Facebooktwittergoogle_plusredditpinterestlinkedinmail

Registrul amenzilor GDPR

Acest registru isi propune sa centralizeze masurile administrative si masurile luate de catre Autoritatile de Supraveghere a Datelor cu Caracter Personal din intreaga Europa pentru nerespectarea Regulamentului UE 2016/679, incepand cu 25.08.2019.

TaraDescriereAmenda / Penalitate (EURO)
AUSTRIA
Data: 20.12.2018
Baza legala: Art. 5 (1) a) și c GDPR, art. 6 (1) GDPR, art. 13 GDPR
Operator: Persoană privată
A fost aplicată amenda împotriva unei persoane private care a folosit CCTV la domiciliu. Supravegherea video acoperă zone destinate utilizării generale a locuitorilor complexului rezidențial multipartit, și anume: parcări, trotuare, curte, grădini și zone de acces la complexul rezidențial; în plus, supravegherea video acoperă zonele de grădină ale unei proprietăți adiacente. Supravegherea video care face obiectul procedurilor nu se limitează, prin urmare, la domenii care se află sub puterea exclusivă de control al operatorului. Supravegherea video nu este, prin urmare, proporțională cu scopul și nu se limitează la ceea ce este necesar. Supravegherea video înregistrează holul casei și filmează rezidenții care intră și părăsesc apartamentele din jur, intervenind astfel în zonele lor foarte personale de viață fără consimțământul de a înregistra datele lor de imagine. Supravegherea video nu a fost indicată corespunzător.
LINK

2200

AUSTRIA
Data: 09.12.2018
Baza legala: Art. 13 GDPR
Operator: Firma de pariuri
Sistemul de supraveghere video a capturat imagini video inclusiv dintr-o mare parte din trotuar. Supravegherea spațiului public în acest mod, adică la scară largă de către persoanele particulare, nu este permisă.
LINK

4800

AUSTRIA
Data: 2018
Operator: Restaurant Kebab
CCTV a fost utilizat ilegal.
LINK

1800

BELGIA
Data: 28.05.2019
Baza legala:Art. 5 (1) b) GDPR, art. 6 GDPR
Operator: Primar
Amenzile administrative au fost impuse pentru utilizarea necorespunzătoare a datelor cu caracter personal de către un primar în scopuri de campanie.
LINK

2000

BULGARIA
Data: 26.02.2019
Baza legala: Artă. 6 GDPR, art. 5 (1) a) GDPR
Operator: Furnizor de servicii de telecomunicații
Înregistrarea repetată a serviciilor preplătite fără cunoștința și consimțământul persoanei vizate. Angajații furnizorului de telecomunicații au folosit datele personale și l-au înregistrat pe reclamant la serviciul preplătit al companiei. Persoana vizată nu a semnat cererea și nu și-a dat acordul pentru prelucrarea datelor sale cu caracter personal în scopul declarat.
LINK

27100

BULGARIA
Data: 22.02.2019
Baza legala: Art. 5 (1) b) c) GDPR, art. 12 GDPR, art. 15 (1) (GDPR), art. 15 (1) a), b), c), g) GDPR, art. 15 (3) GDPR
Operator: Patron
Un angajat a trimis o cerere angajatorului său pentru accesul la datele cu caracter personal care îl privesc. Cererea nu a primit un răspuns la timp și nu într-un mod complet.
LINK

500

BULGARIA
Data: 17.01.2019
Baza legala:Art.6 GDPR, art. 5 (1) a) GDPR
Operator: Bancă
O bancă a obținut date personale ale unui student fără a avea un temei juridic.
LINK

500

BULGARIA
Data: 12.04.2019
Baza legala: Artă. 5 (1) b) GDPR, art. 6 GDPR
Operator: Bancă
O amendă de 1000 BGN (sau aproximativ 500 EUR) a fost impusă unei bănci care a contactat un client pentru facturile neachitate ale vecinului său. Client și-a exercitat dreptul de a fi uitat, fără a primi un răspuns de la bancă. Banca a fost amendată pentru prelucrarea datelor personale ale clientului fără a avea legată de contractul său de credit. Dat fiind că scopul prelucrării a fost altul față de cel comunicat clientului la momentul încheierii contractului
LINK

