ zlokalizować dokumentacji. Po zbadaniu sprawy na szpital nałożono karę administracyjną w wysokości 5 000 EUR.Link
86HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-0130000Vueling AirlinesArt. 5 RODO, Art. 6 RODOHiszpańska Agencja Ochrony Danych Osobowych (AEPD) ukarała linie lotnicze Vueling karą w wysokości 30 000 euro za to, że nie dały użytkownikom możliwości odrzucenia plików cookie i zmuszały ich do korzystania z nich, jeśli chcieli przeglądać ich stronę internetową. Innymi słowy, nie można było przeglądać strony Vueling bez akceptacji ich ciasteczek. AEDP wydała uchwałę sankcyjną na kwotę 30.000 euro, która może zostać zredukowana do 18.000 euro w przypadku natychmiastowej zapłaty.Link
85RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-10-0920000Vreau Credit SRLArt. 32 RODO, Art. 33 RODORaiffeisen Bank Romania przeprowadził ocenę scoringową na podstawie danych osobowych osób zarejestrowanych na platformie Vreau Credit, przekazanych przez pracowników platformy za pośrednictwem aplikacji WhatsApp, a następnie zwrócił wynik do Vreau Credit za pomocą tego samego środka komunikacji.Link
84RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-10-0910000Raiffeisen Bank SAArt. 32 RODORaiffeisen Bank Romania przeprowadził ocenę scoringową na podstawie danych osobowych osób zarejestrowanych na platformie Vreau Credit, przekazanych przez pracowników platformy za pośrednictwem aplikacji WhatsApp, a następnie zwrócił wynik do Vreau Credit za pomocą tego samego środka komunikacji.Link
83GrecjaHellenic Data Protection Authority (HDPA)2019-10-07200000Dostawca usług telekomunikacyjnychArt. 21 (3) RODO, Art. 25 RODONieodpowiednie środki techniczne spowodowały, że dane 8000 klientów nie zostały usunięte na żądanie.Link
82GrecjaHellenic Data Protection Authority (HDPA)2019-10-07200000Dostawca usług telekomunikacyjnychArt. 5 (1) c) RODO, Art. 25 RODODuża liczba klientów była przedmiotem rozmów telemarketingowych, mimo że zadeklarowali oni wyłączenie w tym zakresie. Zostało to zignorowane z powodu błędów technicznych.Link
81HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana9600SANTI 3000, S.L. (restauracja)Art. 5 (1) a) RODO, Art. 6 RODORestauracja chciała nałożyć sankcje dyscyplinarne na pracownika, który wykorzystał do celów dowodowych obraz z telefonu komórkowego, który został nagrany przez innego pracownika restauracji. Początkowa grzywna w wysokości 12.000 EUR została obniżona do 9.600 EUR.Link
80BelgiaGegevensbeschermingsautoriteit (GBA)2019-09-1710000HandlowiecArt. 5 (1) c) RODOBelgijski urząd ochrony danych osobowych nałożył grzywnę w wysokości 10 000 euro na sprzedawcę, który chciał wykorzystać elektroniczny dowód tożsamości (eID) do stworzenia karty klienta. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że sprzedawca zażądał dostępu do danych osobowych znajdujących się na elektronicznym dokumencie tożsamości, w tym do zdjęcia i kodu kreskowego, który jest powiązany z numerem identyfikacyjnym osoby, której dane dotyczą. W międzyczasie decyzja organu ochrony danych została uchylona przez sąd: link (https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Arrest_190220.pdf)Link
79PolskaUrząd ochrony danych osobowych (UODO)2019-09-10660000Morele.netArt. 32 RODOPolski organ ochrony danych osobowych nałożył na Morele.net karę w wysokości ponad 2,8 mln zł (ok. 644 780 euro) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do nieuprawnionego dostępu do danych osobowych 2,2 mln osób.Link
78NiemcyOrgan ochrony danych osobowych Berlina2019-09-19195407Delivery HeroArt. 15 RODO, Art. 17 RODO, Art. 21 RODOZgodnie z ustaleniami berlińskiego inspektora ochrony danych Delivery Hero Germany GmbH w dziesięciu przypadkach nie usunęła kont byłych klientów, mimo że osoby, których dane dotyczą, od lat nie korzystały z platformy usług kurierskich tego przedsiębiorstwa, a w jednym przypadku nawet od 2008 roku. Ponadto ośmiu byłych klientów skarżyło się na niechciane reklamowe wiadomości e-mail od przedsiębiorstwa. Podmiot danych, który wyraźnie sprzeciwił się wykorzystywaniu jego danych do celów reklamowych, otrzymał mimo to 15 dalszych reklamowych wiadomości e-mail od firmy kurierskiej. W kolejnych pięciu przypadkach przedsiębiorstwo nie przekazało podmiotom danych wymaganych informacji lub przekazało je dopiero po interwencji berlińskiego pełnomocnika ds. ochrony danych.Link
77PortugaliaComissão Nacional de Protecção de Dados (CNPD)2019-03-252000NieznanyArt. 13 RODOBrak sygnalizacji w zakresie stosowania systemów CCTV.Link
76PortugaliaComissão Nacional de Protecção de Dados (CNPD)2019-02-0520000NieznanyArt. 15 RODOOdmowa prawa dostępu do nagranych rozmów telefonicznych przez osobę, której dotyczą dane.Link
75NorwegiaDatatilsynet2019-04-29120000Wydział Edukacji Miasta OsloArt. 32 RODOWykrycie luk w zabezpieczeniach aplikacji do przesyłania wiadomości na telefony komórkowe, stworzonej do użytku w szkole w Oslo. Aplikacja ta umożliwia rodzicom i uczniom wysyłanie wiadomości do pracowników szkoły. Ze względu na niewystarczające środki techniczne i organizacyjne mające na celu ochronę bezpieczeństwa informacji, osoby nieupoważnione mogły logować się jako autoryzowani użytkownicy i uzyskiwać dostęp do danych osobowych uczniów, przedstawicieli prawnych i pracowników. W międzyczasie grzywna została zmniejszona do 120.000 euro, patrz link (https://edpb.europa.eu/news/national-news/2020/norwegian-data-protection-authority-imposes-fine-municipality-oslo-education_en)Link
74WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-06-2515150NieznanyArt. 33 RODOAdministrator danych nie dopełnił swoich obowiązków w zakresie powiadamiania o naruszeniu ochrony danych, gdy zgubił pamięć flash z danymi osobowymi.Link
73ŁotwaDatu Valsts Inspekcija (DVI)2019-08-267000Usługi onlineArt. 17 RODOSprzedawca, który świadczy usługi w sklepie internetowym, naruszył "prawo do bycia zapomnianym" zgodnie z art. 17 RODO, gdy wielokrotnie był proszony przez osobę, której dane dotyczą, o usunięcie wszystkich jej danych osobowych, w szczególności numeru telefonu komórkowego, które sprzedawca otrzymał w ramach zamówienia. Mimo to sprzedawca wielokrotnie wysyłał wiadomości reklamowe za pośrednictwem SMS na numer telefonu komórkowego osoby, której dane dotyczą.Link
72BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-08-28511000DSK BankArt. 32 RODOWyciek danych osobowych w wyniku zastosowania nieodpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony bezpieczeństwa informacji. Osoby trzecie miały dostęp do ponad 23 000 kartotek kredytowych dotyczących ponad 33 000 klientów banku, w tym do danych osobowych, takich jak nazwiska, obywatelstwo, numery identyfikacyjne, adresy, kopie dowodów tożsamości i dane biometryczne.Link
71BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-08-282600000Krajowa Agencja SkarbowaArt. 32 RODOWyciek danych osobowych w wyniku ataku hakerskiego spowodowany niedostatecznym zastosowaniem środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Stwierdzono, że bezprawnie udostępniono dane osobowe dotyczące ok. 6 mln osób.Link
70HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-08-1660000AVON COSMETICSArt. 6 RODOKonsument twierdził, że AVON COSMETICS bezprawnie przetwarzał jego dane bez odpowiedniego sprawdzenia jego tożsamości, co doprowadziło do tego, że jego dane zostały błędnie wpisane do rejestru wierzytelności, uniemożliwiając mu współpracę z jego bankiem. W rezultacie osoba trzecia w nieuczciwy sposób wykorzystała dane osobowe konsumenta.Link
69AustriaÖsterreichische Datenschutzbehörde (DSB)2019-0711000Osoba fizyczna (trener piłki nożnej)Art. 6 RODOGrzywna została nałożona na trenera piłki nożnej, który przez lata potajemnie filmował zawodniczki, gdy te były nagie w kabinie prysznicowej.Link
