Regulatory actions, fines, warnings, and enforcement decisions
€20,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 20,000 onTensa Art Design S.A.The DPA began investigating the controller's data processing activities, but the controller failed to respond to the DPA's requests.
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on GENPACT ROMANIA SRL. The controller suffered a successful cyber attack due to insufficient technical and organisational measures. The attacker was able to exploit vulnerabilities in some passwords and in the way user accounts' authentication could be reset.
€1,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 1,000 on the Alliance for the Union of Romanians (AUR) Party. The controller failed to react adequately to a data subject's request to exercise their rights regarding a personal letter containing electoral information.
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on a natural person. The controller operated a website on which identity cards containing personal data, including special category data, possible criminal convictions, data on the intimate lives of data subjects and possible debts, were published. The processing of this data was not based on a sufficient legal basis, and the controller did not ensure that the data was correct, complete or transparent. Furthermore, the controller did not adequate
Boete van €15.000 - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense Autoriteit voor Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan Continental Automotive Products SRL. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een cyberincident.
€15,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 15,000 on Continental Automotive Products SRL. The controller failed to implement adequate technical and organisational measures, resulting in a cyber incident.
€21,650 fine - Norwegian Supervisory Authority (Datatilsynet)
The Norwegian DPA has imposed a fine of EUR 21,650 on Timegrip AS. The controller had been tracking the working hours of employees at a company that went bankrupt. A former employee requested that the controller send the working hours to the data subject so that they could claim their unpaid wages from the bankruptcy estate. Furthermore, the bankruptcy estate itself requested the data, but the controller refused to send it to them.
€8,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 8,000 on PREMIER RESTAURANTS ROMANIA SRL. The controller failed to implement adequate technical and organisational measures, resulting in a cyber incident.
8.000 euro boete - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming heeft PREMIER RESTAURANTS ROMANIA SRL een boete van 8.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een cyberincident.
€500 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 500 on VOX ESPAÑA. The controller, a political party, posted a picture of of a receipt on its Facebook page. The picture of the recipt included the full name, signature and personal ID number of a natural person. The controller had no legal basis to publish this personal data.
18.500 euro boete - Poolse nationale autoriteit voor de bescherming van persoonlijke gegevens (UODO).
De Poolse gegevensbeschermingsautoriteit heeft een boete van 18.500 euro opgelegd aan de regionale politie van Krakau. De autoriteit heeft persoonlijke gegevens, waaronder medische gegevens, van een betrokkene gepubliceerd die betrokken was bij een politieonderzoek. Deze publicatie was niet noodzakelijk voor het beoogde doel.
€18,500 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposd a fine of EUR 18,500 on the Komendanta Miejskiego Policji w Krakowie. The controller published personal data, including health data, of a data subject that had been involved in a police investigation, which was not necessary for the purpose of the publication.
27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).
€15,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 15,000,000 on FREE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email.
€27,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 27,000,000 on FREE MOBILE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email. Lastly, the controller failed to adequately sort data and retain persona
€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 2,000 on Money Seeds S.R.L. The controller failed to fulfil a data subject's request to exercise their rights.
€232,379 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 232,379 on the Polish Postal Service. The controller appointed a person as DPO who also held a managerial position with authority over security and classified information protection issues. However, the controller failed to conduct an analysis to ensure the DPO's independence. Furthermore, the controller was unable to ensure that the DPO could fulfil their role without any conflicts of interest.
€5,000 fine - Hellenic Data Protection Authority (HDPA)
The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.
€10,000 fine - Hellenic Data Protection Authority (HDPA)
The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.
€80,000 fine - Hellenic Data Protection Authority (HDPA)
The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had
€10,000 fine - Hellenic Data Protection Authority (HDPA)
The Greek DPA has imposed a fine of EUR 10,000 on Thessaloniki–Thessaly Gas Supply Company S.A. The controller, an energy provider, used external processors for direct marketing via telephone. The controller forwarded complaints by data subjects to the external processors, but failed to ensure, that the processors response was adequate, gernerally failing to adequatly controll processors.
