Despre noi         Contact

Amenzi GDPR la nivel european în valoare totală de 318 milioane de euro

Valoare totală: 318,779,560.00 Euro.

 

 

Nr. crt Țara Autoritatea de supraveghere Data  Valoare amendă  Operator/Procesator Articol Info Descriere caz
1 AUSTRIA Austrian Data Protection Authority (dsb) 2019-08-XX                     50,000.00 € Companie medicală Articolul 13 -Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

Articolul 37 -Desemnarea responsabilului cu protecția datelor
link Amenda (nu este decizie finala) a fost aplicată unei companii din sectorul medical pentru nerespectarea obligațiilor de informare și pentru că nu a numit un responsabil pentru protecția datelor.
2 AUSTRIA Austrian Data Protection Authority (dsb) 2019-07-XX                     11,000.00 € Antrenor de fotbal Legalitatea prelucrarii link Amenda a fost impusă unui antrenor de fotbal care a filmat în secret jucătoare de sex feminin în timp ce făceau duș, de ani buni.
3 AUSTRIA Austrian Data Protection Authority (dsb) 09/12/2018                       4,800.00 € Casa de pariuri Articolul 13 -Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată link Supravegherea video nu a fost suficient marcată și o mare parte din frontul stadal a fost înregistrat. Supravegherea spațiului public în acest fel, adică la scară largă de către persoane private, nu este permisă.
4 AUSTRIA Austrian Data Protection Authority (dsb) 20/12/2018                       2,200.00 € Persoană fizică Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii

Articolul 13 -Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată
link Amenda a fost aplicată împotriva unei persoane private care folosea CCTV la domiciliul său. Supravegherea video acoperită de zone destinate utilizării generale a rezidenților complexului rezidențial și anume: parcări, trotuare, curte, grădină și zone de acces la complexul rezidențial. În plus, supravegherea video a acoperit zonele de grădină ale unei proprietăți adiacente. Prin urmare, subiectul supravegherii video nu se limitează la domeniile aflate sub puterea exclusivă de control a controlorului. În concluzie, supravegherea video nu este proporțională cu scopul și nu se limitează la ceea ce este necesar. Supravegherea video înregistrează holul casei și filmează rezidenții care intră și părăsesc apartamentele din jur, intervenind astfel în zonele lor de viață extrem de personale, fără consimțământul de a înregistra datele de imagine. Supravegherea video nu a fost indicată în mod corespunzător.
5 AUSTRIA Austrian Data Protection Authority (dsb) Unknown-2018                       1,800.00 € Restaurant   link CCTV a fost folosit ilegal. Nu există alte informații disponibile.
6 AUSTRIA Austrian Data Protection Authority (dsb) Unknown-2018                          300.00 € Propietar de autovehicul   link O cameră video a fost folosit în mod ilegal. Nu există alte informații disponibile.
7 AUSTRIA Austrian Data Protection Authority (dsb) Unknown-2018 valaore necunoscută Restaurant   link CCTV a fost folosit ilegal. Nu există alte informații disponibile.
8 BELGIUM Belgian Data Protection Authority (APD) 28/05/2019                       2,000.00 € Primar Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
link Amenda administrativă a fost impusă pentru abuzul de date cu caracter personal de către un primar în scopuri de campanie.
9 BULGARIA Bulgarian Commission for Personal Data Protection (KZLD) 26/02/2019                     27,100.00 € Compnie de telecomunicații Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
link Înregistrarea repetată a serviciilor preplătite fără cunoștința și consimțământul persoanei vizate Angajații furnizorului de telecomunicații au utilizat datele personale și au înregistrat reclamantul la serviciul preplătit al companiei. Persoana vizată nu a semnat cererea și nu a consimțit la prelucrarea datelor sale personale în scopul declarat. Nu există niciun alt temei juridic aplicabil. Semnătura cererii și solicitantul propriu al cererii autentice nu au fost identice și a fost indicat numărul personal de identificare al persoanelor, dar numărul cărții de identitate nu a fost unul reclamant.
10 BULGARIA Data Protection Commision of Bulgaria (KZLD) 26/03/2019                       5,100.00 € A.P. EOOD Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
link Sancțiunea a fost aplicată administratorului de date cu caracter personal A.P. EOOD pentru prelucrarea ilegală a datelor cu caracter personal. Datele personale ale persoanei vizate D.D. a fost folosit de A.P. EOOD pentru pregătirea unui contract de muncă, în timp ce era în închisoare.
11 BULGARIA Data Protection Commision of Bulgaria (KZLD) 08/04/2019                          510.00 € Centrul medical Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii

Articolul 9 - Prelucrarea de categorii speciale de date cu caracter personal
link Sancțiunea de 510 EUR a fost aplicată fiecărui centru medical pentru prelucrarea ilegală a datelor cu caracter personal ale persoanei vizate G.B. de către un centru medical în scopul schimbării medicului de familie. Centrul medical a folosit un software pentru a genera un formular de înregistrare pentru schimbarea medicamentului medical care a fost depus la Fondul regional de asigurări de sănătate și apoi la un alt centru medical, care ulterior a prelucrat în mod nelegal datele personale ale G.B.
12 BULGARIA Bulgarian Commission for Personal Data Protection (KZLD) 22/02/2019                          500.00 € Angajat Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal
Articolul 12 - Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate

Articolul 15 - Dreptul de acces al persoanei  vizate
link Un angajat a trimis o solicitare angajatorului său pentru accesul la datele cu caracter personal care îl privesc. Angajatorul nu a răspuns la timp și nu într-un mod complet.
13 BULGARIA Bulgarian Commission for Personal Data Protection (KZLD) 17/01/2019                          500.00 € Banca Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
link O bancă a obținut date personale referitoare la un student fără bază legală.
14 BULGARIA Bulgarian Commission for Personal Data Protection (KZLD) 12/04/2018                          500.00 € Banca Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
link link O amendă de 1000 BGN (sau aproximativ 500 EUR) a fost impusă unei bănci pentru apelarea unui client pentru facturile nerezolvate ale vecinului său. Acest lucru a provocat clientul să-și evocă dreptul de a fi uitat. După ce nu a primit niciun răspuns de la bancă, el a depus o altă moțiune, pentru care banca a luat măsuri în perioada legală. Cu toate acestea, clientul a depus o plângere la KZLD. Încălcarea pentru care a fost amendată banca a fost pentru prelucrarea datelor personale ale clientului și nu a fost legată de contractul său de credit al consumatorului. Întrucât scopul pentru care au fost prelucrate datele era diferit de cel comunicat la momentul încheierii contractului, banca a trebuit, în opinia KZLD, să ceară acordul suplimentar de la clientul său.
15 CYPRUS Cyprian Data Protection Commissioner Unknown-2019                     10,000.00 € Ziar

