Kary RODO

Kary RODO – jeśli chcesz ich uniknąć, najlepiej ucz się na błędach. Cudzych.
Dowiedz się za co UODO i inne europejskie organy ochrony danych osobowych nałożyły kary RODO. Dzięki temu łatwiej unikniesz błędów, które popełnili inni.

IDKrajOrganDataWysokość kary (w euro)Ukarany podmiotPodstawa prawnaPodsumowanieŹródłoDodatkowe materiały
1642RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2023-02-085 000,00 €Medijobs Platform SRLArt. 32 (1) b), (2) RODO.Rumuński organ ochrony danych nałożył na Medijobs Platform SRL karę w wysokości 5 000 EUR. Administrator danych poinformował organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Nieupoważnionym osobom trzecim udało się uzyskać dostęp do infrastruktury informatycznej administratora danych i pobrały, usunęły i przekazały dane osobowe kandydatów, takie jak imię i nazwisko, adres e-mail, historia zawodowa, stan cywilny itp. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co ostatecznie również przyczyniło się do naruszenia danych.

Przetłumaczono z www.DeepL.com/Translator (wersja darmowa)
Link
1641WłochyGarante per la protezione dei dati personali (Garante)2022-04-283 000,00 €Gmina Monte Sant'AngeloArt. 5 (1) a) RODO, Art. 6 (1) e) RODO, Art. 17 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na Comune di Monte Sant'Angelo karę w wysokości 3 000 euro. Osoba, która uczestniczyła w procedurze wyboru, złożyła skargę do organu ochrony danych w związku z tym, że gmina opublikowała na swojej stronie internetowej listę kandydatów i ich wyniki w procedurze wyboru. W swoim dochodzeniu organ ochrony danych stwierdził, że gmina nie miała ważnej podstawy prawnej do opublikowania wyników i danych osobowych kandydatów. Ponadto organ ochrony danych stwierdził, że administrator nie spełnił wniosku osoby, której dane dotyczą, o usunięcie jej danych osobowych.Link
1640WłochyGarante per la protezione dei dati personali (Garante)2022-11-243 000,00 €Ordine dei Medici Chirurghi e degli Odontoiatri della Provincia di CagliariArt. 5 (1) a) RODO, Art. 6 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na Radę Chirurgów i Dentystów prowincji Cagliari grzywnę w wysokości 3 tys. euro. Administrator danych ujawnił dane lekarza osobom trzecim bez ważnej podstawy prawnej.Link
1639WłochyGarante per la protezione dei dati personali (Garante)2022-10-2012 000,00 €Gmina SalentoArt. 5 (1) a), b), e) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 30 RODOWłoski organ ochrony danych nałożył na Comune di Salento karę w wysokości 12 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z tym, że została nagrana przez kamerę monitoringu wizyjnego, która udowodniła, że osoba ta zlekceważyła godzinę policyjną wprowadzoną w ramach środków przeciwdziałania pandemii Covid-19. W trakcie dochodzenia organ ochrony danych stwierdził, że przetwarzanie danych osobowych w celu udowodnienia naruszenia godziny policyjnej nie było zgodne z prawem, ponieważ kamery zostały pierwotnie zainstalowane w celu zwalczania przestępczości ulicznej. Gmina nie przetwarza zatem danych w ich pierwotnym celu, co stanowi naruszenie zasady ograniczenia celu określonej w RODO. Organ ochrony danych stwierdził również, że gmina przechowywała nagrania nadmiernie długo i nie przekazała osobie, której dane dotyczą, wystarczających informacji na temat monitoringu wizyjnego. Ponadto organ ochrony danych stwierdził, że gmina nie odpowiedziała w odpowiednim czasie na wniosek o udzielenie informacji złożony przez osobę, której dane dotyczą. Wreszcie, gmina nie prowadziła rejestru czynności przetwarzania danych przez określone okresy.Link
1638WłochyGarante per la protezione dei dati personali (Garante)2022-05-262 000,00 €Właścicel sklepuArt. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych ukarał właściciela sklepu "Turkish City" karą pieniężną w wysokości 2 tys. euro. Administrator zainstalował w swoim lokalu kamery monitoringu wizyjnego, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny. Organ ochrony danych uznał, że administrator naruszył obowiązek informacyjny określony w RODO.Link
1637WłochyGarante per la protezione dei dati personali (Garante)2022-11-241 000,00 €Osoba fizycznaArt. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 32 RODO, Art. 2-septies (8) Codice della privacyWłoski organ ochrony danych nałożył na osobę fizyczną karę pieniężną w wysokości 1 000 EUR. Dwie osoby złożyły skargę do organu ochrony danych w związku z tym, że administrator opublikował dane osobowe ich i ich rodzin w swojej pracy doktorskiej. Osoby te uczestniczyły w zabiegach prowadzonych przez administratora, ale nie wyraziły zgody na publikację ich danych w rozprawie doktorskiej w formie niezanonimizowanej.Link
1636WłochyGarante per la protezione dei dati personali (Garante)2022-12-156 000,00 €Gmina BraccianoArt.5 RODO, Art. 6 RODO, Art. 9 GDPR, Art. 2-ter Codice della privacy, Art. 2-septies (8) Codice della privacyWłoski organ ochrony danych nałożył na Comune die Bracciano karę w wysokości 6 000 euro. Były pracownik złożył skargę do organu ochrony danych w związku z faktem, że gmina opublikowała na swojej stronie internetowej dokument zawierający jego dane osobowe dotyczące zdrowia. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że gmina opublikowała te dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem.Link
1635WłochyGarante per la protezione dei dati personali (Garante)2022-12-158 000,00 €Gmina VicchioArt. 5 (1) a) RODO, Art. 6 RODO, Art. 9 (2), (4) RODOWłoski organ ochrony danych (Garante) nałożył na Comune di Vicchio karę w wysokości 8 tys. euro. Gmina przetwarzała dane biometryczne pracowników w celu rejestracji ich obecności. Garante stwierdził, że takie przetwarzanie nie było proporcjonalne i dlatego stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante ustaliła, że przetwarzanie danych biometrycznych odbyło się bez podstawy prawnej.Link
1634WłochyGarante per la protezione dei dati personali (Garante)2022-12-155 000,00 €Gmina BorgiaArt. 5 (1) a) RODO, Art. 6 RODO, Art. 9 (2), (4) RODO, Art. 37 (7) RODOWłoski organ ochrony danych (Garante) nałożył na Comune di Borgia karę w wysokości 5 tys. euro. Gmina przetwarzała dane biometryczne pracowników w celu rejestracji ich obecności. Garante stwierdził, że takie przetwarzanie nie było proporcjonalne i dlatego stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante ustaliła, że przetwarzanie danych biometrycznych odbywało się bez podstawy prawnej. Garante stwierdziła również, że gmina nie przekazała organowi ochrony danych danych danych kontaktowych swojego inspektora ochrony danych.Link
1633WłochyGarante per la protezione dei dati personali (Garante)2023-01-112 500,00 €Azienda Sanitaria Locale di BrindisiArt. 12 (3) RODO, Art. 15 RODOWłoski organ ochrony danych nałożył na Azienda Sanitaria Locale di Brindisi karę w wysokości 2500 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z brakiem odpowiedzi organu służby zdrowia na wniosek o dostęp do jej danych osobowych.Link
1632PolskaUrząd ochrony danych osobowych (UODO)2022-11-309 600,00 €PIONIER (kancelaria prawna)Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 9 RODOPolski organ ochrony danych nałożył na kancelarię PIONIER karę pieniężną w wysokości 9.600 euro. Kancelaria reprezentuje głównie poszkodowanych w wypadkach komunikacyjnych w postępowaniach przeciwko zakładom ubezpieczeń i innym podmiotom. W tym kontekście wspiera swoich klientów w roszczeniach o odszkodowanie, jak również w roszczeniach o zwrot kosztów leczenia. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że kancelaria przetwarzała dane osobowe, w tym dane dotyczące zdrowia, potencjalnych klientów bez ważnej podstawy prawnej. Kancelaria uzyskała dane osobowe potencjalnych klientów na podstawie informacji prasowych, a także doniesień z mediów społecznościowych. Dzięki temu mogła skontaktować się z potencjalnymi klientami i zaoferować im swoje usługi. Podczas wstępnej rozmowy poprosiła ich o ustną zgodę na przetwarzanie ich danych osobowych do momentu zawarcia umowy. Organ ochrony danych uznał jednak, że zgoda powinna była zostać udzielona w taki sposób, aby można było to udowodnić na późniejszym etapie (np. poprzez rejestr zgód).Link Link
1631WłochyGarante per la protezione dei dati personali (Garante)2022-11-1015 000,00 €Poliambulatorio Radiologico 'il Sorriso' S.r.l.Art. 5 RODO, Art. 13 RODO, Art. 37 RODOWłoski organ ochrony danych nałożył na Poliambulatorio Radiologico "il Sorriso" S.r.l. karę w wysokości 15 000 EUR. Pacjent złożył skargę do organu ochrony danych z powodu nieotrzymania wystarczających informacji dotyczących przetwarzania jego danych osobowych. Administrator danych nie przedstawił między innymi informacji na temat inspektora ochrony danych oraz rodzaju przetwarzanych danych. Organ ochrony danych stwierdził również, że administrator nie przekazał organowi ochrony danych danych danych kontaktowych.Link
1630WłochyGarante per la protezione dei dati personali (Garante)2022-10-2010 000,00 €Italian Archery Federation (FITARCO)Art. 5 (1) a), c) RODO, Art. 6 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-octies Codice della privacyWłoski organ ochrony danych (Garante) ukarał włoską federację łuczniczą (FITARCO) karą grzywny w wysokości 10 000 euro. Członek federacji złożył skargę do organu ochrony danych w związku z tym, że federacja bezprawnie opublikowała na swojej stronie internetowej dokumenty zawierające jego dane osobowe. Dokumenty te zawierały między innymi informacje kryminalne dotyczące osoby, której dane dotyczą.Link
1629WłochyGarante per la protezione dei dati personali (Garante)2022-10-20900,00 €Istituto di Istruzione Superiore G. Renda di Polistena, Reggio CalabriaArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył karę w wysokości 900 euro na instytucję edukacyjną "Istituto di Istruzione Superiore G. Renda di Polistena, Reggio Calabria". Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ dokument zawierający jego dane osobowe został bezprawnie opublikowany na stronie internetowej instytucji edukacyjnej. Dokument ten zawierał informacje o rozwiązaniu stosunku pracy.Link
1628HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-02-03600,00 €HOTEL VILLA SORO, S.L.Art. 13 RODOHiszpański organ ochrony danych nałożył karę na HOTEL VILLA SORO, S.L.. Administrator zainstalował system nadzoru wideo bez dostarczenia wymaganych informacji zgodnie z art. 13 RODO. Pierwotna grzywna w wysokości 1000 EUR została zmniejszona do 600 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1627HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-02-03500,00 €MIRACLE IBIZA S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na firmę MIRACLE IBIZA S.L. karę w wysokości 500 EUR. Administrator zainstalował system nadzoru wideo, który uchwycił drzwi wejściowe do mieszkania osoby fizycznej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych zgodnie z art. 5 (1) c) RODO.Link
1626WłochyGarante per la protezione dei dati personali (Garante)2022-12-153 000,00 €Scuola Statale Secondaria di I^ grado 'Bianco-Pascol'Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacyWłoski organ ochrony danych nałożył karę w wysokości 3.000 euro na szkołę "Scuola Statale Secondaria di I^ grado "Bianco-Pascoli", di Fasano (BR)". Instytucja edukacyjna opublikowała w elektronicznym rejestrze szkoły dokument zawierający dane osobowe dotyczące zdrowia niektórych uczniów. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że szkoła opublikowała te dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem. Ponadto szkoła nie odpowiedziała w terminie na wnioski o udzielenie informacji.Link
1625CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20227 500,00 €DW Dynamic Works LIMITEDArt. 32 RODOCypryjski organ ochrony danych nałożył na DW Dynamic Works LIMITED karę w wysokości 7 500 EUR. Administrator działał jako podmiot przetwarzający dane dla cypryjskiego Ministerstwa Obrony. Ministerstwo ucierpiało w wyniku cyberataku, który według organu ochrony danych był spowodowany m.in. brakiem środków technicznych i organizacyjnych ze strony Dynamic Works w celu ochrony danych osobowych.Link
1624CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20225 000,00 €Ministerstwo Obrony CypruArt. 24 RODO, Art. 32 RODOCypryjski organ ochrony danych nałożył na cypryjskie Ministerstwo Obrony karę w wysokości 5 tys. euro. Administrator danych ucierpiał w wyniku cyberataku, który według organu ochrony danych został spowodowany brakiem technicznych i organizacyjnych środków ochrony danych osobowych oraz brakiem nadzoru nad procesorem.Link
1623CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20225 000,00 €Cypryjski Urząd EnergetycznyArt. 5 (1) f) RODO, Art. 24 (1) RODO, Art. 32 RODOCypryjski organ ochrony danych nałożył karę w wysokości 5000 euro na Cypryjski Urząd Energetyczny. Osoba, której dane dotyczą złożyła skargę do organu w związku z wyciekiem jej danych osobowych do osoby trzeciej.
Jak się okazało w trakcie rozpatrywania skargi, administrator nie zapewnił, tak jak powinien, ochrony danych osobowych przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem. Nie podjął również, z wyprzedzeniem, odpowiednich środków, aby móc zapobiec lub wykryć domniemane naruszenie.
Link
1622CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra202217 000,00 €Bank of Cyprus Public Company Ltd.Art. 5 (1) f) RODO, Art. 24 (1) RODO, Art. 32 RODOCypryjski organ ochrony danych nałożył grzywnę w wysokości 17 000 EUR na Bank of Cyprus Public Company Ltd. W kontekście sprzedaży kredytów bank nieumyślnie przekazał nabywcy dane klientów, których kredyty nie zostały sprzedane. Incydenty dotyczyły około 11 673 rekordów i 5 500 osób. Organ ochrony danych stwierdził, że bank nie wdrożył wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1621CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20223 750,00 €PRINTAFORM Ltd.Art. 28 (3) RODO, Art. 32 (1) RODOCypryjski organ ochrony danych nałożył na firmę PRINTAFORM Ltd. grzywnę w wysokości 3.750 EUR. PRINTAFORM, która pracowała jako podmiot przetwarzający dane dla Universal Life Insurance Public Co Ltd. Doznała naruszenia ochrony danych, w którym dane osobowe klientów zostały omyłkowo ujawnione innym klientom. Według organu ochrony danych, naruszenie danych było spowodowane brakiem środków technicznych i organizacyjnych ze strony PRINTAFORM w celu ochrony danych osobowych.Link
1620CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20223 500,00 €Universal Life Insurance Public Co Ltd.Art. 24 (1) RODO, Art. 28 (1) RODOCypryjski organ ochrony danych nałożył grzywnę w wysokości 3.500 EUR na Universal Life Insurance Public Co Ltd. Podmiot przetwarzający administratora danych dopuścił się naruszenia ochrony danych, w wyniku którego dane osobowe klientów zostały omyłkowo ujawnione innym klientom. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator danych nie uregulował w umowie stosunków ze swoim podmiotem przetwarzającym. Organ ochrony danych stwierdził, że administrator danych zawarł umowę z przetwarzającym bez zapewnienia, że przetwarzający zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1619CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20225 000,00 €DW Dynamic Works LIMITEDArt. 32 RODOCypryjski organ ochrony danych nałożył na DW Dynamic Works LIMITED karę w wysokości 5 000 EUR. Administrator działał jako podmiot przetwarzający dla Hermes Airport Ltd.. Hermes doznał cyberataku, który według organu ochrony danych był spowodowany m.in. brakiem środków technicznych i organizacyjnych ze strony Dynamic Works w celu ochrony danych osobowych.Link
1618CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20226 000,00 €Hermes Airport Ltd.Art. 24 RODO, Art. 32 RODOCypryjski organ ochrony danych nałożył karę w wysokości 6 000 euro na Hermes Airport Ltd. Administrator danych ucierpiał w wyniku cyberataku, który według organu ochrony danych został spowodowany brakiem technicznych i organizacyjnych środków ochrony danych osobowych oraz brakiem nadzoru nad podmiotem przetwarzającym.Link
1617NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia-Anhalt20239 000,00 €Szpital Uniwersytecki w MagdeburguArt. 33 RODOOrgan ochrony danych w Sachsen-Anhalt nałożył na szpital uniwersytecki w Magdeburgu grzywnę w wysokości 9 000 euro. Klinika nie zgłosiła organowi ochrony danych naruszenia ochrony danych, polegającego na tym, że były pracownik bezprawnie udostępnił dane osobowe z systemów kliniki osobom trzecim.Link
1616WłochyGarante per la protezione dei dati personali (Garante)2022-11-106 000,00 €Conservatorio di Musica S. Cecilia di RomaArt. 5 RODO, Art. 6 RODO, Art. 38 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na "Conservatorio di Musica S. Cecilia di Roma" karę pieniężną w wysokości 6 000 EUR. Student tej instytucji edukacyjnej złożył skargę do organu ochrony danych, ponieważ został ukarany dyscyplinarnie za wypowiedź podczas zgromadzenia studentów. Zgromadzenie to, mimo że nie miało być, było nagrywane, a instytucja wykorzystała nagrania, aby oprzeć na nich postępowanie dyscyplinarne. W toku postępowania wyjaśniającego organ ochrony danych ustalił, że administrator nie miał ważnej podstawy prawnej do wykorzystania nagrań ze zgromadzenia, a zatem przetwarzanie danych osobowych studenta było niezgodne z prawem. Ponadto organ ochrony danych ustalił, że inspektor ochrony danych w instytucji edukacyjnej był jednocześnie dyrektorem tej instytucji. Organ ochrony danych uznał to za niezgodny z prawem konflikt interesów.Link
1615WłochyGarante per la protezione dei dati personali (Garante)2022-11-105 000,00 €Gmina Cisterna di LatinaArt. 5 RODO, Art. 12 RODO, Art. 37 RODOWłoski organ ochrony danych nałożył na gminę Cisterna di Latina grzywnę w wysokości 5 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ gmina nie odpowiedziała w terminie na jej wniosek o dostęp do jej danych osobowych. W trakcie dochodzenia organ ochrony danych ustalił, że gmina omyłkowo przesłała dane, o które wnioskowała osoba, której dane dotyczą, do strony trzeciej, a nie do osoby, której dane dotyczą. Ponadto organ ochrony danych stwierdził, że gmina nie wyznaczyła nowego inspektora ochrony danych kilka miesięcy po tym, jak pierwotnie wyznaczony inspektor ochrony danych złożył rezygnację.Link
1614WłochyGarante per la protezione dei dati personali (Garante)2022-10-209 000,00 €Azienda Ospedaliero-Universitaria Careggi di FirenzeArt. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODOWłoski organ ochrony danych nałożył na Azienda Ospedaliero-Universitaria Careggi di Firenze karę w wysokości 9 tys. euro. Administrator danych omyłkowo przesłał dokumentację medyczną pacjenta do niewłaściwego pacjenta. Organ ochrony danych stwierdził, że zakład opieki zdrowotnej nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych, co pozwoliło na zaistnienie takiego incydentu.Link
1613WłochyGarante per la protezione dei dati personali (Garante)2022-10-205 000,00 €Fondazione Teatro Regio di TorinoArt. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 2-septies (8) Codice della privacyWłoski organ ochrony danych nałożył na Fondazione Teatro Regio di Torino karę w wysokości 5 000 euro. Jeden z członków fundacji złożył skargę do organu ochrony danych w związku z tym, że fundacja opublikowała na swojej stronie internetowej dokument zawierający jego dane osobowe dotyczące zdrowia. W trakcie dochodzenia organ ochrony danych stwierdził, że fundacja opublikowała te dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem.Link
1612WłochyGarante per la protezione dei dati personali (Garante)2022-10-061 000,00 €Poste Italiane S.p.a.Art. 12 (3), (4) RODOWłoski organ ochrony danych (Garante) ukarał Poste Italiane S.p.a. karą pieniężną w wysokości 10 000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych.Link
1611WłochyGarante per la protezione dei dati personali (Garante)2022-10-063 000,00 €Associazione Rescue Drones Network ODVArt. 12 RODO, Art. 15 (3) RODOWłoski organ ochrony danych nałożył na Associazione Rescue Drones Network ODV karę w wysokości 3 tys. euro. Jeden z członków założycieli stowarzyszenia złożył skargę do organu ochrony danych. Członek dowiedział się o toczących się przeciwko niemu postępowaniach dyscyplinarnych, w związku z czym zamierzał wykorzystać do obrony dokumenty ze swojego konta e-mail. Administrator zablokował jednak dostęp do jego konta e-mail, uniemożliwiając mu dostęp do potrzebnych dokumentów. W związku z tym zwrócił się on do administratora o udzielenie mu dostępu do swojego konta e-mail. Administrator nie odpowiedział jednak na ten wniosek. Organ ochrony danych uznał to za naruszenie prawa osoby, której dane dotyczą, do informacji na podstawie art. 12 RODO i art. 15 (3) RODO.Link
1610WłochyGarante per la protezione dei dati personali (Garante)2022-11-241 000,00 €STS Di Prisinzano s.r.lArt. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych ukarał STS Di Prisinzano s.r.l grzywną w wysokości 1 000 EUR. Przedsiębiorstwo przetwarzało dane klienta w ramach usługi usuwania awarii, nie informując go w wystarczającym stopniu o przetwarzaniu jego danych osobowych.Link
1609HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-0224 000,00 €FACTOR ENERGÍA, S.A.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył karę na spółkę FACTOR ENERGÍA, S.A. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymywała wiadomości reklamowe od administratora danych, mimo że nie istniał między nimi żaden stosunek umowny. Zdaniem organu ochrony danych, administrator przetwarzał dane niezgodnie z prawem, przy braku ważnej podstawy prawnej. Pierwotna kara w wysokości 40 000 EUR została zmniejszona do 24 000 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności.Link
1608WłochyGarante per la protezione dei dati personali (Garante)2022-12-1555 000,00 €Azienda Universitaria Giuliano IsontinaArt. 5 (1) a) RODO, Art. 9 RODO, Art. 14 RODO, Art. 35 RODO, Art. 2-sexies Codice della privacyWłoski organ ochrony danych nałożył na Azienda Universitaria Friuli Isontina karę w wysokości 55 000 euro. Organ służby zdrowia stworzył profile pacjentów, wykorzystując algorytmy i osobiste dane pacjentów, aby wskazać ryzyko wystąpienia powikłań w przypadku zakażenia wirusem SARS-COV-2. Miało to na celu określenie w odpowiednim czasie odpowiednich ścieżek diagnostycznych i terapeutycznych w przypadku wystąpienia powikłań. Organ ochrony danych stwierdził jednak, że organ służby zdrowia nie miał ważnej podstawy prawnej do przetwarzania danych osobowych pacjentów w celu profilowania. Ponadto organ ochrony danych stwierdził, że organ służby zdrowia nie przeprowadził oceny skutków w zakresie ochrony danych. Przy obliczaniu grzywny organ ochrony danych wziął pod uwagę okoliczność obciążającą, jaką jest fakt, że naruszenie dotyczyło dużej liczby osób.Link Link
1607WłochyGarante per la protezione dei dati personali (Garante)2022-12-1555 000,00 €Azienda Universitaria Friuli CentraleArt. 5 (1) a) RODO, Art. 9 RODO, Art. 14 RODO, Art. 35 RODO, Art. 2-sexies Codice della privacyWłoski organ ochrony danych nałożył na Azienda Universitaria Friuli Centrale karę w wysokości 55 000 euro. Organ służby zdrowia stworzył profile pacjentów, wykorzystując algorytmy i osobiste dane pacjentów, aby wskazać ryzyko wystąpienia powikłań w przypadku zakażenia wirusem SARS-COV-2. Miało to na celu określenie w odpowiednim czasie odpowiednich ścieżek diagnostycznych i terapeutycznych w przypadku wystąpienia powikłań. Organ ochrony danych stwierdził jednak, że organ służby zdrowia nie miał ważnej podstawy prawnej do przetwarzania danych osobowych pacjentów w celu profilowania. Ponadto organ ochrony danych stwierdził, że organ służby zdrowia nie przeprowadził oceny skutków w zakresie ochrony danych. Przy obliczaniu grzywny organ ochrony danych wziął pod uwagę okoliczność obciążającą, jaką jest fakt, że naruszenie dotyczyło dużej liczby osób.Link Link
1606WłochyGarante per la protezione dei dati personali (Garante)2022-12-1555 000,00 €Azienda Universitaria Friuli OccidentaleArt. 5 (1) a) RODO, Art. 9 RODO, Art. 14 RODO, Art. 35 RODO, Art. 2-sexies Codice della privacyWłoski organ ochrony danych nałożył na Azienda Universitaria Friuli Occidentale karę w wysokości 55 000 euro. Organ służby zdrowia stworzył profile pacjentów, wykorzystując algorytmy i osobiste dane pacjentów, aby wskazać ryzyko wystąpienia powikłań w przypadku zakażenia wirusem SARS-COV-2. Miało to na celu określenie w odpowiednim czasie odpowiednich ścieżek diagnostycznych i terapeutycznych w przypadku wystąpienia powikłań. Organ ochrony danych stwierdził jednak, że organ służby zdrowia nie miał ważnej podstawy prawnej do przetwarzania danych osobowych pacjentów w celu profilowania. Ponadto organ ochrony danych stwierdził, że organ służby zdrowia nie przeprowadził oceny skutków w zakresie ochrony danych. Przy obliczaniu grzywny organ ochrony danych wziął pod uwagę okoliczność obciążającą, jaką jest fakt, że naruszenie dotyczyło dużej liczby osób.Link Link
1605RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2023-02-011 000,00 €Tensa Art Design SAArt. 21 (3) RODORumuński organ ochrony danych (AEPD) nałożył na Tensa Art Design SA karę w wysokości 1000 euro. Osoba, której dane dotyczą, sprzeciwiła się dalszej subskrypcji newslettera, jednak nadal otrzymywała reklamy od administratora danych.Link
1604HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-31600,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną karę pieniężną w wysokości 600 euro. Osoba ta zainstalowała w swoim domu kamerę monitoringu, która rejestrowała m.in. wspólne obszary osiedla mieszkaniowego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1603HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-31600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjnyLink
1602HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-31180,00 €NieznanyArt. 13 RODOHiszpański organ ochrony danych nałożył grzywnę na administratora danych. Administrator danych nie dostarczył informacji o monitoringu wideo w swoich pomieszczeniach. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności.Link
1601RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2023-01-311 000,00 €DentystaArt. 6 (1) a) RODO, Art. 9 (2) a) RODORumuński organ ochrony danych ukarał dentystę grzywną w wysokości 1 000 EUR. Administrator opublikował informacje medyczne pacjenta, takie jak zdjęcia i zdjęcia rentgenowskie, w artykule na blogu medycznym. Nie uzyskał jednak zgody pacjenta przed opublikowaniem danych medycznych. W związku z tym organ ochrony danych uznał, że administrator danych przetwarzał dane niezgodnie z prawem.Link
1600RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2023-01-311 000,00 €Dent Estet Clinic SAArt. 33 RODORumuński organ ochrony danych nałożył na Dent Estet Clinic SA (gabinet stomatologiczny) karę pieniężną w wysokości 1 000 EUR. Zatrudniony w tej praktyce dentysta opublikował informacje medyczne pacjenta, takie jak zdjęcia i zdjęcia rentgenowskie, w artykule na blogu medycznym. Przed opublikowaniem danych medycznych nie uzyskał jednak zgody pacjenta. Mimo że pacjent poinformował klinikę, ta nie powiadomiła organu ochrony danych o naruszeniu w odpowiednim czasie.Link
1599WłochyGarante per la protezione dei dati personali (Garante)2021-09-212 000,00 €Istituto Comprensivo - IC Cosenza III “V. Negroni”Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-septies (8) Codice della privacyWłoski organ ochrony danych nałożył grzywnę w wysokości 2 000 euro na Istituto Comprensivo - IC Cosenza III "V. Negroni". Instytucja edukacyjna opublikowała na platformie internetowej dla kadry nauczycielskiej dokument, który zawierał również osobiste dane zdrowotne niektórych nauczycieli. Dokument ten zawierał informacje na temat świadczeń związanych ze stanem zdrowia nauczycieli, którzy byli uprawnieni do takich świadczeń. W trakcie dochodzenia organ ochrony danych stwierdził, że szkoła opublikowała dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem.Link
1598HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-253 000,00 €CASAL DE L'ESPLUGA DE FRANCOLÍArt. 6 (1) RODOHiszpański organ ochrony danych nałożył karę na CASAL DE L'ESPLUGA DE FRANCOLÍ. Klub zarządzany przez administratora umieścił na mediach społecznościowych zdjęcia z zawodów, na których widać było osoby niepełnoletnie. Matka dziecka złożyła skargę, ponieważ nie wyraziła zgody na publikację zdjęć. Organ ochrony danych stwierdził zatem, że administrator, z braku ważnej podstawy prawnej, bezprawnie przetwarzał te zdjęcia. Pierwotna grzywna w wysokości 5000 EUR została zmniejszona do 3000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1597HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-25180,00 €NieznanyArt. 13 RODOHiszpański organ ochrony danych nałożył grzywnę na administratora danych. Administrator danych nie dostarczył informacji na temat nadzoru wideo w jego siedzibie. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności.Link
1596HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-27300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną karę w wysokości 300 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. nagrywały posesję sąsiada i przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1595ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-12-082 654,00 €SprzedawcaArt. 27 (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 2 654 EUR. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.Link
1594ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-12-082 654,00 €Producent biżuteriiArt. 27 (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył na producenta biżuterii karę w wysokości 2 654 EUR. Administrator zainstalował w swojej siedzibie system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.Link
1593ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-12-071 991,00 €Targ rybnyArt. 27 (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył na targ rybny grzywnę w wysokości 1 991 EUR. Administrator zainstalował w swoim lokalu system nadzoru wideo, jednak organ ochrony danych stwierdził, że informacja o nadzorze wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.Link
1592ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-12-072 654,00 €SprzedawcaArt. 27 (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 2 654 EUR. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.Link
1591ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-12-061 991,00 €SprzedawcaArt. 27 (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 1 991 EUR. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.Link
1590ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-12-063 185,00 €SprzedawcaArt. 27 (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (Chorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 3 185 EUR. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że informacja o monitoringu wideo nie zawierała wszystkich istotnych danych. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.) nałożył na sprzedawcę detalicznego karę w wysokości 3 583 EUR. Administrator zainstalował w swojej siedzibie system monitoringu wizyjnego, jednak organ ochrony danych stwierdził, że administrator nie poinformował osób, których dane dotyczą, o tym, że będą one nagrywane przez telewizję przemysłową. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (1) chorwackiej ustawy o wdrożeniu RODO.Link
1589ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-12-053 583,00 €SprzedawcaArt. 27 (1) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył na sprzedawcę detalicznego karę w wysokości 3 583 EUR. Administrator zainstalował w swojej siedzibie system monitoringu wizyjnego, jednak organ ochrony danych stwierdził, że administrator nie poinformował osób, których dane dotyczą, o tym, że będą one nagrywane przez telewizję przemysłową. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (1) chorwackiej ustawy o wdrożeniu RODO.Link
1588ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-12-051 991,00 €Miejsce dokonywania zakładówArt. 27 (1), (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył na zakład bukmacherski grzywnę w wysokości 1 991 EUR. Administrator zainstalował w swoim lokalu system nadzoru wideo, jednak organ ochrony danych stwierdził, że zawiadomienie o nadzorze wideo nie było widoczne dla osób, których dane dotyczą, wchodzących w obręb wideo. Ponadto informacja o monitoringu wizyjnym nie zawierała wszystkich istotnych informacji na temat monitoringu wizyjnego. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (1) i (2) chorwackiej ustawy o wdrożeniu RODO.Link
1587ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-11-251 991,00 €Miejsce dokonywania zakładówArt. 27 (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył na zakład bukmacherski grzywnę w wysokości 1 991 euro. Administrator zainstalował w swoim lokalu system monitoringu wideo, jednak organ ochrony danych stwierdził, że zawiadomienie o monitoringu wideo nie zawierało wszystkich istotnych informacji. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.Link
1586ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-11-251 991,00 €Przedsiębiorstwo w branży hotelarskiejArt. 27 (2) chorwackiej ustawy o wdrożeniu RODOChorwacki organ ochrony danych (azop) nałożył karę w wysokości 1 991 EUR na firmę z branży hotelarskiej. Administrator zainstalował w swoich pomieszczeniach system monitoringu wideo, jednak organ ochrony danych stwierdził, że zawiadomienie o monitoringu wideo nie zawierało wszystkich istotnych informacji. Organ ochrony danych stwierdził zatem, że administrator naruszył art. 27 (2) chorwackiej ustawy o wdrożeniu RODO.Link
1585HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-282 000,00 €Wspólnota mieszkaniowaArt. 6 (1) RODO, Art. 15 RODOHiszpański organ ochrony danych nałożył na wspólnotę mieszkaniową grzywnę w wysokości 2 tys. euro. Osoba fizyczna, która wykonywała prace porządkowe w kompleksie mieszkalnym, złożyła skargę do organu ochrony danych, ponieważ członkowie wspólnoty dodali ją do grupy WhatsApp bez jej zgody. Osoba, której dane dotyczyły, została poproszona o przesłanie zdjęć wykonanych prac porządkowych w celach dokumentacyjnych. Organ ochrony danych stwierdził, że dodanie ich numeru telefonu do grupy WhatsApp bez ich zgody naruszało art. 6 RODO, a zatem było niezgodne z prawem. Organ ochrony danych stwierdził również, że administrator nie spełnił wniosku osoby, której dane dotyczą, o dostęp do danych osobowych w odpowiednim czasie, naruszając tym samym art. 15 RODO.Link
1584HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-28100 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. grzywnę w wysokości 100,00 EUR za przetwarzanie danych bez wystarczającej podstawy prawnej. Osoba, której dane dotyczą, oświadczyła, że numer prepaid, za który pobierano opłaty, został zarejestrowany na jej nazwisko. Jednakże osoba, której dane dotyczą, nigdy nie zawarła z przedsiębiorstwem umowy dotyczącej tego numeru. Przedmiotowa umowa została raczej zawarta przez oszustów przy użyciu danych osobowych osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowa została zawarta zgodnie z prawem i rzeczywiście przez osobę, której dane dotyczą.Link
1583FinlandiaTietosuojavaltuutetun Toimisto2022-12-27122 000,00 €PrzedsiębiorstwoArt. 9 RODOFiński organ ochrony danych nałożył grzywnę w wysokości 122 000 EUR na firmę posiadającą produkty, które przetwarzają dane dotyczące zdrowia, takie jak rytm serca itp. Organ ochrony danych otrzymał kilka skarg dotyczących przetwarzania danych zdrowotnych od osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo nie posiadało wystarczającej podstawy prawnej do przetwarzania różnych rodzajów danych dotyczących zdrowia. Chociaż przedsiębiorstwo poinformowało użytkowników produktów o przetwarzaniu danych osobowych dotyczących zdrowia w ogólności, nie dostarczyło informacji dla każdego z różnych rodzajów danych dotyczących zdrowia (np. wskaźnik masy ciała lub pojemność tlenowa), takich jak cel przetwarzania. W związku z tym organ ochrony danych stwierdził, że zgoda użytkowników nie może być ważna, ponieważ nie została udzielona w sposób indywidualny i z pełną świadomością faktów.Link Link
1582HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-182 000,00 €Prywatny detektywArt. 13 RODOHiszpański organ ochrony danych ukarał prywatnego detektywa grzywną w wysokości 2 tys. euro. Osoba fizyczna, która wynajęła detektywa, złożyła skargę do organu ochrony danych. Stwierdziła, że administrator nie poinformował jej w wystarczającym stopniu o przetwarzaniu jej danych osobowych prowadzonym w ramach dochodzenia. Ponadto organ ochrony danych stwierdził, że administrator na swojej stronie internetowej posiadał formularz kontaktowy bez odniesienia do polityki prywatności.Link
1581HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-20360,00 €TECNO MOTOR LA MUELA, S.L.LArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na TECNO MOTOR LA MUELA, S.L.L.. Administrator miał zainstalowane kamery monitoringu wizyjnego, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował należycie o monitoringu wizyjnym, a tym samym naruszył obowiązek informacyjny wynikający z art. 13 RODO. Pierwotna grzywna w wysokości 600 EUR została zmniejszona do 360 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1580HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-20300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Administrator miał zainstalowane kamery monitoringu wizyjnego, które m.in. obserwowały posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1579SzwecjaDatainspektionen2023-01-1717 900,00 €Region DalarnaArt. 32 (1) RODOSzwedzki organ ochrony danych nałożył na region Dalarna karę w wysokości 17 900 euro. Region ten wysyłał zaproszenia na wizyty pacjentów, na których w okienku koperty widoczna była odpowiednia placówka służby zdrowia, np. szpital dziecięcy. Organ ochrony danych stwierdził, że taka widoczność umożliwiała osobom nieuprawnionym uzyskanie dostępu do danych osobowych pacjentów. Organ ochrony danych stwierdził, że region nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link Link
1578IrlandiaData Protection Commission (DPC)2023-01-195 500 000,00 €WhatsApp Ireland Ltd.Art. 6 (1) RODO, Art. 12 RODO, Art. 13 (1) c) RODO.Irlandzki organ ochrony danych (DPC) ukarał WhatsApp Ireland Ltd. 5,5 mln euro. Austriacka organizacja "None of Your Business" (NOYB) złożyła skargę do organu ochrony danych w imieniu osoby fizycznej. WhatsApp zaktualizował swoje warunki świadczenia usług na krótko przed wejściem w życie RODO. W nim WhatsApp poinformował swoich użytkowników, aby kliknęli "Zgadzam się i kontynuuj", aby zaznaczyć swoją zgodę na nowe warunki świadczenia usług. Było to wymagane do dalszego dostępu do usługi przesyłania wiadomości. WhatsApp zakładał, że zgoda na zaktualizowane warunki korzystania z usługi stanowiła umowę między WhatsApp Ireland a użytkownikiem, ponieważ przetwarzanie danych będzie niezbędne do świadczenia, jak również ulepszania usługi przesyłania wiadomości. Przetwarzanie danych było zatem zgodne z prawem zgodnie z art. 6 (1) b) RODO. Skarżący argumentował jednak, że WhatsApp w rzeczywistości próbował oprzeć się na zgodzie jako legalnej podstawie przetwarzania danych użytkowników. Uzależniając dostęp do swoich usług od zgody użytkowników na zaktualizowane warunki świadczenia usług, WhatsApp Ireland w rzeczywistości zmuszał użytkowników do wyrażenia zgody na przetwarzanie ich danych osobowych. Po przeprowadzeniu dochodzenia DPC przedłożył projekt decyzji na podstawie art. 60 RODO do innych zainteresowanych europejskich organów nadzorczych. DPC stwierdził, że WhatsApp nie opierał się na zgodzie użytkownika jako podstawie prawnej, więc nie dostrzegł w tym przypadku "wymuszonej zgody". Nie wykluczył również możliwości, że WhatsApp opierał się na podstawie umownej. W odpowiedzi, DPC otrzymała zastrzeżenia od 6 organów nadzorczych.Stwierdziła jednak, że Meta naruszyła swoje obowiązki w zakresie przejrzystości wynikające z RODO. Organ ochrony danych stwierdził, że Meta nie wyjaśniła wyraźnie użytkownikom, w jakim celu i na jakiej podstawie prawnej przetwarzane są ich dane osobowe. Ponieważ nie udało się osiągnąć porozumienia w spornych kwestiach, DPC wszczęła procedurę rozstrzygania sporów zgodnie z art. 65 RODO. W swojej decyzji EROD potwierdził naruszenie przez WhatsApp obowiązków w zakresie przejrzystości. EROD zajął jednak inne stanowisko niż DPC w kwestii podstawy prawnej i stwierdził, że WhatsApp nie był uprawniony do powoływania się na umowną podstawę prawną. EROD uznał zatem, że WhatsApp naruszył art. 6 (1) RODO. DPC zgodził się w swojej ostatecznej decyzji i nałożył grzywnę, a także zobowiązał WhatsApp do doprowadzenia przetwarzania danych do zgodności z przepisami w ciągu 6 miesięcy.
Link Link
1577RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2023-01-181 000,00 €Dante Internațional SAArt. 17 RODORumuński organ ochrony danych nałożył na Dante Internațional SA grzywnę w wysokości 1.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora ze względu na fakt, że administrator nadal wysyłał jej reklamy, mimo że zażądała ona usunięcia swoich danych.Link
1576HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-1640 000,00 €Thomas International Systems, S.A.Art. 9 RODOHiszpański organ ochrony danych nałożył grzywnę na firmę Thomas International Systems, S.A.. Thomas International wykonuje testy psychologiczne na zlecenie innych firm. Thomas International przeprowadził taki test na zlecenie spółki Agroxarxa, S.L.. Uczestnik takiego testu złożył skargę na administratora, ponieważ musiał podać wrażliwe dane osobowe (pochodzenie etniczne, niepełnosprawność). Agroxarxa wskazała jednak, że w ramach testu nie żądano i nie przetwarzano takich wrażliwych danych. W trakcie dochodzenia organ ochrony danych stwierdził, że spółka Thomas International przetwarzała jednak wrażliwe dane osobowe bez zgody osoby, której dane dotyczą, lub gdy przetwarzanie było niezbędne do realizacji celu określonego w umowie między Agroxarxą a Thomas International. Organ ochrony danych uznał to za naruszenie art. 9 RODO. Pierwotna grzywna w wysokości 50 000 EUR została zmniejszona do 40 000 EUR ze względu na dobrowolną zapłatę.Link
1575WłochyGarante per la protezione dei dati personali (Garante)2022-12-0120 000,00 €Amazon Italia Logistica s.r.l.Art. 12 RODO, Art. 15 RODOWłoski organ ochrony danych ukarał Amazon Italia Logistica s.r.l. grzywną w wysokości 20 000 EUR. Były pracownik zażądał od administratora danych dokumentów, których jednak nie otrzymał na czas. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wywiązał się w wystarczającym stopniu z obowiązku spełnienia wniosku o dostęp złożonego przez osobę, której dane dotyczą.Link
1574WłochyGarante per la protezione dei dati personali (Garante)2022-12-016 000,00 €A.R.N.A.S. CivicoArt. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-septies (8) Codice della privacyWłoski organ ochrony danych nałożył na A.R.N.A.S. Civico grzywnę w wysokości 6 tys. euro. Dwóch pracowników administratora złożyło skargę do organu ochrony danych. W trakcie dochodzenia organ ochrony danych ustalił, że administrator opublikował w Internecie dwa dokumenty zawierające dane osobowe dotyczące zdrowia osób, których dane dotyczą, bez ich zgody, udostępniając je tym samym publicznie.Link
1573WłochyGarante per la protezione dei dati personali (Garante)2022-12-013 000,00 €Właściciel sklepu (Woolen)Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacyWłoski organ ochrony danych ukarał właściciela sklepu "Woolen" grzywną w wysokości 3 tys. euro . Administrator obsługiwał kamery nadzoru wideo w swoim lokalu bez wymaganej autoryzacji. Ponadto organ ochrony danych stwierdził, że brakowało znaków informacyjnych dotyczących przetwarzania danych osobowych przez kamery.Link
1572HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-1656 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat jej karty SIM nieuprawnionej, nieuczciwej stronie trzeciej bez zgody osoby, której dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pozwoliło to oszustom na uzyskanie dostępu do konta bankowego osoby, której dane dotyczą, i dokonanie nieautoryzowanych transakcji. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę.Link
1571HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-16600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i sąsiednie nieruchomości. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1570PolskaUrząd ochrony danych osobowych (UODO)Nieznana960,00 €PrzedsiębiorcaArt. 58 RODOPolski organ ochrony danych (UODO) ukarał grzywną 960 EUR administratora danych za nieprzekazanie informacji żądanych przez organ ochrony danych podczas dochodzenia. Administrator całkowicie ignorował kierowaną do niego przez UODO korespondencję.Link
1569PolskaUrząd ochrony danych osobowych (UODO)2022-08-306 800,00 €TIMSHEL Sp. z o.o.Art. 58 (1) e) RODOUODO nałożył na TIMSHEL Sp. z o.o. karę pieniężną w wysokości 6.800 EUR za nieudzielenie informacji wymaganych przez organ ochrony danych podczas dochodzenia.Link Link
1568PolskaUrząd ochrony danych osobowych (UODO)2022-03-23490,00 €NieznanyArt. 31 RODO, Art. 58 (1) e) RODOPolski organ ochrony danych (UODO) ukarał grzywną w wysokości 490 EUR administratora danych za nieprzekazanie informacji żądanych przez organ ochrony danych w trakcie postępowania wyjaśniającego.Link Link
1567PolskaUrząd ochrony danych osobowych (UODO)2022-08-311 450,00 €NieznanyArt. 31 RODO, Art. 58 (1) a), e) RODOPolski organ ochrony danych (UODO) ukarał grzywną 1 450 EUR administratora danych za nieprzekazanie informacji żądanych przez organ ochrony danych podczas dochodzenia.Link Link
1566GrecjaHellenic Data Protection Authority (HDPA)2023-01-1350 000,00 €Intellexa SAArt. 31 RODOGrecki organ ochrony danych nałożył na Intellexa SA grzywnę w wysokości 50 tys. euro. Administrator nie współpracował należycie z organem ochrony danych podczas dochodzenia.Link
1565FinlandiaTietosuojavaltuutetun Toimisto2022-12-13750 000,00 €Alektum OyArt. 12 (3) RODO, Art. 15 (1), (3) RODOFiński organ ochrony danych nałożył na firmę windykacyjną Alektum Oy karę pieniężną w wysokości 750 000 euro. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi danych po tym, jak trzy osoby złożyły na niego skargi. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie odpowiedział w ogóle lub w niewystarczającym stopniu na wnioski osób, których dane dotyczą, dotyczące ich praw do ochrony danych. Organ ochrony danych stwierdził również, że administrator nie współpracował w wystarczającym stopniu z organem ochrony danych.Link Link
1564IrlandiaData Protection Commission (DPC)2022-12-22100 000,00 €VIEC LimitedArt. 5 (1) f) RODO, Art. 32 (1) RODOIrlandzki organ ochrony danych nałożył karę w wysokości 100 000 EUR na operatora domu opieki VIEC Limited. Administrator danych powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Administrator ucierpiał w wyniku ataku phishingowego, w którym nieupoważniona osoba trzecia uzyskała dostęp do konta poczty elektronicznej kierownika VIEC. W rezultacie nieznana osoba trzecia zdołała również uzyskać dostęp do danych osobowych, takich jak dane zdrowotne i biometryczne mieszkańców domu. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Organ ochrony danych stwierdził również, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link Link
1563LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2023-01-096 000,00 €Praktiškas UABArt. 5 (1) a) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 (1), (3) RODO, Art. 35 (1), (3) RODOLitewski organ ochrony danych nałożył na spółkę Praktiškas UAB, operatora klubów sportowych SportGates, karę w wysokości 6 000 EUR. Administrator przetwarzał dane biometryczne klientów w kontekście ich dostępu do obiektów sportowych. W trakcie dochodzenia organ ochrony danych stwierdził, że zgody klientów na przetwarzanie ich danych biometrycznych nie można uznać za dobrowolną. Wynikało to z faktu, że administrator danych nie oferował podania żadnego innego rodzaju informacji w celu uzyskania dostępu do klubów sportowych. Nie przedstawił też osobom, których dane dotyczą, informacji o możliwych alternatywach dostępu do klubu sportowego. Ponadto organ ochrony danych stwierdził, że administrator nie udzielił osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania ich osobistych danych biometrycznych. Administrator nie przeprowadził również oceny skutków dla ochrony danych przed przetwarzaniem danych osobowych.Link
1562WłochyGarante per la protezione dei dati personali (Garante)2022-12-016 000,00 €Właściciel sklepu (Joy Unique Collection)Art. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacyWłoski organ ochrony danych ukarał właściciela sklepu "Joy Unique Collection" grzywną w wysokości 6 tys. euro . Administrator obsługiwał kamery nadzoru wideo w swoim lokalu bez wymaganego zezwolenia. Ponadto organ ochrony danych stwierdził, że brakowało znaków informacyjnych dotyczących przetwarzania danych osobowych przez kamery.Link
1561HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-2924 000,00 €SUMINISTRADOR IBÉRICO DE ENERGÍA, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył karę na SUMINISTRADOR IBÉRICO DE ENERGÍA, S.L.. Klient złożył skargę do organu ochrony danych w związku z tym, że administrator przeprowadził zmianę dostawcy energii elektrycznej i gazu bez uprzedniego uzyskania jego zgody. Pierwotna grzywna w wysokości 30.000 EUR została zmniejszona do 24.000 EUR dzięki dobrowolnej wpłacie.Link
1560HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-28300,00 €Właściciel sklepuArt. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu karą 300 euro za brak znaków informacyjnych o monitoringu wizyjnym w jego lokalu.Link
1559HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-28600,00 €Wspólnota mieszkaniowaArt. 6 (1) e) RODO, Art. 13 RODOHiszpański organ ochrony danych ukarał stowarzyszenie właścicieli domów karą 600 euro. Administrator danych zainstalował na terenie osiedla nieautoryzowany system monitoringu wizyjnego. Ponadto organ ochrony danych stwierdził, że administrator nie przedstawił wystarczających informacji na temat przetwarzania danych przez monitoring wizyjny.Link
1558HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-09300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 300 EUR. Osoba ta zainstalowała na swojej posesji kamery nadzoru wideo, które obejmowały m.in. sąsiednią posesję. AEPD uznał, że tak rozległy nadzór wideo stanowił naruszenie zasady minimalizacji danych.Link
1557HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-10300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 300 EUR. Osoba ta zainstalowała na swojej posesji kamery nadzoru wideo, które obejmowały m.in. sąsiednią posesję. AEPD uznał, że tak rozległy nadzór wideo stanowił naruszenie zasady minimalizacji danych.Link
1556HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-10120,00 €Wspólnota mieszkaniowaArt. 13 RODOHiszpański organ ochrony danych nałożył karę pieniężną na wspólnotę mieszkaniową za niedostarczenie wystarczających informacji na temat nadzoru wideo w dzielnicy mieszkalnej. Pierwotna grzywna w wysokości 150 euro została zmniejszona do 120 euro ze względu na dobrowolną zapłatę.Link
1555HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-123 000,00 €SERVICIOS INTEGRALES DEL HOGAR TENERIFE, S.L. Art. 6 (1) RODOHiszpański organ ochrony danych nałożył karę na firmę SERVICIOS INTEGRALES DEL HOGAR TENERIFE, S.L.. Były pracownik złożył skargę do organu ochrony danych w związku z nieuprawnionym ujawnieniem przez administratora jego danych osobowych za pośrednictwem aplikacji Whatsapp po jego odejściu z firmy. Pierwotna grzywna w wysokości 5 000 EUR została zmniejszona do 3 000 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności.Link
1554HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-131 000,00 €EDITORIAL RIBADEO S.L.Art. 58 (2) RODOHiszpański organ ochrony danych nałożył na EDITORIAL RIBADEO S.L. grzywnę w wysokości 1 000 EUR za niezastosowanie się do nakazu wydanego przez organ ochrony danych.Link
1553WłochyGarante per la protezione dei dati personali (Garante)2022-11-1010 000,00 €I-Model s.r.l.Art. 6 (1) RODO, Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na I-Model s.r.l. karę pieniężną w wysokości 10 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora ze względu na fakt, że administrator nadal wysyłał jej reklamy SMS, pomimo tego, że zażądała ona usunięcia swoich danych, a administrator potwierdził ich usunięcie.Link
1552RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2023-01-122 000,00 €BRISTOL LOGISTICS SAArt. 32 (1) b) RODO, Art. 32 (2) RODORumuński organ ochrony danych nałożył na BRISTOL LOGISTICS SA karę pieniężną w wysokości 10 000 EUR. Organ ochrony danych otrzymał od BRISTOL LOGISTICS SA zawiadomienie o naruszeniu danych osobowych na podstawie art. 33 RODO. W zgłoszeniu stwierdzono, że skradziono segregator zawierający akta osobowe 12 pracowników, co doprowadziło do uzyskania dostępu do danych osobowych przez osoby nieupoważnione. Organ ochrony danych uznał to za naruszenie art. 32 RODO, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony współmiernego do ryzyka.Link
1551HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-293 000,00 €ADENET SYSTEMS, S.L.Art. 58 (1) RODONieprzekazanie wymaganych informacji do hiszpańskiego organu ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 58 RODO.Link
1550HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-28600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1549HiszpaniaAgencia Española de Protección de Datos (AEPD)2023-01-033 000,00 €Związek Zawodowy Pracowników Transportu w AragoniiArt. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych ukarał Związek Pracowników Transportu w Aragonii grzywną w wysokości 3 tys. euro. Związek opublikował na różnych portalach społecznościowych dokument zawierający dane osobowe (nazwisko, imię i numer dowodu osobistego) członków komitetu strajkowego. Podczas dochodzenia organ ochrony danych stwierdził, że do incydentu mogło dojść z powodu niewdrożenia przez związek wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1548HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-28400,00 €MAE WEST SYSTEMS, S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał MAE WEST SYSTEMS, S.L. karą pieniężną w wysokości 400 EUR. Administrator zainstalował monitoring wideo w prowadzonym przez siebie barze, nie dostarczając wystarczających informacji na temat monitoringu wideo.Link
1547HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-28300,00 €Wspólnota mieszkaniowaArt. 13 RODOHiszpański organ ochrony danych nałożył na wspólnotę mieszkaniową karę w wysokości 300 euro za brak wystarczających informacji na temat monitoringu wizyjnego w dzielnicy mieszkalnej.Link
1546RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2023-01-043 000,00 €Apă Canal Ilfov SAArt. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 32 (4) RODORumuński organ ochrony danych nałożył na Apă Canal Ilfov SA karę w wysokości 3 tys. euro. Administrator wysłał wiadomość e-mail z danymi osobowymi do kilku odbiorców na otwartej liście dystrybucyjnej. Dzięki temu odbiorcy mogli zapoznać się z adresami e-mail wszystkich pozostałych odbiorców.Link
1545RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2023-01-03500,00 €Wspólnota mieszkaniowaArt. 5 (1) e) RODORumuński organ ochrony danych nałożył na wspólnotę mieszkaniową karę pieniężną w wysokości 500 EUR. Administrator opublikował publicznie listę zawierającą imiona i nazwiska wszystkich członków wspólnoty.Link
1544WłochyGarante per la protezione dei dati personali (Garante)2022-11-105 000,00 €Gmina Cisterna di LatinaArt. 5 RODO, Art. 12 RODO, Art. 37 RODOWłoski organ ochrony danych nałożył na gminę Cisterna di Latina grzywnę w wysokości 5 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych. Osoba ta złożyła wniosek do gminy o dostęp do swoich danych osobowych. Z powodu błędu dane te nie zostały ujawnione osobie, której dotyczą, lecz osobie trzeciej. Z tego powodu osoba, której dane dotyczą, nie otrzymała odpowiedzi na swój wniosek. Ponadto organ ochrony danych stwierdził, że gmina nie wyznaczyła inspektora ochrony danych.Link
1543IrlandiaData Protection Commission (DPC)2023-01-04390 000 000,00 €Meta Platforms Ireland LimitedArt. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 12 RODO, Art. 13 (1) c) RODO.Irlandzki organ ochrony danych (DPC) nałożył na Meta Platforms Ireland Limited karę w wysokości 390 mln euro. Organ ochrony danych nałożył karę w wysokości 210 mln EUR za naruszenia związane ze świadczeniem usługi na Facebooku oraz 180 mln EUR za naruszenia związane ze świadczeniem usługi na Instagramie. Austriacka organizacja "None of Your Business" (NOYB) złożyła skargę do organu ochrony danych w imieniu dwóch osób. Skargi dotyczyły zaktualizowanych warunków świadczenia usług przez Metę. W tej aktualizacji Meta zmieniła podstawę prawną przetwarzania danych osobowych w kontekście reklamy behawioralnej i innych spersonalizowanych usług. Opierając wcześniej przetwarzanie danych na zgodzie użytkownika, Meta oparła się teraz na swoim regulaminie, który obejmował również przetwarzanie danych osobowych dla celów reklamy spersonalizowanej. Użytkownicy powinni, aby nadal mieć dostęp do usług meta na Facebooku i Instagramie, zaakceptować zaktualizowany regulamin. Początkowo organ ochrony danych uznał, że Meta naruszyła obowiązki w zakresie przejrzystości wynikające z RODO. Organ ochrony danych stwierdził, że Meta nie przedstawiła użytkownikom jasno, w jakim celu i na jakiej podstawie prawnej przetwarzane są ich dane osobowe. Ponadto organ ochrony danych stwierdził, że Meta nie mogła powoływać się na warunki umowne uzgodnione z użytkownikami jako na podstawę prawną przetwarzania danych w celu prowadzenia reklamy behawioralnej. Organ ochrony danych stwierdził, że użytkownicy byliby zmuszani do akceptacji warunków, ponieważ w przeciwnym razie nie mogliby korzystać z usług. W tym kontekście organ ochrony danych stwierdził, że użytkownicy muszą mieć możliwość wyraźnego wyrażenia zgody lub sprzeciwu wobec przetwarzania ich danych dla celów reklamy spersonalizowanej za pomocą opcji tak/nie. Oprócz nałożenia grzywien, organ ochrony danych nakazał również Mecie dostosowanie swoich operacji przetwarzania danych do RODO w ciągu trzech miesięcy.Link
1542WłochyGarante per la protezione dei dati personali (Garante)2022-11-1020 000,00 €SportitaliaArt. 5 (1) a) RODO, Art. 9 RODO, Art. 13 RODO, Art. 30 (1) c) RODOWłoski organ ochrony danych (Garante) nałożył na spółkę Sportitalia grzywnę w wysokości 20 tys. euro. Administrator danych przetwarzał dane biometryczne (odciski palców) pracowników w celu rejestracji ich obecności. Garante stwierdził, że tak rozległe przetwarzanie nie było proporcjonalne i dlatego stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Ponadto Garante ustaliła, że przetwarzanie danych biometrycznych odbywało się bez dostatecznego poinformowania osób, których dane dotyczą, o tym przetwarzaniu.Link Link
1541WłochyGarante per la protezione dei dati personali (Garante)2022-11-241 000 000,00 €Areti spaArt. 5 (1) d), e) RODO, Art. 5 (2) RODO, Art. 12 RODO, Art. 15 RODO, Art. 24 RODOWłoski organ ochrony danych ukarał dostawcę energii elektrycznej Areti spa grzywną w wysokości 1 mln euro. Klient złożył skargę do organu ochrony danych, ponieważ Areti zaklasyfikowała go jako klienta zalegającego z płatnościami, co uniemożliwiło mu zmianę dostawcy energii elektrycznej. Wynikało to z faktu, że nieaktualne dane w bazach danych Areti nie zostały zaktualizowane w wyniku rozbieżności w wewnętrznych systemach przedsiębiorstwa. Incydent ten dotknął około 47 000 klientów. Dochodzenie organów ochrony danych wykazało również, że Areti przechowywała dane przez nieodpowiedni czas. Ponadto Areti nie odpowiedziała właściwie na wnioski o wykonanie praw osób, których dane dotyczą.Link Link
1540RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-12-273 000,00 €Kaufland Romania SCSArt. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODORumuński organ ochrony danych nałożył na Kaufland Romania SCS grzywnę w wysokości 3 000 EUR. Administrator zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Pracownik zrobił zdjęcia nagrań z monitoringu wizyjnego za pomocą swojego telefonu komórkowego i przekazał je stronie trzeciej. Strona trzecia opublikowała następnie na stronie internetowej lokalnej gazety zdjęcia, na których można było zidentyfikować dwie osoby i tablicę rejestracyjną. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1539RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-12-2210 000,00 €SUDREZIDENȚIAL Broker S.R.L.Art. 32 (4) RODORumuński organ ochrony danych nałożył na SUDREZIDENȚIAL Broker S.R.L. grzywnę w wysokości 10 000 EUR. Pracownik administratora danych nieuprawnienie opublikował w Internecie arkusz kalkulacyjny Excel zawierający dane osobowe, takie jak imię, nazwisko, numer telefonu, numer identyfikacyjny, adres e-mail, dane bankowe itp. 509 klientów administratora danych. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1538WłochyGarante per la protezione dei dati personali (Garante)2022-11-104 000,00 €Gmina Villafranca di VeronaArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych (Garante) nałożył na gminę Villafranca di Verona grzywnę w wysokości 4.000 euro. Gmina ta opublikowała na swojej stronie internetowej dokument zawierający dane osobowe pracownika.Link
1537WłochyGarante per la protezione dei dati personali (Garante)2022-12-01100 000,00 €Region LazioArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 113 Codice della privacy, Art. 114 Codice della privacyWłoski organ ochrony danych ukarał Region Lazio grzywną w wysokości 100 000 euro. Związek zawodowy złożył skargę do organu ochrony danych, zarzucając regionowi monitorowanie kont poczty elektronicznej pracowników działu prawnego regionu. Region rozpoczął taki monitoring w związku z podejrzeniem możliwego ujawnienia osobom trzecim informacji chronionych tajemnicą służbową. Region przechowywał i analizował dane pracowników przez 180 dni. Dane te zawierały nie tylko informacje związane z pracą, ale również dane osobowe osób, których dane dotyczą, dotyczące ich sfery prywatnej. W trakcie dochodzenia organ ochrony danych stwierdził, że ówczesny Region nie posiadał ważnej podstawy prawnej do gromadzenia danych osobowych na tak dużą skalę.Link Link
1536HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-203 000,00 €Osoba fizycznaArt. 6 (1) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 3.000 euro. Osoba fizyczna zamieściła w Internecie filmy wideo przedstawiające nauczycieli i nieletnich uczniów podczas zajęć wychowania fizycznego, aby wyrazić swój gniew z powodu faktu, że uczniowie musieli nosić maski podczas zajęć. Organ ochrony danych stwierdził, że osoba ta bezprawnie przetwarzała dane osób, których dane dotyczą, ze względu na brak zgody osób, których dane dotyczą, jak również innej podstawy prawnej.Link
1535HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-202 000,00 €Wspólnota mieszkaniowaArt. 5 (1) f) RODOHiszpański organ ochrony danych nałożył na wspólnotę mieszkaniową grzywnę w wysokości 2.000 euro. Dwóch właścicieli nieruchomości złożyło skargę do organu ochrony danych. Osoby te złożyły do zarządu wniosek o kopię dokumentów finansowych. Wspólnota opublikowała jednak wnioski wraz z danymi osobowymi zainteresowanych osób na tablicy ogłoszeń w części wspólnej danego budynku mieszkalnego. Organ ochrony danych uznał to za naruszenie zasady poufności.Link
1534HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-201 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 1 000 euro. Osoba złożyła skargę do organu ochrony danych, ponieważ administrator opublikował jej dane osobowe, takie jak imię, nazwisko, numer dowodu osobistego i data urodzenia, bez jej zgody w grupie WhatsApp liczącej 31 członków. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1533HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-1530 000,00 €ORANGE ESPAGNE, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na ORANGE ESPAGNE, S.A.U. grzywnę z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, złożyła skargę na administratora danych za zarejestrowanie numeru telefonicznego na jej nazwisko bez jej zgody lub jakiegokolwiek stosunku umownego. Przedmiotowe umowy zostały raczej zawarte przez oszustów z wykorzystaniem danych osobowych osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowy były zgodne z prawem i rzeczywiście zawarte przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 60 000 EUR została zmniejszona do 30 000 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
1532HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-1516 000,00 €HOSPITAL RECOLETAS PONFERRADA, S.L.Art. 6 (1) RODO, Art. 15 RODOHiszpański organ ochrony danych nałożył karę na zakład opieki zdrowotnej HOSPITAL RECOLETAS PONFERRADA, S.L.. Pacjent złożył skargę do organu ochrony danych. Pacjent wypełnił formularz zgody podczas badania lekarskiego, w którym pewne pozycje były już wstępnie zaznaczone. Organ ochrony danych stwierdził również, że administrator nie spełnił w odpowiednim czasie prośby pacjenta o dostęp do jego danych osobowych. Pierwotna grzywna w wysokości 20 000 EUR została zmniejszona do 16 000 EUR z powodu dobrowolnej zapłaty.Link
1531RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-12-155 000,00 €Societatea Energetică Electrica S.A.Art. 28 (3) a) RODORumuński organ ochrony danych nałożył na Societatea Energetică Electrica S.A. grzywnę w wysokości 5 000 EUR za naruszenie art. 28 (3) a) RODO.Link
1530HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-1356 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat jej karty SIM nieuprawnionej, nieuczciwej stronie trzeciej bez jej zgody. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo nie zweryfikowało tożsamości osoby trzeciej ani nie uzyskało zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę.Link
1529HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-1356 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat jej karty SIM nieuprawnionej, nieuczciwej stronie trzeciej bez jej zgody. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo nie zweryfikowało tożsamości osoby trzeciej ani nie uzyskało zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę.Link
1528WłochyGarante per la protezione dei dati personali (Garante)2022-10-207 000,00 €I.S.P.R.O.Art. 5 (1) f) RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 000 EUR na onkologiczny zakład opieki zdrowotnej I.S.P.R.O.. Osoba fizyczna omyłkowo otrzymała drogą elektroniczną dokumentację medyczną od innego pacjenta.Link
1527FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-10-20300 000,00 €FREE SASArt. 12 RODO, Art. 15 RODO, Art. 17 RODO, Art. 32 RODO, Art. 33 RODOFrancuski organ ochrony danych nałożył na FREE SAS grzywnę w wysokości 300 000 euro. Organ ochrony danych otrzymał kilka skarg od osób fizycznych, które miały trudności z realizacją swoich praw do dostępu i usunięcia swoich danych osobowych w FREE. W trakcie dochodzenia organ ochrony danych stwierdził, że firma nie rozpatrywała wniosków o dostęp i usunięcie danych osobowych w odpowiednim czasie. Organ ochrony danych stwierdził również, że firma nie zapewniła bezpieczeństwa danych osobowych. Na przykład przedsiębiorstwo pozwalało użytkownikom na używanie niezbyt bezpiecznych haseł, a hasła użytkowników były przechowywane w niezaszyfrowany sposób w bazach danych przedsiębiorstwa. Wreszcie organ ochrony danych stwierdził, że przedsiębiorstwo nie udokumentowało w odpowiedni sposób naruszenia ochrony danych.Link Link
1526FinlandiaTietosuojavaltuutetun Toimisto2022-12-09230 000,00 €Viking Line Oy AbpArt. 5 (1) a), d) RODO, Art. 12 (3) RODO, Art. 13 RODO, Art. 15 (1) RODO, Art. 25 (1) RODOFiński organ ochrony danych nałożył grzywnę w wysokości 230 000 EUR na Viking Line Oy Abp. Były pracownik złożył skargę do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie spełnił wniosku osoby, której dane dotyczą, o dostęp do jej danych zdrowotnych oraz że niektóre dane medyczne były przechowywane nieprawidłowo. Organ ochrony danych stwierdził również, że dane medyczne były przechowywane wraz z innymi danymi osobowymi, mimo że takie przechowywanie jest niezgodne z prawem. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio swoich pracowników o przetwarzaniu ich danych osobowych, wbrew obowiązkowi wynikającemu z art. 13 RODO.Link Link
1525HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-1356 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ firma przekazała duplikat jej karty SIM nieuprawnionej, nieuczciwej stronie trzeciej bez jej zgody. W trakcie dochodzenia organ ochrony danych stwierdził, że firma nie zweryfikowała tożsamości osoby trzeciej ani nie uzyskała zgody osoby, której dane dotyczą, na udostępnienie jej danych. Pozwoliło to oszustom na uzyskanie dostępu do konta bankowego osoby, której dane dotyczą, i dokonanie nieautoryzowanych transakcji. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę.Link
1524PortugaliaComissão Nacional de Protecção de Dados (CNPD)2022-11-024 300 000,00 €Portugalski Narodowy Instytut StatystycznyArt. 5 (1) a) RODO, Art. 9 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 28 (1), (6), (7) RODO, Art. 35 (1), (2), (3) b) RODO, Art. 44 RODO, Art. 46 (2) RODOPortugalski organ ochrony danych ukarał portugalski Narodowy Instytut Statystyczny grzywną w wysokości 4,3 mln euro. Organ ochrony danych stwierdził liczne naruszenia RODO w związku ze spisem ludności w Portugalii w 2021 r. Organ ochrony danych stwierdził najpierw, że administrator nie poinformował osób, których dane dotyczą, że podanie danych dotyczących religii i zdrowia jest całkowicie dobrowolne. Organ ochrony danych uznał to za ingerencję w zdolność osób, których dane dotyczą, do swobodnego wyrażenia woli w zakresie przetwarzania danych. Ponadto organ ochrony danych stwierdził, że administrator nie dochował należytej staranności przy wyborze podmiotu przetwarzającego dane, wbrew obowiązkowi wynikającemu z art. 28 RODO. Ponadto umowa zezwalała na przekazywanie danych osobowych poza EOG bez zapewnienia dodatkowych środków bezpieczeństwa poza SKU zatwierdzonym przez Komisję Europejską, zgodnie z wymogami orzeczenia Schrems II. Organ ochrony danych uznał to za naruszenie art. 44 RODO oraz Art. 46 (2) RODO. Wreszcie organ ochrony danych stwierdził, że administrator nie przeprowadził oceny skutków dla ochrony danych w odniesieniu do spisu.Link Link
1523HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-09120,00 €Osoba fizycznaArt. 13 RODOHiszpański organ ochrony danych ukarał grzywną osobę fizyczną. Administrator danych zainstalował system nadzoru wideo w należącym do niego budynku mieszkalnym dla wielu osób. W znaku informacyjnym dotyczącym systemu nadzoru wideo zabrakło jednak informacji na temat administratora danych i wykonywania praw osób, których dane dotyczą. Pierwotna grzywna w wysokości 150 EUR została zmniejszona do 120 EUR ze względu na dobrowolną zapłatę.Link
1522HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-098 000,00 €NotariuszArt. 6 RODOHiszpański organ ochrony danych ukarał grzywną notariusza. Administrator danych sprawdził księgę wieczystą nieruchomości należącej do osoby, której dane dotyczą, bez zlecenia wymagającego sprawdzenia tych danych lub zgody osoby, której dane dotyczą. Pierwotna grzywna w wysokości 10 000 EUR została zmniejszona do 8 000 EUR z powodu dobrowolnej zapłaty.Link
1521HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-09480,00 €Osoba fizycznaArt. 6 RODO, Art. 13 RODOHiszpański organ ochrony danych ukarał grzywną osobę fizyczną. Osoba ta zainstalowała kamery nadzoru wideo w kompleksie mieszkalnym, które obejmowały również obszary wspólne. W trakcie dochodzenia organ ochrony danych stwierdził, że osoba ta nie miała pozwolenia na zainstalowanie kamer, a zatem nie miała ważnej podstawy prawnej do przetwarzania danych. Ponadto osoba ta nie przekazała osobom, których dane dotyczą, informacji na temat nadzoru wideo. Pierwotna grzywna w wysokości 600 EUR została zmniejszona do 480 EUR ze względu na dobrowolną zapłatę.Link
1520RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-12-092 000,00 €Casa Rusu S.R.L.Art. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODORumuński organ ochrony danych nałożył na Casa Rusu S.R.L. grzywnę w wysokości 2 000 EUR. Administrator zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Administrator użył nieautoryzowanego formularza podczas procesu płatności na swojej stronie internetowej, za pomocą którego zbierane były dane bankowe kart klientów. Umożliwiło to nieautoryzowany dostęp do danych osobowych takich jak imię i nazwisko poszkodowanego posiadacza karty bankowej, numer karty, data i rok ważności, kod CVC. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1519IrlandiaData Protection Commission (DPC)2022-01-265 000,00 €Slane Credit Union Ltd.Art. 5 (1) f) RODO, Art. 24 RODO, Art. 28 (1), (3) RODO, Art. 30 (1) RODO, Art. 32 (1) RODOIrlandzki organ ochrony danych nałożył na Slane Credit Union Ltd. karę w wysokości 5 tys. euro. Administrator danych powiadomił organ ochrony danych o naruszeniu danych w 2018 r. Z powodu błędu w narzędziu do optymalizacji wyszukiwarek zainstalowanym na stronie internetowej administratora, cztery raporty zapytań członków zawierające osobiste dane członków zostały nieumyślnie opublikowane. Incydent dotyczył 76 członków, w tym osób niepełnoletnich, oraz ich danych osobowych, takich jak nazwiska, adresy, płeć, daty urodzenia, numery kont itp. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ponadto organ ochrony danych stwierdził, że administrator nie dochował należytej staranności wobec podmiotu przetwarzającego dane oraz nie zawarł z nim umowy zgodnej z RODO.Link
1518HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-255 000,00 €Stowarzyszenie na rzecz zapobiegania i badania przestępstw, nadużyć i zaniedbań w dziedzinie technologii informacyjnych i zaawansowanej komunikacji (APEDANICA)Art. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na Stowarzyszenie na rzecz zapobiegania i badania przestępstw, nadużyć i zaniedbań w dziedzinie technologii informacyjnych i zaawansowanej komunikacji (APEDANICA) grzywnę w wysokości 5.000 euro. Pracownicy firmy LEGAL ERASER SL złożyli skargę do organu ochrony danych. Administrator zwrócił się do organu ochrony danych o informacje na temat LEGAL ERASER w ramach prawa do informacji na podstawie hiszpańskiej ustawy o przejrzystości. Administrator opublikował następnie dokumenty, z których część zawierała dane osobowe klientów i pracowników LEGAL ERASER, na 58 linkach w Internecie.Link
1517HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-251 800,00 €ALPA 57 PRODUCCIONES, S.L.Art. 58 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na firmę ALPA 57 PRODUCCIONES, S.L. grzywnę za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. Pierwotna grzywna w wysokości 3.000 EUR została zmniejszona do 1.800 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
1516HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-023 600,00 €Federacja Sportu Osób Niepełnosprawnych Intelektualnie Castilla la Mancha-FECAMArt. 9 (2) a) RODO, Art. 13 RODOHiszpański organ ochrony danych ukarał grzywną Federację Sportu Osób Niepełnosprawnych Intelektualnie Castilla la Mancha-FECAM. Administrator przetwarzał dane medyczne z badań antygenu Covid-19 uczestników zawodów sportowych bez ich zgody na przetwarzanie. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował osób, których dane dotyczą, o okresie przechowywania danych. Pierwotna grzywna w wysokości 6 000 EUR została zmniejszona do 3 600 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1515HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-023 500,00 €CASA 7 PERSONAL SHOPPER, S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył grzywnę w wysokości 3.500 EUR na CASA 7 PERSONAL SHOPPER, S.L. Administrator wysłał e-mail z danymi osobowymi do kilku odbiorców z otwartej listy dystrybucyjnej. Dzięki temu odbiorcy mogli zapoznać się z adresami e-mail wszystkich pozostałych odbiorców.Link
1514WłochyGarante per la protezione dei dati personali (Garante)2022-11-1040 000,00 €Usl Valle d'AostaArt. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODOWłoski organ ochrony danych nałożył na Azienda Usl Valle d'Aosta grzywnę w wysokości 40 000 euro. Pracownik i pacjent wydziału zdrowia złożyli skargę do organu ochrony danych, ponieważ kolega, który nigdy ich nie leczył, wielokrotnie uzyskiwał dostęp do ich dokumentacji medycznej, mimo że wyraźnie odmówili oni zgody na przetwarzanie danych. W trakcie dochodzenia organ ochrony danych ustalił, że w celu uproszczenia zarządzania pacjentami podczas pandemii Covid-19 organ ochrony danych uprościł system dokumentacji medycznej. W rezultacie dokumentacja medyczna pacjentów była dostępna dla każdego pracownika, niezależnie od tego, czy dany pacjent wyraził na to zgodę, czy nie. Organ ochrony danych uznał to za naruszenie obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link Link
1513WłochyGarante per la protezione dei dati personali (Garante)2022-09-1540 000,00 €FCA Italy S.p.A.Art. 12 (1), (2), (3), (4) RODO, Art. 15 RODOWłoski organ ochrony danych nałożył na FCA Italy S.p.A. grzywnę w wysokości 40 000 EUR. Pracownik administratora danych wystąpił o dostęp do danych osobowych przetwarzanych w kontekście jego stosunku pracy. Administrator nie spełnił jednak tego wniosku w odpowiednim czasie, wbrew wymogom art. 12 RODO i art. 15 RODO.Link
1512WłochyGarante per la protezione dei dati personali (Garante)2022-10-0610 000,00 €Codess Sociale, Soc. Coop. sociale.Art. 12 (3), (4) RODO, Art. 17 RODOWłoski organ ochrony danych nałożył grzywnę w wysokości 10 000 EUR na Codess Sociale, Soc. Coop. sociale. Były dobrowolny członek złożył skargę do organu ochrony danych. Osoba, której dane dotyczą, twierdzi, że w momencie rezygnacji zażądała usunięcia swoich danych osobowych z archiwum administratora. Administrator danych nie spełnił jednak tego wniosku w odpowiednim czasie.Link
1511WłochyGarante per la protezione dei dati personali (Garante)2022-10-062 000 000,00 €Alpha ExplorationArt. 5 (1) a), e), f) RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 27 (4) RODO, Art. 28 RODO, Art. 32 RODO, Art. 35 RODOWłoski organ ochrony danych nałożył na firmę Alpha Exploration karę w wysokości 2 mln euro. Alpha Exploration prowadzi sieć społecznościową Clubhouse. W trakcie swojego dochodzenia organ ochrony danych stwierdził liczne naruszenia RODO. Na przykład organ ochrony danych stwierdził brak przejrzystości w zakresie wykorzystania danych użytkowników i ich kontaktów na czacie. Ponadto użytkownicy sieci mogli przechowywać i udostępniać wiadomości audio od innych użytkowników bez ich zgody. Co więcej, informacje o kontach były udostępniane nieuprawnionym stronom trzecim bez ważnej podstawy prawnej. Ponadto firma nie określiła okresów przechowywania danych osobowych. Firma nie dostarczyła również użytkownikom wystarczających informacji na temat wielu aspektów przetwarzania ich danych osobowych i nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Wreszcie organ ochrony danych stwierdził, że przedsiębiorstwo nie przeprowadziło oceny skutków w zakresie ochrony danych. Po zakończeniu dochodzenia organ ochrony danych nie tylko nałożył grzywnę, ale również nakazał przedsiębiorstwu podjęcie szeregu środków. Na przykład firma musi określić okresy przechowywania danych i wprowadzić funkcję, która informuje użytkowników, że ich czaty są nagrywane.Link
1510HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-03300,00 €Wspólnota mieszkaniowaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na wspólnotę mieszkaniową. Wspólnota zainstalowała na terenie osiedla kilka kamer monitoringu, które między innymi obejmowały również teren wspólny. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1509HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-03600,00 €LORENT 2013, S.LArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na firmę LORENT 2013, S.L. grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1508HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-12-033 000,00 €INDECEMI, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych nałożył na INDECEMI, S.L. grzywnę w wysokości 3.000 EUR. Pewna osoba złożyła skargę do organu ochrony danych przeciwko administratorowi po otrzymaniu od niego wiadomości e-mail zawierającej dane osobowe (imię, nazwisko, adres, numer telefonu itp.) innej osoby w kontekście skargi. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności.Link
1507HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-293 000,00 €PrzedsiębiorstwoArt. 6 RODO, Art. 13 RODOHiszpański organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 3 tys. euro. Administrator zainstalował system nadzoru wideo, który rejestrował również głosy zarówno pracowników, jak i klientów. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie miał ważnej podstawy prawnej do przetwarzania informacji o głosach w ramach nadzoru wideo. Ponadto organ ochrony danych stwierdził, że administrator nie dostarczył wystarczających informacji na temat nadzoru wideo, w tym informacji o przetwarzaniu, tożsamości administratora danych oraz wykonywaniu praw osób, których dane dotyczą.Link
1506FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-11-24600 000,00 €ÉLECTRICITÉ DE FRANCEArt. 7 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO, Art. 21 RODO, Art. L. 34-5 CPCEFrancuski organ ochrony danych nałożył grzywnę w wysokości 600 000 EUR na ÉLECTRICITÉ DE FRANCE (EDF), największego dostawcę energii elektrycznej we Francji. Organ ochrony danych otrzymał kilka skarg, w których osoby fizyczne doświadczały trudności w korzystaniu ze swoich praw przez EDF. W trakcie dochodzenia organ ochrony danych stwierdził, że polityka prywatności EDF nie zawierała wystarczających informacji na temat różnych aspektów przetwarzania danych, takich jak okres przechowywania danych osobowych. Ponadto organ ochrony danych stwierdził, że EDF nie odpowiedział w odpowiednim czasie na szereg wniosków osób, których dane dotyczą. W niektórych przypadkach EDF nie przestrzegał również prawa osób, których dane dotyczą, do sprzeciwu względem reklam. Ponadto organ ochrony danych zauważył, że EDF nie wykazał, że uzyskał ważną zgodę od osób, których dane dotyczą, w kontekście komercyjnej kampanii reklamowej. Wreszcie organ ochrony danych stwierdził, że EDF nie wdrożył wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. EDF przechowywał w sposób niezabezpieczony hasła do ponad 25 000 kont klientów. Ponadto przedsiębiorstwo jedynie haszowało, a nie "soliło", hasła do 2,4 mln kont.Link Link
1505WłochyGarante per la protezione dei dati personali (Garante)2022-11-10500 000,00 €Vodafone Italia S.p.A.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 130 (1), (2), (3) Codice della privacyWłoski organ ochrony danych nałożył na Vodafone Italia S.p.A. grzywnę w wysokości 500 000 euro. Klient złożył skargę na Vodafone do organu ochrony danych. Z 80-letnim klientem skontaktowało się zewnętrzne call center na zlecenie Vodafone. Podczas rozmowy call center zawarło z klientem nową umowę bez jego zgody. Podczas dochodzenia organ ochrony danych stwierdził również, że klient nie otrzymał wystarczających informacji na temat przetwarzania jego danych osobowych. Ponadto call center odczytywało informacje zbyt szybko, przez co ich treść była niezrozumiała. Przy obliczaniu kary organ ochrony danych wziął pod uwagę, jako czynnik obciążający, fakt, że Vodafone dopuszczał się już podobnych naruszeń w przeszłości. Jednak fakt, że Vodafone natychmiast rozwiązał przedmiotową umowę, został uwzględniony jako czynnik łagodzący.Link Link
1504HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-29500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 500 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną, a ponadto opublikował zarejestrowane obrazy na Facebooku. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1503RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-11-253 000,00 €OTP LEASING ROMANIA IFN SAArt. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODORumuński organ ochrony danych nałożył na OTP LEASING ROMANIA IFN SA grzywnę w wysokości 3 000 EUR. Administrator danych zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Osoba fizyczna poinformowała administratora, że uzyskała nieautoryzowany dostęp do platformy informatycznej obsługiwanej przez administratora poprzez zmianę adresu URL i utworzenie konta administratora. Dzięki temu osoba ta mogła uzyskać nieuprawniony dostęp do danych osobowych. Organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Skutkowało to nieuprawnionym dostępem do danych osobowych.Link
1502IrlandiaData Protection Commission (DPC)2022-11-25265 000 000,00 €Meta Platforms Ireland LimitedArt. 25 (1), (2) RODOIrlandzki organ ochrony danych ukarał Meta Platforms Ireland Limited grzywną w wysokości 265 mln euro. Organ ochrony danych wszczął dochodzenie przeciwko firmie Meta w 2021 r. po tym, jak media poinformowały, że zbiór danych zawierający dane osobowe z Facebooka był dostępny na platformie hakerskiej. Wyciek danych dotyczył nawet 533 mln użytkowników wraz z ich danymi, takimi jak numery telefonów i adresy e-mail. W ramach prowadzonego postępowania organ ochrony danych dokonał przeglądu i oceny narzędzi Facebook Search, Facebook Messenger Contact Importer oraz Instagram Contact Importer. Organ ochrony danych dokonał przede wszystkim przeglądu wdrożenia środków technicznych i organizacyjnych w celu ochrony danych osobowych i stwierdził naruszenie art. 25 RODOLink Link
1501RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-11-241 000,00 €Medicover S.R.L.Art. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 32 (4) RODORumuński organ ochrony danych nałożył na Medicover S.R.L. grzywnę w wysokości 1 000 EUR. Administrator zgłosił organowi ochrony danych naruszenie ochrony danych na podstawie art. 33 RODO. Administrator nieumyślnie wysłał dokumenty zawierające dane osobowe do niewłaściwego odbiorcy. W rezultacie dane osobowe, takie jak imię i nazwisko osoby, której dane dotyczą, adres korespondencyjny, e-mail i dane dotyczące zdrowia zostały ujawnione bez upoważnienia. Organ ochrony danych ustalił, że incydenty wynikały z niewdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych.Link
1500RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-11-2120 000,00 €ING Bank NV Amsterdam Sucursala BucureștiArt. 32 (1), (2) RODORumuński organ ochrony danych nałożył na ING Bank NV Amsterdam Sucursala București grzywnę w wysokości 20 000 EUR. Bank zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Uzyskano dostęp i ujawniono bez upoważnienia szereg danych osobowych klientów, takich jak dane z dowodu osobistego, dane bankowe, dane z kart bankowych itp. W wyniku tego transakcje płatnicze zostały przeprowadzone przez nieuprawnione osoby trzecie. Podczas dochodzenia organ ochrony danych stwierdził, że bank nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co umożliwiło nieautoryzowany dostęp.Link
1499HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-21300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Administrator zainstalował kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną.Link
1498PortugaliaComissão Nacional de Protecção de Dados (CNPD)2022-11-02180 000,00 €Gmina SetúbalArt. 5 (1) e), f) RODO, Art. 13 (1), (2) RODO, Art. 37 (1), (7) RODOPortugalski organ ochrony danych nałożył na gminę Setúbal grzywnę w wysokości 170 tys. euro. Organ ochrony danych stwierdził naruszenie ochrony danych w związku z gromadzeniem danych osobowych od ukraińskich uchodźców. Gmina poprosiła uchodźców o wypełnienie formularza w momencie przybycia i podanie różnych szczegółów dotyczących danych osobowych, takich jak nazwisko, data urodzenia, stan cywilny itp. Organ ochrony danych zauważył, że gmina nie poinformowała w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych. Ponadto organ ochrony danych stwierdził, że gmina nie wdrożyła wystarczających technicznych i organizacyjnych środków ochrony danych osobowych, jak również nie określiła okresu przechowywania danych. Gmina nie wyznaczyła również inspektora ochrony danych.Link Link
1497RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-11-18300,00 €Wspólnota mieszkaniowaArt. 58 (1) RODORumuński organ ochrony danych (ANSPDCP) nałożył na wspólnotę mieszkaniową "Bld. Pipera 1-2E" karę w wysokości 300 EUR za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia.Link
1496FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-11-10800 000,00 €DISCORD INC.Art. 5 (1) e) RODO, Art. 13 RODO, Art. 25 (2) RODO, Art. 32 RODO, Art. 35 RODOFrancuski organ ochrony danych nałożył na firmę DISCORD INC. grzywnę w wysokości 800 000 EUR. DISCORD oferuje usługę komunikacji online, za pośrednictwem której użytkownicy mogą prowadzić czat lub wykonywać połączenia wideo. W trakcie dochodzenia organ ochrony danych stwierdził, że przedsiębiorstwo nie ustaliło i nie przestrzegało okresu przechowywania danych odpowiedniego do celu przetwarzania. Na przykład w bazie danych DISCORD znajdowały się ponad dwa miliony kont francuskich użytkowników, którzy nie korzystali ze swoich kont przez ponad trzy lata i około 50 000 kont, które nie były używane przez ponad pięć lat. Ponadto organ ochrony danych zauważył, że firma nie posiadała pełnych informacji dotyczących okresów przechowywania danych. Organ ochrony danych stwierdził również, że firma nie zapewniła domyślnie ochrony danych, co jest sprzeczne z obowiązkiem wynikającym z art. 25 (2) RODO. W ten sposób możliwe było przesyłanie danych użytkownika nawet po zamknięciu aplikacji komunikacyjnej. Organ ochrony danych stwierdził również, że firma nie zapewniła w wystarczającym stopniu bezpieczeństwa danych osobowych poprzez przyjmowanie od użytkowników mało bezpiecznych haseł. Przedsiębiorstwo akceptowało hasła użytkowników, które składały się z sześciu znaków zawierających wyłącznie litery i cyfry. Wreszcie organ ochrony danych stwierdził, że przedsiębiorstwo nie przeprowadziło oceny skutków w zakresie ochrony danych.Link Link
1495RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-11-1628 000,00 €Raiffeisen Bank SAArt. 25 (1) RODO, Art. 32 (1), (2), (4) RODORumuński organ ochrony danych nałożył na Raiffeisen Bank SA karę w wysokości 28 tys. euro. Bank zgłosił kilka naruszeń ochrony danych zgodnie z art. 33 RODO do organu ochrony danych. Podczas dochodzenia organ ochrony danych stwierdził, że bank przeprowadził zapytania w agencji kredytowej bez zgody osób, których dane dotyczą. Ponadto organ ochrony danych ustalił, że bank udzielił kredytu kilku klientom bez złożenia przez nich wniosku. Ponadto bank nieumyślnie przesłał dane osobowe osób, których dane dotyczą, do niewłaściwych odbiorców, umożliwiając im dostęp do tych danych. Organ ochrony danych stwierdził, że bank nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Skutkowało to nieuprawnionym dostępem i/lub ujawnieniem danych osobowych.Link
1494PolskaUrząd ochrony danych osobowych (UODO)2022-11-021 700,00 €BurmistrzArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODOPolski organ ochrony danych nałożył na wójta gminy Dobrzyniewo Duże karę pieniężną w wysokości 1 700 euro (8 000 PLN). Wójt zgłosił organowi ochrony danych naruszenie ochrony danych na podstawie art. 33 RODO. Komputer służbowy pracownika, który zawierał dane osobowe, został skradziony. W trakcie dochodzenia organ ochrony danych ustalił, że dane na komputerze nie były odpowiednio zabezpieczone oraz że gmina nie podjęła odpowiednich środków technicznych w celu ochrony danych osobowych.Link Link
1493WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2022-08-11197 000,00 €AMPLIFON Hungary Trade and Service Provider LLCArt. 5 (1) b) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 14 RODOWęgierski organ ochrony danych nałożył na spółkę AMPLIFON Hungary Trade and Service Provider LLC grzywnę w wysokości 197 000 EUR. Organ ochrony danych otrzymał skargi od kilku osób, których dane dotyczą, dotyczące otrzymania niezamówionych zaproszeń na badania przesiewowe słuchu. W trakcie dochodzenia organ ochrony danych ustalił, że przedsiębiorstwo skontaktowało się z osobami, których dane dotyczą, bez uprzedniego uzyskania ich zgody. Firma otrzymała dane od Ministerstwa Spraw Wewnętrznych do celów badania rynku. Organ ochrony danych stwierdził, że przedsiębiorstwo przetwarzało dane niezgodnie z prawem i z pierwotnym celem badania rynku. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo nie dostarczyło osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania danych.Link
1492HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-1580 000,00 €BANKINTER, S.A.Art. 5 (1) f) RODO, Art. 32 (1) RODOHiszpański organ ochrony danych nałożył karę na BANKINTER, S.A.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ podczas dostępu do jej konta bankowego wyświetlono jej również dane osobowe osoby trzeciej. Organ ochrony danych stwierdził, że nieuprawnione ujawnienie danych osób trzecich nastąpiło z powodu braku odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych w banku. Pierwotna grzywna w wysokości 100 000 euro została zmniejszona do 80 000 euro ze względu na dobrowolną zapłatę.Link
1491HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-113 600,00 €XASTRE DO PETO, S.L.Art. 6 (1) RODO, Art. 13 RODO, Art. 21 RODOHiszpański organ ochrony danych nałożył na XASTRE DO PETO, S.L. (restauracja) grzywnę w wysokości 3.600 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z tym, że administrator wymagał od niej wypełnienia formularza z jej danymi osobowymi w celu śledzenia kontaktów w kontekście pandemii koronawirusa. W trakcie dochodzenia organ ochrony danych stwierdził jednak, że w międzyczasie wygasła podstawa prawna do gromadzenia informacji kontaktowych, a zatem administrator przetwarzał dane niezgodnie z prawem. Organ ochrony danych stwierdził również, że administrator nie zapewnił osobom, których dane dotyczą, wystarczających informacji na temat przetwarzania danych. Organ ochrony danych ustalił ponadto, że administrator nie zapewnił osobom, których dane dotyczą, łatwego sposobu wniesienia sprzeciwu wobec przetwarzania danych osobowych.Link
1490HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-1148 000,00 €Banco Bilbao Vizcaya Argentaria S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, S.A.. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z żądaniem informacji na temat jednego z jej kont, a następnie otrzymaniem informacji o umowie od strony trzeciej. Organ ochrony danych stwierdził, że nieuprawnione ujawnienie danych osób trzecich wynikało z nieodpowiednich środków technicznych i organizacyjnych w banku. Pierwotna grzywna w wysokości 80 000 EUR została zmniejszona do 48 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1489HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-10900,00 €Wspólnota mieszkaniowaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na wspólnotę mieszkaniową. Wspólnota zainstalowała na terenie osiedla kilka kamer monitoringu, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna w wysokości 1500 euro została zmniejszona do 900 euro ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1488HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-10300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1487HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-0370 000,00 €UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRCArt. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył na UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC (UPS) grzywnę w wysokości 70 000 EUR. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ UPS dostarczył jej paczkę do sąsiada bez jej zgody. Organ ochrony danych uznał to za nieuprawnione ujawnienie jej danych, które wynikało z braku technicznych i organizacyjnych środków ochrony danych osobowych. Organ ochrony danych uznał również, że to nieuprawnione ujawnienie danych osobowych stanowiło naruszenie zasady integralności i poufności.Link
1486HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-31525 000,00 €TECHPUMP SOLUTIONS S.L.Art. 5 (1) a), b), e) RODO, Art. 6 (1) RODO, Art. 8 RODO, Art. 12 (1), (2) RODO, Art. 13 RODO, Art. 25 RODO, Art. 30 (1) RODO, Art. 22 (2) LSSIHiszpański organ ochrony danych ukarał Techpump Solutions S.L. grzywną w wysokości 525 tys. euro. Techpump prowadzi kilka stron internetowych zawierających treści dla dorosłych. W trakcie dochodzenia organ ochrony danych stwierdził kilka naruszeń prawa ochrony danych. Po pierwsze, organ ochrony danych stwierdził, że wbrew określonym informacjom w polityce prywatności, Techpump udostępniał dane osobowe użytkowników spółkom należącym do tej samej grupy. Ponadto organ ochrony danych stwierdził, że Techpump nie określił okresu przechowywania danych osobowych użytkowników i przechowywał je bezterminowo, dopóki użytkownicy nie zażądali wycofania swojej zgody. Techpump przetwarzał również dane osobowe użytkowników bez uprzedniego uzyskania ich zgody. Ponadto organy ochrony danych stwierdziły, że Techpump nie posiada wystarczającej kontroli rodzicielskiej, która uniemożliwiałaby dostęp do treści strony osobom niepełnoletnim poniżej 14 roku życia. Ponadto polityka prywatności Techpump była dostępna jedynie w języku angielskim, a nie hiszpańskim, a informacje w niej zawarte nie były zrozumiałe. Techpump wymagał również, aby osoby fizyczne, które chciały skorzystać z praw przysługujących podmiotom danych, podawały informacje ze swojego dowodu osobistego w celu weryfikacji ich tożsamości. Organ ochrony danych uznał to za niedopuszczalne utrudnienie w wykonywaniu praw osób, których dane dotyczą. Ponadto Techpump gromadził również różne dane, takie jak adresy IP i dane WIFI, bez określenia celu ich przetwarzania.Link
1485HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-022 000,00 €Rapido Finance, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył na Rapido Finance, S.L. grzywnę w wysokości 2 000 EUR. Osoba, której dane dotyczą, otrzymała od firmy działającej w imieniu Rapido Finance wiadomość z żądaniem zapłaty zaległych długów. Osoba, której dane dotyczą, spłaciła już jednak długi, co zostało również potwierdzone w orzeczeniu sądowym. Z tego powodu organ ochrony danych stwierdził, że ujawnienie danych osobowych osoby, której dane dotyczą, w celu skontaktowania się z nią w sprawie uregulowania długu było niezgodne z prawem.Link
1484HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-025 000,00 €CÍTRICOS TANTA, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył na CÍTRICOS TANTA, S.L. grzywnę w wysokości 5.000 EUR. Administrator danych wprowadził dane osobowe pracownika do Ogólnego Rejestru Pracowników Zabezpieczenia Społecznego, przy czym pracownik ten nigdy nie wykonywał pracy. Z tego powodu administrator danych byłby zobowiązany do usunięcia wpisu osoby, której dane dotyczą, do rejestru w ciągu 72 godzin, czego nie uczynił. Wobec braku świadczenia pracy przez osobę, której dane dotyczą, administrator nie miał już podstawy prawnej do umieszczenia danych w rejestrze. W związku z tym organ ochrony danych uznał, że brak usunięcia danych stanowił bezprawne przetwarzanie danych osobowych osoby, której dane dotyczą.Link
1483WłochyGarante per la protezione dei dati personali (Garante)2022-08-051 000,00 €Colosseo S.r.l.Art. 5 (2) RODO, Art. 6 (1) a) RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 24 RODOWłoski organ ochrony danych nałożył na Colosseo S.r.l. grzywnę w wysokości 1.000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ administrator wysłał jej niezamówioną wiadomość handlową. Następnie osoba, której dane dotyczą, zwróciła się do administratora o zapewnienie dostępu do swoich danych osobowych, usunięcie swoich danych osobowych oraz sprzeciw wobec otrzymywania w przyszłości promocyjnych wiadomości e-mail. Administrator nie odpowiedział jednak na żądania podmiotu danych.Link
1482RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-11-091 000,00 €SC Das Sense Society SRLArt. 58 (1) RODORumuński organ ochrony danych (ANSPDCP) nałożył na SC Das Sense Society SRL grzywnę w wysokości 1 000 EUR za nieprzekazanie informacji wymaganych przez organ ochrony danych podczas dochodzenia.Link
1481RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-11-085 000,00 €SC Prestige Media PHG SRLArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODORumuński organ ochrony danych nałożył na SC Prestige Media PHG SRL grzywnę w wysokości 5 000 EUR. Administrator opublikował na swojej stronie internetowej 23 dokumenty zawierające informacje o rozwiązaniu stosunków pracy i dane osobowe osób, których dane dotyczą. Niektóre z osób, których dane dotyczą, nie pozostawały w żadnym stosunku prawnym z administratorem.Link
1480HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-3156 000,00 €Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ kilkakrotnie bezskutecznie domagała się od Vodafone kopii swojej umowy telefonicznej. W końcu osoba ta otrzymała e-mail, ale z umową telefoniczną innego klienta. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności określonej w art. 5 (1) f) RODO. Ponadto organ ochrony danych stwierdził, że Vodafone nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, co mogło zapobiec incydentowi. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę.Link
1479RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-11-072 000,00 €Romanian PostArt. 32 (1) b), (2) RODO.Rumuński organ ochrony danych nałożył na Pocztę Rumuńską grzywnę w wysokości 2 tys. euro. Poczta doświadczyła naruszenia danych, w wyniku którego pracownicy stracili kilka przesyłek zawierających odcinki emerytalne, świadectwa pracy i akty zgonu. Incydent dotknął 35 osób (odbiorców). Organ ochrony danych stwierdził, że Poczta nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, które mogłyby zapobiec takiemu incydentowi.Link
1478HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-11-0225 000,00 €CAIXABANK S.A.Art. 16 RODOHiszpański organ ochrony danych nałożył na CAIXABANK S.A. grzywnę w wysokości 25 000 EUR. Osoba, której dane dotyczą, wielokrotnie i bezskutecznie zwracała się o aktualizację swojego adresu w aktach banku. Organ ochrony danych uznał to za naruszenie art. 16 RODO.Link
1477HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-3170 000,00 €BANCO BILBAO VIZCAYA ARGENTARIA, S.A.Art. 5 (1) b) RODO, Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył na BANCO BILBAO VIZCAYA ARGENTARIA, S.A. grzywnę w wysokości 70 000 EUR. Klient banku złożył skargę do organu ochrony danych. Klient ten w przeszłości, jako pełnomocnik, złożył pozew przeciwko bankowi przez swojego klienta, również klienta banku. Bank wysłał następnie odpowiedź do klienta, w której zamiast adresu służbowego osoby, której dane dotyczą, adwokata, omyłkowo wpisał jego adres prywatny. Organ ochrony danych stwierdził przede wszystkim, że bank przetwarzał dane osobowe pełnomocnika w sposób niezgodny z celami, dla których dane te zostały zebrane (zarządzanie jego prywatnym kontem). Ponadto organ ochrony danych stwierdził, że do nieuprawnionego ujawnienia danych osobowych pełnomocnika doszło z powodu nieodpowiednich środków technicznych i organizacyjnych w banku.Link
1476HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-312 000,00 €Osoba fizycznaArt. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2.000 EUR na członka rady pracowniczej. Osoba ta wysyłała protokoły z posiedzeń rady pracowniczej do nieuprawnionych osób trzecich, które nie były członkami rady pracowniczej. W trakcie dochodzenia organ ochrony danych stwierdził, że osoba ta nie miała skutecznej podstawy prawnej do wysłania wiadomości e-mail.Link
1475HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-0110 000,00 €Osoba fizycznaArt. 6 (1) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 10 000 euro. Osoba ta opublikowała dane osobowe innej osoby na blogu bez jej zgody i w sposób zniesławiający.Link
1474HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-231 200,00 €URBANO DIVERTIA, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych nałożył karę pieniężną na URBANO DIVERTIA S.L.. Klient złożył skargę do organu ochrony danych, w związku z otrzymaniem od administratora dokumentu z danymi dotyczącymi poprzedniego najemcy mieszkania, które obecnie wynajmował. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Pierwotna grzywna w wysokości 2 000 EUR została zmniejszona do 1 200 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1473WłochyGarante per la protezione dei dati personali (Garante)2022-06-1620 000,00 €Deutsche Bank S.p.A.Art. 12 (3) RODO, Art. 15 RODOBrak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych.Link
1472HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-259 000,00 €EL RACO DEL PIS INVERSIONES S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył na EL RACO DEL PIS INVERSIONES S.L. grzywnę w wysokości 9 000 EUR. Administrator wysłał wiadomość e-mail w ramach otwartej listy dystrybucyjnej, dzięki czemu adresy e-mail wszystkich odbiorców były widoczne dla pozostałych odbiorców.Link
1471HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-2610 000,00 €ACKERMANN & SCHWARTZ ATTORNEYS AT LAW SLPArt. 6 (1) RODO, Art. 13 RODOHiszpański organ ochrony danych nałożył na ACKERMANN & SCHWARTZ ATTORNEYS AT LAW SLP grzywnę w wysokości 10 000 EUR. Kancelaria ta gromadziła dane osobowe użytkowników strony internetowej bez uzyskania ich zgody. Ponadto organ ochrony danych stwierdził, że polityka prywatności na stronie internetowej nie zawierała wystarczających informacji. Brakowało na przykład informacji o danych kontaktowych administratora danych oraz informacji o korzystaniu z praw osób, których dane dotyczą.Link
1470HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-1735 000,00 €OES GLOBAL ENERGY S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył na OES GLOBAL ENERGY S.L. grzywnę w wysokości 35.000 EUR. Klient administratora złożył skargę do organu ochrony danych po otrzymaniu od administratora wiadomości e-mail zawierającej dokumenty dotyczące rozwiązania umów o dostawę energii elektrycznej innych klientów. Dokumenty te zawierały dane osobowe klientów, takie jak ich nazwiska i numery identyfikacyjne. Organ ochrony danych uznał to bezprawne ujawnienie danych osobowych za naruszenie zasady poufności i integralności, jak również brak wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1469WłochyGarante per la protezione dei dati personali (Garante)2022-09-153 000,00 €Gmina ThieneArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych (Garante) nałożył na gminę Thiene grzywnę w wysokości 3 tys. euro. Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jego dane osobowe. Dokument ten zawierał informacje o rozwiązaniu stosunku pracy.Link
1468HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-248 000,00 €ADSL HOUSE, S.L.Art. 48 (1) (b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDDHiszpański organ ochrony danych (AEPD) nałożył na ADSL HOUSE, S.L. grzywnę w wysokości 8 000 EUR. Osoba, której dane dotyczą, otrzymywała telefony reklamowe od administratora, mimo że osoba ta była wpisana na listę wykluczenia z reklam Robinsona.Link
1467HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-24400,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 400 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1466HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-24240,00 €PrzedsiębiorstwoArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na pewną firmę grzywnę. Administrator danych zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna w wysokości 300 euro została zmniejszona do 240 euro ze względu na dobrowolną zapłatę.Link
1465WłochyGarante per la protezione dei dati personali (Garante)2022-07-2120 000,00 €Acqua Novara.VCO S.p.a.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacyWłoskie organy ochrony danych nałożyły na Acqua Novara.VCO S.p.a. grzywnę w wysokości 20.000 EUR. Grzywna jest związana z grzywną nałożoną na Clio S.r.l. Clio dostarcza i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych, w tym dla Acqua Novara. W trakcie dochodzenia organ ochrony danych stwierdził, że Acqua Novara przekazała Clio dane osobowe w związku ze zgłoszeniami o nieprawidłowościach, umożliwiając Clio ich gromadzenie i przechowywanie bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że Acqua Novara nie uregulowała w odpowiedni sposób swoich stosunków z Clio.Link
1464WłochyGarante per la protezione dei dati personali (Garante)2022-07-215 000,00 €Gmina GinosaArt. 5 (1) a) RODO, Art. 6 RODO, Art. 28 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na gminę Ginosa grzywnę w wysokości 5.000 EUR. Grzywna jest związana z grzywną nałożoną na Clio S.r.l. Clio dostarcza i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych, w tym dla gminy Ginosa. W trakcie dochodzenia organ ochrony danych stwierdził, że gmina przekazała Clio dane osobowe w związku ze zgłoszeniami o nieprawidłowościach, umożliwiając Clio ich gromadzenie i przechowywanie bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że gmina nie uregulowała w odpowiedni sposób swoich stosunków z Clio.Link
1463WłochyGarante per la protezione dei dati personali (Garante)2022-07-2110 000,00 €Clio S.r.l.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 30 (2) RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na Clio S.r.l. grzywnę w wysokości 10 000 EUR. Clio dostarcza i zarządza aplikacją do zgłaszania nieprawidłowości dla różnych podmiotów prywatnych i publicznych. W ramach prowadzonego dochodzenia organ ochrony danych stwierdził, że Clio nie uregulowało w odpowiedni sposób swoich relacji z klientami. Ponadto Clio udostępniało klientom dane dotyczące zgłoszeń sygnalistów bez ważnej podstawy prawnej. Organ ochrony danych uznał to za naruszenie art. 5 (1) a) RODO oraz Art. 6 RODO. Ponadto organ ochrony danych stwierdził, że Clio nie prowadziło rejestru kategorii czynności przetwarzania. Organ ochrony danych uznał to za naruszenie art. 30 (2) RODO.Link
1462WłochyGarante per la protezione dei dati personali (Garante)2022-10-0615 000,00 €Servizio Idrico Integrato S.c.p.a.Art. 5 (1) f) RODO, Art. 32 RODOWłoski organ ochrony danych nałożył na Servizio Idrico Integrato S.c.p.a. grzywnę w wysokości 15 000 euro. Administrator prowadził stronę internetową, na której przetwarzane były dane osobowe bez użycia protokołu SSL. Organ ochrony danych stwierdził, że użycie protokołu SSL byłoby konieczne dla bezpieczeństwa danych. Stwierdził zatem, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1461Wielka BrytaniaInformation Commissioner (ICO)2022-10-195 033 000,00 €Interserve Group LimitedArt. 5 (1) f) RODO, Art. 32 RODOBrytyjski organ ochrony danych nałożył na grupę budowlaną Interserve Group Limited grzywnę w wysokości 5 033 000 euro. Administrator danych powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Interserve ucierpiał w wyniku cyberataku, w którym napastnicy wysłali wiadomość phishingową na skrzynkę pocztową zespołu księgowego Interserve. Mail został otwarty przez pracownika, który również pobrał i otworzył załączony plik zip. Dzięki temu napastnicy mogli zainstalować złośliwe oprogramowanie i zassać dane osobowe 113 tysięcy pracowników. Zassane dane zawierały m.in. informacje o kontach bankowych, numery ubezpieczenia społecznego, pochodzenie etniczne, orientację seksualną i religię osób, których dane dotyczą. W wyniku dochodzenia organów ochrony danych stwierdzono, że nieodpowiednie środki bezpieczeństwa pozwoliły na przeprowadzenie ataku. Pracownicy Interservere nie zostali na przykład odpowiednio przeszkoleni w zakresie prywatności danych. Ponadto Interserve przetwarzał dane osobowe na niewspieranych systemach operacyjnych, które nie były już objęte aktualizacjami bezpieczeństwa w celu usunięcia luk w systemie. Ponadto Interserve nie przeprowadził odpowiednich skanowań podatności na zagrożenia. Wreszcie zespół ds. bezpieczeństwa informacji Interserve nie zbadał w wystarczającym stopniu ataku, ponieważ oprogramowanie antywirusowe informowało, że złośliwe oprogramowanie zostało usunięte.Link Link
1460WłochyGarante per la protezione dei dati personali (Garante)2022-09-1510 000,00 €Bper Banca S.p.A.Art. 12 RODOWłoski organ ochrony danych nałożył na Bper Banca S.p.A. grzywnę w wysokości 10 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z niespełnieniem jej prawa do usunięcia danych osobowych. Osoba ta zwróciła się do banku o usunięcie swoich danych osobowych przetwarzanych przez bank. Bank zwrócił się następnie do osoby, której dane dotyczą, o przesłanie jej dokumentów tożsamości w celu weryfikacji jej tożsamości dla potrzeb realizacji wniosku. Osoba, której dane dotyczą, przesłała swoje dane, ale nie otrzymała odpowiedzi na swój wniosek o usunięcie danych. Z tego powodu organ ochrony danych uznał, że bank naruszył art. 12 RODO poprzez brak odpowiedzi na wniosek w odpowiednim czasie.Link
1459HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-201 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.000 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1458GrecjaHellenic Data Protection Authority (HDPA)2022-10-0320 000,00 €NATIONAL BANK OF GREECE S.A.Art. 13 RODOGrecki organ ochrony danych nałożył na NATIONAL BANK OF GREECE S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych, informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te mogły być później odczytane. Organ ochrony danych stwierdził, że bank nie poinformował poszkodowanych klientów o takim przechowywaniu informacji o transakcjach i tym samym naruszył art. 13 RODO.Link
1457GrecjaHellenic Data Protection Authority (HDPA)2022-10-0320 000,00 €PIRAEUS BANK S.A.Art. 13 RODOGrecki organ ochrony danych nałożył na PIRAEUS BANK S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych, informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te mogły być później odczytane. Organ ochrony danych stwierdził, że bank nie poinformował poszkodowanych klientów o takim przechowywaniu informacji o transakcjach i tym samym naruszył art. 13 RODO.Link
1456GrecjaHellenic Data Protection Authority (HDPA)2022-10-0320 000,00 €EUROBANK ERGASIAS S.A.Art. 13 RODOGrecki organ ochrony danych nałożył na EUROBANK ERGASIAS S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych, informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te mogły być później odczytane. Organ ochrony danych stwierdził, że bank nie poinformował poszkodowanych klientów o takim przechowywaniu informacji o transakcjach i tym samym naruszył art. 13 RODO.Link
1455GrecjaHellenic Data Protection Authority (HDPA)2022-10-0320 000,00 €ALFA BANK S.A.Art. 13 RODOGrecki organ ochrony danych nałożył na ALFA BANK S.A. grzywnę w wysokości 20 000 EUR. W kontekście korzystania z niektórych kart debetowych/kredytowych, informacje o ostatnich 10 transakcjach były przechowywane na chipie karty bez wyraźnej zgody klientów. Informacje te mogły być później odczytane. Organ ochrony danych stwierdził, że bank nie poinformował poszkodowanych klientów o takim przechowywaniu informacji o transakcjach i tym samym naruszył art. 13 RODO.Link
1454GrecjaHellenic Data Protection Authority (HDPA)2022-09-0915 000,00 €SzkołaArt. 5 (1) a), b) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODOGrecki organ ochrony danych ukarał szkołę grzywną w wysokości 15 000 euro. Szkoła zainstalowała w budynku kilka kamer monitoringu, które stale nagrywały uczniów, nauczycieli i gości. W trakcie dochodzenia organ ochrony danych stwierdził, że szkoła nie miała wystarczającej podstawy prawnej do prowadzenia nadzoru wideo. Ze względu na rozległy nadzór wideo i wynikające z niego ograniczenie praw osobowych osób, których dane dotyczą, szkoła nie mogła powołać się na uzasadniony interes (ochrona własności). Ponadto organ ochrony danych stwierdził, że administrator danych naruszył obowiązek informacyjny, informując nauczycieli i rodziców jedynie ustnie i niekompletnie o systemie nadzoru wideo.Link
1453GrecjaHellenic Data Protection Authority (HDPA)2022-09-223 000,00 €Stacja benzynowaArt. 12 RODO, Art. 14 RODOGrecki organ ochrony danych nałożył na operatora stacji benzynowej grzywnę w wysokości 3 000 EUR. Pewna osoba złożyła skargę do organu ochrony danych z powodu nieudzielenia jej przez administratora dostępu do wizerunków jej małoletniego dziecka zarejestrowanych przez system nadzoru wideo na stacji benzynowej. Organ ochrony danych uznał to za naruszenie art. 12 RODO. Ponadto operator udostępnił obrazy z systemu monitoringu wideo policji w trakcie dochodzenia policyjnego, nie informując o tym rodzica. Organ ochrony danych uznał, że brak poinformowania rodzica stanowił naruszenie art. 14 RODO.Link
1452WłochyGarante per la protezione dei dati personali (Garante)2022-09-152 000,00 €Immobiliare Riscostruzione Meloria s.r.l.Art. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych nałożył na Immobiliare Riscostruzione Meloria s.r.l. grzywnę w wysokości 2 000 euro. Administrator zainstalował w swoim biurze system nadzoru wideo, który obejmował części wspólnego wejścia do budynku, a tym samym rejestrował również mieszkańców budynku. W trakcie dochodzenia organ ochrony danych stwierdził, że znak informacyjny dotyczący nadzoru wideo nie zawierał wystarczających informacji na temat celu przetwarzania danych osobowych i danych kontaktowych administratora danych.Link
1451HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-176 000,00 €PrzedsiębiorstwoArt. 6 RODOHiszpański organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 6 tys. euro. Administrator danych zainstalował kamery nadzoru wideo, które rejestrowały również dźwięk. Organ ochrony danych stwierdził jednak, że administrator nie miał wystarczającej podstawy prawnej do prowadzenia nadzoru, a zatem nagrania zostały uzyskane niezgodnie z prawem.Link
1450RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-10-18150,00 €Osoba fizycznaArt. 6 (1) a) RODORumuński organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 150 euro. Osoba ta w sposób nieuprawniony wykorzystała dane osobowe innej osoby bez jej zgody.Link
1449RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-10-182 000,00 €SC Materiale Constructii Online SRLArt. 58 (1) RODORumuński organ ochrony danych (ANSPDCP) nałożył na SC Materiale Constructii Online SRL grzywnę w wysokości 2 000 EUR za nieprzekazanie informacji wymaganych przez organ ochrony danych podczas dochodzenia.Link
1448FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-10-1720 000 000,00 €Clearview Al Inc.Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODO, Art. 31 RODOFrancuski organ ochrony danych ukarał Clearview Al Inc. 20 000 000 EUR. Firma posiada bazę ponad 20 miliardów zdjęć twarzy (w tym mieszkańców i obywateli Francji) z całego świata. Dane są zbierane online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych wyodrębnionych ze zdjęć. Profile osób fizycznych można wzbogacić o informacje związane z tymi obrazami, takie jak znaczniki obrazu i geolokalizacja. W trakcie dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych przedsiębiorstwa były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że Clearview AI ograniczała wykonywanie praw osób, których dane dotyczą. Na przykład bez uzasadnienia ograniczyła korzystanie z praw osób, których dane dotyczą, do dwóch razy w roku. Ponadto osoby, których dane dotyczą, musiały złożyć kilka wniosków, zanim udzielono odpowiedzi na jeden z nich. Ponadto na wnioski często nie odpowiadano w ogóle lub odpowiadano w sposób niewystarczający. Wreszcie organ ochrony danych skrytykował współpracę Clearview AI. Firma ta w ogóle nie odpowiadała na formularze dochodzeniowe lub odpowiadała bardzo niekompletnie.Link Link
1447HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-17500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 500 euro. Osoba ta zainstalowała na swojej posesji kamery nadzoru wideo, które obejmowały m.in. przestrzeń publiczną i sąsiednią posesję. AEPD uznał, że tak rozległy nadzór wideo stanowił naruszenie zasady minimalizacji danych.Link
1446HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-195 000,00 €RESTEXPERIENCE, S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych ukarał RESTEXPERIENCE, S.L. grzywną w wysokości 5.000 EUR. Administrator przypadkowo wysłał e-mail zawierający informacje podatkowe 36 osób do 11 nieuprawnionych osób. Organ ochrony danych uznał to za naruszenie zasady integralności i poufności. Stwierdził również, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1445WłochyGarante per la protezione dei dati personali (Garante)2022-07-0720 000,00 €Intesa Sanpaolo Vita S.p.a.Art. 5 (1) a), f) RODOWłoski organ ochrony danych ukarał Intesa Sanpaolo Vita S.p.a. grzywną w wysokości 20 000 EUR. Osoba, której dane dotyczą, która zawarła z administratorem polisę ubezpieczeniową na życie, złożyła do organu ochrony danych skargę na administratora za nieuprawnione ujawnienie jej danych osobowych. W toku postępowania wyjaśniającego organ ochrony danych ustalił, że administrator ujawnił osobom trzecim bez upoważnienia dane osobowe, takie jak imię, nazwisko i informacje o polisie. Do nieuprawnionego ujawnienia doszło w wyniku błędu pracownika.Link
1444HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-17180,00 €INMUR JOYEROS, S.L.Art. 13 RODOHiszpański organ ochrony danych nałożył grzywnę na INMUR JOYEROS, S.L.. Administrator nie dostarczył zawiadomienia z informacją o monitoringu wideo w swoich pomieszczeniach. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności.Link
1443WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2022-07-081 500,00 €LekarzArt. 5 (1) RODO, Art. 12 (2) RODO, Art. 13 (1) RODOWęgierski organ ochrony danych nałożył na lekarza grzywnę w wysokości 1 500 EUR. Pacjentka poprosiła lekarza o przesłanie jej pełnej dokumentacji medycznej, takiej jak dokumentacja obrazowa oraz formularze zgody dotyczące opieki okołoporodowej. Lekarz nie zastosował się jednak do tej prośby.Link
1442WłochyGarante per la protezione dei dati personali (Garante)2022-08-0520 000,00 €Cosmopol Security S.p.A.Art. 12 (3) RODO, Art. 15 RODOWłoski organ ochrony danych ukarał Cosmopol Security S.p.A. grzywną w wysokości 20 000 EUR. Osoba fizyczna złożyła do organu ochrony danych skargę na administratora. Osoba ta otrzymywała faktury, mimo że nigdy nie pozostawała w stosunku umownym z firmą. W związku z tym osoba, której dane dotyczą, zażądała informacji na temat pochodzenia jej danych osobowych. Administrator danych nie odpowiedział jednak w terminie na wniosek osoby, której dane dotyczą, o udzielenie informacji.Link
1441HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-1412 000,00 €SEAN SERIOS S.L.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył na SEAN SERIOS S.L. grzywnę w wysokości 12 000 EUR. Administrator opublikował na stronie internetowej wyniki procedury selekcji. Zawierały one między innymi dane osobowe uczestników, takie jak nazwisko, imię i wynik w procesie selekcji. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie miał wystarczającej podstawy prawnej do opublikowania tych danych.Link
1440WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2022-10-0572 500,00 €BankArt. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (1) RODOWęgierski organ ochrony danych nałożył na bank grzywnę w wysokości 72 500 euro. Pewna osoba złożyła skargę do organu ochrony danych. Bank przeprowadził kontrolę kredytową tej osoby na podstawie wniosku kredytowego. Później jednak bank przeprowadził drugą kontrolę kredytową, mimo że osoba fizyczna nie złożyła wniosku o nową ofertę kredytową. Organ ochrony danych stwierdził zatem, że ta druga kontrola kredytowa została przeprowadzona niezgodnie z prawem ze względu na brak podstawy prawnej.Link
1439GrecjaHellenic Data Protection Authority (HDPA)2022-08-085 000,00 €IDIKA SAArt. 5 (1) e) RODO, Art. 25 RODOGrecki organ ochrony danych nałożył na IDIKA SA grzywnę w wysokości 10 tys. euro. IDIKA prowadziła działalność w kontekście zapewnienia bezpłatnych testów COVID-19. Organ ochrony danych stwierdził, że IDIKA w trakcie swoich działań związanych z przetwarzaniem danych nie informowała w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych. Ponadto IDIKA przechowywała dane osobowe dłużej niż było to konieczne oraz nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1438BelgiaGegevensbeschermingsautoriteit (GBA)2022-08-1920 000,00 €Laboratorium medyczneArt. 5 (1) f) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 32 RODO, Art. 35 (1), (3) RODOBelgijski organ ochrony danych nałożył na laboratorium medyczne grzywnę w wysokości 20 000 EUR. W trakcie dochodzenia organ ochrony danych stwierdził, że laboratorium nie przeprowadziło oceny skutków dla ochrony danych, a tym samym naruszyło art. 35 RODO. Ponadto laboratorium naruszyło art. 5 ust. 1 lit. f) RODO i art. 32 RODO, ponieważ lekarze mogli przeglądać dane osobowe pacjentów na stronie internetowej bez szyfrowania. Wreszcie organ ochrony danych stwierdził, że laboratorium nie opublikowało na swojej stronie internetowej klauzul informacyjnych dotyczących ochrony danych osobowych, co stanowiło naruszenie art. 12 RODO, art. 13 RODO i art. 14 RODO.Link
1437GrecjaHellenic Data Protection Authority (HDPA)2022-09-065 000,00 €EDYTE SAArt. 29 RODOGrecki organ ochrony danych nałożył na EDYTE SA grzywnę w wysokości 5 000 EUR. EDYTE, jako podmiot przetwarzający, bezprawnie ujawnił dane osobowe osobom trzecim bez zgody administratora danych.Link
1436RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-09-215 000,00 €Curtea Veche Publishing SRLArt. 32 (1) b), c) RODO, Art. 32 (2) RODORumuński organ ochrony danych nałożył na Curtea Veche Publishing SRL grzywnę w wysokości 5 000 EUR. Administrator danych zgłosił organowi ochrony danych dwa naruszenia ochrony danych osobowych na podstawie art. 33 RODO. W przypadku pierwszego naruszenia ochrony danych osobowych administrator nieumyślnie opublikował na forum publicznym plik zawierający bazę danych klientów. Spowodowało to nieuprawnione ujawnienie danych osobowych takich jak imię, nazwisko, numer telefonu, e-mail, hasło w zaszyfrowanej formie oraz adres IP 10 793 klientów. Drugie naruszenie ochrony danych dotyczyło ataku ransomware, który spowodował nieuprawniony dostęp i utratę integralności, a także dostępności danych osobowych około 100 osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ten brak wdrożenia środków ochronnych umożliwił powstanie naruszeń danych.Link
1435WłochyGarante per la protezione dei dati personali (Garante)2022-09-014 000,00 €Liceo Statale 'Edoardo Amaldi”Art. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy, Art. 2-septies (8) Codice della privacyWłoski organ ochrony danych nałożył na szkołę "Edoardo Amaldi" grzywnę w wysokości 4.000 euro. Szkoła opublikowała na swojej stronie internetowej okólnik dotyczący letnich wakacji, który zawierał dokładne daty urlopów pracowników szkoły.Link
1434RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-10-03150,00 €Operator strony internetowejArt. 5 (1) a), f) RODO, Art. 6 (1) a) RODORumuński organ ochrony danych nałożył na operatora strony internetowej grzywnę w wysokości 150 EUR. Administrator opublikował bezprawnie dane osobowe, takie jak numer telefonu, numer i seria dowodu osobistego, adres e-mail, dane bankowe i stan cywilny 383 osób fizycznych.Link
1433HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-04600,00 €Wspólnota mieszkaniowaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych nałożył na stowarzyszenie właścicieli domów grzywnę w wysokości 600 euro. Administrator zainstalował system nadzoru wideo, który rejestrował zarówno obraz, jak i dźwięk. W trakcie dochodzenia organ ochrony danych stwierdził, że system nadzoru wideo nagrywał m.in. części wspólnego terenu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto organ ochrony danych stwierdził, że administrator nie wypełnił w wystarczającym stopniu swoich obowiązków informacyjnych wynikających z art. 13 RODO w odniesieniu do monitoringu wizyjnego.Link
1432HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-0964 000,00 €EVERIS SPAIN S.LArt. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył grzywnę na EVERIS SPAIN S.L.. Everis opublikował informacje o sprzedanych danych użytkowników firmy ubezpieczeniowej, a także zapisy z danymi osobowymi hiszpańskich klientów firmy ubezpieczeniowej. Organ ochrony danych uznał to za naruszenie poufności danych. Organ ochrony danych stwierdził również, że bezprawna publikacja danych była możliwa m.in. ze względu na brak środków technicznych i organizacyjnych służących ochronie danych osobowych w momencie naruszenia danych. Pierwotna grzywna w wysokości 80 000 EUR została zmniejszona do 64 000 EUR ze względu na dobrowolną zapłatę.Link
1431HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-096 000,00 €UNION DE OFICIALES DE LA GUARDIA CIVIL PROFESIONALArt. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę w wysokości 6 000 EUR na stowarzyszenie UNION DE OFICIALES DE LA GUARDIA CIVIL PROFESIONAL. Jedna z osób złożyła skargę do organu ochrony danych, ponieważ administrator danych kontaktował się z nią, mimo że nie była ona członkiem stowarzyszenia lub nie wyraziła zgody na kontakt.Link
1430HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-09800,00 €PrzedsiębiorstwoArt. 6 (1) e) RODO, Art. 13 RODOHiszpański organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 800 euro. Administrator danych zainstalował kamery nadzoru wideo bez uzyskania zezwolenia na ich instalację. Ponadto administrator nie zapewnił oznakowań dotyczących monitoringu wizyjnego z danymi kontaktowymi administratora danych.Link
1429HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-09900,00 €Osoba fizycznaArt. 5 (1) f) RODO, Art. 32 (1) RODOHiszpański organ ochrony danych nałożył grzywnę na osobę fizyczną. Osoba ta w sposób nieuprawniony wysłała e-maile z danymi osobowymi do kilku odbiorców na otwartej liście dystrybucyjnej. Umożliwiło to odbiorcom wgląd w adresy e-mail wszystkich pozostałych odbiorców. Pierwotna grzywna w wysokości 1 200 EUR została zmniejszona do 900 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności.Link
1428IslandiaPersónuvernd2022-05-0310 600,00 €HEI – Medical TravelArt. 15 (1), (3) RODO, Art. 9 (1) Act 90/2018, Art. 17 (2) Act 90/2018Islandzki organ ochrony danych nałożył na HEI - Medical Travel grzywnę w wysokości 10 600 EUR. Osoba, której dane dotyczą, złożyła do organu ochrony danych skargę na administratora. Administrator uzyskał dostęp do poczty elektronicznej osoby, której dane dotyczą, za pośrednictwem wewnętrznej strony internetowej Islandzkiego Stowarzyszenia Medycznego, a następnie wysyłał jej niechciane wiadomości elektroniczne. Organ ochrony danych stwierdził, że taki dostęp był niezgodny z prawem ze względu na brak ważnej podstawy prawnej. Ponadto osoba, której dane dotyczą, poprosiła administratora o informacje na temat przetwarzania jej danych osobowych, takie jak pochodzenie adresu e-mail. Administrator nie zastosował się należycie do tego wniosku.Link
1427EstoniaAndmekaitse Inspektsioon2020-08-1756,00 €Pracownik służby zdrowiaArt. 5 RODO, Art. 6 RODODostęp do danych osobowych w bazie danych o zdrowiu na potrzeby prywatnej działalności badawczej.Link
1426HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-0924 000,00 €CAJA DE SEGUROS REUNIDOS, COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę na CAJA DE SEGUROS REUNIDOS, COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Osoba, której dane dotyczą, zawarła z administratorem polisę ubezpieczeniową, której beneficjentem był jej ówczesny partner życiowy. Po rozstaniu była partnerka życiowa zwróciła się do administratora o zmianę zapisu debetowego na składkę z konta osoby, której dane dotyczą, na jej konto. Administrator dokonał tej zmiany bez zgody osoby, której dane dotyczą. Organ ochrony danych uznał to za bezprawną zmianę danych osobowych osoby, której dane dotyczą. Pierwotna grzywna w wysokości 40 000 EUR została zmniejszona do 24 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1425HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-094 000,00 €PUNTO BADAL-BCN S.L.Art. 5 (1) f) RODO, Art. 32 (1) RODOHiszpański organ ochrony danych nałożył karę na agencję nieruchomości PUNTO BADAL-BCN S.L.. Administrator wysłał e-maile marketingowe do kilku osób z otwartej listy dystrybucyjnej, przez co adresy e-mail wszystkich odbiorców były widoczne dla pozostałych odbiorców. Pierwotna grzywna w wysokości 5.000 EUR została zmniejszona do 4.000 EUR z powodu dobrowolnej zapłaty.Link
1424WłochyGarante per la protezione dei dati personali (Garante)2022-07-0745 000,00 €Senseonics Inc.Art. 5 (1) a), b), f) RODO, Art. 6 RODO, Art. 7 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 27 RODOWłoski organ ochrony danych nałożył na Senseonics Inc. grzywnę w wysokości 45 000 EUR. Firma zgłosiła organowi ochrony danych naruszenie zgodnie z art. 33 RODO, polegające na przypadkowym wysłaniu przez pracownika kampanii informacyjnej pocztą elektroniczną do dużej liczby odbiorców na otwartej liście dystrybucyjnej. Umożliwiło to wszystkim odbiorcom wgląd w adresy e-mail innych odbiorców. Odbiorcami e-maili byli pacjenci z cukrzycą, co umożliwiło uzyskanie za ich pośrednictwem informacji o stanie zdrowia osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych stwierdził również inne naruszenia prywatności związane z systemem monitorowania glukozy produkowanym przez firmę. Pobierając aplikację monitorującą, użytkownicy byli zobowiązani do zaakceptowania zarówno umownych warunków użytkowania, jak i treści polityki prywatności za pomocą jednego "kliknięcia". Nie pozwalało im to na oddzielne wyrażenie zgody na poszczególne operacje przetwarzania, w tym na przetwarzanie danych dotyczących zdrowia. Ponadto organ ochrony danych stwierdził, że firma naruszyła zasady uczciwości i przejrzystości, dostarczając użytkownikom mylące, a czasem błędne informacje dotyczące przetwarzania danych osobowych. Ponadto firma nie wyznaczyła swojego przedstawiciela w Unii Europejskiej jako osoby kontaktowej we wszystkich kwestiach związanych z ochroną danych.Link Link
1423WłochyGarante per la protezione dei dati personali (Garante)2022-09-15100 000,00 €Region LazioArt. 5 ust. 1 lit. a) i d) RODO, art. 5 ust. 2 RODO, art. 6 RODO, art. 9 RODO, art. 12 RODO, art. 13 RODO, art. 14 RODO, art. 24 RODOWłoski organ ochrony danych nałożył na region Lazio grzywnę w wysokości 100 000 euro. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ otrzymała od regionalnego urzędu zdrowia zaproszenie do udziału w programie badań przesiewowych w kierunku raka szyjki macicy, które było skierowane do jej córki, która zmarła w 1995 roku. W trakcie dochodzenia organ ochrony danych odkrył, że dane córki nadal znajdowały się w bazie danych regionu, mimo że córka już nie żyła. Z tego powodu organ ochrony danych uznał, że region naruszył zasady dokładności i poprawności. Jako właściciel danych, Region powinien był zapewnić, że dane osobowe są dokładne i aktualizowane w razie potrzeby, a także podjąć wszelkie rozsądne kroki w celu usunięcia lub poprawienia informacji, z których korzystał w odpowiednim czasie. Oprócz powyższego Garante stwierdził również, że Region nie przekazał osobom, których dane dotyczą, wymaganych informacji na temat przetwarzania ich danych osobowych podczas wysyłania listów z zaproszeniem na kampanię badań przesiewowych w kierunku raka szyjki macicy. Nakładając grzywnę, organ ochrony danych wziął pod uwagę, jako czynnik obciążający, fakt, że Region otrzymał już wcześniej grzywnę.Link Link
1422Wielka BrytaniaInformation Commissioner (ICO)2022-10-041 547 000,00 €Easylife Ltd.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 (1) c) RODO, Rozporządzenie 21 PECRBrytyjski organ ochrony danych nałożył na Easylife Ltd. grzywnę w wysokości 1 547 000 EUR. Easylife jest detalistą, który sprzedaje artykuły gospodarstwa domowego, a także usługi i produkty w ramach klubów zdrowotnych, motoryzacyjnych, supercard i ogrodniczych. Przy zakupie niektórych produktów firma przyjmowała założenia dotyczące stanu zdrowia klienta, po czym klientowi oferowano telefonicznie lub SMS-em kolejne produkty do zakupu, które były związane z jego stanem zdrowia. Ze 122 produktów w katalogu Health Club firmy Easylife, 80 pozycji zostało sklasyfikowanych jako "produkty wyzwalające". Gdy klienci zakupili te produkty, Easlylife stworzył ich profil, aby skierować do nich produkt związany ze zdrowiem. Podczas dochodzenia organ ochrony danych stwierdził, że firma gromadziła i wykorzystywała dane osobowe (dane dotyczące zdrowia) łącznie 145 500 osób, których dane dotyczą, bez ich zgody, a nawet wiedzy. Organ ochrony danych stwierdził, że to "niewidoczne" przetwarzanie danych osobowych stanowiło poważne naruszenie praw osób, których dane dotyczą, ponieważ nie były one w stanie w ogóle korzystać ze swoich praw do prywatności i ochrony danych ze względu na brak wiedzy o przetwarzaniu. Ponadto firma wykonała 1 345 732 niezamówionych połączeń marketingowych do osób fizycznych bez ich zgody na te połączenia. Organ ochrony danych uznał to za naruszenie PECR.Link Link
1421HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-10-046 000,00 €Club Náutico el EstacioArt. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych (AEPD) nałożył na Club Náutico el Estacio grzywnę w wysokości 6 000 EUR. Osoba, której dane dotyczą, złożyła skargę na administratora do AEPD. Skarga wynika z faktu, że administrator opublikował na swojej stronie internetowej ogłoszenie i protokół ze zwyczajnego zebrania klubu, ujawniając dane osobowe bez ograniczeń dostępu.Link
1420DaniaDatatilsynet2021-08-1720 100,00 €Duńska Agencja ImigracyjnaArt. 5 (1) f) RODO, Art. 32 RODODuński organ ochrony danych nałożył na Duńską Agencję Imigracyjną grzywnę w wysokości 20 100 EUR. Doniesienia mediów zwróciły uwagę organu ochrony danych na możliwe błędy w logowaniu w jednym z systemów informatycznych agencji, które mogły mieć wpływ na prawa i wolności mieszkańców. W konsekwencji organ ochrony danych rozpoczął dochodzenie w agencji. Wiosną i latem 2020 r. w systemach agencji doszło do kilku incydentów bezpieczeństwa, w wyniku których utracono zapisy danych. Utrata danych doprowadziła do wszczęcia postępowań wobec szeregu rezydentów w sprawie obniżenia ich świadczeń pieniężnych, a także do zgłoszenia na policję szeregu rezydentów w związku z nieprzestrzeganiem przepisów ustawy o cudzoziemcach. W trakcie dochodzenia organ ochrony danych stwierdził, że do zaistnienia tego zdarzenia przyczynił się brak środków technicznych i organizacyjnych. Na przykład agencja nie wykonała odpowiednich kopii zapasowych przetwarzanych danych, chociaż byłoby to konieczne ze względu na konsekwencje prawne, jakie utrata danych mogłaby oznaczać dla imigrantów.

