Кратка статистика:

1. Най-честите нарушени разпоредби чл. 5 (принципите на Регламента) и

чл. 32 (липса на подходящи мерки)

2. Общ брой санкции (за които АЗЛД разполага с информация) 179
3. Най-висока по размер санкция

50 000 000 Евро * – Френски надзорен орган

4. Общ размер на санкциите 115 360 952 Евро **

* или 204 600 000 Евро – санкция, която Английският надзорен орган обяви, че възнамерява да наложи на British Airways. 

** или 430 351 152 Евро (с обявените намерения за санкция на Английския надзорен орган). 

 

За какво и зaщо санкционират надзорните органи във връзка с прилагането на GDPR? Какви грешки и нарушения допускат администраторите? Вижте информация в долната таблица.

В таблицата се съдържа обобщение само на санкциите, за които АЗЛД разполага с информация.

Ако имате допълнителна информация, можете да ни пишете на: bulgaria.dpa@mydata.bg.

Информацията е актуална към 11.11.2020 г.

ДържаваAдминистратор/ ОбработващДатаРазмер на санкцията (в евро)Нарушени разпоредбиРезюмеИзточник с информация
АвстрияБанка2020, май100Чл. 5 и чл. 6 от Регламента Неспазване на принципите и липса на правно основание за обработване на лични данни. Санкцията е наложена на банка, защото неин служител е направил копие на документ за самоличност на банков клиент, който е искал да обмени 100 евро в чуждестранна валута. Банката е оправдала действието си с изискванията на законодателството срещу изпиране на пари. Такива мерки (като посочената) се отнасят обаче само за суми от 1 000 EUR и повече.Прочетете повече
АвстрияАвстрийската поща2019, октомври18 000 000Чл. 5,пар. 1, б. "а", чл. 6 от РегламентаАвстрийската поща е създала профили на повече от три милиона австрийци, които са включвали информация за техните домашни адреси, лични предпочитания, навици и възможен партиен афинитет и които впоследствие са били препродадени - на политически партии и компании, например. (Вече има издадено и решение на гражданския съд за искове за обезщетение на стойност 800 евро).Прочетете повече
АвстрияФирма от медицинския сектор2019, август50 000Чл. 13, чл. 37 от Регламентанеспазване на задълженията за предоставяне на информация и за неназначаване на длъжностно лице по защита на данните.Прочетете повече
АвстрияФЛ (треньор по футбол)2019, юли11 000Чл. 6 от Регламента Липса на правно основание за обработване на лични данни. Глобата е наложена на футболен треньор, който в продължение на години тайно е видеозаписвал със смартфон жени играчи, докато те са били голи в душ кабината.Прочетете повече
АвстрияФЛ2018, декември2 200Чл. 5, пар. 1, б. "а", б. "в", чл. 6, пар. 1, чл. 13 от РегламентаЛипса на правно основание за обработване на лични данни. Глобата е наложена на физическо лице, което е използвало видеонаблюдение в дома си. Видеонаблюдението е обхващало площи, предназначени за общо ползване от жителите на голям жилищен комплекс, а именно: паркинги, тротоари, двор, градина и зони за достъп до жилищния комплекс; в допълнение, видеонаблюдението е обхващало градински площи на съседен имот. Следователно предметът на видеонаблюдението не се е ограничавал до зони, които са под изключителната власт и контрола на администратора. Ето защо видеонаблюдението не е било пропорционално на целта и не се е ограничавало до необходимото. Видеонаблюдението е записвало коридора на къщата и жителите, които влизат и излизат от околните апартаменти, като по този начин се е намесвало в техните изключително лични сфери на живот, без съгласието им техните изображения да бъдат записвани. Извършването на видеонаблюдение не е било указано правилно.Прочетете повече
АвстрияСобственик на личен автомобил2018, септември300Чл. 5, пар. 1, б. "а", чл. 6 от Регламента Липса на правно основание за обработване на лични данни. *Dashcam е била използвана незаконно.

*видеокамера, която обикновено се монтира на предното стъкло на превозно средство и се използва за непрекъснато записване на гледката към пътя, движението и т.н.
Прочетете повече
АвстрияТърговец2018, септември4 800Чл. 13 от Регламента Видеонаблюдението не е било достатъчно ясно посочвано и е записвана голяма част от тротоара на сградата. Наблюдението на публичното пространство по този начин, т.е. в голям мащаб, не е разрешено.Прочетете повече
БелгияБивш кмет2020, септември5 000Чл. 5, чл. 6 от РегламентаГлобата е била наложена за изпращане на предизборна реклама на граждани без достатъчно правно основание за това.Прочетете повече
БелгияОбществено политическо сдружение2020, юли3 000Чл. 5, чл. 6, чл. 14 от РегламентаМестно политическо сдружение e изпратило предизборни реклами на жителите на общината за местните избори през 2018 г. За тази цел сдружението е използвало избирателния списък от 2012 г. и го е сравнило с този от 2018 г., без достатъчно правно основание и без предоставяне на подходяща информация в съответствие с чл. 14 GDPR.Прочетете повече
БелгияGoogle Belgium SA2020, юли600 000Чл. 5, чл. 6, чл. 12 и чл. 17, пар. 1, б. а) от РегламентаБелгийският орган за защита на данните е глобил Google Belgium SA, дъщерно дружество на Google, с 600 000 евро. Причините за санкцията са били отхвърляне на искане от субект на данни за премахване на препратки към стари статии, които субектът на данни е смятал за увреждащи репутацията му, както и липсата на прозрачност във формуляра на Google, свързан с премахване на препратки. Белгийският орган за защита на данните е установил, че статиите, свързани с неоснователни жалби за тормоз, могат да имат сериозни последици за субектите на данни и поради това физическите лица имат право да искат изтриване/премахване на препратки към такива статии. Това се отнася и за лицата, които заемат политически длъжности, въпреки че тези длъжности обикновено са свързани с по-малка степен на защита поради публичния им статут и следователно статиите, свързани с политически лица, могат да се съхраняват за по-дълъг период от време. Следователно отхвърлянето на искането от Google е в нарушение на член 17 от Регламента (санкция за това нарушение: 500 000 евро). Освен това са били наложени още 100 000 евро за нарушаване на принципа на прозрачност, тъй като отхвърлянето на искането за заличаване от Google не е било достатъчно обосновано.Прочетете повече
БелгияОператор на CCTV-видеонаблюдение в жилищна сграда2020, юли5 000Чл. 6 и чл. 7 от РегламентаОператорът на видеокамерите в жилищен имот е инсталирал там камери за наблюдение на общата площ между два жилищни блока. Администраторът на данни е твърдял, че собствениците са дали съгласието си за това, като са подписали нотариално заверените договори (нотариланите актове) за покупка. Надзорният орган обаче е отрекъл това след проверка на договорите.Прочетете повече
БелгияНеизвестен2020, юни10 000Чл. 5, чл. 6 и чл. 15 от РегламентаКомпания е изпратила имейл до субект на данни без неговото съгласие. Впоследствие същият субект на данни е поискал своевременна информация за вписванията в базата данни на компанията за него, което му искане е останало без отговор.Прочетете повече
БелгияНеизвестен2020, юни1 000Чл. 7, чл. 21 и чл. 31 от РегламентаСубектът на данни многократно е получавал имейли с рекламно съдържание от компания, въпреки че е бил възразил срещу обработването на личните му данни и е поискал изтриването им. Освен това компанията не е отговорила на запитванията на надзорния орган във връзка със случая.Прочетете повече
БелгияОбщина2020, юни5 000Чл. 5 и чл. 6 от РегламентаВ контекста на общинските избори през 2018 г. администраторът на данни е изпратил предизборни реклами на група служители на същата общинска администрация, използвайки незаконно списък с данни за контакт, до който той няма достъп.Прочетете повече
БелгияОрганизация с нестопанска цел2020, май1 000Чл. 6 и чл. 21 от РегламентаСанкцията е наложена за изпращане на съобщения за директен маркетинг, въпреки факта, че субектите на данни са упражнили правото си на изтриване и на възражение. Организацията твърди, че е използвала легитимен интерес като правно основание, а не изрично съгласие на субектите на данни. Надзорният орган обаче отрича съществуването на преимущество на легитимните интереси на администратора.Прочетете повече
БелгияДоставчик на социална медия2020, май50 000Чл. 6 от РегламентаКомпанията е изпратила покани до контакти, качени от нейните потребители, без тяхното съгласие или без да е налице друго приложимо правно основание.Прочетете повече
БелгияТелекомуникационен оператор2020, април50 000Чл. 31, чл. 58 и чл. 37 от РегламентаКомпанията е уведомила надзорния орган за нарушение на сигурността на обработваните от нея лични данни. В резултат, надзорният орган е констатирал, че длъжностното лице по защита на данните на компанията не е било въвлечено в достатъчна степен в дискусиите, свързани с нарушения на сигурността на данните и не е било достатъчно независимо, доколкото е действало и като ръководител на Отдела по одит, риск и съответствие в компанията. Налице е бил конфликт на интереси спрямо ДЛЗД.Прочетете повече
БелгияОрганизация за предоставяне на медицински грижи2019, декември2 000Чл. 12, чл. 15, чл. 17 от РегламентаОрганизацията не е предприела действия по исканията на субекта на данни да получи достъп до данните си и данните му да бъдат изтрити.Прочетете повече
БелгияУебсайт, предоставящ правна информация2019, декември15 000Чл. 6, чл. 12, чл. 13 от РегламентаНеизпълнение на задължението за предоставяне на информация. Оператор на уебсайт за правни новини е разполагал с декларация/уведомление за поверителност само на английски език, въпреки че сайтът е имал и нидерландска и френско говоряща аудитория. Освен това, първата версия на декларацията за поверителност не е била лесно достъпна и не е посочвала правното основание за обработването на данните съгласно GDPR. Отделно, с позоваване на решението на Съда на ЕС по случая с "Planet49", е било определено, че е необходимо ефективно съгласие за използването на Google Analytics.Прочетете повече
БелгияОбщински алдерман2019, ноември5 000Чл. 6 от РегламентаСанкция за изпращане на предизборни имейли без правно основание за това. Използваните имейл адреси не са били събрани за тази цел.Прочетете повече
БелгияКмет2019, ноември5 000Чл. 6 от Регламента Санкция за изпращане на предизборни имейли без правно основание за това. Използваните имейл адреси не са били събрани за тази цел.
