Enforcement

€1,800 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,800 on a Landlord. The landlord used video surveillance in rental apartments without having a sufficient legal basis. The original fine of EUR 3,000 was reduced to EUR 1,800 due to immediate payment and admission of responsibility by the controller.

€10,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 10,000 on FREE TECHNOLOGIES EXCOM, S.L. The controller had reset user passwords and communicated the new passwords to the clients via email. However, the email was not encrypted and did not implement any other appropriate security measures.

€1,200 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,200 on a dental clinic. The controller used video surveillance in its clinic for security purposes, including a camera in the doctor's office where patients were treated. This resulted in excessive data processing. The original fine of EUR 2,000 was reduced to EUR 1,200 due to immediate payment and admission of responsibility by the controller.

€500 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 500 on VOX ESPAÑA. The controller, a political party, posted a picture of of a receipt on its Facebook page. The picture of the recipt included the full name, signature and personal ID number of a natural person. The controller had no legal basis to publish this personal data.

€8,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 8,000 on KVIKU SPAIN, S.L.The controller requires customers to send a photo of themselves holding their ID card when verifying their identities, which violates the principle of data minimisation. The original fine of EUR 10,000 was reduced to EUR 8,000 due to immediate payment by the controller.

Boete van 60.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Naar verluidt heeft de betrokkene een microkrediet niet terugbetaald aan een online kredietverstrekker, waarna de vordering werd overgedragen aan een incassobureau. Vervolgens begon dit incassobureau e-mails te versturen, niet alleen naar e-mailadressen die door de betrokkene waren opgegeven, maar ook naar een institutioneel e-mailadres van zijn werkplek, dat toegankelijk was voor alle collega's en dat nooit door de betrokkene was verstrekt.

€60,000 fine - Spanish Data Protection Authority (aepd)

After the claimant did alledgedly not pay back a microcredit to an online credit agany, the claim was assigned to the debt collecting agancy. Subsequently, the latter startet sending emails not only to email addresses provided by the claimant but also to an institutional email address of his workplace accessible by any co-worker which was never provided by the claimant.

€10,000 fine - Spanish Data Protection Authority (aepd)

The company installed cookies on an end users terminal device without prior consent of the data subject.

Een boete van 5.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse telecommunicatie- en informatiestructuur (SETSI) heeft besloten dat Vodafone een klant moest vergoeden voor kosten die ten onrechte aan hem waren doorbelast. Desondanks heeft Vodafone persoonlijke gegevens van deze betreffende klant doorgegeven aan een kredietregistratiebureau (BADEXCUG). De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat dit gedrag in strijd is met het beginsel van juistheid.

Een boete van 27.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

Hoewel de klager (een voormalige Vodafone-klant) in 2015 van Vodafone had verzocht zijn gegevens te verwijderen, en dit verzoek door het bedrijf was bevestigd, ontving hij vanaf 2018 meer dan 200 sms-berichten van het bedrijf. Volgens de verklaring van Vodafone is dit gebeurd omdat het mobiele telefoonnummer van de klager per ongeluk werd gebruikt voor testdoeleinden en toevallig in verschillende klantendossiers van andere klanten dan de klager terecht is gekomen. Aangezien het bedrijf het met de betaling heeft eens geworden...

€27,000 fine - Spanish Data Protection Authority (aepd)

Although the complainant (a former Vodafone customer) had requested Vodafone to delete his data in 2015 and this request had been confirmed by the company, he received more than 200 SMS from the company from 2018 onwards. Following Vodafone's statement, this happened because the complainant's mobile phone number was erroneously used for testing purposes and accidentally appeared in various customer files belonging to other customers than the complainant. Since the company agreed to both payment

12.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Het gasbedrijf had geen passende maatregelen getroffen om de identiteit van de betrokkene te verifiëren. De persoon die de klacht heeft ingediend, beweert dat het bedrijf zijn gegevens per e-mail naar een derde partij heeft gestuurd als reactie op een verzoek.

Boete van €9.600 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Een restaurant wilde een werknemer disciplinaire maatregelen opleggen op basis van beelden van een mobiele telefoonvideo. Deze video was opgenomen door een andere werknemer in het restaurant en diende als bewijsmateriaal. De initiële boete van 12.000 euro is verlaagd naar 9.600 euro.

Boete van €10.000 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Het bedrijf heeft cookies geplaatst op het apparaat van de eindgebruiker zonder voorafgaande toestemming van de betrokkene.

Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De bankrekening van de klager werd belast door ENDESA, waarbij de begunstigde een derde partij was. Deze derde partij was veroordeeld volgens het strafrecht en had een bevel van twee jaar gekregen dat betrekking had op de klager, haar woonplaats en werkplek. In plaats van de contractgegevens zoals gevraagd door de klager aan te passen, heeft ENDESA per ongeluk haar gegevens verwijderd en de gegevens van de derde partij ingevoerd. De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat de openbaarmaking van de gegevens van de klager aan de derde partij een ernstige schending was van het principe van vertrouwelijkheid.