Boete van 60.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
Naar verluidt heeft de betrokkene een microkrediet niet terugbetaald aan een online kredietverstrekker, waarna de vordering werd overgedragen aan een incassobureau. Vervolgens begon dit incassobureau e-mails te versturen, niet alleen naar e-mailadressen die door de betrokkene waren opgegeven, maar ook naar een institutioneel e-mailadres van zijn werkplek, dat toegankelijk was voor alle collega's en dat nooit door de betrokkene was verstrekt.
€3,500,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 3,500,000 on a company. The controller operated a loyalty program in France and 16 other EU countries, using customer data obtained through the program to transfer it to a third party for marketing purposes. The controller had no sufficient legal basis for this transfer and also failed to inform the data subjects. Furthermore, the controller used an inadequate method to store passwords. Finally, the controller failed to conduct a data protection impact as
€27,000 fine - Spanish Data Protection Authority (aepd)
Although the complainant (a former Vodafone customer) had requested Vodafone to delete his data in 2015 and this request had been confirmed by the company, he received more than 200 SMS from the company from 2018 onwards. Following Vodafone's statement, this happened because the complainant's mobile phone number was erroneously used for testing purposes and accidentally appeared in various customer files belonging to other customers than the complainant. Since the company agreed to both payment
€12,000 fine - Spanish Data Protection Authority (aepd)
The gas company did not have appropriate measures in place to verify the identity of the data subject. The person who filed the complaint alleges that the company e-mailed his information to a third party in response to a request.
Slovak Data Protection Office
Personal data have been unlawfully published on the website of a city within the framework of fulfilling its disclosure obligation under the Freedom of Information Act. However, the Data Protection Authority stated that the City had published the personal data in violation of the law and without the consent of the person concerned.
€588 fine - Czech Data Protection Auhtority (UOOU)
The company obtained a copy of photographic ID of the personal data subject with his consent, however did not react to his consent withdrawal and continued in processing of his personal data.
€3,140 fine - Czech Data Protection Auhtority (UOOU)
The bank established a personal bank account for a data subject without his consent or knowledge. The bank supposedly had his personal data available because the subject had disposed of his employer’s company account. The bank was not able to provide The Office for Personal Data Protection with the necessary documentation to prove entering into contract with the data subject.
Boete van €10.000 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
Het bedrijf heeft cookies geplaatst op het apparaat van de eindgebruiker zonder voorafgaande toestemming van de betrokkene.
De Kroatische gegevensbeschermingsautoriteit (DPA) heeft een telecombedrijf een boete van 20.000 euro opgelegd. Een betrokkene had een klacht ingediend bij de DPA, waarin hij beweerde dat het bedrijf nog steeds zijn persoonlijke gegevens verwerkte, terwijl hij al meer dan tien jaar geen klant van het bedrijf was. Tijdens het onderzoek stelde de DPA vast dat het bedrijf de gegevens nog steeds bewaarde vanwege een vermeende schuld. Hoewel die schuld niet meer bestond, had het bedrijf de gegevens van de betrokkene niet verwijderd.
€960 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA (UODO) has fined a data controller EUR 1,450 for failing to provide information requested by the DPA during an investigation.
Boete van €9.600 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
Een restaurant wilde een werknemer disciplinaire maatregelen opleggen op basis van beelden van een mobiele telefoonvideo. Deze video was opgenomen door een andere werknemer in het restaurant en diende als bewijsmateriaal. De initiële boete van 12.000 euro is verlaagd naar 9.600 euro.
Een boete van 588 euro - opgelegd door de Tsjechische Autoriteit voor Gegevensbescherming (UOOU).
Het bedrijf heeft een kopie van een identiteitsbewijs met een foto van de betrokkene verkregen, met zijn toestemming. Echter, het bedrijf heeft niet gereageerd op zijn intrekking van die toestemming en is doorgegaan met de verwerking van zijn persoonlijke gegevens.
€50,000 fine - Slovak Data Protection Office
Applications for social benefits from Slovak citizens were sent by post to foreign authorities. These were lost by post, with the result that the whereabouts of these personal data could not be clarified.
