Multas e notificações GDPR - GDPR fines and notices
O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento da União Europeia que especifica padrões para proteção de dados e privacidade eletrônica no Espaço Econômico Europeu e os direitos dos cidadãos europeus de controlar o processamento e distribuição de informações de identificação pessoal .
Os infratores do GDPR podem ser multados em até € 20 milhões, ou até 4% do faturamento mundial anual do exercício financeiro anterior, o que for maior. A seguir está uma lista de multas e notificações emitidas de acordo com o GDPR, incluindo os motivos.
| Encontro | Organização | Quantia | Publicado por | Razão (ões) |
|---|---|---|---|---|
| 10/2018 | Hospital do Barreiro | € 400.000 | Portugal (CNPD) | “... com base em políticas de acesso a bancos de dados, que permitiam a técnicos e médicos consultar prontuários de pacientes, sem a devida autorização”. |
| 21/11/2018 | Knuddels.de (rede social alemã) | € 20.000 | Alemanha ( LfDI ) | "... acesso não autorizado e divulgação de dados pessoais de cerca de 330.000 usuários, incluindo senhas e endereços de e-mail." |
| 21/01/2019 | Google LLC | € 50.000.000 | França ( CNIL ) | Transparência, controle e consentimento insuficientes sobre o processamento de dados pessoais para fins de publicidade comportamental . |
| 07/03/2019 | Banco sem nome | € 1.560 | Hungria ( NAIH ) | Omissão de apagar e corrigir dados a pedido do titular dos dados.
|
| 07/03/2019 | Cobrador de dívidas sem nome | € 1.560 | Hungria ( NAIH ) |
Quebrando os princípios de transparência e minimização de dados. |
| 15/03/2019 | Bisnode (informações comerciais, de crédito e de mercado) | € 220.000 | Polônia ( UODO ) |
Raspagem encoberta de dados pessoais. |
| 16/03/2019 | Associação de Futebol da Baixa Silésia | € 13.000 | Polônia ( UODO ) |
Listagem de informações pessoais de 585 árbitros em seu site. |
| 04/04/2019 | Rousseau (plataforma de democracia participativa) | € 50.000 | Itália ( GPDP ) | Deixar de proteger os dados pessoais dos usuários. |
| 08/05/2019 | O Município de Bergen | € 170.000 | Noruega ( Datatilsynet ) |
Arquivo com credenciais de login para 35.000 alunos e funcionários encontrados em uma área de armazenamento público. |
| 16/05/2019 | MisterTango UAB (serviços de pagamento) | € 61.500 | Lituânia ( ADA ) | Processar mais dados pessoais do que o necessário para efetuar o pagamento. |
| 28/05/2019 | Prefeito belga sem nome | € 2.000 | Bélgica ( GBA / APD ) | Uso indevido de dados pessoais coletados para fins administrativos locais para fins de campanha eleitoral. |
| 06/2019 | La Liga | € 250.000 | Espanha ( AEPD ) | Propósito de divulgação inadequada para solicitar permissões de GPS e microfone no aplicativo móvel da liga de futebol . Quando o aplicativo era aberto, ele transmitia a localização do usuário se detectasse uma impressão digital acústica incorporada nas transmissões de jogos. Isso foi usado para ajudar a identificar os locais de locais que podem estar exibindo os jogos de feeds não autorizados . |
| 11/06/2019 | IDDesign A / S (móveis) | DKK 1.500.000 | Dinamarca ( Datatilsynet ) | Falha ao excluir dados pessoais de um sistema mais antigo: processamento de dados pessoais por mais tempo do que o necessário. |
| 18/06/2019 | Policial sem nome | € 1.400 | Alemanha ( LfDI ) | Processamento autônomo de dados pessoais para fins não legais. |
| 18/06/2019 | Sergic (serviços imobiliários) | € 400.000 | França ( CNIL ) |
Falha em implementar medidas de segurança adequadas; falha na definição de períodos apropriados de retenção de dados para os dados pessoais de candidatos malsucedidos à locação. |
| 18/06/2019 | Uniontrad Company (serviços de tradução) | € 20.000 | França ( CNIL ) |
Excessiva videovigilância de funcionários; senha única e compartilhada para o sistema de mensagens; ignorando a ordem anterior da CNIL para mudar as práticas. |
| 24/06/2019 | EE (telecomunicações) | £ 100.000 | Reino Unido ( ICO ) | Envio de mais de 2,5 milhões de mensagens de marketing direto aos seus clientes, sem consentimento. |
| 27/06/2019 | Banco UniCredit da Romênia | € 130.000 | Romênia ( ANSPDCP ) | Falha na implementação de medidas técnicas e organizacionais adequadas |
