Accountability

Article 54

Authorised representatives of providers of general-purpose AI models

Article 57

AI regulatory sandboxes

Article 5

Prohibited AI practices

Article 5

Verboden AI-praktijken

Article 56

Codes of practice

Article 56

Praktijkcodes

Article 55

Obligations of providers of general-purpose AI models with systemic risk

Article 52

Procedure

Article 53

Verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden

Article 52

Procedure

Article 51

Classification of general-purpose AI models as general-purpose AI models with systemic risk

Recital 179

Recital 114

Recital 117

Article 50

Transparency obligations for providers and deployers of certain AI systems

Article 53

Obligations for providers of general-purpose AI models

Article 59

Further processing of personal data for developing certain AI systems in the public interest in the AI regulatory sandbox

Recital 77

Recital 59

Recital 177

ECLI:NL:RBDHA:2026:3264 Rechtbank Den Haag , 19-02-2026 / NL24.38560

Rechtbank Den Haag

8:29 Awb beslissing, visum kort verblijf, algoritme IOB, wijst het verzoek toe

ECLI:NL:RBGEL:2026:955 Rechtbank Gelderland , 11-02-2026 / AWB - 23 _ 5470

Rechtbank Gelderland

Deze uitspraak gaat over het besluit van de minister op een verzoek van eiser om inzage in of het verkrijgen van een afschrift van dagrapportages die over hem zijn bijgehouden. De rechtbank komt in deze uitspraak tot het oordeel dat de minister met een aanvullend besluit op juiste wijze inzage heeft gegeven in de dagrapportages die over eiser zijn bijgehouden.

ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3

Raad van State

Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.

ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24

Rechtbank Gelderland

Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.

ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285

Rechtbank Noord-Holland

AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.

ECLI:NL:RBNHO:2026:1371 Rechtbank Noord-Holland , 05-02-2026 / 25/1668

Rechtbank Noord-Holland

Deze uitspraak gaat over de beslissing van het college op het verzoek van eiser tot openbaarmaking van informatie op grond van de Wet open overheid (Woo-verzoek) en zijn beroep wegens het niet tijdig beslissen op zijn verzoek op grond van de AVG. De rechtbank komt in deze uitspraak tot het oordeel dat de informatie op het onlineforum van de VNG niet onder de reikwijdte van het Woo-verzoek valt, omdat deze informatie niet bij de gemeente Haarlemmermeer berust. Voorts is de rechtbank van oordeel het college het verzoek niet had hoeven opvatten als een AVG-verzoek, omdat het verzoek niet als zodanig is geformuleerd. Eiser krijgt dus geen gelijk en de beroepen zijn dus ongegrond

ECLI:NL:RBDHA:2026:3061 Rechtbank Den Haag , 02-02-2026 / NL26.3326

Rechtbank Den Haag

Bewaring, beroep, bewaringsgronden, lichter middel, ongegrond.

ECLI:NL:RBAMS:2026:94 Rechtbank Amsterdam , 28-01-2026 / 777961 HA ZA 25-1657

Rechtbank Amsterdam

Burenzaak, erfgrens onder haag/heg of elders? 5:36, tegenbewijs geleverd met kadaster grensreconstructie - erfgrens ligt niet onder haag. Eigendomsverkrijging door verjaring? Slaagt niet, geen ondubbelzinnig bezit. Vordering toegewezen.

Rechtbank Amsterdam

Rechtbank Amsterdam

Vervolgings-EAB uit Denemarken. Artikel 12 OLW niet van toepassing bij vervolgings-EAB's. Afgezien van de weigeringsgrond van artikel 13 OLW. Overlevering toegestaan.

ECLI:NL:RBMNE:2026:443 Rechtbank Midden-Nederland , 21-01-2026 / 24/5095

Rechtbank Midden-Nederland

Deze uitspraak gaat over een verzoek van eiseres van 11 oktober 2023 om op grond van de Wet open overheid informatie te krijgen die betrekking heeft op de verlening van vergunningen voor de vestiging van een speelautomatenhal in Lelystad over de periode van 1 januari 2020 tot 6 oktober 2023. De rechtbank is van oordeel dat het beroep gegrond is, omdat de weigeringsgronden te ruimhartig zijn toegepast.

