Retention Period

Recital 94

ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285

Rechtbank Noord-Holland

AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

Toesting Wpg-besluit kan niet via AVG-besluit. Geen profilering

Rechtbank

AVG inzageverzoek - omvang van het geding - Wpg-besluit van de Nederlandse Arbeidsinspectie dat n.a.v. bezwaar is genomen, kent een zelfstandige beroepsprocedure - geen toetsing van Wpg-besluit in dit beroep - minister SZW heeft inzage in de gegevensverwerking heimelijke salafisme-onderzoeken deugdelijk gemotiveerd - profilering artikel 4, lid 4 AVG - beroep ongegrond.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Rechtbank Zeeland-West-Brabant

Rechtbank Zeeland-West-Brabant

Beroep tegen het niet weigeren bepaalde strafrechtelijke gegevens uit de justitiele documentatie te verwijderen. De minister mocht uitgaan van de informatie van het OM en hoefde deze gegevens dus niet te verwijderen.

Raad van State

Raad van State

Bij besluit van 22 juli 2021 heeft de minister van Financiën het verzoek van [appellant sub 2] op grond van artikel 15 van de Algemene verordening gegevensbescherming om inzage van zijn persoonsgegevens in de Fraudesignaleringsvoorziening ingewilligd en de verzoeken op grond van de artikelen 16 en 17 van de AVG om rectificatie en wissing van die gegevens afgewezen. Bij brief van 20 mei 2021 heeft de minister [appellant sub 2] ervan op de hoogte gesteld dat zijn gegevens waren opgenomen in de FSV. Bij brief van 25 juni 2021 heeft [appellant sub 2], voor zover in hoger beroep aan de orde, de minister verzocht om inzage in alle persoonsgegevens in zijn FSV-dossier en om rectificatie en wissing daarvan. Aan de Tweede Kamer is toegezegd dat tot nader order geen gegevensverwerkingen in de FSV worden gewist. De minister is in het besluit op het daartegen door [appellant sub 2] gemaakte bezwaar bij de afwijzing van de verzoeken om rectificatie en wissing gebleven. De rechtbank heeft geoordeeld dat de minister bij het besluit van 28 oktober 2021 ten onrechte niet de informatie over de bron van de gegevens in de FSV heeft verstrekt, maar dat de minister die gegevens in de beroepsfase alsnog heeft verstrekt.

Rechtbank Gelderland

Rechtbank Gelderland

Eindvonnis na ECLI:NL:RBGEL:2025:3780 en ECLI:NL:RBGEL:2025:7208. Aansprakelijkheid assurantietussenpersoon. Eigen schuld. EVR-registratie. Artikel 21 en 22 Rv. Afwijzing vorderingen.

Raad van State

Raad van State

Bij besluit van 14 juli 2022 heeft het college van burgemeester en wethouders van Weert beslist op een verzoek van [partij] om openbaarmaking van documenten. [appellant] is voormalig burgemeester van de gemeente Weert. In De Limburger verscheen op 11 januari 2020 een artikel waarin was geschreven dat [appellant] mogelijk niet integer zou hebben gehandeld bij het verstrekken van subsidies. Voor de gemeenteraad van Weert is dit aanleiding geweest om een integriteitsonderzoek in te stellen. [appellant] heeft op 19 januari 2020 9.133 e-mails uit zijn functionele mailbox verwijderd. Daarna resteerden in die mailbox nog zeven e-mails. Op 29 januari 2020 heeft het college opdracht gegeven om de inhoud van de functionele mailbox van [appellant] met de verwijderde e-mails en zijn werkagenda veilig te stellen. Vervolgens is de kopie van de veilig gestelde e-mails, de andere informatie en de werkagenda (hierna: "de veiliggestelde e-mails") opgeslagen op een externe harde schijf en bewaard in een kluis. [partij] heeft op 7 juli 2020 als journalist bij De Limburger een verzoek op grond van de Wet openbaarheid van bestuur ingediend waarin hij, samengevat, heeft verzocht om documenten of informatie over het handelen en/of functioneren van [appellant] in zijn hoedanigheid als burgemeester van de gemeente Weert.

