В коронавирусной суматохе все как-то позабыли о GDPR. А тем временем контролирующие органы не сидели без дела и с начала года наложили сотни штрафов.
MAЙ 2020
Бельгия
- Некоммерческая организация, название которой осталось неизвестным, получила небольшой штраф в размере EUR 1, 000 за рассылку рекламных сообщений. Получатели утверждают, что воспользовались своим правом на удаление и дальнейший запрет на использование данных.
- SMM агентство. Бельгийский орган по защите данных оштрафовал компанию на EUR 50, 000 за рассылку приглашений по списку контактов, который загрузили его сотрудники, без согласия лиц из этого списка и без каких-либо иных правовых оснований.
Финляндия
- Компания Posti Group Oyj была оштрафована на EUR 100, 000 тыс. за рассылку рекламных сообщений после просьбы получателей удалить их почтовые данные. Расследования также показали, что информация о защите данных, предоставленная компанией, была недостаточно прозрачной.
- Компания Kymen Vesi Oy заплатила EUR 16, 000 за несоблюдение общих принципов обработки данных – не была проведена оценка рисков при обработке данных о местоположении сотрудников с помощью транспортной информационной системы.
- Taksi Helsinki Oy оштрафовали на EUR 72, 000 за использование камер для слежения, которые записывали аудио и видео в своих такси.
- Неизвестная компания выплатила EUR 12,500 штрафа за обработку данных сотрудников без достаточных правовых оснований.
Ирландия
- Агентство по делам детей и семьи Tusla ошибочно раскрыла персональные данные, в том числе информацию о детях неуполномоченным лицам, за что заплатила EUR 75, 000
Дания
- Компания JobTeam A/S DKK заплатила EUR 6,700 за то, что удалила персональные данные без законных оснований.
Швеция
- Медико-санитарная комиссия региона Эребрумаа была оштрафована на EUR 11,200 за то, что разместила данные пациента в открытом доступе без достаточных правовых оснований.
Румыния
- Компания Banca Comercială Română SA получила EUR 5, 000 штрафа за то, что собирала и передавала копии документов, удостоверяющих личность клиентов, через WhatsApp.
АПРЕЛЬ 2020
Испания
- Iberdrola Clientes оштрафовали на EUR 50,000 for GDPR за нарушения GDPR. Компания не ответила органам по защите данных на запрос по предоставлению информации в связи с поступившей жалобой в течение определенного периода времени
Нидерланды
- Неизвестная компания заплатила крупный штрафа в размере EUR 725, 000 за нарушения требований к обработке личных данных. Организация обязала своих сотрудников сканировать отпечатки пальцев для регистрации посещаемости. Однако, компания не могла предоставить никаких доказательств того, что сотрудники дали свое согласие на такую обработку данных.
Швеция
- Национальный центр государственной службы Швеции заплатил EUR 18,500 за несвоевременное уведомление об утечке данных.
Бельгия
- Крупная телекоммуникационная компания Proximus SA была оштрафована на EUR 50, 000 за отсутствие должностного лица по защите данных.
Румыния
- Estee Lauder Romania оштрафована на EUR 3, 000 за нарушения GDPR, а именно за незаконное раскрытие и сбор личных данных, включая имена, фамилии, номера телефонов, даты рождения и информацию о состоянии здоровья субъектов данных, без получения их согласия или использования другого обосноания.
- Telekom Romania Communications SA оштрафована на EUR 3, 000 за недостаточные технические и организационные меры по обеспечению информационной безопасности. В частности, компания не приняла достаточных технических и организационных мер для обеспечения безопасности данных, передаваемых по телефону для заключения договоров. Это привело к заключению договоров по телефону от имени других субъектов данных.
МАРТ 2020
Румыния
- Ассоциация SOS Infertility заплатила EUR 2, 000 за недостаточное сотрудничество с регулатором, после того как не предоставила информацию относительно неправомерной обработк персональных данных.
- Компания Enel Energie отправила клиенту электронное письмо, содержащее персональные данные другого клиента за что, получила штраф EUR 3, 000.
- Vodafone Romania получила штраф EUR 4,200 после того, как отправила клиенту электронное письмо, содержащее персональные данные другого клиента.
- Компания Dante International заплатила EUR 3, 000 из-за того, что отправила клиенту коммерческую рассылку, на которую он не подписывался.
Испания
- Компания Xfera Moviles S.A. несвоевременно предоставила запрашиваемую информацию органу по защите данных и за это была оштрафована на EUR 5, 000.
- Компанию Oliveros Ustrell, S.L. оштрафовали на EUR 6, 000 за отсутствие достаточных правовых оснований для обработки персональных данных.