Przetłumaczono z www.DeepL.com/Translator (wersja darmowa)
Link
1419AustriaÖsterreichische Datenschutzbehörde (DSB)2021600,00 €Osoba fizycznaArt. 5 (1) a) RODO, Art. 9 (1), (2) RODOAustriacki organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 600,00 EUR. Osoba ta skontaktowała się z instytucją publiczną, aby zwrócić jej uwagę na fakt, że oświadczenie przedszkolanki, iż jest ona w 50% niepełnosprawna, nie odpowiadało rzeczywistości. W tym celu osoba ta przedłożyła sprawozdanie sądowe, które zawierało dane dotyczące zdrowia osoby, której dane dotyczą. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że przekazanie sprawozdania sądowego stanowiło bezprawne przetwarzanie danych osobowych przedszkolanki.Link
1418AustriaÖsterreichische Datenschutzbehörde (DSB)2021NieznanaOsoba fizycznaArt. 5 (1) a), c) RODOAustriacki organ ochrony danych ukarał grzywną osobę fizyczną. Osoba ta zainstalowała system monitoringu, który między innymi nagrywał również przestrzeń publiczną i przechowywał obrazy zbyt długo.Link
1417HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-2831 200,00 €BAYARD REVISTAS, S.A.Art. 5 (1) f) RODO, Art. 32 RODO, Art. 33 RODOHiszpański organ ochrony danych nałożył grzywnę na Bayard Revistas S.A.. Nieuprawnione osoby uzyskały dostęp do bazy danych Bayard, a tym samym w sposób nieuprawniony pozyskały dane lokalizacyjne i kontaktowe użytkowników bazy. Incydent dotyczył około 470 000 użytkowników. W wyniku dochodzenia przeprowadzonego przez organ ochrony danych ustalono, że do incydentu mogła doprowadzić luka w systemach administratora danych. Pierwotna grzywna w wysokości 52 000 EUR została zmniejszona do 31 200 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
1416WłochyGarante per la protezione dei dati personali (Garante)2022-07-213 000,00 €Azienda Socio Sanitaria Territoriale RhodenseArt. 5 (1) f) RODO, Art. 32 RODOWłoski organ ochrony danych ukarał Azienda Socio Sanitaria Territoriale Rhodense grzywną w wysokości 3 tys. euro. Zakład opieki zdrowotnej zgłosił utratę dokumentacji medycznej pacjenta. Kartoteka zawierała dane osobowe takie jak nazwisko, imię, płeć, data i miejsce urodzenia, numer podatkowy, miejsce zamieszkania, numery telefonów osoby, której dane dotyczą. Organ ochrony danych ustalił, że przyczyną zdarzenia był brak środków technicznych i organizacyjnych zapewniających ochronę danych osobowych w zakładzie opieki zdrowotnej.Link
1415WłochyGarante per la protezione dei dati personali (Garante)2022-07-2110 000,00 €Stay over s.r.l.Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 114 Codice della privacyWłoski organ ochrony danych ukarał firmę Stay Over s.r.l. grzywną w wysokości 10 000 EUR. Były pracownik złożył skargę do organu ochrony danych. Firma nie odpowiedziała w odpowiednim czasie na wniosek o dostęp do danych osobowych. Ponadto, po zakończeniu stosunku pracy spółka nadal przetwarzała dane ze skrzynki e-mailowej pracownika bez jego zgody.Link
1414WłochyGarante per la protezione dei dati personali (Garante)2022-07-212 000,00 €Global Service s.r.l.Art. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych ukarał Global Service s.r.l. grzywną w wysokości 2.000 EUR. Administrator zainstalował kamery monitoringu wideo w swoich pomieszczeniach bez odpowiedniego poinformowania osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informacyjny określony w RODO.Link
1413WłochyGarante per la protezione dei dati personali (Garante)2022-07-282 000,00 €Auto Hi-Fi System S.n.cArt. 5 (1) a), c) RODO, Art. 13 RODOWłoski organ ochrony danych ukarał Auto Hi-Fi System S.n.c grzywną w wysokości 2 000 euro. Administrator zainstalował system nadzoru wideo, który obejmował nie tylko drogę publiczną, ale także prywatną posesję. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie zamieścił znaku z informacją o systemie nadzoru wideo. Organ ochrony danych uznał to za naruszenie art. 13 RODO.Link
1412DaniaDatatilsynet2022-09-126 700,00 €Gmina HørsholmArt. 32 RODODuński organ ochrony danych nałożył na gminę Hørsholm grzywnę w wysokości 6 700 EUR. Gmina zgłosiła organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Skradziono komputer służbowy pracownika, który zawierał wrażliwe i poufne informacje dotyczące około 1600 pracowników gminy. W trakcie dochodzenia organ ochrony danych ustalił, że dane na komputerze nie były odpowiednio zabezpieczone oraz że gmina nie podjęła odpowiednich środków technicznych w celu ochrony danych osobowych.Link
1411HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-28720,00 €CLUB NATACIO LLEIDAArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył grzywnę na CLUB NATACIO LLEIDA. Administrator danych zainstalował system monitoringu wizyjnego, który rejestrował strefy kasowe obiektu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna w wysokości 1200 euro została zmniejszona do 720 euro ze względu na dobrowolną zapłatę i uznanie winy.Link
1410HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-28180,00 €Y OTRO MAS C.B.Art. 13 RODOHiszpański organ ochrony danych nałożył grzywnę na Y OTRO MAS C.B.. Administrator danych zainstalował system nadzoru wideo w kompleksie mieszkalnym. W trakcie dochodzenia organ ochrony danych stwierdził, że znak informacyjny o monitoringu wizyjnym nie zawierał wystarczających informacji o przetwarzaniu danych osobowych, administratorze danych i realizacji praw osób, których dane dotyczą. Organ ochrony danych uznał to za naruszenie art. 13 RODO. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR ze względu na uznanie odpowiedzialności i dobrowolną zapłatę.Link
1409RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-09-222 000,00 €Bitfactor SRLArt. 25 (1) RODO, Art. 32 (1), (2) RODORumuński organ ochrony danych nałożył na Bitfactor SRL grzywnę w wysokości 2 000 EUR. Administrator powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Z powodu nieprawidłowego działania aplikacji administratora do użytkowników strony internetowej wysyłane były wiadomości marketingowe, co spowodowało naruszenie poufności danych osobowych dotyczących 1757 osób, których dane dotyczą. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych osób, których dane dotyczą.Link
1408NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2022-09-215 000,00 €GeodetaArt. 6 (1) RODOOrgan ochrony danych w Badenii-Wirtembergii nałożył na geodetę grzywnę w wysokości 5.000 euro. Geodeta wykorzystał swoje uprawnienia do kontroli elektronicznego rejestru gruntów w celu zidentyfikowania kilkuset właścicieli nieruchomości w dwóch przypadkach bez ich wiedzy i przekazał odpowiednie informacje deweloperowi. Ten z kolei skontaktował się ze zidentyfikowanymi właścicielami. Organ ochrony danych ustalił, że zarówno geodeta, jak i deweloper bezprawnie przetwarzali dane właścicieli nieruchomości.Link
1407WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2022-09-251 200,00 €Ubezpieczyciel zdrowotnyArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 12 (3), (4) RODO, Art. 31 RODOWęgierski organ ochrony danych nałożył na ubezpieczyciela zdrowotnego grzywnę w wysokości 1 200 EUR. Ubezpieczyciel opublikował na swojej stronie internetowej wynik testu Covid-19 przeprowadzonego na osobie, której dane dotyczą. Umożliwiłoby to osobom nieuprawnionym dostęp do danych osobowych osoby, której dane dotyczą. Ponadto ubezpieczyciel nie współpracował odpowiednio z organem ochrony danych podczas prowadzonego przez niego dochodzenia.Link
1406WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2022-08-08735,00 €PrzedsiębiorstwoArt. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1), (2) RODOWęgierski organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 735 euro. Pewna osoba złożyła skargę na przedsiębiorstwo do organu ochrony danych. Pracownik przedsiębiorstwa dokonał nagrań dźwiękowych telefonem komórkowym podczas prac remontowych w domu skarżącego bez poinformowania go o tym.Link
1405PolskaUrząd ochrony danych osobowych (UODO)2022-09-07530,00 €Sułkowicki Ośrodek KulturyArt. 28 (1), (3), (9) RODOPolski organ ochrony danych nałożył na Sułkowicki Ośrodek Kultury karę w wysokości 530 euro. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator przekazał przetwarzanie danych osobowych podmiotowi przetwarzającemu bez zawarcia pisemnej umowy. Ponadto administrator nie zweryfikował podmiotu przetwarzającego i nie sprawdził, czy podmiot przetwarzający zapewnia wystarczające gwarancje, aby zapewnić podjęcie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1404HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-233 000,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1403RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-09-192 000,00 €Banca Comercială Română SAArt. 25 (1) RODO, Art. 32 (1) b), d), e) RODORumuński organ ochrony danych nałożył na Banca Comercială Română SA grzywnę w wysokości 2 tys. euro. Bank powiadomił organ ochrony danych o naruszeniu danych zgodnie z art. 33 RODO. Z powodu błędu w aplikacji informatycznej administratora, wiadomości e-mail zawierające dane osobowe klientów zostały wysłane do niewłaściwych odbiorców. To naruszenie danych spowodowało nieuprawnione ujawnienie i dostęp do niektórych danych osobowych, takich jak imię i nazwisko, adres domowy, numer telefonu, adres e-mail i informacje finansowe. Incydent dotknął 564 osoby. Organ ochrony danych stwierdził, że bank nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka przetwarzania.Link
1402HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-201 800,00 €Union Sindical ObreraArt. 6 RODOHiszpański organ ochrony danych nałożył grzywnę na związek zawodowy Union Sindical Obrera. Osoba fizyczna złożyła skargę do organu ochrony danych z powodu wielokrotnego otrzymywania wiadomości e-mail od administratora danych, mimo że zażądała usunięcia swoich danych. Pierwotna grzywna w wysokości 3 000 EUR została zmniejszona do 1 800 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
1401HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-162 000,00 €Agent agencji nieruchomości BARCELONA DREAM HOUSE AGENCYArt. 13 RODOHiszpański organ ochrony danych nałożył grzywnę w wysokości 2.000 euro na agenta agencji nieruchomości BARCELONA DREAM HOUSE AGENCY. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ agent nieruchomości nie poinformował jej w wystarczającym stopniu o przetwarzaniu jej danych osobowych w kontekście zawarcia umowy najmu. Brakowało na przykład informacji o celu przetwarzania, jak również o administratorze danych.Link
1400HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-163 000,00 €MARIELI GABRIELA, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył na MARIELI GABRIELA, S.L. grzywnę w wysokości 3.000 EUR. Jedna z osób złożyła skargę do organu ochrony danych, ponieważ przedsiębiorstwo obciążyło jej rachunek bankowy, mimo że nie istniał żaden stosunek umowny.Link
1399NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2022-09-2150 000,00 €Przedsiębiorstwo deweloperskieArt. 6 (1) RODO, Art. 14 RODOOrgan ochrony danych z Badenii-Wirtembergii nałożył na firmę deweloperską grzywnę w wysokości 50.000 EUR. Przedsiębiorstwo to wysłało do właściciela nieruchomości pismo, w którym złożyło ofertę cenową na zakup jego nieruchomości. Pismo nie zawierało żadnych informacji o pochodzeniu danych. Nawet po tym, jak właściciel zapytał przedsiębiorstwo, skąd pochodzą dane, przedsiębiorstwo nie udzieliło odpowiedzi. W trakcie dochodzenia organ ochrony danych odkrył, że inspektor wykorzystał swoje uprawnienia do kontroli elektronicznego rejestru gruntów i w dwóch przypadkach zidentyfikował kilkuset właścicieli nieruchomości bez ich wiedzy. Następnie geodeta przekazał odpowiednie informacje spółce, która skontaktowała się z właścicielami nieruchomości. Organ ochrony danych uznał to z jednej strony za naruszenie art. 6 (1) RODO, a z drugiej strony naruszenie art. 14 RODO ze względu na brak informacji o pochodzeniu danych.Link
1398NiemcyOrgan ochrony danych osobowych Berlina2022-09-20525 000,00 €PrzedsiębiorstwoArt. 38 (6) RODOOrgan ochrony danych w Berlinie nałożył grzywnę w wysokości 525 000 EUR na spółkę zależną grupy e-commerce z siedzibą w Berlinie. Firma ta powołała inspektora ochrony danych, który jednak był również dyrektorem zarządzającym dwóch firm usługowych, które przetwarzały dane osobowe w imieniu tej samej firmy, dla której pełnił funkcję inspektora ochrony danych. Te firmy usługowe są również częścią grupy, do której należy przedsiębiorstwo handlu elektronicznego. Organ ochrony danych uznał to za konflikt interesów i stwierdził naruszenie art. 38 (6) RODO. Organ ochrony danych już w 2021 roku wydał ostrzeżenie dla firmy z powodu konfliktu interesów. Kiedy nowa kontrola w tym roku ujawniła, że nie wyznaczono nowego inspektora ochrony danych, organ ochrony danych nałożył grzywnę.Link
1397HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-15600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również sąsiednią, wspólną drogę dojazdową. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny.Link
1396HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-041 500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości EUR. Osoba, której dane dotyczą, złożyła do organu ochrony danych skargę na swoją byłą żonę. Była żona zainstalowała we wspólnie zajmowanym domu kamery monitoringu, które nagrywały również jego pomieszczenia mieszkalne i tym samym ingerowały w jego prywatność. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1395HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-285 600,00 €SOLIVESA MASTER FRANCHISE S.L.Art. 28 RODO, Art. 48 (1) b) LGTHiszpański organ ochrony danych (AEPD) nałożył na SOLIVESA MASTER FRANCHISE S.L. grzywnę w wysokości 5.600 EUR. Osoba, której dane dotyczą, otrzymała od administratora połączenie reklamowe wykonane w imieniu Vodafone España, S.A.U., mimo że osoba ta była zarejestrowana na liście wykluczenia z reklam Robinsona.Link
1394HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-2848 000,00 €NATURGY ENERGY GROUP, S.A.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył grzywnę na NATURGY ENERGY GROUP, S.A.. Z przedsiębiorstwem energetycznym skontaktowała się osoba podająca się za krewnego klienta. Osoba ta poprosiła o otrzymywanie rachunków za energię elektryczną przy użyciu nowego adresu e-mail. W celu weryfikacji tożsamości osoba ta musiała podać imię i nazwisko, adres, numer dowodu osobistego, numer umowy oraz ostatnie 4 cyfry danych rachunku bankowego klienta. Organ ochrony danych stwierdził jednak, że ta weryfikacja nie spełniała wymogów RODO dotyczących weryfikacji tożsamości i uznał ją za naruszenie art. 5 (1) f) RODO oraz Art. 32 RODO. Pierwotna grzywna w wysokości 80 000 EUR została zmniejszona do 48 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1393RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-09-088 000,00 €Realmedia Network SAArt. 32 (1) b) RODO, Art. 32 (2) RODORumuński organ ochrony danych ukarał Realmedia Network SA grzywną w wysokości 8 tys. euro. Firma doznała naruszeń bezpieczeństwa na prowadzonej przez siebie stronie internetowej. Pozwoliło to na wyciek i nieuprawniony dostęp do danych. Dane te obejmowały nazwiska, imiona, numery telefonów, adresy e-mail, adresy pocztowe, podpisy, kopie dowodów osobistych, dane bankowe oraz informacje z wypisów z ksiąg wieczystych osób, których dane dotyczyły. W sumie incydent bezpieczeństwa dotknął 194 309 osób. Organ ochrony danych stwierdził, że firma nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa danych odpowiedniego do ryzyka przetwarzania.Link
1392HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-1610 000,00 €SOPHIE ET VOILA, S.LArt. 6 RODOHiszpański organ ochrony danych nałożył na SOPHIE ET VOILA, S.L. grzywnę w wysokości 10 000 EUR. Firma produkująca suknie ślubne opublikowała na swoim koncie na Instagramie zdjęcie klientki w sukni ślubnej bez zgody klientki. Z tego powodu organ ochrony danych stwierdził, że przetwarzanie danych osobowych klienta było niezgodne z prawem.Link
1391HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-16480,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na osobę fizyczną. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Pierwotna grzywna w wysokości 600 euro została zmniejszona do 480 euro ze względu na dobrowolną zapłatę.Link
1390WłochyGarante per la protezione dei dati personali (Garante)2022-06-162 000,00 €Federazione Italiana NuotoArt. 12 (3), (4) RODO, Art. 15 RODOWłoski organ ochrony danych (Garante) ukarał Federazione Italiana Nuoto grzywną w wysokości 2 000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych.Link
1389WłochyGarante per la protezione dei dati personali (Garante)2022-06-305 000,00 €Federazione Italiana Sommelier, Albergatori e RistoratoriArt. 5 (1) a), f) RODO, Art. 6 (1) RODOWłoski organ ochrony danych nałożył na Federazione Italiana Sommelier, Albergatori e Ristoratori grzywnę w wysokości 5 tys. euro. Federacja przesłała wszystkim pozostałym członkom protokół zawierający dane osobowe jednego z członków. Protokół ujawnił informacje o środku dyscyplinarnym wobec danego członka, chociaż środek ten nie był jeszcze prawnie wiążący i został później uchylony. Ponadto, środek dyscyplinarny był nadal publikowany na platformie w chmurze, nawet po jego odwołaniu.Link
1388HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-04360,00 €Właściciel sklepuArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na właściciela sklepu. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 600 EUR została zmniejszona do 360 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1387HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-0620 000,00 €MUXERS CONCEPT, S.L.Art. 6 RODOHiszpański organ ochrony danych nałożył na MUXERS CONCEPT, S.L. grzywnę w wysokości 20 000 EUR. Spółka zainstalowała kamery i mikrofony monitoringu wideo w szatni pracowników w jednej z prowadzonych przez siebie restauracji. Organ ochrony danych stwierdził, że nie istniała podstawa prawna dla tak szerokiego przetwarzania danych osobowych pracowników, a zatem przetwarzanie było niezgodne z prawem.Link
1386HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-09180,00 €EURO DONER KEBABArt. 5 (1) c) GDPR, Art. 13 GDPRHiszpański organ ochrony danych (AEPD) nałożył karę na firmę EURO DONER KEBAB. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 300 EUR została zmniejszona do 180 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1385RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-09-092 000,00 €SC Raiffeisen Bank SAArt. 5 (1) d) RODORumuński organ ochrony danych nałożył na SC Raiffeisen Bank SA grzywnę w wysokości 2.000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z otrzymywaniem wiadomości tekstowych dotyczących przelewów pieniężnych na rzecz określonych osób, których nie dokonała. W trakcie dochodzenia organ ochrony danych ustalił, że w 44 przypadkach bank przypadkowo wykorzystał numer telefonu osoby, której dane dotyczą, do celów transakcji. Osoba, której dane dotyczą, nie była klientem banku i nie wnioskowała o przeprowadzenie transakcji.Link
1384HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-09300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1383HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-132 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 2.000 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1382FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-09-13250 000,00 €GIE INFOGREFFEArt. 5 (1) e) RODO, Art. 32 RODOFrancuski organ ochrony danych nałożył na GIE INFOGREFFE karę w wysokości 250 tys. euro. Portal ten prowadzi stronę internetową, na której ludzie mogą uzyskać dostęp do informacji prawnych o firmach i zamówić dokumenty poświadczone przez sądy gospodarcze. W ramach dochodzenia organ ochrony danych stwierdził, że dane osobowe 25% członków i subskrybentów, takie jak dane bankowe, nazwiska, imiona, adresy i numery telefonów, były przechowywane dłużej niż zamierzano (36 miesięcy). Organ ochrony danych uznał to za naruszenie art. 5 (1) e) RODO. Ponadto organ ochrony danych stwierdził, że portal nie wymagał stosowania bezpiecznego hasła przy tworzeniu konta, w wyniku czego 3,7 mln kont nie miało wystarczająco bezpiecznego hasła. Ponadto portal przekazywał hasła umożliwiające dostęp do kont w sposób niezaszyfrowany za pośrednictwem poczty elektronicznej. Poza tym portal przechowywał również hasła oraz tajne pytania i odpowiedzi wykorzystywane podczas procesu resetowania haseł przez użytkowników w bazie danych bez szyfrowania. Z tego powodu organ ochrony danych stwierdził, że portal nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link Link
1381HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-13300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 300 euro. Osoba fizyczna zainstalowała na swojej posesji trzy kamery monitoringu, które między innymi obejmowały również drogę dojazdową sąsiada.Link
1380NorwegiaDatatilsynet2022-08-2520 000,00 €Recover ASArt. 6 (1) e) RODONorweski organ ochrony danych (Datatilsynet) ukarał Recover AS grzywną w wysokości 20 000 euro. Administrator danych przeprowadził kontrolę kredytową osoby, której dane dotyczą, bez żadnej ważnej podstawy prawnej.Link
1379HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-09-01240,00 €MH VILASECA S.L.Art. 13 RODOHiszpański organ ochrony danych nałożył karę pieniężną na MH VILASECA S.L.. Administrator udostępniał informacji o monitoringu wideo w swoich pomieszczeniach. Pierwotna grzywna w wysokości 400 EUR została zmniejszona do 240 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1378HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-301 700,00 €Bazar PekinArt. 13 RODO, Art. 30 RODOHiszpański organ ochrony danych nałożył na Bazar Pekin karę w wysokości 1 700 euro. Administrator nie dostarczył zawiadomienia z informacją o monitoringu wizyjnym w swojej siedzibie. Ponadto administrator nie prowadził właściwego rejestru czynności przetwarzania.Link
1377RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-08-291 000,00 €Alpha Bank Romania SAArt. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODORumuński organ ochrony danych nałożył na Alpha Bank Romania SA grzywnę w wysokości 1 tys. euro. Bank przypadkowo wysłał dokument do niewłaściwego odbiorcy za pośrednictwem aplikacji WhatsApp. Dokument zawierał dane osobowe czterech osób, których dane dotyczą, takie jak imiona i nazwiska oraz informacje na temat pożyczek i umów. Podczas dochodzenia organ ochrony danych stwierdził, że bank nie wdrożył wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1376HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-281 200,00 €DIGITECNIA SOLUTIONS, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę na DIGITECNIA SOLUTIONS, S.L.. Osoba fizyczna złożyła skargę do organu ochrony danych z powodu opublikowania przez firmę jej zdjęcia bez jej zgody. Pierwotna grzywna w wysokości 2.000 EUR została zmniejszona do 1.200 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności.Link
1375HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-303 000,00 €COLEGIO VILLAEUROPA, S.C.LArt. 13 RODOHiszpański organ ochrony danych nałożył grzywnę na COLEGIO VILLAEUROPA, S.C.L. Szkoła nie dostarczyła wystarczających informacji na temat monitoringu wideo, zgodnie z wymogami art. 13 RODO. Znak informacyjny nie zawierał ani odniesienia do administratora danych, ani adresu, z którym można się skontaktować w przypadku chęci skorzystania z praw przysługujących podmiotom danych. Pierwotna grzywna w wysokości 5 000 EUR została zmniejszona do 3 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1374HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-25480,00 €SERVICIOS PROFESIONALES LA PARADA S.L.Art. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na SERVICIOS PROFESIONALES LA PARADA S.L.. Firma miała zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Pierwotna grzywna w wysokości 800 EUR została zmniejszona do 480 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1373IrlandiaData Protection Commission (DPC)2022-09-05405 000 000,00 €Meta Platforms, Inc.Art. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 24 RODO, Art. 25 (1), (2) RODO, Art. 35 RODOIrlandzki organ ochrony danych (DPC) nałożył na Meta Platforms, Inc (Instagram) grzywnę w wysokości 405 000 000 EUR. Po przeprowadzeniu dochodzenia organ przekazał projekt decyzji na podstawie art. 60 RODO innym zainteresowanym europejskim organom nadzorczym. W pierwotnym projekcie zaproponowano grzywnę w wysokości 30-50 mln EUR. DPC otrzymała następnie zastrzeżenia od sześciu organów nadzorczych, co doprowadziło do procedury rozstrzygania sporów w Europejskiej Radzie Ochrony Danych (EROD) w Brukseli. W swojej decyzji EROD zwróciła się do DPC o zwiększenie proponowanej grzywny. Dochodzenie DPC wykazało, że na kontach biznesowych na Instagramie osób niepełnoletnich publicznie wyświetlane były ich numery telefonów komórkowych i adresy e-mail. Ponadto ustawienia kont nieletnich użytkowników były domyślnie ustawione na "publiczne", co powodowało, że ich treści w mediach społecznościowych były publicznie widoczne, chyba że zmienili oni ustawienia konta. Naruszenie potencjalnie dotyczy milionów nastolatków.Link Link
1372HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-302 000,00 €Sindicato Intersectorial Trabajadores/as Provincia de AlicanteArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył grzywnę w wysokości 2 tys. euro na związek Sindicato Intersectorial Trabajadores/as Provincia de Alicante. Związek opublikował protokoły rady zakładowej na swojej tablicy ogłoszeń oraz w grupie WhatsApp. W rezultacie opublikowano odręczne podpisy wszystkich przedstawicieli związku w radzie zakładowej.Link
1371RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-07-074 000,00 €E Software Concept SRLArt. 32 (1) b), (2) RODO, Art. 58 (1) a), e) RODO.Rumuński organ ochrony danych nałożył na E Software Concept SRL grzywnę w wysokości 4 000 EUR. Firma ta zamieściła na swojej stronie internetowej pewne dokumenty, które były publicznie dostępne. Dokumenty te zawierały między innymi faktury i dokumenty transportowe. Dokumenty te zawierały liczne dane osobowe, takie jak imię, nazwisko, adres nadawcy i odbiorcy, numer telefonu, nazwy użytkowników i hasła oraz adresy e-mail. W trakcie dochodzenia organ ochrony danych stwierdził, że do publicznego ujawnienia doszło w wyniku niewdrożenia przez przedsiębiorstwo odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Organ ochrony danych stwierdził również, że w trakcie dochodzenia przedsiębiorstwo nie zastosowało się do wniosków o udzielenie informacji wystosowanych przez organ ochrony danych.Link
1370RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-08-2210 000,00 €Enel Energie Muntenia S.A.Art. 32 RODORumuński organ ochrony danych ukarał Enel Energie Muntenia S.A. grzywną w wysokości 10.000 EUR. Jeden z klientów omyłkowo otrzymał e-mail skierowany do innego klienta, zawierający dokumenty z danymi osobowymi tego drugiego klienta. W trakcie dochodzenia organ ochrony danych stwierdził, że do incydentu doszło z powodu niepodjęcia przez spółkę odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1369WłochyGarante per la protezione dei dati personali (Garante)2022-06-1670 000,00 €Unicredit S.p.A.Art. 12 RODO, Art. 15 RODOWłoski organ ochrony danych nałożył na Unicredit S.p.A. grzywnę w wysokości 70 000 EUR. Jeden z pracowników złożył skargę do organu ochrony danych, twierdząc, że jego prawo do dostępu do swoich danych osobowych nie było wystarczająco przestrzegane. Przedsiębiorstwo wymagało wypełnienia specjalnego formularza w celu uzyskania dostępu do danych osobowych. W trakcie dochodzenia organ ochrony danych stwierdził, że wymóg wypełnienia formularza nieproporcjonalnie utrudniał korzystanie z prawa dostępu.Link
1368WłochyGarante per la protezione dei dati personali (Garante)2022-06-0910 000,00 €Cribis Credit Management s.r.l.Art. 5 (1) a), c) RODO, Art. 6 RODOWłoski organ ochrony danych ukarał Cribis Credit Management s.r.l. grzywną w wysokości 10 tys. euro. Firma ta nieumyślnie wysłała e-mail o opóźnionych płatnościach z tytułu abonamentu do szefa podmiotu danych. Dzięki temu szef uzyskał dostęp do danych osobowych swojego pracownika, takich jak imię, nazwisko i informacje o statusie płatności.Link
1367HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-071 800,00 €FINCAS ARENYS SLArt. 13 RODOHiszpański organ ochrony danych nałożył grzywnę na FINCAS ARENYS SL. Jedna z osób złożyła skargę do organu ochrony danych. Osoba ta skontaktowała się z firmą zajmującą się obrotem nieruchomościami w celu wynajęcia nieruchomości. Firma zażądała przy tym pewnych dokumentów dotyczących wynajmu, nie informując jednak osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych w ramach procesu wynajmu. Pierwotna grzywna w wysokości 3 000 EUR została zmniejszona do 1 800 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1366HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-12800,00 €SMART ELECTRIC SOLUTIONS, S.L.Art. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na firmę SMART ELECTRIC SOLUTIONS, S.L. grzywnę w wysokości 800 euro. Firma miała zainstalowane kamery monitoringu wizyjnego, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1365HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-22600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1364HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-22900,00 €UNONO NET 3.0, S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył grzywnę na UNONO NET 3.0, S.L.. Firma ta przekazała wiadomość e-mail do wielu odbiorców bez użycia funkcji "ukrytej kopii", przez co wszyscy odbiorcy mogli zobaczyć adresy e-mail innych odbiorców. Pierwotna grzywna w wysokości 1500 EUR została zmniejszona do 900 EUR dzięki dobrowolnej zapłacie i uznaniu odpowiedzialności.Link
1363GrecjaHellenic Data Protection Authority (HDPA)2022-07-1930 000,00 €DO VALUE GREECE LOANS & CREDITS CLAIM MANAGEMENT S.A.Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 12 (2) RODOGrecki organ ochrony danych nałożył na DO VALUE GREECE LOANS & CREDITS CLAIM MANAGEMENT S.A. grzywnę w wysokości 30 000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych w związku z otrzymywaniem od firmy licznych telefonów dotyczących długów, które zostały już uregulowane. Osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu swoich danych i zażądała natychmiastowego zaprzestania połączeń, a także usunięcia jej danych osobowych z bazy danych spółki. W trakcie dochodzenia organ ochrony danych stwierdził, że spółka w sposób niezgodny z prawem utrudniała wykonywanie praw osoby, której dane dotyczą.Link
1362GrecjaHellenic Data Protection Authority (HDPA)2022-08-0330 000,00 €Prywatna Poliklinika i Centrum Diagnostyczne Pyle AxiouArt. 5 (1) f) RODOGrecki organ ochrony danych nałożył na Prywatną Poliklinikę i Centrum Diagnostyczne Pyle Axiou grzywnę w wysokości 30 000 EUR. Pacjent zwrócił się o dostęp do danych z badania obrazowego. Ze względu na brak dostępności obrazów klinika nie mogła pozytywnie rozpatrzyć wniosku o dostęp. Organ ochrony danych stwierdził, że klinika nie zapewniła odpowiedniego miejsca do przechowywania obrazów i tym samym naruszyła art. 5 (1) f) RODO.Link
1361FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-08-19600 000,00 €ACCOR SAArt. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 21 RODO, Art. 32 RODO, L. 34-5 CPCEFrancuski organ ochrony danych (CNIL) nałożył na spółkę ACCOR SA karę w wysokości 600 000 EUR. Zarówno CNIL jak i inne europejskie organy ochrony danych otrzymały skargi na ACCOR od kilku osób. W trakcie dochodzenia CNIL stwierdziła, że goście hotelowi, którzy dokonali rezerwacji bezpośrednio w hotelu lub na jednej ze stron internetowych grupy hotelowej, stali się automatycznie odbiorcami biuletynu reklamowego, ponieważ pole zgody na otrzymywanie biuletynu było wcześniej zaznaczone. Ponadto CNIL stwierdziła, że z powodu problemów technicznych wiele osób nie było w stanie zrezygnować z otrzymywania promocyjnych wiadomości e-mail. W tym kontekście CNIL stwierdziła, że ACCOR nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w kontekście wiadomości promocyjnych, a tym samym naruszył art. 12 RODO i art. 13 RODO. Ponadto ACCOR nie odpowiedział na wnioski osób, których dane dotyczą, o dostęp do danych osobowych w odpowiednim czasie, a zatem CNIL stwierdził naruszenie art. 12 RODO i art. 15 RODO. Spółka nie przestrzegała również prawa do sprzeciwu przysługującego osobom, których dane dotyczą, ze względu na problemy techniczne. CNIL stwierdziła zatem naruszenie art. 12 RODO i art. 21 RODO. Wreszcie CNIL stwierdziła naruszenie art. 32 RODO, ponieważ ACCOR zezwolił na stosowanie haseł, które nie były wystarczająco bezpieczne. Nakładając grzywnę, CNIL uznała za obciążający fakt, że naruszenia dotyczyły kilku podstawowych zasad ochrony danych osobowych i stanowiły podstawowe naruszenie praw osób, których dane dotyczą, a także liczbę osób, których dane dotyczą.Link Link
1360SłowacjaÚrad na ochranu osobných údajov (UOOU)202140 000,00 €NieznanyArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 28 RODOSłowacki organ ochrony danych nałożył na administratora danych grzywnę w wysokości 40 000 EUR. Administrator naruszył zasadę rozliczalności (brak dowodu na przeprowadzenie oceny skutków dla ochrony danych) oraz zasadę zgodności z prawem, rzetelności i przejrzystości. Ponadto administrator nie zawarł umowy z podmiotem przetwarzającym.Link
1359SłowacjaÚrad na ochranu osobných údajov (UOOU)2021100,00 €NieznanyNieznanaBezprawny monitoring wizyjny na terenie ogródków działkowych.Link
1358SłowacjaÚrad na ochranu osobných údajov (UOOU)2021500,00 €NieznanyArt. 31 RODOSłowacki organ ochrony danych nałożył na administratora danych karę w wysokości 500 EUR za brak współpracy z organem ochrony danych.Link
1357HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-121 600,00 €JOYPAZAR, S.A.Art. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na firmę JOYPAZAR, S.A. grzywnę w wysokości 1.600. Firma ta miała zainstalowane kamery monitoringu, które m.in. obejmowały również publiczny plac zabaw. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1356HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-126 000,00 €FREE SUN ENERGY S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył grzywnę na FREE SUN ENERGY S.L.. Klient firmy złożył skargę do organu ochrony danych, ponieważ zamiast swojej faktury otrzymał fakturę innego klienta, zawierającą jego dane osobowe. Pierwotna grzywna w wysokości 10.000 euro została zmniejszona do 6.000 euro z powodu dobrowolnej zapłaty i uznania winy.Link
1355HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-153 600,00 €ECOZONO Y CULTURA, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę na ECOZONO Y CULTURA, S.L.. Econzo, za pośrednictwem usługodawcy, gromadził dane od osób, których dane dotyczą, które zgodziły się na ich ujawnienie w celu przeprowadzenia badań. Dane te zostały jednak później wykorzystane do skontaktowania się z tymi osobami w celach reklamowych. Pierwotna grzywna w wysokości 6 000 EUR została zmniejszona do 3 600 EUR w związku z dobrowolną zapłatą i uznaniem winy.Link
1354WłochyGarante per la protezione dei dati personali (Garante)2021-04-292 000,00 €Gmina Santa NinfaArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacyWłoski organ ochrony danych nałożył na gminę Santa Ninfa grzywnę w wysokości 2 tys. euro. Gmina opublikowała na swojej stronie internetowej uchwałę, która zawierała dane osobowe, takie jak imię i nazwisko oraz wzmianki o tytule wykonawczym osoby, której dane dotyczą.Link
1353WłochyGarante per la protezione dei dati personali (Garante)2021-09-161 000,00 € Farpa s.r.l.Art. 5 (1) a) RODO, Art. 13 RODO, Art. 88 RODO, Art. 114 Codice della privacyWłoski organ ochrony danych nałożył na firmę Farpa s.r.l. grzywnę w wysokości 1.000 EUR. Firma zainstalowała systemy nadzoru wideo w prowadzonych przez siebie obiektach socjalnych, jednak ich konkretne zastosowanie nie było dozwolone. Organ ochrony danych stwierdził, że system nadzoru wideo miał inne cechy niż te zatwierdzone i został zainstalowany w innym miejscu niż zatwierdzony. Organ ochrony danych stwierdził również, że firma nie poinformowała w wystarczającym stopniu osób, których dane dotyczą o monitoringu wideo.Link
1352Wyspa ManInformation Commissioner2022-07-13202 000,00 €Manx Care LtdArt. 5 (1) c), f) RODO, Art. 5 (2) RODO, Art. 24 RODO, Art. 25 RODO, Art. 32 RODO, Art. 34 RODO, Art. 58 RODOOrgan ochrony danych na Wyspie Man nałożył na Manx Care Ltd. grzywnę w wysokości 202 000 EUR. Manx Care wysłał pocztą elektroniczną niezabezpieczony załącznik zawierający poufne informacje zdrowotne pacjenta do ponad 1870 odbiorców. Organ ochrony danych wydał następnie nakaz egzekucji wobec Manx Care. Manx Care nie zastosował się jednak do nakazów organu ochrony danych. W związku z tym organ ochrony danych podjął decyzję o nałożeniu na firmę grzywny. Organ ochrony danych stwierdził przede wszystkim, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ponadto organ ochrony danych stwierdził, że firma naruszyła zasadę minimalizacji danych zgodnie z art. 5 (1) c) RODO poprzez wysyłanie danych pacjenta do osób niezwiązanych z opieką nad pacjentem. Wreszcie organ ochrony danych stwierdził, że firma nie poinformowała osoby, której dane dotyczą, o naruszeniu danych.Link Link
1351HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-165 000,00 €RODALI GESTIÓN INMOBILIARIA, S.L.Art. 13 RODOHiszpański organ ochrony danych nałożył na RODALI GESTIÓN INMOBILIARIA, S.L. grzywnę w wysokości 5.000 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych, ponieważ administrator danych nie poinformował jej o przetwarzaniu jej danych osobowych w kontekście zakupu mieszkania. Z tego powodu organ ochrony danych uznał, że administrator naruszył swoje obowiązki informacyjne wynikające z art. 13 RODO.Link
1350NiemcyOrgan ochrony danych osobowych kraju związkowego Saara2021NieznanaOrganizacja politycznaNieznanaPracownik organizacji politycznej wysłał e-mail do 400 osób z otwartej listy dystrybucyjnej. W ten sposób adresy e-mail wszystkich odbiorców były nie tylko widoczne dla innych odbiorców, ale również ujawniły orientację polityczną odbiorców.Link
1349NiemcyOrgan ochrony danych osobowych kraju związkowego Saara2021NieznanaRestauracjaArt. 24 RODO, Art. 32 RODORestauracja wyrzuciła 120 wypełnionych formularzy rejestracji gości do celów śledzenia kontaktów podczas pandemii Covid-19 do publicznie dostępnego śmietnika. W trakcie dochodzenia organ ochrony danych stwierdził również, że już w trakcie działalności restauracja nie wdrożyła odpowiednich zabezpieczeń w celu ochrony danych przetwarzanych podczas procesu rejestracji gości. Na przykład wypełnione formularze rejestracji gości były przechowywane w sąsiednim pomieszczeniu dostępnym dla wszystkich pracowników bez specjalnych środków bezpieczeństwa, takich jak zamykana szafka.Link
1348NiemcyOrgan ochrony danych osobowych kraju związkowego Szlezwik-Holsztyn2021NieznanaPracownik bankuNieznanaPracownik banku przez okres około roku regularnie uzyskiwał dostęp do danych dotyczących rachunku bankowego klienta banku w celach prywatnych.Link
1347NiemcyOrgan ochrony danych osobowych kraju związkowego Szlezwik-Holsztyn2021NieznanaNieznanyNieznanaPracownik centrum testowego Covid wykorzystał numer telefonu uczestnika testu do prywatnego kontaktu.Link
1346NiemcyOrgan ochrony danych osobowych kraju związkowego Szlezwik-Holsztyn2021NieznanaLekarzArt. 32 RODOLekarz przechowywał dokumentację pacjentów w otwartej wiacie samochodowej, a nie w zamkniętym pomieszczeniu.Link
1345NiemcyOrgan ochrony danych osobowych kraju związkowego Szlezwik-Holsztyn2021NieznanaLekarzArt. 32 RODOGabinet lekarski wyrzucał dokumentację pacjentów do pojemnika na makulaturę używanego przez kilka gabinetów.Link
1344NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia2021NieznanaWłaściciel siłowniNieznanaWłaściciel siłowni przeprosił za późne jej otwarcie, ale jednocześnie przerzucił odpowiedzialność na wskazanego pracownika. W efekcie doszło do bezprawnego ujawnienia jego danych osobowych.Link
1343NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia2021NieznanaOsoba fizycznaNieznanaOsoba fizyczna nagrała telefonem komórkowym poufne nagrania wideo podczas rozprawy sądowej.Link
1342NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia2021NieznanaOsoba fizycznaNieznanaMieszkaniec budynku mieszkalnego dokonał bezprawnie nagrań wideo, które między innymi obejmowały części wspólnie użytkowanego wewnętrznego dziedzińca.Link
1341HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-12180,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 180 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1340NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia2021NieznanaOsoba fizycznaArt. 5 (1) c) RODOOsoba fizyczna zainstalowała kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną.Link
1339NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia2021Kwoty między 100, a 1000 euroOsoba fizycznaArt. 6 RODODziewiętnaście grzywien w wysokości od 100 do 1 000 EUR za bezprawne użycie kamer samochodowych.Link
1338NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2021NieznanaNieznanyArt. 32 RODOObraz z kamer w sklepie został rozpowszechniony bez wiedzy i zamiaru administratora z powodu wadliwej konfiguracji. Dystrybucja dotyczyła nagrań pracowników, jak i klientów.Link
1337NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2021NieznanaNieznanyArt. 32 RODOMonitoring na żywo, który był dostępny przez Internet i ze względu na brak wystarczającej pikselacji lub redakcji pozwalał na rozpoznanie osób.Link
1336NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2021NieznanaPrzedsiębiorstwoArt. 25 RODO, Art. 32 RODOPewna firma przechowywała sprzęt telekomunikacyjny, serwer i technologię backupu w łazience dla gości. Szafa serwerowa, która nie miała nienaruszonego zamka, służyła również jako przewijak.Link
1335NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia202116 000,00 €Sklep z elektronikąArt. 5 (1) c) RODO, Art. 17 RODO, Art. 35 (3) RODOOrgan ochrony danych z Dolnej Saksonii nałożył na sklep z elektroniką grzywnę w wysokości 16.000 euro. Firma miała zainstalowany system monitoringu wizyjnego, który w sposób ciągły rejestrował pracowników, klientów, jak również pomieszczenia i urządzenia techniczne firmy. Monitoring został zainstalowany w celu ochrony klientów, pracowników, zabezpieczenia praw własności firmy oraz ścigania czynów przestępczych i wandalizmu. Organ ochrony danych stwierdził, że nagrywanie pracowników nie było konieczne do zapewnienia celów związanych z monitoringiem wizyjnym i dlatego było nieproporcjonalne. Organ ochrony danych uznał zatem, że administrator naruszył zasadę minimalizacji danych wynikającą z art. 5 (1) c) RODO. Organ ochrony danych stwierdził również, że firma przechowywała nagrania nadmiernie długo, a ponadto nie przeprowadziła oceny skutków dla ochrony danych.Link
1334HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-059 000,00 €Prodesspa Decoratius i Pintures , S.L.Art. 6 RODOHiszpański organ ochrony danych nałożył grzywnę na firmę Prodesspa Decoratius i Pintures , S.L.. Były pracownik złożył skargę do organu ochrony danych w związku z bezprawnym ujawnieniem przez firmę jego danych agencji informacji kredytowej. Pierwotna grzywna w wysokości 15 000 EUR została zmniejszona do 9 000 EUR z powodu dobrowolnej zapłaty i przyznania się do odpowiedzialności.Link
1333HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-03600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną i posesję sąsiada. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1332HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-08600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1331RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-08-091 000,00 €Wabag Water Services SRLArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODORumuński organ ochrony danych nałożył na SC Wabag Water Services SRL grzywnę w wysokości 1 000 EUR. Pracownik firmy złożył skargę do organu ochrony danych w związku z tym, że pracodawca przetwarzał jego dane osobowe bez jego zgody w celu rejestracji i rezerwacji terminu szczepienia Covid-19.Link
1330DaniaDatatilsynet2022-08-116 700,00 €Gmina LollandArt. 32 RODODuński organ ochrony danych nałożył na gminę Lolland grzywnę w wysokości 6 700 EUR. Gmina zgłosiła organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Jednemu z pracowników gminy skradziono telefon służbowy. Pracownik wykorzystał telefon do uzyskania dostępu do służbowego konta e-mail, które zawierało informacje o nazwiskach kilku obywateli, numerach ubezpieczenia społecznego i danych dotyczących zdrowia. W trakcie dochodzenia organ ochrony danych ustalił, że telefon nie był chroniony hasłem. Dlatego też możliwy był dostęp do informacji przechowywanych w telefonie. Organ ochrony danych stwierdził, że do zdarzenia doszło z powodu niepodjęcia przez gminę wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Gmina powinna była zadbać przynajmniej o to, aby każdy pracownik zabezpieczył swój telefon komórkowy hasłem.Link
1329HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-08600,00 €Właściciel restauracjiArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na właściciela restauracji karę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku właściwego poinformowania o CCTV.Link
1328RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-08-097 000,00 €CDI Transport Intern și Internațional SRLArt. 12 (1) RODO, Art. 58 (1) a), e) RODORumuński organ ochrony danych nałożył na CDI Transport Intern și Internațional SRL grzywnę w wysokości 7 000 EUR. W trakcie dochodzenia organ ochrony danych stwierdził, że na stronie internetowej przedsiębiorstwa nie było informacji o tym, jakie prawa przysługują osobom, których dane dotyczą, zgodnie z RODO, i jak mogą one z tych praw korzystać. Ponadto przedsiębiorstwo nie dostarczyło organowi ochrony danych wymaganych informacji w odpowiednim czasie.Link
1327WłochyGarante per la protezione dei dati personali (Garante)2021-05-1320 000,00 €Synlab Med srlArt. 5 (1) a), c) RODO, Art. 9 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na Synlab Med srl grzywnę w wysokości 20 000 EUR. Firma ta przeprowadzała testy Covid-19 dla różnych regionalnych urzędów zdrowia. W związku z tym firma nieumyślnie przesłała wyniki testów 31 osób do niewłaściwego urzędu zdrowia.Link
1326WłochyGarante per la protezione dei dati personali (Garante)2022-08-0126 000,00 €Gmina PolicoroArt. 5 (1) a), e) RODO, Art. 5 (2) RODO, Art. 12 RODO, Art. 13 RODO, Art. 24 RODO, Art. 38 (6) RODOWłoski organ ochrony danych nałożył na gminę Policoro grzywnę w wysokości 26 000 euro. Gmina zainstalowała system nadzoru wideo, nie dostarczając jednak wystarczających informacji na temat nadzoru. Ponadto organ ochrony danych stwierdził, że gmina nie ustaliła okresu przechowywania nagrań z monitoringu wideo i przechowywała je przez zbyt długi czas. Ponadto organ ochrony danych stwierdził, że gmina nie dopełniła obowiązków związanych z wyznaczeniem inspektora ochrony danych. Gmina wyznaczyła swojego pełnomocnika na inspektora ochrony danych, co zdaniem organu ochrony danych stanowiło konflikt interesów.Link
1325HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-019 600,00 €LAST LAP, S.L.Art. 6 RODO, Art. 9 RODOHiszpański organ ochrony danych nałożył grzywnę na firmę LAST LAP, S.L.. Last Lap organizuje bieg drogowy San Silvestre. Uczestnicy wyścigu byli zobowiązani do okazania świadectwa szczepienia lub przedstawienia testu PCR lub antygenu przed startem. Podczas dochodzenia organ ochrony danych stwierdził, że firma nie miała skutecznej podstawy prawnej do przetwarzania danych dotyczących zdrowia. Pierwotna grzywna w wysokości 16 000 EUR została zmniejszona do 9 600 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1324HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-293 000,00 €ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L.Art. 5 (1) f) RODO, Art. 32 (1) RODOHiszpański organ ochrony danych nałożył na ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. grzywnę w wysokości 3 000 EUR. Pracownik złożył skargę do organu ochrony danych. Pracownik stwierdził, że przy zatrudnieniu otrzymał dostęp do firmowego konta e-mail. Jednakże po uzyskaniu dostępu do konta odkryła, że konto e-mail nie było w rzeczywistości jej kontem, ale raczej kontem e-mail innego pracownika. W ten sposób miała dostęp do wszystkich e-maili wysyłanych i otrzymywanych przez tego drugiego pracownika. W trakcie dochodzenia organ ochrony danych ustalił, że administrator nie skonfigurował odpowiednio konta i tym samym naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1323HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-042 000,00 €JAÉN SENTIDO Y COMÚNArt. 5 (1) f) RODO, Art. 32 (1) RODOHiszpański organ ochrony danych nałożył na JAÉN SENTIDO Y COMÚN grzywnę w wysokości 2 000 EUR. Administrator wysłał wiadomość e-mail do 241 osób z otwartej listy dystrybucyjnej, czyniąc adresy e-mail wszystkich odbiorców widocznymi dla pozostałych odbiorców.Link
1322RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-08-042 000,00 €Sephora Cosmetics România SAArt. 21 RODORumuński organ ochrony danych nałożył na Sephora Cosmetics România SA grzywnę w wysokości 2.000 EUR. Osoba, której dane dotyczą, otrzymywała od Sephora promocyjne SMS-y, mimo że kilkakrotnie sprzeciwiła się przetwarzaniu jej danych osobowych w celach marketingowych, a Sephora potwierdziła zakończenie wysyłania SMS-ów.Link
1321NorwegiaDatatilsynet2022-08-0230 200,00 €Krokatjønnvegen 15 ASArt. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Krokatjønnvegen 15 AS grzywną w wysokości 30 200 EUR. Administrator danych przeprowadził kontrolę kredytową dwóch osób, których dane dotyczą, bez żadnej podstawy umownej.Link
1320HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-0242 000,00 €Banco Bilbao Vizcaya Argentaria S.L.Art. 6 RODOHiszpański organ ochrony danych nałożył grzywnę na Banco Bilbao Vizcaya Argentaria, S.A.. Spółka ta wielokrotnie wysyłała wiadomości reklamowe do osoby, której dane dotyczą, mimo że osoba ta sprzeciwiła się przetwarzaniu jej danych. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 42 000 EUR w związku z dobrowolną zapłatą i uznaniem odpowiedzialności.Link
1319HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-08-01600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 600 euro. Administrator miał zainstalowane kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1318FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-07-07175 000,00 €UBEEQO INTERNATIONALArt. 5 (1) c), e) RODO, Art. 12 RODOFrancuski organ ochrony danych (CNIL) ukarał firmę UBEEQO INTERNATIONAL grzywną w wysokości 175 tys. euro. Firma wynajmująca pojazdy gromadziła dane geolokalizacyjne na wynajmowanych pojazdach co 500 metrów. Firma stwierdziła, że gromadziła dane między innymi w celu monitorowania stanu floty, zlokalizowania pojazdu w przypadku kradzieży oraz udzielenia pomocy klientom w razie wypadku. Organ ochrony danych stwierdził jednak, że żaden z tych celów nie uzasadnia gromadzenia tak szczegółowych danych geolokalizacyjnych. Z tego powodu organ ochrony danych stwierdził naruszenie zasady minimalizacji danych zgodnie z Art. 5 (1) c) RODO. Organ ochrony danych stwierdził również, że firma przechowywała dane o pojazdach przez zbyt długi okres czasu. Dane były przechowywane przez okres trwania relacji biznesowych z klientem, a następnie przez kolejne trzy lata po zakończeniu wynajmu pojazdu. Ponadto dane osobowe użytkowników, którzy nie byli aktywni przez ponad osiem lat, były nadal przechowywane w bazach danych przedsiębiorstwa. CNIL uznała, że tak długie przechowywanie stanowiło naruszenie art. 5 (1) e) RODO. Wreszcie organ ochrony danych stwierdził, że użytkownicy nie byli odpowiednio informowani podczas procesu rejestracji na portalu firmy, a tym samym firma naruszyła art. 12 RODO.Link Link
1317PolskaUrząd ochrony danych osobowych (UODO)2022-07-062 120,00 €Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu MedycznegoArt. 33 RODO, Art. 34 RODOPolski organ ochrony danych nałożył na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego karę w wysokości 2 120 euro. W szpitalu uniwersyteckim doszło do naruszenia danych, w którym pacjent otrzymał od lekarza skierowanie zawierające m.in. dane osobowe (nazwisko, adres itp.) innego pacjenta. Organ ochrony danych stwierdził, że ani lekarz, ani szpital nie poinformowali pacjenta ani organu ochrony danych o naruszeniu danych.Link Link
1316WłochyGarante per la protezione dei dati personali (Garante)2021-09-2911 000,00 €Administracja terytorialna rządu GenuiArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO RODO, Art. 2-ter (1), (3) Codice della privacyWłoski organ ochrony danych nałożył na Administrację Terytorialną Rządu Genui grzywnę w wysokości 11 000 euro. Departament ten opublikował na swojej stronie internetowej plik zawierający tabelę z informacjami na temat prawników dwóch spółek oraz ich dorosłych członków rodzin pozostających w konkubinacie (łącznie około stu osób). W trakcie dochodzenia organ ochrony danych stwierdził, że departament opublikował te informacje bez ważnej podstawy prawnej.Link
1315HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-26800,00 €EFS MANTENIMIENTO Y SERVICIOS TÉCNICOS, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych nałożył na EFS MANTENIMIENTO Y SERVICIOS TÉCNICOS, S.L. grzywnę w wysokości 800 EUR. Związek zawodowy złożył skargę do organu ochrony danych, ponieważ przedsiębiorstwo nieuprawnienie podzieliło się z radą zakładową informacjami dotyczącymi jednego z pracowników. Udostępnione informacje spowodowały, że pracownik znalazł się w niekorzystnej sytuacji. Organ ochrony danych uznał to za naruszenie zasad uczciwości i poufności.Link
1314HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-262 500,00 €Stowarzyszenie właścicieli domówArt. 5 (1) f) RODOHiszpański organ ochrony danych ukarał stowarzyszenie właścicieli domów grzywną w wysokości 2 500 euro za opublikowanie na swojej stronie internetowej informacji (imię, nazwisko, mieszkania) dotyczących kilku właścicieli.Link
1313NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2022-07-28900 000,00 €Hannoversche VolksbankArt. 6 (1) RODOOrgan ochrony danych z Dolnej Saksonii nałożył na Hannoversche Volksbank karę w wysokości 900 tys. euro. Bank analizował dane aktywnych i byłych klientów bez ich zgody. W tym celu bank przeanalizował cyfrowe zachowania użytkowników i ocenił m.in. zakupy w sklepach z aplikacjami, częstotliwość korzystania z drukarek wyciągów bankowych oraz całkowitą liczbę przelewów w bankowości internetowej w porównaniu z korzystaniem z usług oddziałowych. Dodatkowo wyniki zostały zweryfikowane krzyżowo z agencją kredytową, gdzie zostały dodatkowo uzupełnione. Celem było zidentyfikowanie klientów o zwiększonej skłonności do korzystania z mediów cyfrowych i skierowanie do nich intensywniejszych działań promocyjnych za pośrednictwem elektronicznych kanałów komunikacji. Większość klientów otrzymała informacje z wyprzedzeniem. Organ ochrony danych uznał jednak, że nie zastąpiło to wymaganej zgody. Przy ustalaniu kary wzięto pod uwagę, że bank nie wykorzystał dalej wyników swoich ocen. Ponadto bank współpracował z organem ochrony danych podczas dochodzenia.Link
1312HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-2615 000,00 €TELEFÓNICA MÓVILES ESPAÑA, S.A.U.Art. 6 (1) RODOByły klient otrzymywał e-maile zawierające elektroniczne rachunki nawet po rozwiązaniu umowy ze spółką, co skutkowało przetwarzaniem danych osobowych bez wystarczającej podstawy prawnej.Link
1311HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-27300,00 €Osoba fizycznaArt. 5 (1) c) RODOWykorzystanie kamery monitoringu, która jednocześnie rejestrowała przestrzeń prywatną sąsiada i przestrzeń publiczną.Link
1310LuksemburgCommission nationale pour la protection des données (CNPD)2022-06-301 000,00 €PrzedsiębiorstwoArt. 5 (1) a) RODO, Art. 12 (1), (7) RODO, Art. 13 RODOOrgan ochrony danych w Luksemburgu nałożył na pewną firmę grzywnę w wysokości 1.000 EUR. Przedsiębiorstwo to zainstalowało system nadzoru wideo, który rejestrował zarówno pracowników, jak i osoby trzecie. W trakcie dochodzenia organ ochrony danych stwierdził, że firma naruszyła swoje obowiązki informacyjne wynikające z art. 12 RODO i art. 13 RODO.Link
1309LuksemburgCommission nationale pour la protection des données (CNPD)2022-06-301 000,00 €PrzedsiębiorstwoArt. 5 (1) a) RODO, Art. 12 (1), (7) RODO, Art. 13 RODOOrgan ochrony danych w Luksemburgu nałożył na pewną firmę grzywnę w wysokości 1.000 EUR. Przedsiębiorstwo to zainstalowało system nadzoru wideo, który rejestrował zarówno pracowników, jak i osoby trzecie. W trakcie dochodzenia organ ochrony danych stwierdził, że firma naruszyła swoje obowiązki informacyjne wynikające z art. 12 RODO i art. 13 RODO.Link
1308HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-22500,00 €CINCON S.C.Art. 13 (2) RODOHiszpański organ ochrony danych nałożył na CINCON S.C. grzywnę w wysokości 500 EUR. Firma nie podała informacji wymaganych przez art. 13 RODO na formularzu, poprzez który potencjalni klienci mogli uzyskać dostęp do darmowego kursu.Link
1307LuksemburgCommission nationale pour la protection des données (CNPD)2022-06-301 400,00 €PrzedsiębiorstwoArt. 5 (1) e) RODO, Art. 13 RODOOrgan ochrony danych w Luksemburgu (CNPD) nałożył na pewną firmę grzywnę w wysokości 1 400 EUR. Administrator miał zainstalowane czujniki lokalizacji na kilku samochodach w swojej flocie. Miało to na celu m.in. ochronę majątku firmy, optymalne zarządzanie flotą i optymalizację przepływu pracy. Niektóre z danych lokalizacyjnych zebranych przez administratora były przechowywane przez rok. Organ ochrony danych stwierdza, że było to wyraźnie nadmierne i nie było konieczne do celów przetwarzania. Organ ochrony danych uznał to za naruszenie zasady ograniczenia przechowywania. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych dotyczących lokalizacji, a tym samym naruszył swoje obowiązki informacyjne zgodnie z art. 13 RODO.Link
1306LuksemburgCommission nationale pour la protection des données (CNPD)2022-06-223 000,00 €PrzedsiębiorstwoArt. 5 (1) e) RODO, Art. 13 RODOOrgan ochrony danych w Luksemburgu (CNPD) nałożył na pewne przedsiębiorstwo grzywnę w wysokości 3.000 EUR. Przedsiębiorstwo zainstalowało system nadzoru wideo w celu ochrony mienia i personelu firmy. Kamery jednak stale rejestrowały również fragmenty miejsc pracy pracowników. Organ ochrony danych stwierdza, że administrator danych naruszył w ten sposób zasadę minimalizacji danych z art. 5 (1) c) RODO. Ponadto organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, poprzez brak odpowiedniego poinformowania swoich pracowników o nadzorze wideo.Link
1305NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2022-07-261 100 000,00 €VolkswagenArt. 13 RODO, Art. 28 RODO, Art. 30 RODO, Art. 35 RODOOrgan ochrony danych z Dolnej Saksonii nałożył na Volkswagena karę w wysokości 1,1 mln euro. Firma zainstalowała kamery w pojeździe testowym. Pojazd był wykorzystywany do testowania i szkolenia funkcjonalności systemu wspomagania jazdy w celu zapobiegania wypadkom drogowym. W tym celu za pomocą kamer rejestrowano ruch wokół pojazdu. Volkswagen nie przekazał jednak informacji zgodnie z art. 13 RODO o przetwarzaniu danych przez kamery przymocowane do pojazdu. Organ ochrony danych stwierdził ponadto, że wbrew obowiązkowi wynikającemu z art. 28 RODO, Volkswagen nie zawarł umowy o przetwarzaniu danych z firmą, która realizowała przejazdy. Nie przeprowadzono również oceny skutków w zakresie ochrony danych zgodnie z art. 35 DSGVO, a techniczne i organizacyjne środki ochrony nie zostały przedstawione w wykazie czynności przetwarzania. Volkswagen szeroko współpracował z organem ochrony danych.Link
1304HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-2240 000,00 €ESVETEL, S.L.Art. 28 RODO, Art. 48 (1) b) LGTHiszpański organ ochrony danych (AEPD) nałożył na ESVETEL, S.L. grzywnę w wysokości 40 000 EUR. Osoba, której dane dotyczą, otrzymała od administratora połączenie reklamowe wykonane w imieniu Vodafone España, S.A.U., mimo że osoba ta była zarejestrowana na liście wykluczenia z reklam Robinsona.Link
1303NiemcyOrgan ochrony danych osobowych Hamburga202110 100,00 €Grupa handlująca samochodamiNieznanaOrgan ochrony danych w Hamburgu nałożył na grupę zajmującą się handlem samochodami grzywnę w wysokości 10.110 euro. Przedsiębiorstwo poinformowało klientów, że powodem restrukturyzacji jest nieobecność pracownika z powodu choroby. Firma poinformowała około 3.000 klientów między innymi o dokładnej dacie wystąpienia niezdolności pracownika do pracy oraz o tym, że sytuacja ta będzie trwała przez czas nieokreślony. Organ ochrony danych stwierdził, że firma nie przedstawiła ważnej podstawy prawnej dla takiego przekazania danych osobowych dotyczących zdrowia, a zatem przekazała te dane niezgodnie z prawem.Link
1302NiemcyOrgan ochrony danych osobowych Hamburga202112 500,00 €Dostawca energiiNieznanaOrgan ochrony danych w Hamburgu nałożył na dostawcę energii grzywnę w wysokości 12.500 euro. Przedsiębiorstwo to dokonało outsourcingu i sprzedaży swojego działu energii cieplnej. Klienci, których dotyczyło przeniesienie, zostali poinformowani o przeniesieniu ich umów na dostawę energii elektrycznej i otrzymali prawo do sprzeciwu. W przypadku zadeklarowanego sprzeciwu, żadne dane osobowe klientów nie powinny zostać przekazane nowej spółce. Jednak pomimo należytego zgłoszenia sprzeciwu przez klientów, ich dane zostały przekazane nowej spółce.Link
1301NiemcyOrgan ochrony danych osobowych Hamburga202112 500,00 €Dostawca energiiNieznanaOrgan ochrony danych w Hamburgu nałożył na dostawcę energii grzywnę w wysokości 12.500 euro. Firma ta dokonała outsourcingu i sprzedaży swojego działu energii cieplnej. Klienci dotknięci przeniesieniem zostali poinformowani o przeniesieniu ich umów na dostawę energii elektrycznej i otrzymali prawo do sprzeciwu. W przypadku zadeklarowanego sprzeciwu, żadne dane osobowe klientów nie powinny zostać przekazane nowej spółce. Jednak pomimo należytego zgłoszenia sprzeciwu przez klientów, ich dane zostały przekazane nowej spółce.Link
1300NiemcyOrgan ochrony danych osobowych Hamburga20215 000,00 €Osoba fizycznaArt. 5 (1) a) RODO, Art. 6 (1) RODOOrgan ochrony danych w Hamburgu nałożył na osobę fizyczną grzywnę w wysokości 5.000 euro. Osoba ta sfilmowała publicznie wiele młodych kobiet. Niektóre z nagranych kobiet miały najwyraźniej mniej niż 14 lat. W kilku przypadkach osoba ta zbliżała się do filmowanych osób na odległość kilku centymetrów i śledziła je z kamerą przez okres do 38 minut. Podczas przeszukania plecaka policjanci znaleźli kamerę cyfrową i osiem kart pamięci. Na przejętych kartach pamięci znajdowało się łącznie 156 plików wideo. W trakcie dochodzenia organ ochrony danych stwierdził, że dana osoba przetwarzała dane osobowe filmowanych przez siebie młodych kobiet, mimo braku skutecznej zgody.Link
1299WłochyGarante per la protezione dei dati personali (Garante)2022-05-2212 000,00 €Gmina Neapol Korpus Straży MiejskiejArt. 5 (1) a) RODO, Art. 6 RODO, Art. 88 RODO, Art. 113 Codice della privacyWłoski organ ochrony danych nałożył na "Comune di Napoli Corpo di Polizia Municipale" grzywnę w wysokości 12 000 EUR. Administrator przesłał pocztą elektroniczną do różnych jednostek administracyjnych listę nazwisk, adresów, numerów podatkowych, danych kontaktowych i terminów badań na obecność Covid-19 pracowników. Administrator powołał się na zgodę udzieloną przez pracowników jako podstawę prawną przetwarzania danych. Organ ochrony danych stwierdził jednak, że administrator nie może powoływać się na zgodę, ponieważ dobrowolna zgoda jest wątpliwa w przypadku relacji pracownik-pracodawca.Link
1298WłochyGarante per la protezione dei dati personali (Garante)2022-05-2650 000,00 €Azienda sanitaria universitaria Friuli OccidentaleArt. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODOWłoski organ ochrony danych nałożył grzywnę w wysokości 50 000 EUR na zakład opieki zdrowotnej Azienda sanitaria universitaria Friuli Occidentale. Pracownicy zakładu opieki zdrowotnej uzyskali dostęp do danych zdrowotnych pacjentów, mimo że nie byli zaangażowani w leczenie pacjentów i dostęp taki nie był wymagany. W trakcie dochodzenia organ ochrony danych stwierdził, że platforma informatyczna zakładu opieki zdrowotnej umożliwiała każdemu pracownikowi dostęp do danych osobowych pacjentów, nawet jeśli w rzeczywistości nie leczyli oni określonych pacjentów. Ponadto organ ochrony danych stwierdził, że na platformie informatycznej zakładu opieki zdrowotnej nie zainstalowano systemów, które uniemożliwiałyby niewłaściwe wykorzystanie danych osobowych.Link
1297WłochyGarante per la protezione dei dati personali (Garante)2022-05-2670 000,00 €Azienda sanitaria universitaria Friuli CentraleArt. 5 (1) a), f) RODO, Art. 9 RODO, Art. 25 RODO, Art. 32 RODOWłoski organ ochrony danych nałożył grzywnę w wysokości 70 000 EUR na zakład opieki zdrowotnej Azienda sanitaria universitaria Friuli Centrale. Pracownicy zakładu opieki zdrowotnej uzyskali dostęp do danych zdrowotnych pacjentów, mimo że nie byli zaangażowani w leczenie pacjentów i dostęp taki nie był wymagany. W trakcie dochodzenia organ ochrony danych ustalił, że platforma informatyczna zakładu opieki zdrowotnej umożliwiała każdemu pracownikowi dostęp do danych osobowych pacjentów, nawet jeśli w rzeczywistości nie leczyli oni określonych pacjentów. Ponadto organ ochrony danych stwierdził, że na platformie informatycznej zakładu opieki zdrowotnej nie zainstalowano systemów, które uniemożliwiałyby niewłaściwe wykorzystanie danych osobowych.Link
1296WłochyGarante per la protezione dei dati personali (Garante)2022-05-122 000,00 €Singh MarketArt. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych ukarał właściciela sklepu "Singh Market" grzywną w wysokości 2 tys. euro. Administrator zainstalował w swoim lokalu kamery nadzoru wideo bez odpowiedniego poinformowania osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo. Organ ochrony danych uznał, że administrator naruszył obowiązek informacyjny określony w RODO.Link
1295WłochyGarante per la protezione dei dati personali (Garante)2022-05-264 000,00 €Università Agraria di NettunoArt. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na Università Agraria di Nettuno grzywnę w wysokości 4 tys. euro. Były pracownik uniwersytetu złożył skargę do organu ochrony danych w związku z tym, że uniwersytet opublikował dokument, który zawierał jego dane osobowe. Dokument ten ujawniał informacje dotyczące sporu prawnego między osobą, której dane dotyczą, a uniwersytetem. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że wobec braku ważnej podstawy prawnej publikacja była niezgodna z prawem.Link
1294WłochyGarante per la protezione dei dati personali (Garante)2022-05-2616 000,00 €Region ToskaniaArt. 5 (1) c) RODO, Art. 6 (1) c) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacyWłoski organ ochrony danych nałożył na region Toskania grzywnę w wysokości 16 000 euro. Region ten opublikował na swojej stronie internetowej dokumenty zawierające informacje o specjalistach z sektora turystycznego, którzy złożyli wnioski o pomoc w nagłych wypadkach w związku z pandemią Covid-19. Dokumenty te zawierały między innymi nazwisko, adres osób, których dane dotyczą, jak również kwotę przyznanej pomocy.Link
1293ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-07-21285 000,00 €Przedsiębiorstwo telekomunikacyjneArt. 25 (1) RODO, Art. 32 (1) b) RODO, Art. 32 (2) RODOChorwacki organ ochrony danych ukarał grzywną w wysokości 285 tys. euro firmę telekomunikacyjną. W firmie doszło do naruszenia danych. Atakującym udało się uzyskać dostęp do danych około 100 000 osób, których dane dotyczą. W trakcie dochodzenia organ ochrony danych ustalił, że do takiego naruszenia przyczyniło się niewdrożenie przez firmę odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w zakresie przetwarzania danych osobowych. Na przykład w systemach przetwarzania brakowało ograniczeń dostępu. Przy ocenie wysokości grzywny wzięto pod uwagę obciążający fakt, że spółka jest jedną z wiodących firm telekomunikacyjnych w Chorwacji, a zatem ze względu na dużą ilość przetwarzanych tam danych należało spodziewać się ryzyka ataku na systemy. Z tego właśnie powodu firma powinna była zwrócić większą uwagę na zapewnienie wystarczających środków bezpieczeństwa.Link
1292ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-07-214 000,00 €Salon samochodowyArt. 27 (1) Zakona o provedbi Opće uredbe o zaštiti podatakaChorwacki organ ochrony danych nałożył na salon samochodowy grzywnę w wysokości 4 tys. euro. Administrator zainstalował w swojej siedzibie kamery monitoringu wideo, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo.Link
1291WłochyGarante per la protezione dei dati personali (Garante)2021-03-256 000,00 €Convitto Nazionale Statale 'Giordano Bruno' di Maddaloni (internat)Art. 5 (1) a) RODO, Art. 6 RODO, Art. 2 ter (1), (3) Codice della privacyWłoski organ ochrony danych nałożył grzywnę w wysokości 1000 euro na internat Convitto Nazionale Statale "Giordano Bruno" di Maddaloni (CE). Internat ten opublikował na swojej stronie internetowej dokument zawierający dane osobowe osoby, której dane dotyczą, bez podstawy prawnej.Link
1290WłochyGarante per la protezione dei dati personali (Garante)2022-05-126 000,00 €Gmina VillabateArt. 5 (1) a) RODO, Art. 6 RODO, Art. 37 (1) a) RODO, Art. 37 (7) RODO, Art. 38 (6) RODOWłoski organ ochrony danych nałożył na gminę Villabate grzywnę w wysokości 6 tys. euro. Gmina ujawniła dane osobowe byłego pracownika nieuprawnionym osobom trzecim bez ważnej podstawy prawnej. Organ ochrony danych stwierdził również, że gmina nie wyznaczyła inspektora ochrony danych.Link
1289WłochyGarante per la protezione dei dati personali (Garante)2022-05-2610 000,00 €Gmina AfragolaArt. 5 (1) a), c) RODO, Art. 12 (3), (4) RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na gminę Afragola grzywnę w wysokości 10 000 euro. Były pracownik gminy złożył skargę do organu ochrony danych, ponieważ gmina opublikowała jego życiorys z danymi osobowymi na stronie internetowej gminy, mimo że stosunek pracy został zakończony. Ponadto były pracownik złożył wniosek o wyrażenie sprzeciwu wobec ujawnienia jego danych osobowych. Gmina nie odpowiedziała jednak na ten wniosek.Link
1288HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-1856 000,00 €BANKINTER, S.A.Art. 5 (1) f) RODOHiszpański organ ochrony danych nałożył na BANKINTER, S.A. karę w wysokości 56 000 EUR. Administrator danych nieumyślnie przesłał stronie trzeciej raport dotyczący portfela inwestycyjnego osoby, której dane dotyczą. Administrator twierdzi, że do błędnego wysłania doszło z powodu błędu komputerowego. Z tego powodu organ ochrony danych ustalił, że administrator naruszył zasadę integralności i poufności określoną w art. 5 (1) f) RODO.Link
1287HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-194 000,00 €Pracownik księgarniArt. 5 (1) f) RODO, Art. 32 RODOHiszpańska urząd ochrony danych osobowych nałożył na pracownika księgarni grzywnę w wysokości 4 tys. euro. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ otrzymała od innej osoby fakturę zawierającą jej dane osobowe. Pracownik nieumyślnie wysłał fakturę do niewłaściwego odbiorcy.Link
1286HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-192 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 2.000 euro. Osoba ta miała zainstalowane w budynku mieszkalnym, w którym mieszka, kamery wideo, które rejestrowały m.in. wspólne przestrzenie wszystkich mieszkańców. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1285HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-195 000,00 €Właściciel baruArt. 5 (1) b) RODOHiszpański organ ochrony danych (AEPD) ukarał właściciela baru grzywną w wysokości 5 tys. euro. Właściciel bezprawnie udostępniał nagrania z telewizji przemysłowej w barze za pośrednictwem WhatsApp i innych platform mediów społecznościowych.Link
1284HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-19600,00 €Osoba fizycznaArt. 58 (2) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 600 EUR. Osoba ta nie wdrożyła w odpowiednim czasie środków wielokrotnie nakazywanych przez organ ochrony danych.Link
1283HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-13132 000,00 €DKV Seguros y Reaseguros, S.A.E.Art. 5 (1) f) RODO, Art. 32 RODO, Art. 33 RODOHiszpański organ ochrony danych nałożył grzywnę na DKV Seguros y Reaseguros, S.A.E.. Osoba fizyczna złożyła skargę do organu ochrony danych po otrzymaniu od administratora wielu e-maili zawierających informacje od nieznanej osoby. Administrator wysłał 51 e-maili z zaświadczeniami lekarskimi zawierającymi imiona, nazwiska i dane dotyczące badań medycznych osób, których dane dotyczą, do niewłaściwego odbiorcy. Skarżący kilkakrotnie ostrzegał administratora o błędnej korespondencji, ale administrator nie zareagował, dopóki nie dowiedział się o skardze do organu ochrony danych. Administrator nie zgłosił naruszenia ochrony danych organowi ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa ochrony danych odpowiedniego do ryzyka. Pierwotna grzywna w wysokości 220 000 EUR została zmniejszona do 132 000 EUR ze względu na dobrowolną zapłatę i uznanie odpowiedzialności.Link
1282NiemcyOrgan ochrony danych osobowych Hamburga2021Kara sześcioocyfrowa (dokładnia kwota nieznana)PrzedsiębiorstwoArt. 32 (1) RODO Organ ochrony danych z Hamburga nałożył na hamburską firmę działającą w sektorze opieki zdrowotnej grzywnę w wysokości sześciocyfrowej. Firma ta nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego do ryzyka poziomu ochrony danych przy wysyłaniu listów lekarskich. W rezultacie listy lekarskie trafiały do osoby, która choć wykonywała zawód lekarza, nie była lekarzem prowadzącym dalsze leczenie poszkodowanych pacjentów. Zamiast tego listy były przeznaczone dla lekarza ogólnego o tym samym nazwisku co odbiorca. Spółka została w przeszłości kilkakrotnie poinformowana przez nieuprawnionego odbiorcę o nieprawidłowej wysyłce. Niemniej jednak nie podjęła ona środków organizacyjnych i technicznych w celu zapewnienia, że takie przypadki nie będą się powtarzać. Przy ustalaniu wysokości grzywny organ ochrony danych wziął pod uwagę fakt, że przetwarzane dane dotyczyły zdrowia, a takie dane są szczególnie wrażliwe.Link
1281NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021NieznanaWydział Policji§ 32 Absatz 1 BbgDSGFunkcjonariusz policji uzyskał bezprawnie dostęp do danych w policyjnej bazie danych. Z tego powodu organ ochrony danych Brandenburgii nałożył grzywnę za naruszenie § 32 (1) BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do adaptowania RODO.Link
1280NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021NieznanaWydział Policji§ 32 Absatz 1 BbgDSGFunkcjonariusz policji podczas przypadkowego spotkania bezprawnie ujawnił matce sprawcy dane osobowe dotyczące zdarzenia polegającego na prowadzeniu pojazdu pod wpływem alkoholu. Sądził, że matka, jako jego pracodawca, może zapobiec ponownemu popełnieniu przestępstwa poprzez odebranie samochodu sprawcy. Matka stanowi jednak nieuprawnioną osobę trzecią, co oznacza, że policjant nie miał prawa ujawnić tych informacji. Z tego powodu organ ochrony danych Brandenburgii nałożył grzywnę za naruszenie § 32 (1) BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do adaptacji RODO.Link
1279NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021NieznanaWydział Policji§ 32 Absatz 1 BbgDSGFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych w celu przeprowadzenia prywatnego dochodzenia. Policjant zapytał o proces dochodzenia przyjaciela na tle rozprawy sądowej. Za pośrednictwem WhatsApp podzielił się informacjami, które poznał dzięki nieuprawnionemu pobieraniu danych. Z tego powodu organ ochrony danych w Brandenburgii nałożył grzywnę za naruszenie § 32 (1) BbgDSG. Brandenburska ustawa o ochronie danych osobowych (BbgDSG) określa przepisy uzupełniające niezbędne do adaptowaniaRODO.Link
1278WłochyGarante per la protezione dei dati personali (Garante)2021-01-2710 000,00 €Miasto RzymArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacyWłoski organ ochrony danych nałożył na miasto Rzym grzywnę w wysokości 10 000 euro. Miasto opublikowało na swojej stronie internetowej dokument stwierdzający, że pewna matka nie uiściła opłat za stołówkę. Dokument ten zawierał dane osobowe matki i jej małoletniego dziecka. Miasto stwierdziło, że wobec braku stałego adresu matki, na który można by wysłać zawiadomienie, opublikowało dokument w celu powiadomienia bezdomnej matki o zadłużeniu. Organ ochrony danych stwierdził jednak, że nie można tego uznać za wystarczającą podstawę prawną do przetwarzania danych osobowych, a tym samym miasto bezprawnie przetwarzało te dane.Link
1277NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021Kara czterocyfrowa (dokładnia kwota nieznana)LekarzArt. 6 RODO Organ ochrony danych w Brandenburgii nałożył czterocyfrową karę na lekarza psychoterapii dzieci i młodzieży. Lekarz założył grupę Whatsgroup z 230 uczestnikami, aby poinformować o swoim nowym adresie gabinetu. Matka byłego nieletniego pacjenta złożyła w związku z tym skargę do organu ochrony danych, ponieważ lekarz nie uzyskał zgody na utworzenie grupy. Wszystkim członkom grupy ujawniono numery telefonów innych członków. W niektórych przypadkach członkowie grupy byli w stanie wyciągnąć wnioski, że dzieci ze znanych im rodzin były lub są w trakcie leczenia u lekarza. Z tego powodu organ ochrony danych ustalił, że lekarz bezprawnie przetwarzał dane członków grupy WhatsApp ze względu na brak uzyskania zgody.Link
1276NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021Kara trzycyfrowa (dokładnia kwota nieznana)Osoba fizycznaArt. 6 RODOOrgan ochrony danych w Brandenburgii nałożył na pracownika firmy trzycyfrową grzywnę. Pracownik ten bez upoważnienia przesyłał na swój prywatny adres e-mail dokumenty aplikacyjne otrzymane przez pracodawcę z jego służbowego adresu e-mail, aby uzyskać sugestie dotyczące wyglądu własnych aplikacji. Wcześniej nie dokonał anonimizacji życiorysów, więc nadal zawierały one wszystkie dane osobowe i zawodowe kandydatów. Ponieważ przesłanie dokumentów aplikacyjnych na jego prywatny adres e-mail nie należało do jego obowiązków służbowych, organ ochrony danych uznał, że przekazanie ich było niezgodne z prawem.Link
1275NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021Kara trzycyfrowa (dokładnia kwota nieznana)Osoba fizycznaArt. 6 RODOOrgan ochrony danych z Brandenburgii nałożył na pracownika firmy trzycyfrową grzywnę. Osoba ta przesłała ze swojego służbowego komputera na swój prywatny adres e-mail arkusz kalkulacyjny Excel z danymi 56 pracowników, mimo że nie było to konieczne dla jej działalności służbowej. Z tego powodu organ ochrony danych uznał, że pracownica bezprawnie przekazała dane innych pracowników. Arkusz kalkulacyjny zawierał, oprócz pełnych nazwisk pracowników, zestawienie wykorzystanych i pozostałych dni urlopowych, naliczonych dni chorobowych, dane dotyczące wynagrodzeń, przepracowanych nadgodzin i składek na ubezpieczenie społeczne.Link
1274WłochyGarante per la protezione dei dati personali (Garante)2022-05-227 000,00 €Azienda Socio Sanitaria Territoriale Dei Sette LaghiArt. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 7 tys. euro na zakład opieki zdrowotnej Azienda Socio Sanitaria Territoriale Dei Sette Laghi. Pacjent omyłkowo otrzymał we własnych aktach dokumentację medyczną i kliniczną od innego pacjenta.Link
1273CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20225 000,00 €Cypryjska Federacja JudoArt. 31 RODOCypryjski organ ochrony danych nałożył grzywnę na Cypryjską Federację Judo. Ojciec jednego z członków złożył skargę do organu ochrony danych, ponieważ trener judo jego nieletniego syna opublikował materiał fotograficzny i audiowizualny na platformie mediów społecznościowych bez jego uprzedniej zgody. W trakcie dochodzenia trener nie współpracował wystarczająco z organem ochrony danych, który w związku z tym nałożył grzywnę w wysokości 5 000 EUR za naruszenie art. 31 RODO.Link Link
1272HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-01300,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 300 euro za nieuprawnioną instalację kamery monitoringu na jej posesji. Kamery rejestrowały przestrzeń publiczną i sąsiednią nieruchomość. AEPD uznał zatem, że taki nadzór wideo stanowił naruszenie zasady minimalizacji danych.Link
1271WłochyGarante per la protezione dei dati personali (Garante)2022-05-262 000,00 €Sklep "Turkish City"Art. 13 RODOWłoski organ ochrony danych ukarał właściciela sklepu "Turkish City" grzywną w wysokości 2 tys. euro. Administrator zainstalował w swoim lokalu kamery monitoringu wizyjnego, nie informując odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny. Organ ochrony danych uznał, że administrator naruszył obowiązek informacyjny określony w RODO.Link
1270DaniaDatatilsynet2022-07-1467 200,00 €SIRIUS (kancelaria prawna)Art. 32 RODODuński organ ochrony danych nałożył na kancelarię prawną SIRIUS karę w wysokości 67 200 euro. Kancelaria ucierpiała w wyniku cyberataku, w którym hakerzy uzyskali dostęp do serwerów kancelarii i zaszyfrowali je. W ten sposób uzyskali dostęp do informacji o klientach i partnerach biznesowych kancelarii. W trakcie dochodzenia organ ochrony danych stwierdził, że kancelaria nie posiadała podstawowych środków bezpieczeństwa, co zwiększało ryzyko nieuprawnionego dostępu do danych klientów. Systemy kancelarii nie zawierały na przykład wystarczających środków weryfikacji, takich jak wieloskładnikowe uwierzytelnianie.Link
1269PolskaUrząd ochrony danych osobowych (UODO)2022-07-0612 450,00 €Główny Geodeta KrajuArt. 33 (1) RODO, Art. 34 (1) RODOPolski organ ochrony danych nałożył na Głównego Geodety Kraju karę w wysokości 12 450 euro. W Głównym Urzędzie Geodezji i Kartografii doszło do naruszenia ochrony danych, w wyniku którego na stronie internetowej instytutu przez ponad 48 godzin widoczne były liczne numery ksiąg wieczystych. Numer księgi wieczystej pozwala ustalić szereg danych właścicieli, w tym ich imiona, nazwiska, imiona rodziców i adres nieruchomości. Główny Urząd Geodezji i Kartografii nie zgłosił naruszenia do organu ochrony danych, w związku z czym organ o incydencie dowiedział się z doniesień medialnych. Główny Urząd Geodezji i Kartografii nie poinformował również o tym zdarzeniu osób, których dane dotyczą. Z tego powodu organ ochrony danych uznał, że administrator naruszył art. 33 ust. 1 RODO i art. 34 ust. 1 RODO.Link
1268GrecjaHellenic Data Protection Authority (HDPA)2022-07-1320 000 000,00 €Clearview Al Inc.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 15 RODO, Art. 27 RODOGrecki organ ochrony danych nałożył na Clearview AI Inc. grzywnę w wysokości 20 000 000 EUR. Organizacja non-profit "Homos Digitalis" złożyła skargę do organu ochrony danych w imieniu osoby, której dane dotyczą. Firma posiada bazę danych zawierającą ponad 20 mld obrazów twarzy (w tym obrazów mieszkańców i obywateli Grecji) z całego świata. Dane są gromadzone online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych pobranych ze zdjęć. Profile osób fizycznych mogą być wzbogacone o informacje związane z tymi obrazami, takie jak znaczniki obrazu i geolokalizacja. W trakcie dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych przedsiębiorstwa były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że firma nie zapewniła osobie, której dane dotyczą, dostępu do jej danych osobowych, naruszając tym samym art. 15 RODO. Ponadto Cleaview naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych.Link
1267CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20221 500,00 €LekarzArt. 31 RODOCypryjski organ ochrony danych nałożył na lekarza grzywnę w wysokości 1.500 EUR. Organ ochrony danych prowadził przeciwko lekarzowi dochodzenie w sprawie nielegalnego korzystania z systemu nadzoru wideo. Do celów dochodzeniowych organ ochrony danych zażądał od lekarza informacji, których ten nie dostarczył. Z tego powodu organ ochrony danych uznał, że lekarz naruszył art. 31 RODO ze względu na brak współpracy z organem ochrony danych.Link Link
1266CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2022-02-0410 000,00 €Εκδοτικού Οίκου ΔίαςArt. 5 RODO, Art. 6 RODOCypryjski organ ochrony danych nałożył na wydawcę Εκδοτικού Οίκου Δίας grzywnę w wysokości 10 000 EUR. Osoba publiczna złożyła skargę do organu ochrony danych. Wydawca opublikował na stronie internetowej nieprawidłowe informacje o sytuacji finansowej osoby, której dane dotyczą. W toku postępowania wyjaśniającego organ ochrony danych, rozważając prawo wydawcy do swobody wypowiedzi oraz prawo osoby, której dane dotyczą, do prywatności i ochrony danych osobowych stwierdził, że wydawca bezprawnie przetwarzał dane osoby, której dane dotyczą.Link
1265CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20222 000,00 €Rada Gminy OrokliniArt. 31 RODOCypryjski organ ochrony danych nałożył na radę gminy Oroklini grzywnę w wysokości 2 tys. euro za brak należytej współpracy z organem ochrony danych podczas dochodzenia.Link Link
1264WłochyGarante per la protezione dei dati personali (Garante)2022-05-1220 000,00 €Bazar di Hu XiaoyanArt. 5 RODO, Art. 13 RODO, Art. 114 Codice della privacyWłoski organ ochrony danych nałożył grzywnę w wysokości 20 000 euro na firmę "Bazar di Hu Xiaoyan". Administrator obsługiwał kamery nadzoru wideo na swoim terenie bez wymaganego zezwolenia. Ponadto organ ochrony danych stwierdził, że brakowało znaków informacyjnych dotyczących przetwarzania danych osobowych przez kamery.Link
1263FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-06-231 000 000,00 €TotalEnergies Electricité et Gaz FranceArt. 14 RODO, Art. 15 RODO, Art. 21 RODOFrancuski organ ochrony danych nałożył na TotalEnergies Electricité et Gaz France grzywnę w wysokości 1 000 000 EUR. W ramach prowadzonego dochodzenia organ ochrony danych stwierdził, że administrator danych naruszył swoje obowiązki informacyjne wynikające z art. 14 RODO poprzez nieprzekazanie osobom, których dane dotyczą, wystarczających informacji podczas kontaktu telefonicznego na temat przetwarzania ich danych osobowych do celów reklamowych. Ponadto firma nie zastosowała się do wniosków osób, których dane dotyczą, o wyrażenie sprzeciwu wobec przetwarzania ich danych osobowych w celach reklamowych. Ponadto administrator nie odpowiadał na wnioski osób, których dane dotyczą, w odpowiednim czasie, wbrew obowiązkowi wynikającemu z art. 12 RODO.Link Link
1262HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-063 000,00 €ASOCIACIÓN DE AFICIONADOS Y PEQUEÑOS ACCIONISTAS UNIDAD HERCULANAArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.500 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Na grzywnę składa się 300 euro za naruszenie art. 5 (1) c) RODO oraz 300 EUR za naruszenie art. 13 RODO.Link
1261HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-05600,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.500 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Na grzywnę składa się 300 euro za naruszenie art. 5 (1) c) RODO oraz 300 EUR za naruszenie art. 13 RODO.Link
1260HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-0656 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że nieuprawnione osoby trzecie uzyskały dostęp do jej konta w Vodafone i zawarły nową umowę w swoim imieniu, a także zakupiły iPhone'a 12. Organ ochrony danych zauważa, że administrator nie sprawdził odpowiednio, czy umowy zostały legalnie i rzeczywiście zawarte przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę.Link
1259NorwegiaDatatilsynet2022-03-04195 000,00 €Parlament norweskiArt. 5 ust. 1 lit. f) RODO, art. 32 ust. 1 lit. b), d) RODONorweski organ ochrony danych ukarał parlament norweski grzywną w wysokości 195 tys. euro. W parlamencie doszło do naruszenia danych, w wyniku którego nieupoważnione osoby uzyskały dostęp do kont poczty elektronicznej członków parlamentu i parlamentarnego personelu administracyjnego. Napastnikom udało się wyłudzić dane, w tym dane osobowe dotyczące kont bankowych, daty urodzenia i dane dotyczące zdrowia. W trakcie dochodzenia organ ochrony danych stwierdził, że parlament nie wprowadził wystarczających mechanizmów bezpieczeństwa, takich jak dwuskładnikowe uwierzytelnianie, mimo że analiza ryzyka przeprowadzona w 2020 r. wykazała, że stanowi to wysokie ryzyko dla prywatności. Z tego powodu organ ochrony danych stwierdził, że administracja parlamentarna nie podjęła odpowiednich środków technicznych i organizacyjnych w celu osiągnięcia wystarczającego poziomu bezpieczeństwa.Link Link
1258WłochyGarante per la protezione dei dati personali (Garante)2022-05-26100 000,00 €Intesa Sanpaolo S.p.AArt. 5 (1) a), f) RODO, Art. 6 RODOWłoski organ ochrony danych nałożył na Intesa Sanpaolo S.p.A. grzywnę w wysokości 100 000 euro. Bank bezprawnie ujawnił dane osoby, której dane dotyczą, nieupoważnionym osobom trzecim (ojcu osoby, której dane dotyczą). Ojciec osoby, której dane dotyczą, były pracownik banku, był upoważniony do dostępu do danych bankowych swojej córki do czasu osiągnięcia przez nią pełnoletności. Ojciec zażądał jednak dostępu do danych swojej córki, która w międzyczasie osiągnęła już pełnoletność. Pracownik banku podejrzewał, że ojciec nadal posiada upoważnienie i z tego powodu przekazał dane córki.Link
1257WłochyGarante per la protezione dei dati personali (Garante)2022-05-2646 000,00 €Azienda Sanitaria Locale RomaArt. 5 (1) c) RODO, Art. 6 (1) c), d) RODO, Art. 6 (2), (3) RODO, Art. 9 (1), (2), (4) RODO, Art. 2-ter (1), (2) Codice della privacy, Art. 2-septies (8) Codice della privacyWłoski organ ochrony danych ukarał Azienda Sanitaria Locale Roma grzywną w wysokości 46 000 euro. Zakład opieki zdrowotnej opublikował na swojej stronie internetowej nazwiska i informacje o stanie zdrowia 1337 pacjentów. W większości przypadków chodziło o dokumentację zdrowotną osób, których dane dotyczą, w tym dokumenty medyczne, oceny niepełnosprawności, testy, sprawozdania techniczne itp. W tym kontekście organ ochrony danych stwierdził, że placówka opieki zdrowotnej przetwarzała dane niezgodnie z prawem, a także naruszyła zasadę minimalizacji danych.Link
1256GrecjaHellenic Data Protection Authority (HDPA)2022-06-202 000,00 €WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕArt. 15 RODOGrecki organ ochrony danych ukarał WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ grzywną w wysokości 2 000 EUR. Klient przedsiębiorstwa wysłał e-mail z prośbą o dostęp do materiału filmowego zarejestrowanego przez kamery sklepu, na którym się pojawił. Podmiot danych nigdy nie otrzymał odpowiedzi na ten wniosek. Dopiero gdy organ poprosił o odpowiedź, administrator danych odpowiedział, że wniosek osoby, której dane dotyczą, nie może zostać spełniony, ponieważ nagrany materiał został usunięty. Organ ochrony danych uznał to za naruszenie art. 15 RODO.Link
1255GrecjaHellenic Data Protection Authority (HDPA)2022-06-242 000,00 €Kandydat do wyborów parlamentarnychArt. 12 RODO, art. 11 ustawy 3471/2006Grecki organ ochrony danych nałożył na kandydata w wyborach parlamentarnych grzywnę w wysokości 2 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymała od polityka niezamówioną reklamę wyborczą w formie wiadomości SMS. Osoba, której dane dotyczą, podała politykowi, który przed wyborami był ministrem, swoje dane kontaktowe, ale nie w celu reklamy wyborczej. Polityk przetwarzał zatem dane w celu innym niż uzgodniony, a osoba, której dane dotyczą, nie wyraziła na to zgody ani nie została o tym poinformowana. Osoba, której dane dotyczą, zażądała zatem usunięcia swoich danych oraz zaprzestania wysyłania SMS-ów. Polityka nie zastosowała się jednak do tego żądania i SMS-y były nadal wysyłane.Link
1254FinlandiaTietosuojavaltuutetun Toimisto2022-05-0985 000,00 €Otavamedia Oyart. 5 ust. 1 lit. c) RODO, art. 12 ust. 1, 2, 3, 4, 6 RODO, art. 15 RODO, art. 17 RODO, art. 25 RODOFiński organ ochrony danych nałożył na Otavamedia Oy grzywnę w wysokości 85 000 EUR. W latach 2018-2021 organ ochrony danych otrzymał jedenaście skarg dotyczących Otavamedia. Mianowicie, skargi dotyczyły przede wszystkim braku odpowiedzi na zapytania od osób, których dane dotyczą. Otavamedia wyjaśniła, że niektóre wnioski o ochronę prywatności nie zostały zrealizowane z powodu problemu technicznego z zarządzaniem pocztą elektroniczną. Podczas tego incydentu wiadomości otrzymane na skrzynkę mailową z zapytaniem o prywatność nie były przekazywane do przedstawicieli obsługi klienta. Sytuacja została odkryta dopiero po siedmiu miesiącach. W tym kontekście organ ochrony danych zauważył, że Otovamia powinna była przetestować nowy system poczty elektronicznej przed jego użyciem, aby móc zagwarantować odpowiedź na wnioski i prawa osób, których dane dotyczą. Analogiczne wnioski były możliwe, ale formularz wniosku musiał być podpisany przez osoby, których dane dotyczą, do celów identyfikacji. Otavamedia nie przetwarzała jednak danych z podpisu w żadnym innym kontekście, więc podpis nie mógł być nawet sprawdzony krzyżowo. Organ ochrony danych stwierdził, że Otavamedia gromadziła w ten sposób niepotrzebnie dużą ilość danych do celów identyfikacji i utrudniała wykonywanie praw osób, których dane dotyczą, poprzez wymóg składania podpisów.Link Link
1253HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-2442 000,00 €Alquiler Seguro SAArt. 6 (1) RODOHiszpański organ ochrony danych nałożył na Alquiler Seguro SA grzywnę w wysokości 42 000 euro. Spółka ta zamieściła ogłoszenie o pracę, na które zgłosiła się osoba, której dane dotyczą. W ramach procesu ubiegania się o pracę spółka zwróciła się do agencji kredytowej o informacje na temat zdolności kredytowej osoby, której dane dotyczą. Jednakże osoba zainteresowana nigdy nie wyraziła zgody na takie badanie jej zdolności kredytowej przez Alquiler Seguro, ani nie została o tym poinformowana. Z tego powodu organ ochrony danych uznał, że Alquiler Seguro przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej, a tym samym naruszył art. 6 (1) RODO.Link
1252HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-07-01500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 500 euro za nieuprawnioną instalację kamery monitoringu na jej posesji. Kamery rejestrowały przestrzeń publiczną i sąsiednią nieruchomość. AEPD uznał zatem, że taki nadzór wideo stanowił naruszenie zasady minimalizacji danych.Link
1251GrecjaHellenic Data Protection Authority (HDPA)2022-06-293 000,00 €Psycholog dziecięcyArt. 31 RODOGrecki organ ochrony danych ukarał psychologa dziecięcego grzywną w wysokości 3 tys. euro. Psycholog nie współpracował należycie z organem ochrony danych podczas dochodzenia.Link
1250Wielka BrytaniaInformation Commissioner (ICO)2022-06-0991 000,00 €Tavistock & Portman NHS Foundation TrustArt. 5 (1) f) RODO, Art. 32 RODOBrytyjski organ ochrony danych (ICO) nałożył na Tavistock and Portman NHS Foundation Trust grzywnę w wysokości 91 000 euro. Tavistock and Portman NHS Foundation Trust to specjalistyczny trust zajmujący się zdrowiem psychicznym, zlokalizowany w Londynie. Na początku września 2019 r. trust chciał przeprowadzić konkurs, w którym prosił pacjentów kliniki dla dorosłych zajmującej się identyfikacją płci o dostarczenie prac plastycznych, które miały ozdobić odnowiony budynek kliniki. W tym celu nieumyślnie wysłano dwa e-maile z otwartą listą dystrybucyjną (jeden do 912 odbiorców, a drugi do 869 odbiorców). Z treści maila wynikało, że wszyscy odbiorcy byli pacjentami kliniki. Trust natychmiast rozpoznał błąd i bezskutecznie próbował wycofać maile. W ramach swojego dochodzenia ICO ustaliła, że trust nie posiadał żadnych środków technicznych lub organizacyjnych, aby zapobiec lub ograniczyć ten wysoce przewidywalny błąd ludzki. ICO oceniła szkodę dla dotkniętych osób jako wysoką, biorąc pod uwagę, że informacje o relacjach dotkniętych osób z kliniką tożsamości płciowej są bardzo wrażliwymi danymi osobowymi. Ze względu na natychmiastowe wdrożenie środków bezpieczeństwa i szeroką współpracę z ICO, grzywna została zmniejszona z 910 000 EUR do 91 00 EUR.Link Link
1249HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-283 000,00 €FLY FUT, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył grzywnę w wysokości 3 000 EUR na firmę FLY FUT, S.L., specjalizującą się w filmowaniu dronem meczów piłkarskich. Ojciec złożył skargę do organu ochrony danych, ponieważ firma bez jego zgody filmowała jego nieletnią córkę grającą w piłkę podczas meczu w lokalnym klubie. Z tego powodu organ ochrony danych uznał, że administrator przetwarzał dane córki bez ważnej podstawy prawnej.Link
1248RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-06-302 000,00 €Continental Automotive Romania SRLArt. 24 RODO, Art. 32 (1) d) RODO.Rumuński organ ochrony danych nałożył na Continental Automotive Romania SRL grzywnę w wysokości 2 000 EUR. Administrator danych zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Administrator odkrył na swoim terenie 135 nieautoryzowanych i niewłaściwie skonfigurowanych kamer monitorujących, które między innymi rejestrowały obrazy pracowników w obszarze produkcyjnym. Kamery te były podłączone do nieoficjalnych i niezabezpieczonych systemów kamer. Z tego powodu organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych pracowników.Link
1247HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-2330 000,00 €RADIO TELEVISION MADRID, S.A.Art. 5 (1) c) RODOHiszpański organ ochrony danych nałożył grzywnę na RADIO TELEVISION MADRID, S.A.. Kilka mediów, w tym administrator, opublikowało na swoich stronach internetowych oraz na Twitterze nagranie audio zeznań wielokrotnej ofiary gwałtu w sądzie, aby poinformować o sprawie. Sprawa wzbudziła duże zainteresowanie mediów. W trakcie dochodzenia organ ochrony danych stwierdził, że prawo ofiary gwałtu do prywatności przeważa nad wolnością informacji przysługującą administratorowi danych. Nagrania audio ofiary nie wniosły żadnej istotnej wartości do sprawozdania, a raczej poważnie naruszyły jej prywatność. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych. Pierwotna grzywna w wysokości 50 000 EUR została zmniejszona do 30 000 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
1246HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-2330 000,00 €CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A.Art. 5 (1) c) RODOHiszpański organ ochrony danych nałożył grzywnę na CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A. Kilka mediów, w tym administrator, opublikowało na swoich stronach internetowych, a także na Twitterze, nagranie audio zeznań wielokrotnej ofiary gwałtu w sądzie, aby poinformować o sprawie. Sprawa wzbudziła duże zainteresowanie mediów. W trakcie dochodzenia organ ochrony danych stwierdził, że prawo ofiary gwałtu do prywatności przeważa nad wolnością informacji przysługującą administratorowi danych. Nagrania audio ofiary nie wniosły żadnej istotnej wartości do sprawozdania, a raczej poważnie naruszyły jej prywatność. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasadę minimalizacji danych. Pierwotna grzywna w wysokości 50 000 EUR została zmniejszona do 30 000 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
1245HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-281 000,00 €PrzedsiębiorstwoArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na pewną firmę grzywnę w wysokości 1000 euro. Firma ta żądała od klientów różnych danych osobowych w celu rezerwacji wizyt. Organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO.Link
1244WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2022-02-08634 000,00 €Budapest Bank Zrt.Art. 5 (1) a), b) RODO, Art. 6 (1), (4) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 (1), (2) RODO, Art. 24 (1) RODO, Art. 25 (1), (2) RODOWęgierski organ ochrony danych (NAIH) nałożył na Budapest Bank Zrt. karę 634 000 euro. NAIH informuje, że bank używał rozwiązania programowego opartego na sztucznej inteligencji do automatyzacji oceny stanu emocjonalnego klientów. System oceny mowy określał, którzy klienci wymagali odwołania na podstawie nastroju klienta. Bank obsługiwał aplikację, aby zapobiec reklamacjom i zatrzymać klientów. Bank nie poinformował osób, których dane dotyczą, że przetwarzanie ich danych służy m.in. do celów utrzymania klientów, co oznacza, że klienci nie mieli możliwości wniesienia sprzeciwu wobec przetwarzania. W rezultacie nie zagwarantowano praw osób, których dane dotyczą, w zakresie odpowiednich informacji i prawa do sprzeciwu. Organ ochrony danych stwierdził również, że uzasadniony interes banku jako podstawa prawna przetwarzania danych osobowych nie został wystarczająco uzasadniony, ponieważ bank nie zbadał w wystarczającym stopniu interesów osób, których dane dotyczą. Bank przetwarzał zatem dane bez ważnej podstawy prawnej.Link
1243PolskaUrząd ochrony danych osobowych (UODO)2022-05-312 100,00 €Stołeczny Ośrodek dla Osób NietrzeźwychArt. 5 (1) a) RODO, Art. 6 RODOPolski organ ochrony danych nałożył grzywnę w wysokości 2.100 EUR na "Stołeczny Ośrodek dla Osób Nietrzeźwych", ośrodek dla osób cierpiących na alkoholizm. W trakcie dochodzenia organ ochrony danych ustalił, że w ośrodku zainstalowane były kamery monitoringu. System monitoringu rejestrował zarówno obraz, jak i dźwięk mieszkańców. Placówka uzasadniała system nadzoru wideo celami związanymi z bezpieczeństwem i zdrowiem osób z problemem alkoholowym. Organ ochrony danych stwierdził jednak, że cele te nie stanowiły wystarczającej podstawy prawnej i że ośrodek bezprawnie przetwarzał dane osobowe pensjonariuszy.Link Link
1242WłochyGarante per la protezione dei dati personali (Garante)2022-05-223 000,00 €Zito Auto di Gianfranco ZitoArt. 5 (1) a), c) RODO, Art. 114 Codice della privacyWłoski organ ochrony danych nałożył grzywnę w wysokości 3 tys. euro na firmę Zito Auto di Gianfranco Zito. Firma miała zainstalowane kamery monitoringu, które monitorowały m.in. przestrzeń publiczną i pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych (art. 5 (1) c) RODO).Link
1241DaniaDatatilsynet2022-06-22134 000,00 €Gyldendal A/SArt. 5 (1) e) RODODuński organ ochrony danych ukarał wydawcę Gyldendal A/S grzywną w wysokości 134 000 EUR. W trakcie dochodzenia organ ochrony danych stwierdził, że firma przechowywała dane około 685 000 wypisanych członków klubów książki Gyldendal dłużej niż było to konieczne. Zamiast usunąć dane wyrejestrowanych członków klubów książki, Gyldendal przechowywał je w bazie danych. Dane około 395.000 byłych członków, których dotyczyła sprawa, były przechowywane przez ponad 10 lat. Ponadto organ ochrony danych stwierdził, że Gyldendal nie posiadał procedury ani wytycznych dotyczących usuwania danych.Link
1240HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-24180,00 €Właściciel sklepuArt. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 euro za brak znaków informacyjnych o monitoringu w placówce.Link
1239RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-06-207 000,00 €Asociația de Proprietari Aviației ParkArt. 5 (1) a), c), e) RODO, Art. 5 (2) RODO, Art. 6 RODORumuński organ ochrony danych nałożył na Asociația de Proprietari Aviației Park, operatora obiektu mieszkalnego, grzywnę w wysokości 7 000 EUR. Administrator przetwarzał dane osobowe (nazwisko, imię, numer i seria dowodu osobistego, miejsce przeznaczenia, godzina przyjazdu, godzina odjazdu, uwagi) osób dostarczających przesyłki i/lub kurierów bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu ich danych osobowych. Ponadto organ ochrony danych stwierdził, że administrator nie ustalił okresu przechowywania danych osobowych przetwarzanych przez system monitoringu wizyjnego i przechowywał je dłużej niż to konieczne.Link
1238RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-06-201 000,00 €SC Interactions Marketing SRLArt. 32 (1) b) RODORumuński organ ochrony danych nałożył na SC Interactions Marketing SRL grzywnę w wysokości 1 000 EUR. Administrator wysłał wiadomości reklamowe pocztą elektroniczną do kilku osób w imieniu innej firmy. Jeden z odbiorców złożył skargę do organu ochrony danych ze względu na fakt, że administrator wysłał wiadomości reklamowe w ramach otwartej listy dystrybucyjnej, przez co adresy e-mail wszystkich odbiorców były widoczne dla innych odbiorców.Link
1237HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-171 000,00 €PrzedsiębiorstwoArt. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał firmę grzywną w wysokości 1000 euro za brak znaków informacyjnych o monitoringu w jej siedzibie.Link
1236HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-161 000,00 €SCOTCH CORNER BARArt. 5 (1) c) RODO, Art. 58 (2) RODOHiszpański organ ochrony danych ukarał operatora baru SCOTCH CORNER BAR grzywną w wysokości 1000 euro. Administrator zainstalował telewizję przemysłową, która obejmowała również część przestrzeni publicznej. Ponadto administrator nie dostarczył organowi ochrony danych informacji, o które wnioskowano.Link
1235WłochyGarante per la protezione dei dati personali (Garante)2022-04-2870 000,00 €Ospedale San Raffaele s.r.l.Art. 5 (1) f) GDPR, Art. 9 GDPRWłoski organ ochrony danych nałożył na zakład opieki zdrowotnej Ospedale San Raffaele s.r.l. grzywnę w wysokości 70 000 EUR. Szpital zgłosił organowi ochrony danych dwa naruszenia danych na podstawie art. 33 RODO. W pierwszym przypadku oddział neurologii szpitala wysłał newsletter na otwartej liście dystrybucyjnej, co spowodowało, że adresy e-mail odbiorców były widoczne dla wszystkich odbiorców. Spośród 499 adresów e-mail, których to dotyczyło, 321 adresów e-mail dotyczyło pacjentów, a 46 dotyczyło członków rodzin/opiekunów pacjentów, co umożliwiło identyfikację tych osób z imienia i nazwiska. W drugim przypadku oddział chirurgiczny wysłał biuletyn na otwartej liście dystrybucyjnej, więc ponownie adresy e-mail odbiorców były widoczne dla wszystkich odbiorców. Z 90 adresów e-mail, których to dotyczyło, 75 adresów e-mail odnosiło się do pacjentów i/lub członków rodzin/opiekunów pacjentów, co oznaczało, że osoby te mogły zostać zidentyfikowane z imienia i nazwiska. Organ ochrony danych uznał to za naruszenie zasady "integralności i poufności", która wymaga, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych i organizacyjnych. Przy obliczaniu kary organ ochrony danych wziął pod uwagę fakt, że naruszenie danych dotyczyło również danych dotyczących zdrowia osób, których dotyczyło. Korzystnie uwzględniono fakt, że szpital wprowadził środki zapobiegające takim zdarzeniom w przyszłości i w wysokim stopniu współpracował z organem ochrony danych.Link
1234NorwegiaDatatilsynet2022-05-1614 500,00 €ArbeidstilsynetArt. 6 (1) e) RODONorweski organ ochrony danych (Datatilsynet) nałożył na norweską inspekcję pracy "Arbeidstilsynet" grzywnę w wysokości 14 500 euro. Administrator danych przeprowadził kontrolę kredytową osoby, której dane dotyczą, bez żadnej ważnej podstawy prawnej.Link
1233BelgiaGegevensbeschermingsautoriteit (GBA)2022-06-1650 000,00 €SA Rossel & CieArt. 6 (1) a) RODO, Art. 7 (1) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODOBelgijski organ ochrony danych nałożył na firmę medialną SA Rossel & Cie grzywnę w wysokości 50 000 EUR. Podczas dochodzenia organ ochrony danych stwierdził naruszenia RODO na trzech stronach internetowych prowadzonych przez firmę. Na przykład firma umieściła pliki cookie, które nie były wymagane, bez zgody odwiedzających stronę. Ponadto firma uznała odwiedzanie innych stron internetowych za zgodę na dalsze umieszczanie plików cookie na tych stronach. Ponadto pola dotyczące zgody na pliki cookie stron trzecich były już wstępnie zaznaczone. Ponadto polityka dotycząca plików cookie była niekompletna i trudno dostępna dla odwiedzających. Wreszcie organ ochrony danych stwierdził, że firma umieszczała nowe pliki cookie pomimo cofnięcia przez użytkowników zgody na ich umieszczanie.Link
1232WłochyGarante per la protezione dei dati personali (Garante)2022-04-2820 000,00 €Nos s.r.l.s.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 14 RODOWłoski organ ochrony danych ukarał Nos s.r.l.s. grzywną w wysokości 20 000 euro. Nos działał jako podmiot przetwarzający dane dla Vodafone i wykonywał reklamy dla tego przedsiębiorstwa telekomunikacyjnego. W tym celu Nos pozyskiwał i przetwarzał dane osobowe od spółek Kdata ltd. oraz Dynamic Web Solution ltd. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że osoby, których dane dotyczą, nie wyraziły zgody na takie wykorzystanie danych ani nie zostały o tym poinformowane przez Nos.Link
1231HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-0910 000,00 €Osoba fizycznaArt. 6 RODOHiszpański organ ochrony danych ukarał osobę fizyczną grzywną w wysokości 10 000 euro. Osoba ta stworzyła upokarzające i dyskryminujące wideo o trójce rodzeństwa na podstawie ich koloru skóry i udostępniła je na swoim profilu na Instagramie, a także na WhatsApp.Link
1230RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-06-153 000,00 € S.C. Wine Point S.R.L.Art. 32 (1) b) RODORumuński organ ochrony danych nałożył na S.C. Wine Point S.R.L. grzywnę w wysokości 3.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z otrzymaniem od administratora reklamowej wiadomości e-mail, która zawierała listę dystrybucyjną, na której widoczne były adresy e-mail 810 innych osób, a także jej własny, dla pozostałych odbiorców. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poufności przetwarzanych danych osobowych.Link
1229NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021Kara czterocyfrowa (dokładnia kwota nieznana)Agent nieruchomościArt. 6 RODO, Art. 12 RODOOrgan ochrony danych w Brandenburgii nałożył grzywnę na pośrednika w handlu nieruchomościami. Pośrednik w obrocie nieruchomościami skontaktował się z osobą fizyczną i zaoferował jej sprzedaż nieruchomości, której był właścicielem. Ponieważ osoba ta sama nie przekazała swoich danych pośrednikowi nieruchomości, poprosiła o informacje na temat pochodzenia danych oraz o ich usunięcie. Agent nieruchomości poinformował osobę, której dane dotyczą, że usunął dane. Nie zastosowała się jednak do prawa osoby, której dane dotyczą, do dostępu do danych. Pół roku później osoba, której dane dotyczą, ponownie otrzymała wiadomość od pośrednika nieruchomości, pomimo potwierdzonego usunięcia jej danych. Z tego powodu organ ochrony danych ustalił, że agent nieruchomości przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej, a tym samym niezgodnie z prawem.Link
1228WłochyGarante per la protezione dei dati personali (Garante)2022-04-2840 000,00 €Il Sole 24 Ore S.p.a.Art. 5 RODO, Art. 9 RODO, Art. 12 RODOWłoski organ ochrony danych nałożył na gazetę Il Sole 24 Ore S.p.a. grzywnę w wysokości 40 000 euro. Gazeta opublikowała artykuł dotyczący uznania przez władze włoskie decyzji sędziego amerykańskiego w sprawie adopcji dziecka przez parę tej samej płci. Przez pomyłkę gazeta opublikowała również dane osobowe pary i adoptowanego dziecka. Para zażądała następnie usunięcia danych osobowych i dostępu do informacji o ich przetwarzaniu. Gazeta usunęła dane osobowe, ale nie zastosowała się do prawa dostępu przysługującego osobom, których dane dotyczą.Link
1227WłochyGarante per la protezione dei dati personali (Garante)2022-04-282 000,00 €Ekss s.r.l.Art. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych nałożył na operatora restauracji Ekss s.r.l. grzywnę w wysokości 2 000 EUR. Administrator zainstalował w swoim lokalu kamery nadzoru wideo bez odpowiedniego poinformowania osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo. Organ ochrony danych stwierdził, że administrator naruszył obowiązek informacyjny określony w RODO.Link
1226HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-09600,00 €Osoba fizycznaArt. 5 (1) c) RODOWykorzystanie kamery monitoringu, która rejestrowała również obcą przestrzeń prywatną sąsiada i przestrzeń publicznąLink
1225NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021Kara czterocyfrowa (dokładnia kwota nieznana)PrzedsiębiorstwoNieznanaOrgan ochrony danych w Brandenburgii nałożył na przedsiębiorstwo grzywnę. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ przedsiębiorstwo wyprodukowało nagranie wideo, na którym widać skarżącego. Skarżący skontaktował się następnie z przedsiębiorstwem i poprosił o usunięcie nagrania oraz o niepublikowanie go w Internecie. Niemniej jednak przedsiębiorstwo opublikowało nagranie na swojej stronie internetowej oraz na kilku portalach społecznościowych. Ponadto, nawet gdy organ ochrony danych zwrócił się do przedsiębiorstwa o usunięcie filmu, przedsiębiorstwo usunęło film jedynie ze swojej strony internetowej, ale nie z sieci społecznościowych. Dopiero gdy organ ochrony danych ponownie zażądał od przedsiębiorstwa usunięcia filmu, przedsiębiorstwo faktycznie zastosowało się do tego żądania i usunęło film również z sieci społecznościowych.Link
1224NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2021Kara trzycyfrowa (dokładnia kwota nieznana)LekarzArt. 6 RODO, Art. 9 RODOOrgan ochrony danych w Brandenburgii nałożył na lekarza grzywnę. Ojciec małoletniego pacjenta złożył skargę do organu ochrony danych, ponieważ lekarz przekazał do centralnego biura rozliczeń liczne dane dotyczące jego dziecka. Dane te zawierały informacje o nazwisku, adresie, dacie urodzenia, numerze ubezpieczenia zdrowotnego, wykonanych usługach medycznych i postawionych diagnozach. Lekarz przekazał te dane bez zgody rodziców, a tym samym bez ważnej podstawy prawnej.Link
1223WłochyGarante per la protezione dei dati personali (Garante)2022-04-282 000,00 €Gmina PartannaArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacyGmina opublikowała na swojej stronie internetowej informacje o sprawie sądowej, w tym dane osobowe, takie jak nazwisko i informacje zawodowe osoby, której dane dotyczą.Link
1222NiemcyOrgan ochrony danych osobowych Berlina2021Nieznana KlinikaNieznanaOrgan ochrony danych z Berlina nałożył grzywnę na pewną klinikę. Klinika wyznaczyła kierownika kliniki, który był jednocześnie jej udziałowcem, na inspektora ochrony danych. Inspektor ochrony danych może wykonywać inne zadania i obowiązki, ale spółka musi zapewnić, że inne zadania i obowiązki nie prowadzą do konfliktu interesów. W niniejszej sprawie taki konflikt interesów jednak wystąpił. Z jednej strony kierownik kliniki musiał podejmować decyzje gospodarcze na swoim stanowisku kierowniczym, a z drugiej strony musiał monitorować przestrzeganie przez klinikę prawa o ochronie danych osobowych. Organ ochrony danych zauważył również, że taka podwójna rola niesie ze sobą ryzyko, że pacjenci i pracownicy będą wahać się, czy zwrócić się o pomoc do inspektora ochrony danych, będącego również dyrektorem szpitala, z krytycznymi pytaniami dotyczącymi przetwarzania danych osobowych.Link
1221NiemcyOrgan ochrony danych osobowych Berlina2021Nieznana AdwokatArt. 5 RODO, Art. 6 RODOOrgan ochrony danych z Berlina nałożył karę na adwokata. Adwokat od kilku lat był w sporze z klientem o roszczenia pieniężne. Przez dwa lata publikował on na swoim blogu imiona i nazwiska, adresy zamieszkania klienta i członków jego rodziny, jak również różne nieredagowane części akt - powołując się przy tym na przywilej prasowy. Nie była to jednak wyłącznie publikacja dziennikarska. Pełnomocnikowi chodziło raczej o przyspieszenie wypłaty kwoty pieniężnej, do której - jego zdaniem - był uprawniony. Ponieważ pełnomocnik nie mógł zatem powołać się na przywilej prasowy jako podstawę prawną przetwarzania danych, organ ochrony danych stwierdził, że przetwarzał on dane osób, których dane dotyczą, niezgodnie z prawem.Link
1220NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaSprzedawca detaliczny napojówNieznanaOrgan ochrony danych z Berlina nałożył grzywnę na sprzedawcę napojów. Sprzedawca stosował system nadzoru wideo, w którym kąt obserwacji kamer rozciągał się na przestrzeń publiczną.Link
1219NiemcyOrgan ochrony danych osobowych Berlina2021Nieznana Klinika medycznaArt. 5 RODO, Art. 6 RODOOrgan ochrony danych z Berlina nałożył grzywnę na klinikę medyczną. W celu ochrony przed przestępczością i szkodami materialnymi klinika zainstalowała w swoich pomieszczeniach 21 kamer. Umożliwiło to całodobowy monitoring pracowników i pacjentów. Jako podstawę prawną nadzoru wideo klinika powołała się na zgodę udzieloną przez pracowników i znaki informacyjne. Organ ochrony danych doszedł jednak do wniosku, że klinika nie mogła oprzeć nadzoru wideo na zgodzie, ponieważ dobrowolna zgoda w relacji pracownik-pracodawca jest wątpliwa. Również wyraźnie widoczne zawiadomienia o prowadzonym nadzorze wideo nie pozwalają na stwierdzenie, że pacjenci, wchodząc do monitorowanych pomieszczeń, prawnie wyrażają zgodę na obserwację. Organ ochrony danych nie mógł znaleźć żadnych innych dowodów, które uzasadniałyby tak szeroki nadzór wideo nad kliniką.Link
1218NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaPracownik urzędu pracyArt. 5 RODO, Art. 6 RODOPracownik urzędu pracy uzyskał dostęp do danych w systemach baz danych socjalnych oraz w rejestrze ludności w celu prywatnym.Link
1217NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaPracownik urzędu pracyArt. 5 RODO, Art. 6 RODOPracownica urzędu pracy uzyskała dostęp do danych w systemach baz danych socjalnych oraz w rejestrze cywilnym w celu przeprowadzenia prywatnych badań. Pracownica chciała udowodnić, że dwie jej koleżanki pozostają ze sobą w związku i sprawdziła adresy zameldowania obu tych osób.Link
1216NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaFunkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych dla prywatnych celów. Policjant oskarżony w sprawie karnej zamierzał wykorzystać informacje z policyjnej bazy danych do przygotowania swoich zeznań w sądzie.Link
1215NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaFunkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych dla celów prywatnych. Policjant zapytał o nową partnerkę byłej żony przyjaciela, ponieważ obawiał się, że dobro wspólnego dziecka może być zagrożone przez nową partnerkę.Link
1214NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaFunkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych dla prywatnych celów. Policjant zapytał o proces dochodzeniowy swojego pasierba, aby przygotować go do zeznań i przekonać funkcjonariusza prowadzącego sprawę o innej sekwencji przestępstw.Link
1213NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaFunkcjonariusz policjiArt. 5 RODO, Art. 6 RODOPolicjant wykorzystał dane osobowe świadka do osobistego kontaktu z nią.Link
1212NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaFunkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji wielokrotnie uzyskiwał dostęp do danych w policyjnej bazie danych w celu prywatnym.Link
1211NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaNieznanyNieznanaW ramach walki z pandemią Covid 19 pewien cmentarz umieścił otwartą listę, na której odwiedzający musieli wpisywać swoje dane kontaktowe. Pracownik cmentarza uzyskał imiona, nazwiska i numery telefonów kobiet z list kontaktowych, aby skontaktować się z nimi prywatnie i zapytać je m.in. o status związku. Organ ochrony danych stwierdził, że wykorzystanie danych osobowych z list kontaktowych do dokumentacji kontroli zakażeń poza śledzeniem kontaktów było niezgodne z prawem i w związku z tym nałożył karę pieniężną.Link
1210NiemcyOrgan ochrony danych osobowych Berlina2021NieznanaNieznanyNieznanaW celu zwalczania pandemii Covid 19, pewna restauracja umieściła otwartą listę, na której goście musieli podać swoje dane kontaktowe. Pracownik restauracji uzyskał imiona, nazwiska i numery telefonów kobiet z list kontaktowych, aby skontaktować się z nimi prywatnie i zapytać je między innymi o status związku. Organ ochrony danych stwierdził, że wykorzystanie danych osobowych z list kontaktowych do dokumentacji kontroli zakażeń poza śledzeniem kontaktów było niezgodne z prawem i w związku z tym nałożył grzywnę.Link
1209NiemcyOrgan ochrony danych osobowych kraju związkowego Hesja2021170,00 €RestauracjaArt. 5 (1) b) RODOW celu identyfikacji gościa, który nie zapłacił, z kilkoma gośćmi skontaktowali się pracownicy restauracji. W tym celu wykorzystano numery telefonów podane przez gości w ramach śledzenia kontaktów z Covid. Ponieważ goście przekazali swoje dane wyłącznie w celu kontroli zakażeń, organ ochrony danych uznał, że kontaktowanie się w celu identyfikacji gościa stanowi naruszenie zasady ograniczenia celu (art. 5 ust. 1 lit. b) RODO).Link
1208NiemcyOrgan ochrony danych osobowych kraju związkowego Hesja2021400,00 €Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych do celów prywatnych. Funkcjonariusz zakupił na platformie internetowej notebook do użytku prywatnego. Ponieważ sprzedawca nie zgodził się na negocjacje dotyczące sposobu zapłaty, funkcjonariusz wykorzystał policyjny system informacyjny do uzyskania informacji o sprzedawcy. Następnie policjant wysłał do sprzedawcy kilka wiadomości, w których podał mu pewne dane osobowe, które uzyskał w wyniku poszukiwań w policyjnej bazie danych. Celem było wzmocnienie jego żądania alternatywnej metody płatności poprzez wspomnienie uzyskanych informacji.Link
1207NiemcyOrgan ochrony danych osobowych kraju związkowego Hesja2021600,00 €Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych dla celów prywatnych, aby uzyskać informacje o nowym adresie swojej byłej żony. Odkrył, gdzie w międzyczasie przeprowadziła się jego była żona. Następnie funkcjonariusz faktycznie udał się do nowego mieszkania swojej byłej żony i spotkał ją przed wejściem do nowego domu. To tak przestraszyło byłą żonę, że zgłosiła zdarzenie na policję.Link
1206NiemcyOrgan ochrony danych osobowych kraju związkowego Hesja2021500,00 €Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnych bazach danych dla prywatnych celów, tj. uzyskania informacji o koledze.Link
1205NiemcyOrgan ochrony danych osobowych kraju związkowego Hesja20211 800,00 €Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji wielokrotnie uzyskiwał dostęp do danych w policyjnej bazie danych w celu prowadzenia prywatnych badań.Link
1204WłochyGarante per la protezione dei dati personali (Garante)2022-04-282 500,00 €Liceum Ogólnokształcące im. Izabela GonzagaArt. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 2-ter Codice della privacy, Art. 2-sexties Codice della privacyWłoski organ ochrony danych nałożył na liceum im. Isabelli Gonzagi grzywnę w wysokości 2 500 euro. Szkoła opublikowała na platformie internetowej dla kadry nauczycielskiej dokument, który zawierał również dane osobowe dotyczące zdrowia niektórych nauczycieli. Dokument ten zawierał informacje o świadczeniach związanych ze stanem zdrowia nauczycieli, którzy byli uprawnieni do takich świadczeń. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że szkoła opublikowała dane bez ważnej podstawy prawnej, a zatem działała niezgodnie z prawem.Link
1203PolskaUrząd ochrony danych osobowych (UODO)2022-06-063 500,00 €Esselmann Technika Pojazdowa Sp. z o.o. Sp. k.Art. 33 RODOPolski organ ochrony danych ukarał Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. 3 500 EUR. U administratora doszło do naruszenia ochrony danych, podczas którego zaginęło świadectwo pracy zawierające dane osobowe pracownika. Administrator nie zgłosił tego naruszenia ochrony danych do organu ochrony danych i tym samym naruszył art. 33 RODO.Link Link
1202HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-033 000,00 €LODEJU, S.L.Art. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na prowadzącego restaurację LODEJU, S.L. karę pieniężną w wysokości 3 000 euro. Administrator zainstalował w swoim lokalu kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował należycie osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1201RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-06-081 500,00 €Wens Experience SRLArt. 28 (2) RODORumuński organ ochrony danych nałożył na spółkę Wens Experience SRL grzywnę w wysokości 1 500 EUR. W toku dochodzenia organ ochrony danych ustalił, że Wens Experience, działając jako podmiot przetwarzający w imieniu administratora danych, zaangażował inny podmiot przetwarzający do przetwarzania danych pracowników bez uzyskania wcześniejszego zezwolenia od administratora danych. Stanowi to naruszenie art. 28 (2) RODO.Link
1200HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-03360,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 360 euro. Administrator zainstalował kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny.Link
1199HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-031 000,00 €Właściciel sklepuArt. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 euro za brak znaków informacyjnych o monitoringu wizyjnym w placówce.Link
1198RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-06-032 000,00 €Kaufland Romania SCSArt. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (2), (4) RODORumuński organ ochrony danych nałożył na Kaufland România SCS grzywnę w wysokości 2 000 EUR. Administrator zgłosił organowi ochrony danych dwa naruszenia danych zgodnie z art. 33 RODO. Pracownik, który rozpatrywał skargę, nie przestrzegał wewnętrznej procedury rozpatrywania skarg, umożliwiając pracownikowi ochrony wgląd w dane skarżącego i niewłaściwe ich wykorzystanie. Ponadto administrator omyłkowo przekazał dane z formularza zamówienia klienta nieuprawnionej osobie trzeciej. Doprowadziło to do ujawnienia danych osobowych (imię, nazwisko, adres e-mail, numer telefonu) poszkodowanego klienta Kauflandu. Z tego powodu organ ochrony danych stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony i bezpieczeństwa danych osobowych.Link
1197WłochyGarante per la protezione dei dati personali (Garante)2022-04-2850 000,00 €Istituto Nazionale Assicurazione Infortuni sul LavoroArt. 5 (1) a), f) RODO, Art. 6 (1) e) RODO, Art. 9 (2) g) RODO, Art. 32 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacyWłoski organ ochrony danych nałożył na Istituto Nazionale Assicurazione Infortuni sul Lavoro (publiczne ubezpieczenie pracowników od wypadków) grzywnę w wysokości 50 000 euro. W ramach prowadzonego dochodzenia organ ochrony danych ustalił, że trzykrotnie wypadki i choroby zawodowe innych pracowników były publicznie widoczne w systemie internetowym ubezpieczyciela. Do incydentu doszło z powodu nieaktualnej wersji systemu. Organ ochrony danych stwierdził, że ubezpieczyciel nie wywiązał się w wystarczającym stopniu z obowiązku podjęcia odpowiednich środków technicznych i organizacyjnych w celu zapobieżenia naruszeniom danych osobowych. Ubezpieczyciel powinien był zapewnić stosowanie zaktualizowanych i bezpiecznych systemów online.Link
1196WłochyGarante per la protezione dei dati personali (Garante)2022-04-2810 000,00 €Ministerstwo Obrony WłochArt. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-sexies Codice della privacy, Art. 2-octies Codice della privacyWłoski organ ochrony danych nałożył na włoskie Ministerstwo Obrony karę w wysokości 10 tys. euro. Pracownik ministerstwa złożył skargę do organu ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że dwa e-maile zostały przekazane bez upoważnienia. E-maile te zawierały między innymi wrażliwe informacje na temat stanu zdrowia osoby, której dane dotyczą, jak również informacje na temat postępowania sądowego.Link
1195HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-06-01300,00 €Osoba fizycznaArt. 5 (1) c) RODOWykorzystanie kamery monitoringu, która uchwyciła również obcą przestrzeń prywatną sąsiada i przestrzeń publiczną.Link
1194HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-311 600,00 €CORON ISLAND SLUArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na CORON ISLAND SLU grzywnę w wysokości 1 600 euro. Klient złożył skargę na restaurację do organu ochrony danych. Klientka poprosiła po posiłku o wystawienie rachunku na swoje nazwisko. Kierownik wyjaśnił jednak, że rachunek może być wystawiony tylko wtedy, gdy klient poda swój numer telefonu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1193WłochyGarante per la protezione dei dati personali (Garante)2022-04-281 000,00 €Educationest s.r.l.Art. 5 (1) a), e) RODO, Art. 6 (1) b), c) RODOWłoski organ ochrony danych ukarał firmę Educationest s.r.l. grzywną w wysokości 1 000 euro. Świetlica wysłała e-mail do rodzin dzieci znajdujących się pod jej opieką, informując je o ciąży i urlopie macierzyńskim jednego z wychowawców. Żłobek napisał maila, aby zapobiec plotkom o nieobecności wychowawczyni i aby ją chronić. Wychowawczyni nie wyraziła jednak zgody na ujawnienie informacji o jej ciąży. Organ ochrony danych uznał zatem, że Educationest bezprawnie przetwarzał dane wychowawczyni i naruszył art. 5 RODO oraz art. 6 RODO.Link
1192WłochyGarante per la protezione dei dati personali (Garante)2022-04-0710 000,00 €E-Mac Professional s.r.l.Art. 12 (3) RODO, Art. 15 RODOBrak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych.Link
1191BelgiaGegevensbeschermingsautoriteit (GBA)2022-05-2550 000,00 €Roularta Media GroupArt. 5 (1) e) RODO, Art. 5 (2) RODO, Art. 6 (1) a) RODO, Art. 7 (1), (3) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 RODOBelgijski organ ochrony danych nałożył na Roularta Media Group grzywnę w wysokości 50 000 EUR. W ramach swojego dochodzenia organ ochrony danych stwierdził, że zarządzanie plikami cookie na dwóch stronach internetowych prowadzonych przez Roularta nie było zgodne z RODO. W celu stosowania plików cookie administratorzy muszą uzyskać uprzednią zgodę użytkownika, z wyjątkiem przypadków, w których pliki cookie są absolutnie niezbędne do działania strony internetowej. Organ ochrony danych stwierdził, że zgoda na przetwarzanie danych osobowych za pośrednictwem plików cookie na stronach internetowych obsługiwanych przez Roulartę nie była ważna, ponieważ nie spełniono wszystkich niezbędnych warunków. W związku z tym około 60 plików cookie, które nie były wymagane, zostało umieszczonych przez strony internetowe na urządzeniach odwiedzających, nawet zanim wyrazili oni na to zgodę. Roularta nie poinformowała również w wystarczającym stopniu użytkowników o plikach cookie. Ponadto pola dotyczące zgody na umieszczanie plików cookie przez strony trzecie były z góry zaznaczone, chociaż użytkownicy zawsze muszą wyrazić aktywną zgodę. Ponadto organ ochrony danych stwierdził, że użytkownicy nie mogli odwołać swojej zgody na umieszczanie plików cookie tak łatwo, jak ją wyrazili.Link Link
1190Wielka BrytaniaInformation Commissioner (ICO)2022-05-189 000 000,00 €Clearview Al Inc.Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 14 RODO, Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 21 RODO, Art. 22 RODO, Art. 35 RODOBrytyjski organ ochrony danych nałożył na Clearview AI Inc. 9 mln euro. Firma posiada bazę ponad 20 miliardów zdjęć twarzy (w tym mieszkańców i obywateli Wielkiej Brytanii) z całego świata. Dane są gromadzone online z publicznie dostępnych platform, takich jak sieci społecznościowe. Firma oferuje usługę wyszukiwania, która umożliwia identyfikację osób na podstawie danych biometrycznych pobranych ze zdjęć. Profile osób mogą być wzbogacone o informacje związane z tymi obrazami, takie jak tagi obrazu i geolokalizacja. Clearview AI nie oferuje już swoich usług w Wielkiej Brytanii, ale robi to w innych krajach, co oznacza, że firma nadal wykorzystuje dane osobowe mieszkańców Wielkiej Brytanii. W trakcie swojego dochodzenia organ ochrony danych stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto, aby skorzystać z praw przysługujących im na mocy RODO, takich jak prawo dostępu na mocy art. 15 RODO, osoby, których dane dotyczą, musiały dostarczyć Clearview dodatkowe dane osobowe, przesyłając swoje zdjęcie, które można było dopasować do bazy danych Clearview. Zdaniem organu ochrony danych stanowi to znaczące utrudnienie i czynnik zniechęcający do korzystania z takich praw. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo naruszyło kilka zasad RODO. Na przykład przedsiębiorstwo naruszyło zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. Clearview naruszyła również zasadę ograniczenia przechowywania, nie przedstawiając polityki przechowywania danych, a tym samym nie będąc w stanie zapewnić, że dane osobowe nie są przechowywane dłużej niż to konieczne. Ponadto Clearview nie przeprowadziła oceny wpływu na prywatność, pomimo wysokiego ryzyka dla danych osób, których dane dotyczą.Link Link
1189FinlandiaTietosuojavaltuutetun Toimisto2022-04-298 300,00 €Przedsiębiorstwo telemarketingoweArt. 58 (2) RODOFiński organ ochrony danych nałożył na firmę telemarketingową grzywnę w wysokości 8 300 EUR za nieprzestrzeganie nakazu organu ochrony danych. Klient firmy zażądał dostępu do nagrania rozmowy sprzedażowej. Firma nie zastosowała się jednak do tego wniosku, w związku z czym organ ochrony danych nakazał jej udzielenie klientowi dostępu do nagrań. Później klient poinformował, że pomimo nakazu organu ochrony danych nadal nie otrzymał nagrania rozmowy.Link
1188Wielka BrytaniaInformation Commissioner (ICO)2022-03-10115 000,00 €Tuckers Solicitors LLPArt. 5 (1) a) f) RODOBrytyjski organ ochrony danych (ICO) ukarał kancelarię prawną Tuckers Solicitors LLP grzywną w wysokości 115 tys. euro. Tuckers ucierpiał w wyniku ataku ransomware na swoje systemy, co doprowadziło do naruszenia danych osobowych. W ramach dochodzenia organ ochrony danych ustalił, że firma Tuckers nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. To zaniedbanie sprawiło, że jej systemy były podatne na złośliwe ataki. Napastnikom udało się zaszyfrować 972 191 pojedynczych plików, z których 24 712 dotyczyło postępowań sądowych, a także wyłudzić 60 plików i opublikować je na podziemnych rynkach danych. Pliki zawierały zarówno dane osobowe, jak i dane kategorii specjalnej, takie jak dokumentacja medyczna, zeznania świadków, nazwiska i adresy świadków i ofiar oraz domniemane przestępstwa osób, których dane dotyczą.Link
1187WłochyGarante per la protezione dei dati personali (Garante)2022-04-0710 000,00 €Findomestic Banca spaArt. 5 (1) a), c) RODOWłoski organ ochrony danych nałożył na Findomestic Banca spa grzywnę w wysokości 10 000 euro. Klient złożył do organu ochrony danych osobowych skargę dotyczącą naruszenia poufności w odniesieniu do instytucji finansowej. Administrator danych nieuprawnienie wysłał kilka przypomnień o płatności do żony osoby, której dane dotyczą, w związku z pożyczką zaciągniętą przez tę osobę. Żona rzeczywiście poręczyła pożyczkę zaciągniętą przez osobę, której dane dotyczą, jednak nie przedmiotową.Link Link
1186WłochyGarante per la protezione dei dati personali (Garante)2022-04-0720 000,00 €Made in Italy s.r.l.s.Art. 6 RODO, Art. 7 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 130 (3) Codice della privacy, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacyWłoski organ ochrony danych (Garante) nałożył na Made in Italy s.r.l.s. grzywnę w wysokości 20 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych po otrzymaniu telefonów promocyjnych od administratora danych, mimo że nie wyraziła na to zgody. Nawet po tym, jak osoba, której dane dotyczą, sprzeciwiła się temu, administrator danych nie zaprzestał połączeń. Osoba, której dane dotyczą, zażądała następnie informacji o pochodzeniu danych oraz usunięcia tych danych. Administrator nie odpowiedział jednak na ten wniosek. Ponadto administrator nie współpracował w wystarczającym stopniu z organem ochrony danych w trakcie dochodzenia.Link Link
1185WłochyGarante per la protezione dei dati personali (Garante)2022-04-0750 000,00 €Palumbo Superyacht Ancona s.r.l.Art. 5 (1) a), e) RODO, Art. 13 RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacyWłoski organ ochrony danych ukarał firmę Palumbo Superyacht Ancona s.r.l. grzywną w wysokości 50 000 euro. Firma zablokowała bez pozwolenia służbowe konto e-mail pracownika. Pracownik zgłosił ten incydent firmie i poprosił o przywrócenie skrzynki mailowej, która zawierała zarówno prywatne, jak i służbowe wiadomości. Firma nie spełniła jednak tego żądania. W trakcie swojego dochodzenia organ ochrony danych stwierdził dalsze naruszenia. Na przykład firma nie odpowiedziała na wniosek o udzielenie informacji wystosowany przez organ ochrony danych i naruszyła zasadę ograniczania przechowywania danych.Link Link
1184HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-202 000,00 €Osoba fizycznaArt. 6 (1) RODOHiszpański organ ochrony danych ukarał grzywną w wysokości 2 000 euro osobę fizyczną prowadzącą trzy strony internetowe. W trakcie dochodzenia organ ochrony danych stwierdził, że na wszystkich trzech stronach internetowych brakowało pola do wyrażenia zgody na przetwarzanie danych osobowych. Ponadto organ ten stwierdził, że w polityce prywatności na stronach internetowych brakowało jakiegokolwiek odniesienia do tożsamości administratora danych oraz do prawa osób, których dane dotyczą, do wycofania zgody na przetwarzanie danych.Link
1183HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-201 500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1500 euro. Administrator zainstalował w swoim samochodzie kamery monitoringu, które m.in. obejmowały również część garażu gminnego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1182HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-202 000,00 €Osoba fizycznaArt. 6 (1) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 2.000 euro. Osoba ta zrobiła zdjęcia grupie nieletnich oraz policjantom bez ich zgody, a następnie umieściła je na Facebooku.Link
1181NorwegiaDatatilsynet2022-03-159 700,00 €PrzedsiębiorstwoArt. 6 (1) RODO, Art. 13 RODO, Art. 21 RODONorweski organ ochrony danych nałożył na pewną firmę karę w wysokości 9 700 euro. Do organu ochrony danych wpłynęła skarga od byłego pracownika firmy. Tłem skargi jest fakt, że po rozwiązaniu stosunku pracy przez pracownika, zarówno zawodowe, jak i prywatne wiadomości e-mail ze skrzynki pocztowej pracownika były automatycznie przekazywane na adres e-mail administrowany przez dyrektora zarządzającego. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator danych dokonał automatycznego przekazania wiadomości e-mail bez ważnej podstawy prawnej. Ponadto administrator nie poinformował byłego pracownika o przetwarzaniu danych poprzez przekazywanie wiadomości e-mail, wbrew obowiązkowi wynikającemu z art. 13 RODO. Wreszcie, organ ochrony danych stwierdził, że administrator nie zastosował się należycie do wniosku o wyrażenie sprzeciwu wobec przetwarzania danych złożonego przez byłego pracownika.Link Link
1180RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-05-245 000,00 €MED LIFE S.A.Art. 32 (1) b), (2), (4) RODORumuński organ ochrony danych (DPA) nałożył na MED LIFE S.A. karę w wysokości 5 000 EUR. Spółka wyrzuciła dokumenty zawierające poufne dane pacjentów do publicznie dostępnego pojemnika na śmieci. Osoba fizyczna znalazła te dokumenty i złożyła skargę do organu ochrony danych. Podczas dochodzenia organ ochrony danych stwierdził, że MED Life nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych i uniknięcia takich incydentów.Link
1179HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-1742 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España S.A.U.. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Podmiot danych skarżył się na otrzymywanie faktur, mimo że między nim a administratorem nie istniał już stosunek umowny. Jednak mimo że osoba, której dane dotyczą, sprzeciwiła się dalszemu otrzymywaniu wiadomości, ponieważ nie było już żadnych zaległych faktur, a administrator to potwierdził, wysyłanie wiadomości było kontynuowane. W związku z tym organ ochrony danych stwierdził, że administrator przetwarzał dane osoby, której dane dotyczą, bez ważnej podstawy prawnej. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 42 000 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
1178HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-18600,00 €SCF ZHU, S.L.Art. 13 RODOHiszpański organ ochrony danych nałożył na SCF ZHU, S.L. grzywnę z powodu braku wystarczających informacji o przetwarzaniu danych w odniesieniu do nadzoru wideo na terenie przedsiębiorstwa. Pierwotna grzywna w wysokości 1 000 EUR została zmniejszona do 600 EUR ze względu na natychmiastową zapłatę i uznanie odpowiedzialności.Link
1177WłochyGarante per la protezione dei dati personali (Garante)2022-03-1010 000,00 €Alfa Shipyard s.r.l.Art. 58 (2) RODOWłoski organ ochrony danych nałożył na Alfa Shipyard s.r.l. grzywnę w wysokości 10 000 EUR. Administrator nie wdrożył w odpowiednim czasie środków nakazanych przez organ ochrony danych.Link
1176HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-1810 000 000,00 €Google LLCArt. 6 RODO, Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na GOOGLE LLC grzywnę w wysokości 10 mln euro. Dwie osoby, których dane dotyczą, złożyły do organu ochrony danych osobowych skargę, że Google bez upoważnienia ujawnił ich dane osobowe osobom trzecim. W trakcie długotrwałego dochodzenia organ ochrony danych ustalił, że Google przekazał dane osobowe osób, których dane dotyczą, do tzw. projektu Lumen. Lumen to projekt prowadzony przez Berkman Klein Center for Internet & Society na Uniwersytecie Harvarda. Projekt ten rozpoczął się w 2002 roku i ma na celu gromadzenie wniosków o usunięcie treści ze stron internetowych w Stanach Zjednoczonych i poza nimi. Do danych tych mogą mieć następnie dostęp badacze i inne zainteresowane osoby. Użytkownicy platform obsługiwanych przez Google, takich jak YouTube czy Google Drive, mają możliwość zażądania usunięcia treści na swój temat znajdujących się na tych platformach. W tym celu Google udostępnił różne formularze kontaktowe i reklamacyjne. Dane osób, których dane dotyczą, korzystających z tych formularzy, były jednak automatycznie przekazywane do projektu Lumen. Osoby, których dane dotyczą, nie miały możliwości sprzeciwienia się temu przekazywaniu, ponieważ automatyczne przekazywanie do Lumen było warunkiem korzystania z formularzy. Z tego powodu organ ochrony danych stwierdził, że ze względu na brak możliwości wyrażenia sprzeciwu wobec przekazywania danych do Lumen, Google przetwarzał dane osób, których dane dotyczą, bez ważnej podstawy prawnej. W tym kontekście organ ochrony danych stwierdził również, że Google nie umożliwił w wystarczającym stopniu osobom, których dane dotyczą, skorzystania z prawa do usunięcia ich danych. Przy ustalaniu wysokości grzywny organ ochrony danych wziął pod uwagę jako czynniki obciążające fakt, że dane zostały nie tylko ujawnione, ale również przekazane do państwa trzeciego bez umożliwienia osobom, których dane dotyczą, wyrażenia sprzeciwu. Pozbawiło to osoby, których dane dotyczą, kontroli nad przetwarzaniem ich danych osobowych. Ponadto organ ochrony danych stwierdził, że przekazywanie danych odbywało się przez bardzo długi czas. Dotyczyło to również dużej liczby osób fizycznych, a w niektórych przypadkach przetwarzane były dane wrażliwe.Link
1175HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-174 000,00 €INSEKT FOOD S.L.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4000 EUR na INSEKT FOOD SL. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi, ponieważ administrator opublikował dane osobowe osoby, której dane dotyczą w trzech grupach WhatsApp . W rezultacie wszystkim 541 członkom tych grup WhatsApp przyznano nieautoryzowany dostęp do niektórych danych osobowych osoby, której dane dotyczą (nazwisko, imię, adres).Link
1174HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-1718 000,00 €RAMONA FILMS, S.L.Art. 58 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na RAMONA FILMS, S.L. grzywnę za niedostarczenie informacji wymaganych przez organ ochrony danych podczas dochodzenia. Pierwotna grzywna w wysokości 30 000 EUR została zmniejszona do 18 000 EUR w związku z natychmiastową zapłatą i uznaniem winy.Link
1173HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-178 000,00 €TIGERS MARKET, S.L.Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDDHiszpański organ ochrony danych (AEPD) nałożył na TIGERS MARKET, S.L. grzywnę w wysokości 8 000 EUR. Osoba, której dane dotyczą, otrzymywała telefony reklamowe od administratora, mimo że osoba ta była wpisana na listę wykluczenia z reklam (listę Robinsona).Link
1172HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-171 500,00 €Osoba fizyczna Art. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1500 euro. Administrator danych zainstalował na swojej posesji kamery monitoringu, które m.in. obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1171RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-05-171 500,00 €MAYR MELNHOF PACKAGING ROMANIA S.R.L.Art. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 RODORumuński organ ochrony danych nałożył na MAYR MELNHOF PACKAGING ROMANIA S.R.L. grzywnę w wysokości 1 500 EUR. Administrator zainstalował w pomieszczeniach kamery nadzoru wideo w celu ochrony majątku firmy i bezpieczeństwa pracowników. W trakcie dochodzenia organ ochrony danych ustalił również, że kamery obejmowały kafeterię pracowniczą i strefę dla palaczy, umożliwiając monitorowanie pracowników poza ich godzinami pracy. Organ ochrony danych stwierdził, że nagrywanie pracowników nie było konieczne do zapewnienia celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1170RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-05-185 000,00 €Kredyt Inkaso Investments RO S.AArt. 5 RODO, Art. 6 RODO, Art. 9 RODO, Art. 33 RODORumuński organ ochrony danych ukarał Kredyt Inkaso Investments RO S.A. grzywną w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora za ujawnienie danych osobowych jej i jej małoletniego dziecka instytucjom medycznym bez upoważnienia i bez związku osoby, której dane dotyczą, z tymi instytucjami. W toku postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator danych ujawnił dane takie jak adres zamieszkania, status zawodowy, a także dane z umowy o pracę. Ponadto organ ochrony danych stwierdził, że administrator nie powiadomił organu ochrony danych o naruszeniu danych w terminie wymaganym przez art. 33 RODO.Link
1169WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2022-03-291 300,00 €WarsztatArt. 5 (1) b), c) RODO, Art. 6 (1) f) RODO, Art. 13 (1), (2) RODOWęgierski organ ochrony danych nałożył na warsztat samochodowy grzywnę w wysokości 1300 EUR. Warsztat zainstalował system nadzoru wideo w celu ochrony majątku firmy. Kamery uchwyciły jednak również część obszaru pracy pracowników. Organ ochrony danych stwierdził, że nagrywanie pracowników nie było konieczne do zapewnienia celów związanych z nadzorem wideo i dlatego było nieproporcjonalne. Organ ochrony danych stwierdził również, że warsztat nie wypełnił w wystarczającym stopniu swoich obowiązków informacyjnych wynikających z art. 13 RODO. Warsztat powołał się na zgodę udzieloną przez pracowników, jako podstawę prawną nadzoru wideo. Organ ochrony danych stwierdził jednak, że warsztat nie mógł oprzeć nadzoru wideo na zgodzie, ponieważ dobrowolna zgoda w relacji pracownik-pracodawca jest wątpliwa. Zamiast tego warsztat powinien był oprzeć nadzór wideo na uzasadnionym interesie.Link
1168HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-13170 000,00 €Mercadona S.A.Art. 6 RODO, Art. 12 RODO, Art. 15 RODOHiszpański organ ochrony danych (AEPD) nałożył na sieć supermarketów Mercadona S.A. grzywnę w wysokości 170 000 euro. Pewna osoba złożyła skargę do organu ochrony danych. Osoba ta uległa wypadkowi w jednym z supermarketów i zwróciła się do Mercadony o udostępnienie nagrań wypadku z systemu nadzoru wideo w celu uzyskania odszkodowania. Mercadona nie spełniła jednak tego żądania. Po tym, jak adwokat osoby, której dotyczą dane, ponownie zwrócił się do Mercadony o dostarczenie nagrań, Mercadona odpowiedziała, że obrazy zostały już usunięte.Link
1167LuksemburgCommission nationale pour la protection des données (CNPD)2022-02-021 000,00 €Prowadzący kawiarnięArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga nałożył na przedsiębiorcę prowadzącego kawiarnię grzywnę w wysokości 1 000 EUR. Operator zainstalował w kawiarni dwie kamery monitoringu w celu ochrony majątku firmy oraz bezpieczeństwa klientów i pracowników. Kamery te jednak stale rejestrowały fragmenty miejsc pracy pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Stwierdził również, że administrator danych nie wypełnił w wystarczającym stopniu swoich obowiązków informacyjnych wynikających z art. 13 RODO.Link
1166HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-116 000,00 €Wspólnota mieszkaniowaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 6 000 EUR na wspólnotę mieszkaniową. Właściciel mieszkania, który był jego mieszkańcem od 15 lat, złożył skargę do organu ochrony danych osobowych w związku z koniecznością okazania dowodu tożsamości przed skorzystaniem z basenu wspólnego. Wniosek o udostępnienie danych osobowych dotyczył działań mających na celu zwalczanie pandemii koronawirusa. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że gromadzenie danych osobowych poprzez kontrolę tożsamości było zbędne, biorąc pod uwagę fakt, że osoba, której dane dotyczą, była rezydentem od 15 lat, a tym samym naruszało zasadę minimalizacji danych określoną w art. 5 ust. 1 lit. c) RODO. Ponadto organ ochrony danych stwierdził, że osoba, której dane dotyczą, nie została dostatecznie poinformowana o przetwarzaniu jej danych osobowych.Link
1165HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-122 000,00 €Osoba fizycznaArt. 6 (1) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 2 000 euro. Osoba ta udostępniła w serwisie WhatsApp nagranie wideo przedstawiające brutalny atak na osobę, której dane dotyczą, bez uzyskania jej zgody.Link
1164HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-12500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 500 EUR. Administrator zainstalował na swojej posesji kamerę monitorującą, która nagrywała m.in. sąsiednie posesje. AEPD uznał to za naruszenie zasady minimalizacji danych.Link
1163RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-05-121 000,00 €LORIS FUEL SHOP SRLArt. 29 RODO, Art. 32 (4) RODORumuński urząd ochrony danych osobowych nałożył na operatora stacji benzynowej LORIS FUEL SHOP SRL grzywnę w wysokości 1 000 EUR. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ jej zdjęcia zostały opublikowane na Facebooku. Zdjęcia pochodziły z systemu monitoringu wideo zainstalowanego na jednej ze stacji benzynowych administratora. W trakcie dochodzenia, organ ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu zapewnienia poufności danych osobowych generowanych przez system telewizji przemysłowej zainstalowany na stacjach benzynowych. Skutkowało to tym, że nieupoważnione osoby trzecie filmowały obrazy z kamer wideo, a następnie publikowały je na portalach społecznościowych.Link
1162HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-11600,00 €Właściciel baruArt. 5 (1) c) RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela baru grzywną w wysokości 600 euro. Bar posiadał system nadzoru wideo, w którym kąt obserwacji kamer rozciągał się na przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1161DaniaDatatilsynet2022-05-1213 400,00 €CivilstyrelsenArt. 32 RODO, Art. 33 RODODuński urząd ochrony danych (DPA) nałożył na duńską agencję Civilstyrelsen karę w wysokości 13 400 EUR. Zgubiono pamięć USB Civilstyrelsen zawierającą ponad 800 stron poufnych i wrażliwych informacji. W trakcie dochodzenia organ ochrony danych ustalił, że pamięć USB nie była zaszyfrowana. Ponadto agencja nie posiadała żadnej polityki dla swoich pracowników w zakresie korzystania z nośników wymiennych i przenośnych. Co więcej, organ ochrony danych stwierdził, że pomimo świadomości naruszenia ochrony danych, agencja nie zgłosiła tego naruszenia, co jest sprzeczne z jej obowiązkiem wynikającym z art. 33 RODO. Organ ochrony danych stwierdził, że agencja nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Na przykład szyfrowanie nośników wymiennych jest koniecznym i wymaganym środkiem bezpieczeństwa, zwłaszcza jeśli nośniki wymienne zawierają informacje wrażliwe, takie jak dane osobowe.Link
1160WłochyGarante per la protezione dei dati personali (Garante)2022-04-0740 000,00 €ISWEB S.p.A.Art. 28 RODOWłoski organ ochrony danych nałożył na ISWEB S.p.A. grzywnę w wysokości 40 000 EUR. Kara ta jest związana z grzywną nałożoną na zakład opieki zdrowotnej Azienda ospedaliera di Perugia. ISWEB dostarczyło zakładowi opieki zdrowotnej aplikację internetową do systemu informowania o nieprawidłowościach. Podczas dochodzenia przeprowadzonego w zakładzie opieki zdrowotnej organ ochrony danych stwierdził liczne naruszenia RODO związane z systemem informowania o nieprawidłowościach. Dochodzenie organu ochrony danych odbyło się w ramach serii inspekcji dotyczących przetwarzania danych w systemach informowania o nieprawidłowościach u pracodawców. W odniesieniu do ISWEB, organ ochrony danych ustalił, że firma korzystała z usług zewnętrznego dostawcy w celu hostingu systemów informowania o nieprawidłowościach. ISWEB nie przekazała jednak dostawcy zewnętrznemu szczegółowych instrukcji dotyczących przetwarzania danych osób, których dane dotyczą, ani nie poinformowała o tym zakładu opieki zdrowotnej.Link Link
1159WłochyGarante per la protezione dei dati personali (Garante)2022-04-0740 000,00 €Azienda ospedaliera di PerugiaArt. 5 (1) a), f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 25 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda ospedaliera di Perugia grzywnę w wysokości 40 000 EUR. Podczas dochodzenia przeprowadzonego w zakładzie opieki zdrowotnej organ ochrony danych stwierdził liczne naruszenia RODO. Dochodzenie organu ochrony danych odbyło się w ramach serii inspekcji dotyczących przetwarzania danych w kontekście systemów informowania o nieprawidłowościach u pracodawców. Zakład opieki zdrowotnej korzystał z aplikacji internetowej opartej na otwartym oprogramowaniu do zgłaszania nieprawidłowości. Dostęp do tej aplikacji był jednak możliwy za pośrednictwem systemów, które nie były odpowiednio skonfigurowane. Umożliwiło to rejestrowanie i przechowywanie danych o przeglądaniu stron przez użytkowników, a tym samym identyfikację tych użytkowników, a więc potencjalnych sygnalistów. Jeśli chodzi o przetwarzanie danych osobowych, ośrodek zdrowia nie poinformował pracowników z wyprzedzeniem. Ponadto organ ochrony danych stwierdził, że ośrodek zdrowia nie przeprowadził oceny skutków w zakresie ochrony danych i nie zarejestrował przetwarzania danych w rejestrze czynności przetwarzania. Tym samym nie przeprowadzono wystarczającej oceny ryzyka dla praw i wolności osób, których dane dotyczą.Link Link
1158WłochyGarante per la protezione dei dati personali (Garante)2022-04-241 000,00 €ASST di LodiArt. 5 (1) f) RODO, Art. 9 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na ASST di Lodi grzywnę w wysokości 1 000 EUR. Zakład opieki zdrowotnej zgłosił naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Pacjent podał dwie osoby kontaktowe do swoich spraw medycznych. Placówka została wyraźnie upoważniona do uzyskania od tych dwóch osób informacji medycznych dotyczących pacjenta w nagłych wypadkach. W związku z ważnym badaniem diagnostycznym pacjenta, dwie upoważnione osoby nie były osiągalne, więc pracownik ośrodka zdrowia poprosił o te informacje członka rodziny, którego osobiście znał. W trakcie postępowania wyjaśniającego organ ochrony danych ustalił, że placówka opieki zdrowotnej przetwarzała informacje dotyczące osoby, której dane dotyczą, bez jej zgody, a zatem bez ważnej podstawy prawnej. Ponadto organ ten stwierdził, że placówka opieki zdrowotnej nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, aby zapobiec takim zdarzeniom.Link
1157HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-2840 000,00 €Working Capital Management España, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 40 000 euro na agencję informacji kredytowej Working Capital Management España, S.L.. Osoba, której dane dotyczą, złożyła skargę na firmę do AEPD. Nieuczciwe osoby trzecie zaciągnęły kredyt w NBQ Technology, S.A.U. w imieniu osoby, której dane dotyczą, bez faktycznego zawarcia przez nią umowy. Po tym, jak osoba, której dane dotyczą, nie dokonała płatności, NBQ ujawniła jej dane spółce Working Capital Management. AEPD ustaliła, że Working Capital Management przetwarzała dane osoby, której dane dotyczyły, niezgodnie z prawem, ponieważ dane osobowe zostały wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.Link
1156HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-10300,00 €Właściciel sklepuArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu karę w wysokości 300 euro. Administrator danych żądał od klientów różnych danych osobowych w celu rezerwacji wizyt. Organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu tych danych zgodnie z art. 13 RODO.Link
1155HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-091 200,00 €CONTIMAG INVEST, S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał CONTIMAG INVEST, S.L. grzywną w wysokości 1 200 EUR za nieprzekazanie wystarczających informacji na temat monitoringu wizyjnego w jednej z prowadzonych przez siebie restauracji.Link
1154IslandiaPersónuvernd2022-05-0336 000,00 €Miasto ReykjavíkArt. 5 RODO, Art. 6 RODO, Art. 32 RODOIslandzki organ ochrony danych osobowych nałożył na miasto Reykjavík grzywnę w wysokości 36 000 EUR. Miasto korzystało z cyfrowego systemu edukacyjnego "Seesaw" w kilku szkołach. System ten przetwarzał m.in. dane osobowe nieletnich uczniów, takie jak informacje zwrotne od nauczycieli oraz informacje o prywatnych sprawach uczniów. W trakcie dochodzenia organ ochrony danych stwierdził, że cel przetwarzania danych dzieci nie został dostatecznie jasno określony. W tym kontekście, organ stwierdził również naruszenie zasady proporcjonalności i minimalizacji danych. Ponadto organ stwierdził, że miasto nie wdrożyło odpowiednich środków technicznych i organizacyjnych w zakresie ochrony danych osobowych. Było to konieczne ze względu na wysokie ryzyko, że dane mogą być przekazywane do Stanów Zjednoczonych i tam przetwarzane. Przy ustalaniu wysokości grzywny wzięto pod uwagę fakt, że naruszenie danych nie spowodowało żadnych szkód.Link
1153HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-2815 000,00 €MEDEROS MOVITEN, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na MEDEROS MOVITEN, S.L. grzywnę w wysokości 15 000 EUR. Osoba, której dane dotyczą, podpisała ze spółką umowę o świadczenie usług telefonii komórkowej. Firma ta wystawiła jednak osobie, której dane dotyczą, faktury za usługi, na które osoba ta nie wyraziła zgody. Umowy dotyczące tych usług zawierały dane osobowe osoby, której dane dotyczą, ale nie zawierały podpisu. Ze względu na brak ważnej umowy, organ ochrony danych stwierdził, że firma nielegalnie przetwarzała dane osobowe osoby, której dane dotyczą, w odniesieniu do przedmiotowych umów, naruszając tym samym art. 6 (1) RODO.Link
1152HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-05-035 000,00 €MISTORE CANARIAS, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na firmę MISTORE CANARIAS, S.L. grzywnę w wysokości 5 000 EUR. Osoba, która dokonała zakupu w tej firmie, złożyła na nią skargę do organu ochrony danych. Według tej osoby, podczas zakupu zgromadzono jej dane osobowe, takie jak nazwisko, imię i dane rachunku bankowego. W trakcie dokonywania zakupu zaproponowano jej produkty trzech innych firm, które odrzuciła. Mimo to administrator przekazał jej dane do tych trzech firm bez jej zgody na takie przekazanie.Link
1151BelgiaGegevensbeschermingsautoriteit (GBA)2022-05-0410 000,00 €Nationale Maatschappij der Belgische SpoorwegenArt. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 12 (2) RODO, Art. 21 (2), (3), (4) RODOBelgijski organ ochrony danych (DPA) nałożył na belgijskie państwowe przedsiębiorstwo kolejowe (Nationale Maatschappij der Belgische Spoorwegen) karę w wysokości 10 000 EUR. Skargę do organu ochrony danych złożył użytkownik Twittera, który otrzymał drogą elektroniczną biuletyn informacyjny od przedsiębiorstwa kolejowego. Według użytkownika Twittera, newsletter nie zawierał opcji rezygnacji z subskrypcji. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził po pierwsze, że nie istniała ważna podstawa prawna do przetwarzania danych osobowych za pośrednictwem newslettera. Wbrew opinii spółki kolejowej, organ ten stwierdził, że biuletyn nie był niezbędny do wykonania umów między pasażerami a spółką, a zatem interes związany z wykonaniem umowy nie stanowił podstawy prawnej przetwarzania danych. Ponadto organ ochrony danych stwierdził, że prawo do sprzeciwu przysługujące osobom, których dane dotyczą, nie zostało uwzględnione w wystarczającym stopniu, ponieważ nie było możliwości wypisania się z biuletynu bezpośrednio za pośrednictwem poczty elektronicznej.Link
1150WłochyGarante per la protezione dei dati personali (Garante)2022-03-2410 000,00 €Brav s.r.l.Art. 5 (1) f) RODO, Art. 32 RODOWłoski organ ochrony danych nałożył na firmę Brav s.r.l. grzywnę w wysokości 10 000 EUR. Operator platformy internetowej zgłosił organowi ochrony danych naruszenie ochrony danych zgodnie z art. 33 RODO. Nieupoważnionym osobom udało się uzyskać dostęp do platformy wykorzystywanej przez policję w Genui do zarządzania wykroczeniami drogowymi, a także do zawartych na niej danych osobowych. Według Miasta Genua, uzyskanie nieuprawnionego dostępu do platformy było możliwe z uwagi na fakt, że niektórzy pracownicy nieuprawnienie ujawnili hasło dostępu do platformy, naruszając oficjalne przepisy. Z tego powodu organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Administrator powinien był zapewnić regularną zmianę haseł, aby uniemożliwić osobom nieupoważnionym uzyskanie dostępu do danych osobowych.Link
1149NorwegiaDatatilsynet2022-02-0230 000,00 €Gmina LillestrømArt. 5 RODO, Art. 6 RODO, Art. 32 (1) b) RODONorweski organ ochrony danych osobowych nałożył na gminę Lillestrøm karę w wysokości 30 000 EUR. Gmina przypadkowo opublikowała dokument, w którym 10 z 21 załączników zawierało dane osobowe uczniów. Dane te zawierały informacje o nazwiskach uczniów, datach urodzenia, wynikach testów, ocenach zachowania uczniów oraz wyzwaniach, przed jakimi stają uczniowie. Błąd ten nie został wykryty przez odpowiedzialnego administratora i przeszedł jeszcze dwie ręczne kontrole jakości w centrum dokumentacji, gdzie również nie został wykryty. Dopiero dziennikarz zwrócił później uwagę na naruszenie danych. W trakcie dochodzenia organ ochrony danych stwierdził, że gmina nie podjęła wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych. Ponadto fakt, że incydent został wykryty nie przez władze miasta, lecz przez osobę trzecią, wskazuje na brak odpowiednich procedur w tym zakresie.Link
1148RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-05-044 000,00 €Concordia Capital IFN S.A.Art. 5 RODO, Art. 6 RODORumuński organ ochrony danych ukarał Concordia Capital IFN S.A. grzywną w wysokości 4 000 EUR. Administrator bezprawnie zainstalował kamery audio i wideo w biurach swoich pracowników. Monitoring wizyjny miał na celu ochronę pracowników i towarów firmy. Organ ochrony danych stwierdził jednak, że administrator naruszył Art. 5 RODO i Art. 6 RODO, ponieważ tak rozległy nadzór nie był konieczny.Link
1147HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-281 500,00 €CAFFE VECCHIO, S.L.Art. 5 (1) f) RODO, Art. 6 (1) a) RODOHiszpański organ ochrony danych ukarał CAFFE VECCHIO, S.L. grzywną w wysokości 1 500 EUR. Były pracownik kawiarni złożył skargę do organu ochrony danych. Operator kawiarni odpowiedział na negatywne recenzje online dotyczące kawiarni, ujawniając dane osobowe byłego pracownika. Ponadto operator opublikował informacje o przyczynach rozwiązania stosunku pracy.Link
1146CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-09-1710 000,00 €Szpital Śródziemnomorski na CyprzeArt. 31 RODO, Art. 58 (1) a) RODOCypryjski organ ds. ochrony danych nałożył na Mediterranean Hospital of Cyprus grzywnę w wysokości 10 000 EUR za nieprzekazanie informacji, o które zwrócił się organ podczas dochodzenia.Link
1145RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-05-034 000,00 €Megareduceri TV S.R.L.Art. 58 (1) RODONieprzekazanie wymaganych informacji rumuńskiemu organowi ochrony danych w wymaganym terminie z naruszeniem art. 58 RODO.Link
1144HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-2916 000,00 €LABORATORIOS GONZÁLEZ, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na LABORATORIOS GONZÁLEZ, S.L. Laboratorium wysłało wyniki testu Covid-19, który osoba, której dane dotyczą, wykonała nie tylko do niej samej, ale także do jej przełożonego, bez jej zgody. Pierwotna grzywna w wysokości 20 000 EUR została zmniejszona do 16 000 EUR ze względu na natychmiastową zapłatę.Link
1143HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-294 200,00 €CLÍNICA DENTAL SAN FRANCISCO, S.L.Art. 17 RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) nałożył grzywnę na CLÍNICA DENTAL SAN FRANCISCO, S.L. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych w związku z faktem, że administrator nadal wysyłał jej reklamy za pośrednictwem aplikacji WhatsApp, mimo że zażądała ona usunięcia swoich danych. Pierwotna grzywna w wysokości 7 000 EUR została zmniejszona do 4 200 EUR ze względu na natychmiastową zapłatę i uznanie winy przez administratora.Link
1142HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-225 600,00 €LekarzArt. 6 (1) RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał grzywną lekarza. Lekarz ten wykorzystywał nagrania z leczenia pacjenta do celów reklamowych. Pacjent nie wyraził jednak na to zgody. Z tego powodu organ ochrony danych stwierdził, że lekarz przetwarzał dane bez ważnej podstawy prawnej. Pierwotna grzywna w wysokości 7 000 EUR została zmniejszona do 5 600 EUR ze względu na natychmiastową zapłatę.Link
1141HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-271 500,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1 500 EUR. Administrator zainstalował kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny. Grzywna składa się z 1 000 EUR za naruszenie art. 5 (1) c) RODO oraz 500 EUR za naruszenie art. 13 RODO.Link
1140HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-231 200,00 €MOVALIA TRASLADOS, S.L.U.Art. 6 (1) RDOD, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na MOVALIA TRASLADOS, S.L.U.. W trakcie postępowania wyjaśniającego organ ten stwierdził liczne uchybienia na stronie internetowej prowadzonej przez administratora. Przykładowo, administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto, wbrew obowiązkowi ciążącemu na administratorze zgodnie z art. 13 RODO, strona nie posiadała polityki prywatności. Pierwotna grzywna w wysokości 2 000 EUR została zmniejszona do 1 200 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
1139HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-19600,00 €DOOR2DOOR SPAIN, S.L.Art. 58 (2) RODOHiszpański organ ochrony danych nałożył grzywnę na DOOR2DOOR SPAIN, S.L.. Administrator nie wdrożył w odpowiednim czasie środków wielokrotnie nakazywanych przez organ ochrony danych. Ponadto administrator nie przekazał organowi ochrony danych informacji, o które organ wnioskował. Pierwotna grzywna w wysokości 1 000 EUR została zmniejszona do 600 EUR w związku z natychmiastową płatnością i uznaniem winy przez administratora.Link
1138WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2022-03-0213 500,00 €PrzedsiębiorstwoArt. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (2) RODO, Art. 17 (1) b) RODOWęgierski organ ochrony danych nałożył na firmę grzywnę w wysokości 13 500 EUR. Osoba fizyczna złożyła skargę do organu ochrony danych twierdząc, że firma opublikowała bez jej zgody dane osobowe, takie jak jej imię i nazwisko, adres i numer telefonu. Ponadto firma nie odpowiedziała na prośbę osoby fizycznej o usunięcie danych.Link
1137GrecjaHellenic Data Protection Authority (HDPA)2022-04-045 000,00 €BurmistrzArt. 5 (1) a) RODOGrecki organ ochrony danych ukarał burmistrza grzywną w wysokości 5 000 EUR. Burmistrz wysłał dokumenty pracownika gminy do osób trzecich bez jego zgody. Organ ochrony danych uznał to za naruszenie art. 5 (1) a) RODO.Link
1136FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2022-04-151 500 000,00 €DEDALUS BIOLOGIEArt. 28 RODO, Art. 29 RODO, Art. 32 RODOFrancuski organ ochrony danych (CNIL) nałożył na firmę DEDALUS BIOLOGIE grzywnę w wysokości 1,5 mln EUR. DEDALUS zajmuje się dystrybucją oprogramowania dla laboratoriów analiz medycznych. W lutym prasa ujawniła wyciek danych w firmie DEDALUS, w wyniku którego wyciekły dane prawie 500 tys. osób. Dane, które wyciekły, zawierały informacje o nazwiskach, imionach, numerze ubezpieczenia społecznego, nazwisku lekarza prowadzącego, dane dotyczące badań lekarskich i chorób osób, których dane dotyczyły. W trakcie dochodzenia CNIL stwierdziła kilka naruszeń GDPR. Mianowicie, firma DEDALUS naruszyła art. 29 RODO, pobierając więcej danych niż było to wymagane w trakcie przetwarzania danych w imieniu dwóch laboratoriów. Ponadto organ ochrony danych stwierdził, że firma DEDALUS nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. Stanowi to naruszenie Art. 32 RODO. Na przykład, nie wdrożono żadnej konkretnej procedury dotyczącej operacji migracji danych. Ponadto dane, które wyciekły, nie były przechowywane na serwerze w postaci zaszyfrowanej. Ponadto organ ochrony danych stwierdził, że w firmie DEDALUS brakowało uwierzytelnienia przy dostępie do publicznej części serwera. Brak takich środków bezpieczeństwa był jedną z głównych przyczyn wycieku danych. Ponadto organ ochrony danych stwierdził, że dokumenty umowne między firmą DEDALUS a jej klientami nie spełniały wymogów określonych w art. 28 RODO. Nakładając grzywnę, organ ochrony danych wziął pod uwagę powagę popełnionych naruszeń, w szczególności naruszenia bezpieczeństwa, a także dużą liczbę osób, których one dotyczyły.Link Link
1135HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-181 800,00 €Operator strony internetowejArt. 6 (1) RODO, Art. 13 RODO, Art. 22 (2) LSSIHiszpański organ ochrony danych (AEPD) nałożył grzywnę na operatora strony internetowej. W trakcie dochodzenia organ ten stwierdził liczne uchybienia na stronie internetowej prowadzonej przez administratora. Przykładowo, administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto strona internetowa nie zawierała żadnego rodzaju polityki prywatności. W związku z tym organ ochrony danych stwierdził, że administrator naruszył swoje obowiązki określone w art. 13 RODO. Ponadto organ ochrony danych stwierdził uchybienia w stosowaniu plików cookie. Pierwotna grzywna w wysokości 3 000 EUR została zmniejszona do 1 800 EUR ze względu na natychmiastową płatność i uznanie winy.Link
1134HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-189 000,00 €JIMBO NETWORKS, S.L.Art. 6 (1) RODO, Art. 13 RODO, Art. 22 (2) LSSIHiszpański organ ochrony danych (AEPD) nałożył grzywnę na firmę JIMBO NETWORKS, S.L.. W trakcie dochodzenia organ ten stwierdził liczne uchybienia na stronie internetowej prowadzonej przez administratora. Przykładowo, administrator przetwarzał dane osób odwiedzających stronę internetową bez ich wyraźnej zgody. Ponadto, polityka prywatności na stronie internetowej nie spełniała wymogów określonych w art. 13 RODO. . Polityka prywatności zawierała nieaktualne informacje i odwoływała się do przepisów, które nie obowiązywały. Ponadto organ ochrony danych stwierdził uchybienia w stosowaniu plików cookie. Pierwotna grzywna w wysokości 15 000 EUR została zmniejszona do 9 000 EUR dzięki natychmiastowej płatności i uznaniu winy.Link
1133WłochyGarante per la protezione dei dati personali (Garante)2022-03-108 000,00 € Agenzia Regionale per la Tutela dell'Ambiente dell'AbruzzoArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 10 RODO, Art. 2-ter Codice della privacy, Art. 2-octies Codice della privacyWłoski organ ochrony danych (Garante) ukarał Agenzia Regionale per la Tutela dell'Ambiente dell'Abruzzo grzywną w wysokości 8 000 EUR. Były pracownik agencji ochrony środowiska złożył skargę do organu ochrony danych w związku z faktem, że agencja swobodnie opublikowała na swojej stronie internetowej dokumenty zawierające jego dane osobowe. Dokumenty te zawierały m.in. informacje o poprzednim zatrudnieniu oraz informacje o karalności.Link
1132GrecjaHellenic Data Protection Authority (HDPA)2022-04-0410 000,00 €Piraeus BankArt. 5 (1) f) RODO, Art. 33 RODO, Art. 34 RODOGrecki organ ochrony danych osobowych nałożył na Piraeus Bank grzywnę w wysokości 10 000 EUR. Bank ten omyłkowo wysłał do osoby trzeciej dokument zawierający dane osoby, której dane dotyczą. Błąd ten wynikał z błędnie podanego adresu e-mail przez współwłaściciela konta. Mimo że bank dowiedział się o tym błędzie, nie zaprzestał wysyłania komunikatów do osoby trzeciej, lecz zamiast tego poinstruował osobę, której dane dotyczą, by skorzystała z prawa do poprawienia niedokładnych danych. W wyniku przeprowadzonego dochodzenia organ ochrony danych stwierdził, że bank naruszył zasadę poufności, ponieważ nie zaprzestał wysyłania komunikatów. Organ ten stwierdził również, że bank nie zgłosił naruszenia ochrony danych organowi ochrony danych i osobie, której dane dotyczą, w odpowiednim czasie.Link
1131WłochyGarante per la protezione dei dati personali (Garante)2022-03-106 000,00 €Azienda sanitaria provinciale di CaltanissettaArt. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 37 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na Azienda sanitaria provinciale di Caltanissetta grzywnę w wysokości 6 000 EUR. Osoba, której dane dotyczą, poprosiła administratora danych, w kontekście postępowania sądowego, o przesyłanie wszelkiej korespondencji w tej sprawie wyłącznie na jej prywatną skrzynkę poczty elektronicznej. Niemniej jednak administrator wysłał komunikaty na służbowy adres poczty elektronicznej osoby, której dane dotyczą. Ponadto osoba, której dane dotyczą, zażądała dostępu do swoich danych. Administrator danych nie spełnił jednak tego żądania w należyty sposób. W toku postępowania wyjaśniającego organ ochrony danych ustalił również, że zakład opieki zdrowotnej nie powiadomił organu ochrony danych o nazwisku i danych kontaktowych nowego inspektora ochrony danych oraz nie zaktualizował ich na swojej stronie internetowej.Link
1130HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-138 000,00 €RAMONA FILMS, S.L.Art. 13 RODO, Art. 22 (2) LSSIHiszpański organ ochrony danych (AEPD) ukarał RAMONA FILMS, S.L. grzywną za niedopełnienie obowiązku zapewnienia zgodności polityki prywatności firmy z wymogami Art. 13 RODO. W szczególności, strona internetowa zawierała nieaktualne informacje i odwoływała się do nieobowiązujących przepisów. Ponadto organ ochrony danych stwierdził uchybienia w stosowaniu plików cookie. Pierwotna grzywna w wysokości 10 000 EUR została zmniejszona do 8 000 EUR ze względu na natychmiastową zapłatę i przyznanie się do winy.Link
1129HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-11150 000,00 €BASER COMERCIALIZADORA DE REFERENCIA, S.A.Art. 6 RODO, Art. 32 RODOHiszpański organ ochrony danych (DPA) nałożył na BASER COMERCIALIZADORA DE REFERENCIA, S.A. grzywnę w wysokości 150 000 EUR. Klient firmy złożył skargę do organu ochrony danych, ponieważ jego umowa na dostawę energii elektrycznej została zmieniona bez jego zgody. Spowodowało to zwiększenie dostaw energii elektrycznej. W trakcie dochodzenia organ ochrony danych ustalił, że oszust podał się za osobę, której dane dotyczą, podając jej imię i nazwisko oraz numer identyfikacyjny. W ten sposób był w stanie zmienić umowę osoby, której dane dotyczą. Według organu ochrony danych, administrator nie sprawdził odpowiednio tożsamości oszusta przed zmianą umowy i z powodu braku wystarczających środków bezpieczeństwa, nie upewnił się, że pytający jest rzeczywiście osobą, której dane dotyczą.Link
1128HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-181 800,00 €FLORAQUEEN FLOWERING THE WORLD S.L.Art. 58 (1) RODOHiszpański organ ochrony danych ukarał firmę FLORAQUEEN FLOWERING THE WORLD S.L. grzywną za nieprzekazanie informacji wymaganych przez organ ochrony danych w trakcie dochodzenia. Pierwotna grzywna w wysokości 3 000 EUR została obniżona do 1 800 EUR dzięki natychmiastowej płatności i uznaniu winy.Link
1127WłochyGarante per la protezione dei dati personali (Garante)2022-03-1010 000,00 €Azienda USL Toscana CentroArt. 5 (1) a), f) RODO, Art. 9 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda USL Toscana Centro grzywnę w wysokości 10 000 EUR. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi po tym, jak zgłosił on naruszenie ochrony danych zgodnie z art. 33 RODO. Administrator omyłkowo wysłał dokumentację medyczną pacjentów do niewłaściwych pacjentów. W związku z tym organ ochrony danych stwierdził, że zakład opieki zdrowotnej nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych.Link
1126RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-04-181 000,00 €IKEA România S.R.L.Art. 12 (3) RODORumuński organ ochrony danych nałożył na IKEA România S.R.L. grzywnę w wysokości 1 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, że IKEA nie spełniła jej żądań dotyczących usunięcia danych osobowych osoby, której dane dotyczą, z jej konta użytkownika w IKEA w odpowiednim czasie. Organ ochrony danych stwierdził, że IKEA Romania naruszyła art. 12 ust. 3 RODO.Link
1125HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-04-12500,00 €Wspólnota mieszkaniowaArt. 5 (1) f) RODOHiszpański organ ochrony danych nałożył grzywnę w wysokości 500 EUR na wspólnotę mieszkaniową. Zarząd wspólnoty mieszkaniowej opublikował listę właścicieli zalegających z płatnościami. Organ ochrony danych uznał to za naruszenie zasady poufności i integralności określonej w art. 5 ust. 1 lit. f) RODO.Link
1124NiderlandyAutoriteit Persoonsgegevens (AP)2022-04-073 700 000,00 €Niderlandzka Administracja Podatkowa i CelnaArt. 5 (1) a), b), d), e) RODO, Art. 6 (1) RODO, Art. 32 (1) RODO, Art. 35 (2) RODONiderlandzki organ ochrony danych nałożył na niderlandzki urząd podatkowy i celny grzywnę w wysokości 3,7 mln EUR. Jest to najwyższa grzywna nałożona do tej pory przez niderlandzki organ ochrony danych. W ramach dochodzenia organ ochrony danych wykrył szereg naruszeń RODO. Urząd podatkowy i celny przez kilka lat prowadził listę, na której odnotowywał przypadki oszustw. Lista ta zawierała informacje o ponad 270 000 osób, w tym o nieletnich. W ramach prowadzenia listy administracja przetwarzała dane osobowe, takie jak dane dotyczące stanu zdrowia, obywatelstwa i dane osobowe dotyczące przestępstw. Organ ochrony danych wstępnie stwierdził, że administracja nie miała ważnej podstawy prawnej do przetwarzania danych zawartych w wykazie. Z tego powodu dane te były przetwarzane niezgodnie z prawem. Ponadto organ ten stwierdził, że informacje zawarte w wykazie były często nieprawidłowe, przez co duża liczba osób została fałszywie zarejestrowana jako potencjalni oszuści. Ponadto dochodzenie wykazało, że prowadzenie tej listy prowadziło do dyskryminacji niektórych osób, ponieważ ryzyko oszustwa było określane na podstawie narodowości i wyglądu osób, których dane dotyczą, między innymi na podstawie innych czynników. Na przykład darowizny na rzecz meczetów uznawano za czynnik ryzyka oszustwa. Ponadto organ ochrony danych stwierdził, że administracja naruszyła swój obowiązek wynikający z RODO, polegający na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią właściwą ochronę gromadzonych przez nią danych osobowych. W rzeczywistości administracja nieodpowiednio zabezpieczyła dane osobowe. Organ ochrony danych stwierdził również, że administracja naruszyła zasadę ograniczenia przechowywania, przechowując dane przez dłuższy czas wbrew okresowi przechowywania ustalonemu dla danych osobowych w wykazie. Ponadto organ ochrony danych stwierdził, że przetwarzanie danych zawartych w wykazie nie było niezbędne do prawidłowego wykonywania zadań przez administrację. Przetwarzanie danych było zatem nieproporcjonalne. Administracja nie określiła również w wystarczający sposób celów przetwarzania danych, naruszając tym samym zasadę ograniczenia celu. Wysokość grzywny przedstawia się następująco: 1 mln EUR za naruszenie art. 5 (1) a) RODO i art. 6 (1) RODO; 750 000 EUR za naruszenie art. 5 (1) b) RODO 750 000 EUR za naruszenie art. 5 (1) d) RODO; 250 000 EUR za naruszenie art. 5 (1) e) RODO; 500 000 EUR za naruszenie art. 32 (1) RODO; 450 000 EUR za naruszenie art. 32 (1) RODO; 450 000 EUR za naruszenie art. 35 (2) RODO.
Link Link
1123WłochyGarante per la protezione dei dati personali (Garante)2022-02-101 500,00 €Studio Colli Aniene Verderocca S.r.l.Art. 12 (3) RODO, Art. 14 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODOWłoski organ ochrony danych nałożył na Studio Colli Aniene Verderocca S.r.l. grzywnę w wysokości 1 500 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezamówioną reklamą telefoniczną. Ponadto osoba, której dane dotyczą, stwierdziła, że nie otrzymała odpowiedzi na swój wniosek o udzielenie informacji i usunięcie danych dotyczących przetwarzania jej danych osobowych.Link
1122WłochyGarante per la protezione dei dati personali (Garante)2022-02-105 000,00 €Arte del vivere S.r.l.Art. 12 RODO, Art. 17 RODO, Art. 157 Codice della privacyWłoski organ ochrony danych nałożył na spółkę Arte del vivere S.r.l. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ jej dane osobowe zostały opublikowane na stronie internetowej www.mondoshiatsu.com prowadzonej przez administratora. Osoba, której dane dotyczą, została automatycznie włączona do portalu Shiatsu po odbyciu rocznego szkolenia Shiatsu. Ponieważ jednak nigdy nie pracował w tej dziedzinie, wielokrotnie prosił o usunięcie swoich danych. Administrator nie spełnił jednak żądania, mimo że obiecał usunąć dane.Link
1121BelgiaGegevensbeschermingsautoriteit (GBA)2022-04-017 500,00 €PrzedsiębiorstwoArt. 5 (1) a) RODO, Art. 6 (1) f) RODO, Art. 15 RODO, Art. 17 RODO, Art. 18 RODO, Art. 21 RODO, Art. 28 RODOBelgijski organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 7 500 EUR. Były dyrektor zarządzający złożył skargę na firmę do organu ochrony danych. W związku ze zwolnieniem z pracy były dyrektor zarządzający usunął wszystkie dane ze służbowego laptopa przed oddaniem sprzętu technicznego. Według dyrektora, usunięte zostały jedynie dane prywatne, takie jak prywatna skrzynka e-mail. Firma stwierdziła jednak, że dyrektor usunął zarówno dane prywatne, jak i związane z pracą. Następnie firma przywróciła dane, które wcześniej znajdowały się na laptopie. Z tego powodu były dyrektor zarządzający zwrócił się o skorzystanie z prawa do usunięcia danych, ograniczenia ich przetwarzania oraz wniesienia sprzeciwu. Przedsiębiorstwo odrzuciło jednak ten wniosek. W trakcie dochodzenia organ ochrony danych stwierdził, że firma naruszyła swój obowiązek wynikający z RODO, polegający na przyznaniu byłemu dyrektorowi zarządzającemu możliwości skorzystania z tych praw. Ponadto organ ten stwierdził, że ze względu na brak ważnej podstawy prawnej w momencie przywracania danych firma przetwarzała je niezgodnie z prawem.Link
1120RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-04-07500,00 €Stowarzyszenie właścicieli nieruchomościArt. 58 (1) a), e) RODORumuński organ ochrony danych osobowych (ANSPDCP) ukarał grzywną w wysokości 500 EUR stowarzyszenie właścicieli nieruchomości za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia.Link
1119NiderlandyAutoriteit Persoonsgegevens (AP)2022-02-24565 000,00 €Ministerstwo Spraw Zagranicznych NiderlandówArt. 13 (1) e) RODO, Art. 32 (1) RODONiderlandzki urząd ds. ochrony danych osobowych nałożył na niderlandzkie Ministerstwo Spraw Zagranicznych grzywnę w wysokości 565 000 EUR. W ramach prowadzonego dochodzenia organ ten stwierdził, że w krajowym systemie informacji wizowej (NVIS) występowały istotne braki w zakresie bezpieczeństwa. Jest to szczególnie poważne, ponieważ w ciągu ostatnich trzech lat Ministerstwo Spraw Zagranicznych rozpatrywało średnio 530 000 wniosków wizowych rocznie, w związku z czym dane osobowe przetwarzane w trakcie rozpatrywania wniosków były nieodpowiednio zabezpieczone. Dane te obejmowały informacje wrażliwe, takie jak odciski palców, imię i nazwisko, adres, miejsce zamieszkania, kraj urodzenia, cel podróży i obywatelstwo. Z powodu nieodpowiednich środków bezpieczeństwa dostęp do tych danych mogły uzyskać osoby nieuprawnione. Według agencji DPA, Ministerstwo Spraw Zagranicznych od pewnego czasu wiedziało o błędach w zabezpieczeniach systemu wizowego. Pomimo tej wiedzy, ministerstwo nie dostosowało na czas środków bezpieczeństwa. Z tego powodu organ uznał, że ministerstwo dopuściło się rażącego zaniedbania. Organ ochrony danych stwierdził również, że Ministerstwo Spraw Zagranicznych nie poinformowało w odpowiedni sposób osób ubiegających się o wizy, że ich dane osobowe zostaną udostępnione innym podmiotom.Link Link
1118BelgiaGegevensbeschermingsautoriteit (GBA)2022-04-0420 000,00 €Ambuce Rescue TeamArt. 5 RODO, Art. 6 RODO, Art. 9 RODOBelgijski organ ochrony danych osobowych nałożył na Ambuce Rescue Team grzywnę w wysokości 20 000 EUR. Grzywna ta jest powiązana z grzywnami nałożonymi na Brussels Airport Charleroi i Brussels Airport Zaventem. W związku z pandemią wirusa Covid 19 lotniska użyły kamer termowizyjnych, aby odfiltrować osoby o temperaturze ciała przekraczającej 38 stopni. Osoby odfiltrowane były następnie proszone o udzielenie odpowiedzi na pytania dotyczące ewentualnych objawów koronawirusa. W tym procesie kwestionariusze były dostarczane przez Ambuce Rescue Team. Organ ochrony danych stwierdził w szczególności, że nie istniała ważna podstawa prawna do przetwarzania tych danych zdrowotnych. Dane dotyczące zdrowia są szczególną kategorią danych w rozumieniu art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 (2) RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym celu jednak przetwarzanie musi być oparte na wyraźnej normie prawnej. W omawianych przypadkach przetwarzanie odbywało się na podstawie protokołu, który nie spełniał tych wymogów.Link
1117BelgiaGegevensbeschermingsautoriteit (GBA)2022-04-04100 000,00 €Port lotniczy Bruksela Charleroi
Art. 5 (1) a), b) RODO, Art. 6 (1) c) RODO, Art. 6 (3) RODO, Art. 9 (2) i) RODO, Art. 12 (1) RODO, Art. 13 (1) c) RODO, Art. 13 (2) e) RODO, Art. 35 (1), (7) RODO
Belgijski organ ochrony danych (DPA) nałożył na lotnisko Charleroi w Brukseli grzywnę w wysokości 100 000 EUR. Organ ten wszczął dochodzenie przeciwko lotnisku w związku z doniesieniami mediów na temat monitorowania temperatury osób przebywających na lotnisku. W związku z pandemią koronawirusa lotnisko używało kamer termowizyjnych do odfiltrowania osób, których temperatura ciała przekraczała 38 stopni. Osoby odfiltrowane musiały następnie odpowiedzieć na pytania dotyczące ewentualnych objawów koronawirusa. Organ ochrony danych zauważył w szczególności, że lotnisko nie miało ważnej podstawy prawnej do przetwarzania tych danych zdrowotnych. Dane zdrowotne stanowią dane wrażliwe zgodnie z art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 (2) RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym celu jednak przetwarzanie musi być oparte na wyraźnej normie prawnej. W omawianej sprawie przetwarzanie odbywało się na podstawie protokołu, który nie spełniał tych wymogów. Ponadto organ ochrony danych stwierdził braki w ocenie skutków dla ochrony danych. Co więcej, lotnisko nie poinformowało odpowiednio osób, których dane dotyczą, o przetwarzaniu danych.Link
1116BelgiaGegevensbeschermingsautoriteit (GBA)2022-04-04200 000,00 €Port lotniczy Bruksela Zaventem
Art. 5 (1) c) RODO, Art. 6 (1) e) RODO, Art. 9 (2) g) RODO, Art. 12 RODO, Art. 13 (1) c) RODO, Art. 13 (2) e) RODO, Art. 35 (1), (3), (7) b) RODO
Belgijski organ ochrony danych (DPA) nałożył na lotnisko Zaventem w Brukseli grzywnę w wysokości 200 000 EUR. Organ ten wszczął dochodzenie przeciwko lotnisku w związku z doniesieniami mediów na temat monitorowania temperatury osób przebywających na lotnisku. W związku z pandemią koronawirusa lotnisko używało kamer termowizyjnych w celu odfiltrowania osób z temperaturą ciała przekraczającą 38 stopni. Osoby odfiltrowane musiały następnie odpowiedzieć na pytania dotyczące ewentualnych objawów koronawirusa. Organ ochrony danych zauważył w szczególności, że lotnisko nie miało ważnej podstawy prawnej do przetwarzania tych danych zdrowotnych. Dane zdrowotne stanowią dane wrażliwe zgodnie z art. 9 RODO. Mogą one być przetwarzane tylko w wyjątkowych przypadkach zgodnie z art. 9 (2) RODO. Jednym z takich wyjątkowych przypadków jest przetwarzanie ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym celu jednak przetwarzanie musi być oparte na wyraźnej normie prawnej. W omawianej sprawie przetwarzanie odbywało się na podstawie protokołu, który nie spełniał tych wymogów. Ponadto organ ochrony danych stwierdził braki w ocenie skutków dla ochrony danych. Co więcej, lotnisko nie poinformowało odpowiednio osób, których dane dotyczą, o przetwarzaniu danych.Link
1115IrlandiaData Protection Commission (DPC)2022-04-05463 000,00 €Bank IrlandiiArt. 32 RODO, Art. 33 RODO, Art. 34 RODOIrlandzki organ ochrony danych (DPA) ukarał Bank of Ireland grzywną w wysokości 463 000 EUR. Na mocy art. 33 RODO bank zgłosił organowi ochrony danych 22 przypadki naruszenia ochrony danych. W ramach prowadzonego dochodzenia organ ochrony danych ustalił, że bank przekazał fałszywe informacje do Centralnego Rejestru Kredytowego z powodu pomylenia danych dotyczących rachunków klientów banku. Błąd ten mógł mieć potencjalnie negatywny wpływ na zdolność kredytową osób, których dane dotyczą. Organ ochrony danych stwierdził, że do naruszenia danych osobowych doszło z powodu nieodpowiednich środków technicznych i organizacyjnych ze strony banku. Ponadto bank nie poinformował niezwłocznie osób, których dane dotyczą, oraz organu ochrony danych o naruszeniu danych.Link Link
1114DaniaDatatilsynet2022-04-051 300 000,00 €Danske BankArt. 5 (2) RODODuński organ ochrony danych nałożył na Danske Bank grzywnę w wysokości 1,3 mln euro. Organ ten wszczął dochodzenie przeciwko bankowi po tym, jak poinformował on, że ma problem z usuwaniem danych osobowych. W trakcie dochodzenia organ ten ustalił, że bank nie udokumentował zasad usuwania i przechowywania danych osobowych w ponad 400 systemach. W związku z tym bank nie był w stanie udowodnić, że takie zasady, wymagane na mocy RODO, istniały. Organ ochrony danych uznał to za naruszenie obowiązku rozliczalności banku na mocy art. 5 ust. 2 RODO.Link
1113GrecjaHellenic Data Protection Authority (HDPA)2022-03-092 000,00 €Szkoła języków obcychArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODOGrecki organ ochrony danych nałożył na pracodawcę (właściciela prywatnej szkoły języków obcych) grzywnę w wysokości 2 000 EUR. Pracownik, który pracuje w szkole jako nauczyciel języków obcych, złożył skargę do organu ochrony danych osobowych na swojego pracodawcę. Powodem skargi było to, że administrator danych kontynuował stałe monitorowanie pracownika podczas kursów online za pośrednictwem platformy "Zoom", pomimo jego sprzeciwu. W związku z tym organ ochrony danych stwierdził, że administrator naruszył obowiązek przestrzegania prawa podmiotu danych do sprzeciwu. Ponadto, organ ochrony danych stwierdził, że administrator nie poinformował odpowiednio osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych zgodnie z art. 13 RODO.Link Link
1112SzwecjaDatainspektionen2022-03-28720 000,00 € Klarna Bank ABArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 12 (1) RODO, Art. 13 (2) f) RODO, Art. 14 (2) g) RODOSzwedzki urząd ochrony danych osobowych nałożył na Klarna Bank AB grzywnę w wysokości 720 000 EUR. Klarna jest firmą finansową, która na różne sposoby przetwarza dużą ilość danych osobowych. W ramach prowadzonego dochodzenia organ ochrony danych ustalił, że Klarna nie wywiązywała się należycie ze swoich obowiązków informacyjnych. Na przykład, Klarna nie przedstawiła na swojej stronie internetowej wystarczających informacji na temat celu i podstawy prawnej przetwarzania danych osobowych. Ponadto, jeśli chodzi o przekazywanie danych szwedzkim i zagranicznym agencjom kredytowym, Klarna podała niepełne informacje o odbiorcach danych osobowych. Klarna nie dostarczyła również informacji o państwach trzecich, do których przekazywane są dane osobowe. Wreszcie, organ ochrony danych stwierdził, że Klarna w niewystarczającym stopniu informowała osoby, których dane dotyczą, o ich prawach wynikających z RODO.Link Link
1111RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-03-282 000,00 € Condor SAArt. 32 (1), (2), (4) RODORumuński organ ochrony danych osobowych nałożył na firmę Condor SA karę w wysokości 2 000 EUR. U administratora nastąpiło naruszenie, w wyniku którego osoby nieuprawnione uzyskały dostęp do kilku dokumentów zawierających dane osobowe pracowników i byłych pracowników, takie jak miejsce pracy, nazwisko, imię, stanowisko, wynagrodzenie i dane bankowe. W trakcie postępowania wyjaśniającego organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych, które zapewniłyby ochronę danych osobowych.Link
1110RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-03-252 000,00 €Kaufland Romania SCSArt. 15 (3) RODORumuński organ ochrony danych osobowych nałożył na Kaufland Romania SCS grzywnę w wysokości 2 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezastosowaniem się przez administratora do jej prośby o dostarczenie kopii nagrań z systemu monitoringu wizyjnego, na których osoba, której dane dotyczą, mogła być widoczna. W toku postępowania organ ustalił, że administrator danych naruszył obowiązek udzielenia informacji, zwłaszcza że nagrania były dostępne.Link
1109CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2022-03-215 000,00 €English School staff union (ESSA)Art. 32 RODOCypryjski organ ochrony danych nałożył na związek zawodowy pracowników szkoły angielskiej (ESSA) grzywnę w wysokości 5 000 EUR. Szkoła powiadomiła organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Nauczyciel, będący również członkiem związku zawodowego, wykorzystał adresy e-mail rodziców uczniów do celów innych niż te, dla których adresy te zostały pierwotnie zebrane. Organ ochrony danych stwierdził, że związek zawodowy pracowników nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych i zapobiegania takim incydentom.Link
1108CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2022-03-224 000,00 €English School CyprusArt. 32 RODOCypryjski organ ochrony danych nałożył na English School in Cyprus grzywnę w wysokości 4 000 EUR. Szkoła zgłosiła naruszenie ochrony danych do organu ochrony danych na mocy art. 33 RODO Nauczyciel wykorzystał adresy e-mail rodziców uczniów do celów innych niż te, do których adresy e-mail zostały pierwotnie zebrane. Organ ochrony danych stwierdził, że szkoła nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych i zapobiegania takim incydentom.Link
1107GrecjaHellenic Data Protection Authority (HDPA)2022-03-092 000,00 €PracodawcaArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODOGrecki organ ochrony danych nałożył na pracodawcę grzywnę w wysokości 2 000 EUR. Pracownik złożył skargę w związku z nieprzestrzeganiem przez pracodawcę prawa pracownika do sprzeciwu. Pracownik sprzeciwił się ciągłemu monitorowaniu jego kursów online oferowanych za pośrednictwem aplikacji zoom. Pracodawca jednak kontynuował monitoring. Ponadto organ ochrony danych stwierdził, że pracodawca nie potrafił podać wystarczającej podstawy prawnej do przetwarzania danych.Link
1106DaniaDatatilsynet2022-03-256 700,00 €Duńskie Narodowe Centrum Genomu Art. 36 RODODuński organ ochrony danych nałożył na Duńskie Narodowe Centrum Genomu grzywnę w wysokości 6 700 EUR. Centrum przeprowadziło ocenę skutków dla ochrony danych, która ujawniła okoliczności mogące stanowić wysokie ryzyko dla praw osób, których dane dotyczą. Organ ochrony danych nałożył grzywnę, ponieważ centrum przetwarzało dane osobowe bez uprzedniej konsultacji z organem ochrony danych, mimo że ocena skutków ujawniła wysokie ryzyko dla osób, których dane dotyczą. Ośrodek zastosował się do wszystkich żądań organu ochrony danych i wykazał się dobrą współpracą z tym organem.Link Link
1105PolskaUrząd ochrony danych osobowych (UODO)2022-01-1953 000,00 €PIKA Sp. z o.o.Art. 28 (3) c), f) RODO, Art. 32 (1), (2) RODOPolski organ ochrony danych nałożył na PIKA Sp. z o.o. karę pieniężną w wysokości 53 000 EUR. Kara ta jest związana z karą nałożoną na Fortum Marketing and Sales Polska S.A.. PIKA działała na rzecz Fortum jako podmiot przetwarzający dane. Naruszenie danych nastąpiło w momencie wprowadzania przez PIKA zmian w środowisku informatycznym firmy. W ramach tej zmiany została utworzona dodatkowa baza danych klientów Fortum. Serwer, na którym przechowywana była baza danych, nie posiadał jednak wystarczających zabezpieczeń, dlatego osoby nieuprawnione mogły uzyskać dostęp do tych danych. Organ ochrony danych stwierdził również, że PIKA nie dokonała pseudonimizacji i szyfrowania danych. Ponadto, PIKA do testowania zmian w systemie wykorzystywała prawdziwe dane klientów, a nie dane testowe. Z tego powodu organ stwierdził, że PIKA nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych.Link Link
1104PolskaUrząd ochrony danych osobowych (UODO)2022-01-191 000 000,00 €Fortum Marketing and Sales Polska S.A.Art. 5 (1) f) RODO, Art 24 (1) RODO, Art. 25 (1) RODO, Art. 28 (1) RODO, Art. 32 (1), (2) RODOUrząd Ochrony Danych Osobowych nałożył na Fortum Marketing and Sales Polska S.A. karę w wysokości 1 mln EUR. Firma zgłosiła naruszenie ochrony danych osobowych do Urzędu Ochrony Danych Osobowych zgodnie z Art. 33 RODO. W trakcie dochodzenia Urząd Ochrony Danych Osobowych ustalił, że nieupoważnione osoby uzyskały dostęp do danych klientów i wyłudziły je. Naruszenie danych nastąpiło w momencie wprowadzenia zmiany w środowisku informatycznym firmy. Zmiany dokonał podmiot przetwarzający dane. W ramach tej zmiany utworzono dodatkową bazę danych klientów Fortum. Serwer, na którym przechowywana była baza danych, nie posiadał jednak wystarczających zabezpieczeń, dlatego osobom nieupoważnionym udało się uzyskać dostęp do danych. Organ ochrony danych ustalił również, że podmiot przetwarzający nie dokonał pseudonimizacji i szyfrowania danych. Ponadto, do testowania zmian w systemie podmiot przetwarzający używał prawdziwych danych klientów, a nie danych testowych. Z tego powodu organ ochrony danych stwierdził, że administrator nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych. Ponadto, organ ochrony danych stwierdził, że administrator byłby zobowiązany do monitorowania pracy podmiotu przetwarzającego w celu zapewnienia ciągłej gwarancji ochrony danych osobowych.Link Link
1103NiemcyOrgan ochrony danych osobowych kraju związkowego Brema2022-03-031 900 000,00 €BREBAU GmbHArt. 5 (1) RODO, Art. 6 (1) RODO, Art. 9 RODOOrgan ochrony danych osobowych w Bremie nałożył karę w wysokości 1,9 mln EUR na spółdzielnię mieszkaniową BREBAU GmbH. Spółka BREBAU GmbH przetwarzała ponad 9 500 zbiorów danych dotyczących potencjalnych lokatorów bez ważnej podstawy prawnej. W szczególności organ ochrony danych stwierdził, że administrator przetwarzał szczególnie wrażliwe dane w rozumieniu art. 9 RODO. Przykładowo, administrator bezprawnie przetwarzał informacje o kolorze skóry, pochodzeniu etnicznym, przynależności religijnej, orientacji seksualnej i stanie zdrowia osób, których dane dotyczą. Spółka BREBAU GmbH celowo ignorowała również prośby osób, których dane dotyczą, o zapewnienie przejrzystości w zakresie przetwarzania ich danych. Nakładając grzywnę, organ ochrony danych wziął pod uwagę, jako okoliczność obciążającą, nadzwyczajną głębokość naruszenia podstawowego prawa do ochrony danych. Ponieważ jednak BREBAU GmbH w pełni współpracował podczas dochodzenia, podjął wysiłki w celu złagodzenia szkód, samodzielnie wyjaśnił fakty i zapewnił, że takie naruszenia nie będą się powtarzać, wysokość grzywny mogła zostać obniżona.Link
1102WłochyGarante per la protezione dei dati personali (Garante)2022-02-102 000,00 €Gmina GuidizzoloArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 2-ter Codice della privacyGmina opublikowała na swojej stronie internetowej informacje o sprawie sądowej, w tym dane osobowe, takie jak imię i nazwisko oraz informacje zawodowe osoby, której dane dotyczą.Link
1101WłochyGarante per la protezione dei dati personali (Garante)2022-02-1010 000,00 €Scanshare S.r.l. Art. 28 (2) RODO, Art. 32 RODOWłoski organ ochrony danych osobowych nałożył na Scanshare S.r.l. grzywnę w wysokości 10 000 EUR. Kara ta jest związana z grzywną nałożoną na Region Toskanii. Region ten stwierdził, że nieumyślnie opublikował dane osobowe 3 548 osób ubiegających się o stanowiska asystentów administracyjnych. Dane te dotyczyły informacji, które kandydaci podali w ramach testu wstępnej selekcji. Organizację testu preselekcyjnego powierzono Scanshare. Z powodu błędu popełnionego przez Scanshare, błędnie opublikowano adres URL, pod którym można było obejrzeć dane osobowe i wyniki testu.Link
1100WłochyGarante per la protezione dei dati personali (Garante)2022-02-1010 000,00 €Region Toskania Art. 5 RODO, Art. 6 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych nałożył na region Toskania (administrator danych) grzywnę w wysokości 10 000 EUR. Administrator powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Administrator stwierdził, że nieumyślnie opublikował dane osobowe 3 548 osób ubiegających się o stanowiska asystentów administracyjnych. Dane te dotyczyły informacji, które kandydaci udostępnili w ramach testu wstępnego. Region przez pomyłkę opublikował adres URL, pod którym można było zapoznać się z danymi osobowymi i wynikami testu.Link
1099WłochyGarante per la protezione dei dati personali (Garante)2022-02-103 500,00 €Azienda socio sanitaria territoriale Melegnano e della Martesana Art. 5 (1) f) RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 3 500 EUR na Azienda socio sanitaria territoriale Melegnano e della Martesana. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi danych po tym, jak zgłosił on do niego naruszenie ochrony danych. Pacjent omyłkowo otrzymał dokumentację medyczną i kliniczną innego pacjenta w swojej cyfrowej dokumentacji medycznej.Link
1098WłochyGarante per la protezione dei dati personali (Garante)2022-02-1020 000 000,00 €Clearview Al.Art. 5 (1) a), b), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODO, Art. 27 RODOWłoski urząd ochrony danych nałożył na amerykańską firmę Clearview AI grzywnę w wysokości 20 mln euro po ujawnieniu, że stosowała ona techniki nadzoru biometrycznego na terytorium Włoch. Firma jest właścicielem bazy danych zawierającej ponad 10 miliardów zdjęć twarzy z całego świata. Firma oferuje usługę wyszukiwania, która umożliwia tworzenie profili na podstawie danych biometrycznych pobranych z obrazów. Profile mogą być wzbogacone o informacje związane z tymi zdjęciami, takie jak znaczniki zdjęć i geolokalizacja. Organ ochrony danych wszczął dochodzenie w sprawie firmy po tym, jak okazało się, że Clearview - wbrew początkowym twierdzeniom - umożliwia również wyszukiwanie obywateli i mieszkańców Włoch. Organ ten stwierdził, że dane osobowe zawarte w bazie danych firmy były przetwarzane niezgodnie z prawem i bez ważnej podstawy prawnej. Ponadto organ ochrony danych stwierdził, że firma naruszyła kilka zasad RODO. Na przykład, firma naruszyła zasadę przejrzystości, nie informując odpowiednio użytkowników o przetwarzaniu ich danych. Clearview naruszyła również zasadę ograniczenia celu, przetwarzając dane użytkowników do celów innych niż te, dla których zostały one udostępnione online. Wreszcie, naruszyła zasadę ograniczenia przechowywania danych, nie określając okresu ich przechowywania.Link Link
1097IslandiaPersónuvernd2022-03-087 000,00 €Hörpu tónlistar- og ráðstefnuhúss ohf.Art. 5 (1) c) RODO, Art. 6 RODOIslandzki organ ochrony danych nałożył karę w wysokości 7000 euro na Hörpu tónlistar- og ráðstefnuhúss ohf. Organ ochrony danych otrzymał skargę dotyczącą gromadzenia przez przedsębiorstwo informacji o numerze dowodu osobistego i dacie urodzenia w ramach elektronicznego zakupu biletów. Incydent miał miejsce przed rozpoczęciem pandemii Covid-19, kiedy rejestracja danych osobowych w celu śledzenia kontaktów w kontekście wizyt na imprezach nie była jeszcze wymagana. Organ ochrony danych stwierdził, że gromadzenie danych w celu wystawienia biletu nie byłoby konieczne, ponieważ zawarcie umowy kupna byłoby możliwe nawet bez tego gromadzenia. Z tego powodu organ ochrony danych uznał, że przedsiębiorstwo naruszyło zasadę minimalizacji danych.Link
1096RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-03-102 000,00 €Operatorul Briza Land S.R.L.Art. 15 RODORumuński organ ochrony danych osobowych (ANSPDCP) nałożył na spółkę Operatorul Briza Land S.R.L. grzywnę w wysokości 2 000 EUR. Administrator nie udzielił właściwej odpowiedzi na wniosek o udzielenie informacji.Link
1095WłochyGarante per la protezione dei dati personali (Garante)2022-02-1010 000,00 €Costampress S.p.A. Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODOFirma pozostawiła aktywne konto poczty elektronicznej osoby, której dane dotyczą, nawet po ustaniu jej zatrudnienia i nie przekazała wystarczających informacji na ten temat.Link
1094IrlandiaData Protection Commission (DPC)2022-03-1517 000 000,00 €Meta Platforms Ireland LimitedArt. 5 (2) RODO, Art. 24 (1) RODOIrlandzki organ ochrony danych nałożył na Meta Platforms Ireland Limited (dawniej Facebook Ireland Limited) karę w wysokości 17 mln EUR. Decyzja została podjęta na podstawie dwunastu powiadomień o naruszeniach ochrony danych, które miały miejsce między 7 czerwca 2018 r., a 4 grudnia 2018 r. Wynik dochodzenia organ ujawnił, że Meta naruszyła art. 5 (2) RODO i art. 24 (1) RODO. W toku dochodzenia organ stwierdził, że Meta nie wykazała, że podjęła odpowiednie środki techniczne i organizacyjne w celu ochrony danych użytkowników z UE. Postępowanie w sprawie grzywny dotyczyło transgranicznego przetwarzania danych, dlatego też decyzja podlegała procedurze współdecydowania na mocy art. 60 RODO z udziałem wszystkich pozostałych europejskich organów nadzorczych jako współdecydentów. Mimo że dwa europejskie organy ochrony danych zgłosiły zastrzeżenia do projektu decyzji organu irlandzkiego, ostatecznie osiągnięto konsensus. W związku z tym decyzja organu irlandzkiego odzwierciedla zbiorowe poglądy pozostałych europejskich organów ochrony danych.Link
1093ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-03-0889 250,00 €Firma handlowa (nazwa w tej chwili niedostępna)Art. 32 (1) b), Art. 32 (1) d) RODO, Art. 32 (2) RODO, Art. 32 (4) RODOFirma handlowa, tj. administrator danych, zgłosiła naruszenie danych osobowych do organu ochrony danych osobowych, informując, że jej pracownicy nagrali telefonem komórkowym materiał z monitoringu, co było nieuprawnione i sprzeczne z wewnętrznymi aktami i instrukcjami firmy. Nagranie zostało upublicznione poprzez wyciek do mediów społecznościowych, a następnie do innych mediów. Organ ochrony danych ustalił, że administrator danych nie podjął odpowiednich działań, by zapobiec stworzeniu tego nagrania przez swoich pracowników. Mimo że spółka podjęła pewne działania, takie jak przyjęcie wewnętrznych aktów dotyczących dostępu do nagrań z monitoringu wizyjnego, przeszkolenie pracowników i wdrożenie oświadczeń o zachowaniu poufności, organ ustalił, że spółka nie zapewniła - ani przed, ani po ujawnieniu nieautoryzowanego nagrania - odpowiednich organizacyjnych i technicznych środków bezpieczeństwa w celu zminimalizowania ryzyka takiego lub podobnego naruszenia danych. Ponadto, administrator danych nie monitorował ani nie sprawdzał regularnie skuteczności środków technicznych i organizacyjnych wdrożonych w celu zachowania poufności, integralności i dostępności danych osobowych. W związku z tym organ ochrony danych nałożył grzywnę w wysokości 675 000,00 HRK za niepodjęcie odpowiednich środków technicznych i wyjaśnił, że grzywna ta powinna mieć również ogólne skutki prewencyjne i zwiększać świadomość administratorów danych i podmiotów przetwarzających dane w zakresie obowiązków dotyczących przetwarzania danych.Link
1092ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2022-03-08124 245,00 €Przedsiębiorstwo energetyczne (nazwa w tej chwili niedostępna)Art. 15 (3) RODOUkarane przedsiębiorstwo energetyczne jest właścicielem stacji benzynowych i sprzedaje klientom paliwa. Podmiotem danych jest klient, który złożył skargę konsumencką dotyczącą nieprawidłowego odmierzania, a w konsekwencji pobierania opłat za tankowane paliwo na jednej ze stacji benzynowych. Osoba, której dane dotyczą, zwróciła się o kopię swoich danych osobowych, tj. kopię nagrania z monitoringu wizyjnego dotyczącego określonego czasu i obszaru. Przedsiębiorstwo energetyczne uzasadniło odrzucenie wniosku tym, że: (i) brakiem pisemnego wniosku właściwych organów o dostarczenie materiału filmowego, (ii) brakiem uzasadnionego celu żądania oraz (iii) twierdzeniem, że dostarczenie kopii materiału filmowego wpłynęłoby negatywnie na prawa i wolności personelu stacji oraz innych klientów. Po przekazaniu klientowi ogólnej opinii organu ochrony danych osobowych w sprawie obowiązku administratorów danych do udostępniania nagrań z monitoringu osobom, których dane zostały na nich sfilmowane, przedsiębiorstwo energetyczne poinformowało klienta o braku możliwości udostępnienia nagrań, ponieważ archiwa nagrań z monitoringu są usuwane po siedmiu dniach. W związku z naruszeniem podstawowych praw osoby, której dane dotyczą, organ ochrony danych nałożył karę w wysokości 940 000,00 HRK. W wyjaśnieniu dotyczącym wysokości grzywny zauważono, że organ ochrony danych wziął pod uwagę nie tylko pośrednie szkody poniesione przez klienta, ale także potencjalne zyski finansowe firmy, która pośrednio uniknęła szkód, jakie mogłyby powstać w trakcie sporu konsumenckiego, oraz fakt, że usuwając materiał filmowy, firma wyeliminowała potencjalnie ważne dowody.Link
1091NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia-Anhalt2020-10-24200,00 €Osoba fizyczna Art. 5 RODO, Art. 32 RODOOrgan ochrony danych osobowych w Saksonii-Anhalt nałożył na osobę fizyczną grzywnę w wysokości 200 EUR. Administrator robił zdjęcia pojazdów oraz, w niektórych przypadkach, ich kierowców i przesyłał je w niezaszyfrowanej formie pocztą elektroniczną do miasta Magedburg w ramach zgłoszeń o naruszeniach przepisów ruchu drogowego.Link
1090HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-231 500,00 €WORLDWIDE CLASSIC CARS NETWORK S.L. Art. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na WORLDWIDE CLASSIC CARS NETWORK S.L. grzywnę w wysokości 1 500 EUR. Administrator zainstalował kamery monitoringu wizyjnego, które między innymi obejmowały również część przestrzeni publicznej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie wywiązał się z obowiązku właściwego informowania o monitoringu wizyjnym.Link
1089NiderlandyAutoriteit Persoonsgegevens (AP)2022-01-14525 000,00 €DPG Media Magazines B.V.Art. 12 (2) RODONiderlandzki organ ochrony danych nałożył na DPG Media Magazines B.V. grzywnę w wysokości 525 000 EUR. Do organu ochrony danych wpłynęło kilka skarg dotyczących sposobu, w jaki administrator rozpatrywał wnioski klientów. Klienci, którzy chcieli dowiedzieć się, jakiego rodzaju dane osobowe przechowuje administrator, lub chcieli, aby ich dane zostały usunięte, musieli najpierw przesłać lub załadować dowód tożsamości. Organ ochrony danych ustalił, że przesłanie dowodu tożsamości nie było konieczne do celów rozpatrzenia wniosku. Ponadto proces wysyłania korespondencji stanowił dla osób, których dane dotyczą, nadmierną przeszkodę w wykonywaniu ich praw.Link Link
1088FinlandiaTietosuojavaltuutetun Toimisto2021-12-265 000,00 €Klinika medycznaArt. 5 (1) a) RODO, Art. 12 (1), (2), (3), (4) RODO, Art. 13 (1), (2) RODO, Art. 15 (1), (3) RODO, Art. 25 RODOFiński urząd ochrony danych osobowych nałożył na klinikę medyczną grzywnę w wysokości 5 000 EUR. Klient tej kliniki złożył skargę do organu ochrony danych, że nie otrzymał od kliniki dostępu do swojej dokumentacji medycznej po złożeniu wniosku o udzielenie informacji. Ponadto klinika nie poinformowała w odpowiedni sposób swoich klientów o przetwarzaniu danych osobowych. W szczególności organ ochrony danych zwrócił uwagę na fakt, że klinika nie informowała swoich klientów o zakresie, w jakim działała jako administrator danych w odniesieniu do danych pacjentów generowanych w ramach prowadzonej przez nią działalności.Link
1087HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-231 200,00 €FRUTAS Y VERDURAS LOS CAMPEONES, S.L. Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na FRUTAS Y VERDURAS LOS CAMPEONES, S.L. grzywnę w wysokości 1 000 EUR. Administrator zainstalował system monitoringu wizyjnego, jednak nie umieścił znaków informujących o stosowaniu monitoringu wizyjnego.Link
1086HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-223 000,00 €Prowadzący hotelArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na operatora hotelu grzywnę w wysokości 3 000 EUR. Administrator zainstalował kamery monitoringu, które obejmowały m.in. przestrzeń publiczną i część hotelowego basenu. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto administrator nie wywiązał się z obowiązku właściwego poinformowania o monitoringu wizyjnym.Link
1085PolskaUrząd ochrony danych osobowych (UODO)2022-01-19117 000,00 €Santander Bank Polska S. A. Art. 34 (1) RODOPolski organ ochrony danych ukarał Santander Bank Polska S.A. grzywną w wysokości 118 000 EUR za niepowiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych. Byłemu pracownikowi banku udało się uzyskać nieuprawniony dostęp do bazy danych usług elektronicznych. Pozwoliło to m.in. na uzyskanie dostępu do danych wielu klientów Santander. Ze względu na wysokie ryzyko dla danych osób, których dane dotyczą, bank byłby zobowiązany do poinformowania ich o naruszeniu danych. Jednakże bank celowo tego zaniechał i nadal twierdził, że nie będzie przestrzegał tego obowiązku w przyszłości. Organ ochrony danych zauważył, że stanowiło to poważną ingerencję w życie osób, których dane dotyczą, ponieważ nie miały one możliwości podjęcia odpowiednich kroków w celu ochrony swoich praw.Link Link
1084HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-221 000,00 €MALAGATROM, S.L.U.Art. 58 (2) RODOHiszpański organ ochrony danych nałożył na MALAGATROM, S.L.U. grzywnę w wysokości 1 000 EUR za niezastosowanie się do nakazu wydanego przez organ ochrony danych.Link
1083RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-02-223 000,00 €IAMSAT Muntenia SAArt. 12 RODO, Art. 13 RODO, Art. 21 RODORumuński organ ochrony danych nałożył na IAMSAT Muntenia SA grzywnę w wysokości 3 000 EUR. Organ ochrony danych wszczął dochodzenie w następstwie skargi byłego pracownika, który twierdził, że administrator nadal przetwarzał jego dane osobowe nawet po rozwiązaniu umowy o pracę w 2020 r. Osoba, której dane dotyczą, oświadczyła wcześniej, że nie wyraża zgody na dalsze wykorzystywanie jej adresu e-mail oraz że sprzeciwia się przetwarzaniu jej danych osobowych przez administratora lub/i przez osoby trzecie po rozwiązaniu umowy o pracę. W toku postępowania wyjaśniającego organ ochrony danych ustalił również, że administrator nie poinformował swoich pracowników, w tym osoby, której dane dotyczą, z wyprzedzeniem i w sposób wyczerpujący o przetwarzaniu ich danych osobowych przez system monitoringu wizyjnego w miejscu pracy.Link
1082RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-02-221 000,00 €Spółka prawa cywilnego "Sabou, Burz & Cuc"Art. 5 (1) a), b), c), f) RODO, Art. 5 (2) RODO, Art. 6 RODORumuński organ ochrony danych ukarał grzywną w wysokości 1 000 EUR spółkę prawa cywilnego "Sabou, Burz & Cuc". Organ ten wszczął dochodzenie po tym, jak klient złożył skargę, że administrator opublikował jego dane osobowe w grupie WhatsApp, z której korzystało kilku prawników zrzeszonych w stowarzyszeniu prawników, bez jego uprzedniej zgody. Organ ochrony danych stwierdził, że administrator przetwarzał dane bez ważnej podstawy prawnej, ponieważ opublikował je w celu innym niż pierwotnie uzgodniony z osobą, której dane dotyczą.Link
1081HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-211 000,00 €Właściciel sklepuArt. 13 RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 euro za niedostarczenie znaków informacyjnych o monitoringu CCTV w placówce.Link
1080HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-211 500,00 €RESTATURANTE FUENTEBRO, S.C.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na firmę RESTATURANTE FUENTEBRO, S.C. grzywnę w wysokości 1 500 EUR za brak znaków informacyjnych o nadzorze za pomocą kamer monitoringu w zakładzie.Link
1079HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-182 500,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 2 500 EUR. Administrator danych zainstalował w swoim domu kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną i sąsiednie nieruchomości. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto znaki informacyjne dotyczące nadzoru wideo były zamazane, a przez to mało czytelne. Organ ochrony danych uznał to za naruszenie obowiązku informowania zgodnie z art. 13 RODO.Link
1078WłochyGarante per la protezione dei dati personali (Garante)2022-01-2740 000,00 €T.S.M. s.r.l.Art. 13 RODO, Art. 15 RODO, Art. 21 RODO, Art. 157 Codice della privacy, Art. 166 (2) Codice della privacyWłoski organ ochrony danych nałożył na spółkę T.S.M. s.r.l. grzywnę w wysokości 40 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych osobowych na firmę, która nie spełniła jej żądań dotyczących usunięcia jej danych i sprzeciwu wobec przyszłego przetwarzania jej danych osobowych.Link
1077GrecjaHellenic Data Protection Authority (HDPA)2022-02-1530 000,00 €ΛΙΜΕΝΟΣ ΗΡΑΚΛΕΙΟΥ Α.Ε.Art. 12 (1), (2) RODO, Art. 15 (1) RODOGrecki organ ochrony danych nałożył grzywnę w wysokości 30 000 EUR na organizację LΛΙΜΕΝΟΣ ΗΡΑΚΛΕΙΟΥ Α.Ε. Osoba, której dane dotyczą, która uległa wypadkowi samochodowemu na terenie należącym do organizacji, złożyła skargę na organizację do organu ochrony danych osobowych. Organizacja posiadała system nadzoru wideo który, między innymi, zarejestrował wypadek samochodowy. W związku z wypadkiem osoba, której dane dotyczą, zwróciła się do organizacji o udostępnienie jej nagrań. Jednak organizacja nie spełniła tego żądania.Link
1076WłochyGarante per la protezione dei dati personali (Garante)2022-01-272 000,00 €Prywatny klub "Ruian"Art. 5 (1) c) RODO, Art. 13 RODOWłoski urząd ochrony danych osobowych (Garante) nałożył na prywatny klub "Ruian" grzywnę w wysokości 2 000 EUR. Administrator zainstalował kamery monitoringu wizyjnego, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny.Link
1075WłochyGarante per la protezione dei dati personali (Garante)2022-01-131 000,00 € A.S.L. Napoli 1 CentroArt. 5 rodo, Art. 6 RODO, Art. 2-ter Codice della privacyWłoski organ ochrony danych (Garante) nałożył na A.S.L. Napoli 1 Centro grzywnę w wysokości 1 000 EUR. Pracownik urzędu zdrowia złożył skargę do organu ochrony danych przeciwko temu urzędowi. Organ służby zdrowia opublikował na swojej stronie internetowej komunikat prasowy zawierający dane osobowe osoby, której dane dotyczą, oraz informacje o postępowaniu dyscyplinarnym. Organ służby zdrowia uważał, że publikacja była zgodna z prawem, ponieważ osoba, której dane dotyczą, przekazała już te informacje prasie, która z kolei opublikowała reportaż na ten temat. Organ ochrony danych stwierdził jednak, że organ ten nadal potrzebuje ważnej podstawy prawnej do publikacji, niezależnie od tego, czy informacje te zostały już opublikowane w innych mediach.Link
1074HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-166 000,00 €Osoba fizycznaArt. 6 (1) a) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 6 000 euro. Osoba, której dane dotyczą, wniosła skargę przeciwko administratorowi danych za opublikowanie na stronie internetowej zdjęć siebie w bikini bez uprzedniego upoważnienia. Podmiot danych pierwotnie umieścił zdjęcia siebie w bikini na platformie z używanymi rzeczami Vinted, gdzie oferował bikini na sprzedaż.Link
1073HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-112 000 000,00 €Amazon Road Transport Spain S.L.Art. 6 (1) RODO, Art. 10 RODO, Art. 10 LOPDGDDHiszpański organ ochrony danych (AEPD) ukarał firmę Amazon Road Transport Spain S.L. grzywną w wysokości 2 000 000 EUR. Do AEPD wpłynęła skarga związku zawodowego na firmę. Przy zatrudnianiu kierowców Amazon Road wymagał zaświadczeń potwierdzających niekaralność. Amazon Road uważała, że zaświadczenia te nie podlegają art. 10 RODO. Jednakże, wbrew interpretacji Amazon Road, AEPD stwierdził, że dane te podlegają pod art. 10 RODO. Podczas dochodzenia AEPD stwierdził, że przetwarzanie tych danych w konsekwencji nie było zgodne z wymogami art. 10 RODO. Z tego powodu organ ochrony danych doszedł do wniosku, że firma Amazon Road przetwarzała dane dotyczące niekaralności bez ważnej podstawy prawnej.Link
1072WłochyGarante per la protezione dei dati personali (Garante)2022-01-131 000,00 €Villa Masi Residenza per anzianiArt. 13 RODOBrak informacji na temat stosowania systemów monitoringu wizyjnego w placówce opiekuńczej.Link
1071HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-141 600,00 €RECLAMADOR, S.L.Art. 17 RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) nałożył grzywnę na RECLAMADOR, S.L. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych w związku z tym, że administrator nadal wysyłał jej reklamy SMS-owe, mimo że zażądała ona usunięcia swoich danych, a administrator potwierdził ich usunięcie. Grzywna składa się proporcjonalnie z 1000 EUR za naruszenie Art. 17 GDPR i 1000 EUR za naruszenie Art. 21 LSSI. Pierwotna grzywna w wysokości 2 000 EUR została zmniejszona do 1 800 EUR ze względu na natychmiastową i dobrowolną zapłatę.Link
1070NorwegiaDatatilsynet2022-02-015 000,00 €Etterforsker1 Gruppen ASArt. 6 (1) RODONorweski organ ochrony danych (Datatilsynet) ukarał Etterforsker1 Gruppen AS grzywną w wysokości 5 000 EUR. Administrator danych przeprowadził kontrolę kredytową osoby fizycznej, mimo że nie było ku temu podstawy prawnej.Link
1069PolskaUrząd ochrony danych osobowych (UODO)2021-12-014 000,00 €Pactum Poland Sp. z o.o.Art. 31 RODO, Art. 58 (1) e) RODOGrzywna za brak odpowiedzi na wnioski o dalsze informacje od organu nadzorczego w odpowiednim czasie po naruszeniu ochrony danych.Link
1068WłochyGarante per la protezione dei dati personali (Garante)2022-01-1314 000,00 €Azienda sanitaria unica regionale MarcheArt. 5 (1) f) RODO, Art. 32 RODO, Art. 35 RODOWłoski organ ochrony danych (DPA) nałożył na Azienda sanitaria unica regionale Marche grzywnę w wysokości 14 000 EUR. Organ ochrony danych wszczął dochodzenie przeciwko departamentowi zdrowia po doniesieniach medialnych o niedociągnięciach w systemie wykorzystywanym do gromadzenia i zarządzania danymi dotyczącymi badań przesiewowych na obecność koronawirusa. Departament zdrowia korzystał z aplikacji, która generowała kody QR dla osób, które zostały przebadane na obecność koronawirusa. Kod QR był generowany w oparciu o progresywne kryterium, a nie w sposób losowy. Każdej osobie przypisany był więc numer. Z tego powodu osoby nieuprawnione mogły zmienić cyfrę i uzyskać dostęp do profilu innej osoby, a tym samym do jej danych osobowych. Organ ochrony danych stwierdził, że urząd zdrowia nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone były osoby, których dane dotyczą.Link
1067WłochyGarante per la protezione dei dati personali (Garante)2022-01-134 000,00 €Medicina & Lavoro s.r.l.Art. 12 (3) RODO, Art. 15 RODOBrak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych.Link
1066WłochyGarante per la protezione dei dati personali (Garante)2021-12-161 000,00 €Università Telematica Internazionale UninettunoArt. 5 (1) c) RODOWłoski organ ochrony danych nałożył na Università Telematica Internazionale Uninettuno grzywnę w wysokości 1 000 EUR. Jeden z profesorów złożył skargę do organu ochrony danych osobowych na tę instytucję edukacyjną. Profesor ubiegał się o stanowisko na uniwersytecie i w tym celu przesłał swoje CV. Następnie uczelnia opublikowała je bez zaczernienia pewnych danych osobowych, które dotyczyły jego sfery osobistej. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
1065WłochyGarante per la protezione dei dati personali (Garante)2022-01-137 500,00 €Azienda Sanitaria Locale FrosinoneArt. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODOWłoski organ ochrony danych (DPA) nałożył na Azienda Sanitaria Locale Frosinone grzywnę w wysokości 7 500 EUR. W trakcie dochodzenia przeciwko tej placówce medycznej Garante stwierdziła, że jej polityka prywatności wykazywała istotne braki. Na przykład placówka wskazała kilka celów przetwarzania danych, ale nie zawsze podawano odpowiednie podstawy prawne do ich przetwarzania. Podane podstawy prawne były często nieprawidłowe lub sprzeczne. Ponadto placówka nie podała wystarczających informacji na temat okresu przechowywania zgromadzonych danych.Link
1064WłochyGarante per la protezione dei dati personali (Garante)2021-12-1620 000,00 €FCA Italy s.p.a.Art. 12 RODOWłoski organ ochrony danych nałożył na FCA Italy s.p.a. grzywnę w wysokości 20 000 EUR. Były klient administratora zwrócił się do niego o przekazanie mu stenogramów rozmów telefonicznych pomiędzy nim, a działem obsługi klienta, z którym wcześniej kontaktował się w sprawie nieprawidłowego działania przyrządów w jednym z jego pojazdów, a także dokumentów dotyczących tej sprawy. Administrator nie spełnił jednak tego żądania.Link
1063WłochyGarante per la protezione dei dati personali (Garante)2021-12-16100 000,00 €Ubi Banca spaArt. 5 (1) a), c) RODOWłoski organ ochrony danych nałożył na Ubi Banca spa (obecnie Intesa Sanpaolo spa) grzywnę w wysokości 100 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych osobowych w związku z otrzymaniem od administratora danych listu z napisem na kopercie "anomalie kredytowe Chieti". Pismo nie zawierało jednak przypomnienia o płatności, a jedynie informacje o przejrzystości usług bankowych i finansowych. Z tego powodu organ ochrony danych uznał, że administrator naruszył zasady legalności i przejrzystości oraz zasadę minimalizacji danych. W końcu określenie na kopercie mogło umożliwić osobom trzecim uzyskanie informacji o sytuacji finansowej odbiorcy, niezależnie od zawartości koperty.Link
1062HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-0710 000,00 €PINTODIS, S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych ukarał PINTODIS, S.L. grzywną w wysokości 10 000 EUR. Administrator danych zainstalował kilka kamer wideo, które obejmowały również miejsca spożywania posiłków i przebieralnie swoich pracowników. Hiszpański organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, ponieważ tak rozległy nadzór nie był konieczny.Link
1061HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-042 000,00 €Osoba fizycznaArt. 6 (1) a) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 2.000 euro. Osoba ta opublikowała na Twitterze materiały audiowizualne z procesu sądowego bez uzyskania zgody świadków i stron procesu, które można było na nich zobaczyć.Link
1060HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-071 000,00 €Prowadzący kawiarnięArt. 5 (1) c) RODOW kawiarni zastosowano kamery CCTV, które zarejestrowały również przestrzeń publiczną na zewnątrz, co stanowiło naruszenie tzw. zasady minimalizacji danych.Link
1059HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-01900 000,00 €TELEFÓNICA MÓVILES ESPAÑA, S.A.U.Art. 5 (1) f) RODOHiszpański urząd ochrony danych osobowych ukarał TELEFÓNICA MÓVILES ESPAÑA, S.A.U. grzywną w wysokości 900 000 euro. Czterech klientów spółki Telefónica złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ten ustalił, że oszuści, kontaktując się z firmą Telefónica, podawali się za osoby, których dane dotyczą, i żądali kopii ich kart SIM. Dzięki temu mogli oni zawierać umowy na koszt osób, których dane dotyczyły, oraz dokonywać różnych przelewów. Według organu ochrony danych osobowych, Telefónica nie zweryfikowała odpowiednio tożsamości oszustów przed wydaniem kart SIM i nie upewniła się, że pytający są rzeczywiście posiadaczami kart SIM.Link
1058HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-01200 000,00 €XFERA MÓVILES, S.A.Art. 5 (1) f) RODOHiszpański organ ochrony danych nałożył na spółkę XFERA MÓVILES, S.A. grzywnę w wysokości 200.000 EUR. Dwóch klientów spółki Xfera złożyło skargi do organu ochrony danych. W toku dochodzenia organ ten ustalił, że oszuści, kontaktując się ze spółką Xfera, podawali się za osoby, których dane dotyczą, i żądali kopii ich kart SIM. Dzięki temu mogli oni zawierać umowy na koszt osób, których dane dotyczyły, i dokonywać różnych przelewów. Według organu ochrony danych osobowych Xfera nie sprawdziła w odpowiedni sposób tożsamości oszustów przed wydaniem kart SIM i nie upewniła się, że pytający są rzeczywiście posiadaczami kart SIM.Link
1057HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-01700 000,00 €Orange Espagne S.A.U.Art. 5 (1) f) RODOHiszpański organ ochrony danych nałożył na Orange Espagne S.A.U. grzywnę w wysokości 700 000 euro. Dwóch klientów Orange Espagne złożyło skargi do organu ochrony danych. W toku dochodzenia organ ten ustalił, że oszuści, kontaktując się z Orange Espagne, podawali się za osoby, których dane dotyczą, i żądali kopii ich kart SIM. Dzięki temu mogli oni zawierać umowy na koszt osób, których dane dotyczą, oraz dokonywać różnych przelewów. Według organu ochrony danych osobowych, Orange Espagne nie zweryfikowała odpowiednio tożsamości oszustów przed wydaniem kart SIM i nie upewniła się, że pytający są rzeczywiście posiadaczami kart SIM.Link
1056HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-0170 000,00 €ORANGE ESPAÑA VIRTUAL, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych nałożył na ORANGE ESPAÑA VIRTUAL, S.L. grzywnę w wysokości 70.000 EUR. Dwóch klientów Orange España Virtual złożyło skargi do organu ochrony danych. W toku dochodzenia organ ten ustalił, że oszuści, kontaktując się z Orange España Virtual, podawali się za osoby, których dane dotyczą, i żądali kopii ich kart SIM. W ten sposób mogli oni zawierać umowy na koszt osób, których dane dotyczyły, oraz dokonywać różnych przelewów. Zdaniem organu ochrony danych osobowych, Orange España Virtual przed wydaniem kart SIM nie zweryfikowała w odpowiedni sposób tożsamości oszustów i nie upewniła się, że pytający są rzeczywiście posiadaczami kart SIM.Link
1055HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-013 940 000,00 €Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 5 (2) RODOHiszpański organ ochrony danych nałożył na Vodafone España, S.A.U. grzywnę w wysokości 3,94 mln euro. Dziewięciu klientów Vodafone złożyło skargi do organu ochrony danych. W trakcie dochodzenia organ ten ustalił, że oszuści, kontaktując się z Vodafone, podawali się za osoby, których dane dotyczą, i zażądali kopii ich kart SIM. Dzięki temu mogli oni zawierać umowy na koszt osób, których dane dotyczą, i dokonywać różnych przelewów. Według organu ochrony danych, Vodafone nie zweryfikował odpowiednio tożsamości oszustów przed wydaniem kart SIM i nie upewnił się, że pytający są rzeczywiście posiadaczami kart SIM, ze względu na brak wystarczających środków bezpieczeństwa.Link
1054WłochyGarante per la protezione dei dati personali (Garante)2021-12-1710 000,00 €ASL LatinaArt. 5 (1) f) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) ukarał ASL Latina grzywną w wysokości 10 000 EUR. Administrator omyłkowo wysłał dokumenty zawierające dane zdrowotne osoby, której dane dotyczą, do niezaangażowanej strony trzeciej.Link
1053HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-04300 000,00 €SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROSArt. 6 RODO, Art. 17 RODO, Art. 28 RODOHiszpański organ ochrony danych (AEPD) ukarał SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS. grzywną w wysokości 300.000 EUR. Osoba, której dane dotyczą, otrzymywała od administratora e-maile marketingowe, mimo że była wpisana na listę osób wykluczonych z reklam (lista Robinsona). Wysyłanie e-maili było kontynuowane nawet po tym, jak osoba, której dane dotyczą, zażądała usunięcia swoich danych.Link
1052HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-04900,00 €Osoba fizycznaArt. 5 (1) c) RODOBezprawne użycie kamer monitoringu wizyjnego, które monitorowały również fragmenty przestrzeni publicznej (naruszenie zasady minimalizacji danych).Link
1051BelgiaGegevensbeschermingsautoriteit (GBA)2022-02-02250 000,00 €IAB EuropeArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 9 (1), (2) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 14 RODO, Art. 24 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 32 (1), (2) RODO, Art. 37 RODOBelgijski organ ochrony danych nałożył na IAB Europe karę w wysokości 250 tys. euro. Organ ochrony danych otrzymał kilka skarg przeciwko IAB Europe od 2019 roku. W kontekście tej skargi kwestionowano głównie zgodność "Transparency & Consent Framework (TCF)" z RODO. TCF został opracowany przez IAB w celu promowania zgodności z RODO przez organizacje korzystające z protokołu OpenRTB. Protokół OpenRTB jest protokołem dla "licytacji w czasie rzeczywistym", która jest zautomatyzowaną aukcją online profili użytkowników w celu sprzedaży i zakupu powierzchni reklamowej w Internecie. Kiedy użytkownicy odwiedzają stronę internetową, na której znajduje się miejsce na reklamę, firmy technologiczne, za pośrednictwem zautomatyzowanego systemu aukcyjnego, mogą w czasie rzeczywistym składać oferty dotyczące tego miejsca na reklamę w celu wyświetlenia spersonalizowanej reklamy. Kiedy użytkownicy odwiedzają stronę internetową po raz pierwszy, pojawia się interfejs, za pomocą którego mogą wyrazić zgodę na gromadzenie i udostępnianie swoich danych osobowych lub sprzeciwić się różnym rodzajom przetwarzania. Jako część TCF, podczas tego procesu pojawia się narzędzie do zarządzania zgodą. Narzędzie to umożliwia użytkownikowi wyrażenie sprzeciwu wobec niektórych rodzajów przetwarzania danych. TCF rejestruje preferencje użytkownika za pośrednictwem tego narzędzia, generując ciąg znaków TC i wysyłając go do wszystkich partnerów uczestniczących w systemie OpenRTB. Na podstawie tego łańcucha TC tworzone są profile użytkowników, które następnie przekazywane są reklamodawcom. W ten sposób staje się dla nich widoczne, na jakiego rodzaju przetwarzanie danych użytkownicy wyrazili zgodę. W ramach dochodzenia przeciwko IAB, organ ochrony danych stwierdził szereg naruszeń RODO. Stwierdził on, że ciągi TC stanowiły już dane osobowe, a zatem IAB musiał mieć podstawę prawną do przetwarzania tych danych. IAB nie było jednak w stanie wykazać żadnej takiej podstawy prawnej. Ponadto IAB nie informowała w odpowiedni sposób użytkowników o funkcjonowaniu TCF. Na przykład, informacje dostarczone użytkownikom były zbyt ogólne i niejasne, aby mogli oni zrozumieć zakres przetwarzania danych. Co więcej, IAB nie prowadziła rejestru swoich działań związanych z przetwarzaniem danych, nie wyznaczyła inspektora ochrony danych, jak również nie przeprowadziła oceny skutków w zakresie ochrony danych.Link i Link
1050NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 50-100RestauracjaArt. 32 RODOW celu zwalczania pandemii Covid 19, pewna restauracja opublikowała otwartą listę, na której goście musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawna, umożliwiał dostęp do tych danych nieupoważnionym osobom trzecim.Link
1049NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 50-100RestauracjaArt. 32 RODOW celu zwalczania pandemii Covid 19, pewna restauracja opublikowała otwartą listę, na której goście musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawna, umożliwiał dostęp do tych danych nieupoważnionym osobom trzecim.Link
1048NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 50-100RestauracjaArt. 32 RODOW celu zwalczania pandemii Covid 19, pewna restauracja opublikowała otwartą listę, na której goście musieli wpisywać swoje dane kontaktowe. Fakt, że lista była jawna, umożliwiał dostęp do tych danych nieupoważnionym osobom trzecim.Link
1047HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-02-022 000,00 €ASESORES DE SEGURIDAD PRIVADA, S.L.Art. 13 RODOHiszpański organ ochrony danych nałożył na ASESORES DE SEGURIDAD PRIVADA, S.L. grzywnę w wysokości 2.000 EUR. Organ ochrony danych skrytykował, że administrator nie poinformował w wystarczającym stopniu osoby, której dane dotyczą, o przetwarzaniu danych, jak wymaga tego art. 13 RODO.Link
1046NiemcyOrgan ochrony danych osobowych Hamburga202013 000,00 €PrzedsiębiorstwoArt. 26 (2) RODOOrgan ochrony danych z Hamburga nałożył na przedsiębiorstwo grzywnę w wysokości 13.000 euro. Osoba fizyczna zarezerwowała kurs w przedsiębiorstwie i uczestniczyła w nim, ale nie uiściła opłaty za kurs. Jakiś czas później zgłosił się na kurs w innej firmie należącej do tej samej spółki matki i tam został odrzucony. Jako powód podano, że nadal ma zaległości wobec firmy, w której kursach już uczestniczyła. Po złożeniu skargi przez osobę fizyczną na przedsiębiorstwo, organ ochrony danych wszczął dochodzenie. Ustalił on, że przedsiębiorstwa te korzystały ze wspólnej bazy danych. Zwrócił uwagę, że prowadzenie wspólnej bazy danych klientów przez kilka prawnie niezależnych firm prowadzi do wspólnej odpowiedzialności zgodnie z art. 26 RODO. Zgodnie z art. 26 ust. 2 RODO, wymaga to umowy, która odzwierciedla odpowiednie rzeczywiste funkcje i relacje stron współodpowiedzialnych wobec osób, których dane dotyczą. Takie porozumienie jednak nie istniało.Link
1045NiemcyOrgan ochrony danych osobowych Hamburga2020NieznanaPrzedsiębiorstwoArt. 6 RODO, Art. 32 RODONiemiecki organ ochrony danych osobowych z Hamburga nałożył grzywnę na firmę, która prowadzi internetową giełdę, specjalizującą się w noszonej bielizny. Firma deklaruje, że gwarantuje stuprocentową anonimowość. Na platformie użytkownicy mogą zamieszczać zdjęcia bielizny. W większości przypadków do wykonania zdjęć użyto smartfonów lub innych urządzeń mobilnych. Aplikacje aparatów w smartfonach lub moduły GPS w aparatach fotograficznych często standardowo zapisują w pliku zdjęciowym obok właściwego obrazu dodatkowe informacje. Na podstawie tych danych możliwa jest dość dokładna lokalizacja. Kontrola przeprowadzona przez organ ochrony danych wykazała, że przedsiębiorstwo nie usunęło pozostałych informacji lub metadanych z przesłanych zdjęć. W związku z tym dane te można było wprowadzić do dowolnego serwisu mapowego i ustalić dokładną lokalizację miejsca, w którym zrobiono zdjęcie. Liczba osób, których dane dotyczyły, wynosiła około 760 kobiet w wieku od 18 do 50 lat. Z tego powodu organ ochrony danych stwierdził, że przedsiębiorstwo nie podjęło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stwarzało to dla osób, których dane dotyczyły. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo bezprawnie przetwarzało powiązane dane, przesyłając zdjęcia bez ich oczyszczenia.Link
1044NiemcyOrgan ochrony danych osobowych Hamburga20203 000,00 €RestauracjaArt. 5 (1) c) RODONadmierne wykorzystanie monitoringu wizyjnego z naruszeniem zasady minimalizacji danych.Link
1043NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 300-400Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOPolicjant zrobił zdjęcia oficjalnej prezentacji, które zawierały dane osobowe i udostępnił je w grupie Whats App.Link
1042NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 300-400Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOPolicjant zrobił zdjęcia oficjalnej prezentacji, które zawierały dane osobowe i udostępnił je w grupie Whats App.Link
1041NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 300-400Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOPolicjant zrobił zdjęcia oficjalnej prezentacji, które zawierały dane osobowe i udostępnił je w grupie Whats App.Link
1040NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 400-600Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań.Link
1039NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 400-600Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań.Link
1038NiemcyOrgan ochrony danych osobowych Hamburga2020Pomiędzy 400-600Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań.Link
1037NiemcyOrgan ochrony danych osobowych Hamburga2020400,00 €Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań.Link
1036NiemcyOrgan ochrony danych osobowych Hamburga2020300,00 €Funkcjonariusz policjiArt. 5 RODO, Art. 6 RODOFunkcjonariusz policji uzyskał dostęp do danych w policyjnej bazie danych do celów prywatnych badań.Link
1035NiemcyOrgan ochrony danych osobowych Hamburga202010 000,00 €Clearview AI Inc.Art. 58 (1) RODOUrząd Ochrony Danych w Hamburgu nałożył na Clearview AI Inc. 10 000 EUR za niedostarczenie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia.Link
1034NiemcyOrgan ochrony danych osobowych kraju związkowego Hesja2020Kara pięciocyfrowa (dokładnia kwota nieznana)KorporacjaArt. 12 (3) RODO, Art. 15 RODOBrak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do jej danych.Link
1033NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2020Kara trzycyfrowa (dokładnia kwota nieznana)Asystent medycznyArt. 6 (1) RODOAsystentka medyczna w gabinecie lekarskim zapisała w swoim telefonie komórkowym numer telefonu pacjenta, a następnie kontaktowała się z nim w celach prywatnych.Link
1032NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia2020Kara czterocyfrowa (dokładnia kwota nieznana)Prowadzący szkołę baletowąArt. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 (1) RODOProwadzący szkołę baletową opublikował na swojej stronie internetowej i Facebooku zdjęcia nieletnich uczniów bez zgody ich prawnych opiekunów.Link
1031NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia20205 000,00 €RestauracjaArt. 5 (1) c) RODONadmierne wykorzystanie monitoringu wizyjnego z naruszeniem zasady minimalizacji danych.Link
1030NiemcyOrgan ochrony danych osobowych kraju związkowego Hesja2019-113 000,00 €Pracownik centrum testowania Covid 19Art. 5 (1) A) RODOPracownik centrum testowego Covid 19 wykorzystał dane testowanej osoby, aby skontaktować się z nią za pośrednictwem aplikacji WhatsApp w celach prywatnych.Link
1029NiemcyOrgan ochrony danych osobowych kraju związkowego Saara202010 000,00 €RestauracjaArt. 5 (1) c) RODONadmierne wykorzystanie monitoringu wizyjnego z naruszeniem zasady minimalizacji danych.Link
1028NiemcyOrgan ochrony danych osobowych kraju związkowego Saara2020NieznanaFunkcjonariusz policjiArt. 5 RODO, Art. 6 RODOKilka przypadków, w których funkcjonariusze policji uzyskali dostęp do danych w policyjnej bazie danych do celów prywatnych badań.Link
1027WłochyGarante per la protezione dei dati personali (Garante)2021-11-25200 000,00 €Aimon SrlArt. 5 (1) a) RODO, Art. 6 (1) a) RODO, Art. 12 RODO, Art. 21 RODOWłoski organ ochrony danych nałożył na Aimon Srl grzywnę w wysokości 200 000 EUR. Dwie osoby, których dane dotyczą, złożyły do organu ochrony danych skargę na niezamówione wiadomości SMS od B&T S.p.A. W trakcie dochodzenia Garante odkryła, że B&T zleciła Aimonowi wysyłanie promocyjnych wiadomości SMS do potencjalnych klientów. Następnie Aimon zawarł umowy z innymi dostawcami, którzy z kolei zakupili swoje bazy danych od stron trzecich. Jak się okazało, inni dostawcy uzyskali dane osób, z którymi nawiązano kontakt, z niezweryfikowanych i nielegalnych list firm zagranicznych, z których część pochodziła z rejestracji na portalach informacyjnych lub w internetowych grach hazardowych. Organ ochrony danych stwierdził, że Aimon przetwarzał te dane niezgodnie z prawem.Link i Link
1026WłochyGarante per la protezione dei dati personali (Garante)2021-11-25400 000,00 €B&T S.p.A.Art. 5 (1) a) RODO, Art. 6 (1) a) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 RODOWłoski organ ochrony danych nałożył na B&T S.p.A. grzywnę w wysokości 400 000 euro. Dwa podmioty danych złożyły do organu ochrony danych skargę na niezamówione reklamy SMS-owe. Ponadto stwierdziły one, że nie mogły skorzystać z przysługującego im prawa do informacji i prawa do sprzeciwu. W trakcie dochodzenia Garante odkryła, że B&T zleciła firmie marketingowej wysyłanie promocyjnych wiadomości SMS do potencjalnych klientów. Firma marketingowa zaangażowała następnie innych dostawców, którzy z kolei nabyli swoje bazy danych od stron trzecich. Jak się okazało, inni dostawcy pozyskali dane osób, z którymi nawiązano kontakt, z niesprawdzonych i nielegalnych list firm zagranicznych, z których część pochodziła z rejestracji na portalach informacyjnych lub w loteriach internetowych. W tym kontekście urząd zwrócił uwagę, że firmy zlecające kampanie reklamowe muszą zawsze upewnić się, że zlecone im firmy działają prawidłowo, a dane konsumentów są wykorzystywane zgodnie z prawem.Link i Link
1025GrecjaHellenic Data Protection Authority (HDPA)2022-01-273 200 000,00 €OTE GroupArt. 32 RODOGrecki urząd ochrony danych nałożył na spółkę zależną Cosmote, OTE Group, grzywnę w wysokości 3,2 mln euro. Grupa OTE wniosła między innymi wkład w infrastrukturę bezpieczeństwa Cosmote. Cosmote zgłosiło naruszenie danych do urzędu ochrony danych zgodnie z art. 33 RODO. Haker zdołał przeniknąć do systemów Cosmote z powodu braku środków bezpieczeństwa i zdobył dane klientów. Skradzione dane zawierały poufne informacje od abonentów Cosmote, takie jak wiek, płeć i informacje o umowach. Incydent dotknął prawie 10 milionów osób. Z tego powodu organ ochrony danych stwierdził, że Grupa OTE nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka dla osób, których dane dotyczą.Link
1024GrecjaHellenic Data Protection Authority (HDPA)2022-01-276 000 000,00 €Cosmote Mobile Telecommunications S.A.Art. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 13 RODO, Art. 14 RODO, Art. 25 (1) RODO, Art. 26 RODO, Art. 28 RODO, Art. 35 (7) RODOGrecki organ ochrony danych nałożył na spółkę Cosmote Mobile Telecommunications S.A. grzywnę w wysokości 6 mln EUR. Cosmote zgłosił naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Haker przeniknął do systemów administratora i pozyskał dane klientów Cosmote. Skradzione dane zawierały wrażliwe informacje od abonentów Cosmote, takie jak wiek, płeć i informacje o umowach. Incydent ten dotknął prawie 10 milionów osób. Z tego powodu urząd ochrony danych stwierdził, że firma Cosmote nie wdrożyła odpowiednich środków technicznych i organizacyjnych, aby zapewnić prawidłowe przeprowadzenie procesu anonimizacji danych. Ponadto Cosmote nie przeprowadził wystarczającej oceny skutków dla ochrony danych i nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych. Wreszcie, organ ochrony danych stwierdził, że Cosmote nie uregulował w jasny sposób podziału ról w procesie przetwarzania danych ze swoją spółką zależną, OTE Group. Obliczając wysokość grzywny, organ ochrony danych w sposób obciążający wziął pod uwagę bardzo długi czas trwania naruszeń (6 lat), dużą liczbę osób, których dane dotyczą, a także fakt, że przez długi okres czasu nie wdrożono żadnych środków pseudonimizacji danych.Link
1023BelgiaGegevensbeschermingsautoriteit (GBA)2022-01-272 800,00 €EU DisinfoLabArt. 5 (1) a), c), f) RODO, Art. 6 (1) RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODOBelgijski organ ochrony danych (DPA) ukarał grzywną 2 700 euro organizację pozarządową EU DisinfoLab. W 2018 r. organizacja pozarządowa opublikowała analizę mającą na celu zidentyfikowanie możliwego politycznego pochodzenia tweetów krążących na temat szczególnie gorącej kontrowersji we Francji, "afery Benalla". Na potrzeby analizy organizacja przetworzyła dane 55 tys. kont na Twitterze, z których ponad 3300 zostało sklasyfikowanych jako polityczne. Uzyskane w ten sposób surowe dane zostały następnie opublikowane bez podjęcia minimalnych środków ostrożności, takich jak pseudonimizacja danych. Organ ochrony danych zauważył, że publikacja danych mogła potencjalnie narazić osoby, których dane dotyczą, na ryzyko dyskryminacji lub dyskredytacji z powodu niezanonimizowanego profilowania politycznego. Ponadto pliki zawierały również informacje o przekonaniach religijnych, pochodzeniu etnicznym lub orientacji seksualnej osób, których konta były analizowane. Z tego powodu organ ochrony danych stwierdził, że naruszono kilka obowiązków wynikających z RODO, takich jak zgodność z prawem przetwarzania danych, przejrzystość wobec osób, których dane dotyczą, oraz bezpieczeństwo danych.Link i Link
1022BelgiaGegevensbeschermingsautoriteit (GBA)2022-01-271 200,00 €BadaczArt. 5 (1) a), c), f) RODO, Art. 6 (1) RODO, Art. 9 RODO, Art. 12 RODO, Art. 14 RODO, Art. 32 RODOBelgijski organ ochrony danych osobowych ukarał badacza grzywną w wysokości 1.200 euro. Kara ta została nałożona w związku z inną karą nałożoną na organizację pozarządową EU DisinfoLab. Badacz był zatrudniony w tej organizacji pozarządowej. W 2018 r. organizacja pozarządowa opublikowała analizę mającą na celu zidentyfikowanie możliwego politycznego pochodzenia tweetów krążących na temat szczególnie gorącej kontrowersji we Francji, "afery Benalla". Na potrzeby analizy organizacja przetworzyła dane 55 000 kont na Twitterze, z których ponad 3 300 zostało sklasyfikowanych jako polityczne. Uzyskane w ten sposób surowe dane zostały następnie opublikowane bez podjęcia minimalnych środków ostrożności, takich jak pseudonimizacja danych. Organ ochrony danych zauważył, że publikacja tych danych mogła potencjalnie narazić osoby, których dane dotyczą, na ryzyko dyskryminacji lub dyskredytacji z powodu niezanonimizowanego profilowania politycznego. Ponadto pliki zawierały również informacje o przekonaniach religijnych, pochodzeniu etnicznym lub orientacji seksualnej osób, których konta były analizowane. Z tego powodu organ ochrony danych stwierdził, że naruszono kilka obowiązków wynikających z RODO, takich jak zgodność z prawem przetwarzania danych, przejrzystość wobec osób, których dane dotyczą, oraz bezpieczeństwo danych.Link i Link
1021HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-315 000,00 €INCOPROSOL, S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na INCOPROSOL, S.L. grzywnę w wysokości 5 000 EUR. Administrator nagrywał rozmowę telefoniczną z klientem bez uzyskania jego zgody.Link
1020HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-315 000,00 €Cyrana España General S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) ukarał Cyrana España General S.L. grzywną w wysokości 5.000 EUR. Administrator danych wysłał fakturę osobie, której dane dotyczą, mimo że nie istniał żaden stosunek umowny.Link
1019HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-311 500,00 €Wspólnota mieszkaniowaArt. 6 RODOStosowanie kamer CCTV w kompleksie budynków bez uzyskania zgody wszystkich właścicieli nieruchomości.Link
1018RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-02-011 000,00 €SC Grupex 2000 SRLArt. 6 RODO, Art. 9 RODORumuński organ ochrony danych (ANSPDCP) nałożył na SC Grupex 2000 SRL grzywnę w wysokości 1 000 EUR. Administrator bezprawnie zamieszczał na swojej stronie internetowej filmy wideo z udziałem pacjentów.Link
1017WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-12-03843,00 €PrawnikArt. 5 (1) a), b) RODO, Art. 6 (1) RODO, Art. 9 (1) RODOWęgierski organ ochrony danych nałożył na adwokata grzywnę w wysokości 843 EUR za nieuprawnione ujawnienie dokumentów zawierających dane osobowe jego klienta w toku postępowania karnego.Link
1016WłochyGarante per la protezione dei dati personali (Garante)2021-12-1620 000,00 €Corradi s.r.l.Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 157 Codice della privacyPrzedsiębiorstwo pozostawiło konto poczty elektronicznej osoby, której dane dotyczą, aktywne nawet po ustaniu jej zatrudnienia i automatycznie przekazywało przychodzące wiadomości e-mail. Firma nie dostarczyła wystarczających informacji na ten temat.Link
1015WłochyGarante per la protezione dei dati personali (Garante)2021-12-1610 000,00 €Centro di Medicina preventiva s.r.l.Art. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 37 RODOWłoski organ ochrony danych (Garante) nałożył na Centro di Medicina preventiva s.r.l. grzywnę w wysokości 10.000 EUR. Administrator zgłosił naruszenie na podstawie art. 33 RODO w związku z cyberatakiem przeprowadzonym przez grupę hakerów. Podczas cyberataku hakerowi udało się uzyskać dostęp do listy danych pacjentów. Następnie haker opublikował na Twitterze tę listę, która zawierała dane osobowe, w tym dane wrażliwe, pacjentów oraz wyniki badań radiodiagnostycznych. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych. Na przykład serwer centrum medycznego ujawnił żądane dane osobowe podczas zapytania bez sprawdzenia tożsamości i poświadczeń osoby składającej zapytanie, umożliwiając nieautoryzowane połączenia spoza centrum medycznego.Link
1014SzwecjaDatainspektionen2022-01-26152 000,00 €Rada szpitala w UppsaliArt. 5 (1) f) RODO, Art. 32 (1) RODOSzwedzki organ ochrony danych nałożył na zarząd szpitala w Uppsali grzywnę w wysokości 152 000 EUR. Grzywna jest wynikiem dochodzenia przeprowadzonego przez władze regionu Uppsala (zarząd regionu i zarząd szpitala). Organ ochrony danych otrzymał dwa zgłoszenia incydentów dotyczących danych osobowych z regionu Uppsala. Incydenty dotyczyły wrażliwych danych osobowych dotyczących zdrowia, które były przekazywane w niezaszyfrowanej postaci do odbiorców w Szwecji i poza nią. Szpital Uniwersytecki w Uppsali wysyłał wiadomości e-mail zawierające dane pacjentów do pacjentów i nadawców w krajach trzecich bez szyfrowania. Ponadto administracja szpitala przechowywała wrażliwe dane osobowe w usłudze hostingowej poczty elektronicznej Outlook. Z tego powodu organ ochrony danych stwierdził, że zarząd szpitala nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym dostępem.Link i Link
1013SzwecjaDatainspektionen2022-01-2628 500,00 €Zarząd regionalny w UppsaliArt. 32 (1) RODOSzwedzki organ ochrony danych nałożył na zarząd regionu Uppsala grzywnę w wysokości 28 500 EUR. Grzywna jest wynikiem dochodzenia przeprowadzonego w regionie Uppsala (zarząd regionalny i zarząd szpitala). Organ ochrony danych otrzymał dwa zgłoszenia o incydentach dotyczących danych osobowych z regionu Uppsala. Incydenty te dotyczyły wrażliwych danych osobowych dotyczących zdrowia, które zostały przekazane w niezaszyfrowanej formie odbiorcom w Szwecji i poza nią. Zarząd regionu przekazał wrażliwe dane osobowe i osobiste numery identyfikacyjne za pośrednictwem poczty elektronicznej. Sama transmisja wiadomości e-mail była zaszyfrowana, ale informacje w nich zawarte nie. Przedmiotowe wiadomości e-mail zawierały dane pacjentów, które zostały automatycznie przesłane do odpowiednich administratorów służby zdrowia w regionie, jak również dane pacjentów, które zostały ręcznie przesłane do badaczy i lekarzy w regionie. Z tego powodu organ ochrony danych stwierdził, że zarząd regionu nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym dostępem, na przykład.Link i Link
1012FinlandiaTietosuojavaltuutetun Toimisto2021-12-1652 000,00 €Centrum ubezpieczeń komunikacyjnychArt. 5 (1) a), c) RODO, Art. 25 (2) RODOFiński organ ochrony danych nałożył na centrum ubezpieczeń komunikacyjnych grzywnę w wysokości 52 000 EUR. Administrator danych nadmiernie żądał danych pacjentów z systemu opieki zdrowotnej w celu rozpatrzenia roszczeń. Duża część tych danych nie była jednak niezbędna do rozpatrywania roszczeń. Przykładowo, organ ochrony danych stwierdził, że centrum ubezpieczeń pojazdów mechanicznych gromadziło również notatki z wizyt pacjentów w celu ustalenia, czy dostawca usług zdrowotnych wystawił rachunek za wizyty, które nie były związane z badaniem lub leczeniem obrażeń spowodowanych wypadkiem. Organ ochrony danych zauważył, że fińska ustawa o ubezpieczeniach komunikacyjnych nie uzasadnia bezpośredniego dostępu do wszystkich danych pacjenta, ale żądane informacje muszą być niezbędne do rozpatrzenia roszczenia. Z tego powodu organ uznał, że w praktyce doszło do naruszenia zasad legalności i przejrzystości, a także minimalizacji danych.Link i Link
1011FinlandiaTietosuojavaltuutetun Toimisto2021-12-166 500,00 €Biuro podróżyArt. 5 (1) f) RODO, Art. 17 RODO, Art. 25 RODO, Art. 32 RODOFiński urząd ochrony danych osobowych nałożył na biuro podróży grzywnę w wysokości 6 500 EUR. Klient biura podróży poinformował organ ochrony danych o podejrzeniu, że firma może nie przetwarzać danych swoich klientów w sposób zgodny z zasadami ochrony danych. W trakcie dochodzenia organ ochrony danych stwierdził, że biuro podróży nie zapewniło bezpiecznego przetwarzania danych osobowych. Przykładowo, formularze wniosków wizowych wypełniane przez klientów były publicznie dostępne na serwerze internetowym biura podróży. Formularz zawierał m.in. imię i nazwisko, dane kontaktowe i numer paszportu. Ponadto biuro podróży nie spełniło prośby klienta o usunięcie jego danych z systemu.Link i Link
1010WłochyGarante per la protezione dei dati personali (Garante)2021-12-025 000,00 €Azienda USL di ParmaArt. 5 (1) f) RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) ukarał Azienda USL di Parma grzywną w wysokości 5.000 EUR. Pacjentka złożyła skargę do organu ochrony danych, ponieważ omyłkowo otrzymała w swojej dokumentacji medycznej dwa raporty z badań diagnostycznych przeprowadzonych na dwóch innych pacjentach.Link
1009IrlandiaData Protection Commission (DPC)2021-12-09110 000,00 €Rada miasta i hrabstwa LimerickArt. 13 RODO, Art. 12 RODO, Art. 15 RODOIrlandzki organ ochrony danych nałożył na Radę miasta i hrabstwa Limerick grzywnę w wysokości 110 000 euro. W ramach dochodzenia organ ochrony danych przeprowadził kontrolę przetwarzania danych osobowych przez radę lub w jej imieniu z wykorzystaniem systemów nadzoru wideo, automatycznego rozpoznawania tablic rejestracyjnych, kamer noszonych na ciele i innych technologii, które mogą być wykorzystywane do monitorowania osób fizycznych. W wyniku tej kontroli stwierdzono, że rada naruszyła szereg przepisów dotyczących ochrony danych przy wykorzystywaniu tych technologii. Grzywna została jednak nałożona w związku z naruszeniem RODO. Organ ochrony danych stwierdził, że Rada naruszyła art. 13 RODO w odniesieniu do przetwarzania danych przez kamery drogowe. Rada nie przedstawiła informacji na temat tożsamości administratora danych, danych kontaktowych inspektora ochrony danych, celów przetwarzania danych oraz organów, od których można uzyskać dalsze informacje wymagane na mocy art. 13 RODO. Ponadto Rada nie przekazała tych informacji w łatwo dostępny sposób, np. na tablicach informacyjnych w pobliżu kamer. Ponadto organ ochrony danych stwierdził, że Rada nie zamieściła polityki w zakresie nadzoru wideo w jasnym i prostym języku, jak również w łatwo dostępnym miejscu na stronie internetowej Rady. W związku z tym DPA stwierdził naruszenie art. 12 RODO. Wreszcie, Rada odrzuciła wnioski o dostęp do danych osobowych przetwarzanych przez kamery nadzoru stosowane w zarządzaniu ruchem. Z tego powodu organ ochrony danych uznał, że Rada naruszyła art. 15 RODO.Link i Link
1008HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-211 200,00 €Wspólnota mieszkaniowaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał wspólnotę mieszkaniową grzywną w wysokości 1.200 euro. Zarządca nieruchomości przesłał kopię protokołu z walnego zgromadzenia dyrektorowi firmy ochroniarskiej "CMM Seguridad". Dokument ten zawiera nazwiska i adresy mieszkańców, listę osób zalegających z płatnościami oraz rachunki ze wszystkimi dochodami i wydatkami wspólnoty. Według administratora celem przesłania przedmiotowego protokołu do spółki ochrony było poinformowanie jej o członkach zarządu powołanych na odpowiednim zwyczajnym walnym zgromadzeniu. W związku z tym administrator powinien był ograniczyć się do przekazania tylko tej informacji lub do przekazania dokumentu protokołu po jego odpowiedniej anonimizacji. Z tego powodu organ ochrony danych zauważa, że przekazanie pełnego protokołu nie byłoby konieczne. W związku z tym administrator naruszył zasadę minimalizacji danych.Link
1007HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-212 000,00 €Operator strony internetowejArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2.000 EUR na operatora strony internetowej za brak polityki prywatności na swojej stronie, co stanowiło naruszenie art. 13 RODO.Link
1006RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2022-01-203 000,00 €Kaufland România SCSArt. 15 (3) RODORumuński organ ochrony danych (ANSPDCP) nałożył na Kaufland Romania SCS grzywnę w wysokości 3 000 EUR. Organ ten wszczął dochodzenie na podstawie skargi osoby fizycznej, która twierdziła, że administrator danych nie dostarczył jej pełnej kopii nagrań wideo z pewnego okresu czasu, kiedy przebywała na terenie sklepu. Organ ochrony danych stwierdził, że administrator jest zobowiązany do ujawnienia obrazów wideo osoby, której dane dotyczą, po skorzystaniu przez nią z prawa dostępu oraz że administrator może ujawnić obrazy, podejmując w razie potrzeby środki w celu zamazania tych obrazów, które mogą naruszać prawa i wolności innych osób fizycznych.Link
1005WłochyGarante per la protezione dei dati personali (Garante)2021-12-1626 500 000,00 €Enel Energia S.p.AArt. 5 (1) a), d) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 130 (1), (2), (4) Codice della privacyWłoski organ ochrony danych (DPA) ukarał Enel Energia S.p.A grzywną w wysokości 26,5 mln euro za liczne naruszenia RODO. W wyniku wstępnego dochodzenia wszczętego po otrzymaniu setek zgłoszeń i skarg od użytkowników, organ ochrony danych stwierdził, że administrator danych nielegalnie przetwarzał dane osobowe milionów użytkowników do celów telemarketingu. Organ ochrony danych stwierdził między innymi, że osoby, których dane dotyczą, otrzymywały niezamówione telefony promocyjne w imieniu i na rzecz Enel Energia, w niektórych przypadkach nawet nagrane rozmowy. Niektóre z osób, których dane dotyczą, nadal otrzymywały telefony reklamowe, mimo że już kilkakrotnie zwracały się do Enel Energia o usunięcie swoich danych osobowych lub sprzeciwiały się ich przetwarzaniu do celów reklamowych. W szczególności, organ ochrony danych stwierdził, że Enel Energia nie przekazała osobom, których dane dotyczą, wymaganej i terminowej informacji zwrotnej na temat ich wniosków o skorzystanie z prawa dostępu i sprzeciwu. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo nie współpracowało w wystarczającym stopniu z organem ochrony danych podczas dochodzenia. Przykładowo, Enel Energia nie odpowiedziała na różne zapytania ze strony organu ochrony danych. Przy ustalaniu wysokości grzywny, organ ochrony danych uznał następujące czynniki za obciążające: powagę naruszeń, czas trwania i powtarzalność naruszeń, jak również dużą liczbę osób, których dotyczyły naruszenia oraz niedbalstwo w postępowaniu.Link
1004HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-142 400,00 €PHARMA TALENTS, S.L.U.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych osobowych nałożył grzywnę na PHARMA TALENTS, S.L.U. Osoba, której dane dotyczą, złożyła skargę przeciwko spółce po tym, jak na jednej ze stron internetowych spółki znalazła bazę danych zawierającą dane osobowe jej samej oraz setek innych pracowników służby zdrowia, w tym adres e-mail i numer telefonu. Zarówno strona internetowa, jak i baza danych były swobodnie dostępne. Organ ochrony danych stwierdził, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą, ponieważ dostęp do bazy danych nie wymagał nawet podania nazwy użytkownika i hasła. Pierwotna grzywna w wysokości 4 000 EUR została obniżona do 2 400 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
1003LuksemburgCommission nationale pour la protection des données (CNPD)2021-11-091 500,00 €NieznanyArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę grzywnę w wysokości 1.500 euro. Przedsiębiorstwo to zainstalowało system nadzoru wideo, aby jego klienci nie musieli czekać, gdy personel recepcji był nieobecny. Jednak kamery stale rejestrowały również fragmenty miejsc pracy dwóch pracowników. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto, organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO, poprzez brak odpowiedniego poinformowania pracowników i osób trzecich o nadzorze wideo.Link
1002HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-1815 000,00 €GARLEX SOLUTIONS, S.L.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na GARLEX SOLUTIONS, S.L. grzywnę w wysokości 15 000 EUR. Osoba, której dane dotyczą, otrzymała od spółki telefon z prośbą o przedłużenie umowy na dostawę energii elektrycznej. Następnie osoba, której dane dotyczą, otrzymała wiadomość SMS zawierającą link do umowy o dostawę energii elektrycznej, w której jej dane osobowe zostały już wprowadzone. Osoba, której dane dotyczą, nie potrafiła wyjaśnić, w jaki sposób spółka weszła w posiadanie tych danych, ponieważ nigdy ich nie dostarczyła i z pewnością nie wyraziła zgody na ich przetwarzanie.Link
1001LuksemburgCommission nationale pour la protection des données (CNPD)2021-12-016 800,00 €NieznanyArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę grzywnę w wysokości 6.800 euro. Przedsiębiorstwo to zainstalowało system nadzoru wideo w celu ochrony majątku firmy, zapobiegania wtargnięciu osób nieupoważnionych oraz zapobiegania wypadkom. Kamery zarejestrowały jednak również fragmenty miejsca pracy pracownika, palarni, z której pracownicy często korzystali oraz fragmenty przestrzeni publicznej. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto, organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODo, poprzez brak odpowiedniego poinformowania pracowników i osób trzecich o nadzorze wideo.Link
1000HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-171 500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 1.500 euro. Osoba ta zainstalowała w budynku mieszkalnym, w którym mieszka, kamery wideo, które rejestrowały m.in. wspólne obszary wszystkich mieszkańców. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
999HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-172 000,00 €MEETING PUERTO C.B.Art. 6 (1) RODOHiszpański organ ochrony danych nałożył na MEETING PUERTO C.B. grzywnę w wysokości 2 000 EUR. Administrator danych bezprawnie opublikował na Facebooku i Instagramie zdjęcie skarżącego z jego partnerką, któremu towarzyszyły obraźliwe komentarze.Link
998HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-141 500,00 €Osoba fizycznaArt. 5 (1) c) RODOWykorzystanie kamery CCTV, która rejestrowała również obcą przestrzeń prywatną sąsiada.Link
997HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-1856 000,00 €VODAFONE ESPAÑA, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE ESPAÑA, S.A.U. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, twierdzi, że na jej nazwisko zarejestrowano dwa numery telefoniczne. Jednakże osoba, której dane dotyczą, nigdy nie podpisała umów z firmą na żadne z tych numerów. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów z wykorzystaniem danych osobowych osoby, której dane dotyczą. Niemniej jednak, dane osobowe zostały wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowy zostały zawarte zgodnie z prawem i faktycznie przez osobę, której dane dotyczą, czy wyraziła ona zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych. Pierwotna grzywna w wysokości 70.000 EUR została zmniejszona do 56.000 EUR dzięki natychmiastowej zapłacie.Link
996MaltaInformation and Data Protection Commissioner (IDPC)2022-01-1765 000,00 €C-Planet (IT Solutions) LimitedArt. 5 (1) f) RODO, Art. 6 (1) RODO, Art. 9 (1), (2) RODO, Art. 14 RODO, Art. 32 RODO, Art. 33 RODO, Art. 34 RODOMaltański organ ochrony danych nałożył na C-Planet (IT Solutions) Limited grzywnę w wysokości 65 000 EUR. Organ ochrony danych wszczął dochodzenie przeciwko C-Planet w kwietniu 2020 r. po otrzymaniu informacji o naruszeniu ochrony danych. W wyniku tego organ ochrony danych zauważył, że C-Planet naruszył art. 6 (1) RODO, art. 9 (1), (2) RODO, art. 14 RODO i art. 5 ust. 1 lit. f) RODO w kontekście przetwarzania danych. Organ ochrony danych stwierdził również, że C-Planet nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do ryzyka i że doprowadziło to do naruszenia danych. Stanowi to naruszenie art. 32 RODO. Ponadto organ ochrony danych stwierdził, że administrator nie zgłosił naruszenia ochrony danych osobowych w wymaganym prawem terminie i nie poinformował o tym osób, których dane dotyczą. Stanowi to naruszenie art. 33 i art. 34 RODO.Link
995PortugaliaComissão Nacional de Protecção de Dados (CNPD)2021-12-211 250 000,00 €Rada Miasta LizbonaArt. 5 (1) a), c), e) RODO, Art. 6 RODO, Art. 9 (1) a) RODO, Art. 13 (1), (2) RODO, Art. 35 (3) RODOPortugalski organ ochrony danych osobowych nałożył na Radę Miejską Lizbony karę w wysokości 1,25 mln euro. Grzywna jest sumą 225 grzywien z różnych naruszeń popełnionych przez gminę od 2018 roku. Gmina wysłała 111 powiadomień o demonstracjach do różnych departamentów i biur w ramach gminy, a także do stron trzecich, aby zapewnić, że mogą one prawidłowo wykonywać swoje obowiązki publiczne. Zawiadomienia zawierały m.in. dane wrażliwe osób demonstrujących i organizatorów demonstracji. Dane te ujawniały m.in. poglądy polityczne, przekonania religijne lub filozoficzne oraz orientację seksualną osób, których dane dotyczą. Organ stwierdził, że przekazanie danych nie byłoby niezbędne do prawidłowego wykonywania zadań publicznych przez te podmioty. W związku z tym przetwarzanie danych odbywało się bez wystarczającej podstawy prawnej. Ponadto, organ ochrony danych stwierdził, że gmina dokonała przetwarzania bez poinformowania osób, których dane dotyczą, bez ustanowienia polityki w zakresie przechowywania ich danych osobowych oraz bez przeprowadzenia oceny skutków dla ochrony danych.Link
994BelgiaGegevensbeschermingsautoriteit (GBA)2021-12-1675 000,00 €BankArt. 38 (6) RODOBelgijski organ ochrony danych nałożył na bank grzywnę w wysokości 75 000 euro. Organ ochrony danych stwierdził konflikt interesów dotyczący inspektora ochrony danych. Oprócz pracy na stanowisku inspektora ochrony danych, był on również kierownikiem działu, któremu musiał składać sprawozdania w ramach pełnienia funkcji inspektora ochrony danych. Organ ochrony danych uznał to za naruszenie art. 38 (6) RODO.Link
993WłochyGarante per la protezione dei dati personali (Garante)2021-11-256 000,00 €Società H San Raffaele Resnati s.r.l.Art. 5 (1) f) RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 6 000 EUR na Società H San Raffaele Resnati s.r.l. Organ ochrony danych wszczął dochodzenie przeciwko dostawcy usług zdrowotnych po tym, jak zgłosił on naruszenie danych do organu ochrony danych. W wyniku błędu pracownika jeden z pacjentów omyłkowo otrzymał dokumentację medyczną i kliniczną dwóch innych pacjentów.Link
992WłochyGarante per la protezione dei dati personali (Garante)2021-12-0230 000,00 €Casa di cura Fondazione Gaetano e Piera Borghi s.r.l.Art. 5 (1) f) RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. grzywnę w wysokości 30.000 EUR. Dom opieki powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Placówka ucierpiała w wyniku cyberataku hakera, który uzyskał dostęp do danych osobowych i opublikował je. Obejmowało to publikację zdjęć radiologicznych pacjentów na swoim koncie na Twitterze. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że dom zabezpieczył dane jedynie za pomocą prostych haseł. Z tego powodu organ ochrony danych stwierdził, że dom nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom ochrony współmierny do ryzyka.Link
991WłochyGarante per la protezione dei dati personali (Garante)2021-12-027 000,00 €Società Med Store Saronno s.r.l.Art. 5 (1) f) RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na Società Med Store Saronno s.r.l. grzywnę w wysokości 7.000 EUR. Dom opieki powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Placówka ucierpiała w wyniku cyberataku hakera, który uzyskał dostęp do danych osobowych i opublikował je. Obejmowało to publikację zdjęć radiologicznych pacjentów na swoim koncie na Twitterze. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że dom zabezpieczył dane jedynie za pomocą prostych haseł. Z tego powodu organ ochrony danych stwierdził, że dom nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom ochrony współmierny do ryzyka.Link
990GrecjaHellenic Data Protection Authority (HDPA)2021-12-2975 000,00 €
Ministerstwo Turystyki Grecji
Art. 13 RODO, Art. 32 RODO, Art. 33 RODO, Art. 37 RODOGrecki organ ochrony danych osobowych nałożył na greckie Ministerstwo Turystyki grzywnę w wysokości 75 000 euro. W urzędzie tym doszło do naruszenia ochrony danych. Według organu ochrony danych próba wprowadzenia przez obywatela swoich danych uwierzytelniających na platformie internetowej urzędu spowodowała wyświetlenie cudzych danych uwierzytelniających, w tym imienia i nazwiska, numeru identyfikacji podatkowej, numeru ubezpieczenia społecznego, adresu pocztowego, numeru telefonu, adresu e-mail oraz pól wskazujących na niepełnosprawność. Organ ochrony danych stwierdził, że ministerstwo nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych. Ministerstwo nie zgłosiło tego incydentu do organu ochrony danych. Organ ochrony danych uznał to za naruszenie art. 33 RODO. Dochodzenie prowadzone przez organ ochrony danych wykazało również, że Ministerstwo Turystyki nie wyznaczyło inspektora ochrony danych, mimo że na wspomnianej platformie podano adres e-mail inspektora ochrony danych tego organu do komunikacji z użytkownikami platformy. Jak się okazało, ten adres e-mail nie był aktywny.Link
989HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-131 500,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.500 euro. Administrator zainstalował kamery monitoringu, które między innymi obejmowały przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny. Grzywna składa się z 1.000 EUR za naruszenie art. 5 (1) c) RODO oraz 500 EUR za naruszenie art. 13 RODO.Link
988AustriaÖsterreichische Datenschutzbehörde (DSB)2022-01-148 000 000,00 €REWE International AGNieznanaAustriacki urząd ochrony danych (DPA) nałożył na REWE International AG karę w wysokości 8 milionów euro. Zaledwie latem 2021 r. spółka zależna "Unser Ö-Bonus Club GmbH" została ukarana grzywną w wysokości 2 mln EUR. Według gazety "Salzburger Nachrichten" grzywna wynika z różnych naruszeń RODO. Dalsze szczegóły dotyczące tego incydentu nie są w tej chwili znane.Link
987IrlandiaData Protection Commission (DPC)2021-12-0260 000,00 €Irlandzka Rada NauczycieliArt. 5 (1) RODO, Art. 32 (1) RODO, Art. 33 RODOIrlandzki organ ochrony danych nałożył na Irlandzką Radę Nauczycieli grzywnę w wysokości 60 000 EUR. Rada powiadomiła organ ochrony danych o naruszeniu ochrony danych na mocy art. 33 RODO. W związku z tym dwóch pracowników Rady uzyskało dostęp do wiadomości phishingowej, która umożliwiła im skonfigurowanie systemu automatycznego przekierowania z ich kont e-mail na złośliwe konto e-mail. W rezultacie w okresie od 17 lutego 2020 r. do 6 marca 2020 r. na nieautoryzowany zewnętrzny adres e-mail przesłano 323 wiadomości e-mail. E-maile zawierały dane osobowe 9 735 osób, których dane dotyczą, oraz wrażliwe dane osobowe jednej osoby, której dane dotyczą. W związku z tym organ ochrony danych stwierdził, że Rada nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony danych osobowych osób, których dane dotyczą, proporcjonalnego do ryzyka. Ponadto organ ochrony danych stwierdził, że Rada nie zgłosiła naruszenia ochrony danych w odpowiednim czasie.Link
986GrecjaHellenic Data Protection Authority (HDPA)2021-12-3130 000,00 €INFO COMMUNICATION SERVICESArt. 13 RODO, Art. 14 RODO, Art. 11 Law 3471/2006Grecki organ ochrony danych nałożył na INFO COMMUNICATION SERVICES grzywnę w wysokości 30.000 euro. Administrator prowadził rozmowy reklamowe bez zgody osób, których dane dotyczą. Ponadto, nie poinformował on w odpowiedni sposób osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, naruszając tym samym swoje obowiązki informacyjne.Link
985GrecjaHellenic Data Protection Authority (HDPA)2021-12-3125 000,00 €PLUS REAL ADVERTISEMENTArt. 13 RODO, Art. 14 RODO, Art. 11 Law 3471/2006Grecki organ ochrony danych osobowych nałożył na PLUS REAL ADVERTIS grzywnę w wysokości 25 000 EUR. Administrator przeprowadził rozmowy reklamowe bez zgody osób, których dane dotyczą. Ponadto nie poinformował on odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, naruszając tym samym swoje obowiązki informacyjne.Link
984PolskaUrząd ochrony danych osobowych (UODO)2021-12-0910 000,00 €Politechnika WarszawskaArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODOUODO nałożył na Politechnikę Warszawską karę pieniężną w wysokości 10 000 euro. Uczelnia zgłosiła organowi naruszenie ochrony danych osobowych zgodnie z art. 33 RODO. Jedna z jednostek organizacyjnych uczelni korzystała z aplikacji stworzonej przez pracowników uczelni do rejestracji na kursy i dostępu do historii nauczania, oceny wyników egzaminów i rozliczania opłat. Na początku stycznia 2020 r. osoba nieuprawniona pobrała z aplikacji bazę danych, która zawierała dane osobowe studentów i wykładowców (ponad 5 tys. osób). W swoim dochodzeniu organ ochrony danych stwierdził, że Politechnika nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które zapewniłyby bezpieczeństwo danych osobowych. Urząd Ochrony Danych Osobowych stwierdził również, że Politechnika Warszawska nie przeprowadziła formalnej oceny ryzyka.Link i Link
983HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-119 000,00 €EDUCANDO JUNTOS SLArt. 6 (1) RODO, Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na EDUCANDO JUNTOS SL grzywnę w wysokości 9 000 EUR. Administrator danych opublikował zdjęcia pracownika na niektórych swoich kanałach w sieciach społecznościowych oraz na swojej stronie internetowej. Administrator opublikował jednak te zdjęcia bez uzyskania zgody osoby, której dane dotyczą. Z tego powodu osoba, której dane dotyczą, wielokrotnie zwracała się o usunięcie zdjęć z portali społecznościowych i strony internetowej. Administrator danych nie zastosował się jednak do tego żądania. Grzywna składa się z 6.000 EUR za naruszenie art. 6 (1) RODO oraz 3.000 EUR za naruszenie art. 17 RODO.Link
982HiszpaniaAgencia Española de Protección de Datos (AEPD)2022-01-113 000,00 €Wspólnota mieszkaniowaArt. 5 (1) c) RODOWykorzystanie kamery telewizji przemysłowej, która uchwyciła również drogi publiczne na zewnątrz, co stanowi naruszenie tzw. zasady minimalizacji danych.Link
981GrecjaHellenic Data Protection Authority (HDPA)2022-01-051 000,00 €Εγνατία Οδός Α.Ε.Art. 12 (3) GDPRGrecki organ ochrony danych nałożył na Εγνατία Οδός Α.Ε. grzywnę w wysokości 1 000 EUR. Spółka ta stosowała system nadzoru wideo w celu monitorowania uiszczania opłat za przejazd. Właściciel samochodu, który otrzymał grzywnę za nieuiszczenie opłaty za przejazd, skorzystał z prawa do informacji przyznanego mu na mocy RODO. Zażądał materiału fotograficznego, który został zarejestrowany w kontekście grzywny. Zażądał również otrzymania kopii dokumentacji zdarzenia. Przedsiębiorstwo odmówiło jednak udzielenia tych informacji osobie, której dane dotyczą. Dopiero po interwencji organu ochrony danych przedsiębiorstwo dostarczyło informacje, ale bez załączenia materiału fotograficznego. Z tego powodu organ ochrony danych stwierdził naruszenie art. 12 (3) RODO.Link
980FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-12-3160 000 000,00 €Facebook Ireland Ltd.Art. 82 loi Informatique et LibertésW dniu 31 grudnia 2021 r. francuski organ ochrony danych osobowych (CNIL) nałożył na Facebook Ireland Ltd. karę w wysokości 60 000 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu, w jaki można odrzucić pliki cookie na stronie internetowej Facebook.com. CNIL dokonał następnie przeglądu stron internetowych i stwierdził, że chociaż strony internetowe oferowały przycisk umożliwiający natychmiastową akceptację plików cookie, nie istniało równoważne rozwiązanie, które pozwalałoby internaucie w równie prosty sposób odrzucić składowanie plików cookie. Odrzucenie wszystkich plików cookie wymagało raczej kilku kliknięć, w przeciwieństwie do jednego kliknięcia w celu ich zaakceptowania. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy częściej akceptowaliby umieszczanie plików cookie ze względu na wygodę. Uznała ona, że konstrukcja taka narusza swobodę wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i swobodach. Przy ustalaniu wysokości grzywny wzięto pod uwagę fakt, że problem dotyczył dużej liczby osób, co stanowi okoliczność obciążającą. Ponadto CNIL wziął pod uwagę znaczne zyski, jakie przedsiębiorstwa mogły osiągnąć z dochodów z reklam generowanych pośrednio dzięki danym gromadzonym za pomocą plików cookie. CNIL zwróciła również uwagę na fakt, że organ już w lutym 2021 r. ostrzegał firmę o tym naruszeniu. Oprócz grzywny CNIL wydał nakaz zobowiązujący firmy do udostępnienia internautom we Francji sposobu na odrzucanie plików cookies tak łatwo, jak mogą je akceptować, w ciągu trzech miesięcy od powiadomienia o decyzji. W przeciwnym razie firmy będą musiały zapłacić karę w wysokości 100 tys. euro za każdy dzień zwłoki.Link i Link
979FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-12-3160 000 000,00 €Google Ireland Ltd.Art. 82 loi Informatique et LibertésW dniu 31 grudnia 2021 r. francuski organ ochrony danych osobowych (CNIL) nałożył na Google Ireland Ltd. karę w wysokości 60 000 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu, w jaki można odrzucić pliki cookie na stronach internetowych google.fr i youtube.com. CNIL dokonał następnie przeglądu stron internetowych w trybie online i stwierdził, że chociaż strony internetowe oferowały przycisk umożliwiający natychmiastową akceptację plików cookie, nie istniało równoważne rozwiązanie, które pozwalałoby internaucie w równie prosty sposób odrzucić składowanie plików cookie. Odrzucenie wszystkich plików cookie wymagało raczej kilku kliknięć, w przeciwieństwie do jednego kliknięcia w celu ich zaakceptowania. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy częściej akceptowaliby umieszczanie plików cookie z wygody. Uznała ona, że konstrukcja taka ingeruje w swobodę wyrażania zgody przez użytkowników Internetu i stanowi naruszenie art. 82 francuskiej ustawy o informatyce i swobodach. Przy ustalaniu wysokości grzywny wzięto pod uwagę fakt, że problem dotyczył dużej liczby osób, co stanowi okoliczność obciążającą. Ponadto CNIL wziął pod uwagę znaczne zyski, jakie przedsiębiorstwa mogły osiągnąć z dochodów z reklam generowanych pośrednio dzięki danym gromadzonym za pomocą plików cookie. CNIL zwróciła również uwagę na fakt, że już w lutym 2021 r. organ ostrzegał firmy GOOGLE o tym naruszeniu. Oprócz grzywny CNIL wydał nakaz zobowiązujący firmę do udostępnienia internautom we Francji sposobu na odrzucanie ciasteczek z taką samą łatwością, z jaką mogą je akceptować, w ciągu trzech miesięcy od otrzymania powiadomienia o decyzji. W przeciwnym razie firmy będą musiały zapłacić karę w wysokości 100 000 euro za każdy dzień opóźnienia.Link i Link
978FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-12-3190 000 000,00 €Google LLCArt. 82 loi Informatique et LibertésW dniu 31 grudnia 2021 r. francuski organ ochrony danych osobowych (CNIL) nałożył na GOOGLE LLC karę w wysokości 90 000 000 EUR. CNIL otrzymał kilka skarg dotyczących sposobu, w jaki można odrzucić pliki cookie na stronach internetowych google.fr i youtube.com. CNIL dokonał następnie przeglądu stron internetowych w trybie online i stwierdził, że chociaż strony internetowe oferowały przycisk umożliwiający natychmiastową akceptację plików cookie, nie istniało równoważne rozwiązanie, które pozwalałoby internaucie w równie prosty sposób odrzucić składowanie plików cookie. Odrzucenie wszystkich plików cookie wymagało raczej kilku kliknięć, w przeciwieństwie do jednego kliknięcia w celu ich zaakceptowania. Na tej podstawie CNIL doszedł do wniosku, że użytkownicy częściej akceptowaliby umieszczanie plików cookie ze względu na wygodę. Uznała ona, że konstrukcja taka 82 francuskiej ustawy o informatyce i swobodach. Przy ustalaniu wysokości grzywny wzięto pod uwagę fakt, że problem dotyczył dużej liczby osób, co stanowi okoliczność obciążającą. Ponadto CNIL wziął pod uwagę znaczne zyski, jakie przedsiębiorstwa mogły osiągnąć z dochodów z reklam generowanych pośrednio dzięki danym gromadzonym za pomocą plików cookie. CNIL zwróciła również uwagę na fakt, że już w lutym 2021 r. organ ostrzegał firmy GOOGLE o tym naruszeniu. Oprócz grzywny CNIL wydał nakaz zobowiązujący firmę do udostępnienia internautom we Francji sposobu na odrzucanie ciasteczek z taką samą łatwością, z jaką mogą je akceptować, w ciągu trzech miesięcy od otrzymania powiadomienia o decyzji. W przeciwnym razie firmy będą musiały zapłacić karę w wysokości 100 000 euro za każdy dzień opóźnienia.Link i Link
977RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-12-066 000,00 €Telekom Romania Communications SAArt. 5 (1) d), f) RODO, Art. 5 (2) RODO, Art. 17 RODORumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Communications SA grzywnę w wysokości 6.000 EUR. Osoba, której dane dotyczą, złożyła skargę, że administrator danych wysyłał na jej adres e-mail faktury i wiadomości informujące ją o zaległościach płatniczych innej osoby. W trakcie dochodzenia organ ochrony danych ustalił, że administrator błędnie gromadził i przetwarzał pewne dane osobowe, co doprowadziło do bezprawnego ujawnienia danych osobowych. Jednocześnie organ ochrony danych stwierdził, że administrator nie podjął niezbędnych środków w celu spełnienia wniosku osoby, której dane dotyczą, o usunięcie jej danych osobowych. Grzywna składa się proporcjonalnie z 5.000 EUR za naruszenie Art. 5 (1) d), f) RODO, Art. 5 (2) RODO i 1.000 EUR za naruszenie art. 17 RODO.Link
976WłochyGarante per la protezione dei dati personali (Garante)2021-11-11150 000,00 €TIM S.p.A.Art. 15 RODOWłoski organ ochrony danych (Garante) ukarał operatora sieci komórkowej TIM S.p.A. grzywną w wysokości 150 000 EUR za odmowę osobie, której dane dotyczą, dostępu do danych dotyczących jej telefonu, potrzebnych do obrony w sprawie karnej. Ponieważ osoba, której dane dotyczą, nie otrzymała odpowiedzi na wielokrotne wnioski kierowane do przedsiębiorstwa, zwróciła się do organu ochrony danych, aby uzyskać dane w terminie umożliwiającym jej udział w rozprawie w postępowaniu karnym.Link
975WłochyGarante per la protezione dei dati personali (Garante)2021-12-0230 000,00 €Ica s.r.l.Art. 5 (1) f) RODO, Art. 32 RODOWłoski urząd ochrony danych (Garante) ukarał ICA s.r.l. grzywną w wysokości 30.000 euro. Gmina Collegno wdrożyła system opracowany przez ICA, za pomocą którego obywatele mogli płacić grzywny za wykroczenia drogowe. Jednak ze względu na brak środków bezpieczeństwa teoretycznie możliwy był dostęp osób nieuprawnionych do danych osobowych przechowywanych za pośrednictwem programu. Z tego powodu organ ochrony danych stwierdził, że ICA nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa współmierny do ryzyka, jakie stanowiły dla osoby, której dane dotyczą.Link
974NorwegiaDatatilsynet2021-12-1320 000,00 €Elektro & Automasjon Systemer ASArt. 6 (1) f) RODONorweski organ ochrony danych (Datatilsynet) ukarał Elektro & Automasjon Systemer AS grzywną w wysokości 20 000 EUR. Administrator danych przeprowadził kontrolę kredytową osoby fizycznej, mimo że nie było ku temu podstawy prawnej.Link
973HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-282 000,00 €SklepArt. 13 RODOHiszpański organ ochrony danych nałożył na kierownika call shopu grzywnę w wysokości 2.000 euro. W związku z ogłoszeniem o naborze na stanowisko kierownika, kierownik ten utworzył stanowisko, na którym kandydaci mogli składać swoje dokumenty aplikacyjne za opłatą w wysokości jednego euro. W tym kontekście kierownik nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, jak wymaga tego art. 13 RODO.Link
972FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-12-28300 000,00 €FREE MOBILEArt. 12 RODO, Art. 15 RODO, Art. 21 RODO, Art. 25 RODO, Art. 32 RODOFrancuski organ ochrony danych (CNIL) nałożył na FREEE MOBILE grzywnę w wysokości 300 000 euro. CNIL otrzymał liczne skargi dotyczące nieprzestrzegania przez spółkę praw osób, których dane dotyczą. Podczas dochodzenia CNIL stwierdziła, że spółka nie odpowiedziała w terminie na wnioski osób, których dane dotyczą. Ponadto przedsiębiorstwo nie przestrzegało prawa do sprzeciwu przysługującego osobom, których dane dotyczą, ponieważ nadal wysyłało reklamy do tych osób, mimo że skorzystały one z prawa do sprzeciwu. Ponadto CNIL stwierdził, że przedsiębiorstwo nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. Przykładowo, przesyłała użytkownikom hasła pocztą elektroniczną w postaci czystego tekstu.Link i Link
971FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-12-28180 000,00 €SLIMPAYArt. 28 RODO, Art. 32 RODO, Art. 34 RODOFrancuski organ ochrony danych osobowych (CNIL) nałożył na instytucję płatniczą SLIMPAY grzywnę w wysokości 180 tys. euro. W 2015 r. firma SLIMPAY prowadziła wewnętrzny projekt badawczy, w ramach którego przetwarzała dane osobowe w swoich bazach danych. Po zakończeniu projektu badawczego w lipcu 2016 r. dane te pozostały przechowywane na serwerze, bez żadnych zabezpieczeń i swobodnie dostępne w Internecie. Naruszenie danych dotyczyło około 12 milionów osób. Podczas swojego dochodzenia CNIL stwierdziła, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom bezpieczeństwa współmierny do ryzyka dla osób, których dane dotyczą. W związku z tym dostęp do serwera nie podlegał żadnym środkom bezpieczeństwa, tak że możliwy był dostęp do niego przez Internet w okresie od listopada 2015 r. do lutego 2020 r. Ponadto organ ochrony danych stwierdził, że firma nie poinformowała osób, których dane dotyczą, o naruszeniu danych. CNIL stwierdziła również, że w kilku przypadkach umowy, które firma zawarła z podmiotami przetwarzającymi, były nieodpowiednio sporządzone, ponieważ nie zawierały pewnych przewidzianych klauzul zobowiązujących podmioty przetwarzające do przetwarzania danych osobowych zgodnie z wymogami RODO.Link i Link
970HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-286 000,00 €REAL CLUB NÁUTICO DE RIBADEOArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na REAL CLUB NÁUTICO DE RIBADEO grzywnę w wysokości 6 000 EUR. Administrator umieścił na swojej stronie internetowej i na Facebooku linki do orzeczeń sądowych zawierających dane osobowe osoby, której dane dotyczą.Link
969HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-282 000,00 €VENTANAS MAKE YOURSELF, S.L.Art. 13 RODOStrona korporacyjna nie zawierała polityki prywatności na swojej głównej stronie.Link
968HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-1660 000,00 €Banco Bilbao Vizcaya Argentaria S.A.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Banco Bilbao Vizcaya Argentaria S.A. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator wielokrotnie wysyłał jej wiadomości SMS o braku płatności, mimo że nie łączył jej z administratorem żaden stosunek umowny. Administrator stwierdził, że niechciane wiadomości SMS były wysyłane z powodu błędu ludzkiego jego pracowników. Pierwotna grzywna w wysokości 100 000 EUR została obniżona do 60 000 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
967HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-225 000,00 €HUBSIDE IBÉRICA S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na HUBSIDE IBÉRICA S.L. grzywnę w wysokości 5.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych na administratora danych za obciążenie jej kosztami kilku usług, których nie zamawiała.Link
966HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-225 000,00 €Sfam España General s.l.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Sfam España General s.l. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych za obciążenie jej kosztami kilku usług, których nie zamówiła.Link
965HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-216 000,00 €Osoba fizycznaArt. 6 (1) RODOHiszpański organ ochrony danych osobowych nałożył na osobę fizyczną grzywnę w wysokości 6.000 euro. Osoba ta udostępniła na Twitterze nagranie wideo przedstawiające obrazy napaści seksualnej mężczyzny na kobietę. Celem udostępnienia filmu było zwrócenie uwagi na przemoc domową wobec kobiet. Zgodnie z ustawą o ochronie danych osobowych udostępnienie filmu jest bezprawne. Nawet jeśli dana osoba mogła mieć uzasadniony interes w udostępnieniu filmu, prawo ofiary do prywatności przeważa.Link
964HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-231 500,00 €LA OFICINA BARArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na LA OFICINA BAR. Bar ten stosował system nadzoru wideo, w którym kąt obserwacji kamer rozciągał się na obszar ruchu publicznego. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych.Link
963HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-174 000,00 €CLUB DEPORTIVO RITMO DE ANDALUCÍAArt. 7 RODO, Art. 13 RODOHiszpański organ ochrony danych nałożył na CLUB DEPORTIVO RITMO DE ANDALUCÍA grzywnę w wysokości 2.000 EUR. Organ ochrony danych wskazał, że informacja o ochronie danych osobowych administratora nie spełniała wymogów RODO. Tym samym informacje wymagane zgodnie z art. 13 RODO nie zostały przekazane w wystarczającym stopniu. Ponadto klauzule dotyczące ochrony danych nie zapewniały możliwości wyrażenia zgody na przetwarzanie danych.Link
962HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-212 000,00 €FUNDACION ESPANOLA DE MEDICINA ESTETICA Y LONGEVIDADArt. 7 RODO, Art. 13 RODOHiszpański organ ochrony danych nałożył grzywnę w wysokości 2 000 EUR na FUNDACION ESPANOLA DE MEDICINA ESTETICA Y LONGEVIDAD. Organ ochrony danych wskazał, że informacja o ochronie danych osobowych administratora nie spełniała wymogów RODO. Tym samym informacje wymagane zgodnie z art. 13 RODO nie zostały przekazane w wystarczającym stopniu. Ponadto klauzule dotyczące ochrony danych nie zapewniały możliwości wyrażenia zgody na przetwarzanie danych.Link
961AustriaÖsterreichische Datenschutzbehörde (DSB)2021-08-05600,00 €Osoba fizycznaArt. 9 RODOAustriacki organ ochrony danych nałożył na osobę fizyczną grzywnę w wysokości 600 EUR. Osoba fizyczna przesłała pracodawcy osoby, której dane dotyczą, dokument uzyskany w sprawie sądowej między osobą, której dane dotyczą, a nią samą. Dokument ten zawierał informacje dotyczące danych zdrowotnych osoby, której dane dotyczą. Osoba, której dane dotyczą, w żadnym momencie nie wyraziła zgody na przekazanie dokumentu swojemu pracodawcy.Link
960NorwegiaDatatilsynet2021-12-173 900,00 €T. Stene Transport ASNieznanaNorweski organ ochrony danych ukarał firmę T. Stene Transport AS grzywną w wysokości 3 900 EUR za nieuczciwe sprawdzenie zdolności kredytowej osoby, której dane dotyczą.Link
959HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-172 000,00 €Sprzedawca internetowyArt. 6 RODOHiszpański organ ochrony danych osobowych nałożył na sprzedawcę internetowego grzywnę w wysokości 2 000 EUR. Osoba, której dane dotyczą, kupiła produkt w sklepie internetowym administratora za pośrednictwem eBay i zapłaciła za pomocą Paypal. Zamówienie otrzymał jednak za pośrednictwem Amazon. Ponieważ osoba, której dane dotyczą, nie wyraziła zgody na przekazanie swoich danych do Amazon, organ ochrony danych stwierdził, że administrator przetwarzał dane niezgodnie z prawem.Link
958HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-172 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 2.000 euro. Administrator danych zainstalował kamery wideo w taki sposób, że mogły one rejestrować obrazy przestrzeni publicznej i wejścia do budynku mieszkalnego. AEPD uznał to za naruszenie zasady minimalizacji danych.Link
957GrecjaHellenic Data Protection Authority (HDPA)2021-12-0830 000,00 €One Way Private CompanyArt. 28 (3) c) RODO, Art. 32 (2), (4) RODO, Art. 11 (1) Νόμος 3471/2006Grecki organ ochrony danych nałożył na One Way Private Company grzywnę w wysokości 30 000 EUR. Do organu ochrony danych wpłynęło 17 skarg dotyczących nielegalnych połączeń telefonicznych w celach reklamowych. Organ ochrony danych ustalił, że z powodu błędu w aplikacji administratora danych przeprowadzono rozmowy telefoniczne z abonentami znajdującymi się na liście chroniącej przed niezamówioną reklamą telefoniczną "Rejestr 11". Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą.Link
956HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-1450 000,00 €IZA OBRAS Y PROMOCIONES, S.A.Art. 5 (1) c) RODOHiszpański organ ochrony danych ukarał IZA OBRAS Y PROMOCIONES, S.A. grzywną w wysokości 50.000 EUR. Pracownik złożył skargę do organu ochrony danych przeciwko spółce, twierdząc, że administrator danych nieuprawnienie udostępnił jego dane osobowe innej spółce, od której otrzymał zlecenie na budowę. Osoba, której dane dotyczą, pracowała przy projekcie jako kierownik budowy, ale była przez pewien czas nieobecna w pracy z powodu choroby. Administrator poinformował zatem swojego klienta i dodatkowo ujawnił adres e-mail osoby, której dane dotyczą, oraz pewne informacje o stanie zdrowia. Organ ochrony danych stwierdził, że ujawnienie tych danych nie byłoby konieczne i że w związku z tym administrator naruszył zasadę minimalizacji danych.Link
955WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-10-2713 500,00 €Importer samochodówArt. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 13 RODOWęgierski organ ochrony danych nałożył na importera samochodów karę w wysokości 13 500 euro. Klient jednego z autoryzowanych warsztatów naprawczych spółki złożył skargę do organu ochrony danych osobowych w związku z otrzymywaniem od spółki niezamówionych wiadomości e-mail dotyczących ankiet dla klientów po dokonaniu przeglądu samochodu. Węgierski organ ochrony danych stwierdził, że administrator nie miał ważnej podstawy prawnej do skontaktowania się z osobą, której dane dotyczą. Stwierdził również, że administrator nie wywiązał się ze swojego obowiązku informacyjnego na mocy art. 12 RODO i art. 13 RODO. Na przykład e-maile nie zawierały żadnych informacji kontaktowych administratora danych.Link
954DaniaDatatilsynet2021-12-1613 450,00 €Gmina FrederiksbergArt. 32 RODODuński organ ochrony danych osobowych nałożył na gminę Frederiksberg grzywnę w wysokości 13 450 EUR. W dniu 1 marca 2021 r. gmina zgłosiła naruszenie danych na mocy art. 33 RODO. Usługi stomatologiczne w gminie były obsługiwane przez system, za pośrednictwem którego rodzice mogli uzyskać dostęp online do informacji o opiece stomatologicznej swoich dzieci. Następnie gmina rozszerzyła ten dostęp na rodziców sprawujących wspólną opiekę nad dzieckiem. W rezultacie w kilku przypadkach rodzice uzyskali dostęp do informacji o drugim rodzicu i adresie dziecka, mimo że rodzic i dziecko, których to dotyczyło, byli zarejestrowani z ochroną nazwisk i adresów. Organ ochrony danych uznał to za naruszenie obowiązku gminy do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą.Link
953HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-161 200,00 €Osoba fizycznaArt. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 1.200 euro za niedostarczenie wystarczających informacji na temat systemu nadzoru wideo zainstalowanego w jej posiadłości.Link
952FinlandiaTietosuojavaltuutetun Toimisto2021-12-07608 000,00 €Psykoterapiakeskus VastaamoArt. 5 (1) f) RODO, Art. 33 (1) RODO, Art. 34 (1) RODOFiński organ ochrony danych osobowych ukarał ośrodek psychoterapii Vastaamo grzywną w wysokości 608 tys. euro. We wrześniu 2020 r. ośrodek psychoterapii zgłosił do organu ochrony danych atak na swoją bazę danych pacjentów. Nieuprawniona osoba trzecia uzyskała dostęp do bazy danych medycznych Vastaamo co najmniej dwukrotnie, w grudniu 2018 r. i marcu 2019 r. Napastnik pobrał również dane i zostawił na serwerach wiadomość z żądaniem okupu. Ze względu na niewystarczające logi nie udało się zidentyfikować ani dokładnej daty naruszenia, ani adresów sieciowych używanych przez atakującego. Najbardziej prawdopodobną przyczyną wycieku danych z bazy medycznej był niezabezpieczony port w bazie danych, gdzie konto użytkownika root bazy danych nie było chronione hasłem. Serwer bazy danych pacjentów był otwarty na Internet bez ochrony firewall w okresie od 26 listopada 2017 r. do 13 marca 2019 r. Z tego powodu organ ustalił, że dane osobowe nie były odpowiednio zabezpieczone przed niedozwolonym i niezgodnym z prawem przetwarzaniem lub przypadkową utratą, zniszczeniem lub uszkodzeniem, a administrator nie wdrożył podstawowych środków bezpiecznego przetwarzania danych osobowych. W ramach swojego dochodzenia organ ochrony danych ustalił również, że administrator musiał wiedzieć już w marcu 2019 r., że dane w systemie informacji o pacjentach zostały utracone i mogły zostać narażone na szwank przez zewnętrznego napastnika. Vastaamo powinno było natychmiast zgłosić naruszenie bezpieczeństwa zarówno do organu ochrony danych osobowych, jak i do swoich pacjentów. Vastaamo jednak znacznie spóźniło się z wypełnieniem tego obowiązku. Grzywna składa się proporcjonalnie z kwoty 145 600 EUR za naruszenie art. 33 (1) RODO, 145 600 EUR za naruszenie art. 34 (1) RODO oraz 316 800 EUR za naruszenie art. 5 ust. 1 lit. f) RODO.Link
951AustriaÖsterreichische Datenschutzbehörde (DSB)2021-02-123 000,00 €NieznanyArt. 31 RODOAustriacki organ ochrony danych ukarał przedsiębiorstwo grzywną w wysokości 3 000 EUR za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia.Link
950NorwegiaDatatilsynet2021-12-136 300 000,00 €Grindr LLCArt. 6 (1) RODO, Art. 9 (1) RODONorweski urząd ochrony danych osobowych ukarał Grindr LLC grzywną w wysokości 6,3 mln euro. Grindr to oparta na lokalizacji aplikacja społecznościowa przeznaczona dla gejów, osób bi, trans i queer. W 2020 r. norweski urząd ochrony konsumentów złożył skargę przeciwko Grindr do norweskiego organu ochrony danych, zarzucając, że portal udostępnił informacje o lokalizacji GPS użytkowników, adresie IP, identyfikatorze reklamowym telefonu komórkowego, wieku i płci kilku stronom trzecim w celach marketingowych. Zgodnie z RODO do udostępniania tych danych osobowych wymagana jest zgoda. Jednak podczas swojego dochodzenia organ stwierdził, że zgoda zebrana przez Grindr nie była ważna. Użytkownicy musieli zaakceptować politykę prywatności, aby móc korzystać z aplikacji, ale nie zostali wyraźnie zapytani, czy zgadzają się na udostępnianie ich danych stronom trzecim w celach marketingowych. Ponadto informacje o ujawnieniu danych osobowych nie były wystarczająco jasne lub dostępne dla użytkowników. Organ ochrony danych zwraca uwagę, że tego typu dane mogą identyfikować użytkownika Grindr jako członka mniejszości seksualnej. Użytkownicy Grindr chcieliby czasem korzystać z aplikacji anonimowo, nie podając np. swojego imienia i nazwiska lub przesyłając swoje zdjęcie. W związku z tym, w przypadku orientacji seksualnej użytkowników, naruszona została również szczególna kategoria danych osobowych, która podlega szczególnie wysokiemu poziomowi ochrony. Dlatego też organ ochrony danych uważa to naruszenie za szczególnie poważny przypadek, który uzasadnia odstraszająco wysoką grzywnę. Modele biznesowe oparte na marketingu behawioralnym są szeroko rozpowszechnione w gospodarce cyfrowej, dlatego ważne jest, aby grzywny za naruszenia RODO miały charakter odstraszający.Link
949RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-12-132 000,00 € SC Nobiotic Pharma SRLArt. 58 (1) RODONieprzekazanie żądanych informacji rumuńskiemu organowi ochrony danych w wymaganym terminie z naruszeniem art. 58 RODO.Link
948NorwegiaDatatilsynet2021-11-2498 000,00 €Norweski Państwowy Fundusz Emerytalny (SPK)Art. 5 (1) c), e) RODO, Art. 6 (1) RODO, Art. 9 (2) RODONorweski Urząd Ochrony Danych nałożył na Norweski Państwowy Fundusz Emerytalny (SPK) grzywnę w wysokości 98 000 EUR. Administrator danych powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Organ ochrony danych stwierdził, że administrator danych od 2016 r. bezprawnie gromadził pewne informacje o dochodach. Na przykład administrator gromadził informacje dotyczące zdrowia w zakresie renty inwalidzkiej, chociaż nie było to wymagane. Incydenty te dotyczyły około 24 000 osób fizycznych. Ponadto, organ ochrony danych stwierdził, że SPK nie wdrożył rutynowych działań w celu przeglądu i usunięcia nadmiernie zebranych informacji do 2019 r.Link
947BelgiaGegevensbeschermingsautoriteit (GBA)2021-12-0810 000,00 €NieznanyArt. 12 (3) RODO, Art. 14 (1), (2), (3) RODO, Art. 15 RODO, Art. 17 (1) c) RODO, Art. 21 (2) RODOBelgijski organ ochrony danych nałożył na przedsiębiorstwo grzywnę w wysokości 10 000 euro. Osoba, której dane dotyczą, wielokrotnie otrzymywała od przedsiębiorstwa pocztę o treści reklamowej, mimo że sprzeciwiła się przetwarzaniu swoich danych osobowych i zażądała ich usunięcia. Przedsiębiorstwo nie odpowiedziało jednak na zapytania organu ochrony danych w tym zakresie. Ponadto przedsiębiorstwo nie poinformowało w wystarczający sposób osoby, której dane dotyczą, o przetwarzaniu jej danych osobowych.Link
946NiderlandyAutoriteit Persoonsgegevens (AP)2021-11-252 750 000,00 €Niderlandzki minister finansówArt. 5 (1) a) RODO, Art. 6 (1) e) RODO, Art. 8 WbpNiderlandzki urząd ochrony danych (DPA) ukarał ministra finansów grzywną w wysokości 2,75 mln euro. W kontekście wniosków o zasiłek na opiekę nad dzieckiem urzędy skarbowe przez kilka lat przetwarzały dane dotyczące podwójnego obywatelstwa wnioskodawców. Urząd Ochrony Danych stwierdził jednak, że dane dotyczące podwójnego obywatelstwa obywateli niderlandzkich nie byłyby konieczne przy ocenie wniosku o zasiłek wychowawczy. Wspomniane dane były również przetwarzane w celu zwalczania zorganizowanych oszustw oraz w celu automatycznej klasyfikacji w systemie ryzyka stosowanym przez organ. Jednak nawet dla tych celów przetwarzanie danych nie byłoby konieczne. Z tego powodu administracja podatkowa i celna powinna była usunąć dane dotyczące podwójnego obywatelstwa już w styczniu 2014 r. Mimo to na maj 2018 r. dane dotyczące podwójnego obywatelstwa łącznie 1,4 mln osób były nadal zarejestrowane w systemach administracji podatkowej i celnej. W związku z tym organ ochrony danych stwierdził, że dane te były przetwarzane niezgodnie z prawem ze względu na brak ważnej podstawy prawnej. Ponadto organ ten stwierdził, że osoby, których dane dotyczą, były dyskryminowane ze względu na swoją narodowość.Link Link
945HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-0724 000,00 €NBQ Technology, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) ukarał grzywną NBQ Technology, S.A.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko tej firmie po tym, jak odmówiono jej przeprowadzenia transakcji finansowej z powodu rzekomych zaległości w spłacie pożyczki. Jak się okazało, złodziej tożsamości uzyskał dane osoby, której dane dotyczą, bez upoważnienia i złożył wniosek o pożyczkę u administratora danych podając się za osobę, której dane dotyczą. Następnie administrator danych zatwierdził pożyczkę. Ponieważ dane przetwarzane w celu udzielenia pożyczki nie należały do pożyczkobiorcy, lecz do osoby, której dane dotyczą, AEPD stwierdził, że administrator nie miał podstawy prawnej do przetwarzania tych danych. Przetwarzanie danych było zatem niezgodne z prawem i stwierdzono naruszenie art. 6 ust. 1 RODO. Pierwotna grzywna w wysokości 40 000 EUR została zmniejszona do 24 000 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
944HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-031 000,00 €Właściciel sklepuArt. 13 RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela sklepu grzywną w wysokości 1000 euro za brak znaków informacyjnych o nadzorze CCTV w zakładzie.Link
943NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2019Wysokość kary pieniężnej od 350 EUR do 1 000 EURNieznanyArt. 6 RODODziewięć grzywien w wysokości od 350 do 1 000 EUR za niezgodne z prawem użycie kamery samochodowej.Link
942NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia2019Wysokość kary pieniężnej od 50 EUR do 800 EURNieznanyArt. 6 RODODziewięć grzywien w wysokości od 50 do 800 EUR za niezgodne z prawem użycie kamery samochodowej.Link
941NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia2019500,00 €NieznanyArt. 15 RODOAdministrator danych nie spełnił żądania osoby, której dane dotyczą, dotyczącego dostępu do jej danych osobowych.Link
940NiemcyOrgan ochrony danych osobowych kraju związkowego Nadrenia-PalatynatNieznana600,00 €NieznanyArt. 6 RODOBezprawne użycie kamery samochodowejLink
939NiemcyOrgan ochrony danych osobowych kraju związkowego Nadrenia-PalatynatNieznana300,00 €NieznanyArt. 6 RODOBezprawne użycie kamery samochodowejLink
938NiemcyOrgan ochrony danych osobowych kraju związkowego Nadrenia-PalatynatNieznana50,00 €NieznanyArt. 6 RODOBezprawne użycie kamery samochodowejLink
937HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-022 000,00 €COOPERA RC SERVICES, S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na COOPERA RC SERVICES grzywnę w wysokości 2.000 EUR. Administrator nie podał wystarczających danych kontaktowych, za pomocą których osoby, których dane dotyczą, mogłyby egzekwować swoje prawa.Link
936HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-2340 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator danych przekazał jej numer telefonu komórkowego innej osobie bez jej zgody z powodu błędu technicznego. Ponadto konto osoby, której dane dotyczą, zostało obciążone kwotami należącymi do numeru telefonicznego osoby trzeciej. Organ ochrony danych stwierdził, że Vodafone bezprawnie przetwarzał dane osoby, której dane dotyczą. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 40 000 EUR w związku z dobrowolną wpłatą.Link
935HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-2340 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, wniosła skargę przeciwko administratorowi danych, ponieważ numery telefoniczne były zarejestrowane na jej nazwisko, chociaż nigdy nie zawarła ona umowy z firmą na żaden z tych numerów. Vodafone przypadkowo przypisała dane osoby, której dane dotyczą, do umów innego klienta Vodafone, dlatego też umowy zostały zarejestrowane na jego nazwisko. W tym kontekście organ ochrony danych uznał, że przetwarzanie danych osoby, której dane dotyczą, przez Vodafone było niezgodne z prawem. Pierwotna grzywna w wysokości 50.000 EUR została obniżona do 40.000 EUR z powodu dobrowolnej zapłaty.Link
934HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-022 000,00 €IMAGINA FRAN SPORT, S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał IMAGINA FRAN SPORT, S.L. grzywną w wysokości 2.000 EUR w związku z tym, że jego polityka prywatności nie była zgodna z wymogami Art. 13 RODO. Na przykład, strona internetowa zawierała nieaktualne informacje.Link
933HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-12-015 000,00 €INTRODUCTION BUSINESS CAPITAL MEDIA, S.L.Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDDHiszpański organ ochrony danych (AEPD) nałożył na INTRODUCTION BUSINESS CAPITAL MEDIA, S.L. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, otrzymywała od administratora telefony reklamowe, mimo że była wpisana na listę osób wykluczonych z reklam (listę Robinsona).Link
932WłochyGarante per la protezione dei dati personali (Garante)2021-10-148 000,00 €Agencja Ochrony Zdrowia Sardynii (ATS)Art. 5 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Agencję Ochrony Zdrowia Sardynii (ATS) grzywnę w wysokości 8 000 EUR. Pacjent omyłkowo otrzymał do własnych akt dokumentację medyczną i kliniczną innego pacjenta.Link
931WłochyGarante per la protezione dei dati personali (Garante)2021-09-292 000,00 €LekarzArt. 5 (1) a) RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) ukarał lekarza grzywną w wysokości 2.000 euro. Pacjent złożył skargę do organu ochrony danych, że lekarz ujawnił jego dane osobowe osobom trzecim bez upoważnienia. Lekarz zalecił podmiotowi danych produkty medyczne w ramach jego leczenia. Kilka dni później osoba, której dane dotyczą, otrzymała telefon od konsultanta marketingowego stojącego za rekomendowanymi produktami. Osoba, której dane dotyczą, wskazała, że nigdy nie wyraziła zgody na ujawnienie swoich danych. Garante stwierdza, że do przetwarzania danych osobowych niezbędnych do leczenia nie jest wymagana szczególna zgoda. W tym przypadku jednak dane były przetwarzane w celu promocji produktów, a zatem wyraźna zgoda byłaby wymagana na mocy art. 9 RODO. Lekarz przetwarzał więc dane niezgodnie z prawem.Link
930Wielka BrytaniaInformation Commissioner (ICO)2021-11-25585 000,00 €Kancelaria Rady MinistrówArt. 5 (1) f) RODO, Art. 32 RODOBrytyjski organ ochrony danych osobowych (ICO) ukarał Kancelarię Rady Ministrów (Cabinet Office) grzywną w wysokości 585 000 euro. W dniu 27 grudnia 2019 roku Kancelaria Rady Ministrów opublikowała na GOV.UK plik zawierający nazwiska i nieocenzurowane adresy ponad 1000 osób, które otrzymały noworoczne wyróżnienia. Osoby z szerokiego zakresu zawodów w całej Wielkiej Brytanii zostały poszkodowane, w tym osoby o wysokim statusie publicznym. Po dowiedzeniu się o naruszeniu danych, Kancelaria Rady Ministrów usunęła link internetowy do pliku. Jednak plik nadal znajdował się w pamięci podręcznej i był dostępny online dla osób, które znały dokładny adres strony internetowej. Ujawnione dane osobowe były dostępne w sieci przez dwie godziny i 21 minut, a dostęp do nich uzyskano 3 872 razy. Do naruszenia doszło z powodu błędu w konfiguracji nowego systemu informatycznego Kancelarii Rady Ministrów. ICO stwierdziło, że Kancelaria Rady Ministrów nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą.Link Link
929WłochyGarante per la protezione dei dati personali (Garante)2021-10-282 000,00 €Anfiteatro Flavio s.r.l.Art. 13 RODOWłoski urząd ochrony danych (Garante) nałożył na spółkę Anfiteatro Flavio s.r.l. grzywnę w wysokości 2.000 euro. Podczas inspekcji administracyjnej w hotelu zarządzanym przez Anfiteatro Flavio, policja stwierdziła, że w sklepie zainstalowany jest system nadzoru wideo z trzema kamerami. Stwierdzono jednak, że administrator nie dostarczył wystarczających informacji na temat obecności systemu monitoringu wizyjnego. Organ Ochrony Danych uznał to za naruszenie art. 13 RODO.Link
928WłochyGarante per la protezione dei dati personali (Garante)2021-10-282 000,00 €OTTO s.r.l.Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na spółkę OTTO s.r.l. grzywnę w wysokości 2.000 euro. Podczas inspekcji administracyjnej w sklepie zarządzanym przez OTTO, policja stwierdziła, że w sklepie zainstalowany był system nadzoru wideo z trzema kamerami. Stwierdzono jednak, że administrator nie dostarczył wystarczających informacji na temat obecności systemu monitoringu wizyjnego. Organ Ochrony Danych uznał to za naruszenie art. 13 RODO.Link
927LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2021-11-29110 000,00 €UAB Prime LeasingArt. 32 (1) b), d) RODOLitewski organ ochrony danych osobowych nałożył grzywnę w wysokości 110 000 EUR na spółkę UAB Prime Leasing, operatora platformy krótkoterminowego wynajmu samochodów CityBee. Urząd Ochrony Danych przeprowadził dochodzenie z własnej inicjatywy po tym, jak w lutym 2021 r. upubliczniono informacje o możliwym naruszeniu danych osobowych (art. 33 RODO) klientów firmy. Według firmy dowiedzieli się oni o naruszeniu bezpieczeństwa od innego dostawcy usług cyberbezpieczeństwa, który poinformował ich, że dane klientów 110 302 użytkowników CityBee zostały opublikowane na stronie internetowej forum hakerskiego RaidForums.com. Obejmowały one takie dane jak nazwiska, adresy, numery telefonów, adresy e-mail, osobiste numery identyfikacyjne, numery prawa jazdy, rodzaj karty płatniczej oraz cztery ostatnie cyfry numeru karty osób, których dane dotyczyły. Dochodzenie przeprowadzone przez Urząd Ochrony Danych wykazało, że opublikowane dane pochodziły z niezabezpieczonej kopii zapasowej bazy danych. Organ ochrony danych stwierdził, że do naruszenia danych doszło z powodu niedopełnienia przez przedsiębiorstwo obowiązku wdrożenia środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. Spółka nie wyznaczyła na przykład osoby o odpowiednich kompetencjach, która byłaby odpowiedzialna za bezpieczeństwo i zarządzanie ryzykiem. Nie zadbało również o to, by dostęp do plików bazy danych był rejestrowany i oceniany. Ponadto przedsiębiorstwo przechowywało bazę danych w formie niezaszyfrowanej, tak że osoba posiadająca wiedzę techniczną mogła mieć pełny dostęp do danych zawartych w pliku po jego pobraniu. Kody osobowe w bazie danych były ponadto przechowywane bez ochrony, a hasła w bazie danych były jedynie zaszyfrowane algorytmem szyfrowania, który uznano za niezabezpieczony.Link
926HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-305 000,00 €ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINEArt. 17 (1) RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) ukarał ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE grzywną w wysokości 5.000 EUR. Osoba, której dane dotyczą, poinformowała, że nie zgadza się na dalszą subskrypcję biuletynu i zażądała od administratora usunięcia wszystkich swoich danych. Nadal jednak otrzymywał reklamy od administratora danych.Link
925HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-3020 000,00 €DAVISER SERVICIOS, S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na DAVISER SERVICIOS, S.L. grzywnę w wysokości 20 000 EUR. Firma przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, chociaż można było zastosować mniej inwazyjne środki (takie jak karty-klucze) w celu ochrony prywatności osób, których dane dotyczą. AEPD stwierdził, że administrator danych naruszył zasadę minimalizacji danych.Link
924HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-305 000,00 €ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINEArt. 17 (1) RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) ukarał ASOCIACIÓN ESPAÑOLA PARA LA ENSEÑANZA ONLINE grzywną w wysokości 5.000 EUR. Osoba, której dane dotyczą, poinformowała, że nie zgadza się na dalszą subskrypcję biuletynu i zażądała od administratora usunięcia wszystkich swoich danych. Nadal jednak otrzymywał reklamy od administratora danych.Link
923HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-301 500,00 €Wspólnota sąsiedzkaArt. 5 (1) c) RODOHiszpański Urząd Ochrony Danych (AEPD) ukarał grzywną wspólnotę sąsiedzką. Administrator zainstalował kamery wideo na swojej prywatnej posesji w taki sposób, że mogły one rejestrować obrazy przestrzeni publicznej i prywatnej posesji sąsiada. AEPD uznała to za naruszenie zasady minimalizacji danych.Link
922HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-291 000,00 €Właściciel restauracjiArt. 13 RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela restauracji grzywną w wysokości 1 000 euro za brak znaków informacyjnych o nadzorze kamer monitorujących w lokalu.Link
921HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-294 000,00 €TIGERS MARKET, S.L.Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDDHiszpański organ ochrony danych (AEPD) nałożył na TIGERS MARKET, S.L. grzywnę w wysokości 4.000 EUR. Osoba, której dane dotyczą, otrzymywała od administratora telefony reklamowe, mimo że była wpisana na listę osób wykluczonych z reklam (listę Robinsona).Link
920LuksemburgCommission nationale pour la protection des données (CNPD)2021-10-2715 400,00 €NieznanyArt. 38 (1), (3) RODO, Art. 39 (1) a), b) RODOLuksemburski organ ochrony danych nałożył na pewną firmę grzywnę w wysokości 15 400 euro. Według organu ochrony danych administrator nie zaangażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Ponadto, wbrew wymogom RODO, inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu; zamiast tego istniały dwa poziomy hierarchii pomiędzy nimi. Administrator nie posiadał również planu kontroli ochrony danych, aby wykazać, że inspektor ochrony danych właściwie wykonuje swoje obowiązki.Link
919GrecjaHellenic Data Protection Authority (HDPA)2021-10-1420 000,00 €ΚΑΠΑ ΛΑΜΔΑ ΩΜΕΓΑ ΔΙΑΦΗΜΙΣΤΙΚΗ ΕΜΠΟΡΙΚΗ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣArt. 6 RODO, Art. 12 (2) RODO, Art. 21 RODOGrecki organ ochrony danych nałożył na ΚΑΠΑ ΛΑΜΔΑ ΩΜΕΓΑ ΔΙΑΦΗΜΙΣΤΙΚΗ ΕΜΠΟΡΙΚΗ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ 20 000 EUR. W kilku przypadkach przedsiębiorstwo prowadziło rozmowy marketingowe bez zgody osób, których dane dotyczą. Pomimo kilkukrotnego cofnięcia zgody przez osoby, których dane dotyczą, nadal otrzymywały one niezamówione reklamy.Link
918HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-249 000,00 €UNIÓN FINANCIERA ASTURIANA S.A. E.F.C.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) ukarał grzywną UNIÓN FINANCIERA ASTURIANA S.A. E.F.C.. Administrator danych przeprowadził kontrolę kredytową osoby, której dane dotyczą, bez żadnej podstawy umownej. Pierwotna grzywna w wysokości 15 000 EUR została obniżona do 9 000 EUR w związku z dobrowolną zapłatą i uznaniem winy.Link
917IslandiaPersónuvernd2021-11-2327 200,00 €YAY ehf.Art. 5 RODO, Art. 6 RODO, Art. 28 RODO, Art. 32 RODOIslandzki Urząd Ochrony Danych Osobowych nałożył karę w wysokości 51 000 EUR na Ministerstwo Przemysłu i Innowacji oraz karę w wysokości 27 200 EUR na YAY ehf. Grzywna jest związana z kampanią prowadzoną przez ministerstwo, której celem było zachęcenie Islandczyków do podróży krajowych latem 2020 roku. Kampania ta obejmowała cyfrowy voucher upominkowy, który można było uzyskać za pośrednictwem aplikacji przedsiębiorstwa YAY ehf. Organ ochrony danych otrzymał szereg skarg dotyczących faktu, że skorzystanie z prezentu turystycznego wymagało podania wielu danych osobowych i dostępu do telefonów użytkowników. W związku z tym organ ten wszczął dochodzenie przeciwko ministerstwu i spółce. Urząd Ochrony Danych stwierdził, że ministerstwo naruszyło zasadę legalności i przejrzystości. Osoby uczestniczące w promocji musiały jedynie wyrazić zgodę na ogólne warunki korzystania z aplikacji YAY, aby móc wziąć udział w promocji kuponowej. Organ ochrony danych stwierdził jednak, że w ten sposób osoby, których dane dotyczą, nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych w ramach promocji. Organ ochrony danych stwierdził również, że informacje przekazane na temat faktycznego przetwarzania danych osobowych były niewystarczające. Ponadto ani ministerstwo, ani YAY ehf. nie wdrożyły odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Ponadto, z powodu błędu konfiguracyjnego po stronie YAY, przetworzono więcej danych niż było to konieczne, dlatego też organ ochrony danych stwierdził naruszenie zasady minimalizacji danych.Link
916IslandiaPersónuvernd2021-11-2351 000,00 €Islandzkie Ministerstwo Przemysłu i InnowacjiArt. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 25 RODO, Art. 28 RODO, Art. 32 RODOIslandzki Urząd Ochrony Danych Osobowych nałożył karę w wysokości 51 000 EUR na Ministerstwo Przemysłu i Innowacji oraz karę w wysokości 27 200 EUR na YAY ehf. Grzywna jest związana z kampanią prowadzoną przez ministerstwo, której celem było zachęcenie Islandczyków do podróży krajowych latem 2020 roku. Kampania ta obejmowała cyfrowy voucher upominkowy, który można było uzyskać za pośrednictwem aplikacji przedsiębiorstwa YAY ehf. Organ ochrony danych otrzymał szereg skarg dotyczących faktu, że skorzystanie z prezentu turystycznego wymagało podania wielu danych osobowych i dostępu do telefonów użytkowników. W związku z tym organ ten wszczął dochodzenie przeciwko ministerstwu i spółce. Urząd Ochrony Danych stwierdził, że ministerstwo naruszyło zasadę legalności i przejrzystości. Osoby uczestniczące w promocji musiały jedynie wyrazić zgodę na ogólne warunki korzystania z aplikacji YAY, aby móc wziąć udział w promocji kuponowej. Organ ochrony danych stwierdził jednak, że w ten sposób osoby, których dane dotyczą, nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych w ramach promocji. Organ ochrony danych stwierdził również, że informacje przekazane na temat faktycznego przetwarzania danych osobowych były niewystarczające. Ponadto ani ministerstwo, ani YAY ehf. nie wdrożyły odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Ponadto, z powodu błędu konfiguracyjnego po stronie YAY, przetworzono więcej danych niż było to konieczne, dlatego też organ ochrony danych stwierdził naruszenie zasady minimalizacji danych.Link
915RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-11-262 000,00 €Valoris Center S.R.L.Art. 29 RODO, Art. 32 (1) b) RODO, Art. 32 (4) RODORumuński organ ochrony danych (ANSPDCP) nałożył na Valoris Center S.R.L. grzywnę w wysokości 2.000 EUR. Administrator powiadomił organ ochrony danych o naruszeniu ochrony danych zgodnie z art. 33 RODO. Pracownik call center administratora przypadkowo wysłał klientowi plik Excel zawierający dane innych klientów administratora. W toku dochodzenia ustalono, że naruszenie to spowodowało nieuprawnione ujawnienie lub dostęp do danych osobowych, takich jak adres e-mail, nazwa użytkownika, identyfikator użytkownika, numer telefonu, nazwa klienta, kod klienta, PIN klienta, przy czym incydent dotknął łącznie 11169 osób fizycznych. Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą.Link
914HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-2340 000,00 €Vodafone España, SAUArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) ukarał Vodafone España S.A.U. grzywną w wysokości 40.000 euro. Pewna osoba złożyła skargę przeciwko Vodafone do organu ochrony danych, ponieważ jej numer telefonu komórkowego został bez jej zgody przeniesiony do osoby trzeciej i została ona obciążona kwotami z numeru telefonicznego osoby trzeciej. Powodem tego był błąd techniczny w systemach Vodafone.Link
913HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-233 000,00 €FUENSANTA S.L.Art. 58 (1) RODOAdministrator danych nie dostarczył informacji, o które zwrócił się hiszpański organ ochrony danych (AEPD) do celów dochodzeniowych.Link
912HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-222 000,00 €ANIVERSALIA NETWORKS, S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał ANIVERSALIA NETWORKS, S.L. grzywną w wysokości 2.000 EUR w związku z tym, że polityka prywatności na jej stronie internetowej nie spełniała wymogów art. 13 RODO.Link
911HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-223 000,00 €NieznanyArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na pewną firmę grzywnę w wysokości 3 000 euro. Firma ta żądała od klientów różnych danych osobowych w celu rezerwacji wizyt. Urząd Ochrony Danych stwierdził, że administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO.Link
910FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-11-04400 000,00 €Régie autonome des transports parisiensArt. 5 (1) c) RODO, Art. 5 (1) e) RODO, Art. 5 (2) RODO, Art. 32 RODOFrancuski organ ochrony danych (CNIL) nałożył na RATP (operatora systemu transportu publicznego w Paryżu) grzywnę w wysokości 400 000 EUR. W maju 2020 r. jeden ze związków zawodowych złożył skargę do CNIL, zarzucając, że liczba dni strajku odbytych przez pracowników została uwzględniona w aktach wykorzystywanych do przygotowania decyzji o awansie. CNIL przeprowadziła następnie dochodzenia w kilku centrach autobusowych RATP. Doprowadziły one do potwierdzenia tej praktyki w trzech centrach autobusowych RATP. CNIL wskazała, że akta dotyczące oceny wyników i perspektyw awansu powinny zawierać jedynie dane niezbędne do oceny pracowników, w szczególności wystarczające jest wskazanie całkowitej liczby dni nieobecności bez konieczności wchodzenia w szczegóły i wyróżnienia dni związanych z korzystaniem z prawa do strajku. Stwierdził on, że wykorzystanie danych dotyczących liczby dni, w których pracownicy strajkowali, nie było konieczne do tych celów, oraz że RATP naruszył w ten sposób zasadę minimalizacji danych określoną w art. 5 ust. 1 lit. c) RODO. Ponadto organ ochrony danych stwierdził, że RATP nadmiernie przechowywało wiele danych swoich pracowników. W rzeczywistości RATP przechowywał akta dotyczące oceny pracowników przez ponad trzy lata po komisji ds. awansu, chociaż ich przechowywanie było wymagane jedynie przez 18 miesięcy po przeprowadzeniu tych komisji. Ponadto CNIL stwierdziła, że RATP nie dokonała odpowiedniego rozróżnienia między poziomami uprawnień pracowników, umożliwiając dostęp do niektórych danych większej liczbie pracowników niż to konieczne. Z tego względu CNIL stwierdziła, że RATP nie wywiązała się z obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka.Link Link
909CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-11-12925 000,00 €WS WiSpear Systems LtdArt. 5 (1) a) RODOCypryjski organ ochrony danych (DPA) nałożył na WS WiSpear Systems Ltd. grzywnę w wysokości 925 000 euro. Przedsiębiorstwo to w ramach testów i prezentacji technologii gromadziło bez wiedzy osób prywatnych różne dane (adresy Media Access Control i dane International Mobile Subscriber Identity). W tym kontekście organ ochrony danych stwierdził naruszenie zasady zgodności z prawem, rzetelności i przejrzystości.Link
908HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-1540 000,00 €Vodafone España, SAUArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba fizyczna złożyła skargę do organu ochrony danych. Osoba, której dane dotyczą, twierdzi, że we wrześniu 2020 r. otrzymała od Vodafone wiadomości tekstowe informujące ją, że ma długi z tytułu usług, które zamówiła w Vodafone. Adres rozliczeniowy wymieniony w wiadomościach tekstowych odpowiadał adresowi starego domu, w którym osoba, której dane dotyczą, mieszkała w przeszłości ze swoją byłą partnerką. Vodafone stwierdził, że do tego incydentu doprowadził błąd systemu. W wyniku tego osoba, której dane dotyczą, pojawiła się jako posiadacz konta klienta swojej byłej partnerki. Pierwotna grzywna w wysokości 50 000 EUR została zmniejszona do 40 000 EUR z powodu dobrowolnej zapłaty.Link
907HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-221 000,00 €Wspólnota sąsiedzkaArt. 13 RODOHiszpański DPA nałożył na wspólnotę sąsiedzką grzywnę w wysokości 1000 euro. Powodem było to, że znak informacyjny o systemie nadzoru wideo nie zawierał wystarczających informacji wymaganych przez art. 13 RODO. Znak nie zawierał ani odniesienia do administratora danych, ani adresu, z którym można się skontaktować w przypadku chęci skorzystania z praw przysługujących osobom, których dane dotyczą.Link
906BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2021-10-26380,00 €BankArt. 5 (1) b) RODOBułgarski organ ochrony danych ukarał bank grzywną w wysokości 380 euro za niezgodne z prawem przekazywanie danych osobowych stronom trzecim.Link
905HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-1530 000,00 €Vodafone España, SAUArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España SAU. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Osoba, której dane dotyczą, twierdzi, że otrzymała faktury i obciążenia na swoim koncie bankowym za usługi Vodafone, których sama nie zarezerwowała. Podmiot danych stwierdził również, że został wezwany do zapłaty za te usługi przez firmę windykacyjną I.S.G.F. Informes Comerciales, S.L.. Jak się okazało, oszuści wykorzystali dane osobowe osoby, której dane dotyczą, do zawarcia umowy o świadczenie usług. Vodafone następnie anulował umowę na zamówione usługi. Jednak z powodu błędu w systemie, zaległe faktury nie zostały anulowane, dlatego też zostały przekazane do firmy windykacyjnej. AEPD uznała, że takie przekazanie było bezprawne z powodu nieistnienia ważnej umowy. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 30 000 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
904HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-151 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 1.000 euro za nieuprawnioną instalację kamery monitoringu w jej samochodzie. Samochód był zaparkowany na publicznej ulicy, a zatem kamera rejestrowała również przestrzeń publiczną. AEPD uznała, że nadzór wideo nad przestrzenią publiczną stanowi naruszenie zasady minimalizacji danych.Link
903HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-151 000,00 €SupermarketArt. 13 RODOUżywanie kamer monitoringu bez odpowiednich informacji.Link
902NiderlandyAutoriteit Persoonsgegevens (AP)2021-11-12400 000,00 €TransaviaArt. 32 (1), (2) RODOHolenderski DPA ukarał linie lotnicze Transavia grzywną w wysokości 400 tys. euro. W 2019 r. linia lotnicza doznała naruszenia danych, w którym haker uzyskał dostęp do systemów Transavii za pośrednictwem dwóch kont należących do działu IT firmy. Mogło to potencjalnie umożliwić hakerowi dostęp do danych, takich jak nazwiska, daty urodzenia, płeć, adresy e-mail, numery telefonów, informacje o lotach i numery rezerwacji 25 milionów pasażerów. Okazało się, że haker faktycznie pobrał dane osobowe 83 tys. osób. W 367 przypadkach dane te zawierały informacje medyczne osób, które poprosiły np. o transport na wózku inwalidzkim lub dodatkowe usługi ze względu na to, że były niewidome lub głuche. Organ ochrony danych zauważył, że brak środków bezpieczeństwa umożliwił hakerowi dostęp do systemów. Dlatego też dostęp do systemów linii lotniczych można było uzyskać po prostu poprzez wprowadzenie hasła. Systemy nie obejmowały wieloczynnikowego uwierzytelniania. Ponadto prawa dostępu do kont nie były ograniczone do niezbędnych systemów, umożliwiając hakerowi wykorzystanie ich w celu uzyskania dostępu do wielu systemów Transavii. Organ ochrony danych stwierdził, że Transavia naruszyła swój obowiązek wdrożenia technicznych i organizacyjnych środków w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą.Link Link
901PolskaUrząd ochrony danych osobowych (UODO)2021-10-1478 000,00 €Bank Millennium S.A.Art. 33 (1) RODO, Art. 34 (1) RODOUODO nałożył na Bank Millennium S.A. karę pieniężną w wysokości 78.000 euro. UODO dowiedział się o naruszeniu ochrony danych osobowych w wyniku skargi na bank. Okazało się, że zaginęła korespondencja wysyłana przez bank za pośrednictwem firmy kurierskiej, zawierająca dane osobowe, takie jak imię, nazwisko, numer PESEL, adres zamieszkania, numery kont i numery identyfikacyjne klientów. W związku z tym UODO stwierdził, że bank nie zgłosił tego incydentu do UODO i nie powiadomił o tym w odpowiedni sposób osób, których dane dotyczą.Link
900HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-123 000,00 €AD735 DATA MEDIA ADVERTISING S.L.Art. 58 (1) RODONieprzekazanie wymaganych informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganym terminie z naruszeniem art. 58 RODO.Link
899HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-11-121 500,00 €PrzedsiębiorstwoArt. 13 RODOUżywanie kamer monitoringu bez odpowiednich informacji.Link
898RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-11-142 900,00 €Vodafone România SAArt. 32 (1) b) RODO, Art. 32 (2) RODO, Art. 3 (1) Law No. 506/2004, Art. 3 (3) a), b) Law No. 506/2004Rumuński organ ochrony danych (ANSPDCP) nałożył na VODAFONE România S.A. grzywnę w wysokości 2 900 EUR. Firma zgłosiła naruszenie danych do organu ochrony danych zgodnie z art. 33 RODO. W okresie od listopada 2020 r. do czerwca 2021 r. doszło do nieuprawnionego dostępu do danych osobowych siedemdziesięciu osób, których dane dotyczą (wysyłka umów o świadczenie usług na niewłaściwe adresy e-mail, nieuprawniony dostęp pracowników administratora do danych osobowych klientów Vodafone bez ich żądania). Organ stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych.Link
897GrecjaHellenic Data Protection Authority (HDPA)2021-10-045 000,00 € PREMIUMMEDIA ΠΑΡΑΓΩΓΗ ΟΠΤΙΚΟ-ΑΚΟΥΣΤΙΚΩΝ ΕΡΓΩΝ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΙΑArt. 21 (3) RODO, Art. 25 RODOGrecki organ ochrony danych nałożył na przedsiębiorstwo PREMIUMMEDIA ΠΑΡΑΓΩΓΗ ΟΠΤΙΚΟ-ΑΚΟΥΣΤΙΚΩΝ ΕΡΓΩΝ ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΙΑ grzywnę w wysokości 5 000 EUR. Osoba fizyczna próbowała wypisać się z listy wysyłkowej biuletynu przedsiębiorstwa, ale nie udało jej się to. Niemożność wypisania się z listy wynikała z wewnętrznego błędu technicznego przedsiębiorstwa.Link
896LuksemburgCommission nationale pour la protection des données (CNPD)2021-10-1318 000,00 €Nieznany Art. 37 (7) RODO, Art. 38 (1) (2) RODO, Art. 39 (1) b) RODOUrząd Ochrony Danych Osobowych z Luksemburga nałożył na pewną firmę karę w wysokości 13 200 euro. Według organu ochrony danych, administrator nie zaangażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Administrator nie dysponował również planem kontroli ochrony danych, aby wykazać, że inspektor ochrony danych odpowiednio wykonuje swoje zadania. Co więcej, administrator nie zapewnił inspektorowi ochrony danych zasobów niezbędnych do wykonywania jego obowiązków. Organ ochrony danych zauważył również, że strona internetowa administratora nie zawierała sekcji poświęconej ochronie danych oraz że nota informacyjna na temat ochrony danych była dostępna jedynie w języku angielskim, a nie w jednym z języków urzędowych Luksemburga.Link
895LuksemburgCommission nationale pour la protection des données (CNPD)2021-10-1313 200,00 €NieznanyArt. 38 (1) RODO, Art. 39 (1) b) RODOOrgan ochrony danych osobowych z Luksemburga nałożył na pewną firmę karę w wysokości 13 200 euro. Według organu ochrony danych, administrator po pierwsze nie zaangażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie posiadał planu kontroli ochrony danych, aby wykazać, że inspektor ochrony danych odpowiednio wykonuje swoje zadania.Link
894LuksemburgCommission nationale pour la protection des données (CNPD)2021-10-065 300,00 €NieznanyArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga nałożył na pewną firmę grzywnę w wysokości 5 300 EUR. Przedsiębiorstwo to zainstalowało na swoim terenie 75 kamer monitorujących, a także urządzenia śledzące w niektórych swoich pojazdach, którymi pracownicy dojeżdżali do klientów. Kilka z tych kamer obejmowało m.in. część ulicy publicznej i prywatną sąsiednią posesję. W trakcie dochodzenia organ ochrony danych ustalił również, że kamery obejmowały swoim zasięgiem stołówkę pracowniczą, umożliwiając monitorowanie pracowników poza godzinami ich pracy. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Stwierdził również, że administrator danych nie wywiązał się w wystarczającym stopniu ze swoich obowiązków informacyjnych wynikających z art. 13 RODO.Link
893IrlandiaData Protection Commission (DPC)2021-08-201 500,00 €MOVE IrelandArt. 5 (1) f) RODO, Art. 32 (1) RODOIrlandzki organ ochrony danych (DPC) nałożył grzywnę w wysokości 1 500 euro na organizację MOVE (Men Overcoming Violence). MOVE jest organizacją charytatywną działającą w obszarze przemocy domowej. Organizacja ma na celu wspieranie bezpieczeństwa i dobrego samopoczucia kobiet i ich dzieci, które doświadczyły przemocy w związkach. W tym celu uczestnicy (mężczyźni) przychodzą na cotygodniowe sesje, aby zmienić swoje zachowanie. W dniu 3 lutego 2021 r. organizacja zgłosiła naruszenie danych zgodnie z art. 33 RODO. Organizacja stwierdziła, że zaginęło osiemnaście kart SD, które mogły zawierać nagrania sesji grupowych programu MOVE, podczas których uczestnicy omawiają z liderem grupy swoje zachowania i postawy dotyczące przemocy domowej. Na nagraniach widać i słychać było niektórych uczestników. Dodatkowo, nagrania zawierały materiał filmowy uczestników omawiających swoje zachowania i uczucia w odniesieniu do obecnych lub byłych partnerów, innych członków rodziny i przyjaciół, którzy mogli być wymienieni. Naruszenie danych mogło dotyczyć około 80-120 uczestników, jak również co najmniej jednego lidera grupy w każdej nagranej sesji. DPC stwierdził, że MOVE naruszyło swój obowiązek wynikający z art. 32 (1) RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stwarza przetwarzanie danych osobowych poprzez nagrywanie sesji grupowych.Link Link
892WłochyGarante per la protezione dei dati personali (Garante)2021-09-165 000,00 €Gmina Montalbano JonicoArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 9 (1), (2), (4) RODO, Art. 2-ter (1), (3) Codice della privacy, Art. 2-septies (8) Codice della privacyWłoski urząd ochrony danych (Garante) nałożył na gminę Montalbano Jonico grzywnę w wysokości 5.000 euro. Pewna osoba złożyła skargę na gminę do organu ochrony danych. Skarżyła się, że na stronie internetowej gminy został upubliczniony dokument, który zawierał dane osobowe jej samej i jej ojca. W sekcji "Dokumenty i dane" na stronie internetowej można było zapoznać się z aktami gminy. W tym kontekście, poprzez wypełnienie odpowiedniego formularza wyszukiwania, można było uzyskać dostęp do decyzji w sprawie zawarcia ugody dotyczącej pokonania i likwidacji barier architektonicznych w ich domu. Decyzja zawierała wyraźnie dane osobowe i informacje w tekście i w temacie, takie jak imię i nazwisko skarżącego i jego ojca pozostającego na utrzymaniu, z odniesieniem do jego sytuacji jako osoby niepełnosprawnej. Tekst decyzji zawierał również datę urodzenia i miejsce zamieszkania skarżącego, jak również informację o kwocie ugody. Organ Ochrony Danych uznał, że publikacja ze wskazaniem danych stanowi naruszenie zasady minimalizacji danych.Link
891RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-11-015 000,00 €S.P.E.E.H. Hidroelectrica S.A.Art. 32 (1) b), (2) RODORumuński organ ochrony danych (ANSPDCP) nałożył na S.P.E.H. Hidroelectrica S.A. grzywnę w wysokości 5 000 EUR. Administrator powiadomił organ ochrony danych o kilku naruszeniach ochrony danych osobowych zgodnie z art. 33 RODO. W wyniku naruszenia ochrony danych uzyskano bezprawny dostęp do danych 325 osób lub przekazano je niewłaściwym odbiorcom. Organ ochrony danych uznał to za naruszenie przez administratora danych obowiązku wynikającego z art. 32 ust. 1 lit. b) i art. 32 urt. 2 RODO, tj. wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stanowi przetwarzanie danych. Ponadto organ stwierdził, że administrator przetwarzał dane osobowe trzech klientów po tym, jak skorzystali oni z prawa do usunięcia swoich danych i cofnęli zgodę na ich przetwarzanie. Przetwarzanie odbywało się zatem bez ważnej podstawy prawnej. DPA nałożył grzywnę w wysokości 5.000 EUR za naruszenie art. 32 (1) b), (2) RODO. Za naruszenie art. 5 (1) a) RODO, Art. 6 (1) a) RODO, organ ochrony danych wydał ponadto ostrzeżenie.Link
890RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-11-011 000,00 €IKEA ROMÂNIA SAArt. 32 (1) b), (2) RODORumuński organ ochrony danych (ANSPDCP) nałożył na IKEA ROMÂNIA SA grzywnę w wysokości 1.000 EUR. Administrator danych przesłał do organu ochrony danych powiadomienie o naruszeniu danych osobowych na mocy art. 33 RODO. W związku z tym administrator zorganizował konkurs rysunkowy, w którym mogły wziąć udział dzieci członków IKEA Family. Uczestnicy przesyłali własne rysunki na platformę internetową wraz z formularzami zgłoszeniowymi zawierającymi ich dane osobowe oraz dane osobowe ich rodziców, w tym ich zgodę. W celu przeprowadzenia głosowania na najlepszy rysunek, rysunki dzieci zostały umieszczone na platformie internetowej, a wraz z nimi przypadkowo dane osobowe zawarte w formularzach zgłoszeniowych. W czasie dochodzenia ustalono, że incydent bezpieczeństwa doprowadził do nieuprawnionego ujawnienia danych osobowych członków IKEA Family (nazwisko, imię i wiek nieletnich, jak również nazwisko, imię, miasto, kraj, e-mail, numer członkowski IKEA Family oraz podpis rodziców) na platformie internetowej dostępnej tylko dla członków IKEA Family w Rumunii. Incydent ten dotknął 114 osób, z których połowa była niepełnoletnia. Organ ochrony danych stwierdził, że administrator naruszył w ten sposób swój obowiązek wynikający z art. 32 (1) b), (2) RODO do wdrożenia środków technicznych i organizacyjnych, które zapewniają poziom bezpieczeństwa odpowiedni do ryzyka dla osób, których dane dotyczą.Link
889HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-2640 000,00 €VODAFONE SERVICIOS, S.L.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE SERVICIOS, S.L.U.. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych. Osoba, której dane dotyczą, twierdzi, że otrzymywała faktury i obciążenia swojego rachunku bankowego w celu zapłaty za usługi Vodafone, których sama nie zarezerwowała. Osoba, której dane dotyczą, stwierdziła również, że otrzymywała telefony od firmy windykacyjnej Bureau Veritas z prośbą o zapłatę za te usługi. Jak się okazało, oszuści wykorzystali dane osobowe osoby, której dane dotyczą, do zawarcia umowy o świadczenie usług. Dane osobowe zostały jednak wprowadzone do systemów informatycznych przedsiębiorstwa bez sprawdzenia, czy umowa była zgodna z prawem i czy została rzeczywiście zawarta przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 40 000 EUR w związku z dobrowolną wpłatą.Link
888HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-2640 000,00 €VODAFONE SERVICIOS, S.L.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na VODAFONE SERVICIOS, S.L.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych. Osoba, której dane dotyczą, jest klientem administratora. Kiedy w grudniu ubiegłego roku sprawdził swoje rachunki na oficjalnej stronie internetowej "MY VODAFONE", odkrył, że ma cztery zaległe rachunki, ale nie może uzyskać do nich dostępu. Otrzymał również szereg wezwań do ich zapłaty. Poinformowano go, że w Vodafone istniało równoległe konto o danych częściowo odpowiadających jego kontu. Jak się okazało, oszuści zawarli umowę na telefon komórkowy, wykorzystując dane osobowe osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowa była zgodna z prawem i czy została rzeczywiście zawarta przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 40 000 EUR w związku z dobrowolną zapłatą.Link
887HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-2616 000,00 €SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, S.L.Art. 35 RODOHiszpański Urząd Ochrony Danych (AEPD) nałożył grzywnę na SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, S.L.. Przedsiębiorstwo to zainstalowało pięć terminali z systemem kontroli odcisków palców, aby rejestrować czas pracy swoich pracowników. Nie przeprowadziła przy tym oceny skutków dla ochrony danych. AEPD stwierdził naruszenie art. 35 RODO z tego powodu. Pierwotna grzywna w wysokości 20 000 EUR została zmniejszona do 16 000 EUR ze względu na dobrowolną zapłatę.Link
886HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-2664 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi danych. Podmiot danych stwierdził, że na jego nazwisko zarejestrowane były linie telefoniczne, za które były również zaległe płatności. Jednakże osoba, której dane dotyczą, nigdy nie zawarła z przedsiębiorstwem umów dotyczących tych linii. Umowy te zostały raczej zawarte przez oszustów przy wykorzystaniu danych osobowych osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowy były zgodne z prawem i rzeczywiście zawarte przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 80 000 EUR została obniżona do 64 000 EUR w związku z dobrowolną zapłatą.Link
885HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-253 000,00 €MERCEDES GERENCIA, S.L.Art. 58 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na MERCEDES GERENCIA, S.L. karę pieniężną w wysokości 3.000 EUR. Administrator danych nie odpowiedział w terminie na wniosek o udzielenie informacji wystosowany przez organ ochrony danych.Link
884HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-213 000 000,00 €CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. grzywnę w wysokości 3 000 000 EUR. Osoba fizyczna złożyła skargę przeciwko administratorowi danych. Powodem było to, że Caixabank zażądał informacji o niej od firmy, mimo że ta ostatnia nie jest klientem Caixabank od 2014 r. i że została ona uwzględniona w kampanii reklamowej mającej na celu zaoferowanie jej kredytu. Caixabank wykorzystał dane osób fizycznych do oceny ich zdolności kredytowej bez ich zgody. Posłużyło to do stworzenia profili finansowych osób, których dane dotyczą, i reklamowania im na tej podstawie określonych usług finansowych (np. kart kredytowych lub pożyczek). Czyniąc to, organ ochrony danych stwierdził, że administrator nie uzyskał skutecznej zgody osób, których dane dotyczą. Prawdą jest, że osoby, których dane dotyczą, w pewnym momencie wyraziły zgodę na przetwarzanie ich danych przez całą Grupę CaixaBank. Jednakże administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych, w tym o profilowaniu. Na przykład administrator dostarczył osobom, których dane dotyczą, jedynie ogólne informacje o różnych operacjach przetwarzania danych na potrzeby profilowania, tak więc osoby, których dane dotyczą, nie mogły dokładnie wiedzieć, na czym polega przetwarzanie, na które wyraziły zgodę.Link
883Wielka BrytaniaInformation Commissioner (ICO)2021-10-1811 800,00 €HIV ScotlandArt. 5 (1) f) RODO, Art. 32 (1), (2) RODOBrytyjski urząd ochrony danych osobowych (ICO) nałożył karę w wysokości 11 800 euro na organizację non-profit HIV Scotland. Administrator wysłał wiadomość e-mail do 105 osób, których adresy e-mail z listy mailingowej były widoczne dla wszystkich odbiorców. W przypadku 65 adresów e-mail można było zidentyfikować osoby na podstawie nazwiska. Na podstawie dostarczonych danych osobowych można było wyciągnąć wnioski na temat statusu HIV lub ryzyka związanego z tymi osobami. Organ ochrony danych stwierdził, że organizacja nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka. Na przykład, organizacja przeprowadziła nieodpowiednie szkolenie pracowników i stosowała niewłaściwe metody wysyłania masowych wiadomości e-mail.Link Link
882HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-192 000,00 €BEEPING FULFILMENT S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na BEEPING FULFILMENT S.L. grzywnę w wysokości 2.000 euro. Administrator nie podał wymaganych informacji o celach i sposobach przetwarzania danych w polityce prywatności prowadzonej przez siebie strony internetowej. Organ ochrony danych uznał to za naruszenie art. 13 RODO.Link
881HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-1940 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) ukarał Vodafone España, S.A.U. grzywną w wysokości 40 000 euro. Osoba fizyczna złożyła skargę do organu ochrony danych przeciwko Vodafone za obciążenie jej rachunku bankowego w maju 2020 r. za linię telefoniczną Vodafone, której właścicielem nie był on, lecz jego była partnerka. Jak się okazało, była partnerka skarżącego zawarła umowę z Vodafone na jego nazwisko. Stwierdziła, że była do tego upoważniona, ale nie przedstawiła na to żadnego dowodu. Organ ochrony danych stwierdził, że Vodafone przetwarzał dane skarżącego niezgodnie z prawem. Przestrzeganie zasady legalności przy przetwarzaniu danych osób trzecich wymaga bowiem, aby administrator był w stanie udowodnić, że przetwarzanie jest zgodne z prawem.Link
880RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-10-215 000,00 €Glove Technology SRLArt. 5 (1) a) RODO, Art. 6 (1) a) RODORumuński organ ochrony danych osobowych (ANSPDCP) nałożył na Glove Technology SRL grzywnę w wysokości 5.000 EUR. Administrator zainstalował system nadzoru wideo, który audiowizualnie monitorował pracowników w ich miejscu pracy i nagrywał rozmowy między nimi w celu wykorzystania ich przeciwko nim. Organ ochrony danych uznał, że administrator naruszył art. 5 (1) a) RODO i art. 6 (1) RODO.Link
879HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-1970 000,00 €Vodafone España, S.A.U.Art. 21 RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) nałożył na VODAFONE ESPAÑA, S.A.U. grzywnę w wysokości 70.000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymywała promocyjne wiadomości e-mail od Vodafone bez wyraźnej zgody i bez uprzedniego nawiązania stosunku umownego. Następnie osoba, której dane dotyczą, sprzeciwiła się otrzymywaniu przyszłych wiadomości e-mail. Vodafone potwierdził ten sprzeciw. Mimo to osoba, której dane dotyczą, otrzymała kilka miesięcy później cztery e-maile reklamowe. Grzywna składa się z 50 000 EUR za naruszenie art. 21 RODO i 20 000 EUR za naruszenie art. 21 LSSI.Link
878NorwegiaDatatilsynet2021-10-18412 000,00 €Gmina Østre TotenArt. 5 (1) f) RODO, Art. 32 RODONorweski organ ochrony danych osobowych nałożył na gminę Østre Toten grzywnę w wysokości 412 000 EUR. Gmina ucierpiała w wyniku cyberataku w styczniu 2021 r., w wyniku którego dane gminy zostały zaszyfrowane, a kopie zapasowe usunięte. Większa ilość danych została później opublikowana w darknecie. W wyniku ataku ucierpiało około 30 000 dokumentów. Dokumenty te zawierały m.in. informacje o pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności do związków zawodowych, orientacji seksualnej, stanie zdrowia, a także dane bankowe mieszkańców i pracowników gminy. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że w gminie istniały zasadnicze braki w zakresie bezpieczeństwa danych osobowych i związanych z tym kontroli wewnętrznych, m.in. gmina nie stosowała dwuskładnikowego uwierzytelniania przy logowaniu się do systemów i nie posiadała odpowiednich systemów tworzenia kopii zapasowych.Link
877WłochyGarante per la protezione dei dati personali (Garante)2021-09-163 296 326,00 €Sky Italia S.r.l.Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 12 (2) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. 29 RODOWłoski urząd ochrony danych osobowych (Garante) ukarał spółkę Sky Italia S.r.l. grzywną w wysokości 3 296 326 euro za nielegalny telemarketing. Decyzja organu została podjęta w wyniku kompleksowego dochodzenia wszczętego po otrzymaniu dziesiątek zgłoszeń i skarg od osób, które twierdziły, że otrzymywały niezamówione telefony i SMS-y promocyjne zarówno bezpośrednio od Sky Italia, jak i za pośrednictwem centrów obsługi telefonicznej innych przedsiębiorstw. W tym względzie organ ochrony danych stwierdził, że połączenia promocyjne były wykonywane bez odpowiedniego poinformowania użytkowników (na przykład o pochodzeniu danych osobowych przekazywanych Sky Italia). W ten sposób osoby, których dane dotyczą, miałyby możliwość skontaktowania się z firmą, która zgromadziła dane, i sprzeciwienia się ich przetwarzaniu. Dopiero po uzyskaniu zgody spółka Sky mogłaby przystąpić do składania ofert handlowych. Do tych celów promocyjnych Sky wykorzystywała listy danych, które nabyła od innych spółek. Wbrew temu, co twierdzi Sky Italia, zgoda na udostępnienie danych osobom trzecim, udzielona przez osoby, których dane dotyczą, spółkom, od których Sky Italia nabyła listy, nie upoważniała Sky Italia do wykorzystania tych danych do własnych celów promocyjnych. Ponadto Sky nie zweryfikowała listy osób, które nie wyraziły zgody na kontakt w celach reklamowych, przed wykonaniem połączeń reklamowych. W rezultacie kilka osób, których dane dotyczą, otrzymało telefony reklamowe pomimo wyraźnego sprzeciwu. Ponadto organ ochrony danych stwierdził, że Sky nie wyznaczyła w odpowiedni sposób dostawców list jako podmiotów przetwarzających dane. Określając wysokość grzywny, organ ochrony danych wziął pod uwagę fakt, że naruszenia miały charakter "systemowy" i były zakorzenione w działalności spółki, jak również to, że spółka Sky powinna była zdobyć wystarczające doświadczenie i kompetencje do podejmowania podstawowych decyzji zgodnie z przepisami o ochronie danych ze względu na swoje stałe kontakty z organem oraz długotrwałą obecność na rynku.Link Link
876WłochyGarante per la protezione dei dati personali (Garante)2021-09-16200 000,00 €Uniwersytet BocconiArt. 5 (1) a), c), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 RODO, Art. 25 RODO, Art. 35 RODO, Art. 44 RODO, Art. 46 RODOWłoski organ ochrony danych (Garante) nałożył na Uniwersytet Bocconi grzywnę w wysokości 200 000 EUR. Jeden ze studentów złożył skargę do organu ochrony danych o możliwych naruszeniach RODO związanych z wykorzystaniem systemu monitorowania podczas egzaminów pisemnych. W kontekście sytuacji kryzysowej wywołanej pandemią wirusa Covid-19, uniwersytet wyposażył się w oprogramowanie do zdalnego monitorowania Respondus, dostarczone przez amerykańską firmę Respondus Inc. w celu zapewnienia normalnego przebiegu egzaminów, ponieważ nie było możliwości zdawania ich na żywo i osobiście, jak to miało miejsce zazwyczaj. Oprogramowanie było w stanie monitorować zachowanie studentów za pomocą nagrań wideo i zrzutów ekranu wykonywanych w losowych odstępach czasu. Dodatkowo, egzamin był nagrywany audiowizualnie, a na początku egzaminu każdemu zdającemu robiono zdjęcie. Pod koniec egzaminu system przetwarzał nagranie wideo, wprowadzał sygnały ostrzegawcze dotyczące ewentualnych oznak nieprawidłowego zachowania i m.in. przypisywał tzw. priorytet przeglądu, tak aby egzaminator mógł następnie ocenić, czy podczas egzaminu nie doszło do popełnienia niedozwolonego czynu. W swoim dochodzeniu organ ochrony danych stwierdził, że studenci nie zostali odpowiednio poinformowani o przetwarzaniu ich danych osobowych w związku z korzystaniem z systemu Respondus. Nie poinformowano ich również, że będą nagrywani audiowizualnie, a obrazy będą następnie przetwarzane, ani że na początku egzaminu będą zobowiązani do okazania dokumentu tożsamości i wykonania zdjęcia panoramicznego otoczenia. Ponadto studenci nie otrzymali informacji dotyczących konkretnych okresów przechowywania danych osobowych. Osoby, których dane dotyczą, nie zostały również poinformowane, że ich dane osobowe zostaną przekazane do Stanów Zjednoczonych; zamiast tego zostały one jedynie ogólnie poinformowane, że dane osobowe będą przetwarzane zarówno na terytorium Unii Europejskiej, jak i poza nim. Ponadto, organ ochrony danych stwierdził, że niewielka ilość informacji, które otrzymali studenci, została przedstawiona w sposób fragmentaryczny i niezorganizowany w różnych dokumentach. Organ ochrony danych uznał to za naruszenie zasad zgodności z prawem, rzetelności i przejrzystości. Organ stwierdził również, że uniwersytet przetwarzał dane osobowe bez ważnej podstawy prawnej. Tym samym zgoda na przetwarzanie danych osobowych była warunkiem wstępnym uczestnictwa w egzaminach. Jako alternatywę dla egzaminów online zaproponowano możliwość zdawania egzaminów osobiście. Jednak w obliczu pandemii oznaczało to również zwiększone ryzyko dla zdrowia. Studenci obawiali się również, że odmowa przystąpienia do egzaminów online wpłynie negatywnie na ich oceny. W związku z tym organ ochrony danych stwierdził, że zgody studentów nie można uznać za dobrowolną. Ponadto, organ ochrony danych stwierdził, że uniwersytet przechowywał dane przez 12 miesięcy, chociaż nie było to konieczne do celów zapewnienia prawidłowego przeprowadzania egzaminów. Ostatecznie organ ochrony danych stwierdził naruszenia związane z przekazywaniem danych do firmy Respondus. Umowa o przetwarzaniu danych między uczelnią a Respondus nadal opierała się na umowie Privacy Shield między UE a USA, mimo że została ona unieważniona orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schrems II. Z tego powodu organ ochrony danych stwierdził, że uniwersytet przekazał dane osobowe do państwa trzeciego, mimo że przekazanie to nie było zgodne z warunkami określonymi w rozdziale V RODO.Link
875IrlandiaData Protection Commission (DPC)2021-10-06Zamiar nałożenia karyFacebook Ireland LimitedArt. 5 (1) a) RODO, Art. 12 (1) RODO, Art. 13 (1) c) RODOOrganizacja "None of your business" (NOYB) opublikowała 13 października 2021 r. projekt decyzji irlandzkiego organu ochrony danych (DPC), z którego wynika, że proponuje ona nałożenie na Facebooka grzywny w wysokości od 28 mln do 36 mln euro. Projekt odnosi się przede wszystkim do faktu, że Facebook zawarł szczegóły dotyczące przetwarzania danych w swoich warunkach świadczenia usług, powołując się tym samym na Art. 6 ust. 1 lit. b), a nie na zgodę zgodnie z art. 6 ust. 1 lit. a) RODO. Krytycy uważają to za lukę wykorzystywaną przez Facebooka w celu obejścia bardziej rygorystycznych wymogów RODO dotyczących zgody zgodnie z art. 6 (1) a) RODO. DPC podkreśla jednak, że RODO nie ustanawia hierarchii podstaw prawnych, które mogą być wykorzystywane do przetwarzania danych osobowych. DPC zauważył jednak, że Facebook nie przedstawił jasnych informacji na temat swojej podstawy prawnej przetwarzania danych i podkreślił, że informacje dostarczone przez Facebook są nieciągłe, a użytkownicy są odsyłani do różnych dokumentów i tekstów polityki danych i warunków świadczenia usług. W konkluzji swojego projektu DPC stwierdza, że Facebook naruszył w ten sposób art. 5 (1) a) RODO, art. 12 (1) RODO i art. 13 (1) c) RODO. Projekt decyzji zostanie teraz przekazany innym europejskim organom ochrony danych, aby mogły się do niego odnieść.Link
874WłochyGarante per la protezione dei dati personali (Garante)2021-09-165 000,00 €Ciechi Ardizzone Gioeni di CataniaArt. 5 (1) a), c) RODO, Art. 12 (1) RODO, Art. 13 RODO, Art. 35 RODOWłoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 5.000 euro na dom opieki dla osób niewidomych Ciechi Ardizzone Gioeni di Catania. Osoba odwiedzająca ten dom złożyła skargę do organu ochrony danych. Opierał ją na zainstalowanym w mieszkaniu systemie monitoringu. System ten zarejestrował m.in. korytarz łączący mieszkanie z ogólnodostępnymi prysznicami. Co więcej, nagrania były nie tylko rejestrowane, ale również wyświetlane w czasie rzeczywistym na monitorach pracowników konsjerża, co stwarzało ryzyko, że obrazy mogły być również przypadkowo oglądane przez gości lub dostawców. W trakcie dochodzenia administracja instytutu uzasadniała instalację systemu nadzoru wideo, powołując się na potrzebę zapobiegania kradzieżom i zapewnienia zdrowia mieszkańców poprzez uniemożliwienie nieuprawnionego dostępu w okresie pandemii. Organ ochrony danych stwierdził, że instytut naruszył w ten sposób zasady legalności, przejrzystości i minimalizacji danych. Fakt, że - jak twierdził instytut - przejście gości do pomieszczeń z prysznicami było filmowane tylko sporadycznie i przez krótki czas oraz że jakość nagrań nie była "idealnie czysta", nie rozwiązuje kwestii bezprawności nagrań. Ponadto, organ ochrony danych zauważył, że pewne proceduralne środki ostrożności - takie jak zaplanowanie okien czasowych w celu wyłączenia kamer, aby umożliwić gościom odwiedzenie pomieszczeń z prysznicami bez bycia filmowanymi, lub tymczasowe zapewnienie bezpieczeństwa miejsc poprzez alternatywne środki, takie jak wykorzystanie pracowników ochrony - mogą pozwolić instytutowi na realizację celu nadzoru wideo w równie skuteczny sposób i uniknięcie nieuzasadnionego ograniczenia wolności osób, których dane dotyczą. Ponadto, organ ochrony danych stwierdził, że instytut nie wypełnił należycie swojego obowiązku informacyjnego. Instytut przekazał osobom, których dane dotyczą, szczegółowe informacje na temat systemu nadzoru wideo na tablicy ogłoszeń dopiero po rozpoczęciu dochodzenia. Tego typu informacje nie są jednak odpowiednie dla osób niedowidzących. Instytut powinien był dostarczyć mieszkańcom nagraną wcześniej wiadomość audio, którą można by odtworzyć w razie potrzeby.Link
873AustriaÖsterreichische Datenschutzbehörde (DSB)20211 200 000,00 €Program lojalnościowy dla klientówNieznanaWedług gazety "Der Standard" austriacki urząd ochrony danych osobowych nałożył na program lojalnościowy dla klientów z 2021 roku grzywnę w wysokości 1,2 mln euro. Dalsze informacje nie zostały jeszcze ujawnione.Link
872AustriaÖsterreichische Datenschutzbehörde (DSB)20214 000 000,00 €BankNieznanaWedług gazety "Der Standard" austriacki organ ochrony danych (DSB) nałożył na bank w 2021 r. grzywnę w wysokości 4 mln EUR. Dalsze informacje nie zostały jeszcze ujawnione.Link
871AustriaÖsterreichische Datenschutzbehörde (DSB)2021-09-289 500 000,00 €Poczta AustriackaNieznanaAustriacki urząd ochrony danych osobowych nałożył 28 września 2021 r. na Pocztę Austriacką grzywnę w wysokości 9,5 mln euro. Główny zarzut polega na tym, że oprócz opcji kontaktu stosowanych przez Pocztę Austriacką za pośrednictwem poczty, internetowego formularza kontaktowego i działu obsługi klienta, zapytania dotyczące ochrony danych powinny być również dozwolone za pośrednictwem poczty elektronicznej. Według gazety "Der Standard" Poczta Austriacka wprowadziła jedynie formularz kontaktowy dla zapytań dotyczących ochrony danych, aby zautomatyzować proces składania zapytań i uzyskać wszystkie informacje niezbędne do ich rozpatrzenia.Link i Link
870HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-1340 000,00 €Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych nałożył grzywnę na Vodafone España, S.A.U.. Pewna kobieta złożyła skargę na administratora na podstawie faktu, że administrator przesłał na jej adres e-mail rachunki telefoniczne należące do osoby trzeciej. Po zwróceniu uwagi administratorowi danych na ten fakt, nie otrzymała żadnej odpowiedzi. W związku z tym skontaktowała się telefonicznie z administratorem w tej sprawie. Żaden z pracowników nie był jednak w stanie pomóc jej w tej sprawie. Organ ochrony danych stwierdził, że administrator danych naruszył zasadę integralności i poufności określoną w art. 5 ust. 1 lit. f) RODO, oraz że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 40 000 EUR ze względu na dobrowolną zapłatę.Link
869WłochyGarante per la protezione dei dati personali (Garante)2021-09-165 000,00 €La Prima S.r.l.Art. 5 RODO, Art. 6 RODO, Art. 24 RODO, Art. 25 RODOWłoski organ ochrony danych (Garante) nałożył na portal nieruchomości La Prima S.r.l. grzywnę w wysokości 5.000 euro. Osoba, której dane dotyczą, złożyła skargę na administratora danych do organu ochrony danych. Skarżyła się ona na otrzymanie prośby o kontakt na Linkedin od pracownika La Prima, którego celem było zaoferowanie usług w zakresie nieruchomości związanych z konkretną nieruchomością należącą do osoby, której dane dotyczą. Administrator uzyskał informacje dotyczące własności nieruchomości przez osobę, której dane dotyczą, z ogólnodostępnego rejestru publicznego. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na taką formę kontaktu. W trakcie postępowania wyjaśniającego prowadzonego przez organ ochrony danych administrator twierdził, że zgodę na kontaktowanie się z nim przez inne osoby można wywnioskować z faktu posiadania przez niego publicznego profilu. Organ ochrony danych zauważył jednak, że wymiana informacji za pośrednictwem sieci społecznościowej powinna umożliwiać jedynie to, co zostało określone w odpowiednich warunkach użytkowania. Organ ochrony danych wyjaśnił, że platforma ma umożliwiać wymianę informacji kontaktowych w celu składania ofert pracy. Nie jest natomiast zamierzone, aby użytkownicy wykorzystywali platformę do wysyłania wiadomości do innych użytkowników w celu sprzedaży usług. Ponadto nie ma znaczenia, czy profil użytkownika jest publiczny czy nie. W związku z tym organ ochrony danych stwierdził, że administrator przetwarzał dane niezgodnie z prawem.Link
868HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-1110 000,00 €MAF.COM ESQUI CLUBArt. 7 RODOHiszpański organ ochrony danych (AEPD) nałożył na MAF.COM ESQUI CLUB grzywnę w wysokości 10 000 euro. Matka niepełnoletniej dziewczynki, która uczęszczała na lekcje jazdy na nartach u administratora, złożyła skargę do organu ochrony danych na tego ostatniego. Administrator opublikował na swojej stronie internetowej i kanałach mediów społecznościowych filmy wideo z córką matki bez jej zgody. Zdjęcia były rozpowszechniane wyłącznie za zgodą ojca, który zapisał dziewczynkę na kurs narciarski. W chwili zdarzenia rodzice dziewczynki byli rozwiedzeni. Organ ochrony danych stwierdził, że administrator danych nie uzyskał zgody obojga rodziców, a tym samym przetwarzał zdjęcia bez ważnej podstawy prawnej.Link
867HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-0830 000,00 €ORANGE ESPAGNE, S.A.U. Art. 6 (1) a) RODOHiszpański urząd ochrony danych osobowych nałożył grzywnę na ORANGE ESPAGNE, S.A.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych osobowych, ponieważ otrzymała łącznie 30 połączeń od pracowników Jazztel (spółki zależnej Orange Espagne, S.A.U.) oraz wiadomości tekstowych w okresie od 01.03.2021 r. do 03.03.2021 r., nie będąc nigdy klientem tej spółki. Następnie zażądała usunięcia jej numeru telefonu z bazy danych spółki. Mimo że administrator potwierdził usunięcie danych, nadal otrzymywała ona od niego połączenia i wiadomości tekstowe. Pierwotna grzywna w wysokości 50 000 EUR została obniżona do 30 000 EUR ze względu na uznanie winy i dobrowolną zapłatę.Link
866LuksemburgCommission nationale pour la protection des données (CNPD)2021-08-05135 000,00 €Towarzystwo ubezpieczeniowe Art. 5 (1) f) RODO, Art. 32 (1) a), b) RODO, Art. 33 (1), (5) RODOOrgan ochrony danych osobowych w Luksemburgu nałożył na firmę ubezpieczeniową grzywnę w wysokości 135 000 EUR. W dniu 19 października 2018 r. pracownik administratora danych wysłał wiadomość e-mail do niezaangażowanej osoby trzeciej zamiast do osoby, której dane dotyczą. Nastąpiło to z powodu błędu pracownika, który nieprawidłowo wprowadził adres e-mail osoby, której dane dotyczą. Oprócz imienia i nazwiska oraz płci osoby, której dane dotyczą, e-mail zawierał również szczegółowe informacje o chorobach osoby, której dane dotyczą. Ponadto w załączniku znajdowały się trzy formularze dotyczące chorób, które osoba, której dane dotyczą, zgłosiła w związku z zawarciem polisy ubezpieczeniowej na życie. 29 listopada miał miejsce ten sam incydent. Drugi błędnie skierowany e-mail zawierał, oprócz imienia i nazwiska osoby, której dane dotyczą, bardzo szczegółowe pytania dotyczące konkretnej patologii, nazwisko lekarza, adres tego lekarza oraz dwa puste formularze związane z tą patologią do wypełnienia przez tę osobę lub jej lekarza. Organ ochrony danych zauważył, że nie został poinformowany o naruszeniu danych w odpowiednim czasie zgodnie z art. 33 RODO. Firma nie dopełniła również obowiązku dokumentacyjnego zgodnie z art. 33 (5) RODO. Ponadto organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą.Link
865HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-054 000,00 €CLUB DEPORTIVO SANSUEÑA, S.L.Art. 5 (1) e) RODO, Art. 6 RODO, Art. 32 (1) b), d) RODOHiszpański organ ochrony danych (AEPD) nałożył na CLUB DEPORTIVO SANSUEÑA, S.L. grzywnę w wysokości 4 000 EUR za dodanie numeru telefonu komórkowego osoby, której dane dotyczą, do grupy WhatsApp bez zgody tej osoby.Link
864HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-10-045 000,00 €CALDERERIA Y SOLDADURA DE ESTRUCTURAS METALICAS, S.L.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na spółkę CALDERERIA Y SOLDADURA DE ESTRUCTURAS METALICAS, S.L. grzywnę w wysokości 5 000 EUR za niezgodne z prawem przetwarzanie danych osoby fizycznej. Wcześniej CYNGASA, S.L. udostępniła dane administratorowi bez zgody osoby, której dane dotyczą. Dane, o których mowa, obejmowały między innymi imię i nazwisko oraz numer ubezpieczenia społecznego. CYNGASA, S.L. została również ukarana grzywną w odrębnym postępowaniu.Link
863NorwegiaDatatilsynet2021-09-2112 500,00 €Ultra-Technology ASArt. 6 (1) RODONorweski Urząd Ochrony Danych Osobowych nałożył na Ultra-Technology AS grzywnę w wysokości 12 500 EUR. Powodem nałożenia grzywny jest skarga osoby, której dane dotyczyły, a która została sprawdzona pod kątem zdolności kredytowej bez jakichkolwiek relacji lub innych powiązań z Ultra-Technology AS.Link
862HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-041 000,00 €Właściciel sklepuArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na właściciela sklepu karę w wysokości 1.000 euro. Administrator zainstalował system nadzoru wideo, jednak nie umieścił znaków informujących o stosowaniu nadzoru wideo.Link
861HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-042 000,00 €Właściciel sklepuArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 2.000 euro na właściciela sklepu. Administrator danych zainstalował system nadzoru wideo, który obejmował m.in. publiczną ulicę. W związku z tym, organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych.Link
860HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-041 500,00 €AMPUDIA DIAZ, S.L.Art. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na spółkę AMPUDIA DIAZ, S.L. karę pieniężną w wysokości 1.500 euro. Administrator zainstalował w swojej siedzibie system nadzoru wideo, który rejestrował m.in. przyległy publiczny chodnik. Umożliwiło to nagrywanie przechodniów. Administrator nie zainstalował żadnych znaków informujących o monitoringu wizyjnym. Organ Ochrony Danych stwierdził, że administrator naruszył zasadę minimalizacji danych oraz obowiązek informacyjny. Grzywna wynosi 1 000 EUR za naruszenie art. 5(1)(c) RODO oraz 500 EUR za naruszenie art. 13 RODO.Link
859NorwegiaDatatilsynet2021-09-2075 600,00 €ST. OLAVS HOSPITAL HFArt. 32 RODO, § 22 pasientjournalloven, § 23 pasientjournallovenNorweski urząd ochrony danych osobowych nałożył na szpital St. Olav's Hospital karę w wysokości 75 600 EUR. W szpitalu doszło do trzech wycieków danych. Pierwszy incydent miał miejsce między 13 stycznia 2011 r. i 27 stycznia 2020 r. na szpitalnym oddziale kardiologicznym w następstwie aktualizacji nowego, zorientowanego na leczenie rejestru zdrowia dla pracowni kardiologicznej. W związku z aktualizacją użyto serwera testowego, na którym tymczasowo buforowano raporty leczenia, a następnie kopiowano je do nowego systemu. Raporty na serwerze testowym nie zostały jednak skasowane. Ponadto wystąpił kolejny błąd, który umożliwił dostęp do raportów wszystkim uwierzytelnionym pracownikom. Problem dotyczył około 21 000 raportów. Drugie naruszenie miało miejsce w okresie od 17 maja 2015 r. do 28 stycznia 2020 r., kiedy raporty z urządzeń medycznych (pulsoksymetrów do długotrwałego pomiaru nasycenia tlenem i pulsu) były przechowywane w obszarze plików dostępnym dla każdego pracownika posiadającego uwierzytelnione i aktywne konto. Trzecie naruszenie miało miejsce w okresie od 01 stycznia 2018 roku do 09 grudnia 2019 roku. Hasła do różnych baz danych były przechowywane w postaci jawnego tekstu w pliku na serwerze szpitala. Pracownicy posiadający aktywne konto w systemie szpitalnym byli w stanie najpierw połączyć się z serwerem poprzez zdalny pulpit, a następnie wyszukać w bazie danych plik z hasłem. Organ stwierdził, że szpital nie ustanowił skutecznej kontroli dostępu.
Link
858NorwegiaDatatilsynet2021-09-2040 200,00 €Gmina HøylandetArt. 32 (1) b), (2) RODONorweski Urząd Ochrony Danych nałożył na gminę Høylandet karę w wysokości 40 200 EUR. Ta ostatnia zgłosiła naruszenie ochrony danych do organu ochrony danych zgodnie z art. 33 RODO. Pracownica uzyskała dostęp do kilku plików graficznych (bitmap), gdy musiała utworzyć nowe szablony listów i wstawić logo z pliku graficznego. Pliki graficzne, do których pracownik miał dostęp, zawierały poufne informacje o osobach, które nie miały żadnego związku z gminą Høylandet. Informacje te zawierały między innymi dane dotyczące zdrowia. Organ ochrony danych stwierdził, że gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, na jakie narażone były osoby, których dane dotyczą. Zamiast tego gmina stwierdziła, że po prostu poprosiła pracowników korzystających z odpowiedniego programu komputerowego, aby unikali otwierania plików bitmapowych, które nie zostały utworzone przez gminę. Błąd został w międzyczasie skorygowany, a gmina wprowadziła nowy system kontroli wewnętrznej.Link
857DaniaDatatilsynet2021-09-29107 000,00 €Duńskie Towarzystwo OnkologiczneArt. 32 RODODuński urząd ochrony danych (DPA) nałożył na Duńskie Towarzystwo Onkologiczne grzywnę w wysokości 107 000 EUR za nieprzestrzeganie wymogów RODO dotyczących odpowiednich środków bezpieczeństwa. Duńskie Towarzystwo Onkologiczne zgłosiło cztery przypadki naruszenia danych zgodnie z art. 33 RODO do organu ochrony danych. Dwa z nich dotyczyły kradzieży komputerów, dwa ataków phishingowych - i wszystkie cztery wynikały z niewdrożenia przez Duńską Fundację Onkologiczną środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dla osób, których dane dotyczą. Do podobnego naruszenia danych osobowych doszło już w sierpniu 2018 r., kiedy Fundacja padła ofiarą ataków hakerskich typu phishing i spoofing. W tym kontekście Duńskie Towarzystwo Onkologiczne stwierdziło, że powinno zwiększyć ochronę poprzez uwierzytelnianie wieloczynnikowe, jednak nie zostało to wdrożone. Naruszone zostały dane co najmniej 1 448 osób, a w kilku przypadkach dotyczyły one wrażliwych danych osobowych dotyczących zdrowia, w tym historii medycznej.Link
856HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-2910 000,00 €ACONCAGUA JUEGOS S.A.Art. 37 RODOHiszpański organ ochrony danych (AEPD) nałożył na ACONCAGUA JUEGOS S.A. karę w wysokości 10.000 EUR. Administrator nie wyznaczył inspektora ochrony danych i tym samym naruszył art. 37 RODO.Link
855HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-295 000,00 €CYNGASA, S.L.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na CYNGASA, S.L. karę w wysokości 5 000 EUR. Osoba, której dane dotyczą, prosząc o raport z pracy, odkryła, że administrator danych ujawnił jej dane osobowe firmie zewnętrznej bez jej zgody. Dane te obejmowały między innymi imię i nazwisko, jak również numer ubezpieczenia społecznego.Link
854HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-283 000,00 €Właściciel baruArt. 5 (1) b) RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela baru karą pieniężną w wysokości 3 000 euro. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Uległ on w barze wypadkowi, który został zarejestrowany przez kamery monitoringu. Administrator twierdzi, że zainstalował kamery do celów bezpieczeństwa. W późniejszym czasie nagranie zostało rozpowszechnione za pośrednictwem WhatsApp i opublikowane w gazecie cyfrowej. Osoba, której dane dotyczą, twierdzi, że publikacja tego nagrania wpłynęła na jej reputację. Organ ochrony danych stwierdza, że publikacja obrazów nie była związana z celem nadzoru wideo i że w związku z tym administrator naruszył art. 5 (1) b) RODO.Link
853HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-1456 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. karę za niewystarczającą podstawę prawną dla przetwarzania danych. Podmiot danych stwierdził, że otrzymał telefon od Vodafone, w którym ta ostatnia zażądała od niego zapłaty za trzy linie telefoniczne. W rozmowie telefonicznej wyjaśnił Vodafone, że wspomniane linie nie zostały przez niego zamówione ani autoryzowane, w związku z czym poprosił o przesłanie faktur. W trakcie dochodzenia, organ ochrony danych ustalił, że nieupoważniona osoba trzecia zawarła umowy na linie telefoniczne w imieniu osoby, której dane dotyczą. Ponadto, organ ten stwierdził, że Vodafone nie zweryfikował tożsamości osoby, która zawarła umowę oraz nie podjął niezbędnych środków ostrożności w celu zapewnienia, że takie przypadki nie będą miały miejsca. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR w związku z dobrowolną wpłatą.Link
852HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-1456 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył karę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że nieupoważnione osoby trzecie uzyskały dostęp do jej konta w Vodafone i podpisały w jej imieniu trzy umowy na telefon komórkowy. Inspektor ochrony danych stwierdził, że Vodafone nie sprawdził, czy umowy były zgodne z prawem i rzeczywiście zawarte przez osobę, której dane dotyczą. Umowy zostały zawarte, mimo że nie zostały podpisane, a informacje podane przez oszusta, takie jak adres czy data urodzenia, nie zgadzały się z danymi osoby, której dane dotyczą. Pierwotna grzywna w wysokości 70 000 EUR została obniżona do 56 000 EUR w związku z dobrowolną wpłatą.Link
851NorwegiaDatatilsynet2021-09-27496 000,00 €Ferde AS Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 28 (3) RODO, Art. 32 (2) RODO, Art. 44 RODONorweski Urząd Ochrony Danych ukarał Ferde AS, norweską spółkę zajmującą się opłatami drogowymi, karą pieniężną w wysokości 496 000 EUR. Dzięki sprawozdaniu na temat państwowego nadawcy NRK norweski organ ochrony danych dowiedział się, że Ferde AS przekazywała informacje o przejazdach w płatnych obwodnicach podmiotowi przetwarzającemu dane w Chinach. Na tej podstawie organ ochrony danych wszczął dochodzenie w sprawie tego, czy Ferde wdrożyła procedury i środki zapewniające odpowiednie bezpieczeństwo informacji przekazywanych do Chin. W ramach swojej działalności Ferde jest odpowiedzialne za rejestrację przejazdów w punktach poboru opłat. Rejestracji tej dokonuje się zazwyczaj za pomocą chipa umieszczonego w samochodzie. Jeżeli chip w samochodzie nie jest prawidłowo zarejestrowany lub samochód nie posiada chipa, robione jest zdjęcie tablicy rejestracyjnej samochodu. Zdjęcia te są następnie przesyłane do automatycznego systemu optycznego rozpoznawania znaków w celu cyfrowego odczytania tablicy rejestracyjnej. W przypadkach, gdy jakość obrazu nie jest wystarczająco dobra do automatycznej interpretacji, obraz jest przesyłany do ręcznego przetwarzania. Ferde zleciło to zadanie firmie Unitel Bratseth Services (UBS), która zatrudnia pracowników również w Chinach. Po przeprowadzeniu dochodzenia organ ochrony danych doszedł do wniosku, że Ferde AS naruszyła szereg podstawowych obowiązków wynikających z RODO przez okres 1-2 lat. Po pierwsze, Ferde nie przeprowadziła oceny ryzyka przed przetwarzaniem danych osobowych i przed zastosowaniem ręcznego przetwarzania obrazu przez podmiot przetwarzający. Byłoby to jednak konieczne, aby ocenić ryzyko związane z przekazywaniem danych i ustalić, czy konieczne mogą być dalsze środki bezpieczeństwa. Ponadto organ ochrony danych stwierdził, że Ferde nie zawarła odpowiedniej umowy z podmiotem przetwarzającym dane w odniesieniu do przetwarzania danych UBS, w związku z czym przekazanie przedmiotowych danych osobowych do Chin odbyło się bez ważnej podstawy prawnej. Określając wysokość grzywny, organ ochrony danych wziął pod uwagę okoliczność obciążającą, jaką jest fakt, że naruszenie dotyczyło dużej ilości danych osobowych. Z drugiej strony, fakt, że nie można było udowodnić żadnej materialnej lub niematerialnej szkody dla poszkodowanych stron, miał skutek łagodzący.

