Enforcement

18.500 euro boete - Poolse nationale autoriteit voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 18.500 euro opgelegd aan de regionale politie van Krakau. De autoriteit heeft persoonlijke gegevens, waaronder medische gegevens, van een betrokkene gepubliceerd die betrokken was bij een politieonderzoek. Deze publicatie was niet noodzakelijk voor het beoogde doel.

€18,500 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposd a fine of EUR 18,500 on the Komendanta Miejskiego Policji w Krakowie. The controller published personal data, including health data, of a data subject that had been involved in a police investigation, which was not necessary for the purpose of the publication.

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on a Fire Brigade Head Quarter. The controller had stored health data of an employee which had been in relation with her sick leave. The controller stored every detail of the medical condition, treatment and other related data. The ammount of data processed had not been necessary for the purpose and therefore no legal basis.

Een boete van 50.000 euro - van het Slowaakse databeschermingskantoor.

Aanvragen voor sociale uitkeringen van Slovakische burgers werden per post naar buitenlandse instanties verzonden. Deze post is onderweg verloren gegaan, waardoor de locatie van deze persoonlijke gegevens niet kon worden achterhaald.

€50,000 fine - Slovak Data Protection Office

Applications for social benefits from Slovak citizens were sent by post to foreign authorities. These were lost by post, with the result that the whereabouts of these personal data could not be clarified.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

€1,200,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,200,000 on IDCQ HOSPITALES Y SANIDAD, S.L.U. The controller offered MRI scans as part of its services, and patients could bring copies or originals of previous scans. However, the controller had established very strict return policies, resulting in data being deleted after a very short amount of time, and data subjects being unable to easily retrieve their data if they had brought it on physical data carriers. Furthermore, the controller only stored da

Een boete van 4.750 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 4750 euro opgelegd aan de Powiatowego Inspektora Sanitarnego in Policach. De verantwoordelijke partij heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat resulteerde in een datalek. Dit kwam doordat een werknemer een onversleutelde USB-stick met persoonlijke gezondheidsgegevens en gegevens over administratieve procedures heeft verloren.

€4,750 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4750 on the Powiatowego Inspektora Sanitarnego w Policach. The controller failed to implement adequate technical and organisational measures to ensure data security, which resulted in a data breach due to an employee loosing an unencrypted usb flash drive with personal health data and data regarding administrative proceedings.

€2,400 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,400 on AXARQUIA VELEZ DENTAL, S.L. The controller used video surveillance to ensure security at its facility, affecting more areas than were necessary for this purpose. The original fine of EUR 8,000 was reduced to EUR 2,400 due to immediate payment and admission of responsibility by the controller.

Een boete van 2.400 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft AXARQUIA VELEZ DENTAL, S.L. een boete van 2.400 euro opgelegd. De verantwoordelijke partij gebruikte videobewaking om de veiligheid op haar locatie te waarborgen, maar dit omvatte meer gebieden dan noodzakelijk was voor dit doel. De oorspronkelijke boete van 8.000 euro is verlaagd tot 2.400 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Een boete van 6.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft APARELLS ORTOPEDICS CURTO, S.L. een boete van 6.000 euro opgelegd. De verantwoordelijke partij was niet in staat om de gegevens te bewaren die nodig waren om de beschikbaarheid ervan te garanderen, wat resulteerde in het feit dat de verantwoordelijke partij niet adequaat kon reageren op een verzoek van een betrokkene om haar rechten uit te oefenen. De oorspronkelijke boete van 10.000 euro is verlaagd tot 6.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

€6,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 6,000 on APARELLS ORTOPEDICS CURTO, S.L. The controller was unable to retain the data it was required to ensure the availability of, which resulted in the controller being unable to adequately respond to a data subject's request to exercise her rights. The original fine of EUR 10,000 was reduced to EUR 6,000 due to immediate payment and admission of responsibility by the controller.

