Right of Access Procedures
This new topic is needed because Article 15 GDPR deserves dedicated coverage for its specific procedures, requirements, timelines, formats, and exceptions related to the right of access by data subjects.
Article 15 GDPR right of access access request data subject access access procedures access timeline access format access scope
Overview
25 sources · Feb 21, 2026Legal Framework
Article 15 GDPR establishes the right of access, requiring controllers to provide confirmation of processing, copies of personal data, and supplementary information regarding recipients, purposes, and retention periods. This right implements Article 8 of the EU Charter of Fundamental Rights. The provision accommodates specific procedural limitations: controllers need not inform data subjects who have already received complete information from the original source, or where notification proves impossible or requires disproportionate effort, particularly in scientific or historical research contexts.
Article 89(2)-(3) GDPR permits Member States to restrict access rights for scientific research, statistical purposes, and archiving in the public interest. Controllers must conduct case-by-case assessments when applying these exemptions; statutory frameworks do not authorize automatic exclusion of Article 15 rights. Additionally, national implementations may establish specific procedures governing supervisory access to business premises and equipment for controllers bound by professional secrecy obligations under EU or national law. Separately, the Digital Services Act (Recitals 96-97, 146) creates distinct data access frameworks for regulatory oversight of very large online platforms and vetted researchers, subject to proportionality and confidentiality requirements.
Key Developments
The CJEU in Jehovah’s Witnesses established that controllers cannot systematically deny Article 15 requests solely to protect third-party privacy interests without conducting individual assessments of necessity and proportionality (¶¶ 89-94). In Bara, the Court clarified that national legislation not mandating specific data transfers cannot substitute for the controller’s prior information obligations, reinforcing strict transparency duties. The EDPB Guidelines 01/2022 emphasize that access rights require meaningful compliance, not merely procedural responses. Enforcement actions by the Romanian ANSPDCP (Order of Biochemists, €1,000) and the Slovak DPA demonstrate that failure to provide substantive access triggers penalties regardless of organizational scale. Recent jurisprudence, including Finnish DPA decision TSV/258/2022 and Paris Court of Appeal ruling 25/04270, signals heightened scrutiny of response formats and timeliness.
Practical Guidance
- Evaluate proportionality individually before denying access based on third-party privacy impacts; Jehovah’s Witnesses prohibits categorical refusals without specific analysis.
- When processing for research or archiving purposes, document the necessity and proportionality of any Article 89(2)-(3) restriction through case-by-case assessment, avoiding blanket exclusions.
- Verify whether data subjects received complete information from upstream controllers to determine if the "already informed" exception discharges notification obligations.
- Distinguish between Article 15 data subject requests and supervisory inspection powers regarding business premises, particularly when professional secrecy obligations apply.
- Provide substantive responses in accessible formats within statutory deadlines, as recent enforcement targets both complete failures and technically deficient replies.
Laws (7)
Case Law (117)
View all 117ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971
Rechtbank Overijssel
Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.
ECLI:NL:RBNNE:2026:389 Rechtbank Noord-Nederland , 13-02-2026 / LEE 24/4934 V
Rechtbank Noord-Nederland
Verzet tegen de uitspraak van 15 oktober 2025. In de uitspraak heeft de rechtbank het beroep kennelijk niet-ontvankelijk heeft verklaard. Opposant heeft tegen de uitspraak aangevoerd dat hij zijn dossier niet toegestuurd heeft gekregen en/of heeft kunnen inzien. Ook stelt hij dat de rechter die de uitspraak van 15 oktober 2025 heeft gedaan zich had moeten verschonen. De rechtbank begrijpt het verzet verder zo dat opposant vindt dat hem wel een beroep op betalingsonmacht toekomt. Tenslotte voert opposant aan dat hij niet wil meewerken aan het girale geldsysteem.
