Regulatory actions, fines, warnings, and enforcement decisions
€1,800 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1,800 on a Landlord. The landlord used video surveillance in rental apartments without having a sufficient legal basis. The original fine of EUR 3,000 was reduced to EUR 1,800 due to immediate payment and admission of responsibility by the controller.
€8,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 8,000 on PREMIER RESTAURANTS ROMANIA SRL. The controller failed to implement adequate technical and organisational measures, resulting in a cyber incident.
18.500 euro boete - Poolse nationale autoriteit voor de bescherming van persoonlijke gegevens (UODO).
De Poolse gegevensbeschermingsautoriteit heeft een boete van 18.500 euro opgelegd aan de regionale politie van Krakau. De autoriteit heeft persoonlijke gegevens, waaronder medische gegevens, van een betrokkene gepubliceerd die betrokken was bij een politieonderzoek. Deze publicatie was niet noodzakelijk voor het beoogde doel.
€10,000 fine - Hellenic Data Protection Authority (HDPA)
The Greek DPA has imposed a fine of EUR 10,000 on a Fire Brigade Head Quarter. The controller had stored health data of an employee which had been in relation with her sick leave. The controller stored every detail of the medical condition, treatment and other related data. The ammount of data processed had not been necessary for the purpose and therefore no legal basis.
Een boete van 50.000 euro - van het Slowaakse databeschermingskantoor.
Aanvragen voor sociale uitkeringen van Slovakische burgers werden per post naar buitenlandse instanties verzonden. Deze post is onderweg verloren gegaan, waardoor de locatie van deze persoonlijke gegevens niet kon worden achterhaald.
Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming heeft een boete van 2.000 euro opgelegd aan de Roemeense vereniging van algemene verpleegkundigen, verloskundigen en medische assistenten, afdeling Neamt. De verantwoordelijke partij heeft videobewaking gebruikt op een manier die niet in overeenstemming is met de Algemene Verordening Gegevensbescherming (AVG).
€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 2,000 on the Order of General Nurses, Midwives and Medical Assistants of Romania – Neamt Branch. The controller used video surveillance in a manner that was not in accordance with the GDPR.
€6,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 6,000 on Geturhotels Srl. The controller was involved in direct marketing operations, using personal data that had not been acquired or processed in accordance with general principles of data processing.
€32,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 32,000 on EXCEL HOTELS & RESORTS, S.A. The controller used guards to control access to its facility. The guards regularly left documents containing personal data in their post, making them accessible to third parties. The original fine of EUR 40,000 was reduced to EUR 32,000 due to immediate payment.
€1,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 1,000 on 'Principe Umberto di Savoia' State Scientific and Linguistic High School. The controller processed the personal data of employees in relation to their employment, including medical data such as sick leave due to serious illness. The controller failed to introduce sufficient technical and organisational measures, resulting in employees gaining unauthorised access to personal data. The processor also failed to adequately inform data subjects regar
€5,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 5,000 on ACTIVOS INTELIGENTES, S.L. The controller is asking its guests for selfies with their ID-card to verify their identity, processing data found on the ID-card which is not necessary for the purpose.
€1,200,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1,200,000 on IDCQ HOSPITALES Y SANIDAD, S.L.U. The controller offered MRI scans as part of its services, and patients could bring copies or originals of previous scans. However, the controller had established very strict return policies, resulting in data being deleted after a very short amount of time, and data subjects being unable to easily retrieve their data if they had brought it on physical data carriers. Furthermore, the controller only stored da
€800 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 800 on SOBLADA RESTAURACIÓN, S.L. The controller installed video surveillance without providing the necessary information signs or informing its employees. The original fine of EUR 1,000 was reduced to EUR 800 due to immediate payment and admission of responsibility by the controller.
Een boete van 2.400 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming heeft AXARQUIA VELEZ DENTAL, S.L. een boete van 2.400 euro opgelegd. De verantwoordelijke partij gebruikte videobewaking om de veiligheid op haar locatie te waarborgen, maar dit omvatte meer gebieden dan noodzakelijk was voor dit doel. De oorspronkelijke boete van 8.000 euro is verlaagd tot 2.400 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.
Een boete van 6.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming heeft APARELLS ORTOPEDICS CURTO, S.L. een boete van 6.000 euro opgelegd. De verantwoordelijke partij was niet in staat om de gegevens te bewaren die nodig waren om de beschikbaarheid ervan te garanderen, wat resulteerde in het feit dat de verantwoordelijke partij niet adequaat kon reageren op een verzoek van een betrokkene om haar rechten uit te oefenen. De oorspronkelijke boete van 10.000 euro is verlaagd tot 6.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.
