Enforcement

€284,450 fine - Information Commissioner (ICO)

The UK DPA has imposed a fine of GBP 247,590 (EUR 284,450) on MediaLab.AI, Inc.The controller of the image-sharing and hosting platform Imgur failed to implement age verification. This resulted in the controller processing children's data without sufficient legal basis, as the consent given was not provided by the children's parents or carers.

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

Boete van €3.140 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).

De bank heeft een persoonlijke bankrekening geopend voor een betrokkene zonder zijn toestemming of kennis. De bank beweerde zijn persoonlijke gegevens te hebben omdat de betrokkene een bedrijfsrekening van zijn werkgever had gesloten. De bank kon het Bureau voor Persoonsgegevens niet de benodigde documenten verstrekken om aan te tonen dat er een overeenkomst was gesloten met de betrokkene.

Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.

Persoonsgegevens zijn onrechtmatig gepubliceerd op de website van een gemeente, in het kader van de wettelijke verplichting om informatie te verstrekken op grond van de Wet openbaarheid van bestuur. De Autoriteit Persoonsgegevens heeft echter vastgesteld dat de gemeente deze persoonsgegevens heeft gepubliceerd in strijd met de wet en zonder de toestemming van de betreffende persoon.

€3,140 fine - Czech Data Protection Auhtority (UOOU)

The bank established a personal bank account for a data subject without his consent or knowledge. The bank supposedly had his personal data available because the subject had disposed of his employer’s company account. The bank was not able to provide The Office for Personal Data Protection with the necessary documentation to prove entering into contract with the data subject.

€10,000 fine - Spanish Data Protection Authority (aepd)

The company installed cookies on an end users terminal device without prior consent of the data subject.

Een boete van 588 euro - opgelegd door de Tsjechische Autoriteit voor Gegevensbescherming (UOOU).

Het bedrijf heeft een kopie van een identiteitsbewijs met een foto van de betrokkene verkregen, met zijn toestemming. Echter, het bedrijf heeft niet gereageerd op zijn intrekking van die toestemming en is doorgegaan met de verwerking van zijn persoonlijke gegevens.

Boete van €10.000 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Het bedrijf heeft cookies geplaatst op het apparaat van de eindgebruiker zonder voorafgaande toestemming van de betrokkene.

Slovak Data Protection Office

Personal data have been unlawfully published on the website of a city within the framework of fulfilling its disclosure obligation under the Freedom of Information Act. However, the Data Protection Authority stated that the City had published the personal data in violation of the law and without the consent of the person concerned.

€588 fine - Czech Data Protection Auhtority (UOOU)

The company obtained a copy of photographic ID of the personal data subject with his consent, however did not react to his consent withdrawal and continued in processing of his personal data.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

€400,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 400,000 on Verisure Italy s.r.l. The controller had been active in direkt marketing activities. The controller failed to ensure that the consent provided by data subjects was valid. Additionally, the controller failed to implement adequate retention periods for the processed data. Lastly, the controller failed to adequately respond to data subjects' requests to exercise their rights, and failed to adequately inform them regarding the processing of their

€300,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 300,000 on Aimag S.p.A. The controller offered its customers a service that allowed them to view their consumption data on the controller's website, but the log-in procedure was insufficient. The way the controller gained consent for the use of promotional messages was also inadequate.

Een boete van 300.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft Aimag S.p.A. een boete van 300.000 euro opgelegd. De verantwoordelijke partij bood haar klanten een dienst aan waarmee ze hun verbruiksgegevens op de website van de verantwoordelijke partij konden inzien, maar de inlogprocedure was ontoereikend. Ook de manier waarop de verantwoordelijke partij toestemming verkreeg voor het gebruik van promotieboodschappen was onvoldoende.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan Whitedecor SRL. De verantwoordelijke partij had marketingberichten verstuurd naar klanten zonder een voldoende juridische basis.

