Enforcement

€284,450 fine - Information Commissioner (ICO)

The UK DPA has imposed a fine of GBP 247,590 (EUR 284,450) on MediaLab.AI, Inc.The controller of the image-sharing and hosting platform Imgur failed to implement age verification. This resulted in the controller processing children's data without sufficient legal basis, as the consent given was not provided by the children's parents or carers.

€10,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 10,000 on FREE TECHNOLOGIES EXCOM, S.L. The controller had reset user passwords and communicated the new passwords to the clients via email. However, the email was not encrypted and did not implement any other appropriate security measures.

27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming (CNIL) heeft FREE een boete van 15.000.000 euro opgelegd. Het bedrijf heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen. Dit werd veroorzaakt door het gebruik van een ontoereikende authenticatiemethode om verbinding te maken met hun VPN voor thuiswerken. Bovendien heeft het bedrijf de betrokken personen niet voldoende geïnformeerd, omdat essentiële informatie ontbrak in de e-mail waarin de datalek werd gemeld.

€27,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 27,000,000 on FREE MOBILE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email. Lastly, the controller failed to adequately sort data and retain persona

€15,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 15,000,000 on FREE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email.

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

Een boete van 40.000 euro - van het Slowaakse databeschermingskantoor.

De verantwoordelijke partij heeft onvoldoende beveiligingsmaatregelen genomen bij de verwerking van persoonsgegevens, waardoor de verplichting om de verwerkte persoonsgegevens te beschermen is geschonden.

Een boete van 27.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

Hoewel de klager (een voormalige Vodafone-klant) in 2015 van Vodafone had verzocht zijn gegevens te verwijderen, en dit verzoek door het bedrijf was bevestigd, ontving hij vanaf 2018 meer dan 200 sms-berichten van het bedrijf. Volgens de verklaring van Vodafone is dit gebeurd omdat het mobiele telefoonnummer van de klager per ongeluk werd gebruikt voor testdoeleinden en toevallig in verschillende klantendossiers van andere klanten dan de klager terecht is gekomen. Aangezien het bedrijf het met de betaling heeft eens geworden...

Een boete van 5.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse telecommunicatie- en informatiestructuur (SETSI) heeft besloten dat Vodafone een klant moest vergoeden voor kosten die ten onrechte aan hem waren doorbelast. Desondanks heeft Vodafone persoonlijke gegevens van deze betreffende klant doorgegeven aan een kredietregistratiebureau (BADEXCUG). De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat dit gedrag in strijd is met het beginsel van juistheid.

€27,000 fine - Spanish Data Protection Authority (aepd)

Although the complainant (a former Vodafone customer) had requested Vodafone to delete his data in 2015 and this request had been confirmed by the company, he received more than 200 SMS from the company from 2018 onwards. Following Vodafone's statement, this happened because the complainant's mobile phone number was erroneously used for testing purposes and accidentally appeared in various customer files belonging to other customers than the complainant. Since the company agreed to both payment

De Kroatische gegevensbeschermingsautoriteit (DPA) heeft een telecombedrijf een boete van 20.000 euro opgelegd. Een betrokkene had een klacht ingediend bij de DPA, waarin hij beweerde dat het bedrijf nog steeds zijn persoonlijke gegevens verwerkte, terwijl hij al meer dan tien jaar geen klant van het bedrijf was. Tijdens het onderzoek stelde de DPA vast dat het bedrijf de gegevens nog steeds bewaarde vanwege een vermeende schuld. Hoewel die schuld niet meer bestond, had het bedrijf de gegevens van de betrokkene niet verwijderd.

€5,000 fine - Spanish Data Protection Authority (aepd)

The spanish telecommunications and informations agancy (SETSI) decided Vodafone had to reimburse a customer for costs he was wrongfully charged for. Nevertheless, Vodafone reported personal data of this respective customer to a solvency registry (BADEXCUG). The AEPD found this behaviour violated the principle of accuracy.

€40,000 fine - Slovak Data Protection Office

The controller did not take adequate security measures when processing personal data, thereby breaching the obligation to protect the processed personal data.

€20,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (azop) has imposed a fine of EUR 20,000 on a telecommunications company. A data subject had filed a complaint with the DPA claiming that the company was still processing their personal data even though they had not been a customer of the company for more than ten years. During its investigation, the DPA found that the company had still been storing the data due to an alleged debt. The debt was no longer outstanding, however, the company had failed to delete the data of the data

Een boete van €15.000 - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 15.000 euro opgelegd aan Crowd Entertainment Limited. Het bedrijf heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

€15,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 15,000 on Crowd Entertainment Limited. The controller failed to adequatly react to a data subjects request to exercise their rights.