- Телекоммуникационная компания Telefónica заплатила EUR 30, 000 за недостаточное сотрудничество с контролирующим органом.
- Centro De Estudio Dirigidos Delta, S.L. получил штраф EUR 5, 000 за то, что отправил сообщение, содержащее персональные данные (имя, фамилия, идентификационный номер), третьей стороне через WhatsApp без согласия субъекта данных.
- Частное лицо оштрафовали на EUR 4, 000 за то, что на пляже фотографировал купающихся женщин
- Компания Amalfi Servicios de Restauracion S.L. заплатила EUR 6, 000, потому что осуществляла видеонаблюдение в общественном месте.
- Homeowners Association получили EUR 2, 000 штрафа за несанкционированное наблюдение за общественной зоной.
- Gesthotel Activos Balagares заплатил EUR 15, 000 за то, что сотрудник отеля направил руководству гостиницы и членам профсоюза письмо, содержащее информацию о притеснениях, которым он подвергся в связи с состоянием своего здоровья. .
- Частное лицо оштрафовали на EUR 4, 000 за незаконное использование камер видеонаблюдения, которые также охватывали часть общественного места.
- AEPD оштрафовали на EUR 3, 200 за то, что предоставили недостаточно информации о системе видеонаблюдения.
- Vodafone Испания получила штраф в размере EUR 60, 000 из-за того, что сотрудник компании от имени пострадавшего человека незаконно активировал договор с дугим оператором.
- Компания Solo Embrague заплатила EUR 1,800, так как на главной странице корпоративного сайта не было представлено ни информации политики конфиденциальности, ни баннера о сборе cookies.
- Vodafone Испания получила 3 штрафа на общую сумму EUR 106, 000. Компания не смогла продемонстрировать адекватные меры по обеспечению информационной безопасности, что привело к несанкционированному доступу к персональным данным клиента. Также было отправлено SMS на мобильный номер клиента, подтверждающее, что с этим номером был подписан договор, несмотря на то, что клиент не являлся клиентом Vodafone. Ещё несколько сообщений пришло на мобильный номер клиента, уведомляющих об изменении тарифного плана и подтверждающих покупку нового мобильного телефона, в результате чего обработка персональных данных происходила без согласия субъектов данных или других законных оснований компании.
Греция
- Центр речи и специального образования — Mihou Dimitra заплатил EUR 8, 000 за предоставления доступа к защищенным данным.
Хорватия
- Банк, название которого не разглашается, попал на крупный штраф (сумма неизвестна) из-за того, что на протяжении года отказывался показывать своим клиентам копии кредитной документации (например, план погашения кредита, приложение к кредитному договору, обзор изменений процентных ставок и т.д.).
Швеция
- Google LLC была оштрафована на EUR 7, 000 000 за невыполнение своих обязательств в отношении права субъектов данных на удаление результатов поиска из списка результатов.
Дания
- Муниципалитет Hørsholm заплатил EUR 7, 000 за то, что у одного из сотрудников городской администрации был украден рабочий компьютер. На нём хранились персональные данные около 1,6 тыс. сотрудников городской администрации, в том числе конфиденциальная информация и номера социального страхования.
- Муниципалитет Gladsaxe был оштрафован EUR 14, 000 из-за украденного компьютера. На нём хранились персональные данные, незащищенные шифрованием, в том числе конфиденциальная информация и персональные идентификационные номера 20,6 тыс. жителей города.
Исландия
- Национальный центр наркологии получил штраф на EUR 20,600, так как один из бывших сотрудников центра получил на руки коробку с якобы его личными вещами, а в ней содержались данные о 3 тыс. пациентах с алко- и наркозависимостью.
- Старшая средняя школа Брейшхольта выплатила EUR 9, 000 за то, что один из учителей направил своим ученикам и их родителям электронное письмо с вложением, содержащим данные об их благосостоянии, успеваемости и социальных условиях.
Польша
- Consulting Sp. Z O.O., компания по телемаркетингу, оштрафована на 4 400 евро. Компания предотвратила проверку со стороны органа по защите данных.
- Школа в Гданьске использовала биометрические сканеры отпечатков пальцев для проверки личности учащихся при оплате в школьной столовой. Несмотря на то, что родители дали письменное согласие на такую обработку данных, уполномоченный орган по защите данных посчитал такое поведение незаконным, так как согласие на обработку данных не было дано добровольно. Школа заплатила EUR 4,600.
Италия
- Государственная художественная школа Неаполя оштрафована на EUR 4, 000 за незаконную публикацию данных о состоянии здоровья и другой личной информации в рейтинге учителей на веб-сайте Института.
