У коронавірусній метушні всі забули про GDPR. А тим часом контролюючі органи не сиділи, склавши руки і з початку року наклали сотні штрафів.
ТРАВЕНЬ 2020
Бельгія
- Некомерційна організація, назва якої залишилася невідомою, отримала невеликий штраф в розмірі EUR 1, 000 за розсилку рекламних повідомлень. Одержувачі стверджують, що скористалися своїм правом на видалення і подальшу заборону на використання даних.
- SMM агентство. Бельгійський орган із захисту даних оштрафував компанію на EUR 50, 000 за розсилку запрошень по списку контактів, який завантажили його співробітники, без згоди осіб з цього списку і без будь-яких інших правових підстав.
Фінляндія
- Компанія Posti Group Oyj була оштрафована на EUR 100, 000 за розсилку рекламних повідомлень після прохання одержувачів видалити їх поштові дані. Розслідування також показало, що інформація про захист даних, надана компанією, була недостатньо прозорою
- Компанія Kymen Vesi Oy заплатила EUR 16, 000 за недотримання загальних принципів обробки даних – не була проведена оцінка ризиків при обробці даних про місцезнаходження співробітників за допомогою транспортної інформаційної системи.
- Taksi Helsinki Oy оштрафували на EUR 72, 000 за використання камер спостереження, які записували аудіо та відео в своїх таксі.
- Невідома компанія виплатила EUR 12,500 штрафу за обробку даних співробітників без достатніх правових підстав.
Ірландія
- Агентство у справах дітей та сім’ї Tusla помилково розкрила персональні дані, в тому числі інформацію про дітей не уповноваженим особам, за що заплатила EUR 75, 000
Данія
- Компанія JobTeam A / S DKK заплатила EUR 6,700 за те, що видалила персональні дані без законних підстав.
Швеція
- Медико-санітарну комісію регіону Еребрумаа оштрафували на EUR 11,200 за те, що розмістила дані пацієнта у відкритому доступі без достатніх правових підстав.
Румунія
- Компанія Banca Comercială Română SA отримала EUR 5, 000 штрафу за те, що збирала і передавала копії документів, що засвідчують особу клієнта, через WhatsApp.
КВІТЕНЬ 2020
Іспанія
- Iberdrola Clientes оштрафували на EUR 50,000 за порушення GDPR. Компанія не відповіла органам із захисту даних на запит щодо надання інформації в зв’язку зі скаргою, що надійшла протягом певного періоду часу.
Нідерланди
- Невідома компанія заплатила великий штрафу в розмірі EUR 725, 000 за порушення вимог до обробки персональних даних. Організація зобов’язала своїх співробітників сканувати відбитки пальців для реєстрації відвідуваності. Однак, компанія не могла надати ніяких доказів того, що співробітники дали свою згоду на таку обробку даних.
Швеція
- Національний центр державної служби Швеції заплатив EUR 18,500 за несвоєчасне повідомлення про витік даних.
Бельгія
- Велика телекомунікаційна компанія Proximus SA була оштрафована на EUR 50, 000 за відсутність посадової особи щодо захисту даних.
Румунія
- Estee Lauder Romania була оштрафована на EUR 3, 000 за порушення GDPR, а саме за незаконне розкриття і збір особистих даних, включаючи імена, прізвища, номери телефонів, дати народження та інформацію про стан здоров’я суб’єктів даних, без отримання їх згоди або використання іншого обґрунтування.
- Telekom Romania Communications SA оштрафована на EUR 3, 000 за недостатні технічні та організаційні заходи щодо забезпечення інформаційної безпеки. Зокрема, компанія не прийняла достатніх технічних і організаційних заходів для забезпечення безпеки даних, що передаються по телефону для укладення договорів. Це призвело до укладання договорів по телефону від імені інших суб’єктів даних.