Artikel(en):

Kifid

"Over de financiële stabiliteit van de consument overweegt de commissie dat de consument onvoldoende heeft onderbouwd dat zijn financiële situatie op dit moment structureel stabiel is." (punt 3.14) & "Van de bewaartermijn is nog geen jaar verstreken." (punt 3.15). Registratie mag gehandhaafd blij...

FSV

Rechtbank

Beroep ongegrond, passeren motiveringsgebrek met artikel 6:22 Awb, proceskostenveroordeling. Overschrijding redelijke termijn artikel 6 EVRM, schadevergoeding

Inzageverzoek aan voldaan.

Raad van State

Op 17 juni 2021 heeft [appellant] de Commissie Bezwaarschriften gemeente Het Hogeland op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 (hierna: AVG) verzocht om inzage in de verwerking van haar persoonsgegevens. Op 16 juli 2021 heeft het college op dit verzoek gereageerd, omdat het stelt verwerkingsverantwoordelijke te zijn voor verwerking van persoonsgegevens door de Commissie. Daarbij heeft het college 95 documenten, waarin persoonsgegevens van [appellant] voorkomen, aan [appellant] verstrekt. In het besluit van 23 november 2021 heeft het college het hiertegen gemaakte bezwaar van [appellant] gedeeltelijk gegrond verklaard voor zover het college alleen zichzelf als verwerkingsverantwoordelijke had aangemerkt.

Rechtbank Gelderland

Rechtbank Gelderland

Tussenvonnis. Vervolg op ECLI:NL:RBGEL:2025:3780. Nadere aktewisseling.

Gerechtshof 's-Hertogenbosch

Gerechtshof 's-Hertogenbosch

Ten laste van de verdachte is bewezenverklaard dat hij zich schuldig heeft gemaakt aan beroepsmatige online handelsfraude en het medeplegen van gewoontewitwassen. Het hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 3 jaren met aftrek van het voorarrest. Tevens is beslist op de vorderingen van de benadeelde partijen.

Inzageverzoek RIEC

Rechtbank

Deze uitspraak gaat over eisers verzoek om inzage – op grond van de Algemene Verordening Gegevensbescherming (hierna: AVG) – in de verwerking van zijn persoonsgegevens in het kader van het Regionale Informatie en Expertise Centrum (hierna: RIEC). De uitgevoerde zoekslag heeft niets opgeleverd en daarom heeft het college het inzageverzoek afgewezen. Eiser is het niet eens met deze afwijzing. De rechtbank komt in deze uitspraak tot het oordeel dat het verzoek om inzage niet te beperkt is opgevat, dat de zoekslag volledig is geweest en dat niet aannemelijk is gemaakt dat er wel documenten (met daarin eisers persoonsgegevens) bij het college berusten. Eiser krijgt dus geen gelijk en het beroep is dus ongegrond.

Woo- verzoek. De omstandigheid dat een document politiegegevens bevat, brengt niet met zich dat het document als zodanig onder de werking van de Wpg valt, ook voor zover dit document andere gegevens dan politiegegevens in voormelde zin bevat. Er bestaa...

Rechtbank

Woo. Zoekslag. Beroep gegrond. Het bestreden besluit is in strijd met het motiverings- en zorgvuldigheidsbeginsel. De zoekslag is in het verweerschrift voldoende gemotiveerd.

Inzageverzoek politiegegevens is beperkt tot de gegevens niet de documenten en ook niet die bij andere partijen bevinden zoals UWV, RVO of de Belastingdienst

Rechtbank

Verzoek om inzage ogv Wet Politiegegevens (Wpg).

Fysieke inzage gehad in politiegegevens. Verweerder kiest vorm van inzage mits voldaan aan art. 25 Wpg. Overzicht van geregistreerde gegevens hoefde niet te worden opgemaakt en verstrekt.

Rechtbank

verzoek om inzage in persoonsgegevens ogv art 25 Wpg; verzoek ingewilligd; fysieke inzage gekregen; dit voldoet aan de Wpg, vwr hoefde geen overzicht te verstrekken; beroep ongegrond

Rectificatie en vernietiging politiegegeven.

Rechtbank

verzoek tot wijziging van persoonsgegevens ogv Wpg toegewezen; registratie als verdachte in hoofdregistraties/vervolgregistraties; deel persoonsgegevens pas na instellen beroep verwijderd, daarom beroep gegrond met instandlating rechtsgevolgen

Beroep tegen de herziening en terugvordering van de WIA-uitkering en het opleggen van een bestuurlijke boete ongegrond.