68AustriaÖsterreichische Datenschutzbehörde (DSB)2019-0850000Firma z branży medycznejArt. 13 RODO, Art. 37 RODO(Nieostateczna) kara została nałożona na przedsiębiorstwo z sektora medycznego za niedopełnienie obowiązków informacyjnych i niewyznaczenie inspektora ochrony danych.Link
67SzwecjaDatainspektionen2019-08-2018630Szkoła w SkellefteåArt. 5 (1) c) RODO, Art. 9 RODO, Art. 35 RODO, Art. 36 RODOSzkoła w Skellefteå podjęła próbę zastosowania technologii rozpoznawania twarzy. Grzywna została nałożona na szkołę, która wykorzystała technologię rozpoznawania twarzy do monitorowania frekwencji uczniów. Mimo że zasadniczo przetwarzanie danych w celu monitorowania frekwencji jest możliwe, przetwarzanie danych z wykorzystaniem technologii rozpoznawania twarzy jest nieproporcjonalne do celu monitorowania frekwencji. Organ nadzorczy jest zdania, że przetwarzane były dane biometryczne uczniów, dlatego też zastosowanie ma art. 9 RODO. Dodatkowo organ argumentował, że zgoda nie może być zastosowana, ponieważ uczniowie i ich opiekunowie nie mogą swobodnie decydować, czy chcą, aby ich dzieci były monitorowane w celu kontroli frekwencji. Badając, czy rada szkoły może powołać się na któreś z wyłączeń wymienionych w art. 9 ust. 2 RODO, organ nadzoru stwierdził, że nie można zastosować zgody. Organ nadzorczy stwierdził również, że w tym przypadku mamy do czynienia z czynnością przetwarzania obarczoną wysokim ryzykiem, ponieważ do przetwarzania wrażliwych danych osobowych dotyczących dzieci znajdujących się w sytuacji zależności od dyrekcji szkoły średniej wykorzystano nowe technologie, a także ze względu na stosowanie nadzoru kamer w codziennym otoczeniu uczniów. W ocenie organu dyrekcja szkoły nie była w stanie wykazać zgodności z art. 35 RODO oraz że zarząd szkoły był zobowiązany do zasięgnięcia opinii organu zgodnie z art. 36 ust. 1 RODO. 36 UST. 1 RODO.Link
66RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-10-172500UTTIS INDUSTRIES SRLArt. 12 RODO, Art. 13 RODO, Art. 5 (1) c) RODO, Art. 6 RODOKara została zastosowana wobec administratora, ponieważ nie potrafił on udowodnić, że osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu danych osobowych / wizerunku za pośrednictwem systemu monitoringu wizyjnego, który działa u niego od 2016 roku. Ponadto dlatego, że ujawnił CNP (odpowiedni polskiego numeru PESEL) pracowników, poprzez umieszczenie sprawozdania ze szkolenia autoryzowanego personelu ISCIR za rok 2018 na firmowej tablicy ogłoszeń i nie potrafił udowodnić podstawy prawnej ujawnienia CNP zgodnie z art. 6 RODO.Link
65GrecjaHellenic Data Protection Authority (HDPA)2019-07-30150000PWC Business SolutionsArt. 5 (1) a), b) and c) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1) c) RODO, 14 (1) c) RODOPrzetwarzanie danych osobowych pracowników oparto o zgodę. HDPA uznało, że nie jest to odpowiednia podstawa prawna, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, wypełnienia prawnego obowiązku, ciążącego na administratorze, oraz prawnie uzasadnionych interesów administratora, polegających na zapewnieniu sprawnego i skutecznego działania firmy. Ponadto firma dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe na podstawie zgody, podczas gdy w rzeczywistości przetwarza ich dane w oparciu o inną podstawę prawną. Jest to sprzeczne z zasadą przejrzystości, a zatem narusza obowiązki wynikające z art. 13 ust. 1 lit. c) i art. 14 ust. 1 lit. c) RODO. Wreszcie, naruszając zasadę odpowiedzialności, firma nie dostarczyła HDPA dowodów, że przeprowadziła ocenę odpowiednich podstaw prawnych do przetwarzania danych osobowych pracownikówLink
64FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2019-07-25180000ACTIVE ASSURANCES (firma ubezpieczeniowa, ubezpieczenia komunikacyjne)Art. 32 RODODuża liczba kont klientów, dokumenty klientów (m.in. kopie praw jazdy, rejestracja pojazdu, wyciągi bankowe i dokumenty określające, czy danej osobie cofnięto uprawniania do kierowania pojazdem) oraz dane były łatwo dostępne online. CNIL, między innymi, skrytykował zarządzanie hasłami (nieautoryzowany dostęp był możliwy bez żadnego uwierzytelnienia).Link
63NiderlandyAutoriteit Persoonsgegevens (AP)2019-06-18460000Szpital w HadzeArt. 32 RODOSzpital w Hadze nie posiada odpowiedniego wewnętrznego systemu bezpieczeństwa dokumentacji pacjentów. Takie są wnioski z dochodzenia przeprowadzonego przez niderlandzki urząd ochrony danych. Dochodzenie to zostało wszczęte po tym, jak okazało się, że dziesiątki pracowników szpitala niepotrzebnie sprawdzało dokumentację medyczną znanej holenderskiej osoby. Aby zmusić szpital do poprawy bezpieczeństwa dokumentacji pacjentów, AP nakłada jednocześnie nakaz podlegający karze. Jeśli szpital w Hadze nie poprawi bezpieczeństwa do 2 października 2019 r., musi płacić 100 tys. euro co dwa tygodnie, maksymalnie 300 tys. euro. Szpital w międzyczasie poinformował, że podejmie działania.LinkKara RODO dla szpitala w Hadze - opis sytuacji
62Rumunia
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
2019-07-053000Legal Company & Tax Hub SRLArt. 32 RODOKara została nałożona, ponieważ nie zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka przetwarzania. Doprowadziło to do nieuprawnionego ujawnienia i nieuprawnionego dostępu do danych osobowych osób, które dokonały transakcji przez stronę internetową avocatoo.ro (imię, nazwisko, adres korespondencyjny, e-mail, telefon, stanowisko, szczegóły dokonanych transakcji), w związku z publicznie dostępnymi dokumentami w okresie od 10 grudnia 2018 r. do 1 lutego 2019 r. Krajowy Organ Nadzoru zastosował sankcję po zawiadomieniu z dnia 12 października 2018 r. wskazującym, że zestaw plików dotyczących szczegółów transakcji dokonanych za pośrednictwem strony internetowej avocatoo.ro, który zawierał imię, nazwisko, adres korespondencyjny, adres e-mail, telefon, stanowisko pracy oraz szczegóły dokonanych transakcji, był publicznie dostępny poprzez dwa linki.Link
61WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2018-05-2392146Organizator Sziget festival i Volt festivalArt. 6 RODO, Art. 5 (1) b) RODO, Art. 13 RODONAIH stwierdził, że istniały niewłaściwe podstawy prawne oraz że administrator nie przestrzegał zasady ograniczenia celu. Ponadto informacje na temat przetwarzania danych nie zostały w pełni przekazane osobom, których dane dotyczą.Link
60Wielka BrytaniaInformation Commissioner (ICO)2020-10-3020450000Marriott International, IncArt. 32 RODOPierwotnepodsumowanie: ICO opublikowała komunikat o zamiarze nałożenia kary na Marriott International Inc w związku z incydentem cybernetycznym, o którym Marriott powiadomił ICO w listopadzie 2018 r. W wyniku incydentu narażone zostały różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie, z czego około 30 milionów dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). Siedem milionów dotyczyło mieszkańców Wielkiej Brytanii. Uważa się, że luka powstała, gdy systemy grupy hoteli Starwood zostały naruszone w 2014 roku. Marriott następnie nabył Starwood w 2016 roku, ale ujawnienie informacji o klientach zostało odkryte dopiero w 2018 roku. Dochodzenie ICO wykazało, że Marriott nie podjął wystarczającej należytej staranności przy zakupie Starwood, a także powinien był zrobić więcej, aby zabezpieczyć swoje systemy. --> Aktualizacja: W dniu 2020/10/30 ICO ogłosiło swoją ostateczną decyzję o nałożeniu na Marriott International Inc. grzywny w wysokości 18,4 mln funtów (około 20,4 mln euro). W swojej decyzji ICO przedstawiła względy, jakimi kierowała się przy obliczaniu kary, a wśród nich brak wcześniejszych naruszeń lub zaniedbań ze strony Marriott oraz fakt, że Marriott w pełni współpracował przy dochodzeniu i podjął kroki w celu powiadomienia osób, których dotyczyło postępowanie. Ponadto ICO dostosowało wysokość kary, do innych już nałożonych na inne przedsiębiorstwa - w szczególności również przez inne europejskie organy ochrony danych.
Link