500

CIPRU
Data: 2019
Baza legala: Artă. 6 GDPR
Operator: Mass Media - Ziar
Un ziar a dezvăluit numele și fotografiile a doi anchetatori ai poliției implicați într-un caz, precum și fotografia unui al treilea anchetator al poliției. Autoritatea a considerat că ziarul ar fi putut pseudonimiza datele prin publicarea numai a inițialelor numelui și/sau blurrarea fețelor, astfel încât să fie imposibilă identificarea persoanelor
LINK

10000

CIPRU
Data: 2019
Baza legala:Artă. 15 GDPR
Operator: Spital
Un pacient s-a plâns Autorității de supraveghere că cererea de acces la dosarul său medical nu a fost soluționată de către spital, deoarece dosarul nu a putut fi identificat.
LINK

5000

CEHIA
Data: 21.03.2019
Baza legala: Art. 5 (1) c) și e) GDPR
Operator: Necunoscut
Nu a fost respectat principiul "minimizării datelor" și nici cel al "limitării stocării".
LINK

9704

CEHIA
Data: 13.05.2019
Baza legala: Art. 5 (1) a) și b) GDPR, art. 32 (1) GDPR
Operator: Necunoscut
LINK

3105

CEHIA
Data: 04.02.2019
Baza legala: Art. 5 (1) a) GDPR
Operator: Companie de închiriere de mașini
O persoană care a închiriat o mașină a aflat că mașina a fost urmărită prin GPS de către compania de închiriere, chiar dacă nu au fost furnizate informații cu privire la faptul că mașina este urmărită. Autoritatea cehă de protecție a datelor a constatat că nu au fost furnizate informații în sensul art. 13 GDPR și că art. 6 (1) f) GDPR nu ar putea constitui temeiul juridic în circumstanțele concrete. Datorită acestui fapt UOOU a constatat că a existat o încălcare a art. 5 (1) a) GDPR pentru care a impus amenda.
LINK

1165

CEHIA
Data: 04.02.2019
Baza legala:Art. 5 (1) f) GDPR
Operator: Brokeraj credit
Datele nu au fost procesate într-un mod care să asigure o securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva procesării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, astfel lipsind măsurile tehnice sau organizatorice adecvate ("integritate și confidențialitate").
LINK

1165

CEHIA
Data: 26.02.2019
Baza legala: Art. 15 GDPR
Operator: Necunoscut
LINK

776

CEHIA
Data: 28.02.2019
Baza legala:Art. 5 (1) f) GDPR
Operator: Necunoscut
Prelucrarea datelor s-a realizat fără o securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva procesării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale ("integritate și confidențialitate").
LINK

582

CEHIA
Data:10.01.2019
Baza legala: Art. 6 GDPR
Operator: Patron
Un fost angajat al unei societăți a solicitat ștergerea informațiilor referitoare la acesta, care a fost publicate pe site-ul angajatorului și care erau încă disponibil la mult timp după încetarea raportului de muncă. Amenda a fost aplicată deoarece angajatorul nu a șters informațiile referitoare la fostul angajat.
LINK

388

CEHIA
Data: 25.10.2018
Baza legala: Art. 15 GDPR
Operator: Necunoscut
LINK

388

CEHIA
Data:06.05.2019
Baza legala:Art. 15 GDPR
Operator: Necunoscut
LINK

194

DANEMARCA
Data: 03.06.2019
Baza legala:Art 5 (1) e) Si (2) GDPR
Operator: IDdesign A / S
IDdesign a prelucrat datele personale a aproximativ 385.000 de clienți pentru o perioadă mai lungă decât era necesar pentru scopurile pentru care au fost colectate. În plus, compania nu a stabilit și nu a documentat termenele limită pentru ștergerea datelor cu caracter personal în noul sistem CRM. Datele stocate în vechiul sistem nu au fost șterse după termenul limită de retenție al acestora. De asemenea, IDdesign nu și-a documentat corespunzător procedurile de ștergere a datelor cu caracter personal.
LINK

