Enforcement

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on Thessaloniki–Thessaly Gas Supply Company S.A. The controller, an energy provider, used external processors for direct marketing via telephone. The controller forwarded complaints by data subjects to the external processors, but failed to ensure, that the processors response was adequate, gernerally failing to adequatly controll processors.

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

€3,500,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 3,500,000 on a company. The controller operated a loyalty program in France and 16 other EU countries, using customer data obtained through the program to transfer it to a third party for marketing purposes. The controller had no sufficient legal basis for this transfer and also failed to inform the data subjects. Furthermore, the controller used an inadequate method to store passwords. Finally, the controller failed to conduct a data protection impact as

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on Geturhotels Srl. The controller was involved in direct marketing operations, using personal data that had not been acquired or processed in accordance with general principles of data processing.

Een boete van 6.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Geturhotels Srl een boete van 6.000 euro opgelegd. Het bedrijf was betrokken bij direct marketingactiviteiten en gebruikte daarbij persoonsgegevens die niet op een manier waren verkregen of verwerkt die in overeenstemming is met de algemene principes van gegevensverwerking.

Een boete van 40.000 euro - De Belgische Autoriteit voor gegevensbescherming (APD).

De Belgische beschermingsautoriteit heeft Infobel een boete van 40.000 euro opgelegd. De verantwoordelijke, een bedrijf dat gegevens verzamelt en doorverkoopt, heeft persoonlijke gegevens verkocht voor direct marketingdoeleinden. Echter, het bedrijf heeft deze gegevens verwerkt zonder een voldoende juridische basis.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

€400,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 400,000 on Verisure Italy s.r.l. The controller had been active in direkt marketing activities. The controller failed to ensure that the consent provided by data subjects was valid. Additionally, the controller failed to implement adequate retention periods for the processed data. Lastly, the controller failed to adequately respond to data subjects' requests to exercise their rights, and failed to adequately inform them regarding the processing of their

€40,000 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has imposed a fine of EUR 40,000 on Infobel. The controller, a data broker, sold personal data for direct marketing purposes. However, it processed the data it had sold without a sufficient legal basis.

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 3,000 on Cucina di Fabio S.R.L. The controller was active in direct marketing activities, using personal data that had not been obtained on a sufficient legal basis.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 3.000 euro opgelegd aan Cucina di Fabio S.R.L. Het bedrijf was actief in direct marketing en gebruikte daarbij persoonsgegevens die niet op een voldoende juridische basis waren verkregen.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan Whitedecor SRL. De verantwoordelijke partij had marketingberichten verstuurd naar klanten zonder een voldoende juridische basis.

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on Whitedecor SRL. The controller had sent marketing messages to customers without a sufficient legal basis.

€5,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 5,000 on FT Solutions S.r.l. The fined entity had been active in direct marketing activities as a data processor. During these activities, the processor used personal data for this purpose without sufficient legal basis, obtained from a third party that also collected the data in violation of data protection principles. Furthermore, the processor failed to inform data subjects regarding the processing and to implement adequate data protection measures.

Een boete van 5.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 5.000 euro opgelegd aan FT Solutions S.r.l. Het bedrijf, dat actief was in direct marketing als verwerker van gegevens, heeft persoonsgegevens gebruikt voor dit doel zonder voldoende juridische basis. Deze gegevens waren verkregen van een derde partij, die de gegevens ook verzamelde in strijd met de principes van gegevensbescherming. Bovendien heeft de verwerker de betrokkenen niet geïnformeerd over de verwerking en geen adequate maatregelen genomen om de gegevens te beschermen.

195.000 euro boete - Autoriteit voor gegevensbescherming van Hamburg (HmbBfDI).

De Duitse beschermingsautoriteit (DPA) van Hamburg heeft een bedrijf een boete van 195.000 euro opgelegd. Het bedrijf was actief in direct marketing via post en heeft niet adequaat gereageerd op verzoeken van betrokkenen om hun rechten uit te oefenen.

€195,000 fine - Data Protection Authority of Hamburg (HmbBfDI)

The DPA of Hamburg has imposed a fine of EUR 195,000 on a company. The controller was active in direct marketing via post and failed to adequately respond to requests from data subjects to exercise their rights.