ECLI:NL:HR:2026:201 Hoge Raad , 06-02-2026 / 25/02135
Hoge Raad
Procesrecht. Wet vereenvoudiging en modernisering bewijsrecht; overgangsrecht. Art. 200 Rv van toepassing op het instellen van een rechtsmiddel tegen de uitspraak op een inzageverzoek (of verzoek om andere voorlopige bewijsverrichtingen) indien het verzoek is gedaan vóór 1 januari 2025 en de uitspraak na die datum is gedaan? Art. XIIA Wet vereenvoudiging en modernisering bewijsrecht; art. 74 lid 1 Overgangswet NBW. Ontvankelijkheid cassatieberoep.
ECLI:NL:RBLIM:2026:1370 Rechtbank Limburg , 06-02-2026 / C/03/348527 / KG ZA 26-5
Rechtbank Limburg
Vordering tot afgifte camerabeelden afgewezen. Belang zorginstelling om haar medewerkers te beschermen prevaleert boven belang ouders om zelf over de camerabeelden te kunnen beschikken.
ECLI:NL:RBNNE:2026:438 Rechtbank Noord-Nederland , 03-02-2026 / 24/1620
Rechtbank Noord-Nederland
Varia. Deze uitspraak gaat over eisers verzoek om inzage in zijn persoonsgegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek gedeeltelijk toegewezen. Eiser is het niet eens met het afgewezen deel in het besluit. Hij voert daartoe een aantal beroepsgronden aan. De rechtbank komt in deze uitspraak tot het oordeel dat zij het beroep niet inhoudelijk kan behandelen, omdat het procesbelang van eiser onvoldoende is aangetoond. Het beroep is niet-ontvankelijk.
ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445
Rechtbank Limburg
Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?
ECLI:NL:GHARL:2026:557 Gerechtshof Arnhem-Leeuwarden , 27-01-2026 / 22/1113 tm 22/1118 en 22/1119, 22/1121 en 22/1122
Gerechtshof Arnhem-Leeuwarden
Verzoek beperkte kennisneming.
Rechtbank Amsterdam
Rechtbank Amsterdam
Verzoek afgewezen
Overheidsinstantie die gegevens ontvangt hoeft niet vermeld te worden nu het geen ontvanger is
Rechtbank
Weigering inzage aan wie gegevens zijn verstrekt nu het overheidsinstanties zijn. “Naar het oordeel van de rechtbank heeft de minister voldaan aan het inzageverzoek van eiseres door haar een overzicht te verschaffen van haar gegevens die zijn verwerkt in de FSV. Uit het overzicht volgt dat de voo...
WS v European Commission
General Court EU
In deze zaak gaat het om WS, die bij deelname aan selectieprocedures voor EU-contract- en tijdelijk personeel een EPSO-account aanmaakte in het Talent-systeem en na succes in een procedure ook in de recruitmentportal werd opgenomen. WS deed vervolgens meerdere AVG-achtige verzoeken op grond van a...
Specifiek verzoek om namen ontvangers van persoonsgegevens verwerkt door handelsinformatiekantoor, niet categorieën, toegewezen. Bedrijfsgeheim argument houdt geen stand.
Rechtbank
Zaak tegen Graydon. Verzoek om inzage in specifieke ontvangers van persoonsgegevens van betrokkene, en neemt niet genoeg met categorieën ontvangers. Graydon weigert met een beroep op 41(1)(e) UAVG bescherming van het recht van anderen, in dit geval Graydon zelf. “De ontvangers zijn klanten van Gr...
Inzage transactiegegevens. Overwegingen inzake toepassing Maltese uitzondering op inzagerecht.
Hoge Raad
Unibet/Risepoint/Kindred-zaak. Geen misbruik van recht. Wordt verzocht om een overzicht met zijn transactiegegevens. “De voorzieningenrechter is er niet van overtuigd dat [eiser] inzage verzoekt om zijn persoonsgegevens te controleren. Hij stelt dit weliswaar in de dagvaarding, maar heeft hier op...
Inzage FSV. Uitzondering 'ontvanger' definitie.
Rechtbank
Verzoek om inzage in persoonsgegevens in de FSV, beroep ongegrond. “Naar het oordeel van de rechtbank heeft de minister voldaan aan het inzageverzoek van eiser door hem een overzicht te verschaffen van zijn gegevens die zijn verwerkt in de FSV. Uit het overzicht volgt dat de voor- en achternaam e...
