1. Amazon Europe: 746 miljonit eurot. Isikuandmete kaitse põhimõtete eiramine ja kliendiandmete meelevaldne kasutamine suunatud reklaami saatmisel. Luksemburgi andmekaitse järelevalveasutuse (CNPD) hinnangul peab Amazon oma äripraktika GDPR – ga kooskõlla viima.

2. WhatsApp Ireland: 225 miljonit eurot. GDPR artiklite 5, 12, 13 ja 14 rikkumine. Iirimaa andmekaitse järelevalveasutuse (DPC) hinnangul ei informeerinud WhatsApp oma kasutajaid läbipaistvalt selle kohta, mida ta nende andmetega teeb, kuidas neid kogub, haldab ja kasutab.

3. Notebooksbilliger.de: 10,4 miljonit eurot. GDPR artiklite 5 ja 6 rikkumine. Alam-Saksimaa andmekaitse järelevalveasutus (LfD Niedersachsen) määras e-poe pidajale trahvi oma töötajate ilma õigusliku aluseta pideva videojälgimise- ja salvestamise eest 2 aasta vältel. Varguste vältimise ja tööprotsesside optimeerimise eesmärgil tuleb rakendada vähem privaatsust rikkuvaid meetmeid.

4. Austria Post: 9,5 miljonit eurot. GDPR-s sisalduvate isikuandmete kaitse üldpõhimõtete eiramise eest. Austria andmekaitse järelevalveasutus leidis, et andmesubjektidel peab olema võimalus saada infot oma andmete töötlemise kohta lisaks postile, veebivormile ja klienditeeninduse külastamisele ka e-posti teel.

5. Vodalfone España: 8,15 miljonit eurot. GDPR artiklite 21, 23, 24, 28, 44 ja 48 rikkumine. Hispaania andmekaitse järlevalveasutuse (AEPD) hinnangul toimus rikkumine seoses turunduskampaaniate läbiviimise ja ebaseadusliku andmeedastusega. Isikutega, kes olid avaldanud otsesõnu soovi turundusteateid vältida, võeti siiski erinevaid kanaleid pidi ühendust. Samuti leidis järelevalveasutus, et Vodafone polnud esitanud oma volitatud töötlejatele isikuandmete töötlemise osas mingeid nõudmisi. Vodafone edastas isikuandmeid telekomile Peruusse, st väljapoole Euroopa Majanduspiirkonda, ilma vastava lepinguta.

6. Grindr LLC: 6,3 miljonit eurot. GDPR artiklite 6 ja 9 rikkumine. Norra andmekaitse järelevalveasutus asus tegutsema tarbijakaitse järelevalveasutuse kaebuse põhjal ning tuvastas, et asukohapõhine kohtinguäpp jagas kolmandatele isikutele äpi kasutajate asukoha GPS koordinaate, IP aadressi, vanust, sugu ja kasutamise fakti. Kasutajaid sunniti nõustuma privaatsuspoliitikaga ilma, et neilt oleks küsitud nõusolekut nende andmete jagamiseks käitumispõhise reklaami saatmise jaoks.

7. Caixabank SA: 6 miljonit eurot. GDPR artiklite 6 ja 14 rikkumine. Hispaania andmekaitse järelevalveasutus tuvastas, et Caixabank’l puudus oma klientide isikuandmete töötlemiseks piisav õiguslik alus. Pank polnud küsinud selget ja informeeritud nõusolekut töötlemistoimingute jaoks, privaatsusteavituse sõnastus oli ebamäärane, kliente ei teavitatud piisaval määral panga poolt tehtavast profiilianalüüsist, klientide õigustest ja andmete säilitamistähtaegadest.