БелгияТърговец2019, ноември10 000Чл. 5, пар. 1, б. "в" от Регламента Несъответствие с принципите на Регламента. Белгийският надзорен орган е наложил имуществена санкция/глоба от 10 000 евро на търговец, който е искал да използва електронна лична карта (eID), за да създаде клиентска карта. Проверката на надзорния орган е разкрила, че търговецът е изисквал достъп до лични данни, намиращи се в eID, включително снимката и баркода, които са свързани с идентификационния номер на субекта на данните.Прочетете повече
БелгияКмет2019, май2 000Чл. 5, пар. 1, б. "б", чл. 6 от Регламента Липса на правно основание за обработване на лични данни. Административната глоба е наложена за злоупотреба с лични данни от кмет за целите на кампанията.Прочетете повече
БългарияПолитическа партия2020, април2 000чл. 6 от Регламента виж детайли от информационния бюлетин на КЗЛД в линка Прочетете повече
БългарияИВСС2020, януари2 000чл. 5, ал. 1, буква „в“ от Регламента виж детайли от м. януари 2020 г. в линка Прочетете повече
Българиятърговско дружество2019, ноември5 000неспазване на разпореждане по чл. 58, пар. 2, б. "г" от Регламента, даднео от КЗЛДвиж детайли в решението на КЗЛД - стр. 29 - 32 от бюлетина
БългарияФЛ2019, октомври500неизпълнени на указания на КЗЛД, а именно непредоставяне на достъп до информация, от която се нуждае КЗЛД виж детайли в решението на КЗЛД Прочетете повече
БългарияМВР/министърът2019, октомври5 000нарушение на чл. 4, ал. 1, т. 1-7 от ЗЗЛД (отм.), респ. на чл. 6 § 1 от Регламента и в противоречие с принципите, залегнали в чл. 2, ал. 2 от ЗЗЛД (отм.), респ. в чл. 5, § 1 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияНАП2019, септември27 500нарушение на чл. 4, ал. 1 от ЗЗЛД (отменен) и чл. 6, § 1 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияТърговец, по казуса с тел. оператор2019, септември6 000нарушение на чл. 4, ал. 1 от ЗЗЛД (отменен), респективно чл. 6, § 1, от Регламента5 000 за търговския представител на оператора и 1 000 за телекомуникационния оператор (виж детайли в решението на КЗЛД) Прочетете повече
БългарияТърговски партньор на телекомуникационен оператор, собственик на магазин2019, септември11 500чл. 4, ал. 1 от ЗЗЛД (отменен), респективно чл. 6, § 1, от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияЧСИ2019, септември1 750нарушение на чл. 12, ал. 4 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияРаботодател - достъп до данни на бивш служител2019, септември500нарушение на чл. 12, параграф 3 и чл. 15, параграф 1 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияНАП2019, август2 550 000нарушение на чл. 32 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияБанка2019, август500 000нарушение на чл. 32 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияПредходни работодатели, споделяне2019, юли17 500чл. 5, пар. 1 от Регламента, чл. 5, пар. 1, б. „б” от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияНОИ2019, юли2 500чл. 25, ал. 1 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияДве финансови институции2019, юли10 000чл. 5, ал. 1, буква „а“ и „б“ от Регламента E18 , чл. 6, ал. 1 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияСдружение БОЕЦ2019, юни750нарушение на чл. 6, § 1 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияМедицински центрове2019, април500на основание чл. 58, § 2, б. ”и” вр. чл. 83, § 5, б. ”а” от Регламентавиж детайли в решението на КЗЛД Прочетете повече
Българияадминистратор (работодател, уведомление към НАП)2019, март5 000нарушение на чл. 6, параграф 1 от , (обработени данни от администратора без знанието и съгласието на субекта за целите на регистрирането в НАП на трудов договор)виж детайли в решението на КЗЛД Прочетете повече
БългарияЗдравно заведение2019, февруари500нарушение на чл. 12 във връзка с чл. 15, пар. 1, б. „а“, „б“, „в“ и „ж“ и пар. 3 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияТелекомуникационен оператор2019, февруари26 500нарушение на чл. 6, § 1 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
БългарияУчебно заведение2019, януари500нарушение на чл. 6, § 1 от Регламентавиж детайли в решението на КЗЛД Прочетете повече
Българияфинансовата институция2018, декември500нарушение на чл. 5, параграф 1, буква „б” от Регламентавиж детайли в решението на КЗЛД Прочетете повече
ВеликобританияDoorstep Dispensaree Ltd. (фармация)2019, декември320 000Чл. 32 от РегламентаНедостатъчни технически и организационни мерки във връзка с информационната сигурност. Компанията е съхранявала около 500 000 документа, съдържащи имена, адреси, дати на раждане, медицинска информация и предписания в незапечатани контейнери в задната част на сградата и не е успяла да защити тези документи, в резултат на което те са били повредени от вода.Прочетете повече
ВеликобританияMarriott International, Inc2019, юли110 390 200Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност. Моля, обърнете внимание: Тази санкция не е окончателна. ICO публикува известие за намерението си да глоби Marriott International Inc, което се отнася до кибер инцидент, за който беше съобщено на ICO от Marriott през ноември 2018 г. Нарушенията на GDPR вероятно включват нарушение на чл. 32 GDPR. Разнообразни лични данни, съдържащи се в приблизително 339 милиона записи на гости в световен мащаб, бяха разкрити при инцидента, от които около 30 милиона са свързани с жители на 31 страни от Европейското икономическо пространство (ЕИП). Прочетете повече
ВеликобританияBritish Airways2019, юли204 600 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност . Моля, обърнете внимание: тази санкция не е окончателна. ICO публикува известие за намерението си да глоби British Airways с 183,39 милиона британски лири за нарушения на GDPR, които вероятно включват нарушение на чл. 32 GDPR. Предлаганата глоба се отнася до кибер инцидент, съобщен на ICO от British Airways през септември 2018 г. Този инцидент отчасти включваше трафик на потребители към уебсайта на British Airways, пренасочен към измамен сайт. Чрез този фалшив сайт хакерите събраха данни за клиентите. Прочетете повече
ГерманияKolibri Image Regina und Dirk Maass GbR2018, декември5 000Чл. 28, пар. 3 от РегламентаЛипса на споразумение с обработващ. Възможно е тази глоба да е оттеглена!
