Enforcement

€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 10,000 on GENPACT ROMANIA SRL. The controller suffered a successful cyber attack due to insufficient technical and organisational measures. The attacker was able to exploit vulnerabilities in some passwords and in the way user accounts' authentication could be reset.

€8,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 8,000 on KVIKU SPAIN, S.L.The controller requires customers to send a photo of themselves holding their ID card when verifying their identities, which violates the principle of data minimisation. The original fine of EUR 10,000 was reduced to EUR 8,000 due to immediate payment by the controller.

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on Money Seeds S.R.L. The controller failed to fulfil a data subject's request to exercise their rights.

€3,140 fine - Czech Data Protection Auhtority (UOOU)

The bank established a personal bank account for a data subject without his consent or knowledge. The bank supposedly had his personal data available because the subject had disposed of his employer’s company account. The bank was not able to provide The Office for Personal Data Protection with the necessary documentation to prove entering into contract with the data subject.

€50,000 fine - Slovak Data Protection Office

Applications for social benefits from Slovak citizens were sent by post to foreign authorities. These were lost by post, with the result that the whereabouts of these personal data could not be clarified.

€60,000 fine - Spanish Data Protection Authority (aepd)

After the claimant did alledgedly not pay back a microcredit to an online credit agany, the claim was assigned to the debt collecting agancy. Subsequently, the latter startet sending emails not only to email addresses provided by the claimant but also to an institutional email address of his workplace accessible by any co-worker which was never provided by the claimant.

Een boete van 50.000 euro - van het Slowaakse databeschermingskantoor.

Aanvragen voor sociale uitkeringen van Slovakische burgers werden per post naar buitenlandse instanties verzonden. Deze post is onderweg verloren gegaan, waardoor de locatie van deze persoonlijke gegevens niet kon worden achterhaald.

Boete van 60.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Naar verluidt heeft de betrokkene een microkrediet niet terugbetaald aan een online kredietverstrekker, waarna de vordering werd overgedragen aan een incassobureau. Vervolgens begon dit incassobureau e-mails te versturen, niet alleen naar e-mailadressen die door de betrokkene waren opgegeven, maar ook naar een institutioneel e-mailadres van zijn werkplek, dat toegankelijk was voor alle collega's en dat nooit door de betrokkene was verstrekt.

Boete van €3.140 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).

De bank heeft een persoonlijke bankrekening geopend voor een betrokkene zonder zijn toestemming of kennis. De bank beweerde zijn persoonlijke gegevens te hebben omdat de betrokkene een bedrijfsrekening van zijn werkgever had gesloten. De bank kon het Bureau voor Persoonsgegevens niet de benodigde documenten verstrekken om aan te tonen dat er een overeenkomst was gesloten met de betrokkene.

1.600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.600 euro opgelegd aan NAROBESA INV, S.L. De verantwoordelijke partij heeft niet gereageerd op verzoeken van de DPA. De oorspronkelijke boete van 2.000 euro is verlaagd tot 1.600 euro vanwege de onmiddellijke betaling.

€1,600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,600 on NAROBESA INV, S.L. The controller failed to react to requests made by the DPA. The original fine of EUR 2,000 was reduced to EUR 1,600 due to immediate payment

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on the Commune di Nave. The controller has installed an automatic licence plate recognition system which processes data on when a car passes a specific control point. This data is stored for seven days, after which it is automatically deleted. The system is also connected to the Motor Vehicle Registry and automatically verifies the passing vehicle's insurance coverage, periodic inspection and environmental class. This data processing occurred witho

€1,500,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 1,500,000 on AMERICAN EXPRESS CARTE FRANCE. The controller used excessive cookies on its website and failed to adequately inform data subjects about them.

1.500.000 euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming heeft AMERICAN EXPRESS CARTE FRANCE een boete van 1.500.000 euro opgelegd. De verantwoordelijke partij gebruikte een buitensporig aantal cookies op haar website en heeft de betrokkenen niet voldoende geïnformeerd over deze cookies.

865.000 euro boete - Waarnemend ombudsman gegevensbescherming.

De Finse toezichthouder DPA heeft Aktia Pankki Oyj een boete van 865.000 euro opgelegd. Het bedrijf heeft een wijziging doorgevoerd in zijn proces voor sterke authenticatie, waardoor de adequate gegevensbeveiliging niet langer werd gegarandeerd, wat resulteerde in een datalek.

€865,000 fine - Deputy Data Protection Ombudsman

The Finish DPA has imposed a fine of EUR 865,000 on Aktia Pankki Oyj. The controller changed its strong authentication process in such a way that it no longer guaranteed adequate data security, resulting in a data breach.