Boete van €9.450 - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een boete van 9.450 euro opgelegd aan een gynaecologisch centrum. Het bedrijf heeft een datalek gehad en heeft dit niet gemeld aan de functionaris voor gegevensbescherming.

€9,450 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 9,450 on a Gynecological Center. The controller sufferd a data breach and failed to report this to the DPO.

€1,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 1,000 on the Mayor of the Municipality of Calvi Risorta. The controller published citizens' health data during the Covid-19 pandemic without a sufficient legal basis.

Een boete van €1.000 - Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan de burgemeester van de gemeente Calvi Risorta. De verantwoordelijke partij heeft tijdens de Covid-19-pandemie de gezondheidsgegevens van burgers gepubliceerd zonder een voldoende juridische basis.

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on the Interprovincial Order of Medical Radiology Technicians and Technical Health Professions in Rehabilitation and Prevention of AQ - CH - PE - TE. The controller forwarded data without a sufficient legal basis and also failed to appoint a DPO.

Een boete van 6.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 6.000 euro opgelegd aan de Interprovinciale Orde van Medische Radiologie Technici en Technische Gezondheidsberoepen in Revalidatie en Preventie, actief in de regio's AQ, CH, PE en TE. De verantwoordelijke partij heeft gegevens doorgegeven zonder een voldoende juridische basis en heeft ook geen Functionaris Gegevensbescherming (FG) benoemd.

Boete van €10.000 - Griekse Autoriteit voor Gegevensbescherming (HDPA).

De Griekse Autoriteit Persoonsgegevens (DPA) heeft de gemeente Moschato–Tavros een boete van 10.000 euro opgelegd. De verantwoordelijke partij heeft een videobewakingssysteem geïnstalleerd in een depot om gemeentelijke voertuigen te beschermen. Echter, de verantwoordelijke partij heeft tijdens de ontwerpfase nagelaten ervoor te zorgen dat de camera's alleen de noodzakelijke gegevens verwerkten. Bovendien hebben ze hun werknemers niet voldoende geïnformeerd en de verwerkingen niet adequaat vastgelegd.

Een boete van 16.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de Orde van Verpleegkundigen van Pisa een boete van 16.000 euro opgelegd. De organisatie publiceert een lijst van alle professionals die onder hun verantwoordelijkheid vallen. Door een interne fout bevatte deze lijst de privéadressen van alle genoemde professionals.

€16,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 16,000 on the Order of Nursing Professions of Pisa. The controller is publishing a list of all professionals within their area of responsibility. Due to an internal error, this list included the private addresses of all the professionals listed.

600 euro boete - Oostenrijkse Autoriteit voor Gegevensbescherming (dsb).

De Oostenrijkse gegevensbeschermingsautoriteit heeft een boete van 600 euro opgelegd aan de eigenaar van een Tesla-auto. De auto was uitgerust met zeven camera's die beelden maakten tijdens het gebruik en terwijl de auto geparkeerd stond, met als doel mogelijke bedreigingen te detecteren. Het systeem voor het detecteren van bedreigingen zorgde er echter voor dat de auto beelden maakte van mensen die geen bedreiging vormden en dus zonder reden werden gefilmd. Bovendien waren de betrokkenen niet geïnformeerd over het feit dat er gefilmd werd.

1.000 euro boete - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan Dr. Max SRL. Het bedrijf heeft niet voldaan aan het verzoek van een betrokkene om hun persoonlijke gegevens te verwijderen.

€1,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 1,000 on Dr. Max SRL. The controller failed to comply with a data subject's request to delete their personal data.

€2,670 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 2,670 on an unkonwn company in the health care sector. The controller appointed its CEO as the DPO.

Een boete van 2.670 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een bedrijf in de gezondheidszorgsector een boete van 2.670 euro opgelegd. Het bedrijf heeft zijn CEO benoemd tot functionaris voor gegevensbescherming (DPO).

