Authority Powers for Fundamental Rights Protection
This new topic is needed because the content specifically addresses the powers and authorities granted to competent authorities to protect fundamental rights in AI systems, including inspection, intervention, and corrective action powers that are not adequately covered by existing topics.
authority powers fundamental rights protection regulatory powers enforcement authority supervisory powers intervention powers corrective authority market intervention
Overview
Legal Framework
Recital 156 and Recital 159 of the AI Act establish the framework for the powers of market surveillance authorities to protect fundamental rights. Recital 156 mandates that the market surveillance and product conformity system under Regulation (EU) 2019/1020 applies in full, requiring designated authorities to possess all enforcement powers provided under both that regulation and the AI Act. Recital 159 specifies that for high-risk AI systems in sensitive domains like law enforcement, migration, and democratic processes, authorities must have effective investigative and corrective powers, including the power to access all personal data processed by those systems.
Practical Application
The legal text clarifies that these powers are not discretionary but a foundational requirement for enforcement. The reference to Regulation (EU) 2019/1020 imports a suite of established enforcement tools, such as the power to carry out evaluations, require corrective actions, and order the withdrawal or recall of non-compliant systems. The specific emphasis in Recital 159 on authorities' access to personal data within sensitive AI systems underscores the intent to enable deep, substantive audits of systems that pose the highest risks to fundamental rights, moving beyond mere technical documentation checks.
Key Considerations
- Scope of Authority: Providers and deployers of high-risk AI systems in listed sensitive domains must be prepared for inspections that can extend to full access to the personal data processed by the system for audit purposes.
- Integrated Enforcement: Compliance strategies must account for the full range of corrective powers from Regulation (EU) 2019/1020, which authorities will wield alongside AI Act-specific provisions.
- Proactive Cooperation: Given the intrusive nature of these powers, maintaining transparent records and demonstrating proactive compliance can be critical in managing the scope and impact of an authority's investigative actions.
Laws (19)
Case Law (6)
Rechtbank Amsterdam
Rechtbank Amsterdam
EAB Duitsland; verweren m.b.t. de grondslag, de genoegzaamheid, artikel 13 OLW en de detentieomstandigheden verworpen; tussenuitspraak i.v.m. vragen over de effectieve rechtsbescherming en artikel 9, eerste lid, OLW
Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)
Gerechtshof
Het hof veroordeelt de verdachte tot een gevangenisstraf van 24 maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016 en het voorhanden hebben van wapens. Het hof bespreekt het verweer dat sprake is van sfeercumulatie en dat in het opsporingsonderzoek ten onrechte gebruik is gemaakt van gegevens die tijdens het uitoefenen van toezicht zijn verzameld. Daarnaast bespreekt het hof het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Beide verweren kunnen niet slagen.
Inzage in breed perspectief (AVG, 8 EVRM, maar ook 29, 290, 811 en 843a Rv.
Hoge Raad
"Deze prejudiciële beslissing gaat over de vraag of een gerecht op verzoek inzage moet geven in of afschriften moet verstrekken van stukken uit het dossier van afgesloten civiele familie- en jeugdprocedures, in het bijzonder afgesloten procedures waarin ten aanzien van de verzoeker kinderbescherm...
Deutsche Wohnen SE v Staatsanwaltschaft Berlin
C-807/21 (Deutsche Wohnen)
Fines can be imposed directly on legal persons without identifying responsible natural person.
HvJ EU: Privacy Shield ongeldig verklaard (Schrems II)
Het Hof van Justitie verklaart het Privacy Shield-akkoord ongeldig wegens onvoldoende waarborgen voor Europese burgers tegen toegang door Amerikaanse inlichtingendiensten.
ECLI:NL:HR:2003:AF0148 Hoge Raad , 24-01-2003 / C01/143HR
Hoge Raad
-
Guidance (14)
Versiegeschiedenis
guidelines uitvoeren overeenkomst
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Versiegeschiedenis
guidelines accreditatie
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage
guidelines recht op inzage
Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.
Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
Versiegeschiedenis
Richtsnoeren 01/2021
Guidelines 02/2024 on Article 48 GDPR
Article 48 GDPR provides that: ' Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer...
