Pokuty a oznámení podle GDPR - GDPR fines and notices
Obecné nařízení o ochraně údajů (GDPR) je Evropská unie nařízení , která určuje standardy pro ochranu údajů a elektronické soukromí v Evropském hospodářském prostoru , jakož i práva evropských občanů kontrolovat zpracování a distribuci osobně-identifikační údaje .
Porušovatelům GDPR může být uložena pokuta až do výše 20 milionů EUR nebo až do výše 4% ročního celosvětového obratu za předchozí rozpočtový rok, podle toho, která částka je vyšší. Následuje seznam pokut a upozornění vydaných podle GDPR včetně odůvodnění.
| datum | Organizace | Množství | Vystaveno | Důvod (y) |
|---|---|---|---|---|
| 2018-10 | Nemocnice do Barreiro | 400 000 EUR | Portugalsko (CNPD) | „... na základě zásad přístupu do databází, které technikům a lékařům umožňovaly nahlížet do klinických souborů pacientů bez řádného povolení.“ |
| 21. 11. 2018 | Knuddels.de (německá sociální síť) | 20 000 EUR | Německo ( LfDI ) | „... neoprávněný přístup k osobním údajům a jejich zpřístupnění přibližně 330 000 uživatelům, včetně hesel a e -mailových adres.“ |
| 21. 1. 2019 | Google LLC | 50 000 000 € | Francie ( CNIL ) | Nedostatečná transparentnost, kontrola a souhlas se zpracováním osobních údajů pro účely behaviorální reklamy . |
| 2019-03-07 | Nejmenovaná banka | 1 560 EUR | Maďarsko ( NAIH ) | Nezmazání a oprava údajů na žádost subjektu údajů.
|
| 2019-03-07 | Nejmenovaný vymahač dluhů | 1 560 EUR | Maďarsko ( NAIH ) |
Porušení zásad transparentnosti a minimalizace údajů. |
| 15. 3. 2019 | Bisnode (obchodní, úvěrové a tržní informace) | 220 000 EUR | Polsko ( UODO ) |
Skryté škrábání osobních údajů. |
| 16. března 2019 | Dolnoslezský fotbalový svaz | 13 000 EUR | Polsko ( UODO ) |
Výpis osobních údajů 585 rozhodčích na jeho webových stránkách. |
| 2019-04-04 | Rousseau (platforma participativní demokracie) | 50 000 EUR | Itálie ( GPDP ) | Neschopnost chránit osobní údaje uživatelů. |
| 2019-05-08 | Obec Bergen | 170 000 EUR | Norsko ( Datatilsynet ) |
Soubor s přihlašovacími údaji pro 35 000 studentů a zaměstnanců nalezených ve veřejném úložišti. |
| 16. května 2019 | MisterTango UAB (platební služby) | 61 500 EUR | Litva ( ADA ) | Zpracování více osobních údajů, než je nutné k provedení platby. |
| 28. 05. 2019 | Nejmenovaný belgický starosta | 2 000 EUR | Belgie ( GBA/APD ) | Zneužití osobních údajů shromážděných pro místní administrativní účely pro účely volební kampaně. |
| 2019-06 | La Liga | 250 000 EUR | Španělsko ( AEPD ) | Špatně zveřejněný účel žádosti o povolení GPS a mikrofonu v mobilní aplikaci fotbalové ligy . Když byla aplikace otevřená, přenášela polohu uživatele, pokud detekovala akustický otisk prstu vložený do herních televizních přenosů. To bylo použito k určení umístění míst, která mohou skrývat hry před neoprávněnými kanály . |
| 11. 06. 2019 | IDDesign A/S (nábytek) | 1 500 000 DKK | Dánsko ( Datatilsynet ) | Nesmazání osobních údajů ze staršího systému: zpracování osobních údajů po delší dobu, než je nutné. |
| 18. června 2019 | Nejmenovaný policista | 1 400 EUR | Německo ( LfDI ) | Autonomní zpracování osobních údajů pro jiné než zákonné účely. |
| 18. června 2019 | Sergic (realitní služby) | 400 000 EUR | Francie ( CNIL ) |
Neprovedení vhodných bezpečnostních opatření; neschopnost definovat vhodné doby uchovávání osobních údajů neúspěšných uchazečů o pronájem. |
| 18. června 2019 | Uniontrad Company (překladatelské služby) | 20 000 EUR | Francie ( CNIL ) |
Nadměrné video sledování zaměstnanců; jediné, sdílené heslo pro systém zpráv; ignorování dřívější objednávky CNIL za účelem změny postupů. |
