L'autorité croate de protection des données (AZOP) a infligé une amende de 20 000 euros à une société exerçant des activités de jeux et de paris en raison de trois violations identifiées du RGPD. Comme l'a noté l'AZOP, le responsable du traitement a collecté et traité des données personnelles de personnes concernées, c'est-à-dire des visiteurs du site Web, via des cookies sans base juridique valable, violant ainsi l'art. 6 (1) du RGPD. En outre, le responsable du traitement n'a pas non plus fourni aux personnes concernées des informations appropriées ni permis aux personnes concernées de donner ou de retirer volontairement leur consentement, violant ainsi l'art. 7 du RGPD. L'AZOP a noté que le visiteur doit donner son consentement séparé pour chaque type de cookie en fonction de sa fonctionnalité, c'est-à-dire que le consentement ne peut pas être donné pour « tous les types de cookies ». Dans ces cas, il n'y avait aucune possibilité d'accorder ou de révoquer séparément le consentement pour chaque type de cookie. Enfin, il a été déterminé que le responsable du traitement n'a pas informé de manière adéquate les personnes concernées (visiteurs du site Web) sur le traitement des données personnelles, en particulier concernant le traitement des données via des cookies, violant ainsi l'art. 13 (1), (2) du RGPD. Le responsable du traitement n’a pas informé de manière transparente sur des questions telles que la base juridique, la fonction de chaque cookie et la durée de conservation des cookies.