Liability

Recital 11

Recital 44

Recital 11

Recital 9

Recital 59

Recital 60

Recital 110

Recital 155

Recital 119

Recital 3

Recital 105

Recital 101

Recital 72

Recital 79

Recital 60

Recital 128

Recital 119

Recital 60

Recital 133

Recital 128

ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24

Rechtbank Limburg

Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.

ECLI:NL:RBGEL:2026:1247 Rechtbank Gelderland , 20-02-2026 / 05/085805-25

Rechtbank Gelderland

Veroordeling wegens diefstal met valse sleutels, fraude met online handel en fraude met identiteitsgegevens tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk, met een proeftijd van 3 jaar.

ECLI:NL:RBGEL:2026:955 Rechtbank Gelderland , 11-02-2026 / AWB - 23 _ 5470

Rechtbank Gelderland

Deze uitspraak gaat over het besluit van de minister op een verzoek van eiser om inzage in of het verkrijgen van een afschrift van dagrapportages die over hem zijn bijgehouden. De rechtbank komt in deze uitspraak tot het oordeel dat de minister met een aanvullend besluit op juiste wijze inzage heeft gegeven in de dagrapportages die over eiser zijn bijgehouden.

ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24

Rechtbank Gelderland

Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.

ECLI:NL:RBNHO:2026:1371 Rechtbank Noord-Holland , 05-02-2026 / 25/1668

Rechtbank Noord-Holland

Deze uitspraak gaat over de beslissing van het college op het verzoek van eiser tot openbaarmaking van informatie op grond van de Wet open overheid (Woo-verzoek) en zijn beroep wegens het niet tijdig beslissen op zijn verzoek op grond van de AVG. De rechtbank komt in deze uitspraak tot het oordeel dat de informatie op het onlineforum van de VNG niet onder de reikwijdte van het Woo-verzoek valt, omdat deze informatie niet bij de gemeente Haarlemmermeer berust. Voorts is de rechtbank van oordeel het college het verzoek niet had hoeven opvatten als een AVG-verzoek, omdat het verzoek niet als zodanig is geformuleerd. Eiser krijgt dus geen gelijk en de beroepen zijn dus ongegrond

ECLI:NL:RBNNE:2026:438 Rechtbank Noord-Nederland , 03-02-2026 / 24/1620

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over eisers verzoek om inzage in zijn persoonsgegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek gedeeltelijk toegewezen. Eiser is het niet eens met het afgewezen deel in het besluit. Hij voert daartoe een aantal beroepsgronden aan. De rechtbank komt in deze uitspraak tot het oordeel dat zij het beroep niet inhoudelijk kan behandelen, omdat het procesbelang van eiser onvoldoende is aangetoond. Het beroep is niet-ontvankelijk.

ECLI:NL:RBNNE:2026:453 Rechtbank Noord-Nederland , 03-02-2026 / 24/1731

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over de Wet open overheid (Woo). Op grond van de Woo heeft eiser een verzoek ingediend bij verweerder om openbaarmaking van informatie. De rechtbank behandelt in deze uitspraak het beroep van eiser tegen het besluit van verweerder op het Woo-verzoek. Eiser is het niet eens met het besluit en voert daartoe een aantal beroepsgronden aan. Aan de hand van de beroepsgronden van eiser komt de rechtbank tot het oordeel dat het beroep ongegrond is. Van een gebrekkige motivering van het bestreden besluit is geen sprake. En verder komt eiser niet in aanmerking voor een immateriele schadevergoeding wegens overschrijding van de redelijke termijn. De vertraging van de procedure is namelijk in belangrijke mate toe te schrijven aan eiser zelf.

ECLI:NL:RBDHA:2026:3061 Rechtbank Den Haag , 02-02-2026 / NL26.3326

Rechtbank Den Haag

Bewaring, beroep, bewaringsgronden, lichter middel, ongegrond.

ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252

Rechtbank Den Haag

Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.

ECLI:NL:RBMNE:2026:392 Rechtbank Midden-Nederland , 28-01-2026 / 11762230 \ UC EXPL 25-5389

Rechtbank Midden-Nederland

VvAA mocht de verzekering met een derde niet zomaar beëindigen op grond van haar algemene voorwaarden na het overschrijven van de auto op een andere naam wegens gebrek aan belang

ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445

Rechtbank Limburg

Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

ECLI:NL:RBMNE:2026:443 Rechtbank Midden-Nederland , 21-01-2026 / 24/5095

Rechtbank Midden-Nederland

Deze uitspraak gaat over een verzoek van eiseres van 11 oktober 2023 om op grond van de Wet open overheid informatie te krijgen die betrekking heeft op de verlening van vergunningen voor de vestiging van een speelautomatenhal in Lelystad over de periode van 1 januari 2020 tot 6 oktober 2023. De rechtbank is van oordeel dat het beroep gegrond is, omdat de weigeringsgronden te ruimhartig zijn toegepast.

Raad van State

Raad van State

Bij besluiten van 22 juli 2021 en 9 augustus 2021 hebben het college van burgemeester en wethouders en de burgemeester van de gemeente Soest verzoeken van [appellant] om openbaarmaking van informatie op grond van de Wet openbaarheid van bestuur gedeeltelijk toegewezen. [appellant] was vanaf 2015 tot maart 2022 eigenaar van een terrein met recreatiewoningen aan de [locatie 1]. Jachthuis Exploitatie B.V. exploiteerde het terrein en verhuurde recreatiewoningen onder andere aan arbeidsmigranten. Het college heeft in 2018 en in 2019 aan [appellant] lasten onder dwangsom opgelegd om het niet-recreatieve gebruik van de recreatiewoningen te beëindigen. Volgens [appellant] heeft het college zijn beleid en bestendige bestuurspraktijk ingrijpend gewijzigd, omdat voorheen gebruik van de recreatiewoningen anders dan voor recreatie onder voorwaarden wel was toegestaan, zolang maar geen sprake was van daadwerkelijke permanente bewoning. Dat blijkt volgens hem uit het feit dat de burgemeester zelf rond zijn aantreden enige tijd in één van de woningen heeft verbleven.

ECLI:NL:CRVB:2026:68 Centrale Raad van Beroep , 20-01-2026 / 22/3981 BBZ

CRVB

Afwijzing aanvraag om bedrijfskapitaal. Bbz 2004. Geen zelfstandige. Vroegtijdige beëindiging van zitting bij rechtbank vanwege geluidsopnamen. Geen schending hoorplicht. Verzending naar BRP-adres in plaats van correspondentieadres. Goede procesorde. Schadevergoeding redelijke termijn. Vaststaat dat de uitnodiging voor de hoorzitting in bezwaar is verzonden naar het in de BRP opgenomen woonadres van appellant. Dit is in overeenstemming met art. 1.7 lid 1 Wet BRP. Bestuursorganen zijn op grond van die bepaling verplicht de gegevens die in de BRP zijn opgenomen te gebruiken, tenzij sprake is van een in het tweede lid van dat artikel genoemde uitzondering. Gesteld noch gebleken is dat één van die uitzonderingen zich voordoen. Dit betekent dat het dagelijks bestuur verplicht was de uitnodiging voor de hoorzitting bezwaar te versturen naar het adres dat in de BRP was opgenomen.

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

Rechtbank Den Haag

Rechtbank Den Haag

bewaring, aanvullend terugkeerbesluit, zicht op uitzetting, lichter middel, ongegrond.

Geen onrechtmatige uiting

Rechtbank

Kort geding. Vorderingen tot gebod plaatsen rectificatie en verbod tot doen van uitlatingen worden afgewezen, omdat niet is vast komen te staan dat sprake is van onrechtmatige uitlatingen.