Een boete van €10.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft La Prima Srl een boete van 10.000 euro opgelegd. Het bedrijf heeft direct marketingberichten verzonden zonder een wettelijke basis en heeft bovendien niet gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

€35,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 35,000 on E-Power S.r.l. The controller engaged in direct marketing activities in a way that violated general data processing principles.

€10,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 10,000 on La Prima Srl. The controller sent direct marketing messages without a legal basis. They also failed to respond to a data subject's request to exercise their rights.

Een boete van 35.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft E-Power S.r.l. een boete van 35.000 euro opgelegd. Het bedrijf heeft zich beziggehouden met direct marketingactiviteiten op een manier die in strijd was met de algemene principes van gegevensverwerking.

125.000.000 euro boete - Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming heeft GOOGLE IRELAND LIMITED een boete van 125.000.000 euro opgelegd. Bij het aanmaken van een account voor de diensten van de verantwoordelijke, heeft deze de procedure voor toestemming voor cookies zodanig ontworpen dat een vrije, geïnformeerde toestemming niet mogelijk was. De betrokkene kon alleen kiezen tussen de gratis dienst met gepersonaliseerde marketing of een betaalde versie zonder dit. De verantwoordelijke heeft ook haar e-maildienst zo ontworpen dat advertenties getoond konden worden in gebieden waar betrokkene normaal gesproken...

€200,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 200,000,000 on GOOGLE LLC. While creating an account for the controller's services, the controller designed the cookie consent process in such a way that free, informed consent could not be given. The data subject could only choose between the free service with personalised marketing or a paid-for version without it. The controller also designed its email service so that advertisements could be displayed in areas where data subjects usually found received

200 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse gegevensbeschermingsautoriteit heeft GOOGLE LLC een boete van 200 miljoen euro opgelegd. Bij het aanmaken van een account voor de diensten van de verantwoordelijke, heeft deze de procedure voor het verkrijgen van toestemming voor cookies zodanig ontworpen dat een vrije, geïnformeerde toestemming niet mogelijk was. De betrokkene kon alleen kiezen tussen de gratis dienst met gepersonaliseerde marketing of een betaalde versie zonder dit. De verantwoordelijke heeft ook haar e-maildienst zo ontworpen dat advertenties konden worden weergegeven in gebieden waar betrokkene normaal gesproken berichten ontving.

€125,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 125,000,000 on GOOGLE IRELAND LIMITED. While creating an account for the controller's services, the controller designed the cookie consent process in such a way that free, informed consent could not be given. The data subject could only choose between the free service with personalised marketing or a paid-for version without it. The controller also designed its email service so that advertisements could be displayed in areas where data subjects usually fo

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on GESTIÓN DE VENTAS IBERIA S.L. The controller contacted a data subject for direct marketing purposes, thereby violating local laws. The controller also failed to inform the data subject how their data had been acquired.

Een boete van 2.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan GESTIÓN DE VENTAS IBERIA S.L. De verantwoordelijke partij heeft een betrokkene benaderd voor direct marketingdoeleinden, waarmee lokale wetgeving is overtreden. Bovendien heeft de verantwoordelijke partij de betrokkene niet geïnformeerd over hoe hun gegevens waren verkregen.

Een boete van €10.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 10.000 euro opgelegd aan de kinderopvang "La Combricola Dei Birichini Di Betty". De verantwoordelijke partij accepteerde alleen nieuwe kinderen als hun ouders akkoord gingen dat er foto's van hen gemaakt konden worden en gebruikt konden worden voor marketingdoeleinden. Dit leidde tot een overmatig aantal foto's van kinderen op internet, wat niet in overeenstemming was met de basisprincipes van de AVG (Algemene Verordening Gegevensbescherming).

€10,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 10,000 on the Nursery School “La Combricola Dei Birichini Di Betty”. The controller only accepted new children if their parents agreed that they could take and use pictures of them for marketing purposes. This resulted in excessive posting of children's pictures on the internet, which did not comply with the GDPR's basic principles.

