Biometric Data

Recital 18

Recital 44

Recital 43

Recital 41

Recital 40

Recital 39

Recital 38

Recital 35

Recital 34

Recital 33

Recital 94

Recital 95

Recital 125

Recital 132

Recital 133

Recital 159

Recital 3

Recital 14

Recital 15

Recital 16

ECLI:NL:RBGEL:2026:1247 Rechtbank Gelderland , 20-02-2026 / 05/085805-25

Rechtbank Gelderland

Veroordeling wegens diefstal met valse sleutels, fraude met online handel en fraude met identiteitsgegevens tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk, met een proeftijd van 3 jaar.

Vrijspraak Misbruik identificerende persoonsgegevens

Rechtbank

Vrijspraak voor bankhelpdeskfraude, computervredebreuk, diefstal valse sleutel en misbruik persoonsgegevens. Bewezenverklaring van opzetheling van een bankpas en een simkaart. Redelijke termijn overschreden met ruim 3 jaar. Taakstaf van 30 uur. Benadeelde partijen niet-ontvankelijk.

Veroordeling voor doxing

Rechtbank

Veroordeling voor bedreiging en doxing (artikel 285d Sr) tot een taakstraf voor de duur van 80 uren, waarvan 40 uren voorwaardelijk. Vrijspraak van bedreiging.

Inspanningsverplichting om biometrische gegevens op video-opnamen onzichtbaan dan wel onhoorbaar te maken

Rechtbank

“Verweerder handhaaft met betrekking tot de nog niet openbaar gemaakte video-opnamen haar standpunt dat zij de op de video-opnamen zichtbare gezichten en hoorbare stemmen van personen niet openbaar kan maken, omdat sprake is van biometrische gegevens als bedoeld in de AVG. Verweerder heeft op zit...

Bewezenverklaring misbruik identificerende persoonsgegevens.

Rechtbank

Bewezenverklaring medeplegen computervredebreuk, medeplegen diefstal valse sleutel en misbruik identificerende persoonsgegevens. Vrijspraak bankhelpdeskfraude. Toepassing ASR. Redelijke termijn overschreden met ruim 3 jaar. Jeugddetentie van 90 dagen. Benadeelde partijen deels toegewezen, deels niet ontvankelijk. Vorderingen tot tenuitvoerleggen afgewezen door het tijdsverloop.

ECLI:NL:RVS:2025:5343 Raad van State , 05-11-2025 / 202500691/1/A3

Raad van State

Bij besluit van 7 maart 2024 heeft de burgemeester van Eindhoven de aanvraag van [wederpartij] voor een Nederlandse identiteitskaart buiten behandeling gesteld. Op 29 februari 2024 heeft [wederpartij] een Nederlandse identiteitskaart aangevraagd. Daarbij heeft [wederpartij] toegelicht geen vingerafdrukken te willen afgeven vanwege religieuze overwegingen. Omdat de afgifte van vingerafdrukken verplicht is, omdat deze in de chip van de identiteitskaart moeten worden opgenomen, heeft de burgemeester geweigerd de aanvraag in behandeling te nemen. De burgemeester heeft dit besluit op 7 maart 2024 per aangetekende post naar [wederpartij] verzonden. Nadat de bezorging op 9 maart 2024 niet is gelukt, is de post naar een PostNL afhaalpunt gebracht. [wederpartij] heeft de aangetekende post niet opgehaald bij het PostNL afhaalpunt. Hij stelt dat hij niet wist dat het besluit naar het PostNL afhaalpunt is gebracht, omdat hij geen afhaalbericht heeft ontvangen. Op 26 maart 2024 is het stuk retour gezonden naar de burgemeester.

Deelvrijspraak nu gelaatsfotos en gelaatsvideos '(bij uitstek) wél biometrische persoonsgegevens' zouden zijn volgens Hof en dus 231a Sr niet 231b van toepassing zou zijn.