Kara RODO dla Marriott - opis sytuacji
59Rumunia
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
2019-07-0215000World Trade Center Bucharest SAArt. 32 RODONaruszenie bezpieczeństwa danych polegało na tym, że wydrukowana papierowa lista służąca do sprawdzania klientów korzystjących ze śniadań i zawierająca dane osobowe 46 klientów przebywających w hotelu WORLD TRADE CENTER BUCHAREST SA została sfotografowana przez nieuprawnione osoby spoza firmy, co doprowadziło do ujawnienia danych osobowych niektórych klientów poprzez publikację w Internecie. Operator WORLD TRADE CENTER BUCHAREST SA został ukarany, ponieważ nie podjął działań mających na celu zapewnienie, że dane nie zostaną ujawnione osobom nieupoważnionym.Link

58Wielka BrytaniaInformation Commissioner (ICO)2020-10-1622046000British AirwaysArt. 5 (1) f) RODO, Art. 32 RODOW lipcu 2019 roku ICO wydało zawiadomienie o zamiarze nałożenia kary pieniężnej na British Airways w wysokości 183,39 milionów funtów za naruszenia RODO, które prawdopodobnie wiążą się z naruszeniem art. 32 RODO. Proponowana kara dotyczy incydentu cybernetycznego zgłoszonego do ICO przez British Airways we wrześniu 2018 roku. Incydent ten w części obejmował przekierowanie ruchu użytkowników ze strony internetowej British Airways na fałszywą stronę. Za pośrednictwem tej fałszywej strony, dane klientów zostały zebrane przez atakujących. Dane osobowe około 500 000 klientów zostały narażone w tym incydencie, który, jak się uważa, rozpoczął się w czerwcu 2018 roku. Dochodzenie ICO wykazało, że różne informacje zostały narażone na niebezpieczeństwo przez słabe rozwiązania w zakresie bezpieczeństwa w firmie, w tym dane dotyczące logowania, karty płatniczej i rezerwacji podróży, a także imię i nazwisko oraz informacje adresowe. W międzyczasie, ostateczna wysokość kary nałożonej na linie lotnicze została ustalona na 20 milionów funtów (około 22 046 000 euro). ICO podkreśliło, że przy ustalaniu wysokości kary wzięło również pod uwagę ekonomiczny wpływ pandemii COVID-19 ("koronawirusa") na branżę lotniczą.Link

Kara RODO dla British Airways - opis sytuacji
57RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-06-27130000Unicredit Bank SAArt. 25 (1) i Art. 5 (1) c) RODOKara została nałożona w wyniku niewdrożenia odpowiednich środków technicznych i organizacyjnych (związanych z (1) określeniem środków/operacji przetwarzania oraz (2) integracją niezbędnych zabezpieczeń) skutkujących ujawnieniem online danych identyfikacyjnych i adresowych (transakcje interla/external) 337 042 osób, których dane dotyczą, ich odpowiedniemu beneficjentowi (w okresie 25.05.2018 -10.12.2018).Link

56HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana60000ENDESA (dostawca energii)Art. 5 (1) f) RODORachunek bankowy skarżącej został obciążony przez spółkę ENDESA, której beneficjentem była osoba trzecia, skazana prawomocnym wyrokiem karnym i objęta dwuletnim zakazem zbliżania się do skarżącej, jej miejsca zamieszkania i pracy. Zamiast zmienić dane umowy zgodnie z wnioskiem skarżącej, ENDESA błędnie usunęła jej dane i wprowadziła dane osoby trzeciej. AEPD uznał, że ujawnienie danych skarżącej osobie trzeciej stanowiło poważne naruszenie zasady poufności.Link

55BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-03-265100A.P. EOODArt. 5 (1) a) RODO, Art. 6 RODOKara została nałożona na administratora danych osobowych A.P. EOOD za niezgodne z prawem przetwarzanie danych osobowych. Dane osobowe osoby, której dane dotyczą, D.D., zostały wykorzystane przez A.P. EOOD do przygotowania umowy o pracę, podczas gdy osoba ta przebywała w zakładzie karnym.Link

54BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-04-08510Centra medyczneArt. 5 (1) a) RODO; Art. 9 (1) i Art. 9 (2) RODO; Art. 6 (1) RODOKara w wysokości 510 EUR została nałożona na każdą z placówek medycznych za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą, G.B., przez placówkę medyczną w celu zmiany lekarza pierwszego kontaktu. Centrum medyczne wykorzystało oprogramowanie do wygenerowania formularza rejestracyjnego dotyczącego zmiany lekarza pierwszego kontaktu, który został przekazany do regionalnej kasy chorych, a następnie do innego centrum medycznego, które następnie również bezprawnie przetwarzało dane osobowe G.B.Link
53WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-04-051900NieznanyArt. 15 RODOAdministrator danych nie zrealizował wniosku o dostęp złożonego przez osobę, której dane dotyczą.Link

52WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-04-179400NieznanyArt. 5 (1) a) RODO, Art. 6 RODOAdministrator danych zastosował niewłaściwą, z punktu widzenia NAIH, podstawę prawną przetwarzania danych osobowych (art. 6 ust. 1 lit. b) w celu cesji wierzytelności.Link

51FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2019-06-1320000Uniontrad CompanyArt. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODO, Art. 32 RODOW latach 2013-2017 CNIL otrzymała skargi od kilku pracowników przedsiębiorstwa, którzy byli filmowani na swoim stanowisku pracy. Dwukrotnie zwróciła ona uwagę przedsiębiorstwa na zasady, których należy przestrzegać przy instalowaniu kamer w miejscu pracy, w szczególności na to, że pracownicy nie powinni być filmowani w sposób ciągły oraz że należy podać informacje o przetwarzaniu danych. Wobec braku zadowalających środków pod koniec terminu wyznaczonego w wezwaniu do usunięcia uchybienia, CNIL przeprowadziła drugi audyt w październiku 2018 r., który potwierdził, że pracodawca nadal naruszał przepisy o ochronie danych osobowych, nagrywając pracowników za pomocą CCTV. Określając wysokość kary, CNIL wzięła pod uwagę wielkość (9 pracowników) i sytuację finansową przedsiębiorstwa, które w 2017 r. przedstawiło ujemny wynik netto (obrót w wysokości 885 739 EUR w 2017 r. i ujemny wynik netto w wysokości 110 844 EUR), aby zachować odstraszającą, ale proporcjonalną karę administracyjną.Link
50NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2019-05-091400Funkcjonariusz policjiArt. 6 RODOPolicjant posługując się swoim oficjalnym identyfikatorem użytkownika, ale bez związku z pełnionymi obowiązkami służbowymi, za pośrednictwem Centralnego Systemu Informacji o Ruchu Drogowym (ZEVIS) Federalnego Urzędu Transportu Samochodowego zapytał o dane właściciela tablic rejestracyjnych nieznanej mu osoby. Wykorzystując uzyskane w ten sposób dane osobowe, przeprowadził następnie w Federalnej Agencji Sieciowej tzw. zapytanie SARS, w którym poprosił nie tylko o dane osobowe poszkodowanych, ale również o zapisane w nich numery telefonów domowych i komórkowych. Korzystając z uzyskanego w ten sposób numeru telefonu komórkowego, policjant kontaktował się telefonicznie z poszkodowanym - bez żadnego oficjalnego powodu lub zgody poszkodowanego. Poprzez zapytanie ZEVIS i SARS do celów prywatnych oraz wykorzystanie uzyskanego w ten sposób numeru telefonu komórkowego do kontaktu prywatnego, funkcjonariusz policji na własną rękę przetwarzał dane osobowe poza granicami prawa. Naruszenia tego nie można przypisać służbom policjanta, ponieważ nie popełnił on tego czynu w ramach wykonywania swoich obowiązków służbowych, lecz wyłącznie w celach prywatnych. Zakaz karania wynikający z § 28 LDSG, zgodnie z którym sankcje RODO nie mogą być nakładane na organy publiczne, nie ma zastosowania w niniejszej sprawie, ponieważ nie był to ani przypadek uchybienia, które można przypisać organowi, ani nie można zakwalifikować danej osoby jako odrębnego organu publicznego w rozumieniu § 2 (1) lub (2) LDSG w przypadku przedmiotowych czynów.Link

49HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana27000Vodafone España, S.A.U.Art. 5 (1) d) RODOMimo że skarżący (były klient Vodafone) zwrócił się do Vodafone o usunięcie swoich danych w 2015 r. i prośba ta została potwierdzona przez firmę, od 2018 r. otrzymał od firmy ponad 200 SMS-ów. Zgodnie z oświadczeniem Vodafone, stało się tak, ponieważ numer telefonu komórkowego skarżącego został błędnie użyty do celów testowych i przypadkowo pojawił się w różnych plikach klientów należących do innych klientów niż skarżący. Ponieważ firma zgodziła się zarówno na zapłatę, jak i na przyznanie się do odpowiedzialności, grzywna została obniżona zgodnie z hiszpańskim prawem administracyjnym do 27 tys. euro.Link

48HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana60000GESTIÓN DE COBROS, YO COBRO SLArt. 5 (1) f) RODOPo tym, jak powód rzekomo nie spłacił mikrokredytu udzielonego internetowej agencji kredytowej, wierzytelność została przeniesiona na firmę windykacyjną. Ta z kolei zaczęła wysyłać maile nie tylko na adresy mailowe podane przez powoda, ale także na instytucjonalny adres mailowy jego zakładu pracy, dostępny dla każdego współpracownika, który nigdy nie został podany przez powoda.Link

47HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-06-11250000LaLiga (organizator rozgrywek piłki nożnej) Art. 5 (1) a), Art. 7 (3) RODOKrajowa Liga Piłkarska (LaLiga) została ukarana grzywną za oferowanie aplikacji, która raz na minutę uzyskiwała dostęp do mikrofonu telefonów komórkowych użytkowników w celu wykrycia pubów wyświetlających mecze piłkarskie bez uiszczenia opłaty. Zdaniem AEPD LaLiga nie poinformowała w odpowiedni sposób użytkowników aplikacji o tej praktyce. Ponadto, aplikacja nie spełniała wymogów dotyczących wycofania zgody.Link

46HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana5000Vodafone España, S.A.U.Art. 5 (1) d) RODOHiszpańska agencja ds. telekomunikacji i informacji (SETSI) zdecydowała, że Vodafone musi zwrócić klientowi koszty, którymi został niesłusznie obciążony. Mimo to, Vodafone przekazał dane osobowe tego klienta do rejestru dłużników (BADEXCUG). AEPD stwierdził, że takie postępowanie narusza zasadę prawidłowości.Link

45PortugaliaComissão Nacional de Protecção de Dados (CNPD)2018-07-17400000SzpitalArt. 5 (1) f) RODO, Art. 32 RODOŚledztwo wykazało, że personel szpitala, psycholodzy, dietetycy i inni specjaliści mieli dostęp do danych pacjentów poprzez fałszywe profile. System zarządzania profilami okazał się wadliwy - szpital miał 985 zarejestrowanych profili lekarskich, podczas gdy zatrudniał tylko 296 lekarzy. Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od ich specjalizacji.Link
44PolskaUrząd ochrony danych osobowych (UODO)2019-04-2512950Dolnośląski Związek Piłki NożnejArt. 6 RODODolnośląski Związek Piłki Nożnej opublikował w sieci dane osobowe sędziów, którzy otrzymali licencje sędziowskie. Podano jednak nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania i numery PESEL. Tymczasem nie ma żadnej podstawy prawnej, aby tak szeroki zakres danych o sędziach był dostępny w Internecie. Upubliczniając je, administrator stwarzał potencjalne ryzyko ich nieuprawnionego wykorzystania, np. do podszywania się pod nich w celu zaciągnięcia kredytu lub innych zobowiązań. Wprawdzie stowarzyszenie samo zauważyło swój błąd, o czym świadczy zgłoszenie naruszenia ochrony danych osobowych do Prezesa UODO, jednak fakt, że próby jego usunięcia były nieskuteczne, przesądził o nałożeniu kary. Ustalając wysokość kary (55.750,50 zł), Prezes UODO wziął pod uwagę także m.in. czas trwania naruszenia oraz fakt, że dotyczyło ono dużej grupy osób (585 sędziów). Uznał, że choć naruszenie zostało ostatecznie usunięte, to miało ono poważny charakter. Nakładając karę Prezes UODO wziął jednak pod uwagę również okoliczności łagodzące, takie jak dobra współpraca administratora z organem nadzorczym czy brak dowodów na wyrządzenie szkody osobom, których dane zostały ujawnione.Link