Rechtbank

Beroep tegen de herziening en terugvordering van de WIA-uitkering en het opleggen van een bestuurlijke boete ongegrond. Eiseres heeft de inlichtingenplicht geschonden door bij het UWV geen melding te doen van haar werkzaamheden en de inkomsten daaruit.

Versiegeschiedenis

guidelines meldplicht datalekken

Versiegeschiedenis

guidelines recht op inzage

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Version history

Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Verisure Italy s.r.l.: Non-compliance with general data processing principles

€400,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 400,000 on Verisure Italy s.r.l. The controller had been active in direkt marketing activities. The controller failed to ensure that the consent provided by data subjects was valid. Additionally, the controller failed to implement adequate retention periods for the processed data. Lastly, the controller failed to adequately respond to data subjects' requests to exercise their rights, and failed to adequately inform them regarding the processing of their

Verisure Italy s.r.l.: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

ILVA A/S: Non-compliance with general data processing principles

€200,900 fine - Danish Data Protection Authority (Datatilsynet)

The Danish DPA has imposed a fine of EUR 200,900 on ILVA A/S. The controller failed to implement data deletion deadlines. This led to an infringement of the principle of storage limitation.

Magna PT S.p.A.: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan Magna PT S.p.A. Medewerkers van de verantwoordelijke organisatie werden na hun terugkeer van een periode van ziekte of ziekenhuisopname onderworpen aan "terugkeergesprekken". Deze gesprekken hadden onvoldoende juridische basis, met name met betrekking tot de verwerking van gezondheidsgegevens. Bovendien heeft de verantwoordelijke organisatie de betrokkenen niet voldoende geïnformeerd over de verwerking. Verder heeft de verantwoordelijke organisatie nagelaten om de hoeveelheid verwerkte gegevens te minimaliseren en de bewaartermijn te beperken.

Menarini Silicon Biosystems SpA: Non-compliance with general data processing principles

€21,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 21,000 on Menarini Silicon Biosystems SpA. The controller is conducting oncological research and has developed a software that is able to classify human cells. The controller used pseudonymised health data from an American company which is part of the same group. The controller failed to ensure, that data subjects received adequate information and to ensure adequate data storage limitation. The controller also failed to demonstrate compliance with the ge

Bestuur voor steun aan burgers en de landbouw: Onvoldoende wettelijke basis voor gegevensverwerking.

Een boete van 5.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 5.000 euro opgelegd aan de organisatie "Patronage and Assistance for Citizens and Agriculture Board". De verantwoordelijke partij heeft persoonsgegevens van een betrokkene opgeslagen voor een periode die de wettelijke bewaartermijn, zoals vastgesteld in de nationale wetgeving, overschrijdt.

SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L.: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 21.600 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L. De verantwoordelijke biedt fitnesscursussen aan die worden opgenomen en gepubliceerd. De toestemming die is verkregen voor de verwerking voldoet niet aan de wettelijke eisen. Bovendien beperkt de verantwoordelijke de bewaartermijn van de gegevens niet. De oorspronkelijke boete van 36.000 euro is verlaagd tot 21.600 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke.

Hospital: Insufficient technical and organisational measures to ensure information security

€190,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 190,000 on a hospital. The hospital had suffered a data breach in which radiological image files were irrevocably lost. AZOP had received several complaints from data subjects whose personal data, including medical images, could not be provided. The investigation revealed that the hospital failed to implement appropriate technical measures to safeguard personal data, as no backups of the affected data were made (violation of Art. 32 (1) b) GDPR).

Website operator: Non-compliance with general data processing principles

€180 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on the operator of a website for storing data of a data subject for an excessively long period of time and contrary to the principle of storage limitation under Art. 5 (1) e) GDPR. The original fine of EUR 300 was reduced to EUR 180 due to the voluntary payment and the acknowledgement of responsibility.

