L’actu européenne des sanctions RGPD
Source : noyb
(extrait de la newsletter de « None of your business »)
7 mars 2024
France
La Cour administrative suprême a estimé que l’ordre d’une APD de répondre à une demande d’accès constitue une mesure corrective suffisante au sens de l’article 58, paragraphe 2, du RGPD. Toutefois, si une personne concernée ne reçoit pas de réponse du responsable du traitement dans un délai de 6 semaines, elle peut déposer une deuxième plainte et le pouvoir discrétionnaire de l’APD sera limité.
#autoritésdecontrole #plaintes #droitsdespersonnes
Belgique
La DPA a considéré qu’une société de conseil en e-réputation ne peut pas représenter une personne concernée au sens de l’article 80, paragraphe 1, du RGPD, car il s’agit d’un organisme à but lucratif dont les objectifs statutaires ne sont pas d’intérêt public.
#représentation #droitsdespersonnes
Grèce
La DPA a infligé une amende de 2 000 € à un contrôleur pour avoir utilisé illégalement les données de géolocalisation de son salarié en dehors des heures de travail de ce dernier.
#geolocalisation #RH #salariés #droitsdespersonnes
Chypre
Dans l’une des 101 plaintes déposées par noyb, la DPA a réprimandé une société de presse privée pour avoir transféré des données personnelles aux États-Unis sans base légale, conformément au chapitre V du RGPD.
#transfertshorsUE
Espagne
VODAFONE a été condamné à une amende de 56 000 € pour avoir partagé les données confidentielles d’un autre client tout en abordant le droit d’accès d’un autre client.
#sanctions #confidentialité
Finlande
La DPA finlandaise a constaté qu’une école avait enfreint l’article 5, paragraphe 1, point c) du RGPD en traitant les numéros de compte bancaire de tous ses étudiants dans le but d’attribuer d’éventuelles bourses. En outre, la DPA a estimé qu’un responsable du traitement ne peut pas systématiquement demander aux personnes concernées de soumettre un formulaire signé et une copie de leur pièce d’identité pour une demande d’accès, car faciliter les droits de la personne concernée en vertu du RGPD nécessite une évaluation au cas par cas.
#vérification #pieceidentité #droitsdespersonnes
21 décembre 2023
L’Autriche
L’APD autrichienne a estimé que l’envoi de lettres invitant les personnes concernées à se faire vacciner contre le covid-19 ne constituait pas une violation des droits des personnes concernées en vertu de la loi autrichienne sur la protection des données.
#santé #organismepublic #politique #droitsdespersonnes
Belgique
L’APD belge (ADP) a rejeté une plainte concernant la divulgation de données personnelles par le responsable de la communication d’un parti politique à des personnes non autorisées, car la personne concernée n’avait pas fourni de preuves suffisantes que ses droits avaient été violés.
#politique #droitsdespersonnes
Allemagne
Un tribunal allemand a ordonné à un fournisseur d’énergie de cesser d’utiliser deux clauses illégales dans ses conditions générales, en violation de l’article 6, paragraphe 1, point b) du RGPD et de l’article 6, paragraphe 1, point f) du RGPD.
#droitsdespersonnes
Grèce
La DPA hellénique a infligé une amende de 5 000 € à une municipalité pour avoir téléchargé des données personnelles sur un portail public et pour avoir ensuite omis de se conformer à la demande d’effacement ultérieure.
#organismepublic #droitsdespersonnes
Islande
La DPA islandaise a infligé une amende d’un montant de 13 270 € (2 000 000 ISK) à la ville de Reykjavík pour plusieurs violations du RGPD liées à l’utilisation des services Google Cloud dans les écoles primaires.
#organismepublic #droitsdespersonnes
Italie
Suite à une demande de consultation préalable au titre de l’article 36 du RGPD, la DPA italienne a autorisé un hôpital à traiter les données de santé de patients décédés dans le cadre de deux études médicales.
#organismepublic #personnesdécédées #droitsdespersonnes
Norvège
La DPA norvégienne a infligé une amende de 1 754 678 € (20 millions NOK) à l’Administration du travail et de la protection sociale (NAV) et a émis plusieurs ordonnances pour 12 violations, attribuées à une « négligence grave sur une période prolongée » dans leurs systèmes de sécurité de l’information et informatiques.
#organismepublic #personnesdécédées #droitsdespersonnes
Slovénie
L’APD slovène a décidé que même si le responsable du traitement n’avait pas accédé à la demande d’accès lors du dépôt de la plainte, elle avait par la suite remédié à la violation en fournissant au plaignant des informations concernant sa procédure de candidature à un appel d’offres public.
#organismepublic #droitsdespersonnes
Royaume-Uni
Un tribunal britannique inférieur ne s’est pas estimé compétent pour réexaminer la décision de la DPA britannique, car cette dernière est considérée comme l’expert en matière de réglementation.
#organismepublic #compétences #DPA #tribunaux