БЕРЕЗЕНЬ 2020
Румунія
- Асоціація SOS Infertility заплатила EUR 2, 000 за недостатню співпрацю з регулятором по захисту персональних даних, після того як не надала інформацію щодо неправомірної обробки персональних даних.
- Компанія Enel Energie відправила клієнту електронного листа, що містить персональні дані іншого клієнта. За це і отримала штраф EUR 3, 000.
- Vodafone Romania отримала штраф EUR 4,200 після того, як відправила клієнту електронного листа, що містить персональні дані іншого свого клієнта.
- Компанія Dante International заплатила EUR 3, 000, тому що відправила клієнту комерційну розсилку, на яку він не підписувався.
Іспанія
- Компанія Xfera Moviles S.A. була оштрафована на EUR 5, 000 за несвоєчасно надану інформацію органу із захисту даних.
- Компанію Oliveros Ustrell, S.L. оштрафували на EUR 6, 000 за браком достатніх правових підстав для обробки персональних даних.
- Телекомунікаційна компанія Telefónica заплатила EUR 30, 000 за недостатню співпрацю з контролюючим органом.
- Компанія Centro De Estudio Dirigidos Delta, S.L. отримала штраф EUR 5, 000 за те, що відправила повідомлення, що містить персональні дані (ім’я, прізвище, ідентифікаційний номер), третій стороні через WhatsApp без згоди суб’єкта даних.
- Приватна особа була оштрафована на EUR 4, 000 за те, що на пляжі фотографував жінок, які купалися.
- Компанія Amalfi Servicios de Restauracion S.L. заплатила EUR 6, 000, тому що здійснювала відеоспостереження в громадському місці.
- Homeowners Association отримала EUR 2, 000 штрафу за несанкціоноване спостереження за громадською зоною.
- Gesthotel Activos Balagares заплатив EUR 15, 000 за те, що співробітник готелю направив керівництву готелю і членам профспілки лист, що містить інформацію про утиски, яких він зазнав у зв’язку зі станом свого здоров’я. .
- Приватну особу оштрафували на EUR 4, 000 за незаконне використання камер відеоспостереження, які також охоплювали частину громадської зони.
- AEPD оштрафували на EUR 3, 200 за те, що компанія не надала достатньої інформації про систему відеоспостереження.
- Vodafone Іспанія отримала штраф в розмірі EUR 60, 000 через те, що співробітник компанії від імені постраждалої людини незаконно активував договір з іншим оператором.
- Компанія Solo Embrague заплатила EUR 1,800, тому що на головній сторінці корпоративного сайту не було представлено ні інформації політики конфіденційності, ні банера про збір cookies.
- Vodafone Іспанія отримала 3 штрафи на загальну суму EUR 106, 000. Компанія не змогла продемонструвати адекватних заходів щодо забезпечення інформаційної безпеки, що призвело до несанкціонованого доступу до персональних даних клієнта. Також було відправлено SMS на мобільний номер клієнта, яке підтверджує, що з цим номером був підписаний договір, незважаючи на те, що клієнт не був клієнтом Vodafone. Ще кілька повідомлень прийшло на мобільний номер клієнта, що повідомляють про зміну тарифного плану та підтверджують покупку нового мобільного телефону, в результаті чого обробка персональних даних відбувалася без згоди суб’єктів даних або інших законних підстав компанії.
Греція
- Спеціальний освітній центр – Mihou Dimitra заплатив EUR 8, 000 за надання доступу до захищених даних.
Хорватія
- Банк, назва якого не розголошується, потрапив на великий штраф (сума невідома) через те, що протягом року відмовлявся показувати своїм клієнтам копії кредитної документації (наприклад, план погашення кредиту, додаток до кредитного договору, огляд змін процентних ставок і т. д.).
Швеція
- Компанія Google LLC була оштрафована на EUR 7, 000 000 за невиконання своїх зобов’язань щодо права суб’єктів даних на видалення результатів пошуку зі списку результатів.
