Enforcement

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft een boete van 2.000 euro opgelegd aan de Roemeense vereniging van algemene verpleegkundigen, verloskundigen en medische assistenten, afdeling Neamt. De verantwoordelijke partij heeft videobewaking gebruikt op een manier die niet in overeenstemming is met de Algemene Verordening Gegevensbescherming (AVG).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft RISING SUN CAR RENTAL S.L. een boete van 3.600 euro opgelegd. De verantwoordelijke partij gebruikte videobewaking om de veiligheid op haar locatie te waarborgen, maar dit omvatte meer gebieden dan noodzakelijk was voor dit doel. Bovendien heeft de verantwoordelijke partij geen borden geplaatst om betrokkenen te informeren over de videobewaking. De oorspronkelijke boete van 6.000 euro is verlaagd tot 3.600 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€4,500,000 fine - Croatian Data Protection Authority (azop)

Following an ex officio investigation, AZOP imposed a EUR 4.5 million fine on a telecommunications operator for multiple GDPR infringements. The controller transferred customer personal data to a processor in the Republic of Serbia (a group company maintaining software). Transfers had been based on Standard Contractual Clauses (SCCs) from 16 April 2020 until at the latest 27 December 2022; after that date, transfers continued without SCCs or equivalent safeguards, despite Serbia lacking an adequ

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

800 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SOBLADA RESTAURACIÓN, S.L. een boete van 800 euro opgelegd. De verantwoordelijke partij heeft videobewaking geïnstalleerd zonder de vereiste informatieborden te plaatsen of haar werknemers te informeren. De oorspronkelijke boete van 1.000 euro is verlaagd tot 800 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 2.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete van 2.000 euro opgelegd aan de ASOCIACIÓN NACIONAL DE TASADORES Y PERITOS JUDICIALES INFORMÁTICOS. De verantwoordelijke partij heeft een gerechtelijke uitspraak gepubliceerd die persoonlijke gegevens van een betrokkene bevatte. Toen de betrokkene probeerde gebruik te maken van zijn rechten, reageerde de verantwoordelijke partij niet adequaat op het verzoek.

Een boete van 6.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Orte een boete van 6.000 euro opgelegd. De gemeente heeft videobewaking geïnstalleerd op haar grondgebied op een manier die niet in overeenstemming is met de basisprincipes van gegevensverwerking.

Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Curtarolo een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft beelden van bewakingscamera's gebruikt in een tuchtprocedure tegen een werknemer, en heeft ook andere werknemers opgedragen om deze werknemer te bespioneren, foto's en video's van hem te maken.

492.000 euro boete - Autoriteit voor gegevensbescherming van Hamburg (HmbBfDI).

De Duitse beschermingsautoriteit (DPA) van Hamburg heeft een bedrijf in de financiële sector een boete van 492.000 euro opgelegd. Het bedrijf gebruikte geautomatiseerde systemen om te beslissen of een kredietaanvraag moest worden goedgekeurd, zonder enige menselijke tussenkomst. Dit systeem weigerde ten onrechte aanvragen van mensen met een goede kredietscore. Toen men om uitleg werd gevraagd over de negatieve beslissing, reageerde het bedrijf ook niet adequaat op deze verzoeken om informatie.

600 euro boete - Oostenrijkse Autoriteit voor Gegevensbescherming (dsb).

De Oostenrijkse gegevensbeschermingsautoriteit heeft een boete van 600 euro opgelegd aan de eigenaar van een Tesla-auto. De auto was uitgerust met zeven camera's die beelden maakten tijdens het gebruik en terwijl de auto geparkeerd stond, met als doel mogelijke bedreigingen te detecteren. Het systeem voor het detecteren van bedreigingen zorgde er echter voor dat de auto beelden maakte van mensen die geen bedreiging vormden en dus zonder reden werden gefilmd. Bovendien waren de betrokkenen niet geïnformeerd over het feit dat er gefilmd werd.

Een boete van €1.000 - Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 1.000 euro opgelegd aan Green.mec. s.r.l. Het bedrijf heeft niet adequaat gereageerd op het verzoek van een voormalig werknemer om gebruik te maken van zijn rechten met betrekking tot zijn persoonsgegevens.

