Charter of Fundamental Rights of the European Union
EU Charter
Artificial Intelligence
AI systems and their implications for data protection
AI artificial intelligence algoritmes algorithms machine learning
Overview
26 sources · Feb 17, 2026Legal Framework
Processing special categories of personal data through AI systems triggers Article 22 GDPR, which establishes a general prohibition subject to specific exceptions. Valid grounds include explicit consent—manifested through a clear affirmative action that is freely given, specific, informed, and unambiguous—or the directly applicable exceptions under paragraphs (a), (c), (d), (e), and (f), which cover substantial public interest, vital interests, and other specified bases without requiring national implementing legislation. Article 25 imposes mandatory obligations regarding data protection by design and by default, requiring controllers to integrate appropriate technical and organizational measures at the outset of processing design and throughout operation. The AI Act intersects with these provisions through Recital 69, which confirms that data minimization and protection by design principles govern the entire AI lifecycle, explicitly sanctioning privacy-preserving techniques such as federated learning where algorithms are brought to data rather than transmitting or copying personal data between parties. Regarding jurisdictional competence, WP29 guidelines (WP 244) clarify that identifying the lead supervisory authority for cross-border processing requires assessing whether substantial effects on data subjects occur, determined case-by-case rather than merely by reference to the number of affected individuals across Member States.
Key Developments
The Court of Justice in Data Protection Commissioner v Facebook Ireland (Schrems) established that national supervisory authorities retain independent powers to suspend transfers of personal data to third countries when GDPR protections are compromised, a principle directly applicable to AI systems processing data internationally. In Google v CNIL, the Court determined that while EU law does not mandate global de-referencing of search results, national data protection authorities possess competence to order such measures when justified under their domestic fundamental rights standards. Enforcement practice reflects heightened scrutiny of AI-related processing: the Romanian National Supervisory Authority (ANSPDCP) fined Tensa Art Design €20,000 for unlawful data processing activities, while the UK Information Commissioner imposed a £247,590 penalty on MediaLab.AI, controller of the Imgur platform, for data protection failures. Regulatory guidance has advanced through the EDPB’s SPE Programme, which proposes comprehensive risk management methodologies for Large Language Models, and the Dutch Data Protection Authority’s RAN framework, which establishes reporting obligations for algorithmic systems.
Practical Guidance
- Implement privacy-preserving architectures: Deploy technical measures such as anonymization, encryption, or federated learning during the design phase to satisfy Article 25 GDPR and AI Act Recital 69, ensuring algorithms process data in situ rather than copying datasets across jurisdictions.
- Establish explicit consent mechanisms: For AI processing of special categories under Article 22, configure interfaces to capture clear affirmative actions (unchecked opt-in boxes or written declarations) that demonstrate freely given, specific, and informed consent, avoiding pre-ticked boxes or implied consent.
- Assess cross-border effects: Apply WP 244 criteria to determine lead supervisory authority by evaluating whether your AI system produces substantial effects on data subjects in multiple Member States, conducting this analysis case-by-case rather than relying solely on user volume thresholds.
- Secure international transfers: Following Schrems, implement supplementary measures including encryption and pseudonymization for personal data transferred to third countries for AI training, ensuring national DPAs can verify that transferred data maintains GDPR-equivalent protection.
- Document algorithmic risk management: Align operational procedures with the EDPB’s SPE Programme methodologies and the Dutch RAN framework, maintaining records of risk assessments and mitigation measures specific to LLM deployments and automated decision-making systems.
Laws (762)
View all 762EPRIVACY-ART-1
Scope and aim
Recital 151
Recital 157
Recital 166
Recital 170
Recital 178
Article 5
Verboden AI-praktijken
Article 6
Classificatieregels voor AI-systemen met een hoog risico
Article 22
Gemachtigden van aanbieders van AI-systemen met een hoog risico
Article 25
Verantwoordelijkheden in de AI-waardeketen
Article 27
Beoordeling van de gevolgen voor de grondrechten van AI-systemen met een hoog risico
Article 66
Taken van de AI-board
Article 71
EU-databank voor in bijlage III vermelde AI-systemen met een hoog risico
Article 72
Monitoring door aanbieders na het in de handel brengen en plan voor monitoring na het in de handel brengen voor AI-systemen met een hoog risico
Article 74
Markttoezicht op en controle van AI-systemen op de markt van de Unie
Article 75
Wederzijdse bijstand, markttoezicht en controle van AI-systemen voor algemene doeleinden
Recital 78
Recital 79
Article 79
Procedure op nationaal niveau voor de omgang met AI-systemen die een risico vormen
Case Law (686)
View all 686ECLI:NL:RBGEL:2026:1247 Rechtbank Gelderland , 20-02-2026 / 05/085805-25
Rechtbank Gelderland
Veroordeling wegens diefstal met valse sleutels, fraude met online handel en fraude met identiteitsgegevens tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk, met een proeftijd van 3 jaar.
ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24
Rechtbank Limburg
Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.
ECLI:NL:RBDHA:2026:3264 Rechtbank Den Haag , 19-02-2026 / NL24.38560
Rechtbank Den Haag
8:29 Awb beslissing, visum kort verblijf, algoritme IOB, wijst het verzoek toe
ECLI:NL:RBAMS:2026:1762 Rechtbank Amsterdam , 18-02-2026 / 13-316587-25
Rechtbank Amsterdam
Vervolgings-EAB Oostenrijk, overlevering toegestaan. Geen weigeringsgronden, terugkeergarantie voldoende.
ECLI:NL:RBDHA:2026:3093 Rechtbank Den Haag , 17-02-2026 / AWB 24/12193
Rechtbank Den Haag
Overplaatsing COA opvang voor meerderjarigen, uitgaan leeftijdsregistratie minister, ongegrond.
ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25
Rechtbank Amsterdam
Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.
ECLI:NL:RBDHA:2026:2772 Rechtbank Den Haag , 13-02-2026 / NL25.20256
Rechtbank Den Haag
hersteluitspraak
ECLI:NL:RBROT:2026:1361 Rechtbank Rotterdam , 13-02-2026 / 11930671 CV EXPL 25-22305
Rechtbank Rotterdam
Eiseres vordert betaling van de factuur voor een online bestelling die volgens haar door gedaagde was gedaan. Gedaagde betwist een bestelling te hebben geplaatst en te hebben ontvangen. Omdat eiseres niet heeft kunnen onderbouwen dat gedaagde de bestelling heeft geplaatst en ontvangen, wordt de vordering afgewezen.
ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971
Rechtbank Overijssel
Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.
ECLI:NL:RBDHA:2026:2640 Rechtbank Den Haag , 12-02-2026 / N25.20256
Rechtbank Den Haag
Asiel Nigeria. Problemen als gevolg van juju-initiatie onvoldoende zwaarwegend. Eiseres ten onrechte niet als alleenstaande vrouw aangemerkt. Onvoldoende gemotiveerd waarom eiseres bij terugkeer naar Nigeria geen reëel risico loopt op ernstige schade vanwege represailles van de mensenhandelaar. Onvoldoende gemotiveerd dat eiseres bij een terugkeer naar Nigeria niet te vrezen heeft dat haar dochters worden besneden. Beroep gegrond.
ECLI:NL:RBAMS:2026:1585 Rechtbank Amsterdam , 12-02-2026 / 13/335542-25
Rechtbank Amsterdam
De rechtbank is van oordeel dat er voor gedetineerden in de detentie-instelling Fresnes een algemeen reëel gevaar bestaat dat zij aan een onmenselijke of vernederende behandeling zullen worden blootgesteld in de zin van artikel 4 Handvest. De rechtbank baseert het algemene gevaar voor de detentie-instelling Fresnes op de overbevolkingsproblematiek en de hiervoor weergegeven slechte materiële detentieomstandigheden, het niet-functionerende intercomsysteem en het ontoereikende niveau van de gezondheidszorg. De rechtbank stelt vast dat er voor de opgeëiste persoon een individueel gevaar bestaat van schending van zijn grondrechten wegens de detentieomstandigheden in de detentie-instelling in Fresnes. De rechtbank stelt, ingevolge artikel 11, vierde lid, OLW, een redelijke termijn van 60 dagen.
ECLI:NL:RBDHA:2026:2626 Rechtbank Den Haag , 12-02-2026 / 09/042631-25 en 09/084601-25 (ttz. gev.)