Link
43PolskaUrząd ochrony danych osobowych (UODO)2019-03-26219538Bisnode Polska Sp. z o.o.Art. 14 RODOKara dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczyły, pozyskane z ogólnodostępnych źródeł, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej i przetwarzała te dane w celach komercyjnych. Organ sprawdził niedopełnienie obowiązku informacyjnego w stosunku do osób fizycznych prowadzących działalność gospodarczą - przedsiębiorców, którzy aktualnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator wypełnił obowiązek informacyjny, przekazując informacje wymagane na podstawie art. 14 ust. 1 - 3. 14 ust. 1 - 3 RODO jedynie w stosunku do osób, których adresami e-mail dysponował. W przypadku pozostałych osób administrator nie dopełnił obowiązku informacyjnego - jak wyjaśnił w toku postępowania - z uwagi na wysokie koszty operacyjne. Dlatego klauzulę informacyjną prezentował jedynie na swojej stronie internetowej. Zdaniem UODO jest to niewystarczające. Uzupełnienie: W międzyczasie sąd uchylił grzywnę z powodu błędów proceduralnych. Wysokość grzywny musi być ustalona na podstawie konkretnej liczby rekordów danych, których dotyczy. Urząd nie przedstawił jednak żadnych możliwych do sprawdzenia dowodów w tym względzie, lecz po prostu założył, że chodzi o 6 mln rekordów danych, czemu zaprzeczył administrator danych. Brakowało zatem ważnych stwierdzeń. W szczególności nieprawidłowe było uzasadnienie wysokości grzywny na podstawie ogólnych względów zapobiegawczych. Art. 58 RODO wyraźnie stanowi, że nałożona kara pieniężna musi być związana z konkretnym stanem faktycznym sprawy. Polski organ ochrony danych osobowych zapowiedział już, że wysokość grzywny zostanie zmieniona w ramach nowego postępowania administracyjnego.Link
42NorwegiaDatatilsynet2019-03170000Gmina BergenArt. 5 (1) f) RODO, Art. 32 RODOIncydent dotyczy plików komputerowych z nazwami użytkowników i hasłami do ponad 35000 kont użytkowników w systemie komputerowym gminy. Konta użytkowników dotyczyły zarówno uczniów szkół podstawowych w gminie, jak i pracowników tych szkół. Ze względu na niewystarczające środki bezpieczeństwa pliki te nie były chronione i były ogólnodostępne. Brak środków bezpieczeństwa w systemie umożliwił każdej osobie zalogowanie się do różnych systemów informatycznych szkoły, a tym samym dostęp do różnych kategorii danych osobowych dotyczących uczniów i pracowników szkół. Fakt, że naruszenie bezpieczeństwa obejmuje dane osobowe ponad 35 000 osób, a większość z nich to dzieci, uznano za okoliczność obciążającą. Gmina była również kilkakrotnie ostrzegana, zarówno przez władze, jak i przez wewnętrznego informatora, że bezpieczeństwo danych jest niewystarczające.Link
41MaltaInformation and Data Protection Commissioner (IDPC)2019-02-185000Urząd ZiemskiArt. 5 RODO, Art. 32 RODOW wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Urzędu Ziemskiego ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla opinii publicznej poprzez proste wyszukiwanie w google. Większość z wyciekłych danych zawierała wysoce wrażliwe informacje i korespondencję pomiędzy osobami fizycznymi a samym urzędem. Urząd Ziemski nie zdecydował się na złożenie odwołania. Na Malcie, w przypadku naruszenia przepisów przez organ lub podmiot publiczny, komisarz ds. ochrony danych może nałożyć grzywnę administracyjną w wysokości do 25 000 euro za każde naruszenie i może dodatkowo nałożyć dzienną grzywnę w wysokości 25 euro za każdy dzień trwania takiego naruszenia.Link
40LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2019-05-1661500Operator systemu płatniczego UAB MisterTangoArt. 5 RODO, Art. 32 RODO, Art. 33 RODOLitewski organ nadzoru podczas kontroli stwierdził, że administrator przetwarzał więcej danych niż było to konieczne do osiągnięcia celów przetwarzania. Ponadto wyszło na jaw, że w dniach 09-10 lipca 2018 r. dane dotyczące płatności były publicznie dostępne w Internecie z powodu nieodpowiednich środków technicznych i organizacyjnych. Ucierpiało na tym 9 tys. płatności z 12 banków z różnych krajów. Zdaniem organu nadzorczego, zgłoszenie naruszenia ochrony danych zgodnie z art. 33 RODO byłoby konieczne. Administrator nie zgłosił naruszenia ochrony danych osobowych.Link
39WłochyGarante per la protezione dei dati personali (Garante)2019-04-1750000Movimento 5 Stelle – Ruch 5 gwiazd (włoska partia polityczna)Art. 32 RODOPewna liczba stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest prowadzona, za pośrednictwem podmiotu przetwarzającego dane, przez platformę o nazwie Rousseau. Latem 2017 r. na platformie doszło do naruszenia ochrony danych osobowych, w wyniku którego włoski organ ochrony danych, Garante, zażądał wdrożenia szeregu środków bezpieczeństwa, oprócz obowiązku aktualizacji informacji o ochronie prywatności w celu zapewnienia dodatkowej przejrzystości wykonywanych czynności przetwarzania danych. Chociaż aktualizacja informacji o ochronie prywatności została ukończona w terminie, włoski organ ochrony danych, zgłosił swoje zastrzeżenia co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa związanych z RODO. Warto wspomnieć, że postępowanie rozpoczęło się przed majem 2018 roku, ale włoski organ ochrony danych wymierzył karę na podstawie RODO, ponieważ platforma Rousseau nie przyjęła środków bezpieczeństwa wymaganych na mocy nakazu wydanego po 25 maja 2018 roku. Co ciekawe, kara nie została nałożona na Movimento 5 Stelle, które jest administratorem danych platformy, ale na stowarzyszenie Rousseau, które jest podmiotem przetwarzającym.Link
38WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-04-0534375Węgierska partia politycznaArt. 33 (1) RODO, Art. 33 (5) RODO, Art. 34 (1) RODONAIH nałożył karę pieniężną w wysokości 11 000 000 HUF (34 375 EUR) na nieujawnioną węgierską partię polityczną za niepowiadomienie NAIH i odpowiednich osób o naruszeniu ochrony danych osobowych oraz za nieudokumentowanie naruszenia zgodnie z art. 33 (5) RODO. Zgodnie z prawem grzywna została ustalona na podstawie 4% rocznego obrotu partii oraz 2,65% jej przewidywanego obrotu w nadchodzącym roku. Naruszenie było wynikiem cyberataku anonimowego hakera, który uzyskał dostęp i ujawnił informacje na temat podatności systemu organizacji - bazy danych ponad 6 tys. osób - oraz komendy użytej do ataku. System był podatny na atak z powodu problemu z przekierowaniem na stronie internetowej organizacji. Po opublikowaniu przez atakującego komendy, nawet osoby o niewielkiej wiedzy informatycznej były w stanie pobrać informacje z bazy danych.Link
37WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-03-043200Instytucja finansowaArt. 5 (1) b) RODO, Art. 5 (1) c) RODO, Art. 13 (3) RODO, Art. 17 (1) RODO, Art. 6 (4) GDRPKara została nałożona w związku z wnioskiem osoby, której dane dotyczą, o poprawienie i usunięcie danych. NAIH nałożył karę pieniężną na niewymienioną z nazwy instytucję finansową za bezprawne odrzucenie wniosku klienta o usunięcie jego numeru telefonu po tym, jak argumentował, że w uzasadnionym interesie spółki leży przetwarzanie tych danych w celu wyegzekwowania należności od klienta. W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest niezbędny do celów windykacji należności, ponieważ wierzyciel może kontaktować się z dłużnikiem również drogą pocztową. W związku z tym przechowywanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu. Zgodnie z prawem, nałożona kara została ustalona na podstawie 0,025% rocznego przychodu netto spółki.Link
36WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-02-283200Biuro burmistrza miasta KecskemétArt. 5 (1) a) RODO, Art. 6 RODOKara została nałożona na Biuro Burmistrza miasta Kecskemét za bezprawne ujawnienie danych osobowych sygnalisty. NAIH nałożył karę po tym, jak pracownik organizacji, którą nadzorował, zgłosił bezpośrednio do niego skargę w interesie publicznym przeciwko swojemu pracodawcy. Po tym, jak organizacja dowiedziała się o skardze, poprosiła o szczegóły w celu przeprowadzenia dochodzenia, a władze lokalne przypadkowo ujawniły nazwisko skarżącego. NAIH uznał za okoliczność obciążającą fakt, że w wyniku naruszenia danych organizacja zwolniła osobę, która złożyła doniesienie.Link
35WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2018-12-183200nie podanoArt. 12 (4) RODO, Art. 15 RODO, Art. 18 (1) c) RODO, Art. 13 RODOGrzywna została nałożona za (i) niedostarczenie podmiotowi danych nagrań z kamer przemysłowych, (ii) niezachowywanie nagrań do dalszego wykorzystania przez podmiot danych oraz (iii) niepoinformowanie podmiotu danych o przysługującym mu prawie do złożenia skargi do organu nadzorczego.Link
34WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-02-201560Firma windykacyjnaArt. 5 (1) a) RODO, Art. 5 (1) c) RODOOsoba, której dane dotyczą, zwróciła się o udzielenie informacji na temat przetwarzanych danych i ich usunięcie, czego firma windykacyjna odmówiła, twierdząc, że nie może zidentyfikować osoby, której dane dotyczą. Do celów identyfikacji zażądała ona od podmiotu danych podania miejsca urodzenia, nazwiska panieńskiego matki oraz dalszych szczegółów. Po tym, jak administratorowi udało się zidentyfikować osoby, których dane dotyczą, odmówił on spełnienia wniosku o usunięcie danych, argumentując, że jest prawnie zobowiązany do zachowania kopii zapasowych zgodnie z ustawą o rachunkowości i wewnętrznymi politykami. Ponieważ administrator nie poinformował odpowiednio o tych politykach, NAIH uznał, że naruszył on zasadę przejrzystości. Grzywna stanowi 0,0025% rocznego zysku administratora danych.Link
33WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-02-081560BankArt. 5 (1) d) RODOBank omyłkowo wysłał wiadomości SMS dotyczące zadłużenia podmiotu na karcie kredytowej na numer telefonu innej osoby. Po otrzymaniu od klienta nieprawidłowego numeru telefonu w momencie zawierania umowy, bank nie zastosował się do prośby osoby, której dane dotyczą, o usunięcie danych i kontynuował wysyłanie wiadomości SMS na nieprawidłowy numer telefonu. Grzywna stanowi 0,0016% rocznego zysku banku.Link
32NiemcyOrgan ochrony danych osobowych Berlina2019-0350000N26 (bank)Art. 6 RODOGrzywna została nałożona na bank (według gazety N26), który bez zezwolenia przetwarzał "dane osobowe wszystkich byłych klientów". Bank przyznał, że przechowywał dane dotyczące byłych klientów w celu prowadzenia czarnej listy, czyli swego rodzaju kartoteki ostrzegawczej, aby nie udostępniać tym osobom nowego konta. Początkowo bank uzasadniał to tym, że zgodnie z niemiecką ustawą o bankowości jest zobowiązany do podjęcia środków bezpieczeństwa wobec klientów podejrzanych o pranie pieniędzy. Organ ochrony danych osobowych w Berlinie ocenił to jako niezgodne z prawem. Organ ten twierdzi, że w celu uniemożliwienia otwarcia nowego rachunku bankowego w kartotece porównawczej mogą zostać uwzględnione tylko te osoby, które rzeczywiście są podejrzane o pranie pieniędzy lub w stosunku do których istnieją inne ważne powody odmowy otwarcia nowego rachunku bankowego. Organ ten powiedział gazecie, że postępowanie w sprawie grzywny wszczęte przeciwko bankowi "nie zostało jeszcze prawomocnie zakończone".Strona 131 sprawozdania z działalności organu ds. ochrony danych osobowych w Berlinie
Link