ГерманияKnuddels.de2018, ноември20 000Чл. 32 от Регламента След хакерска атака през юли лични данни на около 330 000 потребители, включително пароли и имейл адреси, са били неправомерно разкрити.Прочетете повече
ГерманияТелеком доставчик (1&1 Telecom GmbH)2019, декември9 550 000Чл. 32 от РегламентаАдминистраторът е компания, предлагаща далекосъобщителни услуги. Обаждащият се би могъл да получи обширна информация за личните данни на клиента от отдела за обслужване на клиенти на компанията, просто като въведе името на клиента и датата на раждане. В тази процедура за удостоверяване, BfDI изтъква нарушение на член 32 DSGVO, според който компанията е длъжна да предприеме подходящи технически и организационни мерки за системна защита на обработката на лични данни. Поради сътрудничеството на компанията с органа за защита на данните, наложената санкция е била в долния край на скалата.Прочетете повече
ГерманияRapidata GmbH2019, декември10 000Чл. 37 от Регламентакомпанията (интернет доставчик) не е спазила законовото си задължение съгласно член 37 от GDPR да назначи служител по защита на данните.Прочетете повече
ГерманияБолница2019, декември105 000Чл. 5 от РегламентаИмуществената санкция се основава на няколко нарушения на GDPR във връзка при приемането на пациента. Това е довело до неправилно фактуриране и е разкрило структурни технически и организационни дефицити в управлението на пациентите в болницата.Прочетете повече
ГерманияПолицай2019, май1 400Чл. 6 от Регламента Полицейският служител, използвайки официалния си идентификационен номер на потребител, но без да се позовава на служебните си задължения, е потърсил информация за собственика на данни относно регистрационната табела на лице, което той не познава добре чрез Централната информационна система за движение (ZEVIS) на Федералния орган за автомобилен транспорт. Използвайки личните данни, получени по този начин, след това той е извършил така нареченото SARS проучване чрез Федералната мрежова агенция, при което е поискал не само личните данни на пострадалите, но и съхранените там домашни и мобилни телефонни номера. Използвайки получения по този начин номер на мобилния телефон, полицейският служител се свързва с пострадалата страна по телефона - без официална причина или съгласие, дадено от нейна страна. Чрез разследването на ZEVIS и SARS за лични цели и използването на получения по този начин номер на мобилен телефон за личен контакт, полицейският служител е обработил лични данни извън обхвата на закона и извън собствените си правомощия. Това нарушение не се дължи на полицейската служба тъй като той не е извършил деянието при изпълнение на служебните си задължения, а изключително за лични цели. Забраната за наказание съгласно § 28 от LDSG, според която санкциите на GDPR не могат да бъдат наложени на публични органи, не се прилага в настоящия случай, тъй като това не е нито случай на неправомерно поведение, което може да се дължи на органа, нито заинтересованото лице може да бъде квалифицирано като отделен публичен орган по смисъла на § 2, параграф 1 или (2) от LDSG.Прочетете повече
ГерманияБанка2019, март50 000Чл. 6 от Регламента Санкцията е наложена на банка (според вестник N26), която е обработвала „лични данни на всички бивши клиенти“ без разрешение. Банката е признала, че е запазила данни, свързани с бивши клиенти, за да поддържа черен списък, вид предупредителен файл, така че да не открива нови сметки на тези лица. Първоначално банката е оправдала това, като е заявила, че според германския закон за банковото дело е длъжна да предприеме мерки за сигурност срещу клиенти, заподозрени в пране на пари. Берлинският надзорен орган е преценил, че това е незаконно. Надзорният орган е счел, че с цел да се предотврати откриването на нова банкова сметка, във файл могат да бъдат включени само засегнатите, за които всъщност има подозрения за пране на пари или за които има други валидни причини за отказ на нова банкова сметка. Органът е заявил пред вестник, че санкцията на банката, "все още не е официално наложена".Страница 131 от доклада за дейността на комисаря по защита на данните на Берлин
ГерманияDeutsche Wohnen SE2019, октомври14 500 000Чл. 5, чл. 25 от РегламентаНесъответствие с принципите на Регламента. Компанията използва система за архивиране за съхранение на лични данни на наематели, която не е предвиждала възможност за премахване на данни, които вече не се изискват. Личните данни на наемателите се съхраняват, без да се проверява дали съхранението е допустимо или дори необходимо. Поради това е бил възможен достъп до лични данни на засегнатите наематели, които са се съхранявали години наред, без тези данни все още да са обслужвали целта на първоначалното им събиране. Това е включвало данни за личните и финансови обстоятелства на наемателите, като ведомости за заплати, извлечения от трудови договори и договори за обучение, данъчни, социалноосигурителни и здравноосигурителни данни, както и банкови извлечения.Прочетете повече
ГерманияDelivery Hero2019, септември195 407Чл. 15, чл. 17, чл. 21 от РегламентаНеизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни. Съгласно констатациите на служителя по защита на данните в Берлин, Delivery Hero Germany GmbH не е заличила акаунти на бивши клиенти в десет случая, въпреки че тези субекти на данни не са били активни в платформата на компанията за доставки от години - в един случай дори от 2008 г. Освен това, осем бивши клиенти са се оплакали от нежелани рекламни имейли от компанията. Субект на данни, който изрично е възразил срещу използването на неговите данни за рекламни цели, е получил още 15 рекламни имейла от компанията за доставка. В други пет случая компанията не е предоставила на субектите на данни необходимата информация или го е направила, но едва след като берлинският служител по защита на данните се е намесил. Прочетете повече
ГерманияБанка2019, февруари2 500Чл. 6, чл. 5 от Регламента Липса на правно основание за обработване на лични данни. Банка погрешно е изпратила SMS съобщения за дълг на субект по кредитна карта на телефонния номер на друго лице. След като е получила погрешен телефонен номер от клиента към момента на сключване на договора, банката не се е съобразила с искането на субекта на данните за изтриване на данните и е продължила да изпраща SMS съобщения на неправилния телефонен номер.Прочетете повече
ГърцияAegean Marine Petroleum Network Inc.2019, декември150 000Чл. 5, чл. 6, чл. 32 от Регламента (Недостатъчни технически и организационни мерки във връзка с информационната сигурност )Касае основно данни на собствени на компанията служители. Компании извън Aegean Marine Petroleum Network Inc. са имали достъп до нейните сървъри, съдържащи лични данни и са копирали съдържанието от сървърите, тъй като Aegean Marine Petroleum не е предприела необходимите технически мерки за осигуряване на обработката на големи количества данни и не е пазила съответния софтуер отделно от личните данни, съхранявани на сървърите. Освен това, Aegean Marine Petroleum не е информирала субектите на данни за обработката на личните си данни, съхранявани на сървърите.Прочетете повече
ГърцияДоставчик на телекомуникационни услуги2019, октомври200 000Чл. 5, пар. 1, б. "в", чл. 25 от Регламента (Несъответствие с принципите на Регламента)Голям брой клиенти са станали обект на обаждания от телемаркетинг, въпреки че са били заявили отказ от това - отказите са били игнорирани поради технически грешки.Прочетете повече
ГърцияДоставчик на телекомуникационни услуги2019, октомври200 000Чл. 21, пар. 3, чл. 25 от Регламента (Несъответствие с принципите на Регламента)Неподходящи технически мерки са довели до това данните на 8 000 клиента да не бъдат изтрити след техно отправено искане за това.Прочетете повече
ГърцияPWC Business Solutions2019, юли150 000Чл. 5, пар. 1, пар. 2, чл. 6, пар. 1, чл. 13, пар. 1, б. "в", чл. 14, пар. 1, б. "в" от Регламента (Липса на правно основание за обработване на лични данни)Обработването на личните данни на служителите се е основавало на съгласие. Надзорният орган е установил, че съгласието като правно основание е неподходящо, тъй като обработването на лични данни е било предназначено за извършване на действия, пряко свързани с изпълнението на трудови договори, спазване на законово задължение, на което е подчинен администраторът, и гладкото и ефективно функциониране на дружеството, като легитимен интерес. В допълнение, компанията е създала у служителите погрешно впечатление, че обработва личните им данни на основание съгласие, докато в действителност е обработвала данните им на друго правно основание. Това е било в нарушение на принципа на прозрачност и следователно в нарушение на задължението за предоставяне на информация съгласно член 13, параграф 1, буква в) и член 14, параграф 1, буква в) от GDPR. И накрая, в нарушение на принципа на отчетност, компанията не е предоставила на надзорния орган доказателства, че е извършила предварителна оценка на подходящите правни основания за обработка на личните данни на служителите.Прочетете повече
ГърцияAllseas Marine S.A.2020, януари15 000Чл. 5, пар. 1, б. "а", пар. 2 от Регламента (Несъответствие с принципите на Регламента)Надзорният орган за защита на данните е санкционирал, заради степента, в която данните за служителите се обработват от система за видеонаблюдение на работното място, поради факта, че въвеждането на системата за видеонаблюдение е незаконно и поради факта, че компанията не е информирала достатъчно служителите си за видеонаблюдението.Прочетете повече
ДанияIDdesign A / S2019, юни200 800Чл. 5, пар. 1, б. "д", чл. 5, пар. 2 от Регламента Несъответствие с принципите на Регламента. IDdesign е обработвал лични данни на приблизително 385 000 клиенти за по-дълъг период, отколкото е необходимо за целите, за които са били обработвани. Освен това компанията не е определила и документирала срокове за изтриване на лични данни в новата си CRM система. Сроковете, определени за старата система, не са били спазвани. Освен това администраторът не е документирал адекватно своите процедури за изтриване на лични данни. Прочетете повече
ИспанияAVON COSMETICS2019, август60 000Чл. 6 от Регламента Липса на правно основание за обработване на лични данни (Потребител е заявил, че AVON COSMETICS неправомерно е обработило данните му, без да провери адекватно самоличността му, което е довело до грешно вписване на данните му в регистър на исковете, като му е попречило на работата с банката му. В резултат на това, трета страна е използвала по измамен начин личните му данни).Прочетете повече
ИспанияVODAFONE ESPANA, S.A.U.2019, декември3 000Чл. 58 от РегламентаНедостатъчно оказване на съдействие на надзорния органПрочетете повече
ИспанияShop Macoyn, S.L.2019, декември5 000Чл. 32 от РегламентаКомпанията е изпратила рекламни имейли до няколко получатели, като имейл адресите на всички останали получатели са били видими за всички получатели, защото адресите на получателите са били поставени като "CC", а не като "BCC".Прочетете повече
ИспанияLinea Directa Aseguradora2019, декември5 000Чл. 6 от РегламентаЛипса на правно основание за обработване на лични данни (застрахователно дружество и рекламни мейли без предварително съгласие)Прочетете повече
ИспанияCerrajeria Verin S.L.2019, декември1 500Чл. 13 от РегламентаНеизпълнение на задължението за предоставяне на информация (липса на lточна информация за дейностите по обработката им в своята декларация за поверителност, публикувана на уебсайта й.)Прочетете повече
ИспанияVODAFONE ESPANA, S.A.U.2019, май27 000Чл. 5, пар. 1, б. "г" от РегламентаНеизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни (mobile phone number was erroneously used for testing purposes and accidentally appeared in various customer files belonging to other customers than the complainant)Прочетете повече
ИспанияCurenergía Comercializador de último recurso2019, ноември75 000Чл. 6 от РегламентаЛипса на правно основание за обработване на лични данни (компанията е използвала личните му данни като бивш клиент, като име и фамилия, ДДС номер и адрес, за да сключи договор за доставка на електроенергия).Прочетете повече
ИспанияФирма за куриерски услуги2019, ноември11 000Чл. 32 от РегламентаНедостатъчни технически и организационни мерки във връзка с информационната сигурност (подходящи технически и организационни мерки, водещи до загуба и неоторизиран достъп до лични данни (име, номер на банкова карта, CVV код, адрес на притежателя на картата, личен идентификационен номер, сериен номер и номер на лична карта, номер на банкова сметка, разрешен кредитен лимит) на приблизително 1 100 субекти на данни.Прочетете повече
ИспанияViaqua Xestión Integral Augas de Galicia2019, ноември60 000Чл. 6 от Регламента Липса на правно основание за обработване на лични данниПрочетете повече
ИспанияCorporación radiotelevisión espanola2019, ноември60 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност (нарушение на сигурността, след като са били изгубени шест некриптирани USB флашки, съдържащи лични данни. Нарушението е засегнало около 11 000 души и е касаело техни идентификационни данни, данни за заетостта, данни за наказателни присъди и данни за здравословно състояние)/Прочетете повече
ИспанияXfera Moviles S.A.2019, ноември60 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност (Субект на данни е получил SMS от Xfera Móviles, който е трябвало да бъде адресиран до трета страна и който му е позволил да получи достъп до акаунта и личните данни на тази трета страна на уебсайта Xfera Móviles чрез телефонния номер и паролата, получени чрез SMS-а.