Link i Link
850HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-1456 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył karę na Vodafone España, S.A.U. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, stwierdziła, że nieuprawnione osoby trzecie uzyskały dostęp do jej konta Vodafone i zarezerwowały w jej imieniu pakiet Vodafone Unlimited, a także zakupiły iPhone'a 11 Pro Max w ratach. Organ ochrony danych zauważa, że administrator nie sprawdził w odpowiedni sposób, czy umowy zostały zawarte zgodnie z prawem i faktycznie przez osobę, której dane dotyczą. Pierwotna grzywna w wysokości 70 000 EUR została zmniejszona do 56 000 EUR ze względu na dobrowolną zapłatę.Link
849HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-1456 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. karę za niewystarczającą podstawę prawną do przetwarzania danych. Osoba, której dane dotyczą, oświadczyła, że na jej nazwisko zarejestrowano kilka linii telefonicznych. Jednakże osoba, której dane dotyczą, nigdy nie podpisała z firmą umowy na żadną z tych linii. Umowy te zostały raczej zawarte przez oszustów przy wykorzystaniu danych osobowych osoby, której dane dotyczą. Dane osobowe zostały jednak wprowadzone do systemów informatycznych spółki bez sprawdzenia, czy umowy zostały zawarte przez osobę, której dane dotyczą, zgodnie z prawem i w rzeczywistości. Pierwotna grzywna w wysokości 70 000 EUR została obniżona do 56 000 EUR w związku z dobrowolną wpłatą.Link
848HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-243 000,00 €NieznanyArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na pewną firmę karę w wysokości 3.000 euro. Firma ta żądała od klientów różnych danych osobowych w celu rezerwacji wizyt. Organ ochrony danych stwierdził, że administrator danych nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych zgodnie z art. 13 RODO.Link
847Wyspa ManInformation Commissioner2020-12-113 250,00 €Cosmetic Medical LimitedArt. 31 RODOOrgan Ochrony Danych Wyspy Man nałożył na Cosmetic Medical Limited karę pieniężną w wysokości 3 250 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych w związku z niezastosowaniem się przez administratora do jej wniosku o skorzystanie z prawa dostępu do danych osobowych. W ramach postępowania wyjaśniającego organ ochrony danych wysłał do administratora danych wniosek o udzielenie informacji w celu wyjaśnienia faktów w tej sprawie. Administrator danych nie odpowiedział jednak na ten wniosek w odpowiednim czasie. Organ ochrony danych stwierdził, że ponieważ administrator nie współpracował należycie z organami, naruszył art. 31 RODO.Link
846NiemcyOrgan ochrony danych osobowych Hamburga2021-09-24900 000,00 €Vattenfall Europe Sales GmbHArt. 12 RODO, Art. 13 RODOOrgan ochrony danych osobowych z Hamburga nałożył na Vattenfall Europe Sales GmbH karę w wysokości 900 tys. euro. Kara jest związana z dopasowywaniem danych, które administrator przeprowadził w okresie od sierpnia 2018 r. do grudnia 2019 r. w trakcie zapytań o umowy dla umów specjalnych. Umowy specjalne służyły pozyskaniu nowych klientów i wiązały się z wypłatą premii dla klientów. Administrator porównywał dane osobowe potencjalnych klientów, którzy złożyli zapytanie o umowę specjalną, z umowami zawartymi przez dotychczasowych klientów. Jeżeli okazywało się, że wnioskodawca podpisał już umowę z administratorem, następnie zmienił dostawcę, a teraz chce ponownie podpisać umowę, administrator mógł w razie potrzeby odrzucić wniosek o zawarcie umowy specjalnej. Miało to na celu zapobieganie "zakupom premiowym", które nie są dochodowe dla przedsiębiorstw. Jednak administrator nie poinformował odpowiednio klientów, że takie porównania będą dokonywane. Urząd Ochrony Danych uznał to za naruszenie obowiązków przedsiębiorstwa w zakresie przejrzystości i informacji. Naruszenie to dotyczyło około 500 000 osób.Link
845HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-1440 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. karę za brak wystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, oświadczyła, że na jej nazwisko zarejestrowane są dwie linie telefoniczne, za każdą z nich pobierane są opłaty. Jednakże osoba, której dane dotyczą, nigdy nie zawarła z przedsiębiorstwem umów dotyczących żadnej z tych linii. Umowy te zostały raczej zawarte przez oszustów przy wykorzystaniu danych osobowych podmiotu danych. Dane osobowe zostały jednak wprowadzone do systemów informatycznych przedsiębiorstwa bez sprawdzenia, czy umowy zostały zawarte zgodnie z prawem i rzeczywiście przez osobę, której dane dotyczą. Umowy zostały zawarte, mimo że nie zostały podpisane, a informacje podane przez oszusta, takie jak adres czy data urodzenia, nie zgadzały się z danymi widniejącymi w dowodzie osobistym osoby, której dane dotyczą. Pierwotna kara w wysokości 50 000 EUR została obniżona do 40 000 EUR w związku z dobrowolną wpłatą.Link
844HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-2018 000,00 €CEDICO, CENTRO DE DIAGNÓSTICO POR LA IMÁGEN, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył karę pieniężną na CEDICO, CENTRO DE DIAGNÓSTICO POR LA IMÁGEN, S.L.. Osoba, której dane dotyczą, złożyła skargę do AEPD. W związku z wypadkiem przy pracy osoba, której dane dotyczą, zwróciła się o przeprowadzenie badania MRI kolana. Ponadto skontaktowała się ze swoim towarzystwem ubezpieczeniowym w celu uzyskania zwolnienia lekarskiego. Towarzystwo ubezpieczeniowe skontaktowało się następnie z administratorem danych, który przekazał dokumentację medyczną osoby, której dane dotyczą. Czyniąc to, administrator danych przekazał ubezpieczycielowi również raport z poprzedniego badania MRI kolana, które osoba, której dane dotyczą, przeszła z powodu zdarzenia poza pracą. W swojej ocenie ubezpieczyciel odniósł się zatem również do raportu z badania MRI przeprowadzonego poza godzinami pracy i przypisał temu zdarzeniu niezdolność do pracy osoby, której dane dotyczą. W konsekwencji osobie, której dane dotyczą, nie przyznano zwolnienia lekarskiego. Organ ochrony danych uznał, że ujawnienie ubezpieczycielowi wcześniejszego raportu MRI stanowiło naruszenie zasady integralności i poufności. Pierwotna kara w wysokości 30 000 EUR została obniżona do 18 000 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
843GrecjaHellenic Data Protection Authority (HDPA)2021-08-265 000,00 €NOW DOCTOR - Firma świadcząca usługi elektronicznego wyszukiwania i przeglądania dla lekarzyArt. 5 (1) a), e) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 12 (2), (3) RODO, Art. 17 RODOGrecki organ ochrony danych nałożył karę w wysokości 5 tys. euro na operatora platformy medycznej nowdoctor.gr, która umożliwia rezerwację wizyt lekarskich online. Pewna lekarka złożyła skargę do organu ochrony danych. W związku z tym wielokrotnie oświadczyła, że nie chce już współpracować z administratorem i zażądała usunięcia swoich danych z platformy. Administrator nie zastosował się do jej żądania. Usunięcie danych nastąpiło dopiero 18 miesięcy później, po tym jak organ ochrony danych zwrócił się do administratora o to. Organ ochrony danych uznał to za naruszenie obowiązku rozliczalności ciążącego na administratorze i stwierdził, że administrator przechowywał dane osoby, której dane dotyczą, dłużej niż było to konieczne do osiągnięcia zamierzonego celu. Cel ten, a mianowicie świadczenie usług wyświetlania w Internecie, przestał istnieć, gdy osoba, której dane dotyczą, oświadczyła, że nie chce już współpracować z administratorem. Ponadto organ ochrony danych stwierdza, że administrator nie podjął środków w odniesieniu do wymogu art. 12 RODO, aby ułatwić osobom, których dane dotyczą, korzystanie z ich praw. Administrator udostępnił publicznie na swojej stronie internetowej adres e-mail jako środek komunikacji. Administrator nie dysponował jednak wystarczającą liczbą pracowników, aby faktycznie przetwarzać korespondencję.Link
842GrecjaHellenic Data Protection Authority (HDPA)2021-09-038 000,00 €Miejskie Przedsiębiorstwo Komunikacyjne w RodosArt. 5 (1) c) RODO, Art. 12 (3) RODO, Art. 15 RODOGrecki organ ochrony danych nałożył na Miejskie Przedsiębiorstwo Transportowe na Rodos karę w wysokości 8 000 EUR. Były pracownik złożył skargę na administratora danych do organu ochrony danych. Były pracownik pozostawał w sporze prawnym z administratorem danych po tym, jak ten ostatni zgłosił go za rzekomą defraudację. W związku z tym zwrócił się on do administratora o przesłanie mu, w celu obrony w postępowaniu karnym, kopii nagrań wideo zarejestrowanych przez system monitoringu autobusu w dniu, w którym rzekomo doszło do przedmiotowego incydentu. Administrator nigdy jednak nie odpowiedział na jego wniosek. Organ ochrony danych uznał to za naruszenie prawa podmiotu danych do informacji zgodnie z art. 12 (3) RODO i art. 15 RODO. Ponadto administrator danych przekazał osobie, której dane dotyczą, zaświadczenie o jej poprzednim zatrudnieniu, które oprócz rodzaju i okresu zatrudnienia zawierało również informację, że osoba ta została zwolniona z powodu przestępstwa. Organ ochrony danych uważa to za naruszenie zasady proporcjonalności zgodnie z art. 5 ust. 1 lit. c) RODO. Kara pieniężna składa się proporcjonalnie z 3.000 EUR za naruszenie art. 5 (1) (c) RODO oraz 5.000 EUR za naruszenie art. 12 (3) i art. 15 RODO.Link
841GrecjaHellenic Data Protection Authority (HDPA)2021-08-2620 000,00 €Narodowy Bank GrecjiArt. 12 (1), (2), (3) RODO, Art. 15 (1) RODOGrecki organ ochrony danych osobowych nałożył na Narodowy Bank Grecji karę w wysokości 20 000 euro. Osoba, której dane dotyczą, wniosła skargę przeciwko przedsiębiorstwu i bankowi, ponieważ nie przestrzegały one jej prawa do informacji. Po dokonaniu zwrotu produktu zakupionego od przedsiębiorstwa, osoba, której dane dotyczą, zwróciła się do przedsiębiorstwa za pośrednictwem komunikatora Facebook Messenger o poinformowanie jej o wniosku o anulowanie wyciągów z karty kredytowej przesłanych drogą elektroniczną do banku. Administrator odmówił jednak wykonania tego polecenia, w związku z czym osoba, której dane dotyczą, powołała się na to samo prawo wobec banku, który jednak nie udzielił jej odpowiedzi.Link
840GrecjaHellenic Data Protection Authority (HDPA)2021-08-2620 000,00 €Dixons South East Europe ΑΕΒΕ-ΚΩΤΣΟΒΟΛΟΣArt. 12 (1), (2), (3) RODO, Art. 15 (1) RODOGrecki organ ochrony danych nałożył grzywnę w wysokości 20 000 EUR na Dixons South East Europe ΑΕΒΕ-ΚΩΩΤΣΟΒΟΛΟΣ. Osoba, której dane dotyczą, złożyła skargę na administratora danych po tym, jak nie zastosował się on do jej prawa do informacji. Po dokonaniu zwrotu produktu osoba, której dane dotyczą, zwróciła się do administratora za pośrednictwem komunikatora Facebook Messenger o poinformowanie jej o wniosku o anulowanie wyciągów z karty kredytowej przesłanych drogą elektroniczną do banku. Administrator odmówił jednak zastosowania się do tego żądania, w związku z czym osoba, której dane dotyczą, powołała się na to samo prawo w banku, który jednak nie udzielił jej odpowiedzi.Link
839DaniaDatatilsynet2021-09-1767 200,00 €Region SyddanmarkArt. 32 RODODuński organ ochrony danych nałożył na region Syddanmark grzywnę w wysokości 67 200 EUR. W dniu 9 marca 2020 r. organ ochrony danych otrzymał od regionu Syddanmark powiadomienie o naruszeniu danych osobowych zgodnie z art. 33 RODO. Region Syddanmark twierdzi, że od maja 2011 r. na jego stronie internetowej dostępna była prezentacja w programie PowerPoint, która została stworzona w szpitalu uniwersyteckim w Odense do celów szkoleniowych i zawierała wykresy z danymi osobowymi - w tym informacjami o stanie zdrowia i numerami dowodów tożsamości - 3 915 pacjentów. Region stosował narzędzie do okresowego sprawdzania, czy na jego stronie internetowej nie umieszczono przypadkowo numerów identyfikacyjnych. Narzędzie to nie było jednak w stanie skanować danych zawartych w prezentacjach PowerPoint. W tym kontekście organ ochrony danych stwierdził, że region nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka. Oceniając, czy należy nałożyć grzywnę, organ ochrony danych wziął pod uwagę fakt, że region Syddanmark przetwarza duże ilości danych osobowych, w tym danych dotyczących zdrowia, które mają charakter danych szczególnie chronionych.Link
838HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-164 000,00 €Frigorifica Botana S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na Frigorifica Botana S.L. karę pieniężną w wysokości 4.000 EUR. Głównym przedmiotem działalności Frigorífica Botana jest zamrażanie, przechowywanie i przetwarzanie owoców morza. Na podstawie skargi na administratora, AEPD wszczęła przeciwko niemu dochodzenie. Administrator zainstalował system nadzoru wideo (audio i wideo), który uchwycił m.in. fragmenty sali konferencyjnej. W tym kontekście organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych poprzez przetwarzanie danych bez ważnego powodu i bez uprzedniego poinformowania osób, których dane dotyczą, o monitoringu wideo.Link
837FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-09-153 000,00 €Société nouvelle de l’annuaire français Art. 16 RODO, Art. 17 RODO, Art. 30 RODO, Art. 31 RODOFrancuski organ ochrony danych osobowych (CNIL) ukarał Société nouvelle de l'annuaire français (SNAF) karą pieniężną w wysokości 3 000 EUR. SNAF prowadzi stronę internetową annuairefrancais.fr, która zawiera listę francuskich firm w oparciu o dane publikowane przez francuski urząd statystyczny. W latach 2018-2019 CNIL otrzymała szesnaście skarg wskazujących na problemy z wnioskowaniem o usunięcie i sprostowanie danych osobowych. W odpowiedzi CNIL zwrócił się do SNAF o zastosowanie się do wniosków w ciągu dwóch miesięcy, czego SNAF nie uczynił. W związku z tym CNIL nałożyła na SNAF karę, głównie za nieprzestrzeganie praw do sprostowania i usunięcia danych osób, których dane dotyczą, oraz za brak współpracy z CNIL.Link i Link
836DaniaDatatilsynet2021-09-1610 000,00 €Gmina FavrskovArt. 32 RODODuński organ ochrony danych osobowych nałożył na gminę Favrskov karę w wysokości 10 000 EUR. W dniu 19 sierpnia 2020 r. organ ochrony danych otrzymał od gminy Favrskov powiadomienie o naruszeniu danych osobowych na mocy art. 33 RODO. W powiadomieniu stwierdzono, że podczas włamania do siedziby gminy skradziono laptop, który zawierał program zawierający przegląd placówek opiekuńczych gminy, a tym samym informacje o nazwiskach i osobistych numerach identyfikacyjnych około 100 osób niepełnosprawnych fizycznie lub umysłowo. Dysk twardy przedmiotowego komputera nie był zaszyfrowany, a program, który zawierał poufne i wrażliwe dane osobowe, nie był wyposażony w środki bezpieczeństwa. Rozpatrując sprawę, organ uznał to za naruszenie art. 32 RODO, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony współmiernego do ryzyka.Link
835HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-139 000,00 €Operator strony internetowejArt. 6 RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na administratora strony internetowej karę w wysokości 9.000 euro. Pewna osoba złożyła skargę do organu ochrony danych, ponieważ administrator opublikował na swojej stronie internetowej jej imię i nazwisko, a także zrzut ekranu z jej profilu na Linkedin. Administrator nie uzyskał na to zgody osoby, której dane dotyczą, ani nie poinformował jej o przetwarzaniu jej danych osobowych. Organ ochrony danych uznał to za naruszenie art. 6 RODO i art. 13 RODO.Link
834HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-131 000,00 €Salon fryzjerskiArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 1.000 euro na salon fryzjerski. Administrator danych zainstalował kamery monitoringu i nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez te kamery.Link
833HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-131 000,00 €GESTIONES AUTO LOW COST S. L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na GESTIONES AUTO LOW COST S. L. karę w wysokości 1.000 euro, ponieważ na stronie internetowej spółki nie było polityki prywatności.Link
832CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-09-0625 000,00 €Hellenic Technical Enterprises Ltd.Art. 32 RODOCypryjski organ ochrony danych nałożył na Hellenic Technical Enterprises Ltd. karę pieniężną w wysokości 25 000 EUR. Firma ta zaprojektowała system sprzedaży biletów dla klubów piłkarskich AC Omonia i APOEL FC. Ze względu na brak środków bezpieczeństwa w systemie sprzedaży biletów, możliwe było uzyskanie przez osobę nieuprawnioną dostępu i ujawnienie danych osobowych kibiców na stronie internetowej klubu. Dane te obejmowały imię i nazwisko, numer karty kibica oraz numer identyfikacyjny osób, których dane dotyczą. Organ stwierdził, że administrator nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnych postępowaniach organ ochrony danych nałożył grzywny na APOEL FC i AC Omonia za te same naruszenia.Link i Link
831CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-09-0640 000,00 €AC OmoniaArt. 32 RODOCypryjski organ ochrony danych osobowych nałożył na klub piłkarski AC Omonia karę w wysokości 40.000 euro. Ze względu na brak środków bezpieczeństwa w systemie sprzedaży biletów w klubie, możliwe było uzyskanie dostępu i ujawnienie przez osobę nieuprawnioną danych osobowych kibiców na stronie internetowej klubu. Dane te obejmowały imię i nazwisko, numer karty kibica oraz numer identyfikacyjny osób, których dane te dotyczyły. Urząd Ochrony Danych stwierdził, że klub nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnych postępowaniach organ ochrony danych nałożył grzywnę na APOEL FC i Hellenic Technical Enterprises Ltd. za te same naruszenia.Link i Link
830CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-09-0640 000,00 €APOEL FCArt. 32 RODOCypryjski organ ochrony danych osobowych nałożył na klub piłkarski APOEL FC karę pieniężną w wysokości 40.000 euro. Ze względu na brak zabezpieczeń w systemie sprzedaży biletów klubu, osoba nieuprawniona mogła uzyskać dostęp do danych osobowych kibiców na stronie internetowej klubu i ujawnić je. Dane te obejmowały imię i nazwisko, numer karty kibica oraz numer identyfikacyjny osób, których dane te dotyczyły. Urząd Ochrony Danych stwierdził, że klub nie wdrożył odpowiednich technicznych i organizacyjnych środków bezpieczeństwa. W odrębnych postępowaniach organ ochrony danych nałożył grzywnę na AC Omonia i Hellenic Technical Enterprises Ltd. za te same naruszenia.Link i Link
829WłochyGarante per la protezione dei dati personali (Garante)2021-07-22400 000,00 €Atac s.p.a.Art. 5 RODO, Art. 6 RODO, Art. 30 RODO, Art. 32 RODOWłoski urząd ochrony danych (Garante) nałożył na Atac s.p.a. karę w wysokości 400.000 euro. Garante wszczęła dochodzenie w związku ze skargą osoby fizycznej, która złożyła skargę na nowe parkometry zainstalowane w mieście Rzym. W rzeczywistości przedsiębiorstwo Atac s.p.a., któremu miasto zleciło zarządzanie parkingami, rozpoczęło modernizację techniczną parkometrów w celu zaoferowania nowych usług (np. uiszczanie kar/opłat lub zakup/odnowienie biletów komunikacji miejskiej) i wprowadzenia nowych metod płatności, które uwzględniają również numer rejestracyjny pojazdu. Wszystkie informacje dotyczące parkowania były następnie zarządzane przez scentralizowany system, do którego dostęp za pomocą aplikacji mieli również pracownicy odpowiedzialni za kontrolę opłat parkingowych. W trakcie dochodzenia wykryto nieprawidłowości. Stwierdzono, że firma Atac nie utworzyła rejestru czynności przetwarzania. Nie określono również okresów przechowywania zgromadzonych danych i nie podjęto odpowiednich środków bezpieczeństwa. Na przykład ustalono, że w czasie kontroli niektóre przepływy danych do i z wdrożonego systemu odbywały się przez niezabezpieczone kanały. Ponadto urzędnicy mogli masowo i wielokrotnie w czasie sprawdzać dowolne tablice rejestracyjne, na przykład w celu poznania zwyczajów danej osoby i miejsca jej parkowania.Link i Link
828WłochyGarante per la protezione dei dati personali (Garante)2021-07-2230 000,00 €Flowbird Italia s.r.l.Art. 5 RODO, Art. 6 RODO, Art. 30 RODOWłoski organ ochrony danych osobowych (Garante) nałożył na firmę Flowbird Italia s.r.l. karę pieniężną w wysokości 30 000 EUR. Garante wszczęła dochodzenie w związku ze skargą osoby fizycznej, która skarżyła się na nowe parkometry, które zostały zainstalowane w mieście Rzym w 2018 roku. W rzeczywistości firma Atac s.p.a., której miasto zleciło również zarządzanie parkingami, zainicjowała modernizację techniczną parkometrów w celu zaoferowania nowych usług (np. płatności grzywien/opłat lub zakupu/odnowienia biletów transportu publicznego) i wprowadzenia nowych metod płatności, które uwzględniają również numer rejestracyjny pojazdu. Część sprzętu dostarczyła firma Flowbird Italia s.r.l. Wszystkie informacje dotyczące parkowania były następnie zarządzane za pośrednictwem scentralizowanego systemu, do którego dostęp za pośrednictwem aplikacji mieli również pracownicy odpowiedzialni za kontrolę opłat parkingowych. W trakcie dochodzenia organ ochrony danych stwierdził, że spółka Flowbird Italia nie utworzyła rejestru czynności przetwarzania.Link i Link
827WłochyGarante per la protezione dei dati personali (Garante)2021-07-22800 000,00 €Miasto RzymArt. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 RODO, Art. 28 RODO, Art. 32 RODOWłoski organ ochrony danych osobowych (Garante) nałożył na Roma Capitale karę w wysokości 800 000 euro. Garante wszczęła dochodzenie w związku ze skargą osoby fizycznej, która skarżyła się na nowe parkometry zainstalowane w mieście w 2018 roku. W rzeczywistości firma Atac s.p.a., której miasto zleciło również zarządzanie parkingami, zainicjowała modernizację techniczną parkometrów w celu zaoferowania nowych usług (np. płatności grzywien/opłat lub zakupu/odnowienia biletów transportu publicznego) i wprowadzenia nowych metod płatności, które uwzględniają również numer rejestracyjny pojazdu. Część sprzętu została dostarczona przez inną firmę, Flowbird Italia s.r.l. Wszystkie informacje dotyczące parkowania były następnie zarządzane przez scentralizowany system, do którego dostęp za pomocą aplikacji mieli również pracownicy odpowiedzialni za kontrolę opłat parkingowych. W trakcie dochodzenia wykryto nieprawidłowości. Mianowicie miasto Rzym, jako administrator danych, nie dostarczyło informacji na temat przetwarzania danych kierowców, nie wyznaczyło przedsiębiorstwa Atac jako podmiotu przetwarzającego dane i nie przekazało mu niezbędnych instrukcji dotyczących przetwarzania zgromadzonych danych. Ponadto podwykonawca nie został formalnie poinstruowany ani nie otrzymał instrukcji, w jaki sposób ma postępować przy przetwarzaniu danych. Stwierdzono również, że przedsiębiorstwa nie utworzyły rejestru czynności przetwarzania. Nie określono również okresów przechowywania zgromadzonych danych i nie podjęto odpowiednich środków bezpieczeństwa. Na przykład ustalono, że w czasie kontroli niektóre przepływy danych do i z systemu wdrożonego przez Atac odbywały się niezabezpieczonymi kanałami. Ponadto urzędnicy mogli masowo i wielokrotnie w czasie sprawdzać dowolne tablice rejestracyjne, na przykład w celu ustalenia zwyczajów danej osoby i miejsca jej parkowania. Obliczając karę za niezgodne z prawem przetwarzanie danych, organ w sposób obciążający wziął pod uwagę dużą ilość przetwarzanych danych osobowych (od czerwca 2018 r. do listopada 2019 r. system stworzony przez Atac zgromadził już dane 8 600 000 postojów i potencjalnie dotyczy wszystkich użytkowników usługi płatnego parkowania na terenie miasta) oraz otrzymane już wcześniej sankcje za naruszenia ochrony danych osobowych, ale także pozytywną współpracę zaoferowaną przez miasto i firmy w celu usunięcia niektórych naruszeń wykrytych podczas kontroli.
Link i Link
826WłochyGarante per la protezione dei dati personali (Garante)2021-07-22200 000,00 €Region LombardiaArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODOWłoski organ ochrony danych (Garante) nałożył na region Lombardii karę w wysokości 200.000 euro. Region ten opublikował na swojej stronie internetowej dane osobowe ponad 100.000 studentów, którzy ubiegali się o stypendia państwowe lub dotacje finansowe na zakup podręczników, wyposażenia technicznego i materiałów dydaktycznych. Jak wykazała wstępna kontrola Garante, ze strony internetowej regionu można było przeglądać i pobierać listę wniosków zatwierdzonych i sfinansowanych, listę wniosków zatwierdzonych i do sfinansowania, listę stypendystów państwowych oraz listę wniosków niekwalifikujących się. Listy te zawierały informacje umożliwiające identyfikację osób, takie jak identyfikator wniosku, imię i nazwisko wnioskodawcy, klasa ucznia, kod i nazwa szkoły, jak również numer wniosku. W tym kontekście organ stwierdził, że dane osób ubiegających się o świadczenia ekonomiczne muszą być chronione w szczególny sposób, aby nie dopuścić do ujawnienia trudnej sytuacji ekonomicznej i społecznej osób, których dane dotyczą.Link i Link
825IrlandiaData Protection Commission (DPC)2021-09-071 400,00 €Vodafone Ireland LimitedArt. 21 RODOIrlandzki organ ochrony danych osobowych ukarał Vodafone Ireland Limited karą grzywny w wysokości 1 400 euro. Vodafone w kilku przypadkach wysyłał marketingowe SMS-y i e-maile oraz wykonywał połączenia telefoniczne bez zgody osób, których dane dotyczą. Pomimo kilkukrotnego cofnięcia zgody przez osoby, których dane dotyczą, nadal otrzymywały one niezamówione reklamy. W jednym przypadku były klient siedmiokrotnie kontaktował się z Vodafone i prosił, by nie otrzymywać więcej telefonów reklamowych na swój telefon komórkowy. Pomimo jego prośby, nadal otrzymywał on telefony z reklamami. W innym przypadku, klient otrzymał telefon reklamowy na swój numer telefonu komórkowego i poinformował Vodafone w trakcie rozmowy, że nie chce otrzymywać więcej telefonów reklamowych. Pomimo jego prośby, Vodafone wykonał jeszcze dwanaście połączeń marketingowych na jego telefon komórkowy. W innym przypadku osoba, której dane dotyczą, wypełniła formularz, w którym wyraźnie zaznaczyła, że nie chce otrzymywać telefonów marketingowych od Vodafone. Jednakże pracownik, który rozpatrywał wniosek, nie zarejestrował preferencji marketingowych klienta. W rezultacie klient otrzymał następnie czternaście kolejnych niezamówionych wiadomości handlowych - siedem e-maili i siedem wiadomości tekstowych.Link
824DaniaDatatilsynet2021-09-0853 800,00 €Region Jutlandii ŚrodkowejArt. 32 RODODuński organ ochrony danych osobowych nałożył na region Midtjylland karę w wysokości 53 800 EUR. W dniu 12 czerwca 2020 r. organ ochrony danych otrzymał od tego regionu powiadomienie dotyczące naruszenia bezpieczeństwa danych osobowych zgodnie z art. 33 RODO. Zgodnie ze zgłoszeniem wszyscy pacjenci i personel ośrodka lifestyle'owego mieli dostęp do budynku, w którym przechowywano do 100 000 fizycznych rekordów pacjentów, w tym informacje o stanie zdrowia i dane dotyczące osobistego numeru identyfikacyjnego. Powodem tego był fakt, że zarówno personel, jak i pacjenci otrzymali karty-klucze, które umożliwiały im dostęp do wszystkich trzech budynków centrum lifestylowego, niezależnie od tego, czy użytkownik musiał mieć do nich dostęp. Ponadto przechodnie mogli zajrzeć przez okno w budynku na okładki niektórych kartotek, na których znajdowały się dane osobowe, takie jak numery identyfikacyjne i nazwiska. W tym kontekście organ ochrony danych stwierdził, że region Midtjylland nie podjął odpowiednich środków bezpieczeństwa w zakresie przechowywania danych osobowych. Ponadto region nie ustanowił wystarczających wytycznych w zakresie ograniczeń dostępu przy tworzeniu kart dostępu oraz nie przeprowadził odpowiednich okresowych testów, oceny i ewaluacji podjętych środków bezpieczeństwa. Oceniając kwestię, czy należy nałożyć grzywnę, duński organ ochrony danych wziął pod uwagę, jako czynnik obciążający, fakt, że region przetwarzał duże ilości danych szczególnej kategorii, takich jak dane dotyczące zdrowia.Link
823HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-09-024 000,00 €Automecanica Jerez, S.L.Art. 5 (1) f) RODO, Art. 32 RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) ukarał Automecanica Jerez, S.L. karą pieniężną w wysokości 4.000 euro. Administrator wysyłał komercyjne e-maile do dużej liczby osób bez ich zgody. Czyniąc to, administrator nie ukrył danych osobowych odbiorców, takich jak nazwisko, imię i adres e-mail, co umożliwiło innym odbiorcom zapoznanie się z tymi danymi. AEPD uznał to za naruszenie art. 5 (1) f) RODO i art. 32 RODO, ponieważ administrator nie wdrożył środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przy przetwarzaniu danych osobowych. Ponadto AEPD stwierdził naruszenie art. 21 LSSI.Link
822HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-231 800,00 €AgencjaArt. 32 RODOHiszpański organ ochrony danych (AEPD) nałożył karę na jedną z agencji. Administrator wyrzucił do śmieci dokumenty zawierające dane osobowe swoich klientów. AEPD uznał to za brak środków bezpieczeństwa i ochrony danych w rozumieniu Art. 32 RODO, który stanowi, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Pierwotna kara w wysokości 3 000 EUR została zmniejszona do 1 800 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
821HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-306 000,00 €Furnishyourspace S.L.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 (4) RODOHiszpański organ ochrony danych (AEPD) nałożył na FurnishYourSpace S.L. karę pieniężną w wysokości 6.000 EUR. AEPD otrzymał skargę od berlińskiego organu ochrony danych za pośrednictwem systemu informacyjnego rynku wewnętrznego UE w sprawie nieodpowiedniego zaprojektowania informacji o ochronie prywatności administratora danych. Mianowicie, tożsamość i dane kontaktowe administratora zostały podane w informacji o polityce prywatności, ale pod mylącym nagłówkiem, który sprawiał wrażenie, że zostały one dostarczone w celu prowadzenia działalności gospodarczej. Ponadto cele przetwarzania nie zostały jasno określone. Nie podano informacji dotyczących podstawy prawnej, okresu przechowywania danych osobowych oraz prawa do sprzeciwu przysługującego podmiotom danych. Informacja o polityce prywatności była również myląca, a jej sformułowania zawierały błędy gramatyczne i używano w niej terminów, które nie są powszechnie stosowane. Ponadto, informacja o polityce prywatności wymagała podania numeru identyfikacji podatkowej w celu wystawienia faktury uproszczonej, tj. faktury nieprzekraczającej kwoty 3 000 EUR. AEPD uznała, że stanowi to naruszenie zasady legalności. Wysokość grzywny przedstawia się następująco: 3.000 EUR za naruszenie art. 12 RODO i art. 13 RODO; 1 000 EUR za naruszenie art. 21 (4) RODO; oraz 1 000 EUR za naruszenie art. 21 (4) RODO; oraz 2 000 EUR za naruszenie art. 5 (1) a) RODO i art. 6 RODO. Link
820IrlandiaData Protection Commission (DPC)2021-09-02225 000 000,00 €WhatsApp Ireland Ltd.Art. 5 (1) a) RODO, Art. 12 RODO, Art. 13 RODO, Art. 14 RODO Irlandzki organ ochrony danych (DPC) nałożył na WhatsApp Ireland Ltd. grzywnę w wysokości 225 000 000 euro. Organ ochrony danych rozpoczął szeroko zakrojone dochodzenia w sprawie przestrzegania przez serwis komunikatora obowiązków w zakresie przejrzystości jeszcze w grudniu 2018 roku. W tym kontekście DPC zbadał, czy WhatsApp przestrzegał swoich obowiązków wynikających z RODO w zakresie dostarczania informacji i przejrzystości tych informacji dla użytkowników i osób niebędących użytkownikami WhatsApp. W trakcie dochodzenia DPC stwierdził, że WhatsApp dopuścił się poważnych naruszeń art. 12 RODO, art. 13 RODO i art. 14 RODO w odniesieniu do informacji przekazywanych użytkownikom. Po przeprowadzeniu dochodzenia DPC przedłożył projekt decyzji na mocy art. 60 RODO innym zainteresowanym europejskim organom nadzorczym w grudniu 2020 r. DPC otrzymał następnie zastrzeżenia od ośmiu organów nadzorczych. Ze względu na brak porozumienia DPC wszczął procedurę rozstrzygania sporów na mocy art. 65 RODO w dniu 3 czerwca 2021 r. Następnie Europejski Inspektor Ochrony Danych (EIOD) decyzją z dnia 28 lipca 2021 r. zobowiązał DPC do ponownej oceny i zwiększenia proponowanej grzywny w oparciu o szereg czynników. Inspektor stwierdził naruszenie zasady przejrzystości określonej w art. 5 ust. 1 lit. a) RODO oprócz naruszeń stwierdzonych przez DPC i zażądał, aby znalazło to odzwierciedlenie w ostatecznej kwocie grzywny. Na tej podstawie DPC nałożył grzywnę w wysokości 225 000 000 EUR. Grzywna składa się z następujących elementów 90.000.000 EUR za naruszenie art. 5 (1) a) RODO; 30.000.000 EUR za naruszenie art. 12 RODO; 30.000.000 EUR za naruszenie art. 13 RODO; oraz 75.000.000 EUR za naruszenie art. 14 RODO. W odniesieniu do art. 12 RODO i art. 13 RODO, DPC stwierdził, że WhatsApp nie przekazał informacji o charakterze gromadzenia danych "w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka". Obejmuje to uczynienie informacji łatwymi do zrozumienia dla dzieci, gdy są one do nich kierowane. Na przykład WhatsApp rozpowszechniał informacje na temat relacji między WhatsApp a innymi firmami Facebooka oraz udostępniania danych w ramach tej relacji za pomocą różnych tekstów. Wiele z podawanych informacji miało ponadto tak ogólny charakter, że DPC uznał je za pozbawione znaczenia. Użytkownicy często musieli pokonywać wiele linków do najczęściej zadawanych pytań, aby dotrzeć do informacji, których szukali na stronie WhatsApp. W tym względzie DPC stwierdził, że nierozsądne byłoby oczekiwanie od użytkowników, aby przeszukiwali stronę internetową WhatsApp po tym, jak nie udało im się znaleźć wystarczających informacji w samym oświadczeniu o ochronie prywatności. W odniesieniu do art. 14 RODO, jedną z kwestii był wpływ zgody użytkownika pozwalającej platformie komunikacyjnej na dostęp do jego kontaktów. W związku z tym firma przeszukiwała informacje kontaktowe swoich użytkowników w ich telefonach w poszukiwaniu numerów telefonów i innych danych, nie tylko od innych użytkowników WhatsApp, ale także od kontaktów, które nie mają nawet konta WhatsApp. DPC stwierdza, że dane te były przetwarzane niezgodnie z prawem, ponieważ kontakty te (zwłaszcza te, które nie mają konta WhatsApp) nie otrzymały żadnych informacji o tym przetwarzaniu, a zatem nie mogły wyrazić na nie zgody. Biorąc pod uwagę powagę oraz dalekosiężny charakter i wpływ naruszeń, organ ochrony danych stwierdził, że doszło również do naruszenia zasady przejrzystości z art. 5 (1) a) RODO.Link Link
819HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-25120 000,00 €Banco Bilbao Vizcaya Argentaria, S.AArt. 32 RODOHiszpański organ ochrony danych (AEPD) nałożył karę na Banco Bilbao Vizcaya Argentaria, S.A.. Powodem tego była skarga osoby, dotycząca braku uwierzytelnienia. W związku z tym przy udzielaniu informacji przez telefon należało podać jedynie numer identyfikacyjny. W ten sposób każda osoba mogła zadzwonić, podać numer identyfikacyjny, a następnie otrzymać informacje związane z tym numerem bez sprawdzania, czy rozmówca jest rzeczywiście posiadaczem numeru identyfikacyjnego. Organ ochrony danych uznał to za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku stwarzanemu dla osób, których dane dotyczą. Pierwotna grzywna w wysokości 200 000 EUR została obniżona do 120 000 EUR ze względu na dobrowolną zapłatę i uznanie winy.Link
818HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-261 000,00 €Stowarzyszenie WłaścicieliArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 1.000 euro na stowarzyszenie właścicieli. Administrator zainstalował bezprawnie system nadzoru wideo w kompleksie mieszkalnym, który rejestrował między innymi wspólne obszary, takie jak basen, a także części przestrzeni publicznej. Ponadto kamery wideo zostały zainstalowane w pomieszczeniach, w których przebywali strażnicy osiedla mieszkaniowego, bez uprzedniego powiadomienia. DPA uznał to za naruszenie zasady minimalizacji danych.Link
817PolskaUrząd ochrony danych osobowych (UODO)2021-08-132 200,00 €Prezes Sądu Rejonowego w ZgierzuArt. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODOUODO nałożył karę w wysokości 2 200 euro na prezesa Sądu Rejonowego w Zgierzu. Prezes zgłosił naruszenie danych polegające na utracie przez kuratora niezaszyfrowanej pamięci USB. Na nośniku tym przechowywane były dane 400 osób objętych dozorem kuratora. Utracony i jednocześnie niezabezpieczony nośnik danych nie został do tej pory odnaleziony, więc osoby nieuprawnione nadal mogą mieć dostęp do zawartych na nim danych osobowych. Prezes wyszedł z założenia, że obowiązek zabezpieczenia danych nie spoczywa na nim samym, lecz na odpowiednich kuratorach, którzy dysponowali tymi danymi. Urząd ochrony danych stwierdził jednak, że prezes sam powinien był zapewnić zabezpieczenie pamięci USB.Link
816RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-08-243 000,00 €Actamedica SRLArt. 28 (1) RODO, Art. 32 RODO, Art. 33 RODORumuński organ ochrony danych (ANSPDCP) nałożył na Actamedica SRL karę pieniężną w wysokości 3 000 EUR. Administrator poinformował osobę fizyczną o utracie jej próbek biologicznych oraz sumy pieniędzy przesłanej za pośrednictwem firmy kurierskiej. Na pytanie, jakie dane osobowe zostały ujawnione przy tej okazji i czy ANSPDCP zostało poinformowane o tym zdarzeniu, administrator podał jedynie dane kontaktowe swojego prawnika oraz adres e-mail firmy kurierskiej, do której osoba fizyczna mogła skierować swoją skargę. ANSPDCP stwierdziło naruszenie przez administratora danych obowiązku wdrożenia środków technicznych i organizacyjnych w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka, na jakie narażone są osoby, których dane dotyczą, jak również naruszenie przez administratora danych obowiązku powiadomienia ANSPDCP o naruszeniu ochrony danych.Link
815HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-232 000,00 €PrzedsiębiorcaArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na właściciela firmy karę w wysokości 2 tys. euro. Pewna osoba ubiegała się o pracę w firmie administratora i wysłała mu swoje CV za pośrednictwem aplikacji WhatsApp. Tym samym nie została ona poinformowana ani o przetwarzaniu jej danych osobowych, ani o przysługujących jej prawach podmiotowych. AEPD uznał to za naruszenie art. 13 RODO.Link
814HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-131 000,00 €PracodawcaArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na pracodawcę karę w wysokości 1.000 euro. Administrator zainstalował system nadzoru wideo, nie informując o tym odpowiednio pracowników.Link
813WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-06-1828 400,00 €Magyar Telekom Nyrt.Art. 5 (1) d) RODO, Art. 6 (1) RODO, Art. 12 (2), (3), (4) RODO, Art. 17 (1) RODO, Art. 25 RODOWęgierski organ ochrony danych (NAIH) nałożył na Magyar Telekom Nyrt karę w wysokości 28 400 EUR. Administrator omyłkowo wysłał osobie, której dane dotyczą, biuletyn elektroniczny. Stało się tak dlatego, że osoba trzecia omyłkowo wprowadziła niewłaściwy adres e-mail, a mianowicie adres osoby, której dane dotyczą. Osoba, której dane dotyczą, kilkukrotnie zwracała się do administratora o usunięcie jej danych. W dalszym ciągu otrzymywała ona biuletyn, a administrator zamiast usunąć dane, przesłał jej link umożliwiający rezygnację z subskrypcji biuletynu.Link
812WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-04-202 800,00 €Operator strony internetowejArt. 5 (2) RODO, Art. 24 RODOWęgierski organ ochrony danych (NAIH) nałożył na operatora strony internetowej karę w wysokości 2.800 euro. Administrator nie udowodnił zgodności z prawem przetwarzania danych osobowych na żądanie organu ochrony danych. Organ uznał to za naruszenie obowiązku rozliczalności przez administratora.Link
811HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-0396 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODO, Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył karę na Vodafone España, S.A.U.. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi danych za niezastosowanie się do jej wniosku o usunięcie danych. Osoba, której dane dotyczą, twierdzi, że otrzymała telefony od spółki ISGF w imieniu administratora, powołującej się na dług otrzymany od osoby trzeciej za podłączenie ADSL w miejscu zamieszkania osoby, której dane dotyczą. Jednakże osoba, której dane dotyczą, nigdy nie zawarła umowy o podłączenie ADSL. Zamiast tego, umowa została zawarta przez osobę trzecią, która oszukańczo użyła nazwiska i numeru identyfikacyjnego osoby, której dane dotyczą, w celu zawarcia umowy w jej imieniu. Podmiot danych zwrócił się następnie do ISGF o anulowanie umowy i poprosił administratora o usunięcie jego danych osobowych. Administrator nie zareagował jednak na jej wniosek. Następnie organ ochrony danych nałożył grzywnę w wysokości 120 000 EUR, na którą składało się 70 000 EUR z tytułu naruszenia art. 6 (1) RODO 17 (1) RODO. Pierwotna grzywna została zmniejszona do 96 000 EUR z uwagi na uznanie winy i dobrowolną zapłatę.Link
810HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-102 000,00 €DESPACHO TEJEDOR INFANTES CONSULTORES ASESORESArt. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na DESPACHO TEJEDOR INFANTES CONSULTORES ASESORES, S.L. karę w wysokości 2 000 EUR. Administrator danych przekazał pracownikowi dwa e-maile zawierające dane osobowe (lista płac i wydłużenie godzin pracy) osoby, której dane dotyczą.Link
809NorwegiaDatatilsynet2021-08-129 600,00 €Waxing Palace ASArt. 5 RODO, Art. 6 RODO, Art. 13 RODONorweski organ ochrony danych (Datatilsynet) nałożył karę w wysokości 9 600 EUR na operatora salonu depilacji woskiem Waxing Palace AS. Administrator danych prowadził monitoring kamerą obszaru recepcji należącej do administratora. Organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej do prowadzenia nadzoru za pomocą kamer, jak również nie dostarczył wystarczających informacji na ten temat. Nadzór kamer dotyczył zarówno pracowników, jak i klientów.Link
808WłochyGarante per la protezione dei dati personali (Garante)2021-06-1040 000,00 €aiComply S.r.l.Art. 28 RODO, Art. 32 RODOTożsamość osób zgłaszających przypadki naruszenia musi być chroniona specjalnymi zasadami poufności, ponieważ przetwarzane informacje są szczególnie wrażliwe, a ryzyko odwetu i dyskryminacji w środowisku pracy jest wysokie. W tym kontekście administrator danych jest zobowiązany do przestrzegania zasad ochrony danych oraz do zapewnienia integralności i bezpieczeństwa danych. W tym kontekście włoski Urząd Ochrony Danych (Garante) ukarał Aeroporto Guglielmo Marconi di Bologna S.p.a. karą grzywny w wysokości 40 000 EUR, a jego dostawcę oprogramowania aiComply S.r.l. karą grzywny w wysokości 20 000 EUR za naruszenie RODO. W trakcie dochodzenia prowadzonego przez organ ochrony danych stwierdzono, że dostęp do aplikacji służącej do gromadzenia zgłoszeń o przestępstwach i zarządzania nimi uzyskiwano bez użycia bezpiecznego protokołu sieciowego (np. tzw. protokołu łącza), a sama aplikacja nie zapewniała szyfrowania danych identyfikacyjnych zgłaszającego, informacji o zgłoszeniu i załączonych dokumentów. W ocenie organu ochrony danych osobowych stanowiło to naruszenie obowiązku stosowania środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiadający ryzyku, na jakie narażone są osoby, których dane dotyczą. Ponadto organ ochrony danych stwierdził, że aiComply nie uregulowała w umowie stosunków z dwoma innymi przedsiębiorstwami, które przetwarzały dane w jej imieniu.Link
807WłochyGarante per la protezione dei dati personali (Garante)2021-06-1040 000,00 €Aeroporto Guglielmo Marconi di Bologna S.p.a.Art. 5 (1) f) RODO, Art. 25 RODO, Art. 32 RODOTożsamość osób zgłaszających przypadki naruszenia musi być chroniona specjalnymi zasadami poufności, ponieważ przetwarzane informacje są szczególnie wrażliwe, a ryzyko odwetu i dyskryminacji w środowisku pracy jest wysokie. W tym kontekście administrator danych jest zobowiązany do przestrzegania zasad ochrony danych oraz do zapewnienia integralności i bezpieczeństwa danych. W tym kontekście włoski organ ochrony danych (Garante) ukarał Aeroporto Guglielmo Marconi di Bologna S.p.a. karą grzywny w wysokości 40 000 EUR, a jego dostawcę oprogramowania w wysokości 20 000 EUR za naruszenie RODO. W trakcie dochodzenia prowadzonego przez organ ochrony danych stwierdzono, że dostęp do aplikacji służącej do gromadzenia zgłoszeń o przestępstwach i zarządzania nimi uzyskiwano bez użycia bezpiecznego protokołu sieciowego (np. protokołu łącza), a sama aplikacja nie zapewniała szyfrowania danych identyfikacyjnych zgłaszającego, informacji o zgłoszeniu i załączonych dokumentów. W ocenie organu stanowiło to naruszenie obowiązku stosowania środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiadający ryzyku, na jakie narażone są osoby, których dane dotyczą. Ponadto, organ ochrony danych stwierdził, że administrator powinien był przeprowadzić ocenę skutków, biorąc pod uwagę wrażliwość przetwarzanych informacji oraz ryzyko i podatność na zagrożenia osób, których dane dotyczą.Link
806HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-056 000,00 €Future Vinline S.L.Art. 13 RODOHiszpańska urząd ochrony danych osobowych (AEPD) ukarała Future Vinline S.L. karą grzywny. Polityka prywatności na stronie internetowej prowadzonej przez administratora nie była zgodna z RODO. Pierwotna grzywna w wysokości 10.000 EUR została obniżona do 6.000 EUR dzięki dobrowolnej wpłacie i uznaniu winy.Link
805HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-095 000,00 €CLUB GIMNASIA RÍTMICA SAN ANTONIOArt. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na CLUB GIMNASIA RÍTMICA SAN ANTONIO karę w wysokości 5.000 EUR. Pewna osoba złożyła skargę na administratora do AEPD w związku z zamieszczeniem przez administratora zdjęć i filmów wideo jej dwóch nieletnich córek na Instagramie. Skarżąca uprzednio poinformowała administratora, że nie chce, aby zdjęcia jej córek były zamieszczane w mediach społecznościowych, ponieważ nie wyraziła zgody na ich fotografowanie i nagrywanie.Link
804HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-091 000,00 €BAZTANDIS, S.L.Art. 13 RODOUżywanie kamer monitorujących bez odpowiednich informacji kontaktowych na temat administratora danych, z naruszeniem art. 13 RODO.Link
803HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-304 000,00 €Inspektor ds. gazuArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) ukarał grzywną inspektora gazowego. Administrator przeprowadzał kontrole gazu butanowego w prywatnych domach osób, których dane dotyczyły, na podstawie listy zawierającej ich nazwiska, imiona, adresy i numery telefonów. Jednakże osoby, których dane dotyczą, nigdy nie wyraziły zgody na umieszczenie ich na tej liście. Pierwotna grzywna w wysokości 5 000 EUR została obniżona do 4 000 EUR w związku z uznaniem winy.Link
802HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-302 000,00 €Osoba fizycznaArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną karę w wysokości 2.000 euro. Administrator opublikował numer telefonu osoby, której dane dotyczą, przy zdjęciu innej osoby na portalu randkowym w celu stworzenia fałszywego profilu o nazwie "Katy". Było to możliwe tylko dlatego, że do założenia profilu na tym portalu nie był wymagany dowód tożsamości.Link
801HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-30600,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną karą pieniężną w wysokości 600 euro za nieuprawniony nadzór wideo. Administrator zainstalował kamerę monitoringu, która obejmowała m.in. sąsiednie domy i publiczną ulicę. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Dzięki dobrowolnej wpłacie pierwotna kara w wysokości 750 EUR została zmniejszona do 600 EUR.Link
800HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-274 000,00 €Osoba fizycznaArt. 5 (1) c), e) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną karą 4.000 euro za nieautoryzowany monitoring wideo. Administrator zainstalował dwie kamery na drodze publicznej, a kolejną na drzewie, które zasłaniało część prywatnej posesji. Ponadto organ ochrony danych stwierdził, że administrator przechowywał nagrania dłużej niż było to konieczne. Organ uznał to za naruszenie zasady minimalizacji danych.Link
799HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-273 000,00 €INSTAPACK, S.L.Art. 5 (1) a) RODO, Art. 6 (1) a) RODOHiszpański organ ochrony danych (AEPD) nałożył na INSTAPACK, S.L. karę w wysokości 3.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. Powodem skargi jest fakt, że co miesiąc otrzymywał on na swój telefon komórkowy tysiące wiadomości SMS informujących go o otrzymaniu zamówień i dostaw i w tym kontekście proszących go o ocenę firmy. Stwierdził on również, że wysłał wniosek o usunięcie swoich danych na adres kontaktowy wskazany na stronie internetowej administratora, ale nie otrzymał odpowiedzi. Nawet po złożeniu przez niego wniosku o usunięcie danych, wiadomości były nadal wysyłane.Link
798HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-273 000,00 €UST GLOBAL ESPAÑA, S.A.Art. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na UST GLOBAL ESPAÑA, S.A. karę pieniężną w wysokości 3.000 EUR. Pracownik złożył skargę na administratora danych do organu ochrony danych. UST GLOBAL ESPAÑA, S.A. działał jako dostawca usług dla OpenBank w ramach projektu. W dniu 08.01.2020 r. administrator poinformował OpenBank e-mailem, że dwóch nowych pracowników (jeden z nich to skarżący) dołączy do projektu, w związku z czym zażądał dostępu do VPN i innych aplikacji. W mailu tym, który został wysłany z kopią do obu pracowników, znalazły się ich imiona i nazwiska, służbowe adresy e-mail oraz numery dowodów osobistych. W ten sposób obaj uzyskali wzajemnie nieuprawniony dostęp do danych swoich kolegów. Urząd ochrony danych uznał to za naruszenie zasady integralności i poufności.Link
797HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-053 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną grzywnę w wysokości 3.000 euro. Dwóch sąsiadów złożyło skargę na tę osobę do organu ochrony danych, ponieważ zainstalowała ona na publicznej ulicy dwie kamery monitoringu z czujnikami ruchu. Między innymi zarejestrowały one obraz sąsiadów dochodzących do swoich posesji przez ulicę. Organ uznał to za naruszenie zasady minimalizacji danych.Link
796HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-271 000,00 €APARTAMENTOS PLAYA DE COVACHOS, S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na APARTAMENTOS PLAYA DE COVACHOS, S.L. karę pieniężną w wysokości 1.000 EUR. Administrator zainstalował w swoim ośrodku system nadzoru wideo i poinformował o tym na plakatach informacyjnych, które jednak nie zawierały żadnych informacji o tożsamości i danych kontaktowych osoby odpowiedzialnej.Link
795HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-272 000,00 €Vasco Andaluza de Inversiones S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vasco Andaluza de Inversiones S.L. karę w wysokości 2.000 EUR. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W umowie tej osoba, której dane dotyczą, wyraziła zgodę na udostępnienie jej danych administratorowi danych, właścicielowi ośrodków sportowych Fitness Place. Firma ta jednak udostępniła dane Gerco Fit S.L. i Body Tonic Shop S.L., choć nie było to przewidziane w umowie. Gerco Fit S.L. i Body Tonic Shop S.L. przetwarzały następnie dane bez podstawy prawnej.Link
794HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-272 000,00 €Gerco Fit S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Gerco Fit S.L. karę w wysokości 2.000 EUR. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W umowie tej osoba, której dane dotyczą, zgodziła się na udostępnienie swoich danych spółce Vasco Andaluza de Inversiones S.L., która jest właścicielem ośrodków sportowych Fitness Place. Spółka ta jednak udostępniła dane Gerco Fit S.L. i Body Tonic Shop S.L., choć nie było to przewidziane w umowie. Gerco Fit S.L. i Body Tonic Shop S.L. przetwarzały następnie dane bez podstawy prawnej.Link
793HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-272 000,00 €Body Tonic Shop S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Body Tonic Shop S.L. karę w wysokości 2.000 EUR. Osoba, której dane dotyczą, podpisała umowę z siłownią Fitness Place. W umowie tej osoba, której dane dotyczą, wyraziła zgodę na udostępnienie jej danych spółce Vasco Andaluza de Inversiones S.L., właścicielowi ośrodków sportowych Fitness Place. Spółka ta jednak udostępniła dane Gerco Fit S.L. i Body Tonic Shop S.L., choć nie było to przewidziane w umowie. Gerco Fit S.L. i Body Tonic Shop S.L. przetwarzały następnie dane bez podstawy prawnej.Link
792AustriaÖsterreichische Datenschutzbehörde (DSB)2021-08-022 000 000,00 €Unser Ö-Bonus Club GmbHArt. 6 RODO, Art. 7 RODO, Art. 12 RODOAustriacki urząd ochrony danych (DSB) nałożył na spółkę stowarzyszoną Rewe - Ö-Bonus Club GmbH karę w wysokości 2.000.000 euro. Podczas zapisywania się do programu lojalnościowego jö Bonus Club administrator nie wyjaśnił, że dane klientów i ich zachowania zakupowe są wykorzystywane do tworzenia indywidualnych profili, a informacje są przekazywane firmom partnerskim. Zgodnie z RODO wyjaśnienie musi być łatwo dostępne i napisane prostym językiem. Jednak administrator zaprojektował rejestrację do jö Bonus Club w taki sposób, że wyjaśnienie dotyczące profilowania można było znaleźć dopiero po przewinięciu w dół. Zgoda była jednak umieszczona wyżej, więc we wszystkich przypadkach zgody były uzyskiwane przed wyjaśnieniem. Z kolei na fizycznych ulotkach pole podpisu umieszczone na dole formularza wyglądało tak, jakby było potwierdzeniem zapisania się do klubu, mimo że stanowiło również zgodę na profilowanie. Organ uznał, że administrator naruszył obowiązek przekazywania zgody w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W związku z tym uznał zgody za nieważne, a dokonane na ich podstawie profilowanie za niezgodne z prawem.Link Link
791NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia202065 000,00 €FirmaArt. 32 RODOOrgan ochrony danych osobowych w Dolnej Saksonii nałożył na przedsiębiorstwo karę w wysokości 65.000 EUR. Powodem postępowania było zgłoszenie przez firmę do urzędu naruszenia danych zgodnie z Art. 33 RODO. W związku z tym organ ochrony danych przeprowadził kontrolę obecności firmy w Internecie. W trakcie tego procesu organ ten odkrył, że na stronie internetowej wykorzystywano przestarzałą aplikację sklepu internetowego, która nie była już aktualizowana pod kątem bezpieczeństwa. Twórca aplikacji wyraźnie ostrzegał przed dalszym korzystaniem z tej wersji, ponieważ zawierała ona poważne luki w zabezpieczeniach. Dochodzenie przeprowadzone przez organ ochrony danych wykazało ponadto, że hasła przechowywane w bazie danych nie były dostatecznie zabezpieczone. Organ ochrony danych stwierdził, że środki techniczne podjęte przez podmiot odpowiedzialny nie były adekwatne do wymogów ochrony określonych w RODO, co doprowadziło do naruszenia art. 32 RODO.Link Link
790WłochyGarante per la protezione dei dati personali (Garante)2021-07-222 500 000,00 €Deliveroo Italy s.r.l.Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 22 (3) RODO, Art. 25 RODO, Art. 30 (1) c), f), g) RODO, Art. 32 RODO, Art. 35 RODO, Art. 37 (7) RODOWłoski organ ochrony danych (Garante) nałożył na firmę Deliveroo Italy s.r.l. grzywnę w wysokości 2 500 000 EUR za niezgodne z prawem przetwarzanie danych osobowych około 8000 kierowców. Dochodzenie przeprowadzone przez Garante wykazało liczne i poważne naruszenia ochrony danych. Naruszenia te obejmowały brak przejrzystości algorytmów stosowanych do zarządzania kierowcami, zarówno przy przydzielaniu im pracy, jak i przy rezerwowaniu zmian. Deliveroo korzystało ze scentralizowanego systemu zarządzania kierowcami, za pomocą którego następnie przetwarzało i zarządzało przydzielaniem zamówień oraz rezerwacją zmian. Garante zauważa jednak, że administrator nie poinformował odpowiednio kierowców o funkcjonowaniu systemu, który zainstalował na ich smartfonach, i nie zapewnił dokładności i poprawności wyników systemów algorytmicznych wykorzystywanych do oceny kierowców. Ponadto Garante ustaliła, że Deliveroo prowadziło drobiazgową kontrolę wydajności pracy kierowców - poprzez ciągłą geolokalizację ich urządzeń, która wykraczała daleko poza to, co było konieczne do przydzielenia zamówienia (np. rejestrowanie pozycji co 12 sekund) - oraz poprzez przechowywanie dużej ilości danych osobowych zebranych podczas realizacji zamówień, w tym komunikacji z obsługą klienta. W tym kontekście okres przechowywania różnych danych nie został określony w sposób odpowiedni do celu. Zamiast tego administrator określił sztywny okres przechowywania wynoszący sześć lat. Ponadto Garante stwierdziła, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego bezpieczeństwa przetwarzania danych. Deliveroo Italy nie przeprowadziło również oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne ze względu na ryzyko, jakie stwarzało dla kierowców.Link
789HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-08-023 000,00 €Club Náutico el EstacioArt. 32 RODOHiszpański organ ochrony danych (AEPD) nałożył na Club Náutico el Estacio karę w wysokości 3 000 EUR. Osoba, której dane dotyczą, złożyła skargę na administratora do AEPD. Skarga opiera się na fakcie, że administrator opublikował na swojej stronie internetowej ogłoszenie i protokół ze zwyczajnego zebrania klubu, ujawniając dane osobowe bez ograniczeń dostępu.Link
788HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-2760 000,00 €PRA Iberia S.L.Art. 6 (1) RODO, Art. 15 RODOHiszpański organ ochrony danych (AEPD) ukarał PRA Iberia S.L. karą grzywny w wysokości 60 000 EUR. Osoba, której dane dotyczą, złożyła skargę na administratora danych do AEPD. Skarga opierała się na fakcie, że administrator dochodził roszczenia wynikającego z umowy, której osoba, której dane dotyczą, nigdy nie zawarła i o której nie wiedziała. AEPD zwraca uwagę, że osoba, której dane dotyczą, próbowała skorzystać ze swojego prawa do informacji, ale nie otrzymała żadnej odpowiedzi od administratora danych, który zamiast tego nadal naliczał odsetki od rzekomego długu osoby, której dane dotyczą.Link
787RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-07-30200,00 €Osoba fizycznaArt. 5 (1) a), b), (2) RODO, Art. 6 (1) RODO, Art. 14 (1), (4) RODORumuński organ ochrony danych (ANSPDCP) nałożył na osobę fizyczną karę w wysokości 200 EUR w związku z niezgodnym z prawem ujawnieniem danych osobowych. Administrator ujawnił dane osobowe kilku osób fizycznych, rozprowadzając pewne materiały w gospodarstwach domowych w gminie oraz publikując posty na swoim osobistym koncie na Facebooku. Z jednej strony było to zdjęcie zaświadczenia o zarobkach osoby, której dane dotyczą, z którego można było wyodrębnić między innymi nazwisko, imię, miejsce pracy i wynagrodzenie. Z drugiej strony było to zdjęcie pliku z rejestru dzieci zapisanych do przedszkola w gminie, gdzie ujawniono dane osobowe małoletniego dziecka. Organ stwierdził, że administrator przetwarzał dane bez podstawy prawnej i nie poinformował osób, których dane dotyczą, o przetwarzaniu ich danych.Link
786FinlandiaTietosuojavaltuutetun Toimisto2021-07-0525 000,00 €Instytucja szkolnictwa wyższegoArt. 5 (1) c) RODO, Art. 6 RODO, § 3 Ustawy 759/2004Fiński organ ochrony danych nałożył na instytucję szkolnictwa wyższego grzywnę w wysokości 25 000 EUR za naruszenie ochrony danych przy przetwarzaniu danych dotyczących lokalizacji pracowników. Administrator danych wprowadził aplikację mobilną, która umożliwiała telepracownikom włączanie i wyłączanie pomiaru czasu pracy. Korzystanie z aplikacji na urządzeniu mobilnym wymagało również autoryzacji w celu gromadzenia danych dotyczących lokalizacji. Zbieranie danych dotyczących lokalizacji w momencie potwierdzania godziny pracy było cechą aplikacji, bez której nie było możliwe potwierdzanie godzin pracy za pomocą aplikacji. Zgodnie z informacjami otrzymanymi od administratora danych, administrator nie używał ani nie wykorzystywał aktywnie danych dotyczących lokalizacji w żadnej sytuacji, lecz jedynie przetwarzał dane dotyczące lokalizacji w czasie włączenia się do systemu ze względów technicznych. Jednak sam fakt, że w aplikacji nie jest możliwe naliczanie czasu pracy bez przetwarzania danych dotyczących lokalizacji, nie sprawia, że ich przetwarzanie jest konieczne. W związku z tym urząd ochrony danych osobowych uznał to za naruszenie zgodności z prawem gromadzenia danych oraz zasady minimalizacji danych, ponieważ przetwarzanie danych dotyczących lokalizacji nie było konieczne do osiągnięcia celu przetwarzania - tj. samego rejestrowania godzin pracy.Link Link
785HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-272 000,00 €Stowarzyszenie właścicieliArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 2 000 EUR na stowarzyszenie właścicieli. Osoba, której dane dotyczą, zgłosiła do organu ochrony danych, że administrator danych zainstalował kamerę, która nagrywała zarówno obszar basenu, jak i inne części wnętrza domu osoby, której dane dotyczą.Link
784HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-27900,00 €Stowarzyszenie właścicieliArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył karę na stowarzyszenie właścicieli. Osoba, której dane dotyczą, twierdziła przed organem ochrony danych, że administrator danych zainstalował w jednym z jej domów kamerę, która zarejestrowała zarówno obszar basenu publicznego, jak i część domu osoby, której dane dotyczą. Pierwotna grzywna w wysokości 1 500 EUR została obniżona do 900 EUR w związku z dobrowolną zapłatą i uznaniem winy.Link
783HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-272 400,00 €PODEMOS PARTIDO POLÍTICOArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył karę pieniężną na partię polityczną PODEMOS PARTIDO POLÍTICO. Administrator zainstalował kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wizyjny, a tym samym naruszył obowiązek informacyjny. Ze względu na dobrowolną zapłatę i uznanie winy, pierwotna grzywna w wysokości 4 000 EUR została zmniejszona do 2 400 EUR.Link
782HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-2710 000,00 €PERSONAL MARK, S.L.Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na PERSONAL MARK, S.L. karę pieniężną w wysokości 10 000 EUR. Osoba, której dane dotyczą, skarżyła się, że otrzymywała od administratora promocyjne wiadomości tekstowe, mimo że kilkakrotnie zażądała usunięcia swoich danych osobowych z baz danych administratora.Link
781HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-271 000,00 €NEXTSTEPAGENCY, S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał NEXTSTEPAGENCY, S.L. karą grzywny w wysokości 1.000 EUR. Na stronie internetowej administratora brakowało wiarygodnych danych dotyczących właściciela strony internetowej, takich jak numer podatkowy i adres pocztowy.Link
780HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-27500,00 €Operator strony internetowejArt. 13 RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał grzywną w wysokości 500 EUR operatora strony internetowej w związku z tym, że jego polityka prywatności nie spełniała wymogów art. 13 RODO.Link
779HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-293 000,00 €UNIVERSIDAD A DISTANCIA DE MADRID, S.A.Art. 17 (1) RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) nałożył karę na UNIVERSIDAD A DISTANCIA DE MADRID, S.A.. Osoba, której dane dotyczą, złożyła skargę na uniwersytet kształcący na odległość. Oświadczyła, że zażądała od administratora usunięcia wszystkich swoich danych i zakazania ich przetwarzania w jakimkolwiek celu. Uzyskała potwierdzenie, że jej dane zostały całkowicie usunięte. Niemniej jednak osoba, której dane dotyczą, otrzymała później od administratora pocztą elektroniczną reklamę. AEPD nałożył wówczas grzywnę w wysokości 5 000 EUR, która została zmniejszona do 3 000 EUR ze względu na uznanie winy i natychmiastową zapłatę.Link
778LuksemburgCommission nationale pour la protection des données (CNPD)2021-07-16746 000 000,00 €Amazon Europe Core S.à.r.l.NieznanaW swoim raporcie kwartalnym Amazon.com Inc. poinformował, że DPA z Luksemburga (CNPD) ukarał Amazon Europe Core S.à r.l. grzywną w wysokości 746.000.000 EUR za brak przetwarzania danych osobowych zgodnie z RODO. Amazon planuje podjąć kroki prawne przeciwko tej decyzji.Link
777HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-262 520 000,00 €Mercadona S.A.Art. 5 (1) c) RODO, Art. 6 RODO, Art. 9 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 (1) RODO, Art. 35 RODOHiszpański organ ochrony danych (AEPD) ukarał Mercadona S.A. karą grzywny w wysokości 2.520.000 EUR. Administrator zainstalował systemy rozpoznawania twarzy w sklepach Mercadona w celu śledzenia osób z wyrokami karnymi lub zakazami zbliżania się. System wychwytywał każdego, kto wchodził do sklepów, w tym osoby nieletnie i pracowników spółki MERCADONA. W trakcie dochodzenia, organ ochrony danych stwierdził liczne naruszenia prywatności. Na przykład, system naruszał zasadę minimalizacji danych, zasadę konieczności i proporcjonalności, ponieważ administrator mógł przetwarzać wiele danych biometrycznych - poza celem systemu. Ponadto organ ochrony danych stwierdził, że przeprowadzona przez Mercadonę ocena wpływu na prywatność była niewystarczająca, ponieważ nie uwzględniała szczególnego i wyjątkowego ryzyka dla pracowników Mercadony, jakie stwarza przetwarzanie danych za pomocą systemów rozpoznawania twarzy. Ponadto spółka MERCADONA naruszyła swój obowiązek informacyjny, nie przekazując w odpowiedni sposób osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych. Pierwotna grzywna w wysokości 3 150 000 EUR składała się z 500 000 EUR w związku z naruszeniem Art. 5(1) (c) RODO, 2.000.000 EUR z tytułu naruszenia Art. 6 i art. 9 RODO, 100 000 EUR z powodu naruszenia art. 12 i art. 13 RODO, 500 000 EUR z powodu naruszenia art. 25 ust. 1 RODO oraz 50 000 EUR z tytułu naruszenia art. 35 RODO, została zmniejszona do 2 250 000 EUR z uwagi na uznanie winy i dobrowolną zapłatę.Link
776FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-07-26400 000,00 €Monsanto CompanyArt. 14 RODO, Art. 28 RODOFrancuski organ ochrony danych osobowych (CNIL) ukarał MONSANTO grzywną w wysokości 400 000 EUR. W maju 2019 r. kilka mediów ujawniło, że MONSANTO było w posiadaniu pliku zawierającego dane osobowe ponad 200 osobistości politycznych lub członków społeczeństwa obywatelskiego (np. dziennikarzy, działaczy ekologicznych, naukowców lub rolników), które mogły wpłynąć na debatę lub opinię publiczną w sprawie odnowienia zezwolenia na stosowanie glifosatu w Europie. Równocześnie CNIL otrzymał siedem skarg od osób, których dane były zawarte w tym pliku. Dla każdej z tych osób akta zawierały takie informacje, jak: organizacja, do której należały, stanowisko, które zajmowały, ich adres służbowy, numer telefonu służbowego, numer telefonu komórkowego, służbowy adres e-mail, a w niektórych przypadkach ich konto na Twitterze. Ponadto CNIL zauważył, że każdej osobie przypisano ocenę od 1 do 5, aby ocenić ich wpływ, wiarygodność i poparcie dla Monsanto w różnych kwestiach. Organ ochrony danych uważa, że firma naruszyła przepisy RODO, nie informując osób, których dane dotyczą, że ich dane były przechowywane w tym pliku. Ponadto CNIL zarzucił, że firma nie udzieliła gwarancji umownych, które w normalnych warunkach powinny regulować stosunki z podwykonawcą. Tworzenie plików kontaktowych przez zainteresowane strony do celów lobbingu samo w sobie nie jest nielegalne. CNIL podkreślił jednak, że osoby, których dane dotyczą, mają jednak prawo do bycia poinformowanym o istnieniu pliku w celu skorzystania z dodatkowych praw, w szczególności prawa do sprzeciwu. Ponadto CNIL stwierdził, że gromadzenie danych zostało przeprowadzone przez dostawcę, któremu Monsanto zleciło wykonanie usługi, oraz że Monsanto naruszyło art. 28 RODO, nie włączając do swoich umów z podmiotem przetwarzającym dane zapisów przewidzianych w RODO, w szczególności dotyczących bezpieczeństwa danych.Link
775HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-262 000,00 €Fincas Miguel García S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał Fincas Miguel García S.L. karą pieniężną w wysokości 2.000 EUR. Osoba, której dane dotyczą, złożyła skargę przeciwko administratorowi, zarzucając naruszenie art. 13 RODO. Organ ochrony danych stwierdził, że informacje przekazane przez administratora danych osobie, której dane dotyczą, nie były zgodne z postanowieniami art. 13 RODO, ponieważ brakowało istotnych aspektów, takich jak informacje o celach przetwarzania, dla których gromadzone dane osobowe są przeznaczone, oraz o jego podstawie prawnej, a także informacje o uzasadnionych interesach administratora, które usprawiedliwiają przetwarzanie, okresie przechowywania danych osobowych oraz prawie do wycofania zgody w dowolnym momencie.Link
774HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-262 000,00 €Intersumi S.C.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na Intersumi S.C. grzywnę w wysokości 2.000 EUR. Administrator nie umieścił na swojej stronie internetowej odpowiedniego oświadczenia o ochronie prywatności.Link
773WłochyGarante per la protezione dei dati personali (Garante)2021-04-21150 000,00 €Prowincjonalna Agencja Opieki Zdrowotnej w TrentoArt. 5 (1) f) RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda Provinciale per i Servizi Sanitari di Trento karę w wysokości 150 000 EUR. Administrator przypadkowo przekazał 293 raporty medyczne 175 pacjentów ich lekarzom ogólnym, mimo że pacjenci prosili o nieprzekazywanie raportów swoim lekarzom ogólnym. Wśród tych pacjentów było dwóch nieletnich i kilka kobiet, które poddały się aborcji. Dochodzenie przeprowadzone przez Garante wykazało, że dane zostały przypadkowo przekazane z powodu błędu w oprogramowaniu zarządzającym zgłoszeniami pacjentów.Link
772WłochyGarante per la protezione dei dati personali (Garante)2021-05-27120 000,00 €Azienda Usl della RomagnaArt. 5 (1) f) RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda Usl della Romagna karę w wysokości 120 000 euro. Lokalny urząd zdrowia w Romagna przypadkowo przekazał lekarzowi ogólnemu zgłoszenie pacjentki dotyczące aborcji. Pacjentka prosiła jednak, aby nie informować o tym swojego lekarza ogólnego. Przekazanie zgłoszenia nastąpiło za pośrednictwem regionalnej sieci "Sole". Dochodzenie przeprowadzone przez Garante wykazało, że dane zostały przypadkowo przekazane z powodu błędu w oprogramowaniu zarządzającym przyjmowaniem, wypisywaniem i przekazywaniem pacjentów.Link
771FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-07-201 750 000,00 €SGAM AG2R LA MONDIALE Art. 5 (1) e) RODO, Art. 13 RODO, Art. 14 RODOFrancuski organ ochrony danych osobowych (CNIL) nałożył na prywatnego ubezpieczyciela SGAM AG2R LA MONDIALE karę w wysokości 1 750 000 euro. CNIL przeprowadził w 2019 r. kontrolę w grupie AG2R LA MONDIALE. Przy tej okazji CNIL stwierdziła, że administrator przechowywał dane milionów osób przez nadmiernie długi czas i nie przestrzegał swoich obowiązków informacyjnych w kontekście telefonicznych kampanii akwizycyjnych. Jeśli chodzi o dane potencjalnych klientów, administrator nie przestrzegał maksymalnego okresu przechowywania danych wynoszącego trzy lata, określonego w ramach odniesienia i w rejestrze przetwarzania danych grupy. W rezultacie administrator przechowywał dane prawie 2 000 klientów, którzy nie kontaktowali się z administratorem przez ponad trzy lata, a w niektórych przypadkach przez pięć lat. W odniesieniu do danych klientów administrator nie przestrzegał maksymalnych ustawowych okresów przechowywania danych określonych w kodeksie ubezpieczeniowym i kodeksie handlowym. W tym przypadku administrator przechowywał dane ponad 2 milionów klientów, z których część była wrażliwa (dane dotyczące zdrowia) lub szczególna (dane bankowe), po upływie prawnie dozwolonych okresów przechowywania po zakończeniu umowy.Link
770NiderlandyAutoriteit Persoonsgegevens (AP)2021-04-09750 000,00 €TikTokArt. 12 RODOHolenderski urząd ochrony danych osobowych (DPA) ukarał portal wideo TikTok karą w wysokości 750 000 euro za naruszanie prywatności małych dzieci. Informacje, które holenderscy użytkownicy - w większości małe dzieci - otrzymali od TikTok podczas instalacji i korzystania z aplikacji, były w języku angielskim, a zatem nie były łatwe do zrozumienia. Nie udostępniając polityki prywatności w języku niderlandzkim, TikTok nie wyjaśnił odpowiednio, w jaki sposób aplikacja gromadzi, przetwarza i ponownie wykorzystuje dane osobowe. Urząd ochrony danych uznał to za naruszenie obowiązku dostarczania informacji przez przedsiębiorstwo.Link
769PolskaUrząd ochrony danych osobowych (UODO)2021-06-303 000,00 €Fundacja Promocji Mediacji i Edukacji Prawnej Lex NostraArt. 33 (1) RODO, Art. 34 (1) RODOPolski organ ochrony danych (UODO) nałożył na Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra karę pieniężną w wysokości 3.000 euro. Administrator danych nie poinformował niezwłocznie organu ochrony danych i osób, których dane dotyczą, o naruszeniu ochrony danych osobowych. Na początku 2020 r. z siedziby administratora skradziono kilka folderów zawierających dane osobowe. Zawierały one imiona i nazwiska, adresy i numery telefonów, a w 3-4 przypadkach również numery PESEL 96 osób, których dane dotyczą.LinkiLink
768HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-1245 000,00 €Telefónica Móviles España, S.A.U.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na spółkę Telefónica Mobiles España, S.A.U. karę pieniężną w wysokości 45 000 EUR. Osoba, której dane dotyczą, złożyła skargę na administratora danych do organu ochrony danych. Jego skarga opierała się na fakcie, że jego numer telefonu i profil klienta zostały wykorzystane przez pracowników administratora do przeprowadzenia testów w call center i oddziałach bez jego zgody. W rezultacie osoba, której dane dotyczą, otrzymała 247 niezamówionych połączeń od administratora. Pierwotna grzywna w wysokości 75 000 EUR została obniżona do 45 000 EUR w związku z natychmiastową płatnością i uznaniem odpowiedzialności.Link
767GrecjaHellenic Data Protection Authority (HDPA)2021-07-085 000,00 €PediatraArt. 12 (1) RODO, Art. 15 (1) RODOGrecki organ ochrony danych osobowych ukarał pediatrę karą pieniężną w wysokości 5 000 EUR. Ojciec zwrócił się do administratora danych o wgląd do dokumentacji medycznej zawartej w aktach pacjenta jego dziecka za pośrednictwem poczty elektronicznej. Administrator nie zastosował się jednak do tej prośby.Link
766HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-016 000,00 €Osoba fizycznaArt. 6 (1) RODOHiszpański organ ochrony danych osobowych (AEPD) nałożył na osobę fizyczną karę pieniężną w wysokości 6.000 euro. W dniu 8 lipca 2020 r. organ ten dowiedział się o rozpowszechnianiu w sieciach społecznościowych nagrania wideo przedstawiającego obrazy agresji mężczyzny wobec kobiety oraz młodego mężczyzny, który interweniował w tej scenie i próbował zapobiec mającej miejsce agresji. Twarze kobiety i nieletniego nie zostały jednak rozpikselowane. Pierwotna grzywna w wysokości 10 000 EUR została zmniejszona do 6 000 EUR ze względu na terminową zapłatę i uznanie winy.Link
765HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-011 000,00 €NieznanyArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na przedsiębiorstwo karę w wysokości 1.000 euro. Administrator danych wykorzystał dane osobowe osoby trzeciej w celu uzyskania mikrokredytu. Według organu ochrony danych administrator nie posiadał podstawy prawnej do przetwarzania danych i tym samym naruszył art. 6 ust. 1 RODO.Link
764HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-072 000,00 €Stowarzyszenie Właścicieli Domów Art. 5 (1) c) RODOUżycie kamery CCTV, która uchwyciła również przestrzeń publiczną z naruszeniem zasady minimalizacji danych.Link
763HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-021 500,00 €Osoba fizycznaArt. 6 (1) a) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną karę pieniężną w wysokości 1.500 EUR. Ta osoba fizyczna opublikowała na stronie internetowej dane osobowe osoby, której dane dotyczą, bez jej zgody. Dane te obejmowały zdjęcia, osobiste notatki i informacje dotyczące relacji seksualnych pomiędzy administratorem danych a osobą, której dane dotyczą. Organ ochrony danych stwierdził, że administrator danych przetwarzał te dane bez ważnej podstawy prawnej i tym samym naruszył art. 6 ust. 1 lit. a) RODO.Link
762HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-064 200,00 €Marbella Resorts S.L.Art. 28 (3) RODOHiszpański organ ochrony danych (AEPD) nałożył na Marbella Resorts S.L. karę pieniężną w wysokości 7.000 EUR. W rozpatrywanej sprawie osoba, której dane dotyczą, zarezerwowała pokój w kompleksie hotelowym administratora. W dniu przyjazdu osoby, której dane dotyczą, konsjerż sporządził kopie danych tej osoby. Konsjerż nie był jednak do tego upoważniony. Był on uprawniony wyłącznie do sprawdzenia rezerwacji, a następnie do przekazania gościom kluczy do pokoju. Po przekazaniu administratorowi danych swoich danych osobowych, osoba, której dane dotyczą, odkryła, że jej dane osobowe zostały opublikowane na stronie z treściami online dla dorosłych. W związku z tym organ ochrony danych stwierdził brak należytej staranności ze strony administratora w zarządzaniu danymi osobowymi swoich klientów, a tym samym naruszenie art. 28 ust. 3 RODO. Kara pieniężna składa się proporcjonalnie z 2.000 EUR za naruszenie art. 22(2) LSSI i 5.000 EUR za naruszenie art. 28(3) RODO. Pierwotna kara w wysokości 7.000 EUR została jednak obniżona do 4.200 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
761HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-091 500,00 €Aparcamiento Arcusa S.L.U.Art. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 1.500 euro na Aparcamiento Arcusa S.L.U. Administrator zainstalował kamery monitoringu, które między innymi obejmowały również przestrzeń publiczną. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez monitoring wideo, a tym samym naruszył obowiązek informacyjny. Grzywna składa się z 1.000 EUR za naruszenie art. 5 (1) c) RODO oraz 500 EUR za naruszenie art. 13 RODO.Link
760LuksemburgCommission nationale pour la protection des données (CNPD)2021-06-2912 500,00 €NieznanyArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 12.500 euro. Przedsiębiorstwo to zainstalowało system nadzoru wideo w celu ochrony własności przedsiębiorstwa, zabezpieczenia dostępu do miejsc prywatnych i miejsc o podwyższonym ryzyku oraz zapewnienia bezpieczeństwa użytkowników i zapobiegania wypadkom. Jednakże kamery nadmiernie rejestrowały również fragmenty przestrzeni publicznej i miejsca pracy pracowników. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informacyjny.Link
759DaniaDatatilsynet2021-07-1667 900,00 €Region SyddanmarkArt. 32 RODODuński organ ochrony danych (Datatilsynet) nałożył na region Syddanmark karę w wysokości 67 900 EUR za niedopełnienie obowiązku wdrożenia odpowiednich środków bezpieczeństwa jako administrator danych. Organ ochrony danych dowiedział się o sprawie, gdy w 2020 r. jeden z obywateli poskarżył się organowi na brak bezpieczeństwa przy przetwarzaniu przez region danych osobowych dziecka tego obywatela, a wkrótce potem region zgłosił tę sprawę organowi jako naruszenie ochrony danych osobowych. Region Syddanmark prowadził bazę danych do celów badawczych i klinicznych przez okres ponad 1,5 roku, przy czym baza ta nie była odpowiednio zabezpieczona przed dostępem osób nieupoważnionych. Manipulując adresami URL, można było uzyskać dostęp do dokumentów PDF przechowywanych w bazie danych. Umożliwiało to obywatelom, którzy byli zarejestrowani w bazie danych - i którzy posiadali również login do bazy danych - dostęp do danych osobowych osób zarejestrowanych w bazie danych. Baza danych zawierała kwestionariusze z informacjami o stanie zdrowia ponad 30 000 dzieci korzystających z opieki psychiatrycznej.Link
758NiemcyOrgan ochrony danych osobowych kraju związkowego Bawaria20207 000,00 €NieznanyArt. 58 (1) f) RODOBawarski organ ochrony danych nałożył karę na pewne przedsiębiorstwo. Administrator danych odmówił dostępu do pomieszczeń przedsiębiorstwa i urządzeń do przetwarzania danych podczas kontroli na miejscu przeprowadzonej przez organ ochrony danych zgodnie z art. 58 ust. 1 lit. f) RODO. Organ ochrony danych nałożył wówczas grzywnę w wysokości 20 000 EUR, która została jednak obniżona przez sąd rejonowy do 7 000 EUR.Link
757DaniaDatatilsynet2021-07-0980 700,00 €Medicals Nordic I/SNieznanaDuński DPA (Datatilsynet) ukarał Medicals Nordic I/S karą grzywny w wysokości 80 700 EUR. W styczniu 2021 r. organ ochrony danych dowiedział się, że Medicals Nordic wykorzystywał aplikację WhatsApp do przesyłania poufnych informacji i danych dotyczących zdrowia obywateli poddawanych testom w centrach testowych firmy. Wszyscy pracownicy pracujący w ośrodku testowym byli zapraszani do grupy WhatsApp powiązanej z ośrodkiem testowym. Członkowie tych grup WhatsApp otrzymywali wszystkie wiadomości przekazywane przez innych pracowników w grupach. Pracownicy przekazywali poufne informacje o obywatelach do centralnej administracji firmy za pośrednictwem tych grup WhatsApp. Oznaczało to, że pracownicy, którzy nie mieli związanej z pracą potrzeby przetwarzania informacji - które inni pracownicy musieli przekazywać do administracji centralnej - otrzymywali jednak te informacje, które obejmowały między innymi osobiste numery identyfikacyjne i dane dotyczące zdrowia obywateli.Link
756ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2021-07-05NieznanaFirma ubezpieczeniowaArt. 13 RODO, Art. 14 RODO, art. 27 (1) krajowej ustawy wprowadzającej RODOUrząd ochrony danych z urzędu, bez uprzedzenia, przeprowadził bezpośredni kontrolę w firmie ubezpieczeniowej z siedzibą w Zagrzebiu. Po przeprowadzeniu inspekcji obiektu, w którym przeprowadzane są badania techniczne i rejestracja pojazdów oraz zawierane są umowy ubezpieczeniowe, organ ochrony danych ustalił, że zarówno obiekt, jak i jego zewnętrzne otoczenie są objęte nadzorem wideo. Organ ochrony danych ustalił jednak, że firma ubezpieczeniowa nie powiadomiła o takim monitoringu, co jest sprzeczne z art. 27 ust. 1 ustawy o wdrożeniu RODO. Mianowicie, administratorzy danych i podmioty przetwarzające dane są zobowiązani do poinformowania, że obiekt i jego otoczenie są objęte nadzorem wideo, a takie powiadomienie musi być widoczne najpóźniej w momencie wejścia na obszar objęty monitoringiem i musi zawierać wszystkie wymagane informacje. W związku z naruszeniem przepisów, organ ochrony danych nałożył na firmę ubezpieczeniową karę administracyjną.Link
755HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-084 000,00 €Malagatrom S.L.U.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Malagatrom S.L.U. karę w wysokości 4 000 EUR. Osoba, której dane dotyczą, zakupiła od administratora za pośrednictwem platformy "Amazon" produkt, który został dostarczony w sposób wadliwy. Następnie osoba, której dane dotyczą, postanowiła zostawić negatywną recenzję na stronie sklepu administratora danych z powodu wadliwej dostawy. W związku z tym administrator opublikował dane osobowe tej osoby, takie jak jej imię i nazwisko, adres, numer telefonu komórkowego, jak również imię i nazwisko żony oraz jej numer telefonu komórkowego na stronie sklepu internetowego pozwanego w portalu Amazon.Link
754HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-07-0850 000,00 €Caixabank S.A.Art. 6 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na Caixabank S.A. karę w wysokości 50 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ otrzymała reklamę handlową od administratora, mimo że sprzeciwiła się przetwarzaniu jej danych do celów reklamowych, a administrator odpowiedział, że zastosuje się do tego żądania.Link
753LuksemburgCommission nationale pour la protection des données (CNPD)2021-06-1115 000,00 €NieznanyArt. 38 (1), (3) RODO, Art. 39 (1) a), b) RODOOrgan ochrony danych w Luksemburgu (CNPD) nałożył na przedsiębiorstwo karę w wysokości 15 000 EUR. W trakcie dochodzenia organ ochrony danych stwierdził, że administrator danych nie zaangażował w wystarczającym stopniu inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Ponadto administrator nie zapewnił inspektorowi ochrony danych wystarczającej autonomii. Wreszcie, inspektor ochrony danych nie przeszedł wystarczającego szkolenia, aby móc właściwie i niezależnie doradzać i informować administratora.Link
752Wielka BrytaniaInformation Commissioner (ICO)2021-07-0529 000,00 €MermaidsArt. 5 (1) f) RODO, Art. 32 (1), (2) RODOICO ukarało transgenderową organizację charytatywną Mermaids grzywną w wysokości 29 000 EUR za brak ochrony danych osobowych użytkowników, co stanowi naruszenie art. 5 (1) f) UK GPDR (Brytyjskie RODO) oraz art. 32 (1), (2) UK GDPR. ICO przeprowadziło dochodzenie po otrzymaniu zgłoszenia o naruszeniu danych dotyczących wewnętrznej grupy poczty elektronicznej. W trakcie dochodzenia ICO ustaliło, że grupa ta została utworzona przy niewystarczająco bezpiecznych ustawieniach, co spowodowało, że około 780 stron poufnych wiadomości e-mail było dostępnych w Internecie przez prawie trzy lata. W wyniku tego w sieci znalazły się dane osobowe, takie jak nazwiska i adresy e-mail 550 osób. ICO stwierdza, że firma Mermaids powinna była ograniczyć dostęp do swojej grupy e-maili i mogła rozważyć pseudonimizację lub szyfrowanie w celu zapewnienia dodatkowej ochrony danych osobowych. Organizacje odpowiedzialne za dane osobowe muszą zapewnić, że podejmują odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych.Link
751NiderlandyAutoriteit Persoonsgegevens (AP)2021-05-31450 000,00 €UWV (niderlandzki dostawca usług ubezpieczeniowych dla pracowników)Art. 32 RODONiderlandzki urząd ochrony danych (DPA) nałożył na UWV ( niderlandzki dostawca usług w zakresie ubezpieczeń pracowniczych - "Uitvoeringsinstituut Werknemersverzekeringen") karę w wysokości 450 000 EUR. UWV nie zabezpieczył w odpowiedni sposób wysyłania wiadomości grupowych za pośrednictwem środowiska "My Workbook". Jest to osobiste środowisko na stronie internetowej UWV, gdzie osoby poszukujące pracy mają kontakt z UWV. W rezultacie doszło do wielokrotnego wycieku danych osobowych, w tym informacji dotyczących zdrowia, łącznie ponad 15 000 osób.Link
750WłochyGarante per la protezione dei dati personali (Garante)2021-06-1020 000,00 €DentystaArt. 5 (1) a), c) RODOWłoski organ ochrony danych (Garante) nałożył na dentystę karę pieniężną w wysokości 20 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych osobowych przeciwko dentyście za odmowę leczenia po tym, jak osoba, której dane dotyczą, podała w swoim formularzu historii choroby, że jest nosicielem wirusa HIV. W klinice dentystycznej powszechną praktyką było wypełnianie przez pacjentów przed leczeniem formularza historii choroby, który zawierał pytania dotyczące przebytych, istniejących lub podejrzewanych chorób zakaźnych (np. gruźlicy, zapalenia wątroby, HIV). Urząd ochrony danych uznał to za naruszenie zasad legalności. Stwierdził on, że żądanie takich informacji w celu lepszego zaplanowania leczenia jest zgodne z prawem. Niedopuszczalne jest jednak zbieranie takich informacji, a następnie odmowa leczenia pacjenta.Link
749LuksemburgCommission nationale pour la protection des données (CNPD)2021-06-117 600,00 €NieznanyArt. 5 (1) c) RODO, Art. 13 RODOUrząd Ochrony Danych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 7.600 euro. Spółka ta zainstalowała system nadzoru wideo w celu ochrony majątku spółki, zapobiegania wtargnięciu osób nieupoważnionych i zapobiegania wypadkom. Dwie z kamer obejmowały jednak również część ulicy publicznej, a sześć kamer obejmowało miejsca pracy niektórych pracowników. DPA stwierdza, że nagrywanie pracowników i ulicy publicznej nie było konieczne do zapewnienia celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych na mocy art. 5 ust. 1 lit. c) RODO. Ponadto organ ochrony danych stwierdził, że administrator danych nie wypełnił swoich obowiązków informacyjnych na mocy art. 13 RODO.Link
748LuksemburgCommission nationale pour la protection des données (CNPD)2021-06-117 200,00 €NieznanyArt. 5 (1) c), e) RODO, Art. 13 RODO, Art. 32 (1) RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę grzywnę w wysokości 7.200 euro. Przedsiębiorstwo to zainstalowało system nadzoru wideo w celu ochrony majątku firmy, zapobiegania wtargnięciu osób nieupoważnionych oraz zapobiegania wypadkom. Kamery zarejestrowały jednak również część obszaru pracy pracownika oraz palarni, z której pracownicy często korzystali. Ponadto, administrator zainstalował czujniki lokalizacji w samochodach należących do floty. Miało to na celu optymalizację działalności przedsiębiorstwa. Organ ochrony danych stwierdza, że nagrywanie pracowników nie było konieczne do zapewnienia celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Dane dotyczące lokalizacji zgromadzone przez administratora danych były przechowywane przez okres ośmiu miesięcy, chociaż nie było to konieczne do celów przetwarzania. Organ ochrony danych uznał to za naruszenie zasady przechowywania danych. Ponadto, organ ochrony danych stwierdził naruszenie obowiązków informacyjnych określonych w art. 13 RODO. Wreszcie, organ ochrony danych stwierdził naruszenie art. 32 (1) RODO. Wszystkie osoby, które miały autoryzowany dostęp do oprogramowania, za pomocą którego można było śledzić lokalizacje, korzystały z tego samego konta, a nie z konta indywidualnego.Link
747WłochyGarante per la protezione dei dati personali (Garante)2021-05-1384 000,00 €Gmina BolzanoArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODO, Art. 13 RODO, Art. 35 RODOWłoski Urząd Ochrony Danych (Garante) nałożył na gminę Bolzano karę w wysokości 84.000 euro. Były pracownik gminy złożył skargę do organu ochrony danych przeciwko gminie. W szczególności były pracownik skarżył się, że gmina przetwarzała dane osobowe związane z korzystaniem przez niego z Internetu w godzinach pracy oraz że otrzymał on później zawiadomienie o wszczęciu postępowania dyscyplinarnego, w którym zarzucono mu, że w godzinach pracy korzystał z Facebooka przez ponad 40 minut i z YouTube przez ponad 3 godziny oraz że wykorzystywał komputer należący do gminy do celów prywatnych. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że gmina od około dziesięciu lat stosowała system kontroli i filtrowania przeglądania Internetu przez pracowników, w ramach którego co miesiąc przechowywano dane i sporządzano specjalne raporty dla celów bezpieczeństwa sieci. System ten gromadził również informacje, które nie miały nic wspólnego z działalnością zawodową, a w każdym razie dotyczyły życia prywatnego danej osoby. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych, zgodności z prawem i ograniczenia celu. Administrator powinien był raczej podjąć mniej inwazyjne środki, aby zapobiec prywatnemu korzystaniu z Internetu. Organ ochrony danych zwrócił uwagę, że potrzeba zmniejszenia ryzyka niewłaściwego wykorzystania internetu nie może prowadzić do całkowitego wyeliminowania prywatności osoby, której dane dotyczą, w miejscu pracy, nawet w przypadkach, gdy pracownik korzysta z usług sieciowych świadczonych przez pracodawcę. Ponadto administrator danych nie poinformował odpowiednio pracowników o gromadzeniu historii korzystania z internetu, co stanowiło naruszenie obowiązku wynikającego z art. 13 RODO. Ponadto dochodzenie wykazało inne naruszenia w zakresie przetwarzania danych związanych z wnioskami pracowników o przeprowadzenie nadzwyczajnych badań lekarskich, które były składane przy użyciu specjalnego formularza. Formularz dostarczony przez administratora danych musiał być sprawdzony przez kierownika jednostki organizacyjnej, co doprowadziło do niezgodnego z prawem przetwarzania danych dotyczących zdrowia.
Link
746DaniaDatatilsynet2021-07-0753 800,00 €Nordbornholms Byggeforretning ApsArt. 5 RODO, Art. 6 RODODuński organ ochrony danych osobowych ( Datatilsynet) nałożył na Nordbornholms Byggeforretning Aps grzywnę w wysokości 53 800 EUR. W 2018 r. z organem ochrony danych skontaktował się podmiot danych, który skarżył się, że jego były pracodawca Nordbornholms Byggeforretning ApS, ujawnił informacje o nim klientom firmy. Administrator danych wysłał do dwóch klientów spółki e-mail z informacją, że były pracownik popełnił przestępstwa w trakcie zatrudnienia i przyznał się do ich popełnienia, a także szczegółowo opisał rzekomy przebieg zdarzeń. Zgodnie z przepisami o ochronie danych osobowych, administrator danych miał w takim przypadku uzasadniony interes w ujawnieniu informacji o zwolnieniu byłego pracownika swoim klientom oraz w poinformowaniu klientów, że w związku z tym pracownik nie może zawierać żadnych umów w imieniu firmy. Jednakże tak szczegółowy opis zarzutów nie był konieczny, a tym samym niezgodny z prawem.Link
745ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2021-07-05NieznanaFirma świadcząca usługi ITArt. 32 (1) b), (2) RODOChorwacki organ ochrony danych (azop) nałożył karę pieniężną na firmę świadczącą usługi IT po tym, jak organowi ochrony danych nzostało zgłoszone naruszenie na podstawie art. 33 RODO. Hakerzy nielegalnie uzyskali dostęp do danych osobowych 28 085 osób, których dane dotyczą. Urząd ochrony danych stwierdził, że administrator nie podjął niezbędnych środków w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do istniejących i przewidywalnych zagrożeń dla osób, których dane dotyczą.Link
744FinlandiaTietosuojavaltuutetun Toimisto2021-06-248 500,00 €Wydawca czasopismaArt. 5 (1) a) RODO, Art. 7 (2), (4) RODO, Art. 12 (2) RODO, Art. 21 (2) RODO, Art. 24 (1) RODO, Art. 28 (1), (3) RODOFiński organ ochrony danych nałożył na wydawcę czasopisma grzywnę w wysokości 8.500 euro. Administrator prowadził marketing bezpośredni z wykorzystaniem automatycznego systemu wywoływania, bez ważnej zgody odbiorców połączeń. Konkretnie, administrator uzyskał pozorną zgodę na marketing bezpośredni, gdy klient zaprenumerował czasopismo na przykład na swojej stronie internetowej. Prenumerator czasopisma był zobowiązany do zaakceptowania warunków prenumeraty i umowy, które obejmowały zgodę na marketing bezpośredni. Jeżeli zgoda na marketing bezpośredni nie została udzielona, czasopisma nie można było zaprenumerować. Organ ochrony danych stwierdza, że zgoda i sposób jej uzyskania nie były zgodne z RODO. W istocie zgoda nie była wyraźnie wymagana dla celów marketingu bezpośredniego, a zgoda zebrana wraz z warunkami prenumeraty i umowy nie stanowiła dobrowolnej zgody dla celów marketingu bezpośredniego. Ponadto osoby, których dane dotyczą, nie mogły skorzystać z prawa do sprzeciwu ze względu na fakt, że rozmowy telefoniczne dotyczące marketingu bezpośredniego odbywały się za pomocą automatycznych systemów telefonicznych, a boty głosowe nie były w stanie zrozumieć konkretnych pytań osób, których dane dotyczą, dotyczących ich danych. Ponadto wydawca czasopisma zlecił przeprowadzenie kampanii reklamowej centrum telefonicznemu i nie uregulował czynności przetwarzania danych w umowie o powierzeniu przetwarzania danych.Link
743WłochyGarante per la protezione dei dati personali (Garante)2021-06-102 600 000,00 €Foodinho s.r.l.Art. 5 (1) a), c), e) RODO, Art. 13 RODO, Art. 22 (3) RODO, Art. 25 RODO, Art. 30 (1) a), b), c), f), g) RODO, Art. 32 RODO, Art. 35 RODO, Art. 37 (7) RODOWłoski organ ochrony danych (Garante) nałożył na Foodinho s.r.l. karę w wysokości 2.600.000 EUR. Foodinho jest włoską firmą zajmującą się dostarczaniem żywności. Dochodzenie przeciwko Foodinho koncentrowało się głównie na kierowcach Foodinho. W trakcie postępowania organ ochrony danych stwierdził kilka poważnych naruszeń obowiązujących przepisów w zakresie ochrony danych. W związku z tym organ ten stwierdził pewne nieprawidłowości dotyczące algorytmów systemu Foodinho. W szczególności organ ten stwierdził, że administrator danych nie informował odpowiednio pracowników o sposobie działania systemu i nie gwarantował dokładności i poprawności wyników algorytmów wykorzystywanych do oceny kierowców. Ponadto, organ ochrony danych stwierdził naruszenie zasad minimalizacji danych oraz ograniczenia przechowywania. Przykładowo, systemy przetwarzały dane kierowców w zakresie wykraczającym poza cel przetwarzania, a w niektórych przypadkach przechowywały dane znacznie dłużej niż było to konieczne. Ponadto administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu zapewnienia bezpiecznego przetwarzania danych. Administrator nie przeprowadził również oceny skutków w zakresie ochrony danych, choć byłoby to konieczne ze względu na znaczną ilość danych różnego rodzaju dotyczących znacznej liczby osób, których dane dotyczą. Przeciwko spółce dominującej GlovoApp23 toczy się odrębne postępowanie prowadzone przez hiszpański organ ochrony danych (AEPD).Link
742LuksemburgCommission nationale pour la protection des données (CNPD)2021-04-082 800,00 €NieznanyArt. 5 (1) e) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 2 800 EUR. Administrator zainstalował czujniki lokalizacji w pewnej liczbie samochodów należących do jego floty. Miało to na celu m.in. ochronę majątku firmy, monitorowanie transportu towarów i czasu pracy kierowców. Niektóre z danych dotyczących lokalizacji zebranych przez administratora były przechowywane przez dwa lata i cztery miesiące. Organ ochrony danych stwierdza, że było to wyraźnie nadmierne i nie było konieczne do celów przetwarzania. Organ uznał to za naruszenie zasady ograniczenia przechowywania. Ponadto organ ochrony danych stwierdził, że administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych dotyczących lokalizacji, a tym samym naruszył swoje obowiązki informacyjne zgodnie z art. 13 RODO.Link
741PolskaUrząd ochrony danych osobowych (UODO)2021-06-2135 300,00 €Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.Art. 33 (1) RODO, Art. 34 (1) RODOPolski organ ochrony danych (UODO) nałozył na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. karę 35300 euro za za niezgłoszenie naruszenia ochrony danych osobowych. Ponadto spółkę ukarano za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy. Pośrednik finansowy działający na rzecz administratora wysłała do niewłaściwego odbiorcy analizę potrzeb ubezpieczeniowych i oferty ubezpieczenia administratora oraz innych firm ubezpieczeniowych. Pośrednik w stosunku do administratora pełnił rolę podmiotu przetwarzającego. Jednak w stosunku do osoby, której dotyczyło naruszenie, był również administratorem. W związku z tym zgłosił naruszenie do UODO i poinformował o nich również wszystkich administratorów, których naruszenie dotyczyło. Administratorzy ci (z wyjątkiem Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A.) również zgłosili naruszenie do organu. Administrator, na którego nałożono karę, nie zrobił tego uznając, że nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie. Nie poinformował też o naruszeniu osoby, której dane dotyczyły.Link i Link
740IslandiaPersónuvernd2021-06-1534 000,00 €Huppuís ehfArt. 5 (1) a), c) RODO, Art. 6 (1) RODO, Art. 12 (1) RODO, Art. 13 (1), (2) RODOIslandzki organ ochrony danych (Persónuvernd) nałożył na firmę Huppuís ehf karę w wysokości 34 000 EUR. Były pracownik złożył skargę na administratora danych do organu ochrony danych. Powodem był monitoring za pomocą kamer zainstalowanych przez administratora. Podczas zmian pracownicy administratora nosili odzież dostarczoną przez administratora, jednak wyznaczona szatnia sklepu była pomieszczeniem magazynowym, w którym przechowywano duże ilości środków czystości. Ze względu na brak wystarczającej ilości miejsca w tym pomieszczeniu, pracownicy (w większości nieletni) musieli przebierać się w ogólnej strefie pracowniczej, która była objęta monitoringiem kamery wideo. Administrator oświadczył, że zainstalował kamerę wideo dla celów bezpieczeństwa. Organ ochrony danych stwierdził, że administrator miał uzasadniony interes w nadzorze wideo, ale należy również wziąć pod uwagę interesy pracowników, w większości nieletnich. Administrator powinien był spróbować wdrożyć mniej restrykcyjne środki. Ponadto, organ ochrony danych podkreślił, że informacje na temat nadzoru wideo były niewystarczające zarówno w obszarze dla pracowników, jak i obsługi klienta. Przy ustalaniu wysokości kary uwzględniono jako okoliczność obciążającą fakt, że duża liczba osób, których dane dotyczyły, była niepełnoletnia.Link
739LitwaValstybinė duomenų apsaugos inspekcija (VDAI)20208 000,00 €NieznanyArt. 5 RODO, Art. 13 RODO, Art. 24 RODO, Art. 35 RODOLitewski organ ochrony danych (VDAI) ukarał firmę karą pieniężną w wysokości 8 000 EUR za dokonywanie nagrań dźwiękowych w autobusach transportu publicznego z naruszeniem art. 5 RODO, art. 13 RODO, art. 24 RODO i art. 35 RODO.Link
738NorwegiaDatatilsynet2021-06-0449 200,00 €Gmina MossArt. 32 (1) b), d) RODONorweski urząd ochrony danych osobowych (Datatilsynet) ukarał gminę Moss karą w wysokości 49 200 euro za niewłaściwe zabezpieczenie danych osobowych. W styczniu gmina Rygge została przyłączona do gminy Moss. Z tego powodu połączono kilka systemów informatycznych z obu gmin. Z powodu nieodpowiednich środków bezpieczeństwa doszło do naruszenia danych w systemie produkcyjnym wykorzystywanym w gminnej służbie zdrowia. System ten przetwarzał dane osobowe i zdrowotne, co miało wpływ na osoby mieszkające w gminie i korzystające z ośrodka zdrowia. System ten jest wykorzystywany do świadczenia usług związanych z programami szczepień ochronnych w gminie, a także do innych kontroli zdrowotnych i badań kontrolnych kobiet w ciąży. Naruszenie potencjalnie dotyczyło około 2000 osób. W wyniku naruszenia danych wystąpiły błędy w rejestracji szczepionek. W rezultacie osoby, których dane dotyczyły, były narażone na ryzyko otrzymania niewłaściwych szczepionek. Istniało również prawdopodobieństwo, że ich dane dotyczące szczepień ochronnych mogły zostać błędnie umieszczone w krajowym rejestrze szczepień ochronnych. Ponadto wystąpiły błędy w badaniach kontrolnych dla kobiet w ciąży, w tym w informacjach dotyczących tygodnia ciąży lub zażywania leków przez matkę. Również informacje o pacjentach były przekazywane pracownikom służby zdrowia w oddziale służby zdrowia bez wymogu i bez udokumentowania dostępu.Link
737WłochyGarante per la protezione dei dati personali (Garante)2021-05-132 856 169,00 €Iren Mercato S.p.A.Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 (1) RODOWłoski organ ochrony danych (Garante) ukarał Iren Mercato S.p.A. karą grzywny w wysokości 2.856.169 EUR za niesprawdzenie, czy wszystkie transfery danych odbiorców działań promocyjnych były objęte zgodą. Kilka osób, których dane dotyczą, złożyło skargi do organu ochrony danych przeciwko administratorowi, ponieważ otrzymywały one niezamówione reklamy, na które nigdy nie wyraziły zgody. W swoim dochodzeniu przeciwko administratorowi danych osobowych, organ ochrony danych ustalił, że w rzeczywistości przetwarzał on dane osobowe do celów działań telemarketingowych, których nie zgromadził bezpośrednio, lecz pozyskał z innych źródeł. Nie sprawdził on, czy od adresatów reklam uzyskano ważne zgody na wszystkie transfery danych. Administrator otrzymał listy danych osobowych od jednej firmy, która z kolei nabyła je od dwóch innych firm. Te ostatnie firmy uzyskały zgodę potencjalnych klientów na telemarketing prowadzony przez nie i przez osoby trzecie, ale zgoda ta nie obejmowała przekazywania danych klientów administratorowi. W tym kontekście organ ochrony danych podkreślił, że zgoda udzielona przez klienta przedsiębiorstwu na działania promocyjne prowadzone przez osoby trzecie nie może rozciągać swojej skuteczności na późniejsze przekazywanie danych innym podmiotom.Link
736HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-2210 000,00 €TNT EXPRESS WORLDWIDE SPAIN, S.L.Art. 5 (1) d) RODOHiszpański organ ochrony danych (AEPD) nałożył na TNT EXPRESS WORLDWIDE SPAIN, S.L. karę pieniężną w wysokości 10 000 EUR. Osoba, której dane dotyczą, złożyła u administratora prywatne zamówienie, a jako adres dostawy podała adres swojego miejsca pracy. Przesyłka została prawidłowo dostarczona, ale faktura została wystawiona na przedsiębiorstwo, w którym zatrudniony był podmiot danych, a nie na podmiot danych. Zarówno faktura, jak i rachunek za dostawę zawierały różne dane osobowe osoby, której dane dotyczą. W wyniku tego incydentu zostały one ujawnione jego pracodawcy.Link
735NorwegiaDatatilsynet2021-06-2224 800,00 €NieznanyArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 17 RODO, Art. 21 RODONorweski urząd ochrony danych osobowych (Datatilsynet) nałożył na pewną firmę karę w wysokości 14.800 EUR. Tłem sprawy jest skarga złożona przez byłego pracownika, który dowiedział się, że dyrektor zarządzający firmy codziennie logował się do skrzynki e-mailowej skarżącego przez okres sześciu tygodni po rozwiązaniu stosunku pracy z byłym pracownikiem. W sumie dyrektor zarządzający miał dostęp do konta przez okres pięciu miesięcy. Proces ten był uzasadniony wymogami biznesowymi (np. przetwarzanie zapytań klientów). Organ ochrony danych stwierdził jednak, że administratorowi brakowało podstawy prawnej dla takiego dostępu do konta poczty elektronicznej osoby, której dane dotyczą. Ponadto organ ochrony danych stwierdził, że administrator naruszył swoje obowiązki informacyjne wynikające z art. 13 RODO, obowiązek usunięcia danych z konta e-mail osoby, której dane dotyczą na mocy art. 17 RODO oraz obowiązek rozpatrzenia sprzeciwu skarżącego na mocy art. 21 RODO.Link
734FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-06-14200 000,00 €BRICO PRIVÉ Art. 5 (1) e) RODO, Art. 13 RODO, Art. 17 RODO, Art. 32 RODO, Art. 82 Loi informatique et libertés Ustawa o ochronie danych), Art. L. 34-5 CPCEFrancuski organ ochrony danych osobowych (CNIL) nałożył na BRICO PRIVÉ karę w wysokości 500 000 EUR. CNIL przeprowadził trzy kontrole w BRICO PRIVÉ w latach 2018-2021 i stwierdził szereg uchybień w zakresie przetwarzania danych osobowych potencjalnych klientów i klientów. Na przykład administrator nie przestrzegał ustalonych przez siebie okresów przechowywania danych. W tym zakresie zatrzymano dane ponad 16 000 klientów, którzy nie złożyli zamówienia w ciągu ostatnich pięciu lat. To samo dotyczyło ponad 130 000 osób, które od pięciu lat nie logowały się na swoje konta klientów. Ponadto administrator naruszył swoje obowiązki informacyjne wynikające z art. 13 RODO. Co więcej, administrator nie wywiązał się z obowiązku pełnego zastosowania się do otrzymanych wniosków o usunięcie danych. CNIL stwierdził również, że administrator nie wdrożył wystarczających środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. I tak na przykład administrator nie wymagał stosowania bezpiecznego hasła podczas procesu otwierania konta na stronie internetowej firmy lub podczas dostępu pracowników do oprogramowania do zarządzania relacjami z klientami. Grzywna składa się proporcjonalnie z 300.000 EUR za naruszenie art. 5(1) e) RODO, Art. 13 RODO, Art. 17 RODO i art. 32 RODO oraz 200 000 EUR za naruszenie art. 82 Loi informatique et libertés (Ustawy o ochronie danych) oraz art. L. 34-5 CPCE.Link
733SzwecjaDatainspektionen2021-06-211 600 000,00 €Storstockholms LokaltrafikArt. 5 (1) a), c) RODO, Art. 6 (1) f) RODO, Art. 13 RODOSzwedzki DPA ukarał Storstockholms Lokaltrafik (Sztokholmskie Przedsiębiorstwo Transportu Lokalnego) karą grzywny w wysokości 1.600.000 EUR. Kontroler wyposażył kontrolerów biletów w noszone na ciele kamery, które miały zapobiegać sytuacjom zagrożenia, dokumentować incydenty i zapewniać, że właściwa osoba została ukarana mandatem za podróżowanie sztokholmskim transportem publicznym bez ważnego biletu. Kontrolerzy biletów byli zobowiązani do trzymania kamery przy sobie przez całą zmianę, dzięki czemu mogli filmować wszystkich pasażerów, którzy przechodzili obok kontrolera. Ponieważ każdego dnia kilkaset tysięcy osób korzysta z transportu publicznego w Sztokholmie, duża liczba osób była narażona na ryzyko bycia monitorowaną przez nagrania wideo i audio. Organ ochrony danych uważa, że technologia kamer noszonych na ciele może być wykorzystywana do zapobiegania i dokumentowania sytuacji zagrożenia, ale czas wstępnego nagrywania powinien zostać skrócony do maksymalnie 15 sekund, ponieważ dłuższy czas wstępnego nagrywania nie jest konieczny do osiągnięcia wyżej wymienionych celów. Ponadto DPA stwierdził, że nagrania audio nie przyczyniają się do identyfikacji osób nieposiadających ważnego biletu. W związku z tym organ uznał, że nagrania dźwiękowe stanowią naruszenie zasad legalności i przejrzystości, jak również minimalizacji danych. Organ ochrony danych skrytykował również kontrolera za niedostarczenie wystarczających informacji na temat nadzoru kamer, w tym faktu, że rejestrowane były nie tylko obrazy, ale również dźwięki.Link
732LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2021-06-2120 000,00 €UAB VS FITNESSArt. 5 (1) a), c) RODO, Art. 9 (1) RODO, Art. 13 (1), (2) RODO, Art. 30 RODO, Art. 35 (1) RODOLitewski organ ochrony danych (VDAI) nałożył na spółkę UAB VS FITNESS karę w wysokości 20 000 EUR. Po otrzymaniu zawiadomienia od osoby fizycznej stwierdzającego, że zeskanowanie odcisku palca było konieczne do skorzystania z usług klubu sportowego należącego do administratora, organ ochrony danych wszczął dochodzenie przeciwko administratorowi. W wyniku kontroli przeprowadzonej przez organ ochrony danych stwierdzono, że zgoda wyrażona przez klientów na przetwarzanie ich wzorów odcisków palców nie była dobrowolna, ponieważ nie istniały inne środki identyfikacji. Ponadto organ ten stwierdził, że administrator danych również niezgodnie z prawem przetwarzał odciski palców pracowników. Administrator nie określił również, w jakim celu i na jakiej podstawie prawnej przetwarzał dane biometryczne pracowników. Nie przeprowadził również oceny skutków dla ochrony danych i nie wykazał konieczności i proporcjonalności przetwarzania odcisków palców pracowników. Ponadto organ ochrony danych stwierdza, że administrator nie wypełnił swoich obowiązków informacyjnych zgodnie z art. 13 RODO.Link
731GrecjaHellenic Data Protection Authority (HDPA)2021-06-0315 000,00 €PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ Art. 5 (1) a), b) RODO, Art. 5 (2) RODOGrecki organ ochrony danych nałożył na PURPLE SEA MΟΝΟΠΡΟΣΩΠΗ ΙΚΕ karę pieniężną w wysokości 15 000 EUR w związku z nielegalną instalacją i obsługą systemu nadzoru wideo. Administrator zainstalował system nadzoru wideo w pomieszczeniach biurowych, nie informując o tym pracowników, naruszając tym samym zasady legalności, uczciwości, przejrzystości, celowości i odpowiedzialności.Link
730DaniaDatatilsynet2021-06-1627 000,00 €Gmina VejleArt. 32 RODODuński organ ochrony danych (Datatilsynet) nałożył na gminę Vejle karę w wysokości 27 000 EUR. Duński organ ochrony danych wszczął dochodzenie przeciwko gminie po tym, jak zgłosiła ona naruszenie ochrony danych zgodnie z art. 33 RODO. W ramach leczenia dzieci gminna służba dentystyczna wysyłała automatyczne listy powitalne do obojga rodziców, które zawierały dane kontaktowe obojga rodziców. Gmina nie sprawdziła przy tym, czy wolno jej było przekazać te informacje drugiemu rodzicowi. W kilku przypadkach rodzice otrzymali w ten sposób adres drugiego rodzica, niezależnie od tego, czy drugi rodzic był objęty ochroną nazwisk i adresów. Organ ochrony danych uznał to za brak podjęcia przez gminę środków technicznych i organizacyjnych w celu zapewnienia odpowiedniej ochrony danych.Link
729PolskaUrząd ochrony danych osobowych (UODO)2021-03-194 900,00 €Funeda Sp. z o.o.Art. 31 RODO, Art. 58 (1) a), e) RODOPolski organ ochrony danych (UODO) nałożył na Funeda Sp. z o.o. karę pieniężną w wysokości 4.900 EUR za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie postępowania wyjaśniającego.Link i LinkKara z RODO dla Funeda Sp. z o.o. - omówienie
728RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-06-092 000,00 €La Santrade S.R.L.Art. 31 RODO, Art. 58 RODORumuński organ ochrony danych (ANSPDCP) nałożył na La Santrade S.R.L. karę w wysokości 2 000 EUR za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia.Link
727HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-141 200,00 €Inmopiso Zaragoza S.L.Art. 13 RODOAdministrator nie dostarczył dokładnych informacji na temat gromadzenia danych zgodnie z art. 13 RODO. Pierwotna kara pieniężna w wysokości 2 000 EUR została obniżona do 1 200 EUR w związku z natychmiastową płatnością i przyznaniem się do winy.Link
726LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-3118 000,00 €NieznanyArt. 38 (1), (2) RODO, Art. 39 (1) a) RODOOrgan ochrony danych w Luksemburgu nałożył na pewną firmę karę w wysokości 18 000 euro. Według organu ochrony danych, administrator po pierwsze nie włączył inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie zapewnił inspektorowi ochrony danych środków niezbędnych do wykonywania jego obowiązków.Link
725NiderlandyAutoriteit Persoonsgegevens (AP)2021-02-0412 000,00 €Klinika OrtodontycznaArt. 32 (1) RODOHolenderska agencja DPA (AP) ukarała klinikę ortodontyczną karą pieniężną w wysokości 12 000 euro. Formularz internetowy, za pomocą którego nowi pacjenci zapisywali się do kliniki, zawierał obowiązkowe pola na wszelkiego rodzaju dane osobowe pacjentów. Dane, które pacjenci (w większości dzieci) wpisywali do formularza, były następnie przesyłane do kliniki ortodontycznej za pośrednictwem niezaszyfrowanego - a zatem niezabezpieczonego - połączenia. Wiązało się to z ryzykiem uzyskania przez nieupoważnione osoby trzecie dostępu do danych osobowych osób, których te dane dotyczą.Link
724LiechtensteinDatenschutzstelle20204 100,00 €NieznanyNieznanaBezprawna obsługa systemu monitoringu wizyjnego.Link
723NorwegiaDatatilsynet2021-05-2839 700,00 €BRAbank ASAArt. 24 RODO, Art. 32 (1), (2) RODONorweski organ ochrony danych (Datatilsynet) nałożył na BRAbank ASA karę w wysokości 39 700 EUR. Administrator zgłosił naruszenie danych do organu ochrony danych w dniu 6 września 2019 r. Na stronie internetowej administratora niektórzy klienci byli w stanie wyświetlić dane innych klientów w sekcji "Moja strona". Obejmowały one warunki kredytowe i dane adresowe innych klientów. Sekcja została aktywowana krótko wcześniej dla 500 wybranych klientów i miała na celu m.in. zapewnienie przeglądu kredytów zaciągniętych u administratora. Na podstawie przeprowadzonych w tej sprawie dochodzeń organ ochrony danych stwierdził, że administrator danych nie spełnił wymogów RODO dotyczących oceny ryzyka i odpowiednich środków technicznych w związku z uruchomieniem portalu dla klientów. Zgodnie z oceną organu ochrony danych osobowych można było zapobiec naruszeniu bezpieczeństwa danych osobowych, gdyby administrator przeprowadził ocenę ryzyka i przegląd zgodnie z wymogami prawa.Link
722SzwecjaDatainspektionen2021-06-0934 800,00 €Dyrekcja Służby Ratowniczej Östra SkaraborgArt. 5 (1) a), c) RODO, Art. 32 (1), (4) RODOSzwedzki urząd ochrony danych osobowych nałożył karę w wysokości 34 800 euro na dyrekcję służb ratowniczych Östra Skaraborg. Organ ten otrzymał informację, że w kilku remizach strażackich w Östra Skaraborg działały kamery monitorujące, które filmowały miejsca, w których strażacy zmieniali się podczas akcji ratunkowej, w związku z czym rozpoczął przegląd nadzoru kamer. Nadzór wideo odbywał się przez całą dobę, chociaż sam administrator stwierdził, że nadzór wideo był wymagany jedynie w przypadku alarmów awaryjnych. Organ ochrony danych stwierdza, że całodobowy monitoring był zbyt daleko idący, ale zauważa, że administrator miał ważne powody dla nadzoru kamer. Nadzór kamer powinien być jednak ograniczony do nagłych przypadków. Kara pieniężna składa się proporcjonalnie z 29.800 EUR za naruszenie Art. 5 (1) a), c) RODO oraz 5.000 EUR za naruszenie art. 32 (1), (4) RODO.Link
721PolskaUrząd ochrony danych osobowych (UODO)2021-04-275 050,00 €PNP S.A.Art. 31 RODO, Art. 58 (1) e) RODOAdministrator danych nie udzielił informacji, o które zwrócił się polski organ ochrony danych (UODO) do celów dochodzeniowych.LinkKara z RODO dla PNP S.A. - omówienie
720RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-06-092 000,00 €S.C. Dreamtime Call S.R.L.Art. 58 RODORumuński organ ochrony danych (ANSPDCP) ukarał S.C. Dreamtime Call S.R.L. karą pieniężną w wysokości 2.000 EUR za nieprzekazanie informacji, o które zwrócił się organ ochrony danych w trakcie dochodzenia, z naruszeniem przepisów art. 83 (5) e), 58 RODO.Link
719SzwecjaDatainspektionen2021-06-0764 500,00 €Voice Integrate Nordic ABArt. 32 RODOSzwedzki organ ochrony danych nałożył na Voice Integrate Nordic AB karę w wysokości 64 500 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem regionom Szwecji. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Dzięki luce w zabezpieczeniach uzyskano dostęp do dużej liczby połączeń. Szwedzki organ ochrony danych stwierdził, że Voice Integrate nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w celu ochrony danych osobowych, tak aby osoby nieupoważnione nie mogły uzyskać do nich dostępu.Link
718SzwecjaDatainspektionen2021-06-07120 000,00 €MedHelp ABArt. 5 (1) a), f) RODO, Art. 6 RODO, Art. 9 (1) RODO, Art. 13 RODO, Art. 32 RODOSzwedzki organ ochrony danych (DPA) nałożył na MedHelp AB karę w wysokości 1.200.000 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem regionom Szwecji. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Z powodu luki uzyskano dostęp do dużej liczby połączeń. Szwedzki organ ochrony danych stwierdził, że MedHelp nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w celu ochrony danych osobowych, tak aby osoby nieupoważnione nie mogły uzyskać do nich dostępu. Ponadto MedHelp nie poinformowała odpowiednio dzwoniących o przetwarzaniu ich danych osobowych zgodnie z art. 13 RODO. Ponadto organ uważa, że powierzenie przetwarzania danych osobowych firmie Medicall stanowi naruszenie zasady legalności określonej w RODO. Dzieje się tak dlatego, że Medicall nie jest objęty szwedzkim ustawodawstwem zdrowotnym i medycznym, a zatem nie podlega prawnie uregulowanemu obowiązkowi zachowania poufności, który istnieje w szwedzkim sektorze opieki zdrowotnej.Link
717SzwecjaDatainspektionen2021-06-0750 000,00 €Region StockholmArt. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODOSzwedzki Urząd Ochrony Danych nałożył na Region Sztokholm karę w wysokości 50.000 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Z powodu luki uzyskano dostęp do dużej liczby połączeń. Inspektor ochrony danych nałożył grzywnę na Region Sztokholm za gromadzenie danych o połączeniach od osób, których dane dotyczą, bez uprzedniego odpowiedniego poinformowania ich o ich przetwarzaniu.Link
716SzwecjaDatainspektionen2021-06-0725 000,00 €Region VärmlandArt. 5 (1) a) RODO, Art. 13 RODOSzwedzki urząd ochrony danych osobowych nałożył na region Värmland karę w wysokości 25 000 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Z powodu luki uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na Region Värmland za gromadzenie danych o połączeniach od osób, których dane dotyczą, bez uprzedniego odpowiedniego poinformowania ich o ich przetwarzaniu.Link
715SzwecjaDatainspektionen2021-06-0725 000,00 €Region SörmlandArt. 5 (1) a) RODO, Art. 13 RODOSzwedzki urząd ochrony danych osobowych nałożył na region Sörmland karę w wysokości 25 000 EUR. Kara ta jest związana z dochodzeniem prowadzonym przeciwko trzem przedsiębiorstwom i trzem szwedzkim regionom. We wszystkich 21 regionach Szwecji, dzwoniąc pod numer 1177, można uzyskać dostęp do infolinii oferującej porady na różne tematy związane ze zdrowiem. Każdy region prowadzi własną usługę poradnictwa zdrowotnego, wewnętrznie lub za pośrednictwem zakontraktowanych podwykonawców, ale razem tworzą one sieć krajową. W 2019 r. media doniosły, że nagrane rozmowy z infolinią 1177 były dostępne na serwerze internetowym bez ochrony hasłem lub innych środków bezpieczeństwa. Wszystkie połączenia z numerem 1177 początkowo trafiały do firmy Inera, która zarządzała i rozwijała wspólne systemy. Połączenia z numerem 1177 od mieszkańców regionów Sztokholm, Sörmland i Värmland były przekazywane przez Inerę do spółki Medhelp AB, która przyjmowała połączenia. Z kolei Medhelp zlecił tajlandzkiemu przedsiębiorstwu Medicall Co Ltd. odbieranie połączeń w weekendy i w nocy. Zarówno Medhelp, jak i Medicall zawarły umowę ze spółką technologiczną Voice Integrate Nordic AB m.in. na nagrywanie rozmów. Doszło wówczas do naruszenia danych, polegającego na tym, że nagrania rozmów z numerem 1177 były dostępne w Internecie na serwerze należącym do Voice Integrate. Incydent ten wynikał z błędnej konfiguracji urządzenia pamięci masowej podłączonego do sieci, które było publicznie dostępne przez Internet i nie korzystało z szyfrowanej komunikacji. Z powodu luki uzyskano dostęp do dużej liczby połączeń. Organ ochrony danych nałożył grzywnę na Region Sörmland za gromadzenie danych o połączeniach od osób, których dane dotyczą, bez uprzedniego odpowiedniego poinformowania ich o ich przetwarzaniu.Link
714LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-121 000,00 €NieznanyArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na przedsiębiorstwo karę w wysokości 1.000 euro. Administrator zainstalował system nadzoru wideo w celu ochrony własności, zabezpieczenia dostępu do miejsc prywatnych i ryzykownych, jak również bezpieczeństwa użytkowników i zapobiegania wypadkom. Jednakże kamery nadmiernie rejestrowały również fragmenty przestrzeni publicznej. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informacyjny.Link
713LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-122 600,00 €NieznanyArt. 5 (1) c) RODO, Art. 13 RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 2.600 euro. Administrator zainstalował system nadzoru wideo w celu ochrony majątku firmy i uniemożliwienia wstępu osobom nieupoważnionym, jednak kamery nadmiernie rejestrowały również fragmenty stołówki, która służy pracownikom jako miejsce przerw w pracy. Organ ochrony danych stwierdza, że nagrywanie pracowników podczas ich przerwy nie jest konieczne do zapewnienia celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ Ochrony Danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych na mocy art. 5 ust. 1 lit. c) RODO. Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informacyjny.Link
712LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-122 400,00 €Nieznany Art. 5 (1) c) RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 2.400 euro. Administrator zainstalował system nadzoru wideo w celu ochrony majątku firmy i uniemożliwienia wstępu osobom nieupoważnionym. Jednak kamery nadmiernie rejestrowały również fragmenty tarasu stołówki, który służy pracownikom jako miejsce wypoczynku. Organ ochrony danych stwierdza, że nagrywanie pracowników podczas ich przerwy nie jest konieczne do zapewnienia celów związanych z nadzorem wideo, a zatem było nieproporcjonalne. Organ Ochrony Danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych na mocy art. 5 (1) c) RODO.Link
711LuksemburgCommission nationale pour la protection des données (CNPD)2021-05-121 900,00 €Nieznany Art. 5 (1) c), e) RODOOrgan ochrony danych osobowych z Luksemburga (CNPD) nałożył na pewną firmę karę w wysokości 1.900 euro. Administrator zainstalował system nadzoru wideo w celu ochrony majątku firmy i uniemożliwienia wstępu osobom nieupoważnionym. Jednak kamery nadmiernie rejestrowały również fragmenty przestrzeni publicznej. Organ ochrony danych stwierdza, że administrator naruszył w ten sposób zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c) RODO. Ponadto organ ochrony danych stwierdza, że administrator danych przechowywał nagrania dłużej niż jest to prawnie dozwolone, a tym samym naruszył art. 5 ust. 1 lit. e) RODO.Link
710HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-0719 600,00 €Radiotelevisión del principado de AsturiasArt. 5 (1) c) RODO, Art. 12 RODOHiszpański organ ochrony danych (AEPD) nałożył na Radiotelevisión del principado de Asturias karę w wysokości 26.000 EUR. Kara składa się z 20 000 EUR z powodu naruszenia art. 5 (1) c) RODO oraz 6.000 EUR z tytułu naruszenia art. 12 RODO. Podstawą nałożenia kary był fakt, że administrator zainstalował system nadzoru wideo obejmujący łącznie 14 kamer wideo i monitorujący teren przedsiębiorstwa. Administrator twierdzi, że kamery zostały zainstalowane w celu zapewnienia bezpieczeństwa pomieszczeń. Jednak kamery uchwyciły gabinety pracowników w sposób, który nie był konieczny do tego celu. Na przykład jedna kamera uchwyciła również znaczną część pokoju wypoczynkowego pracowników. Organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. Ponadto, administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu danych przez nadzór wideo, a tym samym naruszył swój obowiązek informacyjny. Grzywna została zmniejszona do 19 600 EUR ze względu na terminową płatność i przyznanie się do winy.Link
709HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-0720 000,00 €Master Distancia S.A.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Master Distancia S.A. karę w wysokości 25 000 EUR. Administrator danych umieścił dane osobowe podmiotu danych w rejestrze raportów kredytowych bez wystarczającej podstawy prawnej. Administrator uzasadnił to rzekomymi długami, jakie osoba, której dane dotyczą, miała wobec administratora. W rzeczywistości jednak strony były nadal w trakcie postępowania arbitrażowego. W związku z tym administrator danych nie miał upoważnienia do umieszczenia danych podmiotu danych w rejestrze. Pierwotna grzywna w wysokości 25 000 EUR została zmniejszona do 20 000 EUR ze względu na natychmiastową płatność.Link
708HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-066 000,00 €Creator Energy S.L.Art. 6 (1) b) RODOHiszpański organ ochrony danych (AEPD) nałożył na Creator Energy S.L. karę pieniężną w wysokości 6 000 EUR. Administrator danych wykorzystał dane osobowe osoby, której dane dotyczą, bez jej zgody w celu zawarcia umów na dostawy gazu i energii elektrycznej oraz usługi konserwacyjne.Link
707WłochyGarante per la protezione dei dati personali (Garante)2021-04-1512 000,00 €Krajowy Instytut Zabezpieczenia Społecznego - Istituto Nazionale Previdenza Sociale (INPS)Art. 5 (1) a) RODO, Art. 12 RODO, Art. 15 RODOWłoski organ ochrony danych (Garante) nałożył na włoski Krajowy Instytut Zabezpieczenia Społecznego (Istituto Nazionale della Previdenza Sociale) karę pieniężną w wysokości 12 000 EUR. Kara ta wynikała z faktu, że administrator danych nie udzielił właściwej odpowiedzi na dwa wnioski o udzielenie informacji, które osoba, której dane dotyczą, skierowała do administratora danych. Wnioski te dotyczyły ujawnienia danych osobowych osoby, której dane dotyczą, osobom trzecim. Początkowo osoba, której dane dotyczą, nie otrzymała odpowiedzi na żaden z tych wniosków. W trakcie dochodzenia administrator przekazał mu informacje i wyjaśnił, że na poprzednie wnioski nie udzielono odpowiedzi z powodu błędu technicznego w jego systemie poczty elektronicznej.Link
706HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-06-024 000,00 €Avalos Consultores, S.L.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Avalos Consultores, S.L. karę w wysokości 4.000 EUR. Osoba, której dane dotyczą, będąca klientem administratora, złożyła skargę do AEPD, ponieważ administrator przekazał jej dane osobowe do agencji Torrent Asesores Nga, S.L. bez jej zgody.Link
705HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-2145 000,00 €Telefónica de España, S.A.UArt. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Telefonica de España, S.A.U. karę w wysokości 75 000 euro. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko spółce telekomunikacyjnej. Administrator danych dokonał rezerwacji usługi dla osoby, której dane dotyczą, bez zawarcia przez nią umowy na tę usługę. Po tym, jak osoba, której dane dotyczą, nie dokonała żadnych płatności za tę usługę, została ona anulowana w tym samym roku i zlecono firmie windykacyjnej odzyskanie rzekomo zaległych należności. AEPD stwierdził, że ani przetwarzanie danych w celu rezerwacji usługi, ani przekazanie danych osobowych osoby, której dane dotyczą, firmie windykacyjnej nie odbyło się zgodnie z prawem. Pierwotna kara w wysokości 75 000 EUR została zmniejszona do 45 000 EUR ze względu na natychmiastową zapłatę i uznanie długu.Link
704WłochyGarante per la protezione dei dati personali (Garante)2021-04-2115 000,00 €Fundacja Polikliniki Tor Vergata z RzymuArt. 5 (1) a), f) RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na Fondazione Policlinico Tor Vergata di Roma karę pieniężną w wysokości 15 000 EUR. W lutym 2020 r. osoba, której dane dotyczą, złożyła skargę do Garante, zarzucając naruszenie przepisów o ochronie danych w związku z usługami rezerwacji dla lekarzy specjalistów oferowanymi przez administratora. W celu zarezerwowania odpowiedniej wizyty na portalu rezerwacyjnym odwiedzający musieli wypełnić formularz online, w którym wymagane były różne dane osobowe. Jak ustalił organ ochrony danych, administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzania danych. Ponadto administrator nie wypełnił swoich obowiązków informacyjnych zgodnie z art. 13 RODO, ponieważ nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych osobowych w momencie zbierania danych.Link
703GrecjaHellenic Data Protection Authority (HDPA)2021-05-125 000,00 €KAPIEPA A.E.Art. 17 RODO, Art. 21 RODO, Art. 25 RODOGrecki organ ochrony danych nałożył na ΚΑΡΙΕΡΑ A.E. karę w wysokości 5 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych przeciwko administratorowi, ponieważ administrator nadal wysyłał jej reklamy pocztą elektroniczną, mimo że osoba ta zażądała usunięcia swoich danych, a administrator potwierdził ich usunięcie. Z powodu błędu technicznego dane osoby, której dane dotyczą, nie zostały usunięte.Link
702HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-213 000,00 €Stowarzyszenie Właścicieli DomówArt. 5 (1) c) RODO, Art. 12 RODOMonitoring wizyjny przestrzeni publicznej, a tym samym naruszenie zasady minimalizacji danych. Ponadto: Naruszenie obowiązków informacyjnych, ponieważ nie udzielono wystarczających informacji na temat monitoringu wizyjnego.Link
701HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-272 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną karę w wysokości 2000 euro za nieuprawnione użycie kamer monitoringu, które bez uzasadnionego powodu nagrywały również fragmenty przestrzeni publicznej, oraz za publikację tych nagrań w Internecie.Link
700NorwegiaDatatilsynet2021-05-1895 500,00 €Innovasjon NorgeArt. 5 (1) RODO, Art. 6 (1) RODONorweski organ ochrony danych (Datatilsynet) ukarał krajowy bank rozwoju Innovasjon Norge karą pieniężną w wysokości 1 000 000 NOK (95 500 EUR). Administrator danych przeprowadził kilka kontroli kredytowych osoby, której dane dotyczą, bez żadnej podstawy umownej. W tym celu bank przeanalizował liczne dane finansowe osoby, której dane dotyczą, bez jej zgody.Link
699GrecjaHellenic Data Protection Authority (HDPA)2021-05-1710 000,00 €Miejska Organizacja Edukacji Przedszkolnej i Solidarności Społecznej (DOPAKA) w gminie Tavros MoschatoArt. 6 (1) c) RODO, Art. 12 (3), (4) RODO, Art. 17 (1) d) RODOGrecki organ ochrony danych ukarał karą pieniężną w wysokości 10 000 EUR Gminną Organizację Edukacji Przedszkolnej i Solidarności Społecznej (DOPAKA) w gminie Tavros Moschato. Administrator opublikował bez podstawy prawnej dokumenty zawierające dane osobowe osoby, której dane dotyczą. Dokumenty te zawierały, oprócz imienia i nazwiska, informacje o jego zawodzie, miejscu pracy oraz ocenę jego zachowania. Kara składa się proporcjonalnie z 7.000 EUR za naruszenie art. 6 (1) c) RODO i 3.000 EUR za naruszenie art. 12 (3), (4) RODO i art. 17 (1) d) RODO.Link
698WłochyGarante per la protezione dei dati personali (Garante)2021-03-257 000,00 €TECNOMEDICAL S.r.l.Art. 12 (3) RODO, Art. 15 RODOWłoski organ ochrony danych (Garante) nałożył na TECNOMEDICAL S.r.l. karę w wysokości 7.000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych po tym, jak administrator danych nie odpowiedział prawidłowo na jej wniosek o udzielenie informacji. Osoba, której dane dotyczą, zażądała dostępu do swoich danych osobowych. W tym celu zażądał kopii swojej dokumentacji medycznej oraz dokumentacji medycznej dotyczącej przeprowadzonej operacji wszczepienia implantów dentystycznych. Administrator danych nie dostarczył jednak tych informacji w odpowiednim czasie i w całości.Link
697HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-05-263 000,00 €Vodafone España, S.A.U.Art. 58 (1) RODONieprzekazanie informacji hiszpańskiemu organowi ochrony danych (AEPD) w wymaganych ramach czasowych z naruszeniem art. 57 RODO. Pierwotna kara w wysokości 5 000 EUR została zmniejszona o 20% ze względu na natychmiastową płatność i przyznanie się do winy.Link
696HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-256 000,00 €Desolasol Restauración, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) ukarał Desolasol Restauración S.L. karą pieniężną w wysokości 6 000 EUR. Osoba, której dane dotyczą, złożyła w restauracji formularz skargi konsumenckiej, ponieważ nie była w stanie rozmawiać przy stole z powodu głośności muzyki. Kopia formularza pozostała u administratora danych. Z powodu błędu pracownika restauracji, kopie formularza zostały przekazane innym gościom restauracji, którzy byli obecni podczas zdarzenia.Link
695HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-254 000,00 €Alava Norte, S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał Alava Norte, S.L. karą pieniężną w wysokości 4.000 euro. Administrator zainstalował trzy kamery monitoringu 360° na fasadzie jednego ze swoich budynków w celu zabezpieczenia obiektu. Uchwyciły one również część przestrzeni publicznej. AEPD uznał to za naruszenie zasady minimalizacji danych, ponieważ tak rozległy nadzór wideo nie był konieczny do osiągnięcia celu przetwarzania danych (zabezpieczenie obiektu).Link
694HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-25100 000,00 €Vodafone España, SAUArt. 28 RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. karę w wysokości 100 000 euro. Osoba, której dane dotyczą, złożyła skargę do hiszpańskiego organu ochrony danych przeciwko przedsiębiorstwu telekomunikacyjnemu. Zgodnie ze skargą, osoba, której dane dotyczą, otrzymała telefon reklamowy od firmy, który został wykonany w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, była wpisana na listę osób wykluczonych z reklam Robinsona. Według podmiotu przetwarzającego dane na zlecenie Vodafone, połączenie reklamowe z osobą, której dane dotyczą, zostało wykonane z powodu błędu w systemie filtrowania numerów połączeń. W trakcie swojego dochodzenia organ ochrony danych ustalił, że Vodafone nie ustanowił żadnych środków w celu uniknięcia połączeń reklamowych z numerami znajdującymi się na liście Robinson. W niniejszej sprawie Vodafone nie wiedziała nawet, że numer osoby, której dane dotyczą, znajduje się na liście Robinsona, co oznaczało, że nie został on zablokowany dla spółki, której udzielono zlecenia.Link
693WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-04-27570,00 €FirmaArt. 5 (1) a) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 13 RODOWęgierski organ ochrony danych osobowych (NAIH) nałożył na pewną firmę karę w wysokości 570 EUR. W ramach swojej działalności zawodowej osoba, której dane dotyczą, przeprowadziła w dniu 23 września 2019 r. rozmowę telefoniczną z firmą. Firma nagrała tę rozmowę bez poinformowania osoby, której dane dotyczą, ani uzyskania jej zgody, a następnie udostępniła ją firmie, w której osoba, której dane dotyczą, była zatrudniona (administratorowi danych). Następnie administrator rozwiązał stosunek pracy, ponieważ nagrana rozmowa telefoniczna najwyraźniej nie spełniała standardów usług i standardów zawodowych administratora. Inspektor Ochrony Danych stwierdza, że administrator nie tylko przetwarzał dane osoby, której dane dotyczą, bez podstawy prawnej, ale także naruszył swoje obowiązki w zakresie rozliczalności, nie wykazując zgodności przetwarzania z prawem. Ponadto administrator naruszył swój obowiązek informacyjny zgodnie z art. 13 RODO.Link
692WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-04-271 400,00 €FirmaArt. 5 (1) (2) RODO, Art. 6 RODO, Art. 13 RODOWęgierski organ ochrony danych osobowych (NAIH) nałożył na pewną firmę karę w wysokości 1 400 EUR. W ramach swojej działalności zawodowej osoba, której dane dotyczą, przeprowadziła w dniu 23 września 2019 r. rozmowę telefoniczną z administratorem danych. Administrator nagrał tę rozmowę bez poinformowania osoby, której dane dotyczą, ani uzyskania jej zgody, a następnie przekazał ją firmie, w której osoba, której dane dotyczą, była zatrudniona. Pracodawca osoby, której dane dotyczą, rozwiązał następnie umowę o pracę, ponieważ nagrana rozmowa telefoniczna najwyraźniej nie spełniała standardów usługowych i zawodowych firmy. Organ ochrony danych stwierdza, że administrator nie tylko przetwarzał dane osoby, której dane dotyczą, bez podstawy prawnej, lecz także naruszył swój obowiązek rozliczalności, nie wykazując zgodności przetwarzania z prawem. Ponadto administrator naruszył swój obowiązek informacyjny na mocy art. 13 RODO.Link
691HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-25900,00 €Dyrektor zarządzający firmyArt. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 1 500 euro na dyrektora zarządzającego pewnej firmy. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych, z którym zawarła umowę. Podstawą nałożenia grzywny jest fakt, że administrator nie poinformował odpowiednio osoby, której dane dotyczą, o przetwarzaniu jej danych podczas ich zbierania. AEPD uważa to za naruszenie art. 13 RODO. Pierwotna grzywna w wysokości 1 500 EUR została zmniejszona do 900 EUR ze względu na natychmiastową płatność i przyznanie się do winy.Link
690HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-213 000,00 €LekarzArt. 6 RODOHiszpański organ ochrony danych (AEPD) ukarał lekarza grzywną w wysokości 3 000 EUR. Administrator opuścił swoją poprzednią klinikę i rozpoczął pracę w nowej klinice. Skarżący przejął dawną klinikę administratora. W umowie kupna wyraźnie stwierdzono, że strona sprzedająca (administrator danych) nie może w żadnym wypadku sporządzać kopii akt pacjenta. Niemniej jednak, administrator poinformował swoich byłych pacjentów, że w przyszłości będą mogli korzystać z jego usług w jego nowej klinice. AEPD stwierdził, że administrator danych kontaktując się z byłymi pacjentami działał nie tylko niezgodnie z umową, ale także z naruszeniem przepisów o ochronie danych.Link
689IrlandiaData Protection Commission (DPC)2021-03-2390 000,00 €Irish Credit Bureau DACArt. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODOIrlandzki organ ochrony danych osobowych (DPC) nałożył na Irish Credit Bureau (ICB) karę w wysokości 90 000 EUR. Kara wynika z naruszenia danych zgłoszonego przez administratora do organu ochrony danych osobowych w dniu 31 sierpnia 2018 r. Administrator danych jest agencją sprawozdawczości kredytowej, która prowadzi bazę danych o realizacji umów kredytowych między instytucjami finansowymi a kredytobiorcami. Naruszenie danych nastąpiło, gdy administrator dokonał zmiany kodu w swojej bazie danych, która zawierała błąd techniczny. W rezultacie, między 28 czerwca 2018 r. a 30 sierpnia 2018 r., baza danych ICB niedokładnie zaktualizowała rekordy 15 120 zamkniętych rachunków. Administrator ujawnił 1 062 niedokładne rekordy kont instytucjom finansowym lub dotkniętym osobom fizycznym, zanim problem został rozwiązany.Link
688NorwegiaDatatilsynet2021-05-2039 000,00 €Gmina OsloArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) nałożył na gminę Oslo karę w wysokości 39.000 euro. Na stronie internetowej administratora danych opublikowano wezwanie z prokuratury dotyczące osoby, której dane dotyczą. Wezwanie zawierało m.in. informacje osobowe, takie jak dane dotyczące zdrowia. Do incydentu doszło, ponieważ wezwanie nie zostało pierwotnie zaklasyfikowane jako poufne i w związku z tym nie było wyłączone z publicznego ujawniania. Dokument był publicznie dostępny przez pięć godzin, zanim został usunięty.Link
687NiderlandyAutoriteit Persoonsgegevens (AP)2020-03-2415 000,00 €CP&AArt. 9 RODO, Art. 32 RODOHolenderski organ ochrony danych (AP) nałożył na CP&A karę w wysokości 15 000 EUR. Administrator danych w ramach ewidencji nieobecności pracowników z powodu choroby dokumentował zarówno przyczyny choroby, jak i konkretne skargi osób, których dane dotyczą w ramach rejestracji nieobecności pracowników z powodu choroby. W opinii organu ochrony danych było to niezgodne z prawem, ponieważ dane dotyczące zdrowia są objęte szczególną ochroną. Pracodawcom nie wolno rejestrować ani powodów, ani przyczyn zwolnień lekarskich. Ponadto organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych podczas rejestrowania nieobecności. Mianowicie, rejestracja nieobecności była dostępna online, bez żadnej formy uwierzytelnienia. Tymczasem, gdy system rejestracji nieobecności jest dostępny przez Internet, dostęp do niego powinien być możliwy wyłącznie poprzez uwierzytelnienie wieloskładnikowe. Zdaniem organu ochrony danych, oprócz "normalnego" logowania, wymagana byłaby inna forma uwierzytelnienia.Link
686WłochyGarante per la protezione dei dati personali (Garante)2021-04-1540 000,00 €Gmina PalermoArt. 5 (1) f) RODO, Art. 25 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na gminę Palermo karę w wysokości 40000 euro. Osoba, której dane dotyczą, złożyła skargę do włoskiego organu ochrony danych przeciwko gminie Palermo. Jego skarga opierała się na fakcie, że jego dane osobowe pochodzące ze złożonego przez niego wniosku o dopłaty do żywności zostały przejęte przez osobę nieuprawnioną i przetworzone dla własnych celów. Jak ustalił organ ochrony danych w trakcie swojego dochodzenia, do takiego przetwarzania doszło, ponieważ gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa i poufności przetwarzania danych.Link
685RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-192 000,00 €Banca Comercială Română S.A.Art. 5 (1) a), d) RODO, Art. 5 (2) RODO, Art. 6 RODORumuński organ ochrony danych (ANSPDCP) nałożył na Banca Comercială Română S.A. karę pieniężną w wysokości 2 000 EUR. Osoba, której dane dotyczą, złożyła skargę do organu ochrony danych, ponieważ administrator danych wykorzystał jej dane osobowe w kontekście postępowania egzekucyjnego dotyczącego długów wynikających z umowy kredytowej, o której istnieniu osoba ta nie wiedziała.Link
684RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-19500,00 €Stowarzyszenia Właścicieli Gminy IasiArt. 58 (1) a), e) RODORumuński organ ochrony danych (ANSPDCP) nałożył na Asociație de Proprietari din municipiul Iași (Stowarzyszenie Właścicieli Gminy Iasi) grzywnę w wysokości 500 EUR. Administrator danych nie przekazał organowi ochrony danych informacji, o które ten wnioskował.Link
683WłochyGarante per la protezione dei dati personali (Garante)2021-04-155 000,00 €LekarzArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na lekarza karę w wysokości 5000 euro. Administrator pokazywał na kongresie slajdy z przypadków klinicznych, które następnie zostały opublikowane na stronie internetowej towarzystwa chirurgii trójnaczyniowej. Slajdy zawierały dane osobowe pacjenta, takie jak inicjały pacjenta, wiek, płeć, szczegółową historię medyczną pacjenta, szczegóły dotyczące przyjęć w latach 1980-2016 i zabiegów chirurgicznych przeprowadzonych w tym okresie, ze wskazaniem daty przyjęcia i daty operacji, oddziału chirurgicznego, który przeprowadził zabiegi, dni spędzonych w szpitalu, liczne obrazy diagnostyczne i 22 fotografie przedstawiające pacjenta podczas operacji. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych osobowych.Link
682WłochyGarante per la protezione dei dati personali (Garante)2021-04-152 000,00 €Società triveneta di chirurgiaArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Società triveneta di chirurgia karę w wysokości 2000 EUR. Lekarz pokazywał na kongresie slajdy z przypadków klinicznych, które następnie zostały opublikowane na stronie internetowej administratora. Slajdy te zawierały dane osobowe pacjenta, takie jak inicjały pacjenta, wiek, płeć, szczegółową historię patologii, na którą cierpiał pacjent, szczegóły dotyczące przyjęć w latach 1980-2016 oraz zabiegów chirurgicznych wykonanych w tym okresie, ze wskazaniem daty przyjęcia i operacji, oddziału chirurgicznego, który przeprowadził zabiegi, dni spędzonych w szpitalu, liczne obrazy diagnostyczne oraz 22 fotografie przedstawiające pacjenta podczas operacji. W żadnym momencie osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych osobowych.Link
681PolskaUrząd ochrony danych osobowych (UODO)2021-04-22245 000,00 € Cyfrowy Polsat S.A.Art. 24 (1) RODO, Art. 32 (1), (2) RODO, Art. 34 (1) RODOUODO nałożył na Cyfrowy Polsat S.A. karę pieniężną w wysokości 245 000 EUR. Podstawą nałożenia kary była duża liczba naruszeń danych osobowych zgłoszonych przez administratora do UODO. Często zdarzało się, że korespondencja pocztowa zawierająca dane osobowe ginęła lub była dostarczana do niewłaściwego odbiorcy. Organ ochrony danych zauważa, że chociaż naruszenia danych zostały spowodowane przez firmę kurierską, z którą administrator zawarł umowę, to administrator miał obowiązek zapewnić, aby takie naruszenia nie miały miejsca. Administrator nie wdrożył środków technicznych i organizacyjnych odpowiednich do ryzyka w celu ochrony przetwarzania danych. Ponadto, administrator powiadomił osoby, których dane dotyczą, o naruszeniu danych dopiero po dwóch lub trzech miesiącach.Link i LinkKara z RODO dla Cyfrowy Polsat S.A. - omówienie
680GrecjaHellenic Data Protection Authority (HDPA)2021-05-125 000,00 €A. EPILOGI IDIOTIKI KEFALAIOUCHIKI ETAIREIAArt. 5 (1) a), b) RODO, Art. 12 (3) RODO, Art. 15 RODO, Art. 17 RODOGrecki organ ochrony danych nałożył na A. EPILOGI IDIOTIKI KEFALAIOUCHIKI ETAIREIA karę w wysokości 5 000 EUR. Administrator danych nie odpowiedział na wnioski o udzielenie informacji i usunięcie danych złożone przez osobę, której dane dotyczą. W trakcie dochodzenia prowadzonego przez organ ochrony danych administrator poinformował organ ochrony danych, że usunął dane osoby, której dane dotyczą. Osoba, której dane dotyczą, nie została jednak o tym poinformowana. Ponadto, organ ochrony danych ustalił, że dane osoby, której dane dotyczą, zostały zebrane w celu innym niż uzgodniony cel. Nie uzyskano odpowiedniej zgody osoby, której dane dotyczą, na ten nowy cel przetwarzania.Link
679WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-03-251 425,00 €Podmiot prowadzący placówkę opiekuńcząArt. 5 (1) a), b), c) RODO, Art. 5 RODO, Art. 6 RODO, Art. 13 (1), (2) RODOWęgierski Urząd Ochrony Danych (NAIH) nałożył karę w wysokości 1 425 EUR na operatora placówki opiekuńczej. Operator zainstalował łącznie 25 kamer we wszystkich pomieszczeniach placówki, z wyjątkiem toalet, szatni i głównego stanowiska pielęgniarek. Zarówno mieszkańcy placówki, jak i pracownicy byli rejestrowani przez monitoring wizyjny. Administrator twierdzi, że kamery zostały zainstalowane w celach bezpieczeństwa. Chodziło m.in. o uniemożliwienie dostępu do obiektu osobom nieupoważnionym oraz odstraszenie od kradzieży. Organ ochrony danych stwierdza, że tak rozległy nadzór wideo nie był konieczny dla celu przetwarzania (bezpieczeństwo obiektu). Ponadto, administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych.Link
678NiderlandyAutoriteit Persoonsgegevens (AP)2020-12-20525 000,00 €Locatefamily.comArt. 27 RODONiderlandzki DPA (AP) nałożył na Locatefamily.com grzywnę w wysokości 525 000 euro. Locatefamily.com to platforma, na której ludzie mogą wyszukiwać dane kontaktowe członków rodziny, z którymi stracili kontakt, lub innych osób, z którymi chcieliby się skontaktować. Osoby, których dane dotyczą, skarżyły się, że ich dane kontaktowe (imię i nazwisko, adres, numer telefonu) zostały opublikowane na stronie internetowej bez ich wiedzy. Osoby, których dane dotyczą, nie mogły łatwo zażądać usunięcia swoich danych opublikowanych na stronie, ponieważ Locatefamily.com nie miała żadnego przedstawicielstwa w Unii Europejskiej. Organizacje oferujące towary lub usługi w UE muszą mieć przedstawiciela, do którego obywatele UE mogą się zwrócić w celu uzyskania informacji lub wykonania swoich praw w zakresie ochrony danych. W związku z tym niderlandzki organ ochrony danych stwierdził naruszenie art. 27 RODO.Link
677HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-1430 000,00 €Allianz Compañia de Seguros y Reaseguros, S.A. Art. 6 RODOHiszpański organ ochrony danych (AEPD) ukarał Allianz Compañia de Seguros y Reaseguros, S.A. karą pieniężną w wysokości 30 000 EUR. Administrator danych przesłał fakturę osobie, której dane dotyczą, mimo że nie istniał żaden stosunek umowny. Osoba, której dane dotyczą, zawarła z administratorem polisę ubezpieczeniową na motocykl w 2016 r., ale wypowiedziała ją w 2017 r.Link
676RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-132 000,00 €Telekom Romania Communications SAArt. 6 RODO, Art. 21 RODORumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Communications SA karę pieniężną w wysokości 2000 EUR. Administrator wykonał telefon reklamowy do osoby, której dane dotyczą, mimo że osoba ta skorzystała z przysługującego jej prawa do sprzeciwu wobec przetwarzania jej danych osobowych do celów marketingowych i reklamowych, żądając od administratora usunięcia jej numeru telefonu i adresu e-mail z bazy danych Telekom.Link
675RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-14200,00 €Operator strony internetowejArt. 5 (1) a), b) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1), (2), (3) RODO, Art. 32 (2) RODORumuński organ ochrony danych osobowych (ANSPDCP) nałożył karę w wysokości 200 EUR na operatora strony internetowej declaratieppr.ro. Podczas pandemii koronawirusa odwiedzający stronę mogli wypełnić formularz, który był wymagany do opuszczenia swojego miejsca zamieszkania. W tym celu gromadzone były dane osobowe, takie jak imię i nazwisko, adres i numer identyfikacyjny. Administrator danych nie był jednak w stanie udowodnić, że przetwarzał te dane zgodnie z prawem. Ponadto administrator nie poinformował w wystarczającym stopniu osób, których dane dotyczą, o przetwarzaniu danych podczas zbierania ich danych osobowych oraz nie wdrożył wystarczających środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych.Link
674WłochyGarante per la protezione dei dati personali (Garante)2021-03-254 000,00 €Gmina CastellanzaArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacyWłoski organ ochrony danych (Garante) nałożył na gminę Castellanza karę w wysokości 4 000 EUR. Gmina ta zamieściła na swojej stronie internetowej dokumenty zawierające dane osobowe osoby, której dane dotyczą, które były swobodnie dostępne. Dokumenty te dotyczyły postępowania sądowego prowadzonego przez osobę, której dane dotyczą.Link
673HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-05-123 000,00 €Solram T Y R S.L.Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na Solram T Y R S.L. karę pieniężną w wysokości 3 000 EUR. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych z uwagi na fakt, że administrator nadal wysyłał jej reklamy za pośrednictwem WhatsApp, pomimo tego, że zażądała ona usunięcia swoich danych.Link
672NiderlandyAutoriteit Persoonsgegevens (AP)2020-06-167 500,00 €PVV OverijsselArt. 33 RODOHolenderski organ ochrony danych (AP) ukarał lokalny oddział partii PVV w Overijssel karą pieniężną w wysokości 7 500 EUR za niepowiadomienie AP o naruszeniu danych osobowych, co stanowiło naruszenie art. 33 RODO. Z powodu błędu ludzkiego wiadomość e-mail dotycząca zwołania posiedzenia została wysłana za pośrednictwem otwartej listy dystrybucyjnej. Ponieważ w e-mailu 101 adresatów było zaadresowanych jako "przyjaciele PVV", przekonania polityczne osób, których dane dotyczą, zostały w ten sposób ujawnione wszystkim adresatom.Link
671HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-05-041 500 000,00 € EDP Energía, SAUArt. 13 RODO, Art. 25 RODOHiszpański organ ochrony danych (AEPD) nałożył na EDP Energía, S.A.U. karę w wysokości 1 500 000 EUR. Decyzja ta wynika w szczególności z kilku skarg otrzymanych w związku z przetwarzaniem danych osobowych bez zgody. Jak ustalił organ ochrony danych, administrator danych nie poinformował osób, których dane dotyczą, zgodnie z art. 13 RODO przy gromadzeniu ich danych. W związku z tym osoby, których dane dotyczą, nie zostały poinformowane o prawach przysługujących im na mocy art. 15 -22 RODO, a dane kontaktowe administratora (np. jego adres) były niekompletne. Ponadto praktyka biznesowa firmy pozwalała jej na zawieranie umów z przedstawicielami klientów zamiast bezpośrednio z klientami. W tych przypadkach administrator danych nie sprawdził jednak, czy rzeczywiście istniało upoważnienie do reprezentowania osób, których dane dotyczą. Organ ochrony danych stwierdza, że administrator danych nie wdrożył procedury weryfikacji upoważnienia domniemanych przedstawicieli. Kara składa się proporcjonalnie z 1.000.000 EUR za naruszenie art. 13 RODO i 500 000 EUR za naruszenie art. 25 RODO.Link
670HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-05-041 500 000,00 € EDP Comercializadora, S.A.U.Art. 13 RODO, Art. 25 RODOHiszpański organ ochrony danych (AEPD) nałożył na EDP Comercializadora, S.A.U. karę w wysokości 1 500 000 EUR. Decyzja ta wynika w szczególności z kilku skarg otrzymanych w związku z przetwarzaniem danych osobowych bez zgody. Jak ustalił organ ochrony danych, administrator danych nie poinformował osób, których dane dotyczą, zgodnie z art. 13 RODO, o gromadzeniu ich danych. W związku z tym osoby, których dane dotyczą, nie zostały poinformowane o prawach przysługujących im na mocy art. 15-22 RODO, a dane kontaktowe administratora (np. jego adres) były niekompletne. Ponadto praktyka biznesowa firmy pozwalała jej na zawieranie umów z przedstawicielami klientów zamiast bezpośrednio z klientami. W tych przypadkach administrator danych nie sprawdził jednak, czy rzeczywiście istniało upoważnienie do reprezentowania osób, których dane dotyczą. Organ stwierdza, że administrator danych nie wdrożył procedury weryfikacji upoważnienia rzekomych przedstawicieli. Kara składa się proporcjonalnie z 1.000.000 EUR za naruszenie Art. 13 RODO i 500 000 EUR za naruszenie art. 25 RODO.Link
669IslandiaPersónuvernd2021-04-2923 100,00 €InfoMentor ehf Art. 5 (1) f) RODO, Art. 32 (1) b), d) RODOIslandzki organ ochrony danych (Persónuvernd) nałożył na InfoMentor ehf karę w wysokości 23 100 EUR. Wcześniej administrator zgłosił naruszenie danych zgodnie z art. 33 RODO. Incydent dotyczył systemu online firmy, który jest wykorzystywany głównie przez szkoły i inne instytucje do celów komunikacyjnych i informacyjnych. W trakcie swojego dochodzenia organ ochrony danych ustalił, że do naruszenia doprowadziły nieodpowiednie techniczne i organizacyjne środki bezpieczeństwa po stronie administratora danych. Z powodu nieszczelności zabezpieczeń, w wyniku której sześciocyfrowy numer systemowy każdego użytkownika był widoczny w adresie URL konkretnej strony w systemie mentor, osoby nieuprawnione uzyskały dostęp do danych osobowych 424 dzieci.Link
668RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-05-072 000,00 €World Class România S.A.Art. 5 (1) f) RODO, Art. 32 (1) b), d) RODORumuński organ ochrony danych osobowych (ANSPDCP) nałożył na World Class România S.A. karę pieniężną w wysokości 2.000 EUR. Administrator opublikował pismo o rozwiązaniu umowy o pracę z pracownikiem w grupie WhatsApp używanej przez pracowników administratora. W rezultacie wszyscy członkowie tej grupy WhatsApp uzyskali nieuprawniony dostęp do pewnych danych osobowych osoby, której dane dotyczą (nazwisko, imię, adres, numer identyfikacyjny, informacje związane z wnioskiem o rozwiązanie umowy o pracę).Link
667NorwegiaDatatilsynet2021-05-05Zamiar nałożenia karyDisqus Inc.Art. 32 RODOW dniu 5 maja 2021 roku norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na firmę Disqus Inc. EUR 2 500 000 za naruszenie art. 5 (1), (2) RODO, art. 6 RODO, art. 12 RODO i art. 13 RODO. Zarzuca się, że Disqus bezprawnie śledził osoby odwiedzające norweskie strony internetowe, które korzystały z wtyczki Disqus. Ich dane były następnie przekazywane reklamodawcom będącym osobami trzecimi.Link
666WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2021-03-2427 700,00 €Budapest Főváros Kormányhivatala XI. kerületi Hivatalát (11. Dzielnicowy Wydział Zdrowia Publicznego Urzędu Miasta Stołecznego Budapeszt)Art. 32 (1) a), b) RODO, Art. 32 (2) RODO, Art. 33 (1) RODO, Art. 34 (1) RODOWęgierski organ ochrony danych (NAIH) nałożył karę pieniężną na XI Urząd Dzielnicowy rządu Budapesztu w wysokości 27 700 EUR. Administrator danych przesyłał dane dotyczące zdrowia w odniesieniu do szybkich testów Covid-19, jak również dane kontaktowe osób poddanych testom, do lekarzy w jednym pliku Excel, w sposób niezaszyfrowany i bez żadnych dalszych środków zapewniających poufność. Organ ochrony danych stwierdził, że administrator nie wdrożył środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. Ponadto, administrator nie poinformował organu ochrony danych i osób, których dane dotyczą, o naruszeniu danych.Link
665FinlandiaTietosuojavaltuutetun Toimisto2021-04-2175 000,00 €ParkkiPate OyArt. 5 (1) c) RODO, Art. 12 (3), (4), (6) RODO, Art. 14 (2) a) RODO, Art. 14 (3) RODO, Art. 15 RODO, Art. 17 (1) a) RODO, Art. 25 (2) RODOFiński organ ochrony danych nałożył na spółkę ParkkiPate Oy karę w wysokości 75 000 EUR. Pewna liczba osób otrzymała od administratora bilety parkingowe i zażądała informacji o tym, jakie dane osobowe były przetwarzane, a w niektórych przypadkach zażądała usunięcia swoich danych. Jednak w celu rozpatrzenia tych wniosków administrator oświadczył, że potrzebuje numeru dowodu osobistego i adresu osób, których dane dotyczą, do celów identyfikacji, ponieważ ich nazwisko wraz z numerem biletu parkingowego nie wystarcza do zweryfikowania ich tożsamości. Zdaniem organu ochrony danych, administrator nie tylko naruszył obowiązek informowania osób, których dane dotyczą, oraz prawo do usunięcia ich danych, ale także naruszył zasadę minimalizacji danych. Organ podkreślił, że w przypadku uzasadnionych wątpliwości co do tożsamości osoby, której dane dotyczą, dopuszczalne jest zażądanie dodatkowego dowodu tożsamości. Jednak w omawianych przypadkach takie wątpliwości nie istniały. Ponadto, organ ochrony danych stwierdził naruszenie zasady ograniczenia przechowywania danych. Administrator danych przechowywał zdjęcia nieprawidłowo zaparkowanych samochodów oraz kopie biletów parkingowych na potrzeby ewentualnych przyszłych sporów sądowych, nie określając terminu usunięcia tych danych.Link
664BelgiaGegevensbeschermingsautoriteit (GBA)2021-04-26100 000,00 €Przedsiębiorstwo finansoweArt. 5 (1) f) RODO, Art. 32 RODOBelgijski organ ochrony danych (APD) nałożył na firmę finansową karę w wysokości 100 000 euro. Osoba, której dane dotyczą, złożyła dwie skargi do organu ochrony danych przeciwko tej firmie. Opierały się one na 20 zapytaniach o jej dane osobowe z rejestru kredytowego Narodowego Banku Belgii. Administrator danych zatrudnia byłego męża osoby, której dane dotyczą, który rzekomo wykorzystał swoją pozycję, aby bezprawnie uzyskać dostęp do rejestru w celu uzyskania informacji finansowych na temat osoby, której dane dotyczą, a tym samym uzyskać przewagę w ich postępowaniu rozwodowym. Jak zauważył organ ochrony danych, do naruszenia ochrony danych doszło z uwagi na fakt, że administrator nie podjął odpowiednich środków organizacyjnych w celu ochrony danych osobowych przed nieuprawnionym przetwarzaniem.Link
663WłochyGarante per la protezione dei dati personali (Garante)2021-03-2520 000,00 €GEDI News Network SpaArt. 12 (3), (4) RODOWłoski organ ochrony danych (Garante) nałożył na GEDI News Network Spa karę w wysokości 20.000 EUR. Osoba, której dane dotyczą, złożyła skargę do włoskiego organu ochrony danych przeciwko administratorowi danych w związku z opublikowanym przez niego artykułem, w którym była o niej mowa. W tym kontekście osoba, której dane dotyczą, skorzystała z prawa przysługującego jej na mocy art. 17 RODO i zażądał usunięcia artykułu, uznając, że nie jest on już istotny. Administrator danych nie odpowiedział jednak na wniosek podmiotu danych w odpowiednim czasie.Link
662WłochyGarante per la protezione dei dati personali (Garante)2021-03-2530 000,00 €OneDirect SrlArt. 6 (1) RODO, Art. 7 (1) RODO, Art. 30 RODO, Art. 31 RODO, Art. 130 (1), (2) Codice della privacy, Art. 157 Codice della privacyWłoski organ ochrony danych (Garante) nałożył na OneDirect Srl karę w wysokości 30 000 euro. Osoba, której dane dotyczą, złożyła dwie skargi do organu ochrony danych po tym, jak otrzymała od administratora reklamy pocztą elektroniczną, mimo że nie wyraziła na to zgody. Nawet po tym, jak osoba, której dane dotyczą, wielokrotnie sprzeciwiła się wysyłaniu reklam, administrator nie zaprzestał ich wysyłania. Co więcej, administrator nie odpowiadał na zastrzeżenia osoby, której dane dotyczą. Co więcej, administrator nie prowadził rejestru czynności przetwarzania danych i nie współpracował w wystarczającym stopniu z organem ochrony danych w trakcie dochodzenia.Link
661WłochyGarante per la protezione dei dati personali (Garante)2021-03-1180 000,00 €Planet Group SpaArt. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 21 (2), (3) RODO, Art. 12 (3) RODO, Art. 25 (1) RODO, Art. 130 Codice della privacyWłoski organ ochrony danych (Garante) nałożył na Planet Group Spa karę w wysokości 80.000 euro. Administrator danych wykonywał telefony promocyjne w imieniu TIM s.p.a.. Kilka z tych połączeń wykonano, mimo że osoby, których dane dotyczyły, nie wyraziły na nie zgody lub sprzeciwiły się im. Garante stwierdziła, że administrator skontaktował się łącznie z 47 981 numerami telefonów bez zgody lub podstawy prawnej. Ponadto Garante podkreśliła, że administrator nie respektował prawa do sprzeciwu przysługującego osobom, których dane dotyczą. W jednym przypadku z użytkownikiem skontaktowano się 155 razy w ciągu jednego miesiąca, mimo że skorzystał on z prawa do sprzeciwu.Link
660WłochyGarante per la protezione dei dati personali (Garante)2021-03-1115 000,00 €Mediacom s.r.l.Art. 5 (1) a) RODO, Art. 6 (1) RODOWłoski organ ochrony danych (Garante) nałożył na Mediacom s.r.l. karę w wysokości 15.000 EUR. Administrator przeprowadził rozmowy reklamowe w imieniu TIM s.p.a.. Kilka z tych połączeń zostało wykonanych, mimo że osoby, których dane dotyczą, nie wyraziły na nie zgody, sprzeciwiły się im lub ich numery znajdowały się na liście Robinsona. Garante stwierdziła, że administrator nie sprawdził legalności danych zawartych w listach kontaktowych nabytych od przedsiębiorstw trzecich, ani nie zapewnił w wystarczającym stopniu, że osoby, których dane dotyczą, wyraziły ważne zgody na odpowiednie działania promocyjne.Link
659NiderlandyAutoriteit Persoonsgegevens (AP)2021-03-11600 000,00 €Gmina EnschedeArt. 5 (1) a) RODO, Art. 6 (1) RODONiderlandzki organ ochrony danych (AP) ukarał gminę Enschede grzywną w wysokości 600 tys. euro. W 2017 r. gmina zdecydowała się na zainstalowanie specjalnych skrzynek pomiarowych do mierzenia tłumów w centrum miasta Enschede. Czujniki w skrzynkach pomiarowych wykrywały sygnały wifi z telefonów komórkowych przechodniów i rejestrowały je za pomocą kodu. Na podstawie zarejestrowanych kodów można było obliczyć, jak ruchliwe było centrum miasta. Umożliwiło to jednak również śledzenie, obok której skrzynki pomiarowej przejechał dany telefon komórkowy, co pozwoliło na śledzenie ruchu przechodniów. Władze miasta twierdzą, że śledzenie przechodniów nigdy nie było ich zamiarem. Organ ochrony danych stwierdza jednak, że śledzenie za pomocą sieci wifi (nawet jeśli było niezamierzone) stanowi poważne naruszenie RODO. Organ ochrony danych stwierdza, że gmina śledziła przechodniów bez skutecznej podstawy prawnej, a tym samym naruszyła art. 5 (1) a) RODO i art. 6 (1) RODO.Link
658HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-2715 000,00 €Anytime Fitness Iberia S.L.Art. 17 RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) nałożył na Anytime Fitness Iberia S.L. karę pieniężną w wysokości 15.000 EUR. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych z uwagi na fakt, że administrator nadal wysyłał jej reklamy SMS-owe, mimo że zażądała ona usunięcia swoich danych, a administrator potwierdził ich usunięcie. Grzywna składa się proporcjonalnie z 10.000 EUR za naruszenie Art. 17 RODO i 5.000 EUR za naruszenie art. 21 LSSI.Link
657HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-273 000,00 €Pagamastarde S.L.Art. 17 (1) RODO, Art. 21 LSSIHiszpański organ ochrony danych (AEPD) nałożył na Pagamastarde S.L. karę w wysokości 5.000 EUR. Osoba, której dane dotyczą, złożyła skargę do AEPD przeciwko administratorowi danych z uwagi na fakt, że administrator nadal wysyłał jej reklamy SMS-em, mimo że osoba ta zażądała usunięcia swoich danych, a administrator potwierdził usunięcie. Administrator stwierdził, że żądanie osoby, której dane dotyczą, nie zostało spełnione z powodu błędu ludzkiego. Grzywna składa się proporcjonalnie z 3.000 EUR za naruszenie art. 17 (1) RODO i 2.000 EUR za naruszenie art. 21 LSSI. Pierwotna grzywna w wysokości 5 000 EUR została obniżona do 3 000 EUR w związku z natychmiastową płatnością i przyznaniem się do winy.Link
656HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-231 000 000,00 €Equifax Iberica S.L.Art. 5 (1) a), b), c), d) RODO, Art. 6 (1) RODO, Art. 14 RODOHiszpański organ ochrony danych (AEPD) nałożył na Equifax Ibérica, SL karę w wysokości 1.000.000 EUR. Do organu ochrony danych wpłynęło łącznie 96 skarg przeciwko administratorowi danych, ponieważ umieścił on dane osobowe osób związanych z domniemanymi długami w zbiorze danych dotyczących roszczeń sądowych i podmiotów publicznych ("FIJ") bez ich zgody. W niektórych przypadkach dane te nie były nawet prawidłowe. Według organu ochrony danych przetwarzanie danych osobowych osób, których dane dotyczą, w związku z kartoteką FIJ było niezgodne z prawem i naruszało kilka zasad ochrony danych dotyczących przetwarzania danych (zgodność z prawem i przejrzystość, ograniczenie celu, minimalizacja danych i prawidłowość). Ponadto administrator nie poinformował odpowiednio osób, których dane dotyczą, o przetwarzaniu ich danych, naruszając tym samym obowiązek informacyjny.Link
655CzechyÚřad pro ochranu osobních údajů (UOOU)202019 200,00 €NieznanyArt. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 12 (2), (3), Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 18 RODO, Art. 19 RODO, Art. 20 RODO, Art. 21 RODO, Art. 22 RODOFirma skopiowała dane osobowe z rejestrów publicznych, co zostało uznane przez czeski organ ochrony danych osobowych za nielegalne, ponieważ nie uznano tego za konieczne.Link
654CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaNieznanyArt. 5 (1) a) RODODotowana przez państwo organizacja udostępniła na swojej stronie internetowej zdjęcia swoich pracowników bez wystarczającej podstawy prawnej.Link
653CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaMiasto Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 13 RODO, Art. 14 (3) RODOSzkoła publiczna udostępniła dane osobowe burmistrzowi miasta, który ujawnił je za pośrednictwem aplikacji mobilnej radia miejskiego.Link
652CzechyÚřad pro ochranu osobních údajů (UOOU)20203 850,00 €Nadawca telewizyjnyArt. 12 (1) RODONadawca telewizyjny zamieścił na swojej stronie internetowej informacje o przetwarzaniu danych osobowych, które były jednak ukryte i niedokładne (odsyłacze do nieaktualnych przepisów prawnych).Link
651CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaNieznanyArt. 5 (1) c) RODOFirma przechowywała podpisy biometryczne swoich klientów, co naruszało zasadę minimalizacji danych.Link
650CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaBankArt. 5 (1) c), e) RODO, Art. 6 (1) RODO, Art. 7 (4) RODOPewien bank uzależnił otwarcie rachunku od przedstawienia kopii dowodu osobistego.Link
649CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaDostawca usług medycznychArt. 5 (1) a) RODO, Art. 12 (1) RODO, Art. 28 (2), (3) RODOPodmiot świadczący usługi opieki zdrowotnej gromadził dane osobowe za pomocą oprogramowania dostarczonego przez podmiot zewnętrzny, nie informując o tym pacjentów.Link
648CzechyÚřad pro ochranu osobních údajů (UOOU)2020NieznanaUczelnia publicznaArt. 6 (1) RODO, Art. 13 RODOUczelnia publiczna zażądała od ubiegających się o przyjęcie studentów danych osobowych bez wystarczającej podstawy prawnej.Link
647WłochyGarante per la protezione dei dati personali (Garante)2021-02-253 000,00 €Gmina San Marco w LamisArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 2-ter (1), (3) Codice della privacyWłoski organ ochrony danych (Garante) nałożył karę w wysokości 3 000 EUR na gminę San Marco w Lamis. Gmina ta zamieściła na swojej stronie internetowej dokumenty zawierające dane osobowe osoby, której dane dotyczą, oraz jej rodziny, które były swobodnie dostępne. Dokumenty te zawierały dwa nakazy przeciwko osobie, której dane dotyczą. Dokumenty były związane z postępowaniem przeciwko osobie, której dane dotyczą, dotyczącym działalności budowlanej bez pozwolenia na budowę i zawierały datę urodzenia, miejsce urodzenia, numer identyfikacji podatkowej i adres osoby, której dane dotyczą, oraz jej krewnych. Osoba, której dane dotyczą, zwróciła się już wcześniej do gminy o usunięcie tych dokumentów ze strony internetowej. Gmina jednak nie zastosowała się do tego żądania.Link
646GrecjaHellenic Data Protection Authority (HDPA)2021-04-162 000,00 €Kandydat w wyborach parlamentarnychArt. 15 RODO, Art. 11 ustawy nr 3471/2006Grecki organ ochrony danych osobowych (HDPA) ukarał kandydata do parlamentu karą pieniężną w wysokości 2 000 EUR. Przed wyborami parlamentarnymi w Grecji w lipcu 2019 r. osoba, której dane dotyczą, otrzymała połączenie od administratora na swój prywatny numer telefonu komórkowego. Połączenie zostało wykonane w celu promowania kandydatury administratora. Na zapytania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych administrator odpowiadał w sposób sprzeczny.Link
645HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-224 000,00 €HazteOir.Org Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na HazteOir.Org karę w wysokości 5.000 euro. Administrator opublikował broszurę na temat edukacji seksualnej w szkołach, która niezgodnie z prawem zawierała zdjęcia i nazwiska trzech osób, których dane dotyczyły, a które nie wyraziły na to zgody. Pierwotna grzywna w wysokości 5.000 EUR została obniżona o 20% do 4.000 EUR z powodu natychmiastowej zapłaty.Link
644HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-221 500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę prywatną karę w wysokości 1.500 euro. Administrator zainstalował na swojej posesji kamerę nadzorującą, która rejestrowała m.in. przestrzeń publiczną i sąsiednie nieruchomości. Według administratora, zainstalował on kamerę w celu zapewnienia bezpieczeństwa swojej nieruchomości. AEPD uznał to za naruszenie zasady minimalizacji danych, gdyż tak rozległy monitoring nie był konieczny do ochrony własności administratora.Link
643NorwegiaDatatilsynet2021-03-2119 900,00 €Basaren Drift ASArt. 5 RODO, Art. 6 RODO, Art. 13 RODONorweski urząd ochrony danych (Datatilsynet) nałożył na firmę Basaren Drift AS karę w wysokości 19 900 euro. Administrator zainstalował w swojej siedzibie kamery wideo, które nagrywały zarówno jego pracowników, jak i klientów. Norweski organ ochrony danych stwierdził, że administrator nie miał podstawy prawnej do prowadzenia nadzoru za pomocą kamer. Ponadto Norweski Urząd Ochrony Danych stwierdził, że administrator nie przekazał osobom, których dane dotyczą, wystarczających informacji na temat nadzoru.Link
642HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-208 000,00 €Highcliffe Estates Marbella S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Highcliffe Estates Marbella S.L. karę w wysokości 8 000 EUR. Administrator opublikował na swojej stronie internetowej zdjęcie osoby, której dane dotyczą, bez jej zgody.Link
641CzechyÚřad pro ochranu osobních údajů (UOOU)20201 900,00 €NieznanyArt. 12 (2) RODO, Art. 15 (1) RODOPewna osoba otrzymała fakturę za zamówione towary, która jednak pochodziła od innej firmy niż ta, u której je zamówiła. W związku z tym osoba, której dane dotyczą, skontaktowała się z przedsiębiorstwem, które dostarczyło towary i zażądała informacji o tym, skąd wzięły się jej dane osobowe, w jaki sposób były przetwarzane i na jakiej podstawie prawnej. Ponieważ przedsiębiorstwo nie odpowiedziało na jej wniosek osoba, której dane dotyczą, skontaktowała się z organem ochrony danych. Organ ten zażądał od administratora niezwłocznego udzielenia osobie, której dane dotyczą, żądanych informacji. Ponieważ administrator również nie odpowiedział na to żądanie, organ ochrony danych nałożył karę w wysokości 1 900 EUR.Link
640CzechyÚřad pro ochranu osobních údajů (UOOU)2020-05-26NieznanaNieznanyArt. 5 (1) a) RODO, Art. 6 RODOCzeski organ ochrony danych (UOOU) nałożył karę na przedsiębiorstwo za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej. Z kilkoma osobami fizycznymi skontaktowali się sprzedawcy administratora w celach reklamowych. Osoby, których dane dotyczą, korzystały w przeszłości (do około 2016 r.) z usług sprzedawców w celu zawarcia umów ubezpieczeniowych lub finansowych. W tym czasie sprzedawcy pracowali jednak dla innej firmy, z którą zawarli umowę agencyjną. Organ ochrony danych zauważa, że z jednej strony wykorzystanie danych osobowych znanych przedstawicielom z ich poprzedniej działalności stanowi naruszenie umowy zawartej z poprzednią firmą, a z drugiej strony nie istniała żadna podstawa prawna do dalszego przetwarzania danych w celach reklamowych na rzecz administratora.Link
639CzechyÚřad pro ochranu osobních údajů (UOOU)2020387,00 €Prywatny zakład opieki zdrowotnejArt. 24 RODO, Art. 32 (1) RODOCzeski organ ochrony danych (UOOU) przeprowadził dochodzenie przeciwko operatorowi pozarządowej placówki medycznej w związku z naruszeniem bezpieczeństwa. Podmiot ten oferuje pacjentom szereg badań diagnostycznych. Wyniki tych badań są następnie przekazywane na jego stronie internetowej zarówno pacjentom, jak i lekarzom, którzy zalecili przeprowadzenie badań. Zgłoszone naruszenie ochrony danych wynikało z ataku nieznanej osoby na stronę internetową operatora. W następstwie tego incydentu operator zaprzestał prowadzenia przedmiotowej strony internetowej i zaproponował środki techniczne w celu zwiększenia bezpieczeństwa. Organ ochrony danych stwierdził jednak, że inne strony internetowe prowadzone przez tego samego operatora miały takie same braki. Operator nie ograniczył jednak ich działania ani nie podjął żadnych nowych środków technicznych. W związku z tym organ nałożył na niego grzywnę w wysokości 387 EUR.Link
638HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-191 500,00 €Właściciel pubuArt. 5 (1) c) RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał właściciela pubu grzywną w wysokości 1.500 euro w związku z nieuprawnionym użyciem dwóch kamer nadzoru wideo obejmujących część przestrzeni publicznej.Link
637RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-04-191 500,00 €Lugera & Makler Broker S.R.L.Art. 29 RODO, Art. 32 (2), (4) RODORumuński organ ochrony danych (ANSPDCP) nałożył na Lugera & Makler Broker S.R.L. karę w wysokości 1 500 EUR. Administrator przypadkowo zniszczył dane klientów Raiffeisen Bank S.A., dla którego działał jako podmiot przetwarzający. ANSPDCP stwierdza, że do incydentu doszło z uwagi na fakt, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu ochrony przetwarzanych danych.Link
636HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-1390 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España S.A.U. karę w wysokości 150 000 euro. Trzy osoby, których dane dotyczą, złożyły do AEPD skargi przeciwko administratorowi danych. Skarżyły się one na otrzymywanie od administratora niezamówionych wiadomości tekstowych informujących je o nowych fakturach, mimo że między nimi a administratorem nie istniał już stosunek umowny. Ponadto nie było żadnych zaległych faktur, ponieważ kwota do zapłaty zawsze wynosiła zero euro. Podmioty danych kilkakrotnie zwracały się do administratora o zaprzestanie wysyłania im wiadomości tekstowych i o usunięcie ich danych. Administrator wyjaśnił, że wiadomości zostały wysłane z powodu błędu technicznego i zapewnił osoby, których dane dotyczą, że nie będą już otrzymywać takich powiadomień w przyszłości. Wysyłanie wiadomości było jednak kontynuowane. Pierwotna grzywna w wysokości 150 000 EUR została obniżona do 90 000 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
635HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-153 000,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na osobę fizyczną karę w wysokości 3.000 euro. Administrator zamieszkuje na 1. piętrze apartamentowca, w którym jest właścicielem mieszkań na 2. i 3. piętrze. Regularnie wynajmuje te apartamenty turystom. Administrator zainstalował cztery kamery wideo na trzech piętrach oraz w strefie wejściowej budynku. Ich działanie uzasadniał względami bezpieczeństwa związanymi z wynajmowaniem mieszkań turystom. Wspólnota mieszkaniowa nie wyraziła zgody na działanie kamer. Administrator nie umieścił również w budynku znaku informującego o działaniu kamer. Organ uznał to za naruszenie zasady minimalizacji danych, gdyż kamery obejmowały obszary budynku użytkowane przez wspólnotę, których monitorowanie nie było konieczne dla ochrony mienia administratora. Ponadto, administrator naruszył obowiązek informacyjny, gdyż nie poinformował pozostałych mieszkańców budynku o przetwarzaniu ich danych.Link
634GrecjaHellenic Data Protection Authority (HDPA)2020-04-072 000,00 €Ignatiadis Nikolaos i SpółkaArt. 5 (1) c) RODO, Art. 6 (1) f) RODOGrecki organ ochrony danych (HDPA) nałożył grzywnę w wysokości 2 000 EUR na Ignatiadis Nikolaos i Spółka. Administrator zainstalował kamery monitoringu obejmujące obszary, w których przebywali jego pracownicy. Administrator twierdzi, że kamery zostały zainstalowane dla celów bezpieczeństwa, ponieważ w przeszłości miały miejsce przypadki kradzieży. W związku z tym system nadzoru miał służyć do wykrywania osób wchodzących na teren obiektu. Jednak w trakcie dochodzenia przeprowadzonego przez organ ochrony danych stwierdzono, że instalacja kamer nie była ograniczona do obszarów niezbędnych do ochrony mienia. Organ Ochrony Danych uznał to za naruszenie zasady minimalizacji danych.Link
633RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-04-155 000,00 €S.C. Tip Top Food Industry S.R.LArt. 5 (1) b), c) RODO, Art. 5 (2) RODO, Art. 6 RODO, Art. 7 RODORumuński organ ochrony danych (ANSPDCP) nałożył na S.C. Tip Top Food Industry S.R.L. grzywnę w wysokości 5 000 EUR. Kontroler zainstalował kilka kamer wideo w pomieszczeniach z żywnością i szatniach, aby obserwować swoich pracowników. Monitoring miał na celu powstrzymanie kradzieży i ochronę wyprodukowanych towarów. Rumuński organ ochrony danych stwierdził, że administrator naruszył zasadę minimalizacji danych, ponieważ tak rozległy nadzór nie był konieczny. Wyprodukowane towary mogły być chronione metodami mniej ingerującymi w prywatność pracowników.Link
632CzechyÚřad pro ochranu osobních údajů (UOOU)2020nieznanaWypożyczalnia sprzętu narciarskiegoArt. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 7 (1) RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 16 RODO, Art. 17 RODO, Art. 18 RODO, Art. 19 RODO, Art. 20 RODO, Art. 21 RODOCzeski organ ochrony danych (UOOU) nałożył grzywnę na wypożyczalnię sprzętu narciarskiego. Ze względu na wysoką wartość sprzętu sportowego, administrator wymagał przy wypożyczaniu sprzętu sportowego depozytu pieniężnego lub pełnej kopii ważnego dowodu tożsamości. Zgoda na kopię dowodu osobistego była zawarta w samej umowie wypożyczenia sprzętu sportowego. W ten sposób w momencie podpisania umowy wypożyczenia sprzętu sportowego uzyskiwano jednocześnie zgodę na przetwarzanie kopii dowodu osobistego. Organ Ochrony Danych uznał ten sposób uzyskiwania zgody za naruszenie zgodności z prawem przetwarzania danych. Ponadto stwierdzono, że osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o przetwarzaniu ich danych osobowych.Link
631CzechyÚřad pro ochranu osobních údajů (UOOU)20202 700,00 €Mall.tvArt. 5 RODO, Art. 6 RODOCzeski Urząd Ochrony Danych (UOOU) ukarał Mall.tv grzywną w wysokości 2.700 euro za nagrywanie części przestrzeni publicznej bez podstawy prawnej. Przedmiotem dochodzenia Urzędu Ochrony Danych była eksploatacja dwóch kamer przez jedną z firm. Kamery te rejestrowały fragmenty przestrzeni publicznej, a następnie transmitowały materiał w czasie rzeczywistym w telewizji internetowej. Materiał filmowy miał tak wysoką rozdzielczość, że przejeżdżające osoby i pojazdy były wyraźnie widoczne i możliwe do zidentyfikowania.Link
630HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-0860 000,00 €Kutxabank, S.A.Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na Kutxabank, S.A. karę w wysokości 100.000 EUR. W związku ze skargą byłego klienta, który twierdził, że bank nie spełnił jego prośby o usunięcie danych, organ ochrony danych wszczął postępowanie przeciwko administratorowi danych. Podmiot danych był już w przeszłości klientem banku. Wówczas skorzystał z prawa do usunięcia swoich danych. Gdy próbował otworzyć nowe konto u administratora, został poinformowany, że nie jest to możliwe, ponieważ jego dane są nadal zablokowane (ze względu na jego poprzedni wniosek o usunięcie danych). Administrator poinformował ponadto osobę, której dane dotyczą, że będzie musiała odblokować dane, jeśli chce otworzyć konto. W tym celu do pisma dołączony był formularz. W formularzu stwierdzono, że podpisując go, osoba, której dane dotyczą, odwołuje swoje prawo do usunięcia danych i zezwala na (ponowne) wykorzystanie swoich danych przez administratora. Organ ochrony danych stwierdził, że tymczasowe zablokowanie danych nie odpowiada prawu do ich usunięcia. Organ podkreślił również, że usunięte lub zablokowane dane nie mogą być ponownie przetwarzane w przypadku nawiązania nowego stosunku umownego z administratorem danych, nawet jeśli nowy cel przetwarzania jest taki sam jak poprzedni. Pierwotna grzywna w wysokości 100.000 euro została zmniejszona do 60.000 euro ze względu na natychmiastową zapłatę i uznanie winy.Link
629WłochyGarante per la protezione dei dati personali (Garante)2021-02-256 000,00 €Azienda Ospedaliera Universitaria CareggiArt. 5 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda Ospedaliera Universitaria Careggi grzywnę w wysokości 6 000 EUR za naruszenie art. 5 RODO i Art. 9 RODO. Azienda Ospedaliera Universitaria Careggi powiadomiła organ ochrony danych o naruszeniu ochrony danych osobowych na mocy art. 33 RODO w odniesieniu do przekazywania danych dotyczących zdrowia niewłaściwej osobie. Dokumenty medyczne pacjenta zostały wysłane pocztą zarówno do pacjenta, którego dotyczyło naruszenie, jak i do innego pacjenta. Administrator danych twierdzi, że do incydentu doszło z powodu błędu w procesie drukowania. Oddział, na którym leczony był poszkodowany pacjent, wyposażony był tylko w dwie drukarki, a jeden z lekarzy nieświadomie wziął wydruki kolegi (dokumenty poszkodowanego pacjenta) podczas pobierania swojego wydruku (dokumenty niewłaściwego odbiorcy).Link
628NorwegiaDatatilsynet2021-04-093 400,00 €Miljø- og Kvalitetsledelse ASArt. 5 (1) a) RODO, Art. 6 (1) RODONorweski urząd ochrony danych (Datatilsynet) nałożył na Miljø- og Kvalitetsledelse AS karę w wysokości 3 400 EUR. W jednej z myjni obsługiwanych przez administratora miały miejsce przypadki wandalizmu przy terminalu płatniczym. Administrator przesłał następnie pracodawcy domniemanego wandala nagranie incydentu z kamery nadzorującej. Norweski organ ochrony danych stwierdził, że udostępnienie nagrania wideo odbyło się bez podstawy prawnej, a tym samym administrator naruszył art. 6 (1) RODO i art. 5 (1) a) RODO. Ponadto organ ochrony danych podkreślił, że ujawnienie nagrań nie było konieczne do wyjaśnienia incydentu, ponieważ nagrania zostały już przekazane policji.Link
627NorwegiaDatatilsynet2021-03-15100 000,00 €Gmina AskerArt. 5 RODO, Art. 6 RODO, Art. 32 (1) b) RODO, Art. 24 RODONorweski organ ochrony danych (Datatilsynet) nałożył na gminę Asker grzywnę w wysokości 100 000 EUR. W dniu 20 maja 2020 r. organ ochrony danych otrzymał zawiadomienie, że gmina bezprawnie opublikowała dane osobowe na swojej stronie internetowej. Na stronie internetowej użytkownicy mogli zapoznać się z nazwami dokumentów, które zostały wcześniej wysłane za pośrednictwem listy dystrybucyjnej poczty elektronicznej gminy. Oprócz nazw konkretnych dokumentów zawierały one również imiona i nazwiska oraz daty urodzenia 127 osób, w tym dzieci. Mimo że listy dystrybucyjne były codziennie sprawdzane przez dwie osoby, gmina nie wykryła rozbieżności. Norweski organ ochrony danych stwierdził, że do naruszenia ochrony danych doszło częściowo z powodu braku wymaganych procedur postępowania z listami elektronicznymi.Link
626GrecjaHellenic Data Protection Authority (HDPA)2021-03-222 000,00 €Kandydat w wyborach parlamentarnychArt. 15 RODO, Art. 11 Prawa 3471/2006Grecki organ ochrony danych osobowych (HDPA) ukarał kandydata do parlamentu grzywną w wysokości 2 000 EUR. Przed wyborami parlamentarnymi w Grecji w lipcu 2019 r. osoba, której dane dotyczą, otrzymała połączenie od administratora na swój prywatny numer telefonu komórkowego. Połączenie zostało wykonane w celu promowania kandydatury administratora. Na zapytania osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych administrator odpowiadał w sposób sprzeczny.Link
625WłochyGarante per la protezione dei dati personali (Garante)2021-02-1145 000,00 €Istituti ospedalieri bergamaschiArt. 5 (1) a), f) RODO, Art. 9 RODO, Art. 32 RODO,Włoski organ ochrony danych (Garante) nałożył na Istituti ospedalieri bergamaschi grzywnę w wysokości 45 000 EUR. Organ ochrony danych wszczął dochodzenie przeciwko administratorowi danych po tym, jak ten zgłosił mu naruszenie ochrony danych. Pacjent omyłkowo otrzymał w swoim cyfrowym zapisie medycznym dokumentację medyczną i kliniczną siedmiu innych pacjentów.Link
624HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-062 400,00 €Promotech Digital S.L.Art. 21 RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał Promotech Digital S.L. grzywną w wysokości 2.400 EUR za wielokrotne wysyłanie osobie, której dane dotyczą, SMS-ów reklamowych, mimo że osoba ta nigdy nie zapisała się ani nie wyraziła zgody na otrzymywanie SMS-ów. Co więcej, SMS-y nie oferowały bezpośredniej możliwości rezygnacji z otrzymywania reklam. Zamiast tego wskazywano na możliwość rezygnacji za pośrednictwem poczty elektronicznej. Mimo że osoba, której dane dotyczą, sprzeciwiła się otrzymywaniu dalszych SMS-ów, nadal otrzymywała SMS-y od administratora. Pierwotna grzywna w wysokości 3.000 EUR została zmniejszona o 20% do 2.400 EUR ze względu na natychmiastową zapłatę i uznanie winy.Link
623HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-054 000,00 €Stockhunters S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na Stockhunters S.L. grzywnę w wysokości 4.000 EUR. Administrator danych nie był w stanie odpowiedzieć na wnioski osoby, której dane dotyczą, dotyczące wykorzystania jej danych osobowych. Ponadto, polityka ochrony danych na stronie internetowej administratora nie była zgodna z przepisami art. 13 RODO Osoba, której dane dotyczą, nie była zatem pewna, w jaki sposób wykorzystywane są jej dane osobowe.Link
622HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-053 000,00 €Electrotecnica Bastida S.L.Art. 32 (1) RODOHiszpański organ ochrony danych (AEPD) ukarał Electrotecnica Bastida S.L. grzywną w wysokości 3.000 euro. Funkcjonariusze policji znaleźli 29 kopert zaadresowanych do poszczególnych pracowników administratora na pustej działce w lokalnym obszarze przemysłowym. Dwie koperty zostały już otwarte. Koperty te zawierały wyniki badań lekarskich. AEPD uznało, że jest to naruszenie obowiązku administratora w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych.Link
621HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-04-053 000,00 €Kukimbia S.L.Art. 32 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Kukimbia S.L. grzywnę w wysokości 3.000 euro. Administrator danych to firma zajmująca się magazynowaniem, transportem i dystrybucją towarów. Dokumenty zawierające dane osobowe klientów i dostawców administratora zostały znalezione w wolnym dostępie obok kosza na śmieci w pobliżu jednego z magazynów administratora. Organ ochrony danych stwierdził, że administrator naruszył art. 32 RODO.Link
620WłochyGarante per la protezione dei dati personali (Garante)2021-03-254 500 000,00 €Fastweb S.p.A.Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 12 RODO, Art. 13 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 RODO, Art. 32 GPDR, Art. 33 (1) RODO, Art. 34 (1) RODOWłoski urząd ochrony danych (Garante) nałożył na Fastweb S.p.A. grzywnę w wysokości 4 500 000 euro za agresywny telemarketing. Po przeprowadzeniu złożonego dochodzenia wstępnego, wszczętego po otrzymaniu setek zgłoszeń i skarg od użytkowników, organ ochrony danych stwierdził, że administrator nielegalnie przetwarzał dane osobowe milionów użytkowników w celach telemarketingowych. Mianowicie, call center pracujące dla Fastweb w dużej mierze działały z pominięciem przepisów o ochronie danych osobowych. Często używały one do rozmów numerów telefonów, które nie były zarejestrowane we włoskim rejestrze operatorów telekomunikacyjnych (Registro degli Operatori di Comunicazione). Ponadto, przetwarzali dane kontaktowe dotyczące promocji, które Fastweb otrzymał od partnerów zewnętrznych, bez ważnej zgody osób, których dane dotyczą, na ich udostępnienie. Ponadto wielu użytkowników zgłosiło, że kontaktowali się z nimi "samozwańczy operatorzy Fastwebu", którzy próbowali uzyskać dokumenty tożsamości wykonawców za pośrednictwem aplikacji WhatsApp, prawdopodobnie w celu wysyłania spamu, wyłudzania informacji i innych nieuczciwych działań. Inne naruszenia dotyczyły procedur związanych z usługą "oddzwoń do mnie", które uniemożliwiały użytkownikom wyrażenie dobrowolnej, konkretnej i świadomej zgody oraz dezaktywację usługi w sposób zautomatyzowany.Link
619WłochyGarante per la protezione dei dati personali (Garante)2021-02-254 000,00 €Ministerstwo Edukacji, Regionalne Biuro Szkolnictwa w LazioArt. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył karę w wysokości 4.000 euro na władze szkolne regionu Lazio. Rodzic złożył skargę na władze szkolne w związku z przekazaniem danych jego niepełnosprawnego syna do Urzędu Administracji Publicznej. Przekazane dane zawierały m.in. informacje o stanie zdrowia dziecka. Rodzic wcześniej skarżył się na nieprawidłowości w przyznawaniu godzin wsparcia dla uczniów niepełnosprawnych w szkole I.C.G. Pitocco w Castelnuovo di Porto. Organ prowadzący szkołę przekazał wówczas dane w celu wyjaśnienia zarzutu. Organ ochrony danych stwierdził jednak, że przekazanie danych odbyło się bez podstawy prawnej.Link
618WłochyGarante per la protezione dei dati personali (Garante)2021-02-1160 000,00 €Roma Servizi per La Mobilita S.r.l.Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na Roma Servizi per La Mobilita S.r.l. grzywnę w wysokości 60.000 EUR za niepodjęcie odpowiednich środków technicznych i organizacyjnych w odniesieniu do danych obywateli, którzy uzyskali zezwolenia na dostęp do stref ograniczonego ruchu. Administrator danych działał jako podmiot przetwarzający dane na rzecz miasta Rzym. W ramach tej działalności przetwarzał dane osób, które posiadały zezwolenia na dostęp do stref ograniczonego ruchu. Weryfikacja zezwoleń odbywała się poprzez skanowanie kodów QR umieszczonych na plakietkach umieszczonych na przednich szybach samochodów. Dzięki temu pracownicy miasta mogli w czasie rzeczywistym sprawdzić, czy dany pojazd może poruszać się w danej strefie i komu zostało wydane zezwolenie. Jednak, jak twierdzi DPA, nie tylko pracownicy miasta, ale każdy mógł zeskanować kody i uzyskać dostęp do informacji, ponieważ wymagało to jedynie zwykłego skanera QR. Informacje przechowywane w systemie obejmowały np. nazwisko użytkownika lub numer rejestracyjny pojazdu. DPA zauważa, że administrator nie przeanalizował ryzyka związanego z przetwarzaniem danych i w rezultacie nie wdrożył odpowiednich środków ochrony przetwarzania.Link
617WłochyGarante per la protezione dei dati personali (Garante)2021-02-11350 000,00 €Roma CapitaleArt. 5 RODO, Art. 6 RODO, Art. 28 RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na miasto Rzym grzywnę w wysokości 350 000 euro za brak odpowiednich środków technicznych i organizacyjnych w odniesieniu do danych obywateli, którzy uzyskali zezwolenia na dostęp do stref ograniczonego ruchu. Zezwolenia te były weryfikowane poprzez skanowanie kodów QR umieszczonych na plakietkach przymocowanych do przednich szyb. Dzięki temu służby miejskie mogły w czasie rzeczywistym sprawdzić, czy dany pojazd może znajdować się w danej strefie i komu zostało wydane zezwolenie. Jednak, jak twierdzi DPA, nie tylko pracownicy miasta, ale każdy mógł zeskanować kody i uzyskać dostęp do informacji, ponieważ wymagało to jedynie zwykłego skanera QR. Informacje przechowywane w systemie obejmowały np. nazwisko użytkownika lub numer rejestracyjny pojazdu. Ponadto organ ochrony danych ustalił, że miasto Rzym korzystało z usług dostawcy w zakresie hostingu i utrzymania baz danych bez odpowiedniej umowy, czego wymaga art. 28 RODO. 28 RODO.Link
616WłochyGarante per la protezione dei dati personali (Garante)2021-02-2520 000,00 €Gedi Gruppo Editoriale S.p.A.Art. 5 (1) a) RODOWłoski DPA (Garante) ukarał Gedi Gruppo Editoriale S.p.A. grzywną w wysokości 20.000 euro. Administrator opublikował w swojej gazecie zdjęcia osób, które przebywały w areszcie w związku z morderstwem. Zdjęcia te przedstawiały oskarżonych w kajdankach i zostały wykonane bez ich zgody. Mimo że niektóre zdjęcia zostały rozpikselowane wokół kajdanek, twarze oskarżonych pozostały widoczne, co pozwalało na ich identyfikację. Organ ochrony danych z wyprzedzeniem nakazał administratorowi powstrzymanie się od dalszego wykorzystywania tych zdjęć. DPA nałożył grzywnę, ponieważ administrator nie zastosował się do tego nakazu.Link
615WłochyGarante per la protezione dei dati personali (Garante)2021-02-115 000,00 €Fondazione di religione e di culto “Casa sollievo della sofferenza” Opera di San Pio da PietrelcinaArt. 5 (1) a), f) RODO, Art. 9 RODOWłoski organ ochrony danych osobowych (Garante) nałożył na Fundację na rzecz religii i kultu "Casa sollievo della sofferenza" Opera di San Pio da Pietrelcina grzywnę w wysokości 5.000 EUR. W dniu 31 stycznia 2020 r. administrator danych powiadomił organ ochrony danych osobowych o naruszeniu danych osobowych na mocy art. 33 RODO. Dokumenty zawierające informacje o stanie zdrowia osoby, której dane dotyczą, zostały przypadkowo wysłane pocztą do niewłaściwego adresata. Stało się to w wyniku pomyłki: Faktura została wcześniej wysłana nie do osoby, której dane dotyczą, lecz do innej osoby o tym samym nazwisku, której adres został następnie wykorzystany do dalszej korespondencji z osobą, której dane dotyczą.Link
614WłochyGarante per la protezione dei dati personali (Garante)2021-02-256 000,00 €Gmina CommezzaduraArt. 5 (1) a), c) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na gminę Commezzadura grzywnę w wysokości 6.000 euro. Były pracownik tej gminy złożył skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jego dane osobowe. Dokument ten zawierał potwierdzenie i akceptację dobrowolnego rozwiązania stosunku pracy przez pracownika oraz informacje o ówczesnym stosunku pracy, w tym oceny jego pracy i informacje o jego stanie zdrowia. Osoba, której dane dotyczą, skarżyła się również, że informacje te zostały wspomniane w artykule w gazecie. W szczególności w artykule tym omówiono zakończenie stosunku pracy i zacytowano oświadczenie burmistrza gminy odnoszące się do faktu, że osoba, której dane dotyczą, poprosiła o elastyczne godziny pracy i była nieobecna w pracy podczas ferii świątecznych z powodu choroby.Link
613RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-03-3010 000,00 €Telekom Romania Mobile Communications S.A.Art. 32 (1), (2) RODORumuński organ ochrony danych (ANSPDCP) nałożył na Telekom Romania Mobile Communications S.A. grzywnę w wysokości 10 000 EUR za niewdrożenie odpowiednich środków bezpieczeństwa w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. W szczególności dochodzenie przeprowadzone przez ANSPDCP wykazało, że niewdrożenie przez administratorów odpowiednich środków bezpieczeństwa doprowadziło do nieuprawnionego ujawnienia danych 99 210 osób, których dane dotyczą, w tym numeru klienta, płci i numeru telefonu, a także nieuprawnionego dostępu do danych osobowych przechowywanych na kontach 413 klientów. Na tej podstawie ANSPDCP orzekł, że administrator naruszył Art. 32 (1) i (2) RODO.Link
612NiderlandyAutoriteit Persoonsgegevens (AP)2020-12-10475 000,00 €Booking.com B.V.Art. 33 RODONiderlandzki organ ochrony danych osobowych (Autoriteit Persoonsgegevens) ukarał Booking.com grzywną w wysokości 475 tys. euro za zbyt późne zgłoszenie naruszenia danych do organu ochrony danych osobowych. W grudniu 2018 r. przestępcy uzyskali dostęp do danych 4 109 osób, które zarezerwowały pokój hotelowy za pośrednictwem strony rezerwacyjnej. Obejmowało to ich nazwiska, adresy i numery telefonów, a także szczegóły dotyczące ich rezerwacji. Przestępcy uzyskali również dostęp do danych kart kredytowych 283 osób. W 97 przypadkach był to kod zabezpieczający kartę kredytową. Próbowali również uzyskać dane kart kredytowych innych ofiar, podając się za pracowników Booking.com za pośrednictwem poczty elektronicznej lub telefonu. Booking.com został powiadomiony o naruszeniu danych 13 stycznia 2019 r., ale zgłosił je do AP dopiero 7 lutego. Tym samym administrator spóźnił się ze zgłoszeniem naruszenia danych o 22 dni, ponieważ jest zobowiązany do zgłoszenia naruszenia danych do organu ochrony danych w ciągu 72 godzin.Link
611NorwegiaDatatilsynet2021-03-0814 900,00 €Dragefossen ASArt. 5 (1) a) RODO, Art. 6 (1) RODONorweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 14.900 euro na firmę energetyczną Dragefossen AS. Przedsiębiorstwo to zainstalowało na dachu swojego biurowca w centrum Rognan kamerę internetową, która działała 24 godziny na dobę przez 7 dni w tygodniu i nagrywała centrum miasta. Nagrania te można było oglądać poprzez strumień wideo na żywo w serwisie Youtube oraz na stronie głównej administratora. Ponadto, nagrania można było przewijać do 12 godzin. Obszar objęty monitoringiem kamer obejmował ulicę publiczną, parking i wejście do dwóch sklepów spożywczych, aptekę, sklep monopolowy, lokalny bank, ratusz i kilka innych budynków. Ze względu na jakość obrazu i odległość od kamery nie było możliwe rozpoznanie szczegółów twarzy ani odczytanie tablic rejestracyjnych na samochodach. Niemniej jednak jakość obrazu była na tyle dobra, że można było zidentyfikować, jakim samochodem jechali badani, jaki rodzaj ubrania mieli na sobie, jaki kolor włosów mieli i inne cechy osobiste. Było to wystarczające, aby osoby oglądające transmisję na żywo mogły zidentyfikować i śledzić współpracowników, kolegów, przyjaciół, rodzinę lub innych znajomych. Norweski organ ochrony danych stwierdził, że transmisja na żywo stanowi naruszenie art. 6 (1) RODO i art. 5 (1) a) RODO. W decyzji podkreślono, że nielegalny nadzór za pomocą kamer dotyczył znacznej liczby pracowników i że wielu z nich było monitorowanych wielokrotnie, niektórzy codziennie. Monitorowane osoby były w drodze do i z pracy, musiały kupić artykuły spożywcze, leki lub alkohol, lub z innych powodów przebywały w przestrzeni publicznej. Są to czynności, w przypadku których osoby, których dane dotyczą, nie spodziewają się, że będą monitorowane, a tym bardziej nie spodziewają się, że monitoring będzie transmitowany na żywo w Internecie.Link
610WłochyGarante per la protezione dei dati personali (Garante)2021-02-252 000,00 €Gmina ConflentiArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODOWłoski organ ochrony danych (Garante) nałożył na gminę Conflenti grzywnę w wysokości 2.000 euro. Była pracownica tej gminy złożyła skargę do organu ochrony danych, ponieważ na stronie internetowej gminy został opublikowany dokument zawierający jej dane osobowe, w tym informacje o jej zatrudnieniu w gminie oraz fragment pisma o rozwiązaniu umowy o pracę.Link
609HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-15600 000,00 €Air Europa Lineas Aereas, SA.Art. 32 (1) RODO, Art. 33 RODOHiszpański organ ochrony danych (AEPD) ukarał Air Europa Lineas Aereas, SA. 600 000 EUR po tym, jak do AEPD zgłoszono poważne naruszenie ochrony danych obejmujące nieuprawniony dostęp do danych kontaktowych i kont bankowych. Naruszenie dotyczyło około 489.000 osób i 1.500.000 rekordów. AEPD ogłosiła, że nałożyła na administratora danych grzywnę w wysokości 500 000 EUR za naruszenie art. 32 (1) RODO z powodu niepodjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, oraz 100 000 EUR za naruszenie art. 33 RODO z powodu powiadomienia AEPD. 33 RODO za powiadomienie AEPD o naruszeniu bezpieczeństwa z 41-dniowym opóźnieniem. Przy ustalaniu wysokości grzywny jako okoliczność obciążającą wzięto pod uwagę fakt, że incydent nie ograniczał się do obszaru lokalnego, lecz dotknął dużą liczbę osób nie tylko w Hiszpanii, ale i na całym świecie, oraz że naruszone zostały wrażliwe dane bankowe i finansowe, co zaszkodziło kilku tysiącom osób.Link
608NorwegiaDatatilsynet2021-03-154 900,00 €Gmina ÅlesundArt. 32 (1) b) RODO, Art. 24 (1) RODO, Art. 35 RODONorweski Urząd Ochrony Danych (Datatilsynet) nałożył na gminę Ålesund karę w wysokości 4 900 euro. W dwóch szkołach w Ålesund nauczyciele poprosili uczniów o pobranie aplikacji treningowej Strava na zajęcia wychowania fizycznego. Uczniowie otrzymywali następnie zadania, które nauczyciele kontrolowali za pomocą funkcji śledzenia. Zgodnie z dochodzeniem norweskiego organu ochrony danych, doprowadziło to do naruszenia danych, ponieważ władze miasta nie zapewniły standardowych procedur zgodnego z zasadami ochrony prywatności korzystania z aplikacji w szkołach. Na przykład nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne ze względu na potencjalne ryzyko dla uczniów. Ponadto nie wdrożono odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, aby zapewnić ochronę przetwarzania danych.Link
607HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-231 000,00 €Laboratorio Octogón, S.L.Art. 5 (1) c) RODOWykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych).Link
606RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-03-232 000,00 €S.C. Medicover S.R.L.Art. 32 (1) b), (2), (4) RODOW lutym rumuński organ ochrony danych (ANSPDCP) zamknął dochodzenie przeciwko S.C. Medicover S.R.L. i stwierdził naruszenie art. 32 (1) b), (2), (4) RODO. Organ ochrony danych nałożył na administratora grzywnę w wysokości 2.000 EUR. Dochodzenie zostało wszczęte po kolejnych zgłoszeniach administratora dotyczących naruszeń danych osobowych związanych z nieuprawnionym ujawnieniem i nieuprawnionym dostępem do danych osobowych, takich jak imię i nazwisko, adres do korespondencji, adres e-mail i dane dotyczące zdrowia osób, których dane dotyczą. W kilku przypadkach dokumenty zawierające dane osobowe zostały wysłane do niewłaściwych odbiorców. Organ ochrony danych ustalił, że do incydentów doszło z powodu niewdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych.
Link
605HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1660 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone Hiszpania grzywnę w wysokości 60 000 EUR. Osoba, której dane dotyczą, była klientem administratora kilka lat temu. Po otrzymaniu od administratora SMS-em przypomnień o płatności za usługi, których nigdy nie zamówiła, poinformowała o tym administratora i poprosiła o wyjaśnienie i usunięcie swoich danych. Pomimo pozytywnej odpowiedzi, nadal otrzymywała te same SMS-y. Osoba, której dane dotyczą, złożyła następnie dwie skargi do hiszpańskiego organu ochrony danych przeciwko Vodafone Hiszpania. W obu przypadkach administrator zapewnił, że poprawił przyczynę nieprawidłowej wysyłki i usunął dane osoby, której dane dotyczą. Mimo to korespondencja była kontynuowana, co skłoniło osobę, której dane dotyczą, do złożenia trzeciej skargi. Pierwotna grzywna w wysokości 100 000 EUR została obniżona do 60 000 EUR w związku z natychmiastową płatnością i przyznaniem się do winy.
Link
604HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-183 000,00 € Asesoría Alpi-Clúa S.L.Art. 5 (1) f) RODO, Art. 32 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Asesoría Alpi-Clúa S.L. grzywnę w wysokości 3.000 euro. Klientka zażądała od administratora dokumentów w celu przedłożenia ich organom podatkowym. Administrator przesłał jej wiadomość e-mail, która jednak nie zawierała dokumentów, o które prosiła, lecz dokumenty pochodzące od innego klienta.
Link
603HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-152 000,00 €Heredad de Urueña S.A.Art. 13 RODOHiszpański organ ochrony danych (AEPD) ukarał Heredad de Urueña S.A. grzywną w wysokości 2.000 EUR, ponieważ jej polityka przetwarzania danych osobowych nie spełniała wymogów art. 13 RODO. Ponadto administrator nie zamieścił na swojej stronie internetowej polityki prywatności informującej użytkowników o przetwarzaniu ich danych osobowych.
Link
602HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-153 000,00 €Stowarzyszenie kulturalneArt. 6 (1) a) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 3 000 euro na stowarzyszenie kulturalne. Administrator opublikował zdjęcia czteroletniego dziecka na różnych grupach chińskiego komunikatora WeChat bez zgody rodziców dziecka. Na zdjęciach widać dziecko biorące udział w lekcjach języka chińskiego prowadzonych przez administratora. Mimo że administrator próbował ukryć twarz dziecka za pomocą cyfrowej naklejki, była ona nadal częściowo widoczna. Administrator nie zareagował również na prośbę rodziców o usunięcie zdjęć i przeprosił ich.
Link
601BelgiaGegevensbeschermingsautoriteit (GBA)2021-03-151 000,00 €SzkołaArt. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 8 RODOBelgijski organ ochrony danych (APD) ukarał szkołę grzywną w wysokości 1 000 EUR. Administrator danych przeprowadził ankietę na temat samopoczucia uczniów za pośrednictwem systemu smartschooling. Organ ochrony danych stwierdził, że administrator nie uzyskał zgody rodziców nieletnich uczniów i naruszył zasadę minimalizacji danych. Pierwotna grzywna w wysokości 2.000 EUR została obniżona do 1.000 EUR po tym, jak administrator odwołał się od decyzji APD.
Link
600WłochyGarante per la protezione dei dati personali (Garante)2021-01-1475 000,00 €Regione LazioArt. 5 (2) RODO, Art. 28 RODOWłoski organ ochrony danych (Garante) ukarał Regione Lazio (Region Lacjum) grzywną w wysokości 75.000 euro za brak wskazania Capodarco, spółki, której w 1999 r. powierzył zarządzanie rezerwacjami na usługi zdrowotne, jako podmiotu przetwarzającego dane. Administrator danych nie zawarł z Capodarco umowy, która regulowałaby jej rolę jako podmiotu przetwarzającego dane zgodnie z wymogami prawa ochrony danych. W związku z tym do 2019 r. nie została zawarta właściwa umowa o powierzonym przetwarzaniu, co oznaczało, że dane były przetwarzane niezgodnie z prawem przez okres około 20 lat.Link
599WłochyGarante per la protezione dei dati personali (Garante)2021-02-1175 000,00 €Ministero dello Sviluppo Economico (Ministerstwo Rozwoju)Art. 5 (1) a), b), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 37 (1), (7) RODOWłoski organ ochrony danych (Garante) ukarał Ministerstwo Rozwoju Gospodarczego (Ministero dello Sviluppo Economico) grzywną w wysokości 75 tys. euro za niepowołanie do 28 maja 2018 r. inspektora ochrony danych oraz za opublikowanie na swojej stronie internetowej danych osobowych ponad pięciu tysięcy menedżerów. We Włoszech małe i średnie przedsiębiorstwa, które wcześniej otrzymały stosowny voucher, mogły za pośrednictwem administratora zarezerwować porady dotyczące procesów technologicznych i cyfrowych od doświadczonych specjalistów biznesowych. Włoski organ ochrony danych wszczął dochodzenie przeciwko administratorowi po tym, jak okazało się, że dane osobowe ponad pięciu tysięcy menedżerów, którzy zgłosili się do odpowiednich konsultacji, były swobodnie dostępne na jego stronie internetowej. Dane osobowe, takie jak imię i nazwisko, numer identyfikacji podatkowej, adres e-mail, pełny życiorys, a w niektórych przypadkach kopia dowodu osobistego i karty zdrowia osób, których dane dotyczą, były publicznie widoczne i mogły być swobodnie pobierane. Na stronie internetowej można było również pobrać uchwałę dyrekcji, która zatwierdziła listę, zawierającą dane i informacje o wszystkich dyrektorach. Organ ochrony danych stwierdził, że przetwarzanie danych było niezgodne z prawem oraz że uchwała dyrekcji, na którą powołał się administrator, nie stanowiła odpowiedniej podstawy prawnej dla ujawnienia danych online.
Link
598WłochyGarante per la protezione dei dati personali (Garante)2020-12-172 000,00 €Ordine degli Assistenti Sociali della Regione LazioArt. 12 (3), (4) RODOWłoski organ ochrony danych osobowych (Garante) nałożył na Ordine degli Assistenti Sociali della Regione Lazio grzywnę w wysokości 2 000 EUR. W dniu 27 listopada 2019 r. osoba, której dane dotyczą, wysłała wiadomość e-mail do administratora z zapytaniem, jakie dane są przetwarzane w odniesieniu do niej i jej córek. Po początkowym nieotrzymaniu odpowiedzi na swój wniosek o udzielenie informacji, w dniu 10 stycznia 2020 r. osoba, której dane dotyczą, złożyła skargę na administratora do włoskiego organu ochrony danych. Jego wniosek o udzielenie informacji został następnie spełniony w dniu 17 czerwca 2020 r., ale bez wyjaśnienia opóźnienia, a w szczególności początkowego braku odpowiedzi na wniosek.
Link
597HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-155 000,00 €Certime S.A.Art. 5 (1) b) RODOHiszpański organ ochrony danych (AEPD) nałożył na Certime S.A. grzywnę w wysokości 5 000 EUR. Osoba, której dane dotyczą, odnowiła swoje prawo jazdy u administratora w 2009 r. Po zmianie adresu w 2018 r., w 2019 r. otrzymała pocztę od administratora na swój nowy adres bez poinformowania administratora o zmianie adresu. W liście administrator poinformował osobę, której dane dotyczą, że jej prawo jazdy wkrótce straci ważność. W odpowiedzi na zapytanie osoby, której dane dotyczą, skąd pochodzą jej nowe dane kontaktowe, administrator poinformował ją, że jego baza danych jest regularnie aktualizowana z wykorzystaniem danych uzyskanych od hiszpańskiego urzędu ds. transportu DGT (Dirección General de Tráfico). Ponieważ osoba, której dane dotyczą, nie wyraziła zgody na takie przetwarzanie swoich danych, złożyła skargę na administratora danych do hiszpańskiego organu ochrony danych. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że przedsiębiorstwo rzeczywiście zawarło umowę z DGT. DGT wyjaśniła jednak, że celem przetwarzania danych kontaktowych w ramach tej umowy było zapewnienie dokładności adresu przy odnawianiu prawa jazdy lub przy wydawaniu orzeczeń lekarskich, tak aby mogły być one wysyłane na właściwy adres. Niemniej jednak osoby, których dane dotyczą, muszą zażądać takiej zmiany adresu i w konsekwencji wyrazić na nią zgodę. Ponieważ kryteria te nie zostały spełnione w tym konkretnym przypadku, organ ochrony danych stwierdził naruszenie zasady ograniczenia celu.
Link
596HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1212 000,00 €NBQ Technology, S.A.U.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na NBQ Technology, S.A.U. grzywnę w wysokości 20 000 EUR. Złodziej tożsamości uzyskał dane osoby trzeciej bez upoważnienia i złożył wniosek o mikrokredyt u administratora danych z wykorzystaniem tożsamości osoby, której dane dotyczą. Następnie administrator zatwierdził pożyczkę. Ponieważ dane przetwarzane w trakcie udzielania pożyczki nie należały do odbiorcy pożyczki, lecz do osoby, której dane dotyczą, AEPD stwierdził, że administrator nie miał podstawy prawnej do przetwarzania tych danych. Przetwarzanie danych było zatem niezgodne z prawem i doszło do naruszenia art. 6 (1) RODO zostało potwierdzone. Pierwotna grzywna w wysokości 20 000 EUR została obniżona do 12 000 EUR ze względu na natychmiastową zapłatę i uznanie długu.
Link
595HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-121 500,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 1.500 euro. Administrator zainstalował kamerę nadzoru wideo skierowaną w stronę drogi publicznej i obejmującą część wspólnego patio kompleksu apartamentów. Ponadto, w widocznym miejscu nie było żadnego znaku informującego o obecności kamery (osoba odpowiedzialna, cel, itp.). Wreszcie, administrator nie uzyskał zgody pozostałych lokatorów przed uruchomieniem kamery.Link
594HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-118 150 000,00 €Vodafone España, S.A.U.Art. 28 RODO, Art. 24 RODO, Art. 44 RODO, Art. 21 LSSI, Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDDOd 2018 r. hiszpański organ ochrony danych (AEPD) otrzymał łącznie 191 skarg przeciwko Vodafone España, S.A.U. Osoby, których dane dotyczą, skarżyły się na połączenia reklamowe i wiadomości (e-mail i SMS) wykonywane w imieniu Vodafone España w ramach kampanii marketingowych. Kontakty nawiązywano bez uprzedniej zgody osób, których dane dotyczą, i kontynuowano je nawet po skorzystaniu przez nie z prawa do sprzeciwu. Ponadto, z wieloma osobami, których dane dotyczyły, kontaktowano się, mimo że ich numery znajdowały się na liście Robinsona. AEPD wyjaśnia, że obciążająco wzięła pod uwagę fakt, że Vodafone España regularnie otrzymywała grzywny w ponad 50 przypadkach od stycznia 2018 r. do lutego 2020 r., a także fakt, że w ciągu niespełna dwóch lat do AEPD wpłynęły 162 skargi. Grzywna składa się z następujących elementów: 4 mln EUR za naruszenie Art. 28 RODO i Art. 24 RODO; 2 miliony euro za naruszenie art. 44 RODO; 150 000 EUR za naruszenie Art. 21 LSSI; oraz 2 miliony euro za naruszenie Art. 48 (1) b) LGT, Art. 21 RODO oraz Art. 23 LOPDGDD.
Link
593HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1090 000,00 €Xfera Moviles S.A.Art. 5 (1) f) RODO, Art. 17 RODO, Art. 32 RODOHiszpański organ ochrony danych (AEPD) nałożył na Xfera Móviles S.A. grzywnę w wysokości 150.000 EUR. Organ ochrony danych otrzymał dwie skargi od osoby, której dane dotyczą. Pierwsza skarga dotyczyła wysyłania reklamowych wiadomości SMS, które osoba, której dane dotyczą, otrzymywała od administratora, mimo że sprzeciwiła się temu i zażądała usunięcia swoich danych. Według osoby, której dane dotyczą, otrzymała ona ponad 60 wiadomości SMS w ciągu 30 dni. Druga skarga została złożona przez osobę, której dane dotyczą, ponieważ administrator wielokrotnie wysyłał jej wiadomości zawierające poufne dane osoby trzeciej. Dotyczyło to danych logowania innego klienta do platformy firmowej. Na portalu tym można było przeglądać między innymi dane osobowe oraz faktury. Mimo że osoba, której dane dotyczą, poinformowała o tym przedsiębiorstwo, nie zaprzestano nieprawidłowej wysyłki. Pierwotna grzywna w wysokości 150 000 EUR została zmniejszona do 90 000 EUR w związku z natychmiastową zapłatą i przyznaniem się do winy.
Link
592HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1050 000,00 €Equifax Iberica S.L.Art. 6 (1) f) RODOHiszpański organ ochrony danych (AEPD) ukarał Equifax Iberica S.L. grzywną w wysokości 50.000 EUR za naruszenie art. 6 (1) f) RODO. Administrator danych wpisał osobę, której dane dotyczą, do rejestru dłużników bez uprzedniego poinformowania jej o tym. Osoba, której dane dotyczą, miała zaległości w zapłacie czynszu u swojego właściciela, który wcześniej wysłał jej odpowiednie wezwania do zapłaty. Sam administrator danych również wysłał do osoby, której dane dotyczą, zawiadomienia wzywające ją do spłaty zadłużenia. Nie zawierały one jednak żadnej informacji, że w przypadku braku zapłaty osoba, której dane dotyczą, zostanie wpisana do rejestru dłużników. Również umowa najmu zawarta z osobą, której dane dotyczą, nie zawierała żadnych postanowień w tym zakresie, co doprowadziło organ ochrony danych do wniosku, że administrator nie miał uzasadnionego interesu w rozumieniu RODO, a tym samym przetwarzał dane osobowe osoby, której dane dotyczą, bez podstawy prawnej.
Link
591WłochyGarante per la protezione dei dati personali (Garante)2021-02-25300 000,00 €Istituto Nazionale Previdenza Sociale (INPS)Art. 5 (1) a), c), d) RODO, Art. 25 RODO, Art. 35 RODOWłoski organ ochrony danych (Garante) nałożył na Istituto Nazionale Previdenza Sociale (INPS) grzywnę w wysokości 300 000 EUR. Włoski Krajowy Instytut Zabezpieczenia Społecznego miał za zadanie prowadzenie dochodzeń w sprawie nadużyć finansowych związanych z funduszami pomocowymi COVID-19. Po tym, jak doniesienia prasowe poruszyły problemy związane z praktykami przetwarzania danych stosowanymi przez instytut w zakresie weryfikacji wniosków polityków, włoski organ ochrony danych wszczął dochodzenie przeciwko INPS w sierpniu 2020 r. W trakcie tego dochodzenia organ ochrony danych stwierdził kilka naruszeń. Administrator zgromadził dane o dziesiątkach tysięcy polityków ze źródeł publicznych i porównał je z danymi od kandydatów. Czyniąc to, administrator nie zadbał jednak o to, aby dane były zbierane wyłącznie od tych polityków, którzy kwalifikowali się do otrzymania środków pomocowych. W ten sposób administrator naruszył zasady legalności, rzetelności i przejrzystości określone w RODO. Ponadto, administrator naruszył zasadę minimalizacji danych, inicjując kontrole zwrotów nawet w przypadku osób, których wnioski zostały odrzucone i które w związku z tym nigdy nie otrzymały płatności. Co więcej, administrator nie ocenił odpowiednio ryzyka związanego z tak wrażliwą operacją przetwarzania danych jak operacja dotycząca wniosków o świadczenia socjalne, ponieważ nie przeprowadził oceny skutków dla praw i wolności osób, których dane dotyczą.
Link
590WłochyGarante per la protezione dei dati personali (Garante)2020-12-1710 000,00 €Comune di LuinoArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODO, Art. 37 (1) a) RODO, Art. 37 (7) RODOWłoski organ ochrony danych (Garante) nałożył na gminę Luino grzywnę w wysokości 10.000 euro. Administrator opublikował dokument zawierający dane osobowe członka rady gminy. Oprócz danych osobowych dokument ten zawierał również informacje o postępowaniu w sprawie skargi złożonej na niego przez burmistrza. Ten swobodnie dostępny dokument można było pobrać bez dalszego uwierzytelniania. Ponadto gmina nie wyznaczyła inspektora ochrony danych i nie przekazała organowi ochrony danych jego danych kontaktowych.
Link
589WłochyGarante per la protezione dei dati personali (Garante)2020-12-174 000,00 €Comune di Santo Stefano BelbArt. 5 (1) a), c) RODO, Art. 6 (1) c), e) RODO, Art. 6 (2) RODO, Art. 6 (3) b) RODOWłoski organ ochrony danych (Garante) nałożył na gminę Santo Stefano Belbo grzywnę w wysokości 4.000 euro. Powodem było to, że administrator danych opublikował na swojej stronie internetowej dwa dokumenty dotyczące ugody prawnej z osobą, której dane dotyczą. Dokumenty te były nie tylko swobodnie dostępne, ale można je było również pobrać. Dokumenty te zawierały dane osobowe i informacje o osobie, której dane dotyczą, w tym - oprócz imienia i nazwiska - potwierdzenie uiszczenia kosztów sądowych, kod IBAN jej rachunku czekowego, informacje o pozwie i kwotach zapłaconych na rzecz osoby, której dane dotyczą.
Link
588HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-108 000,00 €Filigrana Comunicación S.L.U.Art. 6 (1) RODO, Art. 13 GPDR, Art. 14 RODOHiszpański organ ochrony danych (AEPD) ukarał Filigrana Comunicación S.L.U. grzywną w wysokości 8.000 EUR. Administrator prowadzi stronę internetową, na której znajdują się informacje o stażach oferowanych przez hiszpańskie Ministerstwo Edukacji i Sportu. Ponadto na stronie tej publikowane są wyniki różnych konkursów organizowanych przez ministerstwo. Administrator zebrał i opublikował dane uczestników z publicznie dostępnych źródeł bez uprzedniego uzyskania zgody osób, których dane dotyczą. Administrator nie dopełnił również swoich obowiązków informacyjnych wobec tych osób zgodnie z art. 13 RODO i art. 12 ust. 1 lit. a). 13 RODO i art. 14 RODO.
Link
587HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-1010 000,00 €Hospital Campogrande DEArt. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na Hospital Campogrande DE grzywnę w wysokości 10 000 EUR. Pacjent złożył skargę przeciwko administratorowi danych do organu ochrony danych. Administrator przeprowadził u pacjenta w dniu 05 września 2019 r. badanie MRI z powodu urazu prawego kolana. Koszt badania został pokryty z prywatnego ubezpieczenia zdrowotnego pacjenta. Ze względu na uraz związany z pracą, w dniu 27 września 2019 r. konieczne było wykonanie kolejnego badania MRI tego samego kolana. Chociaż drugi rezonans magnetyczny został wykonany w innym szpitalu, aczkolwiek należącym do grupy korporacyjnej, system szpitalny powiązał również pierwszy, prywatnie zorganizowany rezonans magnetyczny z rekordem pacjenta w drugim szpitalu. Pierwszy rezonans magnetyczny został wykonany w sieci szpitali bez żadnego uzasadnienia medycznego. Okazało się to bardzo niekorzystne dla pacjenta, gdy po przedstawieniu drugiego MRI lekarz zakładowy poinformował go, że z tą szkodą będzie musiał zwrócić się do swojego prywatnego lekarza lub do ubezpieczenia społecznego, ponieważ zdarzenie nie może być uznane za wypadek przy pracy. Uzasadnił to istnieniem pierwszego rezonansu magnetycznego, który miał przyczynę pozazawodową.
Link
586NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2021-03-10300 000,00 €VfB Stuttgart 1893 AGArt. 5 (2) RODOOrgan ochrony danych osobowych z Badenii-Wirtembergii nałożył na klub piłkarski VfB Stuttgart 1893 AG grzywnę w wysokości 300.000 euro za nieumyślne naruszenie obowiązku ochrony danych osobowych na podstawie art. 5 (2) RODO. Administrator z własnej inicjatywy wspierał działania dochodzeniowe i wyjaśniające prowadzone przez organ ochrony danych i szeroko współpracował z tym organem.
Link
585HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-0915 000,00 €Stowarzyszenie właścicieli domówArt. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie właścicieli domów grzywnę w wysokości 15.000 euro. Administrator danych publicznie umieścił w windzie budynku, w którym mieszkali uczestnicy, zapisy z zebrania właścicieli domów. Z zapisów można było uzyskać nazwiska, piętra i numery mieszkań uczestników zebrania, a także piętra i numery mieszkań sąsiadów, na których poskarżyli się uczestnicy podczas zebrania. Kontroler uzasadnił publiczne ogłoszenie faktem, że wyniki tego spotkania dotyczyły planowanych działań prawnych przeciwko niektórym mieszkańcom. Mieli oni zostać o tym poinformowani, aby nie mogli później twierdzić, że nie otrzymali odpowiednich powiadomień. Zdaniem RODO stanowi to naruszenie art. 5 (1) f) RODO, który odnosi się do zasad integralności i poufności danych osobowych.
Link
584PolskaUrząd ochrony danych osobowych (UODO)2021-01-1130 000,00 €Enea S.A.Art. 33 (1) RODOUODO ukarał Enea S.A. grzywną w wysokości 30.000 EUR za niezgłoszenie przez administratora naruszenia ochrony danych osobowych, co stanowiło naruszenie art. 33 (1) RODO. UODO otrzymał informację o naruszeniu ochrony danych osobowych od osoby, która stała się nieuprawnionym odbiorcą danych osobowych. Naruszenie polegało na przesłaniu wiadomości e-mail z niezaszyfrowanym, niezabezpieczonym hasłem załącznikiem, który zawierał dane osobowe kilkuset osób. Nadawcą wiadomości był pracownik administratora danych objętego sankcjami.
LinkKara z RODO dla ENEA S.A. - omówienie
583PolskaUrząd ochrony danych osobowych (UODO)2021-01-154 600,00 €Anwara Sp. z.o.o.Art. 31 RODO, Art. 58 (1) a) RODOPolski organ ochrony danych (UODO) ukarał firmę Anwara Sp. z.o.o. grzywną w wysokości 4.600 euro. Administrator danych nie współpracował z organem ochrony danych i nie przekazał mu wszystkich informacji niezbędnych do przeprowadzenia postępowania wyjaśniającego. Administrator dwukrotnie zignorował pisemne prośby o wyjaśnienia dotyczące procedury rozpatrywania skargi złożonej przez osobę fizyczną. Mimo że pisma zostały prawidłowo wysłane, spółka nie przedstawiła powodów, dla których tego nie zrobiła.
Link
582RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-03-04500,00 €Osoba fizyczna zajmująca stanowisko Sekretarza Generalnego partii politycznej w Bukareszcie Art. 32 (1), (2) RODO, Art. 58 (1) a), e) RODORumuński organ ochrony danych (ANSPDCP) nałożył grzywnę w wysokości 500 EUR na osobę fizyczną pełniącą funkcję sekretarza generalnego partii politycznej w Bukareszcie. Administrator opublikował na portalu społecznościowym listę dziesięciu zwolenników partii, która zawierała dane osobowe, takie jak nazwiska, podpisy, narodowość, daty urodzenia, adresy pocztowe. Organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Ponadto administrator danych nie współpracował w wystarczającym stopniu z organem ochrony danych podczas dochodzenia.
Link
581CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-03-0340 000,00 €Urząd ds. Energii Elektrycznej CypruArt. 6 (1) RODO, Art. 9 (2) RODOCypryjski organ ochrony danych nałożył na Urząd ds. Energii Elektrycznej Cypru grzywnę w wysokości 40.000 EUR. Administrator danych wykorzystywał zautomatyzowany system oparty na tzw. Brad-Factor do zarządzania, monitorowania i kontrolowania nieobecności pracowników z powodu choroby przy użyciu oceny narzędziowej. Organ ochrony danych stwierdził, że taki mechanizm oceny nie był objęty cypryjskim prawem pracy, a zatem został zastosowany niezgodnie z prawem. Ponadto należało zapewnić osobom, których dane dotyczą, możliwość niewyrażenia zgody na takie zautomatyzowane przetwarzanie ich danych osobowych.
Link
580CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-03-036 000,00 €KEPIDES (firma z branży nieruchomości)Art. 32 (4)Cypryjski organ ochrony danych nałożył na KEPIDES (spółkę zajmującą się obrotem nieruchomościami) grzywnę w wysokości 6.000 EUR. Administrator danych przedłożył komisji parlamentarnej listę nabywców zarządzanych przez siebie nieruchomości. Nie dokonał on jednak anonimizacji listy, w wyniku czego przekazane zostały nazwiska osób, których dane dotyczą.
Link
579CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-03-0310 000,00 €Cypryjski urząd ds. rejestracji nieruchomościArt. 12 RODO, Art. 15 RODO, Art. 31 RODO, Art. 58 (1) e) RODOCypryjski organ ochrony danych nałożył na cypryjski urząd rejestracji nieruchomości grzywnę w wysokości 10 000 EUR. Osoba, której dane dotyczą, złożyła pisemny wniosek do administratora danych, żądając różnych informacji dotyczących jej osobiście, korzystając z prawa dostępu przyznanego jej na mocy art. 15 RODO. Po tym jak administrator danych nie odpowiedział na wniosek o udzielenie informacji, osoba, której dane dotyczą, złożyła skargę do organu ochrony danych. W trakcie późniejszego dochodzenia prowadzonego przez IOD administrator nie odpowiedział również na prośby IOD o ustosunkowanie się do zarzutów.
Link
578CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2021-03-0325 000,00 €Hellenic BankArt. 5 (1) e), f) RODO, Art. 32 (1) b), c) RODO, Art. 33 (1) RODOCypryjski organ ochrony danych nałożył na Hellenic Bank grzywnę w wysokości 25 tys. euro. Bank ten w 2015 r. zamknął jeden ze swoich oddziałów w mieście Nikozja. Podczas wyprowadzki z pomieszczenia zapomniano o sejfie zawierającym stare dokumenty wciąż obecnych klientów, zainstalowanym w jednej ze ścian. Ponieważ w kolejnych latach budynek stał pusty, kontroler dowiedział się o tym incydencie dopiero wtedy, gdy nieruchomość została ponownie wynajęta po raz pierwszy w 2019 roku. Nowy najemca odnalazł sejf i poinformował o tym kontrolera. Pracownicy banku odzyskali wówczas dokumenty i zgłosili naruszenie ochrony danych do cypryjskiego organu ochrony danych. Organ ochrony danych ostatecznie stwierdził, że administrator danych naruszył art. 5 (1) e), f) RODO, Art. 32 (1) b), c) RODO oraz art. 33 (1) RODO.
Link
577HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-02200 000,00 €I-DE Redes Eléctricas Inteligentes, S.A.UArt. 5 (1) b), c) RODO, Art. 6 (1) b) RODOHiszpański organ ochrony danych (AEPD) nałożył na I-DE Redes Eléctricas Inteligentes, S.A.U. grzywnę w wysokości 200 000 EUR. Organ ochrony danych otrzymał skargi od Waitum, S.L. i Servicios Aby 2018, S.L., ponieważ ich klienci otrzymali pisma od administratora danych. Obie firmy przekazały wcześniej dane osobowe swoich klientów administratorowi na podstawie umowy o dostępie do sieci zawartej z administratorem. Na mocy tej umowy obie spółki działały jako przedstawiciele swoich klientów, którym administrator dostarczał energię elektryczną. W przesłanych pismach administrator wspomniał między innymi o domniemanych naruszeniach umowy i braku płatności ze strony przedsiębiorstw na rzecz administratora. W toku postępowania wyjaśniającego organ ochrony danych ustalił, że wysłanie tych pism nie było ani związane, ani konieczne do wykonania odpowiedniej umowy. Administrator naruszył zatem zasady ograniczenia celu i minimalizacji danych, a zatem wysłanie tych pism stanowiło niezgodne z prawem przetwarzanie danych osobowych klientów.
Link
576LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2021-03-0215 000,00 €Registrų Centras (Państwowe Centrum Rejestrów Przedsiębiorstw)Art. 32 (1) b), c) RODOLitewski organ ochrony danych (VDAI) nałożył na Registrų Centras grzywnę w wysokości 15 000 EUR. Administrator danych jest spółką, która zarządza kilkoma litewskimi rejestrami. Doszło do naruszenia danych, które dotknęło 22 z tych rejestrów. W trakcie dochodzenia, organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych osobowych. Środki wdrożone przez administratora były wyraźnie niewystarczające do zapewnienia ciągłej integralności, dostępności i odporności danych, ani do przywrócenia dostępności danych po incydentach.
Link
575NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia-Anhalt2021-03-03200,00 €Osoba fizycznaArt. 5 RODO, Art. 32 RODOOrgan ochrony danych w Saksonii-Anhalt nałożył na osobę fizyczną grzywnę w wysokości 200 EUR. Administrator robił zdjęcia pojazdów, a w niektórych przypadkach także ich kierowców, i przesyłał je w niezaszyfrowanej formie pocztą elektroniczną do miasta Magedburg w ramach zgłoszeń naruszeń przepisów ruchu drogowego.
Link
574HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-03-029 000,00 €NieznanyArt. 6 RODO, Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na operatora strony internetowej grzywnę w wysokości 9.000 euro. Administrator opublikował na swojej stronie internetowej zdjęcia osoby, której dane dotyczą, bez zgody tej osoby. Ponadto, przedmiotowa strona internetowa nie zawierała oświadczenia o ochronie prywatności. Grzywna składa się z następujących elementów: 5.000 EUR za naruszenie art. 6 RODO oraz 4.000 EUR za naruszenie art. 13 RODO.
Link
573NorwegiaDatatilsynet2021-03-0224 400,00 €Nieznany Art. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał firmę grzywną w wysokości 250.000 NOK (24.400 EUR). Administrator danych nakazał pracownikowi skonfigurowanie automatycznego przekierowania jego pracowniczego konta e-mail na wspólne konto firmowe. Jako powód podano chęć usprawnienia działalności przedsiębiorstwa. Inspektor ochrony danych stwierdził, że administrator nie miał podstawy prawnej, aby nakazać takie automatyczne przekierowanie. W związku z tym działał on niezgodnie z prawem.
Link
572LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2021-02-263 000,00 € IT sprendimai sėkmeiArt. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODOLitewski organ ochrony danych (VDAI) nałożył grzywnę w wysokości 3 000 EUR na spółkę "IT sprendimai sėkmei". Organ ochrony danych wszczął dochodzenie w sprawie aplikacji do kwarantanny wprowadzonej na Litwie w czasie pandemii COVID-19 wiosną 2020 r. Administrator opracował aplikację, która była następnie wykorzystywana przez krajowy organ ochrony danych. Administrator opracował tę aplikację, która następnie była wykorzystywana przez litewską krajową służbę zdrowia. W trakcie dochodzenia organ ochrony danych ustalił, że w okresie użytkowania aplikacji dane łącznie 677 osób fizycznych były w różnym stopniu przetwarzane. Aplikacja była w stanie gromadzić dane takie jak nazwisko, adres i numer telefonu osób, których dane dotyczą. Inspektor ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne, w szczególności ze względu na fakt, że aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Organ ochrony danych stwierdził ponadto, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji.
Link
571LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2021-02-2612 000,00 €Nacionaliniam visuomenės sveikatos centrui (NVSC) (Narodowe Centrum Zdrowia Publicznego podległe Ministerstwu Zdrowia)Art. 5 (1), (2) RODO, Art. 13 RODO, Art. 24 RODO, Art. 32 RODO, Art. 35 RODO, Art. 58 (2) f) RODOLitewski organ ochrony danych (VDAI) nałożył grzywnę w wysokości 12 000 EUR na Litewską Narodową Służbę Zdrowia (NVSC). Organ ochrony danych wszczął dochodzenie w sprawie aplikacji do kwarantanny wprowadzonej na Litwie podczas pandemii COVID-19 wiosną 2020 r. Spółka informatyczna "IT sprendimai sėkmei" opracowała aplikację, która była następnie wykorzystywana przez NVSC. W trakcie dochodzenia organ ochrony danych ustalił, że w okresie korzystania z aplikacji dane łącznie 677 osób fizycznych były w różnym stopniu przetwarzane. Aplikacja była w stanie gromadzić takie dane, jak nazwisko, adres i numer telefonu osób, których dane dotyczą. Inspektor ochrony danych stwierdził, że administrator nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony przetwarzania danych. Ponadto nie przeprowadzono oceny skutków w zakresie ochrony danych, chociaż byłoby to konieczne, w szczególności ze względu na fakt, że aplikacja przetwarzała również szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia. Organ ochrony danych stwierdził ponadto, że administrator podał nieprzejrzyste i nieprawidłowe informacje w polityce prywatności aplikacji.
Link
570IrlandiaData Protection Commission (DPC)2020-08-1285 000,00 €Tusla Child and Family AgencyArt. 32 (1) RODOIrlandzki organ ochrony danych (DPC) ukarał Tusla Child and Family Agency grzywną w wysokości 85 000 euro. Administrator zgłosił do irlandzkiego organu ochrony danych 71 naruszeń ochrony danych, które miały miejsce w okresie od 25 maja do 16 listopada 2018 r. i dotyczyły nieuprawnionego dostępu do danych osobowych przetwarzanych przez administratora. Po przeprowadzeniu szerokiego dochodzenia, organ ochrony danych stwierdził, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych, a tym samym naruszył art. 32 ust. 1 RODO.
Link
569WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-1022 200,00 €Budapesti Műszaki és Gazdaságtudományi Egyetem (Uniwersytet Techniczno-Ekonomiczny w Budapeszcie)Art. 5 (1) a), b), c) RODO, Art. 6 (1) RODO, Art. 9 (2) RODO, Art. 12 RODO, Art. 13 RODOWęgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 22 200 euro na Uniwersytet Technologii i Ekonomii w Budapeszcie. NAIH stwierdził, że administrator danych przetwarzał dane osobowe niezgodnie z prawem w trakcie kontroli wniosków o stypendia socjalne. Między innymi dane były przetwarzane bez podstawy prawnej, a w niektórych przypadkach przetwarzane były dane szczególnie wrażliwe, chociaż nie było to konieczne do oceny wniosków o stypendia.
Link
568WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-1697 150,00 €NieznanyArt. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 9 (1) RODO, Art. 12 RODOWęgierski organ ochrony danych (NAIH) nałożył na instytucję kredytową grzywnę w wysokości 97 150 EUR. Dwoje rodziców skontaktowało się z węgierskim organem ochrony danych w związku z przetwarzaniem przez ich instytucję kredytową danych osobowych dotyczących "pożyczki motywacyjnej z tytułu urodzenia dziecka". Para zwróciła się o zawieszenie spłaty, w związku z czym musiała udowodnić, że płód ma co najmniej 12 tygodni. Aby poświadczyć ten fakt, kontroler skopiował całą ich książeczkę ciąży. NAIH uznał, że administrator naruszył zasadę minimalizacji danych, kopiując całą książeczkę ciąży, która zawierała nadmierną ilość danych dotyczących zdrowia, mimo że nie było to konieczne ze względu na cel przetwarzania. Z tego powodu NAIH ostatecznie stwierdził, że administrator nie miał podstawy prawnej do tak szerokiego przetwarzania danych.Link
567HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-2412 000,00 € Avilon Center 2016 S.L.Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDDHiszpański organ ochrony danych (AEPD) nałożył na Avilon Center 2016 S.L. grzywnę w wysokości 20.000 EUR. Osoba, której dane dotyczyły, otrzymywała od administratora telefony reklamowe, mimo że osoba ta była wpisana na listę osób wykluczonych z reklamy Robinsona. Pierwotna grzywna w wysokości 20.000 EUR została obniżona do 12.000 EUR dzięki natychmiastowej płatności i uznaniu długu.Link
566ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2021-02-22NieznanaFirma ochroniarska (nazwa w tej chwili niedostępna)Art. 32 (1) b), d) RODO, Art. 32 (2), (4) RODOAdministrator danych korzystający z usług firmy ochroniarskiej zgłosił do organu ochrony danych osobowych naruszenie danych osobowych, które nastąpiło po tym, jak pracownik firmy ochroniarskiej nagrał telefonem materiał z monitoringu i udostępnił go osobie trzeciej. Nagranie to zostało ostatecznie udostępnione na portalach społecznościowych i w mediach. Urząd ochrony danych ustalił, że firma ochroniarska jako podmiot przetwarzający dane umożliwiła naruszenie, nie utrzymując odpowiednich i wystarczających środków technicznych i organizacyjnych w zakresie bezpieczeństwa danych osobowych przez ponad dwa i pół roku. Ponadto podmiot przetwarzający nie przewidział ani nie wdrożył odpowiednich technicznych środków bezpieczeństwa po incydencie, aby zapobiec ryzyku lub je zminimalizować. Jedna osoba, której dane dotyczą, została w konsekwencji narażona na obelgi i ośmieszenie w oczach opinii publicznej, a firma ochroniarska nie podjęła żadnych działań w celu usunięcia nagrania z sieci społecznościowych i mediów. Wysokość grzywny nie jest na razie znana, ale organ ochrony danych wyjaśnił, jakie okoliczności obciążające wziął pod uwagę przy ustalaniu wysokości grzywny - (i) fakt, że podmiot przetwarzający nie dopełnił obowiązku poinformowania administratora o incydencie zgodnie z wymogami art. 33 ust. 2 RODO oraz (ii) fakt, że podstawową działalnością firmy jest zapewnianie ochrony fizycznej i technicznej, która obejmuje stosowanie monitoringu wizyjnego. DPA zauważył również, że ukarana grzywną firma ochroniarska jest jedną z wiodących firm w Chorwacji w tej działalności i jako taka powinna być właściwym podmiotem w zakresie dostarczania opinii, wytycznych, porad i proponowania rozwiązań dla kontrolerów w zakresie korzystania z systemu monitoringu wizyjnego oraz dawać przykład swojej pracy i zwracać na nią większą uwagę niż inni.
Link
565HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-121 600,00 €Ripobruna 207, S.L.Art. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) nałożył na Ripobruna 207, S.L. (restauracja) grzywnę w wysokości 2.000 EUR za nieuprawnione użycie dwóch kamer monitoringu, które nagrywały również część przestrzeni publicznej bez żadnego uzasadnionego powodu. Pierwotna grzywna w wysokości 2.000 EUR została obniżona do 1.600 EUR w celu natychmiastowej zapłaty.
Link
564PolskaUrząd ochrony danych osobowych (UODO)2021-02-1122 200,00 €Krajowa Szkoła Sądownictwa i ProkuraturyArt. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 28 (3) RODO, Art. 32 (1), (2) RODOUODO nałożył na Krajową Szkołę Sądownictwa i Prokuratury grzywnę w wysokości 22 200 euro. UODO wszczął dochodzenie przeciwko administratorowi danych po tym, jak zgłosił on naruszenie ochrony danych na swojej stronie internetowej platformy szkoleniowej. Podczas testowej migracji na nową platformę dane ponad 50 000 osób zostały ujawnione w Internecie. Były to m.in. imiona i nazwiska, nazwy użytkowników, adresy pocztowe i e-mailowe, numery telefonów, jednostki i działy osób, których dane dotyczyły. UODO stwierdził, że administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, aby zapewnić poufność przetwarzanych danych. Ponadto umowa, jaką administrator zawarł z firmą, której powierzono przetwarzanie danych, nie spełniała wymogów prawnych. Na przykład, umowa nie zawierała informacji o tym, jakie kategorie danych będą przetwarzane.
Link
563WłochyGarante per la protezione dei dati personali (Garante)2021-01-1418 000,00 €Azienda Usl di BolognaArt. 5 (1) f) GDRP, Art. 9 RODOWłoski organ ochrony danych (Garante) ukarał Azienda Usl di Bologna grzywną w wysokości 18 000 EUR. W szpitalu prowadzonym przez administratora 49 pacjentów na oddziale onkologicznym otrzymało listy wypisowe zawierające szczegółowe informacje o terapii farmakologicznej, które pochodziły od innych pacjentów. Czternastu z tych pacjentów miało już dostęp do tej nieprawidłowej dokumentacji, zanim została ona skorygowana. Awaria nastąpiła w wyniku ręcznego błędu technika.
Link
562WłochyGarante per la protezione dei dati personali (Garante)2021-01-142 000,00 €Poliambulatorio Talenti S.r.l.Art. 12 (3) RODO, Art. 15 RODOWłoski organ ochrony danych (Garante) ukarał spółkę Poliambulatorio Talenti S.r.l. grzywną w wysokości 2 000 EUR za brak terminowej odpowiedzi na wniosek osoby, której dane dotyczą, o dostęp do danych jej i jej córki.
Link
561WłochyGarante per la protezione dei dati personali (Garante)2021-01-2750 000,00 €Azienda Ospedaliero Universitaria di ParmaArt. 5 (1) f) GDRP, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda Ospedaliero Universitaria di Parma grzywnę w wysokości 50 000 EUR. Administrator danych, szpital, zgłosił włoskiemu organowi ochrony danych dwa przypadki naruszenia ochrony danych, w których dane pacjentów zostały omyłkowo ujawnione osobom trzecim. W pierwszym przypadku rodzice znaleźli w aktach swojego małoletniego dziecka raport z badania mikrobiologicznego innego pacjenta. Raport ten ujawniał nazwisko, numer identyfikacji podatkowej, adres, datę urodzenia i różne dane dotyczące zdrowia osoby, której dane dotyczą. W drugim przypadku spadkobierca pacjenta otrzymał kartę zdrowia innego pacjenta, która zawierała imię i nazwisko oraz datę urodzenia, a także dane dotyczące stanu zdrowia osoby, której dane dotyczą.
Link
560WłochyGarante per la protezione dei dati personali (Garante)2021-01-2750 000,00 €Azienda Ospedaliero Universitaria SeneseArt. 5 (1) f) GDRP, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda Ospedaliero Universitaria Senese grzywnę w wysokości 50 000 EUR. Administrator danych, szpital, zgłosił włoskiemu organowi ochrony danych, że raport medyczny pewnej pary został omyłkowo wysłany do niezaangażowanej osoby trzeciej. Raport zawierał informacje na temat konsultacji genetycznej oraz stanu zdrowia i życia seksualnego osób, których dane dotyczą. Zgodnie z oświadczeniem administratora danych incydent nastąpił z powodu błędu w pakowaniu listu.
Link
559WłochyGarante per la protezione dei dati personali (Garante)2021-01-2750 000,00 €Azienda USL della RomagnaArt. 5 (1) a), d), f) RODO, Art. 9 RODO, Art. 32 (1) b) RODOWłoski organ ochrony danych (Garante) nałożył na Azienda USL della Romagna grzywnę w wysokości 50.000 EUR. Pacjentka po przybyciu na oddział ginekologiczny szpitala prowadzonego przez administratora (w celu dokonania aborcji) wyraźnie poprosiła administratora, aby nie udostępniał jej danych zdrowotnych osobom trzecim. Osobno zostawiła numer telefonu, aby można było się z nią skontaktować. Po wypisaniu pacjentki pielęgniarka próbowała się z nią skontaktować, aby poinformować ją o dalszym leczeniu. Pielęgniarka nie skorzystała jednak z podanego przez pacjentkę specjalnie w tym celu numeru telefonu, lecz z jej domowego numeru telefonu, który mogła uzyskać z kartoteki pacjenta. Kiedy jej mąż odebrał telefon zamiast pacjentki, pielęgniarka poinformowała go o jej leczeniu, wbrew prośbie pacjentki. Pomimo braku dalszych informacji medycznych, z rozmowy jasno wynikało, że osoba, której dane dotyczą, została przyjęta na ten oddział i ma być poddana dalszej terapii.
Link
558WłochyGarante per la protezione dei dati personali (Garante)2021-01-1430 000,00 €Azienda sanitaria provinciale di EnnaArt. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda sanitaria provinciale di Enna grzywnę w wysokości 30.000 euro. Administrator przetwarzał dane biometryczne pracowników w celu rejestrowania ich obecności. Garante stwierdziła, że takie przetwarzanie nie było proporcjonalne i w związku z tym stanowiło nieuzasadnione naruszenie praw osób, których dane dotyczą. Następnie Garante ustaliła, że przetwarzanie danych biometrycznych odbywało się bez podstawy prawnej.
Link
557HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-161 000,00 €The Washpoint S.L.Art. 13 RODOHiszpański organ ochrony danych (AEPD) nałożył na The Washpoint S.L. karę pieniężną w wysokości 1.000 EUR za brak polityki prywatności na stronie internetowej, co stanowi naruszenie art. 13 RODO.
Link
556WłochyGarante per la protezione dei dati personali (Garante)2021-01-148 000,00 €Agenzia regionale protezione ambientale Campania (ARPAC)Art. 5 (1) f) RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył grzywnę w wysokości 8 000 EUR na Regionalną Agencję Ochrony Środowiska Kampanii (ARPAC). Zewnętrzny dysk twardy zawierający dane osobowe został skradziony administratorowi danych. Zawierał on m.in. kopie dokumentów tożsamości, rejestry podatkowe i rejestry płac. W trakcie dochodzenia organ ochrony danych odkrył, że dysk twardy znajdował się w pomieszczeniu, do którego dostęp mieli wszyscy pracownicy administratora danych. Ponadto administrator nie utworzył kopii zapasowej danych, których dotyczyło naruszenie, w związku z czym zostały one nieodwracalnie utracone. W związku z powyższym, organ ochrony danych stwierdził, że administrator naruszył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych.
Link
555NiderlandyAutoriteit Persoonsgegevens (AP)2021-02-11440 000,00 € OLVGArt. 32 RODONiderlandzki organ ochrony danych (AP) nałożył na amsterdamski szpital OLVG grzywnę w wysokości 440 tys. euro. Administrator danych podjął niewystarczające środki w latach 2018-2020, aby zapobiec dostępowi nieuprawnionych pracowników do dokumentacji medycznej. Administrator nie sprawdził odpowiednio, kto miał dostęp do jakiej kartoteki, ani nie zapewnił, że system komputerowy prezentował wystarczające bezpieczeństwo. Skutkowało to m.in. tym, że pracujący studenci i inni pracownicy mogli uzyskać dostęp do akt pacjentów bez konieczności wykonywania przez nich pracy. Oprócz dokumentacji medycznej, akta pacjentów zawierały również numery ubezpieczenia społecznego, adresy i numery telefonów osób, których dane dotyczą.
Link


