La DPA roumaine (ANSPDCP) a infligé une amende de 1 000 euros à IKEA ROMÂNIA SA. Le responsable du traitement avait envoyé une notification à l'APD concernant une violation de données personnelles en vertu de l'art. 33 RGPD. En conséquence, le contrôleur avait organisé un concours de dessin auquel pouvaient participer les enfants des membres d'IKEA Family. Les participants ont téléchargé leurs propres dessins sur une plateforme en ligne ainsi que des formulaires d'inscription contenant leurs données personnelles et celles de leurs parents, y compris leur consentement. Afin de voter pour le meilleur dessin, les dessins des enfants ont été publiés sur la plateforme en ligne et par accident avec eux les données personnelles incluses dans les formulaires de participation. Au moment de l'enquête, il a été déterminé que l'incident de sécurité avait entraîné la divulgation non autorisée de données personnelles de membres d'IKEA Family (nom, prénom et âge des mineurs, ainsi que nom, prénom, ville, pays, email , numéro de membre IKEA Family et la signature des parents) sur la plateforme en ligne accessible uniquement aux membres IKEA Family en Roumanie. L'incident a touché 114 personnes, dont la moitié étaient des mineurs. La DPA a constaté que le responsable du traitement avait ainsi manqué à son obligation en vertu de l'art. 32 (1) b), (2) GDPR pour mettre en œuvre des mesures techniques et organisationnelles qui garantissent un niveau de sécurité approprié au risque pour les personnes concernées.