)
Прочетете повече
ИспанияTelefónica SA2019, ноември30 000Чл. 5 от РегламентаНесъответствие с принципите на Регламента/ (Telefónica е таксувала жалбоподателя с най-различни такси във връзка с оперирането с тел. линия, с която субектът на данни не е имал нищо общо. Причината е била в това, че банковата сметка на жалбоподателя е била свързана с друг клиент на фирмата, което е довело да таксуване на сметката на жалбоподателя за чужди задължения. Според надзорния орган, това е в нарушение с принципа за точност по чл. 5, пар. 1, б. "г" от Регламента).Прочетете повече
ИспанияGeneral Confederation of Labour ('CGT')2019, ноември3 000Чл. 6 от РегламентаЛипса на правно основание за обработване на лични данни (CGT, с цел да свика събрание, е изпратило по електронната поща лични данни на жалбоподателката, включително домашния й адрес, семейно положение, състоянието на бременност и датата на продължаващо дело за словесна обида и тормоз, до 400 членове на организацията без нейното съгласие).
Прочетете повече
ИспанияTODOTECNICOS24H S.L.2019, ноември900Чл. 13 от РегламентаНеизпълнение на задълженията за предоставяне на информация в своята декларация за поверителност съгласно член 13 от GDPR.Прочетете повече
ИспанияCerrajero Online2019, ноември1 500Чл. 13 от РегламентаНеизпълнение на задълженията за предоставяне на информацияПрочетете повече
ИспанияENDESA (доставчик на енергия)2019, ноември60 000Чл. 5, пар. 1, б. "е" от РегламентаЛипса на правно основание за обработване на лични данни (Банковата сметка на жалбоподателката е била таксувана от ENDESA, от което се е облагодетелствало трето лице, което е осъдено по наказателно производство и му е издадена двугодишна ограничителна заповед относно жалбоподателката, местоживеенето и работата й. Вместо да промени детайлите на договора, както е поискала жалбоподателката, ENDESA е изтрила по грешен начин данните й и е попълнила данните на третата страна. AEPD констатира, че разкриването на данните на жалбоподателката на третото лице е тежко нарушение на принципа на поверителност.)Прочетете повече
ИспанияMadrileña Red de Gas2019, ноември12 000Чл. 32 от Регламента азовата компания не е предприела подходящи мерки за проверка на самоличността на субекта на данните. Лицето, подало жалбата, твърди, че, в отговор на искане, компанията е изпратила по имейл информацията, касаеща него, на трета страна.Прочетете повече
ИспанияJocker Premium Invex2019, октомври6 000Чл. 6 от РегламентаЛипса на правно основание за обработване на лични данни (След като се регистрира за местно преброяване, Jocker Premium Invex изпраща на жалбоподателя реклами по пощата и търговски оферти, въпреки че данни като име, фамилия и пощенски адрес се съобщават само на публичната администрация.)Прочетете повече
ИспанияVODAFONE ESPANA, S.A.U.2019, октомври36 000Чл. 5, чл. 6 от РегламентаЛипса на правно основание за обработване на лични данни (Жалбоподателят, чиито данни са били предоставени на компанията от дъщеря му, която е била упълномощена от него, е получил обаждане от компанията, предлагаща нейните услуги, които той е отказал. Въпреки това Vodafone España е продължила да му предоставя услуги и да иска плащане от него).Прочетете повече
ИспанияXfera Moviles S.A.2019, октомври60 000Чл. 5, чл. 6 от РегламентаЛипса на правно основание за обработване на лични данни (Xfera Movile е използвала лични данни без правно основание за сключване на договор по телефона и е продължила да обработва личните данни, дори когато субектът на данни е поискал да бъде прекратено обработването).Прочетете повече
ИспанияIberdrola Clientes2019, октомври8 000Чл. 31 от РегламентаЛипса на сътрудничество с надзорния органПрочетете повече
ИспанияVueling Airlines2019, октомври30 000Чл. 5, чл. 6 от РегламентаЛипса на правно основание за обработване на лични данни (непредоставяне на потребителите на възможност да откажат "бисквитките" и за това, че ги е принуждавал да ги използват ако искат да използват сайта на компанията. С други думи, не е било възможно да се изпозлва сайта им, бе з да се "приемат" техните "бисквитки").Прочетете повече
ИспанияProfessional Football League (LaLiga)2019, юни250 000Чл. 5, пар. 1, б. "а", чл. 7, пар. 3 от Регламента Неизпълнение на задълженията за предоставяне на информация (Националната футболна лига (LaLiga) е била санкционирана за това, че е предлагала приложение, което веднъж на минута достъпва микрофона на мобилните телефони на потребителите, за да открие кръчмите, показващи футболни мачове, без да се плаща такса. Според надзорния орган, LaLiga не е информирала адекватно потребителите на приложението за тази практика. Прочетете повече
ИспанияAsociación de Médicos Demócratas2020, януари10 000Чл. 6 от Регламента (липса на съгласие)Липса на правно основание за обработване на лични данни (нпо, малка организация)Прочетете повече
ИспанияEDP Comercializadora, S.A.U.2020, януари75 000Чл. 6 от Регламента (липса на правно основание)Фирмата е обработвала лични данни във връзка с договор за газ без съгласието на заявителя. В решението се установява, че заявителят е получил фактура по такъв договор, който не е подписал и че EDP Comercializadora твърди, че заявителят е страна по договор с друга енергийна компания, която има договор за доставка с EDP Comercializadora и че обработката на данните следователно е оправдано. AEPD е заявила, че EDP Comercializadora трябва да докаже, че жалбоподателят се е съгласил да сключи договор с втора фирма, а не само с директния си доставчик на енергия.Прочетете повече
ИспанияEDP España S.A.U.2020, януари75 000Чл. 6 от РегламентаКомпанията е обработвала лични данни като име и фамилия, данъчен номер, адрес и номер на мобилен телефон без съгласието на субекта на данните.Прочетете повече
ИспанияVODAFONE ESPANA, S.A.U.2020, януари44 000Чл. 5, пар. 1, б. "е" от РегламентаКомпанията е изпратила договор с лични данни, включително името, адреса и телефонния номер на заявителя, на грешния получател.Прочетете повече
ИспанияИкеа2020, януари10 000Чл. 6, параграф 1, буква а) от РегламентаKEA en España е инсталира бисквитки на устройствата на потребителите без да получи тяхното съгласие за това.Прочетете повече
ИталияИталианска политическа партия - Movimento 5 Stelle2019, април50 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност . Процедурата е започнала преди май 2018 г., но италианският орган за защита на данните е наложил санкция по GDPR, тъй като платформата не е приела мерки за сигурност, изисквани чрез заповед, издадена след 25 май 2018 г.Прочетете повече
ИталияEni Gas e Luce2019, декември11 500 000Чл. 5, пар. 1, чл. 6, чл. 17, чл. 21 от РегламентаИталианският надзорен орган е наложил две имуществени санкции на обща стойност 11,5 милиона евро на Eni Gas и Luce (Egl) за незаконно обработване на лични данни в контекста на рекламни дейности и сключване на непоискани договори. Първата глоба в размер на 8,5 милиона евро се отнася до незаконната обработка във връзка с телемаркетинг и телесейлс. Заедно с това, промоционалните обаждания са били направени без съгласието на лицето, на което са се обаждали или въпреки отказа му да получава промоционални обаждания, или без да се задействат специалните процедури за проверка на публичния регистър за отказ от получаване на такива обаждания. Освен това, липсват технически и организационни мерки, които да отчитат информацията, предоставена от потребителите; данните са били обработвани по-дълго от разрешените периоди на съхранение на данните, а данните за потенциалните клиенти са били събрани от фирми (продаващи такива списъци), които не са били получили съгласие за разкриването на тези данни.Прочетете повече
КипърBreikot Management Ltd2019, април3 000Чл. 5, пар. 1, б. "в" от РегламентаПетима жалбоподатели са се оплакали, че Breikot Management Ltd, член на медийната група Nikodea, е злоупотребило с личните им данни в четири издания на издаван вестник. Надзорният орган е счел, че е налице нарушение на принципа на минимизиране на данните от страна на компанията, тъй като и по-малко данни биха послужили на обществения интерес.Прочетете повече
КипърSigma Live Ltd2019, април5 000Чл. 6, параграф 1, буква а) от РегламентаЖалбоподателят се е оплакал, че Sigma Live Ltd е публикувало и обработвало личните му данни без предварителното му съгласие. Надзорният орган е счел, че е имало нарушение на чл. 6, параграф 1, буква а) от Регламента от страна на дружеството заради липсата на дадено съгласие.Прочетете повече
КипърAltius Insurance Ltd2019, март4 000Чл. 6, параграф 1, буква а) от РегламентаИзпратени SMS реклами от Altius Insurance Ltd.
