Enforcement

€18,500 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposd a fine of EUR 18,500 on the Komendanta Miejskiego Policji w Krakowie. The controller published personal data, including health data, of a data subject that had been involved in a police investigation, which was not necessary for the purpose of the publication.

18.500 euro boete - Poolse nationale autoriteit voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 18.500 euro opgelegd aan de regionale politie van Krakau. De autoriteit heeft persoonlijke gegevens, waaronder medische gegevens, van een betrokkene gepubliceerd die betrokken was bij een politieonderzoek. Deze publicatie was niet noodzakelijk voor het beoogde doel.

€232,379 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 232,379 on the Polish Postal Service. The controller appointed a person as DPO who also held a managerial position with authority over security and classified information protection issues. However, the controller failed to conduct an analysis to ensure the DPO's independence. Furthermore, the controller was unable to ensure that the DPO could fulfil their role without any conflicts of interest.

Een boete van 960 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

€960 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA (UODO) has fined a data controller EUR 1,450 for failing to provide information requested by the DPA during an investigation.

Een boete van 4.750 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 4750 euro opgelegd aan de Powiatowego Inspektora Sanitarnego in Policach. De verantwoordelijke partij heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat resulteerde in een datalek. Dit kwam doordat een werknemer een onversleutelde USB-stick met persoonlijke gezondheidsgegevens en gegevens over administratieve procedures heeft verloren.

€4,750 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4750 on the Powiatowego Inspektora Sanitarnego w Policach. The controller failed to implement adequate technical and organisational measures to ensure data security, which resulted in a data breach due to an employee loosing an unencrypted usb flash drive with personal health data and data regarding administrative proceedings.

Boete van €9.450 - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een boete van 9.450 euro opgelegd aan een gynaecologisch centrum. Het bedrijf heeft een datalek gehad en heeft dit niet gemeld aan de functionaris voor gegevensbescherming.

€9,450 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 9,450 on a Gynecological Center. The controller sufferd a data breach and failed to report this to the DPO.

Een boete van 5.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 5.000 euro opgelegd aan een gerechtsdeurwaarder. De ambtenaar heeft een brief met persoonlijke gegevens naar de verkeerde persoon gestuurd, zonder de betrokken personen of de gegevensbeschermingsautoriteit te informeren.

€5,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 5,000 on a court bailiff. The controller forwarded a letter containing personal data to the wrong person, failing to inform either the affected data subjects or the DPA.

€2,670 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 2,670 on an unkonwn company in the health care sector. The controller appointed its CEO as the DPO.

Een boete van 2.670 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een bedrijf in de gezondheidszorgsector een boete van 2.670 euro opgelegd. Het bedrijf heeft zijn CEO benoemd tot functionaris voor gegevensbescherming (DPO).

4.323.250 euro boete - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft ING Bank Śląski een boete van 4.323.250 euro opgelegd. De bank heeft de identiteitsdocumenten van alle klanten en potentiële klanten gescand zonder een voldoende juridische basis. De bank begon deze procedure toe te passen nadat een wet inzake het bestrijden van witwassen was ingevoerd, maar heeft niet onderzocht of de gegevensverwerking in elk geval noodzakelijk was.

€4,323,250 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4,323,250 on ING Bank Śląski. The controller scanned the identity documents of every customer and potential customer without a sufficient legal basis. The controller started to implement this procedure after an anti-money laundering law was introduced, but failed to assess the necessity of the data processing in each case.

€7,700 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 7,700 on a non-public health care institution. The controller offered home visits by doctors as part of its services. For this purpose, doctors used their private cars and carried patients' health records in them. However, in its risk analysis, the controller failed to take into account the possibility of car theft, resulting in a fine being issued.

Een boete van €7.700 - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een boete van 7.700 euro opgelegd aan een particuliere zorginstelling. Deze instelling bood huisbezoeken van artsen aan als onderdeel van haar diensten. Om deze bezoeken te realiseren, gebruikten de artsen hun privéauto's en vervoerden patiëntendossiers in deze auto's. Echter, bij de risicoanalyse heeft de verantwoordelijke partij de mogelijkheid van autodiefstal niet meegenomen, wat resulteerde in de oplegging van een boete.

4.400 euro boete - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).

De Poolse gegevensbeschermingsautoriteit (DPA) heeft een boete van 4.400 euro opgelegd aan een ondernemer. De verantwoordelijke partij heeft niet adequaat gereageerd op een verzoek van de DPA.

€4,400 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4,400 on an Entrepreneur. The controller failed to adequatly react to a request from the DPA.