€9,600 fine - Spanish Data Protection Authority (aepd)

A restaurant wanted to impose disciplinary sanctions on an employee using images from a mobile phone video which was recorded by another employee in the restaurant for evidence purposes. The initial fine of EUR 12.000 was reduced to EUR 9.600.

€60,000 fine - Spanish Data Protection Authority (aepd)

The complainant's bank account was charged by ENDESA, the beneficiary of which was a third party, who had been convicted under criminal law and imposed with a two-year restraining order regarding the claimant, her domicile and work. Instead amending the contract details as requested by the claimant ENDESA deleted her data erroneously and fillid in the data of the third party. The AEPD found the disclosure of the claimant's data to the third party was a severe violation of the principle of confid

€12,000 fine - Spanish Data Protection Authority (aepd)

The gas company did not have appropriate measures in place to verify the identity of the data subject. The person who filed the complaint alleges that the company e-mailed his information to a third party in response to a request.

€5,000 fine - Spanish Data Protection Authority (aepd)

The spanish telecommunications and informations agancy (SETSI) decided Vodafone had to reimburse a customer for costs he was wrongfully charged for. Nevertheless, Vodafone reported personal data of this respective customer to a solvency registry (BADEXCUG). The AEPD found this behaviour violated the principle of accuracy.

1.600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.600 euro opgelegd aan NAROBESA INV, S.L. De verantwoordelijke partij heeft niet gereageerd op verzoeken van de DPA. De oorspronkelijke boete van 2.000 euro is verlaagd tot 1.600 euro vanwege de onmiddellijke betaling.

€1,600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,600 on NAROBESA INV, S.L. The controller failed to react to requests made by the DPA. The original fine of EUR 2,000 was reduced to EUR 1,600 due to immediate payment

Een boete van 500.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U. een boete van 500.000 euro opgelegd. De verantwoordelijke partij heeft een communicatietool gebruikt die niet was ontworpen in overeenstemming met het "privacy by design"-principe. Hierdoor zijn berichten met persoonlijke gegevens, die bestemd waren voor een andere klant, in handen gekomen van een onafhankelijke derde partij.

€500,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 500,000 on CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U. The controller used a communication tool that was not designed in accordance with the privacy-by-design principle. This resulted in an unaffiliated third party receiving messages containing personal data intended for another customer.

Een boete van 32.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft EXCEL HOTELS & RESORTS, S.A. een boete van 32.000 euro opgelegd. Het bedrijf gebruikte beveiligingspersoneel om de toegang tot haar faciliteit te controleren. Dit beveiligingspersoneel liet regelmatig documenten met persoonlijke gegevens achter op hun post, waardoor deze toegankelijk werden voor derden. De oorspronkelijke boete van 40.000 euro is verlaagd naar 32.000 euro vanwege de onmiddellijke betaling.

€6,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 6,000 on BLUE TEAM FLIGHT SCHOOL, S.L. The controller failed to react to requests made by the DPA.

600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 300 euro opgelegd aan het bedrijf 4USPORT INSTALACIONES DEPORTIVAS, S.L. Het bedrijf heeft niet gereageerd op verzoeken die door de DPA waren ingediend.

€32,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 32,000 on EXCEL HOTELS & RESORTS, S.A. The controller used guards to control access to its facility. The guards regularly left documents containing personal data in their post, making them accessible to third parties. The original fine of EUR 40,000 was reduced to EUR 32,000 due to immediate payment.

€300 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 300 on an unkonwn person/entity. The controller failed to react to requests made by the DPA.

Een boete van 6.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft BLUE TEAM FLIGHT SCHOOL, S.L. een boete van 6.000 euro opgelegd. De verantwoordelijke partij heeft niet gereageerd op verzoeken van de DPA.

Een boete van 300 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 300 euro opgelegd aan een onbekende persoon of entiteit. De verantwoordelijke partij heeft niet gereageerd op verzoeken van de DPA.

€600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 300 on 4USPORT INSTALACIONES DEPORTIVAS, S.L. The controller failed to react to requests made by the DPA.

Boete van €3.600 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft DELAFRUIT, S.L. een boete van 3.600 euro opgelegd. De verantwoordelijke partij had videobewaking geïnstalleerd in de pauzeruimte en de kantine, maar had de vereiste informatieborden niet geplaatst. De oorspronkelijke boete van 6.000 euro is verlaagd tot 3.600 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€3,600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 3,600 on RISING SUN CAR RENTAL S..L. The controller used video surveillance to ensure security at its facility, affecting more areas than were necessary for this purpose. Additionally, the controller failed to install signs to inform data subjects regarding the video surveillance. The original fine of EUR 6,000 was reduced to EUR 3,600 due to immediate payment and admission of responsibility by the controller.

€3,600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 3,600 on DELAFRUIT, S.L. The controller installed video surveillance in the staff break area and dining room, but did not put up the necessary information signs. The original fine of EUR 6,000 was reduced to EUR 3,600 due to immediate payment and admission of responsibility by the controller.

