Кратка статистика:
| 1. Най-честите нарушени разпоредби | чл. 5 (принципите на Регламента) и
чл. 32 (липса на подходящи мерки) |
| 2. Общ брой санкции (за които АЗЛД разполага с информация) | 179 |
| 3. Най-висока по размер санкция |
50 000 000 Евро * – Френски надзорен орган |
| 4. Общ размер на санкциите | 115 360 952 Евро ** |
* или 204 600 000 Евро – санкция, която Английският надзорен орган обяви, че възнамерява да наложи на British Airways.
** или 430 351 152 Евро (с обявените намерения за санкция на Английския надзорен орган).
За какво и зaщо санкционират надзорните органи във връзка с прилагането на GDPR? Какви грешки и нарушения допускат администраторите? Вижте информация в долната таблица.
В таблицата се съдържа обобщение само на санкциите, за които АЗЛД разполага с информация.
Ако имате допълнителна информация, можете да ни пишете на: bulgaria.dpa@mydata.bg.
Информацията е актуална към 11.11.2020 г.
| Държава | Aдминистратор/ Обработващ | Дата | Размер на санкцията (в евро) | Нарушени разпоредби | Резюме | Източник с информация |
|---|---|---|---|---|---|---|
| Австрия | Банка | 2020, май | 100 | Чл. 5 и чл. 6 от Регламента | Неспазване на принципите и липса на правно основание за обработване на лични данни. Санкцията е наложена на банка, защото неин служител е направил копие на документ за самоличност на банков клиент, който е искал да обмени 100 евро в чуждестранна валута. Банката е оправдала действието си с изискванията на законодателството срещу изпиране на пари. Такива мерки (като посочената) се отнасят обаче само за суми от 1 000 EUR и повече. | Прочетете повече |
| Австрия | Австрийската поща | 2019, октомври | 18 000 000 | Чл. 5,пар. 1, б. "а", чл. 6 от Регламента | Австрийската поща е създала профили на повече от три милиона австрийци, които са включвали информация за техните домашни адреси, лични предпочитания, навици и възможен партиен афинитет и които впоследствие са били препродадени - на политически партии и компании, например. (Вече има издадено и решение на гражданския съд за искове за обезщетение на стойност 800 евро). | Прочетете повече |
| Австрия | Фирма от медицинския сектор | 2019, август | 50 000 | Чл. 13, чл. 37 от Регламента | неспазване на задълженията за предоставяне на информация и за неназначаване на длъжностно лице по защита на данните. | Прочетете повече |
| Австрия | ФЛ (треньор по футбол) | 2019, юли | 11 000 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни. Глобата е наложена на футболен треньор, който в продължение на години тайно е видеозаписвал със смартфон жени играчи, докато те са били голи в душ кабината. | Прочетете повече |
| Австрия | ФЛ | 2018, декември | 2 200 | Чл. 5, пар. 1, б. "а", б. "в", чл. 6, пар. 1, чл. 13 от Регламента | Липса на правно основание за обработване на лични данни. Глобата е наложена на физическо лице, което е използвало видеонаблюдение в дома си. Видеонаблюдението е обхващало площи, предназначени за общо ползване от жителите на голям жилищен комплекс, а именно: паркинги, тротоари, двор, градина и зони за достъп до жилищния комплекс; в допълнение, видеонаблюдението е обхващало градински площи на съседен имот. Следователно предметът на видеонаблюдението не се е ограничавал до зони, които са под изключителната власт и контрола на администратора. Ето защо видеонаблюдението не е било пропорционално на целта и не се е ограничавало до необходимото. Видеонаблюдението е записвало коридора на къщата и жителите, които влизат и излизат от околните апартаменти, като по този начин се е намесвало в техните изключително лични сфери на живот, без съгласието им техните изображения да бъдат записвани. Извършването на видеонаблюдение не е било указано правилно. | Прочетете повече |
| Австрия | Собственик на личен автомобил | 2018, септември | 300 | Чл. 5, пар. 1, б. "а", чл. 6 от Регламента | Липса на правно основание за обработване на лични данни. *Dashcam е била използвана незаконно. *видеокамера, която обикновено се монтира на предното стъкло на превозно средство и се използва за непрекъснато записване на гледката към пътя, движението и т.н. | Прочетете повече |
| Австрия | Търговец | 2018, септември | 4 800 | Чл. 13 от Регламента | Видеонаблюдението не е било достатъчно ясно посочвано и е записвана голяма част от тротоара на сградата. Наблюдението на публичното пространство по този начин, т.е. в голям мащаб, не е разрешено. | Прочетете повече |
| Белгия | Бивш кмет | 2020, септември | 5 000 | Чл. 5, чл. 6 от Регламента | Глобата е била наложена за изпращане на предизборна реклама на граждани без достатъчно правно основание за това. | Прочетете повече |
| Белгия | Обществено политическо сдружение | 2020, юли | 3 000 | Чл. 5, чл. 6, чл. 14 от Регламента | Местно политическо сдружение e изпратило предизборни реклами на жителите на общината за местните избори през 2018 г. За тази цел сдружението е използвало избирателния списък от 2012 г. и го е сравнило с този от 2018 г., без достатъчно правно основание и без предоставяне на подходяща информация в съответствие с чл. 14 GDPR. | Прочетете повече |
| Белгия | Google Belgium SA | 2020, юли | 600 000 | Чл. 5, чл. 6, чл. 12 и чл. 17, пар. 1, б. а) от Регламента | Белгийският орган за защита на данните е глобил Google Belgium SA, дъщерно дружество на Google, с 600 000 евро. Причините за санкцията са били отхвърляне на искане от субект на данни за премахване на препратки към стари статии, които субектът на данни е смятал за увреждащи репутацията му, както и липсата на прозрачност във формуляра на Google, свързан с премахване на препратки. Белгийският орган за защита на данните е установил, че статиите, свързани с неоснователни жалби за тормоз, могат да имат сериозни последици за субектите на данни и поради това физическите лица имат право да искат изтриване/премахване на препратки към такива статии. Това се отнася и за лицата, които заемат политически длъжности, въпреки че тези длъжности обикновено са свързани с по-малка степен на защита поради публичния им статут и следователно статиите, свързани с политически лица, могат да се съхраняват за по-дълъг период от време. Следователно отхвърлянето на искането от Google е в нарушение на член 17 от Регламента (санкция за това нарушение: 500 000 евро). Освен това са били наложени още 100 000 евро за нарушаване на принципа на прозрачност, тъй като отхвърлянето на искането за заличаване от Google не е било достатъчно обосновано. | Прочетете повече |
| Белгия | Оператор на CCTV-видеонаблюдение в жилищна сграда | 2020, юли | 5 000 | Чл. 6 и чл. 7 от Регламента | Операторът на видеокамерите в жилищен имот е инсталирал там камери за наблюдение на общата площ между два жилищни блока. Администраторът на данни е твърдял, че собствениците са дали съгласието си за това, като са подписали нотариално заверените договори (нотариланите актове) за покупка. Надзорният орган обаче е отрекъл това след проверка на договорите. | Прочетете повече |
| Белгия | Неизвестен | 2020, юни | 10 000 | Чл. 5, чл. 6 и чл. 15 от Регламента | Компания е изпратила имейл до субект на данни без неговото съгласие. Впоследствие същият субект на данни е поискал своевременна информация за вписванията в базата данни на компанията за него, което му искане е останало без отговор. | Прочетете повече |
| Белгия | Неизвестен | 2020, юни | 1 000 | Чл. 7, чл. 21 и чл. 31 от Регламента | Субектът на данни многократно е получавал имейли с рекламно съдържание от компания, въпреки че е бил възразил срещу обработването на личните му данни и е поискал изтриването им. Освен това компанията не е отговорила на запитванията на надзорния орган във връзка със случая. | Прочетете повече |
| Белгия | Община | 2020, юни | 5 000 | Чл. 5 и чл. 6 от Регламента | В контекста на общинските избори през 2018 г. администраторът на данни е изпратил предизборни реклами на група служители на същата общинска администрация, използвайки незаконно списък с данни за контакт, до който той няма достъп. | Прочетете повече |
| Белгия | Организация с нестопанска цел | 2020, май | 1 000 | Чл. 6 и чл. 21 от Регламента | Санкцията е наложена за изпращане на съобщения за директен маркетинг, въпреки факта, че субектите на данни са упражнили правото си на изтриване и на възражение. Организацията твърди, че е използвала легитимен интерес като правно основание, а не изрично съгласие на субектите на данни. Надзорният орган обаче отрича съществуването на преимущество на легитимните интереси на администратора. | Прочетете повече |
| Белгия | Доставчик на социална медия | 2020, май | 50 000 | Чл. 6 от Регламента | Компанията е изпратила покани до контакти, качени от нейните потребители, без тяхното съгласие или без да е налице друго приложимо правно основание. | Прочетете повече |
| Белгия | Телекомуникационен оператор | 2020, април | 50 000 | Чл. 31, чл. 58 и чл. 37 от Регламента | Компанията е уведомила надзорния орган за нарушение на сигурността на обработваните от нея лични данни. В резултат, надзорният орган е констатирал, че длъжностното лице по защита на данните на компанията не е било въвлечено в достатъчна степен в дискусиите, свързани с нарушения на сигурността на данните и не е било достатъчно независимо, доколкото е действало и като ръководител на Отдела по одит, риск и съответствие в компанията. Налице е бил конфликт на интереси спрямо ДЛЗД. | Прочетете повече |
| Белгия | Организация за предоставяне на медицински грижи | 2019, декември | 2 000 | Чл. 12, чл. 15, чл. 17 от Регламента | Организацията не е предприела действия по исканията на субекта на данни да получи достъп до данните си и данните му да бъдат изтрити. | Прочетете повече |