Uitzondering openbare orde bij inzageverzoek incidentenrapport n.a.v. parachutsprong ongeluk
Rechtbank
Heeft verzoeker recht op inzage in incidentenrapport op grond van de artikel 15 AVG naar aanleiding van ongeval bij parachutespringen?
Verzoek om informatie in dit geval geen verzoek om inzage ex art. 15 AVG. Relevant in 35 UAVG kader. Berekening van pensioen is geen persoonsgegeven.
Rechtbank
“De rechtbank is van oordeel dat de brief van [verzoeker] niet kan worden opgevat als een verzoek tot het krijgen van inzage in verwerkte persoonsgegevens in de zin van de AVG/UAVG. Weliswaar is een inzageverzoek niet aan een bepaalde vorm/indeling gebonden, maar het moet voor de verwerkingsveran...
FSV. Inzage. Beroep gegrond vanwege strijd met zorgvuldigheidsbeginsel
Rechtbank
Beroep, verzoek om inzage op grond van artikel 15 AVG, FSV, gegrond
Beroep niet tijdig besluiten inzageverzoek niet tijdig ingediend
Rechtbank
Beroep wegens het uitblijven van een beslissing (ntb). Eiser heeft beroep ingesteld bij de rechtbank wegens het uitblijven van een nieuwe beslissing op bezwaar, zoals de rechtbank heeft bepaald in haar uitspraak van 17 november 2023. De rechtbank is van oordeel dat het beroep wegens het uitblijven van een beslissing niet-ontvankelijk is, omdat het beroepschrift onredelijk laat is ingediend. Het is niet gebleken dat partijen nog met elkaar in gesprek waren of dat eiser spoedig een nieuwe beslissing kon verwachten, wat een langere termijn voor het instellen van het beroep had kunnen rechtvaardigen. Beroep niet-ontvankelijk.
Inzage in politiegegevens in herstelbesluit gegeven
Rechtbank
verzoek om inzage in persoonsgegevens in politieregisters.
Toesting Wpg-besluit kan niet via AVG-besluit. Geen profilering
Rechtbank
AVG inzageverzoek - omvang van het geding - Wpg-besluit van de Nederlandse Arbeidsinspectie dat n.a.v. bezwaar is genomen, kent een zelfstandige beroepsprocedure - geen toetsing van Wpg-besluit in dit beroep - minister SZW heeft inzage in de gegevensverwerking heimelijke salafisme-onderzoeken deugdelijk gemotiveerd - profilering artikel 4, lid 4 AVG - beroep ongegrond.
Kort:
Kifid
“3.14 Volgens de consument heeft de verzekeraar niet voldaan aan zijn wettelijke plicht tot het verstrekken van inzage aan de consument en hem in de gelegenheid te stellen tot het uitoefenen van zijn correctierecht. De verzekeraar heeft aangevoerd dat het recht op inzage en het recht op rectifica...
Guidance (32)
View all 32Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Version history
Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies
Versiegeschiedenis
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...
Guidelines 03/2021 on the application of Article 65(1)(a) GDPR
Guidelines on the application of Article 60 GDPR
Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
Guidelines on processing of personal data through video devices
Guidelines 04/2021 on Codes of Conduct as tools for transfers
Guidelines on codes of conduct and monitoring bodies
The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...
Guidelines 07/2022 on certification as a tool for transfers
Guidelines on certification and identifying certification criteria
The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR). These guidelines provide guidance as to the applicati...
Versiegeschiedenis
Translations proofread by EDPB Members. This language version has not yet been proofread.
van de tekst in de afbeeldingen in de bijlage
Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG
guidelines voor de toepassing van artikel 60 AVG
Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage
guidelines recht op inzage
Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Versiegeschiedenis
guidelines recht op inzage
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Enforcement (28)
View all 28SLOVENAKIË, DPB: Onvoldoende naleving van de rechten van betrokkenen.
Slovaakse Autoriteit voor Gegevensbescherming.
Een verantwoordelijke voor de gegevensverwerking heeft niet voldaan aan het verzoek van een betrokkene om toegang te krijgen tot zijn of haar persoonlijke gegevens die zijn verwerkt via audio-opnamen.