200850

DANEMARCA
Data:2019
Baza legala:Art. 5 (1) e) GDPR
Operator: Taxe 4x35
Autoritatea de supraveghere daneză a recomandat o amendă (de 1,2 milioane DKK) pentru nerespectarea principiului minimizării datelor. Deși compania a șters numele pasagerilor din toate înregistrările după împlinirea termenului de păstrare a datelor, ștergerea nu a inclus restul înregistrărilor de călătorie (aproximativ 8 873 333 de curse de taxi). Prin urmare, compania a continuat să dețină numerele de telefon ale pasagerilor.
LINK

160000

FRANȚA
Data: 21.01.2019
Baza legala:Art. 13 GDPR, art.14 GDPR, art. 6 GDPR, art. 4 nr. 11 GDPR, art. 5 GDPR
Operator: Google Inc.
Amenda a fost aplicată pe baza plângerilor organizației austriece "None of Your Business" și a ONG-ului francez "La Quadrature du Net". Plângerile au fost depuse la 25 și 28 mai 2018 - imediat după intrarea în vigoare a GDPR. Plângerile au vizat crearea unui cont Google în timpul configurării unui telefon mobil utilizând sistemul de operare Android. CNIL a aplicat o amendă de 50 de milioane de euro pentru lipsa de transparență (articolul 5 GDPR), informații insuficiente (articolul 13/14 GDPR) și lipsa temeiului juridic (articolul 6 GDPR). Consimțămintele obținute nu au fost "specifice" și "lipsite de ambiguitate" (articolul 4 din nr. 11 GDPR).
LINK

50000000

FRANȚA
Data: 28.05.2019
Baza legala:Art. 32 si 5 (1) e) GDPR
Operator: SERGIC
Autoritatea Franceză pentru Protecția Datelor ("CNIL") a aplicat o amendă unui furnizor de servicii imobiliare din Franța, pentru că nu a implementat măsuri de securitate adecvate și nu a respectat perioadele de păstrare a datelor cu caracter personal ale persoanelor fizice care nu au reușit să închirieze locuințe.
LINK

400000

FRANȚA
Data: 13.06.2019
Baza legala:Art. 5 (1) c) GDPR, art. 12 GDPR, art. 13 GDPR, art. 32 GDPR
Operator: UNIONTRAD COMPANY
Între 2013 și 2017, CNIL a primit plângeri din partea mai multor angajați ai companiei care au fost filmați la postul lor de lucru. În două ocazii, compania a alertat compania cu privire la regulile care trebuie respectate la instalarea camerelor la locul de muncă, în special pentru ca angajații să nu se filmeze în mod continuu și să furnizeze informații despre prelucrarea datelor. În lipsa unor măsuri satisfăcătoare la sfârșitul termenului stabilit în avizul de punere în întârziere, CNIL a decis sancționarea angajatorului. La determinarea cuantumului amenzii, CNIL a luat în considerare mărimea (9 salariați) și situația financiară a societății, care a prezentat un rezultat net negativ în 2017
LINK

20000

GERMANIA
Data:2019
Operator: Necunoscut
LINK

80000

GERMANIA
Data:2018
Baza legala:Art. 6 GDPR
Operator: N26
Amenzile au fost impuse împotriva unei bănci (N26) care a procesat fără permisiune "datele personale ale tuturor foștilor clienți". Banca a recunoscut că a păstrat date referitoare la foști clienți pentru a menține o listă neagră, un fel de fișier de avertizare, astfel încât să nu deschidă un nou cont acestor persoane. Banca a justificat inițial acest lucru declarând că a fost obligată, în temeiul Legii bancare germane, să ia măsuri de securitate împotriva clienților suspectați de spălare de bani. Autoritatea de supraveghere din Berlin a considerat acest lucru ilegal.
LINK

50000

GERMANIA
Data:2018
Baza legala:Art. 83 (4) a) GDPR, art. 33 (1) GDPR, art. 34 (1) GDPR
Operator: Necunoscut
Notificarea întârziată a unei încălcări a datelor și lipsa informării persoanelor vizate cu privire la încălcarea respectivă.
LINK

20000

GERMANIA
Data:17.12.2018
Baza legala:Art. 28 (3) GDPR
Operator: Imagine Kolibri Regina und Dirk Maass GbR
Kolibri Image a trimis o solicitare Autorității pentru Protecția Datelor semnalând faptul că un furnizor de servicii nu dorește să semneze un acord de procesare. Autoritatea a amendat compania Kolibri Image pentru lipsa unui acord prelucrare încheiat cu furnizorul de servicii.
LINK