Enforcement (5)
Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.
Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).
Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.
Company: Insufficient legal basis for data processing
€80,000 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) has imposed a fine of EUR 80,000 on a company. The company was responsible for monitoring parking lots at several supermarkets and a hospital. However, it accessed personal data – in particular license plate numbers and owner information – from the Croatian Ministry of the Interior's (MUP) vehicle registry without a valid legal basis. Access was gained via a web service that the company had secured the right to use in certain areas on the basis of a concession. However, t
Hera Comm S.p.A.: Non-compliance with general data processing principles
€5,000,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 5 million on Hera Comm S.p.A. The investigation was launched following numerous complaints. The energy supplier had failed to take adequate protective measures, allowing door-to-door agents to unlawfully conclude electricity and gas contracts in the name of unsuspecting customers. Many data subjects only discovered the activation of new contracts when they received bills or notifications, despite never having given their consent. The door-to-door agents
Curtea Veche Publishing SRL: Insufficient technical and organisational measures to ensure information security
€5,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 5,000 on Curtea Veche Publishing SRL. The controller had reported two data breaches to the DPA pursuant to Art. 33 GDPR. In the first data breach, the controller had inadvertently published a file containing the customer database in a public forum. This resulted in the unauthorized disclosure of personal data such as first name, last name, phone number, email, password in encrypted form and IP address of 10,793 customers. The second data breach concerne
H&M Hennes & Mauritz Online Shop A.B. & Co. KG: Insufficient legal basis for data processing
€35,258,708 fine - Data Protection Authority of Hamburg
The fashion company with seat in Hamburg operates a service center in Nuremberg. Here, according to the findings of the Hamburg data protection officer, since at least 2014 private life circumstances of some of the employees have been comprehensively recorded and this information stored on a network drive. For example, the company conducted a 'Welcome Back Talk' after employees returned to work after vacation or illness. The information that became known in this context - including information o
News (4)
Reopening GDPR and ePrivacy through the Digital Omnibus: a risky path for EU digital rights
EDRi has assessed the Digital Omnibus proposals affecting the General Data Protection Regulation (GDPR) and the ePrivacy framework. While presented as simplification, the changes amount to deregulation in effect, weakening fundamental rights safeguards, increasing legal uncertainty, and advancing through a process that falls short of democratic lawmaking standards. The post Reopening GDPR and ePrivacy through the Digital Omnibus: a risky path for EU digital rights appeared first on European Digi
Europa ondermijnt haar eigen digitale rechten van binnenuit.
De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).
Waarom de "Digital Omnibus" de privacyregels (AVG en ePrivacy) in gevaar brengt.
Op 19 november heeft de Europese Commissie twee zogenaamde "omnibus"-voorstellen gepubliceerd: het ene herziening van belangrijke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-regels, samen met andere wetten met betrekking tot gegevens, en het andere een amendement op de AI-wet. Dit artikel richt zich op het eerste voorstel. Het legt uit hoe de voorgestelde wijzigingen fundamentele rechten op gegevensbescherming en de vertrouwelijkheid van communicatie zouden verzwakken, en waarom het gecombineerde effect het risico loopt om lang bestaande beschermingsmaatregelen voor mensen in de EU te veranderen.
De AI-wet is niet voldoende: we moeten de gevaarlijke hiaten dichten die misbruik mogelijk maken en de rechten van mensen schenden.
Hoewel de AI-wetgeving van de EU tot doel heeft om AI-systemen met een hoog risico te reguleren, wordt deze ondermijnd door belangrijke uitzonderingen die hun ongecontroleerde toepassing mogelijk maken in de context van nationale veiligheid en handhaving van de wet. Deze uitzonderingen riskeren onder meer het mogelijk maken van grootschalige surveillance van protesten en discriminerende migratiepraktijken. Om dit te voorkomen, heeft de EDRi-partner Danes je nov dan aanbevelingen gepubliceerd voor Slovenië om strengere nationale beschermingsmaatregelen en transparante toezichtsmechanismen in te voeren. De post "De AI-wetgeving is niet..."