L’actu des sanctions RGPD en Europe

Source : noyb
(traduction de la newsletter de l’excellente équipe NOYB (None of your business) 

noyb

7 mars 2024

France

La Cour administrative suprême a estimé que l’ordre d’une APD de répondre à une demande d’accès constitue une mesure corrective suffisante au sens de l’article 58, paragraphe 2, du RGPD. Toutefois, si une personne concernée ne reçoit pas de réponse du responsable du traitement dans un délai de 6 semaines, elle peut déposer une deuxième plainte et le pouvoir discrétionnaire de l’APD sera limité.

#autoritésdecontrole #plaintes #droitsdespersonnes

Belgique

La DPA a considéré qu’une société de conseil en e-réputation ne peut pas représenter une personne concernée au sens de l’article 80, paragraphe 1, du RGPD, car il s’agit d’un organisme à but lucratif dont les objectifs statutaires ne sont pas d’intérêt public.

#représentation #droitsdespersonnes

Grèce

La DPA a infligé une amende de 2 000 € à un contrôleur pour avoir utilisé illégalement les données de géolocalisation de son salarié en dehors des heures de travail de ce dernier.

#geolocalisation #RH #salariés #droitsdespersonnes

Chypre

Dans l’une des 101 plaintes déposées par noyb, la DPA a réprimandé une société de presse privée pour avoir transféré des données personnelles aux États-Unis sans base légale, conformément au chapitre V du RGPD.

#transfertshorsUE

Espagne

VODAFONE a été condamné à une amende de 56 000 € pour avoir partagé les données confidentielles d’un autre client tout en abordant le droit d’accès d’un autre client.

#sanctions #confidentialité

Finlande

La DPA finlandaise a constaté qu’une école avait enfreint l’article 5, paragraphe 1, point c) du RGPD en traitant les numéros de compte bancaire de tous ses étudiants dans le but d’attribuer d’éventuelles bourses. En outre, la DPA a estimé qu’un responsable du traitement ne peut pas systématiquement demander aux personnes concernées de soumettre un formulaire signé et une copie de leur pièce d’identité pour une demande d’accès, car faciliter les droits de la personne concernée en vertu du RGPD nécessite une évaluation au cas par cas.

#vérification #pieceidentité #droitsdespersonnes

21 décembre 2023

L’Autriche

L’APD autrichienne a estimé que l’envoi de lettres invitant les personnes concernées à se faire vacciner contre le covid-19 ne constituait pas une violation des droits des personnes concernées en vertu de la loi autrichienne sur la protection des données.

#santé #organismepublic #politique #droitsdespersonnes

Belgique

L’APD belge (ADP) a rejeté une plainte concernant la divulgation de données personnelles par le responsable de la communication d’un parti politique à des personnes non autorisées, car la personne concernée n’avait pas fourni de preuves suffisantes que ses droits avaient été violés.

#politique #droitsdespersonnes

Allemagne

Un tribunal allemand a ordonné à un fournisseur d’énergie de cesser d’utiliser deux clauses illégales dans ses conditions générales, en violation de l’article 6, paragraphe 1, point b) du RGPD et de l’article 6, paragraphe 1, point f) du RGPD.

#droitsdespersonnes

Grèce

La DPA hellénique a infligé une amende de 5 000 € à une municipalité pour avoir téléchargé des données personnelles sur un portail public et pour avoir ensuite omis de se conformer à la demande d’effacement ultérieure.

#organismepublic #droitsdespersonnes

Islande

La DPA islandaise a infligé une amende d’un montant de 13 270 € (2 000 000 ISK) à la ville de Reykjavík pour plusieurs violations du RGPD liées à l’utilisation des services Google Cloud dans les écoles primaires.

#organismepublic #droitsdespersonnes

Italie

Suite à une demande de consultation préalable au titre de l’article 36 du RGPD, la DPA italienne a autorisé un hôpital à traiter les données de santé de patients décédés dans le cadre de deux études médicales.

#organismepublic #personnesdécédées #droitsdespersonnes

Norvège

La DPA norvégienne a infligé une amende de 1 754 678 € (20 millions NOK) à l’Administration du travail et de la protection sociale (NAV) et a émis plusieurs ordonnances pour 12 violations, attribuées à une « négligence grave sur une période prolongée » dans leurs systèmes de sécurité de l’information et informatiques.

#organismepublic #personnesdécédées #droitsdespersonnes

Slovénie

L’APD slovène a décidé que même si le responsable du traitement n’avait pas accédé à la demande d’accès lors du dépôt de la plainte, elle avait par la suite remédié à la violation en fournissant au plaignant des informations concernant sa procédure de candidature à un appel d’offres public.

#organismepublic  #droitsdespersonnes

Royaume-Uni

Un tribunal britannique inférieur ne s’est pas estimé compétent pour réexaminer la décision de la DPA britannique, car cette dernière est considérée comme l’expert en matière de réglementation.

#organismepublic #compétences #DPA #tribunaux

3 + 13 =