€3,955,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 3,955,000 on McDonald’s Polska Sp. z o.o. The controller used a third party processor (see ETid: 2758) for the purpose of managing work scheduals. The controller failed to ensure, that the processor implemented sufficient technical and organisational measures to ensure data security, resulting in a data breach. Additionally the controller failed to ensure, that only necessary data had been processed and the controller also did not adequatly involve the DP

Een boete van 43.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 43.000 euro opgelegd aan 24/7 Communication Sp. z o.o. Dit bedrijf fungeerde als de gegevensverwerker voor McDonald’s Polska Sp. z o.o. (zie ETid: 2757). De verwerker heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Bovendien heeft de verantwoordelijke partij het beginsel van dataminimalisatie geschonden en de functionaris voor gegevensbescherming (DPO) niet voldoende betrokken bij relevante activiteiten.

€43,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 43,000 on 24/7 Communication Sp. z o.o. The fined entity acted as the data processor for McDonald’s Polska Sp. z o.o. (see ETid: 2757). The processor failed to implement sufficient technical and organisational measures to ensure data security, resulting in a data breach. The controller additionally infringed the principle of data minimisation and failed to adequately involve the DPO in relevant activities.

Een boete van 3.955.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft McDonald's Polska Sp. z o.o. een boete van 3.955.000 euro opgelegd. De verantwoordelijke partij gebruikte een externe dienstverlener (zie ETid: 2758) om de planning van de werkroosters te beheren. De verantwoordelijke partij heeft nagelaten te waarborgen dat de dienstverlener voldoende technische en organisatorische maatregelen had geïmplementeerd om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Bovendien heeft de verantwoordelijke partij nagelaten te controleren of alleen de noodzakelijke gegevens waren verwerkt, en heeft de verantwoordelijke partij de autoriteit voor gegevensbescherming ook niet voldoende betrokken.

€15,600 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 15,600 on the L. Zamenhof University Children's Clinical Hospital in Białystok. The controller did not implement sufficient technical and organisational measures to ensure information security, resulting in a ramsomeware attack on its IT systems.

15.600 euro boete - Poolse nationale instantie voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft het kinderziekenhuis L. Zamenhof in Białystok een boete van 15.600 euro opgelegd. De verantwoordelijke instantie heeft onvoldoende technische en organisatorische maatregelen genomen om de informatiebeveiliging te waarborgen, wat heeft geleid tot een ransomware-aanval op haar IT-systemen.

Een boete van 3.500 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een boete van 3.500 euro opgelegd aan het Gemeentelijk Sociaal Hulpcentrum in Aleksandrów. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de informatiebeveiliging te waarborgen, wat heeft geleid tot een datalek.

€3,500 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 3,500 on the Municipal Social Welfare Center in Aleksandrów. The controller did not implement sufficient technical and organisational measures to ensure information security, resulting in a data breach.

€7,800 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined a funeral home EUR 7,800. The funeral home failed to implement sufficient technical and organisational measures to prevent a data breach. The funeral home had stored documents containing personal data in unlocked boxes. The company also transported those boxes in an open truck, which resulted in 10 boxes falling out of the truck and landing on the side of a road, where the boxes were found by the police. The driver did not notice the loss, due to the fact that that the b

Een boete van €7.800 - van het Poolse Nationaal Bureau voor de Bescherming van Persoonlijke Gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een uitvaartonderneming een boete van 7.800 euro opgelegd. De uitvaartonderneming heeft onvoldoende technische en organisatorische maatregelen genomen om een datalek te voorkomen. De onderneming had documenten met persoonlijke gegevens opgeslagen in onvergrendelde dozen. Bovendien heeft het bedrijf die dozen vervoerd in een open vrachtwagen, waardoor 10 dozen uit de vrachtwagen vielen en op de berm van een weg terechtkwamen. De dozen werden daar door de politie gevonden. De chauffeur merkte het verlies niet op, omdat...

€17,600 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined the Chief Commander of the Polish Police EUR 17,600. During a press conference, the Chief Commander of the Police disclosed the personal and medical data of an individual who had had an abortion which had been the subject of an investigation by the Polish police. The disclosure was specific enough to allow a third party to identify the person. This resulted in the specific danger of discrimination, loss of reputation and loss of control over their own data. Therefore, th

€23,500 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 23,500 on the Polish Minister for Digital Affairs. The Minister unlawfully processed personal data of Polish citizens in the PESEL database and disclosed those to Poczta Polska SA (Polish Post), in connection with the planned postal vote during the 2020 presidential election in Poland.