Articolul 6 - Legalitatea prelucrarii
link S-a publicat, în format tipărit și online, reținerea  unui cetățean și a dezvăluit numele și imaginile celor doi anchetatori de poliție implicați, precum și fotografia unui al treilea investigator al poliției. Comisarul a considerat că obiectivul poate fi atins doar referindu-se la inițialele numelui și / sau a chipurilor lor neclarizate și / sau publicând fotografii trase de la distanță, astfel încât să fie imposibil de identificat persoanele, iar aceste acțiuni nu ar fi aduce orice schimbare în natura cazului.
16 CYPRUS Cyprian Data Protection Commissioner Unknown-2019                       5,000.00 € Spital de stat
Articolul 15 - Dreptul de acces al persoanei  vizate
link O pacientă a reclamat comisarului că solicitarea de acces la dosarul ei medical nu a fost onorată de spital, deoarece dosarul nu a putut fi identificat / localizat de către controlor. După investigarea cazului, la spital a fost aplicată o amendă administrativă de 5.000 de euro.
17 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 21/03/2019                       9,704.00 € necunoscut Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link Datele nu au fost prelucrate, doar dacă dacă sunt adecvate, relevante și limitate la ceea ce este necesar în legătură cu scopurile pentru care sunt prelucrate („minimizarea datelor”) și nu sunt păstrate doar într-o formă care permite identificarea persoanelor vizate pentru cel mult timp decât este necesar în scopul pentru care datele cu caracter personal sunt prelucrate („limitare de stocare”).
18 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 13/05/2019                       3,105.00 € necunoscut Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 32 - Securitatea  prelucrării
link  
19 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 04/02/2019                       1,165.00 € Companie de închirieri auto Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link O persoană care a închiriat o mașină a aflat că există sistem GPS instalat de către compania de închiriere, deși nu au fost furnizate informații cu privire la faptul că autoturismul este urmărit. Autoritatea cehă pentru protecția datelor a constatat că nu există informații furnizate în conformitate cu art. 13 GDPR și că art. 6 (1) f) GDPR nu poate fi baza legală în circumstanțe concrete. Din această cauză, UOOU a constatat că există o încălcare a art. 5 (1) a) GDPR pentru care a aplicat amenda.
20 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 04/02/2019                       1,165.00 € Broker de credit Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link Datele nu au fost prelucrate într-o manieră care să asigure securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorarii accidentale, folosind măsuri tehnice sau organizatorice adecvate („integritate și confidențialitate”).
21 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 26/02/2019                          776.00 € necunoscut
Articolul 15 - Dreptul de acces al persoanei  vizate
link Nu au fost furnizate informații.
22 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 28/02/2019                          582.00 € necunoscut Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link Datele nu au fost prelucrate într-o manieră care să asigure securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorarii accidentale, folosind măsuri tehnice sau organizatorice adecvate („integritate și confidențialitate”).
23 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 10/01/2019                          388.00 € angajat Articolul 6 - Legalitatea prelucrarii link Un fost angajat al unei companii a solicitat ștergerea informațiilor referitoare la acesta, care au fost publicate pe site-ul Facebook al angajatorului și care erau încă disponibile mult timp după încetarea relației de muncă. Amenda a fost impusă deoarece angajatorul nu a șters informațiile referitoare la fostul angajat.
24 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 25/10/2018                          388.00 € necunoscut Articolul 15 - Dreptul de acces al persoanei  vizate link Nu au fost furnizate informații.
25 CZECH REPUBLIC Czech Data Protection Auhtority (UOOU) 06/05/2019                          194.00 € necunoscut Articolul 15 - Dreptul de acces al persoanei  vizate link Nu au fost furnizate informații.
26 DENMARK Danish Data Protection Authority (Datatilsynet) 03/06/2019                   200,850.00 €   Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link Amenda a fost impusă ca urmare a unei inspecții efectuate în toamna anului 2018. IDdesign a prelucrat date cu caracter personal de aproximativ 385.000 de clienți pentru o perioadă mai lungă decât este necesar în scopul pentru care au fost prelucrați. În plus, compania nu a stabilit și nu a documentat termene pentru ștergerea datelor cu caracter personal din noul lor sistem CRM. Termenele stabilite pentru vechiul sistem nu au fost șterse după expirarea termenului limită pentru informații. De asemenea, operatorul  nu și-a documentat în mod adecvat procedurile de ștergere a datelor cu caracter personal.

Vă rugăm să rețineți: întrucât legislația daneză nu prevede amenzi administrative ca în GDPR (cu excepția cazului în care este un caz necomplicat și persoana învinuită a consimțit), amenzile vor fi impuse de instanțe.
27 DENMARK Danish Data Protection Authority (Datatilsynet) Tbd-2019                   160,000.00 € Companie de taxi Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link DPA daneză a reclamat poliției activitatea  companiei de taximetrie și a recomandat o amendă (de 1,2 M DKK) pentru nerespectarea principiului minimizării datelor. În timp ce compania a șters numele pasagerilor din toate înregistrările sale după doi ani, ștergerea nu a inclus restul înregistrărilor de călătorie (aproximativ 8.873.333 de călătorii cu taxiul). Prin urmare, compania a continuat să țină numerele de telefon ale persoanelor vizate. Vă rugăm să rețineți: întrucât legislația daneză nu prevede amenzi administrative ca în GDPR (cu excepția cazului în care este un caz necomplicat și persoana învinuită a consimțit), amenzile vor fi impuse de instanțe.
28 FRANCE French Data Protection Authority (CNIL) 21/01/2019  50,000,000.00  € Google Articolul 4 -Definiții - 11= consimtamant
Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii

Articolul 13 - Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată
link Amenda a fost aplicată pe baza plângerilor din partea organizației austriece  "None Of Your Business" și a ONG-ului francez „La Quadrature du Net”. Plângerile au fost depuse pe 25 și 28 mai 2018 - imediat după ce DSGVO a devenit aplicabil. Plângerile vizau crearea unui cont Google în timpul configurației unui telefon mobil cu ajutorul sistemului de operare Android. CNIL a aplicat o amendă de 50 de milioane de euro pentru lipsa de transparență (art. 5 GDPR), informații insuficiente (art. 13/14 GDPR) și lipsa temeiului legal (art. 6 GDPR). Consimțământul obținut nu a fost dat „specific” și nici „lipsit de viziune” (Art. 4 nr. 11 GDPR).
29 FRANCE French Data Protection Authority (CNIL) 28/05/2019                   400,000.00 € SERGIC, o companie specializată în dezvoltarea imobiliară, cumpărare, vânzare, închiriere și administrare de proprietăți Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 32 - Securitatea  prelucrării
link CNIL a bazat pedeapsa pe două motive: Lipsa măsurilor de securitate de bază și stocarea excesivă a datelor. În ceea ce privește primele documente de utilizator sensibile încărcate de candidații de închiriere (inclusiv cărți de identitate, carduri de sănătate, avize fiscale, certificate eliberate de fondul de alocații familiale, hotărârile de divorț, declarațiile de cont) au fost accesibile online fără nicio procedură de autentificare în vigoare. Deși vulnerabilitatea a fost cunoscută companiei încă din martie 2018, aceasta nu a fost rezolvată până în septembrie 2018. În plus, compania a păstrat documentația furnizată de către candidați pentru o perioadă mai lungă decât necesară. CNIL a avut în vedere i.a. gravitatea încălcării (lipsa de îngrijire cuvenită în abordarea vulnerabilității și faptul că documentele au evidențiat aspecte foarte intime ale vieții utilizatorilor), dimensiunea companiei și situația financiară a 
30 FRANCE French Data Protection Authority (CNIL) 25/07/2019                   180,000.00 € Companie de asigurări ACTIVE ASSURANCES Articolul 32 - Securitatea  prelucrării link O cantitate mare de conturi de clienți, documente ale clienților (inclusiv copii ale permiselor de conducere, înregistrarea vehiculului, declarații bancare și documente pentru a stabili dacă o persoană a făcut obiectul retragerii licenței) și datele au fost ușor accesibile online. CNIL, între altele, a criticat gestionarea parolelor (accesul neautorizat a fost posibil fără nicio autentificare).
31 FRANCE French Data Protection Authority (CNIL) 13/06/2019                     20,000.00 €  UNIONTRAD COMPANY Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 32 - Securitatea  prelucrării
link În perioada 2013 - 2017, CNIL a primit reclamații de la mai mulți angajați ai companiei care au fost filmați la postul lor de lucru. În două ocazii, aceasta a avertizat compania cu privire la regulile care trebuie respectate la instalarea camerelor de luat vederi la locul de muncă, în special, că angajații nu trebuie filmați continuu și că informațiile despre prelucrarea datelor trebuie furnizate. În absența unor măsuri satisfăcătoare la sfârșitul termenului stabilit în anunțul oficial, CNIL a efectuat un al doilea audit în octombrie 2018, care a confirmat că angajatorul încalca legile privind protecția datelor la înregistrarea angajaților cu CCTV. La determinarea cuantumului amenzii, CNLIN a luat în considerare mărimea (9 angajați) și situația financiară a companiei, care au prezentat un rezultat net negativ în 2017 (cifra de afaceri de 885.739 EUR în 2017 și un rezultat net negativ de 110.844 EUR ), pentru a păstra o amendă administrativă disuasivă, dar proporțională.
32 GERMANY Data Protection Authority of Berlin 13/08/2019                   200,000.00 € necunoscut   link link Necunoscut
33 GERMANY Data Protection Authority of Baden-Wuerttemberg Unknown (not published)-2019                     80,000.00 € necunoscut   link Nu există informații suplimentare disponibile. Această amendă nu ar trebui să fie confundată cu cea care se ocupă de datele privind sănătatea și care a fost emisă de aceeași autoritate, întrucât cea care se ocupă de datele de sănătate a fost emisă în conformitate cu vechea lege germană privind protecția datelor. Existențele unei a doua amenzi în valoare de aceeași sumă de bani sunt cunoscute doar datorită unui tweet al comisarului pentru protecția datelor din Baden-Wuerttemberg.
34 GERMANY Data Protection Authority of Berlin Unknown-2018                     50,000.00 € N26 Articolul 6 - Legalitatea prelucrarii Page 131 of the activity report of the Data Protection Commissioner of Berlin linklink Amenda a fost impusă împotriva unei bănci (conform unui ziar N26) care a prelucrat „datele personale ale tuturor foștilor clienți” fără permisiunea. Banca a recunoscut că a păstrat date referitoare la foștii clienți pentru a menține o listă neagră, un fel de fișier de avertizare, astfel încât acesta să nu pună la dispoziția acestor persoane un cont nou. Inițial, banca a justificat acest lucru afirmând că era obligată prin Legea bancară germană să ia măsuri de securitate împotriva clienților suspectați de spălare de bani. Autoritatea de supraveghere din Berlin a apreciat că este ilegală. Autoritatea susține că, pentru a împiedica deschiderea unui nou cont bancar, pot fi incluși într-un dosar de comparație doar cei afectați care sunt de fapt suspectați de spălare de bani sau pentru care există alte motive valabile pentru refuzul unui nou cont bancar. Autoritatea a declarat unui ziar că procedurile de amendă inițiate împotriva băncii „nu au fost încă încheiate legal”.
35 GERMANY Data Protection Authority of Baden-Wuerttemberg 21/11/2018                     20,000.00 € Knuddels.de Articolul 32 - Securitatea  prelucrării link După un atac de hackeri din iulie, datele personale de aprox. Au fost dezvăluite 330.000 de utilizatori, inclusiv parole și adrese de e-mail.
36 GERMANY Data Protection Authority of Hamburg Unknown-2018                     20,000.00 € necunoscut Articolul 33 - Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