Boete van 3.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 3.000 euro opgelegd aan SILVANERGIA 2022, S.L. De verantwoordelijke, een bedrijf dat direct marketingdiensten aanbiedt, heeft gegevens van potentiële klanten verwerkt zonder een voldoende juridische basis. De oorspronkelijke boete van 5.000 euro is verlaagd tot 3.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke.

€3,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 3,000 on SILVANERGIA 2022, S.L.The controller, a company providing direct marketing services, processed data of potential customers without a sufficient legal basis. The original fine of EUR 5,000 was reduced to EUR 3,000 due to immediate payment and admission of responsibility by the controller.

12.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 12.000 euro opgelegd aan ALBOR ENERGÍA S.L. De verantwoordelijke partij maakte gebruik van derden die fungeerden als gegevensverwerkers voor direct marketingdoeleinden. De manier waarop deze gegevensverwerkers werden ingezet, was niet in overeenstemming met artikel 28 van de AVG. De oorspronkelijke boete van 20.000 euro werd verlaagd tot 12.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€12,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 12,000 on ALBOR ENERGÍA S.L. The controller used third parties acting as data processors for direct marketing purposes. The organisation of the use of data processors did not happen in accordance with Art. 28 GDPR. The original fine of EUR 20,000 was reduced to EUR 12,000 due to immediate payment and admission of responsibility by the controller.

€45,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 45,000 on Noi Compriamo Auto.it S.r.l. The controller contacted the data subject multiple times for direct marketing purposes via different email addresses. The controller had no legal basis for the processing and failed to implement sufficient technical and organizational measures to demonstrate its lawfulness. Additionally, the controller failed to allow the data subject to easily exercise his rights.

Een boete van 45.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 45.000 euro opgelegd aan Noi Compriamo Auto.it S.r.l. De verantwoordelijke partij heeft de betrokkene meerdere keren benaderd voor direct marketingdoeleinden via verschillende e-mailadressen. De verantwoordelijke partij had geen wettelijke basis voor de verwerking en heeft onvoldoende technische en organisatorische maatregelen genomen om de legaliteit ervan aan te tonen. Bovendien heeft de verantwoordelijke partij de betrokkene niet de mogelijkheid geboden om op een eenvoudige manier gebruik te maken van zijn rechten.

€80,000 fine - French Data Protection Authority (CNIL)

The French DPA imposed a fine of EUR 80,000 on CALOGA. The controller is a company obtaining data from data brokers to use those for marketing purposes. The DPA found multiple infingements against the GDPR and the French Post and Electronic Communications Code. The controller failed to have sufficient legal basis for transferring data to third parties for advertising purposes. Additionally, the controller retained data longer than necessary.

€900,000 fine - French Data Protection Authority (CNIL)

The French DPA imposed a fine of EUR 900,000 on SOLOCAL MARKETING SERVICES. The controller, a company that also engages in direct marketing activities for its clients, ist using direct messages to contact potential customers for its clients. The company also transfers data of potential customers to their clients. The controller obtained the data through data brokers and was unable to prove that the potential customers (data subjects) had given consent for the described use of their data. In addi

900.000 euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming heeft SOLOCAL MARKETING SERVICES een boete van 900.000 euro opgelegd. De verantwoordelijke, een bedrijf dat ook direct marketingactiviteiten uitvoert voor haar klanten, gebruikt direct contact om potentiële klanten voor haar klanten te benaderen. Het bedrijf draagt ook gegevens van potentiële klanten door aan haar klanten. De verantwoordelijke heeft de gegevens verkregen via databrokers en kon niet bewijzen dat de potentiële klanten (betrokkenen) toestemming hadden gegeven voor het beschreven gebruik van hun gegevens. Bovendien...

Een boete van 80.000 euro - van de Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse gegevensbeschermingsautoriteit (DPA) heeft CALOGA een boete van 80.000 euro opgelegd. De verantwoordelijke is een bedrijf dat gegevens verzamelt bij databrokers om deze te gebruiken voor marketingdoeleinden. De DPA heeft vastgesteld dat er sprake was van meerdere overtredingen van de AVG (Algemene Verordening Gegevensbescherming) en de Franse wet op de post- en elektronische communicatie. De verantwoordelijke had geen voldoende juridische basis om gegevens over te dragen aan derden voor reclamedoeleinden. Bovendien bewaarde de verantwoordelijke de gegevens langer dan noodzakelijk was.