Надзорният орган e получил 8 жалби от физически лица, получили SMS съобщение от Altius Insurance Ltd без тяхното съгласие и без предходни търговски отношения с компанията.
Компанията е съобщила, че телефонните номера, използвани за пратката, са генерирани на случаен принцип чрез софтуерен инструмент. Надзорният орган е посочил, че телефонните номера, дори да са избрани на случаен принцип, са лични данни, след като притежателят им може да бъде лесно идентифициран. Надзорът е издал решение на 13/3/2019 г., с което е наложил на компанията имуществена санкция в размер на 4 000 евро.
Прочетете повече
КипърSkroutz.com.cy (сайт) 2019, март 3 400Чл. 6, параграф 1, буква а), чл. 7 от РегламентаШест лица са се оплакали на Надзорния орган , че получават промоционални имейли от сайта Skroutz.com.cy без тяхното съгласие и / или въпреки искането да не ги получат.
5-ма от жалбоподателите са поискали посредством опцията "unsubscribe" да спрат да им изпращат съобщения и / или имейли, но без резултат.
Уеб администраторът е представил доказателства, че един от жалбоподателите е закупил продукти от сайта, но не е предоставил ясна информация за това как са получени адресите на останалите жалбоподатели.
Той е казал, че причината жалбоподателите да продължават да получават съобщения, въпреки че са се отписали, е промяната в платформата за имейл съобщения.
Надзорният орган е издал решение на 28/3/2019, с което е наложил на компанията имуществена санкция в размер на 3 400 евро.
Прочетете повече
КипърSocial Insurance Services of the Ministry of Labor, Welfare and Social Insurance2019, октомври9 000Чл. 32 от Регламента (Недостатъчни технически и организационни мерки във връзка с информационната сигурност)Неприлагането на адекватни мерки за осигуряване защитата на данните, споделяне на данни с трети неоторизирани лица, неспазено задължение за навременно рапортуване на инциденти.Прочетете повече
КипърeShop for Sports (M.L. PRO.FIT SOLUTIONS LTD)2019, октомври1 000Чл. 6, чл. 21 от РегламентаИзпращане на маркетингови SMS, без да е дадена възможността получателите да се откажат от получаването им. Прочетете повече
Кипъртри компании - Subsidiaries of the Louis Group ( 70,000 euros to LGS Handling, 10,000 euros to Louis Travel and 2,000 euros to Louis Aviation)2019, октомври82 000Чл. 6, пар. 1 и чл. 9 от РегламентаЛипса на правно основание за инструмента „Брадфорд Фактор“, използван за оценка на отпуските по болнични листове на служителите.Прочетете повече
КипърA.G. QUICKSPA LIMITED2019, октомври1 200Чл. 32 от РегламентаЖалба за получаване на SMS съобщение (реклама) от AG QUICKSPA LIMITED. Надзорният орган е счел, че администраторът е бил длъжен да предприеме подходящи технически и организационни мерки, за да гарантира упражняването на правата на субектите на данни, независимо дали има промяна в членовете на персонала. Администраторът е бил санкциониран с 1 200 евро.Прочетете повече
КипърЛекар2019, септември14 000Чл. 5, чл. 6 от Регламента (Липса на правно основание за обработване на лични данни)Публикуване от страна на лекар на чувствителни пациентски данни в Instagram без предварително съгласие.Прочетете повече
КипърРегистрирана компания, която изнася имоти на публичен търг2019, септември2 000Чл. 6, параграф 1, буква а), чл. 5, пар. 1, б. "б" от РегламентаТелефонният номер на всеки субект на данни е лични данни, като се има предвид, че той може да доведе до идентификация на притежателя му. Съгласно Закона за прехвърляне на имоти и ипотека от 1965 г. (9/1965 г.)
е установено, че има специфичен процес за продажба
на ипотекиран имот на търг, който трябва да се спазва и който не
предвижда намеса на трети страни с цел намиране на купувач,
преди началото на тръжната процедура. На основание
чл. 6, параграф 4 от Регламента, незаконно са използвани
лични данни на жалбоподателя за друга цел от тази, за която са били събрани, без нейното предварително съгласие.
Прочетете повече
КипърОбщински съветник2019, септември1 000Чл. 6, параграф 1, буква а), чл. 7 от РегламентаРазкриване и / или предоставяне на лични данни без предварително дадено съгласие. След проверката по жалбата е било установено, че са предприети подходящи мерки за сигурност от страна на Общината и затова надзорът счита, че жалбата срещу Общината не се нуждае от допълнителна проверка.
Надзорният орган е издал решение срещу общинския съветник, който е действал като отделно обработващо лице - санкцията е в размер на хиляда евро (1 000 евро).
Прочетете повече
КипърКандидат в изборите за европейски парламент2019, юли2 000Чл. 6, параграф 1, буква а), чл. 7 от РегламентаПетима жалбоподатели са се оплакали, че г-н Елефтериос Деметриу, кандидат за изборите за Европейския парламент, им е изпратил SMS съобщения без тяхното съгласие и без да им бъде предложена опцията за възражение съгласно член 106, параграф 2 от Закон № 112 (I). / 2004. Три от петте жалби са били оттеглени преди да бъде взето окончателно решение.
Установено е нарушение на член 106, параграф 2 от L.112 (I) / 2004. След като са се взели предвид различни смекчаващи и утежняващи обстоятелства, е била наложена имуществена санкция в размер на 2 000 евро.
Прочетете повече
КипърПолитическа партия2019, юли3 000Чл. 6, чл. 21 от РегламентаЧетирима жалбоподатели са се оплакали от изпращане на SMS съобщения и тормоз по телефона. При проверката на жалбите се оказало, че в крайна сметка се касае само за телефонни неудобства.
За двама от жалбоподателите e бил налице легитимен интерес от използването на личните им данни, тъй като те са били членове на съответната страна (член 6, параграф 1, буква е). За останалите двама жалбоподатели политическата партия не е доказала получаването на съгласието им в съответствие с член 6, ал. 1, буква а) от Регламента за такива телефонни обаждания, нито е бил налице легитимен интерес от използването на личните им данни (член 6, параграф 1, буква е). Нарушен е и член 21, тъй като възможността за възражение срещу конкретния телефонен разговор не е било предоставена. След като са се взели предвид различни смекчаващи и утежняващи обстоятелства, е била наложена имуществена санкция в размер на 3 000 евро.
