Rumunjsko nadzorno tijelo kaznilo je IKEA-u u Rumunjskoj s približno 1.000,00 eura zbog povrede osobnih podataka 114 ispitanika, od kojih je polovica bila maloljetna, i to zbog objave osobnih podataka online na platformi članova IKEA-e.
Naime, voditelj obrade IKEA Rumunjska organizirao je natjecanje u crtanju za djecu. Pritom su zakonski skrbnici djece morali ispuniti obrasce za sudjelovanje, a koji obrasci su uključivali osobne podatke zakonskih skrbnika djece (ime, prezime, grad, država, e-mail, IKEA članski broj i vlastoručni potpis) i osobne podatke djece (ime, prezime i dob).
Crteži su potom objavljeni na internetskoj platformi, kako bi se glasalo za pobjednika natječaja. No, pritom su pogreškom objavljeni i obrasci za sudjelovanje sa svim pripadajućim osobnim podacima. Dodatno, navedeni su osobni podaci bili dostupni online punih 40 sati.
Rumunjsko nadzorno tijelo utvrdilo je kršenje članka 32. stavak 1. točka (b) GDPR-a i članka 32. stavak 2. GDPR-a.