Link
554HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-12120 000,00 €Vodafone España, SAUArt. 5 RODO, Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Vodafone España, S.A.U. grzywnę w wysokości 200.000 euro. Były klient otrzymywał e-maile zawierające elektroniczne rachunki nawet po tym, jak rozwiązał umowę z administratorem, co prowadziło do przetwarzania danych osobowych bez wystarczającej podstawy prawnej. Osoba, której dane dotyczą, twierdzi, że nadal otrzymuje e-maile od administratora danych, mimo że już kilkakrotnie się temu sprzeciwiała, a administrator danych już dwukrotnie otrzymał grzywnę za dokładnie te same okoliczności. Grzywna nałożona tym razem jest tak wysoka, ponieważ naruszenie zostało zakwalifikowane przez hiszpański organ ochrony danych jako bardzo poważne. Między innymi dlatego, że było to już trzecie naruszenie w tej sprawie. Pierwotna grzywna w wysokości 200 000 EUR została obniżona do 120 000 EUR w związku z natychmiastową płatnością i uznaniem długu.
Link
553ŁotwaDatu Valsts Inspekcija (DVI)2021-02-0965 000,00 €Lursoft IT SIAArt. 6 (1) RODOŁotewski organ ochrony danych (DSI) ukarał Lursoft IT SIA grzywną w wysokości 65 000 EUR za nielegalne przetwarzanie danych osobowych poprzez publikowanie dokumentów zawierających dane osobowe na swojej stronie internetowej "www.lursoft.lv". Organ ochrony danych stwierdził, że administrator udostępnił publicznie części niepublicznego rejestru firmy, które zawierały m.in. dane osobowe.
Link
552IrlandiaData Protection Commission (DPC)2020-12-1770 000,00 €University College DublinArt. 5 (1) e), f) RODO, Art. 32 (1) RODO, Art. 33 (1) RODOIrlandzki organ ochrony danych (DPC) nałożył na University College Dublin (UCD) grzywnę w wysokości 70 000 EUR w związku z siedmioma przypadkami naruszenia danych osobowych. Nieupoważnione osoby trzecie mogły uzyskać dostęp do kont poczty elektronicznej UCD, a dane uwierzytelniające do kont poczty elektronicznej UCD zostały umieszczone w Internecie. Stwierdzono, że administrator danych nie podjął odpowiednich środków technicznych i organizacyjnych w celu ochrony bezpieczeństwa danych podczas przetwarzania danych osobowych w ramach swojej usługi poczty elektronicznej. Ponadto administrator przechowywał niektóre dane osobowe na koncie poczty elektronicznej w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres dłuższy niż wymagany do celów, w których dane te były przetwarzane. Administrator nie powiadomił również w odpowiednim czasie DPC o naruszeniu ochrony danych osobowych.
Link
551PolskaUrząd ochrony danych osobowych (UODO)2021-01-0519 000,00 €NieznanyArt. 34 (1), (2) RODO, Art. 58 (2) e) RODOUODO nałożył karę pieniężną w wysokości 19.000 euro na podmiot prowadzący szpital. Były pracownik bezprawnie skopiował z sieci komputerowej szpitala dane osobowe 100 pacjentów. Dane, które wyciekły, obejmowały numer ubezpieczenia społecznego, imię i nazwisko, datę urodzenia, adres i numer telefonu osób, których dane dotyczyły. Mimo że administrator uznał, że potencjalne ryzyko dla osób, których dane dotyczą, jest wysokie, nie poinformował ich o tym incydencie. Następnie organ ochrony danych zwrócił się do administratora o niezwłoczne poinformowanie osób, których dane dotyczą, o incydencie i udzielenie im porady, jak zminimalizować potencjalne negatywne skutki naruszenia. Administrator nie zastosował się jednak do tego żądania.
Link
550RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2021-02-101 000,00 €ING Bank N.V. Amsterdam - Bucharest officeArt. 29 RODO, Art. 32 (2), (4) RODORumuński organ ochrony danych (ANSPDCP) nałożył na ING Bank N.V. Amsterdam - Bucharest Branch grzywnę w wysokości 1 000 EUR. Stwierdzono, że administrator danych przesłał pliki do partnera umownego w celu wystawienia polis ubezpieczeniowych. Przesłane pliki zawierały nieaktualne informacje, ponieważ pracownicy działu monitorowania polis ubezpieczeniowych nie sprawdzili i nie przetworzyli polis ubezpieczeniowych zgodnie z procesem pracy, co dotyczyło 270 osób. Biorąc pod uwagę te aspekty, stwierdzono, że środki techniczne i organizacyjne podjęte przez administratora były niewystarczające, co doprowadziło do naruszenia poufności danych osobowych.
Link
549HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-1124 000,00 € Vamavi Phone S.L.Art. 48 (1) b) LGT, Art. 21 RODO, Art. 23 LOPDGDD, Art. 28 RODOHiszpański organ ochrony danych (AEPD) nałożył na Vamavi Phone S.L. grzywnę w wysokości 40.000 EUR. Osoba, której dane dotyczą, otrzymała od administratora połączenie reklamowe wykonane w imieniu Vodafone España, S.A.U., mimo że osoba, której dane dotyczą, była wpisana na listę osób wykluczonych z reklam Robinsona. Pierwotna grzywna w wysokości 40 000 EUR została obniżona do 24 000 EUR w związku z natychmiastową zapłatą i uznaniem długu.
Link
548HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-095 000,00 €Predase Servicios Integrales S.L.Art. 13 RODOStrona internetowa spółki nie prezentowała na swojej głównej stronie polityki prywatności, ani nie zawierała informacji wymaganych przez art. 13 RODO.Link
547HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-085 000,00 €Osoba fizycznaArt. 5 (1) c) RODOHiszpański organ ochrony danych (AEPD) ukarał osobę fizyczną grzywną w wysokości 5 000 EUR za nielegalny nadzór za pomocą kamer. Osoba, której dane dotyczą, wynajmowała dwa pokoje w mieszkaniu administratora danych. Administrator zainstalował w mieszkaniu kamerę wideo i oświadczył, że została ona zainstalowana wyłącznie w celach bezpieczeństwa, a ponadto monitorowała jedynie obszar przy drzwiach wejściowych. Okazało się jednak, że kamera była skierowana w taki sposób, że rejestrowała również inne części mieszkania, takie jak salon. Hiszpański organ ochrony danych stwierdza, że stanowi to nieuzasadnione naruszenie prywatności osoby, której dane dotyczą.
Link
546HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-083 000,00 €Patio Ancestral S.L.Art. 6 RODOHiszpański organ ochrony danych (AEPD) nałożył na Patio Ancestral S.L. grzywnę w wysokości 5.000 EUR. Skarżący pracował w firmie budowlanej i wykonał pewne prace remontowe dla kontrolera. W trakcie tych prac doszło do uszkodzenia nieruchomości kontrolera. Kontroler wysłał pismo z roszczeniami odszkodowawczymi nie tylko do skarżącego, ale również do ojca skarżącego, który wcześniej był zatrudniony w tej samej firmie budowlanej. Ojciec był jednak w tej sprawie niezaangażowaną stroną trzecią. Hiszpański organ ochrony danych stwierdził, że przetwarzanie danych osobowych ojca z tego powodu odbywało się bez podstawy prawnej. Pierwotna grzywna została zmniejszona do 3 000 EUR w związku z natychmiastową płatnością i uznaniem długu.
Link
545HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-042 000,00 €Osoba fizycznaArt. 5 (1) c) RODONieuprawnione użycie dwóch kamer monitoringu wizyjnego, które rejestrowały również fragmenty przestrzeni publicznej, takie jak chodniki i posesje znajdujące się za nimi.
Link
544HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-03100 000,00 €Iberdrola ClientesArt. 5 (1) d) RODO, Art. 17 RODOHiszpański organ ochrony danych (AEPD) nałożył na Iberdrola Clientes, SAU grzywnę w wysokości 100 000 EUR. Osoba, której dane dotyczą, rozwiązała istniejącą umowę z administratorem danych z powodu przeprowadzki i w związku z tym zażądała usunięcia swoich danych. Wniosek ten został odrzucony przez administratora danych w związku z nieuregulowanymi fakturami. Okazało się, że administrator wysłał rachunki na stary adres osoby, której dane dotyczą. Nawet po tym, jak osoba, której dane dotyczą, poinformowała administratora o zmianie adresu, nowe zawiadomienia dotyczące wniosku o usunięcie danych i faktur były wysyłane na stary adres.
Link
543WłochyGarante per la protezione dei dati personali (Garante)2020-11-263 000,00 €Charly Mike s.r.l.Art. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na Charly Mike s.r.l. grzywnę w wysokości 3.000 EUR. Administrator danych jest zarządcą hotelu Olimpo w Alberobello. Do Garante wpłynęła skarga dotycząca systemu nadzoru wideo zainstalowanego w hotelu. W trakcie postępowania wyjaśniającego ustalono, że w obiekcie hotelowym było 17 kamer stałych i jedna z nagrywaniem 360°, umieszczonych wewnątrz i na zewnątrz obiektu, rejestrujących zarówno pracowników, jak i klientów. System działał bez wymaganych znaków informujących o monitoringu wizyjnym.
Link
542HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-013 000,00 € IDFINANCE Spain, S.L.Art. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na IDFINANCE Spain S.L. grzywnę w wysokości 5 000 EUR. Pewna osoba otrzymała od IDFinance e-mail windykacyjny, który zawierał link do zapłaty faktury bezpośrednio przez stronę internetową administratora. Za pośrednictwem tego linku osoba ta mogła uzyskać dostęp do danych osobowych innego klienta. Pierwotna grzywna w wysokości 5 000 EUR została zmniejszona do 3 000 EUR ze względu na natychmiastową zapłatę i uznanie długu.
Link
541HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-02-0124 000,00 €Xfera Moviles S.A.Art. 58 (2) RODOHiszpański organ ochrony danych (AEPD) nałożył na Xfera Móviles S.A. grzywnę w wysokości 40.000 EUR. Osoba, której dane dotyczą, wniosła do AEPD skargę na naruszenie jej prawa do informacji. Następnie AEPD wystosował do administratora danych wezwanie do spełnienia w terminie 10 dni żądania osoby, której dane dotyczą, o udzielenie informacji oraz do udowodnienia tego faktu AEPD. Administrator nie zastosował się jednak do tego żądania w wyznaczonym terminie. Pierwotna grzywna w wysokości 40 000 EUR została zmniejszona do 24 000 EUR ze względu na natychmiastową płatność i uznanie długu przez administratora.
Link
540NorwegiaDatatilsynet2021-02-0319 300,00 €Cyberbook ASArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Cyberbook AS grzywną w wysokości 200 000 NOK (19 300 EUR) za nielegalne automatyczne przekazywanie wiadomości e-mail od byłego pracownika. Przekazywanie wiadomości odbywało się przez kilka miesięcy bez informowania o tym osoby, której dane dotyczą.
Link
539WłochyGarante per la protezione dei dati personali (Garante)2020-12-17100 000,00 €Azienda Unità Sanitaria Locale Toscana Sud EstArt. 5 (1) f) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 RODO, Art. 30 RODO, Art. 32 RODO, Art. 35 RODOWłoski organ ochrony danych (Garante) nałożył na Azienda USL Toscana Sud Est grzywnę w wysokości 100.000 euro. Administrator danych jest spółką działającą w sektorze opieki zdrowotnej, która m.in. uruchomiła tzw. program "Sanità di iniziativa" (Inicjatywa na rzecz zdrowia). W ramach tego programu uczestniczące w nim zakłady opieki zdrowotnej przekazują administratorowi danych dane dotyczące przewlekle chorych pacjentów. Na podstawie tych danych kontroler opracowuje następnie plany zdrowotne dla pacjentów. Włoski organ ochrony danych zauważa kilka naruszeń przepisów o ochronie danych związanych z tym programem. Na przykład, wyrażając zgodę na przetwarzanie swoich danych, osoby, których dane dotyczą, nie zostały odpowiednio poinformowane o tym, jak długo ich dane będą przechowywane, jakie prawa im przysługują (w szczególności prawo do skargi i dostępu) oraz jak dokładnie ich dane będą przetwarzane i w jakim celu. Ponadto administrator nie prowadził rejestru czynności przetwarzania. Wreszcie, administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania danych ani nie przeprowadził oceny skutków w zakresie ochrony danych, choć byłoby to konieczne ze względu na charakter przetwarzanych danych (dane dotyczące zdrowia).
Link
538PolskaUrząd ochrony danych osobowych (UODO)2020-12-092 850,00 €Smart Cities Sp. z o.o.Art. 31 RODO, Art. 58 RODOGrzywna za niewykonanie nakazu polskiego organu ochrony danych (UODO). Administrator nie przekazał danych osobowych i innych informacji, o które UODO zwrócił się do niego w celach dochodzeniowych.Link
537BelgiaGegevensbeschermingsautoriteit (GBA)2021-01-2750 000,00 €Family Service / N.D.P.K. nv.Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODO, Art. 28 RODOBelgijski organ ochrony danych nałożył na Family Service / N.D.P.K. nv. grzywnę w wysokości 50.000 euro. Administrator jest agencją reklamową, która m.in. wysyła przyszłym matkom pudełka upominkowe zawierające różne bony rabatowe, próbki produktów oraz informacje na temat ciąży i porodu. Pudełka te są dostarczane przez osoby trzecie, którym administrator przekazuje następnie dane kontaktowe odbiorców w celach marketingowych. W tym celu administrator z wyprzedzeniem uzyskuje zgodę odbiorców na takie przekazanie danych oraz na późniejsze działania reklamowe osób trzecich. Osoba, której dane dotyczą, złożyła skargę do belgijskiego organu ochrony danych, ponieważ pomimo cofnięcia uprzednio udzielonej zgody nadal otrzymywała telefony reklamowe od osób trzecich, którym administrator przekazał jej dane.Link
536FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-01-2775 000,00 €NieznanyArt. 32 RODOFrancuski organ ochrony danych osobowych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 EUR i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom typu "credential stuffing" na stronę internetową firmy. W okresie od czerwca 2018 r. do stycznia 2020 r. do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której kilka milionów klientów regularnie dokonuje zakupów. W odpowiedzi CNIL postanowił przeprowadzić dochodzenie w sprawie przedsiębiorstwa i jego podwykonawcy, któremu powierzono zarządzanie tą stroną internetową. W trakcie dochodzenia CNIL ustalił, że przedmiotowa strona internetowa była przedmiotem licznych fal ataków typu "credential stuffing". W tego typu atakach złośliwa osoba uzyskuje listy "niezaszyfrowanych" identyfikatorów i haseł opublikowane w Internecie, zazwyczaj po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, atakujący użyje "botów", aby spróbować zalogować się do dużej liczby stron internetowych. Jeśli uwierzytelnienie się powiedzie, pozwoli to atakującemu na wgląd w informacje związane z tymi kontami. CNIL ustaliła, że atakujący byli w stanie uzyskać następujące informacje: Nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer ich karty lojalnościowej i saldo, oraz informacje związane z ich zamówieniami. CNIL uważa, że obie firmy naruszyły swój obowiązek utrzymania bezpieczeństwa danych osobowych klientów na mocy art. 32 RODO. W rzeczywistości przedsiębiorstwa podejmowały powolne działania w celu skutecznego zwalczania tych powtarzających się ataków. Postanowiły one skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Opracowanie tego narzędzia zajęło jednak rok od pierwszych ataków. W międzyczasie można było jednak rozważyć szereg innych środków o szybszym skutku, aby zapobiec dalszym atakom lub złagodzić ich negatywne skutki dla osób fizycznych. W wyniku tego braku staranności, w okresie od marca 2018 r. do lutego 2019 r. dane około 40 000 klientów witryny zostały udostępnione nieuprawnionym osobom trzecim.
Link
535FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-01-27150 000,00 €NieznanyArt. 32 RODOFrancuski organ ochrony danych osobowych (CNIL) ukarał firmę i jej podwykonawcę grzywną w wysokości 150 000 EUR i 75 000 EUR za niepodjęcie wystarczających środków przeciwko atakom typu "credential stuffing" na stronę internetową firmy. W okresie od czerwca 2018 r. do stycznia 2020 r. do CNIL wpłynęło kilka powiadomień o naruszeniach danych osobowych związanych ze stroną internetową, na której kilka milionów klientów regularnie dokonuje zakupów. W odpowiedzi CNIL postanowił przeprowadzić dochodzenie w sprawie przedsiębiorstwa i jego podwykonawcy, któremu powierzono zarządzanie tą stroną internetową. W trakcie dochodzenia CNIL ustalił, że przedmiotowa strona internetowa była przedmiotem licznych fal ataków typu "credential stuffing". W tego typu atakach złośliwa osoba uzyskuje listy "niezaszyfrowanych" identyfikatorów i haseł opublikowane w Internecie, zazwyczaj po naruszeniu danych. Zakładając, że użytkownicy często używają tego samego hasła i nazwy użytkownika (adresu e-mail) do różnych usług, atakujący użyje "botów", aby spróbować zalogować się do dużej liczby stron internetowych. Jeśli uwierzytelnienie się powiedzie, pozwoli to atakującemu na wgląd w informacje związane z tymi kontami. CNIL ustaliła, że atakujący byli w stanie uzyskać następujące informacje: Nazwisko, imię, adres e-mail i datę urodzenia klientów, a także numer ich karty lojalnościowej i saldo, oraz informacje związane z ich zamówieniami. CNIL uważa, że obie firmy naruszyły swój obowiązek utrzymania bezpieczeństwa danych osobowych klientów na mocy art. 32 RODO. W rzeczywistości przedsiębiorstwa podejmowały powolne działania w celu skutecznego zwalczania tych powtarzających się ataków. Postanowiły one skoncentrować swoją strategię reagowania na opracowaniu narzędzia do wykrywania i blokowania ataków przeprowadzanych przez roboty. Opracowanie tego narzędzia zajęło jednak rok od pierwszych ataków. W międzyczasie można było jednak rozważyć szereg innych środków o szybszym skutku, aby zapobiec dalszym atakom lub złagodzić ich negatywne skutki dla osób fizycznych. W wyniku tego braku staranności, w okresie od marca 2018 r. do lutego 2019 r. dane około 40 000 klientów witryny zostały udostępnione nieuprawnionym osobom trzecim.Link
534HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-2175 000,00 €Telefónica Móviles España, SAUArt. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na Telefónica Móviles España, SAU grzywnę w wysokości 75 000 EUR. Administrator przydzielił osobie, której dane dotyczą, pięć linii telefonicznych z pięcioma numerami w ramach umowy na telefon komórkowy. Jeden z tych numerów był używany przez jej syna. Gdy nie mógł on już korzystać z tych danych komórkowych, skontaktował się z administratorem danych. Administrator poinformował go, że dane komórkowe zostały dezaktywowane, ponieważ numer nie był już w jego posiadaniu. Okazało się, że nieuprawnione osoby trzecie podszyły się pod osobę, której dane dotyczą, i przekazały numer osobie trzeciej, nie wymagając w tym celu uwierzytelnienia przez administratora danych. Następnie nieuprawnione osoby trzecie zażądały i otrzymały zastępczą kartę SIM pod pretekstem rzekomej utraty lub kradzieży. W rezultacie karta SIM syna została zablokowana.Link
533BelgiaGegevensbeschermingsautoriteit (GBA)2021-01-2225 000,00 €NieznanyArt. 5 (1) f), (2) RODO, Art. 24 RODO, Art. 32 RODO, Art. 33 (1), (5) RODO, Art. 34 (1) RODOBelgijski organ ochrony danych ukarał operatora telefonii komórkowej grzywną w wysokości 25 000 EUR. Administrator danych przydzielił numer telefonu osoby, której dane dotyczą, nieupoważnionej osobie trzeciej, co spowodowało, że osoba ta straciła dostęp do swojego numeru telefonu. Ponieważ karta SIM osoby, której dane dotyczą, została dezaktywowana, umożliwiłoby to osobie trzeciej dostęp do różnych danych osobowych osoby, której dane dotyczą, w okresie od 16 września do 19 września 2019 r., takich jak historia połączeń i konta różnych usług (np. Paypal, WhatsApp i Facebook) powiązanych z tym numerem.Link
532WłochyGarante per la protezione dei dati personali (Garante)2020-12-1740 000,00 €Miropass S.r.l.Art. 5 (1) a), e) RODO, Art. 6 RODO, Art. 9 RODO, Art. 28 RODOWłoski organ ochrony danych osobowych (Garante) ukarał Miropass S.r.l. grzywną w wysokości 40.000 euro. Miropass jest dostawcą systemu rezerwacji TuPassi, z którego między innymi od 2015 roku korzysta Urząd Miasta Rzym. System rezerwacji umożliwia rezerwację terminów zarówno na stronie internetowej administratora (www.tupassi.it), jak i za pośrednictwem odpowiedniej aplikacji. W tym celu firma gromadzi i przetwarza dane osobowe użytkowników. W toku dochodzenia włoski organ ochrony danych stwierdził, że Miropass, w szczególności w kontekście danych dotyczących zdrowia, wynikających z rezerwacji wizyt w placówkach służby zdrowia, nie miał podstawy prawnej do przetwarzania i naruszył zasadę ograniczenia przechowywania danych.Link
531WłochyGarante per la protezione dei dati personali (Garante)2020-12-17500 000,00 €Roma Capitale (Gmina Rzym) Art. 5 (1) a) RODO, Art. 13 RODO, Art. 14 RODO, Art. 28 (2), (3) RODO, Art. 32 RODOWłoski organ ochrony danych (Garante) nałożył na gminę Rzym grzywnę w wysokości 500 000 euro za niezgodne z prawem przetwarzanie danych osobowych użytkowników i pracowników. Gmina Rzym od 2015 r. korzystała z systemu rezerwacji "TuPassi" do zarządzania terminami i innymi usługami. W toku szczegółowego dochodzenia włoski organ ochrony danych stwierdził, że administrator naruszył kilka przepisów dotyczących ochrony danych w odniesieniu do przetwarzania danych osobowych klientów i pracowników, z którymi umawiali się na spotkania. Przykładowo, gmina nie poinformowała odpowiednio osób, których dane dotyczą, przed przystąpieniem do przetwarzania ich danych, ani nie podjęła odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzania.Link
530NorwegiaDatatilsynet2021-01-199 700,00 €Aquateknikk ASArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Aquateknikk AS grzywną w wysokości 100.000 NOK (9.700 EUR). Administrator danych przeprowadził rating kredytowy osoby fizycznej bez nawiązania relacji z klientem lub innych powiązań. Dane osobowe osoby, której dane dotyczą, były zatem przetwarzane bez podstawy prawnej.Link
529HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-2150 000,00 €Alterna Operador Integral S.L.Art. 6 (1) b) RODOHiszpański organ ochrony danych (AEPD) nałożył na Alterna Operador Integral S.L. grzywnę w wysokości 50 000 EUR. Zmiana dostawcy energii elektrycznej nastąpiła bez zgody osoby, której dane dotyczą. Dane osobowe osoby, której dane dotyczą, zostały jednak wprowadzone do systemów informacyjnych administratora danych (nowego dostawcy energii elektrycznej) bez sprawdzenia przez niego, czy została zawarta ważna umowa. Przetwarzanie danych osobowych osoby, której dane dotyczą, odbywało się zatem bez podstawy prawnej.Link
528HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-201 200,00 €Osoba fizycznaArt. 5 (1) c) RODOAdministrator zainstalował na swoim budynku kamery, które były skierowane na część przestrzeni publicznej. Nie doszło jednak do żadnego nagrania, ponieważ kamery służyły jedynie jako odstraszacz i pozostawały nieaktywne. Organ ochrony danych zauważa jednak, że nawet symulowany nadzór wideo ma wpływ na prywatność osób, których dane dotyczą, ponieważ osoby te są przekonane, że są stale rejestrowane przez kamery. Według organu ochrony danych ma to efekt zastraszający. Dlatego też w tym przypadku niewłaściwe było również skierowanie kamer na przestrzeń publiczną. Organ ochrony danych nałożył na administratora grzywnę w wysokości 2.000 EUR, która została zmniejszona do 1.200 EUR w związku z natychmiastową zapłatą i przyznaniem się do winy.Link
527PolskaUrząd ochrony danych osobowych (UODO)2021-01-055 500,00 €Śląski Uniwersytet MedycznyArt. 33 (1) RODO, Art. 34 (1) RODOUODO nałożył na Śląski Uniwersytet Medyczny karę pieniężną w wysokości 25.000 zł (5.500 euro). W trakcie egzaminów przeprowadzanych w formie wideokonferencji pod koniec maja 2020 r. doszło do identyfikacji studentów. Po zakończeniu egzaminu nagrania z egzaminów były dostępne nie tylko dla zdających, ale również dla innych osób mających dostęp do systemu. Ponadto każda osoba postronna mogła uzyskać dostęp do zapisów egzaminów oraz danych egzaminowanych studentów prezentowanych podczas identyfikacji poprzez bezpośrednie łącze. Uniwersytet nie zgłosił naruszenia ochrony danych do UODO i nie powiadomił osób, których dane dotyczą.Link
526BelgiaGegevensbeschermingsautoriteit (GBA)2021-01-1210 000,00 €NieznanyArt. 6 (1) RODO, Art. 12 (3) RODO, Art. 21 (1) RODOZarządzanie fanpage'em na Facebooku bez zgody osoby, której dane dotyczą, oraz niezastosowanie się do żądania osoby, której dane dotyczą, po skorzystaniu przez nią z prawa do sprzeciwu.Link
525NorwegiaDatatilsynet2021-01-1438 600,00 € Coop Finnmark SAArt. 5 (1) a) RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Coop Finnmark SA grzywną w wysokości 400 000 NOK (38 600 EUR). Kierownik sklepu, o którym mowa, nagrał telefonem komórkowym materiał z kamery przemysłowej i udostępnił go. Norweski organ ochrony danych stwierdza, że Coop Finnmark nie miał podstawy prawnej do udostępnienia nagrania z kamery przemysłowej. Organ ten zauważa, że sprawa jest bardzo poważna, ponieważ na nagraniu widać było dzieci, co stwarza potencjalnie duże zagrożenie dla ich prywatności.Link
524NorwegiaDatatilsynet2021-01-1238 600,00 €NieznanyArt. 5 RODO, Art. 6 RODONorweski Urząd Ochrony Danych (Datatilsynet) ukarał firmę grzywną w wysokości 400 000 NOK (38 600 EUR) za nielegalne automatyczne przekierowanie skrzynki e-mailowej pracownika. Automatyczne przekierowanie zostało aktywowane w związku ze zwolnieniem lekarskim pracownika i trwało przez ponad miesiąc.Link
523WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-11-1828,00 €NieznanyArt. 5 (1) d) RODOOsoba, której dane dotyczą, zapisała się na newsletter administratora. Po zmianie swojego adresu e-mail nadal otrzymywała biuletyn za pośrednictwem starego adresu e-mail. Podmiot danych skontaktował się następnie z administratorem, który potwierdził, że adres został zaktualizowany. Mimo to osoba, której dane dotyczą, nadal otrzymywała biuletyn za pośrednictwem starego adresu e-mail.Link
522HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-136 000 000,00 €Caixabank S.A.Art. 6 RODO, Art. 13 RODO, Art. 14 RODOHiszpański organ ochrony danych (AEPD) ukarał Caixabank S.A. grzywną w wysokości 6.000.000 EUR za naruszenie Art. 6 RODO, Art. 13 RODO oraz Art. 14 RODO. Klienci banku mieli zaakceptować nowe polityki prywatności pozwalające administratorowi na przekazywanie danych osobowych klientów do wszystkich spółek w ramach Grupy CaixaBank. Jednocześnie osobom, których dane dotyczą, nie dano możliwości wyraźnego niewyrażenia zgody na to przekazanie. Zamiast tego, jeśli chciały nie zgodzić się na przekazanie ich danych, musiały wysłać pismo o braku zgody do każdej poszczególnej spółki w grupie. Inspektor Ochrony Danych stwierdził, że bank naruszył swoje obowiązki informacyjne określone w art. 13 RODO i Art. 14 RODO, ponieważ informacje przekazywane klientom w ramach polityki prywatności nie były spójne, zawierały nieprecyzyjną terminologię i nie zawierały wystarczających informacji na temat rodzaju przetwarzanych danych osobowych oraz charakteru przetwarzania. Również informacje dotyczące praw osób, których dane dotyczą, jak również dane kontaktowe administratora nie były przedstawione w spójny sposób. Ponadto IOD zauważa, że administrator przetwarzał dane swoich klientów poza swoimi prawnie uzasadnionymi interesami, częściowo bez podstawy prawnej, a zgoda, którą uzyskał od klientów, nie spełniała wymogów skutecznej zgody. Ponadto, braki w procedurach spółki umożliwiły jej uzyskanie zgody klientów na przetwarzanie ich danych osobowych. DPA stwierdza dalej, że w rezultacie dane zostały bezprawnie przekazane spółkom Grupy CaixaBank. Stanowi to naruszenie Art. 6 RODO.Link
521WłochyGarante per la protezione dei dati personali (Garante)2020-10-294 000,00 €Borgo Fonte Scura s.r.l.Art. 5 (1) a) RODO, Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na spółkę Borgo Fonte Scura s.r.l. grzywnę w wysokości 4.000 euro. Administrator danych zainstalował system nadzoru wideo, który nagrywał również trzy osoby, których dane dotyczą, podczas ich pracy. Osoby, których dane dotyczą, nie zostały wystarczająco poinformowane o nadzorze wideo i wynikającym z niego przetwarzaniu ich danych osobowych.Link
520WłochyGarante per la protezione dei dati personali (Garante)2020-10-2920 000,00 €Gaypa s.r.l.Art. 5 (1) a), c), e) RODO, Art. 12 RODO, Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na spółkę Gaypa s.r.l. grzywnę w wysokości 20.000 euro. Administrator danych utrzymywał aktywne konto poczty elektronicznej byłego pracownika i miał dostęp do korespondencji osoby, której dane dotyczą, pomimo zakończenia jej zatrudnienia. Podmiot danych nie został poinformowany o takim dalszym wykorzystaniu jego konta poczty elektronicznej, jak również o przechowywaniu wszystkich przychodzących i wychodzących wiadomości e-mail na serwerach spółki i związanym z tym przetwarzaniem jego danych osobowych.Link
519NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2021-01-0810 400 000,00 €notebooksbilliger.deArt. 5 RODO, Art. 6 RODOUrząd Ochrony Danych Dolnej Saksonii (LfD Niedersachsen) nałożył grzywnę w wysokości 10,4 mln euro na sprzedawcę elektroniki notebooksbilliger.de. Przedsiębiorstwo to przez co najmniej dwa lata prowadziło monitoring wideo swoich pracowników, nie mając do tego podstawy prawnej. Kamery obejmowały między innymi miejsca pracy, obszary sprzedaży, magazyny i obszary rekreacyjne. Firma twierdziła, że celem zainstalowanych kamer wideo było zapobieganie przestępstwom i prowadzenie dochodzeń w ich sprawie oraz śledzenie przepływu towarów w magazynach. Jednak, aby zapobiec kradzieży, firma musi najpierw rozważyć łagodniejsze metody. Ponadto, nadzór wideo w celu wykrycia czynów przestępczych jest dozwolony tylko wtedy, gdy istnieje uzasadnione podejrzenie wobec konkretnych osób. W takim przypadku dopuszczalne może być monitorowanie ich za pomocą kamer przez określony czas. W przypadku notebooksbilliger.de nadzór wideo nie był jednak ograniczony ani do określonego czasu, ani do konkretnych pracowników. Ponadto w wielu przypadkach nagrania były przechowywane przez 60 dni, czyli znacznie dłużej niż jest to wymagane. Klienci notebooksbilliger.de również ucierpieli w wyniku niezgodnego z prawem nadzoru wideo, ponieważ niektóre kamery były skierowane na miejsca siedzące w obszarze sprzedaży. Jak dotąd grzywna nałożona na notebooksbilliger.de jest najwyższą grzywną nałożoną przez LfD Niedersachen w ramach RODO.Link
518EstoniaAndmekaitse Inspektsioon2020-12-01100 000,00 €Azeta.ee e-apteekArt. 5 RODO, Art. 6 RODOEstoński organ ochrony danych (Andmekaitse Inspektsioon) nałożył na trzy apteki internetowe grzywny w wysokości 100 000 EUR każda za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, jedynie na podstawie dostępu do jej osobistego kodu identyfikacyjnego. Inspektor podkreślił, że chociaż musi istnieć możliwość zakupu leków na receptę dla innych osób, to obowiązkiem przedsiębiorstwa jest zapewnienie, że przetwarzanie danych osobowych wymaganych do tego celu odbywa się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie przez inną osobę, że może ona uzyskać dostęp do danych, nie odpowiada jednak dobrowolnej zgodzie posiadacza recepty, ponieważ e-apteka nie może sprawdzić, czy i w jakim celu zgoda została udzielona oraz czy została udzielona dobrowolnie.
Link
517EstoniaAndmekaitse Inspektsioon2020-12-01100 000,00 €Südameapteegi e-apteekArt. 5 RODO, Art. 6 RODOEstoński organ ochrony danych (Andmekaitse Inspektsioon) nałożył na trzy apteki internetowe grzywny w wysokości 100 000 EUR każda za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, jedynie na podstawie dostępu do jej osobistego kodu identyfikacyjnego. Inspektor podkreślił, że chociaż musi istnieć możliwość zakupu leków na receptę dla innych osób, to obowiązkiem przedsiębiorstwa jest zapewnienie, że przetwarzanie danych osobowych wymaganych do tego celu odbywa się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie przez inną osobę, że może ona uzyskać dostęp do danych, nie odpowiada jednak dobrowolnej zgodzie posiadacza recepty, ponieważ e-apteka nie może sprawdzić, czy i w jakim celu zgoda została udzielona oraz czy została udzielona dobrowolnie.Link
516EstoniaAndmekaitse Inspektsioon2020-12-01100 000,00 €Apotheka e-apteekArt. 5 RODO, Art. 6 RODOEstoński organ ochrony danych (Andmekaitse Inspektsioon) nałożył na trzy apteki internetowe grzywny w wysokości 100 000 EUR każda za przetwarzanie danych osobowych bez zgody osób, których dane dotyczą. Dane, o których mowa, to recepty na leki osób, których dane dotyczą. Osoby trzecie mogły przeglądać aktualne recepty innej osoby w środowisku e-apteki bez jej zgody, jedynie na podstawie dostępu do jej osobistego kodu identyfikacyjnego. Inspektor podkreślił, że chociaż musi istnieć możliwość zakupu leków na receptę dla innych osób, to obowiązkiem przedsiębiorstwa jest zapewnienie, że przetwarzanie danych osobowych wymaganych do tego celu odbywa się wyłącznie za zgodą osób, których dane dotyczą. Potwierdzenie przez inną osobę, że może ona uzyskać dostęp do danych, nie odpowiada jednak dobrowolnej zgodzie posiadacza recepty, ponieważ e-apteka nie może sprawdzić, czy i w jakim celu zgoda została udzielona oraz czy została udzielona dobrowolnie.
Link
515NorwegiaDatatilsynet2021-01-077 250,00 €Gveik ASArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Gveik AS grzywną w wysokości 7 250 EUR. Administrator danych przeprowadził kontrolę kredytową osoby fizycznej, mimo że nie było ku temu podstawy prawnej.Link
514NorwegiaDatatilsynet2021-01-069 700,00 €Lindstrand Trading ASArt. 5 RODO, Art. 6 RODONorweski organ ochrony danych (Datatilsynet) ukarał Lindstrand Trading AS grzywną w wysokości 9 700 EUR. Administrator danych przeprowadził cztery kontrole kredytowe osób fizycznych i poszczególnych przedsiębiorstw, mimo że nie było ku temu podstawy prawnej.
Link
513CzechyÚřad pro ochranu osobních údajů (UOOU)2021-01-04118 500,00 €NieznanyArt. 5 (1) a) - d) RODO, Art. 6 (1) RODOCzeski Urząd Ochrony Danych (UOOU) ukarał 11 firm grzywną w łącznej wysokości 118 500 euro za wysyłanie niezamówionych pocztowych wiadomości reklamowych do skrzynek pocztowych różnych obywateli. Na podstawie decyzji rządu Republiki Czeskiej z końca października wprowadzono możliwość bezpłatnego wysyłania pocztowych wiadomości z danymi do końca pandemii wirusa Covid-19. Ukarane przedsiębiorstwa nadużyły tej możliwości. Organ ochrony danych stwierdza, że firmy nie miały podstaw prawnych do wysyłania ofert towarów i usług, co stanowiło naruszenie art. 6 (1) RODO. Ponadto DPA stwierdza, że doszło do naruszenia art. 14 RODO, ponieważ firmy nie dostarczyły osobom, których dane dotyczą, informacji o komercyjnym wykorzystaniu ich danych przy pierwszym kontakcie z nimi.Link
512PolskaUrząd ochrony danych osobowych (UODO)2019-111 770,00 €L. Sp. z o.o.Art. 5 (1) a), f) RODOUODO nałożył na L. Sp. z o.o. karę w wysokości 1.770 EUR za niezgodne z przepisami RODO prowadzenie monitoringu wizyjnego wspólnoty mieszkaniowej.Link
511FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2021-01-0520 000,00 €Nestor SASArt. 12 RODO, Art. 13 RODOFrancuski organ ochrony danych (CNIL) ukarał firmę Nestor grzywną w wysokości 20 000 euro. CNIL zauważa, że polityka prywatności przedstawiona podczas procesu rejestracji na stronie internetowej firmy nie zawierała niezbędnych informacji wymaganych przez RODO. Ponadto administrator danych nie dostarczył wystarczających informacji na temat przetwarzania danych podczas rejestracji aplikacjiLink