Прочетете повече
КипърЧастна компания2019, юли2 000Чл. 6 от РегламентаНеспазване на правилата за директен маркетинг.Прочетете повече
ЛатвияОнлайн услуги2019, август7 000Чл. 17 от Регламента Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни . Търговец, който предоставя услуги в онлайн магазин, е нарушил „правото да бъдеш забравен“ съгласно чл. 17 GDPR, когато е било многократно поискано от субект на данни да изтрие всички негови лични данни, по-специално номер на мобилен телефон, който търговецът е получил като част от поръчка. Независимо от това, търговецът многократно е изпращал рекламни съобщения чрез SMS на мобилния телефонен номер на субектите на данни.Прочетете повече
ЛатвияНяма информация2019, ноември150 000Чл. 6 от РегламентаЛипса на правно основание за обработване на лични данниПрочетете повече
ЛитваДоставчик на платежни услуги - UAB MisterTango2019, май61 500Чл. 5, чл. 32, чл. 33 от Регламента Неизпълнение на задълженията за уведомяване при нарушение на сигурността на личните данни. Засегнати са 9 000 плащания при 12 банки от различни страни. Според надзорния орган е било необходимо да се подаде уведомление за нарушение сигурността на данните съгласно чл. 33 GDPR. Администраторът не е уведомил надзорния орган за нарушението.Прочетете повече
МалтаПоземленна комисия (публичен орган)2019, февруари5 000Чл. 5, чл. 32 от РегламентаВ резултат на липсата на подходящи мерки за сигурност на уебсайта на Lands Authority, над 10 гигабайта лични данни са станали лесно достъпни за обществеността чрез обикновено търсене в Google. По-голямата част от изтеклите данни са съдържали силно чувствителна информация и кореспонденция между лица и самия поземлен орган. Поземленият орган е решил да не обжалва. В Малта, в случай на нарушение от страна на публичен орган или лице, комисарят по защита на данните може да наложи административна глоба в размер до 25 000 евро за всяко нарушение и може допълнително да наложи дневна глоба в размер на 25 евро за всеки ден, през който това нарушение продължава.Прочетете повече
НорвегияОбщинският департамент по образованието в Осло2019, април203 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност. Санкция за уязвимости в сигурността на приложение за мобилни съобщения, разработено за използване в училище в Осло. Приложението позволява на родителите и учениците да изпращат съобщения до училищния персонал. Поради недостатъчни технически и организационни мерки за защита на информационната сигурност, неоторизирани лица са успели да влязат като оторизирани потребители и да получат достъп до лични данни за студенти, законни представители и служители.Прочетете повече
НорвегияОбщина Берген2019, март170 000Чл. 5, пар. 1, б. "е", чл. 32 от Регламента Инцидентът е свързан с компютърни файлове с потребителски имена и пароли за над 35 000 потребителски акаунта в компютърната система на общината. Потребителските акаунти са свързани както с учениците в основните училища в общината, така и със служителите в същите училища. Поради недостатъчни мерки за сигурност, тези файлове са били незащитени и свободно достъпни. Липсата на мерки за сигурност в системата е позволила на всеки, който желае, да влезе в различните информационни системи на училището и по този начин да получи достъп до различни категории лични данни, свързани с учениците и служителите на училищата. Фактът, че нарушението на сигурността обхваща личните данни на над 35 000 лица и че по-голямата част от тях са деца, е бил счетен за утежняващо обстоятелство. Общината също е била предупреждавана няколко пъти, както от органа, така и от вътрешен служител, че защитата на данните е недостатъчна.Прочетете повече
ПолшаСпортна асоциация2019, април12 950Чл. 6 от Регламента Липса на правно основание за обработване на лични данни. (санкция по повод публикуване на лични данни, отнасящи се до съдии, които са получили съдийски лицензи онлайн. Били са предоставени не само имената им, но и точните им адреси и номера на PESEL. Нямало е законово основание такъв широк спектър от данни за съдиите да бъдат достъпни в Интернет. Като ги е оповестил публично, администраторът е създал потенциален риск от неправомерното им използване. Въпреки че самата асоциация е забелязала собствената си грешка, видно от уведомяването за нарушение на защитата на личните данни до председателя на PDPA, фактът, че опитите за отстраняването й са били неефективни, е довел до налагането на санкция.
ПолшаЧастна фирма, работеща с данни от публично достъпни източници2019, март219 538Чл. 14 от Регламента Неизпълнение на задълженията за предоставяне на информация. Санкцията се отнася до производство, свързано с дейността на дружество, което обработва данните на субекти на данни, получени от публично достъпни източници, inter alia от Централния електронен регистър и Информацията за икономическа дейност, като обработва данните за търговски цели. Надзорният орган е установил несъответствието със задължението за информация по отношение на физически лица, извършващи стопанска дейност - предприемачи, които в момента извършват такава дейност или са я спрели, както и предприемачи, които са извършвали такава дейност в миналото. Администраторът е изпълнил задължението за информация, като е предоставил информацията, изисквана по чл. 14 (1) - (3) от GDPR, само по отношение на лицата, чиито имейл адреси има на разположение. Относно останалите лица, администраторът не е спазил задължението за информация - както било обяснено в хода на производството - поради високи оперативни разходи. Затова фирмата е предоставила информация само на своя уебсайт. Според UODO това не е било достатъчно.Прочетете повече
ПолшаMajor of Aleksandrów Kujawski2019, октомври9 400Чл. 28 от РегламентаНе е сключено споразумение за обработване на данни с компанията, чиито сървъри са съдържали ресурсите на Публичния информационен бюлетин (BIP) на Общинския офис в Александрув Куявски. Прочетете повече
ПолшаClickQuickNow2019, октомври47 000Чл. 5 от РегламентаНесъответствие с принципите на Регламента. The UODO е наложил имуществена санкция в размер на 47 000 EUR за възпрепятстване упражняването на правото на отказ за обработка на лични данни. Компанията не е предприела подходящи технически и организационни мерки, които да позволяват простото и ефективно оттегляне на съгласието за обработване на лични данни и упражняването на правото да поискате заличаване на лични данни.Прочетете повече
ПолшаMorele.net2019, септември645 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност. недостатъчни организационни и технически гаранции, които са довели до нерегламентиран достъп до личните данни на 2,2 милиона души.Прочетете повече
ПортугалияДържавна болница2018, юли400 000Чл. 5, пар. 1, б. "е", чл. 32 от Регламента Проверката е разкрила, че персоналът на болницата, психолозите, диетолозите и други специалисти са имали достъп до данните на пациента чрез неистински/неактуални профили. Системата за управление на профилите не е била добра - болницата е имала 985 регистрирани лекарски профила, докато в нея са работили само 296 лекари. Освен това, лекарите са имали неограничен достъп до всички досиета на пациентите, независимо от специалността на лекаря.Прочетете повече
ПортугалияНяма информация2019, март2 000Чл. 13 от Регламента Непредоставяне на информация по отношение на използването на системи за видеонаблюдение.Прочетете повече
ПортугалияНяма информация2019, март2 000Чл. 13 от Регламента Непредоставяне на информация по отношение на използването на системи за видеонаблюдение (CCTV). Прочетете повече
ПортугалияНяма информация2019, февруари20 000Чл. 15 от Регламента Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни. Отказ на правото на достъп на Субекта на данните до записани телефонни разговори.Прочетете повече
РумънияTelekom Romania Mobile Communications SA2019, декември2 000Чл. 32 от РегламентаКомпанията не е успяла да осигури точността на обработката на личните данни, което е довело до разкриване на лични данни на клиент на друг клиент.Прочетете повече
РумънияSC Enel Energie S.A. (дистрибутор на електричество)2019, декември6 000Чл. 5, чл. 6, чл. 7, чл. 21 от РегламентаСанкциите са били наложени след жалба, в която се твърди, че Enel Energie незаконно е обработило личните данни на дадено лице и не е в състояние да докаже, че е получило съгласието на лицето да изпраща известия по електронна поща. Освен това, ANSPDCP е посочил, че операторът не е предприел необходимите мерки за прекратяване на изпращането на известия по мейла, въпреки факта, че лицето многократно е упражнило правото си на възражение. Операторът на SC Enel Energie SRL е санкциониран с две глоби, всяка в размер на 14 334,30 леи, еквивалент на сумата от 3 000 EUR.Прочетете повече
РумънияGlobus Score SRL2019, декември2 000Чл. 58 от РегламентаНедостатъчно оказване на съдействие на надзорния органПрочетете повече
РумънияEntirely Shipping & Trading S.R.L.2019, декември5 000Чл. 5, пар. 1, чл. 6, чл. 7 от РегламентаКомпанията е обработила прекомерно личните данни на своите служители чрез видеокамерите, инсталирани в офисите и на местата, където има шкафове, където служителите съхраняват резервните си дрехи (съблекални) (нарушение на принципа на "минимизиране на данни").Прочетете повече
РумънияEntirely Shipping & Trading S.R.L.2019, декември5 000Чл. 5, пар. 1, чл. 6, чл. 7, чл. 9 от РегламентаКомпанията е обработила биометрични данни (пръстови отпечатъци) на служителите за достъп до определени помещения, въпреки че могат да се използват по-малко натрапчиви средства за поверителност на субектите на данни (нарушение на принципа на "минимизиране на данни").Прочетете повече