| Белгия | Уебсайт, предоставящ правна информация | 2019, декември | 15 000 | Чл. 6, чл. 12, чл. 13 от Регламента | Неизпълнение на задължението за предоставяне на информация. Оператор на уебсайт за правни новини е разполагал с декларация/уведомление за поверителност само на английски език, въпреки че сайтът е имал и нидерландска и френско говоряща аудитория. Освен това, първата версия на декларацията за поверителност не е била лесно достъпна и не е посочвала правното основание за обработването на данните съгласно GDPR. Отделно, с позоваване на решението на Съда на ЕС по случая с "Planet49", е било определено, че е необходимо ефективно съгласие за използването на Google Analytics. | Прочетете повече |
| Белгия | Общински алдерман | 2019, ноември | 5 000 | Чл. 6 от Регламента | Санкция за изпращане на предизборни имейли без правно основание за това. Използваните имейл адреси не са били събрани за тази цел. | Прочетете повече |
| Белгия | Кмет | 2019, ноември | 5 000 | Чл. 6 от Регламента | Санкция за изпращане на предизборни имейли без правно основание за това. Използваните имейл адреси не са били събрани за тази цел. | |
| Белгия | Търговец | 2019, ноември | 10 000 | Чл. 5, пар. 1, б. "в" от Регламента | Несъответствие с принципите на Регламента. Белгийският надзорен орган е наложил имуществена санкция/глоба от 10 000 евро на търговец, който е искал да използва електронна лична карта (eID), за да създаде клиентска карта. Проверката на надзорния орган е разкрила, че търговецът е изисквал достъп до лични данни, намиращи се в eID, включително снимката и баркода, които са свързани с идентификационния номер на субекта на данните. | Прочетете повече |
| Белгия | Кмет | 2019, май | 2 000 | Чл. 5, пар. 1, б. "б", чл. 6 от Регламента | Липса на правно основание за обработване на лични данни. Административната глоба е наложена за злоупотреба с лични данни от кмет за целите на кампанията. | Прочетете повече |
| България | Политическа партия | 2020, април | 2 000 | чл. 6 от Регламента | виж детайли от информационния бюлетин на КЗЛД в линка | Прочетете повече |
| България | ИВСС | 2020, януари | 2 000 | чл. 5, ал. 1, буква „в“ от Регламента | виж детайли от м. януари 2020 г. в линка | Прочетете повече |
| България | търговско дружество | 2019, ноември | 5 000 | неспазване на разпореждане по чл. 58, пар. 2, б. "г" от Регламента, даднео от КЗЛД | виж детайли в решението на КЗЛД - стр. 29 - 32 от бюлетина | |
| България | ФЛ | 2019, октомври | 500 | неизпълнени на указания на КЗЛД, а именно непредоставяне на достъп до информация, от която се нуждае КЗЛД | виж детайли в решението на КЗЛД | Прочетете повече |
| България | МВР/министърът | 2019, октомври | 5 000 | нарушение на чл. 4, ал. 1, т. 1-7 от ЗЗЛД (отм.), респ. на чл. 6 § 1 от Регламента и в противоречие с принципите, залегнали в чл. 2, ал. 2 от ЗЗЛД (отм.), респ. в чл. 5, § 1 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | НАП | 2019, септември | 27 500 | нарушение на чл. 4, ал. 1 от ЗЗЛД (отменен) и чл. 6, § 1 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Търговец, по казуса с тел. оператор | 2019, септември | 6 000 | нарушение на чл. 4, ал. 1 от ЗЗЛД (отменен), респективно чл. 6, § 1, от Регламента | 5 000 за търговския представител на оператора и 1 000 за телекомуникационния оператор (виж детайли в решението на КЗЛД) | Прочетете повече |
| България | Търговски партньор на телекомуникационен оператор, собственик на магазин | 2019, септември | 11 500 | чл. 4, ал. 1 от ЗЗЛД (отменен), респективно чл. 6, § 1, от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | ЧСИ | 2019, септември | 1 750 | нарушение на чл. 12, ал. 4 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Работодател - достъп до данни на бивш служител | 2019, септември | 500 | нарушение на чл. 12, параграф 3 и чл. 15, параграф 1 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | НАП | 2019, август | 2 550 000 | нарушение на чл. 32 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Банка | 2019, август | 500 000 | нарушение на чл. 32 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Предходни работодатели, споделяне | 2019, юли | 17 500 | чл. 5, пар. 1 от Регламента, чл. 5, пар. 1, б. „б” от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | НОИ | 2019, юли | 2 500 | чл. 25, ал. 1 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Две финансови институции | 2019, юли | 10 000 | чл. 5, ал. 1, буква „а“ и „б“ от Регламента E18 , чл. 6, ал. 1 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Сдружение БОЕЦ | 2019, юни | 750 | нарушение на чл. 6, § 1 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Медицински центрове | 2019, април | 500 | на основание чл. 58, § 2, б. ”и” вр. чл. 83, § 5, б. ”а” от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | администратор (работодател, уведомление към НАП) | 2019, март | 5 000 | нарушение на чл. 6, параграф 1 от , (обработени данни от администратора без знанието и съгласието на субекта за целите на регистрирането в НАП на трудов договор) | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Здравно заведение | 2019, февруари | 500 | нарушение на чл. 12 във връзка с чл. 15, пар. 1, б. „а“, „б“, „в“ и „ж“ и пар. 3 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Телекомуникационен оператор | 2019, февруари | 26 500 | нарушение на чл. 6, § 1 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | Учебно заведение | 2019, януари | 500 | нарушение на чл. 6, § 1 от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| България | финансовата институция | 2018, декември | 500 | нарушение на чл. 5, параграф 1, буква „б” от Регламента | виж детайли в решението на КЗЛД | Прочетете повече |
| Великобритания | Doorstep Dispensaree Ltd. (фармация) | 2019, декември | 320 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност. Компанията е съхранявала около 500 000 документа, съдържащи имена, адреси, дати на раждане, медицинска информация и предписания в незапечатани контейнери в задната част на сградата и не е успяла да защити тези документи, в резултат на което те са били повредени от вода. | Прочетете повече |
| Великобритания | Marriott International, Inc | 2019, юли | 110 390 200 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност. Моля, обърнете внимание: Тази санкция не е окончателна. ICO публикува известие за намерението си да глоби Marriott International Inc, което се отнася до кибер инцидент, за който беше съобщено на ICO от Marriott през ноември 2018 г. Нарушенията на GDPR вероятно включват нарушение на чл. 32 GDPR. Разнообразни лични данни, съдържащи се в приблизително 339 милиона записи на гости в световен мащаб, бяха разкрити при инцидента, от които около 30 милиона са свързани с жители на 31 страни от Европейското икономическо пространство (ЕИП). | Прочетете повече |
| Великобритания | British Airways | 2019, юли | 204 600 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност . Моля, обърнете внимание: тази санкция не е окончателна. ICO публикува известие за намерението си да глоби British Airways с 183,39 милиона британски лири за нарушения на GDPR, които вероятно включват нарушение на чл. 32 GDPR. Предлаганата глоба се отнася до кибер инцидент, съобщен на ICO от British Airways през септември 2018 г. Този инцидент отчасти включваше трафик на потребители към уебсайта на British Airways, пренасочен към измамен сайт. Чрез този фалшив сайт хакерите събраха данни за клиентите. | Прочетете повече |
| Германия | Kolibri Image Regina und Dirk Maass GbR | 2018, декември | 5 000 | Чл. 28, пар. 3 от Регламента | Липса на споразумение с обработващ. Възможно е тази глоба да е оттеглена! | |
| Германия | Knuddels.de | 2018, ноември | 20 000 | Чл. 32 от Регламента | След хакерска атака през юли лични данни на около 330 000 потребители, включително пароли и имейл адреси, са били неправомерно разкрити. | Прочетете повече |
| Германия | Телеком доставчик (1&1 Telecom GmbH) | 2019, декември | 9 550 000 | Чл. 32 от Регламента | Администраторът е компания, предлагаща далекосъобщителни услуги. Обаждащият се би могъл да получи обширна информация за личните данни на клиента от отдела за обслужване на клиенти на компанията, просто като въведе името на клиента и датата на раждане. В тази процедура за удостоверяване, BfDI изтъква нарушение на член 32 DSGVO, според който компанията е длъжна да предприеме подходящи технически и организационни мерки за системна защита на обработката на лични данни. Поради сътрудничеството на компанията с органа за защита на данните, наложената санкция е била в долния край на скалата. | Прочетете повече |
| Германия | Rapidata GmbH | 2019, декември | 10 000 | Чл. 37 от Регламента | компанията (интернет доставчик) не е спазила законовото си задължение съгласно член 37 от GDPR да назначи служител по защита на данните. | Прочетете повече |
| Германия | Болница | 2019, декември | 105 000 | Чл. 5 от Регламента | Имуществената санкция се основава на няколко нарушения на GDPR във връзка при приемането на пациента. Това е довело до неправилно фактуриране и е разкрило структурни технически и организационни дефицити в управлението на пациентите в болницата. | Прочетете повече |
