Przedstawiamy informacje o karach finansowych nałożonych przez Organy nadzoru, w związku z nieprawidłowym przestrzeganiem przepisów RODO.

  1. Prezes Urzędu Ochrony Danych Osobowych nałożył karę finansową w wysokości 100.000,00 zł na byłego Ministra Zdrowia, za ujawnienie danych osobowych jednej z osób. Decyzja Prezesa dotyczy głośnej sprawy  z początku sierpnia ubiegłego roku. Urzędujący Minister Zdrowia, za pośrednictwem portalu Twitter (obecnie „X) upublicznił dane osobowe lekarza, wraz z informacją o stosowanych przez niego lekach. Kara została nałożona w maksymalnej możliwej wysokości przewidzianej dla podmiotu z sektora publicznego. W decyzji UODO podkreślił, że gdyby nie ustawowy limit kary, byłaby ona znacznie wyższa.
  2. Szwedzki organ nadzoru nałożył 26.000,00 Euro kary na Radę ds. dzieci i edukacji gminy Östersund, za brak przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed rozpoczęciem czynności przetwarzania. W 2020 r. Rada ds. Dzieci i Edukacji gminy Östersund postanowiła zintegrować Google Workspace z własnymi systemami i szkołami. Rada uznała, że jeżeli inny podległy jej organ wykonał analizę DPIA przed wdrożeniem Google Worskapce w swojej działalności, nie ma konieczności wykonywania jej ponownie przed rozpoczęciem przetwarzania. Dopiero po wdrożeniu tego systemu administrator zaczął przeprowadzać ocenę wpływu dla ochrony danych. Proces ten trwał przez trzy lata i nie został zakończony do czasu postępowania prowadzonego przez organ nadzoru.
  3. We Włoszech organ nadzoru nałożył karę w wysokości 70.000,00 Euro na Scionti Selezioni Superiori Srl, za prowadzenie działań marketingowych przy wykorzystaniu połączeń telefonicznych. Administrator danych przyznał się, że w celu kontaktu wykorzystywał dane osobowe pozyskane drogą ustną w ramach tzw. marketingu szeptanego. Organ nadzoru stwierdził, że pozyskanie danych osobowych przez administratora drogą ustną nie może zostać uznane za ważne, ponieważ osoba, która przekazała dane, nie była uprawniona do wyrażenia żadnej ważnej zgody w imieniu osoby, której dane dotyczą (osoby do której skierowana była komunikacja promocyjna). Tym samym organ ocenił, że administrator naruszył art. 5 ust. 1 lit. a) RODO , art. 6 RODO , art. 7 RODO , art. 13 RODO i art. 130 włoskiego kodeksu prywatności.
  4. Hiszpański organ nadzoru nałożył karę w wysokości 72.000,00 Euro na Oxford English Institute SL za naruszenie RODO w ramach procesu rekrutacyjnego do szkoły. Naruszenie polegało na wymaganiu od kandydatów, w ramach procesu rekrutacji, m.in. poddania się badaniom lekarskim obejmującym przedstawienie zaświadczenia lekarskiego oraz wypełnienia oświadczenia o stanie zdrowia. W trakcie dochodzenia organ ochrony danych stwierdził, że wymagane dane nie były ani konieczne, ani wymagane przez prawo. Administrator nie miał zatem ważnej podstawy prawnej do przetwarzania żądanych danych. Organ stwierdził naruszenie art. 5 ust. 1 lit. c) RODO, art. 6 ust. 1 RODO, art. 9 ust. 2 RODO.