5000

GERMANIA
Data:05.02.2019
Baza legala:Art. 6 GDPR, art.5 GDPR
Operator: Persoana privată
Amenda a fost impusă împotriva unei persoane private care a trimis mai multe e-mail-uri între iulie și septembrie 2018, în care a folosit adrese de e-mail personale vizibile tuturor destinatarilor. Persoana a fost acuzată de zece încălcări. Potrivit autorității, între 131 și 153 de adrese poștale personale erau identificabile în lista sa de discuții.
LINK

2000

GERMANIA
Data:09.05.2019
Baza legala:Art. 6 GDPR
Operator: Polițist
Un ofițerul de poliție a interogat bazele de date ale poliției obținând acces la date precum nume, adresa numere de telefon pe care le-a utilizat în interes personal
LINK

1400

GERMANIA
Data: 29 martie 2019
Baza legala: GDPR
Operator: Necunoscut
LINK

500

GERMANIA
Baza legala:Art. 6 GDPR
Operator: Necunoscut
Dezvăluirea ilegală a datelor cu caracter personal referitoare la o terță parte.
LINK

118

GERMANIA
Data: 21.11.2018
Baza legala: Artă. 32 (1) a) GDPR
Operator: Rețea media
După un atac cibernetic au fost dezvăluite datele a 330.000 de utilizatori, inclusiv parole și adrese de e-mail.
LINK

20000

UNGARIA
Data:05.04.2019
Baza legala:Art. 33 (1) GDPR, art. 33 (5) GDPR, art. 34 (1) GDPR
Operator: Partid politic
Autoritatea din Ungaria a impus amenda în valoare de 11.000.000 HUF (34.375 EUR) pentru un partid politic maghiar pentru că nu a notificat autorității și persoanelor vizate o încălcare a prelucrării datelor și nu a documentat încălcarea în conformitate cu articolul 33 (5) GDPR. Încălcarea a fost rezultatul unui atac cibernetic efectuat de un hacker anonim, care a accesat și dezvăluit informații despre vulnerabilitatea sistemului organizației - o bază de date cu peste 6.000 de persoane.
LINK

34375

UNGARIA
Data:17.04.2019
Baza legala:Art. 5 (1) a) GDPR, art. 6 GDPR
Operator: Necunoscut
Un operator de date a folosit, din punct de vedere al Autorității, un temei juridic greșit pentru prelucrarea datelor cu caracter personal (articolul 6.1.b) pentru alocarea creanțelor.
LINK

9400

UNGARIA
Data:04.03.2019
Baza legala:Art. 5 (1) b) si c) GDPR, art. 13 (3) GDPR, art. 17 (1) GDPR, art. 6 (4) GDRP
Operator: Instituție financiară
Autoritatea a amendat o instituție financiară pentru respingerea ilegală a cererii unui client privind ștergea numărului său de telefon. Instituția financiară a susținut că este în interesul legitim al companiei să proceseze aceste date pentru a executa o creanță asupra clientului. În decizia sa, Autoritatea a subliniat că numărul de telefon al clientului nu este necesar în scopul colectării datoriilor, deoarece creditorul poate comunica cu debitorul prin poștă. În consecință, păstrarea numărului de telefon al debitorului a fost împotriva principiilor minimizării datelor și limitării scopului.
LINK

3200

UNGARIA
Data: 28.02.2019
Baza legala:Art. 5 (1) a) GDPR, art. 6 GDPR
Operator: Primăria orașului Kecdkemét
Amenzile au fost impuse primăriei din orașul Kecskemét pentru divulgarea ilegală a informațiilor personale ale unui "whistleblower". Autoritatea a impus amenda după ce un angajat a raportat o ilegalitate comisă de angajatorul său. După ce organizația a aflat de plângere, a solicitat detalii pentru a investiga, iar autoritatea locală a dezvăluit accidental numele reclamantului. Autoritatea a considerat că este un factor agravant faptul că, în urma încălcării datelor, organizația a concediat persoana care a făcut reclamația.
LINK