Link
510PolskaUrząd ochrony danych osobowych (UODO)2020-12-0918 850,00 €TUiR Warta S.A.Art. 33 (1) RODO, Art. 34 (1) RODOAgent ubezpieczeniowy zatrudniony przez administratora danych wysłał do nieuprawnionych osób trzecich wiadomość e-mail dotyczącą polis ubezpieczeniowych, która zawierała dane osobowe dwóch klientów spółki, po tym jak omyłkowo podali oni fałszywe adresy e-mail. Dane, które wyciekły, zawierały takie dane jak imiona i nazwiska, adresy e-mail i adresy pocztowe osób, których te dane dotyczyły. Administrator nie poinformował na czas, w ciągu 72 godzin, ani polskiego organu ochrony danych, ani osób, których dane dotyczą, o naruszeniu danych. Administrator uważał, że nie doszło do naruszenia wymagającego zawiadomienia, ponieważ osoby, których dane dotyczą, same omyłkowo podały nieprawidłowe adresy e-mail. Polski organ ochrony danych stwierdza, że okoliczność ta nie zwalnia administratora z obowiązku terminowego zgłoszenia tego naruszenia ochrony danych.Link
509PolskaUrząd ochrony danych osobowych (UODO)2020-12-17235 300,00 €ID Finance Poland Sp. z o.o.Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODOPolski organ ochrony danych osobowych (UODO) nałożył karę pieniężną w wysokości 235 300 euro na ID Finance Poland Sp. z o.o. W wyniku błędu podczas restartu serwera zresetowano ustawienia oprogramowania odpowiedzialnego za bezpieczeństwo serwera, co spowodowało upublicznienie danych osobowych 140 699 klientów. Dane te zawierały m.in. informacje o imieniu i nazwisku, adresie, narodowości, a nawet stanie cywilnym osób, których te dane dotyczyły. Baza danych znajdująca się na tym serwerze została pobrana i usunięta przez bliżej nieokreśloną osobę trzecią, która zażądała od przedsiębiorstwa opłaty za zwrot bazy danych. Organ ochrony danych zauważył, że administrator danych podjął niewystarczające środki techniczne i organizacyjne w celu zapewnienia ochrony przetwarzania, mimo że istniało wysokie ryzyko dla osób, których dane dotyczą, ze względu na charakter przetwarzanych danych.
Link
508FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-12-077 300,00 €PerfomeclicArt. 5 (1) c), e) RODO, Art. 14 RODO, Art. 21 RODO, Art. 28 RODO, Art. L34-5 CPCEFrancuski organ ochrony danych (CNIL) nałożył na spółkę Perfomeclic grzywnę w wysokości 7.300 euro. Firma ta wysyłała komercyjne e-maile reklamowe bez dowodu uprzedniej zgody i bez wystarczających informacji.Link