Articolul 34 - Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal
Page 134 of the activity report of the Data Protection Commissioner of Hamburg, accessible under link Notificarea târzie a unei încălcări a datelor și notificarea persoanelor vizate.
37 GERMANY Data Protection Authority of Hamburg 17/12/2018                       5,000.00 € Kolibri Image Regina und Dirk Maass GbR   link link Vă rugăm să rețineți: în conformitate cu informațiile noastre, această amendă a fost retrasă între timp. Kolibri Image a trimis o solicitare către Autoritatea pentru Protecția Datelor din Hessen, întrebându-i cum să se ocupe cu un furnizor de servicii care nu dorește să semneze un acord de procesare. După ce nu a răspuns lui Kolibri Image mai detaliat, cazul a fost înaintat Autorității pentru protecția datelor din Hamburg, responsabilă local. Această autoritate a amendat apoi Kolibri Image în calitate de controlor pentru că nu a avut un acord de procesare cu furnizorul de servicii. Kolibri Image a declarat că vor contesta decizia în fața instanței, deoarece sunt de părere că furnizorul de servicii nu acționează ca un procesator.
38 GERMANY Data Protection Authority of Sachsen-Anhalt 05/02/2019                       2,000.00 € Persoană fizică Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
link Amenda a fost imposibilă împotriva unei persoane private care a trimis mai multe e-mailuri între iulie și septembrie 2018, în care a folosit adrese de e-mail personale vizibile pentru toți destinatarii, din care fiecare destinatar putea citi nenumărați destinatari. Bărbatul a fost acuzat de zece infracțiuni între jumătatea lunii iulie și sfârșitul lui iulie 2018. Potrivit scrisorii autorității, între 131 și 153 de adrese de poștă personală erau identificabile în lista sa de corespondență.
39 GERMANY Data Protection Authority of Baden-Wuerttemberg 09/05/2019                       1,400.00 € Ofițer de poliție
Articolul 6 - Legalitatea prelucrarii
link Ofițerul de poliție, folosind ID-ul său de utilizator oficial, dar fără referire la îndatoririle oficiale, a întrebat datele proprietarului cu privire la plăcuța de înmatriculare a unei persoane pe care nu o știa bine prin intermediul sistemului central de informații despre trafic (ZEVIS) al Autorității Federale a Transporturilor Auto. Folosind datele personale obținute în acest fel, el a efectuat apoi o așa-numită anchetă SARS cu Agenția Federală de Rețea, în care a solicitat nu numai datele personale ale părților vătămate, ci și numerele de telefon ale locuinței și ale telefonului mobil stocate acolo. . Folosind numărul de telefon mobil obținut în acest mod, polițistul a contactat telefonic partea vătămată - fără niciun motiv oficial sau consimțământul dat de partea vătămată. Prin intermediul anchetei ZEVIS și SARS în scopuri private și prin utilizarea numărului de telefon mobil obținut în acest fel pentru contactul privat, polițistul a prelucrat date cu caracter personal în afara domeniului de aplicare al legii din propria autoritate. Această încălcare nu este atribuită departamentului ofițerului de poliție, întrucât nu a comis fapta în exercitarea atribuțiilor sale oficiale, ci exclusiv în scopuri private. Interzicerea pedepsei în temeiul articolului 28 din LDSG, potrivit căreia sancțiunile DSGVO nu pot fi impuse organismelor publice, nu se aplică în cazul de față, întrucât nu a fost nici un caz de conduită incorectă atribuită autorității și nici persoana în cauză nu să fie clasificat ca organism public separat în sensul articolului 2 alineatul (1) sau (2) LDSG în cazul actelor în cauză.
40 GERMANY Data Protection Authority of Hamburg Unknown-2018                          500.00 € necunoscut   link Necunoscut
41 GERMANY Data Protection Authority of Saarland Unknown                          118.00 € necunoscut
Articolul 6 - Legalitatea prelucrarii
link Dezvăluirea ilegală a datelor cu caracter personal referitoare la un terț.
42 GREECE Hellenic Data Protection Authority (HDPA) 30/07/2019                   150,000.00 € PWC Business Solutions Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
Articolul 13 - Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

Articolul 14 - Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată
link Prelucrarea datelor cu caracter personal ale angajaților sa bazat pe consimțământ. HDPA a constatat că consimțământul ca bază legală era necorespunzător, întrucât prelucrarea datelor cu caracter personal a fost destinată să efectueze acte direct legate de executarea contractelor de muncă, respectarea unei obligații legale la care este supus controlorul și funcționarea corectă și eficientă a compania, ca interes legitim al acesteia. În plus, compania le-a oferit angajaților impresia falsă că prelucrează datele lor personale sub baza legală a consimțământului, în timp ce, în realitate, prelucra datele lor sub o altă bază legală. Acest lucru a încălcat principiul transparenței și, astfel, încălcarea obligației de a furniza informații în conformitate cu articolul 13 alineatul (1) litera (c) și cu articolul 14 alineatul (1) litera (c) din GDPR. În cele din urmă, cu încălcarea principiului răspunderii, compania nu a furnizat HDPA dovezi că a efectuat o evaluare prealabilă a bazelor legale adecvate pentru prelucrarea datelor cu caracter personal ale angajaților
43 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 23/05/2019                     92,146.00 € Organizator al festivalului SZIGET și al festivalului VOLT Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
Articolul 13 - Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată
link NAIH a constatat că există baze juridice necorespunzătoare este utilizarea și că controlorul nu respectă principiul limitării scopului. De asemenea, informațiile privind prelucrarea datelor nu au fost complet furnizate persoanelor vizate.
44 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 05/04/2019                     34,375.00 € Partid politic   link NAIH a aplicat o amendă de 11.000.000 HUF (34.375 EUR) unui partid politic maghiar nedezvăluit pentru că nu a notificat NAIH și persoanelor relevante cu privire la o încălcare a datelor și nu a documentat încălcarea în conformitate cu articolul 33.5 al GDPR. Conform legii, amenda s-a bazat pe 4% din cifra de afaceri anuală a partidului și 2,65% din cifra de afaceri anticipată pentru anul următor. Încălcarea a fost rezultatul unui atac cibernetic al unui hacker anonim care a accesat și dezvăluit informații despre vulnerabilitatea sistemului organizației - o bază de date de peste 6.000 de persoane - și comanda folosită pentru atac. Sistemul a fost vulnerabil la atac din cauza unei probleme de redirecționare cu pagina web a organizației. După ce atacatorul a publicat comanda, chiar și persoane cu cunoștințe IT scăzute au putut prelua informații din baza de date.
45 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 17/04/2019                       9,400.00 € necunoscut   link Un operator de date a utilizat, din punctul de vedere al NAIH, o bază legală greșită pentru prelucrarea datelor cu caracter personal (art. 6.1.b) pentru atribuirea revendicărilor.
46 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 04/03/2019                       3,200.00 € Institutie financiara Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
link link Amenda a fost aplicată în legătură cu solicitarea unui subiect de date pentru corectarea și ștergerea datelor. NAIH a aplicat o amendă împotriva unei instituții financiare nenumite pentru că a respins în mod ilegal cererea unui client de a-și șterge numărul de telefon după ce a susținut că este în interesul legitim al companiei să proceseze aceste date pentru a aplica o cerere de creanță împotriva clientului. În decizia sa, NAIH a subliniat că numărul de telefon al clientului nu este necesar în scopul colectării datoriilor, deoarece creditorul poate comunica și cu debitorul prin poștă. În consecință, păstrarea numărului de telefon al debitorului a fost în conformitate cu principiile minimizării datelor și limitarea scopului. Conform legii, amenda evaluată s-a bazat pe 0,025% din veniturile nete anuale ale companiei.
47 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 28/02/2019                       3,200.00 € Primarul localității Kecdkemét Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
link link Amenda a fost aplicată Primăriei din Kecskemét pentru dezvăluirea ilegală a informațiilor personale ale unui denunțător.NAIH a aplicat amenda după ce un angajat al unei organizații pe care îl supraveghea a raportat o plângere de interes public direct împotriva angajatorului său. După ce organizația a aflat despre plângere, a solicitat detalii pentru a investiga, iar administrația locală a dezvăluit accidental numele reclamantului. NAIH a considerat un factor agravant faptul că, în urma încălcării datelor, organizația a concediat persoana care a făcut raportul.
48 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 18/12/2018                       3,200.00 € necunoscut
Articolul 12 - Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate

Articolul 13 - Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

Articolul 15  - Dreptul de acces al persoanei  vizate

Articolul 18 - Dreptul la restricționarea prelucrării
link

Amenda a fost impusă pentru că operatorul:

(i) nu a dorit să furnizeze unei persoane vizate înregistrări CCTV,
(ii) nu a dorit să păstreze înregistrări pentru o utilizare ulterioară de către persoana vizată și
(iii) nu a informat persoana vizată cu privire la dreptul său de a depune o plângere la supraveghere autoritate.

49 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 05/04/2019                       1,900.00 € necunoscut Articolul 15  - Dreptul de acces al persoanei  vizate link Operatorul de date nu a îndeplinit cererea de acces a persoanei vizate.
50 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 20/02/2019                       1,560.00 € Recuperator Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link O persoană vizată a solicitat informații și ștergerea datelor prelucrate, pe care colecționarul a refuzat să le spună că nu poate identifica subiectul. În scopul identificării, el a solicitat locul nașterii, numele fetiței mamei și alte detalii de la persoana vizată. După ce operatorul a reușit să identifice persoanele vizate, el a refuzat să respecte cererea de ștergere, argumentând că este obligat legal să păstreze copii de rezervă conform Legii contabilității și politicilor interne. Deoarece nu a informat în mod corespunzător despre aceste politici, NAIH a menținut controlorul încălcând principiul transparenței. Amenda constituie 0,0025% din profitul anual al controlorului.
51 HUNGARY Hungarian National Authority for Data Protection and the Freedom of Information (NAIH) 08/02/2019                       1,560.00 € Banca Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link O bancă a trimis în mod eronat mesaje SMS despre datoria unui card de credit a unui subiect către numărul unei alte persoane. După ce a primit un număr de telefon incorect de la client în momentul contractării, banca nu a respectat solicitarea persoanei vizate de a șterge datele și a continuat să trimită un mesaj SMS la numărul de telefon incorect. Amenda reprezintă 0,0016% din profitul anual al băncii.
52 ITALY Italian Data Protection Authority (Garante) 17/04/2019                     50,000.00 € Partidul politic italian Movimento 5 Stelle

Articolul 32 - Securitatea  prelucrării
link Mai multe site-uri web afiliate partidului politic italian Movimento 5 Stelle sunt administrate prin intermediul unui procesator de date, prin intermediul platformei numită Rousseau. Platforma a suferit o încălcare a datelor în vara anului 2017 care a determinat autoritatea italiană de protecție a datelor, Garante, să solicite punerea în aplicare a mai multor măsuri de securitate, pe lângă obligația de a actualiza informațiile privind confidențialitatea, pentru a oferi transparență suplimentară În ceea ce privește activitățile de prelucrare a datelor efectuate. În timp ce actualizarea avizului de confidențialitate a fost finalizată în timp util, autoritatea italiană pentru protecția datelor și-a exprimat îngrijorarea cu privire la lipsa implementării pe platforma Rousseau a unor măsuri de securitate legate de GDPR. Merită menționat faptul că procedura inițiată înainte de mai 2018, dar autoritatea italiană pentru protecția datelor a emis o amendă în cadrul GDPR, deoarece platforma Rousseau nu a adoptat măsuri de securitate necesare printr-un ordin emis după 25 mai 2018. Interesant , amenda nu a fost emisă împotriva Movimento 5 Stelle, care este controlorul de date al platformei, ci împotriva asociației Rousseau care este procesatorul de date.
53 LITHUANIA Lithuanian Data Protection Authority (VDAI) 16/05/2019                     61,500.00 € Furnizor de servicii de plată UAB MisterTango Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 32 - Securitatea  prelucrării

Articolul 33 - Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal
link În timpul unei inspecții, Autoritatea lituaniană de supraveghere a protecției datelor a constatat că operatorul prelucra mai multe date decât este necesar pentru a atinge scopurile pentru care era controlor. În plus, a fost cunoscut faptul că, în perioada 09 - 10 iulie 2018, datele de plată au fost disponibile public pe internet din cauza unor măsuri tehnice și organizatorice inadecvate. 9.000 de plăți cu 12 bănci din diferite țări au fost afectate. Potrivit autorității de supraveghere, o notificare privind încălcarea datelor în conformitate cu art. 33 DSGVO ar fi fost necesar. Controlerul nu a raportat încălcarea datelor.
54 MALTA Data Protection Commissioner of Malta 18/02/2019                       5,000.00 € Autoritate funciară Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal



Articolul 33 - Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal
link Ca urmare a lipsei măsurilor de securitate adecvate pe site-ul Autorității funciare, peste 10 gigabyte de date cu caracter personal au devenit ușor accesibile publicului printr-o simplă căutare Google. Majoritatea datelor scurse conțineau informații și corespondență extrem de sensibile între persoane și autoritatea în sine. Autoritatea funciară a ales să nu facă recurs.
În Malta, în cazul unei încălcări de către o autoritate sau un organism public, comisarul pentru protecția datelor poate impune o amendă administrativă de până la 25.000 EUR pentru fiecare încălcare și poate impune suplimentar o amendă zilnică de 25 EUR pentru fiecare zi în care persistă această încălcare.