Данія
- Муніципалітет Hørsholm заплатив EUR 7, 000 за те, що у одного із співробітників міської адміністрації був вкрадений робочий комп’ютер. На ньому зберігалися персональні дані близько 1,6 тис. співробітників міської адміністрації, в тому числі конфіденційна інформація і номера соціального страхування.
- Муніципалітет Gladsaxe був оштрафований на суму EUR 14, 000 через вкрадений комп’ютер. На ньому зберігалися персональні незашифровані дані, в тому числі конфіденційна інформація і персональні ідентифікаційні номери 20,6 тис. жителів міста.
Ісландія
- Національний центр наркології отримав штраф на суму EUR 20,600, так як один з колишніх співробітників центру отримав на руки коробку з нібито його особистими речами, а в ній містилися дані про 3 тис. пацієнтів з алко- та наркозалежністю.
- Старша середня школа Брейшхольта виплатила EUR 9, 000 за те, що один з вчителів направив своїм учням і їх батькам електронного листа з вкладенням, що містить дані про їхній добробут, успішность та соціальні умови.
Польща
- Компанія з телемаркетингу Consulting Sp. Z O.O. була оштрафована на EUR 4 400. Компанія завадила перевірці з боку органу із захисту даних.
- Школа в Гданську використовувала біометричні сканери відбитків пальців для перевірки особистості учнів при оплаті в шкільній їдальні. Незважаючи на те, що батьки дали письмову згоду на таку обробку даних, уповноважений орган із захисту даних порахував таку поведінку незаконною, так як згоду на обробку даних не було дано добровільно. Школа заплатила EUR 4,600.
Італія
- Державна художня школа Неаполя була оштрафована на EUR 4, 000 за незаконну публікацію даних про стан здоров’я та іншої особистої інформації в рейтингу вчителів на веб-сайті організації.
- Ліцей Нобеля в Торре-дель-Греко теж була оштрафована на EUR 4, 000 за незаконну публікацію медичних даних та іншої особистої інформації про більш ніж 2 тис. вчителів в рейтингу на сайті освітнього закладу.
Угорщина
- Банк. Особисті дані суб’єкта даних були зареєстровані і передані в Центральну систему кредитної інформації (CCI) у зв’язку з отриманням кредиту, при цьому суб’єкт даних не був стороною угоди.
- Невідома компанія була оштрафована на EUR 2, 800 за порушення закону про захист даних.
- Кредитор був оштрафований на EUR 870 за відправку SMS суб’єкту даних в якості нагадування про борг, при тому, що борг уже був оплачений.
- Представник місцевого самоврядування сфотографував директора компанії з його дитиною, коли той зривав агітаційні плакати, і виклав фотографії в мережу Facebook. Обличчя дитини на фото було розмито, але все ж було зрозуміло, що це дитина директора. За це місцеве самоврядування заплатило цілих EUR 290.
Нідерланди
- Королівська тенісна асоціація Голландії була оштрафована на EUR 525, 000 за продаж особистих даних понад 350 тис. своїх членів спонсорам, які зв’язалися з деякими з клієнтів поштою і телефоном в рамках своїх маркетингових активностей.
ЛЮТИЙ 2020
Іспанія
- Компанія Vodafone заплатила EUR 48, 000 у зв’язку з рядом недоліків в сфері інформаційної безпеки. Наприклад, двоє людей отримали один і той же ключ доступу.
- Компанії AEMA Hispánica довелося заплатити EUR 3,600 за те, що вона відправила платіжні відомості співробітника іншому співробітнику і, таким чином, розкрила персональні дані не уповноваженій особі.
- Компанія Vodafone Іспанія була оштрафована на EUR 120, 000, так як не змогла довести, що суб’єкт даних дав згоду на обробку його персональних даних для заключення договору. Крім того, компанія незаконно розкрила дані людини різним кредитним агентствам.
