Enforcement

€1,200 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,200 on a dental clinic. The controller used video surveillance in its clinic for security purposes, including a camera in the doctor's office where patients were treated. This resulted in excessive data processing. The original fine of EUR 2,000 was reduced to EUR 1,200 due to immediate payment and admission of responsibility by the controller.

€21,650 fine - Norwegian Supervisory Authority (Datatilsynet)

The Norwegian DPA has imposed a fine of EUR 21,650 on Timegrip AS. The controller had been tracking the working hours of employees at a company that went bankrupt. A former employee requested that the controller send the working hours to the data subject so that they could claim their unpaid wages from the bankruptcy estate. Furthermore, the bankruptcy estate itself requested the data, but the controller refused to send it to them.

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on a Fire Brigade Head Quarter. The controller had stored health data of an employee which had been in relation with her sick leave. The controller stored every detail of the medical condition, treatment and other related data. The ammount of data processed had not been necessary for the purpose and therefore no legal basis.

€9,600 fine - Spanish Data Protection Authority (aepd)

A restaurant wanted to impose disciplinary sanctions on an employee using images from a mobile phone video which was recorded by another employee in the restaurant for evidence purposes. The initial fine of EUR 12.000 was reduced to EUR 9.600.

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on the Order of General Nurses, Midwives and Medical Assistants of Romania – Neamt Branch. The controller used video surveillance in a manner that was not in accordance with the GDPR.

€40,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 40,000 on Anticimex s.r.l. Following termination of employment, the former employer requested to exercise his rights. The controller failed to respond within the required timeframe. Furthermore, the controller conducted a forensic analysis of the former employee's email account to check for any violations of the non-competition agreement.

€120,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 120,000 on Pioneer Hi-Bred Italia Sementi s.r.l. The controller installed satellite telematics tracking devices to monitor driving behaviour and provide drivers with scores.

€40,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 40,000 on LTL S.p.A. The controller failed to respond within the legal time period to a request by a former employee to exercise their rights. Additionally, the controller forwarded emails received by the former employee's email account to another company account for two months after termination of employment.

€75,474 fine - Slovenian Supervisory Authority (Informacijski pooblaščenec)

The Slovenian DPA has imposed a fine of EUR 75,474 on a legal entity. Without a sufficient legal basis, the controller installed software on an employee's work computer which allowed them to monitor all of the employee's activity on that computer, including private activity. The software also allowed the controller to monitor private communications via Facebook or email, as well as audio conversations. The entity was fined EUR 71,474, and the person responsible was fined EUR 4,000.

€1,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 1,000 on 'Principe Umberto di Savoia' State Scientific and Linguistic High School. The controller processed the personal data of employees in relation to their employment, including medical data such as sick leave due to serious illness. The controller failed to introduce sufficient technical and organisational measures, resulting in employees gaining unauthorised access to personal data. The processor also failed to adequately inform data subjects regar

€2,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2,000 on Istituto Comprensivo Centro di Casalecchio di Reno. The controller published a ranking of its teachers on its website without a sufficient legal basis.

€3,600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 3,600 on DELAFRUIT, S.L. The controller installed video surveillance in the staff break area and dining room, but did not put up the necessary information signs. The original fine of EUR 6,000 was reduced to EUR 3,600 due to immediate payment and admission of responsibility by the controller.

€6,600 fine - Slovenian Supervisory Authority (Informacijski pooblaščenec)

The Slovenian DPA has imposed a fine of EUR 6,600 on a legal entity. The controller used GPS trackers to systematically and indiscriminately monitor its employees' activities without sufficient legal basis. The entity was fined EUR 6,000, and the person responsible was fined EUR 600.

€4,500,000 fine - Croatian Data Protection Authority (azop)

Following an ex officio investigation, AZOP imposed a EUR 4.5 million fine on a telecommunications operator for multiple GDPR infringements. The controller transferred customer personal data to a processor in the Republic of Serbia (a group company maintaining software). Transfers had been based on Standard Contractual Clauses (SCCs) from 16 April 2020 until at the latest 27 December 2022; after that date, transfers continued without SCCs or equivalent safeguards, despite Serbia lacking an adequ

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

800 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SOBLADA RESTAURACIÓN, S.L. een boete van 800 euro opgelegd. De verantwoordelijke partij heeft videobewaking geïnstalleerd zonder de vereiste informatieborden te plaatsen of haar werknemers te informeren. De oorspronkelijke boete van 1.000 euro is verlaagd tot 800 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€1,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 1,000 on a Company. The controller failed to react adequately to a data subject's request to exercise their rights.