Link
507NorwegiaDatatilsynet2021-01-0495 500,00 €Innovasjon NorgeArt. 5 (1) RODO, Art. 6 (1) RODONorweski organ ochrony danych (Datatilsynet) ukarał krajowy bank rozwoju Innovasjon Norge grzywną w wysokości 1.000.000 NOK (95.500 EUR). Administrator danych przeprowadził cztery kontrole kredytowe osoby, której dane dotyczą, bez żadnej podstawy umownej do ich przeprowadzenia. W tym celu bank przeanalizował liczne dane finansowe osoby, której dane dotyczą, w okresie trzech miesięcy bez jej zgody.
Link
506HiszpaniaAgencia Española de Protección de Datos (AEPD)2021-01-0454 000,00 €Vodafone España, S.A.U.Art. 5 (1) d), f) RODOOsoba, której dane dotyczą, zawarła umowę z administratorem danych (Vodafone España, S.A.U.). Jednakże produkty dostarczone w ramach tej umowy nie zostały dostarczone w imieniu osoby, której dane dotyczą, lecz w imieniu osoby trzeciej. Następnie osoba, której dane dotyczą, skontaktowała się drogą elektroniczną z inspektorem ochrony danych spółki w celu przywrócenia poprawności jej danych przechowywanych w Vodafone. Jednakże nie otrzymano żadnej odpowiedzi na ten wniosek. Gdy osoba, której dane dotyczą, skontaktowała się w końcu telefonicznie z firmą telekomunikacyjną, zwrócono się do niej podając nazwę osoby trzeciej. Na jego zapytanie udzielono odpowiedzi, która nie odnosiła się do jego zapytania, lecz do zapytania osoby trzeciej. Według firmy telekomunikacyjnej, incydent był spowodowany wadą jej systemu, wynikającą z migracji systemu. Hiszpański organ ochrony danych (AEPD) początkowo nałożył na Vodafone España, S.A.U. grzywnę w wysokości 90.000 EUR, ale pierwotna grzywna została zmniejszona do 54.000 EUR ze względu na terminową płatność i przyznanie się do winy.Link
505RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-12-303 000,00 €ING Bank N.V. Amsterdam - Bucharest officeArt. 5 (1) a) - d) RODO, Art. 6 (1) RODORumuński organ ochrony danych (ANSPDCP) nałożył na ING Bank N.V. Amsterdam - oddział w Bukareszcie grzywnę w wysokości 3 000 EUR. Bank skontaktował się z osobą, której dane dotyczą, za pośrednictwem poczty elektronicznej w celu aktualizacji jej danych. W tym czasie jednak osoba, której dane dotyczą, zlikwidowała już swoje konto w banku, a więc stosunek umowny został zakończony. W związku z tym administrator danych przetwarzał niezgodnie z prawem dane osobowe byłego klienta bez jego zgody - adres e-mail i imię i nazwisko osoby, której dane dotyczą.
Link
504RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-12-291 000,00 €Qualitance QBS SAArt. 32 RODORumuński organ ochrony danych (ANSPDCP) ukarał Qualitance QBS SA grzywną w wysokości 1.000 EUR za naruszenie art. 32 RODO. Spółka wysłała informacje pocztą elektroniczną do 295 osób, ujawniając adresy e-mail pozostałych odbiorców. ANSPDCP zauważyło, że spółka nie podjęła wystarczających środków bezpieczeństwa w celu zapewnienia poufności danych osobowych osób, których dane dotyczą.Link
503WłochyGarante per la protezione dei dati personali (Garante)2020-11-2620 000,00 €Concentrix Cvg Italy s.r.l.Art. 5 (1) a), c) RODO, Art. 6 (1) b), c) RODO, Art. 9 (1) b) RODOZwiązek zawodowy UILCOM Sardegna złożył skargę do włoskiego organu ochrony danych ( Garante) przeciwko operatorowi call center Concentrix Cvg Italy s.r.l. w związku z wewnętrzną regulacją administratora danych. Zgodnie z warunkami "polityki czystego biurka" spółka zakazała pracownikom trzymania na biurkach niektórych przedmiotów, takich jak smartfony, co miało na celu zapewnienie poufności przy przetwarzaniu danych osobowych klientów. Wyjątkiem były leki, których zażycie w czasie zmiany udowodnili pracownicy. Leki te musiały być umieszczone w widocznym miejscu na biurku, co pośrednio umożliwiało innym pracownikom uzyskanie informacji o stanie zdrowia osób, których dane dotyczą. Administrator danych rzeczywiście poinformował osoby, których dane dotyczą, o zasadach postępowania i uzyskał ich zgodę. Nie zawierały one jednak żadnych informacji na temat przetwarzania danych dotyczących ich zdrowia.Link
502WłochyGarante per la protezione dei dati personali (Garante)2020-11-2610 000,00 €Reti Televisive Italiane S.p.a.Art. 5 (1) a) RODOStacja telewizyjna wyemitowała film dokumentalny o związku między emisjami z miejscowej fabryki ceramiki a problemami zdrowotnymi ludności. Oosoba, z którą przeprowadzono wywiad, nie została wystarczająco zanonimizowana.Link
501PolskaUrząd ochrony danych osobowych (UODO)2020-12-2818 930,00 €Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.Art. 33 (1) RODO, Art. 34 (1) RODOUODO nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. karę pieniężną w wysokości 18.930 EUR za naruszenie art. 33 (1) RODO oraz Art. 34 (1) RODO. W maju 2020 r. do IOD wpłynęło zgłoszenie od osoby trzeciej o naruszeniu danych osobowych dotyczące agenta ubezpieczeniowego działającego jako podmiot przetwarzający dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., który przesłał drogą elektroniczną polisę ubezpieczeniową do nieuprawnionego adresata. Dokument zawierał dane osobowe dotyczące m.in. nazwisk, imion, adresów zamieszkania oraz informacji o przedmiocie polisy ubezpieczeniowej. W związku z powyższym organ nadzorczy zwrócił się do administratora o wyjaśnienie, czy w związku z wysłaniem korespondencji elektronicznej do nieuprawnionego adresata przeprowadzono analizę ryzyka w zakresie bezpieczeństwa danych osób fizycznych, która jest niezbędna do oceny, czy doszło do naruszenia ochrony danych. Naruszenie takie wymaga zawiadomienia organu ochrony danych oraz osób, których dotyczy naruszenie. W piśmie organ nadzorczy pouczył administratora o sposobie zgłoszenia naruszenia i poprosił o wyjaśnienia. Pomimo pisma wzywającego do złożenia wyjaśnień, administrator nie zgłosił naruszenia ochrony danych, ani nie poinformował o tym zdarzeniu osób, których dane dotyczą. W związku z tym organ ochrony danych wszczął postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania administrator zgłosił naruszenie ochrony danych osobowych i poinformował dwie osoby, których dotyczyło naruszenie.Link
500BelgiaGegevensbeschermingsautoriteit (GBA)2020-12-2315 000,00 €NieznanyArt. 14 (1), (2) RODO, Art. 12 (3) RODO, Art. 6 RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODOBelgijski organ ochrony danych (APD) nałożył na spółkę grzywnę w wysokości 15.000 euro w związku z niewystarczającym wypełnianiem praw osób, których dane dotyczą. Administratorem danych jest firma windykacyjna, której inna firma zleciła ściągnięcie należnych jej długów. Osoba, której dane dotyczą, otrzymała od tej ostatniej spółki mandat za nielegalne parkowanie. Osoba, której dane dotyczą, twierdzi jednak, że nie otrzymała zawiadomienia o nałożeniu kary. Zamiast tego osoba, której dane dotyczą, dowiedziała się o niej dopiero po otrzymaniu oficjalnego pisma przypominającego od administratora danych, który następnie zażądał uiszczenia opłat za upomnienie oprócz pierwotnej grzywny. Osoba, której dane dotyczą, skontaktowała się następnie z administratorem i zażądała m.in. informacji o tym, które z jej danych osobowych były przetwarzane. Po tym, jak wniosek ten nie został zrealizowany w odpowiednim czasie, osoba, której dane dotyczą, złożyła skargę na administratora danych. W toku postępowania wyjaśniającego organ stwierdził, że administrator naruszył przepisy RODO, m.in. nie spełniając żądania osoby, której dane dotyczą, o udzielenie informacji o przetwarzaniu danych.Link
499BelgiaGegevensbeschermingsautoriteit (GBA)2020-12-2350 000,00 €NieznanyArt. 14 (1), (2) RODO, Art. 12 (1), (2), (3) RODO, Art. 15 (1) RODO, Art. 5 (1) c), (2) RODO, Art. 24 (1), (2) RODOBelgijski organ ochrony danych (APD) nałożył na firmę karę w wysokości 50.000 euro za kilka naruszeń RODO. Administratorem danych jest firma, która przeprowadza kontrole biletów parkingowych. Administrator danych wystawił osobie, której dane dotyczą, karę za nielegalne parkowanie. Osoba, której dane dotyczą, twierdzi jednak, że nie otrzymała mandatu. Zamiast tego osoba, której dane dotyczą, dowiedziała się o nim dopiero po otrzymaniu oficjalnego pisma przypominającego od kancelarii prawnej, której zlecono windykację należności, która następnie zażądała uiszczenia opłaty za upomnienie oprócz pierwotnej grzywny. Następnie osoba, której dane dotyczą, skontaktowała się z firmą i zażądała m.in. informacji o tym, które z jej danych osobowych były przetwarzane. Po tym, jak żądanie to nie zostało odpowiednio i terminowo spełnione, osoba, której dane dotyczą, złożyła skargę na administratora danych W toku postępowania wyjaśniającego organ ochrony danych odkrył, że administrator danych naruszył kilka przepisów RODO. Po pierwsze, organ ten stwierdził, że administrator nie zapewnił odpowiedniej polityki prywatności. Polityka prywatności na stronie internetowej administratora nie zawierała żadnych informacji dotyczących przetwarzania danych osobowych ani żadnych informacji kontaktowych firmy. Po drugie, administrator naruszył prawo podmiotu danych do informacji, ponieważ nie spełnił prośby podmiotu danych o udzielenie informacji na temat przetwarzania danych. Wreszcie, administrator naruszył zasadę minimalizacji, przetwarzając dane podmiotu danych w celu wysłania przypomnienia o zapłacie dopiero dzień po wystawieniu mandatu, mimo że podmiot danych miał w tym czasie możliwość zapłaty grzywny bez takiego przypomnienia.Link
498RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-12-222 000,00 €S.C. C&V Water Control S.A.Art. 58 (1) a), e) RODO, Art. 58 (2) i) RODORumuński organ ochrony danych (ANSPDCP) ukarał S.C. C&V Water Control S.A. grzywną w wysokości 2.000 EUR za niezastosowanie się do żądania organu ochrony danych o udzielenie informacji w trakcie dochodzenia, naruszając w ten sposób art. 58 (1) a), e) RODO oraz Art. 58 (2) i) RODO.Link
497HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-226 000,00 €Iberdrola Clientes, SAUArt. 48 (1) b) LGT, Art. 21 RODO, Art. 23 (4) LOPDGDDHiszpański organ ochrony danych (AEPD) ukarał Iberdrola Clientes, SAU grzywną w wysokości 6 000 EUR. Osoba, której dane dotyczyły, otrzymywała telefony promocyjne z dwóch różnych numerów telefonicznych administratora, mimo że osoba ta była wpisana na listę Robinsona. Firma przypisuje ten incydent błędowi ludzkiemu, ponieważ numery telefonów, z których dzwoniono do osoby, której dane dotyczą, nie były regularnie wykorzystywane do celów reklamowych.Link
496HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-2136 000,00 €Banco Bilbao Vizcaya Argentaria, S.A.Art. 5 (1) d) RODOHiszpański organ ochrony danych (AEPD) nałożył na instytucję finansową i kredytową Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) grzywnę w wysokości 36 000 EUR. BBVA zwróciła się do osoby, której dane dotyczą, o uregulowanie długów wobec BBVA, chociaż osoba, której dane dotyczą, nie miała żadnych długów wobec banku. W związku z tym BBVA przekazała dane osobowe osoby, której dane dotyczą, spółce windykacyjnej Multigestión Iberia, S.L., która przez kilka miesięcy kontaktowała się z osobą, której dane dotyczą, telefonicznie i pocztą elektroniczną w imieniu BBVA i żądała zapłaty. Osoba, której dane dotyczą, zażądała następnie od BBVA usunięcia swoich danych. Administrator danych jednak odmówił.Link
495WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-161 385,00 €Next Time Media Ügynökség Kft.Art. 32 (1) RODOWęgierski organ ochrony danych osobowych (NAIH) nałożył grzywnę w wysokości 50.000 HUF (1.385 EUR) na Next Time Media Ügynökség Kft. (Next Time Media Agency Ltd.). Agencja internetowa została zakontraktowana przez biuro podróży Robinson Tours Idegenforgalmi és Szolgáltató Kft. (Robinson Tours Ltd.) na opracowanie i obsługę systemu rezerwacji online biura podróży. Baza danych została jednak uzupełniona nie tylko o dane testowe, ale również o rzeczywiste dane klientów Robinson Tours. W sumie narażone na szwank zostały dane 781 osób. W okresie od 13 listopada 2019 r. do 4 lutego 2020 r. dane te były dostępne dla każdego i można je było znaleźć za pośrednictwem Google. Organ ochrony danych stwierdził, że Next Time Media Agency Ltd. nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych.Link
494WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-1655 400,00 €Robinson Tours Idegenforgalmi és Szolgáltató Kft.Art. 25 (1), (2) RODO, Art. 32 (1) b) RODO, Art. 34 (1) RODOWęgierski Urząd Ochrony Danych (NAIH) nałożył na Robinson Tours Idegenforgalmi és Szolgáltató Kft. (Robinson Tours Ltd.) karę w wysokości 20 500 000 HUF (55 400 EUR). (Robinson Tours Ltd.) System rezerwacji biura podróży zawierał niezabezpieczone dane klientów, które mogły być przeglądane przez każdego i znalezione przez Google. Dane te zawierały m.in. nazwiska, dane kontaktowe i adresowe, kopie dowodów osobistych i numery paszportów. W trakcie dochodzenia prowadzonego przez organ ochrony danych okazało się, że przedmiotowe dane pochodziły z testowej bazy danych stworzonej przez Next Time Media Agency Ltd, agencję internetową, której zlecono opracowanie i obsługę bazy danych, która została uzupełniona nie tylko o dane testowe, ale również o rzeczywiste dane klientów Robinson Tours. W sumie dotknięte zostały dane 781 osób, do których dostęp miał każdy w okresie od 13 listopada 2019 roku do 4 lutego 2020 roku. NAIH zauważa również, że Robinson Tours nie przeprowadzał regularnych badań ryzyka bezpieczeństwa. Robinson Tours nie powiadomił również osób, których dane dotyczą, o naruszeniu danych.Link
493WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-12-161 940,00 €NieznanyArt. 5 (1) b), c) RODO, Art. 13 (1) RODOWęgierski organ ochrony danych (NAIH) nałożył grzywnę w wysokości 700.000 HUF (1.940 EUR) na przedsiębiorstwo budowlane. Administrator zainstalował system nadzoru wideo na placu budowy w celu ochrony swojego mienia i nietykalności cielesnej pracowników. Kamery były ustawione w taki sposób, że były w stanie rejestrować część pomieszczenia rekreacyjnego, a tym samym również działania jego pracowników poza wymaganym zakresem. Osoby, których dane dotyczą, nie zostały o tym dostatecznie poinformowane w momencie zawierania umowy.Link
492HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-1510 000,00 €Przedsiębiorca prowadzący sklep internetowy Banderacatalana.catArt. 13 RODO, Art. 8 (1) RODO, Art. 6 (1) a) RODOHiszpański organ ochrony danych (AEPD) ukarał operatora sklepu internetowego banderacatalana.cat. 10.000 euro za naruszenie art. 13 RODO. Operator podał w informacjach o ochronie prywatności na swojej stronie internetowej, że do zapisania się na newsletter wymagany jest minimalny wiek 13 lat lub wystarczająca zdolność do czynności prawnych. Stwierdzono również, że wypełnienie formularza subskrypcji newslettera będzie traktowane jako zgoda na przetwarzanie danych osobowych. Stanowi to naruszenie RODO, gdyż zgodnie z art. 8 RODO, przetwarzanie danych osobowych osób poniżej 16 roku życia wymaga zgody osoby, której przysługuje władza rodzicielska nad dzieckiem.Link
491FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-12-176 000,00 €LekarzArt. 32 RODO, Art. 33 RODOFrancuski organ ochrony danych (CNIL) ukarał lekarza grzywną w wysokości 6.000 euro za naruszenie art. 32 RODO i Art. 33 RODO. Administrator danych przechowywał na serwerze dane obrazów medycznych, takie jak obrazy rezonansu magnetycznego i zdjęcia rentgenowskie, a także dane osobowe, takie jak nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów, aby móc uzyskać do nich dostęp ze swojego domowego komputera. Przegląd systemów kontrolera wykazał, że dostęp do serwera nie był odpowiednio zabezpieczony. Pozwoliłoby to każdemu na dostęp do danych jego pacjentów. Ponadto wyciek danych istniał od około pięciu lat. Organ ochrony danych stwierdził zatem, że lekarz nie podjął odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych.Link