| 24. 06. 2019 | EE (telekomunikace) | 100 000 liber | Velká Británie ( ICO ) | Odesílání více než 2,5 milionu zpráv přímého marketingu svým zákazníkům bez souhlasu. |
| 27. 06. 2019 | UniCredit Bank Rumunsko | 130 000 EUR | Rumunsko ( ANSPDCP ) | Neprovedení vhodných technických a organizačních opatření |
| 2019-07-08 | British Airways | 183 000 000 GBP | Velká Británie ( ICO ) | Používání špatných bezpečnostních opatření, které vyústilo v útok v roce 2018 na webový skimming, který zasáhl 500 000 spotřebitelů. Později byl snížen na 20 milionů liber |
| 30. 10. 2020 | Marriott International | 18 400 000 liber | Velká Británie ( ICO ) | Neschopnost zajistit zabezpečení osobních údajů milionů zákazníků |
| 2019-07-03 | Cathay Pacific | 500 000 liber | Velká Británie ( ICO ) | Neschopnost chránit zabezpečení osobních údajů svých zákazníků. V období od října 2014 do května 2018 postrádaly počítačové systémy společnosti Cathay Pacific vhodná bezpečnostní opatření, která vedla k odhalení osobních údajů zákazníků |
| 16. července 2019 | HagaZiekenhuis | 460 000 EUR | Nizozemsko ( AP ) | Nedostatečné zabezpečení lékařské dokumentace |
| 25. července 2019 | Aktivní ujištění | 180 000 EUR | Francie ( CNIL ) |
Neprovedení vhodných bezpečnostních opatření. |
| 25. července 2019 | PricewaterhouseCoopers | 150 000 EUR | Řecko ( HDPA ) |
Nezákonné zpracování údajů o zaměstnancích. |
| 21. 08. 2019 | Skellefteå High School Board | 20 000 EUR | Švédsko ( SDPA ) |
Používání technologie rozpoznávání obličejů ke sledování docházky studentů do školy na neplatném právním základě; nezákonné zpracování citlivých biometrických údajů a neprovedení adekvátního posouzení dopadů, včetně hledání předchozí konzultace se švédským úřadem pro ochranu údajů. |
| 2019-??-?? | Nejmenovaná společnost | 3 135 € | Maďarsko ( NAIH ) |
Porušení přístupových práv subjektu údajů. |
| 12. 08. 2019 | Nejmenovaná lékařská společnost | 55 000 EUR | Rakousko ( DSB ) |
Nevymenování DPO, nezveřejnění jeho kontaktních údajů nebo jejich nahlášení dozorčímu orgánu, povinný souhlas subjektů údajů (článek 7), neposkytnutí informací (článek 13, 14), žádné DPIA navzdory nakládání s citlivými údaji (článek 35 ). |
| 12. 08. 2019 | Nejmenovaný online prodejce | 7 000 EUR | Lotyšsko ( DSI ) |
Neshoda s právy subjektů údajů na výmaz a nespolupráce s dozorovým úřadem. |
| 19. 09. 2019 | Nejmenovaný prodejce | 10 000 EUR | Belgie ( GBA/APD ) | Poptávka po elektronickém občanském průkazu k vytvoření věrnostní karty zákazníka. |
| 2019-09-20 | Online prodejce Morele.net | 645 000 EUR | Polsko ( UODO ) |
Nedostatečná ochrana osobních údajů, což vede k odhalení údajů asi 2,2 milionu lidí |
| 17. 10. 2019 | Vueling Airlines | 30 000 EUR | Španělsko ( AEPD ) | Nezískání platného souhlasu se zpracováním souborů cookie zákazníků podle oznámení o ochraně osobních údajů. |
| 09. 12. 2019 | 1 a 1 Ionos | 9 550 000 EUR | Německo ( BfDI ) |
Nedostatečná ochrana osobních údajů, nezavedení „dostatečných technických a organizačních opatření“ k ochraně údajů o zákaznících v jeho call centrech. Porušení článku 32 GDPR |
| 17. 12. 2019 | Výdejní stojany u dveří | 275 000 liber | Velká Británie ( ICO ) | „kavalírský přístup k ochraně údajů“, který zanechal 500 000 záznamů pacientů na nezabezpečeném místě |
| 15. 1. 2020 | TIM SpA | 27 800 000 EUR | Itálie ( GPDP ) | Nezákonné zpracování pro marketingové účely |
| 10.03.2020 | Google LLC | 75 000 000 SEK | Švédsko ( SDPA ) | Porušení práva být zapomenut |
| 06.06.2020 | BKR | 840 000 EUR | Nizozemsko ( AP ) | Neposkytnutí bezplatného přístupu k osobním údajům, neposkytnutí snadného přístupu k údajům a nepřiměřené omezení počtu žádostí na jednotlivce |