Rechtbank Den Haag
Veroordeling voor voortgezette handeling van medeplegen poging tot moord en medeplegen voorbereidingshandelingen moord of zware mishandeling met voorbedachten rade en veroordeling voor medeplichtigheid aan voorbereidingshandelingen ontploffing teweegbrengen. Gevangenisstraf 12 jaar met aftrek.
ECLI:NL:GHARL:2026:1002 Gerechtshof Arnhem-Leeuwarden , 12-02-2026 / 25/210148
Gerechtshof Arnhem-Leeuwarden
In deze zaak heeft het hof in een procedure op grond van artikel 12 van het Wetboek van Strafvordering geoordeeld dat de officier van justitie een aangifte tegen onder meer twee journalisten ten onrechte heeft geseponeerd. Het hof heeft verder geoordeeld dat een van de journalisten zich alsnog voor de strafrechter moet verantwoorden voor het doen van uitlatingen in een in 2024 gepubliceerd krantenartikel.
ECLI:NL:RBZWB:2026:915 Rechtbank Zeeland-West-Brabant , 12-02-2026 / BRE 25/4714
Rechtbank Zeeland-West-Brabant
8:54; beroep niet-ontvankelijk wegens niet betalen griffierecht
ECLI:NL:RBGEL:2026:955 Rechtbank Gelderland , 11-02-2026 / AWB - 23 _ 5470
Rechtbank Gelderland
Deze uitspraak gaat over het besluit van de minister op een verzoek van eiser om inzage in of het verkrijgen van een afschrift van dagrapportages die over hem zijn bijgehouden. De rechtbank komt in deze uitspraak tot het oordeel dat de minister met een aanvullend besluit op juiste wijze inzage heeft gegeven in de dagrapportages die over eiser zijn bijgehouden.
ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3
Raad van State
Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.
ECLI:NL:RBAMS:2026:1393 Rechtbank Amsterdam , 10-02-2026 / 13-313776-25
Rechtbank Amsterdam
Executie-EAB uit Hongarije. Verweer ten aanzien van het ontbreken van dubbele strafbaarheid verworpen: nu kortgezegd voldoende is dat zij onder enige Nederlandse strafbepaling valt. De overige aspecten vallen buiten de reikwijdte van de OLW. Verweer ten aanzien van de stelselevenredigheid verworpen. Gelijkstellingsverweer verworpen nu geen stukken daartoe zijn overgelegd. Verweer ten aanzien van de Hongaarse detentieomstandigheden verworpen, nu geen sprake is van een algemeen gevaar, komt de rb niet toe aan de beoordeling van een individueel gevaar. Overlevering toegestaan.
ECLI:NL:GHAMS:2026:324 Gerechtshof Amsterdam , 10-02-2026 / 200.339.869/01, 200.339.845/01 en 200.339.905/01
Gerechtshof Amsterdam
WAMCA-procedure. Aktewisseling na tussenarrest (ECLI:NL:GHAMS:2025:2666).
ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24
Rechtbank Gelderland
Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.
ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285
Rechtbank Noord-Holland
AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.
Guidance (96)
View all 96Position paper AP: Omnibus Digitaal en Omnibus AI
AP
Position paper AP: Omnibus Digitaal en Omnibus AI
VERSIEGESCHIEDENIS
binding corporate rules voor verwerkingsverantwoordelijken
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
guidelines toestemming
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Guidelines 02/2022 on the application of Article 60 GDPR
Guidelines on the application of Article 60 GDPR
With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...
Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679
Guidelines on relevant and reasoned objection under Regulation 2016/679
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Versiegeschiedenis
guidelines meldplicht datalekken
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679
guidelines gedragscodes en toezichthoudende organen
Versiegeschiedenis
guidelines uitvoeren overeenkomst
Versiegeschiedenis
guidelines accreditatie
Guidelines 04/2021 on Codes of Conduct as tools for transfers
Guidelines on codes of conduct and monitoring bodies
The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...
Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
Guidelines on processing of personal data through video devices
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Guidelines 03/2021 on the application of Article 65(1)(a) GDPR
Guidelines on the application of Article 60 GDPR
Enforcement (2057)
View all 2057MediaLab.AI, Inc.: Insufficient legal basis for data processing
€284,450 fine - Information Commissioner (ICO)
The UK DPA has imposed a fine of GBP 247,590 (EUR 284,450) on MediaLab.AI, Inc.The controller of the image-sharing and hosting platform Imgur failed to implement age verification. This resulted in the controller processing children's data without sufficient legal basis, as the consent given was not provided by the children's parents or carers.