Link
490FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-12-173 000,00 €LekarzArt. 32 RODO, Art. 33 RODOFrancuski organ ochrony danych (CNIL) ukarał lekarza grzywną w wysokości 3.000 euro za naruszenie art. 32 RODO i Art. 33 RODO. Administrator danych przechowywał na swoim komputerze dane obrazów medycznych, takich jak zdjęcia z rezonansu magnetycznego i zdjęcia rentgenowskie, a także dane osobowe, takie jak nazwiska, daty urodzenia i dane dotyczące leczenia swoich pacjentów. Administrator nie podjął odpowiednich środków technicznych w celu zapewnienia bezpieczeństwa danych, w związku z czym dostęp do danych jego pacjentów mogła uzyskać każda osoba bez ochrony dostępu. Organ ochrony danych zauważa, że dane te były dostępne przez około cztery miesiące.Link


Link
489RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-12-17100 000,00 €Banca Transilvania SAArt. 5 (1) f) RODO, Art. 32 (1), (2) RODORumuński organ ochrony danych (ANSPDCP) ukarał Banca Transilvania SA grzywną w wysokości 100 000 EUR za naruszenie art. 5 (1) f) RODO, Art. 32 (1) RODO oraz Art. 32 (2) RODO. Stwierdzono, że bank zażądał od klienta oświadczenia o przeznaczeniu określonej kwoty pieniędzy, którą chciał wypłacić ze swojego konta. Oświadczenie to zostało złożone w banku przez Internet i przekazane kilku pracownikom banku. Jeden z pracowników sfotografował oświadczenie telefonem komórkowym i rozpowszechnił je za pomocą aplikacji WhatsApp. Następnie dokument został umieszczony na portalu społecznościowym Facebook oraz na stronie internetowej. Sytuacja ta doprowadziła do ujawnienia i nieuprawnionego dostępu do niektórych danych osobowych dotyczących czterech osób, których dane dotyczą, pomimo zobowiązania Banku do przestrzegania zasady integralności i poufności danych osobowych zgodnie z wymogami art. 5 (1) f) RODO. Organ zwraca uwagę, że ujawnienie danych świadczy również o nieskuteczności wewnętrznych szkoleń pracowników Banku w zakresie przestrzegania standardów ochrony danych osobowych. Szkolenia te są jednak integralną częścią środków technicznych i organizacyjnych, które Bank był zobowiązany wdrożyć, art. 32 RODO.Link
488ŁotwaDatu Valsts Inspekcija (DVI)2020-12-156 250,00 €NieznanyArt. 13 RODOŁotewski organ ochrony danych (DSI) ukarał pracodawcę grzywną w wysokości 6 250 EUR za przesłanie drogą elektroniczną danych osobowych pracownika, w tym danych dotyczących jego zdrowia, do innych pracowników. DSI stwierdził, że dane osobowe osoby, której dane dotyczą, były przetwarzane bez odpowiedniej podstawy prawnej, a zatem przetwarzanie to było niezgodne z prawem.Link
487ŁotwaDatu Valsts Inspekcija (DVI)2020-12-1515 000,00 €HH Invest SIAArt. 5 RODO, Art. 6 (1) f) RODOŁotewski organ ochrony danych (DSI) ukarał sklep internetowy HH Invest SIA grzywną w wysokości 15 000 EUR. Stwierdzono, że informacje dotyczące polityki prywatności zamieszczone na stronie internetowej spółki nie są łatwo zrozumiałe. Stanowi to naruszenie art. 13 RODO.Link
486SzwecjaDatainspektionen2020-12-1529 500,00 €Uppsalahem ABArt. 5 RODO, Art. 6 (1) f) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał przedsiębiorstwo mieszkaniowe Uppsalahem AB grzywną w wysokości 300.000 SEK (29.500 EUR). Przedsiębiorstwo mieszkaniowe zainstalowało w budynku mieszkalnym kamery monitorujące jedno piętro po tym, jak doszło do zakłóceń porządku i zdarzeń naruszających bezpieczeństwo. Kamery monitorowały nie tylko klatkę schodową, ale również drzwi wejściowe jednego z mieszkańców. W związku z tym, gdy drzwi zostały otwarte, wnętrze mieszkania było również rejestrowane przez monitoring. Chociaż firma mogła mieć uzasadniony interes w monitoringu, to przeważyło nad nim prawo mieszkańców do prywatności.Link
485IrlandiaData Protection Commission (DPC)2020-12-15450 000,00 €Twitter International CompanyArt. 33 (1), (5) RODOIrlandzki organ ochrony danych (DPC) nałożył na Twitter International Company grzywnę w wysokości 450 000 EUR za naruszenie art. 33 (1) RODO oraz Art. 33 ust. 5 RODO za niezawiadomienie organu ochrony danych w odpowiednim czasie o naruszeniu ochrony danych i nieodpowiednie udokumentowanie tego naruszenia. Naruszenie danych dotyczyło ustawień prywatności wpisów użytkowników na platformie mediów społecznościowych Twitter. Użytkownicy mają tam możliwość ustawienia widoczności swoich postów na prywatną lub publiczną. Posty prywatne mogą być widziane tylko przez subskrybentów danego profilu użytkownika, natomiast posty publiczne są widoczne publicznie. Błąd programistyczny w aplikacji Twittera na Androida spowodował, że niektóre prywatne posty były widoczne publicznie. Urząd Ochrony Danych stwierdził, że Twitter nie wypełnił należycie swoich obowiązków w zakresie sprawozdawczości i dokumentacji. Zespół prawny Twittera dowiedział się o błędzie 2 stycznia 2019 r., a dopiero 8 stycznia firma poinformowała DPC. W związku z tym spółka nie poinformowała DPC w terminie 72 godzin wymaganym przez Art. 33 (1) RODO. Ponadto nie udokumentowało odpowiednio incydentu zgodnie z art. 33 ust. 5 RODO. 33 (5) RODO.Link
484GrecjaHellenic Data Protection Authority (HDPA)2020-10-291 000,00 €American College of GreeceArt. 12 (3), (4) RODOGrecki organ ochrony danych (HDPA) nałożył na American College of Greece grzywnę w wysokości 1 000 EUR za naruszenie prawa dostępu i prawa do usunięcia danych osobowych.Link
483PolskaUrząd ochrony danych osobowych (UODO)2020-12-14443 000,00 €Virgin Mobile PolskaArt. 5 (1) f), (2) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODOUODO nałożył na Virgin Mobile Polska karę pieniężną w wysokości 443 000 euro w związku z wyciekiem danych, który umożliwił nieupoważnionym osobom trzecim dostęp do danych osobowych przechowywanych przez Virgin Mobile Polska w wyniku nieodpowiednich środków bezpieczeństwa. DPA zauważa, że spółka nie przeprowadzała regularnych i szeroko zakrojonych testów skuteczności środków stosowanych w celu zapewnienia bezpieczeństwa danych. Działania w tym zakresie były bowiem prowadzone jedynie w przypadku podejrzenia wycieku zabezpieczeń.Link
482SzwecjaDatainspektionen2020-12-1154 000,00 €Umeå UniversityArt. 5 (1) f) RODO, Art. 32 (1), (2) RODOSzwedzki DPA (Datainspektionen) ukarał Uniwersytet Umeå grzywną w wysokości 550 000 SEK (54 000 EUR) w związku z niestosowaniem odpowiednich środków technicznych i organizacyjnych w celu ochrony danych. W ramach projektu badawczego dotyczącego gwałtów na mężczyznach, uniwersytet przechowywał w chmurze amerykańskiego dostawcy usług kilka raportów policyjnych dotyczących tego typu incydentów. Raporty zawierały nazwiska, numery identyfikacyjne i dane kontaktowe osób, których dane dotyczą, jak również informacje o ich zdrowiu i życiu seksualnym, wraz z informacjami o podejrzeniu popełnienia przestępstwa. DPA zauważa, że przechowywanie danych w tej chmurze nie chroni w odpowiedni sposób tak szczególnie wrażliwych danych. Ponadto jeden z raportów z dochodzenia został wysłany w niezaszyfrowanej formie do szwedzkiej policji za pośrednictwem poczty elektronicznej. Jednak administrator nie udokumentował tego incydentu ani nie zgłosił go do organu ochrony danych.Link
481HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-115 000 000,00 €Banco Bilbao Vizcaya Argentaria, S.A.Art. 6 RODO, Art. 13 RODOHiszpański DPA (AEPD) ukarał Banco Bilbao Vizcaya Argentaria, S.A. grzywną w wysokości 5.000.000 EUR za naruszenie Art. 6 RODO (3.000.000 EUR) oraz Art. 13 RODO (2.000.000 EUR). Bank nie wdrożył konkretnego mechanizmu uzyskiwania zgody klientów na przetwarzanie ich danych. Ponadto, w swojej polityce prywatności nie użył precyzyjnej terminologii, ani nie dostarczył odpowiednich informacji na temat rodzaju danych osobowych, które mogą być przetwarzane. W szczególności AEPD zauważa, że cel i podstawa prawna przetwarzania danych nie są wystarczająco określone w oświadczeniu o ochronie prywatności.Link
480HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-104 000,00 €Borjamotor, S.A.Art. 7 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 4.000 euro na Borjamotor, S.A. Spółka ta nadal wysyłała reklamy komercyjne do osoby, której dane dotyczą, za pośrednictwem poczty elektronicznej i SMS-ów, mimo że osoba, której dane dotyczą, cofnęła wcześniej zgodę na otrzymywanie reklam i złożyła wniosek o usunięcie swoich danych. Pomimo potwierdzenia tego faktu przez spółkę, osoba, której dane dotyczą, nadal otrzymywała reklamy.Link
479BelgiaGegevensbeschermingsautoriteit (GBA)2020-11-131 500,00 €NieznanyArt. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 30 RODO, Art. 37 (5) RODO, Art. 37 (7) RODOBelgijski organ ochrony danych (APD/GBA) nałożył grzywnę w wysokości 1 500 EUR na przedsiębiorstwo budownictwa społecznego za nieprzestrzeganie kilku zasad RODO, np. zasad legalności i przejrzystości (np. niewystarczające informacje w polityce prywatności, brak informacji na temat nadzoru kamer).Link
478HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-0910 000,00 €NieznanyArt. 5 (1) f) RODOHiszpański organ ochrony danych (AEPD) nałożył na firmę karę w wysokości 10.000 EUR za naruszenie art. 5 RODO. Firma wysłała e-mail do osoby trzeciej z dokumentem zwolnienia i rozliczenia osoby, której dane dotyczą, ujawniając jej dane osobowe bez jej zgody.Link
477HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-0940 000,00 €Xfera Moviles S.A.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Xfera Móviles, S.A. z powodu niewystarczającej podstawy prawnej do przetwarzania danych. Osoba, której dane dotyczą, twierdzi, że dwa numery telefoniczne zostały zarejestrowane na jej nazwisko. Jednakże osoba, której dane dotyczą, nigdy nie podpisała ze spółką umów na żadne z tych usług. W rzeczywistości przedmiotowe umowy zostały zawarte przez oszustów z wykorzystaniem danych osobowych osoby, której dane dotyczą. Niemniej jednak dane osobowe zostały wprowadzone do systemów informatycznych przedsiębiorstwa bez sprawdzenia, czy umowy zostały zawarte zgodnie z prawem i faktycznie przez osobę, której dane dotyczą, czy wyraziła ona zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych lub czy istniał jakikolwiek inny powód uzasadniający przetwarzanie.Link
476HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-0210 000,00 €Losada Advocats S.L.Art. 5 (1) f) RODO, Art. 32 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Losada Advocats S.L. za wysłanie wiadomości e-mail do kilkudziesięciu odbiorców bez umieszczenia ich na liście BCC, naruszając w ten sposób art. 32 RODO oraz Art. 5 ust. 1 lit. f) RODO.Link
475HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-271 200,00 €Osoba fizycznaArt. 5 (1) a) RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę w wysokości 1 200 EUR na osobę fizyczną za podszywanie się pod osobę trzecią na portalach społecznościowych Tinder i WhatsApp poprzez wykorzystanie zdjęć osoby trzeciej na swoim profilu. Zdjęcia te zostały wykorzystane bez zgody osoby, której dane dotyczą.Link
474NorwegiaDatatilsynet2020-12-0318 840,00 €Gmina Indre ØstfoldArt. 6 RODO, Art. 32 (1) b) RODONorweski organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 200 000 NOK (18 840 EUR) na gminę Indre Østfold. Datatilsynet ustaliło, że na stronie internetowej gminy opublikowano akta uczniów zawierające dane osobowe.Link
473SzwecjaDatainspektionen2020-12-032 900 000,00 €Capio St. Göran ABArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki DPA (Datainspektionen) ukarał Capio St. Göran AB grzywną w wysokości 30 000 000 SEK (2 900 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informatycznych Cosmic, Nationell patientöversikt i TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dało to użytkownikom pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do celów służbowych.Link
472SzwecjaDatainspektionen2020-12-03390 100,00 €Szpital Uniwersytecki Karolinska w SolnaArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał szpital uniwersytecki Karolinska w Solnej grzywną w wysokości 4 000 000 SEK (390 100 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do celów służbowych.
Link
471SzwecjaDatainspektionen2020-12-03341 300,00 €Szpital Uniwersytecki SahlgrenskaArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał szpital uniwersytecki Sahlgrenska grzywną w wysokości 3 500 000 SEK (341 300 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnych systemów informacyjnych Melior i Nationell patientöversikt nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do celów służbowych. Ponadto w szpitalnym systemie informacyjnym Melior nie prowadzono ewidencji, kiedy i w jakim celu uzyskano dostęp do danych pacjentów.Link
470SzwecjaDatainspektionen2020-12-03243 800,00 €Region VästerbottenArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał region Västerbotten grzywną w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka w zakresie dostępu do danych pacjentów. Uprawnienia dla użytkowników systemu dokumentacji medycznej NCS Cross nie były przydzielane zgodnie z zasadą minimalnego dostępu. Powodowało to, że użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do pracy.Link
469SzwecjaDatainspektionen2020-12-03243 800,00 €Region ÖstergötlandArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki organ ochrony danych (Datainspektionen) ukarał region Östergötland grzywną w wysokości 2 500 000 SEK (243 800 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego Cosmic nie były przydzielane zgodnie z zasadą minimalnego dostępu. Powodowało to, że użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do pracy.Link
468HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-032 400,00 €Dr Marín Cirugia Plástica, S.L.P.Art. 13 RODOHiszpański organ ochrony danych (aepd) nałożył na lekarza grzywnę w wysokości 4.000 euro z powodu braku polityki prywatności na jego stronie internetowej, naruszając tym samym art. 13 RODO. Pierwotna grzywna w wysokości 4.000 EUR została obniżona w przypadku zarówno natychmiastowej zapłaty do kwoty 2.400 EUR.Link
467SzwecjaDatainspektionen2020-12-031 168 000,00 €Aleris Sjukvård ABArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki DPA (Datainspektionen) ukarał Aleris Sjukvård AB grzywną w wysokości 12 000 000 SEK (1 168 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informacyjnego Nationell patientöversikt (NPÖ) nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do pracy.Link
466SzwecjaDatainspektionen2020-12-031 463 000,00 €Aleris Sjukvård ABArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 32 (1) RODO, Art. 32 (2) RODOSzwedzki DPA (Datainspektionen) ukarał Aleris Sjukvård AB grzywną w wysokości 15 000 000 SEK (1 463 000 EUR) za niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Stwierdzono, że nie przeprowadzono analizy ryzyka związanego z dostępem do danych pacjentów. Uprawnienia dla użytkowników szpitalnego systemu informatycznego TakeCare nie były przydzielane zgodnie z zasadą minimalnego dostępu. Dzięki temu użytkownicy mieli pełny dostęp do poufnych danych pacjentów, które nie były im potrzebne do pracy.Link
465HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-025 000,00 €Asociación de Víctimas por Arbitrariedades Judiciales, (JAVA)Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na stowarzyszenie grzywnę w wysokości 5.000 EUR za opublikowanie na swojej stronie internetowej danych osobowych osób, których dane dotyczą. Dane te zostały bezprawnie zarejestrowane bez ich zgody w toku innego postępowania sądowego i zostały przekazane stowarzyszeniu przez stronę dokonującą nagrania.Link
464HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-023 000,00 €Comercio Online Levante, S.L.Art. 5 (1) f) RODO, Art. 32 RODOPewna kobieta złożyła skargę do hiszpańskiego organu ochrony danych (AEPD) przeciwko Comercio Online Levante, S.L. w związku z tym, że przy próbie dostępu do jej konta użytkownika w sklepie internetowym perfumespremium.es, prowadzonym przez administratora, pokazano jej dane osobowe innego użytkownika.Link
463HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-12-026 000,00 €Servicio de Alojamientos Responsables, S.L.Art. 6 (1) RODOHiszpański organ ochrony danych (AEPD) nałożył na administratora danych grzywnę w wysokości 6.000 euro za nieuprawnione zawarcie umowy w imieniu osoby, której dane dotyczą, bez jej zgody. Osoba, której dane dotyczą, dowiedziała się o tym dopiero po złożeniu przeciwko niej skargi o naruszenie umowy. AEPD uznał, że tym aktem administrator danych bezprawnie przetwarzał dane osobowe osoby, której dane dotyczą.Link
462AustriaÖsterreichische Datenschutzbehörde (DSB)2020-10-19150,00 €Osoba fizycznaArt. 5 (1) a) RODO, Art. 6 RODOOsoba fizyczna nagrywała kobietę podczas korzystania przez nią z jednej z kabin WC, umieszczając telefon komórkowy (smartfon z funkcją aparatu fotograficznego) pod ścianką działową kabiny WC, z ekranem skierowanym do góry i aktywną podczas całego procesu przednią kamerą telefonu komórkowego.Link
461AustriaÖsterreichische Datenschutzbehörde (DSB)2020-10-19600,00 €Osoba fizycznaArt. 5 (1) a) RODO, Art. 9 RODOW okresie od lutego do czerwca 2020 r. osoba fizyczna publikowała na swojej prywatnej stronie na Facebooku informacje o pacjentach. Informacje te zawierały dane o stanie zdrowia w rozumieniu art. 4 (15) RODO. W szczególności opublikowane dane obejmowały nazwiska pacjentów, wyniki badań diagnostycznych, diagnozy lekarskie, dane dotyczące leków, dane dotyczące przyjęć i wypisów ze szpitala, numery ubezpieczenia społecznego pacjentów oraz nazwiska lekarzy prowadzących leczenie.Link
460BelgiaGegevensbeschermingsautoriteit (GBA)2020-11-251 500,00 €Osoba fizycznaArt. 6 RODO, Art. 25 RODOBelgijski organ ochrony danych (APD) nałożył grzywnę na osoby fizyczne. Administratorzy zainstalowali na swojej prywatnej posesji kamery wideo, z których dwie były ustawione w taki sposób, że mogły rejestrować obrazy przestrzeni publicznej i prywatnej posesji sąsiada. Ponadto administratorzy przekazali te obrazy osobie trzeciej.Link
459WłochyGarante per la protezione dei dati personali (Garante)2020-11-2320 000,00 €Burgo Group S.p.AArt. 5 RODO, Art. 13 RODOWłoski organ ochrony danych (Garante) nałożył na przedsiębiorstwo grzywnę w wysokości 20 000 EUR za praktyki niezgodne z przepisami. I tak, na przykład, dyrektor personalny przekazał czterem osobom w firmie rozmowę e-mailową między osobą, której dane dotyczą, a kolegą z pracy, zawierającą dane osobowe (informacje dotyczące dyskomfortu fizycznego i psychicznego w miejscu pracy).Link
458HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-2540 000,00 €Miraclia Telecomunicaciones S.L.Art. 6 RODO, Art. 13 RODO, Art. 14 RODOHiszpański organ ochrony danych (AEPD) nałożył na Miraclia Telecomunicaciones S.L. karę pieniężną w wysokości 40.000 euro za naruszenie art. 6, 13 i 14 RODO. Miraclia Telecomunicaciones S.L. jest operatorem aplikacji prank na telefon, w której można wybrać "prank" i wprowadzić numer telefonu odbiorcy. Następnie odbiorca dzwoni na wprowadzony numer i dowcip jest realizowany. AEPD zauważa, że operator naruszył obowiązek udzielenia informacji dotyczących zbierania danych osobowych osoby, której dane dotyczą. Ponadto zauważa, że Miraclia za pośrednictwem tej aplikacji w żadnym momencie nie informuje osoby, której dane dotyczą (osoby, która odbiera "prank call" i jest nagrywana) o przysługującym jej prawie do wyrażenia zgody zgodnie z przepisami RODO.Link
457FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-11-182 250 000,00 €Carrefour FranceArt. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO, Art. 33 RODOFrancuski organ ochrony danych (CNIL) ukarał Carrefour France grzywną w wysokości 2 250 000 euro za kilka naruszeń przepisów dotyczących ochrony danych, w tym RODO. W trakcie dochodzenia CNIL stwierdziła, że informacje dotyczące danych osobowych przekazywane użytkownikom stron internetowych carrefour.fr oraz osobom pragnącym przystąpić do programu lojalnościowego nie były ani łatwo dostępne, ani zrozumiałe. CNIL stwierdził również, że informacje dotyczące przekazywania danych do krajów spoza UE oraz dotyczące czasu przechowywania danych były niekompletne. CNIL zauważa również, że firma nie przestrzegała limitów czasowych przechowywania danych. Ponadto, dane ponad dwudziestu ośmiu milionów klientów, którzy byli nieaktywni przez pięć do dziesięciu lat, były przechowywane dla celów związanych z programem lojalnościowym. Dotyczyło to również 750.000 użytkowników strony carrefour.fr, którzy byli nieaktywni od pięciu do dziesięciu lat. CNIL stwierdza, że firma wymagała dowodu tożsamości w przypadku prawie każdego wniosku użytkownika o skorzystanie z prawa. Ten automatyczny wymóg nie był jednak uzasadniony, ponieważ w większości przypadków nie było wątpliwości co do tożsamości osób, których dane dotyczą. Ponadto przedsiębiorstwo nie odpowiedziało na kilka wniosków osób, które chciały uzyskać dostęp do swoich danych osobowych. W wielu przypadkach przedsiębiorstwo nie usunęło również danych, o które wnioskowały osoby fizyczne. Wreszcie, przedsiębiorstwo nie odpowiedziało na kilka wniosków osób, które nie wyraziły zgody na otrzymywanie reklam za pośrednictwem wiadomości SMS lub e-mail.Link
456SzwecjaDatainspektionen2020-11-2519 500,00 €Gmina GnosjöArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 35 RODO, Art. 36 RODOSzwedzki organ ochrony danych nałożył grzywnę na gminę Gnosjö za nielegalny monitoring wideo w domu opieki dla osób z pewną niepełnosprawnością funkcjonalną.Link
455SzwecjaDatainspektionen2020-11-24394 000,00 €Miasto SztokholmArt. 5 RODO, Art. 32 RODOSzwedzki urząd ochrony danych osobowych nałożył grzywnę na miasto Sztokholm za naruszenie danych na szkolnej platformie edukacyjnej. Platforma składa się z różnych podsystemów, w tym systemu monitorowania frekwencji w szkole, systemu administracji uczniami, interfejsu dla rodziców oraz interfejsu administracyjnego dla nauczycieli. W jednym z podsystemów brak możliwości ograniczenia dostępu użytkowników do danych umożliwił znacznej liczbie pracowników dostęp do informacji o uczniach przy użyciu chronionej tożsamości. W innym podsystemie rodzice mogli stosunkowo łatwo uzyskać dostęp do informacji o innych uczniach, takich jak oceny. Za pomocą wyszukiwarki Google można było znaleźć linki umożliwiające wejście do interfejsu administracyjnego, w którym dostępne były informacje o nauczycielach posługujących się tożsamością chronioną.Link
454FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-11-18800 000,00 €Carrefour BanqueArt. 5 RODOFrancuski organ ochrony danych (CNIL) nałożył na Carrefour Banque grzywnę za naruszenie obowiązku rzetelnego przetwarzania danych (art. 5 ust. 1 RODO). Jeżeli osoba, która zapisała się na kartę Pass (karta kredytowa, która może być dołączona do konta lojalnościowego), chciała również uczestniczyć w programie lojalnościowym, musiała zaznaczyć pole, w którym wyrażała zgodę na przesyłanie przez Carrefour Banque jej nazwiska, imienia i adresu e-mail do "Carrefour fidélité". Carrefour Banque wyraźnie zaznaczył, że nie będą przekazywane żadne inne dane. CNIL zauważyła jednak, że inne dane, takie jak adres pocztowy, numer telefonu i liczba dzieci, zostały przekazane, chociaż przedsiębiorstwo zobowiązało się nie przekazywać żadnych innych danych..Link
453RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-11-245 000,00 €Dada Creation S.R.L.Art. 32 RODO, Art. 33 RODOZe względu na nieodpowiednie środki techniczne i organizacyjne firma ujawniła za pośrednictwem sklepu internetowego dane dotyczące zamówień, dostaw i dane osobowe ponad 1000 klientów. Dane te były wyświetlane na dokumencie w sklepie internetowym, który można było łatwo pobrać (braj ochrony dostępu). Ponadto przedsiębiorca nie zgłosił wycieku do organu ochrony danych.Link
452HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-182 000,00 €Anmavas 61, S.L.Art. 58 RODOHiszpański organ ochrony danych (AEPD) nałożył grzywnę na Anmavas 61, S.L. za nieprzyznanie lub nieuzasadnioną odmowę prawa do usunięcia danych osobie, której dane dotyczą, nawet po otrzymaniu ostrzeżenia wydanego przez AEPD.Link
451RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-11-234 000,00 € Vodafone România SAArt. 12 RODO, Art. 15 RODO, Art. 17 RODORumuński organ ochrony danych osobowych (ANSPDCP) nałożył na Vodafone România SA karę w wysokości 4.000 EUR. Grzywna została nałożona w wyniku skarg, w których zarzucono operatorowi, że nie odpowiedział na wnioski o dostęp do danych i ich usunięcie. Operator nie był w stanie przedstawić żadnych dowodów na uniewinnienie.Link
450HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-2312 000,00 €Recambios Villalegre S.L.Art. 6 RODO, Art. 13 RODOHiszpański organ ochrony danych osobowych (AEPD) ukarał firmę grzywną za zamieszczenie zdjęć osoby na Facebooku i WhatsApp oraz oskarżenie jej o kradzież w powiązanych postach. Zdjęcia zostały uzyskane dzięki systemowi nadzoru wideo firmy. Firma dalej zachęcała innych użytkowników do udostępniania zarówno zdjęć, jak i postów. Posty zaowocowały setkami upokarzających, obraźliwych, a nawet zawierających groźby komentarzy. AEPD nałożyła grzywnę w wysokości 10 000 EUR za publikację zdjęć oraz 2 000 EUR za niezainstalowanie znaku wymaganego do monitoringu wizyjnego sklepu.Link
449IrlandiaData Protection Commission (DPC)2020-08-1865 000,00 €Szpital położniczy Uniwersytetu CorkArt. 5 RODO, Art. 32 RODOUrząd Ochrony Danych Osobowych w Irlandii nałożył karę na Cork University Maternity Hospital (CUMH) po tym, jak odkryto, że dane osobowe 78 pacjentów zostały wyrzucone do publicznego centrum recyklingu. Wśród wyrzuconych dokumentów, niektóre zawierają dane osobowe kategorii specjalnej sześciu pacjentów. Uważa się, że naruszenie w CUMH dotyczy wrażliwych danych zdrowotnych pacjentów, takich jak historia medyczna i przyszły planowany program opieki.Link
448WłochyGarante per la protezione dei dati personali (Garante)2020-11-172 000,00 €Gmina CollegnoArt. 12 RODO, Art. 13 RODO, Art. 14 RODOGrzywna za nieprzestrzeganie prawa osoby, której dane dotyczą, do dostępu do informacji, ponieważ gmina odrzuciła wniosek osoby, której dane dotyczą, o udostępnienie danych z systemu nadzoru kamer.Link
447WłochyGarante per la protezione dei dati personali (Garante)2020-11-1730 000,00 €Prowincjonalny Urząd Zdrowia CosenzaArt. 9 RODOPublikowanie na stronie internetowej urzędu danych osobowych (m.in. imię i nazwisko, adres, numer identyfikacji podatkowej) osób, które mają roszczenia odszkodowawcze wobec urzędu, bez wystarczającej podstawy prawnejLink
446HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-1642 000,00 €Vodafone España, S.A.UArt. 5 RODO, Art. 6 RODOW 2019 r., po przeprowadzeniu postępowania arbitrażowego, firma zgodziła się na wcześniejsze rozwiązanie umowy z osobą, której dane dotyczą, oraz na usunięcie danych osobowych, których to dotyczy. Mimo to osoba, której dane dotyczą, nadal otrzymywała e-maile od firmy, co stanowiło przetwarzanie danych osobowych bez wystarczającej podstawy prawnej.Link
445HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-161 600,00 €Stowarzyszenie właścicieli nieruchomościArt. 5 (1) c) RODOWykorzystanie systemów kamer CCTV monitorujących również przestrzeń publiczną (naruszenie zasady minimalizacji danych).Link
444HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-1142 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOFirma przeniosła numer telefonu osoby, której dane dotyczą, bez jej zgody (brak podpisu na umowie przeniesienia).Link
443HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-2650 000,00 €Conseguridad SLArt. 37 RODOSpółka (prywatna firma ochroniarska zajmująca się systemami monitoringu wizyjnego) nie posiadała inspektora ochrony danych osobowych, co stanowiło naruszenie art. 37 RODO.Link
442HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-264 000,00 €Organic Natur 03 S.L.Art. 13 RODOStosowanie umowy członkowskiej zawierającej predefiniowane klauzule prywatności, co uniemożliwia skuteczne negocjacje i uzyskanie wyraźnej zgody podpisującego ją klienta.Link
441HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-103 000,00 €Miguel Ibáñez Bezanilla, S.L.Art. 13 RODO, Art. 32 RODOStrona internetowa firmy (sprzedawcy tablic rejestracyjnych) wymagała podania danych osobowych, takich jak imię i nazwisko, kopia dowodu osobistego i prawa jazdy oraz numer VIN samochodu, ale nie oferowała ani szyfrowanego protokołu przesyłania danych, ani zaktualizowanej polityki przetwarzania danych zgodnie z RODO.Link
440Wielka BrytaniaInformation Commissioner (ICO)2020-11-131 405 000,00 €Ticketmaster UK LimitedArt. 5 (1) f) RODO, Art. 32 RODOTicketmaster UK Limited został ukarany grzywną w wysokości 1,25 mln GBP (około 1,405 mln EUR) za brak ochrony danych osobowych swoich klientów za pomocą odpowiednich środków bezpieczeństwa. Potencjalnie 9,4 mln europejskich klientów mogło zostać dotkniętych cyberatakiem w okresie od lutego 2018 r. do 23 czerwca 2018 r. z powodu korzystania z niewystarczająco zabezpieczonego chatbota hostowanego przez stronę trzecią w swojej witrynie płatności online, co umożliwiło atakującemu uzyskanie dostępu do informacji finansowych klientów. ICO stwierdziła również, że 60 000 kart płatniczych należących do klientów Barclays Bank było przedmiotem oszustwa, a kilka międzynarodowych banków również zgłosiło Ticketmasterowi oszustwo.Link
439HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-0620 000,00 €Xfera Moviles S.A.Art. 31 RODOXfera Móviles nie współpracowała z AEPD w dochodzeniu dotyczącym naruszeń prywatności. Xfera Móviles nie odpowiedziała na wniosek o udzielenie informacji ani nie dostarczyła wymaganej dokumentacji.Link
438WłochyGarante per la protezione dei dati personali (Garante)2020-11-1212 251 601,00 €Vodafone Italia S.p.A.Art. 5 (1), (2) RODO, Art. 6 (1) RODO, Art. 7 RODO, Art. 15 (1) RODO, Art. 16 RODO, Art. 21 RODO, Art. 24 RODO, Art. 25 (1) RODO, Art. 32 RODO, Art. 33 RODOSpółka została ukarana grzywną w wysokości 12 251 601 euro za bezprawne przetwarzanie danych osobowych milionów klientów w celach telemarketingowych. Postępowanie poprzedziły setki skarg od osób, których dane dotyczyły, dotyczących niezamówionych połączeń telefonicznych, które doprowadziły do wszczęcia dochodzenia przez organ ochrony danych. Dochodzenie to wykazało szereg naruszeń prawa ochrony danych, w tym naruszenie wymogów dotyczących zgody oraz naruszenie ogólnych obowiązków w zakresie ochrony danych, takich jak rozliczalność. Jednym z głównych zarzutów sformułowanych przez organ ochrony danych było wykorzystywanie fałszywych numerów do wykonywania połączeń promocyjnych przez wynajęte centra telefoniczne (tj. numerów telefonów niezarejestrowanych w krajowym skonsolidowanym rejestrze operatorów komunikacyjnych). Ponadto stwierdzono dalsze naruszenia w zakresie obsługi list kontaktowych zakupionych od zewnętrznych dostawców. Wreszcie, środki bezpieczeństwa w zakresie zarządzania danymi klientów również zostały uznane za nieodpowiednie.Link
437HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-1936 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Przedsiębiorstwo wysłało fakturę osobie, której dane dotyczą, nie będąc w stanie udowodnić, że zawarło z nią umowę.Link
436HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-0575 000,00 €Telefonica Moviles Espana, S.A.U.Art. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej. Przedsiębiorstwo wystawiło kilka faktur osobie, której dane dotyczą, i pobrało kwoty faktur z jej rachunku bankowego, przy czym osoba ta nie była klientem przedsiębiorstwa. Skargi złożone przeciwko spółce przez osobę, której dane dotyczą, pozostały bezskuteczne.Link
435HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-11-0330 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej z powodu błędów w prawidłowym przypisaniu umów z klientami. W tym przypadku Vodafone zażądał należności od osoby, której dane dotyczą, z powodu pomylenia klientów.Link
434HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-284 000,00 €Play Orenes, S.L.Art. 5 (1) c) RODOFirma używała kamer CCTV na zewnątrz swojej siedziby, które rejestrowały również przestrzeń publiczną, co stanowiło naruszenie zasady minimalizacji danych.Link
433WłochyGarante per la protezione dei dati personali (Garante)2020-10-2620 000,00 €Università Campus Bio-medico di RomaArt. 5 (2) a), f) RODO, Art. 9 RODO W zgłoszeniu naruszenia danych zgodnie z art. 33 RODO, organ ochrony danych stwierdził, że pacjenci uzyskujący dostęp do swoich raportów medycznych online za pomocą smartfonów mogli uzyskać dostęp do danych osobowych 74 innych pacjentów. Według polikliniki powodem tego był błąd ludzki w integracji dwóch systemów informatycznych.Link
432CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-10-226 000,00 €Policja cypryjskaArt. 32 RODOFunkcjonariusz policji uzyskał nieuprawniony dostęp do bazy danych zawierającej dane osobowe właścicieli pojazdów i wykorzystał bazę danych do celów nieoficjalnych, przekazując informacje z bazy danych osobie trzeciej. W tym zakresie środki organizacyjne i techniczne podjęte przez policję w celu zapobieżenia nieuprawnionemu dostępowi do bazy danych były niewystarczające, aby zapobiec nieuprawnionemu ujawnieniu danych osobowych osobom trzecim.Link
431HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-2836 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych osoby, której dane dotyczą, bez wystarczającej podstawy prawnej z powodu błędów w prawidłowym przypisaniu umów z klientami.Link
430WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-10-23548 000,00 €Deichmann Cipőkereskedelmi Korlátolt Felelősségű TársaságnakArt. 12 RODO, Art. 15 RODO, Art. 18 (1) c) RODO, Art. 25 RODOAdministrator danych odmówił osobie, której dane dotyczą, dostępu do materiału wideo zarejestrowanego przez telewizję przemysłową w lokalnym sklepie, za pomocą którego osoba, której dane dotyczą, chciała udowodnić, że nie otrzymała zwrotu pieniędzy po dokonaniu płatności w sklepie. Spółka nie tylko odmówiła osobie, której dane dotyczą, dostępu do danych zgodnie z art. 15 RODO (argumentując, że wymagałoby to urzędowego nakazu), ale również usunęła nagrania wideo po pewnym czasie, mimo że osoba, której dane dotyczą, zwróciła się do firmy o nieusuwanie danych z wyprzedzeniem zgodnie z art. 18 ust. 1 lit. c) RODO. 18 (1) c) RODO.Link
429LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2020-10-2115 000,00 €Zarząd Miasta WilnaArt. 5 (1) d) RODO, Art. 5 (1) f) RODOPodczas synchronizacji danych Systemu Informacji o Ludności Administracji Miejskiej z bazami danych Państwowego Centrum Rejestrów Gospodarczych, dane osobowe osoby ubiegającej się o przyznanie prawa do opieki nad adoptowanym dzieckiem zostały zastąpione, z powodu błędu, danymi osobowymi rodziców biologicznych, które następnie były dostępne w Rejestrze Ludności Republiki Litewskiej. Stanowiło to naruszenie zasad integralności i poufności przetwarzania danych osobowych (art. 5 ust. 1 lit. f) RODO) oraz naruszenie zasady ścisłości.Link


Link
428WłochyGarante per la protezione dei dati personali (Garante)2020-09-032 000,00 €Gmina CasaloldoArt. 5 RODO, Art. 6 RODOPublikacja danych osobowych na stronie internetowej gminy.Link
427WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-07-231 700,00 €PracodawcaArt. 12 RODO, Art. 15 RODO, Art. 17 RODOBrak zmiany prywatnego adresu pracownika na nowy i usunięcia starego adresu, a także niewystarczające umożliwienie pracownikowi skorzystania z przysługujących mu praw.Link
426HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-227 800,00 €Iweb Internet Learning, S.L.Art. 7 RODO, Art. 12 RODO, Art. 13 RODOBrak informacji w polityce prywatności (informacji o administratorze danych), a także nieodpowiednie uzyskanie zgody, gdyż można było wyrazić jedynie ogólną zgodę bez rozróżnienia na różne cele przetwarzania danych.Link
425RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-10-202 000,00 €Globus Score SRLArt. 58 RODOFirma nie dostarczyła danych, których zarządał organLink
424HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-064 000,00 €Callesgarcia, S.L.Art. 5 RODO, Art. 6 RODOWykorzystanie fotografii osób, których dane dotyczą, do celów komercyjnych bez wystarczającej podstawy prawnej.Link
423HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-033 000,00 €Avata Hispania, S.L.Art. 5 RODO, Art. 6 RODO, Art. 28 (3) g) RODONaruszenie art. 28 ust. 3 lit. g) RODO, gdyż dane osobowe były dalej przetwarzane po rozwiązaniu przez administratora stosunku umownego z podmiotem przetwarzającym.Link
422CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-10-1915 000,00 €Bank of Cyprus Public Company LtdArt. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 15 RODO, Art. 32 RODO, Art. 33 RODOOsoba, której dane dotyczą, złożyła wniosek o dostęp do informacji zgodnie z art. 15 RODO, na które nie można było odpowiedzieć, ponieważ umowa ubezpieczenia osoby, której dane dotyczą, nie mogła zostać odnaleziona i została utracona. Stanowiło to naruszenie praw osoby, której dane dotyczą, wynikających z art. 15 RODO, jak również naruszenie obowiązków ochrony danych osobowych zgodnie z art. 5 (1) f) RODO oraz art. 32 RODO. Ponadto, obowiązki w zakresie powiadamiania o naruszeniu danych osobowych zgodnie z art. 33 f. RODO, ponieważ osoba, której dane dotyczą, nie została poinformowana o incydencie bezpieczeństwa w odpowiednim czasie.Link
421CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-10-191 000,00 €Grant Ideas LtdArt. 5 RODO, Art. 6 RODOWysyłanie wiadomości e-mail do osób, których dane dotyczą, bez wystarczającej podstawy prawnej.Link
420RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-10-153 000,00 €S.C. Marsorom S.R.L.Art. 32 RODOUjawnienie danych osobowych klientów na stronie internetowej firmy z powodu zastosowania nieodpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo informacji.Link
419HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-095 000,00 €Caja Rural San José de Nules S. Cooperativa de CréditoArt. 5 (1) f) RODOFirma opublikowała informacje z imionami i nazwiskami swoich pracowników, co doprowadziło do ujawnienia sytuacji finansowej osoby, której dane dotyczą.Link
418HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-0950 000,00 €Centro de Investigación y Estudio para la Obesidad, SLArt. 5 RODO, Art. 6 RODOGrzywny za przekazanie danych osobowych osoby, której dane dotyczą, do Evo Finance EFC, SA w ramach rozpatrywania wniosku o ubezpieczenie zdrowotne, bez wystarczającej podstawy prawnej do przekazania danych, ponieważ leczenie, o którym mowa, nigdy nie zostało przeprowadzone.Link
417HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-092 000,00 €Osoba fizycznaArt. 5 (1) c) RODO, Art. 6 RODOWykorzystanie kamery CCTV, która rejestrowała również przestrzeń prywatną sąsiada.
Link
416NorwegiaDatatilsynet2020-09-2513 900,00 €Odin Flissenter ASArt. 5 RODO, Art. 6 RODOSpółka dokonała oceny wiarygodności innej spółki i tym samym, zdaniem Datatilsynet, przetwarzała dane osobowe dotyczące osoby fizycznej (właściciela ocenianej spółki), nie mając ku temu wystarczającej podstawy prawnej.Link
415HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-09900,00 €Café Restaurante B.B.BArt. 5 (1) c) RODOW kawiarni zastosowano kamery CCTV, które zarejestrowały również przestrzeń publiczną na zewnątrz, co stanowiło naruszenie tzw. zasady minimalizacji danych.Link
414HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-303 000,00 €Venu Sanz Chef, S.L.Art. 5 RODO, Art. 6 RODOWykorzystywanie danych osobowych do celów reklamowych bez wystarczającej podstawy prawnej.Link
413RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-10-012 000,00 €Asociația de proprietari Militari RArt. 31 RODO, Art. 58 RODOGrzywna za nieprzestrzeganie nakazu organu nadzorczego.Link
412RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-10-013 000,00 €Megareduceri TV S.R.L.Art. 31 RODO, Art. 58 RODOGrzywna za nieprzestrzeganie nakazu organu nadzorczego.Link
411HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-10-0660 000,00 €LycamobileArt. 5 RODO, Art. 6 RODOGrzywna za przetwarzanie danych osobowych bez wystarczającej podstawy prawnej z powodu nieprawidłowych informacji o właścicielach przedpłaconych kart telefonicznych (niezgodność między właścicielami zarejestrowanymi w rejestrze handlowym firmy, a rzeczywistymi właścicielami kart).Link
410PolskaUrząd ochrony danych osobowych (UODO)2020-06-031 168,00 €Przedsiębiorca prowadzący niepubliczny żłobek i przedszkoleArt. 31 RODO, Art. 58 RODOGrzywna za brak odpowiedzi na wnioski organu nadzorczego o udzielenie dalszych informacji w odpowiednim czasie po naruszeniu ochrony danych.Link
409WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-07-1628,00 €Google Ireland Ltd.Art. 12 RODO, Art. 15 RODOBrak odpowiedzi na wniosek o dostęp do informacji złożony przez osobę, której dane dotyczą (art. 15 RODO - tu: dotyczący danych przetwarzanych w kontekście Google AdWords) w odpowiednim czasie.Link
408HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-2560 000,00 €Xfera Moviles S.A.Art. 5 RODO, Art. 6 RODONieusunięcie danych osobowych osoby, której dane dotyczą, w momencie rezygnacji z umowy o świadczenie usług telefonicznych oraz niewysłanie ostrzeżenia osobie, której dane dotyczą, po rezygnacji, co skutkuje przetwarzaniem jej danych osobowych bez wystarczającej podstawy prawnej.Link
407WłochyGarante per la protezione dei dati personali (Garante)2020-09-3060 000,00 €Scanshare s.r.l.Art. 5 (1) a) RODO, Art. 6 RODO, Art. 9 RODO, Art. 32 RODOWedług organu ochrony danych osobowych, dane osobowe uczestników konkursu publicznego zostały bezprawnie ujawnione w Internecie. Powodem tego był fakt, że z powodu błędu w konfiguracji na platformie tymczasowo dostępna była lista kodów przypisanych kandydatom, co umożliwiało dostęp do dokumentów złożonych przez kandydatów wraz z ich danymi osobowymi. Stanowiło to naruszenie zasady ochrony bezpieczeństwa informacji, za które Scanshare - która przetwarzała dane w imieniu administratora danych "Azienda Ospedaliera di Rilievo Nazionale "Antonio Cardarelli"" (szpital prywatny) - została ukarana grzywną w wysokości 60 000 EUR. [Zobacz również główną grzywnę nałożoną na szpital!]Link
406WłochyGarante per la protezione dei dati personali (Garante)2020-09-3080 000,00 €Azienda Ospedaliera di Rilievo Nazionale 'Antonio Cardarelli' (Szpital prywatny)Art. 5 (1) a) RODO, Art. 6 RODO, Art. 13 RODO, Art. 28 RODO, Art. 32 RODOWedług organu ochrony danych osobowych, dane osobowe uczestników konkursu publicznego zostały bezprawnie ujawnione w Internecie. Powodem tego był fakt, że z powodu błędu w konfiguracji na platformie tymczasowo dostępna była lista kodów przypisanych kandydatom, co umożliwiało dostęp do dokumentów złożonych przez kandydatów wraz z ich danymi osobowymi. Stanowiło to naruszenie zasady ochrony bezpieczeństwa informacji. Ponadto organ ochrony danych stwierdził, że nie zostały również spełnione obowiązki informacyjne oraz że szpital nie przedstawił wystarczającej umowy o przetwarzanie danych z podmiotem przetwarzającym dane [który również został ukarany grzywną, zob. grzywna dla "Scanshare"] zgodnie z art. 28 RODO.Link
405NiemcyOrgan ochrony danych osobowych Hamburga2020-10-0135 258 708,00 €H&M Hennes & Mauritz Online Shop A.B. & Co. KGArt. 5 RODO, Art. 6 RODOKoncern z branży odzieżowej z siedzibą w Hamburgu prowadzi centrum serwisowe w Norymberdze. Tutaj, zgodnie z ustaleniami hamburskiego inspektora ochrony danych, co najmniej od 2014 r. kompleksowo rejestrowano okoliczności życia prywatnego niektórych pracowników i informacje te przechowywano na dysku sieciowym. Na przykład przedsiębiorstwo przeprowadzało "rozmowę powitalną" po powrocie pracowników do pracy po urlopie lub chorobie. Informacje, które w tym kontekście stały się znane - w tym informacje o objawach choroby i diagnozach pracowników - zostały zarejestrowane i zapisane. Ponadto, według organu ochrony danych osobowych w Hamburgu, niektórzy przełożeni wykorzystywali "Flurfunk" [co oznacza "usłyszeć coś przez pocztę pantoflową"], aby uzyskać szeroką wiedzę o poszczególnych pracownikach, na przykład o problemach rodzinnych i przekonaniach religijnych. Informacje przechowywane na dysku sieciowym były dostępne dla maksymalnie 50 menedżerów firmy i były wykorzystywane m.in. do oceny wydajności pracy pracowników i podejmowania decyzji o zatrudnieniu. Gromadzenie danych wyszło na jaw z powodu błędu w konfiguracji technicznej w październiku 2019 r., zgodnie z którym dane przechowywane na dysku sieciowym były dostępne w całej firmie przez kilka godzin. Po tym, jak naruszenie stało się znane, kierownictwo przeprosiło pracowników i zaoferowało rekompensatę pieniężną. Ponadto wspólnie z urzędem ochrony danych wprowadzono również dalsze środki ochronne. Uwaga: Konkretna podstawa prawna kary nie została jeszcze opublikowana - zakładamy, że będzie to głównie Art. 5 i 6 RODO]Link
404HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-2260 000,00 €GLP Instalaciones 86, SLArt. 5 RODO, Art. 6 RODOW celu uzyskania pomocy przy instalacji systemu klimatyzacji osoba, której dane dotyczą, skontaktowała się z Naturgy Energy Group S.A. Następnie skontaktowały się z nią dwie różne firmy, z których jedna to GLP Instalaciones 86, podające się za współpracowników Naturgy. Naturgy zaprzeczyło temu i stwierdziło, że firmy te nie były ani autoryzowanymi instalatorami, ani pracownikami Naturgy, co spowodowało przetwarzanie danych osobowych osoby, której dane dotyczą, w tym jej imienia, nazwiska, numeru telefonu, danych bankowych i adresu e-mail, bez ważnej podstawy prawnej.Link
403BelgiaGegevensbeschermingsautoriteit (GBA)2020-09-070,00 €Były burmistrz gminyArt. 5 RODO, Art. 6 RODOPierwotne podsumowanie kary: Wysyłanie reklam wyborczych do obywateli bez wystarczającej podstawy prawnej. Aktualizacja: 27 stycznia 2021 roku Sąd Apelacyjny w Brukseli uchylił grzywnę w wysokości 5.000 EUR.Link
402WłochyGarante per la protezione dei dati personali (Garante)2020-09-072 000,00 €Istituto Comprensivo Statale Crucoli TorrettaArt. 5 (1) f) RODO, Art. 32 RODOPublikacja danych osobowych uczniów na stronie internetowej Instytutu, m.in. z adnotacjami o stanie zdrowia i postępach w nauce.Publikacja nastąpiła z powodu awarii technicznej.Link
401RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-09-082 000,00 €Sanatatea Press Group S.R.L.Art. 5 (1) f) RODO, Art. 32 RODOPrzesłanie danych osobowych zebranych w celu rejestracji na kurs online do innych uczestników z powodu awarii technicznej.Link
400GrecjaHellenic Data Protection Authority (HDPA)2020-09-118 000,00 €Osoba fizycznaArt. 5 RODODziałanie kamery CCTV, która monitorowała również przestrzeń publiczną poza terenem siedziby administratora danych.Link
399HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-111 500,00 €Partia politycznaArt. 5 RODO, Art. 6 RODOWysłanie wiadomości e-mail do byłego członka partii, który w międzyczasie zrezygnował, z prośbą o pełnienie funkcji przedstawiciela wyborczego, bez wystarczającej podstawy prawnej do przetwarzania wymaganych w tym celu danych osobowych.Link
398HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-1610 000,00 €Stowarzyszenia właścicieli nieruchomościArt. 5 RODOPublikacja dokumentu zawierającego dane osobowe (informacje o tożsamości osoby, której dane dotyczą, a także o długach) na tablicy ogłoszeń w gminie.Link
397HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-173 000,00 €Grupo CarolizanArt. 5 RODODziałanie systemów kamer CCTV na terenie pasażu przed budynkiem, a więc obejmujące również przestrzeń publiczną. Naruszało to zasady minimalizacji danych, ponieważ kamery monitoringu mogły być obsługiwane w sposób, który nie miałby wpływu na przestrzeń publiczną.Link
396HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-1760 000,00 €Vodafone España, SAUArt. 5 RODO, Art. 6 RODOByły klient otrzymywał e-maile zawierające elektroniczne rachunki nawet po rozwiązaniu umowy ze spółką, co prowadziło do przetwarzania danych osobowych bez wystarczającej podstawy prawnej.Link
395RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-09-01500,00 €Stowarzyszenie właścicieli budynków mieszkalnychArt. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 25 RODO, Art. 32 RODOEksportowanie nieruchomego obrazu z systemu monitoringu wizyjnego i umieszczenie go na tablicy reklamowej budynku bez wystarczającej podstawy prawnej. Ponadto, naruszenie obowiązków informacyjnych wynikających z art. 12, 13 RODO oraz naruszenie art. 25 i 32 RODO, ponieważ nie udzielono wystarczających informacji o telewizji przemysłowej oraz nie zastosowano wystarczających technicznych i organizacyjnych środków bezpieczeństwa w celu ochrony danych osobowych gromadzonych przez system monitoringu wizyjnego.Link
394WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-07-23560,00 €Forbes HungaryArt. 5 RODO, Art. 6 RODOGrzywna nałożona na Forbes Hungary za opublikowanie listy 50 najbogatszych Węgrów oraz listy największych przedsiębiorstw rodzinnych bez zachowania odpowiedniej równowagi interesów (art. 6 ust. 1 lit. f) RODO).Link
393GrecjaHellenic Data Protection Authority (HDPA)2020-08-033 000,00 €Kandydat w wyborach parlamentarnychArt. 15 RODOOsoba, której dane dotyczą, otrzymała połączenia telefoniczne dotyczące kandydatury w wyborach parlamentarnych. Gdy osoba, której dane dotyczą, skorzystała z prawa dostępu do danych zgodnie z art. 15 RODO, nie otrzymała żadnych takich informacji.Link
392PolskaUrząd ochrony danych osobowych (UODO)2020-09-0811 200,00 €Szkoła Główna Gospodarstwa Wiejskiego w WarszawieArt. 32 RODOKradzież prywatnego notebooka należącego do pracownika uczelni, który wykorzystywał to urządzenie również do celów służbowych, a na którym znajdowały się dane osobowe kandydatów na studia w SGGW do działań rekrutacyjnych.Link
391WłochyGarante per la protezione dei dati personali (Garante)2020-07-0215 000,00 €Mapei S.p.A.Art. 5 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODOMapei nie odpowiedziała na wniosek o dostęp do danych osobowych osoby, której dane dotyczą. Ponadto Mapei pozostawiła aktywne konto poczty elektronicznej osoby, której dane dotyczą, nawet po rozwiązaniu umowy.Link
390HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-073 000,00 €Barcelona Airport Security Guard Association ('AVSAB')Art. 5 (1) f) RODOCzłonek komitetu bezpieczeństwa AVSAB używał WhatsApp do wysyłania wiadomości na prywatne numery telefonów zawierających dane osobowe pracowników. Stanowiło to naruszenie zasady poufności, która musi być przestrzegana nie tylko przez administratora danych, ale także przez każdy inny podmiot zaangażowany w jakąkolwiek fazę przetwarzania.Link
389HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-09-0175 000,00 €Telefónica Móviles España, SAUArt. 5 RODO, Art. 6 RODOWedług organu nadzorczego, spółka przetwarzała dane osobowe bez wystarczającej podstawy prawnej, w wyniku czego osoba, której dane dotyczą, otrzymała kilkaset niechcianych telefonów i wiadomości SMS.Link
388HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-311 500,00 €Tour & People Max S.L.Art. 21 RODONiezamówione telefony marketingowe, mimo że osoby, których dane dotyczą, wyraziły sprzeciw wobec przetwarzania danych. Oprócz RODO, było to również postrzegane jako naruszenie art. 48 ust. 1 lit. b ustawy ogólnej 9/2014 (hiszpańskie prawo krajowe).Link
387PolskaUrząd ochrony danych osobowych (UODO)2020-08-3122 700,00 €Główny Geodeta KrajuArt. 5 RODO, Art. 6 RODOPrzetwarzanie danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej.Link
386HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-285 000,00 €Federacja Koszykówki Kastylii i LeonuArt. 5 RODO, Art. 6 RODOZwiązek Koszykówki przekazał dane osobowe osobom trzecim, które to dane zostały następnie opublikowane w Internecie bez zgody osób, których dane te dotyczą. Ponadto, organ ochrony danych osobowych stwierdził, że Związek Koszykówki udostępnił również dane osobowe gazecie, naruszając - dodatkowo - zasadę integralności i poufności (art. 5 ust. 1 lit. f) RODO).Link
385HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-2850 000,00 €Bankia S.A.Art. 5 (1) b) RODOBank przechowywał dane osobowe osoby, której dane dotyczą, przez kilka lat, nawet po tym, jak osoba ta nie była już klientem. Dostęp do tych danych mieli w tym czasie również pracownicy banku. Stanowiło to naruszenie zasady ograniczenia celu.Link
384EstoniaAndmekaitse Inspektsioon2020-08-1748,00 €PolicjantArt. 5 RODO, Art. 6 RODODostęp do danych osobowych w policyjnej bazie danych do celów prywatnej działalności badawczej.Link
383HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-175 000,00 €Partia Socjalistów KataloniiArt. 5 (1) b) RODOPartia Socjalistów Katalonii wykorzystała dane osobowe dostarczone przez lekarza prowadzącego działalność zawodową w celu wysłania listu do krewnego skarżącego z prośbą o wsparcie polityczne. Stanowi to inny cel niż pierwotny cel gromadzenia danych, a zatem narusza zasadę ograniczenia celu.Link
382HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-3145 000,00 €Vodafone España SAUArt. 5 RODO, Art. 6 RODOBezprawne przetwarzanie numeru telefonu do celów marketingowych, nawet po skorzystaniu przez osobę, której dane dotyczą, z prawa do usunięcia danych.Link
381PolskaUrząd ochrony danych osobowych (UODO)2020-07-1522 300,00 €Główny Geodeta KrajuArt. 31 RODO, Art. 58 RODOOdmowa dostępu do pomieszczeń przez organ nadzorczy w trakcie kontroli.Link
380BelgiaGegevensbeschermingsautoriteit (GBA)2020-07-283 000,00 €Stowarzyszenie polityczneArt. 5 RODO, Art. 6 RODO, Art. 14 RODOLokalne stowarzyszenie polityczne rozesłało do mieszkańców gminy ogłoszenia wyborcze dotyczące wyborów samorządowych w 2018 roku. W tym celu stowarzyszenie wykorzystało spis wyborców z 2012 r. i porównało go z tym z 2018 r., bez wystarczającej podstawy prawnej i bez odpowiedniej informacji zgodnie z art. 14 RODO.Link
379WłochyGarante per la protezione dei dati personali (Garante)2020-07-294 000,00 €Region KampaniaArt. 5 RODO, Art. 6 RODOPublikacja tytułu wykonawczego w postępowaniu cywilnym na stronie internetowej Regionu. W dokumencie tym wymienione były nazwiska i miejsce zamieszkania oraz wysokość roszczenia.Link
378WłochyGarante per la protezione dei dati personali (Garante)2020-07-293 000,00 €Gmina San Giorgio JonicoArt. 5 RODO, Art. 6 RODOPublikacja danych osobowych na stronie internetowej gminy w związku z postępowaniem sądowym.Link
377WłochyGarante per la protezione dei dati personali (Garante)2020-07-302 000,00 €Gmina ManduriiArt. 5 RODO, Art. 6 RODOGmina przekazała dane osobowe pracownika gminy do prasy bez wystarczającej podstawy prawnej.Link
376WłochyGarante per la protezione dei dati personali (Garante)2020-08-041 000,00 €SupermarketArt. 5 RODO, Art. 6 RODOOperator supermarketu wywiesił pismo o zwolnieniu kierownika ds. personalnych na publicznej tablicy ogłoszeń w supermarkecie.Link
375WłochyGarante per la protezione dei dati personali (Garante)2020-08-045 000,00 €Narodowy Instytut Zabezpieczenia Społecznego - Oddział Prowincji BresciaArt. 15 RODOBrak stopniowania dostępu do danych osobowych dotyczących zdrowia osoby, której dane dotyczą, zgodnie z art. 15 RODO.Link
374WłochyGarante per la protezione dei dati personali (Garante)2020-08-0415 000,00 €Mapei S.p.A.Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 13 RODO, Art. 15 RODO, Art. 17 RODOPrzedsiębiorstwo pozostawiło konto poczty elektronicznej osoby, której dane dotyczą, aktywne nawet po zakończeniu jej zatrudnienia i automatycznie przekazywało przychodzące wiadomości. Przedsiębiorstwo nie dostarczyło wystarczających informacji na ten temat. Ponadto przedsiębiorstwo nie reagowało na wnioski o dostęp i usunięcie danych.Link
373WłochyGarante per la protezione dei dati personali (Garante)2020-08-052 000,00 €SzkołaArt. 5 RODO, Art. 6 RODOUmieszczanie danych osobowych uczniów na publicznej tablicy ogłoszeń.Link
372AustriaÖsterreichische Datenschutzbehörde (DSB)2020-08-05100,00 €BankArt. 5 RODO, Art. 6 RODOPracownik banku zrobił kopię dowodu osobistego klienta banku, który chciał wymienić 100 euro w obcej walucie i uzasadnił to zarzutem prania pieniędzy. Dotyczy to jednak tylko kwoty 1000 euro i wyższej.Link
371HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-053 000,00 €RestauracjaArt. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODOInstalacja kamer CCTV, które również monitorowały przestrzeń publiczną bez odpowiedniej informacji.Link
370FinlandiaTietosuojavaltuutetun Toimisto2020-08-057 000,00 €Acc Consulting Varsinais-SuomiArt. 5 RODO, Art. 6 RODONiezamówione marketingowe wiadomości SMS bez uprzedniej zgody.Link
369HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-063 000,00 €Just Landed S.L.Art. 13 RODOJust Landed został ukarany grzywną w wysokości 3000 EUR za niewystarczające informacje o plikach cookie zgodnie z krajowymi przepisami o ochronie danych i jednocześnie ostrzeżony z powodu niewystarczającego wypełnienia obowiązków informacyjnych zgodnie z art. 13 RODO (polityka prywatności tylko w języku angielskim).Link
368WłochyGarante per la protezione dei dati personali (Garante)2020-08-063 000,00 €GTL S.R.L.Art. 12 RODO, Art. 15 RODOBrak stopniowania dostępu do danych osobowych osoby, której dane dotyczą, zgodnie z art. 15 RODO.Link
367WłochyGarante per la protezione dei dati personali (Garante)2020-08-1010 000,00 €Gmina BaronissiArt. 5 RODO, Art. 6 RODOGmina opublikowała na swojej stronie internetowej dane osobowe osób, których dane dotyczą, w tym imiona i nazwiska, daty urodzenia, miejsce urodzenia, miejsce zamieszkania itp.Link
366WłochyGarante per la protezione dei dati personali (Garante)2020-08-1010 000,00 €Cavauto S.R.L.Art. 5 RODO, Art. 6 RODO, Art. 7 RODODostęp do danych osobowych byłego pracownika (zawierających historię jego przeglądarki) na jego komputerze służbowym.Link
365HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-0460 000,00 €Vodafone España, SAUArt. 5 RODO, Art. 6 RODOOsoba, której dane dotyczą, otrzymała od Vodafone potwierdzenie przeniesienia numeru, którego ta ostatnia nigdy nie zleciła.Link
364HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-08-063 000,00 €GROW BEATS SLArt. 12 RODO, Art. 13 RODO, Art. 14 RODOSpółka opublikowała na swojej stronie internetowej politykę cookies, która z jednej strony nie zawierała informacji o celu stosowania plików cookies, a z drugiej strony nie zawierała informacji o właściwościach instalowanych plików cookies i czasie, przez jaki pozostają one aktywne w urządzeniu końcowym użytkownika.Link
363DaniaDatatilsynet2020-08-0420 100,00 €PrivatBo A.M.B.A.Art. 5 RODO, Art. 32 RODOW ramach sprzedaży nieruchomości spółka rozdawała najemcom pamięci USB, które zawierały nie tylko nieosobiste informacje o przedmiotowych nieruchomościach, ale również dane osobowe innych osób, takie jak umowy najmu i inne dokumenty zawierające poufne dane osobowe.Link
362FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2020-08-05250 000,00 €SpartooArt. 5 (1) RODO, Art. 13 RODO, Art. 14 RODOGrzywna w wysokości 250000 euro została nałożona na internetowego sprzedawcę detalicznego Spartoo. Powodem było to, że firma, która ma swoją siedzibę we Francji, ale zaopatruje wiele krajów europejskich, w pełni nagrywała wszystkie rozmowy telefoniczne na infolinii (w tym dane osobowe, takie jak adres i dane bankowe zamówień), a ponadto przechowywała dane bankowe częściowo niezaszyfrowane. Stanowi to m.in. naruszenie zasady minimalizacji danych. Ponadto organ nadzorczy stwierdził również naruszenie obowiązków informacyjnych zgodnie z art. 13 RODO, ponieważ informacje spółki dotyczące ochrony danych osobowych były częściowo nieprawidłowe.Link
361DaniaDatatilsynet2020-07-28147 800,00 €Arp Hansen Hotel Group A/SArt. 5 (1) e) RODOPodczas kontroli organ nadzorczy dokonał przeglądu szeregu systemów informatycznych w celu zbadania, czy Arp-Hansen posiada wystarczające procedury gwarantujące, że dane osobowe nie są przechowywane dłużej niż jest to konieczne do celów ich gromadzenia. Stwierdzono, że jeden z systemów rezerwacji zawierał dużą ilość danych osobowych, które powinny już zostać usunięte zgodnie z terminami usuwania danych ustalonymi przez samo Arp-Hansen.Link
360RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-07-275 000,00 €SC Cntar Tarom SAArt. 32 RODONieuprawnione ujawnienie danych pięciu pasażerów spółki Tarom z powodu niewłaściwych środków technicznych i organizacyjnych zapewniających bezpieczne przetwarzanie danych. Firma została zobowiązana m.in. do podjęcia działań naprawczych, w tym przeszkolenia pracowników i przeprowadzenia procedur oceny ryzyka.Link
359RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-07-302 000,00 €Compania Națională „Poșta Română” SAArt. 32 RODOPrzetwarzanie danych osobowych, a mianowicie numerów telefonów i adresów e-mail 81 podmiotów danych, przez Pocztę Rumuńską jako administratora danych, z pominięciem odpowiednich środków technicznych i organizacyjnych, takich jak pseudonimizacja.Link
358RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-07-302 000,00 € SC Viva Credit IFN SAArt. 17 RODOPrzedsiębiorstwo nie poinformowało osoby, której dane dotyczą, w ciągu jednego miesiąca (lub do trzech miesięcy, jeśli podano powód opóźnienia) o środkach podjętych w następstwie wniosku o usunięcie danych.Link
357BelgiaGegevensbeschermingsautoriteit (GBA)2020-07-145 000,00 €Operator of CCTV of a residential buildingArt. 6 RODO, Art. 7 RODOOperator kamer wideo na terenie nieruchomości mieszkalnej zainstalował tam kamery w celu monitorowania wspólnej przestrzeni dwóch bloków mieszkalnych. Administrator danych twierdził, że właściciele wyrazili na to zgodę, podpisując notarialnie poświadczone umowy kupna. Jednakże organ ochrony danych zaprzeczył temu po sprawdzeniu umów.Link
356HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-235 000,00 €El Real Sporting de Gijón S.A.D.Art. 6 RODO, Art. 7 RODOGrzywny za wysyłanie bezpośrednich komunikatów marketingowych bez wystarczającej zgody, ponieważ formularz, który Real Sporting de Gijón przekazał członkom klubu, nie był zgodny z RODO (opt-out zamiast opt-in).Link
355HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-235 000,00 €Xfera Moviles S.A.Art. 58 RODOW następstwie skargi spółka Xfera Móviles została wezwana przez AEPD do przedłożenia określonych informacji i dokumentów, jednak nie uczyniła tego w wyznaczonym terminie.Link
354HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2375 000,00 €Telefónica Móviles España, SAUArt. 5 RODO, Art. 6 RODOSpółka ta dokonała przeniesienia numeru jego linii telefonicznej od jego dotychczasowego operatora bez jego zgody. Dane osobowe zostały przekazane przez poprzedniego operatora telefonicznego do Telefónica Móviles España w celu zmiany właściciela linii telefonicznej bez wystarczającej podstawy prawnej.Link
353HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2370 000,00 €Telefónica Móviles España, SAUArt. 5 RODO, Art. 6 RODOKonto osoby, której dane dotyczą, zostało obciążone za dwie usługi telekomunikacyjne, których nigdy nie zamawiała ani nie zatwierdzała. Stanowiło to niezgodne z prawem przetwarzanie danych osobowych, ponieważ informacje dotyczące osoby, której dane dotyczą, były przechowywane w systemach informatycznych Telefónica Móviles España bez podstawy prawnej do wystawienia faktury.Link
352HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2355 000,00 €Telefónica Móviles España, SAUArt. 5 RODO, Art. 6 RODOTelefónica Móviles España przetworzyła dane osobowe osoby, której dane dotyczą, takie jak imię i nazwisko oraz dane bankowe, w celu aktywacji trzech usług telekomunikacyjnych, o które osoba ta nigdy nie prosiła. Stanowi to naruszenie zasady legalności przetwarzania danych.Link
351HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2310 000,00 €El Periódico de Catalunya, S.L.U.Art. 5 RODO, Art. 6 RODOW następstwie wniosku o usunięcie danych, skierowanego do spółki, osoba, której dane dotyczą, otrzymała od gazety kolejny biuletyn, chociaż El Periódico de Catalunya twierdziła, że wniosek został uwzględniony. Wynikało to z awarii zewnętrznego usługodawcy spółki.Link
350HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2070 000,00 €Xfera Moviles S.A.Art. 5 RODOOsoba, której dane dotyczą, otrzymała telefon od innego klienta Xfera Móviles, który twierdził, że spółka obciążyła jego rachunek bankowy fakturą, ujawniając dane osobowe tej drugiej osoby. Wynikało to z błędu popełnionego przez Xfera Móviles, a zatem stanowiło naruszenie zasad integralności i poufności.Link
349HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2080 000,00 €Orange Espagne S.A.U.Art. 5 RODO, Art. 6 RODOSpółka dokonała niezgodnej z prawem aktywacji kilku umów o świadczenie usług telekomunikacyjnych przy wykorzystaniu danych osobowych osoby, której dane dotyczą. Stanowiło to niezgodną z prawem operację przetwarzania danych, ponieważ dane osoby, której dane dotyczą, zostały wprowadzone do bazy danych spółki i były tam przetwarzane bez uzasadnionej podstawy prawnej.Link
348GrecjaHellenic Data Protection Authority (HDPA)2020-06-295 000,00 €New York College S.A.Art. 5 RODOCollege kontaktował się bezpośrednio ze skarżącym przez telefon w sprawie programu edukacyjnego i przetwarzał dane osobowe w sposób nieprzejrzysty.Link
347HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-201 500,00 €Comercial Vigobrandy, SLArt. 12 RODO, Art. 13 RODO, Art. 14 RODOInstalacja CCTV bez odpowiedniej informacji w postaci oznakowania.Link
346HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2040 000,00 €Iberia Lae SA Operadora UnipersonalArt. 58 RODOPrzedsiębiorstwo nie udzieliło osobie, której dane dotyczą, dostępu do nagrań rozmów telefonicznych. Wniosek skarżącej o dostęp pozostał bez odpowiedzi, pomimo wcześniejszego postanowienia AEPD.Link
345HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-2024 000,00 €Banco Bilbao Vizcaya Argentaria, SAArt. 5 RODO, Art. 6 RODOBBVA nie miała uzasadnionej podstawy do przetwarzania danych osoby, której dane dotyczą, a zatem naruszyła art. 6 ust. 1 RODO, ponieważ spółka przetwarzała akta dotyczące wypłacalności i informacji kredytowej bez uprzedniego nawiązania stosunku umownego z osobą, której dane dotyczą.Link
344BelgiaGegevensbeschermingsautoriteit (GBA)2020-07-14600 000,00 €Google Belgium SAArt. 5 RODO, Art. 6 RODO, Art. 17 (1) a) RODO, Art. 12 RODOBelgijski urząd ochrony danych osobowych ukarał Google Belgium SA, spółkę zależną Google, grzywną w wysokości 600.000 euro. Powodem nałożenia grzywny było odrzucenie wniosku osoby, której dane dotyczą, o odesłanie nieaktualnych artykułów, które osoba ta uznała za szkodliwe dla jej reputacji, oraz brak przejrzystości w stosowanym przez Google formularzu odesłań. Belgijski organ ochrony danych stwierdził, że artykuły dotyczące bezpodstawnych skarg na molestowanie mogą mieć poważne konsekwencje dla osób, których dane dotyczą, a zatem osoby fizyczne mają prawo żądać usunięcia/odniesienia się do tych artykułów. Dotyczy to również osób sprawujących urzędy polityczne, mimo że urzędy te są zasadniczo mniej wymagające ochrony ze względu na ich publiczny status, a zatem artykuły dotyczące osób zajmujących stanowiska polityczne mogą być przechowywane przez dłuższy czas. Odrzucenie wniosku przez Google stanowiło zatem naruszenie art. 17 RODO (grzywna za to naruszenie: 500 000 euro). Ponadto nałożono kolejną grzywnę w wysokości 100 000 euro za naruszenie zasady przejrzystości, ponieważ odrzucenie przez Google wniosku o usunięcie danych nie było wystarczająco uzasadnione.Link
343HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-1055 000,00 €Xfera Moviles S.A.Art. 5 RODO, Art. 32 RODOPrzedsiębiorstwo zmieniło umowę na podłączenie telefonu komórkowego na rzecz nowego właściciela, na podstawie której dane osobowe osoby, której dane dotyczą, takie jak jej adres i numery telefonów, były swobodnie dostępne. Stanowiło to naruszenie zasad poufności i integralności.Link
342HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-105 000,00 €School Fitness Holiday & Franchising S.L.Art. 5 RODONaruszenie zasady przejrzystości. W chwili obecnej nie są dostępne żadne dalsze informacje.Link
341HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-105 000,00 €Global Business Travel Spain SLUArt. 32 RODOGrzywna została nałożona w związku z uzyskaniem przez pracownika dostępu do danych zdrowotnych osoby zainteresowanej. W toku postępowania Urząd Ochrony Danych Osobowych stwierdził, że Global Business Travel Spain, jako administrator danych, naruszył art. 32 ust. 2 i 4 RODO, nie podejmując odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed nieuprawnionym ujawnieniem.Link
340HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-1012 000,00 €Vodafone España, SAUArt. 5 RODOKary za naruszenie Art. 5 ust. 1 lit. d) RODO za zmianę danych podstawowych klienta na nazwisko osoby trzeciej, byłego małżonka klienta.Link
339HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-101 000,00 €Centro Internacional De Crecimiento Laboral Y Profesional S.L.Art. 5 RODO, Art. 6 RODOWysyłanie wiadomości handlowych bez zgody i bez możliwości sprzeciwu.Link
338HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-101 500,00 €Auto Desguaces Iglesias S.L.Art. 5 RODOFirma zainstalowała kamery monitoringu, które nagrywały drogę publiczną i tym samym naruszyła zasadę minimalizacji danych.Link
337WłochyGarante per la protezione dei dati personali (Garante)2020-07-13800 000,00 €Iliad Italia S.p.A.Art. 5 RODO, Art. 25 RODOGrzywna dotyczy naruszeń ochrony danych w zakresie przetwarzania danych klientów w celu aktywacji kart SIM oraz sposobu rejestrowania danych dotyczących płatności. Ponadto organ ochrony danych stwierdził, że przedsiębiorstwo naruszyło zasady legalności, uczciwości i przejrzystości, jak również integralności i poufności w odniesieniu do przetwarzania danych osobowych do celów marketingu bezpośredniego oraz przechowywania danych klientów w osobistej strefie swojej strony internetowej.Link
336WłochyGarante per la protezione dei dati personali (Garante)2020-07-1316 700 000,00 €Wind Tre S.p.A.Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 24 RODO, Art. 25 RODOGrzywny za kilka niezgodnych z prawem działań w zakresie przetwarzania danych związanych z marketingiem bezpośrednim. Setki osób, których dane dotyczą, twierdziły, że otrzymywały niezamówione komunikaty wysyłane bez ich uprzedniej zgody za pośrednictwem wiadomości SMS, poczty elektronicznej, połączeń telefonicznych i połączeń automatycznych. Osoby, których dane dotyczą, nie były w stanie skorzystać z prawa do wycofania zgody i sprzeciwu wobec przetwarzania danych do celów marketingu bezpośredniego, ponieważ informacje zawarte w polityce ochrony danych były niekompletne w odniesieniu do danych kontaktowych. Ponadto organ ochrony danych stwierdził, że dane osób, których dane dotyczą, zostały opublikowane na publicznych listach telefonicznych pomimo ich sprzeciwu. Ponadto kilka aplikacji dystrybuowanych przez spółkę zostało skonfigurowanych w taki sposób, że użytkownik musiał wyrazić zgodę na różne czynności przetwarzania danych za każdym razem, gdy uzyskiwał do nich dostęp, przy czym możliwość wycofania zgody istniała dopiero po 24 godzinach.Link
335WłochyGarante per la protezione dei dati personali (Garante)2020-07-13200 000,00 €Merlini s.r.l.Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 28 RODO, Art. 29 RODOSpółka prowadziła działania telemarketingowe w imieniu Wind Tre S.p.A. za pośrednictwem zewnętrznego dostawcy jako podmiotu przetwarzającego dane bez wystarczającej podstawy prawnej do przetwarzania danych (art. 5-7 RODO) i bez wystarczających uzgodnień umownych (art. 28, 29 RODO) z zewnętrznym dostawcą.Link
334NiderlandyAutoriteit Persoonsgegevens (AP)2020-07-06830 000,00 €Bureau Krediet Registration ('BKR')Art. 12 RODO, Art. 15 RODOBKR wymagał wniesienia opłaty, gdy osoby fizyczne żądały dostępu do swoich danych osobowych i tylko raz w roku zapewniał bezpłatny dostęp do tych danych drogą pocztową.Link
333NorwegiaDatatilsynet2020-07-1046 660,00 €Gmina RælingenArt. 32 RODO, Art. 35 RODOGrzywna za przetwarzanie danych dotyczących zdrowia dzieci w związku z niepełnosprawnością za pośrednictwem cyfrowej platformy edukacyjnej "Showbie". Gmina nie przeprowadziła oceny skutków dla ochrony danych ("DPIA") zgodnie z art. 35 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) ("RODO") przed rozpoczęciem przetwarzania oraz nie podjęła odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO, co skutkowało zwiększonym ryzykiem nieuprawnionego dostępu do danych osobowych uczniów.Link
332PolskaUrząd ochrony danych osobowych (UODO)2020-07-103 400,00 €East Power Sp. z o.o.Art. 31 RODO, Art. 58 RODOPo trzech wezwaniach skierowanych do East Power, w których spółka ta nie udzieliła wystarczających wyjaśnień w sprawie skargi dotyczącej marketingu bezpośredniego, organ ochrony danych stwierdził, że East Power celowo utrudniała przebieg postępowania lub co najmniej nie wywiązała się ze swoich obowiązków w zakresie współpracy z organem nadzorczym.Link
331RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-07-0915 000,00 €Proleasing Motors SRLArt. 32 RODOSpółka nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych, co doprowadziło do opublikowania na Facebooku dokumentu zawierającego hasło dostępu do danych osobowych 436 klientów.Link
330HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-025 000,00 €Xfera Moviles S.A.Art. 31 RODO, Art. 58 RODOPrzedsiębiorstwo nie współpracowało w wystarczającym stopniu z organem ochrony danych.Link
329HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-023 600,00 €Saunier-Tec Mantenimientos de Calor y Frio, SL.Art. 33 RODOMimo że spółka podjęła kroki w celu zaradzenia naruszeniu danych, nie poinformowała AEPD w wystarczającym stopniu. W związku z tym AEPD nałożyło grzywnę w wysokości 4 800 EUR, która została zmniejszona do 3 600 EUR dzięki dobrowolnej wpłacie.Link
328NorwegiaDatatilsynet2020-07-020,00 €Odin Flissenter ASArt. 5 RODO, Art. 6 RODOW dniu 2 lipca 2020 r. norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na firmę Odin Flissenter AS grzywnę w wysokości 28 000 EUR za naruszenie art. 5 RODO i Art. 6 RODO. Grzywna ta została nałożona w międzyczasie, zobacz szczegóły pod naruszeniem ID 416Link
327HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-024 000,00 €De Vere Spain S.L.Art. 21 RODOFirma nie odpowiedziała na wniosek osoby, której dane dotyczą, o zaprzestanie przetwarzania jej danych, w związku z czym osoba, której dane dotyczą, nadal otrzymywała telefony komercyjne.Link
326HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-07-0224 000,00 €Iberdrola ClientesArt. 5 RODOOsoba trzecia otrzymała rachunek za energię elektryczną zawierający dane osobowe, takie jak nazwisko, adres i rachunek bankowy innego klienta. Powodem tego był fakt, że spółka Iberdola Clientes nie była w stanie zagwarantować odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych osoby, której dane dotyczą, co stanowiło naruszenie zasad integralności i poufności danych. Grzywna w wysokości 40 000 euro została zmniejszona do 24 000 euro ze względu na dobrowolną zapłatę.Link
325WłochyGarante per la protezione dei dati personali (Garante)2020-03-053 000,00 €San Giorgio JonicoArt. 5 RODO, Art. 6 RODO, Art. 17 RODOPublikacja danych osobowych obywatela na stronie internetowej i niezastosowanie się do prośby o ich usunięcie.Link
324WłochyGarante per la protezione dei dati personali (Garante)2020-01-304 000,00 €Gmina ColledaraArt. 5 RODO, Art. 6 RODOPublikacja na stronie internetowej dokumentów dotyczących przetargu publicznego zawierających dane osobowe.Link
323HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-196 000,00 €Brygada Policji PaństwowejArt. 5 RODO, Art. 6 RODOWykonywanie kopii dokumentacji handlowej przedsiębiorstwa w kontekście dochodzeń, które zawierały dane pochodzące od stron trzecich i dla których nie istniała podstawa prawna do przetwarzania.Link
322NorwegiaDatatilsynet2020-06-190,00 €Aquateknikk ASArt. 5 RODO, Art. 6 RODOW dniu 19 czerwca 2020 r. norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na Aquateknikk AS grzywnę w wysokości 28 000 EUR za naruszenie art. 5 RODO i Art. 6 RODO . Grzywna ta została nałożona w międzyczasie, zobacz szczegóły pod naruszeniem 530.Link
321NorwegiaDatatilsynet2020-06-22112 000,00 €Szpital Østfold HFArt. 32 RODOStwierdzono, że Østfold HF Hospital przechowywał dane pacjentów, w tym dane wrażliwe, takie jak powód hospitalizacji, w latach 2013-2019, bez kontrolowania dostępu do folderów, w których dane były przechowywane. Datatilsynet uznał zatem, że szpital nie podjął wystarczających środków technicznych i organizacyjnych w celu ochrony danych osobowych, a zatem naruszył RODO i ustawę o dokumentacji pacjentów.Link
320IrlandiaData Protection Commission (DPC)2020-06-3040 000,00 €Tusla Child and Family AgencyArt. 33 RODOOrganizacja wysłała list z zarzutami o nadużycia do osoby trzeciej, która następnie umieściła go w sieciach społecznościowych.a href="https://www.irishlegal.com/article/tusla-fined-40-000-in-second-gdpr-breach" rel="nofollow">Link
319DaniaDatatilsynet2020-06-306 700,00 €Gmina Lejre Art. 5 RODO, Art. 6 RODO, Art. 33 RODO, Art. 34 RODOOrgan ochrony danych ustalił, że Miejskie Centrum Dzieci i Młodzieży w Lejre regularnie umieszczało protokoły ze spotkań, na których znajdowały się szczególnie wrażliwe i delikatne dane osobowe, w tym dotyczące obywateli poniżej 18 roku życia, na portalu kadrowym gminy Lejre, do którego dostęp mieli pracownicy gminy Lejre, niezależnie od tego, czy pracownicy ci zajmowali się tymi sprawami. Ponadto organ ochrony danych zaprzeczył, że nie dopełniono obowiązku poinformowania zainteresowanych osób o naruszeniu danych.Link
318Wyspa ManInformation Commissioner2020-06-2513 500,00 €Departament Spraw WewnętrznychArt. 12 RODO, Art. 15 RODOKary za nieprzestrzeganie prawa dostępu do danych osobowych na podstawie art. 12 i 15 RODO. Wyspa Man zadeklarowała stosowanie RODO, mimo że nie jest państwem UE.Link
317BelgiaGegevensbeschermingsautoriteit (GBA)2020-06-085 000,00 €Pracownik komunalnyArt. 5 RODO, Art. 6 RODOW kontekście wyborów samorządowych w 2018 r. administrator danych wysłał ogłoszenia wyborcze do grupy pracowników tego samego zarządu gminy, bezprawnie wykorzystując listę danych kontaktowych, do których nie miał dostępu.Link
316BelgiaGegevensbeschermingsautoriteit (GBA)2020-06-161 000,00 €NieznanyArt. 17 RODO, Art. 21 RODO, Art. 31 RODOOsoba, której dane dotyczą, wielokrotnie otrzymywała od przedsiębiorstwa e-maile o treści reklamowej, mimo że osoba, której dane dotyczą, sprzeciwiła się przetwarzaniu jej danych osobowych i zażądała ich usunięcia. Ponadto przedsiębiorstwo nie odpowiedziało na żadne zapytanie organu ochrony danych w tym zakresie.Link
315BelgiaGegevensbeschermingsautoriteit (GBA)2020-06-1910 000,00 €NieznanyArt. 5 RODO, Art. 6 RODO, Art. 15 RODOPrzedsiębiorstwo wysłało wiadomość e-mail do zainteresowanej osoby bez jej zgody. Następnie osoba zainteresowana zwróciła się o terminowe informacje na temat wpisów w bazie danych dotyczących jej osoby, które pozostały bez odpowiedzi.Link
314SzwecjaDatainspektionen2020-06-161 900,00 €Spółdzielnia mieszkaniowaArt. 5 RODO, Art. 6 RODOBezprawne użycie kamer monitorujących. W decyzji organ ochrony danych podkreślił, że nagrania dźwiękowe mają dodatkowy wpływ na prywatność, zwłaszcza w budynku mieszkalnym, i że w tym przypadku nie ma nic, co uzasadniałoby nagrywanie dźwięku. Ponadto decyzja nakazuje spółdzielni mieszkaniowej zaprzestanie stosowania kamer rejestrujących klatki schodowe i wejścia, zaprzestanie nagrywania dźwięku oraz poprawę informacji na temat nadzoru kamer.Link
313WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-06-12288 000,00 € Digi Távközlési Szolgáltató Kft. (dostawca usług łączności elektronicznej)Art. 5 (1) b), (e) RODO, Art. 32 (1), (2) RODOPrzedsiębiorstwo naruszyło zasady ograniczenia celu i ograniczenia przechowywania, ponieważ jego baza danych zawierała dużą ilość danych klientów, które nie były już istotne dla rzeczywistego celu ich gromadzenia i dla których nie ustalono okresu przechowywania. Ponadto NAIH wskazał, że oskarżony nie podjął proporcjonalnych środków w celu zmniejszenia ryzyka w dziedzinie zarządzania danymi i bezpieczeństwa danych, argumentując między innymi, że nie zastosował mechanizmów szyfrowania.Link
312RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-06-113 000,00 €Telekom RomaniaArt. 32 RODONieodpowiednie środki bezpieczeństwa stosowane przez spółkę doprowadziły do niezgodnego z prawem przetwarzania danych osobowych bez sprawdzenia ich prawidłowości. Z tego powodu na Telekom Romania nałożono grzywnę za naruszenie art. 32 RODO, a także nakazano wprowadzenie skutecznych mechanizmów identyfikacji i ochrony danych przed nieuprawnionym ujawnieniem i bezprawnym przetwarzaniem w celu zapewnienia zgodności z RODO.Link
311HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-1575 000,00 €Xfera Moviles S.A.Art. 6 RODOOsoba, której dane dotyczą, otrzymała zawiadomienie od firmy windykacyjnej z żądaniem płatności w związku z usługami Xfera Móviles, mimo że skarżący nie był klientem Xfera Móviles od września 2017 r. Ponadto w uchwale wskazano, że Xfera Móviles dokonała przetwarzania danych osobowych skarżącego bez jego zgody, co stanowi naruszenie art. 6 RODO.Link
310RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-06-184 000,00 €Enel EnergieArt. 32 RODOBrak podjęcia odpowiednich środków w celu zapobieżenia nieuprawnionemu ujawnieniu danych osobowych. Grzywna została nałożona w związku ze skargą na ujawnienie danych osobowych osoby, której dane dotyczą, innemu klientowi za pośrednictwem poczty elektronicznej.Link
309HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-162 000,00 €Café BarArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODONielegalne wykorzystanie kamer CCTV (nagrywanie osób trzecich) oraz niewystarczające wypełnianie obowiązków informacyjnych.Link
308HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-222 000,00 €Comunidad de propietarios demelza beachArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODONielegalne wykorzystanie kamer CCTV ze względu na objęcie monitoringiem przestrzeni publicznej i nagrywanie przechodzących pieszych. Ponadto, niewystarczające wypełnianie obowiązków informacyjnych.Link
307HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-237 500,00 €Miraclia (firma telekomunikacyjna)Art. 5 RODO, Art. 6 RODONielegalne wykorzystanie kamer CCTV ze względu na objęcie monitoringiem przestrzeni publicznej i nagrywanie przechodzących pieszych. Ponadto, niewystarczające wypełnianie obowiązków informacyjnych.Link
306NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2020-06-301 240 000,00 €Allgemeine Ortskrankenkasse ('AOK') (firma ubezpieczeniowa zdrowotnego)Art. 5 RODO, Art. 6 RODO, Art. 32 RODOW latach 2015-2019 AOK Baden-Württemberg (organizacja ubezpieczeniowa) organizowała przy różnych okazjach konkursy i gromadziła dane osobowe uczestników, w tym ich dane kontaktowe i informacje o przynależności do ubezpieczenia zdrowotnego. AOK chciała również wykorzystywać te dane do celów reklamowych, o ile uczestnicy wyrazili na to zgodę. Za pomocą środków technicznych i organizacyjnych, w tym wewnętrznych wytycznych i szkoleń z zakresu ochrony danych, AOK chciała zapewnić, że do celów reklamowych będą wykorzystywane wyłącznie dane tych uczestników konkursu, którzy uprzednio wyrazili na to skuteczną zgodę. Środki określone przez AOK nie spełniały jednak wymogów prawnych. W efekcie dane osobowe ponad 500 uczestników loterii zostały wykorzystane do celów reklamowych bez ich zgody. Natychmiast po tym, jak stało się to wiadome, AOK Baden-Württemberg wstrzymał wszystkie działania marketingowe w celu dokładnego zbadania wszystkich procesów.Link
305WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)
2020-01-24
1 450,00 €Biuro rachunkoweArt. 24 RODO, Art. 32 RODOWydrukowana lista klientów biura rachunkowego, która zawierała również dane osobowe, mogła zostać udostępniona osobom nieupoważnionym.Link
304WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-03-195 800,00 €NieznanyArt. 6 RODO, Art. 15 RODOAdministrator danych nie wywiązał się z obowiązku dotyczącego prawa dostępu do nagrań wideo i nie był również w stanie wykazać, że jego działania w zakresie przetwarzania danych były zgodne z przepisami o ochronie danych.Link
303WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-03-262 890,00 €BankArt. 5 RODO, Art. 6 RODOZ powodu błędu administracyjnego dane osobowe osoby, której dane dotyczą, zostały zarejestrowane i przekazane do Centralnej Informacji Kredytowej (CCI) w związku z umową kredytową, przy czym osoba, której dane dotyczą, nie była stroną tej umowy.Link
302EstoniaAndmekaitse Inspektsioon2020-04-30500,00 €Wspónota mieszkaniowaArt. 6 RODOGrzywna w wysokości 500 EUR nałożona na wspólnotę mieszkaniową za opublikowanie zdjęć przedstawiających członków wspólnoty bez ich zgody.Link
301RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-04-233 000,00 €Telekom Romania Communications SAArt. 32 RODOPrzedsiębiorstwo nie podjęło wystarczających środków technicznych i organizacyjnych w celu zapewnienia prawidłowości danych osobowych przekazywanych przez telefon w celu zawarcia umów. Doprowadziło to do zawierania umów przez telefon w imieniu innych osób, których dane dotyczą.Link
300HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-092 000,00 €Właściciel nieruchomościArt. 5 (1) c) RODOWykorzystanie kamery CCTV, która uchwyciła również drogi publiczne na zewnątrz, co stanowi naruszenie tzw. zasady minimalizacji danych.Link
299HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-092 000,00 €AdwokatArt. 32 RODOW toku postępowania pełnomocnik przedłożył dokumenty, których grzbiety zawierały dane osobowe innych stron.Link
298HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-093 000,00 €Salad Market S.L. (firma cateringowa)Art. 13 RODO, Art. 14 RODOGrzywny za brak wystarczających informacji na temat przetwarzania danych w odniesieniu do nadzoru wideo na terenie przedsiębiorstwa oraz za niewystarczające informacje w przypadku stosowania plików cookie na stronie internetowej.Link
297RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-04-233 000,00 €Estee Lauder RomaniaArt. 6 RODO, Art. 7 RODO, Art. 9 RODOPrzetwarzanie danych osobowych bez wystarczającej podstawy prawnej, w tym danych dotyczących zdrowia.Link
296BelgiaGegevensbeschermingsautoriteit (GBA)2020-05-1450 000,00 €Dostawaca mediów społecznościowychArt. 6 RODOFirma wysyłała zaproszenia do kontaktów przesłanych przez użytkowników bez ich zgody lub jakiejkolwiek innej podstawy prawnej.Link
295BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2020-04-142 000,00 €Partia politycznaArt. 6 RODOFałszowanie podpisów na liście wyborców.Link
294NorwegiaDatatilsynet2020-05-03134 000,00 €Telenor Norge ASArt. 32 RODOKary za naruszenia bezpieczeństwa w funkcji skrzynki głosowej.Link
293HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-0940 000,00 €TELEFONICA MOVILES ESPAÑA, S.A.U.Art. 6 RODOPrzedstawiciel handlowy nie sprawdził dokładnie tożsamości powoda, tak aby mógł on występować w imieniu osoby, której dane dotyczą i zamówić na jej nazwisko przyłącze telefoniczne dla czterech linii telefonicznych.Link
292NorwegiaDatatilsynet2020-09-03276 000,00 €Gmina BergenArt. 5 (1) f) RODO, Art. 32 RODOW październiku 2019 r. organ ochrony danych został poinformowany przez gminę Bergen o naruszeniu ochrony danych w związku z gminnym narzędziem do komunikacji między szkołą a domem o nazwie "Vigilo". Narzędzie to zawierało moduł umożliwiający szkole i rodzicom komunikację za pośrednictwem portalu lub aplikacji, który jednak nie został odpowiednio zabezpieczony, aby zapewnić ochronę danych osobowych przed zagrożeniami bezpieczeństwa.Link
291HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-044 000,00 €Iberdrola ClientesArt. 58 RODOPrzedsiębiorstwo zostało poproszone o dostarczenie AEPD konkretnych informacji w związku ze złożoną skargą. Spółka nie odpowiedziała jednak w określonym terminie na wniosek organu ochrony danych o udzielenie informacji, co stanowiło naruszenie art. 58 RODO.Link
290HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-0925 000,00 €Glovoapp23Art. 37 RODOPrzedsiębiorstwo nie wyznaczyło inspektora ochrony danych (" IOD"), do którego mogłyby być kierowane wnioski od osób, których dane dotyczą, a strona internetowa przedsiębiorstwa nie zawierała informacji o wyznaczonym IOD.Link
289HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-0939 000,00 €Xfera Moviles S.A.Art. 5 (1) f) RODOKlient twierdził, że otrzymał od Xfera Móviles wiadomość SMS informującą o braku płatności i wynikającym z tego zawieszeniu usługi w odniesieniu do konta innej osoby, której dane dotyczą.Link
288HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-0975 000,00 €Equifax Iberica, S.L.Art. 15 RODOPodmiot danych zwrócił się pocztą elektroniczną o usunięcie swoich danych z akt Krajowego Stowarzyszenia Instytucji Kredytów Finansowych (ASNEF). Equifax Iberica odpowiedziała, że wykonanie prawa skarżącego jest zbyteczne ze względu na wcześniejszy wniosek i że w związku z tym usunięcie danych nie zostanie dokonane. Uznano to za naruszenie praw osób, których dane dotyczą, do usunięcia danych na mocy RODO, jak również za naruszenie obowiązków blokowania danych na mocy krajowych przepisów o ochronie danych.Link
287HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-091 000,00 €Właściciel nieruchomościArt. 5 (1) c) RODOWykorzystanie kamery CCTV, która uchwyciła również drogi publiczne na zewnątrz, co stanowi naruszenie tzw. zasady minimalizacji danych.Link
286HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-09540,00 €Chenming Ye (Bazar Real)Art. 13 RODO, Art. 14 RODOUżycie kamery CCTV w sklepie bez odpowiedniej informacji.Link
285HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-06-095 000,00 €Consulting de Seguridad e Investigacion Mira Dp Madrid S.L.Art. 5 RODO, Art. 6 RODOOsoba, której dane dotyczą, otrzymała wiadomości marketingowe bez wyrażenia zgody.Link
284WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-03-09870,00 €WierzycielArt. 5 RODO, Art. 6 RODOWysyłanie wiadomości SMS do osoby, której dane dotyczą, jako przypomnienie o długu, nawet jeśli dług został już spłacony.Link
283FinlandiaTietosuojavaltuutetun Toimisto2020-05-2972 000,00 €Taksi HelsinkiArt. 5 RODO, Art. 6 RODO, Art. 35 RODOSpółka między innymi nie oceniła ryzyka i konsekwencji przetwarzania danych osobowych przed wprowadzeniem systemu nadzoru kamer, który rejestruje dźwięk i obraz w swoich taksówkach, a także nie przeprowadziła oceny skutków dla ochrony danych w odniesieniu do swoich działań związanych z przetwarzaniem danych, w tym nadzoru kamer bezpieczeństwa, przetwarzania danych dotyczących lokalizacji, zautomatyzowanego podejmowania decyzji i profilowania w ramach programu lojalnościowego. Ponadto, przetwarzanie danych audio nie było zgodne z zasadą RODO dotyczącą minimalizacji danych.Link
282BelgiaGegevensbeschermingsautoriteit (GBA)2020-05-291 000,00 €Organizacja non-profilArt. 6 RODO, Art. 21 RODOBelgijski organ ochrony danych nałożył na organizację non-profit grzywnę w wysokości 1000 EUR za wysyłanie bezpośrednich wiadomości marketingowych, mimo że osoby, których dane dotyczą, skorzystały z prawa do usunięcia danych i sprzeciwu. Organizacja powołała się na uzasadnione interesy jako podstawę prawną, a nie na wyraźną zgodę osób, których dane dotyczą. Organ ochrony danych zaprzeczył jednak istnieniu jakiejkolwiek przewagi uzasadnionych interesów.Link
281FinlandiaTietosuojavaltuutetun Toimisto2020-05-2212 500,00 €NieznanyArt. 5 RODO, Art. 6 RODOPrzetwarzanie danych pracowników bez wystarczającej podstawy prawnej.Link
280FinlandiaTietosuojavaltuutetun Toimisto2020-05-2216 000,00 €Kymen Vesi OyArt. 35 RODOKara za nieprzeprowadzenie oceny skutków w zakresie ochrony danych ("DPIA") w odniesieniu do przetwarzania danych dotyczących lokalizacji pracowników w ramach systemu informacji o pojazdach.Link
279FinlandiaTietosuojavaltuutetun Toimisto2020-05-22100 000,00 €Posti Group OyjArt. 12 RODO, Art. 13 RODO, Art. 14 RODO, Art. 15 RODODecyzja odnosi się do skarg, w których zarzuca się, że administrator prowadził marketing bezpośredni wobec osób, których dane dotyczą, mimo że zażądały one usunięcia swoich danych pocztowych. Dochodzenie wykazało również, że informacje dotyczące ochrony danych dostarczone przez przedsiębiorstwo nie były wystarczająco przejrzyste.Link
278IrlandiaData Protection Commission (DPC)2020-05-1775 000,00 €Tusla Child and Family AgencyArt. 5 RODO, Art. 6 RODOSpółka omyłkowo udostępniała dane osobowe, w tym informacje o dzieciach, osobom nieuprawnionym. W jednym przypadku dane kontaktowe i lokalizacyjne matki z dzieckiem zostały ujawnione domniemanemu przestępcy, a w dwóch innych przypadkach dane o dzieciach przebywających w pieczy zastępczej zostały bezprawnie ujawnione krewnym, w tym w jednym przypadku ojcu przebywającemu w więzieniu.Link
277DaniaDatatilsynet2020-05-1567 000,00 €JobTeam A/S DKKArt. 15 RODOFirma usunęła dane osobowe, których dotyczył wniosek o dostęp bez uzasadnienia prawnego.Link
276SzwecjaDatainspektionen2020-05-1211 200,00 €Komisja ds. Zdrowia i Leków Regionu Örebro Art. 5 RODO, Art. 6 RODOPublikacja danych osobowych pacjenta bez wystarczającej podstawy prawnej.Link
275RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-05-055 000,00 €Banca Comercială Română SAArt. 32 RODOOrgan ochrony danych stwierdza, że firma nie podjęła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji. Dotyczy to w szczególności gromadzenia i przesyłania kopii dokumentów tożsamości klientów za pośrednictwem aplikacji WhatsApp.Link
274NiderlandyAutoriteit Persoonsgegevens (AP)2020-04-30725 000,00 €NieznanyArt. 5 RODO, Art. 9 RODOOrganizacja ta wymagała od swoich pracowników skanowania odcisków palców w celu rejestracji obecności. Jednakże, jak stwierdzono w decyzji organu ochrony danych, organizacja nie mogła powoływać się na wyjątki w zakresie przetwarzania tej szczególnej kategorii danych osobowych, a przedsiębiorstwo nie mogło również przedstawić żadnych dowodów na to, że pracownicy wyrazili zgodę na przetwarzanie danych.Link
273SzwecjaDatainspektionen2020-04-2918 700,00 €National Government Service Centre (NGSC)Art. 33 RODO, Art. 34 RODOZ decyzji organu ochrony danych wynika, że przedsiębiorstwo potrzebowało prawie pięciu miesięcy na powiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych, a prawie trzech miesięcy na przekazanie organowi ochrony danych powiadomienia o naruszeniu ochrony danych dotyczącym braku bezpieczeństwa systemów informatycznych przedsiębiorstwa.Link
272BelgiaGegevensbeschermingsautoriteit (GBA)2020-04-2850 000,00 €Proximus SAArt. 31 RODO, Art. 58 RODO, Art. 37 RODOWedług organu ochrony danych inspektor ochrony danych w przedsiębiorstwie nie był wystarczająco zaangażowany w przetwarzanie przypadków naruszenia danych osobowych, a przedsiębiorstwo nie posiadało systemu zapobiegającego konfliktowi interesów inspektora ochrony danych, który zajmował również wiele innych stanowisk w przedsiębiorstwie (kierownik działu zgodności i audytu), co doprowadziło organ ochrony danych do wniosku, że inspektor ochrony danych w przedsiębiorstwie nie był w stanie pracować niezależnie.Link
271NiemcyOrgan ochrony danych osobowych kraju związkowego Brandenburgia201950 000,00 €NieznanyArt. 15 RODO, Art. 28 RODOAdministrator danych zaangażował firmę zewnętrzną do wykonywania obowiązków związanych z dostępem do danych zgodnie z art. 15 RODO. Zaangażowana firma prowadziła jednak korespondencję z osobami, których dane dotyczą, pod własnym logo i w języku angielskim, tak że dla osób, których dane dotyczą, nie było oczywiste, kto jest odpowiedzialny za przetwarzanie danych. W związku z tym administrator danych naruszył zasadę przejrzystości określoną w art. 12 RODO i nie wywiązał się w wystarczającym stopniu z obowiązku informacyjnego zgodnie z art. 15 RODO. Ponadto organ nadzorczy ds. ochrony danych stwierdził, że między administratorem danych a firmą zewnętrzną nie została zawarta pisemna umowa o powierzenie przetwarzania danych osobowych, co stanowiło kolejne naruszenie art. 28 ust. 9 RODO. 28 (9) RODO.Link
270BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2020-01-065 110,00 €Przedsiębiorstwo użyteczności publicznejArt. 6 (1) RODOGrzywna w wysokości około 5.113 EUR została nałożona na bułgarskie przedsiębiorstwo użyteczności publicznej za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. Dane osobowe były przetwarzane niezgodnie z prawem, a następnie wykorzystane do wszczęcia przeciwko osobie sprawy egzekucyjnej z tytułu zaległych zobowiązań płatniczych. W trakcie postępowania egzekucyjnego komornik sądowy zajął wynagrodzenie osoby, której dane dotyczą, a osoba ta poniosła szkodę w wyniku bezprawnego przetwarzania danych.Link
269BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2020-02-202 560,00 €L.E. EOODArt. 25 (1) RODO, Art. 32 RODO, Art. 6 RODOGrzywna w wysokości około 2 557 EUR została nałożona na L.E. EOOD za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą, I.S., bez wiedzy i zgody osoby, której dane dotyczą, a także bez ważnego stosunku umownego między L.E. EOOD a I.S. Przedsiębiorstwo przetwarzało dane osobowe I.S. niezgodnie z prawem siedem razy w okresie 3 miesięcy, nie przyjmując środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. Oprócz grzywny, Komisja Ochrony Danych Osobowych ("KZLD") nakazała L.E. EOOD przeprowadzanie regularnych kontroli działań związanych z przetwarzaniem danych, przeprowadzanie analizy ryzyka w odniesieniu do klientów i pracowników oraz przeprowadzanie okresowych szkoleń pracowników. KZLD nakazał również spółce L.E. EOOD archiwizowanie i przechowywanie dokumentów zawierających dane osobowe wyłącznie w ograniczonych celach i w ramach czasowych wymaganych przez prawo.Link
268BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2020-02-202 560,00 €T.K. EOODArt. 25 (1) RODO, Art. 32 RODOGrzywna w wysokości około 2.557 EUR została nałożona na T.K. EOOD za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą, I.S., poprzez brak przyjęcia środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji. T.K. EOOD przetwarzała dane osobowe I.S. niezgodnie z prawem dziewięć razy w okresie pięciu miesięcy. Naruszenia te spowodowały szkody dla osoby, której dane dotyczą.Link
267PolskaUrząd ochrony danych osobowych (UODO)2020-03-094 400,00 €Vis Consulting Sp. z o.o.Art. 31 RODO, Art. 58 RODOSpółka uniemożliwiła przeprowadzenie kontroli przez organ ochrony danych osobowych. W związku z tym spółka naruszyła art. 31 w związku z art. 58 ust. 1 lit. e) i f) RODO.Link
266HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-255 000,00 €Xfera Moviles S.A.Art. 58 RODOPrzedsiębiorstwo nie dostarczyło organowi ochrony danych żądanych informacji w odpowiednim czasie. Wniosek AEPD został poprzedzony wnioskiem osoby, której dane dotyczą, o dostęp do jej danych osobowych.Link
265WłochyGarante per la protezione dei dati personali (Garante)2020-02-134 000,00 €Gmina UragoArt. 5 RODO, Art. 6 RODOLokalna rada opublikowała na swojej stronie internetowej informacje zawierające dane osobowe danej osoby, w tym informacje o stanie zdrowia.Link
264RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-03-253 000,00 €Dante InternationalArt. 6 RODO, Art. 21 RODOFirma wysłała komercyjną wiadomość e-mail do klienta, mimo że ten wcześniej zrezygnował z otrzymywania informacji handlowych.Link
263RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-03-254 150,00 €Vodafone RomaniaArt. 32 RODOFirma wysłała wiadomość e-mail do klienta, która zawierała dane osobowe innego klienta, ze względu na nieodpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.Link
262RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-03-253 000,00 €Enel EnergieArt. 32 RODOPrzedsiębiorstwo wysłało do klienta wiadomość e-mail, która zawierała dane osobowe innego klienta, ponieważ przedsiębiorstwo nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji.Link
261RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-03-252 000,00 €SOS Infertility AssociationArt. 58 RODOStowarzyszenie nie przekazało organowi ochrony danych informacji, o które ten wnioskował, po tym jak Stowarzyszenie przetwarzało dane osobowe bez wystarczającej podstawy prawnej.Link
260WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2020-03-04290,00 €Przedstawiciel samorządu terytorialnegoArt. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 15 RODO, Art. 17 RODOPrzedstawiciel lokalny zrobił zdjęcie dyrektorowi firmy należącej w całości do samorządu przedstawiające dyrektora rzekomo zrywającego plakat wyborczy opozycji w towarzystwie swojego dziecka. Przedstawiciel samorządu umieścił zdjęcie na swojej stronie na Facebooku. Wizerunek dziecka był zamazany, jednak w poście pojawiła się sugestia, że jest to córka dyrektora. Dyrektor powiedział lokalnemu przedstawicielowi na miejscu zdarzenia, że nie wyraża zgody na zrobienie zdjęcia. NAIH ustalił, że czyn dyrektora nie był informacją publiczną, a zdjęcie nie dowodzi, że dyrektor zerwał plakat wyborczy. NAIH podkreślił również, że tylko nazwisko dyrektora firmy będącej w całości własnością samorządu lokalnego było informacją publiczną.Link
259WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-10-152 860,00 €NieznanyArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODOPracownik przebywał na zwolnieniu lekarskim, kiedy pracodawca sprawdził jego komputer stacjonarny, laptopa i pocztę elektroniczną, aby upewnić się, że obowiązki związane z pracą są wykonywane podczas jego nieobecności. Następnie pracodawca zawiesił jego konto. Pracownik nie otrzymał wcześniejszego powiadomienia i nie miał możliwości skopiowania / usunięcia swoich prywatnych informacji (numery telefonów, wiadomości). Zgodnie z NAIH, pracodawcy muszą rejestrować dostęp do konta za pomocą protokołów i zdjęć. Umowy o pracę muszą regulować, czy pracownicy mogą używać sprzętu służbowego do celów prywatnych. Informacje o prywatności muszą zawierać powody monitorowania pracowników (np. ciągłość biznesowa, wewnętrzne śledztwo, cele dyscyplinarne, a także określony okres przechowywania danych pracowników - w tym długość i powtarzalność kopii zapasowych. Pracodawcy muszą również przygotować "testy równowagi", aby udowodnić swoje uzasadnione interesy w odniesieniu do ogólnego monitorowania pracowników i szczególnych przypadków.Link
258WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-08-081 715,00 €Biuro rządowe zarządzające rejestrem nieruchomościArt. 5 RODO, Art. 14 RODOWłaściciele nieruchomości poskarżyli się, że urząd wydał decyzję o zmianie osoby dzierżawcy (który zawarł umowę dzierżawy z właścicielami nieruchomości) innym właścicielom 40 nieruchomości, których dzierżawcą jest ten sam dzierżawca. Decyzja zawierała dane osobowe wszystkich właścicieli, którzy mieli umowę dzierżawy z tym samym dzierżawcą.Link
257WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-08-024 290,00 €Firma zajmująca się utrzymaniem terenów publicznychArt. 5 RODO, Art. 6 RODO, Art. 13 RODOByły pracownik skarżył się, że jego pracodawca bezprawnie monitorował jego pracę za pomocą telewizji przemysłowej. Pracodawca argumentował, że monitoring CCTV był konieczny do oceny, czy pracownik wypełniał swoje obowiązki związane z zatrudnieniem (tj. monitorowanie pewnych obszarów publicznych i sygnalizowanie współpracownikom wszelkich nietypowych zdarzeń) oraz że monitoring służył również ochronie jego systemu nadzoru przed bezprawnym dostępem lub użyciem. NAIH stwierdził, że monitorowanie pracownika za pomocą CCTV nie jest właściwym sposobem oceny jego wydajności pracy, a pracodawca oparł się na niewłaściwej podstawie prawnej (interes publiczny, władza publiczna) w odniesieniu do operacji CCTV. Pracodawca mógł zabezpieczyć swój system nadzoru obszaru publicznego innymi metodami (np. poprzez zainstalowanie zapór ogniowych lub innych ulepszeń bezpieczeństwa w swoich systemach). Pracodawca również umieścił tylko krótką kartkę informacyjną przy wejściu do stanowiska pracy pracownika dotyczącą monitoringu CCTV, co NAIH uznał za niewystarczające.Link
256WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-07-178 575,00 €Sąd Okręgowy w BudapeszcieArt. 5 RODO, Art. 6 RODOPrezes Sądu Okręgowego w Budapeszcie zorganizował spotkanie dla urzędników sądowych, podczas którego oświadczył, że rezygnuje z członkostwa w Węgierskim Stowarzyszeniu Sędziów i zwrócił się do obecnych urzędników sądowych, aby przekonali do tego również swoich kolegów. Prezes przedstawił również listę członków Stowarzyszenia w okręgu Pest, która zawierała również informacje o wysokości składek członkowskich potrącanych z wynagrodzenia sędziów. Lista składała się z danych zebranych z kartotek płacowych sędziów. NAIH ustalił, że Sąd Okręgowy w Budapeszcie może przetwarzać takie dane wyłącznie w celu dokonywania potrąceń i zarządzania listą płac. NAIH ustalił również, że sąd okręgowy w Budapeszcie nie miał podstawy prawnej do przetwarzania danych, gdy udostępnił innym osobom dane pracowników dotyczące ich członkostwa w stowarzyszeniu.Link
255WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-06-262 850,00 €Przedsiębiorstow z branży finansowejArt. 5 RODO, Art. 6 RODO, Art. 21 RODOKlient przedsiębiorstwa branży finansowej skarżył się, że przedsiębiorstwo to przekazało jego dane po tym, jak sprzeciwił się on ich przetwarzaniu i nie udzieliło na jego prośbę informacji na temat przetwarzania jego danych. Według przedsiębiorstwa z branży finansowej, sprzedało ono stronie trzeciej swoje roszczenie wynikające z umowy zawartej z klientem, dlatego też taka transakcja wymagała przekazania odpowiednich danych klienta. NAIH podkreślił, że przedsiębiorstwo to sprzedało roszczenie i przekazało odpowiednie dane po tym, jak klient nie wywiązał się z umowy; oznacza to również, że przedsiębiorstwo to nie może opierać się o wykonanie umowy zawartej z klientem. Właściwą podstawą prawną byłby uzasadniony interes administratora danych, przy czym konieczne jest również przeprowadzenie testu równowagi, opisującego jego interes w przekazaniu roszczenia i odpowiednich danych stronie trzeciej.Link
254WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-06-261 850,00 €NieznanyArt. 5 RODO, Art. 6 RODO, Art. 17 RODOOsoba fizyczna zażądała usunięcia swoich danych kontaktowych (w tym numeru telefonu), jednak administrator danych przetwarzał dalej jej dane kontaktowe do celów dochodzenia roszczeń na podstawie swojego uzasadnionego interesu. NAIH ustalił, że administrator nie miał istotnych prawnie uzasadnionych podstaw do przetwarzania numeru telefonu osoby, której dane dotyczą, ponieważ dysponował również jej adresem, który jest wystarczający do celów dochodzenia roszczeń oraz do komunikacji z osobą, której dane dotyczą.Link
253WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-06-032 850,00 €Firma zarządzająca roszczeniamiArt. 5 RODO, Art. 6 RODOSkarżący oświadczyli w trakcie sprawy, że zawarli umowę kredytową z bankiem, który sprzedał swoje roszczenia wobec skarżących i przekazał ich dane spółce trzeciej (administratorowi danych). NAIH ustalił w tej sprawie, że administrator danych nie może powoływać się na zgodę osób, których dane dotyczą, ani na wykonanie umowy kredytowej jako podstawę prawną przetwarzania danych, ponieważ osoby, których dane dotyczą, zawarły taką umowę z bankiem, a nie z administratorem danych. Właściwą podstawą prawną przetwarzania danych mógł być uzasadniony interes administratora.Link
252WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-05-312 000,00 €Lokalny bankArt. 12 (3), (4), (5) RODO, Art. 15 RODO, Art. 18 RODOKlient lokalnego banku zażądał dostępu do nagrań rozmów telefonicznych oraz nagrań z kamer przemysłowych. Bank dostarczył kopie nagrań rozmów telefonicznych, a także zapewnił możliwość przejrzenia nagrań w banku, ale odmówił dostarczenia kopii nagrań z kamer przemysłowych, ponieważ nagrania te zawierały również dane osobowe osób trzecich. NAIH uznał w tej sprawie, że bank nie spełnił praw osób, których dane dotyczą, ponieważ nie odpowiedział w odpowiednim czasie, a także nie dostarczył kopii żądanych nagrań. Według NAIH administrator danych nie mógł odnieść się do ochrony danych osób trzecich, ponieważ nagrania CCTV dotyczyły przestrzeni publicznej dostępnej dla każdego klienta, a bank mógł również zanonimizować niektóre części nagrań.Link
251WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-05-21286,00 €Dyrekcja Instytucji Opieki Społecznej i Pomocy Dzieciom w Dzielnicy Ferencvaros w BudapeszcieArt. 33 RODOPracownik dyrekcji wysłał przez pomyłkę 9 listów do niewłaściwego adresata, które zawierały dane osobowe 18 osób, których dane dotyczą (w tym dane dzieci, dane o karalności i dane dotyczące życia prywatnego osób, których dane dotyczą). Odbiorca poinformował dyrekcję telefonicznie 5 dni po wysłaniu listów, że omyłkowo otrzymał niektóre z nich. Dyrekcja powiadomiła NAIH o naruszeniu danych dopiero kilka tygodni później.Link
250GrecjaHellenic Data Protection Authority (HDPA)2020-03-208 000,00 €Speech and Special Education Centre - Mihou DimitraArt. 15 RODO, Art. 58 RODOSkarżący zażądał dostępu do danych swojego dziecka oraz do informacji podatkowych. Wniosek ten został odrzucony przez administratora danych. Ponadto administrator danych naruszył nakaz organu ochrony danych dotyczący dostępu do danych. Z tego tytułu nałożono grzywnę w wysokości 8000 EUR: 3000 EUR za nieudzielenie dostępu do danych i 5000 EUR za naruszenie nakazu organu ochrony danych.Link
249WłochyGarante per la protezione dei dati personali (Garante)2020-02-0620 000,00 €RTI - Reti Televisive Italiane s.p.a.Art. 5 RODO, Art. 6 RODOStacja telewizyjna wyemitowała film dokumentalny o prostytucji w Szwajcarii, w którym osoby, z którymi przeprowadzono wywiady, nie zostały wystarczająco zanonimizowane.Link
248HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-196 000,00 €Oliveros Ustrell, S.L.Art. 5 RODO, Art. 6 RODOPrzedsiębiorstwo przekazało operatorowi Vodafone niepodpisaną umowę o przeniesienie numeru. Administrator danych nie był jednak w stanie przedstawić dowodu zlecenia. Z tego powodu dane osobowe osoby, której dane dotyczą, były przetwarzane bez wystarczającej podstawy prawnej.Link
247HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-166 000,00 €Amalfi Servicios de Restauracion S.L.Art. 5 RODO, Art. 13 RODO, Art. 14 GDPMonitoring wizyjny przestrzeni publicznej, a tym samym naruszenie zasady minimalizacji danych. Ponadto: Naruszenie obowiązków informacyjnych, ponieważ nie udzielono wystarczających informacji na temat monitoringu wizyjnego.Link
246HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-122 000,00 €Stowarzyszenie właścicieli domówArt. 5 RODO, Art. 13 RODO, Art. 14 RODOMonitoring wizyjny przestrzeni publicznej, a tym samym naruszenie zasady minimalizacji danych. Ponadto: Naruszenie obowiązków informacyjnych, ponieważ nie udzielono wystarczających informacji na temat monitoringu wizyjnego.Link
245HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-063 200,00 €Sprzedawca detalicznyArt. 13 RODO, Art. 14 RODONiewystarczające informacje o monitoringu wizyjnym.Link
244HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-164 000,00 €Osoba fizycznaArt. 5 RODO, Art. 6 RODONa jednej z plaż osoba fizyczna ukradkiem fotografowała kąpiące się kobiety. Incydent został zgłoszony do AEPD przez lokalną policję.Link
243HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-165 000,00 €Centro De Estudio Dirigidos Delta, S.L.Art. 5 (1) f) RODOCentro De Estudio Dirigidos Delta wysłało wiadomość zawierającą dane osobowe, takie jak imię i nazwisko oraz numery identyfikacyjne, do osoby trzeciej za pośrednictwem aplikacji WhatsApp bez zgody osób, których dane dotyczą. Stanowi to naruszenie zasad integralności i poufności na mocy art. 5 ust. 1 lit. f RODO.Link
242GrecjaHellenic Data Protection Authority (HDPA)2020-02-215 000,00 €Public Power Corporation S.A.Art. 15 RODOW decyzji wyjaśniono, że osoby, których dane dotyczą, mają prawo dostępu do przetwarzania swoich danych osobowych i że należy im również dostarczyć kopię przetwarzanych danych osobowych. Wniosek nie musi być uzasadniony.Link
241RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2020-02-113 000,00 €Vodafone RomaniaArt. 5 (1) f) RODO, Art. 32 RODOVodafone Romania nieprawidłowo przetworzyła dane osobowe osoby fizycznej w celu rozpatrzenia skargi, która następnie została wysłana na niewłaściwy adres e-mail. Powodem tego był fakt, że nie istniały wystarczające środki bezpieczeństwa, aby zapobiec takiemu błędnemu przetwarzaniu danych.Link
240HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-1830 000,00 €TelefónicaArt. 58 RODOTelefonica nie zastosowała się do decyzji TD / 00127/2019 dyrektora AEPD, która stanowi, że musi odpowiedzieć na wniosek osoby, której dane dotyczą, o prawo dostępu i usunięcie danych.Link
239ChorwacjaAgencija za zaštitu osobnih
podataka (AZOP)
2020-03-13NieznanaBankArt. 15 (1), (3) RODOW okresie od maja 2018 r. do kwietnia 2019 r. bank (nazwa na chwilę obecną niedostępna) odmówił swoim klientom udostępnienia kopii dokumentacji kredytowej (np. planu spłaty, aneksu do umowy kredytowej, przeglądu zmian oprocentowania itp.). Bank argumentował, że dokumentacja ta jest związana ze spłaconymi kredytami i stanowi dokumentację kredytową, która nie może podlegać prawu dostępu klientów. W trakcie postępowania wszczętego na podstawie skarg osób, których dane dotyczą, organ ochrony danych nakazał bankowi umożliwienie skorzystania z prawa dostępu i dostarczenie kopii żądanej dokumentacji kredytowej. Nakładając grzywnę, organ wziął pod uwagę przede wszystkim fakt, że bank nie zastosował się do nakazanych środków, kontynuował taką praktykę przez prawie rok i odmówił prawa dostępu ponad 2500 swoim klientom. Wysokość grzywny nie jest na razie znana, ale ponieważ organ ochrony danych osobowych zakwalifikował naruszenie jako "poważne", można się spodziewać wysokiej grzywny.Link
238NiemcyOrgan ochrony danych osobowych kraju związkowego Nadrenia Północna-Westfalia2019-08-05200,00 €Osoba fizyczna (Youtuber)Art. 5 RODO, Art. 6 RODOOsoba prywatna wykorzystała rejestrator jazdy do wykonania nagrań z ruchu na drogach publicznych, a następnie opublikowała je na YouTube jako kompilację.Link
237NorwegiaDatatilsynet2020-02-280,00 €Coop Finnmark SAArt. 5 RODO, Art. 6 RODOW dniu 28 lutego 2020 r. norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na Coop Finnmark SA grzywnę w wysokości 38.600 EUR za naruszenie art. 5 RODO i Art. 6 RODO . Ta grzywna została nałożona w międzyczasie, zobacz szczegóły pod naruszeniem ID 525Link
236NiemcyOrgan ochrony danych osobowych kraju związkowego Saara20192 000,00 €RestauracjaArt. 5 (1) c) RODOKamery monitoringu wizyjnego były wykorzystywane z naruszeniem zasady minimalizacji danych (monitoring również stref dla klientów w restauracjach).Link
235NorwegiaDatatilsynet2020-02-260,00 €Gmina RælingenArt. 5 (1) f) RODO, Art. 32 RODOW dniu 26 lutego 2020 r. norweski organ ochrony danych (Datatilsynet) ogłosił, że zamierza nałożyć na gminę Rælingen grzywnę w wysokości 73 600 EUR za naruszenie art. 5 (1) f) RODO i Art. 32 RODO. Grzywna ta została nałożona w międzyczasie, zobacz szczegóły pod naruszeniem ID 333
Link
234IslandiaPersónuvernd2020-03-109 000,00 €Szkoła średnia BreiðholtArt. 5 (1) f) RODO, Art. 32 RODONaruszając art. 32 RODO, nauczyciel wysłał do swoich uczniów i ich rodziców e-mail z załącznikiem zawierającym dane dotyczące ich samopoczucia, wyników w nauce i warunków socjalnych.Link
233IslandiaPersónuvernd2020-03-1020 600,00 €National Center of Addiction Medicine (S.Á.Á.)Art. 5 (1) f) RODO, Art. 32 RODOPersónuvernd zauważył, że były pracownik SAA otrzymał pudła z rzekomo osobistymi rzeczami, które tam zostawił, a które zawierały również dane pacjentów, w tym karty zdrowia 252 byłych pacjentów i dokumenty z nazwiskami około 3 tys. osób, które uczestniczyły w rehabilitacji z powodu nadużywania alkoholu i narkotyków.Link
232SzwecjaDatainspektionen2020-03-115 000 000,00 €Google LLCArt. 5 RODO, Art. 6 RODO, Art. 17 RODOPierwotne podsumowanie kary: Szwedzki organ ochrony danych ukarał Google LLC grzywną w wysokości 7 mln euro za niewywiązanie się w odpowiedni sposób z obowiązków dotyczących prawa osób, których dane dotyczą, do usunięcia wyników wyszukiwania z listy wyników. Datainspektionen już w 2017 r. zakończyła przegląd sposobu, w jaki Google radzi sobie z prawem osób fizycznych do usunięcia wyników wyszukiwania z wyszukiwarki Google oraz że Datainspektionen poleciła Google usunięcie szeregu wyników wyszukiwania. Ponadto organ ochrony danych stwierdziły, że w 2018 r. zainicjowały kolejny przegląd praktyk Google po otrzymaniu sygnałów, że kilka wyników, które powinny były zostać usunięte, nadal pojawiało się w wynikach wyszukiwania. Datainspektionen sprzeciwił się również obecnej praktyce Google polegającej na informowaniu właścicieli stron internetowych o tym, które wyniki Google usuwa z wyników wyszukiwania, a konkretnie, który link został usunięty i kto stoi za żądaniem usunięcia z listy, ponieważ jest to pozbawione podstaw prawnych. Aktualizacja: 23 listopada 2020 roku, po odwołaniu się od grzywny, The Administrative Court of Stockholm ogłosił, że odrzucił odwołanie Google LLC. Sąd zmniejszył jednak wysokość grzywny z 75 mln SEK (ok. 7 mln EUR) do 52 mln SEK (ok. 5 mln EUR).Link
231DaniaDatatilsynet2020-03-1014 000,00 €Gmina GladsaxeArt. 5 (1) f) RODO, Art. 32 RODOSkradziono komputer zawierający niezabezpieczone szyfrowaniem dane osobowe, w tym wrażliwe informacje i numery identyfikacyjne 20 620 mieszkańców miasta.Link
230DaniaDatatilsynet2020-03-107 000,00 €Gmina HørsholmArt. 5 (1) f) RODO, Art. 32 RODOPracownikowi urzędu miasta skradziono komputer służbowy, na którym znajdowały się dane osobowe około 1600 pracowników urzędu miasta, w tym informacje wrażliwe oraz informacje o numerach ubezpieczenia społecznego.Link
229HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0915 000,00 €Gesthotel Activos BalagaresArt. 5 (1) f) RODOOsoba, której dane dotyczą, twierdziła, że wysłała prywatny list do kierownictwa hotelu i delegatów związkowych zawierający informacje o doznanym przez nią epizodzie molestowania, w którym opisała konkretną chorobę. Z naruszeniem zasady integralności i poufności, kierownictwo hotelu i delegaci związkowi zapoznali się następnie z treścią tego listu na spotkaniu z innymi pracownikami.Link
228HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-064 000,00 €Osoba fizyczmaArt. 5 RODOBezprawne użycie kamer monitoringu wizyjnego, które monitorowały również fragmenty przestrzeni publicznej (naruszenie zasady minimalizacji danych).Link
227WłochyGarante per la protezione dei dati personali (Garante)2020-03-064 000,00 €Liceum Naukowe Nobla w Torre del GrecoArt. 5 RODO, Art. 6 RODO, Art. 9 RODOZ decyzji AEPD wynika, że liceum bezprawnie opublikowało dane zdrowotne i inne informacje dotyczące ponad 2000 nauczycieli w rankingach nauczycieli publikowanych na stronie internetowej Instytutu. Publikacja ta została dokonana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych.Link
226WłochyGarante per la protezione dei dati personali (Garante)2020-03-064 000,00 €Liceum Artystyczne Statale di NapoliArt. 5 RODO, Art. 6 RODO, Art. 9 RODOZ decyzji AEPD wynika, że liceum bezprawnie opublikowało dane o stanie zdrowia i inne informacje w rankingach nauczycieli publikowanych na stronie internetowej. Publikacja ta została dokonana z naruszeniem zasad legalności, rzetelności, przejrzystości i minimalizacji danych.Link
225HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0460 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOWedług AEPD osoba, której dane dotyczą, otrzymała kilka SMS-ów od odrębnego operatora informujących o aktywacji nowej umowy. Powodem tego było to, że pracownik Vodafone España aktywował umowę z trzecim operatorem w imieniu osoby, której dane dotyczą. Vodafone nie mógł wykazać zgody ani wystarczającego uzasadnionego interesu dla tego przetwarzania danych osobowych.Link
224PolskaUrząd ochrony danych osobowych (UODO)2020-03-040,00 €Szkoła podstawowa w GdańskuArt. 5 RODO, Art. 9 RODOPierwotne podsumowanie kary: Szkoła w Gdańsku wykorzystywała biometryczne czytniki linii papilarnych do uwierzytelniania uczniów w procesie płatności w stołówce szkolnej. Pomimo wyrażenia przez rodziców pisemnej zgody na takie przetwarzanie danych, organ ochrony danych osobowych uznał, że przetwarzanie danych uczniów było niezgodne z prawem, gdyż zgoda na przetwarzanie danych nie została wyrażona dobrowolnie.
Aktualizacja: W dniu 7 sierpnia 2020 roku Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję polskiego IOD nakładającą karę pieniężną w wysokości 4.600 euro.
Decyzja UODO