Raad van State

Raad van State

Bij besluiten van 22 juli 2021 en 9 augustus 2021 hebben het college van burgemeester en wethouders en de burgemeester van de gemeente Soest verzoeken van [appellant] om openbaarmaking van informatie op grond van de Wet openbaarheid van bestuur gedeeltelijk toegewezen. [appellant] was vanaf 2015 tot maart 2022 eigenaar van een terrein met recreatiewoningen aan de [locatie 1]. Jachthuis Exploitatie B.V. exploiteerde het terrein en verhuurde recreatiewoningen onder andere aan arbeidsmigranten. Het college heeft in 2018 en in 2019 aan [appellant] lasten onder dwangsom opgelegd om het niet-recreatieve gebruik van de recreatiewoningen te beëindigen. Volgens [appellant] heeft het college zijn beleid en bestendige bestuurspraktijk ingrijpend gewijzigd, omdat voorheen gebruik van de recreatiewoningen anders dan voor recreatie onder voorwaarden wel was toegestaan, zolang maar geen sprake was van daadwerkelijke permanente bewoning. Dat blijkt volgens hem uit het feit dat de burgemeester zelf rond zijn aantreden enige tijd in één van de woningen heeft verbleven.

ECLI:NL:RBMNE:2026:429 Rechtbank Midden-Nederland , 21-01-2026 / C/16/597768 / HL RK 25-30

Rechtbank Midden-Nederland

AVG verzoek niet ontvankelijk. Veilig Thuis Gooi en Vechtstreek is een bestuursorgaan. Verzoek moet bij de bestuursrechter worden ingediend en niet bij de civiele rechter

Verhouding Wpg, Woo en AVG

Rechtbank

Afwijzing Woo-verzoek. Sprake van een herhaald verzoek. De Wpg regelt in de artikelen 3, derde lid, 7 en 25 zowel de openbaarmaking als de individuele verstrekking en is daarmee uitputtend. De AVG regelt naast de inzage in persoonsgegevens ook de individuele verstrekking van afschriften. De vangnetbepaling van artikel 5.5 van de Woo vindt, gelet op de gegevens waar eiser om heeft verzocht en waarvoor andere regelingen gelden met een uitputtend openbaarheidsregime en/of een uitputtend bedoeld verstrekkingsregime, geen toepassing. Beroep ongegrond.

Woo. Keuze familienaam als bedrijfsnaam komt voor rekening personen. Dat is geen reden om te lakken bij Woo-verzoek.

Rechtbank

Wet Open overheid, bedrijfs- en fabricagegegevens, persoonlijke levenssfeer, veiligheid, horen in bezwaar, 6:22 Awb

Woo-zaak met zijdelings de Autoriteit Persoonsgegevens als betrokken partij

Rechtbank

Verzoek om openbaarmaking op grond van de Wet open overheid. Weigeringsgrond artikel 5.1, tweede lid, aanhef en onder i Woo. Het goed functioneren van de Staat, de procespositie van de Staat. Tussenuitspraak. Bestuurlijke lus.

Geen onrechtmatige uiting

Rechtbank

Kort geding. Vorderingen tot gebod plaatsen rectificatie en verbod tot doen van uitlatingen worden afgewezen, omdat niet is vast komen te staan dat sprake is van onrechtmatige uitlatingen.

Encrochat-gegevens

Gerechtshof

Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.

Niet lakken bedrijfsnaam die tevens familienaam is in woo verzoek.

Rechtbank

Voorlopige voorziening, Wet open overheid, beoordelingskader onomkeerbare gevolgen publicatie en belang openbaarheid van informatie.

XH v European Commission

CJEU

Gaat om een beroep van T-613/21. In beroep wordt gesteld dat het Gerecht de professionele context als reden zag om de gegevens niet als persoonsgegevens te zien, maar dit is niet juist volgens het HvJ EU. Het feit dat het hier om informatie verwerkt in een werkgerelateerde context is niet een doo...

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Version history

Versiegeschiedenis

Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679

Richtsnoeren 01/2021

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Guidelines 07/2022 on certification as a tool for transfers

Guidelines on certification and identifying certification criteria

The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR). These guidelines provide guidance as to the applicati...

Guidelines 04/2021 on Codes of Conduct as tools for transfers

Guidelines on codes of conduct and monitoring bodies

The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...

Guidelines 03/2021 on the application of Article 65(1)(a) GDPR

Guidelines on the application of Article 60 GDPR

Richtsnoeren 07/2022 voor certificering als doorgifte-instrument

guidelines certificering

Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679

Guidelines on relevant and reasoned objection under Regulation 2016/679

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

Continental Automotive Products SRL: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Boete van €15.000 - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense Autoriteit voor Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan Continental Automotive Products SRL. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een cyberincident.

