Jakie są najwyższe kary pieniężne za nieprzestrzeganie RODO? Rozporządzenie o ochronie danych osobowych obowiązuje we wszystkich krajach członkowskich UE od 25 maja 2018 roku. Od momentu wejścia w życie RODO, przyznano łącznie 510 kar wynikających z Rozporządzenia. Łączna wartość tych kar wynosi aż 285 072 778 euro. Najwyższa dotychczasowa kara nałożona została we Francji w 2019 roku na firmę Google i wynosiła 50 milionów euro, natomiast najniższa grzywna trafiła do jednego z policjantów w Estonii (48 euro).

RANKING NAJWYŻSZYCH KAR PIENIĘŻNYCH ZA NIEPRZESTRZEGANIE RODO W EUROPIE

W poniższym rankingu wzięto pod uwagę jedynie wiążące i ostateczne kary. Stan aktualny na dzień 28 stycznia 2021 r.

1. Wysokość kary RODO: 50 000 000 euro

Dla: Google
Gdzie i kiedy: Francja, 21.01.2019r.
Za co: zostały naruszone następujące zasady:
– zasada przejrzystości (art. 5 RODO),
– wystarczalności informacji (art. 13/14 RODO)
– oraz brak istnienia podstawy prawnej (art. 6 RODO).

Głównym powodem przyznania kary był brak zapewnienia użytkownikom przejrzystych i zrozumiałych informacji na temat zasad korzystania z danych. Niewłaściwy był również sposób, w jaki pozyskiwane były zgody na przetwarzanie danych osobowych użytkowników. Francuski organ nadzorczy (CNIL) zwrócił szczególną uwagę na trudności pojawiające się przy dostępie do informacji, dotyczących m.in. okresów zbierania danych czy celów ich przetwarzania. Użytkownicy nie byli w stanie w prosty sposób sprawdzić, jakie dane są przetwarzane i przez jaki czas są przechowywane. Ponadto zgoda na wyświetlanie spersonalizowanych reklam nie spełniała przesłanek konkretności oraz jednoznaczności zgody, a więc nie była odpowiednio dostosowana do przepisów RODO.

2. Wysokość kary RODO: 32 258 708 euro 

Dla: H&M
Gdzie i kiedy: Niemcy, 10.01.2020
Za co: niezgodność z legalną podstawą przetwarzania danych.

Placówka H&M z siedzibą w Norymberdze od 2014 roku pozyskiwała szczegółowe dane o życiu prywatnym kilkuset pracowników. Informacje te zawierały liczne dane osobowe zaliczane do szczególnej kategorii. Dotyczyły one np. sytuacji rodzinnej, stanu zdrowia, przekonań religijnych, politycznych czy nawet doświadczeń z urlopu. Informacje te były pozyskiwane przez menadżerów podczas nieformalnych rozmów z pracownikami, następnie były rejestrowane i przechowywane na dysku sieciowym. Wszystkie informacje zostały udostępnione ponad 50 menadżerom H&M, którzy wykorzystali je do oceny wydajności pracy pracowników, a także do podejmowania decyzji o dalszym  zatrudnieniu. Fakt ten wyszedł na jaw, gdy jeden z menadżerów przypadkowo zamieścił swoje notatki na ogólnodostępnym folderze. H&M wypłacił odszkodowania pracownikom, których dotyczyło to naruszenie.

3. Wysokość kary RODO: 27 800 000 euro

Dla kogo TIM – dostawca usług telekomunikacyjnych
Gdzie i kiedy: Włochy, 01.02.2020
Za co: brak współpracy z organem ochrony danych.