55 NORWAY Norwegian Supervisory Authority (Datatilsynet) 2019-03-XX                   170,000.00 € Municipiul Bergen Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 32 - Securitatea  prelucrării
link Incidentul se referă la fișiere de calculator cu nume de utilizator și parole la peste 35000 de conturi de utilizator din sistemul informatic al municipalității. Conturile de utilizator legate atât de elevii din școlile primare ale municipalității, cât și de angajații acelorași școli. Din cauza măsurilor de securitate insuficiente, aceste fișiere au fost neprotejate și accesibile în mod deschis. Lipsa măsurilor de securitate din sistem a făcut posibilă accesarea oricăror la diferitele sisteme de informații ale școlii și, prin urmare, să acceseze diverse categorii de date cu caracter personal referitoare la elevi și angajații școlilor. Faptul că încălcarea securității cuprinde datele cu caracter personal la peste 35 000 de persoane și că majoritatea sunt copii, au fost considerate factori agravante. Municipalitatea a fost, de asemenea, avertizată de mai multe ori, atât de autoritate, cât și de un informator intern, că securitatea datelor era inadecvată.
56 POLAND Polisch National Personal Data Protection Office (UODO) 26/03/2019                   219,538.00 € Companie privată care lucrează cu date din surse disponibile publicului Articolul 14 - Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată link Amenda a vizat procedurile legate de activitatea unei companii care a prelucrat datele persoanelor vizate obținute din surse disponibile public, printre altele din Registrul electronic central și informații privind activitatea economică și a prelucrat datele în scopuri comerciale. Autoritatea a verificat nerespectarea obligației de informare în legătură cu persoanele fizice care desfășoară o activitate de afaceri - antreprenori care desfășoară în prezent o astfel de activitate sau au suspendat-o, precum și antreprenori care au desfășurat o astfel de activitate în trecut. Controlorul și-a îndeplinit obligația de informare prin furnizarea informațiilor cerute la art. 14 (1) - (3) din GDPR numai în legătură cu persoanele ale căror adrese de e-mail le-au avut la dispoziție. În cazul celorlalte persoane, controlorul nu a respectat obligația de informare - așa cum a explicat în cursul procedurii - din cauza costurilor operaționale mari. Prin urmare, a prezentat clauza de informare doar pe site-ul său web. Potrivit UODO, acest lucru nu este suficient.
57 POLAND Polisch National Personal Data Protection Office (UODO) 25/04/2019                     12,950.00 € Asociație sportivă
Articolul 6 - Legalitatea prelucrarii
link O asociație sportivă a publicat date personale referitoare la judecătorii cărora li s-a acordat licențe judiciare online. Cu toate acestea, nu numai numele lor au fost furnizate, ci și adresele exacte și numerele PESEL. Între timp, nu există o bază legală pentru ca o gamă atât de largă de date despre judecători să fie disponibile pe internet. Făcându-le publice, administratorul a reprezentat un risc potențial de utilizare neautorizată a acestora, de ex. să le însușești în scopul împrumutului sau al altor obligații. Deși asociația însăși a observat propria sa eroare, așa cum o demonstrează o notificare a unei încălcări privind protecția datelor cu caracter personal președintelui PDPA, faptul că încercările de a o elimina au fost ineficiente a determinat impunerea unei pedepse. La stabilirea cuantumului amenzii (55.750,50 PLN), președintele UODO a luat în considerare, printre altele, durata încălcării și faptul că aceasta a vizat un grup mare de persoane (585 de judecători). Acesta a concluzionat că, deși încălcarea a fost în cele din urmă înlăturată, aceasta a avut un caracter grav. Cu toate acestea, la aplicarea unei sancțiuni, președintele Oficiului pentru Concurență și Protecția Consumatorilor a luat în considerare, de asemenea, circumstanțe atenuante, cum ar fi o bună cooperare între controlor și autoritatea de supraveghere sau lipsa dovezilor că au fost cauzate daune persoanelor ale căror date au fost dezvăluite.
58 PORTUGAL Portuguese Data Protection Authority (CNPD) 17/07/2018                   400,000.00 € Spital Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 32 - Securitatea  prelucrării
link Anchetele au arătat că personalul spitalului, psihologii, dieteticienii și alți profesioniști au avut acces la datele despre pacienți prin profiluri false. Sistemul de gestionare a profilurilor părea deficitar - spitalul avea 985 de profiluri de medici înregistrate, având doar 296 de medici. Mai mult, medicii au avut acces fără restricții la toate dosarele de pacienți, indiferent de specialitatea medicului.
59 ROMANIA Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP) 27/06/2019                   130,000.00 € UNICREDIT BANK SA Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 25  -Asigurarea protecției datelor începând cu momentul conceperii și în mod    implicit
link Amenda a fost emisă ca urmare a nerealizării măsurilor tehnice și organizatorice corespunzătoare (legate de (1) determinarea mijloacelor / operațiunilor de procesare și (2) integrarea garanțiilor necesare), care a dus la dezvăluirea online a ID-urilor și adrese (tranzacții interla / externe) a 337.042 de persoane vizate către beneficiarul respectiv (între 25.05.2018 -10.12.2018).
60 ROMANIA Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP) 02/07/2019                     15,056.00 € WORLD TRADE CENTER BUCHAREST SA