Tensa Art Design S.A: Insufficient cooperation with supervisory authority
€20,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 20,000 onTensa Art Design S.A.The DPA began investigating the controller's data processing activities, but the controller failed to respond to the DPA's requests.
Municipality of Delft: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Delft. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up
Municipality of Ede: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Ede. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up me
Municipality of Gooise Meren: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Gooise Meren. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism step
Municipality of Hilversum: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Hilversum. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped
Municipality of Haarlemmermeer: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Haarlemmermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism st
FREE TECHNOLOGIES EXCOM, S.L.: Insufficient technical and organisational measures to ensure information security
€10,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 10,000 on FREE TECHNOLOGIES EXCOM, S.L. The controller had reset user passwords and communicated the new passwords to the clients via email. However, the email was not encrypted and did not implement any other appropriate security measures.
Municipality of Huizen: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Huizen. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up
Municipality of Tilburg: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Tilburg. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped u
Municipality of Veenendaal: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Veenendaal. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe
Municipality of Zoetermeer: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Zoetermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe
Municipality of Eindhoven: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Eindhoven. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped
Alliance for the Union of Romanians (AUR) Party: Insufficient fulfilment of data subjects rights
€1,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 1,000 on the Alliance for the Union of Romanians (AUR) Party. The controller failed to react adequately to a data subject's request to exercise their rights regarding a personal letter containing electoral information.
Natural Person: Non-compliance with general data processing principles
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on a natural person. The controller operated a website on which identity cards containing personal data, including special category data, possible criminal convictions, data on the intimate lives of data subjects and possible debts, were published. The processing of this data was not based on a sufficient legal basis, and the controller did not ensure that the data was correct, complete or transparent. Furthermore, the controller did not adequate
Sportadmin i Skandinavien AB: Insufficient technical and organisational measures to ensure information security
€565,000 fine - Data Protection Authority of Sweden (Integritetsskyddsmyndigheten)
The Swedish DPA has imposed a fine of EUR 565,500 on Sportadmin i Skandinavien AB. The controller suffered a sucessfull cyber attack, resulting in personal and special category data of 2,126,075 individuals, including minors, beeing published in the darknet. The attack happend due to an succesfull SQL injection on one of the controllers websites, which had not been protected against this kind of attack, granting the attacker access to the controllers server, allowing him to exfiltrate said data.
FRANCE TRAVAIL: Insufficient technical and organisational measures to ensure information security
€5,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 5,000,000 on FRANCE TRAVAIL. The controller suffered a successful cyber attack due to insufficient technical and organisational measures, resulting in the leak of personal and special category data concerning 38,820,828 individuals. The attack was carried out using the 'social engineering' method, meaning that the attacker obtained goods or information by exploiting the trust, ignorance or credulity of third parties.
Continental Automotive Products SRL: Insufficient technical and organisational measures to ensure information security
€15,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 15,000 on Continental Automotive Products SRL. The controller failed to implement adequate technical and organisational measures, resulting in a cyber incident.
Timegrip AS: Insufficient fulfilment of data subjects rights
€21,650 fine - Norwegian Supervisory Authority (Datatilsynet)
The Norwegian DPA has imposed a fine of EUR 21,650 on Timegrip AS. The controller had been tracking the working hours of employees at a company that went bankrupt. A former employee requested that the controller send the working hours to the data subject so that they could claim their unpaid wages from the bankruptcy estate. Furthermore, the bankruptcy estate itself requested the data, but the controller refused to send it to them.
PREMIER RESTAURANTS ROMANIA SRL: Insufficient technical and organisational measures to ensure information security
€8,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 8,000 on PREMIER RESTAURANTS ROMANIA SRL. The controller failed to implement adequate technical and organisational measures, resulting in a cyber incident.