Een boete van 80.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 80.000 euro opgelegd aan SENDING TRANSPORTE Y COMUNICACIÓN, S.A. Het bedrijf dat beboet is, is een verwerker voor de verantwoordelijke partij. Het heeft een andere onderaannemer ingehuurd zonder daarvoor toestemming te hebben, en daarbij een ongeschikte DPA (gegevensbeschermingsautoriteit) gebruikt.

Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft Vimar S.p.A. een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft een intern e-mailaccount aangemaakt met persoonlijke gegevens van een derde partij, zonder diens toestemming. Meerdere personen binnen het bedrijf van de verantwoordelijke partij hebben dit account gedurende drie jaar gebruikt.

€125,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 125,000,000 on GOOGLE IRELAND LIMITED. While creating an account for the controller's services, the controller designed the cookie consent process in such a way that free, informed consent could not be given. The data subject could only choose between the free service with personalised marketing or a paid-for version without it. The controller also designed its email service so that advertisements could be displayed in areas where data subjects usually fo

200 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse gegevensbeschermingsautoriteit heeft GOOGLE LLC een boete van 200 miljoen euro opgelegd. Bij het aanmaken van een account voor de diensten van de verantwoordelijke, heeft deze de procedure voor het verkrijgen van toestemming voor cookies zodanig ontworpen dat een vrije, geïnformeerde toestemming niet mogelijk was. De betrokkene kon alleen kiezen tussen de gratis dienst met gepersonaliseerde marketing of een betaalde versie zonder dit. De verantwoordelijke heeft ook haar e-maildienst zo ontworpen dat advertenties konden worden weergegeven in gebieden waar betrokkene normaal gesproken berichten ontving.

150 miljoen euro boete - Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse gegevensbeschermingsautoriteit heeft INFINITE STYLES SERVICES CO. LIMITED, dat opereert onder de naam 'SHEIN', een boete van 150.000.000 euro opgelegd. De verantwoordelijke partij heeft op haar website op onrechtmatige wijze cookies gebruikt. Ten eerste heeft de verantwoordelijke partij de toestemming van de betrokkene niet verkregen voordat cookies werden geplaatst. Ten tweede heeft de verantwoordelijke partij onvolledige cookiebanners gebruikt. Ten derde heeft de verantwoordelijke partij onvoldoende informatie op een tweede niveau verstrekt. Ten slotte waren de mechanismen van de verantwoordelijke partij om toestemming te weigeren of in te trekken ontoereikend.

125.000.000 euro boete - Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming heeft GOOGLE IRELAND LIMITED een boete van 125.000.000 euro opgelegd. Bij het aanmaken van een account voor de diensten van de verantwoordelijke, heeft deze de procedure voor toestemming voor cookies zodanig ontworpen dat een vrije, geïnformeerde toestemming niet mogelijk was. De betrokkene kon alleen kiezen tussen de gratis dienst met gepersonaliseerde marketing of een betaalde versie zonder dit. De verantwoordelijke heeft ook haar e-maildienst zo ontworpen dat advertenties getoond konden worden in gebieden waar betrokkene normaal gesproken...

€200,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 200,000,000 on GOOGLE LLC. While creating an account for the controller's services, the controller designed the cookie consent process in such a way that free, informed consent could not be given. The data subject could only choose between the free service with personalised marketing or a paid-for version without it. The controller also designed its email service so that advertisements could be displayed in areas where data subjects usually found received

€150,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 150,000,000 on INFINITE STYLES SERVICES CO. LIMITED, which operates under the name 'SHEIN'. The controller used cookies unlawfully on its website. Firstly, the controller failed to obtain the data subject's consent before placing cookies. Second, the controller used incomplete cookie banners. Third, the controller failed to provide adequate second-level information. Finally, the controller's mechanisms for refusing or withdrawing consent were inadequate.

Een boete van 2.400 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft KVIKU SPAIN, S.L. een boete van 2.400 euro opgelegd. De verantwoordelijke partij heeft persoonsgegevens van een betrokkene verwerkt zonder voldoende toestemming. De oorspronkelijke boete van 4.000 euro is verlaagd naar 2.400 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€2,400 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,400 on KVIKU SPAIN, S.L. The controller processed personal data of a data subject without sufficient consent. The original fine of EUR 4,000 was reduced to EUR 2,400 due to immediate payment and admission of responsibility by the controller.