| 08/07/2019 | British Airways | £ 183.000.000 | Reino Unido ( ICO ) | Uso de esquemas de segurança insatisfatórios que resultaram em um ataque de skimming na web em 2018, afetando 500.000 consumidores. Posteriormente foi reduzido para £ 20 milhões |
| 30/10/2020 | Marriott International | £ 18.400.000 | Reino Unido ( ICO ) | Falha em manter os dados pessoais de milhões de clientes seguros |
| 03/07/2019 | Cathay Pacific | £ 500.000 | Reino Unido ( ICO ) | Falha em proteger a segurança dos dados pessoais de seus clientes. Entre outubro de 2014 e maio de 2018, os sistemas de computador da Cathay Pacific careciam de medidas de segurança adequadas, o que levou à exposição dos dados pessoais dos clientes |
| 16/07/2019 | HagaZiekenhuis | € 460.000 | Holanda ( AP ) | Segurança insuficiente de registros médicos |
| 25/07/2019 | Garantias Ativas | € 180.000 | França ( CNIL ) |
Falha em implementar medidas de segurança adequadas. |
| 25/07/2019 | PricewaterhouseCoopers | € 150.000 | Grécia ( HDPA ) |
Processamento ilegal de dados de funcionários. |
| 21/08/2019 | Skellefteå High School Board | € 20.000 | Suécia ( SDPA ) |
Usar tecnologia de reconhecimento facial para monitorar a frequência dos alunos na escola em uma base legal inválida; processamento de dados biométricos confidenciais ilegalmente e falha em fazer uma avaliação de impacto adequada, incluindo a consulta prévia ao DPA sueco. |
| 2019 - ?? - ?? | Empresa sem nome | € 3.135 | Hungria ( NAIH ) |
Violar os direitos de acesso do titular dos dados. |
| 12/08/2019 | Empresa médica sem nome | € 55.000 | Áustria ( DSB ) |
Não nomear um DPO, não publicar seus dados de contato ou relatá-los à autoridade supervisora, consentimento obrigatório dos titulares dos dados (Art. 7), não fornecer informações (Art. 13, 14), nenhum DPIA, apesar do tratamento de dados sensíveis (Art. 35 ) |
| 12/08/2019 | Varejista online sem nome | € 7.000 | Letônia ( DSI ) |
Não conformidade com os direitos dos titulares dos dados de eliminação e não cooperação com a autoridade supervisora. |
| 19/09/2019 | Varejista sem nome | € 10.000 | Bélgica ( GBA / APD ) | Exigir uma carteira de identidade eletrônica para criar um cartão de fidelidade do cliente. |
| 20/09/2019 | Varejista online Morele.net | € 645.000 | Polônia ( UODO ) |
Proteção insuficiente de dados pessoais, levando à exposição de dados de cerca de 2,2 milhões de pessoas |
| 17/10/2019 | Vueling Companhias Aéreas | € 30.000 | Espanha ( AEPD ) | Falha em obter consentimento válido para processar cookies do cliente, de acordo com o aviso de privacidade. |
| 09/12/2019 | 1 e 1 Ionos | € 9.550.000 | Alemanha ( BfDI ) |
Proteção insuficiente de dados pessoais, não implementando “medidas técnicas e organizacionais suficientes” para proteger os dados dos clientes em seus call centers. Violação do artigo 32 do GDPR |
| 17/12/2019 | Distribuidor de porta | £ 275.000 | Reino Unido ( ICO ) | "atitude arrogante para a proteção de dados", tendo deixado 500.000 registros de pacientes em um local inseguro |
| 15/01/2020 | TIM SpA | € 27.800.000 | Itália ( GPDP ) | Processamento ilegal para fins de marketing |
| 10/03/2020 | Google LLC | SEK 75.000.000 | Suécia ( SDPA ) | Violações do direito a ser esquecido |
| 06-07-2020 | BKR | € 840.000 | Holanda ( AP ) | Não conceder acesso gratuito aos dados pessoais, não disponibilizar meios fáceis de acesso aos dados, colocar limites excessivos ao número de pedidos por indivíduo |
| 14/07/2020 | Google LLC (Google Bélgica) | € 600.000 | Bélgica ( GBA / APD ) |
O desrespeito ao direito do cidadão de ser esquecido. |
| 01-10-2020 | H&M | € 35.300.000 | Alemanha (HmbBfDI) | Vigilância ilegal de várias centenas de funcionários |
| 10-12-2020 | Amazon Europe Core Sarl | € 35.000.000 | França ( CNIL ) | Depósito de cookies sem obtenção de consentimento e falta de informação fornecida aos usuários |
| 10-12-2020 | Google LLC | € 60.000.000 | Depósito de cookies sem obtenção de consentimento, falta de informação fornecida aos usuários e mecanismo de "oposição" defeituoso | |