8. Fastweb SpA: 4,5 miljonit eurot. GDPR artiklite 5, 6, 7, 12, 13, 21, 24, 25, 32, 33 ja 34 rikkumine. Itaalia andmekaitse järelevelveasutus (Garante) tuvastas, et telekommunikatsiooniettevõte, kelle vastu laekus sadu kaebusi, kasutas miljonite klientide isikuandmeid telemarketingi eesmärgil ilma nende nõusolekuta. Lisaks kasutas ettevõte isikutega kontakteerumiseks registreerimata telefoninumbreid ning andmehalduses ei kasutatud piisavaid turvameetmeid.

9. Sky Italia: 3,3 miljonit eurot. GDPR artiklite 5 (1), (2), 6 (1), 7, 12 (2), 14, 21, 28 ja 29 rikkumine. Itaalia andmekaitse järelevalveasutus (Garante) tuvastas rea rikkumisi, millest olulisim oli kolmandatest allikatest saadud kontrollimata nimekirjade alusel reklaamikõnede tegemine ilma adressaatide nõusolekuta. Andmesubjektide vastuväidetele ettevõte ei reageerinud.

10. Caixabank Payments & Consumer EFC: 3 miljonit eurot. GDPR artikli 6 (1) rikkumine. Hispaania andmekaitse järelevalveasutus (AEPD) reageeris isiku kaebusele, kes polnud andnud nõusolekut panga turunduskampaanias osalemiseks. Selgus, et Caixabank oli sellelt isikult nõudnud tema maksevõime andmeid, kuigi isikul puudus pangaga kehtiv lepinguline suhe (leping oli lõppenud 7 aastat tagasi).

11. Iren Mercato SpA: 2,9 miljonit eurot. GDPR artiklite 5(1), 5 (2) 6 (1) ja 7 (1) rikkumine. Itaalia andmekaitse järelevalveasutus (Garante) leidis, et energiaettevõtja kasutas telemarketingi eesmärgil kolmandalt isikult (Nethex Digital Marketing) saadud isikuandmeid, kuid polnud teinud kindlaks, kas selleks on olemas andmesubjektide teadlik ja vabalt antud nõusolek. Nethex omakorda oli need isikuandmed saanud kahelt teiselt ettevõttelt, kes olid küsinud neilt isikutelt enda ja kolmandate osapoolte, sh Nethex’i, nimel nõusoleku andmete telemarketing’i tarbeks kasutamiseks kuid see nõusolek ei hõlmanud Iren Mercato SpA-d.

12. Hollandi maksuamet: 2,57 miljonit eurot. GDPR artiklite 5 (1), 6 (1) ja 8 rikkumine. Hollandi andmekaitse järelevalveasutus määras Hollandi maksuametile trahvi diskrimineeriva ja ebaõiguspärase isikuandmete töötlemise eest. Selle asemel, et topeltkodakondsuse andmed ette nähtud viisil kustutada, amet seda ei teinud ning selle asemel väärkasutas neid lastetoetuste menetlemisel. Hollandis põhineb õigus lastetoetusele seaduslikul elamisel, mitte kodakondsusel. Seadust rikkudes kasutati kodakondsusandmeid taotluste menetlemisel, riskide hindamisel ja pettuste vastu võitlemisel.

13. Foodinho: 2,6 miljonit eurot. GDPR artiklite 5(1), 13, 22(3), 25, 30(1), 32, 35 ja 37 (7) rikkumine. Itaalia andmekaitse järelevalveasutus (Garante) tuvastas, et ettevõte tugines oma kullerite kohta otsuseid tehes automaatsel andmetöötlusel, st analüüsides või ennustades nende tööalast võimekust, käitumist, asukohta ja liikumist. Otsustel oli kulleritele õiguslik tagajärg, nt kõrvaldati mõned töölt. Ettevõte ei kasutanud meetmeid oma töötajate vabaduste ja õiguste kaitsmiseks automaatsel andmetöötlusel rajanevate otsuste eest. Kullerid ei olnud oma õigustest informeeritud ning neil polnud võimalust oma õigusi teostada. Algoritmi täpsust ei kontrollitud ning riske ei hinnatud. Tegu on esimese omataolise otsusega, mis puudutab nn „platvormitöötajate“ algoritmilist jälgimist.