Orde van biochemici, biologen en chemici in het Roemeense gezondheidszorgsysteem: Onvoldoende naleving van de rechten van betrokkenen.
1.000 euro boete - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming heeft een boete van 1.000 euro opgelegd aan de organisatie "Order of Biochemists, Biologists and Chemists" in het Roemeense gezondheidszorgsysteem. De verantwoordelijke partij heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.
NN Greek Single-Member Anonymous Life Insurance Company: Insufficient fulfilment of data subjects rights
€20,000 fine - Hellenic Data Protection Authority (HDPA)
The Greek DPA has imposed a fine of EUR 20,000 on NN Greek Single-Member Anonymous Life Insurance Company. The controller failed to provide the data subject with the personal data they had requested, thereby infringing the data subject's right of access.
Data Diggers Market Research SRL: Niet-naleving van algemene principes voor gegevensverwerking.
Een boete van €12.000 - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 12.000 euro opgelegd aan Data Diggers Market Research SRL. De verantwoordelijke partij heeft persoonsgegevens verwerkt zonder voldoende wettelijke basis. Bovendien heeft de verantwoordelijke partij de betrokkenen niet voorzien van de noodzakelijke informatie over de gegevensverwerking. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op verzoeken van betrokkenen om hun rechten uit te oefenen.
Tirrenia Hospital S.r.l.: Insufficient fulfilment of data subjects rights
€2,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 2,000 on Tirrenia Hospital S.r.l. The controller failed to respond to a data access request from a data subject.
Gynaecoloog: Onvoldoende nakoming van de informatieplicht.
Een boete van €5.000 - Hellenic Data Protection Authority (HDPA).
De Griekse autoriteit voor gegevensbescherming heeft een gynaecoloog een boete van 5.000 euro opgelegd. De arts heeft niet volledig aan een informatieverzoek van een patiënt voldaan.
CREMA GAMES, S.L.: Onvoldoende nakoming van de informatieverplichtingen.
Een boete van 4.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan CREMA GAMES, S.L. De verantwoordelijke partij heeft een verzoek om informatie van een online klant niet inwilligend gemaakt. De verantwoordelijke partij had de betrokkene om een identiteitsbewijs gevraagd, maar de betrokkene had dit niet verstrekt. Hierdoor weigerde de verantwoordelijke partij het verzoek om informatie te behandelen. Volgens de DPA had de verantwoordelijke partij een digitale authenticatiemethode moeten gebruiken. De oorspronkelijke boete van 5.000 euro is verlaagd naar 4.000 euro vanwege een onmiddellijke betaling zonder erkenning van schuld.
Vinted: Insufficient fulfilment of data subjects rights
€2,385,276 fine - Lithuanian Data Protection Authority (VDAI)
The Lithuanian DPA has imposed a fine of EUR 2,385,276 on the second-hand online store 'Vinted'. The DPA initiated an investigation after the Polish and French DPAs forwarded complaints against the company. During its investigation, the DPA found that the company had not adequately processed deletion requests from data subjects as they had not provided specific reasons for their deletion request. It was also revealed that the company was unlawfully using 'shadow blocking' to remove users from th
FRANCE DPA: Insufficient fulfilment of data subjects rights
French Data Protection Authority (CNIL)
The French DPA has imposed a fine on a controller for not sufficiently respecting data subjects' rights (exercising the right of access to a medical file).
Clearview AI Inc.: Non-compliance with general data processing principles
€30,500,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has fined Clearview Al Inc. EUR 30,500,000. Clearview, a company offering facial recognition services, holds a database of over 30 billion images, including those of Dutch citizens. These images are scraped from publicly available online platforms, such as social media. Clearview uses these images to create biometric profiles, allowing individuals to be identified. During its investigation the DPA found that the personal data contained in the company's database had been processed u
Dentist: Insufficient fulfilment of data subjects rights
€5,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 5,000 on a dentist due to a lack of data security and a failure to respect the right of access of a data subject.