Gerechtshof

Cyberkamer. Medeplegen van misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 17 personen bankrekeningen te openen en met gebruik daarvan geld wit te wassen (art. 231b Sr en art. 420bis/420ter Sr). Computervredebreuk door zich steeds voor te doen als rechtmatige rekeninghouder (art. 138ab Sr). Voorhanden hebben van ruim 300 gram cocaïne. De rol van de verdachte betrof voornamelijk het werven van de katvangers en al hetgeen verder samenhing met het regelen en beheer van rekeningen waarop van fraude afkomstig geld kon worden gestort. Verdachte moest er rekening mee houden dat hij binnen een professioneel verband opereerde. Tegen die achtergrond en gelet op de impact die online fraude en de daarmee samenhangende criminaliteit heeft op de slachtoffers daarvan en de samenleving als geheel dient streng te worden opgetreden tegen diegenen die zich daarmee bezighouden. Geen aansluiting bij LOVS oriëntatiepunten voor fraude. Oplegging gevangenisstraf van 26 maanden waarvan 8 maanden voorwaardelijk met een proeftijd van 2 jaar. Reclasseringstoezicht. Gedeeltelijke toewijzing vordering bank tot vergoeding van onderzoekskosten. Teruggave van telefoons die niet ‘gekraakt’ konden worden nu enige relatie is tot het bewezenverklaarde strafbare feit niet vastgesteld kan worden.

Bewezenverklaring identificerende persoonsgegevens van een ander gebruiken met identiteitsmisbruik als oogmerk

Rechtbank

De officier van justitie deels niet-ontvankelijk voor feit 3. Vrijspraak van poging zware mishandeling (feit 1). Niet kan worden vastgesteld dat de verdachte de aangever in zijn arm heeft gestoken. Bewezenverklaring voor het voorhanden hebben en gebruik maken van een vervalst paspoort en misbruik maken van identificerende persoonsgegevens van een ander (feiten 2 en 3). Aan de verdachte wordt opgelegd een gevangenisstraf voor de duur van 5 maanden met aftrek. Benadeelde partij wordt niet-ontvankelijk verklaard vanwege vrijspraak feit 1.

Oogmerk van identiteitsfraude bij verkrijgen persoonsgegevens van vele anderen.

Gerechtshof

Cyberkamer. De verdachte heeft gedurende een periode van meer dan twee jaar zogeheten bots gekocht van Genesis Market. Daardoor kon hij beschikken over inloggegevens van andere personen, zoals gebruikersnamen en wachtwoorden. Deze inloggegevens heeft verdachte gebruikt door bij verschillende webshops op de accounts van anderen in te loggen en producten te bestellen onder hun naam en op hun kosten. Dit handelen is bewezen verklaard als het verwerven en voorhanden hebben van niet-openbare gegevens, terwijl de verdachte ten tijde van de verwerving en het voorhanden krijgen van deze gegevens redelijkerwijs had moeten vermoeden dat deze door misdrijf waren verkregen, (art. 139g Sr), het ontvangen, zich verschaffen en voorhanden hebben van gegevens waarvan hij weet dat zij bestemd zijn tot het plegen van een in art. 231b Sr omschreven misdrijf (art. 234 Sr), misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 34 personen met voornoemde persoonsgegevens bestellingen bij webwinkels te doen (art. 231b Sr) en computervredebreuk door gebruik te maken van door misdrijf verkregen combinaties van gebruikersnamen en/of e-mailadressen en/of bijbehorende wachtwoorden, tot het gebruik waarvan verdachte niet gerechtigd was (art. 138ab Sr). Gelet op onder meer het aantal bots en slachtoffers, het leed en de onzekerheid die de verdachte met zijn handelen heeft veroorzaakt bij de slachtoffers die bekend zijn geraakt met het feit dat hun (inlog-)gegevens in verkeerde handen waren gevallen en het strafblad van de verdachte, is het hof van oordeel dat een hogere straf dient te worden opgelegd dan de rechtbank had opgelegd. Toewijzing van vordering benadeelde partij tot vergoeding van immateriële schade (art. 6:106 BW) als gevolg van identiteitsfraude. Teruggave van laptops nu enige relatie tot de bewezenverklaarde strafbare feiten niet vastgesteld kan worden.

Gerechtshof

Gerechtshof

Cyberkamer. Medeplegen van misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 17 personen bankrekeningen te openen en met gebruik daarvan geld wit te wassen (art. 231b Sr en art. 420bis/420ter Sr). Computervredebreuk door zich steeds voor te doen als rechtmatige rekeninghouder (art. 138ab Sr). De rol van de verdachte betrof voornamelijk het werven van de katvangers en al hetgeen verder samenhing met het regelen en beheer van rekeningen waarop van fraude afkomstig geld kon worden gestort. Verdachte moest er rekening mee houden dat hij binnen een professioneel verband opereerde. Tegen die achtergrond en gelet op de impact die online fraude en de daarmee samenhangende criminaliteit heeft op de slachtoffers daarvan en de samenleving als geheel dient streng te worden opgetreden tegen diegenen die zich daarmee bezighouden. Geen aansluiting bij LOVS oriëntatiepunten voor fraude. Oplegging gevangenisstraf van 28 maanden waarvan 10 maanden voorwaardelijk met een proeftijd van 2 jaar. Reclasseringstoezicht. Gedeeltelijke toewijzing vordering bank tot vergoeding van onderzoekskosten. Teruggave van telefoons die niet ‘gekraakt’ konden worden nu enige relatie is tot het bewezenverklaarde strafbare feit niet vastgesteld kan worden