Orzeczenie sądu
223HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0324 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOWedług AEPD, spółka wysłała dwa SMS-y na numer telefonu komórkowego klienta informujące o zmianie stawki w jego umowie i potwierdzające zakup nowego telefonu komórkowego, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą, lub innych uzasadnionych interesów spółki.Link
222HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0340 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOWedług AEPD, spółka wysłała SMS na numer telefonu komórkowego klienta, potwierdzając, że umowa telefoniczna z tym numerem została podpisana, mimo że klient nie był klientem Vodafone, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą, lub innych uzasadnionych interesów spółki.Link
221HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-0342 000,00 €Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 32 RODOWedług AEPD, firma nie była w stanie wykazać odpowiednich środków zapewniających bezpieczeństwo informacji, co doprowadziło do nieuprawnionego dostępu do danych osobowych klienta.Link
220HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-03-031 800,00 €Solo EmbragueArt. 13 RODOStrona korporacyjna nie zawierała na swojej stronie głównej polityki prywatności ani informacji dotyczącej cookies.Link
219HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-283 600,00 €AEMA HispánicaArt. 5 (1) f) RODOFirma przesłała listę płac jednego pracownika innemu pracownikowi, przez co ujawniła dane osobowe osobie nieuprawnionej.Link
218NiderlandyAutoriteit Persoonsgegevens (AP)2020-03-03525 000,00 €Królewskie Niderlandzkie Stowarzyszenie Tenisowe ("KNLTB")Art. 5 RODO, Art. 6 RODONiderlandzki Urząd Ochrony Danych Osobowych ukarał Królewskie Niderlandzkie Stowarzyszenie Tenisowe ("KNLTB") grzywną w wysokości 525 000 euro za sprzedaż danych osobowych ponad 350 000 swoich członków sponsorom, którzy kontaktowali się z niektórymi z nich drogą pocztową i telefoniczną w celach marketingu bezpośredniego. Stwierdzono, że KNLTB sprzedała dane osobowe, takie jak imię i nazwisko, płeć i adres, osobom trzecim bez uzyskania zgody osób, których dane dotyczą. Organ ochrony danych osobowych odrzucił również istnienie uzasadnionego interesu dla sprzedaży danych i w związku z tym uznał, że nie istnieje podstawa prawna dla przekazania danych osobowych sponsorom.Link
217HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-256 000,00 €Casa Gracio OperationArt. 5 (1) c) RODOSpółka używała kamer CCTV na terenie hotelu, które rejestrowały również drogi publiczne przed hotelem, co stanowiło naruszenie tzw. zasady minimalizacji danych.Link
216HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-2548 000,00 €HM HospitalesArt. 5 RODO, Art. 6 RODOOsoba, której dane dotyczą, stwierdziła, że w momencie przyjęcia do szpitala musiała wypełnić formularz zawierający pole wyboru, w którym zaznaczono, że jeśli go nie zaznaczy, zgadza się na przekazanie swoich danych osobom trzecim. Formularz ten, dostarczony przez HM, nie był zgodny z RODO, ponieważ zgoda miała być uzyskana poprzez brak aktywności osoby, której dane dotyczą.Link
215HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-2848 000,00 €Vodafone ONO, S.A.U.Art. 32 RODODecyzja ta została podjęta z powodu kilku niedociągnięć w zakresie bezpieczeństwa informacji. Na przykład, dwie osoby otrzymały ten sam klucz dostępu.Link
214HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-27120 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOVodafone España nie była w stanie udowodnić przed organem ochrony danych, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych w celu zawarcia umowy na świadczenie usługi telekomunikacyjnej. Ponadto, w decyzji organu ochrony danych podkreślono, że Vodafone España bezprawnie udostępniła dane osobowe osoby, której dane dotyczą, różnym agencjom kredytowym.href="https://www.aepd.es/es/documento/ps-00235-2019.pdf" rel="nofollow">Link
213WłochyGarante per la protezione dei dati personali (Garante)2020-01-2330 000,00 €Sapienza Università di RomaArt. 5 (1) f) RODO, Art. 32 RODOGrzywna wynika z faktu, że według organu ochrony danych osobowych, uniwersytet Sapienza udostępnił online dane identyfikacyjne dwóch osób, które zgłosiły uniwersytetowi możliwe nielegalne zachowania. Wynikało to z braku odpowiednich technicznych środków kontroli dostępu w ramach systemu zarządzania informacją o nieprawidłowościach, który nie ograniczał dostępu do takich danych wyłącznie do upoważnionego personelu.Link
212WłochyGarante per la protezione dei dati personali (Garante)2020-01-2330 000,00 €Azienda Ospedaliero Universitaria Integrata di Verona (Szpital)Art. 5 (1) f) RODO, Art. 32 RODOGrzywna została nałożona w związku z dostępem do danych zdrowotnych przez osoby nieuprawnione, co umożliwiło stażyście i radiologowi uzyskanie dostępu do danych zdrowotnych ich kolegów. Postępowanie wykazało, że środki techniczne i organizacyjne podjęte przez szpital w celu ochrony danych zdrowotnych okazały się niewystarczające do zapewnienia odpowiedniej ochrony danych osobowych pacjentów, co doprowadziło do niezgodnego z prawem przetwarzania danych. Według organu ochrony danych naruszenia można było uniknąć, gdyby szpital po prostu zastosował się do wytycznych dotyczących dokumentacji zdrowotnej wydanych przez organ ochrony danych w 2015 r., które stanowią, że dostęp do dokumentacji zdrowotnej musi być ograniczony wyłącznie do personelu medycznego zaangażowanego w opiekę nad pacjentem.Link
211HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-1430 000,00 €Xfera Moviles S.A.Art. 5 (1) f) RODO, Art. 32 RODOAEPD ustaliło, że osoba trzecia miała dostęp do nazwiska, numeru telefonu i adresu innego klienta.Link
210HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-1442 000,00 €Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 32 RODOSkarżący miał dostęp do danych osób trzecich w swoim osobistym profilu Vodafone.Link
209HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-1480 000,00 €Iberdrola ClientesArt. 6 RODOIberdola Clientes, przedsiębiorstwo energetyczne, rozwiązało umowę z osobą, której dane dotyczą, bez jej zgody, zawarło z nią trzy nowe umowy, przetwarzało jej dane osobowe niezgodnie z prawem i przekazało dane osobowe skarżącej osobie trzeciej bez podstawy prawnej. Oprócz tej grzywny AEPD nałożył również inną grzywnę w wysokości 50.000 euro na podstawie starej hiszpańskiej ustawy o ochronie danych osobowych.Link
208HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-181 500,00 €Mymoviles Europa 2000, S.L.Art. 13 RODOAEPD stwierdziła, że firma nie opublikowała oświadczenia o ochronie prywatności na swojej stronie internetowej i że nie podawała wystarczających informacji identyfikujących administratora.Link
207HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-143 000,00 €Colegio Arenales Carabanchel (Szkoła)Art. 6 RODOW decyzji organu ochrony danych stwierdza się, że szkoła przekazała zdjęcia (a tym samym dane osobowe) osobom trzecim, które opublikowały je bez podstawy prawnej.Link
206HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-142 500,00 €Grupo Valsor Y Losan, S.L.Art. 5 (1) f) RODOAdministrator ujawnił dane osobowe osobie trzeciej w ramach umowy kupna nieruchomości (naruszenie zasad integralności i poufności danych osobowych)Link
205NiemcyOrgan ochrony danych osobowych Hamburga2019NieznanaHamburger Volksbank eGArt. 21 RODOSpółka przesłała klientowi pocztą elektroniczną biuletyn zawierający treści reklamowe, mimo że klient ten wcześniej wyraźnie sprzeciwił się wysyłaniu dalszych listów reklamowych.Link
204NiemcyOrgan ochrony danych osobowych Hamburga201920 000,00 €Hamburger Verkehrsverbund GmbH (HVV GmbH)Art. 33 RODO, Art. 34 RODOW dniu 6 lipca 2018 r. spółka HVV GmbH została poinformowana przez klienta o luce bezpieczeństwa na stronie internetowej www.hvv.de, która została spowodowana aktualizacją z dnia 5 lutego 2018 r. i dotyczyła tzw. Customer E-Service (CES). Luka bezpieczeństwa polegała na tym, że klienci zalogowani do CES, którzy posiadali kartę HVV i powiązali swoje konto klienta CES, mogli poprzez zmianę adresu URL wyświetlać dane innych klientów, którzy posiadali kartę HVV. To naruszenie ochrony danych nie zostało w odpowiednim czasie zgłoszone organowi ochrony danych.Link
203NiemcyOrgan ochrony danych osobowych Hamburga201951 000,00 €Facebook Germany GmbHArt. 37 RODOPodczas gdy Facebook Ireland wyznaczył inspektora ochrony danych dla wszystkich spółek grupy mających siedzibę w UE, inspektor ten nie został zgłoszony do organu ochrony danych w Hamburgu, właściwego dla Facebook Germany GmbH. Wysokość grzywny obliczono na podstawie obrotu niemieckiego oddziału (35 mln EUR). Czynnikami istotnymi dla obliczenia grzywny były m.in. fakt, że pominięte zgłoszenie zostało niezwłocznie uzupełnione, Facebook działał niestarannie i nie naruszył obowiązku powołania inspektora ochrony danych, a jedynie obowiązek zgłoszenia.Link
202WłochyGarante per la protezione dei dati personali (Garante)2020-01-1510 000,00 €Gmina Francavilla FontanaArt. 5 RODO, Art. 6 RODOGmina opublikowała na swojej stronie internetowej informacje o procesie sądowym, w tym dane osobowe, np. dane o stanie zdrowia osoby, której dane dotyczą.Link
201HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-041 500,00 €Cafetería NagasakiArt. 5 RODO, Art. 6 RODOAEPD uznała, że Nagasaki Cafetería nie wywiązała się ze swoich obowiązków wynikających z RODO, ponieważ umieściła kamery monitoringu w taki sposób, aby monitorowały przestrzeń publiczną poza swoim lokalem, co nieproporcjonalnie wpłynęło na pieszych.Link
200HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-03800,00 €AutomociónArt. 5 RODO, Art. 6 RODOPracownik stworzył fałszywy profil koleżanki z pracy na portalu erotycznym, który zawierał m.in. jej dane kontaktowe, zdjęcie oraz informacje o jej seksualności. Na podstawie tego profilu osoba, której dane dotyczą, otrzymała kilka telefonów od osób, które chciały się z nią skontaktować w związku z informacjami podanymi na stronie internetowej. Ponieważ stwierdzono, że osoba fizyczna cierpi na zaburzenia osobowości, grzywna została zmniejszona z początkowych 1000 EUR do 800 EUR.Link
199HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-035 000,00 €Queseria Artesenal Ameco S.L.Art. 5 RODO, Art. 6 RODOFirma przetwarzała dane osobowe klientów bez wymaganej zgody.Link
198HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-036 670,00 €Banco Bilbao Vizcaya Argentaria S.L.Art. 5 RODO, Art. 6 RODO, Art. 21 RODOSpółka wielokrotnie wysyłała komunikaty reklamowe do osoby, której dane dotyczą, mimo że osoba ta sprzeciwiła się przetwarzaniu jej danych.Link
197HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0375 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOOsoba, której dane dotyczą, były klient spółki, nadal otrzymywała powiadomienia o fakturach, mimo że w tym czasie nie istniał ani stosunek umowny, ani zaległa płatność z tytułu wygasłego stosunku umownego. Jako przyczynę nieprawidłowych wysyłek Vodafone podał błąd techniczny.Link
196HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0320 000,00 €Iberia Lineas Aereas de Espana, S.A. Operadora UnipersonalArt. 5 RODO, Art. 6 RODO, Art. 21 RODOIberia nadal wysyłała e-maile do osoby, której dane dotyczą, mimo że osoba, której dane dotyczą, wycofała zgodę i zażądała usunięcia swoich danych osobowych oraz że wykonanie tych środków zostało jej już potwierdzone.Link
195HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0350 000,00 €Vodafone España, S.A.U.Art. 5 RODOKarę poprzedziła skarga osoby, której dane dotyczą, która twierdziła, że Vodafone España wysłała faktury zawierające jej dane osobowe, takie jak nazwisko, dowód osobisty i adres, do sąsiada.Link
194HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0360 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOWymierzenie kary zostało poprzedzone skargą osoby, której dane dotyczą, która twierdziła, że otrzymała od Vodafone España wiadomość e-mail zawierającą billing usługi, o którą osoba, której dane dotyczą, nigdy nie prosiła, co doprowadziło do przetwarzania jej danych osobowych bez jej zgody. W rezultacie dane osobowe osoby, której dane dotyczą, zostały włączone do systemów informatycznych Vodafone España bez możliwości wykazania przez Vodafone, że osoba, której dane dotyczą, wyraziła zgodę na gromadzenie, a następnie przetwarzanie jej danych osobowych. Grzywna w wysokości 100.000 EUR została zmniejszona do 60.000 EUR dzięki dobrowolnej wpłacie.Link
193HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0375 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOThe fine preceded the complaint by the data subject, who argued that Vodafone España had signed a contract for the transfer of a telephone subscription with a third party without the data subject's knowledge or consent and that, as a result, he, the data subject, had received an e-mail from the third party for a purchase made by him.Link
192HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-02-0360 000,00 €Xfera Moviles S.A.Art. 5 RODO, Art. 6 RODOWedług organu ochrony danych osobowych, XFERA MOVILES naruszyła art. 6 ust. 1 RODO, ponieważ spółka bezprawnie przetwarzała dane, w tym dane bankowe, adres klienta i nazwisko osoby, której dane dotyczą.Link
191HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-143 600,00 €Zhang Bordeta 2006, S.L.Art. 5 RODOWłaściciel sklepu i restauracji zainstalował system monitoringu wizyjnego, który m.in. objął swoim zasięgiem również chodnik, a więc przestrzeń publiczną, co narusza podstawową zasadę minimalizacji danych.Link
190NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2019-10-24100 000,00 €Firma spożywczaArt. 5 RODO, Art. 32 RODOPrzedsiębiorstwo utworzyło na swojej stronie internetowej portal dla wnioskodawców, na którym zainteresowane strony mogły składać dokumenty zgłoszeniowe przez Internet. Przedsiębiorstwo nie oferowało jednak szyfrowanej transmisji danych ani nie przechowywało danych wnioskodawców w sposób zaszyfrowany lub chroniony hasłem. Ponadto niezabezpieczone dane wnioskodawców były dostępne dla Google, tak że każda osoba wyszukująca odpowiednie nazwy wnioskodawców w Google mogła znaleźć ich dokumenty aplikacyjne i pobrać je bez ograniczeń dostępu.Link
189WłochyGarante per la protezione dei dati personali (Garante)2020-01-1527 800 000,00 €TIM (operator telekomunikacyjny)Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODOW okresie od stycznia 2017 r. do 2019 r. do organu ochrony danych osobowych wpłynęło kilkaset zgłoszeń, w szczególności dotyczących otrzymywania niezamówionych informacji handlowych przekazywanych bez zgody osób, których dane dotyczą, lub pomimo ich rejestracji w publicznym rejestrze sprzeciwów. Ponadto skarżono się również na nieprawidłowości w przetwarzaniu danych w związku z konkursami. Ponadto w aplikacjach udostępnianych przez Spółkę podawano nieprawidłowe i nieprzejrzyste informacje o przetwarzaniu danych oraz stosowano nieprawidłowe sposoby wyrażania zgody. W niektórych przypadkach do różnych celów, w tym marketingowych, wykorzystywano papierowe formularze wymagające jednorazowej zgody. Ponadto dane były przechowywane dłużej niż to konieczne, co naruszało okresy usuwania danych. Za te naruszenia firma telekomunikacyjna została ukarana grzywną w wysokości 27,8 mln euro. Kara została nałożona m.in. za: brak zgody na działania marketingowe (telemarketing i cold calling), kierowanie do osób, których dane dotyczyły, prośby o niekontaktowanie się z nimi z ofertami marketingowymi, nieważne zgody zbierane w aplikacjach TIM, brak odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych (w tym nieprawidłową wymianę "black list" z call center), brak jasnych okresów przechowywania danych. Organ nadzorczy zobowiązał również TIM do zastosowania 20 środków naprawczych, zakazując wykorzystywania danych osobowych do celów marketingowych od osób, które odmówiły otrzymywania połączeń marketingowych z call center.Link
188GrecjaHellenic Data Protection Authority (HDPA)2019-12-19150 000,00 €Aegean Marine Petroleum Network Inc.Art. 5 RODO, Art. 6 RODO, Art. 32 RODOSpółki spoza grupy Aegean Marine Petroleum miały dostęp do jej serwerów zawierających dane osobowe i kopiowały zawartość serwerów, ponieważ Aegean Marine Petroleum nie podjęła niezbędnych środków technicznych w celu zabezpieczenia przetwarzania dużych ilości danych i oddzielenia odpowiedniego oprogramowania od danych osobowych przechowywanych na serwerach. Ponadto, Aegean Marine Petroleum nie poinformowała osób, których dane dotyczą, o przetwarzaniu ich danych osobowych przechowywanych na serwerach.Link
187WłochyGarante per la protezione dei dati personali (Garante)2019-12-113 000 000,00 €Eni Gas e LuceArt. 5 RODO, Art. 6 RODOWłoski organ nadzoru nałożył na spółkę Eni Gas and Luce (Egl) dwie grzywny w łącznej wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działalności reklamowej i zawierania niezamówionych umów. Druga grzywna w wysokości 3 mln EUR dotyczy naruszeń wynikających z zawierania niezamówionych umów na dostawy energii elektrycznej i gazu w warunkach gospodarki rynkowej. Wiele osób skarżyło się Urzędowi, że o zawarciu nowej umowy dowiedziały się dopiero po otrzymaniu pisma rozwiązującego umowę z poprzednim dostawcą lub pierwszych faktur Egl. W niektórych przypadkach w skargach podawano nieprawdziwe informacje w umowach oraz sfałszowane podpisy.Link
186WłochyGarante per la protezione dei dati personali (Garante)2019-12-118 500 000,00 €Eni Gas e LuceArt. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODOWłoski organ nadzoru nałożył na spółkę Eni Gas and Luce (Egl) dwie grzywny w łącznej wysokości 11,5 mln euro za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań reklamowych i aktywacji niezamówionych umów. Pierwsza grzywna w wysokości 8,5 mln EUR dotyczy niezgodnego z prawem przetwarzania danych w związku z działaniami telemarketingowymi i telesprzedażowymi. Wykonywano m.in. połączenia promocyjne bez zgody osoby, z którą nawiązano kontakt, lub pomimo odmowy tej osoby na otrzymywanie połączeń promocyjnych, lub bez uruchomienia specjalnych procedur sprawdzania publicznego rejestru opt-out. Ponadto brakowało środków technicznych i organizacyjnych uwzględniających informacje przekazywane przez użytkowników, dane były przetwarzane dłużej niż dopuszczalne okresy przechowywania danych, a dane o potencjalnych klientach były zbierane od podmiotów (dostawców list), które nie uzyskały zgody na ujawnienie takich danych.Link
185RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-135 000,00 €Entirely Shipping & Trading S.R.L.Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODOSpółka przetwarzała dane biometryczne (odciski palców) pracowników w celu uzyskania dostępu do niektórych pomieszczeń, ponieważ można było zastosować mniej inwazyjne środki ochrony prywatności osób, których dane dotyczą (naruszenie zasady "minimalizacji danych")Link
184RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-135 000,00 €Entirely Shipping & Trading S.R.L.Art. 5 (1) RODO, Art. 6 RODO, Art. 7 RODOSpółka w sposób nadmierny przetwarzała dane osobowe swoich pracowników poprzez kamery wideo zainstalowane w biurach oraz w miejscach, gdzie znajdują się szafki, w których pracownicy przechowują zapasową odzież (szatnie) (naruszenie zasady "minimalizacji danych").Link
183GrecjaHellenic Data Protection Authority (HDPA)2020-01-1315 000,00 €Allseas Marine S.A.Art. 5 (1) a), (2) RODOOrgan nadzorczy ukarał grzywną za zakres przetwarzania danych pracowników przez system nadzoru wideo w miejscu pracy, za to, że wprowadzenie systemu nadzoru wideo było niezgodne z prawem oraz za to, że spółka nie poinformowała o tym w wystarczającym stopniu swoich pracowników.Link
182CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-01-131 000,00 €eShop for Sports (M.L. PRO.FIT SOLUTIONS LTD)Art. 6 RODOWysyłanie wiadomości SMS o charakterze marketingowym bez zgody. W szczególności nie podjęto odpowiednich środków, takich jak możliwość blokowania przez użytkowników telefonów komunikatów marketingowych pochodzących z eSklepu Sportowego poprzez rezygnację z otrzymywania komunikatów marketingowych SMS.Link
181CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2019-10-252 000,00 €LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation LtdArt. 6 RODO, Art. 9 RODOW decyzji stwierdzono, że wykorzystanie czynnika Bradford do profilowania i monitorowania zwolnień lekarskich stanowiło niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70.000 EUR, 10.000 EUR i 2.000 EUR. Decyzja została ogłoszona w dniu 2020/10/13.Link
180CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2019-10-2510 000,00 €LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation LtdArt. 6 RODO, Art. 9 RODOW decyzji stwierdzono, że wykorzystanie czynnika Bradford do profilowania i monitorowania zwolnień lekarskich stanowiło niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70.000 EUR, 10.000 EUR i 2.000 EUR. Decyzja została ogłoszona w dniu 2020/10/13.Link
179CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2019-10-2570 000,00 €LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation LtdArt. 6 RODO, Art. 9 RODOW decyzji stwierdzono, że wykorzystanie czynnika Bradford do profilowania i monitorowania zwolnień lekarskich stanowiło niezgodne z prawem przetwarzanie danych osobowych z naruszeniem art. 6 i art. 9 RODO. Za to naruszenie nałożono trzy grzywny w wysokości 70.000 EUR, 10.000 EUR i 2.000 EUR. Decyzja została ogłoszona w dniu 2020/10/13.Link
178CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra2020-01-139 000,00 €Służby ubezpieczeń społecznych Ministerstwa Pracy, Opieki Społecznej i Ubezpieczeń SpołecznychArt. 32 RODOUdzielenie policji dostępu do danych osobowych i niepodjęcie odpowiednich środków zabezpieczających te dane, pomimo ostrzeżeń Inspektora, stanowiło naruszenie art. 32 RODO.Link
177RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-166 000,00 €SC Enel Energie S.A.Art. 5 RODO, Art. 6 RODO, Art. 7 RODO, Art. 21 RODOSankcje zostały nałożone w związku ze skargą, w której zarzucono Enel Energie bezprawne przetwarzanie danych osobowych osoby fizycznej oraz brak możliwości udowodnienia, że uzyskała zgodę tej osoby na wysyłanie powiadomień pocztą elektroniczną. Ponadto ANSPDCP wskazał, że operator nie podjął niezbędnych środków w celu zaprzestania przesyłania powiadomień, pomimo faktu, że osoba ta wielokrotnie korzystała z prawa do sprzeciwu.Link
176RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-1014 000,00 €Hora Credit IFN SAArt. 5 RODO, Art. 25 RODO, Art. 32 RODO, Art. 33 RODOSankcje zostały zastosowane w wyniku skargi, w której zarzucono Hora Credit IFN SA przekazanie dokumentów zawierających dane osobowe innej osoby na niewłaściwy adres e-mail. W wyniku przeprowadzonego postępowania wyjaśniającego ustalono, że Hora Credit IFN SA przetwarzała dane bez zapewnienia skutecznych mechanizmów weryfikacji i walidacji prawidłowości gromadzonych danych przetwarzanych zgodnie z zasadami określonymi w art. 5 RODO. Stwierdzono również, że przedsiębiorca nie zastosował wystarczających środków bezpieczeństwa dla danych osobowych, zgodnie z art. 25 i 32 RODO, tak aby uniknąć nieuprawnionego i dostępnego ujawnienia danych osobowych osobom trzecim. Jednocześnie Hora Credit IFN SA nie powiadomiła organu nadzoru o zgłoszonym incydencie bezpieczeństwa, zgodnie z art. 33 RODO, w terminie 72 godzin od powzięcia wiadomości o tym zdarzeniu. Kara pieniężna składa się z trzech kar częściowych w wysokości 3000 EUR, 10000 EUR i 1000 EUR.Link
175HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-0710 000,00 €Asociación de Médicos DemócratasArt. 6 RODOAsociación de Médicos Demócratas przetwarzała dane osobowe swoich członków, pomimo ostrzeżenia ze strony AEPD, że przetwarzanie odbywało się bez zgody osób, których dane dotyczą.Link
174HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-0775 000,00 €EDP Comercializadora, S.A.U.Art. 6 RODOSpółka ta przetwarzała dane osobowe w związku z umową gazową bez zgody skarżącego. W decyzji stwierdzono, że skarżący otrzymał fakturę za umowę gazową, której nie podpisał oraz że EDP Comercializadora twierdzi, iż skarżący jest stroną umowy z innym przedsiębiorstwem energetycznym, które zawarło umowę na dostawy z EDP Comercializadora, a zatem przetwarzanie danych jest uzasadnione. AEPD stwierdził, że EDP Comercializadora musi udowodnić, że powódka zgodziła się na umowę z drugim podmiotem, a nie tylko ze swoim bezpośrednim dostawcą energii.Link
173HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-0775 000,00 €EDP España S.A.U.Art. 6 RODOFirma przetwarzała dane osobowe takie jak imię i nazwisko, numer identyfikacji podatkowej, adres i numer telefonu komórkowego bez zgody osoby, której dane dotyczą.Link
172HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-093 000,00 €Vodafone España, S.A.U.Art. 58 RODONieprzekazanie informacji do AEPD w wymaganym terminie z naruszeniem art. 58.Link
171HiszpaniaAgencia Española de Protección de Datos (AEPD)2020-01-0744 000,00 €Vodafone España, S.A.U.Art. 5 (1) f) RODOPrzedsiębiorstwo wysłało umowę zawierającą dane osobowe, w tym nazwisko, adres i numer telefonu skarżącej, do niewłaściwego odbiorcy.Link
170NiemcyOrgan ochrony danych osobowych kraju związkowego Dolna Saksonia2019294 000,00 €NieznanyArt. 5 RODONa przedsiębiorstwo nałożono grzywnę w wysokości 294 000 EUR za " zbyt długie" przechowywanie i przetrzymywanie akt osobowych oraz za "nadmierne" gromadzenie danych w procesie doboru pracowników, podczas którego wymagano również danych dotyczących zdrowia.Link
169BelgiaGegevensbeschermingsautoriteit (GBA)2019-12-1715 000,00 €Witryna internetowa zawierająca informacje prawneArt. 6 RODO, Art. 12 RODO, Art. 13 RODOOperator strony internetowej z wiadomościami prawnymi miał oświadczenie o ochronie prywatności dostępne tylko w języku angielskim, chociaż było ono skierowane również do odbiorców niderlandzko- i francuskojęzycznych. Ponadto pierwsza wersja oświadczenia o ochronie prywatności nie była łatwo dostępna i nie wymieniała podstawy prawnej przetwarzania danych na mocy RODO. Ponadto, w odniesieniu do orzeczenia ETS w sprawie Planet 49, ustalono, że do korzystania z Google Analytics wymagana jest skuteczna zgoda.Link
168BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-10-085 112,00 €Ministerstwo Spraw WewnętrznychArt. 5 (1) RODO, Art. 6 (1) RODOGrzywna w wysokości 5 112 EUR została nałożona na Ministerstwo Spraw Wewnętrznych za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą, A.K. Ministerstwo Spraw Wewnętrznych przesłało dane osobowe A.K. do Republiki Togijskiej (Togo).Link
167BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-10-07511,00 €B.D.Art. 31 RODOGrzywna w wysokości 511 EUR została nałożona na B.D. z powodu nieudostępnienia informacji, których Komisja Ochrony Danych Osobowych potrzebowała do wykonania swoich zadań i wykonania zarządzenia.Link
166BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-10-28511,00 €PracodawcaArt. 12 (3) RODO, Art. 15 (1) RODOSankcja pieniężna w wysokości 511 EUR została nałożona na pracodawcę za odmowę udzielenia dostępu do danych osobowych osoby, której dane dotyczą, która złożyła wniosek o dostęp do swoich danych osobowych do swojego byłego pracodawcy.Link
165BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-031 121,00 €WindykatorArt. 12 (4) RODO, Art. 15 RODOGrzywna w wysokości 1121 EUR została nałożona na prywatnego agenta egzekucyjnego za przetwarzanie danych osobowych osoby, której dane dotyczą, poprzez nagrywanie za pomocą środków technicznych do nadzoru wideo oraz za odmowę udzielenia dostępu do zebranych danych. Osoba, której dane dotyczą, złożyła wniosek o dostęp do swoich danych osobowych do prywatnego agenta egzekucyjnego, który nie poinformował jej o powodach odrzucenia jej wniosku.Link
164BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-0311 760,00 €Przedstawiciel handlowy dostawcy usług telekomunikacyjnychArt. 6 (1) RODOSankcja pieniężna w wysokości 11760 EUR została nałożona na przedstawiciela handlowego dostawcy usług telekomunikacyjnych za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. Dane osobowe osoby, której dane dotyczą, były przetwarzane niezgodnie z prawem w celu zawarcia umowy o świadczenie usług telefonii komórkowej i umowy leasingu.Link
163BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-035 113,00 €Dostawca usług telekomunikacyjnychArt. 6 (1) RODO, Art. 25 (1) RODOSankcje pieniężne w wysokości 1022 EUR i 5113 EUR zostały nałożone na dostawcę usług telekomunikacyjnych i jego przedstawiciela handlowego w Bułgarii za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. Dane osobowe podmiotu danych były przetwarzane niezgodnie z prawem w celu zawarcia umów o świadczenie usług bez jego wiedzy lub zgody.Link
162BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-031 022,00 €Dostawca usług telekomunikacyjnychArt. 6 (1) RODO, Art. 25 (1) RODOSankcje pieniężne w wysokości 1022 EUR i 5113 EUR zostały nałożone na dostawcę usług telekomunikacyjnych i jego przedstawiciela handlowego w Bułgarii za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą. Dane osobowe podmiotu danych były przetwarzane niezgodnie z prawem w celu zawarcia umów o świadczenie usług bez jego wiedzy lub zgody.Link
161HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-12-105 000,00 €Shop Macoyn, S.L.Art. 32 RODOFirma wysłała e-maile reklamowe do kilku odbiorców, w których adresy e-mail wszystkich pozostałych odbiorców były widoczne dla wszystkich odbiorców, ponieważ adresy odbiorców zostały wstawione jako CC, a nie jako BCC.Link
160RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-29500,00 €Stowarzyszenie właścicieli domówArt. 32 RODOStowarzyszenie korzystało z systemów monitoringu wizyjnego bez odpowiedniej informacji zgodnie z art. 13 RODO oraz bez odpowiednich środków bezpieczeństwa dotyczących osób mających dostęp do systemu.Link
159BelgiaGegevensbeschermingsautoriteit (GBA)2019-12-172 000,00 €Organizacja opieki pielęgniarskiejArt. 12 RODO, Art. 15 RODO, Art. 17 RODOPrzedsiębiorstwo nie podjęło działań w odpowiedzi na wnioski osoby, której dane dotyczą, o uzyskanie dostępu do jej danych oraz o ich usunięcie.Link
158Wielka BrytaniaInformation Commissioner (ICO)2019-12-17320 000,00 €Doorstep Dispensaree Ltd. Art. 32 RODOPrzedsiębiorstwo przechowywało około 500 000 dokumentów zawierających nazwiska, adresy, daty urodzenia, numery NHS oraz informacje medyczne i recepty w nieuszczelnionych pojemnikach na tyłach budynku i nie zabezpieczyło tych dokumentów przed czynnikami atmosferycznymi, co doprowadziło do uszkodzenia dokumentów przez wodę.Link
157WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-12-111 430,00 €NieznanyArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 24 RODO, Art. 25 RODOPracodawca przywrócił skrzynkę pocztową dyrektora, który odszedł z firmy rok wcześniej i znalazł e-mail zawierający dokument związany z pracą. Dyrektor nie otrzymał żadnego ostrzeżenia, że jego dawna skrzynka zostanie aktywowana i nie miał możliwości skopiowania / usunięcia swoich prywatnych danych (haseł i informacji finansowych). Według NAIH, pracownik lub jego przedstawiciel powinien być obecny przy dostępie do danych pracownika, nawet jeśli jego zatrudnienie zostało zakończone. Pracownicy powinni mieć możliwość zażądania kopii lub usunięcia swoich prywatnych danych. Pracodawcy muszą rejestrować dostęp do danych za pomocą protokołów i zdjęć, a jeśli pracownik nie może być obecny, to w obecności niezależnych świadków. Pracodawcy muszą przyjąć wewnętrzną politykę w zakresie archiwizacji i korzystania z zasobów informatycznych i kont poczty elektronicznej, w tym zasady proceduralne, takie jak etapy kontroli i urzędnicy upoważnieni do jej przeprowadzenia.Link
156RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-182 000,00 €Telekom Romania Mobile Communications SAArt. 32 RODOFirma nie zapewniła poprawności przetwarzania danych osobowych, co spowodowało ujawnienie danych osobowych klienta innemu klientowi.Link
155GrecjaHellenic Data Protection Authority (HDPA)2019-10-1820 000,00 €Wind Hellas TelecommunicationsArt. 21 RODOFirma zignorowała m.in. zastrzeżenia zgłaszane przez poszkodowanych wobec rozmów reklamowych.Link
154NiderlandyAutoriteit Persoonsgegevens (AP)2019-10-3150 000,00 €Menzis (Zakład ubezpieczeń zdrowptnych)Art. 5 RODOPracownicy działu marketingu mieli dostęp do danych pacjentów. Między innymi naruszyło to zasadę celowości.Link
153HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-2360 000,00 €Vodafone España, S.A.U.Art. 5 (1) f) RODOVodafone przesłał do abonenta historię faktur w ramach reklamacji faktur przez abonenta. Historia ta zawierała również dane dotyczące faktur nieznanej osoby trzeciej.Link
152HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-0660 000,00 €Vodafone España, S.A.U.Art. 6 RODOVodafone w wyniku reklamacji wysłał dane klienta dotyczące faktur do nieuprawnionych stron trzecich. Pierwotnie groziła grzywna w wysokości 75.000 EUR, ale została zmniejszona do 60.000 EUR w zamian za natychmiastową zapłatę i rezygnację z odwołania.Link
151HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-196 000,00 €Sports BarArt. 5 (1) c) RODOW barze sportowym funkcjonował system monitoringu wizyjnego, w którym kąt obserwacji kamer rozciągał się na obszar ruchu publicznego.Link
150WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-10-247 400,00 €Szpital wojskowyArt. 32 RODO, Art. 33 RODOSzpital wojskowy nie dotrzymał terminu zgłaszania przypadków naruszenia danych. Kolejna część kary dotyczy braku środków technicznych i organizacyjnych.Link
149RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-022 000,00 €Nicola Medical Team 17 SRLArt. 58 RODOSpółka nie zastosowała się do środków nakazanych przez Krajowy Urząd Nadzoru.Link
148RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-263 000,00 €FryzjerArt. 58 RODOSpółka nie zastosowała się do środków nakazanych przez Krajowy Urząd Nadzoru.Link
147HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-12-101 600,00 €Megastar SLArt. 5 (1) c) RODO, Art. 13 RODOPrzedsiębiorstwo stosowało system nadzoru wideo, w którym kąt obserwacji kamer niepotrzebnie sięgał daleko w strefę ruchu publicznego. Ponadto nie umieszczono żadnej tabliczki z informacją o ochronie danych.
146HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-12-035 000,00 €Linea Directa AseguradoraArt. 6 RODOFirma ubezpieczeniowa wysyłała e-maile reklamowe dla platformy "Reto Nuez" bez wymaganej zgody.Link
145RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-162 000,00 €Globus Score SRLArt. 58 RODOSpółka nie zastosowała się do środków nakazanych przez Krajowy Urząd Nadzoru.Link
144SzwecjaDatainspektionen2019-12-1635 000,00 €Nusvar ABArt. 6 RODONusvar AB, operator strony internetowej Mrkoll.se, która zawiera informacje o wszystkich Szwedach powyżej 16 roku życia, opublikował informacje o osobach, które zalegają z opłatami.Link
143NiemcyOrgan ochrony danych osobowych kraju związkowego Meklemburgia-Pomorze Przednie2019800,00 €PolicjantArt. 6 RODOPolicjant wykorzystał dane osobowe świadka, aby skontaktować się z nią osobiście.Link
142HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-12-031 500,00 €Cerrajeria Verin S.L.Art. 13 RODOFirma gromadziła dane osobowe, nie podając dokładnych informacji o swoich działaniach związanych z przetwarzaniem danych w polityce prywatności opublikowanej na swojej stronie internetowej.Link
141HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-2875 000,00 €Curenergía Comercializador de último recursoArt. 6 RODOOsoba fizyczna złożyła skargę przeciwko spółce, twierdząc, że spółka wykorzystała jej dane osobowe jako byłego klienta, takie jak imię i nazwisko, numer identyfikacyjny VAT oraz adres, w celu zawarcia umowy na dostawę energii elektrycznej.Link
140BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-09-0328 100,00 €Krajowa Agencja SkarbowaArt. 6 (1) RODO, Art. 58 (2) e) RODOSankcja pieniężna w wysokości 28 121 EUR została nałożona na Krajową Agencję Skarbową za niezgodne z prawem przetwarzanie danych osobowych podmiotu danych G.B.I. Dane osobowe G.B.I. zostały bezprawnie zgromadzone, a następnie wykorzystane do wszczęcia przeciwko tej osobie postępowania egzekucyjnego w celu odzyskania kwoty około 86 569 EUR. W związku z utworzoną sprawą egzekucyjną, Krajowa Agencja Skarbowa zgromadziła dodatkowe dane dotyczące rachunków bankowych G.B.I. z rejestru Narodowego Banku Bułgarii. Dodatkowe zgromadzone dane zostały również bezprawnie przetworzone przez Krajową Agencję Skarbową w celu wysłania nakazów zajęcia do banków, w których G.B.I. miała rachunki bankowe.Link
139WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-1015 100,00 €Miasto KerepesArt. 6 (1) RODOMiasto oparło swoją praktykę nadzoru wideo na swoich uzasadnionych interesach (Art. 6 (1) f RODO). Jednakże, zgodnie z art. 6 (1) akapit 2 ta podstawa prawna nie ma zastosowania do przetwarzania dokonywanego przez organy publiczne w ramach wykonywania ich zadań. Przetwarzanie nie może być oparte na innej podstawie prawnej.Link
138HiszpaniaAgencia Española de Protección de Datos (AEPD)20193 600,00 €AMADOR RECREATIVOS, S.LArt. 5 (1) c) RODOInwigilacja przestrzeni publicznej przez kamery monitoringu wizyjnego z naruszeniem zasad minimalizacji danych.Link
137HiszpaniaAgencia Española de Protección de Datos (AEPD)20199 000,00 €PracodawcaArt. 5 (1) c) RODOKamery monitoringu służyły nie tylko do ochrony mienia, ale także do monitorowania pracowników (naruszenie zasady minimalizacji danych).Link
136HiszpaniaAgencia Española de Protección de Datos (AEPD)201920 000,00 €PracodawcaArt. 5 (1) c) RODOKamery monitoringu służyły nie tylko do ochrony mienia, ale także do monitorowania pracowników (naruszenie zasady minimalizacji danych).Link
135HiszpaniaAgencia Española de Protección de Datos (AEPD)201940 000,00 €Vodafone España, S.A.U.Art. 6 RODOSpółka naliczyła opłatę za usługę Netflix, która nie została zamówiona przez powoda. Powódka mogła udowodnić, że z usługi korzystało inne gospodarstwo domowe, które rzekomo otrzymało od Vodafone rachunek bankowy i numer telefonu powódki. Ponieważ Vodafone nie był w stanie udowodnić, że powód wyraził zgodę na zawarcie umowy dotyczącej usług Netflix, AEPD nałożył na niego karę w wysokości 40.000 EUR.Link
134HiszpaniaAgencia Española de Protección de Datos (AEPD)201930 000,00 €Vodafone España, S.A.U.Art. 5 (1) f) RODO, Art. 32 RODOUjawnienie danych osobowych klienta (m.in. historii zakupów) za pośrednictwem wiadomości SMS innemu klientowi. Początkowa grzywna w wysokości 50 000 EUR została zmniejszona do 30 000 EUR.Link
133HiszpaniaAgencia Española de Protección de Datos (AEPD)201948 000,00 €TELEFONICA MOVILES ESPAÑA, S.A.U.Art. 5 (1) a) RODORachunek bankowy skarżącego został obciążony przez spółkę dwiema fakturami za zamówione przez niego usługi, na których jednak widniały dane osobowe innego klienta. Początkowa grzywna w wysokości 60.000 euro została obniżona do 48.000 euro.Link
132HiszpaniaAgencia Española de Protección de Datos (AEPD)201948 000,00 €VODAFONE ONO, S.A.U.Art. 32 RODOKlienci mogli uzyskać dostęp do danych osobowych innych klientów w strefie klienta. Początkowa grzywna w wysokości 60 000 EUR została zmniejszona do 48 000 EUR.Link
131HiszpaniaAgencia Española de Protección de Datos (AEPD)201936 000,00 €VODAFONE ONO, S.A.U.Art. 5 (1) f) RODOPrzedsiębiorstwo wysłało wiadomość e-mail o charakterze marketingowym do dużej liczby odbiorców (klientów), nie korzystając z funkcji ślepej kopii (BCC). Początkowa grzywna w wysokości 60 000 EUR została obniżona do 36 000 EUR.Link
130HiszpaniaAgencia Española de Protección de Datos (AEPD)201921 000,00 €Vodafone España, S.A.U.Art. 6 (1) RODOVodafone przetwarzał dane osobowe skarżącego (dane bankowe, imię, nazwisko i krajowy numer identyfikacyjny) wiele lat po zakończeniu stosunków umownych. Kara w wysokości 35000 euro została obniżona do 21000 euro.
Link
129NiemcyDer Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)2019-12-0910 000,00 €Rapidata GmbHArt. 37 RODOPomimo wielokrotnych wezwań BfDI firma (dostawca internetu) nie wywiązała się ze swojego prawnego obowiązku wynikającego z art. 37 RODO, polegającego na wyznaczeniu inspektora ochrony danych.Link
128NiemcyDer Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)2020-11-11900 000,00 €1&1 Telecom GmbHArt. 32 RODOPierwotne podsumowanie kary: Administrator jest firmą oferującą usługi telekomunikacyjne. Osoba dzwoniąca mogła uzyskać obszerne informacje na temat danych osobowych klientów z działu obsługi klienta firmy po prostu wpisując imię i nazwisko klienta oraz datę urodzenia. W tej procedurze uwierzytelniania BfDI dopatruje się naruszenia art. 32 RODO, zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Ze względu na współpracę firmy z organem ochrony danych osobowych, nałożona grzywna znalazła się w dolnej granicy skali. -- Aktualizacja: 11 listopada 2020 r., po złożeniu odwołania od grzywny, Sąd Okręgowy w Bonn uznał, że choć grzywna jest co do zasady uzasadniona, to jest ona nieracjonalnie wysoka. Izba obniżyła zatem grzywnę z pierwotnie 9,55 mln EUR do 900.000 EUR. Jednym z powodów obniżenia grzywny był fakt, że stosowana przez przedsiębiorstwo procedura uwierzytelniania klientów korzystających z infolinii (wymagająca podania jedynie nazwiska i daty urodzenia osoby dzwoniącej) przez długi czas nie budziła zastrzeżeń, w związku z czym przedsiębiorstwo nie miało konkretnej świadomości problemu, co prowadzi do tego, że konkretne zawinienie w tym przypadku musiało zostać zakwalifikowane jako raczej niskie. Ponadto, zdaniem sądu, naruszenie było również raczej niewielkie, ponieważ nie mogło doprowadzić do masowego wycieku danych.Link
127RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-292 500,00 €Royal President S.R.L.Art. 15 RODO, Art. 6 RODO, Art. 32 RODORoyal President odrzucił wniosek o dostęp do danych osobowych na podstawie art. 15 RODO oraz ujawnił dane osobowe bez zgody osób, których dane dotyczą. Ponadto Royal President nie zastosował odpowiednich środków technicznych lub organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.Link
126RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-2880 000,00 €ING Bank N.V.Art. 32 RODOING Bank nie zastosował odpowiednich środków technicznych i organizacyjnych dla zautomatyzowanego systemu przetwarzania danych w procesie rozliczania transakcji kartowych dotyczących 225 525 klientów, w wyniku czego w dniach od 8 do 10 października br. dokonano podwójnych transakcji.Link
125RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-12-0420 000,00 €S CNTAR TAROM SA (Linia lotnicza)Art. 32 RODORumuński organ ochrony danych nałożył sankcję na linię lotniczą, ponieważ nie podjęła ona odpowiednich środków w celu zapewnienia, że każda osoba fizyczna działająca pod jej nadzorem przetwarza dane osobowe zgodnie z jej instrukcjami (art. 32 ust. 4 RODO). W wyniku tego jeden z pracowników uzyskał nieuprawniony dostęp do aplikacji rezerwacyjnej i mógł sfotografować listę z danymi osobowymi 22 pasażerów/klientów, a następnie ujawnić ją w Internecie.Link
124BelgiaGegevensbeschermingsautoriteit (GBA)2019-11-285 000,00 €Radny miejskiArt. 6 RODOGrzywna za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail nie były gromadzone w tym celu.Link
123BelgiaGegevensbeschermingsautoriteit (GBA)2019-11-285 000,00 €BurmistrzArt. 6 RODOGrzywna za wysyłanie korespondencji wyborczej bez wystarczającej podstawy prawnej. Wykorzystane adresy e-mail nie były gromadzone w tym celu.Link
122NiemcyOrgan ochrony danych osobowych kraju związkowego Nadrenia-Palatynat2019-12-03105 000,00 €SzpitalArt. 32 RODOGrzywna wynika z kilku naruszeń RODO w związku z pomyleniem pacjentów przy ich przyjmowaniu. Spowodowało to nieprawidłowe fakturowanie i ujawniło strukturalne braki techniczne i organizacyjne w zarządzaniu danymi pacjentów w szpitalu.Link
121HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana10 000,00 €Ikea IbéricaArt. 6 RODOFirma instalowała pliki cookie na urządzeniu końcowym użytkownika bez uprzedniej zgody osoby, której dane dotyczą.Link
120ŁotwaDatu Valsts Inspekcija (DVI)2019-11150 000,00 €NieznanyArt. 6 RODONiezgodne z prawem przetwarzanie danych. Nie są jeszcze dostępne dalsze informacje.Link
119HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-1960 000,00 €Xfera Moviles S.A.Art. 32 RODOIndywidualny skarżący otrzymał od Xfera Móviles wiadomość SMS, która miała być zaadresowana do osoby trzeciej i która umożliwiała mu dostęp do konta i danych osobowych tej osoby trzeciej na stronie internetowej Xfera Móviles za pośrednictwem numeru telefonu i hasła otrzymanego w wiadomości SMS.Link
118FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2019-11-21500 000,00 €Futura InternationaleArt. 5 RODO, Art. 6 RODO, Art. 13 RODO, Art. 14 RODO, Art. 21 RODOSpółka Futura Internationale została ukarana grzywną za prowadzenie rozmów typu "cold calling" po tym, jak kilku skarżących otrzymało takie połączenia, mimo że bezpośrednio dzwoniącemu i listownie oświadczyli, że sobie tego nie życzą. W decyzji wskazano w szczególności, że w wyniku kontroli Futura Internationale przeprowadzonej przez CNIL na miejscu stwierdzono między innymi, że Futura Internationale otrzymała kilka pism, w których wyrażono sprzeciw wobec "cold calling", że przechowywała nadmierną ilość informacji o klientach i ich zdrowiu oraz że Futura Internationale nie poinformowała osób fizycznych o przetwarzaniu ich danych osobowych lub nagrywaniu rozmów telefonicznych.Link
117HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-1430 000,00 €Telefónica SAArt. 5 RODOTelefónica obciążyła skarżącego różnymi opłatami w związku z obsługą linii telefonicznej, której skarżący nigdy nie posiadał. Wynikało to z faktu, że rachunek bankowy skarżącego był powiązany z innym klientem Telefóniki, co powodowało, że opłaty były pobierane z rachunku skarżącego. Zdaniem AEPD jest to sprzeczne z zasadą prawidłowości wymaganą przez art. 5 ust. 1 lit. d RODO.Link
116RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-222 000,00 €BNP Paribas Personal Finance S.A.Art. 12 RODO, Art. 17 RODOBNP Paribas Personal Finance nie zareagował na wniosek o usunięcie danych w terminie określonym w RODO.Link
115RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-11-2511 000,00 €Courier Services CompanyArt. 32 RODOGrzywna została nałożona, ponieważ administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, co doprowadziło do utraty i nieuprawnionego dostępu do danych osobowych (imię i nazwisko, numer karty bankowej, kod CVV, adres posiadacza karty, osobisty numer identyfikacyjny, numer seryjny i identyfikacyjny karty, numer rachunku bankowego, dozwolony limit kredytowy) około 1100 osób, których dane dotyczą.Link
114HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-2160 000,00 €Viaqua Xestión Integral Augas de GaliciaArt. 6 RODOPrzetwarzanie (modyfikacja) danych osobowych klienta zawartych w umowie przez osobę trzecią bez zgody klienta.Link
113HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-1960 000,00 €Corporación radiotelevisión espanolaArt. 32 RODOCORPORACIÓN RADIOTELEVISIÓN ESPAÑOLA i związek zawodowy zgłosiły naruszenie bezpieczeństwa do AEPD po tym, jak sześć niezaszyfrowanych pamięci USB zawierających dane osobowe zostało utraconych. Naruszenie dotyczyło około 11 000 osób, w tym danych identyfikacyjnych, danych o zatrudnieniu, danych o wyrokach karnych i danych o stanie zdrowia.Link
112CzechyÚřad pro ochranu osobních údajů (UOOU)nieznana980,00 €PrzedsiębiorcaArt. 32 RODOOperator gry online został narażony na kilka ataków DDoS, które spowodowały nieprawidłowe działanie serwerów. Napastnik szantażował operatora, że ataki nie ustaną, jeśli nie zapłaci pieniędzy. W ramach szantażu atakujący zaproponował operatorowi, że stworzy zmodernizowaną i lepszą ochronę firewall dla serwerów operatora. Operator zgodził się i zapłacił napastnikowi. Operator wdrożył nowy kod od napastnika, który okazał się lepszy od starego, ale w kodzie znajdował się "backdoor". Atakujący wykorzystał backdoora do wykradzenia z serwera wszystkich danych o graczach i umieścił je na swojej stronie internetowej. Urząd Ochrony Danych Osobowych stwierdził, że operator nie podjął odpowiednich środków bezpieczeństwa.Link
111CzechyÚřad pro ochranu osobních údajů (UOOU)nieznana588,00 €Alza.cz a.s.Art. 6 RODO, Art. 7 RODOFirma uzyskała kopię dowodu osobistego z fotografią osoby, której dane dotyczą, za jej zgodą, jednak nie zareagowała na cofnięcie przez nią zgody i kontynuowała przetwarzanie jej danych osobowych.Link
110HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-133 000,00 €Confederación General del Trabajo ("CGT")Art. 6 RODOCGT, w celu zwołania spotkania, przesłała pocztą elektroniczną dane osobowe skarżącej w tym jej adres domowy, informacje o pokrewieństwie, stanie ciąży i datę toczącej się sprawy o znęcanie się słowne i molestowanie, do 400 członków związku bez jej zgody.Link
109SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznana50 000,00 €Agencja Ubezpieczeń SpołecznychArt. 32 RODOWnioski o przyznanie świadczeń socjalnych od obywateli Słowacji zostały wysłane pocztą do zagranicznych organów. Zostały one zagubione przez pocztę, co spowodowało, że nie można było wyjaśnić, gdzie znajdują się te dane osobowe.Link
108PortugaliaComissão Nacional de Protecção de Dados (CNPD)2019-03-192 000,00 €NieznanyArt. 13 RODOBrak sygnalizacji w zakresie stosowania systemów CCTV.Link
107NiderlandyAutoriteit Persoonsgegevens (AP)2019-10-31900 000,00 €Uitvoeringsinstituut Werknemersverzekeringen ("UWV") (Niderlandzki dostawca usług ubezpieczeniowych dla pracowników)Art. 32 RODOPonieważ UWV (holenderski dostawca usług w zakresie ubezpieczeń pracowniczych - "Uitvoeringsinstituut Werknemersverzekeringen") nie stosował uwierzytelniania wieloskładnikowego przy dostępie do portalu internetowego pracodawcy, poziom bezpieczeństwa był nieodpowiedni. Pracodawcy i służby ds. bezpieczeństwa i higieny pracy były w stanie gromadzić i wyświetlać dane dotyczące zdrowia pracowników w systemie nieobecności.Link
106HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-316 000,00 €Jocker Premium InvexArt. 6 RODOPo zarejestrowaniu się w lokalnym spisie powszechnym Jocker Premium Invex wysłała skarżącej pocztą reklamy i oferty handlowe, przy czym dane takie jak imię, nazwisko i adres pocztowy zostały przekazane jedynie administracji publicznej.Link
105HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-06900,00 €Cerrajero OnlineArt. 13 RODOSpółka gromadziła dane osobowe, nie podając dokładnych informacji o ich gromadzeniu w oświadczeniu o ochronie danych osobowych zgodnie z art. 13 RODO.Link
104HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana12 000,00 €Madrileña Red de GasArt. 32 RODOPrzedsiębiorstwo gazownicze nie posiadało odpowiednich środków umożliwiających weryfikację tożsamości osoby, której dane dotyczą. Osoba, która złożyła skargę, twierdzi, że w odpowiedzi na wniosek spółka przesłała drogą elektroniczną informacje na jej temat osobie trzeciej.Link
103HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-11-07900,00 €TODOTECNICOS24H S.L.Art. 13 RODOTODOTECNICOS24H gromadził dane osobowe, nie podając dokładnych informacji o ich gromadzeniu w oświadczeniu o ochronie danych osobowych zgodnie z art. 13 RODO.Link
102PolskaUrząd ochrony danych osobowych (UODO)2019-10-1647 000,00 €ClickQuickNowArt. 5 RODOUODO nałożył karę w wysokości 47000 euro za utrudnianie korzystania z prawa do wycofania zgody na przetwarzanie danych osobowych. Firma nie zastosowała odpowiednich środków technicznych i organizacyjnych, które umożliwiają proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych.Link
101NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia201980 000,00 €NieznanyArt. 32 RODOW publikacji cyfrowej dane dotyczące zdrowia zostały przypadkowo opublikowane z powodu nieodpowiednich mechanizmów kontroli wewnętrznej.Link
100HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-2536 000,00 €Vodafone España, S.A.U.Art. 5 RODO, Art. 6 RODOSkarżący, którego dane zostały przekazane spółce przez jego córkę, zgodnie z jego upoważnieniem, otrzymał telefon od spółki z ofertą usług, której odmówił. Vodafone España przystąpiła jednak do świadczenia mu usług i żądania od niego zapłaty, a zatem Vodafone España przetwarzała dane osobowe skarżącego bez jego zgody.Link
99NiemcyOrgan ochrony danych osobowych Berlina2019-10-30NieznanaDeutsche Wohnen SE (firma z branży nieruchomości)Art. 5 RODOOprócz sankcji za naruszenie zasad ochrony prywatności w fazie projektowania (art. 5 RODO, art. 25 RODO - patrz osobny wpis), berliński pełnomocnik ds. ochrony danych osobowych nałożył na firmę kolejne grzywny w wysokości od 6.000 do 17.000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych, indywidualnych przypadkach.Link
98NiemcyOrgan ochrony danych osobowych Berlina2021-02-230,00 €Deutsche Wohnen SE (firma z branży nieruchomości)Art. 5 RODO, Art. 25 RODOPierwotnie na Deutsche Wohnen SE została nałożona grzywna w wysokości 14 500 000 EUR za stosowanie systemu archiwizacji do przechowywania danych osobowych najemców, który zdaniem organu ochrony danych nie przewidywał możliwości usunięcia danych, które nie były już potrzebne. Według organu ochrony danych osobowych dane osobowe najemców były przechowywane bez sprawdzenia, czy ich przechowywanie jest dopuszczalne, a nawet konieczne, w związku z czym możliwy był dostęp do danych osobowych zainteresowanych najemców, które były przechowywane przez lata, a które nie służyły celowi ich pierwotnego gromadzenia. Chodziło o dane dotyczące sytuacji osobistej i finansowej najemców, takie jak zaświadczenia o zarobkach, formularze ujawniające tożsamość, wyciągi z umów o pracę i umów szkoleniowych, dane podatkowe, dane dotyczące ubezpieczenia społecznego i zdrowotnego, a także wyciągi bankowe. Oprócz sankcji za to naruszenie berliński organ ds. ochrony danych nałożył na przedsiębiorstwo dalsze grzywny w wysokości od 6000 do 17000 euro za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych przypadkach indywidualnych. Patrz oddzielny wpis.
AKTUALIZACJA W dniu 24 lutego 2021 r. Sąd Okręgowy w Berlinie odrzucił grzywnę nałożoną na Deutsche Wohnen SE z powodu błędów proceduralnych, zob. link (https://www.deutsche-wohnen.com/ueber-uns/presse-news/pressemitteilungen/landgericht-berlin-stellt-bussgeldverfahren-gegen-deutsche-wohnen-ein/) i link (https://www.heise.de/news/Gravierende-Maengel-Deutsche-Wohnen-wendet-DSGVO-Millionenstrafe-vorerst-ab-5064633.html)
Link
97PolskaUrząd ochrony danych osobowych (UODO)2019-10-189 380,00 €Burmistrz Aleksandrowa KujawskiegoArt. 28 RODOZ firmą, na której serwerach znajdowały się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim, nie została zawarta umowa powierzenia przetwarzania danych. Z tego powodu na burmistrza miasta została nałożona grzywna w wysokości 40.000 zł (9400 euro).Link
96AustriaÖsterreichische Datenschutzbehörde (DSB)2019-10-290,00 €Österreichische Post (Poczta Austriacka)Art. 5 (1) a) RODO, Art. 6 RODOPierwotne podsumowanie kary: Wysyłanie reklam wyborczych do obywateli bez wystarczającej podstawy prawnej. Aktualizacja: 27 stycznia 2021 roku Sąd Apelacyjny w Brukseli uchylił karę grzywny w wysokości 5.000 EUR.Link
95SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznana40 000,00 €Slovak TelekomArt. 32 RODOAdministrator nie zastosował odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych, przez co naruszył obowiązek ochrony przetwarzanych danych osobowych.Link
94HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-168 000,00 €Iberdrola ClientesArt. 31 RODOIberdrola Clientes, przedsiębiorstwo energetyczne, odmówiło złożenia osobie wniosku o zmianę dostawcy energii elektrycznej, ponieważ twierdziło, że jej dane zostaną umieszczone na liście wypłacalności. W związku z tym AEPD zażądał od Iberdola Clientes informacji o możliwości dodania danych tej osoby do wykazu wypłacalności, na co przedsiębiorstwo nie odpowiedziało. Ten brak współpracy z AEPD stanowił naruszenie art. 31 RODO.Link
93HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-1660 000,00 €Xfera Moviles S.A.Art. 5 RODO, Art. 6 RODOXfera Movile wykorzystywała dane osobowe bez podstawy prawnej w celu zawarcia umowy telekomunikacyjnej i kontynuowała przetwarzanie danych osobowych nawet wtedy, gdy osoba, której dane dotyczą, zażądała zaprzestania przetwarzania.Link
92SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznanaNieznanaNieznanyArt. 5 (1) a) RODO, Art. 6 (1) a) RODODane osobowe zostały bezprawnie opublikowane na stronie internetowej miasta w ramach wypełniania obowiązku informacyjnego wynikającego z ustawy o wolności informacji. Urząd Ochrony Danych Osobowych stwierdził jednak, że miasto opublikowało dane osobowe z naruszeniem prawa i bez zgody osoby, której one dotyczą.Link
91SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznanaNieznanaNieznanyArt. 5 (1) f) RODO, Art. 32 RODONaruszenie środków bezpieczeństwa informacji (w chwili obecnej brak dalszych informacji)Link
90SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznanaNieznanaNieznanyArt. 5 (1) f) RODO, Art. 32 RODODokumenty zawierające dane osobowe zostały wyrzucone na teren miejskiego wysypiska śmieci.Link
89SłowacjaÚrad na ochranu osobných údajov (UOOU)nieznanaNieznanaNieznanyArt. 15 RODOAdministrator danych nie spełnił żądania osoby, której dane dotyczą, dotyczącego dostępu do jej danych osobowych przetwarzanych za pomocą nagrań dźwiękowych.Link
88RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-09-269 000,00 €Inteligo Media SAArt. 5 (1) a) RODO, Art. 6 (1) a) RODOW ramach procesu rejestracji na stronie internetowej avocatnet.ro, operator użył niewypełnionego pola wyboru, za pomocą którego użytkownicy mogli zadeklarować, że nie chcą otrzymywać listów informacyjnych za pośrednictwem poczty elektronicznej (opt-out). Bez żadnego działania użytkownik automatycznie otrzymywał listy informacyjne pocztą elektroniczną. Nie spełniało to wymogów zgody zgodnej z RODO.Link
87CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra201914 000,00 €LekarzArt. 5 RODO, Art. 6 RODOPacjentka złożyła do komisarza skargę, że szpital nie spełnił jej prośby o dostęp do jej dokumentacji medycznej, ponieważ administrator danych nie mógł zidentyfikować/ zlokalizować dokumentacji. Po zbadaniu sprawy na szpital nałożono karę administracyjną w wysokości 5 000 EUR.Link
86HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-10-0130 000,00 €Vueling AirlinesArt. 5 RODO, Art. 6 RODOHiszpańska Agencja Ochrony Danych Osobowych (AEPD) ukarała linie lotnicze Vueling karą w wysokości 30 000 euro za to, że nie dały użytkownikom możliwości odrzucenia plików cookie i zmuszały ich do korzystania z nich, jeśli chcieli przeglądać ich stronę internetową. Innymi słowy, nie można było przeglądać strony Vueling bez akceptacji ich ciasteczek. AEDP wydała uchwałę sankcyjną na kwotę 30.000 euro, która może zostać zredukowana do 18.000 euro w przypadku natychmiastowej zapłaty.Link
85RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-10-0920 000,00 €Vreau Credit SRLArt. 32 RODO, Art. 33 RODORaiffeisen Bank Romania przeprowadził ocenę scoringową na podstawie danych osobowych osób zarejestrowanych na platformie Vreau Credit, przekazanych przez pracowników platformy za pośrednictwem aplikacji WhatsApp, a następnie zwrócił wynik do Vreau Credit za pomocą tego samego środka komunikacji.Link
84RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-10-0910 000,00 €Raiffeisen Bank SAArt. 32 RODORaiffeisen Bank Romania przeprowadził ocenę scoringową na podstawie danych osobowych osób zarejestrowanych na platformie Vreau Credit, przekazanych przez pracowników platformy za pośrednictwem aplikacji WhatsApp, a następnie zwrócił wynik do Vreau Credit za pomocą tego samego środka komunikacji.Link
83GrecjaHellenic Data Protection Authority (HDPA)2019-10-07200 000,00 €Dostawca usług telekomunikacyjnychArt. 21 (3) RODO, Art. 25 RODONieodpowiednie środki techniczne spowodowały, że dane 8000 klientów nie zostały usunięte na żądanie.Link
82GrecjaHellenic Data Protection Authority (HDPA)2019-10-07200 000,00 €Dostawca usług telekomunikacyjnychArt. 5 (1) c) RODO, Art. 25 RODODuża liczba klientów była przedmiotem rozmów telemarketingowych, mimo że zadeklarowali oni wyłączenie w tym zakresie. Zostało to zignorowane z powodu błędów technicznych.Link
81HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana9 600,00 €SANTI 3000, S.L. (restauracja)Art. 5 (1) a) RODO, Art. 6 RODORestauracja chciała nałożyć sankcje dyscyplinarne na pracownika, który wykorzystał do celów dowodowych obraz z telefonu komórkowego, który został nagrany przez innego pracownika restauracji. Początkowa grzywna w wysokości 12.000 EUR została obniżona do 9.600 EUR.Link
80BelgiaGegevensbeschermingsautoriteit (GBA)2019-09-1710 000,00 €HandlowiecArt. 5 (1) c) RODOBelgijski urząd ochrony danych osobowych nałożył grzywnę w wysokości 10 000 euro na sprzedawcę, który chciał wykorzystać elektroniczny dowód tożsamości (eID) do stworzenia karty klienta. Dochodzenie przeprowadzone przez organ ochrony danych wykazało, że sprzedawca zażądał dostępu do danych osobowych znajdujących się na elektronicznym dokumencie tożsamości, w tym do zdjęcia i kodu kreskowego, który jest powiązany z numerem identyfikacyjnym osoby, której dane dotyczą. W międzyczasie decyzja organu ochrony danych została uchylona przez sąd: link (https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Arrest_190220.pdf)Link
79PolskaUrząd ochrony danych osobowych (UODO)2019-09-10660 000,00 €Morele.netArt. 32 RODOPolski organ ochrony danych osobowych nałożył na Morele.net karę w wysokości ponad 2,8 mln zł (ok. 644 780 euro) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do nieuprawnionego dostępu do danych osobowych 2,2 mln osób.Link
78NiemcyOrgan ochrony danych osobowych Berlina2019-09-19195 407,00 €Delivery HeroArt. 15 RODO, Art. 17 RODO, Art. 21 RODOZgodnie z ustaleniami berlińskiego inspektora ochrony danych Delivery Hero Germany GmbH w dziesięciu przypadkach nie usunęła kont byłych klientów, mimo że osoby, których dane dotyczą, od lat nie korzystały z platformy usług kurierskich tego przedsiębiorstwa, a w jednym przypadku nawet od 2008 roku. Ponadto ośmiu byłych klientów skarżyło się na niechciane reklamowe wiadomości e-mail od przedsiębiorstwa. Podmiot danych, który wyraźnie sprzeciwił się wykorzystywaniu jego danych do celów reklamowych, otrzymał mimo to 15 dalszych reklamowych wiadomości e-mail od firmy kurierskiej. W kolejnych pięciu przypadkach przedsiębiorstwo nie przekazało podmiotom danych wymaganych informacji lub przekazało je dopiero po interwencji berlińskiego pełnomocnika ds. ochrony danych.Link
77PortugaliaComissão Nacional de Protecção de Dados (CNPD)2019-03-252 000,00 €NieznanyArt. 13 RODOBrak sygnalizacji w zakresie stosowania systemów CCTV.Link
76PortugaliaComissão Nacional de Protecção de Dados (CNPD)2019-02-0520 000,00 €NieznanyArt. 15 RODOOdmowa prawa dostępu do nagranych rozmów telefonicznych przez osobę, której dotyczą dane.Link
75NorwegiaDatatilsynet2019-04-29120 000,00 €Wydział Edukacji Miasta OsloArt. 32 RODOWykrycie luk w zabezpieczeniach aplikacji do przesyłania wiadomości na telefony komórkowe, stworzonej do użytku w szkole w Oslo. Aplikacja ta umożliwia rodzicom i uczniom wysyłanie wiadomości do pracowników szkoły. Ze względu na niewystarczające środki techniczne i organizacyjne mające na celu ochronę bezpieczeństwa informacji, osoby nieupoważnione mogły logować się jako autoryzowani użytkownicy i uzyskiwać dostęp do danych osobowych uczniów, przedstawicieli prawnych i pracowników. W międzyczasie grzywna została zmniejszona do 120.000 euro, patrz link (https://edpb.europa.eu/news/national-news/2020/norwegian-data-protection-authority-imposes-fine-municipality-oslo-education_en)Link
74WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-06-2515 150,00 €NieznanyArt. 33 RODOAdministrator danych nie dopełnił swoich obowiązków w zakresie powiadamiania o naruszeniu ochrony danych, gdy zgubił pamięć flash z danymi osobowymi.Link
73ŁotwaDatu Valsts Inspekcija (DVI)2019-08-267 000,00 €Usługi onlineArt. 17 RODOSprzedawca, który świadczy usługi w sklepie internetowym, naruszył "prawo do bycia zapomnianym" zgodnie z art. 17 RODO, gdy wielokrotnie był proszony przez osobę, której dane dotyczą, o usunięcie wszystkich jej danych osobowych, w szczególności numeru telefonu komórkowego, które sprzedawca otrzymał w ramach zamówienia. Mimo to sprzedawca wielokrotnie wysyłał wiadomości reklamowe za pośrednictwem SMS na numer telefonu komórkowego osoby, której dane dotyczą.Link
72BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-08-28511 000,00 €DSK BankArt. 32 RODOWyciek danych osobowych w wyniku zastosowania nieodpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony bezpieczeństwa informacji. Osoby trzecie miały dostęp do ponad 23 000 kartotek kredytowych dotyczących ponad 33 000 klientów banku, w tym do danych osobowych, takich jak nazwiska, obywatelstwo, numery identyfikacyjne, adresy, kopie dowodów tożsamości i dane biometryczne.Link
71BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-08-282 600 000,00 €Krajowa Agencja SkarbowaArt. 32 RODOWyciek danych osobowych w wyniku ataku hakerskiego spowodowany niedostatecznym zastosowaniem środków technicznych i organizacyjnych zapewniających ochronę bezpieczeństwa informacji. Stwierdzono, że bezprawnie udostępniono dane osobowe dotyczące ok. 6 mln osób.Link
70HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-08-1660 000,00 €AVON COSMETICSArt. 6 RODOKonsument twierdził, że AVON COSMETICS bezprawnie przetwarzał jego dane bez odpowiedniego sprawdzenia jego tożsamości, co doprowadziło do tego, że jego dane zostały błędnie wpisane do rejestru wierzytelności, uniemożliwiając mu współpracę z jego bankiem. W rezultacie osoba trzecia w nieuczciwy sposób wykorzystała dane osobowe konsumenta.Link
69AustriaÖsterreichische Datenschutzbehörde (DSB)2019-0711 000,00 €Osoba fizyczna (trener piłki nożnej)Art. 6 RODOGrzywna została nałożona na trenera piłki nożnej, który przez lata potajemnie filmował zawodniczki, gdy te były nagie w kabinie prysznicowej.Link
68AustriaÖsterreichische Datenschutzbehörde (DSB)2019-0850 000,00 €Firma z branży medycznejArt. 13 RODO, Art. 37 RODO(Nieostateczna) kara została nałożona na przedsiębiorstwo z sektora medycznego za niedopełnienie obowiązków informacyjnych i niewyznaczenie inspektora ochrony danych.Link
67SzwecjaDatainspektionen2019-08-2018 630,00 €Szkoła w SkellefteåArt. 5 (1) c) RODO, Art. 9 RODO, Art. 35 RODO, Art. 36 RODOSzkoła w Skellefteå podjęła próbę zastosowania technologii rozpoznawania twarzy. Grzywna została nałożona na szkołę, która wykorzystała technologię rozpoznawania twarzy do monitorowania frekwencji uczniów. Mimo że zasadniczo przetwarzanie danych w celu monitorowania frekwencji jest możliwe, przetwarzanie danych z wykorzystaniem technologii rozpoznawania twarzy jest nieproporcjonalne do celu monitorowania frekwencji. Organ nadzorczy jest zdania, że przetwarzane były dane biometryczne uczniów, dlatego też zastosowanie ma art. 9 RODO. Dodatkowo organ argumentował, że zgoda nie może być zastosowana, ponieważ uczniowie i ich opiekunowie nie mogą swobodnie decydować, czy chcą, aby ich dzieci były monitorowane w celu kontroli frekwencji. Badając, czy rada szkoły może powołać się na któreś z wyłączeń wymienionych w art. 9 ust. 2 RODO, organ nadzoru stwierdził, że nie można zastosować zgody. Organ nadzorczy stwierdził również, że w tym przypadku mamy do czynienia z czynnością przetwarzania obarczoną wysokim ryzykiem, ponieważ do przetwarzania wrażliwych danych osobowych dotyczących dzieci znajdujących się w sytuacji zależności od dyrekcji szkoły średniej wykorzystano nowe technologie, a także ze względu na stosowanie nadzoru kamer w codziennym otoczeniu uczniów. W ocenie organu dyrekcja szkoły nie była w stanie wykazać zgodności z art. 35 RODO oraz że zarząd szkoły był zobowiązany do zasięgnięcia opinii organu zgodnie z art. 36 ust. 1 RODO. 36 UST. 1 RODO.Link
66RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-10-172 500,00 €UTTIS INDUSTRIES SRLArt. 12 RODO, Art. 13 RODO, Art. 5 (1) c) RODO, Art. 6 RODOKara została zastosowana wobec administratora, ponieważ nie potrafił on udowodnić, że osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu danych osobowych / wizerunku za pośrednictwem systemu monitoringu wizyjnego, który działa u niego od 2016 roku. Ponadto dlatego, że ujawnił CNP (odpowiedni polskiego numeru PESEL) pracowników, poprzez umieszczenie sprawozdania ze szkolenia autoryzowanego personelu ISCIR za rok 2018 na firmowej tablicy ogłoszeń i nie potrafił udowodnić podstawy prawnej ujawnienia CNP zgodnie z art. 6 RODO.Link
65GrecjaHellenic Data Protection Authority (HDPA)2019-07-30150 000,00 €PWC Business SolutionsArt. 5 (1) a), b) and c) RODO, Art. 5 (2) RODO, Art. 6 (1) RODO, Art. 13 (1) c) RODO, 14 (1) c) RODOPrzetwarzanie danych osobowych pracowników oparto o zgodę. HDPA uznało, że nie jest to odpowiednia podstawa prawna, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, wypełnienia prawnego obowiązku, ciążącego na administratorze, oraz prawnie uzasadnionych interesów administratora, polegających na zapewnieniu sprawnego i skutecznego działania firmy. Ponadto firma dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe na podstawie zgody, podczas gdy w rzeczywistości przetwarza ich dane w oparciu o inną podstawę prawną. Jest to sprzeczne z zasadą przejrzystości, a zatem narusza obowiązki wynikające z art. 13 ust. 1 lit. c) i art. 14 ust. 1 lit. c) RODO. Wreszcie, naruszając zasadę odpowiedzialności, firma nie dostarczyła HDPA dowodów, że przeprowadziła ocenę odpowiednich podstaw prawnych do przetwarzania danych osobowych pracownikówLink
64FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2019-07-25180 000,00 €ACTIVE ASSURANCES (firma ubezpieczeniowa, ubezpieczenia komunikacyjne)Art. 32 RODODuża liczba kont klientów, dokumenty klientów (m.in. kopie praw jazdy, rejestracja pojazdu, wyciągi bankowe i dokumenty określające, czy danej osobie cofnięto uprawniania do kierowania pojazdem) oraz dane były łatwo dostępne online. CNIL, między innymi, skrytykował zarządzanie hasłami (nieautoryzowany dostęp był możliwy bez żadnego uwierzytelnienia).Link
63NiderlandyAutoriteit Persoonsgegevens (AP)2019-06-18460 000,00 €Szpital w HadzeArt. 32 RODOSzpital w Hadze nie posiada odpowiedniego wewnętrznego systemu bezpieczeństwa dokumentacji pacjentów. Takie są wnioski z dochodzenia przeprowadzonego przez niderlandzki urząd ochrony danych. Dochodzenie to zostało wszczęte po tym, jak okazało się, że dziesiątki pracowników szpitala niepotrzebnie sprawdzało dokumentację medyczną znanej holenderskiej osoby. Aby zmusić szpital do poprawy bezpieczeństwa dokumentacji pacjentów, AP nakłada jednocześnie nakaz podlegający karze. Jeśli szpital w Hadze nie poprawi bezpieczeństwa do 2 października 2019 r., musi płacić 100 tys. euro co dwa tygodnie, maksymalnie 300 tys. euro. Szpital w międzyczasie poinformował, że podejmie działania.LinkKara RODO dla szpitala w Hadze - opis sytuacji
62Rumunia
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
2019-07-053 000,00 €Legal Company & Tax Hub SRLArt. 32 RODOKara została nałożona, ponieważ nie zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka przetwarzania. Doprowadziło to do nieuprawnionego ujawnienia i nieuprawnionego dostępu do danych osobowych osób, które dokonały transakcji przez stronę internetową avocatoo.ro (imię, nazwisko, adres korespondencyjny, e-mail, telefon, stanowisko, szczegóły dokonanych transakcji), w związku z publicznie dostępnymi dokumentami w okresie od 10 grudnia 2018 r. do 1 lutego 2019 r. Krajowy Organ Nadzoru zastosował sankcję po zawiadomieniu z dnia 12 października 2018 r. wskazującym, że zestaw plików dotyczących szczegółów transakcji dokonanych za pośrednictwem strony internetowej avocatoo.ro, który zawierał imię, nazwisko, adres korespondencyjny, adres e-mail, telefon, stanowisko pracy oraz szczegóły dokonanych transakcji, był publicznie dostępny poprzez dwa linki.Link
61WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2018-05-2392 146,00 €Organizator Sziget festival i Volt festivalArt. 6 RODO, Art. 5 (1) b) RODO, Art. 13 RODONAIH stwierdził, że istniały niewłaściwe podstawy prawne oraz że administrator nie przestrzegał zasady ograniczenia celu. Ponadto informacje na temat przetwarzania danych nie zostały w pełni przekazane osobom, których dane dotyczą.Link
60Wielka BrytaniaInformation Commissioner (ICO)2020-10-3020 450 000,00 €Marriott International, IncArt. 32 RODOPierwotnepodsumowanie: ICO opublikowała komunikat o zamiarze nałożenia kary na Marriott International Inc w związku z incydentem cybernetycznym, o którym Marriott powiadomił ICO w listopadzie 2018 r. W wyniku incydentu narażone zostały różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie, z czego około 30 milionów dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). Siedem milionów dotyczyło mieszkańców Wielkiej Brytanii. Uważa się, że luka powstała, gdy systemy grupy hoteli Starwood zostały naruszone w 2014 roku. Marriott następnie nabył Starwood w 2016 roku, ale ujawnienie informacji o klientach zostało odkryte dopiero w 2018 roku. Dochodzenie ICO wykazało, że Marriott nie podjął wystarczającej należytej staranności przy zakupie Starwood, a także powinien był zrobić więcej, aby zabezpieczyć swoje systemy. --> Aktualizacja: W dniu 2020/10/30 ICO ogłosiło swoją ostateczną decyzję o nałożeniu na Marriott International Inc. grzywny w wysokości 18,4 mln funtów (około 20,4 mln euro). W swojej decyzji ICO przedstawiła względy, jakimi kierowała się przy obliczaniu kary, a wśród nich brak wcześniejszych naruszeń lub zaniedbań ze strony Marriott oraz fakt, że Marriott w pełni współpracował przy dochodzeniu i podjął kroki w celu powiadomienia osób, których dotyczyło postępowanie. Ponadto ICO dostosowało wysokość kary, do innych już nałożonych na inne przedsiębiorstwa - w szczególności również przez inne europejskie organy ochrony danych.
Link

Kara RODO dla Marriott - opis sytuacji
59Rumunia
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
2019-07-0215 000,00 €World Trade Center Bucharest SAArt. 32 RODONaruszenie bezpieczeństwa danych polegało na tym, że wydrukowana papierowa lista służąca do sprawdzania klientów korzystjących ze śniadań i zawierająca dane osobowe 46 klientów przebywających w hotelu WORLD TRADE CENTER BUCHAREST SA została sfotografowana przez nieuprawnione osoby spoza firmy, co doprowadziło do ujawnienia danych osobowych niektórych klientów poprzez publikację w Internecie. Operator WORLD TRADE CENTER BUCHAREST SA został ukarany, ponieważ nie podjął działań mających na celu zapewnienie, że dane nie zostaną ujawnione osobom nieupoważnionym.Link

58Wielka BrytaniaInformation Commissioner (ICO)2020-10-1622 046 000,00 €British AirwaysArt. 5 (1) f) RODO, Art. 32 RODOW lipcu 2019 roku ICO wydało zawiadomienie o zamiarze nałożenia kary pieniężnej na British Airways w wysokości 183,39 milionów funtów za naruszenia RODO, które prawdopodobnie wiążą się z naruszeniem art. 32 RODO. Proponowana kara dotyczy incydentu cybernetycznego zgłoszonego do ICO przez British Airways we wrześniu 2018 roku. Incydent ten w części obejmował przekierowanie ruchu użytkowników ze strony internetowej British Airways na fałszywą stronę. Za pośrednictwem tej fałszywej strony, dane klientów zostały zebrane przez atakujących. Dane osobowe około 500 000 klientów zostały narażone w tym incydencie, który, jak się uważa, rozpoczął się w czerwcu 2018 roku. Dochodzenie ICO wykazało, że różne informacje zostały narażone na niebezpieczeństwo przez słabe rozwiązania w zakresie bezpieczeństwa w firmie, w tym dane dotyczące logowania, karty płatniczej i rezerwacji podróży, a także imię i nazwisko oraz informacje adresowe. W międzyczasie, ostateczna wysokość kary nałożonej na linie lotnicze została ustalona na 20 milionów funtów (około 22 046 000 euro). ICO podkreśliło, że przy ustalaniu wysokości kary wzięło również pod uwagę ekonomiczny wpływ pandemii COVID-19 ("koronawirusa") na branżę lotniczą.Link

Kara RODO dla British Airways - opis sytuacji
57RumuniaAutoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)2019-06-27130 000,00 €Unicredit Bank SAArt. 25 (1) i Art. 5 (1) c) RODOKara została nałożona w wyniku niewdrożenia odpowiednich środków technicznych i organizacyjnych (związanych z (1) określeniem środków/operacji przetwarzania oraz (2) integracją niezbędnych zabezpieczeń) skutkujących ujawnieniem online danych identyfikacyjnych i adresowych (transakcje interla/external) 337 042 osób, których dane dotyczą, ich odpowiedniemu beneficjentowi (w okresie 25.05.2018 -10.12.2018).Link

56HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana60 000,00 €ENDESA (dostawca energii)Art. 5 (1) f) RODORachunek bankowy skarżącej został obciążony przez spółkę ENDESA, której beneficjentem była osoba trzecia, skazana prawomocnym wyrokiem karnym i objęta dwuletnim zakazem zbliżania się do skarżącej, jej miejsca zamieszkania i pracy. Zamiast zmienić dane umowy zgodnie z wnioskiem skarżącej, ENDESA błędnie usunęła jej dane i wprowadziła dane osoby trzeciej. AEPD uznał, że ujawnienie danych skarżącej osobie trzeciej stanowiło poważne naruszenie zasady poufności.Link

55BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-03-265 100,00 €A.P. EOODArt. 5 (1) a) RODO, Art. 6 RODOKara została nałożona na administratora danych osobowych A.P. EOOD za niezgodne z prawem przetwarzanie danych osobowych. Dane osobowe osoby, której dane dotyczą, D.D., zostały wykorzystane przez A.P. EOOD do przygotowania umowy o pracę, podczas gdy osoba ta przebywała w zakładzie karnym.Link

54BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-04-08510,00 €Centra medyczneArt. 5 (1) a) RODO; Art. 9 (1) i Art. 9 (2) RODO; Art. 6 (1) RODOKara w wysokości 510 EUR została nałożona na każdą z placówek medycznych za niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą, G.B., przez placówkę medyczną w celu zmiany lekarza pierwszego kontaktu. Centrum medyczne wykorzystało oprogramowanie do wygenerowania formularza rejestracyjnego dotyczącego zmiany lekarza pierwszego kontaktu, który został przekazany do regionalnej kasy chorych, a następnie do innego centrum medycznego, które następnie również bezprawnie przetwarzało dane osobowe G.B.Link
53WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-04-051 900,00 €NieznanyArt. 15 RODOAdministrator danych nie zrealizował wniosku o dostęp złożonego przez osobę, której dane dotyczą.Link

52WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-04-179 400,00 €NieznanyArt. 5 (1) a) RODO, Art. 6 RODOAdministrator danych zastosował niewłaściwą, z punktu widzenia NAIH, podstawę prawną przetwarzania danych osobowych (art. 6 ust. 1 lit. b) w celu cesji wierzytelności.Link

51FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2019-06-1320 000,00 €Uniontrad CompanyArt. 5 (1) c) RODO, Art. 12 RODO, Art. 13 RODO, Art. 32 RODOW latach 2013-2017 CNIL otrzymała skargi od kilku pracowników przedsiębiorstwa, którzy byli filmowani na swoim stanowisku pracy. Dwukrotnie zwróciła ona uwagę przedsiębiorstwa na zasady, których należy przestrzegać przy instalowaniu kamer w miejscu pracy, w szczególności na to, że pracownicy nie powinni być filmowani w sposób ciągły oraz że należy podać informacje o przetwarzaniu danych. Wobec braku zadowalających środków pod koniec terminu wyznaczonego w wezwaniu do usunięcia uchybienia, CNIL przeprowadziła drugi audyt w październiku 2018 r., który potwierdził, że pracodawca nadal naruszał przepisy o ochronie danych osobowych, nagrywając pracowników za pomocą CCTV. Określając wysokość kary, CNIL wzięła pod uwagę wielkość (9 pracowników) i sytuację finansową przedsiębiorstwa, które w 2017 r. przedstawiło ujemny wynik netto (obrót w wysokości 885 739 EUR w 2017 r. i ujemny wynik netto w wysokości 110 844 EUR), aby zachować odstraszającą, ale proporcjonalną karę administracyjną.Link
50NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2019-05-091 400,00 €Funkcjonariusz policjiArt. 6 RODOPolicjant posługując się swoim oficjalnym identyfikatorem użytkownika, ale bez związku z pełnionymi obowiązkami służbowymi, za pośrednictwem Centralnego Systemu Informacji o Ruchu Drogowym (ZEVIS) Federalnego Urzędu Transportu Samochodowego zapytał o dane właściciela tablic rejestracyjnych nieznanej mu osoby. Wykorzystując uzyskane w ten sposób dane osobowe, przeprowadził następnie w Federalnej Agencji Sieciowej tzw. zapytanie SARS, w którym poprosił nie tylko o dane osobowe poszkodowanych, ale również o zapisane w nich numery telefonów domowych i komórkowych. Korzystając z uzyskanego w ten sposób numeru telefonu komórkowego, policjant kontaktował się telefonicznie z poszkodowanym - bez żadnego oficjalnego powodu lub zgody poszkodowanego. Poprzez zapytanie ZEVIS i SARS do celów prywatnych oraz wykorzystanie uzyskanego w ten sposób numeru telefonu komórkowego do kontaktu prywatnego, funkcjonariusz policji na własną rękę przetwarzał dane osobowe poza granicami prawa. Naruszenia tego nie można przypisać służbom policjanta, ponieważ nie popełnił on tego czynu w ramach wykonywania swoich obowiązków służbowych, lecz wyłącznie w celach prywatnych. Zakaz karania wynikający z § 28 LDSG, zgodnie z którym sankcje RODO nie mogą być nakładane na organy publiczne, nie ma zastosowania w niniejszej sprawie, ponieważ nie był to ani przypadek uchybienia, które można przypisać organowi, ani nie można zakwalifikować danej osoby jako odrębnego organu publicznego w rozumieniu § 2 (1) lub (2) LDSG w przypadku przedmiotowych czynów.Link

49HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana27 000,00 €Vodafone España, S.A.U.Art. 5 (1) d) RODOMimo że skarżący (były klient Vodafone) zwrócił się do Vodafone o usunięcie swoich danych w 2015 r. i prośba ta została potwierdzona przez firmę, od 2018 r. otrzymał od firmy ponad 200 SMS-ów. Zgodnie z oświadczeniem Vodafone, stało się tak, ponieważ numer telefonu komórkowego skarżącego został błędnie użyty do celów testowych i przypadkowo pojawił się w różnych plikach klientów należących do innych klientów niż skarżący. Ponieważ firma zgodziła się zarówno na zapłatę, jak i na przyznanie się do odpowiedzialności, grzywna została obniżona zgodnie z hiszpańskim prawem administracyjnym do 27 tys. euro.Link

48HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana60 000,00 €GESTIÓN DE COBROS, YO COBRO SLArt. 5 (1) f) RODOPo tym, jak powód rzekomo nie spłacił mikrokredytu udzielonego internetowej agencji kredytowej, wierzytelność została przeniesiona na firmę windykacyjną. Ta z kolei zaczęła wysyłać maile nie tylko na adresy mailowe podane przez powoda, ale także na instytucjonalny adres mailowy jego zakładu pracy, dostępny dla każdego współpracownika, który nigdy nie został podany przez powoda.Link

47HiszpaniaAgencia Española de Protección de Datos (AEPD)2019-06-11250 000,00 €LaLiga (organizator rozgrywek piłki nożnej) Art. 5 (1) a), Art. 7 (3) RODOKrajowa Liga Piłkarska (LaLiga) została ukarana grzywną za oferowanie aplikacji, która raz na minutę uzyskiwała dostęp do mikrofonu telefonów komórkowych użytkowników w celu wykrycia pubów wyświetlających mecze piłkarskie bez uiszczenia opłaty. Zdaniem AEPD LaLiga nie poinformowała w odpowiedni sposób użytkowników aplikacji o tej praktyce. Ponadto, aplikacja nie spełniała wymogów dotyczących wycofania zgody.Link

46HiszpaniaAgencia Española de Protección de Datos (AEPD)nieznana5 000,00 €Vodafone España, S.A.U.Art. 5 (1) d) RODOHiszpańska agencja ds. telekomunikacji i informacji (SETSI) zdecydowała, że Vodafone musi zwrócić klientowi koszty, którymi został niesłusznie obciążony. Mimo to, Vodafone przekazał dane osobowe tego klienta do rejestru dłużników (BADEXCUG). AEPD stwierdził, że takie postępowanie narusza zasadę prawidłowości.Link

45PortugaliaComissão Nacional de Protecção de Dados (CNPD)2018-07-17400 000,00 €SzpitalArt. 5 (1) f) RODO, Art. 32 RODOŚledztwo wykazało, że personel szpitala, psycholodzy, dietetycy i inni specjaliści mieli dostęp do danych pacjentów poprzez fałszywe profile. System zarządzania profilami okazał się wadliwy - szpital miał 985 zarejestrowanych profili lekarskich, podczas gdy zatrudniał tylko 296 lekarzy. Ponadto lekarze mieli nieograniczony dostęp do wszystkich akt pacjentów, niezależnie od ich specjalizacji.Link
44PolskaUrząd ochrony danych osobowych (UODO)2019-04-2512 950,00 €Dolnośląski Związek Piłki NożnejArt. 6 RODODolnośląski Związek Piłki Nożnej opublikował w sieci dane osobowe sędziów, którzy otrzymali licencje sędziowskie. Podano jednak nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania i numery PESEL. Tymczasem nie ma żadnej podstawy prawnej, aby tak szeroki zakres danych o sędziach był dostępny w Internecie. Upubliczniając je, administrator stwarzał potencjalne ryzyko ich nieuprawnionego wykorzystania, np. do podszywania się pod nich w celu zaciągnięcia kredytu lub innych zobowiązań. Wprawdzie stowarzyszenie samo zauważyło swój błąd, o czym świadczy zgłoszenie naruszenia ochrony danych osobowych do Prezesa UODO, jednak fakt, że próby jego usunięcia były nieskuteczne, przesądził o nałożeniu kary. Ustalając wysokość kary (55.750,50 zł), Prezes UODO wziął pod uwagę także m.in. czas trwania naruszenia oraz fakt, że dotyczyło ono dużej grupy osób (585 sędziów). Uznał, że choć naruszenie zostało ostatecznie usunięte, to miało ono poważny charakter. Nakładając karę Prezes UODO wziął jednak pod uwagę również okoliczności łagodzące, takie jak dobra współpraca administratora z organem nadzorczym czy brak dowodów na wyrządzenie szkody osobom, których dane zostały ujawnione.Link


Link
43PolskaUrząd ochrony danych osobowych (UODO)2019-03-26219 538,00 €Bisnode Polska Sp. z o.o.Art. 14 RODOKara dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczyły, pozyskane z ogólnodostępnych źródeł, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej i przetwarzała te dane w celach komercyjnych. Organ sprawdził niedopełnienie obowiązku informacyjnego w stosunku do osób fizycznych prowadzących działalność gospodarczą - przedsiębiorców, którzy aktualnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator wypełnił obowiązek informacyjny, przekazując informacje wymagane na podstawie art. 14 ust. 1 - 3. 14 ust. 1 - 3 RODO jedynie w stosunku do osób, których adresami e-mail dysponował. W przypadku pozostałych osób administrator nie dopełnił obowiązku informacyjnego - jak wyjaśnił w toku postępowania - z uwagi na wysokie koszty operacyjne. Dlatego klauzulę informacyjną prezentował jedynie na swojej stronie internetowej. Zdaniem UODO jest to niewystarczające. Uzupełnienie: W międzyczasie sąd uchylił grzywnę z powodu błędów proceduralnych. Wysokość grzywny musi być ustalona na podstawie konkretnej liczby rekordów danych, których dotyczy. Urząd nie przedstawił jednak żadnych możliwych do sprawdzenia dowodów w tym względzie, lecz po prostu założył, że chodzi o 6 mln rekordów danych, czemu zaprzeczył administrator danych. Brakowało zatem ważnych stwierdzeń. W szczególności nieprawidłowe było uzasadnienie wysokości grzywny na podstawie ogólnych względów zapobiegawczych. Art. 58 RODO wyraźnie stanowi, że nałożona kara pieniężna musi być związana z konkretnym stanem faktycznym sprawy. Polski organ ochrony danych osobowych zapowiedział już, że wysokość grzywny zostanie zmieniona w ramach nowego postępowania administracyjnego.Link
42NorwegiaDatatilsynet2019-03170 000,00 €Gmina BergenArt. 5 (1) f) RODO, Art. 32 RODOIncydent dotyczy plików komputerowych z nazwami użytkowników i hasłami do ponad 35000 kont użytkowników w systemie komputerowym gminy. Konta użytkowników dotyczyły zarówno uczniów szkół podstawowych w gminie, jak i pracowników tych szkół. Ze względu na niewystarczające środki bezpieczeństwa pliki te nie były chronione i były ogólnodostępne. Brak środków bezpieczeństwa w systemie umożliwił każdej osobie zalogowanie się do różnych systemów informatycznych szkoły, a tym samym dostęp do różnych kategorii danych osobowych dotyczących uczniów i pracowników szkół. Fakt, że naruszenie bezpieczeństwa obejmuje dane osobowe ponad 35 000 osób, a większość z nich to dzieci, uznano za okoliczność obciążającą. Gmina była również kilkakrotnie ostrzegana, zarówno przez władze, jak i przez wewnętrznego informatora, że bezpieczeństwo danych jest niewystarczające.Link
41MaltaInformation and Data Protection Commissioner (IDPC)2019-02-185 000,00 €Urząd ZiemskiArt. 5 RODO, Art. 32 RODOW wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Urzędu Ziemskiego ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla opinii publicznej poprzez proste wyszukiwanie w google. Większość z wyciekłych danych zawierała wysoce wrażliwe informacje i korespondencję pomiędzy osobami fizycznymi a samym urzędem. Urząd Ziemski nie zdecydował się na złożenie odwołania. Na Malcie, w przypadku naruszenia przepisów przez organ lub podmiot publiczny, komisarz ds. ochrony danych może nałożyć grzywnę administracyjną w wysokości do 25 000 euro za każde naruszenie i może dodatkowo nałożyć dzienną grzywnę w wysokości 25 euro za każdy dzień trwania takiego naruszenia.Link
40LitwaValstybinė duomenų apsaugos inspekcija (VDAI)2019-05-1661 500,00 €Operator systemu płatniczego UAB MisterTangoArt. 5 RODO, Art. 32 RODO, Art. 33 RODOLitewski organ nadzoru podczas kontroli stwierdził, że administrator przetwarzał więcej danych niż było to konieczne do osiągnięcia celów przetwarzania. Ponadto wyszło na jaw, że w dniach 09-10 lipca 2018 r. dane dotyczące płatności były publicznie dostępne w Internecie z powodu nieodpowiednich środków technicznych i organizacyjnych. Ucierpiało na tym 9 tys. płatności z 12 banków z różnych krajów. Zdaniem organu nadzorczego, zgłoszenie naruszenia ochrony danych zgodnie z art. 33 RODO byłoby konieczne. Administrator nie zgłosił naruszenia ochrony danych osobowych.Link
39WłochyGarante per la protezione dei dati personali (Garante)2019-04-1750 000,00 €Movimento 5 Stelle – Ruch 5 gwiazd (włoska partia polityczna)Art. 32 RODOPewna liczba stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest prowadzona, za pośrednictwem podmiotu przetwarzającego dane, przez platformę o nazwie Rousseau. Latem 2017 r. na platformie doszło do naruszenia ochrony danych osobowych, w wyniku którego włoski organ ochrony danych, Garante, zażądał wdrożenia szeregu środków bezpieczeństwa, oprócz obowiązku aktualizacji informacji o ochronie prywatności w celu zapewnienia dodatkowej przejrzystości wykonywanych czynności przetwarzania danych. Chociaż aktualizacja informacji o ochronie prywatności została ukończona w terminie, włoski organ ochrony danych, zgłosił swoje zastrzeżenia co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa związanych z RODO. Warto wspomnieć, że postępowanie rozpoczęło się przed majem 2018 roku, ale włoski organ ochrony danych wymierzył karę na podstawie RODO, ponieważ platforma Rousseau nie przyjęła środków bezpieczeństwa wymaganych na mocy nakazu wydanego po 25 maja 2018 roku. Co ciekawe, kara nie została nałożona na Movimento 5 Stelle, które jest administratorem danych platformy, ale na stowarzyszenie Rousseau, które jest podmiotem przetwarzającym.Link
38WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-04-0534 375,00 €Węgierska partia politycznaArt. 33 (1) RODO, Art. 33 (5) RODO, Art. 34 (1) RODONAIH nałożył karę pieniężną w wysokości 11 000 000 HUF (34 375 EUR) na nieujawnioną węgierską partię polityczną za niepowiadomienie NAIH i odpowiednich osób o naruszeniu ochrony danych osobowych oraz za nieudokumentowanie naruszenia zgodnie z art. 33 (5) RODO. Zgodnie z prawem grzywna została ustalona na podstawie 4% rocznego obrotu partii oraz 2,65% jej przewidywanego obrotu w nadchodzącym roku. Naruszenie było wynikiem cyberataku anonimowego hakera, który uzyskał dostęp i ujawnił informacje na temat podatności systemu organizacji - bazy danych ponad 6 tys. osób - oraz komendy użytej do ataku. System był podatny na atak z powodu problemu z przekierowaniem na stronie internetowej organizacji. Po opublikowaniu przez atakującego komendy, nawet osoby o niewielkiej wiedzy informatycznej były w stanie pobrać informacje z bazy danych.Link
37WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-03-043 200,00 €Instytucja finansowaArt. 5 (1) b) RODO, Art. 5 (1) c) RODO, Art. 13 (3) RODO, Art. 17 (1) RODO, Art. 6 (4) GDRPKara została nałożona w związku z wnioskiem osoby, której dane dotyczą, o poprawienie i usunięcie danych. NAIH nałożył karę pieniężną na niewymienioną z nazwy instytucję finansową za bezprawne odrzucenie wniosku klienta o usunięcie jego numeru telefonu po tym, jak argumentował, że w uzasadnionym interesie spółki leży przetwarzanie tych danych w celu wyegzekwowania należności od klienta. W swojej decyzji NAIH podkreślił, że numer telefonu klienta nie jest niezbędny do celów windykacji należności, ponieważ wierzyciel może kontaktować się z dłużnikiem również drogą pocztową. W związku z tym przechowywanie numeru telefonu dłużnika było sprzeczne z zasadami minimalizacji danych i ograniczenia celu. Zgodnie z prawem, nałożona kara została ustalona na podstawie 0,025% rocznego przychodu netto spółki.Link
36WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-02-283 200,00 €Biuro burmistrza miasta KecskemétArt. 5 (1) a) RODO, Art. 6 RODOKara została nałożona na Biuro Burmistrza miasta Kecskemét za bezprawne ujawnienie danych osobowych sygnalisty. NAIH nałożył karę po tym, jak pracownik organizacji, którą nadzorował, zgłosił bezpośrednio do niego skargę w interesie publicznym przeciwko swojemu pracodawcy. Po tym, jak organizacja dowiedziała się o skardze, poprosiła o szczegóły w celu przeprowadzenia dochodzenia, a władze lokalne przypadkowo ujawniły nazwisko skarżącego. NAIH uznał za okoliczność obciążającą fakt, że w wyniku naruszenia danych organizacja zwolniła osobę, która złożyła doniesienie.Link
35WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2018-12-183 200,00 €nie podanoArt. 12 (4) RODO, Art. 15 RODO, Art. 18 (1) c) RODO, Art. 13 RODOGrzywna została nałożona za (i) niedostarczenie podmiotowi danych nagrań z kamer przemysłowych, (ii) niezachowywanie nagrań do dalszego wykorzystania przez podmiot danych oraz (iii) niepoinformowanie podmiotu danych o przysługującym mu prawie do złożenia skargi do organu nadzorczego.Link
34WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-02-201 560,00 €Firma windykacyjnaArt. 5 (1) a) RODO, Art. 5 (1) c) RODOOsoba, której dane dotyczą, zwróciła się o udzielenie informacji na temat przetwarzanych danych i ich usunięcie, czego firma windykacyjna odmówiła, twierdząc, że nie może zidentyfikować osoby, której dane dotyczą. Do celów identyfikacji zażądała ona od podmiotu danych podania miejsca urodzenia, nazwiska panieńskiego matki oraz dalszych szczegółów. Po tym, jak administratorowi udało się zidentyfikować osoby, których dane dotyczą, odmówił on spełnienia wniosku o usunięcie danych, argumentując, że jest prawnie zobowiązany do zachowania kopii zapasowych zgodnie z ustawą o rachunkowości i wewnętrznymi politykami. Ponieważ administrator nie poinformował odpowiednio o tych politykach, NAIH uznał, że naruszył on zasadę przejrzystości. Grzywna stanowi 0,0025% rocznego zysku administratora danych.Link
33WęgryNemzeti Adatvédelmiés Információszabadság Hivatal (NAIH)2019-02-081 560,00 €BankArt. 5 (1) d) RODOBank omyłkowo wysłał wiadomości SMS dotyczące zadłużenia podmiotu na karcie kredytowej na numer telefonu innej osoby. Po otrzymaniu od klienta nieprawidłowego numeru telefonu w momencie zawierania umowy, bank nie zastosował się do prośby osoby, której dane dotyczą, o usunięcie danych i kontynuował wysyłanie wiadomości SMS na nieprawidłowy numer telefonu. Grzywna stanowi 0,0016% rocznego zysku banku.Link
32NiemcyOrgan ochrony danych osobowych Berlina2019-0350 000,00 €N26 (bank)Art. 6 RODOGrzywna została nałożona na bank (według gazety N26), który bez zezwolenia przetwarzał "dane osobowe wszystkich byłych klientów". Bank przyznał, że przechowywał dane dotyczące byłych klientów w celu prowadzenia czarnej listy, czyli swego rodzaju kartoteki ostrzegawczej, aby nie udostępniać tym osobom nowego konta. Początkowo bank uzasadniał to tym, że zgodnie z niemiecką ustawą o bankowości jest zobowiązany do podjęcia środków bezpieczeństwa wobec klientów podejrzanych o pranie pieniędzy. Organ ochrony danych osobowych w Berlinie ocenił to jako niezgodne z prawem. Organ ten twierdzi, że w celu uniemożliwienia otwarcia nowego rachunku bankowego w kartotece porównawczej mogą zostać uwzględnione tylko te osoby, które rzeczywiście są podejrzane o pranie pieniędzy lub w stosunku do których istnieją inne ważne powody odmowy otwarcia nowego rachunku bankowego. Organ ten powiedział gazecie, że postępowanie w sprawie grzywny wszczęte przeciwko bankowi "nie zostało jeszcze prawomocnie zakończone".Strona 131 sprawozdania z działalności organu ds. ochrony danych osobowych w Berlinie
Link


Link
31NiemcyOrgan ochrony danych osobowych Hamburga2018500,00 €NieznanyNieznanaBrak informacjiLink
30NiemcyOrgan ochrony danych osobowych kraju związkowego Saaranieznana118,00 €nie podanoArt. 6 RODONielegalne ujawnienie danych osobowych dotyczących strony trzeciej.Link
29NiemcyOrgan ochrony danych osobowych Hamburga201820 000,00 €NieznanyArt. 33 (1) RODO, Art. 34 (1) RODOSpóźnione powiadomienie o naruszeniu ochrony danych i brak powiadomienia osób, których dane dotyczą.Strona 134 sprawozdania z działalności organu ds. ochrony danych osobowych w Hamburgu, dostępnego pod linkiem Link
28NiemcyOrgan ochrony danych osobowych kraju związkowego Saksonia-Anhalt2019-02-052 500,00 €Osoba fizycznaArt. 6 RODO, Art. 5 RODOKara została nałożona na osobę fizyczną, która w okresie od lipca do września 2018 r. wysłała kilka e-maili, w których użyła osobistych adresów e-mail widocznych dla wszystkich odbiorców, z których każdy odbiorca mógł odczytać niezliczoną ilość innych odbiorców. Mężczyźnie zarzucono popełnienie dziesięciu wykroczeń w okresie od połowy lipca do końca lipca 2018 roku. Z pisma organu wynika, że na jego liście mailingowej można było zidentyfikować od 131 do 153 osobistych adresów pocztowych.Link
27NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2019-04-1280 000,00 €Firma z sektora finansowegoArt. 5 RODO, Art. 32 RODOW decyzji administracyjnej z dnia 12 kwietnia 2019 r. organ nałożył na średniej wielkości spółkę świadczącą usługi finansowe karę pieniężną w wysokości 80.000 euro. Spółka ta nie dołożyła należytej staranności w celu zachowania integralności i poufności informacji w rozumieniu art. 5 par. 1 lit. f RODO przy pozbywaniu się dokumentów zawierających dane osobowe dwóch klientów. W związku z tym, bez uprzedniej anonimizacji, dokumenty te zostały wyrzucone do ogólnego systemu utylizacji makulatury, gdzie znalazł je sąsiad.Link
26NiemcyOrgan ochrony danych osobowych Hamburga2018-12-175 000,00 €Kolibri Image Regina und Dirk Maass GbRArt. 28 (3) RODOUwaga: Zgodnie z naszymi informacjami kara ta została w międzyczasie cofnięta. Kolibri Image wysłało zapytanie do Urzędu Ochrony Danych Osobowych w Hesji, jak postępować z usługodawcą, który nie chce podpisać umowy o powierzeniu przetwarzania danych osobowych. Po nieudzieleniu Kolibri Image bardziej szczegółowej odpowiedzi, sprawa została przekazana do właściwego miejscowo Urzędu Ochrony Danych w Hamburgu. Urząd ten następnie ukarał Kolibri Image jako administratora danych grzywną za brak umowy powierzenia przetwarzania danych osobowych z dostawcą usług. Kolibri Image oświadczyło, że zaskarży tę decyzję w sądzie, ponieważ jest zdania, że dostawca usług nie działa jako podmiot przetwarzający.Link


Link
25NiemcyOrgan ochrony danych osobowych kraju związkowego Badenia-Wirtembergia2018-11-2120 000,00 €Knuddels.deArt. 32 RODOPo lipcowym ataku hakerów ujawnione zostały dane osobowe ok. 330.000 użytkowników, w tym hasła i adresy e-mail.Link
24FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2018-05-28400 000,00 €Sergic (przedsiębiorstwo z branży wynajmu nieruchomości)Art. 32CNIL oparła karę na dwóch podstawach: Brak podstawowych środków bezpieczeństwa oraz zbyt długie przechowywanie danych. Jeśli chodzi o pierwszy z nich, wrażliwe dokumenty użytkownika przesłane przez kandydatów do pracy w wynajmie (w tym dowody osobiste, karty zdrowia, zawiadomienia podatkowe, zaświadczenia wydane przez fundusz zasiłków rodzinnych, wyroki rozwodowe, wyciągi z kont) były dostępne online bez zastosowania jakiejkolwiek procedury uwierzytelniania. Choć podatność była znana firmie od marca 2018 r., ostatecznie została usunięta dopiero we wrześniu 2018 r. Ponadto firma przechowywała dokumentację dostarczoną przez kandydatów dłużej niż było to konieczne. CNIL wzięła pod uwagę m.in. powagę naruszenia (brak należytej staranności w usuwaniu podatności oraz fakt, że dokumenty ujawniały bardzo intymne aspekty życia użytkowników), wielkość firmy i jej kondycję finansową.Link
23FrancjaCommission Nationale de l'Informatique et des Libertés (CNIL)2019-01-2150 000 000,00 €Google Inc.Art. 13 RODO, Art. 14 RODO, Art. 6 RODO, Art. 5 RODOKara została nałożona na podstawie skarg austriackiej organizacji "None Of Your Business" oraz francuskiej organizacji pozarządowej "La Quadrature du Net". Skargi zostały złożone w dniach 25 i 28 maja 2018 roku - bezpośrednio po rozpoczęciu obowiązywania RODO. Skargi dotyczyły utworzenia konta Google podczas konfiguracji telefonu komórkowego korzystającego z systemu operacyjnego Android. CNIL nałożyła grzywnę w wysokości 50 mln euro za brak przejrzystości (art. 5 RODO), niewystarczające informacje (art. 13 / 14 RODO) i brak podstawy prawnej (art. 6 RODO). Uzyskane zgody nie były "konkretne" i "jednoznaczne" (art. 4 nr 11 RODO).Link
22DaniaDatatilsynet2021-02-1213 450,00 €IDdesign A / SArt. 5 (1) e) RODO, Art. 5 (2) RODOJesienią 2018 r. duński urząd ochrony danych skontrolował IDdesign, aby sprawdzić, czy firma wyznaczyła terminy usunięcia danych klientów i czy terminy te były przestrzegane.
Przed inspekcją IDdesign przesłał przegląd systemów, które wykorzystuje do przetwarzania danych osobowych. IDdesign stwierdził, że starszy system CRM jest nadal używany w trzech niezależnych sklepach IDEmøbler, ale w pozostałych sklepach został zastąpiony nowszym systemem. W trakcie kontroli stwierdzono, że stary system przetwarzał informacje dotyczące około 385 000 nazwisk, adresów, numerów telefonów, e-maili i historii zakupów klientów.
IDdesign nie zajął się kwestią tego, kiedy dane osobowe w starym systemie nie są już niezbędne do celów, dla których są przetwarzane, a tym samym nie określił terminów usunięcia danych osobowych przetwarzanych w systemie.
Organ uznał, że IDdesign nie spełnił wymogów RODO dotyczących usunięcia danych, ponieważ przetwarzał dane osobowe przez okres dłuższy niż jest to konieczne i zarządał nałożenia kary w wysokości 200.850 euro.
Uwaga: Ponieważ duńskie prawo nie przewiduje kar administracyjnych jak w RODO (chyba, że jest to nieskomplikowana sprawa i osoba oskarżona wyraziła zgodę), kary będą nakładane przez sądy.
Aktualizacja: W dniu 12 lutego 2021 roku Sąd Okręgowy w Aarhus podjął decyzję o nałożeniu grzywny na IDdesign w wysokości 13 450 EUR. Jeśli chodzi o obliczenie grzywny, sąd nie zgodził się z proponowaną przez organ kwotą grzywny. Stwierdził, że kwota ta powinna być obliczona na podstawie obrotów własnych przedsiębiorstwa, a nie obrotów całej grupy. Ponadto sąd uznał, że okoliczności łagodzące z art. 83 ust. 2 RODO powinny być brane pod uwagę przy obliczaniu kary. Takich jak to, że spółka nie naruszała wcześniej RODO, jak również to, że naruszenie dotyczyło tylko ogólnych danych osobowych. Ponadto żadna osoba, której dane dotyczą, nie poniosła szkody w wyniku naruszenia. Wreszcie, zdaniem sądu, należy wziąć pod uwagę nieumyślny charakter naruszenia.
Link
21DaniaDatatilsynet2019160 000,00 €Taxa 4x35Art. 5(1) e) RODODuński Urząd Ochrony Danych zgłosił firmę taksówkarską na policję i zalecił nałożenie grzywny (w wysokości 1,2 mln DKK) za nieprzestrzeganie zasady minimalizacji danych. Chociaż firma usunęła nazwiska swoich pasażerów ze wszystkich swoich rejestrów po dwóch latach, usunięcie nie objęło reszty zapisów przejazdów (około 8 873 333 przejazdów taksówką). W związku z tym, firma nadal przechowywała numery telefonów poszczególnych osób. Uwaga: Ponieważ duńskie prawo nie przewiduje kar administracyjnych jak w RODO (chyba, że jest to nieskomplikowana sprawa i osoba oskarżona wyraziła zgodę), kary będą nakładane przez sądy.
Link
20CzechyÚřad pro ochranu osobních údajů (UOOU)2019-05-06194,00 €NieznanyArt. 15 RODOBrak informacjiLink
19CzechyÚřad pro ochranu osobních údajů (UOOU)nieznana3 140,00 €UniCredit Bank Czech Republic and Slovakia, a.s.Art. 6 RODOBank założył osobiste konto bankowe dla osoby, której dane dotyczą, bez jej zgody i wiedzy. Bank rzekomo dysponował jej danymi osobowymi, ponieważ osoba, której dane dotyczą, była dysponentem konta firmowego swojego pracodawcy. Bank nie był w stanie przedstawić organowi niezbędnej dokumentacji potwierdzającej zawarcie umowy z osobą, której dane dotyczą.Link
18CzechyÚřad pro ochranu osobních údajů (UOOU)2019-03-2110 000,00 €NieznanyArt. 5 (1) RODODane były przetwarzane nie tylko wtedy, gdy były adekwatne, stosowne oraz ograniczone do tego, co niezbędne w związku z celami, dla których są przetwarzane ("minimalizacja danych") i nie tylko przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane osobowe są przetwarzane ("ograniczenie przechowywania").Link
17CzechyÚřad pro ochranu osobních údajů (UOOU)2019-02-26776,00 €NieznanyArt. 15 RODOBrak informacjiLink
16CzechyÚřad pro ochranu osobních údajů (UOOU)2018-10-25388,00 €nie podanoArt. 15 RODOBrak informacjiLink
15CzechyÚřad pro ochranu osobních údajů (UOOU)2019-02-041 165,00 €Pośrednik kredytowyArt. 32 RODODane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy zastosowaniu odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").Link
14CzechyÚřad pro ochranu osobních údajů (UOOU)2019-02-28582,00 €NieznanyArt. 32 RODODane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy zastosowaniu odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").Link
13CzechyÚřad pro ochranu osobních údajů (UOOU)2019-02-041 165,00 €Firma wynajmująca samochodyArt. 5 (1) a) RODOOsoba, która wynajęła samochód, dowiedziała się, że samochód był śledzony przez GPS przez firmę wynajmującą, mimo że nie podano informacji o tym, że samochód jest śledzony. Czeski Urząd Ochrony Danych stwierdził, że nie udzielono informacji w rozumieniu art. 13 RODO oraz że art. 6 (1) f) RODO nie mógł stanowić podstawy prawnej w tych konkretnych okolicznościach. W związku z tym UOOU stwierdził, że doszło do naruszenia art. 5 ust. 1 lit. a) RODO, za które nałożył karę pieniężną.Link
12CzechyÚřad pro ochranu osobních údajů (UOOU)2019-01-10388,00 €PracodawcaArt. 6 RODOByły pracownik spółki zażądał usunięcia dotyczących go informacji, które zostały opublikowane na stronie internetowej pracodawcy na Facebooku i które były dostępne jeszcze długo po ustaniu stosunku pracy. Kara została nałożona, ponieważ pracodawca nie usunął informacji dotyczących byłego pracownika.Link
11CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra201910 000,00 €Wydawca gazetyArt. 6 RODOPublikacja gazety, zarówno w formie papierowej, jak i elektronicznej, miała spowodować niedogodności, niepotrzebne i bezprawne zatrzymanie obywatela oraz ujawnić nazwiska i zdjęcia dwóch zaangażowanych w sprawę policjantów śledczych, jak również zdjęcie trzeciego policjanta śledczego. Organ uznał, że cel można było osiągnąć poprzez powołanie się jedynie na inicjały ich imion i/lub zamazanie ich twarzy i/lub opublikowanie fotografii wykonanych z dużej odległości, tak aby niemożliwe było zidentyfikowanie tych osób, a działania te nie przyniosłyby żadnej zmiany w charakterze sprawy.Link
10CyprGrafeío Epitrópou Dedoménon Prosopikoú Charaktíra20195 000,00 €Szpital państwowyArt. 15 RODOPacjentka złożyła do komisarza skargę, że szpital nie spełnił jej prośby o dostęp do jej dokumentacji medycznej, ponieważ administrator danych nie mógł zidentyfikować/ zlokalizować dokumentacji. Po zbadaniu sprawy na szpital nałożono grzywnę administracyjną w wysokości 5 000 EUR.Link
9BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-02-22500,00 €PracodawcaArt. 15 RODOPracownik skierował do swojego pracodawcy wniosek o udostępnienie dotyczących go danych osobowych. Odpowiedź na wniosek nie została udzielona w terminie i udzielono jej w sposób niepełny.Link
8BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-01-17500,00 €BankArt.6 RODO, Art. 5 (1) a) RODOBank pozyskał dane osobowe studenta bez podstawy prawnej.Link
7BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2019-02-2627 100,00 €Dostawca usług telekomunikacyjnychArt. 6 RODO, Art. 5 (1) a) RODOWielokrotna rejestracja usług przedpłaconych bez wiedzy i zgody osoby, której dane dotyczą. Pracownicy dostawcy usług telekomunikacyjnych wykorzystali dane osobowe i zarejestrowali skarżącego w usłudze przedpłaconej spółki. Osoba, której dane dotyczą, nie podpisała wniosku i nie wyraziła zgody na przetwarzanie jej danych osobowych w określonym celu. Nie miała również zastosowania żadna inna podstawa prawna. Podpis na wniosku i autentyczny wniosek samego skarżącego nie były identyczne i wskazano osobisty numer identyfikacyjny osoby, ale numer dowodu osobistego nie należał do skarżącego.Link
6BułgariaKomisiyata za zashtita na lichnite danni (KZLD)2018-04-12500,00 €BankArt. 5 (1) b) RODO, Art. 6 RODOKara w wysokości 1000 BGN (czyli około 500 EUR) została nałożona na bank za wezwanie klienta do zapłaty nieuregulowanych rachunków jego sąsiada. Sprowokowało to klienta do powołania się na swoje prawo do bycia zapomnianym. Po nieotrzymaniu odpowiedzi od banku złożył kolejny wniosek, w związku z którym bank podjął działania w ustawowym terminie. Mimo to, klient złożył skargę do KZLD. Naruszenie, za które bank został ukarany grzywną, polegało na tym, że przetwarzanie danych osobowych klienta nie było związane z jego umową o kredyt konsumencki. Ponieważ cel, w jakim dane były przetwarzane, był inny niż ten, o którym informowano przy zawieraniu umowy, bank musiał, z punktu widzenia KZLD, żądać od klienta dodatkowej zgody.Link
5BelgiaGegevensbeschermingsautoriteit (GBA)2018-05-282 000,00 €BurmistrzArt. 5 (1) b) RODO, Art. 6 RODOKara administracyjna została nałożona za niewłaściwe wykorzystanie danych osobowych przez burmistrza do celów kampanii wyborczej.Link
4AustriaÖsterreichische Datenschutzbehörde (DSB)2018-12-202 200,00 €Osoba fizyczna Art. 5 (1) a) RODO, Art. 5 (1) c) RODO, Art. 6 (1) RODO, Art. 13 RODOKara została nałożona na osobę fizyczną, która korzystała z telewizji przemysłowej w swoim domu. Monitoring wizyjny obejmował tereny przeznaczone do ogólnego użytku mieszkańców osiedla wielorodzinnego, a mianowicie: parkingi, chodniki, podwórko, ogród i dojścia do osiedla; ponadto monitoring wizyjny obejmował tereny ogrodowe sąsiedniej posesji. Nadzór wideo będący przedmiotem postępowania nie jest zatem ograniczony do obszarów, które znajdują się pod wyłączną kontrolą administratora. Nadzór wideo nie jest zatem proporcjonalny do celu i nie jest ograniczony do tego, co konieczne. Monitoring wizyjny rejestruje korytarz domu i filmuje mieszkańców wchodzących i wychodzących z okolicznych mieszkań, ingerując tym samym w ich bardzo osobiste sfery życia bez zgody na rejestrację danych o ich wizerunku. Monitoring nie został prawidłowo oznaczony.Link
3AustriaÖsterreichische Datenschutzbehörde (DSB)2018-09-27300,00 €Osoba fizyczna - właścicel samochoduArt. 5 (1) a) RODO, Art. 6 RODOKamera samochodowa została użyta niezgodnie z prawem.Link
2AustriaÖsterreichische Datenschutzbehörde (DSB)20181 800,00 €RestauracjaArt. 5 RODO, Art. 13 RODO, Art. 14 RODOTelewizja przemysłowa została użyta niezgodnie z prawem. Brakowało wystarczających informacji na temat nadzoru wideo. Ponadto, okres przechowywania danych wynoszący 14 dni był zbyt długi, a zatem sprzeczny z zasadą minimalizacji danych. Uzupełnienie: Kara została zmniejszona przez sąd do 1500 EUR, zobacz link (https://www.dataprotect.at/2020-video%C3%BCberwachung-strafe/)Link
1AustriaÖsterreichische Datenschutzbehörde (DSB)2018-12-094 800,00 €Punkt bukmacherskiArt. 13 RODOMonitoring nie był dostatecznie oznakowany i nagrano dużą część chodnika obiektu. Inwigilacja przestrzeni publicznej w ten sposób, tj. na dużą skalę przez osoby prywatne, jest niedopuszczalna.Link

Opracowano na podstawie: enforcementtracker.com, provided by CMS Law.Tax
Oryginał jak i nasze opracowanie oparte jest na licencji Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International