Weging vrijheid van meningsuiting en persoonlijke levenssfeer in het kader van een uitlatingsverbod. Algemeen uitlatingsverbod is onnodig en disproportioneel.

Gerechtshof

Arbeidsrecht. Kort geding. Geen post-contractuele zorgplicht van de werkgever voor gedrag van de ene ex-werknemer tegen de andere ex-werknemer. Artikel 10 EVRM, vrijheid van meningsuiting. Artikel 8 EVRM, respect voor het privéleven.

Sluitstuk(?) van de zaak Autobedrijf met onvoldoende beveiliging e-mailaccount.

Gerechtshof

Hoger beroep. Eindarrest. Schade door betaling restant kooprijs auto aan hacker die zich toegang had verschaft tot e-mailaccount van het autobedrijf. Schending AVG, want niet bewezen dat e-mailaccount passend was beveiligd. Deels eigen schuld en met toepassing billijkheidscorrectie moet autobedrijf 50% van de materiële schade betalen. Art. 5, 24, 32 en 82 AVG, art. 6:101 BW

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Guidelines on derogations of Article 49

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

Versiegeschiedenis

guidelines accreditatie

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Version history

Guidelines on the accreditation of certification bodies

Version history

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority

Guidelines for identifying a controller or processor’s lead supervisory authority

Version history

Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Guidelines 04/2021 on Codes of Conduct as tools for transfers

Guidelines on codes of conduct and monitoring bodies

The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...

Guidelines 07/2022 on certification as a tool for transfers

Guidelines on certification and identifying certification criteria

The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR). These guidelines provide guidance as to the applicati...

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...

Reykjanesbær municipality: Non-compliance with general data processing principles

€16,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 16,600 on the municipality of Reykjanesbær. The municipality had used the Google Education system without sufficiently complying with data protection regulations. In particular, the municipality did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the municipality did not ensure that the student data was not processed for purposes oth

City of Kópavogur: Non-compliance with general data processing principles

€20,000 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 20,000 on the city of Kópavogur. The city had used the Google Education system without sufficiently complying with data protection regulations. In particular, the city did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the city did not ensure that the student data was not processed for purposes other than those specified by the city

City of Reykjavik: Non-compliance with general data processing principles

€13,300 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 13,300 on the city of Reykjavik. The city had used the Google Education system in schools without sufficiently complying with data protection regulations. In particular, the city did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the city did not ensure that the student data was not processed for purposes other than those specified

Garðabær municipality: Non-compliance with general data processing principles

€16,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 16,600 on the municipality of Garðabær. The municipality had used the Google Education system without sufficiently complying with data protection regulations. In particular, the municipality did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the municipality did not ensure that the student data was not processed for purposes other t

City of Hafnarfjörður: Non-compliance with general data processing principles

€18,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 18,600 on the city of Hafnarfjörður. The city had used the Google Education system without sufficiently complying with data protection regulations. In particular, the city did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the city did not ensure that the student data was not processed for purposes other than those specified by the

PIONIER (law firm): Insufficient legal basis for data processing

€9,600 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 9,600 on the law firm PIONIER. The law firm mainly represents victims of traffic accidents in proceedings against insurance companies and other entities. In this context, it supports its clients in claims for damages as well as claims for reimbursement of medical treatment costs. During its investigation, the DPA found that the law firm processed personal data, including health data, of potential clients without a valid legal basis. The law firm obtained

Mercadona S.A.: Insufficient legal basis for data processing

€170,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) has imposed a fine of EUR 170,000 on the supermarket chain Mercadona S.A.. An individual had filed a complaint with the DPA. The individual had suffered an accident in one of the supermarkets and had asked Mercadona to provide the recordings of the accident from the video surveillance system in order to claim damages. However, Mercadona did not comply with this request. After the lawyer of the data subject asked Mercadona again to provide the recordings, Mercadona replied