Boete van €9.450 - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).
De Poolse autoriteit voor gegevensbescherming heeft een boete van 9.450 euro opgelegd aan een gynaecologisch centrum. Het bedrijf heeft een datalek gehad en heeft dit niet gemeld aan de functionaris voor gegevensbescherming.
€6,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 6,000 on the Interprovincial Order of Medical Radiology Technicians and Technical Health Professions in Rehabilitation and Prevention of AQ - CH - PE - TE. The controller forwarded data without a sufficient legal basis and also failed to appoint a DPO.
Een boete van 6.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 6.000 euro opgelegd aan de Interprovinciale Orde van Medische Radiologie Technici en Technische Gezondheidsberoepen in Revalidatie en Preventie, actief in de regio's AQ, CH, PE en TE. De verantwoordelijke partij heeft gegevens doorgegeven zonder een voldoende juridische basis en heeft ook geen Functionaris Gegevensbescherming (FG) benoemd.
Een boete van 16.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de Orde van Verpleegkundigen van Pisa een boete van 16.000 euro opgelegd. De organisatie publiceert een lijst van alle professionals die onder hun verantwoordelijkheid vallen. Door een interne fout bevatte deze lijst de privéadressen van alle genoemde professionals.
1.000 euro boete - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan Dr. Max SRL. Het bedrijf heeft niet voldaan aan het verzoek van een betrokkene om hun persoonlijke gegevens te verwijderen.
Een boete van 2.670 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).
De Poolse gegevensbeschermingsautoriteit heeft een bedrijf in de gezondheidszorgsector een boete van 2.670 euro opgelegd. Het bedrijf heeft zijn CEO benoemd tot functionaris voor gegevensbescherming (DPO).
Een boete van 12.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 12.000 euro opgelegd aan Casa di Cura Città di Roma. De verantwoordelijke partij gebruikte software voor patiëntbeheer die gebruikers toegang gaf tot een buitensporige hoeveelheid patiëntgegevens.
€42,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 42,000 on WORLD 2 MEET, S.L. The controller requires its guests to provide a copy of their identity card or passport for registration purposes, even though providing only the necessary data would suffice. The original fine of EUR 70,000 was reduced to EUR 42,000 due to immediate payment and admission of responsibility by the controller.
1.000 euro boete - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming heeft een boete van 1.000 euro opgelegd aan de organisatie "Order of Biochemists, Biologists and Chemists" in het Roemeense gezondheidszorgsysteem. De verantwoordelijke partij heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.
€80,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 80,000 on the Ospedaliero-Universitaria Careggi. The controller, a university hospital, used software that allowed medical personnel to search through the data subject's history, even if this was unrelated to the specific medical treatment.
Een boete van 80.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 80.000 euro opgelegd aan het universitaire ziekenhuis Careggi. De verantwoordelijke, een universitair ziekenhuis, gebruikte software waarmee medisch personeel de medische dossiers van patiënten kon doorzoeken, zelfs als deze informatie niet relevant was voor de specifieke medische behandeling.
Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 2.000 euro opgelegd aan Linea Stampalibera Società Cooperativa r.l. De verantwoordelijke, die een nieuwssite exploiteert, heeft in een artikel te veel persoonlijke informatie vrijgegeven, waaronder medische gegevens. Dit schendt het principe van dataminimalisatie.
€5,400 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 5,400 on SUNERIS, S.A. The controller processed scans of ID cards and passports of their guests, infringing the principle of data minimisation. The original fine of EUR 9,000 was reduced to EUR 5,400 due to immediate payment and admission of responsibility by the controller.
€50,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine on Magna PT S.p.A. Employees of the controllers were subjected to 'return to work interviews' after returning from an absence due to illness or hospitalisation. These interviews lacked a sufficient legal basis, particularly with regard to the processing of health data. Additionally, the controller failed to adequately inform the data subjects regarding the processing. Furthermore, the controller failed to minimise the amount of data processed and the retention
Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan Magna PT S.p.A. Medewerkers van de verantwoordelijke organisatie werden na hun terugkeer van een periode van ziekte of ziekenhuisopname onderworpen aan "terugkeergesprekken". Deze gesprekken hadden onvoldoende juridische basis, met name met betrekking tot de verwerking van gezondheidsgegevens. Bovendien heeft de verantwoordelijke organisatie de betrokkenen niet voldoende geïnformeerd over de verwerking. Verder heeft de verantwoordelijke organisatie nagelaten om de hoeveelheid verwerkte gegevens te minimaliseren en de bewaartermijn te beperken.