3200

UNGARIA
Data: 18.12.2018
Baza legala: Art. 12 (4), Art. 15, Art. 18 (1) GDPR
Operator: Necunoscut
Amenzile au fost impuse pentru neacordarea accesului unei persoane la datele înregistrare de sistemul CCTV, ștergerea datelor și neinformarea persoanei despre dreptul său de a depune o plângere la autoritate.
LINK

3200

UNGARIA
Data: 05.04.2019
Baza legala:Art. 15 GDPR
Operator: Necunoscut
Operatorul de date nu a răspuns solicitării de acces a unei persoanei vizate.
LINK

1900

UNGARIA
Data: 20.02.2019
Baza legala:Art. 5 (1) a) si c) GDPR - principiile transparentei și minimizării datelor
Operator: Recuperator
Persoana vizată a solicitat informații și ștergerea datelor prelucrate, pe care recuperatorul de creanțe le-a refuzat, declarând că nu putea identifica subiectul. Pentru realizarea identificării, el a solicitat locul nașterii, numele de familie al mamei și alte detalii de la persoana vizată. După ce operatorul a reușit să identifice persoanele vizate, a refuzat să respecte cererea de ștergere, argumentând că este obligat din punct de vedere legal să păstreze copii de rezervă în conformitate cu Legea contabilității și politicile interne. Întrucât nu a informat în mod corespunzător despre aceste politici, Autoritatea a susținut că operatorul a încălcat principiul transparenței.
LINK

1560

UNGARIA
Data:28.02.2019
Baza legala:Art. 5 (1) d) GDPR - principiul acurateței
Operator: Instituție bancară
O bancă a trimis în mod eronat mesaje SMS cu privire la datoria cărții de credit a unui subiect la numărul de telefon al altei persoane ca urmare a faptului că banca a primit unui număr de telefon incorect de la client în momentul contractării. Banca nu a respectat solicitarea persoanei vizate de a-i fi șterge datele și a continuat să-i trimită acestuia sms-uri pe numărul incorect.
LINK

1560

ITALIA
Data: 08.02.2019
Baza legala:Art. 32 GDPR
Operator: Partidul politic italian Movimento 5 Stelle
Autoritatea de supraveghere din Italia a aplicat amenda partidului italian Movimento 5 Stelle pentru că nu a luat măsuri de securitate adecvate privind îndreptarea vulnerabilităților platformei care găzduia mai multe site-uri ale partidului (www.movimento5stelle.it, www.rousseau.movimento5stelle.it, www.beppegrillo.it), descoperite în urma unei breșe de securitate din 2017 .
LINK

50000

LITUANIA
Data: 16.05.2019
Baza legala:Art. 5 GDPR, art.32 GDPR, art. 33 GDPR
Operator: Furnizorul de servicii de plată UAB MisterTango
Autoritatea de Supraveghere a Protecției Datelor din Lituania a constatat că operatorul a prelucrat mai multe date decât era necesar pentru a atinge scopurile. În plus, în perioada 09-10 iulie 2018, datele privind plățile au fost publicate pe internet din cauza unor măsuri tehnice și organizatorice insuficiente. Operatorul nu a raportat încălcarea datelor.
LINK

61500

MALTA
Data: 18.02.2019
Baza legala:Art. 5 GDPR, art.32 GDPR
Operator: Autoritate publică
Ca rezultat al lipsei măsurilor de securitate adecvate pe site-ul autorității publice, peste 10 GB de date cu caracter personal au devenit accesibile publicului prin intermediul unei căutări simple pe Google. Datele făcute publice conțineau informații și corespondență extrem de sensibile între indivizi și Autoritatea publică. În cazul unei încălcări din partea unei autorități sau a unei autorități publice, Comisarul pentru protecția datelor poate impune o amendă administrativă de până la 25 000 EUR pentru fiecare încălcare și poate impune în plus o amendă zilnică de 25 EUR pentru fiecare zi în care această încălcare persistă.
LINK

5000

NORVEGIA
Data:03.2019
Baza legala:Art. 5 (1) f) GDPR, art. 32 GDPR
Operator: Municipalitatea din Bergen
Peste 35.000 de conturi de utilizator (nume de utilizator și parole) din sistemul informatic al municipalității au fost făcute publice, printre acestea numărându-se conturile elevilor din școlile primare ale municipiului sau angajații acelorași școli. Lipsa măsurilor de securitate a permis ca oricine se conecta la sistemele informatice ale școlii putea să acceseze diferite categorii de date cu caracter personal referitoare la elevii și angajații școlilor. Faptul că încălcarea securității cuprinde date personale la peste 35 000 de persoane și că majoritatea acestora sunt copii a fost considerat a fi un factor agravant.
LINK