City of Reykjavík: Insufficient legal basis for data processing

€36,000 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 36,000 on the City of Reykjavík. The city had used the digital education system 'Seesaw' at several schools. The student system processed, among other things, personal data of minor students such as teacher feedback and information about students' private affairs. During its investigation, the DPA found that the purpose of the processing of the children's data had not been sufficiently clearly defined. In this context, the DPA also found a breach of th

Ospedale San Raffaele s.r.l.: Non-compliance with general data processing principles

€70,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 70,000 on the healthcare facility Ospedale San Raffaele s.r.l.. The hospital had reported two data breaches to the DPA under Art. 33 GDPR. In the first case, the neurology department of the hospital had sent a newsletter in an open distribution list, which resulted in the email addresses of the recipients being visible to all recipients. Of the 499 email addresses affected, 321 email addresses related to patients and 46 related to family members/caregive

Energy company (name not available at the moment): Insufficient fulfilment of data subjects rights

€124,245 fine - Croatian Data Protection Authority (azop)

The fined energy company owns petrol stations and sells fuel to customers. The data subject is a customer who filed a consumer complaint relating to inaccurate measuring and consequently charging of fuelled petrol at one of the petrol stations. The data subject requested a copy of its personal data, i.e. a copy of the video surveillance footage relating to a specific time and area. The energy company justified rejecting the request by: (i) lack of written request by competent authorities to deli

BREBAU GmbH: Insufficient legal basis for data processing

€1,900,000 fine - Data Protection Authority of Bremen

The DPA of Bremen has imposed a fine of EUR 1.9 million on the housing association BREBAU GmbH. BREBAU GmbH had processed upwards of 9,500 datasets about potential tenants without a valid legal basis. In particular, the DPA found that the controller had processed particularly sensitive data as defined by Art. 9 GDPR. For example, the controller unlawfully processed information about the skin color, ethnic origin, religious affiliation, sexual orientation and health status of the data subjects. B

Psykoterapiakeskus Vastaamo: Non-compliance with general data processing principles

€608,000 fine - Deputy Data Protection Ombudsman

The Finnish DPA has fined Vastaamo psychotherapy center EUR 608,000. In September 2020, the psychotherapy center reported an attack on its patient database to the DPA. An unauthorized third party had gained access to Vastaamo's medical database on at least two occasions, in December 2018 and March 2019. The attacker had also siphoned off data and left a ransom note on the servers. Due to insufficient logging, neither the exact date of the breach nor the network addresses used by the attacker cou

Ferde AS: Non-compliance with general data processing principles

€496,000 fine - Norwegian Supervisory Authority (Datatilsynet)

The Norwegian DPA has fined Ferde AS, a Norwegian toll company, EUR 496,000. Through a report on the state-owned broadcasting company NRK, the Norwegian DPA became aware that Ferde AS was transferring information on passages in toll rings to a data processor in China. On this basis, the DPA initiated an investigation into whether Ferde has implemented routines and measures to ensure adequate information security for the information transferred to China. As part of its operations, Ferde is respon

IDdesign A / S: Non-compliance with general data processing principles

€13,450 fine - Danish Data Protection Authority (Datatilsynet)

Original summary: On June 3, 2019, the Danish DPA (Datatilsynet) reported IDdesign to the police and demanded payment of a fine in the amount of EUR 200,850 for the processing of personal data of approximately 385,000 customers for a longer period than necessary for the purposes for which they were processed. Additionally, the company had not established and documented deadlines for deletion of personal data in their new CRM system. The deadlines set for the old system were not deleted after the

Patio Ancestral S.L.: Insufficient legal basis for data processing

€3,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) imposed a fine of EUR 5,000 on Patio Ancestral S.L.. The complainant worked for a construction company and had carried out some renovation work for the controller. During these works, damage had been caused to the controller's properties. The controller had then sent a letter with claims for damages not only to the complainant but also to the complainant's father, who had previously been employed by the same construction company. However, the father was an uninvolved third

