Poniżej prezentujemy przegląd kar jakie nałożyły ograny nadzorcze państw członkowskich UE za niezapewnienie odpowiednich środków bezpieczeństwa danych osobowych, a więc za naruszenie art. 32 RODO przez podmioty kontrolowane przez te organy. Kary dotyczą zarówno organów państwowych, instytucji, jak również sektora prywatnego.
SŁOWACJA
Słowacka Agencja Ubezpieczeń Społecznych została ukarana przez organ nadzorczy karą administracyjną w wysokości 50000 EURO za naruszenie polityki prywatności. To rekordowa kara, która do tej pory została nałożona na Słowacji. Agencja Ubezpieczeń Społecznych popełniła błąd w ramach prowadzonej korespondencji elektronicznej z zagranicznymi organami zajmującymi się ubezpieczeniami społecznymi w innych krajach członkowskich, korzystając z poczty pozbawionej odpowiednich zabezpieczeń, w wyniku czego zaginęła część prowadzonej korespondencji zawierającej dane osobowe ubezpieczonych. Agencja Ubezpieczeń Społecznych nie była w stanie wykazać, co stało się z przedmiotową korespondencją.
Słowackie źródła podają, że coraz więcej Słowaków korzysta z systemu społecznego innych państw członkowskich UE. Tysiące ludzi zarabia na przykład na opiece nad chorymi lub starszymi osobami w Austrii, Niemczech lub w Wielkiej Brytanii. Płacą oni ubezpieczenie społeczne w swoim kraju, a po spełnieniu warunków, wieku lub lat pracy są również uprawnieni do świadczeń socjalnych, takich jak emerytura. Wnioski obywateli Słowacji o te świadczenia są rozpatrywane przez Agencję Ubezpieczeń Społecznych i podczas ich weryfikacji ww. podmiot komunikuje się z organami zagranicznymi.
MALTA
Maltański organ nadzorczy nałożył na Urząd Ziemski karę administracyjną w wysokości 5000 EURO za naruszenie art. 32 RODO. W wyniku braku odpowiednich środków bezpieczeństwa na stronie internetowej Urzędu Ziemskiego, ponad 10 gigabajtów danych osobowych stało się łatwo dostępnych dla społeczeństwa za pomocą wyszukiwarki google. Większość wycieków danych zawierała poufne informacje i korespondencję między podmiotami danych a samym Urzędem Ziemskim.
Organ nadzorczy przypomniał w swojej decyzji, że RODO wyraźnie stwierdza:
„Każde państwo członkowskie może ustanowić zasady dotyczące tego, czy i w jakim zakresie mogą zostać nałożone grzywny administracyjne na organy publiczne i organy mające siedzibę w tym państwie członkowskim”.
Z tego powodu poziomy grzywien administracyjnych nakładanych na władze i organy publiczne są różne w całej UE. Na Malcie, w przypadku naruszenia RODO przez organ publiczny, organ nadzorczy może nałożyć karę administracyjną w wysokości do 25000 EURO za każde naruszenie i może dodatkowo nałożyć dzienną grzywnę w wysokości 25 EURO za każdy dzień takiego naruszenia. Prawo zezwala również na podwojenie grzywny w przypadku poważniejszych spraw. Nałożone grzywny zależą od przepisów prawa, które zostały naruszone przez organ.
Urząd Ziemski nie odwoływał się od nałożonej kary administracyjnej, pomimo tego, że miał takie prawo. Urząd prowadzi obecnie testy penetracyjne na swojej stronie internetowej i przeprowadził migrację danych na serwery obsługiwane przez Malta Information Technology Agency w ramach procedury ograniczania ryzyka.
WŁOCHY
Włoski organ nadzorczy nałożył karę administracyjną w wysokości 50000 EURO na stowarzyszenie Rousseau za naruszenie art. 32 RODO. Organ ustalił, że szereg stron internetowych powiązanych z włoską partią polityczną Movimento 5 Stelle jest uruchamianych za pośrednictwem podmiotu przetwarzającego dane (Stowarzyszanie Rousseau) za pomocą platformy o nazwie Rousseau. W lecie 2017 r. na platformie nastąpiło naruszenie danych co spowodowało, że włoski organ nadzorczy, zażądał wdrożenia szeregu środków bezpieczeństwa, poza obowiązkiem aktualizacji informacji o prywatności w celu zapewnienia dodatkowej przejrzystości do czynności przetwarzania, który był stosowany i wdrożony wcześniej. W związku z przeprowadzonymi aktualizacjami informacji o prywatności, organ nadzorczy wyraził obawy, co do braku wdrożenia na platformie Rousseau niektórych środków bezpieczeństwa wymaganych przez RODO.
Włoskie źródła podają, że postępowanie wszczęto przed majem 2018 r., ale włoski organ ochrony danych nałożył karę administracyjną na mocy RODO, ponieważ platforma Rousseau nie przyjęła wymaganych środków bezpieczeństwa w drodze zaleceń wydanych przez organ po 25 maja 2018 r. Co ciekawe, grzywna nie została wydana przeciwko Movimento 5 Stelle, która jest administratorem danych platformy, ale przeciwko stowarzyszeniu Rousseau, które jest podmiotem przetwarzającym dane.