170000

POLONIA
Data: 26.03.2019
Baza legala:Art. 14 GDPR
Operator: Companie privată care lucrează cu date din surse disponibile publicului
Sancțiunea a vizat procedurile legate de activitatea unei societăți care a procesat date personale obținute din surse publice (Registrul electronic central, informații privind activitatea economică) și a procesat datele în scopuri comerciale. Operatorul și-a îndeplinit obligația de informare conform art. 14 alin. (1) - (3) din GDPR numai în cazul persoanelor ale căror adrese de e-mail le-a avut la dispoziție . În cazul celorlalte persoane, operatorul nu a respectat obligația de informare, invocând costurilor operaționale ridicate. Prin urmare, a publicat informarea numai pe site-ul său web. Potrivit Autorității poloneze, acest lucru nu a fost suficient.
LINK

219538

POLONIA
Data: 25.04.2019
Baza legala:Art. 6 GDPR
Operator: Asociația sportivă
O asociație sportivă a publicat online date cu caracter personal referitoare la arbitrii cărora li s-au acordat licențe. Cu toate că nu există niciun temei legal pentru a publica o gamă atât de largă de date despre arbitrii, pe lângă nume au fost făcute publice adresele lor exacte și numerele PESEL. Asociația a notificat Autorității de supraveghere poloneze respectiva încălcare însă faptul că încercările de remediere a încălcării s-au dovedit a fi ineficiente, autoritatea a dispus sancționarea asociației. La stabilirea cuantumului amenzii (55 750,50 PLN), președintele Autorității a luat în considerare, printre altele, durata încălcării și faptul că aceasta se referea la un grup mare de persoane (585 dearbitrii).
LINK

12950

PORTUGALIA
Data: 17.07.2018
Baza legala: Art. 5 (1) f) GDPR, art. 32 GDPR
Operator: Spital
Ancheta a arătat că personalul spitalului, psihologii și alți profesioniști au avut acces la datele pacientului prin profiluri false. Sistemul de management al profilului a apărut deficitar - spitalul având 985 de profiluri medicale înregistrate în timp ce avea doar 296 de medici. Mai mult, un profil medial oferea acces nelimitat la toate dosarele pacientului, indiferent de specialitatea medicului.
LINK

400000

SPANIA
Data: iunie 2019
Baza legala:Art. 5 (1) a), 7 (3) GDPR
Operator: Liga Națională de Fotbal din Spania (LaLiga)
Autoritatea Spaniolă de Protecție a Datelor Personale (AEPD) a anchetat comportamentul unei aplicații mobile dezvoltată pentru Liga spaniolă de fotbal (LaLiga), aplicație care solicita accesul la microfon și localizare pentru a afla dacă utilizatorii se uita la meciurile de fotbal și care este locația acestora având ca scop identificarea barurilor, teraselor sau alte stabilimente care transmit meciurile din campionatul intern fără plata licențelor. Astfel a fost urmărit comportamentul a celor peste 4 milioane de utilizatori ai aplicației.
ARTICOL DPO-NET.RO

250000

SPANIA
Data: 2019
Baza legala:Art. 5 (1) f GDPR
Operator: Agenție de colectare a datoriilor
După ce reclamantul a refuzat în mod repetat plata un microcredit către o agenție de credit online, creanța a fost atribuită agenției de colectare a datoriilor. Ulterior, acesta din urmă a trimis e-mailuri nu numai la adresele de e-mail furnizate de reclamant, ci și la o adresă de e-mail instituțională a locului său de muncă la care aveau acces alți angajați ai instituției respective.
LINK

60000

SPANIA
Data:2019
Baza legala:Art. 5 (1) f) GDPR
Operator: ENDESA
Persoana A acesta a primit o taxă pentru contul său bancar ENDESA al cărui beneficiar a fost Persoana B (denumit în continuare "terț") asupra căruia exista un ordinul de restricție, acasă sau la serviciu timp de doi ani. Persoana A solicitat companiei să facă o modificare a contractului său însă agentul ENDSA din greșeală a șters toate datele.
LINK