Firma TIM została ukarana grzywną z powodu licznych niezgodności z prawem, m.in. działań związanych z przetwarzaniem danych związanych z marketingiem i reklamą. Z osobami, których dane dotyczą, były przeprowadzane niezamówione rozmowy promocyjne, a także ich dane były zapisywane do konkursów bez ich zgody i wiedzy. Bezprawne przetwarzanie danych dotyczyć mogło nawet kilku milionów osób. TIM nie przedstawił również wystarczająco szczegółowych polityk prywatności i zasad przetwarzania danych, w związku z czym konsumenci nie byli skutecznie informowani o gromadzonych i przetwarzanych danych. 

4. Wysokość kary RODO: 22 046 000 euro

Dla kogo: British Airways Brytyjskie linie lotnicze
Gdzie i kiedy: Wielka Brytania, 16.10.2020
Za co: brak wdrożenia wystarczających środków w celu zapewnienia bezpieczeństwa informacji.

Brytyjski organ ochrony danych (ICO) w lipcu 2019 poinformował, że British Airways grozi kara w wysokości około 204 mln euro. Grzywna ta była związana z incydentem zgłoszonym we wrześniu 2018 r. przez British Airways, polegającym na przekierowaniu ruchu użytkowników na oficjalnej stronie British Airways na oszukańczą witrynę. Podczas incydentu, niewłaściwa strona zebrała dane osobowe ponad 500 000 klientów. Podczas dochodzenia ICO ustalono, że British Airways był winny większości ujawnionych informacji, ponieważ nie stosował odpowiednich środków bezpieczeństwa, związanych z takimi działaniami użytkownika jak rejestracja i logowanie do witryny, płatności kartą płatniczą czy wyborem szczegółów rezerwacji podróży. ICO ostatecznie zdecydowało o obniżeniu grzywny do 20 milionów funtów (około 22 046 000 euro).

5. Wysokość kary RODO: 20 450 000 euro

Dla kogo: Marriott International, Inc.
Gdzie i kiedy: Wielka Brytania, 30.10.2020
Za co: brak wdrożenia wystarczających środków w celu zapewnienia bezpieczeństwa informacji.

Sieć hoteli Marriott International w sposób nieumyślny ujawnił dane osobowe ponad 330 milionów rekordów gości z całego świata. Grzywna jest bezpośrednio związana z naruszeniem bezpieczeństwa z 2014 roku grupy hoteli Starwood, którą w 2016 roku wykupił Marriott. Naruszenie danych zostało zidentyfikowane dopiero dwa lata później i zostało zgłoszone do brytyjskiego organu ochrony danych (ICO). W trakcie dochodzenia ICO stwierdziło, że po nabyciu firmy Starwood firma Marriott nie przeprowadziła wystarczających kontroli bezpieczeństwa przejętych systemów.

6. Wysokość kary RODO: 18 000 000 euro

Dla kogo: poczta austriacka
Gdzie i kiedy: Austria, 23.10.2019
Za co: bezprawne przetwarzanie danych.

Poczta austriacka w sposób umyślny sprzedała szczegółowe dane osobowe około trzech milionów Austriaków różnym firmom i partiom politycznym. Profile zawierały nazwiska, adresy, upodobania polityczne, a nawet intymne szczegóły. Poczta utrzymywała, że dane o preferencjach politycznych nie są danymi wrażliwymi oraz, że jej działania są zgodne z prawem.

7.  Wysokość kary RODO: 16 700 000 euro

Dla kogo: Wind Tre SpA (operator usług telekomunikacyjnych)
Gdzie i kiedy: Włochy, 13.07.2020
Za co: bezprawne przetwarzanie danych.

Firma została ukarana grzywną, ponieważ bezprawnie przetwarzała dane w ramach przeprowadzanych kampanii marketingowych. Ponad stu klientów zgłosiło otrzymanie niechcianych wiadomości SMS, e-maili, połączeń telefonicznych i innych działań marketingowych. Ponadto klienci nie mieli możliwości skorzystania z przysługującego im prawa do cofnięcia zgody na przetwarzanie danych przez spółkę. Przyczyną tego był brak niezbędnych informacji w polityce ochrony danych firmy. Osoby, których dane dotyczą, zgłosiły również, że ich dane kontaktowe zostały umieszczone na publicznych listach telefonicznych pomimo braku ich zgody.  Firma korzystała również z aplikacji, które wymuszały zgodę na przetwarzanie danych użytkownika za każdym razem, gdy tylko były używane. Wycofanie takiej zgody było możliwe dopiero po upływie 24 godzin od jej udzielenia.