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft RISING SUN CAR RENTAL S.L. een boete van 3.600 euro opgelegd. De verantwoordelijke partij gebruikte videobewaking om de veiligheid op haar locatie te waarborgen, maar dit omvatte meer gebieden dan noodzakelijk was voor dit doel. Bovendien heeft de verantwoordelijke partij geen borden geplaatst om betrokkenen te informeren over de videobewaking. De oorspronkelijke boete van 6.000 euro is verlaagd tot 3.600 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

1.560.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SPRINTER MEGACENTROS DEL DEPORTE, S.L. een boete van 1.560.000 euro opgelegd. De verantwoordelijke partij is het slachtoffer geworden van een cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. Bovendien heeft de verantwoordelijke partij de betrokken personen die door de inbreuk zijn getroffen, niet voldoende geïnformeerd. De oorspronkelijke boete van 2.600.000 euro is verlaagd tot 1.560.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€1,560,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,560,000 on SPRINTER MEGACENTROS DEL DEPORTE, S.L. The controller suffered a cyber attack due to insufficient technical and organisational measures being in place to ensure data security. Furthermore, the controller failed to adequately inform the affected data subjects. The original fine of EUR 2,600,000 was reduced to EUR 1,560,000 due to immediate payment and admission of responsibility by the controller.

€5,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 5,000 on ACTIVOS INTELIGENTES, S.L. The controller is asking its guests for selfies with their ID-card to verify their identity, processing data found on the ID-card which is not necessary for the purpose.

Boete van €5.000 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft ACTIVOS INTELIGENTES, S.L. een boete van 5.000 euro opgelegd. Het bedrijf vraagt zijn gasten om selfies te maken met hun identiteitskaart om hun identiteit te verifiëren, waarbij gegevens van de identiteitskaart worden verwerkt die niet noodzakelijk zijn voor dit doel.

€1,200,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,200,000 on IDCQ HOSPITALES Y SANIDAD, S.L.U. The controller offered MRI scans as part of its services, and patients could bring copies or originals of previous scans. However, the controller had established very strict return policies, resulting in data being deleted after a very short amount of time, and data subjects being unable to easily retrieve their data if they had brought it on physical data carriers. Furthermore, the controller only stored da

800 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SOBLADA RESTAURACIÓN, S.L. een boete van 800 euro opgelegd. De verantwoordelijke partij heeft videobewaking geïnstalleerd zonder de vereiste informatieborden te plaatsen of haar werknemers te informeren. De oorspronkelijke boete van 1.000 euro is verlaagd tot 800 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft STRATESYS TECHNOLOGY SOLUTIONS, S.L. een boete van 60.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een datalek. De oorspronkelijke boete van 100.000 euro is verlaagd tot 60.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 2.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete van 2.000 euro opgelegd aan de ASOCIACIÓN NACIONAL DE TASADORES Y PERITOS JUDICIALES INFORMÁTICOS. De verantwoordelijke partij heeft een gerechtelijke uitspraak gepubliceerd die persoonlijke gegevens van een betrokkene bevatte. Toen de betrokkene probeerde gebruik te maken van zijn rechten, reageerde de verantwoordelijke partij niet adequaat op het verzoek.

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on the ASOCIACIÓN NACIONAL DE TASADORES Y PERITOS JUDICIALES INFORMÁTICOS. The controller published a court ruling which included the personal data of a data subject. When the data subject tried to exercise their rights, the controller failed to react adequately to the request.

€60,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 60,000 on STRATESYS TECHNOLOGY SOLUTIONS, S.L. The controller failed to implement adequate technical and organisational measures, resulting in a data breach. The original fine of EUR 100,000 was reduced to EUR 60,000 due to immediate payment and admission of responsibility by the controller.

€800 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 800 on SOBLADA RESTAURACIÓN, S.L. The controller installed video surveillance without providing the necessary information signs or informing its employees. The original fine of EUR 1,000 was reduced to EUR 800 due to immediate payment and admission of responsibility by the controller.

€2,400 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,400 on AXARQUIA VELEZ DENTAL, S.L. The controller used video surveillance to ensure security at its facility, affecting more areas than were necessary for this purpose. The original fine of EUR 8,000 was reduced to EUR 2,400 due to immediate payment and admission of responsibility by the controller.

Een boete van 2.400 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft AXARQUIA VELEZ DENTAL, S.L. een boete van 2.400 euro opgelegd. De verantwoordelijke partij gebruikte videobewaking om de veiligheid op haar locatie te waarborgen, maar dit omvatte meer gebieden dan noodzakelijk was voor dit doel. De oorspronkelijke boete van 8.000 euro is verlaagd tot 2.400 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

10.043.002 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 10.043.002 euro opgelegd aan Aena, S.M.E., S.A. De verantwoordelijke partij voerde een proefproject uit dat meerdere luchthavens omvatte, waaronder het gebruik van gezichtsherkenningssystemen. Echter, de verantwoordelijke partij heeft geen beoordeling van de impact op de privacy uitgevoerd voordat dit werd gedaan.

€10,043,002 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 10,043,002 on Aena, S.M.E., S.A. The controller conducted a pilot project involving multiple airports, including the use of facial recognition systems. However, the controller failed to carry out a data protection impact assessment prior to doing so.