FREE MOBILE: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

Vodafone España, S.A.U.: Onvoldoende naleving van de rechten van betrokkenen bij de verwerking van persoonsgegevens.

Een boete van 27.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

Hoewel de klager (een voormalige Vodafone-klant) in 2015 van Vodafone had verzocht zijn gegevens te verwijderen, en dit verzoek door het bedrijf was bevestigd, ontving hij vanaf 2018 meer dan 200 sms-berichten van het bedrijf. Volgens de verklaring van Vodafone is dit gebeurd omdat het mobiele telefoonnummer van de klager per ongeluk werd gebruikt voor testdoeleinden en toevallig in verschillende klantendossiers van andere klanten dan de klager terecht is gekomen. Aangezien het bedrijf het met de betaling heeft eens geworden...

SLOVENAKIË: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.

Documenten die persoonlijke gegevens bevatten, zijn op het gebied van de gemeentelijke afvalverwerkingsplaats vernietigd.

POLEN, Autoriteit voor Persoonsgegevens: Onvoldoende samenwerking met de toezichthoudende instantie.

Een boete van 960 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

SLOVENAKIË: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Slovaakse Autoriteit voor Gegevensbescherming.

Overtreding van maatregelen ter bescherming van de informatiebeveiliging (op dit moment zijn er geen verdere details beschikbaar).

Restaurant (SANTI 3000, S.L.): Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Boete van €9.600 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Een restaurant wilde een werknemer disciplinaire maatregelen opleggen op basis van beelden van een mobiele telefoonvideo. Deze video was opgenomen door een andere werknemer in het restaurant en diende als bewijsmateriaal. De initiële boete van 12.000 euro is verlaagd naar 9.600 euro.

SLOVENAKIË, Dataprotectieautoriteit: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.

Persoonsgegevens zijn onrechtmatig gepubliceerd op de website van een gemeente, in het kader van de wettelijke verplichting om informatie te verstrekken op grond van de Wet openbaarheid van bestuur. De Autoriteit Persoonsgegevens heeft echter vastgesteld dat de gemeente deze persoonsgegevens heeft gepubliceerd in strijd met de wet en zonder de toestemming van de betreffende persoon.

Vodafone España, S.A.U.: Overtreding van de algemene principes voor gegevensverwerking.

Een boete van 5.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse telecommunicatie- en informatiestructuur (SETSI) heeft besloten dat Vodafone een klant moest vergoeden voor kosten die ten onrechte aan hem waren doorbelast. Desondanks heeft Vodafone persoonlijke gegevens van deze betreffende klant doorgegeven aan een kredietregistratiebureau (BADEXCUG). De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat dit gedrag in strijd is met het beginsel van juistheid.

Incassobureau (GESTIÓN DE COBROS, YO COBRO SL): Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Boete van 60.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Naar verluidt heeft de betrokkene een microkrediet niet terugbetaald aan een online kredietverstrekker, waarna de vordering werd overgedragen aan een incassobureau. Vervolgens begon dit incassobureau e-mails te versturen, niet alleen naar e-mailadressen die door de betrokkene waren opgegeven, maar ook naar een institutioneel e-mailadres van zijn werkplek, dat toegankelijk was voor alle collega's en dat nooit door de betrokkene was verstrekt.

Telecommunicatiebedrijf: Onvoldoende juridische basis voor gegevensverwerking.

De Kroatische gegevensbeschermingsautoriteit (DPA) heeft een telecombedrijf een boete van 20.000 euro opgelegd. Een betrokkene had een klacht ingediend bij de DPA, waarin hij beweerde dat het bedrijf nog steeds zijn persoonlijke gegevens verwerkte, terwijl hij al meer dan tien jaar geen klant van het bedrijf was. Tijdens het onderzoek stelde de DPA vast dat het bedrijf de gegevens nog steeds bewaarde vanwege een vermeende schuld. Hoewel die schuld niet meer bestond, had het bedrijf de gegevens van de betrokkene niet verwijderd.

ENDESA (energieleverancier): Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De bankrekening van de klager werd belast door ENDESA, waarbij de begunstigde een derde partij was. Deze derde partij was veroordeeld volgens het strafrecht en had een bevel van twee jaar gekregen dat betrekking had op de klager, haar woonplaats en werkplek. In plaats van de contractgegevens zoals gevraagd door de klager aan te passen, heeft ENDESA per ongeluk haar gegevens verwijderd en de gegevens van de derde partij ingevoerd. De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat de openbaarmaking van de gegevens van de klager aan de derde partij een ernstige schending was van het principe van vertrouwelijkheid.