- Лицей Нобеля в Торре-дель-Греко тоже оштрафована на EUR 4, 000 за незаконную публикацию медицинских данных и другой личной информации о более чем 2 тыс. учителей в рейтинге на сайте Института.
Венгрия
- Личные данные субъекта данных были зарегистрированы и переданы в Центральную систему кредитной информации (CCI) в связи с получением кредита, при этом субъект данных не является стороной соглашения.
- Неизвестная компания была оштрафована на EUR 2, 800 за нарушение закона о защите данных.
- Кредитор был оштрафован на EUR 870 за отправку SMS субъекту данных в качестве напоминания о долге, при том, что долг уже был оплачен.
- Представитель местного самоуправления заснял директора компании с его ребенком, когда он срывал предвыборные плакаты, и выложил фотографии в Facebook. Лицо ребенка на фото было размыто, но все же было понятно, что это ребенок директора. За это местное самоуправление заплатило целых EUR 290.
Нидерланды
- Королевская Теннисная Ассоциация Голландии была оштрафована на EUR 525, 000 за продажу личных данных более 350 тыс. своих членов спонсорам, которые связались с некоторыми из них по почте и телефону в рамках своих маркетинговых активностей.
ФЕВРАЛЬ 2020
Испания
- Vodafone заплатила EUR 48, 000. Решение было принято в связи с рядом недостатков в области информационной безопасности. Например, два человека получили один и тот же ключ доступа.
- Компании AEMA Hispánica пришлось заплатить EUR 3,600 за то, что она отправила платежные ведомости сотрудника другому сотруднику и, таким образом, раскрыла персональные данные неуполномоченному лицу.
- Vodafone Испания была оштрафована на EUR 120, 000, так как не смогла доказать, что субъект данных дал согласие на обработку его персональной информации для подписания контракта. Кроме того, компания незаконно раскрыла данные человека различным кредитным агентствам.
- Госпиталь HM оштрафовали на EUR 48, 000 тыс. из-за неправильной подачи информации в документах. Субъект данных заявил, что во время госпитализации он должен был заполнить бланк, в котором нужно специально поставить галочку, чтобы запретить передачу своих данных третьим лицам. Если ты галочку не поставишь, то автоматически даешь свое согласие. Этот бланк не соответствует GDPR, так как согласие получено в результате бездействия субъекта данных.
- Компания Casa Gracio Operation заплатила EUR 6, 000 за то, что использовала камеры видеонаблюдения в помещениях отеля для фиксации пешеходной зоны за пределами отеля, что является нарушением.
- Компания Grupo Valsor Y Losan, S.L. получила штраф в размере EUR 2,500 за то, что раскрыла персональные данные третьему лицу в договоре купли-продажи недвижимости.
- Школа Colegio Arenales Carabanchel передала фотографии третьим лицам, которые опубликовали их без законных оснований. Эта ошибка стоила EUR 3, 000.
- Электроэнергетическая компания Iberdrola Clientes расторгла договор с субъектом данных без его согласия, заключила три новых договора с субъектом данных, незаконно обработала его персональные данные и передала персональные данные истца третьему лицу без законных оснований. В результате компания заплатила EUR 80, 000 штрафа.
- Vodafon Испания была оштрафована на EUR 42, 000 после того, как человек заявил, что имел доступ к данным третьей стороны в своем личном профиле Vodafone.
- Компания Xfera Moviles S.A. заплатила EUR 30, 000, потому что третья сторона имела доступ к имени, номеру телефона и адресу другого клиента.
- Кафе Nagasaki Cafetería не выполнило свои обязательства по GDPR, поскольку установило свои камеры наблюдения таким образом, чтобы следить за пешеходной зоной за пределами своих помещений. Штраф составил EUR 1,500.
- XFERA MOVILES незаконно обработала данные, включая банковские реквизиты, адрес клиента и его имя/фамилию. Такое нарушение потянуло на EUR 60, 000.
- Vodafone Испания подписала договор о передаче подписки на телефонную связь с третьим лицом без ведома и согласия субъекта данных. Штраф составил EUR 75, 000.
- Vodafone Испания заплатила EUR 60, 000 за то, что отправила электронное письмо от имени компании, в котором содержался счет за телефонную линию, которую субъект данных никогда не заказывал.
- Vodafone Испания была оштрафована на EUR 50, 000 за то, что отправила соседу счета-фактуры, содержащие личные данные заявителя, такие как имя, удостоверение личности и адрес.
- Авиалинии Iberia Lineas Aereas de Espana заплатили EUR 20, 000, потому что продолжали посылать электронные письма человеку после его просьбы стереть его личные данные.
