Regulatory actions, fines, warnings, and enforcement decisions
€1,800 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1,800 on a Landlord. The landlord used video surveillance in rental apartments without having a sufficient legal basis. The original fine of EUR 3,000 was reduced to EUR 1,800 due to immediate payment and admission of responsibility by the controller.
€1,200 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1,200 on a dental clinic. The controller used video surveillance in its clinic for security purposes, including a camera in the doctor's office where patients were treated. This resulted in excessive data processing. The original fine of EUR 2,000 was reduced to EUR 1,200 due to immediate payment and admission of responsibility by the controller.
De Kroatische gegevensbeschermingsautoriteit (DPA) heeft een telecombedrijf een boete van 20.000 euro opgelegd. Een betrokkene had een klacht ingediend bij de DPA, waarin hij beweerde dat het bedrijf nog steeds zijn persoonlijke gegevens verwerkte, terwijl hij al meer dan tien jaar geen klant van het bedrijf was. Tijdens het onderzoek stelde de DPA vast dat het bedrijf de gegevens nog steeds bewaarde vanwege een vermeende schuld. Hoewel die schuld niet meer bestond, had het bedrijf de gegevens van de betrokkene niet verwijderd.
€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 2,000 on the Order of General Nurses, Midwives and Medical Assistants of Romania – Neamt Branch. The controller used video surveillance in a manner that was not in accordance with the GDPR.
Een boete van 32.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft EXCEL HOTELS & RESORTS, S.A. een boete van 32.000 euro opgelegd. Het bedrijf gebruikte beveiligingspersoneel om de toegang tot haar faciliteit te controleren. Dit beveiligingspersoneel liet regelmatig documenten met persoonlijke gegevens achter op hun post, waardoor deze toegankelijk werden voor derden. De oorspronkelijke boete van 40.000 euro is verlaagd naar 32.000 euro vanwege de onmiddellijke betaling.
€2,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 2,000 on Elba Catering Distribuzioni s.r.I.s. The controller installed video surveillance, which affected the public road. Furthermore, the controller failed to install signs to inform data subjects regarding data processing.
€12,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 12,000 on the Commune di Tuscania. The controller had been using video surveillance and licence plate recognition within its territory for the purposes of territorial security and supervising separate waste collection at recycling centers. However, the controller did not put up any relevant signs containing the privacy policy or warning signs. The controller also failed to enter into data processing agreements with processors handling data on its behalf,
€3,600 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 3,600 on DELAFRUIT, S.L. The controller installed video surveillance in the staff break area and dining room, but did not put up the necessary information signs. The original fine of EUR 6,000 was reduced to EUR 3,600 due to immediate payment and admission of responsibility by the controller.
€3,600 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 3,600 on RISING SUN CAR RENTAL S..L. The controller used video surveillance to ensure security at its facility, affecting more areas than were necessary for this purpose. Additionally, the controller failed to install signs to inform data subjects regarding the video surveillance. The original fine of EUR 6,000 was reduced to EUR 3,600 due to immediate payment and admission of responsibility by the controller.
Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).
Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.
€800 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 800 on SOBLADA RESTAURACIÓN, S.L. The controller installed video surveillance without providing the necessary information signs or informing its employees. The original fine of EUR 1,000 was reduced to EUR 800 due to immediate payment and admission of responsibility by the controller.
€2,400 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 2,400 on AXARQUIA VELEZ DENTAL, S.L. The controller used video surveillance to ensure security at its facility, affecting more areas than were necessary for this purpose. The original fine of EUR 8,000 was reduced to EUR 2,400 due to immediate payment and admission of responsibility by the controller.
€6,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 6,000 on the Comuni di Orte. The controller implemented video surveillance on its territory in a manner that did not comply with the basic principles of data processing.
€15,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 15,000 on the Comune di Curtarolo. The controller used surveillance footage in disciplinary proceedings against an employee, and also ordered other employees to spy on the employee in question and take pictures and videos of them.
€10,000 fine - Hellenic Data Protection Authority (HDPA)
The Hellenic DPA has imposed a fine of EUR 10,000 on the Municipality of Moschato–Tavros. The controller installed a video surveillance system in a depot to protect municipal vehicles. However, the controller failed to ensure, during the design phase, that the cameras only processed the necessary data. They also failed to adequately inform their employees and record the processing activities.
€32,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 32,000 on the Provincia Autonoma di Bolzan. The controller implemented video surveillance with automated licence plate recognition capabilities for vehicles, with the aim of guiding policies on mobility and infrastructure and preventing and investigating crimes. However, the controller did not comply with the basic principles of the GDPR, nor did they adequately comply with the DPA.