NAROBESA INV, S.L.: Onvoldoende samenwerking met de toezichthoudende instantie.

1.600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.600 euro opgelegd aan NAROBESA INV, S.L. De verantwoordelijke partij heeft niet gereageerd op verzoeken van de DPA. De oorspronkelijke boete van 2.000 euro is verlaagd tot 1.600 euro vanwege de onmiddellijke betaling.

Orde van Algemene Verpleegkundigen, Verloskundigen en Medische Assistenten van Roemenië – Afdeling Neamt: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft een boete van 2.000 euro opgelegd aan de Roemeense vereniging van algemene verpleegkundigen, verloskundigen en medische assistenten, afdeling Neamt. De verantwoordelijke partij heeft videobewaking gebruikt op een manier die niet in overeenstemming is met de Algemene Verordening Gegevensbescherming (AVG).

Geturhotels Srl: Overtreding van de algemene principes voor gegevensverwerking.

Een boete van 6.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Geturhotels Srl een boete van 6.000 euro opgelegd. Het bedrijf was betrokken bij direct marketingactiviteiten en gebruikte daarbij persoonsgegevens die niet op een manier waren verkregen of verwerkt die in overeenstemming is met de algemene principes van gegevensverwerking.

EXCEL HOTELS & RESORTS, S.A.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 32.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft EXCEL HOTELS & RESORTS, S.A. een boete van 32.000 euro opgelegd. Het bedrijf gebruikte beveiligingspersoneel om de toegang tot haar faciliteit te controleren. Dit beveiligingspersoneel liet regelmatig documenten met persoonlijke gegevens achter op hun post, waardoor deze toegankelijk werden voor derden. De oorspronkelijke boete van 40.000 euro is verlaagd naar 32.000 euro vanwege de onmiddellijke betaling.

BLUE TEAM FLIGHT SCHOOL, S.L.: Onvoldoende samenwerking met de toezichthoudende instantie.

Een boete van 6.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft BLUE TEAM FLIGHT SCHOOL, S.L. een boete van 6.000 euro opgelegd. De verantwoordelijke partij heeft niet gereageerd op verzoeken van de DPA.

SPAIN, DPA: Onvoldoende samenwerking met de toezichthoudende instantie.

Een boete van 300 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 300 euro opgelegd aan een onbekende persoon of entiteit. De verantwoordelijke partij heeft niet gereageerd op verzoeken van de DPA.

4USPORT INSTALACIONES DEPORTIVAS, S.L.: Onvoldoende samenwerking met de toezichthoudende instantie.

600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 300 euro opgelegd aan het bedrijf 4USPORT INSTALACIONES DEPORTIVAS, S.L. Het bedrijf heeft niet gereageerd op verzoeken die door de DPA waren ingediend.

Istituto Comprensivo Centro in Casalecchio di Reno: Onvoldoende naleving van de rechten van betrokkenen.

Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 2.000 euro opgelegd aan Istituto Comprensivo Centro di Casalecchio di Reno. De verantwoordelijke organisatie publiceerde een ranglijst van haar docenten op haar website zonder voldoende juridische basis.

OGS Zagreb - Pn-877/2023-29

English Summary }}}} A court awarded €3,000 to a data subject after finding a news portal violated her privacy under [[Article 5 GDPR]] by publishing her personal data unnecessarily and disproportionately, despite claims of public interest.A court awarded €3,000 in damages to a data subject after finding that a news portal violated her right to privacy by publishing her personal data unnecessarily and disproportionately in two articles, despite the controller’s claims of public interest. == Engl

New Report Helps Journalists Dig Deeper Into Police Surveillance Technology

Report from EFF, Center for Just Journalism, and IPVM Helps Cut Through Sales HypeSAN FRANCISCO — A new report released today offers journalists tips on cutting through the sales hype about police surveillance technology and report accurately on costs, benefits, privacy, and accountability as these invasive and often ineffective tools come to communities across the nation. The “Selling Safety” report is a joint project of the Electronic Frontier Foundation (EFF), the Center for Just Journalism (

