Rumunia
Rumuński organ nadzorczy nałożył na UTTIS INDUSTRIES SRL karę administracyjną w wysokości 11 834,25 lei, co stanowi równowartość 2 500 EURO, ponieważ spółka nie wykazała, że poinformowała osoby objęte monitoringiem wizyjnym o przetwarzaniu ich wizerunku za pośrednictwem kamer przemysłowych oraz o prawach i obowiązkach im przysługujących. Zgodnie bowiem z art. 12 ust. 1 RODO administrator ma obowiązek podjąć wszelkie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą pełnej informacji o przetwarzaniu jej danych osobowych zgodnie z treścią art. 13 i 14 RODO. Rumuński organ nadzorczy w swojej decyzji wskazał na naruszenia art. 12 oraz 5 RODO.
Rumuński organ nadzorczy nałożył też drugą sankcje na ww. podmiot, tym razem za naruszenie art. 6 RODO w związku z wyświetlaniem na tablicy ogłoszeń w ukaranej spółce danych osobowych jej pracowników w postaci nazwiska oraz numer CNP (odpowiednik polskiego NIP). Na tablicy ogłoszeń wyświetlano dane pracowników, którzy uczestniczyli w szkoleniu wewnętrznym organizowanym przez spółkę, czym naruszono art. 6 RODO, bowiem spółka nie dysponowała podstawą prawną do przetwarzania danych osobowych pracowników biorących udział w szkoleniu poprzez ich ujawnienie na tablicy ogłoszeń firmy.
Dodać w tym miejscu należy, że kary administracyjne nakładane przez organ rumuński są znacznie niższe od tych nakładanych w innych państwach członkowskich, przy czym przedmiotowe naruszenie ogranicza się głównie do danych osobowych pracowników spółki, poza oczywiście osobami trzecimi, których wizerunek mógł być przetwarzany przy wykorzystaniu monitoringu wizyjnego stosowanego przez ukarany podmiot.
Niemcy
Z raportu niemieckiego organu nadzorczego wynika, że jedna z lokalnych firm (Deutche Wohnen SE) stworzyła system archiwizacji do przechowywania danych osobowych najemców, który nie przewidywał j możliwości usuwania danych, które nie były już potrzebne. Dane osobowe najemców były przechowywane bez sprawdzania, czy przechowywanie jest dozwolone i konieczne. W związku z tym można było uzyskać dostęp do danych osobowych najemców, które były przechowywane przez lata, a nie służyły one ukaranemu podmiotowi do celów ich pierwotnego gromadzenia.
Dotyczyło to danych o sytuacji osobistej i finansowej najemców, takich jak wyciągi z wynagrodzeń, wyciągi z umów o pracę i szkoleń, dane podatkowe, dane związane z ubezpieczeniem społecznym i ubezpieczeniem zdrowotnym oraz dane z wyciągów bankowych.
Po tym, jak niemiecki organ nadzorczy wydał pilną rekomendację, co do zmiany systemu archiwizacji stosowanego przez spółkę w marcu 2019 r., spółka nie była w stanie „wyczyścić” swojej bazy danych osobowych ani wskazać odpowiedniej podstawy prawnej dalszego przetwarzania danych osobowych rekomendowanych do usunięcia.
Za naruszenie art. 25 ust. 1 RODO i art. 5 RODO, niemiecki organ nadzorczy nałożył na niemiecką firmę karę administracyjna w wysokość bagatela 14,5 mln EURO, wskazując przy tym, że z uwagi na przychód osiągany przez spółkę kara mogła sięgnąć nawet 28 mln EURO. Poza wyżej wskazaną karą, na spółkę nałożono również dodatkowe kary administracyjne w wysokości od 6000 do 17 000 EURO za niedopuszczalne przechowywanie danych osobowych najemców w 15 konkretnych indywidualnych przypadkach.
Uzasadniając swoją decyzję, niemiecki organ nadzorczy wskazał, że ukarany podmiot działał przez lata celowo, żeby utrzymać stworzoną bazę danych a ponadto trwało to przez wiele lat. Zaznaczył jednak, że wzięto również pod uwagę że spółka podjęła działania w celu poprawienia funkcjonalności systemu archiwizacji i dostosowania go do zalecanej rekomendacji organu z marca 2019 r., co jednak nie przyniosło zamierzonego rezultatu do dnia wydania decyzji, pomimo starań spółki.