| 14. července 2020 | Google LLC (Google Belgium) | 600 000 EUR | Belgie ( GBA/APD ) |
Nerespektování práva občana být zapomenut. |
| 1. ledna 2020 | H&M | 35 300 000 EUR | Německo (HmbBfDI) | Nelegální sledování několika stovek zaměstnanců |
| 10.10.2020 | Amazon Europe Core Sarl | 35 000 000 € | Francie ( CNIL ) | Ukládání cookies bez získání souhlasu a nedostatku informací poskytovaných uživatelům |
| 10.10.2020 | Google LLC | 60 000 000 € | Ukládání cookies bez získání souhlasu, nedostatek informací poskytovaných uživatelům a vadný „opoziční“ mechanismus | |
| 10.10.2020 | Google Ireland Limited | 40 000 000 € | ||
| 2021-01-26 | Grindr LLC | 100 milionů NOK | Norsko ( Datatilsynet ) | Sdílení údajů zvláštní kategorie bez platného souhlasu |
| 2021-03-10 | Komunikace Filigrana | 8 000 EUR | Španělsko ( AEPD ) | Porušení čl. 6 odst. 1 písm. A), čl. 6 odst. 1 písm. F), 13 a 14 GDPR shromažďováním a opětovným používáním údajů od andaluského odboru školství bez legitimního důvodu a neplněním jejich informačních povinností. |
| 2021-03-17 | Miljø- og Kvalitetsledelse AS | 3 500 EUR (35 000 NOK) | Norsko ( Datatilsynet ) | Porušení čl.6 odst.1 a čl.5 odst. |
| 2021-03-18 | Air Europa Líneas Aéreas SA | 600 000 EUR | Španělsko ( AEPD ) | porušení čl.32 odst. |
| 2021-03-22 | FURNISHYOURSPACE SL | 3 000 EUR | Španělsko ( AEPD ) | Porušení španělského zákona upravujícího soubory cookie po zahájení vyšetřování na základě stížnosti postoupené berlínským úřadem pro ochranu osobních údajů za poskytnutí nejasných informací a neposkytnutí možnosti odmítnutí souborů cookie. |
| 2021-03-24 | CP&A BV | 15 000 EUR | Nizozemsko (AP) | Porušení čl.4 odst. |
| 2021-04-07 | Orange Espagne, SAU | 150 000 EUR (sníženo na 90 000 EUR) | Španělsko ( AEPD ) | 6 odst.1 písm. A) a 7 GDPR, jakož i čl.21 odst. |
| 2021-04-14 | Fyzická osoba (pronajímatel) | 3 000 EUR | Španělsko ( AEPD ) | Porušení čl. 5 odst. 1 písm. C) a článku 13 GDPR ve vztahu k systému video dohledu v bytovém domě. |
| 2021-04-15 | Vodafone Espana, SAU | 150 000 EUR (sníženo na 90 000 EUR) | Španělsko ( AEPD ) | Porušení čl. 6 odst. 1 písm. A) GDPR zpracováním osobních údajů bez souhlasu nebo jakéhokoli jiného právního základu. Při ukládání pokuty AEPD zohlednil:
AEPD nakonec uložila společnosti Vodafone pokutu 150 000 EUR, která byla snížena na 90 000 EUR z důvodu převzetí odpovědnosti a předčasné platby. |
| 2021-04-22 | Cyfrowy Polsat Spółka Akcyjna | 250 000 EUR | Polsko (UODO) | Porušení čl.24 odst.1 a čl.32 odst. |
| 2021-05-04 | EDP Comercializadora, SAU | 1 500 000 EUR | Španělsko ( AEPD ) | Porušení článků 6, 13, 22 a 25 GDPR neposkytnutím dostatečných informací subjektům údajů a neprovedením odpovídajících opatření k zamezení nebo zmírnění rizik spojených se zpracováním údajů. |
| 2021-05-04 | EDP ENERGÍA, SAU | 1 500 000 EUR | Španělsko ( AEPD ) | Porušení článků 6, 13, 22 a 25 GDPR neposkytnutím dostatečných informací subjektům údajů a neprovedením odpovídajících opatření k zamezení nebo zmírnění rizik spojených se zpracováním údajů. |
| 2021-05-06 | Sdružení vlastníků v Iasi | 500 EUR (2463,30 RON) | Rumunsko ( ANSPDCP ) | Porušení čl.58 odst.1 písm. A), čl.58 odst. během vyšetřování tím, že neposkytl požadované informace |
| 2021-05-11 | PVV ( Overijssel ) | 7 500 EUR | Nizozemsko ( AP ) | Porušení čl. 4 odst. 12, čl. 9 odst. 1 nařízení GDPR a čl. E -mailové adresy představovaly data zvláštní kategorie odhalující názory politických stran. |
| 2021-06-16 | Amazon Europe Core Sarl | 746 000 000 EUR | Lucembursko ( CNPD ) | Dosud největší pokuta za porušení GDPR. |