GROUPE CANAL +: Insufficient fulfilment of data subjects rights

€600,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 600,000 on GROUPE CANAL+ for multiple violations of the GDPR. The DPA determined that the data controller failed to demonstrate that it had obtained valid prior consent from individuals for sending electronic promotional messages. Additionally, the DPA found that the data controller did not provide adequate information regarding the retention periods of personal data in its privacy statement. Furthermore, the DPA observed that the data controller's proces

Athens Urban Transport Organization: Non-compliance with general data processing principles

€50,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA imposed a fine of EUR 50,000 on the Athens Urban Transport Organization. As part of its investigation, the DPA found that the controller had failed to comply with the principle of data protection by design and by default. It also failed to carry out a data protection impact assessment and to set appropriate retention periods for the storage of personal data.

ELECTRAWORKS - CEUTA, S.A.: Insufficient fulfilment of information obligations

€6,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on ELECTRAWORKS - CEUTA, S.A.. The controller had failed to provide sufficient information about the retention periods of personal data. The original fine of EUR 10,000 was reduced to EUR 6,000 due to voluntary payment and acknowledgement of responsibility.

DISCORD INC.: Non-compliance with general data processing principles

€800,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 800,000 on DISCORD INC.. DISCORD offers an online communication service through which users can chat or make video calls. During its investigation, the DPA found that the company had failed to establish and also comply with a data retention period appropriate to the purpose of the processing. For example, there were over two million accounts within the DISCORD database of French users who had not used their account for more than three years and approximat

Alpha Exploration: Non-compliance with general data processing principles

€2,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2 million on Alpha Exploration. Alpha Exploration operates the social network Clubhouse. In the course of its investigation, the DPA found numerous violations of the GDPR. For example, the DPA found that there was a lack of transpanency regarding the use of users' data and their chat contacts. In addition, users of the network were able to store and share audio messages from other users without their consent. Moreover, account information was shared with

Company: Non-compliance with general data processing principles

€1,400 fine - National Commission for Data Protection (CNPD)

The DPA of Luxembourg (CNPD) has imposed a fine of EUR 1,400 on a company. The controller had installed location sensors on a number of cars in its fleet. The purpose of this was to protect the company's assets, optimal fleet management and optimize the workflow, among other things. Some of the location data collected by the controller was stored for a year. The DPA states that this was clearly excessive and not necessary for the purposes of the processing. The DPA considered this to be a violat

Clearview Al Inc.: Non-compliance with general data processing principles

€9,000,000 fine - Information Commissioner (ICO)

The UK DPA has fined Clearview AI Inc. EUR 9 million. The company holds a database of more than 20 billion facial images (including those of UK residents and nationals) from around the world. The data is collected online from publicly accessible platforms such as social networks. The company offers a search service that allows individuals be identified based on the biometric data extracted from the images. Individuals' profiles can be enriched with information associated with those images, such

Dutch Tax and Customs Administration: Non-compliance with general data processing principles

€3,700,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 3,7 million on the Dutch Tax and Customs Administration. This is the highest fine ever imposed by the Dutch DPA As part of its investigation, the DPA found a number of violations of the GDPR. The Tax and Customs Administration had kept a list for several years on which it recorded indications of fraud. The list contained information on over 270,000 individuals, including minors. The administration had processed personal data such as health, citizenship, an

Clearview Al Inc.: Non-compliance with general data processing principles

€20,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined U.S.-based Clearview AI EUR 20 million after it was revealed that the company had been applying biometric surveillance techniques on Italian territory. The company owns a database of over 10 billion facial images from around the world. The company offers a search service that allows profiles to be created based on the biometric data extracted from the images. The profiles can be enriched with information associated with these images, such as image tags and geolocation.

Bocconi University: Non-compliance with general data processing principles

€200,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA (Garante) has imposed a fine of EUR 200,000 on Bocconi University. A student had filed a complaint with the DPA about possible GDPR violations related to the use of a monitoring system during written exams. In the context of the emergency situation triggered by the Covid-19 pandemic, the university had equipped itself with the remote monitoring software Respondus provided by the American company Respondus Inc. to ensure the normal running of the exams, since it was not possible t

Atac s.p.a.: Non-compliance with general data processing principles

€400,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA (Garante) has imposed a fine of EUR 400,000 against Atac s.p.a.. The Garante had launched an investigation following a complaint from an individual who had complained about the new parking meters installed in the in the city of Rome. In fact, the company Atac s.p.a., which was contracted by the city to manage the parking lots, had initiated a technical upgrade of the parking meters in order to offer new services (e.g., the payment of fines/fees or the purchase/renewal of public t