Link
31NiemcyOrgan ochrony danych osobowych Hamburga2018500NieznanyNieznanaBrak informacjiLink
30NiemcyOrgan ochrony danych osobowych kraju związkowego Saaranieznana118nie podanoArt. 6 RODONielegalne ujawnienie danych osobowych dotyczących strony trzeciej.Link
29NiemcyOrgan ochrony danych osobowych Hamburga201820000NieznanyArt. 33 (1) RODO, Art. 34 (1) RODOSpóźnione powiadomienie o naruszeniu ochrony danych i brak powiadomienia osób, których dane dotyczą.Strona 134 sprawozdania z działalności organu ds. ochrony danych osobowych w Hamburgu, dostępnego pod linkiem Link
28NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia-Anhalt2019-02-052500Osoba fizycznaArt. 6 RODO, Art. 5 RODOKara została nałożona na osobę fizyczną, która w okresie od lipca do września 2018 r. wysłała kilka e-maili, w których użyła osobistych adresów e-mail widocznych dla wszystkich odbiorców, z których każdy odbiorca mógł odczytać niezliczoną ilość innych odbiorców. Mężczyźnie zarzucono popełnienie dziesięciu wykroczeń w okresie od połowy lipca do końca lipca 2018 roku. Z pisma organu wynika, że na jego liście mailingowej można było zidentyfikować od 131 do 153 osobistych adresów pocztowych.Link
27NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2019-04-1280000Firma z sektora finansowegoArt. 5 RODO, Art. 32 RODOW decyzji administracyjnej z dnia 12 kwietnia 2019 r. organ nałożył na średniej wielkości spółkę świadczącą usługi finansowe karę pieniężną w wysokości 80.000 euro. Spółka ta nie dołożyła należytej staranności w celu zachowania integralności i poufności informacji w rozumieniu art. 5 par. 1 lit. f RODO przy pozbywaniu się dokumentów zawierających dane osobowe dwóch klientów. W związku z tym, bez uprzedniej anonimizacji, dokumenty te zostały wyrzucone do ogólnego systemu utylizacji makulatury, gdzie znalazł je sąsiad.Link
26NiemcyOrgan ochrony danych osobowych Hamburga2018-12-175000Kolibri Image Regina und Dirk Maass GbRArt. 28 (3) RODOUwaga: Zgodnie z naszymi informacjami kara ta została w międzyczasie cofnięta. Kolibri Image wysłało zapytanie do Urzędu Ochrony Danych Osobowych w Hesji, jak postępować z usługodawcą, który nie chce podpisać umowy o powierzeniu przetwarzania danych osobowych. Po nieudzieleniu Kolibri Image bardziej szczegółowej odpowiedzi, sprawa została przekazana do właściwego miejscowo Urzędu Ochrony Danych w Hamburgu. Urząd ten następnie ukarał Kolibri Image jako administratora danych grzywną za brak umowy powierzenia przetwarzania danych osobowych z dostawcą usług. Kolibri Image oświadczyło, że zaskarży tę decyzję w sądzie, ponieważ jest zdania, że dostawca usług nie działa jako podmiot przetwarzający.Link