€1,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,000 on the club BALONCESTO TELDE. The controller published an image of a minor without the consent of the minors representative.

1.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft de basketbalclub BALONCESTO TELDE een boete van 1.000 euro opgelegd. De verantwoordelijke partij heeft een foto van een minderjarige gepubliceerd zonder toestemming van de wettelijke vertegenwoordiger van de minderjarige.

1.100 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft ADMINISTRACIONES BENIPON, S.L. een boete van 1.100 euro opgelegd. Het bedrijf heeft niet voldaan aan de verplichting om de verantwoordelijke te informeren over een datalek en heeft bovendien een onderaannemer ingezet zonder voorafgaande toestemming en zonder een juridisch overeenkomst.

€1,100 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,100 on ADMINISTRACIONES BENIPON, S.L. The processor failed to notify the controller of a data breach and also used a sub-processor without prior consent and without an legal agreement.

900.000 euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming heeft SOLOCAL MARKETING SERVICES een boete van 900.000 euro opgelegd. De verantwoordelijke, een bedrijf dat ook direct marketingactiviteiten uitvoert voor haar klanten, gebruikt direct contact om potentiële klanten voor haar klanten te benaderen. Het bedrijf draagt ook gegevens van potentiële klanten door aan haar klanten. De verantwoordelijke heeft de gegevens verkregen via databrokers en kon niet bewijzen dat de potentiële klanten (betrokkenen) toestemming hadden gegeven voor het beschreven gebruik van hun gegevens. Bovendien...

€900,000 fine - French Data Protection Authority (CNIL)

The French DPA imposed a fine of EUR 900,000 on SOLOCAL MARKETING SERVICES. The controller, a company that also engages in direct marketing activities for its clients, ist using direct messages to contact potential customers for its clients. The company also transfers data of potential customers to their clients. The controller obtained the data through data brokers and was unable to prove that the potential customers (data subjects) had given consent for the described use of their data. In addi

1.200 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan SERVICIOS DE INTEGRACIÓN DE ANDALUCÍA. De verantwoordelijke partij heeft een werknemer aangenomen en het mobiele telefoonnummer van deze nieuwe werknemer verwerkt zonder toestemming of een andere wettelijke basis. Het nummer werd gebruikt om de werknemer toe te voegen aan een WhatsApp-groep voor werkdoeleinden, wat resulteerde in een groot aantal meldingen voor de werknemer, waardoor deze ziek werd. De oorspronkelijke boete van 2.000 euro is verlaagd tot 1.200 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid.

€1,200 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on SERVICIOS DE INTEGRACIÓN DE ANDALUCÍA. The controller hired an employee and processed the mobile phone number of the new employee without consent or other legal basis. The number was used to add the employee into a WhatsApp group for work purposes which resulted in the employee recivieng excessive numbers of notifications, causing the employee becoming ill. The original fine of EUR 2,000 was reduced to EUR 1,200 due to immediate payment and admission of responsi

Een boete van 15.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft Tensa Art Design S.A. een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft contact opgenomen met personen voor direct marketingdoeleinden zonder toestemming. Bovendien heeft de verantwoordelijke partij niet adequaat gereageerd op een verzoek van de betrokkene om gebruik te maken van hun rechten.

€15,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 15,000 on Tensa Art Design S.A. The controller contacted a data for direct marketing purposes without consent. The controller also failed to adequately respond to a request from the data subject to exercise their rights.

Een boete van 120.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan BANCO BILBAO VIZCAYA ARGENTARIA, S.A. Een klant van de bank had een klacht ingediend bij de DPA, omdat de bank een formulier voor gegevensbescherming voor hen en hun partner had ondertekend zonder hun toestemming. De oorspronkelijke boete van 200.000 euro is verlaagd tot 120.000 euro vanwege een vrijwillige betaling en het erkennen van de verantwoordelijkheid.