Een boete van €3.960 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse beschermingsautoriteit (DPA) heeft de gemeente Pazzano een boete van 3.960 euro opgelegd. De verantwoordelijke instantie heeft niet voldaan aan een eerder gegeven instructie van de DPA.

Een boete van 6.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een bedrijf een boete van 6.000 euro opgelegd. Het bedrijf maakte gebruik van videobewaking op haar locaties, maar plaatste geen adequate waarschuwingsborden om betrokkenen te informeren over de verwerking van hun gegevens.

Een boete van 2.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan GESTIÓN DE VENTAS IBERIA S.L. De verantwoordelijke partij heeft een betrokkene benaderd voor direct marketingdoeleinden, waarmee lokale wetgeving is overtreden. Bovendien heeft de verantwoordelijke partij de betrokkene niet geïnformeerd over hoe hun gegevens waren verkregen.

Een boete van 300 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft een boete van 300 euro opgelegd aan een rijschool. De verantwoordelijke partij had cameratoezicht geïnstalleerd, maar heeft de betrokkenen niet voldoende geïnformeerd over de verwerking van hun gegevens. De oorspronkelijke boete van 500 euro is verlaagd tot 300 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

1.200 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.200 euro opgelegd aan TRUEBA SPORT S.L. De verantwoordelijke partij heeft persoonlijke gegevens onthuld als gevolg van een menselijke fout. Bovendien heeft de verantwoordelijke partij geen privacyverklaring op haar website geplaatst. De oorspronkelijke boete van 2.000 euro is verlaagd tot 1.200 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 24.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft COLEGIO VIRGEN DE EUROPA, S.L. een boete van 24.000 euro opgelegd. Een medewerker van de verantwoordelijke, een school, heeft foto's gemaakt van minderjarige leerlingen zonder voldoende wettelijke basis en zonder de betrokkenen of hun wettelijke vertegenwoordigers te informeren. De oorspronkelijke boete van 40.000 euro is verlaagd tot 24.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke.

22.000 euro boete - Noorse Toezichtsautoriteit (Datatilsynet).

De Noorse Autoriteit Persoonsgegevens heeft de gemeente Kristiansand een boete van 22.000 euro opgelegd. De instantie biedt een hulplijn voor kinderen die slachtoffer zijn geworden van geweld, misbruik of verwaarlozing. De website van de hulplijn maakt gebruik van trackingpixels, waardoor de aanbieders van die pixels toegang krijgen tot persoonlijke gegevens van de betrokkenen zonder voldoende wettelijke basis.

Een boete van €12.000 - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 12.000 euro opgelegd aan Data Diggers Market Research SRL. De verantwoordelijke partij heeft persoonsgegevens verwerkt zonder voldoende wettelijke basis. Bovendien heeft de verantwoordelijke partij de betrokkenen niet voorzien van de noodzakelijke informatie over de gegevensverwerking. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op verzoeken van betrokkenen om hun rechten uit te oefenen.

Een boete van 6.600 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan de eigenaar van een apotheek. De verantwoordelijke partij heeft gegevens van bewoners van verzorgingstehuizen verwerkt zonder een voldoende wettelijke basis. Bovendien heeft de verantwoordelijke partij de betrokkenen niet geïnformeerd over het feit dat hun gegevens werden verwerkt en dat de gegevens van een derde partij waren verkregen. Ten slotte heeft de verantwoordelijke partij geen gebruik gemaakt van versleutelde e-mailservices. Door erkenning en onmiddellijke betaling is de boete verlaagd naar 6.600 euro. De oorspronkelijke boete was...

530.000.000 euro boete - Ierse Autoriteit voor Gegevensbescherming.

De Ierse Autoriteit Persoonsgegevens (DPA) heeft TikTok een boete van 530 miljoen euro opgelegd. In haar beslissing stelde de DPA vast dat TikTok artikel 13 (1) f) en artikel 46 (1) van de AVG heeft overtreden, vanwege de onrechtmatige overdracht en opslag van persoonlijke gegevens van gebruikers in de EER op servers in China. TikTok kon niet aantonen, garanderen of bewijzen dat de aanvullende maatregelen en de standaardcontractuele clausules effectief waren om ervoor te zorgen dat de gegevens een beschermingsniveau boden dat gelijkwaardig is aan het beschermingsniveau dat is gegarandeerd.