| Германия | Полицай | 2019, май | 1 400 | Чл. 6 от Регламента | Полицейският служител, използвайки официалния си идентификационен номер на потребител, но без да се позовава на служебните си задължения, е потърсил информация за собственика на данни относно регистрационната табела на лице, което той не познава добре чрез Централната информационна система за движение (ZEVIS) на Федералния орган за автомобилен транспорт. Използвайки личните данни, получени по този начин, след това той е извършил така нареченото SARS проучване чрез Федералната мрежова агенция, при което е поискал не само личните данни на пострадалите, но и съхранените там домашни и мобилни телефонни номера. Използвайки получения по този начин номер на мобилния телефон, полицейският служител се свързва с пострадалата страна по телефона - без официална причина или съгласие, дадено от нейна страна. Чрез разследването на ZEVIS и SARS за лични цели и използването на получения по този начин номер на мобилен телефон за личен контакт, полицейският служител е обработил лични данни извън обхвата на закона и извън собствените си правомощия. Това нарушение не се дължи на полицейската служба тъй като той не е извършил деянието при изпълнение на служебните си задължения, а изключително за лични цели. Забраната за наказание съгласно § 28 от LDSG, според която санкциите на GDPR не могат да бъдат наложени на публични органи, не се прилага в настоящия случай, тъй като това не е нито случай на неправомерно поведение, което може да се дължи на органа, нито заинтересованото лице може да бъде квалифицирано като отделен публичен орган по смисъла на § 2, параграф 1 или (2) от LDSG. | Прочетете повече |
| Германия | Банка | 2019, март | 50 000 | Чл. 6 от Регламента | Санкцията е наложена на банка (според вестник N26), която е обработвала „лични данни на всички бивши клиенти“ без разрешение. Банката е признала, че е запазила данни, свързани с бивши клиенти, за да поддържа черен списък, вид предупредителен файл, така че да не открива нови сметки на тези лица. Първоначално банката е оправдала това, като е заявила, че според германския закон за банковото дело е длъжна да предприеме мерки за сигурност срещу клиенти, заподозрени в пране на пари. Берлинският надзорен орган е преценил, че това е незаконно. Надзорният орган е счел, че с цел да се предотврати откриването на нова банкова сметка, във файл могат да бъдат включени само засегнатите, за които всъщност има подозрения за пране на пари или за които има други валидни причини за отказ на нова банкова сметка. Органът е заявил пред вестник, че санкцията на банката, "все още не е официално наложена". | Страница 131 от доклада за дейността на комисаря по защита на данните на Берлин |
| Германия | Deutsche Wohnen SE | 2019, октомври | 14 500 000 | Чл. 5, чл. 25 от Регламента | Несъответствие с принципите на Регламента. Компанията използва система за архивиране за съхранение на лични данни на наематели, която не е предвиждала възможност за премахване на данни, които вече не се изискват. Личните данни на наемателите се съхраняват, без да се проверява дали съхранението е допустимо или дори необходимо. Поради това е бил възможен достъп до лични данни на засегнатите наематели, които са се съхранявали години наред, без тези данни все още да са обслужвали целта на първоначалното им събиране. Това е включвало данни за личните и финансови обстоятелства на наемателите, като ведомости за заплати, извлечения от трудови договори и договори за обучение, данъчни, социалноосигурителни и здравноосигурителни данни, както и банкови извлечения. | Прочетете повече |
| Германия | Delivery Hero | 2019, септември | 195 407 | Чл. 15, чл. 17, чл. 21 от Регламента | Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни. Съгласно констатациите на служителя по защита на данните в Берлин, Delivery Hero Germany GmbH не е заличила акаунти на бивши клиенти в десет случая, въпреки че тези субекти на данни не са били активни в платформата на компанията за доставки от години - в един случай дори от 2008 г. Освен това, осем бивши клиенти са се оплакали от нежелани рекламни имейли от компанията. Субект на данни, който изрично е възразил срещу използването на неговите данни за рекламни цели, е получил още 15 рекламни имейла от компанията за доставка. В други пет случая компанията не е предоставила на субектите на данни необходимата информация или го е направила, но едва след като берлинският служител по защита на данните се е намесил. | Прочетете повече |
| Германия | Банка | 2019, февруари | 2 500 | Чл. 6, чл. 5 от Регламента | Липса на правно основание за обработване на лични данни. Банка погрешно е изпратила SMS съобщения за дълг на субект по кредитна карта на телефонния номер на друго лице. След като е получила погрешен телефонен номер от клиента към момента на сключване на договора, банката не се е съобразила с искането на субекта на данните за изтриване на данните и е продължила да изпраща SMS съобщения на неправилния телефонен номер. | Прочетете повече |
| Гърция | Aegean Marine Petroleum Network Inc. | 2019, декември | 150 000 | Чл. 5, чл. 6, чл. 32 от Регламента (Недостатъчни технически и организационни мерки във връзка с информационната сигурност ) | Касае основно данни на собствени на компанията служители. Компании извън Aegean Marine Petroleum Network Inc. са имали достъп до нейните сървъри, съдържащи лични данни и са копирали съдържанието от сървърите, тъй като Aegean Marine Petroleum не е предприела необходимите технически мерки за осигуряване на обработката на големи количества данни и не е пазила съответния софтуер отделно от личните данни, съхранявани на сървърите. Освен това, Aegean Marine Petroleum не е информирала субектите на данни за обработката на личните си данни, съхранявани на сървърите. | Прочетете повече |
| Гърция | Доставчик на телекомуникационни услуги | 2019, октомври | 200 000 | Чл. 5, пар. 1, б. "в", чл. 25 от Регламента (Несъответствие с принципите на Регламента) | Голям брой клиенти са станали обект на обаждания от телемаркетинг, въпреки че са били заявили отказ от това - отказите са били игнорирани поради технически грешки. | Прочетете повече |
| Гърция | Доставчик на телекомуникационни услуги | 2019, октомври | 200 000 | Чл. 21, пар. 3, чл. 25 от Регламента (Несъответствие с принципите на Регламента) | Неподходящи технически мерки са довели до това данните на 8 000 клиента да не бъдат изтрити след техно отправено искане за това. | Прочетете повече |
| Гърция | PWC Business Solutions | 2019, юли | 150 000 | Чл. 5, пар. 1, пар. 2, чл. 6, пар. 1, чл. 13, пар. 1, б. "в", чл. 14, пар. 1, б. "в" от Регламента (Липса на правно основание за обработване на лични данни) | Обработването на личните данни на служителите се е основавало на съгласие. Надзорният орган е установил, че съгласието като правно основание е неподходящо, тъй като обработването на лични данни е било предназначено за извършване на действия, пряко свързани с изпълнението на трудови договори, спазване на законово задължение, на което е подчинен администраторът, и гладкото и ефективно функциониране на дружеството, като легитимен интерес. В допълнение, компанията е създала у служителите погрешно впечатление, че обработва личните им данни на основание съгласие, докато в действителност е обработвала данните им на друго правно основание. Това е било в нарушение на принципа на прозрачност и следователно в нарушение на задължението за предоставяне на информация съгласно член 13, параграф 1, буква в) и член 14, параграф 1, буква в) от GDPR. И накрая, в нарушение на принципа на отчетност, компанията не е предоставила на надзорния орган доказателства, че е извършила предварителна оценка на подходящите правни основания за обработка на личните данни на служителите. | Прочетете повече |
| Гърция | Allseas Marine S.A. | 2020, януари | 15 000 | Чл. 5, пар. 1, б. "а", пар. 2 от Регламента (Несъответствие с принципите на Регламента) | Надзорният орган за защита на данните е санкционирал, заради степента, в която данните за служителите се обработват от система за видеонаблюдение на работното място, поради факта, че въвеждането на системата за видеонаблюдение е незаконно и поради факта, че компанията не е информирала достатъчно служителите си за видеонаблюдението. | Прочетете повече |
| Дания | IDdesign A / S | 2019, юни | 200 800 | Чл. 5, пар. 1, б. "д", чл. 5, пар. 2 от Регламента | Несъответствие с принципите на Регламента. IDdesign е обработвал лични данни на приблизително 385 000 клиенти за по-дълъг период, отколкото е необходимо за целите, за които са били обработвани. Освен това компанията не е определила и документирала срокове за изтриване на лични данни в новата си CRM система. Сроковете, определени за старата система, не са били спазвани. Освен това администраторът не е документирал адекватно своите процедури за изтриване на лични данни. | Прочетете повече |
| Испания | AVON COSMETICS | 2019, август | 60 000 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни (Потребител е заявил, че AVON COSMETICS неправомерно е обработило данните му, без да провери адекватно самоличността му, което е довело до грешно вписване на данните му в регистър на исковете, като му е попречило на работата с банката му. В резултат на това, трета страна е използвала по измамен начин личните му данни). | Прочетете повече |
| Испания | VODAFONE ESPANA, S.A.U. | 2019, декември | 3 000 | Чл. 58 от Регламента | Недостатъчно оказване на съдействие на надзорния орган | Прочетете повече |
| Испания | Shop Macoyn, S.L. | 2019, декември | 5 000 | Чл. 32 от Регламента | Компанията е изпратила рекламни имейли до няколко получатели, като имейл адресите на всички останали получатели са били видими за всички получатели, защото адресите на получателите са били поставени като "CC", а не като "BCC". | Прочетете повече |