Een boete van 12.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 12.000 euro opgelegd aan Casa di Cura Città di Roma. De verantwoordelijke partij gebruikte software voor patiëntbeheer die gebruikers toegang gaf tot een buitensporige hoeveelheid patiëntgegevens.

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on the Municipality of Buccino. The controller published pictures of minors and people with mental health conditions in multiple Facebook posts without a sufficient legal basis. The controller also failed to adequately communicate the contact details of the DPO.

€12,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 12,000 on the Casa di Cura Città di Roma. The controller used patient management software that gave users access to excessive amounts of patient data.

1.000 euro boete - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft een boete van 1.000 euro opgelegd aan de organisatie "Order of Biochemists, Biologists and Chemists" in het Roemeense gezondheidszorgsysteem. De verantwoordelijke partij heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

€1,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 1,000 on the Order of Biochemists, Biologists and Chemists in the Romanian Health System. The controller failed to adequatly respond to a data subject's request to exercise his rights.

Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 2.000 euro opgelegd aan Linea Stampalibera Società Cooperativa r.l. De verantwoordelijke, die een nieuwssite exploiteert, heeft in een artikel te veel persoonlijke informatie vrijgegeven, waaronder medische gegevens. Dit schendt het principe van dataminimalisatie.

Een boete van €7.700 - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een boete van 7.700 euro opgelegd aan een particuliere zorginstelling. Deze instelling bood huisbezoeken van artsen aan als onderdeel van haar diensten. Om deze bezoeken te realiseren, gebruikten de artsen hun privéauto's en vervoerden patiëntendossiers in deze auto's. Echter, bij de risicoanalyse heeft de verantwoordelijke partij de mogelijkheid van autodiefstal niet meegenomen, wat resulteerde in de oplegging van een boete.

Een boete van 80.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 80.000 euro opgelegd aan het universitaire ziekenhuis Careggi. De verantwoordelijke, een universitair ziekenhuis, gebruikte software waarmee medisch personeel de medische dossiers van patiënten kon doorzoeken, zelfs als deze informatie niet relevant was voor de specifieke medische behandeling.

€2,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2,000 on Linea Stampalibera Società Cooperativa r.I. The controller, who operates a news site, has disclosed too much personal information in an article, including health data. This infringes the principle of data minimisation.

€7,700 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 7,700 on a non-public health care institution. The controller offered home visits by doctors as part of its services. For this purpose, doctors used their private cars and carried patients' health records in them. However, in its risk analysis, the controller failed to take into account the possibility of car theft, resulting in a fine being issued.

€80,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 80,000 on the Ospedaliero-Universitaria Careggi. The controller, a university hospital, used software that allowed medical personnel to search through the data subject's history, even if this was unrelated to the specific medical treatment.

€2,200 fine - Slovenian Supervisory Authority (Informacijski pooblaščenec)

The Slovenian DPA has imposed a fine of EUR 2,200 on a legal entity. An employee of the company forwarded health data to a lawyer without sufficient grounds. The company was fined EUR 2,000, while the employee was fined EUR 200.

Een boete van 3.955.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft McDonald's Polska Sp. z o.o. een boete van 3.955.000 euro opgelegd. De verantwoordelijke partij gebruikte een externe dienstverlener (zie ETid: 2758) om de planning van de werkroosters te beheren. De verantwoordelijke partij heeft nagelaten te waarborgen dat de dienstverlener voldoende technische en organisatorische maatregelen had geïmplementeerd om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Bovendien heeft de verantwoordelijke partij nagelaten te controleren of alleen de noodzakelijke gegevens waren verwerkt, en heeft de verantwoordelijke partij de autoriteit voor gegevensbescherming ook niet voldoende betrokken.

€32,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 32,000 on VALORA PREVENCIÓN, S.L.U. The controller, a company offering occupational health and safety services, failed to implement sufficient technical and organisational measures. This resulted in the health data of an employee being leaked to a coworker of the data subject. The original fine of EUR 40,000 was reduced to EUR 32,000 due to immediate payment by the controller.