€100,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 100,000 on SAMARITAINE SAS. After multiple theft incidents, the controller installed security cameras disguised as smoke detectors to monitor its employees. The cameras were installed without consulting the DPO and outside the existing surveillance system. After dismantling the 'test cameras', employees kept SD cards containing recordings, which constitutes a data breach that the controller did not report to the DPA.
Een boete van 100.000 euro - van de Franse Autoriteit voor Gegevensbescherming (CNIL).
De Franse autoriteit voor gegevensbescherming (CNIL) heeft SAMARITAINE SAS een boete van 100.000 euro opgelegd. Na meerdere gevallen van diefstal heeft de verantwoordelijke partij beveiligingscamera's geïnstalleerd, vermomd als rookmelders, om haar werknemers te controleren. Deze camera's werden geïnstalleerd zonder overleg met de functionaris voor gegevensbescherming (FG) en buiten het bestaande bewakingssysteem. Nadat de "testcamera's" waren verwijderd, hebben werknemers SD-kaarten bewaard waarop de beelden waren opgeslagen, wat een datalek vormde. Deze datalek is niet gemeld aan de autoriteit voor gegevensbescherming.
€6,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 6,000 on a company. The controller used video surveillance at its sites, but did not display adequate signs to inform data subjects about the processing of their data.
€33,500 fine - Austrian Data Protection Authority (dsb)
The Austrian DPA has imposed a fine of EUR 33,500 on a bakery chain. The controller used video surveillance which affected both public areas and areas intended solely for employees. The cameras were installed and operated in a way that did not comply with the principle of data minimisation and was not based on a sufficient legal basis. Additionally, CCTV footage was distributed via a messaging service.
€9,700 fine - Belgian Data Protection Authority (APD)
The Belgian DPA has imposed a fine of EUR 9,700 on a Landlord. The controller installed video surveillance in and around a student residence. However, the surveillance was too invasive, resulting in it not being lawful.
€300 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 300 on a driving school. The controller has installed video surveillance, but failed to adequatly inform data subjects. The original fine of EUR 500 was reduced to EUR 300 due to immediate payment and admission of responsibility by the controller.
Een boete van 3.955.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).
De Poolse autoriteit voor gegevensbescherming heeft McDonald's Polska Sp. z o.o. een boete van 3.955.000 euro opgelegd. De verantwoordelijke partij gebruikte een externe dienstverlener (zie ETid: 2758) om de planning van de werkroosters te beheren. De verantwoordelijke partij heeft nagelaten te waarborgen dat de dienstverlener voldoende technische en organisatorische maatregelen had geïmplementeerd om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Bovendien heeft de verantwoordelijke partij nagelaten te controleren of alleen de noodzakelijke gegevens waren verwerkt, en heeft de verantwoordelijke partij de autoriteit voor gegevensbescherming ook niet voldoende betrokken.
€10,000 fine - Hellenic Data Protection Authority (HDPA)
The Hellenic DPA has imposed a fine of EUR 10,000 on Shield of David - K.I.D.A.F. The controller, a day care centre for people with autism, has legally installed video surveillance on its premises. However, the controller failed to adequately respond to a data subject's request to exercise their rights. Furthermore, the controller forwarded data to third entities without notifying the data subject. Lastly, the controller failed to cooperate adequately with the DPA.
€1,100,000 fine - Deputy Data Protection Ombudsman
The Finish DPA has imposed a fine of EUR 1,100,000 on Yliopiston Apteekin. The controller, who runs an online pharmacy, used various web analytics and monitoring tools. These tools were implemented in a way that allowed the providers, who are based outside the EU, to access personal data. The controller also failed to ensure that the tools complied with the principle of data minimization.
1.100.000 euro boete - Waarnemend ombudsman gegevensbescherming.
De Finse beschermingsautoriteit (DPA) heeft Yliopiston Apteekin een boete van 1.100.000 euro opgelegd. De verantwoordelijke, die een online apotheek runt, gebruikte verschillende webanalyse- en monitoringtools. Deze tools werden op een manier geïmplementeerd waardoor aanbieders, die gevestigd zijn buiten de EU, toegang kregen tot persoonlijke gegevens. De verantwoordelijke heeft er ook niet voor gezorgd dat de tools voldeden aan het principe van dataminimalisatie.
Een boete van 200.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 200.000 euro opgelegd aan ASNEF-EQUIFAX, SERVICIOS DE INFORMACIÓN SOBRE SOLVENCIA Y CRÉDITO, S.L. De verantwoordelijke partij heeft persoonsgegevens verkregen van een derde partij zonder de wettigheid daarvan te controleren. Dit resulteerde in het feit dat de verantwoordelijke partij de gegevens verwerkte zonder een voldoende juridische basis. Bovendien heeft de verantwoordelijke partij niet voldoende aan een verzoek om gegevensverwijdering voldaan.