Medical clinic: Insufficient legal basis for data processing

Data Protection Authority of Berlin

The DPA from Berlin has imposed a fine on a medical clinic. The clinic had installed 21 cameras in its premises for the purpose of protection against crime and property damage. This made it possible to monitor employees and patients around the clock. The clinic relied on consent given by employees and information signs as the legal basis for the video surveillance. However, the DPA concluded that the clinic could not base the video surveillance on consent, as voluntary consent in the employee-em

Provincial Health Authority of Cosenza: Insufficient legal basis for data processing

€30,000 fine - Italian Data Protection Authority (Garante)

Publication of personal data (including first and last name, address, tax ID) on the website of the authority about persons who have claims for damages against the authority, without sufficient legal basis

T.K. EOOD: Insufficient technical and organisational measures to ensure information security

€2,560 fine - Data Protection Commision of Bulgaria (KZLD)

The fine of ca. EUR 2,557 was imposed on T.K. EOOD for unlawful processing of personal data of data subject I.S. by failure to adopt technical and organizational measures to ensure the information security. T.K. EOOD processed the personal data of I.S. unlawfully nine times in duration of five months. The breaches caused damages to the data subject.

Utility Company: Insufficient legal basis for data processing

€5,110 fine - Data Protection Commision of Bulgaria (KZLD)

The fine of EUR ca. 5,113 was imposed on a Bulgarian utility company for unlawful processing of the personal data of the data subject V.V. The personal data of V.V. was unlawfully processed and subsequently used for initiating an enforcement case against him for outstanding payment obligations. During the enforcement case, the bailiff seized the data subject’s salary, and the latter suffered damages as a result of the unlawful processing.

Doorstep Dispensaree Ltd. (Pharmacy): Insufficient technical and organisational measures to ensure information security

€320,000 fine - Information Commissioner (ICO)

The company had stored some 500,000 documents containing names, addresses, dates of birth, NHS numbers and medical information and prescriptions in unsealed containers at the back of the building and failed to protect these documents from the elements, resulting in water damage to the documents.

OGS Zagreb - Pn-877/2023-29

English Summary }}}} A court awarded €3,000 to a data subject after finding a news portal violated her privacy under [[Article 5 GDPR]] by publishing her personal data unnecessarily and disproportionately, despite claims of public interest.A court awarded €3,000 in damages to a data subject after finding that a news portal violated her right to privacy by publishing her personal data unnecessarily and disproportionately in two articles, despite the controller’s claims of public interest. == Engl

OLG Bamberg - 10 U 61/25 e

Holding }}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR|Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject. == English Summary ==== English Summary == The data subject brought multiple

OGS Zagreb - Pn-877/2023-29

Facts The first article reported on payments related to the football club Dinamo Zagreb and included the data subject’s full name, bank account number, and payment amounts. The second article referred to the first article via a hyperlink but did not mention the data subject directly.The first article reported on payments related to the football club Dinamo Zagreb and included the data subject’s full name, bank account number, and payment amounts. The second article referred to the first article

OLG Bamberg - 10 U 61/25 e

}}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.A court held that the mere automated creation of a score value by a credit information agency does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision concerning the the data subject. == English Summary ==== English Summary == === Facts ====== Fa

Protecting Our Right to Sue Federal Agents Who Violate the Constitution

Federal agencies like Immigration and Customs Enforcement (ICE) and Customs and Border Protection (CBP) have descended into utter lawlessness, most recently in Minnesota. The violence is shocking. So are the intrusions on digital rights. For example, we have a First Amendment right to record on-duty police, including ICE and CBP, but federal agents are violating this right. Indeed, Alex Pretti was exercising this right shortly before federal agents shot and killed him. So were the many people wh