| Испания | Linea Directa Aseguradora | 2019, декември | 5 000 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни (застрахователно дружество и рекламни мейли без предварително съгласие) | Прочетете повече |
| Испания | Cerrajeria Verin S.L. | 2019, декември | 1 500 | Чл. 13 от Регламента | Неизпълнение на задължението за предоставяне на информация (липса на lточна информация за дейностите по обработката им в своята декларация за поверителност, публикувана на уебсайта й.) | Прочетете повече |
| Испания | VODAFONE ESPANA, S.A.U. | 2019, май | 27 000 | Чл. 5, пар. 1, б. "г" от Регламента | Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни (mobile phone number was erroneously used for testing purposes and accidentally appeared in various customer files belonging to other customers than the complainant) | Прочетете повече |
| Испания | Curenergía Comercializador de último recurso | 2019, ноември | 75 000 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни (компанията е използвала личните му данни като бивш клиент, като име и фамилия, ДДС номер и адрес, за да сключи договор за доставка на електроенергия). | Прочетете повече |
| Испания | Фирма за куриерски услуги | 2019, ноември | 11 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност (подходящи технически и организационни мерки, водещи до загуба и неоторизиран достъп до лични данни (име, номер на банкова карта, CVV код, адрес на притежателя на картата, личен идентификационен номер, сериен номер и номер на лична карта, номер на банкова сметка, разрешен кредитен лимит) на приблизително 1 100 субекти на данни. | Прочетете повече |
| Испания | Viaqua Xestión Integral Augas de Galicia | 2019, ноември | 60 000 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни | Прочетете повече |
| Испания | Corporación radiotelevisión espanola | 2019, ноември | 60 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност (нарушение на сигурността, след като са били изгубени шест некриптирани USB флашки, съдържащи лични данни. Нарушението е засегнало около 11 000 души и е касаело техни идентификационни данни, данни за заетостта, данни за наказателни присъди и данни за здравословно състояние)/ | Прочетете повече |
| Испания | Xfera Moviles S.A. | 2019, ноември | 60 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност (Субект на данни е получил SMS от Xfera Móviles, който е трябвало да бъде адресиран до трета страна и който му е позволил да получи достъп до акаунта и личните данни на тази трета страна на уебсайта Xfera Móviles чрез телефонния номер и паролата, получени чрез SMS-а. ) | Прочетете повече |
| Испания | Telefónica SA | 2019, ноември | 30 000 | Чл. 5 от Регламента | Несъответствие с принципите на Регламента/ (Telefónica е таксувала жалбоподателя с най-различни такси във връзка с оперирането с тел. линия, с която субектът на данни не е имал нищо общо. Причината е била в това, че банковата сметка на жалбоподателя е била свързана с друг клиент на фирмата, което е довело да таксуване на сметката на жалбоподателя за чужди задължения. Според надзорния орган, това е в нарушение с принципа за точност по чл. 5, пар. 1, б. "г" от Регламента). | Прочетете повече |
| Испания | General Confederation of Labour ('CGT') | 2019, ноември | 3 000 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни (CGT, с цел да свика събрание, е изпратило по електронната поща лични данни на жалбоподателката, включително домашния й адрес, семейно положение, състоянието на бременност и датата на продължаващо дело за словесна обида и тормоз, до 400 членове на организацията без нейното съгласие). | Прочетете повече |
| Испания | TODOTECNICOS24H S.L. | 2019, ноември | 900 | Чл. 13 от Регламента | Неизпълнение на задълженията за предоставяне на информация в своята декларация за поверителност съгласно член 13 от GDPR. | Прочетете повече |
| Испания | Cerrajero Online | 2019, ноември | 1 500 | Чл. 13 от Регламента | Неизпълнение на задълженията за предоставяне на информация | Прочетете повече |
| Испания | ENDESA (доставчик на енергия) | 2019, ноември | 60 000 | Чл. 5, пар. 1, б. "е" от Регламента | Липса на правно основание за обработване на лични данни (Банковата сметка на жалбоподателката е била таксувана от ENDESA, от което се е облагодетелствало трето лице, което е осъдено по наказателно производство и му е издадена двугодишна ограничителна заповед относно жалбоподателката, местоживеенето и работата й. Вместо да промени детайлите на договора, както е поискала жалбоподателката, ENDESA е изтрила по грешен начин данните й и е попълнила данните на третата страна. AEPD констатира, че разкриването на данните на жалбоподателката на третото лице е тежко нарушение на принципа на поверителност.) | Прочетете повече |
| Испания | Madrileña Red de Gas | 2019, ноември | 12 000 | Чл. 32 от Регламента | азовата компания не е предприела подходящи мерки за проверка на самоличността на субекта на данните. Лицето, подало жалбата, твърди, че, в отговор на искане, компанията е изпратила по имейл информацията, касаеща него, на трета страна. | Прочетете повече |
| Испания | Jocker Premium Invex | 2019, октомври | 6 000 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни (След като се регистрира за местно преброяване, Jocker Premium Invex изпраща на жалбоподателя реклами по пощата и търговски оферти, въпреки че данни като име, фамилия и пощенски адрес се съобщават само на публичната администрация.) | Прочетете повече |
| Испания | VODAFONE ESPANA, S.A.U. | 2019, октомври | 36 000 | Чл. 5, чл. 6 от Регламента | Липса на правно основание за обработване на лични данни (Жалбоподателят, чиито данни са били предоставени на компанията от дъщеря му, която е била упълномощена от него, е получил обаждане от компанията, предлагаща нейните услуги, които той е отказал. Въпреки това Vodafone España е продължила да му предоставя услуги и да иска плащане от него). | Прочетете повече |
| Испания | Xfera Moviles S.A. | 2019, октомври | 60 000 | Чл. 5, чл. 6 от Регламента | Липса на правно основание за обработване на лични данни (Xfera Movile е използвала лични данни без правно основание за сключване на договор по телефона и е продължила да обработва личните данни, дори когато субектът на данни е поискал да бъде прекратено обработването). | Прочетете повече |
| Испания | Iberdrola Clientes | 2019, октомври | 8 000 | Чл. 31 от Регламента | Липса на сътрудничество с надзорния орган | Прочетете повече |
| Испания | Vueling Airlines | 2019, октомври | 30 000 | Чл. 5, чл. 6 от Регламента | Липса на правно основание за обработване на лични данни (непредоставяне на потребителите на възможност да откажат "бисквитките" и за това, че ги е принуждавал да ги използват ако искат да използват сайта на компанията. С други думи, не е било възможно да се изпозлва сайта им, бе з да се "приемат" техните "бисквитки"). | Прочетете повече |
| Испания | Professional Football League (LaLiga) | 2019, юни | 250 000 | Чл. 5, пар. 1, б. "а", чл. 7, пар. 3 от Регламента | Неизпълнение на задълженията за предоставяне на информация (Националната футболна лига (LaLiga) е била санкционирана за това, че е предлагала приложение, което веднъж на минута достъпва микрофона на мобилните телефони на потребителите, за да открие кръчмите, показващи футболни мачове, без да се плаща такса. Според надзорния орган, LaLiga не е информирала адекватно потребителите на приложението за тази практика. | Прочетете повече |
| Испания | Asociación de Médicos Demócratas | 2020, януари | 10 000 | Чл. 6 от Регламента (липса на съгласие) | Липса на правно основание за обработване на лични данни (нпо, малка организация) | Прочетете повече |
| Испания | EDP Comercializadora, S.A.U. | 2020, януари | 75 000 | Чл. 6 от Регламента (липса на правно основание) | Фирмата е обработвала лични данни във връзка с договор за газ без съгласието на заявителя. В решението се установява, че заявителят е получил фактура по такъв договор, който не е подписал и че EDP Comercializadora твърди, че заявителят е страна по договор с друга енергийна компания, която има договор за доставка с EDP Comercializadora и че обработката на данните следователно е оправдано. AEPD е заявила, че EDP Comercializadora трябва да докаже, че жалбоподателят се е съгласил да сключи договор с втора фирма, а не само с директния си доставчик на енергия. | Прочетете повече |
| Испания | EDP España S.A.U. | 2020, януари | 75 000 | Чл. 6 от Регламента | Компанията е обработвала лични данни като име и фамилия, данъчен номер, адрес и номер на мобилен телефон без съгласието на субекта на данните. | Прочетете повече |
| Испания | VODAFONE ESPANA, S.A.U. | 2020, януари | 44 000 | Чл. 5, пар. 1, б. "е" от Регламента | Компанията е изпратила договор с лични данни, включително името, адреса и телефонния номер на заявителя, на грешния получател. | Прочетете повече |
| Испания | Икеа | 2020, януари | 10 000 | Чл. 6, параграф 1, буква а) от Регламента | KEA en España е инсталира бисквитки на устройствата на потребителите без да получи тяхното съгласие за това. | Прочетете повече |
| Италия | Италианска политическа партия - Movimento 5 Stelle | 2019, април | 50 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност . Процедурата е започнала преди май 2018 г., но италианският орган за защита на данните е наложил санкция по GDPR, тъй като платформата не е приела мерки за сигурност, изисквани чрез заповед, издадена след 25 май 2018 г. | Прочетете повече |