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on the Agency for Control of Outstanding Debts S.R.L. The controller failed to adequatly react to a data subjects request to exercise their rights.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft een boete van 2.000 euro opgelegd aan het bedrijf Agency for Control of Outstanding Debts S.R.L. Het bedrijf heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft PRIME TRANSACTION SA een boete van 2.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een datalek.

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on PRIME TRANSACTION SA. The controller failed to implement adequate technical and organisational measures, resulting in a data breach.

€2,700,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 2,700,000 on Experian Nederland B.V. The controller, a company that determines individuals' creditworthiness and sells this information, processed personal data without a sufficient legal basis. The controller also failed to inform data subjects about the processing of their data. Following the decision, the company decided to stop its activities in the Netherlands and will delete its database by the end of the year.

2.700.000 euro boete - Nederlandse Autoriteit Persoonsgegevens (AP).

De Nederlandse Autoriteit Persoonsgegevens heeft Experian Nederland B.V. een boete van 2.700.000 euro opgelegd. De verantwoordelijke, een bedrijf dat de kredietwaardigheid van individuen bepaalt en deze informatie verkoopt, heeft persoonsgegevens verwerkt zonder een voldoende wettelijke basis. Bovendien heeft de verantwoordelijke de betrokkenen niet geïnformeerd over de verwerking van hun gegevens. Na deze beslissing heeft het bedrijf besloten om zijn activiteiten in Nederland te beëindigen en zal het zijn database aan het einde van het jaar verwijderen.

492.000 euro boete - Autoriteit voor gegevensbescherming van Hamburg (HmbBfDI).

De Duitse beschermingsautoriteit (DPA) van Hamburg heeft een bedrijf in de financiële sector een boete van 492.000 euro opgelegd. Het bedrijf gebruikte geautomatiseerde systemen om te beslissen of een kredietaanvraag moest worden goedgekeurd, zonder enige menselijke tussenkomst. Dit systeem weigerde ten onrechte aanvragen van mensen met een goede kredietscore. Toen men om uitleg werd gevraagd over de negatieve beslissing, reageerde het bedrijf ook niet adequaat op deze verzoeken om informatie.

€492,000 fine - Data Protection Authority of Hamburg (HmbBfDI)

The DPA of Hamburg has imposed a fine of EUR 492,000 on a company in the finance sector. The controller used automated systems to decide whether to approve a credit application, with no human input. This system incorrectly declined applications from applicants with a good credit score. When asked for the reasons for the negative decision, the controller also failed to respond adequately to these information requests.

1.500.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SERVICIOS FINANCIEROS CARREFOUR, E.F.C. een boete van 1.500.000 euro opgelegd. De verantwoordelijke partij is het slachtoffer geworden van een succesvolle cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen. De oorspronkelijke boete van 2.500.000 euro is verlaagd tot 1.500.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€1,500,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,500,000 on SERVICIOS FINANCIEROS CARREFOUR, E.F.C. The controller suffered a successfull cyberattack due to insufficient technical and organisational measures. The original fine of EUR 2,500,000 was reduced to EUR 1,500,000 due to immediate payment and admission of responsibility by the controller.

1.800.000 euro boete - Waarnemend ombudsman gegevensbescherming.

De Finse toezichthouder DPA heeft S-Pankki Oyj een boete van 1.800.000 euro opgelegd. Door een softwarefout konden klanten van de betreffende instantie inloggen op de bankrekeningen van andere klanten, wat tot financiële verliezen heeft geleid.

€1,800,000 fine - Deputy Data Protection Ombudsman

The Finish DPA has imposed a fine of EUR 1,800,000 on S-Pankki Oyj. Due to a software error, customers of the controller were able to log in to the bank accounts of other customers, resulting in financial losses.

Een boete van 180.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete van 180.000 euro opgelegd aan Sociedad de Gestión de Activos Procedentes de la Reestructuración Bancaria S.A. De organisatie werd het slachtoffer van een cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen. Bovendien maakte de organisatie gebruik van een derde partij voor de gegevensverwerking, met wie er geen voldoende gegevensverwerkings overeenkomst was. De oorspronkelijke boete van 300.000 euro is verlaagd naar 180.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de organisatie.

€180,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 180,000 on Sociedad de Gestión de Activos Procedentes de la Reestructuración Bancaria S.A. The controller suffered a cyber attack due to insufficient technical and organisational measures. The controller also used a third party data processor with which the controller had no sufficient data processing agreement. The original fine of EUR 300,000 was reduced to EUR 180,000 due to immediate payment and admission of responsibility by the controller.

€2,400 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,400 on KVIKU SPAIN, S.L. The controller processed personal data of a data subject without sufficient consent. The original fine of EUR 4,000 was reduced to EUR 2,400 due to immediate payment and admission of responsibility by the controller.