Link
25NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2018-11-2120000Knuddels.deArt. 32 RODOPo lipcowym ataku hakerów ujawnione zostały dane osobowe ok. 330.000 użytkowników, w tym hasła i adresy e-mail.Link
24FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2018-05-28400000Sergic (przedsiębiorstwo z branży wynajmu nieruchomości)Art. 32CNIL oparła karę na dwóch podstawach: Brak podstawowych środków bezpieczeństwa oraz zbyt długie przechowywanie danych. Jeśli chodzi o pierwszy z nich, wrażliwe dokumenty użytkownika przesłane przez kandydatów do pracy w wynajmie (w tym dowody osobiste, karty zdrowia, zawiadomienia podatkowe, zaświadczenia wydane przez fundusz zasiłków rodzinnych, wyroki rozwodowe, wyciągi z kont) były dostępne online bez zastosowania jakiejkolwiek procedury uwierzytelniania. Choć podatność była znana firmie od marca 2018 r., ostatecznie została usunięta dopiero we wrześniu 2018 r. Ponadto firma przechowywała dokumentację dostarczoną przez kandydatów dłużej niż było to konieczne. CNIL wzięła pod uwagę m.in. powagę naruszenia (brak należytej staranności w usuwaniu podatności oraz fakt, że dokumenty ujawniały bardzo intymne aspekty życia użytkowników), wielkość firmy i jej kondycję finansową.Link
23FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2019-01-2150000000Google Inc.Art. 13 RODO, Art. 14 RODO, Art. 6 RODO, Art. 5 RODOKara została nałożona na podstawie skarg austriackiej organizacji "None Of Your Business" oraz francuskiej organizacji pozarządowej "La Quadrature du Net". Skargi zostały złożone w dniach 25 i 28 maja 2018 roku - bezpośrednio po rozpoczęciu obowiązywania RODO. Skargi dotyczyły utworzenia konta Google podczas konfiguracji telefonu komórkowego korzystającego z systemu operacyjnego Android. CNIL nałożyła grzywnę w wysokości 50 mln euro za brak przejrzystości (art. 5 RODO), niewystarczające informacje (art. 13 / 14 RODO) i brak podstawy prawnej (art. 6 RODO). Uzyskane zgody nie były "konkretne" i "jednoznaczne" (art. 4 nr 11 RODO).Link
22DaniaDatatilsynet2021-02-1213450IDdesign A / SArt. 5 (1) e) RODO, Art. 5 (2) RODOJesienią 2018 r. duński urząd ochrony danych skontrolował IDdesign, aby sprawdzić, czy firma wyznaczyła terminy usunięcia danych klientów i czy terminy te były przestrzegane.
Przed inspekcją IDdesign przesłał przegląd systemów, które wykorzystuje do przetwarzania danych osobowych. IDdesign stwierdził, że starszy system CRM jest nadal używany w trzech niezależnych sklepach IDEmøbler, ale w pozostałych sklepach został zastąpiony nowszym systemem. W trakcie kontroli stwierdzono, że stary system przetwarzał informacje dotyczące około 385 000 nazwisk, adresów, numerów telefonów, e-maili i historii zakupów klientów.
IDdesign nie zajął się kwestią tego, kiedy dane osobowe w starym systemie nie są już niezbędne do celów, dla których są przetwarzane, a tym samym nie określił terminów usunięcia danych osobowych przetwarzanych w systemie.
Organ uznał, że IDdesign nie spełnił wymogów RODO dotyczących usunięcia danych, ponieważ przetwarzał dane osobowe przez okres dłuższy niż jest to konieczne i zarządał nałożenia kary w wysokości 200.850 euro.
Uwaga: Ponieważ duńskie prawo nie przewiduje kar administracyjnych jak w RODO (chyba, że jest to nieskomplikowana sprawa i osoba oskarżona wyraziła zgodę), kary będą nakładane przez sądy.
Aktualizacja: W dniu 12 lutego 2021 roku Sąd Okręgowy w Aarhus podjął decyzję o nałożeniu grzywny na IDdesign w wysokości 13 450 EUR. Jeśli chodzi o obliczenie grzywny, sąd nie zgodził się z proponowaną przez organ kwotą grzywny. Stwierdził, że kwota ta powinna być obliczona na podstawie obrotów własnych przedsiębiorstwa, a nie obrotów całej grupy. Ponadto sąd uznał, że okoliczności łagodzące z art. 83 ust. 2 RODO powinny być brane pod uwagę przy obliczaniu kary. Takich jak to, że spółka nie naruszała wcześniej RODO, jak również to, że naruszenie dotyczyło tylko ogólnych danych osobowych. Ponadto żadna osoba, której dane dotyczą, nie poniosła szkody w wyniku naruszenia. Wreszcie, zdaniem sądu, należy wziąć pod uwagę nieumyślny charakter naruszenia.
Link
21DaniaDatatilsynet2019160000Taxa 4x35Art. 5(1) e) RODODuński Urząd Ochrony Danych zgłosił firmę taksówkarską na policję i zalecił nałożenie grzywny (w wysokości 1,2 mln DKK) za nieprzestrzeganie zasady minimalizacji danych. Chociaż firma usunęła nazwiska swoich pasażerów ze wszystkich swoich rejestrów po dwóch latach, usunięcie nie objęło reszty zapisów przejazdów (około 8 873 333 przejazdów taksówką). W związku z tym, firma nadal przechowywała numery telefonów poszczególnych osób. Uwaga: Ponieważ duńskie prawo nie przewiduje kar administracyjnych jak w RODO (chyba, że jest to nieskomplikowana sprawa i osoba oskarżona wyraziła zgodę), kary będą nakładane przez sądy.
Link
20CzechyÚřad pro ochranu osobních údajů (UOOU)2019-05-06194NieznanyArt. 15 RODOBrak informacjiLink
19CzechyÚřad pro ochranu osobních údajů (UOOU)nieznana3140UniCredit Bank Czech Republic and Slovakia, a.s.Art. 6 RODOBank założył osobiste konto bankowe dla osoby, której dane dotyczą, bez jej zgody i wiedzy. Bank rzekomo dysponował jej danymi osobowymi, ponieważ osoba, której dane dotyczą, była dysponentem konta firmowego swojego pracodawcy. Bank nie był w stanie przedstawić organowi niezbędnej dokumentacji potwierdzającej zawarcie umowy z osobą, której dane dotyczą.Link
18CzechyÚřad pro ochranu osobních údajů (UOOU)2019-03-2110000NieznanyArt. 5 (1) RODODane były przetwarzane nie tylko wtedy, gdy były adekwatne, stosowne oraz ograniczone do tego, co niezbędne w związku z celami, dla których są przetwarzane ("minimalizacja danych") i nie tylko przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane osobowe są przetwarzane ("ograniczenie przechowywania").Link
17CzechyÚřad pro ochranu osobních údajů (UOOU)2019-02-26776NieznanyArt. 15 RODOBrak informacjiLink
16CzechyÚřad pro ochranu osobních údajů (UOOU)2018-10-25388nie podanoArt. 15 RODOBrak informacjiLink
15CzechyÚřad pro ochranu osobních údajů (UOOU)2019-02-041165Pośrednik kredytowyArt. 32 RODODane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy zastosowaniu odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").Link
14CzechyÚřad pro ochranu osobních údajů (UOOU)2019-02-28582NieznanyArt. 32 RODODane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy zastosowaniu odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").Link