€4,500,000 fine - Croatian Data Protection Authority (azop)

Following an ex officio investigation, AZOP imposed a EUR 4.5 million fine on a telecommunications operator for multiple GDPR infringements. The controller transferred customer personal data to a processor in the Republic of Serbia (a group company maintaining software). Transfers had been based on Standard Contractual Clauses (SCCs) from 16 April 2020 until at the latest 27 December 2022; after that date, transfers continued without SCCs or equivalent safeguards, despite Serbia lacking an adequ

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Een boete van 750.000 euro - van de Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse gegevensbeschermingsautoriteit heeft LES PUBLICATIONS CONDE NAST een boete van 750.000 euro opgelegd. De verantwoordelijke partij gebruikte meerdere cookies op haar website, maar heeft deze niet op een adequate manier geïmplementeerd.

€750,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 750,000 on LES PUBLICATIONS CONDE NAST. The controller used multiple cookies on its website but failed to adequately implement them.

Een boete van 40.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Quarantadue S.r.l. een boete van 40.000 euro opgelegd. De verantwoordelijke partij heeft een televisieserie geproduceerd over een strafzaak, waarin echte audio-opnamen zijn gebruikt die niet in de strafrechtelijke procedure zijn gebruikt en die geen relevantie hadden voor de zaak.

€40,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 40,000 on Quarantadue S.r.l. The controller produced a television series about a criminal case which included real audio recordings that were not used in the criminal proceedings and were irrelevant to the case.

€20,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 20,000 on Multimedia News Società Cooperativa. The controller failed to adequatly react to a request by a data subject to exercise their rights.

Een boete van 20.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 20.000 euro opgelegd aan Multimedia News Società Cooperativa. De verantwoordelijke partij heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn of haar rechten.

€150,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 150,000 on Digi Spain Telecom S.L.U. The controller rejected the application for a contract due to outstanding debt, despite this being untrue as the applicant had been the victim of identity theft. During the verification process and the decision-making process regarding acceptance of the application, data was processed without a sufficient legal basis.

Een boete van 150.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft Digi Spain Telecom S.L.U. een boete van 150.000 euro opgelegd. De verantwoordelijke partij weigerde de aanvraag voor een contract vanwege vermeende openstaande schulden, hoewel dit niet klopte, aangezien de aanvrager het slachtoffer was van identiteitsfraude. Tijdens het verificatieproces en het besluitvormingsproces met betrekking tot de acceptatie van de aanvraag, werden gegevens verwerkt zonder een voldoende juridische basis.

200 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse gegevensbeschermingsautoriteit heeft GOOGLE LLC een boete van 200 miljoen euro opgelegd. Bij het aanmaken van een account voor de diensten van de verantwoordelijke, heeft deze de procedure voor het verkrijgen van toestemming voor cookies zodanig ontworpen dat een vrije, geïnformeerde toestemming niet mogelijk was. De betrokkene kon alleen kiezen tussen de gratis dienst met gepersonaliseerde marketing of een betaalde versie zonder dit. De verantwoordelijke heeft ook haar e-maildienst zo ontworpen dat advertenties konden worden weergegeven in gebieden waar betrokkene normaal gesproken berichten ontving.

€200,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 200,000,000 on GOOGLE LLC. While creating an account for the controller's services, the controller designed the cookie consent process in such a way that free, informed consent could not be given. The data subject could only choose between the free service with personalised marketing or a paid-for version without it. The controller also designed its email service so that advertisements could be displayed in areas where data subjects usually found received

125.000.000 euro boete - Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming heeft GOOGLE IRELAND LIMITED een boete van 125.000.000 euro opgelegd. Bij het aanmaken van een account voor de diensten van de verantwoordelijke, heeft deze de procedure voor toestemming voor cookies zodanig ontworpen dat een vrije, geïnformeerde toestemming niet mogelijk was. De betrokkene kon alleen kiezen tussen de gratis dienst met gepersonaliseerde marketing of een betaalde versie zonder dit. De verantwoordelijke heeft ook haar e-maildienst zo ontworpen dat advertenties getoond konden worden in gebieden waar betrokkene normaal gesproken...

€125,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 125,000,000 on GOOGLE IRELAND LIMITED. While creating an account for the controller's services, the controller designed the cookie consent process in such a way that free, informed consent could not be given. The data subject could only choose between the free service with personalised marketing or a paid-for version without it. The controller also designed its email service so that advertisements could be displayed in areas where data subjects usually fo

Een boete van €18.000 - van de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 18.000 euro opgelegd aan GRUPO BONATEL SL. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. De oorspronkelijke boete van 30.000 euro is verlaagd tot 18.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€18,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 18,000 on the GRUPO BONATEL SL. The controller suffered a data leak due to insufficient technical and organisational measures to ensure data security. The original fine of EUR 30,000 was reduced to EUR 18,000 due to immediate payment and admission of responsibility by the controller.