Garante per la protezione dei dati personali (Italy) - 10201989

}}}} The DPA imposed a fine of €400,000 on Verisure Italy for unlawful marketing communications. The controller lacked a valid legal basis for marketing activities towards both former and prospective clients, failed to properly inform data subjects, applied excessive or indeterminate retention periods, and responded late to data subject rights requests.The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The controller lacked a

Autoriteit voor de bescherming van persoonlijke gegevens (Italië) - 10201989

}}}} De Italiaanse beschermingsautoriteit (DPA) heeft Verisure Italy een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had geen geldige juridische basis voor marketingactiviteiten gericht aan zowel bestaande als potentiële klanten, heeft gegevensonderwerpen niet voldoende geïnformeerd, heeft onredelijk lange of onbepaalde bewaartermijnen toegepast en heeft te laat gereageerd op verzoeken van gegevensonderwerpen met betrekking tot hun rechten. De DPA heeft Verisure Italy, een leverancier van alarmsystemen, een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had een...

Authority for the protection of personal data (Italy) - 10201989

The Italian data protection authority (DPA) has fined Verisure Italy €400,000 for unlawful marketing communications. The company lacked a valid legal basis for its marketing activities, which targeted both existing and potential customers. Furthermore, it failed to adequately inform data subjects, applied unreasonably long or undefined data retention periods, and responded too late to requests from data subjects regarding their rights. The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The company...

BGH - I ZR 97/25

Feiten: Het gerecht heeft beslist dat de bewaartermijn voor gegevens over afgewerkte betalingsachterstanden door private kredietinstanties niet automatisch wordt beperkt door regels voor het verwijderen van gegevens uit debiteurenregisters, en dat gedragscodes op basis van de AVG (Algemene Verordening Gegevensbescherming) kunnen dienen als richtlijn bij het afwegen van belangen in overeenstemming met artikel 6(1)(f) van de AVG. Het Federale Hof van Justitie heeft vastgesteld dat de maximale bewaartermijn voor gegevens over een reeds afgewerkte betalingsachterstand door een kredietinformatiebureau niet wordt beperkt door nationale regels voor het verwijderen van gegevens uit een openbaar debiteurenregister.

Health data and use of cookies: DOCTISSIMO fined €380,000

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

CJEU clarifies GDPR principles of purpose limitation and storage limitation

The purpose limitation principle does not preclude a controller from capturing and storing in a test database established for testing and error correction purposes personal data previously collected and stored in another database. However, such "further processing" of personal data must be compatible with the specific purposes for which the personal data were originally collected. The principle of storage limitation precludes the retention of personal data in that test database for longer than n

Het verzamelen en opslaan door de Franse bloeddonordienst (EFS) van persoonlijke gegevens die de vermeende seksuele geaardheid van de aanvrager weergeven, zonder dat er een bewezen feitelijke basis voor is: een schending van artikel 8 van het verdrag.

HvJ: De PNR-richtlijn is geldig, mits deze beperkt blijft tot wat "strikt noodzakelijk" is.

Op 21 juni 2022 heeft het Gerechtshof van de Europese Unie (Groot Beschouwingscollege) een baanbrekende uitspraak gedaan waarin het het EU-regime voor het verzamelen en gebruiken van gegevens van reizigers bevestigde, mits dit strikt wordt geïnterpreteerd in overeenstemming met de fundamentele rechten van de EU. Bovendien is het zonder onderscheid verwerken van deze gegevens bij vluchten die uitsluitend binnen de EU plaatsvinden verboden, tenzij er een dreiging van terrorisme bestaat. Over het algemeen moeten de gegevens van de passagiers ook binnen zes maanden worden verwijderd.

CJEU: PNR Directive Valid if Limited to the “Strictly Necessary”

> In a landmark ruling of 21 June 2022, the CJEU (Grand Chamber), upheld the EU’s regime to collect and use records of travellers, provided that it is strictly interpreted in line with the EU’s fundamental rights. In addition, indiscriminate processing of the data in cases of flights carried out only within the EU is banned unless there is a threat of terrorism. In general, the passengers’ data must also be deleted after six months at the latest.