Enforcement

€15,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 15,000,000 on FREE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email.

€27,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 27,000,000 on FREE MOBILE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email. Lastly, the controller failed to adequately sort data and retain persona

De Franse autoriteit voor gegevensbescherming (CNIL) heeft FREE een boete van 15.000.000 euro opgelegd. Het bedrijf heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen. Dit werd veroorzaakt door het gebruik van een ontoereikende authenticatiemethode om verbinding te maken met hun VPN voor thuiswerken. Bovendien heeft het bedrijf de betrokken personen niet voldoende geïnformeerd, omdat essentiële informatie ontbrak in de e-mail waarin de datalek werd gemeld.

27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

175.000 euro boete - Nederlandse Autoriteit Persoonsgegevens (AP).

De Nederlandse Autoriteit Persoonsgegevens heeft een boete van 175.000 euro opgelegd aan de Hogeschool Arnhem en Nijmegen. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen.

€175,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 175,000 on Arnhem and Nijmegen University of Applied Sciences. The controller suffered a data breach due to insufficient technical and organisational measures.

1.000.000 euro boete - Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming (CNIL) heeft MOBIUS SOLUTIONS LTD. een boete van 1.000.000 euro opgelegd. Het bedrijf was voorheen verantwoordelijk voor de gegevensverwerking voor Deezer, dat in 2022 een datalek heeft ervaren. Het bedrijf is tekortgeschoten in de nakoming van haar verplichtingen als gegevensverwerker, wat heeft geleid tot een datalek.

€1,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 1,000,000 on MOBIUS SOLUTIONS LTD. The fined entity had been the former data processor for Deezer, which suffered a data breach in 2022. The processor failed to fulfil its duties as a data processor, which resulted in a data breach.

1.560.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SPRINTER MEGACENTROS DEL DEPORTE, S.L. een boete van 1.560.000 euro opgelegd. De verantwoordelijke partij is het slachtoffer geworden van een cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. Bovendien heeft de verantwoordelijke partij de betrokken personen die door de inbreuk zijn getroffen, niet voldoende geïnformeerd. De oorspronkelijke boete van 2.600.000 euro is verlaagd tot 1.560.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft STRATESYS TECHNOLOGY SOLUTIONS, S.L. een boete van 60.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een datalek. De oorspronkelijke boete van 100.000 euro is verlaagd tot 60.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€60,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 60,000 on STRATESYS TECHNOLOGY SOLUTIONS, S.L. The controller failed to implement adequate technical and organisational measures, resulting in a data breach. The original fine of EUR 100,000 was reduced to EUR 60,000 due to immediate payment and admission of responsibility by the controller.

Een boete van 4.750 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 4750 euro opgelegd aan de Powiatowego Inspektora Sanitarnego in Policach. De verantwoordelijke partij heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat resulteerde in een datalek. Dit kwam doordat een werknemer een onversleutelde USB-stick met persoonlijke gezondheidsgegevens en gegevens over administratieve procedures heeft verloren.

€4,750 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4750 on the Powiatowego Inspektora Sanitarnego w Policach. The controller failed to implement adequate technical and organisational measures to ensure data security, which resulted in a data breach due to an employee loosing an unencrypted usb flash drive with personal health data and data regarding administrative proceedings.

Een boete van 300.000 euro - Inspectie gegevensbescherming (DSI).

De Letse Autoriteit Persoonsgegevens heeft een boete van 300.000 euro opgelegd aan het bedrijf SIA 'ZZ Dats'. Dit bedrijf was de verwerker van persoonsgegevens voor bijna alle lokale overheden in Letland. Het heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Het bedrijf heeft tegen deze beslissing beroep aangetekend bij het stadsbestuur van Riga.

€300,000 fine - Data State Inspectorate (DSI)

The Latvian DPA has imposed a fine of EUR 300,000 on SIA 'ZZ Dats'. The entity that was fined was the data processor for almost all local governments in Latvia. It failed to implement adequate technical and organisational measures to ensure data security, resulting in a data breach. The entity appealed the decision to the Riga City Court.

€9,450 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 9,450 on a Gynecological Center. The controller sufferd a data breach and failed to report this to the DPO.

Boete van €9.450 - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een boete van 9.450 euro opgelegd aan een gynaecologisch centrum. Het bedrijf heeft een datalek gehad en heeft dit niet gemeld aan de functionaris voor gegevensbescherming.