- Госпіталь HM оштрафували на EUR 48, 000 тис. через неправильну подачу інформації в документах. Суб’єкт даних заявив, що під час госпіталізації він повинен був заповнити бланк, в якому потрібно спеціально поставити галочку, щоб заборонити передачу своїх даних третім особам. Якщо ти галочку не поставиш, то автоматично даєш свою згоду. Цей бланк не відповідає GDPR, так як суб’єкт даних фактично не давав своєї згоди.
- Компанія Casa Gracio Operation заплатила EUR 6, 000 за те, що використовувала камери відеоспостереження в приміщеннях готелю для фіксації пішохідної зони за межами готелю, що є порушенням.
- Компанія Grupo Valsor Y Losan, S.L. отримала штраф в розмірі EUR 2,500 за те, що розкрила персональні дані третій особі в договорі купівлі-продажу нерухомості.
- Школа Colegio Arenales Carabanchel передала фотографії третім особам, які опублікували їх без законних підстав. Ця помилка коштувала освітньому закладу EUR 3, 000.
- Електроенергетична компанія Iberdrola Clientes розірвала договір з суб’єктом даних без його згоди, уклала три нові договори з суб’єктом даних, незаконно опрацювала його персональні дані і передала персональні дані позивача третій особі без законних підстав. В результаті компанія заплатила EUR 80, 000 штрафу.
- Vodafon Іспанія була оштрафована на EUR 42, 000 після того, як людина заявила, що мала доступ до даних третьої сторони в своєму особистому кабінеті Vodafone.
- Компанія Xfera Moviles S.A. заплатила EUR 30, 000, тому що третя сторона мала доступ до імені, номеру телефону і адресу іншого клієнта.
- Кафе Nagasaki Cafetería не виконало свої зобов’язання по GDPR, оскільки встановило свої камери спостереження таким чином, щоб стежити за пішохідною зоною за межами своїх приміщень. Штраф склав EUR 1,500.
- Компанія XFERA MOVILES незаконно опрацювала дані, включаючи банківські реквізити, адресу клієнта і його ім’я/прізвище. Таке порушення потягнуло на EUR 60, 000.
- Vodafone Іспанія підписала договір про передачу підписки на мобільний зв’язок з третьою особою без відома і згоди суб’єкта даних. Штраф склав EUR 75, 000.
- Vodafone Іспанія заплатила EUR 60, 000 за те, що відправила електронного листа від імені компанії, в якому містився рахунок за телефонну лінію, яку суб’єкт даних ніколи не замовляв.
- Vodafone Іспанія була оштрафована на EUR 50, 000 за те, що відправила рахунки-фактури, що містять особисті дані заявника, такі як ім’я, посвідчення особи та адресу, його сусідові.
- Авіалінії Iberia Lineas Aereas de Espana заплатили EUR 20, 000, тому що продовжували посилати електронні листи людині після його прохання стерти його особисті дані.
- Компанія Vodafone Іспанія була оштрафована на EUR 75, 000, так як колишній клієнт компанії продовжував отримувати повідомлення про рахунки-фактури, хоча в той час не було ні договірних відносин, ні прострочених платежів.
- Компанію Banco Bilbao Vizcaya Argentaria S.L. оштрафували на EUR 6,700 за багаторазову відправку рекламних повідомлень людині, який був проти обробки його даних.
- Компанія Queseria Artesenal Ameco S.L. опрацювала дані людини без його згоди і заплатила EUR 5, 000 штрафу.
- Співробітник компанії Automoción створив на еротичному порталі фальшивий профіль своєї колеги, який містив, в тому числі, її контактні дані, фотографію та інформацію про її сексуальні переваги. На нього було накладено штраф в розмірі EUR 800.
Норвегія
- Компанію Coop Finnmark SA оштрафували на EUR 36,800 за те, що вона поширила відеозаписи з камер відеоспостереження з дітьми у віці до 16 років, які, як стверджується, вкрали щось з магазину. Для такої обробки даних не було достатніх правових підстав.