€15,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 15,000 on the Comune di Curtarolo. The controller used surveillance footage in disciplinary proceedings against an employee, and also ordered other employees to spy on the employee in question and take pictures and videos of them.

Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Curtarolo een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft beelden van bewakingscamera's gebruikt in een tuchtprocedure tegen een werknemer, en heeft ook andere werknemers opgedragen om deze werknemer te bespioneren, foto's en video's van hem te maken.

Boete van €10.000 - Griekse Autoriteit voor Gegevensbescherming (HDPA).

De Griekse Autoriteit Persoonsgegevens (DPA) heeft de gemeente Moschato–Tavros een boete van 10.000 euro opgelegd. De verantwoordelijke partij heeft een videobewakingssysteem geïnstalleerd in een depot om gemeentelijke voertuigen te beschermen. Echter, de verantwoordelijke partij heeft tijdens de ontwerpfase nagelaten ervoor te zorgen dat de camera's alleen de noodzakelijke gegevens verwerkten. Bovendien hebben ze hun werknemers niet voldoende geïnformeerd en de verwerkingen niet adequaat vastgelegd.

€3,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 3,000 on the Comuni di Isola del Gran Sasso. The controller published a resolution on its institutional website which included the personal data of an employee, including information relating to criminal proceedings against said employee. The controller also failed to adequately respond to a request by the data subject to exercise their rights.

€1,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 1,000 on Green.mec. s.r.l. The controller failed to adequately respond to a former employee's request to exercise their data subject rights.

€840 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 840 on SERVACE S.L. The controller used its employees' private email addresses for internal communication. The original fine of EUR 1,400 was reduced to EUR 840 due to immediate payment and admission of responsibility by the controller.

Een boete van 840 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft SERVACE S.L. een boete van 840 euro opgelegd. De verantwoordelijke partij had de privé-e-mailadressen van haar werknemers gebruikt voor interne communicatie. De oorspronkelijke boete van 1.400 euro is verlaagd naar 840 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 100.000 euro - van de Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming (CNIL) heeft SAMARITAINE SAS een boete van 100.000 euro opgelegd. Na meerdere gevallen van diefstal heeft de verantwoordelijke partij beveiligingscamera's geïnstalleerd, vermomd als rookmelders, om haar werknemers te controleren. Deze camera's werden geïnstalleerd zonder overleg met de functionaris voor gegevensbescherming (FG) en buiten het bestaande bewakingssysteem. Nadat de "testcamera's" waren verwijderd, hebben werknemers SD-kaarten bewaard waarop de beelden waren opgeslagen, wat een datalek vormde. Deze datalek is niet gemeld aan de autoriteit voor gegevensbescherming.

€8,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 8,000 on Migliarino San Rossore Massaciuccoli Regional Park Authority. The controller published personal data of a job applicant on its website.

€18,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 18,000 on the Comune di Nichelino. The controller published the sensitive personal data of a former employee, including the decision to terminate their full-time employment, on its website without a sufficient legal basis.

€1,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 1,000 on Giada FM S.r.l. The controller failed to provide an employee with requested certificates.

Een boete van €12.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft het Ministerie van Binnenlandse Zaken een boete van 12.000 euro opgelegd. Tijdens de Covid-19-pandemie publiceerde de verantwoordelijke instantie een lijst met de namen en vaccinatiestatus van werknemers in een interne Telegram-groep met ongeveer 260 leden.

€5,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 5,000 on Unita Turism Holding S.A. The controller did not implement adequate technical and organisational measures to ensure cybersecurity, resulting in a successful cyberattack.

Een boete van 33.500 euro - van de Oostenrijkse Autoriteit voor Gegevensbescherming (DSB).

De Oostenrijkse gegevensbeschermingsautoriteit heeft een bakkerijketen een boete van 33.500 euro opgelegd. De onderneming maakte gebruik van videobewaking die zowel openbare ruimtes als ruimtes die uitsluitend voor werknemers waren bestemd, omvatte. De camera's waren geïnstalleerd en gebruikt op een manier die niet in overeenstemming was met het principe van dataminimalisatie en was niet gebaseerd op een voldoende juridische basis. Bovendien werden beelden van de videobewaking via een berichtenplatform verspreid.

€4,400 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4,400 on an Entrepreneur. The controller failed to adequatly react to a request from the DPA.

Een boete van €10.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft SATI S.p.A. een boete van 10.000 euro opgelegd. Informatie over de redenen van afwezigheid van werknemers werd weergegeven op borden en in e-mails, die alleen toegankelijk waren voor de werknemers van de verantwoordelijke partij.

€10,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 10,000 on SATI S.p.A. Information about the reasons for employees' absences was displayed on boards and in emails, which were accessible only to employees of the controller.