865.000 euro boete - Waarnemend ombudsman gegevensbescherming.

De Finse toezichthouder DPA heeft Aktia Pankki Oyj een boete van 865.000 euro opgelegd. Het bedrijf heeft een wijziging doorgevoerd in zijn proces voor sterke authenticatie, waardoor de adequate gegevensbeveiliging niet langer werd gegarandeerd, wat resulteerde in een datalek.

Een boete van 5.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 5.000 euro opgelegd aan een gerechtsdeurwaarder. De ambtenaar heeft een brief met persoonlijke gegevens naar de verkeerde persoon gestuurd, zonder de betrokken personen of de gegevensbeschermingsautoriteit te informeren.

€865,000 fine - Deputy Data Protection Ombudsman

The Finish DPA has imposed a fine of EUR 865,000 on Aktia Pankki Oyj. The controller changed its strong authentication process in such a way that it no longer guaranteed adequate data security, resulting in a data breach.

€5,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 5,000 on a court bailiff. The controller forwarded a letter containing personal data to the wrong person, failing to inform either the affected data subjects or the DPA.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft PRIME TRANSACTION SA een boete van 2.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een datalek.

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on PRIME TRANSACTION SA. The controller failed to implement adequate technical and organisational measures, resulting in a data breach.

Een boete van 5.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 5.000 euro opgelegd aan Vellea Home SRL. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een datalek.

€5,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 5,000 on Vellea Home SRL. The controller failed to implement adequate technical and organisational measures, resulting in a data breach.

€25,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 25,000 on EON ENERGIE ROMANIA S.A. The controller failed to implement adequate technical and organisational measures, resulting in a data breach.

Een boete van 25.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft EON ENERGIE ROMANIA S.A. een boete van 25.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een datalek.

Een boete van 100.000 euro - van de Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming (CNIL) heeft SAMARITAINE SAS een boete van 100.000 euro opgelegd. Na meerdere gevallen van diefstal heeft de verantwoordelijke partij beveiligingscamera's geïnstalleerd, vermomd als rookmelders, om haar werknemers te controleren. Deze camera's werden geïnstalleerd zonder overleg met de functionaris voor gegevensbescherming (FG) en buiten het bestaande bewakingssysteem. Nadat de "testcamera's" waren verwijderd, hebben werknemers SD-kaarten bewaard waarop de beelden waren opgeslagen, wat een datalek vormde. Deze datalek is niet gemeld aan de autoriteit voor gegevensbescherming.

€100,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 100,000 on SAMARITAINE SAS. After multiple theft incidents, the controller installed security cameras disguised as smoke detectors to monitor its employees. The cameras were installed without consulting the DPO and outside the existing surveillance system. After dismantling the 'test cameras', employees kept SD cards containing recordings, which constitutes a data breach that the controller did not report to the DPA.

€3,000,000 fine - Estonian Data Protection Authority (AKI)

The Estonian DPA has imposed a fine of EUR 3,000,000 on Allium UPI. The controller failed to implement adequate technical and organisational measures to ensure data security. This resulted in a data breach involving the personal data of 750,000 individuals, including children and other vulnerable groups.

Een boete van 3.000.000 euro - De Estische Autoriteit voor Gegevensbescherming (AKI).

De Estische autoriteit voor gegevensbescherming heeft Allium UPI een boete van 3.000.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen. Dit heeft geleid tot een datalek waarbij de persoonlijke gegevens van 750.000 personen betrokken waren, waaronder kinderen en andere kwetsbare groepen.

€870 fine - Austrian Data Protection Authority (dsb)

The Austrian DPA has imposed a fine of EUR 870 on a company. After being informed of a data breach, the controller took adequate measures to close it but failed to inform the DPA.

870 euro boete - Oostenrijkse Autoriteit voor Gegevensbescherming (dsb).

De Oostenrijkse gegevensbeschermingsautoriteit heeft een bedrijf een boete van 870 euro opgelegd. Nadat het bedrijf werd geïnformeerd over een datalek, heeft de verantwoordelijke partij adequate maatregelen genomen om de lek te dichten, maar heeft deze de gegevensbeschermingsautoriteit niet op de hoogte gesteld.