Black Tiger Belgium: Insufficient fulfilment of information obligations
€174,640 fine - Belgian Data Protection Authority (APD)
The Belgian DPA has imposed a fine of EUR 174,640 on Black Tiger Belgium. An individual had filed a complaint with the DPA due to the controller's failure to properly comply with their request to exercise their right of access. During its investigation, the DPA further found that the controller had processed personal data in various databases without sufficiently informing the data subjects. The DPA also found that the data retention period of 15 years was excessively long and not necessary. Fin
Unicredit S.p.A.: Insufficient fulfilment of data subjects rights
€70,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has fined Unicredit S.p.A. EUR 70,000. An employee had filed a complaint with the DPA claiming that their right to access their personal data had not been sufficiently respected. The company required a specific form to be filled out in order to gain access to personal data. During its investigation, the DPA found that the requirement to fill out the form made it disproportionately difficult to exercise the right of access.
Clearview Al Inc.: Non-compliance with general data processing principles
€9,000,000 fine - Information Commissioner (ICO)
The UK DPA has fined Clearview AI Inc. EUR 9 million. The company holds a database of more than 20 billion facial images (including those of UK residents and nationals) from around the world. The data is collected online from publicly accessible platforms such as social networks. The company offers a search service that allows individuals be identified based on the biometric data extracted from the images. Individuals' profiles can be enriched with information associated with those images, such
Il Sole 24 Ore S.p.a.: Insufficient fulfilment of data subjects rights
€40,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has fined the newspaper Il Sole 24 Ore S.p.a. EUR 40,000. The newspaper had published an article on the recognition by the Italian authorities of a U.S. judge's decision on the adoption of a child by a same-sex couple. By mistake, the newspaper also published personal data on the couple and the adopted child. The couple then demanded the deletion of the personal data and access to information about the processing of the personal data. The newspaper deleted the personal data, but
Kaufland România SCS: Insufficient fulfilment of data subjects rights
€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA (ANSPDCP) has imposed a fine of EUR 3,000 on Kaufland Romania SCS. The DPA initiated an investigation based on a complaint from an individual stating that the controller had not provided them with a complete copy of the video recordings for a certain period of time when they had been in the store premises. The DPA stated that the controller is obliged to disclose the video images of the data subject after they excercise their right of access, and that the controller may disclose
TIM S.p.A.: Insufficient fulfilment of data subjects rights
€150,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA (Garante) has fined mobile operator TIM S.p.A. EUR 150,000 for denying a data subject access to his phone data needed to defend himself in a criminal case. Since the data subject received no response to his repeated requests to the company, he turned to the DPA to obtain the data in time for the hearing in the criminal proceedings.
Cypriot Real Estate Registration Authority: Insufficient fulfilment of information obligations
€10,000 fine - Cypriot Data Protection Commissioner
The Cypriot DPA imposed a fine of EUR 10,000 on the Cypriot Real Estate Registration Authority. The data subject submitted a written request to the controller requesting various information relating to him personally, exercising the right of access granted to him under Art. 15 GDPR. After the controller failed to respond to the request for information, the data subject filed a complaint with the DPA. In the course of the subsequent investigation by the DPA, the controller also failed to respond
Cosmetic Medical Limited: Insufficient cooperation with supervisory authority
€3,250 fine - Information Commissioner of Isle of Man
The DPA of Isle of Man has imposed a fine of EUR 3,250 on Cosmetic Medical Limited. A data subject had filed a complaint with the DPA regarding the controller's failure to comply with her request to exercise her right of access to personal data. As part of its investigation, the DPA sent the controller a request for information in order to clarify the facts of the case. However, the controller had not responded to this request in due time. The DPA concluded that as the controller did not properl
American College of Greece: Insufficient fulfilment of information obligations
€1,000 fine - Hellenic Data Protection Authority (HDPA)
The Hellenic DPA (HDPA) imposed a fine of EUR 1,000 against the American College of Greece for violations of the right of access and the right to erasure of personal data.