Een boete van 20.000 euro - De Belgische Autoriteit voor gegevensbescherming (APD).

De Belgische autoriteit voor gegevensbescherming heeft een bedrijf een boete van 20.000 euro opgelegd. Het bedrijf is verantwoordelijk voor de verwerking van persoonsgegevens en is actief in direct marketing. Tijdens deze activiteiten heeft het bedrijf niet voldaan aan verschillende principes van gegevensverwerking. Met name had het bedrijf geen voldoende juridische basis voor de gegevensverwerking, heeft het de betrokkenen niet geïnformeerd en heeft het geen informatie verstrekt die rechtmatig was opgevraagd.

Een boete van 260.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft CAMERDATA, S.A. een boete van 260.000 euro opgelegd. Het bedrijf beheert een database waarin het gegevens verzamelt over individuele ondernemers van de Spaanse Kamer van Koophandel, Industrie, Diensten en Transport, met als doel deze gegevens aan derden te verkopen. De DPA heeft geconstateerd dat er geen voldoende juridische basis was voor de verwerking die door het bedrijf werd uitgevoerd. Bovendien heeft het bedrijf de betrokkenen niet geïnformeerd over de verwerking.

Een boete van €5.000 - Hellenic Data Protection Authority (HDPA).

De Griekse autoriteit voor gegevensbescherming heeft een gynaecoloog een boete van 5.000 euro opgelegd. De arts heeft niet volledig aan een informatieverzoek van een patiënt voldaan.

12.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan ESTUDIO ALCAZAR DEL GENIL 2022, S.L. De verantwoordelijke partij verzamelde gegevens over onroerend goed door haar medewerkers te laten bezoeken en foto's te maken van de panden, inclusief de naam op de brievenbus. De verantwoordelijke partij had geen voldoende juridische basis voor het verzamelen van deze gegevens en heeft de betrokkenen niet geïnformeerd over de gegevensverwerking. De oorspronkelijke boete van 20.000 euro is verlaagd tot 12.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 4.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.500 euro opgelegd aan het Istituto di Istruzione Superiore 'P. Galluppi' in Tropea. De verantwoordelijke partij heeft biometrische gegevens van haar werknemers verwerkt om hun werktijden te controleren. Volgens de DPA was de verwerking zodanig ingericht dat deze niet in overeenstemming was met de beginselen van rechtmatigheid, eerlijkheid en transparantie, en ontbrak er een voldoende juridische basis.

€4,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2,500 on the Istituto di Istruzione Superiore 'P. Galluppi' Tropea. The controller processed biometric data of its employees to control their work hours. The processing was designed in a way that, according to the DPA, did not comply with the principles of lawfulness, fairness and transparency and lacked a sufficient legal basis.

4.000 euro boete - Kroatische Autoriteit voor Gegevensbescherming (AZOP).

De Kroatische beschermingsautoriteit (AZOP) heeft een ziekenhuis een boete van 4.000 euro opgelegd. De AZOP heeft vastgesteld dat het ziekenhuis een bedrijf gebruikte dat automatisch persoonlijke gegevens van autobezitters ophaalde via de webdienst van het Ministerie van Binnenlandse Zaken, zonder daar een wettelijke basis voor te hebben, om parkeerboetes aan autobezitters te sturen. Bovendien heeft het ziekenhuis parkeergebruikers niet op een transparante en in overeenstemming met de wettelijke vereisten geïnformeerd over de verwerking van hun persoonlijke gegevens met betrekking tot parkeerkosten. Verder...

Een boete van 40.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

De Kroatische gegevensbeschermingsautoriteit (AZOP) heeft een bedrijf een boete van 40.000 euro opgelegd omdat het persoonlijke gegevens van zelfstandigen op zijn website heeft gepubliceerd. De gegevens waren afkomstig van openbare bronnen en van het financiële agentschap FINA. Hoewel de gegevens openbaar toegankelijk waren, oordeelde de autoriteit dat er geen geldige juridische basis was voor de publicatie. Bovendien heeft het bedrijf de betrokkenen niet geïnformeerd over de verwerking van hun gegevens en heeft het zijn verwerkingsactiviteiten niet correct gedocumenteerd. Een ander punt van zorg was dat...