8. Wysokość kary RODO: 14 500 000 euro

Dla kogo: Deutsche Wohnen SE (spółka zajmująca się nieruchomościami)
Gdzie i kiedy: Niemcy, 30.10.2019
Za co: nieprzestrzeganie zasady niezbędności przetwarzania danych osobowych.

Firma przechowywała dane najemców, nawet gdy nie były już one niezbędne. Dane osobowe były przechowywane bez sprawdzenia, czy ich przechowywanie jest zgodne z prawem i konieczne. Podczas analizy przechowywanych danych wykryto, że w pojedynczych przypadkach można było uzyskać prywatne informacje o najemcach, których dane dotyczyły, pomimo że nie służyły już one celowi, dla którego zostały zebrane. 

9. Wysokość kary RODO: 12 251 601 euro

Dla kogo: Vodafone Italia SpA (operator usług telekomunikacyjnych)
Gdzie i kiedy: Włochy, 12.11.2020
Za co: niezgodne z prawem przetwarzanie danych osobowych.

Spółka Vodafone Italia została ukarana grzywną za przetwarzanie danych osobowych milionów klientów w celach telemarketingowych. Na spółkę wpłynęły setki skarg, które dotyczyły m.in. niezamówionych połączeń telefonicznych. W trakcie dochodzenia wykryto kilka naruszeń prawa o ochronie danych, takich jak naruszenie wymogów dotyczących zgody oraz naruszenie ogólnych obowiązków w zakresie ochrony danych. Organ ochrony danych zwrócił szczególną uwagę na wykorzystywanie fałszywych numerów telefonów przez Vodafone (numery te nie zostały zarejestrowane we włoskim Krajowym Skonsolidowanym Rejestrze Operatorów Łączności). Ponadto Spółka została również uznana za winną kilku naruszeń dotyczących obsługi list kontaktów, uzyskanych od dostawców zewnętrznych. Organ nadzorczy uznał również, że środki bezpieczeństwa przetwarzania danych osobowych, stosowane przez Vodafone, były niewystarczające.

10.  Wysokość kary RODO: 7 000 000 euro

Dla kogo: Google
Gdzie i kiedy: Szwecja, 11.03.2020
Za co: Nieprzestrzeganie zasad przetwarzania danych.

Firma Google została ukarana za nieprzestrzeganie zobowiązań dotyczących prawa osób, których dane dotyczą, do usunięcia wyników wyszukiwania z wyszukiwarki Google. Szwedzki organ ochrony danych zakończył dochodzenie już w 2017 r., w którym zbadał, w jaki sposób firma postępowała z prośbami osób o usunięcie ich z wyników wyszukiwania. Wówczas organ ochrony danych poinstruował Google, aby bardziej aktywnie spełniał te żądania. W 2018 r. urząd ponownie rozpoczął dochodzenie po nie zastosowaniu się do wcześniejszych instrukcji postępowania z danymi.

 Źródło: https://www.privacyaffairs.com/gdpr-fines/

Sprawdź, jak możemy Ci pomóc chronić dane osobowe i uniknąć konsekwencji:
Kurs RODO online – https://www.e-kursyrodo.pl/kurs/rodo-kurs-ogolny-2/
Indywidualna oferta dla firm – https://www.e-kursyrodo.pl/oferta-dla-firm/
Pełna oferta ochrony danych osobowych w Twojej firmie – https://standarder.pl/oferta-ochrona-danych/

STANDARDER SP. Z O.O.
Z nami RODO jest proste!