“Free” Surveillance Tech Still Comes at a High and Dangerous Cost

Surveillance technology vendors, federal agencies, and wealthy private donors have long helped provide local law enforcement “free” access to surveillance equipment that bypasses local oversight. The result is predictable: serious accountability gaps and data pipelines to other entities, including Immigration and Customs Enforcement (ICE), that expose millions of people to harm. The cost of “free” surveillance tools — like automated license plate readers (ALPRs), networked cameras, face recognit

Protecting Our Right to Sue Federal Agents Who Violate the Constitution

Federal agencies like Immigration and Customs Enforcement (ICE) and Customs and Border Protection (CBP) have descended into utter lawlessness, most recently in Minnesota. The violence is shocking. So are the intrusions on digital rights. For example, we have a First Amendment right to record on-duty police, including ICE and CBP, but federal agents are violating this right. Indeed, Alex Pretti was exercising this right shortly before federal agents shot and killed him. So were the many people wh

EFF Statement on ICE and CBP Violence

Dangerously unchecked surveillance and rights violations have been a throughline of the Department of Homeland Security since the agency’s creation in the wake of the September 11th attacks. In particular, Immigration and Customs Enforcement (ICE) and Customs and Border Protection (CBP) have been responsible for countless civil liberties and digital rights violations since that time. In the past year, however, ICE and CBP have descended into utter lawlessness, repeatedly refusing to exercise or

EDPB and EDPS support streamlining AI Act implementation but call for stronger safeguards to protect fundamental rights

Brussels, 21 January - The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have adopted a Joint Opinion on the European Commission’s Proposal for the ‘Digital Omnibus on AI’. The Proposal seeks to simplify the implementation of certain harmonised rules under the AI Act to ensure their effective application.The EDPB and the EDPS support the objective of addressing practical challenges relating to the implementation of the AI Act. Administrative simplificat

EDRi launches new resource to document abuses and support a full ban on spyware in Europe

Spyware continues to spread across Europe despite years of scandals and undisputable evidence of fundamental rights violations. As the European Commission remains inactive, civil society, journalists and some lawmakers at the European Parliament are stepping up pressure for accountability. In this context, EDRi is launching a document pool to centralise resources that tracks abuse and support the growing push for a full EU-wide ban of spyware. The post EDRi launches new resource to document abus

SO Warszawa - Case C 310/23

Permanent link: The responsible party did not respond adequately and provided unclear information or referred the individual to third parties. As a result, the individual filed a complaint with the Data Protection Authority. The responsible party did not respond adequately and provided unclear information or referred the individual to third parties. As a result, the individual filed a complaint with the Data Protection Authority. The Data Protection Authority has issued a final decision in which the responsible party is warned for violating Article 6(1) of the GDPR and Article 5(1).

SO Warszawa - C 310/23

Vaste link: De verantwoordelijke partij reageerde niet adequaat en verstrekte onduidelijke informatie of verwees de betrokkene naar derden. Hierdoor heeft de betrokkene een klacht ingediend bij de Autoriteit Persoonsgegevens. De verantwoordelijke partij reageerde niet adequaat en verstrekte onduidelijke informatie of verwees de betrokkene naar derden. Hierdoor heeft de betrokkene een klacht ingediend bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens heeft een definitief besluit uitgevaardigd waarin de verantwoordelijke partij wordt gewaarschuwd voor het overtreden van artikel 6(1) van de AVG en artikel 5(1).

#KeepItOn: Iran plunged into digital darkness, concealing human rights abuses

join the international community, including the UN’s Independent International Fact-Finding Mission, in calling on Iran to immediately restore internet and mobile communications and in demanding accountability and transparency for the grave human rights violations documented in the country The post #KeepItOn: Iran plunged into digital darkness, concealing human rights abuses appeared first on Access Now.

SO Warszawa - C 310/23

Fixed Link The controller did not respond adequately, providing unclear information or referring the data subject to third parties. As a result, the data subject lodged a complaint with the DPA.The controller did not respond adequately, providing unclear information or referring the data subject to third parties. As a result, the data subject lodged a complaint with the DPA. The DPA issued a final decision warning the controller for violating [[Article 6(1) GDPR|Article 6(1)]] and [[Article 5(1)

DSB (Oostenrijk) - 2025-0.276.820

Uitspraak === Uitspraak ====== Uitspraak === De Autoriteit Persoonsgegevens (AP) heeft geoordeeld dat de verantwoordelijke partij artikel 58(2)(d) van de AVG heeft overtreden. Dit artikel geeft toezichthoudende autoriteiten de bevoegdheid om bindende instructies te geven aan verantwoordelijken om ervoor te zorgen dat de AVG wordt nageleefd. De overtreding ontstond doordat de verantwoordelijke partij er niet voor zorgde dat de bindende instructie werd uitgevoerd, namelijk het aanpassen van de cookiebanner op de website, zodat gebruikers toestemming net zo gemakkelijk kunnen weigeren als geven. De AP heeft geoordeeld dat de verantwoordelijke partij artikel [[A...