- Vodafone Испания была оштрафована на EUR 75, 000, так как бывший клиент компании продолжал получать уведомления о счетах-фактурах, хотя в то время не было ни договорных отношений, ни просроченных платежей.
- Banco Bilbao Vizcaya Argentaria S.L. оштрафовали на EUR 6,700 за многоразовую отправку рекламных сообщений человеку, который был против обработки его данных.
- Компания Queseria Artesenal Ameco S.L. обработала данные человека без его согласия и заплатила EUR 5, 000 штрафа.
- Сотрудник компании Automoción создал на эротическом портале фальшивый профиль своей коллеги, который содержал, в том числе, ее контактные данные, фотографию и информацию о ее сексуальных предпочтениях. На него был наложен штраф в размере EUR 800.
Норвегия
- Компанию Coop Finnmark SA оштрафовали на EUR 36,800 за то, что она распространила видеозаписи с камер видеонаблюдения с детьми в возрасте до 16 лет, которые, как утверждается, украли что-то из магазина. Для такой обработки данных не имелось достаточных правовых оснований.
- Муниципалитет Rælingen заплатила EUR 73,600 за то, что раскрыл информацию о здоровье 15 детей с физическими и психическими отклонениями.
Болгария
- Компания T.K. EOOD незаконно обрабатывала персональные данные субъекта I.S. девять раз в течение пяти месяцев. Эти нарушения причинили ущерб субъекту данных, что привело к штрафу в размере EUR 2,600.
- Компания с похожим названием L.E. EOOD тоже заплатила EUR 2,600 за незаконную обработку персональных данных без ведома и согласия субъекта персональных данных I.S.
Италия
- Муниципалитет Ураго был оштрафован на EUR 4, 000 из-за того, что местный совет опубликовал на своем сайте информацию, содержащую личные данные человека, в том числе информацию о его здоровье.
- Телевизионный канал RTI — Reti Televisive Italiane s.p.a. показал документальный фильм о проституции в Швейцарии, в котором интервьюируемые лица не были показаны достаточно анонимно. За это был наложен штраф в размере EUR 20, 000.
Румыния
- Vodafone Румыния неправильно обработала персональные данные физического лица, который обратился с жалобой. В результате, ответ с личной информацией был отправлен на неправильный адрес электронной почты. Штраф составил EUR 3, 000.
ЯНВАРЬ 2020
Италия
- Госпиталь Azienda Ospedaliero Universitaria Integrata di Verona получил штраф EUR 30, 000 из-за недостаточной защиты данных пациентов.
- Университет Sapienza Università di Roma заплатил EUR 30, 000, потому что раскрыл в Интернете идентификационные данные двух человек.
- Оператор связи TIM был оштрафован на EUR 27,800 000 по ряду причин. Компания отправила сотни сообщений, на которые клиенты не подписывались, предоставляла непрозрачную информацию об обработке данных, хранила данные дольше, чем это было необходимо, игнорировала отказ от получения рекламных звонков.
- Сообщество Франсавильи Фонтана оштрафовали на EUR 10, 000 за то, что она опубликовало на своем сайте информацию о судебном процессе, в том числе личные данные человека.
Испания
- Магазины и рестораны компании Zhang Bordeta 2006, S.L. заплатили EUR 3,600 за установку видеонаблюдения, которое, помимо прочего, снимало пешеходную часть.
- Vodafone Испания заплатила 2 штрафа – EUR 3, 000 и EUR 44, 000. Компания не вовремя предоставила информацию контролирующему органу и отправила контракт с личными данными, включая имя, адрес и номер телефона заявителя, не тому получателю.
- Компания EDP España S.A.U. была оштрафована на EUR 75, 000 из-за того, что обрабатывала персональные данные, такие как имя и фамилия, номер налогоплательщика, адрес и номер мобильного телефона, без согласия субъекта данных.
- Компания EDP Comercializadora, S.A.U. обрабатывала персональные данные в связи с газовым контрактом без согласия заявителя. Штраф составил EUR 75, 000.
- Asociación de Médicos Demócratas обрабатывала персональные данные своих членов без их согласия за что получила штраф в EUR 10, 000.
Кипр
- Служба социального страхования Министерства труда, социального обеспечения и социального страхования была оштрафована на EUR 9, 000 за то, что предоставила полиции доступ к персональным данным и не приняла адекватных мер по их сохранению.
- Магазин eShop for Sports заплатил EUR 1, 000 за отправку рекламных SMS без согласия.
Греция
- Компания Allseas Marine S.A. получила штраф EUR 15, 000 за установку видеонаблюдения за рабочими местами и не достаточном информировании об этом сотрудников.
Болгария
- Коммунальная компания заплатила EUR 5,100 за незаконную обработку персональных данных субъекта данных.