Een boete van 32.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft VALORA PREVENCIÓN, S.L.U. een boete van 32.000 euro opgelegd. De verantwoordelijke, een bedrijf dat diensten op het gebied van gezondheid en veiligheid op het werk aanbiedt, heeft onvoldoende technische en organisatorische maatregelen genomen. Hierdoor zijn gezondheidsgegevens van een werknemer gelekt naar een collega van de betrokkene. De oorspronkelijke boete van 40.000 euro is verlaagd tot 32.000 euro vanwege de directe betaling van de boete door de verantwoordelijke.

Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan Magna PT S.p.A. Medewerkers van de verantwoordelijke organisatie werden na hun terugkeer van een periode van ziekte of ziekenhuisopname onderworpen aan "terugkeergesprekken". Deze gesprekken hadden onvoldoende juridische basis, met name met betrekking tot de verwerking van gezondheidsgegevens. Bovendien heeft de verantwoordelijke organisatie de betrokkenen niet voldoende geïnformeerd over de verwerking. Verder heeft de verantwoordelijke organisatie nagelaten om de hoeveelheid verwerkte gegevens te minimaliseren en de bewaartermijn te beperken.

€50,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine on Magna PT S.p.A. Employees of the controllers were subjected to 'return to work interviews' after returning from an absence due to illness or hospitalisation. These interviews lacked a sufficient legal basis, particularly with regard to the processing of health data. Additionally, the controller failed to adequately inform the data subjects regarding the processing. Furthermore, the controller failed to minimise the amount of data processed and the retention

€15,600 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 15,600 on the L. Zamenhof University Children's Clinical Hospital in Białystok. The controller did not implement sufficient technical and organisational measures to ensure information security, resulting in a ramsomeware attack on its IT systems.

15.600 euro boete - Poolse nationale instantie voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft het kinderziekenhuis L. Zamenhof in Białystok een boete van 15.600 euro opgelegd. De verantwoordelijke instantie heeft onvoldoende technische en organisatorische maatregelen genomen om de informatiebeveiliging te waarborgen, wat heeft geleid tot een ransomware-aanval op haar IT-systemen.

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 10,000 on Shield of David - K.I.D.A.F. The controller, a day care centre for people with autism, has legally installed video surveillance on its premises. However, the controller failed to adequately respond to a data subject's request to exercise their rights. Furthermore, the controller forwarded data to third entities without notifying the data subject. Lastly, the controller failed to cooperate adequately with the DPA.

€7,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 7,000 on the General Hospital of the University of Larissa. The controller failed to adequately fulfil the rights of data subjects. It also failed to demonstrate that it processed data in accordance with the general principles.

Boete van €10.000 - Griekse Autoriteit voor Gegevensbescherming (HDPA).

De Griekse Autoriteit Persoonsgegevens (DPA) heeft een boete van 10.000 euro opgelegd aan Shield of David - K.I.D.A.F. De verantwoordelijke, een kinderdagverblijf voor mensen met autisme, heeft wettelijk videobewaking geïnstalleerd in haar gebouwen. Echter, de verantwoordelijke heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van haar rechten. Bovendien heeft de verantwoordelijke gegevens doorgegeven aan derden zonder de betrokkene hiervan te informeren. Ten slotte heeft de verantwoordelijke niet voldoende meegewerkt met de Autoriteit Persoonsgegevens.

Een boete van €7.000 - Hellenic Data Protection Authority (HDPA).

De Griekse Autoriteit Persoonsgegevens (DPA) heeft het Universitair Ziekenhuis van Larissa een boete van 7.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten om de rechten van de betrokkenen op een adequate manier te waarborgen. Bovendien heeft de verantwoordelijke partij niet aangetoond dat de gegevensverwerking plaatsvond in overeenstemming met de algemene principes.