DSB (Austria) - 2025-0.276.820

Ruling === Ruling ====== Ruling === The Data Protection Authority (AP) has ruled that the responsible party violated Article 58(2)(d) of the GDPR. This article grants supervisory authorities the power to issue binding instructions to controllers to ensure compliance with the GDPR. The violation occurred because the responsible party failed to implement a binding instruction, namely to modify the cookie banner on the website so that users can easily reject cookies as well as accept them. The AP has ruled that the responsible party violated Article [[A...

DSB (Austria) - 2025-0.276.820

}}}} An Austrian media company was fined €6,820 by the Data Protection Authority for negligently failing to implement a binding order to modify its website’s cookie banner, delaying user consent options despite all appeals being rejected.The DPA fined a media company €6,820 for failing to bring its cookie banner into compliance by implementing a visually equivalent option to reject cookies. The DPA previously ordered the controller to do so in accordance with Article 58(2)(d) GDPR. == English Su

DSB (Austria) - 2025-0.276.820

Holding === Holding ====== Holding === The DSB held that the controller violated [[Article 58 GDPR#2d|Article 58(2)(d) GDPR]], which grants supervisory authorities the power to issue binding instructions to data controllers to ensure compliance with the GDPR. The violation arose from the controller’s failure to implement the binding instruction requiring modification of the website cookie banner to allow users to refuse consent as easily as giving it.The DSB held that the controller violated [[A

DSB (Oostenrijk) - 2025-0.276.820

}}}} Een Oostenrijks mediabedrijf is door de Autoriteit voor Gegevensbescherming een boete van 6.820 euro opgelegd, omdat het nalatig was bij het implementeren van een bindende aanwijzing om het cookiebanner op zijn website te wijzigen. Hierdoor werden de opties voor toestemming van gebruikers vertraagd, ondanks dat alle bezwaren werden afgewezen. De Autoriteit voor Gegevensbescherming heeft een mediabedrijf een boete van 6.820 euro opgelegd omdat het cookiebanner niet was aangepast om te voldoen aan de wetgeving, en er geen visueel gelijkwaardige optie was om cookies te weigeren. De Autoriteit had eerder aan het bedrijf opgedragen dit te doen, in overeenstemming met artikel 58(2)(d) van de AVG.

DSB (Austria) - 2025-0.276.820

An Austrian media company has been fined €6,820 by the Data Protection Authority because it failed to implement a binding instruction to modify the cookie banner on its website. This resulted in delays in providing users with consent options, despite all objections being rejected. The Data Protection Authority imposed a fine of €6,820 on the media company because the cookie banner had not been adjusted to comply with the law, and there was no visually equivalent option for users to reject cookies. The Authority had previously instructed the company to do so, in accordance with Article 58(2)(d) of the GDPR.

Article 40 GDPR

(3) Controllers and Processors not Subject to the Territorial Scope of the GDPR The focus on a particular sector is supposed to allow for a cost effective way to achieve data protection compliance by taking into account all the specific characteristics of processing carried out in that sector - with particular emphasis on the needs of micro, small and medium enterprises.<ref>EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version

Article 40 GDPR

Commentary CoC are a voluntary accountability tool providing for specific data protection rules for categories of controllers and processors. In other words, CoC can provide a rule book for a group of controllers and processors describing how a GDPR compliant processing operation looks like in the specific processing situation.<ref>EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version 2.0), margin number 7 (available [https://ww

Article 40 of the GDPR (General Data Protection Regulation).

(3) Processors and controllers that do not fall under the territorial scope of the GDPR. The focus on a specific sector is intended to provide a cost-effective way to comply with privacy legislation, taking into account all the specific characteristics of data processing that occurs within that sector, with particular attention to the needs of micro, small, and medium-sized enterprises. <ref>EDPB, 'Guidelines 1/2019 on Codes of Conduct and Supervisory Authorities under Regulation 2016/679', June 4, 2019 (version).</ref>