15.600 euro boete - Poolse nationale instantie voor de bescherming van persoonlijke gegevens (UODO).
De Poolse autoriteit voor gegevensbescherming heeft het kinderziekenhuis L. Zamenhof in Białystok een boete van 15.600 euro opgelegd. De verantwoordelijke instantie heeft onvoldoende technische en organisatorische maatregelen genomen om de informatiebeveiliging te waarborgen, wat heeft geleid tot een ransomware-aanval op haar IT-systemen.
€15,600 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 15,600 on the L. Zamenhof University Children's Clinical Hospital in Białystok. The controller did not implement sufficient technical and organisational measures to ensure information security, resulting in a ramsomeware attack on its IT systems.
Boete van €10.000 - Griekse Autoriteit voor Gegevensbescherming (HDPA).
De Griekse Autoriteit Persoonsgegevens (DPA) heeft een boete van 10.000 euro opgelegd aan Shield of David - K.I.D.A.F. De verantwoordelijke, een kinderdagverblijf voor mensen met autisme, heeft wettelijk videobewaking geïnstalleerd in haar gebouwen. Echter, de verantwoordelijke heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van haar rechten. Bovendien heeft de verantwoordelijke gegevens doorgegeven aan derden zonder de betrokkene hiervan te informeren. Ten slotte heeft de verantwoordelijke niet voldoende meegewerkt met de Autoriteit Persoonsgegevens.
€7,000 fine - Hellenic Data Protection Authority (HDPA)
The Hellenic DPA has imposed a fine of EUR 7,000 on the General Hospital of the University of Larissa. The controller failed to adequately fulfil the rights of data subjects. It also failed to demonstrate that it processed data in accordance with the general principles.
Een boete van €7.000 - Hellenic Data Protection Authority (HDPA).
De Griekse Autoriteit Persoonsgegevens (DPA) heeft het Universitair Ziekenhuis van Larissa een boete van 7.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten om de rechten van de betrokkenen op een adequate manier te waarborgen. Bovendien heeft de verantwoordelijke partij niet aangetoond dat de gegevensverwerking plaatsvond in overeenstemming met de algemene principes.
Een boete van 2.700.000 euro - Informatiecommissaris (ICO).
De Britse Autoriteit voor Gegevensbescherming (DPA) heeft een boete van 2.310.000 pond (2.700.000 euro) opgelegd aan 23andMe, Inc. De verantwoordelijke, een bedrijf dat DNA-tests aanbiedt aan particulieren, heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, met name gezien de gevoeligheid van de verwerkte gegevens. Hierdoor vond een cyberaanval plaats, wat resulteerde in een datalek dat ten minste vijf maanden lang 155.592 gebruikers in het Verenigd Koninkrijk heeft getroffen. De DPA beschouwde het feit dat de verantwoordelijke de...
1.100.000 euro boete - Waarnemend ombudsman gegevensbescherming.
De Finse beschermingsautoriteit (DPA) heeft Yliopiston Apteekin een boete van 1.100.000 euro opgelegd. De verantwoordelijke, die een online apotheek runt, gebruikte verschillende webanalyse- en monitoringtools. Deze tools werden op een manier geïmplementeerd waardoor aanbieders, die gevestigd zijn buiten de EU, toegang kregen tot persoonlijke gegevens. De verantwoordelijke heeft er ook niet voor gezorgd dat de tools voldeden aan het principe van dataminimalisatie.
Een boete van 7.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 7.000 euro opgelegd aan de "Health Protection Agency" van de metropoolregio Milaan, afdeling "Workplace Prevention and Safety Service" in Noord-Milaan. De verantwoordelijke partij heeft medische gegevens van een betrokkene doorgegeven aan diens werkgever zonder een voldoende juridische basis.
21.000 euro boete - Italiaanse Autoriteit voor de bescherming van persoonlijke gegevens (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft Menarini Silicon Biosystems SpA een boete van 21.000 euro opgelegd. De verantwoordelijke organisatie voert oncologisch onderzoek uit en heeft een software ontwikkeld die in staat is om menselijke cellen te classificeren. De verantwoordelijke organisatie heeft gebruik gemaakt van geanonimiseerde gezondheidsgegevens van een Amerikaans bedrijf dat deel uitmaakt van dezelfde groep. De verantwoordelijke organisatie heeft nagelaten ervoor te zorgen dat de betrokkenen voldoende informatie ontvingen en dat er voldoende beperkingen werden aangebracht met betrekking tot de opslag van gegevens. De verantwoordelijke organisatie heeft ook niet aangetoond dat zij voldoet aan de geografische beperkingen.