13CzechyÚřad pro ochranu osobních údajů (UOOU)2019-02-041165Firma wynajmująca samochodyArt. 5 (1) a) RODOOsoba, która wynajęła samochód, dowiedziała się, że samochód był śledzony przez GPS przez firmę wynajmującą, mimo że nie podano informacji o tym, że samochód jest śledzony. Czeski Urząd Ochrony Danych stwierdził, że nie udzielono informacji w rozumieniu art. 13 RODO oraz że art. 6 (1) f) RODO nie mógł stanowić podstawy prawnej w tych konkretnych okolicznościach. W związku z tym UOOU stwierdził, że doszło do naruszenia art. 5 ust. 1 lit. a) RODO, za które nałożył karę pieniężną.Link
12CzechyÚřad pro ochranu osobních údajů (UOOU)2019-01-10388PracodawcaArt. 6 RODOByły pracownik spółki zażądał usunięcia dotyczących go informacji, które zostały opublikowane na stronie internetowej pracodawcy na Facebooku i które były dostępne jeszcze długo po ustaniu stosunku pracy. Kara została nałożona, ponieważ pracodawca nie usunął informacji dotyczących byłego pracownika.Link
11CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra201910000Wydawca gazetyArt. 6 RODOPublikacja gazety, zarówno w formie papierowej, jak i elektronicznej, miała spowodować niedogodności, niepotrzebne i bezprawne zatrzymanie obywatela oraz ujawnić nazwiska i zdjęcia dwóch zaangażowanych w sprawę policjantów śledczych, jak również zdjęcie trzeciego policjanta śledczego. Organ uznał, że cel można było osiągnąć poprzez powołanie się jedynie na inicjały ich imion i/lub zamazanie ich twarzy i/lub opublikowanie fotografii wykonanych z dużej odległości, tak aby niemożliwe było zidentyfikowanie tych osób, a działania te nie przyniosłyby żadnej zmiany w charakterze sprawy.Link
10CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20195000Szpital państwowyArt. 15 RODOPacjentka złożyła do komisarza skargę, że szpital nie spełnił jej prośby o dostęp do jej dokumentacji medycznej, ponieważ administrator danych nie mógł zidentyfikować/ zlokalizować dokumentacji. Po zbadaniu sprawy na szpital nałożono grzywnę administracyjną w wysokości 5 000 EUR.Link
9BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-02-22500PracodawcaArt. 15 RODOPracownik skierował do swojego pracodawcy wniosek o udostępnienie dotyczących go danych osobowych. Odpowiedź na wniosek nie została udzielona w terminie i udzielono jej w sposób niepełny.Link
8BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-01-17500BankArt.6 RODO, Art. 5 (1) a) RODOBank pozyskał dane osobowe studenta bez podstawy prawnej.Link
7BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-02-2627100Dostawca usług telekomunikacyjnychArt. 6 RODO, Art. 5 (1) a) RODOWielokrotna rejestracja usług przedpłaconych bez wiedzy i zgody osoby, której dane dotyczą. Pracownicy dostawcy usług telekomunikacyjnych wykorzystali dane osobowe i zarejestrowali skarżącego w usłudze przedpłaconej spółki. Osoba, której dane dotyczą, nie podpisała wniosku i nie wyraziła zgody na przetwarzanie jej danych osobowych w określonym celu. Nie miała również zastosowania żadna inna podstawa prawna. Podpis na wniosku i autentyczny wniosek samego skarżącego nie były identyczne i wskazano osobisty numer identyfikacyjny osoby, ale numer dowodu osobistego nie należał do skarżącego.Link
6BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2018-04-12500BankArt. 5 (1) b) RODO, Art. 6 RODOKara w wysokości 1000 BGN (czyli około 500 EUR) została nałożona na bank za wezwanie klienta do zapłaty nieuregulowanych rachunków jego sąsiada. Sprowokowało to klienta do powołania się na swoje prawo do bycia zapomnianym. Po nieotrzymaniu odpowiedzi od banku złożył kolejny wniosek, w związku z którym bank podjął działania w ustawowym terminie. Mimo to, klient złożył skargę do KZLD. Naruszenie, za które bank został ukarany grzywną, polegało na tym, że przetwarzanie danych osobowych klienta nie było związane z jego umową o kredyt konsumencki. Ponieważ cel, w jakim dane były przetwarzane, był inny niż ten, o którym informowano przy zawieraniu umowy, bank musiał, z punktu widzenia KZLD, żądać od klienta dodatkowej zgody.Link
5BelgiaGegevensbeschermingsautoriteit (GBA)2018-05-282000BurmistrzArt. 5 (1) b) RODO, Art. 6 RODOKara administracyjna została nałożona za niewłaściwe wykorzystanie danych osobowych przez burmistrza do celów kampanii wyborczej.Link
4AustriaÖsterreichische Datenschutzbehörde (DSB)2018-12-202200Osoba fizyczna Art. 5 (1) a) RODO, Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 13 RODOKara została nałożona na osobę fizyczną, która korzystała z telewizji przemysłowej w swoim domu. Monitoring wizyjny obejmował tereny przeznaczone do ogólnego użytku mieszkańców osiedla wielorodzinnego, a mianowicie: parkingi, chodniki, podwórko, ogród i dojścia do osiedla; ponadto monitoring wizyjny obejmował tereny ogrodowe sąsiedniej posesji. Nadzór wideo będący przedmiotem postępowania nie jest zatem ograniczony do obszarów, które znajdują się pod wyłączną kontrolą administratora. Nadzór wideo nie jest zatem proporcjonalny do celu i nie jest ograniczony do tego, co konieczne. Monitoring wizyjny rejestruje korytarz domu i filmuje mieszkańców wchodzących i wychodzących z okolicznych mieszkań, ingerując tym samym w ich bardzo osobiste sfery życia bez zgody na rejestrację danych o ich wizerunku. Monitoring nie został prawidłowo oznaczony.Link
3AustriaÖsterreichische Datenschutzbehörde (DSB)2018-09-27300Osoba fizyczna - właścicel samochoduArt. 5 (1) a) RODO, Art. 6 RODOKamera samochodowa została użyta niezgodnie z prawem.Link
2AustriaÖsterreichische Datenschutzbehörde (DSB)20181800RestauracjaArt. 5 RODO, Art. 13 RODO, Art. 14 RODOTelewizja przemysłowa została użyta niezgodnie z prawem. Brakowało wystarczających informacji na temat nadzoru wideo. Ponadto, okres przechowywania danych wynoszący 14 dni był zbyt długi, a zatem sprzeczny z zasadą minimalizacji danych. Uzupełnienie: Kara została zmniejszona przez sąd do 1500 EUR, zobacz link (https://www.dataprotect.at/2020-video%C3%BCberwachung-strafe/)Link
1AustriaÖsterreichische Datenschutzbehörde (DSB)2018-12-094800Punkt bukmacherskiArt. 13 RODOMonitoring nie był dostatecznie oznakowany i nagrano dużą część chodnika obiektu. Inwigilacja przestrzeni publicznej w ten sposób, tj. na dużą skalę przez osoby prywatne, jest niedopuszczalna.Link

Opracowano na podstawie: enforcementtracker.com, provided by CMS Law.Tax
Oryginał jak i nasze opracowanie oparte jest na licencji Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International