News (21)
View all 21CA Paris - 25/04270
}}}} A court held that a former employee cannot receive access to their work email correspondence and files based on an access request when the emails and files only contain the employee’s identification information.A court held that a former employee cannot request access to their work email correspondence and other work-related files when the emails and files only contain the employee’s identification information. == English Summary ==== English Summary == Following his dismissal, the data sub
Tietosuojavaltuutetun toimisto (Finland) - TSV/258/2022
|Initial_Contributor=lde|Initial_Contributor=lde || }}}}The DPA found that the food delivery company Wolt failed to respond properly and in time to a customer’s access request after their account was blocked. The DPA found that Wolt violated [[Article 12 GDPR|Article 12 GDPR]] by failing to respond properly and in time to a data subject’s access request, thus failing to facilitate the exercise of rights or provide a timely refusal. == English Summary ==== English Summary ==
VDAI (Lithuania) - Nr. 3R-219 (2.13-1.E)
}}}} The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete access response.The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete response to an access reque
VG Osnabrück - 7 A 6/24
Fixed a link. }}}} A court held that a public authority violated Article 12(3) and [[Article 15 GDPR#1|Article 15(1) GDPR]] by failing to respond within one month to an access request and by wrongly requiring a reference date.A court held that a public authority violated [[Article 12 GDPR|Article 12(3)]] and [[Article 15 GDPR#1|Article 15(1) GDPR]] by failing to respond within one month to an access request and by wrongly requiring a reference date. == English Summary ==== English Summary == The
VG Düsseldorf - 29 K 9469/23
Facts }}}} The court held that under [[Article 15 GDPR#3|Article 15(3) GDPR]] controllers may lawfully redact third-party data as long as the data subject’s information remains complete and understandable.A court held that under [[Article 15 GDPR#3|Article 15(3) GDPR]] controllers may lawfully redact third-party data as long as the data subject’s information remains complete and understandable. == English Summary ==== English Summary == The data subject was subject to a home visit by the public
DSB (Austria) - 2025-0.789.117
|Initial_Contributor=xz|Initial_Contributor=xz || }}}}The DPA held that the daughter of a deceased patient could not request access under Article 15 GDPR from a hospital regarding her deceased father’s cause of death, as the information refers to her father and the right of access is a strictly personal and non-transferable right. The DPA held that a hospital did not violate [[Article 15 GDPR]] by not providing information on the medical cause of death, as the request did not concern the data su
DSB (Oostenrijk) - 2025-0.395.497
}}}} De gegevensbeschermingsautoriteit (DPA) heeft vastgesteld dat volgens [[Artikel 15 AVG|Artikel 15 AVG]], een betrokkene het recht heeft om toegang te krijgen tot persoonsgegevens die betrekking hebben op die betrokkene, maar dit recht strekt zich niet uit tot volledige documenten die informatie over derden bevatten. Vertrouwelijke communicatie en juridische adviezen binnen tuchtrechtelijke procedures zijn uitgesloten. De gegevensbeschermingsautoriteit (DPA) heeft vastgesteld dat volgens [[Artikel 15 AVG]], een betrokkene het recht heeft om toegang te krijgen tot persoonsgegevens die betrekking hebben op die betrokkene, maar dit recht strekt zich niet uit tot volledige documenten die bevatt
DSB (Austria) - 2025-0.395.497
}}}} The DPA held that under [[Article 15 GDPR|Article 15 GDPR]], a data subject has the right to access personal data concerning themselves, but this does not extend to entire documents containing information about third parties. Confidential communications and legal opinions within disciplinary proceedings are exempt.The DPA held that under [[Article 15 GDPR]], a data subject has the right to access personal data concerning themselves, but this does not extend to entire documents containing in
OGH - 6Ob189/24y
|Case_Number_Name=6Ob189/24y|Case_Number_Name=6Ob189/24y |ECLI=|ECLI=ECLI:AT:OGH0002:2025:0060OB00189.24Y.1126.000 |Original_Source_Name_1=RIS|Original_Source_Name_1=RIS === Holding ====== Holding === The Austrian Supreme Court (OGH) ruled that Meta must provide data subject and any data subject requesting it, full access to all personal data processed about them. This includes information about the sources of the data, recipients, and the purposes for which each piece of data was processed. All
OGH - 6Ob189/24y
|Case Number=6Ob189/24y|Case Number=6Ob189/24y |ECLI=|ECLI=ECLI:AT:OGH0002:2025:0060OB00189.24Y.1126.000 |Source=RIS|Source=RIS === Key Decision ====== Key Decision === The Austrian Supreme Court (OGH) has ruled that Meta must grant all individuals concerned, and anyone who requests it, full access to all personal data processed about them. This includes information about the sources of the data, the recipients, and the purposes for which each part of the data is processed. All.