Een boete van 5.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming heeft Maravet S.R.L. een boete van 5.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de informatiebeveiliging te waarborgen, wat heeft geleid tot een datalek.
Boete van 6.600 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan de eigenaar van een apotheek. De verantwoordelijke partij heeft gegevens van bewoners van twee verzorgingstehuizen verwerkt zonder een voldoende wettelijke basis. Bovendien heeft de verantwoordelijke partij de betrokkenen niet geïnformeerd over het feit dat hun gegevens werden verwerkt en dat deze gegevens van een derde partij afkomstig waren. Ten slotte heeft de verantwoordelijke partij geen gebruik gemaakt van versleutelde e-mailservices. De oorspronkelijke boete van 11.000 euro is verlaagd tot 6.600 euro vanwege de directe betaling en de erkenning van schuld.
Een boete van 6.600 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan de eigenaar van een apotheek. De verantwoordelijke partij heeft gegevens van bewoners van verzorgingstehuizen verwerkt zonder een voldoende wettelijke basis. Bovendien heeft de verantwoordelijke partij de betrokkenen niet geïnformeerd over het feit dat hun gegevens werden verwerkt en dat de gegevens van een derde partij waren verkregen. Ten slotte heeft de verantwoordelijke partij geen gebruik gemaakt van versleutelde e-mailservices. Door erkenning en onmiddellijke betaling is de boete verlaagd naar 6.600 euro. De oorspronkelijke boete was...
Een boete van 40.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Bologna een boete van 40.000 euro opgelegd. De verantwoordelijke partij heeft een gegevensverwerker (Cooperativa Sociale Quadrifoglio | ETid: 2274) ingeschakeld om gegevens te verwerken, waaronder medische gegevens, van kinderen met een beperking en speciale behoeften. De verantwoordelijke partij heeft nagelaten te waarborgen dat de verwerker voldoende technische en organisatorische maatregelen had genomen om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek.
Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan het bedrijf Tirrenia Hospital S.r.l. Het bedrijf had niet gereageerd op een verzoek van een betrokkene om toegang tot zijn persoonsgegevens.
€2,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 2,000 on Tirrenia Hospital S.r.l. The controller failed to respond to a data access request from a data subject.
Een boete van 20.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 20.000 euro opgelegd aan Cooperativa Sociale Quadrifoglio. Deze organisatie, die optrad als een gegevensverwerker, heeft bestanden verzonden die de persoonlijke en medische gegevens van kinderen bevatten. Er was geen wettelijke basis voor deze actie, en dit gebeurde vanwege onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen.
€1,500 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA imposed a fine on ULPIA TRAJANA ALAMEDA S.L. During the booking process, the controller processed data that was unnecessary for the purpose, infringing on the principle of data minimization. The data processed also included biometric data (Art. 9 GDPR) for which the controller lacked a sufficient legal basis. The original fine of EUR 2,500 was reduced to EUR 1,500 due to immediate payment and admission of responsibility by the controller.
Een boete van €7.800 - van het Poolse Nationaal Bureau voor de Bescherming van Persoonlijke Gegevens (UODO).
De Poolse autoriteit voor gegevensbescherming heeft een uitvaartonderneming een boete van 7.800 euro opgelegd. De uitvaartonderneming heeft onvoldoende technische en organisatorische maatregelen genomen om een datalek te voorkomen. De onderneming had documenten met persoonlijke gegevens opgeslagen in onvergrendelde dozen. Bovendien heeft het bedrijf die dozen vervoerd in een open vrachtwagen, waardoor 10 dozen uit de vrachtwagen vielen en op de berm van een weg terechtkwamen. De dozen werden daar door de politie gevonden. De chauffeur merkte het verlies niet op, omdat...
€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 2,000 on United Business Solutions SRL. The controller failed to implement sufficient technical and organisational measuresto ensure data security, resulting in a data breach.
Een boete van €5.000 - Hellenic Data Protection Authority (HDPA).
De Griekse autoriteit voor gegevensbescherming heeft een gynaecoloog een boete van 5.000 euro opgelegd. De arts heeft niet volledig aan een informatieverzoek van een patiënt voldaan.