Een boete van 2.400 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft KVIKU SPAIN, S.L. een boete van 2.400 euro opgelegd. De verantwoordelijke partij heeft persoonsgegevens van een betrokkene verwerkt zonder voldoende toestemming. De oorspronkelijke boete van 4.000 euro is verlaagd naar 2.400 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€1,200 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR on GOHIPOTECA, S.L. The controller processed data of a data subject without a sufficient legal basis. The contract used as the basis for the processing was signed by the data subject's spouse, which was not sufficient. The original fine of EUR 2,000 was reduced to EUR 1,200 due to immediate payment and admission of responsibility by the controller.

1.200 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van EUR opgelegd aan GOHIPOTECA, S.L. De verantwoordelijke partij heeft gegevens van een betrokkene verwerkt zonder een voldoende juridische basis. Het contract dat als basis voor de verwerking werd gebruikt, was ondertekend door de echtgenoot van de betrokkene, wat niet voldoende was. De oorspronkelijke boete van EUR 2.000 is verlaagd naar EUR 1.200 vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€4,323,250 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4,323,250 on ING Bank Śląski. The controller scanned the identity documents of every customer and potential customer without a sufficient legal basis. The controller started to implement this procedure after an anti-money laundering law was introduced, but failed to assess the necessity of the data processing in each case.

4.323.250 euro boete - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft ING Bank Śląski een boete van 4.323.250 euro opgelegd. De bank heeft de identiteitsdocumenten van alle klanten en potentiële klanten gescand zonder een voldoende juridische basis. De bank begon deze procedure toe te passen nadat een wet inzake het bestrijden van witwassen was ingevoerd, maar heeft niet onderzocht of de gegevensverwerking in elk geval noodzakelijk was.

€6,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 6,000 on BANCO INVERSIS, S.A. The controller suffered a data leak due to insufficient technical and organisational measures to ensure data security. The original fine of EUR 10,000 was reduced to EUR 6,000 due to immediate payment and admission of responsibility by the controller.

Boete van 6.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 6.000 euro opgelegd aan BANCO INVERSIS, S.A. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. De oorspronkelijke boete van 10.000 euro is verlaagd tot 6.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft SC Elite Conta SRL een boete van 3.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten om adequate technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek.

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romainian DPA has imposed a fine of EUR 3,000 on SC Elite Conta SRL. The controller failed to implement adequate technical and organisational measures to ensure data security, resulting in a dta breach.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft de coöperatieve vereniging 'FLEXICREDIT' een boete van 3.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat heeft geresulteerd in ongeautoriseerde toegang tot het IT-systeem van de verantwoordelijke partij door een derde partij.

Een boete van 4.800 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft een boete van 4.800 euro opgelegd aan GACM SEGUROS GENERALES, COMPAÑIA DE SEGUROS Y REASEGUROS S.A.U. De verantwoordelijke partij heeft klantgegevens niet correct verwerkt, wat heeft geleid tot de onrechtmatige openbaarmaking van persoonlijke gegevens aan een derde partij.

€4,800 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 4,800 on GACM SEGUROS GENERALES, COMPAÑIA DE SEGUROS Y REASEGUROS S.A.U. The controller failed to process customer data accurately, resulting in personal data being disclosed to a third party.

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 3,000 on 'FLEXICREDIT' Mutual Aid House Association. The controller failed to implement adequate technical and organisational measures to ensure data security, resulting in a third party gaining access to the controller's IT system.

Een boete van 80.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft BIZUM, S.L. een boete van 80.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. De oorspronkelijke boete van 100.000 euro is verlaagd tot 80.000 euro vanwege de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€80,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 80,000 on BIZUM, S.L. The controller failed to implement sufficient technical and organisational measures to ensure data security, resulting in a data breach. The original fine of EUR 100,000 was reduced to EUR 80,000 due to admission of responsibility by the controller.

€26,400 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

The Hungarian DPA has imposed a fine of EUR 26,400 on a debt collector. The controller processed the personal data of a natural person, specifically data relating to a consumer credit loan debt. The data subject requested that the stored data be deleted, but the controller only fulfilled this request partially.

Een boete van 180.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 180.000 euro opgelegd aan TRIVE CREDITSPAIN, S.L. De verantwoordelijke partij heeft niet voldoende voldaan aan een order van de DPA. De oorspronkelijke boete van 225.000 euro is verlaagd tot 180.000 euro vanwege de onmiddellijke betaling door de verantwoordelijke partij.

€180,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 180,000 on TRIVE CREDITSPAIN, S.L. The controller failed to adequatly comply with a order from the DPA. The original fine of EUR 225,000 was reduced to EUR 180,000 due to immediate payment by the controller.