News (723)
View all 723THE HACK: Orbán’s AI propaganda campaign
In today's edition: Council deletes GDPR changes, EU-US biometrics deal ajar to automated decisions
AI-generated imagery and protection of privacy: EDPB supports joint Global Privacy Assembly’s statement
Brussels, 23 February - EDPB Chair Anu Talus has signed a Joint Statement on AI-Generated Imagery and the Protection of Privacy on behalf of the EDPB. The statement, coordinated by the Global Privacy Assembly's (GPA) International Enforcement Cooperation Working Group (IEWG), represents the united position of 61 authorities across the world. This reflects the Board’s commitment to contributing to the global dialogue on data protection as outlined in the fourth pillar of its work programme 2026-2
Hungary’s election battle mixes AI smears with Facebook ‘fight club’
Orbán-linked AI deepfakes flood social media despite EU attempts to boost transparency of Facebook ad ban
FIRST AID: Can everyday medicines stay affordable?
In today's edition: Wastewater rules, Sweden's tobacco veto, week ahead
Public sector AI readiness: closing the gap between ambition and execution in Europe
Across Europe, governments are moving quickly to harness the potential of artificial intelligence. National strategies are being announced, innovation hubs funded, and pilot programs launched. From healthcare to taxation, I have seen how AI is emerging as a powerful lever to enhance public services and strengthen Europe’s global competitiveness. The urgency is political and practical: […]
Rob Jetten is sworn in as youngest Dutch prime minister
The 38-year-old has an ambitious agenda — ranging from raising defense spending to cutting farming emissions — but will have to work via a minority government.
Hungary threatens EU’s Ukraine support — Live updates
Ahead of four-year anniversary of Russia's war, Budapest says it won't back loan to Kyiv.
Orbán crashes EU’s Ukraine anniversary plans
In Monday’s edition, also: Turnberry, Board of Peace, Kushner senior, data scoop
EU countries furious at Hungary over plan to block Russia sanctions and Ukraine loan
EU's top diplomats "really upset and frustrated" over Budapest's stonewalling.
Fishermen protest as Spain’s wind power boom heads offshore
Floating turbines offer a solution where seas are too deep for conventional towers – but locals in Galicia fear the impact on their centuries-old maritime tradition
EU’s Ukraine envoy: Russian ‘war crime’ leaves Kyiv civilians freezing
On the EU Confidential podcast, EU Ambassador to Ukraine Katarina Mathernová says an "information fog" has obscured the extent of suffering as Moscow attacks energy infrastructure.
‘Volia’, Ukraine, and the future of Europe
The EU is sustained by a shared commitment to be on the right side of history, upholding freedom, self-determination, peace and prosperity. Failure to stand with Ukraine in its darkest hour would betray this commitment
VOLTAGE: Fishermen protest as Spain’s wind power boom heads offshore
In today's edition: Wind power, Ukraine crisis, US interference
Missiles pound Kyiv ahead of Russia invasion anniversary
Ukrainian President Volodymyr Zelenskyy told AFP that Ukraine was "definitely not losing" the war and that victory remained the goal
European Parliament to suspend US trade deal amid tariff ‘chaos’
Lange cites legal uncertainty after US court strikes tariffs
Hungary to veto EU’s 20th sanctions package on Russia
The move comes days after Budapest said it would block a €90 billion EU loan to Kyiv
Trump hikes US global tariff rate to 15%
Several countries have said they are studying the Supreme Court ruling and Trump's subsequent tariff announcements
Tietosuojavaltuutetun toimisto (Finland) - TSV/112/2022 (9079/152/22)
Created page with "{{DPAdecisionBOX |Jurisdiction=Finland |DPA-BG-Color= |DPAlogo=LogoFI.png |DPA_Abbrevation=Tietosuojavaltuutetun toimisto |DPA_With_Country=Tietosuojavaltuutetun toimisto (Finland) |Case_Number_Name=TSV/112/2022 (9079/152/22) |ECLI= |Original_Source_Name_1=Finlex |Original_Source_Link_1=https://www.finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2025/2487#OT0_OT0 |Original_Source_Language_1=Finnish |Original_Source_Language__Code_1=FI |Original_Source_Name_2= |Origina..." New
Europe’s fragmented rearmament undermines its own security
Europe risks falling into a dangerous rhetoric-reality gap; it cannot claim unity while pursuing contradictory national policies
Kyiv urges Brussels to intervene in Hungary oil pipeline feud
Hungary is blocking both a €90 billion loan to Ukraine and diesel deliveries