Den rumänska dataskyddsmyndigheten fann att en fysioterapeut brutit mot GDPR. Personen i fråga hade filmat en patient på sjukhuset han jobbade på med sin privata telefon. Videon laddades senare upp på dennes privata facebookkonto. Det hela skedde utan patientens samtycke. Videon från Facebook spred sig sedan till ett stort antal människor samt flera andra hemsidor och mediekanaler trots att fysioterapeuten tog ned videon från sin Facebook redan samma dag.
Myndigheten menade att fysioterapeuten bröt mot flertalet regler i GDPR genom att sprida videon utan laglig grund. Videon visade även känsliga personuppgifter gällande patientens hälsa som läcktes via spridandet. Den rumänska dataskyddsmyndigheten dömde därmed ut €2,000 i straffsanktion till fysioterapeuten.