Statutory Damages: The Fuel of Copyright-based Censorship

We're taking part in Copyright Week, a series of actions and discussions supporting key principles that should guide copyright policy. Every day this week, various groups are taking on different elements of copyright law and policy, and addressing what's at stake, and what we need to do to make sure that copyright promotes creativity and innovation. Imagine every post online came with a bounty of up to $150,000 paid to anyone who finds it violates opaque government rules—all out of the

Court of Appeal of Braunschweig - Case Number: 2 U 71/24

}}}} The court has awarded €100 in non-pecuniary damages following a large-scale data breach that affected a social network. While the damage was considered minor, the court ruled that the unauthorized linking and public dissemination of the individual's phone number with other profile data resulted in a loss of control over personal data, which in itself constituted non-pecuniary damage worthy of compensation. The court has awarded €100 in non-pecuniary damages following a large-scale data breach.

Hof van Beroep van Frankfurt am Main - 6 U 81/23

|Hof_Oorspronkelijke_Naam=Oberlandesgericht Frankfurt am Main|Hof_Oorspronkelijke_Naam=Oberlandesgericht Frankfurt am Main |Hof_Engelse_Naam=Higher Regional Court Frankfurt am Main|Hof_Engelse_Naam=Higher Regional Court Frankfurt am Main |Hof_Met_Land=OLG Frankfurt am Main (Duitsland)|Hof_Met_Land=OLG Frankfurt (Duitsland) |Zaaknummer_Naam=6 U 81/23|Zaaknummer_Naam=6 U 81/23 |Partij_Link_2=|Partij_Link_2= |Beroep_Van_Instantie=LG Frankfurt am Main (Duitsland)|Beroep_Van_Instantie=LG Frankfurt (Duitsland)

Frankfurt am Main Regional Court - Case Number 6 U 81/23.

The court awarded €100 in non-pecuniary damages for the storage and processing of cookies without the consent of the individual. While the violation was considered minor, and the individual did not suffer a loss of control over their data, the court ruled that the feeling of being monitored constituted a form of non-pecuniary damage. The court awarded €100 in non-pecuniary damages for the storage and processing of cookies without the consent of the individual. Although the violation was considered minor, and...

OGS Zagreb - Case number Pn-1378/2023-18.

Summary: A court has awarded €3,500 to a person whose financial data was accidentally sent to another customer by a bank. The court ruled that this unauthorized disclosure constituted a violation of the person's right to privacy and that non-pecuniary damages were involved. Summary: A court has awarded €3,500 to a person whose financial data was accidentally sent to another customer by a bank. The court ruled that this unauthorized disclosure constituted a violation of the person's right to privacy and that non-pecuniary damages were involved. == Summary == Summary == === Conclusion ======

Frankfurt am Main Court of Appeal - Case No. 6 U 81/23.

| Court_Original_Name = Higher Regional Court Frankfurt am Main | Court_Original_Name = Higher Regional Court Frankfurt am Main | Court_English_Name = Higher Regional Court Frankfurt am Main | Court_English_Name = Higher Regional Court Frankfurt am Main | Court_Country = OLG Frankfurt am Main (Germany) | Court_Country = OLG Frankfurt (Germany) | Case_Number = 6 U 81/23 | Case_Number = 6 U 81/23 | Party_Link_2 = | Party_Link_2 = | Appeal_From_Court = Regional Court Frankfurt am Main (Germany) | Appeal_From_Court = Regional Court Frankfurt (Germany)

OLG Frankfurt am Main - 6 U 81/23

}}}} The Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and the data subject suffered no loss of control over his data, the court held that the feeling of being monitored constituted non-material damage.A Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and

OLG Braunschweig - Az.: 2 U 71/24

}}}} The Court awarded €100 in non-material damages following a large-scale scraping incident affecting a social network. Although the impairment was considered minor, the Court held that the unauthorised linking and public dissemination of the data subject’s telephone number with other profile data resulted in a loss of control over personal data, which in itself constituted compensable non-material damage.A Court awarded €100 in non-material damages following a large-scale scraping incident af