РумънияHora Credit IFN SA2019, декември14 000Чл. 5, чл. 25, чл. 32, чл. 33 от РегламентаСанкциите са били наложени в резултат на жалба, в която се твърди, че Hora Credit IFN SA предава документи, съдържащи лични данни на друго лице, на грешен имейл адрес. След проверката е било установено, че Hora Credit IFN SA обработва данните, без да предоставя ефективни механизми за проверка и валидност на точността на събраните данни, обработени в съответствие с принципите, изложени в чл. 5 от GDPR. Установено е също, че операторът не е предприел достатъчно мерки за сигурност на личните данни, съгласно чл. 25 и 32 от GDPR, за да се избегне неразрешено разкриване на лични данни на трети страни. В същото време, Hora Credit IFN SA не е уведомило надзорния орган за инцидента със сигурността. Санкцията се състои от три частични имуществени санкции от 3 000 евро, 10 000 евро и 1 000 евро.Прочетете повече
РумънияS CNTAR TAROM SA (авиокомпания)2019, декември20 000Чл. 32 от РегламентаРумънският орган за защита на данните е наложил санкция на авиокомпания, тъй като не е предприела подходящи мерки, за да гарантира, че всяко физическо лице, действащо под нейния надзор, обработва лични данни в съответствие с неговите инструкции (член 32, параграф 4 от GDPR). Това е довело до това служител да има неоторизиран достъп до заявлението за резервация и да може да заснеме списък с личните данни на 22 пътници / клиенти, за да публикува този списък в Интернет.Прочетете повече
РумънияNicola Medical Team 17 SRL2019, декември2 000Чл. 58 от РегламентаНедостатъчно оказване на съдействие на надзорния органПрочетете повече
РумънияRoyal President S.R.L.2019, ноември2 500Чл. 15, чл. 6, чл. 32 от РегламентаRoyal President S.R.L. е отказало на искане за достъп до лични данни съгласно член 15 от GDPR и е разкрило лични данни без съгласието на субектите на данни. Освен това не е предприело подходящи технически или организационни мерки, за да гарантира сигурността на обработваните данни.Прочетете повече
РумънияАсоциация на собствениците на жилища2019, ноември500Чл. 32 от РегламентаАсоциацията е използвала системи за видеонаблюдение без предоставяне на информация съгласно чл. 13 GDPR и без адекватни мерки за сигурност по отношение на лицата, които имат достъп до системата.Прочетете повече
РумънияING Bank N.V.2019, ноември80 000Чл. 32 от РегламентаING Bank не е предприела подходящи технически и организационни мерки за автоматизирана система за обработка на данни по време на процеса на сетълмент на картови транзакции, засягащи 225 525 клиенти, в резултат на което двойни транзакции са извършени между 8-ми и 10-ти октомври.Прочетете повече
РумънияФризьорски салон2019, ноември3 000Чл. 58 от РегламентаНедостатъчно оказване на съдействие на надзорния органПрочетете повече
РумънияBNP Paribas Personal Finance S.A.2019, ноември2 000Чл. 12, чл. 17 от Регламента BNP Paribas Personal Finance не са реагирали на искане за изтриване на данни в рамките на предвидения в Регламента срок. Прочетете повече
РумънияUTTIS INDUSTRIES SRL2019, октомври2 500Чл. 12, чл. 13, чл. 5, пар. 1, б. "в", чл. 6 от РегламентаСанкциите са били наложени, тъй като администраторът не е могъл да докаже, че субектите на данни са били информирани за обработването на лични данни (става въпрос за изображения, събирани чрез системата за видеонаблюдение, която е оперирала от 2016 г.) и тъй като е разкрил данни чрез показване на Отчета за обучението на упълномощения персонал на ISCIR за 2018 г. на фирмения нотификатор и не е могъл да докаже законността на обработването чрез разкриване, съгласно чл. 6 GDPR.Прочетете повече
РумънияRaiffeisen Bank SA2019, октомври150 000Чл. 32 от Регламента Райфайзен Банк Румъния е извършила оценяване на базата на лични данни на лица, регистрирани на платформата Vreau Credit, предоставени от служителите на платформата чрез WhatsApp и след това е върнала резултата на Vreau Credit, използвайки същите средства за комуникация.Прочетете повече
РумънияVreau Credit SRL2019, октомври20 000Чл. 32, чл. 33 от РегламентаРайфайзен Банк Румъния е извършила оценяване на базата на лични данни на лица, регистрирани на платформата Vreau Credit, предоставени от служителите на платформата чрез WhatsApp и след това е върнала резултата на Vreau Credit, използвайки същите средства за комуникация.Прочетете повече
РумънияInteligo Media SA2019, септември9 000Чл. 5, пар. 1, б. "а", чл. 6, пар. 1, б. "а" от РегламентаЛипса на правно основание за обработване на лични данни. Като част от процеса по регистрация на уебсайта avocatnet.ro, операторът е използвал незапълнено квадратче, чрез което потребителите могат да декларират, че не желаят да получават информационни писма по електронна поща (отказ). Без никакви действия на потребителя автоматично са се изпращали информационни писма по електронна поща. Това не отговаря на изискванията за съгласие по GDPR.Прочетете повече
РумънияLEGAL COMPANY & TAX HUB SRL2019, юли3 000Чл. 32 от Регламента Санкцията е наложена, тъй като не са били приложени адекватни технически и организационни мерки за осигуряване на ниво на сигурност, подходящо за риска на обработването. Това е довело до нерегламентирано разкриване и неоторизиран достъп до личните данни на хора, които са направили транзакции към уебсайта avocatoo.ro (име, фамилия, пощенски адрес, имейл, телефон, работа, подробности за извършените транзакции), поради публично достъпни документи между 10 декември 2018 г. и 1 февруари 2019 г. Националният надзорен орган е наложил санкцията след уведомление от 12 октомври 2018 г., в което се посочва, че набор от файлове относно детайлите на транзакциите, получени от уебсайта avocatoo.ro, съдържащ име, фамилия, адрес за кореспонденция, имейл, телефон, работа и подробности за извършените транзакции, е бил обществено достъпен чрез две връзки.Прочетете повече
РумънияWORLD TRADE CENTER BUCHAREST SA2019, юли15 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност . Нарушаването на сигурността на данните е било свързано с това, че отпечатан списък на хартия, използван за проверка на клиентите на закуска и съдържащ лични данни на 46 клиенти, отсядали в СВЕТОВНИЯ ТЪРГОВСКИ ЦЕНТЪР BUCHAREST SA, е сниман от неоторизирани хора извън компанията, което е довело до разкриването на личните данни на някои клиенти чрез онлайн публикация. Операторът на WORLD TRADE CENTER BUCHAREST SA е санкциониран, тъй като не е предприел стъпки, за да гарантира, че данните не се разкриват на неоторизирани страни.Прочетете повече
РумънияUNICREDIT BANK SA2019, юни130 000Чл. 25, пар. 1, чл. 5, пар. 1, б. "в" от Регламента Санкцията е наложена в резултат на неприлагането на подходящи технически и организационни мерки (свързани с (1) определянето на средствата / операциите за обработка и (2) интегрирането на необходимите предпазни мерки), което води до разкриване онлайн на идентификационни номера и адреси (вътрешни/ външни транзакции) на 337 042 субекти на данни пред съответния бенефициент (между 25.05.2018 г.-10.12.2018 г.).Прочетете повече
УнгарияНяма информация2018, декември3 200Чл. 12, пар. 4, чл. 15, чл. 18, пар. 1, б. "в", чл. 13 от Регламента Санкцията е наложена за (i) непредоставяне на субект на данни на записи от видеонаблюдение, (ii) незапазване на записи за по-нататъшно използване от субекта на данните, и (iii) неинформиране на субекта на данните за правото му да подаде жалба до надзорния орган.Прочетете повече
УнгарияНяма информация2019, април9 400Чл. 5, пар. 1, б. "а", чл. 6 от Регламента Според надзорния орган, администраторът на данни е използвал грешно правно основание за обработката на лични данни (член 6.1.б) при прехвърляне на вземания.Прочетете повече
УнгарияУнгарска политическа партия2019, април34 375Чл. 33, пар. 1, пар. 5, чл. 34, пар. 1 от Регламента унгарска политическа партия за това, че не е уведомила NAIH и съответните лица за нарушение на сигурността на данните и не е документирала нарушението съгласно член 33.5 от GDPR. Съгласно закона, глобата се основава на 4% от годишния оборот на партията и 2,65% от очаквания оборот за следващата година. Нарушението е резултат от кибератака от анонимен хакер, който е получил достъп и е разкрил информация за уязвимостта на системата на организацията - база данни от над 6000 индивида - и начина, използван за хакерската атака. Системата е уязвима за атака поради проблем с пренасочването в уеб страницата на организацията. След като нападателят публикува начина на хакерската атака, дори хора с ниски познания по ИТ са успели да извлекат информация от базата данни.Прочетете повече
УнгарияНяма информация2019, април1 900Чл. 15 от Регламента Администраторът не е изпълнил искането за достъп на субекта на данни.Прочетете повече
УнгарияТърговец2019, декември1 500Чл. 6 от РегламентаКомпанията не е успяла да изтрие личните имейли на бившия служител и затова е обработвала лични данни без правно основание и при надвишаване на изискванията за съхранение на данни.Прочетете повече
УнгарияОрганизаторът на SZIGET festival и VOLT festival2019, май92 150Чл. 6, чл. 5, пар. 1, б. "б", чл. 13 от Регламента използвано е неподходящо правно основание и че администраторът не спазва принципа за ограничение на целите. Освен това, на субектите на данни не е предоставена цялостна информация за обработката.Прочетете повече
УнгарияНеназована финансова институция2019, март3 200Чл. 5, пар. 1, б. "б", б. "в", чл. 13, пар. 3, чл. 17, пар. 1, чл. 6, пар. 4 от Регламента Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни . Санкцията е наложена във връзка с искането на субекта на данните за корекция и заличаване на данните.