€6,300,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 6.3 million on Poczta Polska SA (Polish Post) for the unlawful disclosure of personal data of over 30 million citizens from the PESEL database, in connection with the planned postal vote during the Covid-19 pandemic. Although the law amending the electoral regulations had not yet come into effect, the Ministry of Digital Affairs transferred sensitive data such as names, addresses, and PESEL numbers to the postal company. The data was only deleted weeks la

€13,400 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA fined Polskie Radio Szczecin (Polish Radio Szczecin) EUR 13,400. Due to the lack of sufficient technical measures, Polskie Radio Szczecin failed to protect the rights of individuals featured in its publications. As a result, there was a risk that information concerning the private life of individuals would be published without their consent. As an example, the DPA cited a case in which a journalist from Polskie Radio Szczecin disclosed that the minor child of a MP (who does not pa

€357,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 357,000 on Panek SA. During the reconstruction of its website, the controller failed to implement adequate technical and organisational measures to ensure data security, resulting in leak of customer data. The controller appealed against the decision, but the provincial administrative court in Warsaw dismissed the appeal.

€135,600 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA fined a company in the banking sector EUR 135,600. The DPA inspected the fined company and found several violations of the GDPR. First, the company failed to ensure that the DPO could report directly to top management and that the DPO did not receive instructions on the performance of the tasks given to the DPO. Second, the company failed to include profiling in the list of data processing operations. Third, the company failed to conduct a privacy impact assessment regarding the u

€6,900 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined a district hospital in Września EUR 6,900 for failing to report a data breach to the DPA and data subjects in a timely manner. A patient had accidentally received another individual's medical records and was able to access their personal data.

€4,700 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4,700 on a subcontractor that was contracted to redesign the website of another company. This fine is linked to ETid-2491. Due to an error by an employee of the subcontractor, customer data (including first name, last name, email address, address, and encrypted passwords) was accidentally published on the website during the redesign process. The incident affected approximately 20,000 data subjects. During its investigation, the DPA found that the subcontr

€358,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 358,000 on a company. The company had inadvertently published customer data (first name, last name, email address, home address, encrypted passwords) in the process of redesigning its website. The incident affected approximately 20,000 data subjects. The DPA found that the controller had not sufficiently ensured the security of personal data during the process, for example, by conducting regular tests and risk assessments. Instead, it relied on informatio

€5,800 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 5,800 on a data controller. The controller failed to appoint a data protection officer and to provide the DPA with the contact details in a timely manner.

€19,800 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 19,800 on the National Prosecutor's Office. During a press conference, the public prosecutor's office disclosed an individual's personal data, such as their first and last name and special categories of data, without a valid legal basis. The DPA also found that the controller failed to report the data breach to the DPA and the data subject.

€4,500 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined a data controller EUR 4,500 for failing to provide information requested by the DPA during an investigation.

€940,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined mBank EUR 940,000. The bank had suffered a data breach in which an employee of the controller sent documents containing customer data to the wrong recipient. The documents contained information such as names, account numbers, dates of birth and ID card numbers. Although the documents were returned to mBank, the envelope had been opened , meaning that third parties may have had access to the documents. During its investigation, the DPA found that, although the controller

€5,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined a data controller EUR 5,000 for failing to provide information requested by the DPA during an investigation.

€9,200 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 9,200 on a healthcare facility. The company suffered a ransomware attack on its systems, resulting in the loss of personal data. During its investigation, the DPA found that the controller had failed to implement appropriate technical and organizational measures to protect personal data in order to prevent such incidents. Furthermore, the controller failed to notify the data subjects about the incident.

€336,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 336,000 on a company. The company had suffered a ransomware attack on their systems which resulted in the loss of personal data. During its investigation the DPA found that the company had failed to install adequate technical and organizational measures to protect personal data, allowing such an attack to occur.

€210 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined an association EUR 210 for failing to report a data breach to the DPA in a timely manner.

€56,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA (UODO) has imposed a fine of EUR 56,000 on Res-Gastro M. Gaweł Sp. k. The controller had reported a data breach involving the loss of an unencrypted USB stick by an employee. The data medium contained documents with data such as name, adress, gender, date of birth etc. of another employee. During its investigation, the DPA found that the controller had failed to implement appropriate technical and organizational measures to protect personal data in order to prevent such an inciden

€2,500 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 2,500 on a committee. The controller had collected signatures in favor of a legislative initiative and later stored the signature lists unprotected in a church, which led to the sensitive data of the signatories not being sufficiently protected against loss, disclosure etc. During its investigation, the DPA found that the controller had failed to take appropriate technical and organizational measures to protect personal data.

€18,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined Toyota Bank Polska S.A. EUR 18,000 for failing to report a data breach to the DPA in a timely manner.

€326,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined Santander Bank Polska S.A. EUR 326,000 for failing to report a data breach to the DPA and data subjects in a timely manner.