Boete van 6.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 6.000 euro opgelegd aan BANCO INVERSIS, S.A. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. De oorspronkelijke boete van 10.000 euro is verlaagd tot 6.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van €18.000 - van de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 18.000 euro opgelegd aan GRUPO BONATEL SL. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. De oorspronkelijke boete van 30.000 euro is verlaagd tot 18.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft SC Elite Conta SRL een boete van 3.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten om adequate technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek.

Een boete van 80.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft BIZUM, S.L. een boete van 80.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. De oorspronkelijke boete van 100.000 euro is verlaagd tot 80.000 euro vanwege de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€80,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 80,000 on BIZUM, S.L. The controller failed to implement sufficient technical and organisational measures to ensure data security, resulting in a data breach. The original fine of EUR 100,000 was reduced to EUR 80,000 due to admission of responsibility by the controller.

€5,020 fine - Slovenian Supervisory Authority (Informacijski pooblaščenec)

The Slovenian DPA has imposed a fine of EUR 5,020 on a legal entity. The controller had developed an application that allowed the exchange of personal data, but failed to implement technical measures to protect the programming interface when switching from the test environment to the production environment. This resulted in a data breach affecting approximately 100,000 users. The entity was fined EUR 4,820, and the person responsible was fined EUR 200.

Een boete van €10.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 10.000 euro opgelegd aan de Orde van Verpleegkundigen van Viterbo. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen.

€43,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 43,000 on 24/7 Communication Sp. z o.o. The fined entity acted as the data processor for McDonald’s Polska Sp. z o.o. (see ETid: 2757). The processor failed to implement sufficient technical and organisational measures to ensure data security, resulting in a data breach. The controller additionally infringed the principle of data minimisation and failed to adequately involve the DPO in relevant activities.

Een boete van 3.955.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft McDonald's Polska Sp. z o.o. een boete van 3.955.000 euro opgelegd. De verantwoordelijke partij gebruikte een externe dienstverlener (zie ETid: 2758) om de planning van de werkroosters te beheren. De verantwoordelijke partij heeft nagelaten te waarborgen dat de dienstverlener voldoende technische en organisatorische maatregelen had geïmplementeerd om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Bovendien heeft de verantwoordelijke partij nagelaten te controleren of alleen de noodzakelijke gegevens waren verwerkt, en heeft de verantwoordelijke partij de autoriteit voor gegevensbescherming ook niet voldoende betrokken.

€3,955,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 3,955,000 on McDonald’s Polska Sp. z o.o. The controller used a third party processor (see ETid: 2758) for the purpose of managing work scheduals. The controller failed to ensure, that the processor implemented sufficient technical and organisational measures to ensure data security, resulting in a data breach. Additionally the controller failed to ensure, that only necessary data had been processed and the controller also did not adequatly involve the DP

Een boete van 43.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 43.000 euro opgelegd aan 24/7 Communication Sp. z o.o. Dit bedrijf fungeerde als de gegevensverwerker voor McDonald’s Polska Sp. z o.o. (zie ETid: 2757). De verwerker heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Bovendien heeft de verantwoordelijke partij het beginsel van dataminimalisatie geschonden en de functionaris voor gegevensbescherming (DPO) niet voldoende betrokken bij relevante activiteiten.

€1,100 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,100 on ADMINISTRACIONES BENIPON, S.L. The processor failed to notify the controller of a data breach and also used a sub-processor without prior consent and without an legal agreement.

1.100 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft ADMINISTRACIONES BENIPON, S.L. een boete van 1.100 euro opgelegd. Het bedrijf heeft niet voldaan aan de verplichting om de verantwoordelijke te informeren over een datalek en heeft bovendien een onderaannemer ingezet zonder voorafgaande toestemming en zonder een juridisch overeenkomst.

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 3,000 on SC Tremend Software Consulting SRL. The controller did not implement sufficient technical and organisational measures to ensure information security, resulting in a data breach.

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 3,000 on Selgros Cash & Carry SRL. The controller did not implement sufficient technical and organisational measures to ensure information security, resulting in a data breach.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense Autoriteit Persoonsgegevens heeft Selgros Cash & Carry SRL een boete van 3.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de informatiebeveiliging te waarborgen, wat heeft geleid tot een datalek.

€25,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 25,000 on the Alliance for the Union of Romanians Party. The controller did not implement adeqaute technical and organisational measures to ensure data security, which resulted in a data breach. The controller also processed personal data without a sufficient legal basis.