Boete van 6.200 euro - Oostenrijkse Autoriteit voor Gegevensbescherming (dsb).

De Oostenrijkse gegevensbeschermingsautoriteit (DPA) heeft een mediabedrijf een boete van 6.200 euro opgelegd. Het bedrijf had niet voldaan aan een aanwijzing van de DPA om een adequate cookiebanner te implementeren.

€6,200 fine - Austrian Data Protection Authority (dsb)

The Austrian DPA has imposed a fine of EUR 6,200 on a media company. The controller failed to comply with an order from the DPA to implement an adequate cookie banner.

€2,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2,000 on Linea Stampalibera Società Cooperativa r.I. The controller, who operates a news site, has disclosed too much personal information in an article, including health data. This infringes the principle of data minimisation.

Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 2.000 euro opgelegd aan Linea Stampalibera Società Cooperativa r.l. De verantwoordelijke, die een nieuwssite exploiteert, heeft in een artikel te veel persoonlijke informatie vrijgegeven, waaronder medische gegevens. Dit schendt het principe van dataminimalisatie.

€3,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 3,000 on Zougla TZI-AP Anonymous Media Company. The controller, who operates a news website, published an article revealing the personal data of an individual without a sufficient legal basis. The controller also failed to cooperate adequately with the DPA.

Boete van €3.000 - Griekse Autoriteit voor Gegevensbescherming (HDPA).

De Griekse Autoriteit Persoonsgegevens (DPA) heeft een boete van 3.000 euro opgelegd aan het bedrijf Zougla TZI-AP Anonymous Media Company. Het bedrijf, dat een nieuwssite exploiteert, heeft een artikel gepubliceerd waarin persoonlijke gegevens van een individu werden onthuld zonder voldoende juridische basis. Bovendien heeft het bedrijf onvoldoende meegewerkt met de DPA.

€40,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 40,000 on KARAMBELAS KONSTANTINOS & CO. E.E. The processor, which was processing data for a telecommunications provider (ETid: 2878), failed to implement sufficient technical and organisational measures to ensure data security. This resulted in multiple SIM cards being registered in a third person's name.

€550,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 550,000 on Vodafone – PANAFON A.E.E.T. The controller failed to implement sufficient technical and organisational measures to ensure data security, resulting in a telecommunications shop being able to wrongfully assign multiple SIM cards to an individual. The controller also failed to use a processor that could guarantee the implementation of sufficient technical and organisational measures, and failed to govern the processing with an adequate data process

Boete van 40.000 euro - Griekse Autoriteit voor Gegevensbescherming (HDPA).

De Griekse autoriteit voor gegevensbescherming heeft een boete van 40.000 euro opgelegd aan KARAMBELAS KONSTANTINOS & CO. E.E. Deze organisatie, die gegevens verwerkte voor een telecomprovider (ETid: 2878), heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen. Hierdoor zijn meerdere SIM-kaarten geregistreerd op naam van een derde persoon.

Een boete van 550.000 euro - Hellenic Data Protection Authority (HDPA).

De Griekse autoriteit voor gegevensbescherming heeft Vodafone – PANAFON A.E.E.T. een boete van 550.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, waardoor een telecomwinkel ten onrechte meerdere SIM-kaarten aan dezelfde persoon kon toewijzen. De verantwoordelijke partij heeft ook geen dataverwerker gebruikt die de implementatie van voldoende technische en organisatorische maatregelen kon garanderen, en heeft de verwerking niet beheerd met een adequaat gegevensverwerkingsproces.

4.000 euro boete - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft Vodafone Romania S.A. een boete van 4.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek.

€4,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 4,000 on Vodafone Romania S.A. The controller failed to implement sufficient technical and organisational measures to ensure data security, resulting in a data breach.

€60,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 60,000 on AIRE NETWORKS DEL MEDITERRÃNEO, S.L. The controller did not implement sufficient technical and organisational measures to ensure information security, resulting in a data breach. The original fine of EUR 100,000 was reduced to EUR 60,000 due to immediate payment and admission of responsibility by the controller.

Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 60.000 euro opgelegd aan AIRE NETWORKS DEL MEDITERRÁNEO, S.L. De verantwoordelijke partij had onvoldoende technische en organisatorische maatregelen genomen om de informatiebeveiliging te waarborgen, wat resulteerde in een datalek. De oorspronkelijke boete van 100.000 euro is verlaagd tot 60.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 200.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft TELEFÓNICA MÓVILES ESPAÑA, S.A. een boete van 200.000 euro opgelegd. De verantwoordelijke partij heeft persoonsgegevens doorgegeven aan een derde partij zonder een voldoende juridische basis.