- Муніципалітет Rælingen заплатив EUR 73,600 за те, що розкрив інформацію про здоров’я 15 дітей з фізичними і психічними відхиленнями.
Болгарія
- Компанія T.K. EOOD незаконно обробляла персональні дані суб’єкта дев’ять разів протягом п’яти місяців. Ці порушення заподіяли шкоди суб’єкту даних, що призвело до штрафу у розмірі EUR 2,600.
- Компанія з схожою назвою L.E. EOOD теж заплатила EUR 2,600 за незаконну обробку персональних даних без відома і згоди суб’єкта персональних даних.
Італія
- Муніципалітет Ураг був оштрафований на EUR 4, 000 через те, що місцева рада опублікувала на своєму сайті інформацію, що містить особисті дані людини, в тому числі інформацію про його здоров’я.
- Телевізійний канал RTI – Reti Televisive Italiane s.p.a. показав документальний фільм про проституцію в Швейцарії, в якому інтерв’ю особи не були показані досить анонімно. За це був накладений штраф в розмірі EUR 20, 000.
Румунія
- Компанія Vodafone Румунія неправильно опрацювала персональні дані фізичної особи, яка звернулася зі скаргою. В результаті, відповідь з особистою інформацією була відправлена на неправильну адресу електронної пошти. Штраф склав EUR 3, 000.
СІЧЕНЬ 2020
італІя
- Госпіталь Azienda Ospedaliero Universitaria Integrata di Verona отримав штраф EUR 30, 000 через недостатній захист даних пацієнтів.
- Університет Sapienza Università di Roma заплатив EUR 30, 000, тому що розкрив в Інтернеті ідентифікаційні дані двох чоловік.
- Оператор зв’язку TIM був оштрафований на EUR 27,800 000 по ряду причин. Компанія відправила сотні повідомлень, на які клієнти не підписувалися, надавала непрозору інформацію про обробку даних, зберігала дані довше, ніж це було необхідно, ігнорувала відмова від отримання рекламних дзвінків.
- Спільноту Франсавільі Фонтана оштрафували на EUR 10, 000 за те, що вона опублікувала на своєму сайті інформацію про судовий процес, в тому числі особисті дані суб’єкта даних.
іспанІя
- Магазини та ресторани компанії Zhang Bordeta 2006, S.L. заплатили EUR 3,600 за установку відеоспостереження, яке, крім іншого, знімало пішохідну частину.
- Компанія Vodafone Іспанія заплатила 2 штрафи – EUR 3, 000 і EUR 44, 000. Компанія невчасно надала інформацію контролюючому органу і відправила контракт з особистими даними, включаючи ім’я, адресу та номер телефону заявника, не тому одержувачу.
- Компанія EDP España S.A.U. була оштрафована на EUR 75, 000 через те, що обробляла персональні дані, такі як ім’я, прізвище, номер платника податків, адреса і номер мобільного телефону, без згоди суб’єкта даних.
- Компанія EDP Comercializadora, S.A.U. обробляла персональні дані щодо газового контракту без згоди заявника. Штраф склав EUR 75, 000.
- Asociación de Médicos Demócratas обробляла персональні дані своїх членів без їх згоди, за що і отримала штраф в EUR 10, 000.
КІпр
- Служба соціального страхування Міністерства праці, соціального забезпечення і соціального страхування була оштрафована на EUR 9, 000 за те, що надала поліції доступ до персональних даних і не вжила достатніх заходів щодо їх збереження.
- Магазин eShop for Sports заплатив EUR 1, 000 за відправку рекламних SMS без згоди отримувачів.
ГрецІя
- Компанія Allseas Marine S.A. отримала штраф EUR 15, 000 за установку відеоспостереження за робочими місцями співробітників, не повідомивши їх про це.
Болгарія
- Комунальна компанія заплатила EUR 5,100 за незаконну обробку персональних даних суб’єкта даних.