Articolul 32 - Securitatea  prelucrării
link Încălcarea securității datelor a fost aceea că o listă tipărită de hârtie folosită pentru verificarea clienților la micul dejun și care conținea date cu caracter personal a 46 de clienți care au stat la hotelul WORLD TRADE CENTER BUCHAREST SA al hotelului a fost fotografiată de persoane neautorizate din afara companiei, ceea ce a dus la dezvăluirea personalului date ale unor clienți prin publicare online. Operatorul WORLD TRADE CENTER BUCHAREST SA a fost sancționat deoarece nu a luat măsuri pentru a se asigura că datele nu sunt dezvăluite părților neautorizate.
61 ROMANIA Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP) 05/07/2019                       3,000.00 € LEGAL COMPANY & TAX HUB SRL

Articolul 32 - Securitatea  prelucrării
link Amenda a fost impusă deoarece nu au fost implementate măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului de prelucrare. Acest lucru a dus la dezvăluirea neautorizată și accesul neautorizat la datele personale ale persoanelor care au efectuat tranzacții primite de site-ul web avocatoo.ro (nume, prenume, adresă poștală, e-mail, telefon, loc de muncă, detalii despre tranzacțiile efectuate), datorită accesului public documente cuprinse între 10 decembrie 2018 și 1 februarie 2019. Autoritatea Națională de Supraveghere a aplicat sancțiunea în urma unei notificări din 12 octombrie 2018 care indică faptul că un set de dosare privind detaliile tranzacțiilor primite de site-ul web avocatoo.ro care conținea numele , prenumele, corespondența de adresă, e-mailul, telefonul, locul de muncă și detaliile tranzacțiilor efectuate, au fost accesibile public prin intermediul a două link-uri.
62 ROMANIA Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP) 2019-07-XX                       2,500.00 € UTTIS INDUSTRIES SRL Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 - Legalitatea prelucrarii
Articolul 12 - Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate

Articolul 13 - Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată
link Sancțiunile au fost aplicate controlorului, deoarece acesta nu a putut dovedi că persoanele vizate au fost informate cu privire la prelucrarea datelor / imaginilor personale prin sistemul de supraveghere video, pe care îl operează din 2016. Și pentru că a făcut dezvăluirea CNP de angajații, prin afișarea Raportului pentru instruirea personalului autorizat al ISCIR pentru anul 2018 către notificatorul companiei și nu au putut dovedi legalitatea procesării CNP, prin divulgare, conform art. 6 GDPR.
63 SPAIN Spanish Data Protection Authority (aepd) Unknown                   250,000.00 € Liga Profesionistă de fotbal Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 7 - Condiții privind consimțământul
link Liga națională de fotbal (LaLiga) a fost amendată pentru că a oferit o aplicație care accesa o dată pe minut la microfonul telefoanelor mobile ale utilizatorilor pentru a detecta pub-urile care ecranizează meciuri de fotbal fără a plăti o taxă. În opinia AEPD, LaLiga nu a informat în mod adecvat utilizatorii aplicației despre această practică. Mai mult, aplicația nu a îndeplinit cerințele pentru retragerea consimțământului.
64 SPAIN Spanish Data Protection Authority (aepd) 2019-XX-XX                     60,000.00 € AVON COSMETICS
Articolul 6 - Legalitatea prelucrarii
link Cazul are la bază o cerere a unui consumator care pretindea că AVON COSMETICS a prelucrat în mod ilegal datele sale fără a-și verifica în mod corespunzător identitatea, ceea ce a dus la [adăugarea] datelor sale greșite într-un registru al datoriilor neperformante, împiedicându-l să opereze cu entitatea sa bancară. [În consecință], un terț a utilizat în mod fraudulos datele personale ale solicitantului pentru a deveni unul dintre distribuitorii angajați de corporație pentru a-și vinde produsele, astfel că escrocherul ar beneficia de primirea produselor de la marcă fără a plăti sumele datorate. AEPD a subliniat că contractul nu a fost semnat și, întrucât victima a negat autenticitatea, sarcina probei se baza pe controlorul [date]. Cu toate acestea, AEPD a considerat că jurnalul de acceptare online nu a fost suficient. Contractul [nefiind] valabil și fără existența consimțământului, AEPD a concluzionat că nu există o bază legală pentru prelucrarea datelor cu caracter personal ale solicitantului în conformitate cu articolul 6 din GDPR. AEPD a subliniat faptul că operatorul [de date] nu a pus la dispoziție diligența necesară pentru verificarea identității persoanei ", adăugând, de asemenea, că" [...] rezoluția poate fi supusă contestației în fața Curții Naționale spaniole
65 SPAIN Spanish Data Protection Authority (aepd) Unknown                     60,000.00 € Recuperator GESTIÓN DE COBROS, YO COBRO SL Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link După ce reclamantul nu a achitat în mod normal un microcredit unei agenții de credit online, cererea a fost atribuită agenției de colectare a datoriilor. Ulterior, acesta din urmă startet trimite emailuri nu numai la adresele de e-mail furnizate de reclamant, ci și la o adresă de e-mail instituțională la locul său de muncă accesibilă de către orice colaborator care nu a fost furnizat niciodată de reclamant.
66 SPAIN Spanish Data Protection Authority (aepd) Unknown-2019                     60,000.00 € Furnizor de energie Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link Contul bancar al reclamantului a fost taxat de ENDESA, al cărui beneficiar era o terță parte, care a fost condamnată în temeiul dreptului penal și a aplicat un ordin de restricție de doi ani cu privire la reclamant, domiciliul și locul de muncă. În schimb, modificarea detaliilor contractului, așa cum a solicitat-o reclamantul ENDESA, a șters datele în mod eronat și a completat datele terței. AEPD a constatat că dezvăluirea datelor reclamantului către terță parte a fost o încălcare severă a principiului confidențialității.
67 SPAIN Spanish Data Protection Authority (aepd) Unknown                     27,000.00 € VODAFONE ESPANA, S.A.U. Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link Deși reclamantul (fost client Vodafone) a solicitat Vodafone să-și șteargă datele în 2015, iar această solicitare a fost confirmată de companie, a primit peste 200 de SMS-uri de la companie începând cu 2018. În urma declarației Vodafone, acest lucru s-a întâmplat deoarece numărul de telefon mobil al reclamantului a fost utilizat în mod eronat în scopuri de testare și a apărut accidental în diverse fișiere de clienți aparținând altor clienți decât reclamantul. Deoarece compania a acceptat atât plata, cât și admiterea responsabilității, amenda a fost redusă în conformitate cu dreptul administrativ spaniol la 27K de EUR.
68 SPAIN Spanish Data Protection Authority (aepd) Unknown-2018                       5,000.00 € VODAFONE ESPANA, S.A.U. Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal link Agenția spaniolă de telecomunicații și informații (SETSI) a decis că Vodafone trebuie să ramburseze un client pentru costurile pentru care a fost perceput greșit. Cu toate acestea, Vodafone a raportat datele personale ale acestui respectiv client la un registru de solvabilitate (BADEXCUG). AEPD a constatat că acest comportament încalca principiul exactității.
69 SWEDEN Data Protection Authority of Sweden 20/08/2019                     18,630.00 € Scoală Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