€3,955,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 3,955,000 on McDonald’s Polska Sp. z o.o. The controller used a third party processor (see ETid: 2758) for the purpose of managing work scheduals. The controller failed to ensure, that the processor implemented sufficient technical and organisational measures to ensure data security, resulting in a data breach. Additionally the controller failed to ensure, that only necessary data had been processed and the controller also did not adequatly involve the DP

€43,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 43,000 on 24/7 Communication Sp. z o.o. The fined entity acted as the data processor for McDonald’s Polska Sp. z o.o. (see ETid: 2757). The processor failed to implement sufficient technical and organisational measures to ensure data security, resulting in a data breach. The controller additionally infringed the principle of data minimisation and failed to adequately involve the DPO in relevant activities.

Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan Magna PT S.p.A. Medewerkers van de verantwoordelijke organisatie werden na hun terugkeer van een periode van ziekte of ziekenhuisopname onderworpen aan "terugkeergesprekken". Deze gesprekken hadden onvoldoende juridische basis, met name met betrekking tot de verwerking van gezondheidsgegevens. Bovendien heeft de verantwoordelijke organisatie de betrokkenen niet voldoende geïnformeerd over de verwerking. Verder heeft de verantwoordelijke organisatie nagelaten om de hoeveelheid verwerkte gegevens te minimaliseren en de bewaartermijn te beperken.

€8,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 8,000 on Università degli Studi di Cassino e del Lazio Meridionale. The controller failed to delete a former employee's email address within a reasonable timeframe, and also failed to adequately respond to the former employee's request to delete his data.

€50,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine on Magna PT S.p.A. Employees of the controllers were subjected to 'return to work interviews' after returning from an absence due to illness or hospitalisation. These interviews lacked a sufficient legal basis, particularly with regard to the processing of health data. Additionally, the controller failed to adequately inform the data subjects regarding the processing. Furthermore, the controller failed to minimise the amount of data processed and the retention

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 3,000 on SC Piramida Trade Invest SRL. The controller processed personal data without a sufficient legal basis and without sufficient technical and organisational measures to ensure data security. The controller also failed to properly react to a request to exercise data subject rights.

€21,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 21,000 on ALVEA SOLUCIONES TECNOLÓGICAS, S.L. The controller processed job applicants' data using publicly accessible Google Forms. The original fine of EUR 35,000 was reduced to EUR 21,000 due to immediate payment and admission of responsibility by the controller.

€42,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 42,000 on LVMH IBERIA, S.L. The controller added the private phone number of an employee to an workrelated WhatApp group without a legal basis. The original fine of EUR 70,000 was reduced to EUR 42,000 due to immediate payment and admission of responsibility by the controller.

Een boete van 420.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft Autostrade per l’Italia S.p.A. een boete van 420.000 euro opgelegd. De verantwoordelijke partij heeft gegevens uit de sociale media-profielen van een werknemer gebruikt, gegevens die door andere werknemers en een derde partij waren verzameld, in een tuchtprocedure. De verantwoordelijke partij had geen wettelijke basis om deze gegevens te gebruiken.

€420,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 420,000 on Autostrade per l’Italia S.p.A. The controller used data from a worker's social media profiles obtained by other workers and a third party in a disciplinary proceeding. The controller did not have a legal basis to use this data.

€100,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 100,000 on PLATAFORMA CABANILLAS SA. The controller is requesting criminal record certificates from potential employees before inviting them to a job interview. This infringes the principle of data minimisation.

Een boete van 100.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft PLATAFORMA CABANILLAS SA een boete van 100.000 euro opgelegd. Het bedrijf vraagt potentiële werknemers om een uittreksel uit het strafregister voordat ze worden uitgenodigd voor een sollicitatiegesprek. Dit schendt het principe van dataminimalisatie.

Een boete van 5.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft ROUMASPORT SRL een boete van 5.000 euro opgelegd. De verantwoordelijke partij heeft toegang verkregen tot bewakingscamera's om haar werknemers te controleren, zonder een voldoende juridische basis. De verantwoordelijke partij heeft de gegevens ook gebruikt voor disciplinaire doeleinden.

€5,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 5,000 on ROUMASPORT SRL. The controller accessed surveillance cameras to monitor its employees without a sufficient legal basis. The controller also used the data for disciplinary purposes.

Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft de regio Lombardije een boete van 50.000 euro opgelegd. De verantwoordelijke partij heeft de internetactiviteiten van haar werknemers, inclusief privéactiviteiten, gevolgd zonder een voldoende juridische basis.

€50,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA imposed a fine of EUR 50,000 on the Regione Lombardia. The controller tracked its employees' browser activities, including private ones, without a sufficient legal basis.