| Италия | Eni Gas e Luce | 2019, декември | 11 500 000 | Чл. 5, пар. 1, чл. 6, чл. 17, чл. 21 от Регламента | Италианският надзорен орган е наложил две имуществени санкции на обща стойност 11,5 милиона евро на Eni Gas и Luce (Egl) за незаконно обработване на лични данни в контекста на рекламни дейности и сключване на непоискани договори. Първата глоба в размер на 8,5 милиона евро се отнася до незаконната обработка във връзка с телемаркетинг и телесейлс. Заедно с това, промоционалните обаждания са били направени без съгласието на лицето, на което са се обаждали или въпреки отказа му да получава промоционални обаждания, или без да се задействат специалните процедури за проверка на публичния регистър за отказ от получаване на такива обаждания. Освен това, липсват технически и организационни мерки, които да отчитат информацията, предоставена от потребителите; данните са били обработвани по-дълго от разрешените периоди на съхранение на данните, а данните за потенциалните клиенти са били събрани от фирми (продаващи такива списъци), които не са били получили съгласие за разкриването на тези данни. | Прочетете повече |
| Кипър | Breikot Management Ltd | 2019, април | 3 000 | Чл. 5, пар. 1, б. "в" от Регламента | Петима жалбоподатели са се оплакали, че Breikot Management Ltd, член на медийната група Nikodea, е злоупотребило с личните им данни в четири издания на издаван вестник. Надзорният орган е счел, че е налице нарушение на принципа на минимизиране на данните от страна на компанията, тъй като и по-малко данни биха послужили на обществения интерес. | Прочетете повече |
| Кипър | Sigma Live Ltd | 2019, април | 5 000 | Чл. 6, параграф 1, буква а) от Регламента | Жалбоподателят се е оплакал, че Sigma Live Ltd е публикувало и обработвало личните му данни без предварителното му съгласие. Надзорният орган е счел, че е имало нарушение на чл. 6, параграф 1, буква а) от Регламента от страна на дружеството заради липсата на дадено съгласие. | Прочетете повече |
| Кипър | Altius Insurance Ltd | 2019, март | 4 000 | Чл. 6, параграф 1, буква а) от Регламента | Изпратени SMS реклами от Altius Insurance Ltd. Надзорният орган e получил 8 жалби от физически лица, получили SMS съобщение от Altius Insurance Ltd без тяхното съгласие и без предходни търговски отношения с компанията. Компанията е съобщила, че телефонните номера, използвани за пратката, са генерирани на случаен принцип чрез софтуерен инструмент. Надзорният орган е посочил, че телефонните номера, дори да са избрани на случаен принцип, са лични данни, след като притежателят им може да бъде лесно идентифициран. Надзорът е издал решение на 13/3/2019 г., с което е наложил на компанията имуществена санкция в размер на 4 000 евро. | Прочетете повече |
| Кипър | Skroutz.com.cy (сайт) | 2019, март | 3 400 | Чл. 6, параграф 1, буква а), чл. 7 от Регламента | Шест лица са се оплакали на Надзорния орган , че получават промоционални имейли от сайта Skroutz.com.cy без тяхното съгласие и / или въпреки искането да не ги получат. 5-ма от жалбоподателите са поискали посредством опцията "unsubscribe" да спрат да им изпращат съобщения и / или имейли, но без резултат. Уеб администраторът е представил доказателства, че един от жалбоподателите е закупил продукти от сайта, но не е предоставил ясна информация за това как са получени адресите на останалите жалбоподатели. Той е казал, че причината жалбоподателите да продължават да получават съобщения, въпреки че са се отписали, е промяната в платформата за имейл съобщения. Надзорният орган е издал решение на 28/3/2019, с което е наложил на компанията имуществена санкция в размер на 3 400 евро. | Прочетете повече |
| Кипър | Social Insurance Services of the Ministry of Labor, Welfare and Social Insurance | 2019, октомври | 9 000 | Чл. 32 от Регламента (Недостатъчни технически и организационни мерки във връзка с информационната сигурност) | Неприлагането на адекватни мерки за осигуряване защитата на данните, споделяне на данни с трети неоторизирани лица, неспазено задължение за навременно рапортуване на инциденти. | Прочетете повече |
| Кипър | eShop for Sports (M.L. PRO.FIT SOLUTIONS LTD) | 2019, октомври | 1 000 | Чл. 6, чл. 21 от Регламента | Изпращане на маркетингови SMS, без да е дадена възможността получателите да се откажат от получаването им. | Прочетете повече |
| Кипър | три компании - Subsidiaries of the Louis Group ( 70,000 euros to LGS Handling, 10,000 euros to Louis Travel and 2,000 euros to Louis Aviation) | 2019, октомври | 82 000 | Чл. 6, пар. 1 и чл. 9 от Регламента | Липса на правно основание за инструмента „Брадфорд Фактор“, използван за оценка на отпуските по болнични листове на служителите. | Прочетете повече |
| Кипър | A.G. QUICKSPA LIMITED | 2019, октомври | 1 200 | Чл. 32 от Регламента | Жалба за получаване на SMS съобщение (реклама) от AG QUICKSPA LIMITED. Надзорният орган е счел, че администраторът е бил длъжен да предприеме подходящи технически и организационни мерки, за да гарантира упражняването на правата на субектите на данни, независимо дали има промяна в членовете на персонала. Администраторът е бил санкциониран с 1 200 евро. | Прочетете повече |
| Кипър | Лекар | 2019, септември | 14 000 | Чл. 5, чл. 6 от Регламента (Липса на правно основание за обработване на лични данни) | Публикуване от страна на лекар на чувствителни пациентски данни в Instagram без предварително съгласие. | Прочетете повече |
| Кипър | Регистрирана компания, която изнася имоти на публичен търг | 2019, септември | 2 000 | Чл. 6, параграф 1, буква а), чл. 5, пар. 1, б. "б" от Регламента | Телефонният номер на всеки субект на данни е лични данни, като се има предвид, че той може да доведе до идентификация на притежателя му. Съгласно Закона за прехвърляне на имоти и ипотека от 1965 г. (9/1965 г.) е установено, че има специфичен процес за продажба на ипотекиран имот на търг, който трябва да се спазва и който не предвижда намеса на трети страни с цел намиране на купувач, преди началото на тръжната процедура. На основание чл. 6, параграф 4 от Регламента, незаконно са използвани лични данни на жалбоподателя за друга цел от тази, за която са били събрани, без нейното предварително съгласие. | Прочетете повече |
| Кипър | Общински съветник | 2019, септември | 1 000 | Чл. 6, параграф 1, буква а), чл. 7 от Регламента | Разкриване и / или предоставяне на лични данни без предварително дадено съгласие. След проверката по жалбата е било установено, че са предприети подходящи мерки за сигурност от страна на Общината и затова надзорът счита, че жалбата срещу Общината не се нуждае от допълнителна проверка. Надзорният орган е издал решение срещу общинския съветник, който е действал като отделно обработващо лице - санкцията е в размер на хиляда евро (1 000 евро). | Прочетете повече |
| Кипър | Кандидат в изборите за европейски парламент | 2019, юли | 2 000 | Чл. 6, параграф 1, буква а), чл. 7 от Регламента | Петима жалбоподатели са се оплакали, че г-н Елефтериос Деметриу, кандидат за изборите за Европейския парламент, им е изпратил SMS съобщения без тяхното съгласие и без да им бъде предложена опцията за възражение съгласно член 106, параграф 2 от Закон № 112 (I). / 2004. Три от петте жалби са били оттеглени преди да бъде взето окончателно решение. Установено е нарушение на член 106, параграф 2 от L.112 (I) / 2004. След като са се взели предвид различни смекчаващи и утежняващи обстоятелства, е била наложена имуществена санкция в размер на 2 000 евро. | Прочетете повече |
| Кипър | Политическа партия | 2019, юли | 3 000 | Чл. 6, чл. 21 от Регламента | Четирима жалбоподатели са се оплакали от изпращане на SMS съобщения и тормоз по телефона. При проверката на жалбите се оказало, че в крайна сметка се касае само за телефонни неудобства. За двама от жалбоподателите e бил налице легитимен интерес от използването на личните им данни, тъй като те са били членове на съответната страна (член 6, параграф 1, буква е). За останалите двама жалбоподатели политическата партия не е доказала получаването на съгласието им в съответствие с член 6, ал. 1, буква а) от Регламента за такива телефонни обаждания, нито е бил налице легитимен интерес от използването на личните им данни (член 6, параграф 1, буква е). Нарушен е и член 21, тъй като възможността за възражение срещу конкретния телефонен разговор не е било предоставена. След като са се взели предвид различни смекчаващи и утежняващи обстоятелства, е била наложена имуществена санкция в размер на 3 000 евро. | Прочетете повече |
| Кипър | Частна компания | 2019, юли | 2 000 | Чл. 6 от Регламента | Неспазване на правилата за директен маркетинг. | Прочетете повече |
| Латвия | Онлайн услуги | 2019, август | 7 000 | Чл. 17 от Регламента | Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни . Търговец, който предоставя услуги в онлайн магазин, е нарушил „правото да бъдеш забравен“ съгласно чл. 17 GDPR, когато е било многократно поискано от субект на данни да изтрие всички негови лични данни, по-специално номер на мобилен телефон, който търговецът е получил като част от поръчка. Независимо от това, търговецът многократно е изпращал рекламни съобщения чрез SMS на мобилния телефонен номер на субектите на данни. | Прочетете повече |
| Латвия | Няма информация | 2019, ноември | 150 000 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни | Прочетете повече |
