SZWECJA

Szwedzki organ nadzorczy nałożył karę administracyjną na szkołę w wysokości 18 630 EURO za wykorzystywanie systemu monitoringu wizyjnego do odnotowywania obecności uczniów w szkole. Organ w uzasadnieniu swojej decyzji wskazał, że o ile przetwarzanie danych osobowych w celu monitorowania obecności w szkole jest możliwe, to rozpoznawanie twarzy z systemu monitoringu wizyjnego jest nieproporcjonalne w stosunku do celu monitorowania obecności. Organ dodał, że w przedmiotowej sprawie doszło do przetworzenia danych biometrycznych ​​uczniów oraz, że nie można zastosować w tym przypadku przesłanki zgody do zalegalizowania tego procesu, ponieważ rodzice dzieci nie mogą swobodnie decydować, czy chcą nadzorować obecność dzieci w szkole z wykorzystaniem monitoringu. Organ nadzorczy stwierdził, że rada szkoły nie może powoływać się na którekolwiek z wyjątków wymienionych w art. 9 ust. 2 RODO oraz dodał, że takie przetwarzanie danych osobowych wiąże się z dużym ryzykiem, bowiem stosowana jest nowa technologia do przetwarzania danych wrażliwych, co więcej danych osobowych dziecka, które de facto są uzależnione od szkoły i jej nauczycieli w zakresie sprawowanego nadzoru. Szwedzki organ nadzorczy  stwierdził tym samym naruszenie art. 35 RODO.

PORTUGALIA

Portugalski organ nadzorczy nałożył karę administracyjną w wysokości 400 000 EURO na szpital, z uwagi na to, że przeprowadzone przez organ czynności kontrolne wykazały, że personel szpitala oraz współpracujący ze szpitalem: psycholodzy, dietetycy  oraz inni specjaliści mieli nieograniczony dostęp do danych wrażliwych pacjentów z poziomu fikcyjnych profili, zakładanych z wykorzystaniem systemu informatycznego służącego do zarządzania dokumentacją medyczną szpitala. System zarządzania profilami okazał się wadliwy, bowiem ustalono, że zarejestrowanych lekarzy (stanowiących personel szpitalny) oraz pozostałych specjalistów współpracujących ze szpitalem jest 296 a zarejestrowanych profili prawie 1000. Ponadto, ustalono, że z poziomu swojego profilu w systemie informatycznym, każdy użytkownik miał dostęp do danych wszystkich pacjentów szpitala, bez względu na to, czy dany pacjent był leczony przez danego lekarza, czy też nie miał z nim nic wspólnego. Organ stwierdził naruszenie art. 32 oraz 5 ust. 1 lit. f RODO.

NORWEGIA

Norweski organ nadzorczy nałożył karę administracyjną w wysokości 203 000 EURO na Wydział Edukacji Miejskiej w Oslo z uwagi na niewłaściwe zabezpieczenia aplikacji do komunikacji mobilnej opracowanej w jednej ze szkół w Oslo. Aplikacja umożliwiała rodzicom i uczniom wysyłanie wiadomości do pracowników szkoły. Z powodu niewystarczających środków technicznych i organizacyjnych w celu ochrony bezpieczeństwa informacji, osoby nieupoważnione mogły zalogować się jako upoważnieni użytkownicy i uzyskać dostęp do danych osobowych uczniów, ich rodziców a także pracowników. Organ stwierdził naruszanie art. 32 RODO.

WĘGRY

Węgierski organ nadzorczy nałożył karę administracyjną w wysokości 3 200 EURO na burmistrza jednego z węgierskich miasteczek. Grzywna została nałożona za niezgodne z prawem ujawnienie danych osobowych osoby, która poinformowała anonimowo węgierski organ nadzorczy o nieprawidłowościach mających miejsce w organizacji, w której pracowała.

Po wpłynięciu skargi, organ zwrócił się do burmistrza o nadesłanie wyjaśnień w celu zbadania sprawy, a ten przypadkowo ujawnił dane osobowe osoby, od której jak się później okazało pochodziła skarga. Co więcej, osoba skarżąca została zwolniona z pracy przez burmistrza, dlatego też organ uznał dodatkowo ten czynnik za obciążający przy wymierzaniu grzywny. Organ stwierdził naruszenie art. 5 ust. 1 lit. a oraz 6 RODO.