60000

SPANIA
Data: 2018
Baza legala:Art. 5 (1) d GDPR
Operator: VODAFONE ESPANA
Deși reclamantul (fostul client Vodafone) a solicitat Vodafone să își șterge datele în 2015 și această solicitare a fost confirmată de companie, a primit mai mult de 200 de SMS-uri de la companie începând din 2018. După declarația Vodafone, acest lucru sa întâmplat deoarece numărul de telefon mobil al reclamantului a fost folosit în mod eronat în scopuri de testare și a apărut accidental în diferite fișiere de clienți care aparțin altor clienți decât cel care a formulat reclamația. Întrucât societatea a fost de acord atât cu plata, cât și cu admiterea răspunderii, amenda a fost redusă la 27 de mii EUR.
LINK

27000

SPANIA
Data:2018
Baza legala:Art. 5 (1) d) GDPR
Operator: VODAFONE ESPANA
Agenția spaniolă în domeniul telecomunicațiilor și informațiilor (SETSI) a decis că Vodafone trebuie să ramburseze unui client sumele pe care le-a pretins de la acesta în mod eronat. Cu toate acestea, Vodafone a raportat date personale ale respectivului client către un registru de solvabilitate (BADEXCUG). Astfel autoritatea spaniola a constatat că Vodafone a încălcat principiul acurateței datelor.
LINK

5000

GRECIA
Data: 15.04.2019
Baza legala: Art. 9(1), Art. 32 GDPR
Operator: Hellenic Petroleum SA
Hellenic Petroleum S.A. a angajat o companie să efectueze un studiu în numele său. Studiul a fost expus online, iar rezultatele sale - care includea date sensibile precum opinii politice, apartenența sindicală și participarea la asociații - au fost accesibile publicului pe Internet.
LINK

30000

GRECIA
Data: 30.07.2019
Baza legala: Art. 5(1), Art. 6(1) GDPR
Operator: PricewaterhouseCoopers (PwC)
Autoritatea de supraveghere a Greciei (Helenic Data Protection Authority) anunță aplicare unei amenzi în valoare de 150.000 € pentru aplicarea bazei legale necorespunzătoare și încălcarea principiului răspunderii de către o PwC. Ca răspuns la o reclamație, autoritatea a efectuat o anchetă din oficiu privind legalitatea procesării datelor cu caracter personal ale angajaților companiei PwC (una din cele mai mari companii de consultanta la nivel mondial). Angajații reclamaseră faptul că au fost obligați să-și acorde consimțământul pentru prelucrarea datelor lor personale de către PwC.
LINK ARTICOL DPO-NET

150000

ITALIA
Data: 14.07.2019
Baza legala:
Operator: Facebook
Autoritatea italiană de protecție a datelor a amendat Facebook cu 1 milion de euro, cea mai mare amendă împotriva companiei, pentru încălcări legate de scandalul Cambridge Analytica. Autoritatea a constatat că datele au peste mai mult de 200.000 de cetățeni italieni au fost colectate fără consimțământul acestora, prin intermediul unei aplicații de testare a personalității.

1000000

ROMÂNIA
drapel-steag-fanion-romania
Data: 27.06.2019
Baza legala: art. 25 alin. (1) GDPR
Operator: Unicredit Bank
Sancțiunea a fost aplicată UNICREDIT BANK S.A. ca urmare a neaplicării măsurilor tehnice și organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele GDPR și a proteja drepturile persoanelor vizate. Aceasta a condus la dezvăluirea în documentele ce conțin detaliile tranzacțiilor și care sunt puse on-line la dispoziția clienților beneficiari ai plaților, a datelor privind CNP-ul și adresa plătitorului (pentru situațiile în care plătitorul efectua tranzacția dintr-un cont deschis la o alta instituție de credit - tranzacții externe și depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situațiile în care plătitorul efectua tranzacția dintr-un cont deschis la UNICREDIT BANK SA - tranzacții interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018.
LINK ARTICOL DPO-NET

