Enforcement

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Delft. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Haarlemmermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism st

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Veenendaal. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Huizen. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Eindhoven. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Ede. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up me

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Zoetermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Gooise Meren. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism step

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Hilversum. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Tilburg. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped u

Een boete van 27.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

Hoewel de klager (een voormalige Vodafone-klant) in 2015 van Vodafone had verzocht zijn gegevens te verwijderen, en dit verzoek door het bedrijf was bevestigd, ontving hij vanaf 2018 meer dan 200 sms-berichten van het bedrijf. Volgens de verklaring van Vodafone is dit gebeurd omdat het mobiele telefoonnummer van de klager per ongeluk werd gebruikt voor testdoeleinden en toevallig in verschillende klantendossiers van andere klanten dan de klager terecht is gekomen. Aangezien het bedrijf het met de betaling heeft eens geworden...

Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.

Persoonsgegevens zijn onrechtmatig gepubliceerd op de website van een gemeente, in het kader van de wettelijke verplichting om informatie te verstrekken op grond van de Wet openbaarheid van bestuur. De Autoriteit Persoonsgegevens heeft echter vastgesteld dat de gemeente deze persoonsgegevens heeft gepubliceerd in strijd met de wet en zonder de toestemming van de betreffende persoon.

Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.

Documenten die persoonlijke gegevens bevatten, zijn op het gebied van de gemeentelijke afvalverwerkingsplaats vernietigd.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Een boete van 4.750 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 4750 euro opgelegd aan de Powiatowego Inspektora Sanitarnego in Policach. De verantwoordelijke partij heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat resulteerde in een datalek. Dit kwam doordat een werknemer een onversleutelde USB-stick met persoonlijke gezondheidsgegevens en gegevens over administratieve procedures heeft verloren.

Een boete van 6.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Orte een boete van 6.000 euro opgelegd. De gemeente heeft videobewaking geïnstalleerd op haar grondgebied op een manier die niet in overeenstemming is met de basisprincipes van gegevensverwerking.

€300,000 fine - Data State Inspectorate (DSI)

The Latvian DPA has imposed a fine of EUR 300,000 on SIA 'ZZ Dats'. The entity that was fined was the data processor for almost all local governments in Latvia. It failed to implement adequate technical and organisational measures to ensure data security, resulting in a data breach. The entity appealed the decision to the Riga City Court.

Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Curtarolo een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft beelden van bewakingscamera's gebruikt in een tuchtprocedure tegen een werknemer, en heeft ook andere werknemers opgedragen om deze werknemer te bespioneren, foto's en video's van hem te maken.

Een boete van 2.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft de gemeente Avola een boete van 2.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten de contactgegevens van de functionaris voor gegevensbescherming (DPO) aan de DPA door te geven.

Een boete van €1.000 - Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan de burgemeester van de gemeente Calvi Risorta. De verantwoordelijke partij heeft tijdens de Covid-19-pandemie de gezondheidsgegevens van burgers gepubliceerd zonder een voldoende juridische basis.

Boete van €10.000 - Griekse Autoriteit voor Gegevensbescherming (HDPA).

De Griekse Autoriteit Persoonsgegevens (DPA) heeft de gemeente Moschato–Tavros een boete van 10.000 euro opgelegd. De verantwoordelijke partij heeft een videobewakingssysteem geïnstalleerd in een depot om gemeentelijke voertuigen te beschermen. Echter, de verantwoordelijke partij heeft tijdens de ontwerpfase nagelaten ervoor te zorgen dat de camera's alleen de noodzakelijke gegevens verwerkten. Bovendien hebben ze hun werknemers niet voldoende geïnformeerd en de verwerkingen niet adequaat vastgelegd.

Een boete van €3.960 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse beschermingsautoriteit (DPA) heeft de gemeente Pazzano een boete van 3.960 euro opgelegd. De verantwoordelijke instantie heeft niet voldaan aan een eerder gegeven instructie van de DPA.

Een boete van 3.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Isola del Gran Sasso een boete van 3.000 euro opgelegd. De verantwoordelijke instantie heeft een besluit gepubliceerd op haar officiële website, waarin persoonlijke gegevens van een werknemer stonden, waaronder informatie over strafrechtelijke procedures tegen die werknemer. Bovendien heeft de verantwoordelijke instantie niet adequaat gereageerd op een verzoek van de betrokkene om gebruik te maken van zijn rechten.

Een boete van 6.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft de gemeente Buccino een boete van 6.000 euro opgelegd. De verantwoordelijke partij heeft foto's van minderjarigen en mensen met psychische problemen in meerdere Facebook-posts gepubliceerd zonder een voldoende juridische basis. Bovendien heeft de verantwoordelijke partij de contactgegevens van de functionaris voor gegevensbescherming niet voldoende duidelijk gemaakt.

Een boete van 18.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft de gemeente Nichelino een boete van 18.000 euro opgelegd. De gemeente heeft gevoelige persoonlijke gegevens van een voormalig werknemer, waaronder de beslissing om het dienstverband te beëindigen, op haar website gepubliceerd zonder een voldoende juridische basis.

Een boete van €10.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Venetië een boete van 10.000 euro opgelegd. De gemeente heeft een toeristenbelasting ingevoerd, met uitzonderingen voor bepaalde groepen bezoekers. Bij het bepalen of een persoon recht had op vrijstelling van de toeristenbelasting, was de gegevensverwerking door de gemeente niet in overeenstemming met de basisprincipes van de AVG (Algemene Verordening Gegevensbescherming).