€16,000 fine - Slovenian Supervisory Authority (Informacijski pooblaščenec)
The Slovenian DPA has imposed a fine of EUR 16,000 on a sole trader. The controller rented out apartments to tenants and installed video surveillance inside them.
€5,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 5,000 on ROUMASPORT SRL. The controller accessed surveillance cameras to monitor its employees without a sufficient legal basis. The controller also used the data for disciplinary purposes.
Een boete van 5.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming (DPA) heeft ROUMASPORT SRL een boete van 5.000 euro opgelegd. De verantwoordelijke partij heeft toegang verkregen tot bewakingscamera's om haar werknemers te controleren, zonder een voldoende juridische basis. De verantwoordelijke partij heeft de gegevens ook gebruikt voor disciplinaire doeleinden.
Een boete van 40.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 15.000 euro opgelegd aan MA Immobiliare S.r.l.s. De verantwoordelijke partij verkreeg persoonlijke gegevens van potentiële klanten via Realmaps S.r.l., die de gegevens had verkregen in strijd met de AVG (zie ETiD: 2649). De verantwoordelijke partij gebruikte de gegevens voor direct marketingdoeleinden. De verantwoordelijke partij heeft nagelaten de wettigheid van de verkregen gegevens te controleren, heeft niet voldaan aan verzoeken om de rechten van betrokkenen uit te oefenen, en heeft geen bewijs geleverd van naleving van de eisen op het gebied van gegevensbescherming.
Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 2.000 euro opgelegd aan Versilmagra Immobiliare di Robertelli Davide & C. S.a.s. De verantwoordelijke partij verkreeg persoonlijke gegevens van potentiële klanten via Realmaps S.r.l., die de gegevens verkregen in strijd met de AVG (zie ETiD: 2649). De verantwoordelijke partij gebruikte de gegevens voor direct marketingdoeleinden. De verantwoordelijke partij heeft nagelaten de wettigheid van de verkregen gegevens te controleren, heeft geen gevolg gegeven aan verzoeken om de rechten van betrokkenen uit te oefenen, en heeft geen bewijs geleverd van naleving van de relevante regelgeving.
€12,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA imposed a fine on NOVATES ALIMENTACIÓN MADRID, S.L. The controller used surveillance cameras without implementing the necessary technical and organizational measures to ensure data security. The original fine of EUR 20,000 was reduced to EUR 12,000 due to immediate payment and admission of responsibility by the controller.
€6,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA imposed a fine on LÃSER METALPRINT 3D, S.L. The controller hired a third company to install and maintain a surveillance system. The controller and the hired company had a data processing agreement. However not the hired company but another company processed the data. The controller and the processing (third) company did not have a data processing agreement, even though one was needed. The original fine of EUR 6,000 was reduced to EUR 10,000 due to immediate payment and admission
Boete van €70.300 - Informatiecommissaris (ICO).
De Britse gegevensbeschermingsautoriteit (ICO) heeft het advocatenkantoor DPP Law Ltd. een boete van 60.000 pond (ongeveer 70.300 euro) opgelegd. Het bedrijf was het slachtoffer van een cyberaanval waarbij persoonlijke gegevens van 791 klanten en getuigen zijn gestolen en op het dark web zijn gepubliceerd. De gegevensbeschermingsautoriteit heeft geconstateerd dat het bedrijf onvoldoende technische en organisatorische maatregelen had genomen om dergelijke aanvallen te voorkomen, waaronder het niet regelmatig controleren van beheerdersaccounts op het netwerk, waarmee artikel 5 (1) f), 32 (1) en 3 van de relevante wetgeving zijn overtreden.
Een boete van 8.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 8.000 euro opgelegd aan Undici S.r.l.s. De verantwoordelijke partij verkreeg persoonlijke gegevens van potentiële klanten via Realmaps S.r.l., die de gegevens had verkregen in strijd met de AVG (zie ETiD: 2649). De verantwoordelijke partij gebruikte de gegevens voor direct marketingdoeleinden. De verantwoordelijke partij heeft nagelaten de wettigheid van de verkregen gegevens te controleren, heeft geen gevolg gegeven aan verzoeken om de rechten van betrokkenen uit te oefenen, en heeft geen bewijs geleverd van naleving van de eisen op het gebied van gegevensbescherming.
Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 15.000 euro opgelegd aan Immobiliare Valdalpone S.r.l. De verantwoordelijke partij verkreeg persoonlijke gegevens van potentiële klanten via Realmaps S.r.l., die de gegevens had verkregen in strijd met de AVG (zie ETiD: 2649). De verantwoordelijke partij gebruikte de gegevens voor direct marketingdoeleinden. De verantwoordelijke partij heeft nagelaten de wettigheid van de verkregen gegevens te controleren, heeft de betrokkenen niet geïnformeerd over de verwerking van hun gegevens, en heeft niet voldaan aan verzoeken om de rechten van de betrokkenen uit te oefenen.
€8,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 8,000 on the Eastern Parma Apennine Mountain Community. The controller had set up video surveillance in front of a police station, that filmed employees and other individuals. However, the surveillance was set up in a way that did not comply with data protection regulations.
Een boete van 5.000.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft Luka Inc. een boete van 5.000.000 euro opgelegd. Het bedrijf heeft een chatbot genaamd Replika ontwikkeld, met een tekst- en spraakinterface. Deze chatbot is gebaseerd op een generatief AI-systeem, specifiek een LLM-model, dat voortdurend wordt aangevuld en verbeterd door interacties met gebruikers. Replika is bedoeld als een "virtuele metgezel" die de stemming en het emotionele welzijn van gebruikers verbetert door hen te helpen hun eigen psyche te begrijpen. Replika kan worden ingesteld als een vriend, therapeut, romantische partner of mentor. De controle...
€6,600 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA imposed a fine on GRUAS IGNACI, S.L. The controller uses too much data to verify a person's identity, which breaches the principle of data minimization. Furthermore, the controller uses video surveillance without informing data subjects about data processing. Lastly, the controller failed to implement sufficient technical and organizational measures to ensure information security. The original fine of EUR 11,000 was reduced to EUR 6,600 due to immediate payment and admission of r
Een boete van 4.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.500 euro opgelegd aan het Istituto di Istruzione Superiore 'P. Galluppi' in Tropea. De verantwoordelijke partij heeft biometrische gegevens van haar werknemers verwerkt om hun werktijden te controleren. Volgens de DPA was de verwerking zodanig ingericht dat deze niet in overeenstemming was met de beginselen van rechtmatigheid, eerlijkheid en transparantie, en ontbrak er een voldoende juridische basis.
€80,000 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) has imposed a fine of EUR 80,000 on a company. The company was responsible for monitoring parking lots at several supermarkets and a hospital. However, it accessed personal data – in particular license plate numbers and owner information – from the Croatian Ministry of the Interior's (MUP) vehicle registry without a valid legal basis. Access was gained via a web service that the company had secured the right to use in certain areas on the basis of a concession. However, t
€20,000 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) imposed a fine of EUR 20,000 on a hospital for failing to implement adequate technical and organizational measures to protect personal data in line with Art. 32 (1) (b) and (d), and Art. 32 (2) GDPR. Following a cyberattack, it was revealed that over a period of seven days, at least 3 GB of personal data had been unlawfully copied from the system. The attacker allegedly gained access through social engineering and a VPN connection, exploited an outdated operating system,
€500 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 500 on GALENICUM HEALTH, S.L.U. The controller uses video surveillance that partially captures images of a public road, which infringes on the principle of data minimization.
€40,000 fine - French Data Protection Authority (CNIL)
The French DPA imposed a fine of EUR 40,000 on a real estate company for inappropriately monitoring its employees. A software program recorded “periods of inactivity” and regularly took screenshots of the computers of employees working from home. The program automatically detected when an employee made no keyboard or mouse movements for a period of 3 to 15 minutes. In addition, the employees in the offices were continuously filmed. These measures were deemed disproportionate and were considered
€600 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 600 on a BAR GIOIA. The controller installed two surveillance cameras without the necessary information signs, and the cameras were also able to film the public area in front of the building.
€1,500 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 1,500 on Macelleria La Costata s.r.I.s. The controller used video surveillance in its butcher's shop without installing the necessary information signs. Furthermore, the cameras were able to film public areas.
€18,400 fine - Data Protection Authority of Sweden (Integritetsskyddsmyndigheten)
The Swedish DPA has imposed a fine of EUR 18,400 on the Granit Bostad Beritsholm AB. The controller, a property management company, installed CCTV cameras in an apartment complex without sufficient legal basis. Additionally, the controller failed to inform data subjects about the video surveillance.
€300 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 300 on a data controller. The controller had installed a video surveillance system without adequately providing information for data subjects.
€2,300 fine - National Commission for Data Protection (CNPD)
The DPA of Luxembourg has issued a fine of EUR 2,300 on a company, that is active in the retail sale of telecommunication equipement in specialised stores. The controller had installed video surveillance on the property. The video surveillance was installed in a way, that partly infringed the prinicple of legality and the principle of data minimisation. The controller also failed to adequately inform data subjects regarding the data processing and failed to implement adequate technical and organ