HOLANDIA
Organ nadzorczy nałożył na holenderski urząd pracy (UWV), który pełni jednocześnie funkcje podobne do naszego rodzimego Zakładu Ubezpieczeń Społecznych, karę pieniężną w wysokości 150 000 EURO płatną comiesięcznie do momentu, gdy poziom bezpieczeństwa portalu internetowego prowadzonego przez UWV nie będzie spełniał wymogów RODO, przy czy maksymalna kara może wynieść 900 000 EURO. Kara ma związek z naruszeniem art. 32 RODO, który nakłada na administratora danych, w tym UWV obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem przez UWV danych osobowych osób korzystających z portalu prowadzonego przez UVW oraz danych dostępnych w tym portalu.
Organ nadzorczy wskazał, że UWV nie stosuje środków uwierzytelnienia wieloskładnikowego przy udzielaniu dostępu do internetowego portalu CWV, co za tym idzie stosowane środki bezpieczeństwa są niewystarczające, bowiem pracodawcy mogą mieć dostęp za pośrednictwem portalu do danych dotyczących zdrowia pracowników, w tym dokładnych przyczyn nieobecności w pracy wraz ze wskazaniem jednostki chorobowej.
UWV podkreślał, że chce wdrożyć uwierzytelnianie wieloskładnikowe oraz podjął już inne środki, aby zapobiec nieautoryzowanemu dostępowi do portalu, przy czym nie dotyczyły one uwierzytelniania i dlatego w ocenie organu nadzorczego nie były odpowiednie.
Organ nadzorczy podkreślił, że podmiot przetwarzający dane osobowe musi podjąć odpowiednie środki, aby je odpowiednio chronić, tym bardziej gdy przetwarza się duże ilości danych dotyczących zdrowia z wykorzystaniem portalu internetowego. Przetwarzanie danych dotyczących zdrowia za pośrednictwem Internetu może odbywać się wyłącznie przy uwierzytelnianiu wieloskładnikowym i jest to zabezpieczenie minimalne. Jest to forma bezpieczeństwa, w której użytkownik musi się uwierzytelnić na co najmniej dwa sposoby, aby uzyskać dostęp do komputera lub aplikacji. Na przykład hasłem w połączeniu z kodem SMS.
UWV zwrócił się do organu nadzorczego o zawieszenie wykonania kary i nienakładanie kolejnych miesięcznych kar do dnia 01 marca 2020 r. Organ nadzorczy przychylił się do tego wniosku i wskazał, że wdrożenie systemu uwierzytelniania wieloskładnikowego jest złożonym procesem z uwagi na to, że zależne jest od działań podmiotów zewnętrznych. Jednocześnie organ nadzorczy nałożył na UWV szereg warunków związanych z zawieszeniem naliczania kary administracyjnej do dnia 01 marca 2020 r. tj. blokowanie dotychczasowej metody logowania do portalu oraz składanie comiesięcznych raportów z prac wdrożeniowych.
HISZPANIA
Hiszpańska firma elektromagnetyczna – została ukarana przez hiszpański organ nadzorczy karą administracyjną w wysokości 8 000 EURO za naruszenia art. 31 RODO, przejawiające się brakiem współpracy podmiotu ukaranego z organem nadzorczym. Było to pokłosie skargi konsumenta na działania ww. spółki, która odmówiła konsumentowi złożenia wniosku o zmianę dostawcy energii elektrycznej, twierdząc, że jego dane zostaną uwzględnione na liście wypłacalności. W sprawę zaangażował się organ nadzorczy i zażądał od spółki dostarczenia informacji o możliwości dodania danych osobowych do listy wypłacalności, które to żądanie pozostało bez odpowiedzi.
RUMUNIA
Rumuński organ nadzorczy przeprowadził dochodzenie w sprawie operatora dużej międzynarodowej grupy finansowej , stwierdzając, że ww. podmiot naruszył przepisy art. 12 ust. 3 RODO. Operator został ukarany grzywną w wysokości 9508 lei, co stanowi równowartość 2000 EURO.
Dochodzenie wszczęto w wyniku skargi klienta ww. podmiotu, który twierdził, że operator nie odpowiedział mu w terminie wskazanym w przywołanym artykule na żądanie usunięcia jego danych osobowych z sytemu ewidencji biura kredytowego.
Organ nadzorczy wskazał, że zgodnie z art. 12 ust. 3 RODO, operator ma obowiązek odpowiedzieć na wnioski osób, których dane dotyczą, bez nieuzasadnionych opóźnień, najpóźniej w ciągu jednego miesiąca od otrzymania wniosku. Poza karą administracyjną zastosowano wobec operatora środek naprawczy, który polegał na przyjęciu na poziomie spółki środków dotyczących zaspokojenia wniosków osób, których dane dotyczą, tak aby we wszystkich przypadkach przepisy art. 12 RODO były respektowane.