Een boete van 3.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft de gemeente Conversano een boete van 3.000 euro opgelegd. De verantwoordelijke partij heeft niet op de juiste manier een functionaris voor gegevensbescherming benoemd.

Een boete van 3.500 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een boete van 3.500 euro opgelegd aan het Gemeentelijk Sociaal Hulpcentrum in Aleksandrów. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de informatiebeveiliging te waarborgen, wat heeft geleid tot een datalek.

22.000 euro boete - Noorse Toezichtsautoriteit (Datatilsynet).

De Noorse Autoriteit Persoonsgegevens heeft de gemeente Kristiansand een boete van 22.000 euro opgelegd. De instantie biedt een hulplijn voor kinderen die slachtoffer zijn geworden van geweld, misbruik of verwaarlozing. De website van de hulplijn maakt gebruik van trackingpixels, waardoor de aanbieders van die pixels toegang krijgen tot persoonlijke gegevens van de betrokkenen zonder voldoende wettelijke basis.

1.200 euro boete - Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente San Francesco al Campo een boete van 1.200 euro opgelegd. De gemeente heeft de persoonlijke gegevens van haar werknemers op haar website gepubliceerd, waarmee ze het beginsel van dataminimalisatie heeft geschonden.

Een boete van 40.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Bologna een boete van 40.000 euro opgelegd. De verantwoordelijke partij heeft een gegevensverwerker (Cooperativa Sociale Quadrifoglio | ETid: 2274) ingeschakeld om gegevens te verwerken, waaronder medische gegevens, van kinderen met een beperking en speciale behoeften. De verantwoordelijke partij heeft nagelaten te waarborgen dat de verwerker voldoende technische en organisatorische maatregelen had genomen om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek.

Een boete van 4.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft de gemeente Ponte nelli Apli een boete van 4.000 euro opgelegd. De verantwoordelijke instantie heeft een evaluatie van de prestaties van haar werknemers uitgevoerd. De individuele resultaten van elke werknemer, inclusief naam, achternaam en score, zijn openbaar gemaakt. De verantwoordelijke instantie had geen wettelijke basis om deze persoonlijke resultaten te publiceren.

Een boete van 3.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Palma di Montechiaro een boete van 3.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten een Functionaris Gegevensbescherming (FG) aan te stellen en deze FG bij de DPA te registreren.

€11,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 11,000 on the Territorial Administration of the Government of Genoa. The department had published a file on its website that contained a table listing information on the lawyers of two companies and their adult cohabiting family members (about a hundred people in total). In the course of its investigation, the DPA found that the department had published the information without a valid legal basis.

€27,700 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

The Hungarian DPA (NAIH) has fined the XI District Office of the Government of Budapest EUR 27,700.The controller had emailed health data regarding Covid-19 rapid tests, as well as the contact details of the people tested, to doctors in a single Excel file, unencrypted and without any further measures to ensure confidentiality. The DPA found that the controller had failed to implement technical and organizational measures that ensured the protection of personal data. In addition, the controller

€118,500 fine - Czech Data Protection Auhtority (UOOU)

The Czech DPA (UOOU) fined 11 companies a total of EUR 118,500 for sending unrequested postal advertising messages to the mailboxes of various citizens. Based on a decision by the government of the Czech Republic at the end of October, there was introduced the possibility to send postal data messages at no charge until the end of the Covid-19 pandemic. The fined companies misused this possibility. The DPA finds that the companies had no legal ground for sending offers for goods and services, con

€18,700 fine - Data Protection Authority of Sweden (Integritetsskyddsmyndigheten)

The DPA's decision shows that it took almost five months for the company to notify the data subjects of a data breach and almost three months for the DPA to receive a notification of a data breach concerning an security lack of IT systems of the company.

€7,000 fine - Danish Data Protection Authority (Datatilsynet)

A city government employee had his work computer stolen, which contained the personal data of about 1,600 city government employees, including sensitive information and information about social security numbers.

€290 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

A local representative took a photo of the director of a company fully owned by the local government depicting the director allegedly tearing off an election poster of the opposition in the company of his child. The local representative uploaded the photo to his Facebook page. The child’s image was blurred, yet it was hinted in the post that she was the daughter of the director. The director told the local representative at the scene that he does not consent to the taking of the photo. NAIH dete

€387 fine - Czech Data Protection Auhtority (UOOU)

The Czech DPA (UOOU) conducted an investigation against the operator of a non-governmental medical facility following a security breach. The operator offers a range of diagnostic tests to patients. The results of the tests are subsequently communicated on its website to both patients and physicians who recommended the tests. The reported security breach involved an attack on the operator's website by an unknown individual. Following this incident, the operator stopped operating the website in qu

€1,715 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

The owners of a real estate complained that the government office posted its decision on the change in the person of the lessee (which concluded a lease agreement with real estate owners) to other owners of 40 real estates contracted by the same lessee. The decision contained personal data of all the owners, who had a lease agreement with the same lessee.

€3,200 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

The fine was imposed on the Mayor’s Office of the city of Kecskemét for unlawful disclosure of the personal information of a whistleblower.NAIH imposed the fine after an employee of an organisation that it supervised reported a public interest complaint directly to it against his employer. After the organisation learned of the complaint, it requested details in order to investigate, and the local government accidentally revealed the complainant's name. The NAIH considered it an aggravating facto