14. Mercadona: 2,52 miljonit eurot. GDPR artiklite 5(1) 6, 9, 12, 13, 25(1) ja 35 rikkumine. Hispaania andmekaitse järelevalveasutus (AEPD) leidis, et ettevõte kasutas 48 kaupluses ebaseaduslikult näotuvastust, soovides selle abil välja sõeluda kriminaalkorras karistatud või lähenemiskeeluga isikuid. Näotuvastussüsteem töötles kõigi poodi sisenevate isikute, sh laste ja poe töötjate andmeid. AEPD leidis, et biomeetriliste andmete töötlemiseks puudus artiklist 9 tulenev õiguslik alus ja töötlemine ei olnud kooskõlas proportsionaalsuse, eesmärgipärasuse, minimaalsuse, läbipaistvuse ja lõimitud andmekaitse põhimõtetega.

15. Deliveroo Italy: 2,5 miljonit eurot. GDPR artiklite 5(1), 13, 22 (3), 25, 30 (1), 32, 35 ja 37(7) rikkumine. Itaalia juhtum on sarnane eelmainitud Hispaania Foodinho’ Deliveroo töötles põhjendamatult suures koguses oma kullerite andmeid ning eiras sellega minimaalsuse, säilitamise piirangu, läbipaistvuse ja seaduspärasuse põhimõtteid. Lisaks kasutas ettevõte kullerite jõudluse hindamisel ja ülesannete jagamisel automaatset andmetöötlust, mille osas jäi puudu läbipaistvusest.

16. Unser Ö-Bonus Club: 2 miljonit eurot. GDPR artiklite 6, 7 ja 12 rikkumine. Austria andmekaitse järelevalveasutus tuvastas, et lojaalsusprogrammi operaator edastas programmi osaliste andmeid tasu eest reklaamiettevõtetele. Programmis osalejatele ei antud teavet ostuharjumuste analüüsi ja kliendiprofiili koostamise ja nende kolmandale isikutele müümise kohta.

17. SGAM AG2R La Mondiale: 1,75 miljonit eurot. GDPR artiklite 5, 13 ja 14 rikkumine. Prantsuse andmekaitse järelevalveasutus (CNIL) tuvastas andmete lubamatult pika säilitusaja, mis tulenes korrektse raamatupidamise, maksukohustuste ja kohtuvaidluste vajadusi arvestava arhiveerimissüsteemi puudumisest. Seetõttu säilitati klientide andmeid määramatult ka pärast kliendisuhte lõppu. Lisaks tegi ettevõtte alltöövõtja tema nimel telemarketing’i kõnesid, millega seoses ei informeeritud isikuid kõnede salvestamisest, isikute õigustest ega võimalustest oma õigusi teostada.

18. Storstockholms Lokaltrafik: 1,6 miljonit GDPR artiklite 5, 6 ja 13 rikkumine. Rootsi andmekaitse järelevalveasutus leidis, et kehakaamera kasutamine piletikontrolöride töös ei ole kooskõlas läbipaistvuse ja minimaalsuse põhimõtetega ning andmesubjekte ei olnud toimuvast piisavalt informeeritud.

19. EDP Comercializadora: 1,5 miljonit eurot. GDPR artiklite 23 ja 25 rikkumine. Hispaania andmekaitse järelevalveasutus leidis, et gaasiettevõte ei kasutanud kolmandatest isikutest esindajate abil lepinguid sõlmides isikuandmete kaitseks piisavaid tehnilisi ega organisatoorseid turvameetmeid. Esindajatel puudus kohustus tõendada, et nad EDP Comercializadora’ nimel tegutsevad mistõttu oleks klientide jagatavad andmed võinud kergesti sattuda identiteedivarguse objektiks. Samuti ei olnud ettevõte kliente esindajate kasutamisest piisavalt informeerinud.

Allikas:

https://www.skillcast.com/blog/biggest-gdpr-fines-2021