Articolul 9 - Prelucrarea de categorii speciale de date cu caracter personal

Articolul 35 - Evaluarea impactului asupra protecției datelor

Articolul 36 - Consultarea prealabilă a autoritatii
link O școală din Skellefteå a făcut un proces pentru a utiliza tehnologia recunoașterii faciale. Amenda a fost impusă împotriva școlii care a folosit tehnologia de recunoaștere facială pentru a monitoriza prezența elevilor. Chiar dacă, în general, prelucrarea datelor în scopul monitorizării prezenței este posibilă, în timp ce recunoașterea facială este disproporționată față de obiectivul de monitorizare a prezenței. Autoritatea de supraveghere este de părere că datele biometrice ale studenților au fost prelucrate, motiv pentru care art. 9 GDPR este aplicabil. În plus, autoritatea a susținut că consimțământul nu poate fi aplicat, deoarece elevii și tutorii lor nu pot decide în mod liber dacă aceștia / copiii lor doresc să fie monitorizați în scop de participare. La examinarea dacă consiliul școlar se poate baza pe oricare dintre scutirile enumerate la art. 9 (2), autoritatea de supraveghere a constatat că nu este cazul. De asemenea, autoritatea de supraveghere a constatat că a existat un caz de activitate de procesare cu riscuri mari, deoarece tehnologia nouă a fost utilizată pentru a prelucra date cu caracter personal sensibile referitoare la copiii aflați într-o poziție de dependență față de consiliul de liceu și datorită supravegherii camerei la elevi. mediu de zi cu zi. În opinia autorității, consiliul școlar nu a putut demonstra conformitatea cu art. 35 GDPR și că consiliul școlar a fost obligat să consulte autoritatea în conformitate cu art. 36 (1) GDPR.
70 THE NETHERLANDS Dutch Supervisory Authority for Data Protection (AP) 18/06/2019                   460,000.00 € Spitalul Haga Articolul 32 - Securitatea  prelucrării link Spitalul Haga nu are o securitate internă corespunzătoare a înregistrărilor pacienților în loc. Aceasta este concluzia unei anchete a Autorității olandeze pentru protecția datelor. Această anchetă a urmat atunci când s-a arătat că zeci de personal al spitalului au verificat inutil fișele medicale ale unei cunoscute persoane olandeze. Pentru a forța spitalul să îmbunătățească securitatea înregistrărilor pacientului, AP impune simultan un ordin supus unei pedepse. Dacă Spitalul Haga nu a îmbunătățit securitatea înainte de 2 octombrie 2019, spitalul trebuie să plătească 100.000 EUR la fiecare două săptămâni, cu maximum 300.000 EUR. Între timp, Spitalul Haga a decis să ia măsuri.
71 UNITED KINGDOM Information Commissioner (ICO) 08/07/2019            204,600,000.00 € British Airways Articolul 32 - Securitatea  prelucrării link Vă rugăm să rețineți: Această amendă nu este finală, dar va fi decisă atunci când compania și alte autorități de supraveghere implicate din alte state membre își vor prezenta reprezentările. ICO a emis un aviz cu privire la intenția sa de a amenda British Airways 183,39 mil. Lire sterline pentru încălcările GDPR care probabil implică o încălcare a art. 32 GDPR. Amenda propusă se referă la un incident cibernetic notificat ICO de British Airways în septembrie 2018. Acest incident a implicat în parte traficul utilizatorilor de pe site-ul British Airways fiind redirecționat către un site fraudulos. Prin acest site fals, detaliile clienților au fost recoltate de atacatori. Datele cu caracter personal de aproximativ 500.000 de clienți au fost compromise în acest incident, care se crede că a început în iunie 2018. Ancheta ICO a constatat că o varietate de informații a fost compromisă prin aranjamente de securitate slabe la companie, inclusiv logare, card de plată și detalii despre rezervarea călătoriei, precum și informații despre nume și adresă.
72 UNITED KINGDOM Information Commissioner (ICO) 09/07/2019            110,390,200.00 € Marriott International, Inc Articolul 32 - Securitatea  prelucrării link Vă rugăm să rețineți: Această amendă nu este finală, dar va fi decisă atunci când compania și alte autorități de supraveghere implicate din alte state membre își vor prezenta reprezentările. ICO a emis un aviz cu privire la intenția sa de a amenda Marriott International Inc, care se referă la un incident cibernetic care a fost notificat ICO de Marriott în noiembrie 2018. În cazul încălcărilor GDPR este posibilă o încălcare a art. 32 GDPR. O varietate de date personale conținute în aproximativ 339 de milioane de înregistrări de invitați la nivel mondial au fost expuse de incident, dintre care aproximativ 30 de milioane legate de rezidenți din 31 de țări din Spațiul Economic European (SEE). Șapte milioane de persoane au legătură cu rezidenții din Marea Britanie. Se crede că vulnerabilitatea a început atunci când sistemele grupului de hoteluri Starwood au fost compromise în 2014. Marriott a achiziționat ulterior Starwood în 2016, dar expunerea informațiilor pentru clienți nu a fost descoperită până în 2018. Ancheta ICO a constatat că Marriott nu a reușit să întreprindă suficientă diligență când a cumpărat Starwood și ar fi trebuit să facă și mai mult pentru a-și asigura sistemele.

 

Sursa: http://www.enforcementtracker.com/#

 

NEWSLETTER

Înscrieți-vă la newsletter-ul nostru pentru a fi la curent cu cele mai recente știri și evenimente.

Abonare

Contact

    SC INTERCLOUD SRL

Timisoara, Jud. Timis, România

Str. Martir Ioan Stanciu nr. 9b

Tel. 0723 189 063
Tel. 0722 206 855
e-mail: contact@protectia-datelor.ro

 
    Protectia datelor