A bolgár eset előzménye, hogy 2019. július közepén – eddig be nem azonosított személyek – feltörték a bolgár adóhivatal adatbázisát, amelyből megszerezték 5.1 millió Bulgáriában adózó személy személyes adatait (név, cím, jövedelem, adó visszaigénylések). A megszerzett adatokat aztán több újság részére is megküldték, valamint az internetre is feltöltötték.
Természetesen az esetet követően a bolgár adatvédelmi hatóság is vizsgálatot indított, amelynek eredményeként megállapította, hogy az adóhivatal nem tette meg a megfelelő technikai, illetve szervezési intézkedéseket, az által kezelt adatbázis hatékony védelme érdekében.
A felügyeleti hatóág kötelezte az adóhivatalt a megfelelő hatékonyságú intézkedések kialakítására és alkalmazására, valamint 5 M bolgár leva összegű (mintegy 810 M Ft) bírságot szabott ki. Nyilvánvalóan a felügyeleti hatóság a bírság kiszabása során figyelemmel volt arra, hogy a feltört adatbázisból gyakorlatilag a teljes bolgár adóalanyisággal rendelkező népesség adatait – köztük érzékeny pénzügyi adatokat – szereztek meg a hekkerek, köszönhetően a nem megfelelő védelmi intézkedéseknek. (forrás: https://iapp.org/news)
A lengyelországi esetben egy internetes kereskedelemmel foglakozó céget (Morele.net) bírságolt 2,8 M złotyra (mintegy 212 M Ft) a felügyeleti hatóság. Az este hátterében itt is az adatvédelmi rendelet által megkövetelt „megfelelő technikai és szervezési védelmi intézkedések” elmulasztása állt. A megbírságolt cégnél bekövetezett adatvédelmi incidens során megközelítőleg 2,2 M érintett személyes adata vált jogosulatlan számára hozzáférhetővé. A kompromittálódott adatok zömmel nevek, telefonszámok, e-mail címek, illetve szállítási címek voltak, ugyanakkor 35 ezer esetben az adatok a részletfizetési kérelmekben foglalt olyan adatköröket is magukban foglaltak mint pl. iskolai végzettség, igazolvány száma, rendszeres jövedelem mértéke, forrása, családi állapot, a havi törlesztés mértéke.
Az adatvédelmi incidens elsősorban arra visszavezethetően következett be hogy a társaság elmulasztotta a megfelelő intézkedések alkalmazását a rendellenes folyamatok monitorozása és kezelése tekintetében. A lengyel hatóság ugyanakkor jelezte, a bírság mértékének meghatározása során figyelemmel volt arra, hogy az adatkezelő együttműködő volt a teljes eljárás alatt, megtette továbbá a szükséges pótlólagos intézkedéseket az incidens elhárítása érdekében, valamint korábban még nem indult eljárás vele szemen az adatvédelmi rendelet megsértése miatt. (forrás: uodo.gov.pl)