Boete van €3.140 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).
De bank heeft een persoonlijke bankrekening geopend voor een betrokkene zonder zijn toestemming of kennis. De bank beweerde zijn persoonlijke gegevens te hebben omdat de betrokkene een bedrijfsrekening van zijn werkgever had gesloten. De bank kon het Bureau voor Persoonsgegevens niet de benodigde documenten verstrekken om aan te tonen dat er een overeenkomst was gesloten met de betrokkene.
€20,000 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (azop) has imposed a fine of EUR 20,000 on a telecommunications company. A data subject had filed a complaint with the DPA claiming that the company was still processing their personal data even though they had not been a customer of the company for more than ten years. During its investigation, the DPA found that the company had still been storing the data due to an alleged debt. The debt was no longer outstanding, however, the company had failed to delete the data of the data
Een boete van 960 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).
€10,000 fine - Spanish Data Protection Authority (aepd)
The company installed cookies on an end users terminal device without prior consent of the data subject.
12.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
Het gasbedrijf had geen passende maatregelen getroffen om de identiteit van de betrokkene te verifiëren. De persoon die de klacht heeft ingediend, beweert dat het bedrijf zijn gegevens per e-mail naar een derde partij heeft gestuurd als reactie op een verzoek.
Slovak Data Protection Office
Documents containing personal data were disposed of in the area of the municipal garbage dump.
€118 fine - Data Protection Authority of Saarland
Illegal disclosure of personal data relating to a third party.
€5,000 fine - Spanish Data Protection Authority (aepd)
The spanish telecommunications and informations agancy (SETSI) decided Vodafone had to reimburse a customer for costs he was wrongfully charged for. Nevertheless, Vodafone reported personal data of this respective customer to a solvency registry (BADEXCUG). The AEPD found this behaviour violated the principle of accuracy.
€980 fine - Czech Data Protection Auhtority (UOOU)
The operator of an online game was exposed to several DDoS attacks which caused the malfunctioning of the servers. The attacker blackmailed the operator stating that the attacks will not stop unless he pays money. As part of the blackmail, the attacker offered the operator that he will create an upgraded and better firewall protection to the servers of the operator. The operator agreed and paid the attacker. The operator implemented the new code from the attacker which proved better than the old
Slovak Data Protection Office
A Data Controller failed to comply with data subject´s request to access his/her personal data processed by audio recordings.
Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.
Persoonsgegevens zijn onrechtmatig gepubliceerd op de website van een gemeente, in het kader van de wettelijke verplichting om informatie te verstrekken op grond van de Wet openbaarheid van bestuur. De Autoriteit Persoonsgegevens heeft echter vastgesteld dat de gemeente deze persoonsgegevens heeft gepubliceerd in strijd met de wet en zonder de toestemming van de betreffende persoon.
Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.
Documenten die persoonlijke gegevens bevatten, zijn op het gebied van de gemeentelijke afvalverwerkingsplaats vernietigd.
Boete van €980 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).
De beheerder van een online spel is het slachtoffer geworden van meerdere DDoS-aanvallen, wat resulteerde in storingen van de servers. De aanvaller chanteerde de beheerder en dreigde dat de aanvallen niet zouden stoppen tenzij er geld werd betaald. Als onderdeel van de chantage bood de aanvaller aan om een verbeterde en betere firewallbescherming voor de servers van de beheerder te implementeren. De beheerder stemde ermee in en betaalde de aanvaller. De beheerder implementeerde de nieuwe code van de aanvaller, wat bleek beter te zijn dan de oude.
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on Roumasport S.R.L The controller failed to implement adequate technical and organisational measures, resulting in multiple cyber incidents.
Slovaakse Autoriteit voor Gegevensbescherming.
Een verantwoordelijke voor de gegevensverwerking heeft niet voldaan aan het verzoek van een betrokkene om toegang te krijgen tot zijn of haar persoonlijke gegevens die zijn verwerkt via audio-opnamen.