€50,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA imposed a fine of EUR 50,000 on the Regional agency for development and services in agriculture (ARSAC). The controller processed geographic data of its employees without sufficient legal basis. The controller also failed to provide sufficient informations in its internal documents regarding the data procession, breached the basic principles of lawfullness, fairness, transparency and purpose limitation and failed to conduct a data protection impact assesement. The total sum of th

€15,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 15 million on OpenAI in connection with the operation of the generative AI chatbot “ChatGPT”. The DPA found that OpenAI had violated provisions of the GDPR, inter alia, by failing to notify the DPA of a data breach that occurred in 2023, by using users' personal data to train ChatGPT without providing a valid legal basis for such processing, and by violating the principle of transparency. Additionally, OpenAI did not implement age verification, potential

€2,385,276 fine - Lithuanian Data Protection Authority (VDAI)

The Lithuanian DPA has imposed a fine of EUR 2,385,276 on the second-hand online store 'Vinted'. The DPA initiated an investigation after the Polish and French DPAs forwarded complaints against the company. During its investigation, the DPA found that the company had not adequately processed deletion requests from data subjects as they had not provided specific reasons for their deletion request. It was also revealed that the company was unlawfully using 'shadow blocking' to remove users from th

€30,500,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has fined Clearview Al Inc. EUR 30,500,000. Clearview, a company offering facial recognition services, holds a database of over 30 billion images, including those of Dutch citizens. These images are scraped from publicly available online platforms, such as social media. Clearview uses these images to create biometric profiles, allowing individuals to be identified. During its investigation the DPA found that the personal data contained in the company's database had been processed u

€20,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 20,000 on a data controller operating in the gambling and betting sector. The data controller collected and processed personal data of data subjects through cookies without providing them the opportunity to give or withdraw consent for such processing in an informed and voluntary manner, violating Art. 6 (1) a) GDPR and Art. 7 GDPR. In cases where personal data processing relies on consent and serves multiple purposes, the consent mechanism, such

€15,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 15,000 on a data controller operating in the gambling and betting sector. The data controller collected and processed personal data of data subjects through cookies without providing them the opportunity to give or withdraw consent for such processing in an informed and voluntary manner, violating Art. 6 (1) a) GDPR and Art. 7 GDPR. In cases where personal data processing relies on consent and serves multiple purposes, the consent mechanism, such

€32,000,000 fine - French Data Protection Authority (CNIL)

The French DPA (CNIL) has imposed a fine of EUR 32 million on AMAZON FRANCE LOGISTIQUE for unlawful surveillance of employees. CNIL found that Amazon France equips its warehouse employees with a scanner to document certain tasks. Each scan records data that is stored and can be used to calculate a series of indicators that provide information on the productivity of each employee. The CNIL considered the establishment of a system that measures interruptions in activity with precision and potentia

€7,500 fine - Slovak Data Protection Office

The Slovak DPA has imposed a fine of EUR 7,500 on an unknown controller. The controller violated the principle of lawfulness, the principle of transparency and the principle of accountability.

€5,500,000 fine - Data Protection Authority of Ireland

The Irish DPA (DPC) has fined WhatsApp Ireland Ltd. EUR 5.5 million. The Austrian organization 'None of Your Business' (NOYB) had filed a complaint with the DPA on behalf of an individual. WhatsApp had updated its terms of service shortly before the GDPR came into force. In its new terms of service, WhatsApp informed its users to click 'Agree and Continue' to indicate their agreement with the new terms of service. This was required for further access to the services. WhatsApp assumed that the ac

€390,000,000 fine - Data Protection Authority of Ireland

The Irish DPA (DPC) has fined Meta Platforms Ireland Limited EUR 390 million. The DPA has imposed a fine of EUR 210 million for violations related to the provision of its Facebook service and EUR 180 million for violations related to the provision of its Instagram service. The Austrian organization 'None of Your Business' (NOYB) had filed a complaint with the DPA on behalf of two individuals. Meta had updated its terms of service shortly before the GDPR came into force. In its new terms of servi