| Литва | Доставчик на платежни услуги - UAB MisterTango | 2019, май | 61 500 | Чл. 5, чл. 32, чл. 33 от Регламента | Неизпълнение на задълженията за уведомяване при нарушение на сигурността на личните данни. Засегнати са 9 000 плащания при 12 банки от различни страни. Според надзорния орган е било необходимо да се подаде уведомление за нарушение сигурността на данните съгласно чл. 33 GDPR. Администраторът не е уведомил надзорния орган за нарушението. | Прочетете повече |
| Малта | Поземленна комисия (публичен орган) | 2019, февруари | 5 000 | Чл. 5, чл. 32 от Регламента | В резултат на липсата на подходящи мерки за сигурност на уебсайта на Lands Authority, над 10 гигабайта лични данни са станали лесно достъпни за обществеността чрез обикновено търсене в Google. По-голямата част от изтеклите данни са съдържали силно чувствителна информация и кореспонденция между лица и самия поземлен орган. Поземленият орган е решил да не обжалва. В Малта, в случай на нарушение от страна на публичен орган или лице, комисарят по защита на данните може да наложи административна глоба в размер до 25 000 евро за всяко нарушение и може допълнително да наложи дневна глоба в размер на 25 евро за всеки ден, през който това нарушение продължава. | Прочетете повече |
| Норвегия | Общинският департамент по образованието в Осло | 2019, април | 203 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност. Санкция за уязвимости в сигурността на приложение за мобилни съобщения, разработено за използване в училище в Осло. Приложението позволява на родителите и учениците да изпращат съобщения до училищния персонал. Поради недостатъчни технически и организационни мерки за защита на информационната сигурност, неоторизирани лица са успели да влязат като оторизирани потребители и да получат достъп до лични данни за студенти, законни представители и служители. | Прочетете повече |
| Норвегия | Община Берген | 2019, март | 170 000 | Чл. 5, пар. 1, б. "е", чл. 32 от Регламента | Инцидентът е свързан с компютърни файлове с потребителски имена и пароли за над 35 000 потребителски акаунта в компютърната система на общината. Потребителските акаунти са свързани както с учениците в основните училища в общината, така и със служителите в същите училища. Поради недостатъчни мерки за сигурност, тези файлове са били незащитени и свободно достъпни. Липсата на мерки за сигурност в системата е позволила на всеки, който желае, да влезе в различните информационни системи на училището и по този начин да получи достъп до различни категории лични данни, свързани с учениците и служителите на училищата. Фактът, че нарушението на сигурността обхваща личните данни на над 35 000 лица и че по-голямата част от тях са деца, е бил счетен за утежняващо обстоятелство. Общината също е била предупреждавана няколко пъти, както от органа, така и от вътрешен служител, че защитата на данните е недостатъчна. | Прочетете повече |
| Полша | Спортна асоциация | 2019, април | 12 950 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни. (санкция по повод публикуване на лични данни, отнасящи се до съдии, които са получили съдийски лицензи онлайн. Били са предоставени не само имената им, но и точните им адреси и номера на PESEL. Нямало е законово основание такъв широк спектър от данни за съдиите да бъдат достъпни в Интернет. Като ги е оповестил публично, администраторът е създал потенциален риск от неправомерното им използване. Въпреки че самата асоциация е забелязала собствената си грешка, видно от уведомяването за нарушение на защитата на личните данни до председателя на PDPA, фактът, че опитите за отстраняването й са били неефективни, е довел до налагането на санкция. | |
| Полша | Частна фирма, работеща с данни от публично достъпни източници | 2019, март | 219 538 | Чл. 14 от Регламента | Неизпълнение на задълженията за предоставяне на информация. Санкцията се отнася до производство, свързано с дейността на дружество, което обработва данните на субекти на данни, получени от публично достъпни източници, inter alia от Централния електронен регистър и Информацията за икономическа дейност, като обработва данните за търговски цели. Надзорният орган е установил несъответствието със задължението за информация по отношение на физически лица, извършващи стопанска дейност - предприемачи, които в момента извършват такава дейност или са я спрели, както и предприемачи, които са извършвали такава дейност в миналото. Администраторът е изпълнил задължението за информация, като е предоставил информацията, изисквана по чл. 14 (1) - (3) от GDPR, само по отношение на лицата, чиито имейл адреси има на разположение. Относно останалите лица, администраторът не е спазил задължението за информация - както било обяснено в хода на производството - поради високи оперативни разходи. Затова фирмата е предоставила информация само на своя уебсайт. Според UODO това не е било достатъчно. | Прочетете повече |
| Полша | Major of Aleksandrów Kujawski | 2019, октомври | 9 400 | Чл. 28 от Регламента | Не е сключено споразумение за обработване на данни с компанията, чиито сървъри са съдържали ресурсите на Публичния информационен бюлетин (BIP) на Общинския офис в Александрув Куявски. | Прочетете повече |
| Полша | ClickQuickNow | 2019, октомври | 47 000 | Чл. 5 от Регламента | Несъответствие с принципите на Регламента. The UODO е наложил имуществена санкция в размер на 47 000 EUR за възпрепятстване упражняването на правото на отказ за обработка на лични данни. Компанията не е предприела подходящи технически и организационни мерки, които да позволяват простото и ефективно оттегляне на съгласието за обработване на лични данни и упражняването на правото да поискате заличаване на лични данни. | Прочетете повече |
| Полша | Morele.net | 2019, септември | 645 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност. недостатъчни организационни и технически гаранции, които са довели до нерегламентиран достъп до личните данни на 2,2 милиона души. | Прочетете повече |
| Португалия | Държавна болница | 2018, юли | 400 000 | Чл. 5, пар. 1, б. "е", чл. 32 от Регламента | Проверката е разкрила, че персоналът на болницата, психолозите, диетолозите и други специалисти са имали достъп до данните на пациента чрез неистински/неактуални профили. Системата за управление на профилите не е била добра - болницата е имала 985 регистрирани лекарски профила, докато в нея са работили само 296 лекари. Освен това, лекарите са имали неограничен достъп до всички досиета на пациентите, независимо от специалността на лекаря. | Прочетете повече |
| Португалия | Няма информация | 2019, март | 2 000 | Чл. 13 от Регламента | Непредоставяне на информация по отношение на използването на системи за видеонаблюдение. | Прочетете повече |
| Португалия | Няма информация | 2019, март | 2 000 | Чл. 13 от Регламента | Непредоставяне на информация по отношение на използването на системи за видеонаблюдение (CCTV). | Прочетете повече |
| Португалия | Няма информация | 2019, февруари | 20 000 | Чл. 15 от Регламента | Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни. Отказ на правото на достъп на Субекта на данните до записани телефонни разговори. | Прочетете повече |
| Румъния | Telekom Romania Mobile Communications SA | 2019, декември | 2 000 | Чл. 32 от Регламента | Компанията не е успяла да осигури точността на обработката на личните данни, което е довело до разкриване на лични данни на клиент на друг клиент. | Прочетете повече |
| Румъния | SC Enel Energie S.A. (дистрибутор на електричество) | 2019, декември | 6 000 | Чл. 5, чл. 6, чл. 7, чл. 21 от Регламента | Санкциите са били наложени след жалба, в която се твърди, че Enel Energie незаконно е обработило личните данни на дадено лице и не е в състояние да докаже, че е получило съгласието на лицето да изпраща известия по електронна поща. Освен това, ANSPDCP е посочил, че операторът не е предприел необходимите мерки за прекратяване на изпращането на известия по мейла, въпреки факта, че лицето многократно е упражнило правото си на възражение. Операторът на SC Enel Energie SRL е санкциониран с две глоби, всяка в размер на 14 334,30 леи, еквивалент на сумата от 3 000 EUR. | Прочетете повече |
| Румъния | Globus Score SRL | 2019, декември | 2 000 | Чл. 58 от Регламента | Недостатъчно оказване на съдействие на надзорния орган | Прочетете повече |
| Румъния | Entirely Shipping & Trading S.R.L. | 2019, декември | 5 000 | Чл. 5, пар. 1, чл. 6, чл. 7 от Регламента | Компанията е обработила прекомерно личните данни на своите служители чрез видеокамерите, инсталирани в офисите и на местата, където има шкафове, където служителите съхраняват резервните си дрехи (съблекални) (нарушение на принципа на "минимизиране на данни"). | Прочетете повече |
| Румъния | Entirely Shipping & Trading S.R.L. | 2019, декември | 5 000 | Чл. 5, пар. 1, чл. 6, чл. 7, чл. 9 от Регламента | Компанията е обработила биометрични данни (пръстови отпечатъци) на служителите за достъп до определени помещения, въпреки че могат да се използват по-малко натрапчиви средства за поверителност на субектите на данни (нарушение на принципа на "минимизиране на данни"). | Прочетете повече |
| Румъния | Hora Credit IFN SA | 2019, декември | 14 000 | Чл. 5, чл. 25, чл. 32, чл. 33 от Регламента | Санкциите са били наложени в резултат на жалба, в която се твърди, че Hora Credit IFN SA предава документи, съдържащи лични данни на друго лице, на грешен имейл адрес. След проверката е било установено, че Hora Credit IFN SA обработва данните, без да предоставя ефективни механизми за проверка и валидност на точността на събраните данни, обработени в съответствие с принципите, изложени в чл. 5 от GDPR. Установено е също, че операторът не е предприел достатъчно мерки за сигурност на личните данни, съгласно чл. 25 и 32 от GDPR, за да се избегне неразрешено разкриване на лични данни на трети страни. В същото време, Hora Credit IFN SA не е уведомило надзорния орган за инцидента със сигурността. Санкцията се състои от три частични имуществени санкции от 3 000 евро, 10 000 евро и 1 000 евро. | Прочетете повече |