De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.
Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
Greek SA fines Clearview AI for EUR 20M
A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
AEPD publishes GDPR Risk Assessment
> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.
ICO finds multiple public, private entities 'repeatedly' failed to meet SAR deadlines
> The U.K. Information Commissioner’s Office issued reprimands and practice recommendations for seven public and private entities for failure to respond to subject access requests. The entities included the Ministry of Defence, the Home Office, Kent police and Virgin Media. The ICO found the organizations “repeatedly failed" to meet the deadline to respond to SAR requests of one to three months. For instance, the MoD has a backlog 9,000 SAR requests dating back to March 2020.Full Story
De ICO (Information Commissioner's Office) heeft geconstateerd dat verschillende overheids- en private organisaties herhaaldelijk de deadlines voor het indienen van meldingen van datalekken (SAR, Subject Access Requests) niet hebben nageleefd.
Het Britse Information Commissioner's Office heeft zeven overheids- en private organisaties berispt en aanbevelingen gedaan over hun werkwijze, vanwege het niet tijdig reageren op verzoeken van burgers om toegang tot hun persoonlijke gegevens. De organisaties omvatten onder meer het Ministerie van Defensie, het Ministerie van Binnenlandse Zaken, de politie van Kent en Virgin Media. De ICO constateerde dat de organisaties "herhaaldelijk" tekortschoten in het halen van de deadline om binnen één tot drie maanden te reageren op deze verzoeken. Zo heeft het Ministerie van Defensie bijvoorbeeld een achterstand van 9.000 verzoeken die al dateren van maart 2020. Volledig artikel.
What Happened to the Risk-Based Approach to Data Transfers?
The GDPR incorporates the RBA for all obligations of the controller in the GDPR. Where the transfer rules are stated as obligations of the controller (rather than as absolute principles), the RBA of Article 24 therefore applies. Other than the DPAs assume, this is not contradicted by the ECJ in Schrems II nor by the EDPB recommendations on additional measures following the Schrems II judgment, according to Lokke Moerel, Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security
Europol told to hand over personal data to Dutch activist
The European Data Protection Supervisor ordered Europol to hand over personal data to Dutch activist Frank van der Linde. The decision is the result of a two-year investigation into Europol's possession and storage of van der Linde's personal data.
Europol wordt gevraagd om persoonlijke gegevens over te dragen aan een Nederlandse activist.
De Europese Toezichthouder op de Bescherming van Persoonsgegevens heeft Europol opgedragen om persoonlijke gegevens over te dragen aan de Nederlandse activist Frank van der Linde. Dit besluit is het resultaat van een onderzoek van twee jaar naar de manier waarop Europol de persoonlijke gegevens van Van der Linde bewaart en verwerkt.
UK data protection reform: How the UK's GDPR may change
> The current version of the Bill seeks to maintain the majority of key principles that underpin the UK data protection law framework, while at the same time modifying certain key provisions in relation to accountability, lawful grounds for processing, data subject access requests and cookies, amongst others. A [consolidated redline version of the UK GDPR by Hogan Lovells](https://www.engage.hoganlovells.com/knowledgeservices/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH
EU-Hof: het aan journalisten ter beschikking stellen van gerechtelijke stukken waarin persoonsgegevens zijn opgenomen behoort tot uitoefening van rechtelijke taak
It is part of the exercise of judicial functions by a court within the meaning of the AVG to make documents originating from a judicial proceeding -in which personal data are included- temporarily available to journalists in order to enable them to better report on the course of that proceeding. This is the EU Court's answer to preliminary questions from the Dutch court.