| 10-12-2020 | Google Ireland Limited | € 40.000.000 | ||
| 26/01/2021 | Grindr LLC | NOK 100 milhões | Noruega ( Datatilsynet ) | Compartilhando dados de categorias especiais sem consentimento válido |
| 2021-03-10 | Filigrana Comunicación | € 8.000 | Espanha ( AEPD ) | Violação do Artigo 6 (1) (a), 6 (1) (f), 13 e 14 do RGPD ao coletar e reutilizar dados do Departamento de Educação da Andaluzia sem base legítima e não cumprir suas obrigações de informação. |
| 2021-03-17 | Miljø- og Kvalitetsledelse AS | € 3.500 (NOK 35.000) | Noruega ( Datatilsynet ) | Violação do artigo 6.º, n.º 1, e do artigo 5.º, n.º 1, alínea a), do RGPD ao partilhar uma gravação CCTV de um titular de dados que vandalizou uma propriedade com o empregador do titular dos dados, sem base jurídica. |
| 2021-03-18 | Air Europa Líneas Aéreas SA | € 600.000 | Espanha ( AEPD ) | violação dos artigos 32.º, n.º 1, e 33.º do RGPD, devido à falta de medidas técnicas e organizacionais adequadas e de um nível de segurança adequado e ao atraso na notificação de uma violação de dados pessoais. |
| 2021-03-22 | FURNISHYOURSPACE SL | € 3.000 | Espanha ( AEPD ) | Violar a Lei Espanhola que regulamenta os cookies após uma investigação lançada devido a uma reclamação encaminhada pela Berlin DPA, por oferecer informações pouco claras e não dar a opção de rejeitar os cookies. |
| 24/03/2021 | CP&A BV | € 15.000 | Holanda (AP) | Violação do Artigo 4 (15) do GDPR, do Artigo 9 do GDPR e do Artigo 32 do GDPR pelo processamento de dados de saúde de funcionários doentes e por não implementação de medidas de segurança adequadas em relação a esse processamento |
| 2021-04-07 | Orange Espagne, SAU | € 150.000 (reduzido para € 90.000) | Espanha ( AEPD ) | Violação dos Artigos 6 (1) (a) e 7 do GDPR, bem como do Artigo 21 (1) LSSI, ao encerrar comunicações comerciais não solicitadas em massa sem obter o consentimento adequado dos usuários. |
| 14/04/2021 | Pessoa física (senhorio) | € 3000 | Espanha ( AEPD ) | Violação dos artigos 5 (1) (c) e 13 do GDPR em relação a um sistema de vigilância por vídeo em um prédio de apartamentos. |
| 2021-04-15 | Vodafone Espana, SAU | € 150.000 (reduzido para € 90.000) | Espanha ( AEPD ) | Violação do Artigo 6 (1) (a) do RGPD ao processar dados pessoais sem consentimento ou qualquer outra base legal. Ao aplicar a multa, a AEPD levou em consideração:
A AEPD aplicou finalmente uma coima à Vodafone de € 150.000, que foi reduzida para € 90.000 devido à assunção de responsabilidade e ao pagamento antecipado. |
| 2021-04-22 | Cyfrowy Polsat Spółka Akcyjna | € 250.000 | Polônia (UODO) | Violação dos artigos 24 (1) e 32 (1) e (2) do GDPR por não implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais ao cooperar com uma empresa de courier |
| 2021-05-04 | EDP Comercializadora, SAU | € 1.500.000 | Espanha ( AEPD ) | Violação dos artigos 6, 13, 22 e 25 do RGPD por não fornecer informações suficientes aos titulares dos dados e por não implementar medidas adequadas para evitar ou mitigar os riscos relacionados ao processamento de dados. |
| 2021-05-04 | EDP ENERGÍA, SAU | € 1.500.000 | Espanha ( AEPD ) | Violação dos artigos 6, 13, 22 e 25 do RGPD por não fornecer informações suficientes aos titulares dos dados e por não implementar medidas adequadas para evitar ou mitigar os riscos relacionados ao processamento de dados. |
| 2021-05-06 | Associação de proprietários em Iasi | € 500 (RON 2.463,30) | Romênia ( ANSPDCP ) | Violação dos artigos 58 (1) (a), 58 (1) (e), 83 (5) (e) do RGPD, bem como do artigo 8 da Portaria nº 2/2001, por violação da obrigação de cooperar com o DPA durante uma investigação por não fornecer as informações solicitadas |
| 2021-05-11 | PVV ( Overijssel ) | € 7.500 | Holanda ( AP ) | Violação dos Artigos 4 (12), 9 (1) GDPR e 33 (1) GDPR por divulgação não autorizada de uma lista de correspondência contendo 101 endereços de e-mail e por não notificar essa violação ao DPA. Os endereços de e-mail constituíram dados de categorias especiais que revelam opiniões de partidos políticos. |
| 16/06/2021 | Amazon Europe Core Sarl | € 746.000.000 | Luxemburgo ( CNPD ) | A maior multa por violação do GDPR até o momento. |