| Румъния | S CNTAR TAROM SA (авиокомпания) | 2019, декември | 20 000 | Чл. 32 от Регламента | Румънският орган за защита на данните е наложил санкция на авиокомпания, тъй като не е предприела подходящи мерки, за да гарантира, че всяко физическо лице, действащо под нейния надзор, обработва лични данни в съответствие с неговите инструкции (член 32, параграф 4 от GDPR). Това е довело до това служител да има неоторизиран достъп до заявлението за резервация и да може да заснеме списък с личните данни на 22 пътници / клиенти, за да публикува този списък в Интернет. | Прочетете повече |
| Румъния | Nicola Medical Team 17 SRL | 2019, декември | 2 000 | Чл. 58 от Регламента | Недостатъчно оказване на съдействие на надзорния орган | Прочетете повече |
| Румъния | Royal President S.R.L. | 2019, ноември | 2 500 | Чл. 15, чл. 6, чл. 32 от Регламента | Royal President S.R.L. е отказало на искане за достъп до лични данни съгласно член 15 от GDPR и е разкрило лични данни без съгласието на субектите на данни. Освен това не е предприело подходящи технически или организационни мерки, за да гарантира сигурността на обработваните данни. | Прочетете повече |
| Румъния | Асоциация на собствениците на жилища | 2019, ноември | 500 | Чл. 32 от Регламента | Асоциацията е използвала системи за видеонаблюдение без предоставяне на информация съгласно чл. 13 GDPR и без адекватни мерки за сигурност по отношение на лицата, които имат достъп до системата. | Прочетете повече |
| Румъния | ING Bank N.V. | 2019, ноември | 80 000 | Чл. 32 от Регламента | ING Bank не е предприела подходящи технически и организационни мерки за автоматизирана система за обработка на данни по време на процеса на сетълмент на картови транзакции, засягащи 225 525 клиенти, в резултат на което двойни транзакции са извършени между 8-ми и 10-ти октомври. | Прочетете повече |
| Румъния | Фризьорски салон | 2019, ноември | 3 000 | Чл. 58 от Регламента | Недостатъчно оказване на съдействие на надзорния орган | Прочетете повече |
| Румъния | BNP Paribas Personal Finance S.A. | 2019, ноември | 2 000 | Чл. 12, чл. 17 от Регламента | BNP Paribas Personal Finance не са реагирали на искане за изтриване на данни в рамките на предвидения в Регламента срок. | Прочетете повече |
| Румъния | UTTIS INDUSTRIES SRL | 2019, октомври | 2 500 | Чл. 12, чл. 13, чл. 5, пар. 1, б. "в", чл. 6 от Регламента | Санкциите са били наложени, тъй като администраторът не е могъл да докаже, че субектите на данни са били информирани за обработването на лични данни (става въпрос за изображения, събирани чрез системата за видеонаблюдение, която е оперирала от 2016 г.) и тъй като е разкрил данни чрез показване на Отчета за обучението на упълномощения персонал на ISCIR за 2018 г. на фирмения нотификатор и не е могъл да докаже законността на обработването чрез разкриване, съгласно чл. 6 GDPR. | Прочетете повече |
| Румъния | Raiffeisen Bank SA | 2019, октомври | 150 000 | Чл. 32 от Регламента | Райфайзен Банк Румъния е извършила оценяване на базата на лични данни на лица, регистрирани на платформата Vreau Credit, предоставени от служителите на платформата чрез WhatsApp и след това е върнала резултата на Vreau Credit, използвайки същите средства за комуникация. | Прочетете повече |
| Румъния | Vreau Credit SRL | 2019, октомври | 20 000 | Чл. 32, чл. 33 от Регламента | Райфайзен Банк Румъния е извършила оценяване на базата на лични данни на лица, регистрирани на платформата Vreau Credit, предоставени от служителите на платформата чрез WhatsApp и след това е върнала резултата на Vreau Credit, използвайки същите средства за комуникация. | Прочетете повече |
| Румъния | Inteligo Media SA | 2019, септември | 9 000 | Чл. 5, пар. 1, б. "а", чл. 6, пар. 1, б. "а" от Регламента | Липса на правно основание за обработване на лични данни. Като част от процеса по регистрация на уебсайта avocatnet.ro, операторът е използвал незапълнено квадратче, чрез което потребителите могат да декларират, че не желаят да получават информационни писма по електронна поща (отказ). Без никакви действия на потребителя автоматично са се изпращали информационни писма по електронна поща. Това не отговаря на изискванията за съгласие по GDPR. | Прочетете повече |
| Румъния | LEGAL COMPANY & TAX HUB SRL | 2019, юли | 3 000 | Чл. 32 от Регламента | Санкцията е наложена, тъй като не са били приложени адекватни технически и организационни мерки за осигуряване на ниво на сигурност, подходящо за риска на обработването. Това е довело до нерегламентирано разкриване и неоторизиран достъп до личните данни на хора, които са направили транзакции към уебсайта avocatoo.ro (име, фамилия, пощенски адрес, имейл, телефон, работа, подробности за извършените транзакции), поради публично достъпни документи между 10 декември 2018 г. и 1 февруари 2019 г. Националният надзорен орган е наложил санкцията след уведомление от 12 октомври 2018 г., в което се посочва, че набор от файлове относно детайлите на транзакциите, получени от уебсайта avocatoo.ro, съдържащ име, фамилия, адрес за кореспонденция, имейл, телефон, работа и подробности за извършените транзакции, е бил обществено достъпен чрез две връзки. | Прочетете повече |
| Румъния | WORLD TRADE CENTER BUCHAREST SA | 2019, юли | 15 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност . Нарушаването на сигурността на данните е било свързано с това, че отпечатан списък на хартия, използван за проверка на клиентите на закуска и съдържащ лични данни на 46 клиенти, отсядали в СВЕТОВНИЯ ТЪРГОВСКИ ЦЕНТЪР BUCHAREST SA, е сниман от неоторизирани хора извън компанията, което е довело до разкриването на личните данни на някои клиенти чрез онлайн публикация. Операторът на WORLD TRADE CENTER BUCHAREST SA е санкциониран, тъй като не е предприел стъпки, за да гарантира, че данните не се разкриват на неоторизирани страни. | Прочетете повече |
| Румъния | UNICREDIT BANK SA | 2019, юни | 130 000 | Чл. 25, пар. 1, чл. 5, пар. 1, б. "в" от Регламента | Санкцията е наложена в резултат на неприлагането на подходящи технически и организационни мерки (свързани с (1) определянето на средствата / операциите за обработка и (2) интегрирането на необходимите предпазни мерки), което води до разкриване онлайн на идентификационни номера и адреси (вътрешни/ външни транзакции) на 337 042 субекти на данни пред съответния бенефициент (между 25.05.2018 г.-10.12.2018 г.). | Прочетете повече |
| Унгария | Няма информация | 2018, декември | 3 200 | Чл. 12, пар. 4, чл. 15, чл. 18, пар. 1, б. "в", чл. 13 от Регламента | Санкцията е наложена за (i) непредоставяне на субект на данни на записи от видеонаблюдение, (ii) незапазване на записи за по-нататъшно използване от субекта на данните, и (iii) неинформиране на субекта на данните за правото му да подаде жалба до надзорния орган. | Прочетете повече |
| Унгария | Няма информация | 2019, април | 9 400 | Чл. 5, пар. 1, б. "а", чл. 6 от Регламента | Според надзорния орган, администраторът на данни е използвал грешно правно основание за обработката на лични данни (член 6.1.б) при прехвърляне на вземания. | Прочетете повече |
| Унгария | Унгарска политическа партия | 2019, април | 34 375 | Чл. 33, пар. 1, пар. 5, чл. 34, пар. 1 от Регламента | унгарска политическа партия за това, че не е уведомила NAIH и съответните лица за нарушение на сигурността на данните и не е документирала нарушението съгласно член 33.5 от GDPR. Съгласно закона, глобата се основава на 4% от годишния оборот на партията и 2,65% от очаквания оборот за следващата година. Нарушението е резултат от кибератака от анонимен хакер, който е получил достъп и е разкрил информация за уязвимостта на системата на организацията - база данни от над 6000 индивида - и начина, използван за хакерската атака. Системата е уязвима за атака поради проблем с пренасочването в уеб страницата на организацията. След като нападателят публикува начина на хакерската атака, дори хора с ниски познания по ИТ са успели да извлекат информация от базата данни. | Прочетете повече |
| Унгария | Няма информация | 2019, април | 1 900 | Чл. 15 от Регламента | Администраторът не е изпълнил искането за достъп на субекта на данни. | Прочетете повече |
| Унгария | Търговец | 2019, декември | 1 500 | Чл. 6 от Регламента | Компанията не е успяла да изтрие личните имейли на бившия служител и затова е обработвала лични данни без правно основание и при надвишаване на изискванията за съхранение на данни. | Прочетете повече |
| Унгария | Организаторът на SZIGET festival и VOLT festival | 2019, май | 92 150 | Чл. 6, чл. 5, пар. 1, б. "б", чл. 13 от Регламента | използвано е неподходящо правно основание и че администраторът не спазва принципа за ограничение на целите. Освен това, на субектите на данни не е предоставена цялостна информация за обработката. | Прочетете повече |
| Унгария | Неназована финансова институция | 2019, март | 3 200 | Чл. 5, пар. 1, б. "б", б. "в", чл. 13, пар. 3, чл. 17, пар. 1, чл. 6, пар. 4 от Регламента | Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни . Санкцията е наложена във връзка с искането на субекта на данните за корекция и заличаване на данните. | |