УнгарияКметската служба на град Kecdkemét2019, февруари3 200Чл. 5, пар. 1, б. "а", чл. 6 от Регламента Липса на правно основание за обработване на лични данни. Санкцията е била наложена на Кметската служба на град Kecdkemét за незаконно разкриване на личната информация на лицата, подали сигнал. SNIH е наложил санкцията след като служител на организация под ръководството на Кметската служба, е подал оплакване срещу работодателя си директно към нея. След като организацията е научила за оплакването, тя е поискала подробности, за да разследва и местната власт случайно е разкрила името на жалбоподателя. NAIH е счел за утежняващо обстоятелство, че, в резултат на нарушението, организацията е уволнила лицето, което е направило оплакването.
УнгарияСъбирач на вземания2019, февруари1 560Чл. 5, пар. 1, б. "а", б. "в" от Регламента Несъответствие с принципите на Регламента
УнгарияБанка2019, февруари1 560Чл. 5, пар. 1, б. "г" от РегламентаНесъответствие с принципите на Регламента
УнгарияНяма информация2019, юни15 150Чл. 33 от Регламента Неизпълнение на задълженията за уведомяване при нарушение на сигурността на личните данни (загубена флаш памет с лични данни).Прочетете повече
ФранцияSERGIC (недвижими имоти)2019, май400 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност . CNIL основава санкцията на две основания: Липса на основни мерки за сигурност и прекомерно съхранение на данни. Що се отнася до първото, документи с чувствителни данни, качени от кандидатите за вземане под наем (включително лични карти, здравни карти, данъчни известия, удостоверения, издадени от фонда за семейни надбавки, съдебни решения за развод, извлечения от акаунти), са били достъпни онлайн, без да съществува автентификационна процедура. Въпреки че уязвимостта е известна на компанията от март 2018 г., тя не е била отстранена окончателно чак до септември 2018 г. В допълнение, компанията е съхранявала предоставената от кандидатите документация за по-дълго от необходимото. CNIL е взел предвид сериозността на нарушението (липса на надлежна грижа за справяне с уязвимостта и факта, че документите са разкрили много интимни аспекти от живота на потребителите), големината на компанията и нейното финансово състояние.Прочетете повече
ФранцияFutura Internationale2019, ноември500 000Чл. 5, чл. 6, чл. 13, чл. 14, чл. 21 от РегламентаFutura Internationale е била санкционирана за непоискани повиквания, след като няколко жалбоподатели са получили такива обаждания въпреки че са заявили директно на търсещия ги по телефона и по пощата, че не желаят да им се обаждат. По-конкретно, решението посочва, че проверката на място разкрива, че Futura Internationale е получила няколко писма с възражения срещу непоисканите повиквания, че е съхранявала прекомерно много информация за клиентите и тяхното здраве и че Futura Internationale не е информирала субектите за обработването на личните им данни или записването на телефонните разговори.Прочетете повече
ФранцияACTIVE ASSURANCES (застраховател, предлагащ автомобилни застраховки)2019, юли180 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност. Голямо количество клиентски сметки, документи на клиенти (включително копия на шофьорски книжки, регистрации на превозни средства, банкови извлечения и документи, за да се определи дали дадено лице е било обект на отнемане на лиценз) и данните са били лесно достъпни онлайн. CNIL критикува управлението на паролите. Прочетете повече
ФранцияUNIONTRAD COMPANY (работодател)2019, юни20 000Чл. 5, пар. 1, б. "в", чл. 12, чл. 13, чл. 32 от Регламента Между 2013 и 2017 г. CNIL е получил оплаквания от няколко служители на компанията, които са били снимани на работното си място. На два пъти той е предупредил компанията за правилата, които трябва да се спазват при инсталирането на камери на работното място, по-специално, че служителите не трябва да се снимат непрекъснато и че трябва да бъде предоставена информация за обработката на данни. Поради липса на задоволителни мерки в края на поставения срок, определен от надзорния орган, CNIL е извършил втори одит през октомври 2018 г., който е потвърдил, че работодателят все още нарушава разпоредбите за защита на данните при видеонаблюдение на служителите. При определяне на размера на санкцията CNLIN е взел предвид броя служители (9 служители) и финансовото състояние на компанията, която е представила отрицателен нетен резултат през 2017 г. (оборот от 885 739 евро през 2017 г. и отрицателен нетен резултат от 110 844 EUR ), за налагане на възпираща, но пропорционална санкция.Прочетете повече
ФранцияGoogle Inc.2019, януари50 000 000Чл. 13, чл. 14, чл. 6, чл. 5 от Регламента Санкцията е наложена въз основа на жалби от австрийската организация „None Of Your Business“ и френската неправителствена организация „La Quadrature du Net“. Жалбите са подадени на 25 и 28 май 2018 г. - веднага след влизането в сила на GDPR. Оплакванията са се отнасяли до създаването на акаунт в Google по време на конфигурирането на мобилен телефон с помощта на операционната система Android. CNIL е наложил санкция в размер на 50 милиона евро за липса на прозрачност (член 5 GDPR), недостатъчна информация (член 13/14 GDPR) и липса на правно основание (член 6 GDPR). Получените съгласия не са били дадени „конкретно“ и не „недвусмислено“ (чл. 4, т. 11 от GDPR).Прочетете повече
ХоландияUWV (Dutch employee insurance service provider)2019, октомври900 000Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност. UWV (холандски доставчик на застрахователни услуги за служители - "Uitvoeringsinstituut Werknemersverzekeringen") не е използвал многофакторна автентификация при достъп до онлайн портала на работодателите, като защитата на информационната сигурност се оказва неподходяща/недостатъчна. Работодателите и службите по трудова медицина и по безопасност на труда успяват да съберат и покажат данни за здравословно състояние на служителите.Прочетете повече
ХоландияHaga Hospital2019, юни460 000Чл. 32 от Регламента Болницата в Хага не е разполага с подходяща вътрешна сигурност на досиетата на пациентите. Тазо проверка се случва, след като се оказало, че десетки болнични служители ненужно са проверявали медицинската документация на известен холандец. За да принуди болницата да подобри сигурността на досиетата на пациентите, надзорният орган издава заповед, налагаща санкция. Ако болницата в Хага не подобри сигурността до 2 октомври 2019 г., болницата трябва да плаща 100 000 EUR на всеки две седмици, като максимумът е 300 000 EUR. Междувременно болницата в Хага е посочила, че е предприела мерки.Прочетете повече
ЧехияНяма информация2018, октомври388Чл. 15 от Регламента Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни Прочетете повече
ЧехияНяма информация2019, май194Чл. 15 от Регламента Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни Прочетете повече
ЧехияНяма информация2019, март9 704Чл. 5, пар. 1 от РегламентаНесъответствие с принципите на Регламента. Данните не се обработват, освен ако са адекватни, уместни и се ограничават до необходимото във връзка с целите, за които се обработват („минимизиране на данни“) и се съхраняват само във форма, която позволява идентифициране на субектите на данни не повече от необходимото за целите, за които личните данни се обработват („ограничение за съхранение“).Прочетете повече
ЧехияНяма информация2019, февруари582Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност Прочетете повече
ЧехияНяма информация2019, февруари776Чл. 15 от Регламента Неизпълнение на предвидените задължения на администратора при упражняване на правата на субектите на данни Прочетете повече
ЧехияФирма, даваща коли под наем2019, февруари1 165Чл. 5, пар. 1, б. "а" от РегламентаНеизпълнение на задълженията за предоставяне на информация. Лице, което е наело автомобил, е установило, че колата е проследена чрез GPS от компанията, от която я е наел, въпреки че не е предоставена информация за това, че колата се проследява. Чешкият орган за защита на данните е установил, че не е предоставена информация по чл. 13 GDPR и че чл. 6 (1) е) Прочетете повече
ЧехияКредитен брокер2019, февруари1 165Чл. 32 от Регламента Недостатъчни технически и организационни мерки във връзка с информационната сигурност Прочетете повече
ЧехияРаботодател2019, януари388Чл. 6 от Регламента Липса на правно основание за обработване на лични данни. Бивш служител на фирма е поискал изтриването на информация, свързана с него, която е била публикувана на страницата във Facebook на работодателя и която все още е била достъпна там дълго след прекратяване на трудовото правоотношение. Прочетете повече
ШвецияУчилище 2019, август18 600Чл. 5, пар. 1, б. "в", чл. 9, чл. 35, чл. 36 от РегламентаЛипса на правно основание за обработване на лични данни. Училище в Skellefteå прави опит за използване на технологията за разпознаване на лица. Санкцията е наложена срещу училището, което използва технологията за разпознаване на лица, за да следи посещаемостта на учениците.Прочетете повече
ШвецияNusvar AB2019, декември35 000Чл. 6 от РегламентаNusvar AB, оператор на уебсайта Mrkoll.se, който предоставя информация за всички шведи на възраст над 16 години, е публикувал информация за хората, които са с просрочени дългове.Прочетете повече