OLG Frankfurt am Main - 6 U 81/23

|Court_Original_Name=Oberlandesgericht Frankfurt am Main|Court_Original_Name=Oberlandesgericht Frankfurt am Main |Court_English_Name=Higher Regional Court Frankfurt am Main|Court_English_Name=Higher Regional Court Frankfurt am Main |Court_With_Country=OLG Frankfurt am Main (Germany)|Court_With_Country=OLG Frankfurt (Germany) |Case_Number_Name=6 U 81/23|Case_Number_Name=6 U 81/23 |Party_Link_2=|Party_Link_2= |Appeal_From_Body=LG Frankfurt am Main (Germany)|Appeal_From_Body=LG Frankfurt (Germany)

OGS Zagreb - Pn-1378/2023-18

English Summary }}}} A court awarded €3,500 to a data subject after a bank mistakenly sent her financial data to another client, finding that the disclosure unlawfully violated her right to privacy and caused non-material harm.A court awarded €3,500 to a data subject after a bank mistakenly sent her financial data to another client, finding that the disclosure unlawfully violated her right to privacy and caused non-material damages. == English Summary ==== English Summary == === Holding ====== H

Resistance to new attempts to make internet providers responsible for copyright compliance: A look back at 2025.

You may not be aware, given the numerous reports highlighting new questions about copyright and generative AI, but the biggest copyright case of the year revolves around a long-standing question in internet law: should internet service providers act as enforcers of copyright? After years of legal battles, this question is now before the Supreme Court. And if the Supreme Court upholds a previous ruling by a lower court, internet service providers could be forced to block internet access for individuals based solely on accusations of copyright infringement.

Verzet tegen nieuwe pogingen om internetproviders tot auteursrechtelijk toezichthouders te maken: Terugblik op 2025.

U wellicht niet, gezien de vele berichten die de aandacht vestigen op nieuwe vragen over auteursrecht en generatieve AI, maar de grootste auteursrechtzaak van het jaar ging over een aloude vraag voor internetbegrippen: moeten internetproviders optreden als handhavers van het auteursrecht? Na jaren van rechtszaken staat die vraag nu voor het Hooggerechtshof. En als het Hooggerechtshof een eerdere uitspraak van een lagere rechtbank niet herroept, zouden internetproviders gedwongen kunnen worden om de internettoegang van mensen te blokkeren op basis van niets meer dan loutere beschuldigingen van auteursrechtinbreuk.

Fighting Renewed Attempts to Make ISPs Copyright Cops: 2025 in Review

You might not know it, given the many headlines focused on new questions about copyright and Generative AI, but the year’s biggest copyright case concerned an old-for-the-internet question: do ISPs have to be copyright cops? After years of litigation, that question is now squarely before the Supreme Court. And if the Supreme Court doesn’t reverse a lower court’s ruling, ISPs could be forced to terminate people’s internet access based on nothing more than mere accusations of copyright infringemen

Geschil over aanbesteding: estoppel is toegestaan.

Aankoop. Schadeclaim tegen de opdrachtgever. De beroepsmogelijkheid op het beginsel van estoppel wordt erkend. De eiser heeft de beslissing van de aanbesteding niet binnen 20 dagen aangevochten in een voorlopig geschil. Volgens de voorwaarden van de aanbesteding heeft ze daarmee ook haar recht op schadevergoeding laten vervallen. Het toepassen van deze "vervalbedinging" is hier niet onredelijk of onevenredig.

Procurement dispute: estoppel allowed

> Procurement. Claim for damages against contracting authority. Reliance on estoppel succeeds. Plaintiff did not challenge the award decision in interlocutory proceedings within 20 days. Pursuant to the tender conditions, she thereby also processed her right to damages. Applying this sunset clause here is not unreasonable or disproportionate. (Machine translated)