130000

ROMÂNIA
drapel-steag-fanion-romania
Data: 08.07.2019
Baza legala: art. 32 alin. (4) GDPR
Operator: WORLD TRADE CENTER BUCHAREST
O listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la acest hotel a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți. WTC a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii. Mai mult, Autoritatea a constat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
LINK ARTICOL DPO-NET

15000

ROMÂNIA
drapel-steag-fanion-romania
Data: 12.07.2019
Baza legala: art. 32 alin. (1), (2) GDPR
Operator: LEGAL COMPANY & TAX HUB SRL (avocatoo.ro)
Un site care furnizează, printre altele și servicii sau produse de conformare GDPR, cunoscut pentru lansarea primului kit GDPR în România, a fost sancționat pentru că nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019
LINK ARTICOL DPO-NET

3000

ROMÂNIA
drapel-steag-fanion-romania
Data: 06.08.2019
Baza legala: Art. 5 (1) c), Art. 6, 12, 13, GDPR
Operator: UTTIS INDUSTRIES SRL
Sancțiunile au fost aplicate operatorului deoarece nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realiza începând din anul 2016 și a efectuat dezvăluirea CNP-ul angajaţilor, prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societăţii și nu a putut face dovada legalității prelucrării CNP-ului, prin dezvăluire, potrivit art. 6 GDPR.
LINK ARTICOL DPO-NET

2500

OLANDA
Data: 16.07.2019
Baza legala: art. 32 GDPR
Operator: Spitatului Haga
O persoană foarte cunoscută în Olanda a fost pacienta a spitalului, prilej cu care zeci de angajați ai spitalului, au accesat dosarul medical al pacientului, fără a avea un motiv real pentru a face asta.
În urma investigației, Autoritatea olandeză a impus Spitatului Haga o amendă de 460.000 de euro pentru neasigurarea unui grad adecvat de securitate al datelor.
Pentru a forța spitalul să îmbunătățească securitatea datelor pacienților, Autoritatea olandeză a impus, pe lângă amenda menționată mai devreme, o comandă, sau mai bine spus o obligație, supusă și aceasta unei pedepse în cazul în care nu va fi îndeplinită. Astfel, dacă Spitalul Haga nu reușește să îmbucățească securitatea datelor pacienților până la data de 2 octombrie 2019, spitalul va trebui să plătească 100.000 EUR pentru fiecare două săptămâni de întârziere, până la un maxim de 300.000 EUR.
LINK ARTICOL DPO-NET

460000

FRANȚA
Data: 25.07.2019
Baza legala: art. 32 GDPR
Operator: Active Insurance - societăți de asigurări
Active Insurance, o societăți de asigurări a fost sancționată cu amendă în valoare de 180.000 € pentru neasigurarea unui grad adecvat de protecție a datelor cu caracter personal ale utilizatorilor site-ului său. Conform CNIL, o verificare on-line a confirmat aspectele reclamate, conturile clienților companiei fiind accesibile prin intermediul legăturilor de hypertext menționate pe un motor de căutare. Documentele și datele despre clienți au fost, de asemenea, accesibile prin modificarea numerelor de la sfârșitul adreselor URL afișate în browser. Aceste documente au inclus copii ale permiselor de conducere, ale cărților de înmatriculare, informații bancare și date despre istoricul șoferilor (suspendarea permisului sau fugă de la locul accidentului).
LINK ARTICOL DPO-NET

180000

SUEDIA
Data: 21.08.2019
Baza legala: art. 5 (1) c), Art. 9, Art. 35, 36 GDPR
Operator: Instiuție de învățământ
Autoritatea de supraveghere suedeză, Datainspektion a impus prima sa amenda din era GDPR unei unități de învățământ.
O școală din Skellefteå a încercat să folosească o cameră cu recunoaștere facială pentru a înregistra prezența elevilor în clasă.
Datele biometrice, care sunt utilizate pentru recunoașterea facială, sunt considerate categorii speciale de date cu caracter personal conform articolului 9 GDPR, și este necesară o excepție specifică pentru a le putea prelucra.
Liceul a susținut că au obținut consimțământul explicit din partea celor 22 de elevi afectați însă autoritatea suedeză a decis că respectivele consimțăminte nu întrunesc condițiile de valabilitate.
LINK ARTICOL DPO-NET

20000