€5,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has fined the Association for the prevention and study of crimes, abuses and negligence in information technology and advanced communications (APEDANICA) EUR 5,000. Employees of the company LEGAL ERASER SL had filed a complaint with the DPA. The controller had requested information about LEGAL ERASER from the DPA as part of the right to information based on the Spanish Transparency Act. The controller then published the documents, some of which contained personal data of LEGAL ER

€20,000,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 20,000,000 on Clearview AI Inc. The non-profit organization 'Homos Digitalis' had filed a complaint with the DPA on behalf of the data subject. The company holds a database of more than 20 billion facial images (including those of greek residents and nationals) from around the world. The data is collected online from publicly accessible platforms such as social networks. The company offers a search service that allows individuals be identified based on

€45,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 45,000 on Senseonics Inc. The company had reported a data breach to the DPA pursuant to Art. 33 GDPR, involving an employee accidentally sending an information campaign by email to a large number of recipients in an open distribution list. This made it possible for all recipients to view the email addresses of the other recipients. The recipients of the e-mails were diabetic patients, making it possible to obtain information about the health status of th

€9,000,000 fine - Information Commissioner (ICO)

The UK DPA has fined Clearview AI Inc. EUR 9 million. The company holds a database of more than 20 billion facial images (including those of UK residents and nationals) from around the world. The data is collected online from publicly accessible platforms such as social networks. The company offers a search service that allows individuals be identified based on the biometric data extracted from the images. Individuals' profiles can be enriched with information associated with those images, such

€1,900,000 fine - Data Protection Authority of Bremen

The DPA of Bremen has imposed a fine of EUR 1.9 million on the housing association BREBAU GmbH. BREBAU GmbH had processed upwards of 9,500 datasets about potential tenants without a valid legal basis. In particular, the DPA found that the controller had processed particularly sensitive data as defined by Art. 9 GDPR. For example, the controller unlawfully processed information about the skin color, ethnic origin, religious affiliation, sexual orientation and health status of the data subjects. B

€20,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined U.S.-based Clearview AI EUR 20 million after it was revealed that the company had been applying biometric surveillance techniques on Italian territory. The company owns a database of over 10 billion facial images from around the world. The company offers a search service that allows profiles to be created based on the biometric data extracted from the images. The profiles can be enriched with information associated with these images, such as image tags and geolocation.

Belgian Data Protection Authority (APD)

The Belgian DPA has imposed a fine of EUR 250,000 on IAB Europe. The DPA had received several complaints against IAB Europe since 2019. In the context of this complaint, the compliance of the 'Transparency & Consent Framework (TCF)' with the GDPR was mainly questioned. The TCF was developed by IAB to promote compliance with the GDPR by organizations using the OpenRTB protocol. The OpenRTB protocol is a protocol for 'real-time bidding,' which is the automated online auction of user profiles for t

€1,200 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has fined a researcher EUR 1,200. The fine was issued in connection with another fine against the NGO EU DisinfoLab. The researcher was employed at the NGO. In 2018, the NGO published an analysis to identify the possible political origin of tweets circulating on a particularly heated controversy in France, the 'Benalla affair.' For the analysis, the organization had processed the data of 55,000 Twitter accounts, of which more than 3,300 had been classified as political. The raw d

€2,800 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has fined the NGO EU DisinfoLab EUR 2,700. In 2018, the NGO published an analysis to identify the possible political origin of tweets circulating on a particularly heated controversy in France, the 'Benalla affair.' For the analysis, the organization had processed the data of 55,000 Twitter accounts, of which more than 3,300 had been classified as political. The raw data obtained from this was then published without taking minimal security precautions, such as pseudonymizing the

€100,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 100,000 on Ubi Banca spa (now Intesa Sanpaolo spa). A data subject had filed a complaint with the DPA for receiving a letter from the controller, with the envelope stating 'anomalous credit Chieti'. However, the letter did not contain payment reminders but only information about the transparency of banking and financial services. For this reason, the DPA found that the controller had violated the principles of lawfulness and transparency as well as the p