€120,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on BANCO BILBAO VIZCAYA ARGENTARIA, S.A. A customer of the bank had lodged a complaint with the DPA because the controller had signed a data protection form for them and their spouse without their consent. The original fine of EUR 200,000 was reduced to EUR 120,000 due to voluntary payment and admission of responsibility.

€21,600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed fine on SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L. The controller offers fitness courses which are recorded and published. The consent obtained for the processing does not meet the legal standards. Additionally the controller does not limit the retention period of the data.. The original fine of EUR 36,000 was reduced to EUR 21,600 due to immediate payment and admission of responsibility by the controller.

Een boete van 21.600 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L. De verantwoordelijke biedt fitnesscursussen aan die worden opgenomen en gepubliceerd. De toestemming die is verkregen voor de verwerking voldoet niet aan de wettelijke eisen. Bovendien beperkt de verantwoordelijke de bewaartermijn van de gegevens niet. De oorspronkelijke boete van 36.000 euro is verlaagd tot 21.600 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke.

€18,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA imposed fines on 3 companies which ammount to EUR 6,000 each. The fined companies (Powerfit s.s.d.a.r.l., Soleo s.s.d.a.r.l. and Zero Due Villa s.s.d.a.r.l.) run a chain of gyms. The controllers used the phone numbers of customers for direct marketing purposes without the consent of the data subjects. The controllers also failed to respond to respect the data subjects right to deletion.

Een boete van €18.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft drie bedrijven een boete opgelegd, elk van € 6.000. De bedrijven (Powerfit s.s.d.a.r.l., Soleo s.s.d.a.r.l. en Zero Due Villa s.s.d.a.r.l.) exploiteren een keten van sportscholen. De bedrijven hebben de telefoonnummers van klanten gebruikt voor direct marketingdoeleinden zonder de toestemming van de betrokkenen. Bovendien hebben de bedrijven niet gereageerd op verzoeken om gegevens te verwijderen, waarmee ze het recht van de betrokkenen op verwijdering schenden.

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on ONE UNITED PROPERTIES S.A. The controller contacted a data subject multiple times for direct marketing purposes without consent. The controller also failed to adequately respond to a request from the data subject to exercise their rights.

€2,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA imposed a fine of EUR 2,000 on l’Istituto Alberghiero Mediterraneo di Pulsano. The controller, a school, published a christmas video on the video platform YouTube, which included some minor pupils without the consent of their parents.

€13,400 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA fined Polskie Radio Szczecin (Polish Radio Szczecin) EUR 13,400. Due to the lack of sufficient technical measures, Polskie Radio Szczecin failed to protect the rights of individuals featured in its publications. As a result, there was a risk that information concerning the private life of individuals would be published without their consent. As an example, the DPA cited a case in which a journalist from Polskie Radio Szczecin disclosed that the minor child of a MP (who does not pa

€200,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 200,000 on Vodafone España, S.A.U.. A person had filed a complaint with the DPA because the company had given a duplicate of their SIM card to an unauthorized fraudulent third party without their consent. During its investigation, the DPA found that the company failed to verify the identity of the third party or obtain the data subject's consent to share their data. This allowed the fraudsters to gain access to the data subject's bank account and make un

€200,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 200,000 on Vodafone España, S.A.U.. A person had filed a complaint with the DPA because the company had given a duplicate of their SIM card to an unauthorized fraudulent third party without their consent. During its investigation, the DPA found that the company failed to verify the identity of the third party or obtain the data subject's consent to share their data. This allowed the fraudsters to gain access to the data subject's bank account and make un

€500,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 500,000 on MARINA SALUD, S.A. Marina Salud, acting as a processor for a health authority, engaged sub-processors without obtaining the health authority’s prior consent.

€1,200,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,200,000 on ORANGE ESPAGNE, S.A.U.. An individual had filed a complaint with the DPA because the company had given a duplicate of their SIM card to an unauthorized fraudulent third party without their consent. During its investigation, the DPA found that the company failed to verify the identity of the third party or obtain the data subject's consent to share their data. This allowed the fraudsters to gain access to the data subject's bank account.