| Унгария | Кметската служба на град Kecdkemét | 2019, февруари | 3 200 | Чл. 5, пар. 1, б. "а", чл. 6 от Регламента | Липса на правно основание за обработване на лични данни. Санкцията е била наложена на Кметската служба на град Kecdkemét за незаконно разкриване на личната информация на лицата, подали сигнал. SNIH е наложил санкцията след като служител на организация под ръководството на Кметската служба, е подал оплакване срещу работодателя си директно към нея. След като организацията е научила за оплакването, тя е поискала подробности, за да разследва и местната власт случайно е разкрила името на жалбоподателя. NAIH е счел за утежняващо обстоятелство, че, в резултат на нарушението, организацията е уволнила лицето, което е направило оплакването. | |
| Унгария | Събирач на вземания | 2019, февруари | 1 560 | Чл. 5, пар. 1, б. "а", б. "в" от Регламента | Несъответствие с принципите на Регламента | |
| Унгария | Банка | 2019, февруари | 1 560 | Чл. 5, пар. 1, б. "г" от Регламента | Несъответствие с принципите на Регламента | |
| Унгария | Няма информация | 2019, юни | 15 150 | Чл. 33 от Регламента | Неизпълнение на задълженията за уведомяване при нарушение на сигурността на личните данни (загубена флаш памет с лични данни). | Прочетете повече |
| Франция | SERGIC (недвижими имоти) | 2019, май | 400 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност . CNIL основава санкцията на две основания: Липса на основни мерки за сигурност и прекомерно съхранение на данни. Що се отнася до първото, документи с чувствителни данни, качени от кандидатите за вземане под наем (включително лични карти, здравни карти, данъчни известия, удостоверения, издадени от фонда за семейни надбавки, съдебни решения за развод, извлечения от акаунти), са били достъпни онлайн, без да съществува автентификационна процедура. Въпреки че уязвимостта е известна на компанията от март 2018 г., тя не е била отстранена окончателно чак до септември 2018 г. В допълнение, компанията е съхранявала предоставената от кандидатите документация за по-дълго от необходимото. CNIL е взел предвид сериозността на нарушението (липса на надлежна грижа за справяне с уязвимостта и факта, че документите са разкрили много интимни аспекти от живота на потребителите), големината на компанията и нейното финансово състояние. | Прочетете повече |
| Франция | Futura Internationale | 2019, ноември | 500 000 | Чл. 5, чл. 6, чл. 13, чл. 14, чл. 21 от Регламента | Futura Internationale е била санкционирана за непоискани повиквания, след като няколко жалбоподатели са получили такива обаждания въпреки че са заявили директно на търсещия ги по телефона и по пощата, че не желаят да им се обаждат. По-конкретно, решението посочва, че проверката на място разкрива, че Futura Internationale е получила няколко писма с възражения срещу непоисканите повиквания, че е съхранявала прекомерно много информация за клиентите и тяхното здраве и че Futura Internationale не е информирала субектите за обработването на личните им данни или записването на телефонните разговори. | Прочетете повече |
| Франция | ACTIVE ASSURANCES (застраховател, предлагащ автомобилни застраховки) | 2019, юли | 180 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност. Голямо количество клиентски сметки, документи на клиенти (включително копия на шофьорски книжки, регистрации на превозни средства, банкови извлечения и документи, за да се определи дали дадено лице е било обект на отнемане на лиценз) и данните са били лесно достъпни онлайн. CNIL критикува управлението на паролите. | Прочетете повече |
| Франция | UNIONTRAD COMPANY (работодател) | 2019, юни | 20 000 | Чл. 5, пар. 1, б. "в", чл. 12, чл. 13, чл. 32 от Регламента | Между 2013 и 2017 г. CNIL е получил оплаквания от няколко служители на компанията, които са били снимани на работното си място. На два пъти той е предупредил компанията за правилата, които трябва да се спазват при инсталирането на камери на работното място, по-специално, че служителите не трябва да се снимат непрекъснато и че трябва да бъде предоставена информация за обработката на данни. Поради липса на задоволителни мерки в края на поставения срок, определен от надзорния орган, CNIL е извършил втори одит през октомври 2018 г., който е потвърдил, че работодателят все още нарушава разпоредбите за защита на данните при видеонаблюдение на служителите. При определяне на размера на санкцията CNLIN е взел предвид броя служители (9 служители) и финансовото състояние на компанията, която е представила отрицателен нетен резултат през 2017 г. (оборот от 885 739 евро през 2017 г. и отрицателен нетен резултат от 110 844 EUR ), за налагане на възпираща, но пропорционална санкция. | Прочетете повече |
| Франция | Google Inc. | 2019, януари | 50 000 000 | Чл. 13, чл. 14, чл. 6, чл. 5 от Регламента | Санкцията е наложена въз основа на жалби от австрийската организация „None Of Your Business“ и френската неправителствена организация „La Quadrature du Net“. Жалбите са подадени на 25 и 28 май 2018 г. - веднага след влизането в сила на GDPR. Оплакванията са се отнасяли до създаването на акаунт в Google по време на конфигурирането на мобилен телефон с помощта на операционната система Android. CNIL е наложил санкция в размер на 50 милиона евро за липса на прозрачност (член 5 GDPR), недостатъчна информация (член 13/14 GDPR) и липса на правно основание (член 6 GDPR). Получените съгласия не са били дадени „конкретно“ и не „недвусмислено“ (чл. 4, т. 11 от GDPR). | Прочетете повече |
| Холандия | UWV (Dutch employee insurance service provider) | 2019, октомври | 900 000 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност. UWV (холандски доставчик на застрахователни услуги за служители - "Uitvoeringsinstituut Werknemersverzekeringen") не е използвал многофакторна автентификация при достъп до онлайн портала на работодателите, като защитата на информационната сигурност се оказва неподходяща/недостатъчна. Работодателите и службите по трудова медицина и по безопасност на труда успяват да съберат и покажат данни за здравословно състояние на служителите. | Прочетете повече |
| Холандия | Haga Hospital | 2019, юни | 460 000 | Чл. 32 от Регламента | Болницата в Хага не е разполага с подходяща вътрешна сигурност на досиетата на пациентите. Тазо проверка се случва, след като се оказало, че десетки болнични служители ненужно са проверявали медицинската документация на известен холандец. За да принуди болницата да подобри сигурността на досиетата на пациентите, надзорният орган издава заповед, налагаща санкция. Ако болницата в Хага не подобри сигурността до 2 октомври 2019 г., болницата трябва да плаща 100 000 EUR на всеки две седмици, като максимумът е 300 000 EUR. Междувременно болницата в Хага е посочила, че е предприела мерки. | Прочетете повече |
| Чехия | Няма информация | 2018, октомври | 388 | Чл. 15 от Регламента | Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни | Прочетете повече |
| Чехия | Няма информация | 2019, май | 194 | Чл. 15 от Регламента | Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни | Прочетете повече |
| Чехия | Няма информация | 2019, март | 9 704 | Чл. 5, пар. 1 от Регламента | Несъответствие с принципите на Регламента. Данните не се обработват, освен ако са адекватни, уместни и се ограничават до необходимото във връзка с целите, за които се обработват („минимизиране на данни“) и се съхраняват само във форма, която позволява идентифициране на субектите на данни не повече от необходимото за целите, за които личните данни се обработват („ограничение за съхранение“). | Прочетете повече |
| Чехия | Няма информация | 2019, февруари | 582 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност | Прочетете повече |
| Чехия | Няма информация | 2019, февруари | 776 | Чл. 15 от Регламента | Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни | Прочетете повече |
| Чехия | Фирма, даваща коли под наем | 2019, февруари | 1 165 | Чл. 5, пар. 1, б. "а" от Регламента | Неизпълнение на задълженията за предоставяне на информация. Лице, което е наело автомобил, е установило, че колата е проследена чрез GPS от компанията, от която я е наел, въпреки че не е предоставена информация за това, че колата се проследява. Чешкият орган за защита на данните е установил, че не е предоставена информация по чл. 13 GDPR и че чл. 6 (1) е) | Прочетете повече |
| Чехия | Кредитен брокер | 2019, февруари | 1 165 | Чл. 32 от Регламента | Недостатъчни технически и организационни мерки във връзка с информационната сигурност | Прочетете повече |
| Чехия | Работодател | 2019, януари | 388 | Чл. 6 от Регламента | Липса на правно основание за обработване на лични данни. Бивш служител на фирма е поискал изтриването на информация, свързана с него, която е била публикувана на страницата във Facebook на работодателя и която все още е била достъпна там дълго след прекратяване на трудовото правоотношение. | Прочетете повече |
| Швеция | Училище | 2019, август | 18 600 | Чл. 5, пар. 1, б. "в", чл. 9, чл. 35, чл. 36 от Регламента | Липса на правно основание за обработване на лични данни. Училище в Skellefteå прави опит за използване на технологията за разпознаване на лица. Санкцията е наложена срещу училището, което използва технологията за разпознаване на лица, за да следи посещаемостта на учениците. | Прочетете повече |
| Швеция | Nusvar AB | 2019, декември | 35 000 | Чл. 6 от Регламента | Nusvar AB, оператор на уебсайта Mrkoll.se, който предоставя информация за всички шведи на възраст над 16 години, е публикувал информация за хората, които са с просрочени дългове. | Прочетете повече |