Een boete van 100.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 100.000 euro opgelegd aan Energia Verde S.p.A. De verantwoordelijke partij was actief met direct marketing. De verantwoordelijke partij heeft gegevens verwerkt zonder een voldoende wettelijke basis, zonder voldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen, en zonder voorafgaandelijk en correct de rollen van verwerkers en betrokkenen te identificeren. Bovendien heeft de verantwoordelijke partij niet adequaat gereageerd op verzoeken van betrokkenen om hun rechten uit te oefenen, en heeft ze niet aangetoond dat...

€2,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2,000 on Versilmagra Immobiliare di Robertelli Davide & C. S.a.s. The controller obtained personal data of potential customers by Realmaps S.r.l., which obtained the data in violation of the GDPR (see ETiD: 2649). The controller used the data for direct marketing purposes. The controller failed to verify the lawfulness of the data obtained, failed to comply with requests to exercise data subjects rights and failed to provide evidence of compliance with d

€100,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 100,000 on Energia Verde S.p.A. The controller had been active in direct marketing activities. The controller processed data without a sufficient legal basis, without sufficient technical and organisational measures to ensure data security and without prior and correct identification of the roles of processors and subjects. The controller fruther failed to adequately react to requests from data subjects to exercise their rights, to demonstrate, that the

Een boete van 40.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 15.000 euro opgelegd aan MA Immobiliare S.r.l.s. De verantwoordelijke partij verkreeg persoonlijke gegevens van potentiële klanten via Realmaps S.r.l., die de gegevens had verkregen in strijd met de AVG (zie ETiD: 2649). De verantwoordelijke partij gebruikte de gegevens voor direct marketingdoeleinden. De verantwoordelijke partij heeft nagelaten de wettigheid van de verkregen gegevens te controleren, heeft niet voldaan aan verzoeken om de rechten van betrokkenen uit te oefenen, en heeft geen bewijs geleverd van naleving van de eisen op het gebied van gegevensbescherming.

€40,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 15,000 on MA Immobiliare S.r.l.s. The controller obtained personal data of potential customers by Realmaps S.r.l., which obtained the data in violation of the GDPR (see ETiD: 2649). The controller used the data for direct marketing purposes. The controller failed to verify the lawfulness of the data obtained, failed to comply with requests to exercise data subjects rights and failed to provide evidence of compliance with data protection requirements.

Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 2.000 euro opgelegd aan Versilmagra Immobiliare di Robertelli Davide & C. S.a.s. De verantwoordelijke partij verkreeg persoonlijke gegevens van potentiële klanten via Realmaps S.r.l., die de gegevens verkregen in strijd met de AVG (zie ETiD: 2649). De verantwoordelijke partij gebruikte de gegevens voor direct marketingdoeleinden. De verantwoordelijke partij heeft nagelaten de wettigheid van de verkregen gegevens te controleren, heeft geen gevolg gegeven aan verzoeken om de rechten van betrokkenen uit te oefenen, en heeft geen bewijs geleverd van naleving van de relevante regelgeving.

€20,000 fine - Belgian Data Protection Authority (APD)

The Belgian DPA imposed a fine of EUR 20,000 on a company. The controller is a company engaging in direct marketing activities. During those activies the company failed to comply with multiple data processing principle. In particular the company had no sufficient legal basis for the data processing, failed to inform the data subjects and failed to provide data subjects with lawfully requested informations.

Een boete van 20.000 euro - De Belgische Autoriteit voor gegevensbescherming (APD).

De Belgische autoriteit voor gegevensbescherming heeft een bedrijf een boete van 20.000 euro opgelegd. Het bedrijf is verantwoordelijk voor de verwerking van persoonsgegevens en is actief in direct marketing. Tijdens deze activiteiten heeft het bedrijf niet voldaan aan verschillende principes van gegevensverwerking. Met name had het bedrijf geen voldoende juridische basis voor de gegevensverwerking, heeft het de betrokkenen niet geïnformeerd en heeft het geen informatie verstrekt die rechtmatig was opgevraagd.