Handhavingsverzoek. Aantekening van verwijderverzoek door GGNet mag blijven bestaan. Uitzondering art. 9(2)(h) AVG van toepassing. Dossierplicht bestaat ook voor verpleegkundige bij een intakegesprek van deze aard.

Raad van State

Bij besluit van 12 juli 2019 heeft de Autoriteit Persoonsgegevens het handhavingsverzoek van [appellante] afgewezen. Bij besluit van 25 juni 2020 heeft de AP het door [appellante] daartegen gemaakte bezwaar ongegrond verklaard.

Vormverzuim door zonder r-c toestemming afbeeldingen op telefoon van verdachte te bekijken.

Hoge Raad

Verdachte wordt veroordeeld voor het op een gruwelijke manier mishandelen, martelen en doden van dieren over een periode van ruim een jaar. Ook wordt zij veroordeeld voor het bezit van een vuurwapen en munitie. Aan verdachte wordt een gevangenisstraf opgelegd die gelijk is aan de duur van het voorarrest. Daarnaast wordt aan verdachte de TBS maatregel met voorwaarden opgelegd.

Artikel 106a en 107 Vreemdelingenwet 2000

Raad van State

Het gebruik van biometrische gegevens in de vreemdelingenketen is (voor zover niet in EU recht al in voorzien) geregeld in met name Artikel 106a en 107 Vreemdelingenwet 2000. Deze bepaling behelst een verregaande mogelijkheid om een gezichtsopname en tien vingerafdrukken af te nemen en te verwerk...

Doxing

Rechtbank

De verdachte heeft zes ernstige strafbare feiten gepleegd, allemaal gericht tegen (de familie van) hetzelfde slachtoffer. Hij heeft zijn ex-partner gedurende een periode van ongeveer vier maanden belaagd en haar en haar moeder meermalen met de dood bedreigd. Daarnaast heeft de verdachte foto’s en video’s van seksuele aard en ook persoonsgegevens (doxing) van het slachtoffer verspreid op social media en in chatgroepen. Al deze feiten vinden hun oorsprong in het (naderende) einde van de relatie met de verdachte. Uit de rapporten die zijn opgemaakt over de verdachte blijkt dat de feiten hem verminderd toegerekend moeten worden. De rechtbank zal afzien van het opleggen van een geheel onvoorwaardelijke gevangenisstraf, omdat de psychiater en de reclassering behandeling, begeleiding en bijzondere voorwaarden noodzakelijk achten. Gevangenisstraf voor de duur van 12 maanden, waarvan 4 maanden voorwaardelijk en oplegging van 38v maatregel (gebieds- en contactverbod).

Rectificatie en vernietiging politiegegeven.

Rechtbank

verzoek tot wijziging van persoonsgegevens ogv Wpg toegewezen; registratie als verdachte in hoofdregistraties/vervolgregistraties; deel persoonsgegevens pas na instellen beroep verwijderd, daarom beroep gegrond met instandlating rechtsgevolgen

Misbruik identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens.

Rechtbank

Veroordeling voor het eenmaal vervalsen van een identeitsbewijs (feit 1) en partiële vrijspraak van het medeplegen van het vervalsen van nog meer identeitsbewijzen (feit 1). Daarnaast vrijspraak van het medeplegen van het gebruiken van identificeerde persoonsgegevens (feit 2) en oplichting (feit 3). Taakstraf 60 uren warvan 20 uren voorwaardelijk met een proeftijd van 2 jaren.

Fysieke inzage gehad in politiegegevens. Verweerder kiest vorm van inzage mits voldaan aan art. 25 Wpg. Overzicht van geregistreerde gegevens hoefde niet te worden opgemaakt en verstrekt.

Rechtbank

verzoek om inzage in persoonsgegevens ogv art 25 Wpg; verzoek ingewilligd; fysieke inzage gekregen; dit voldoet aan de Wpg, vwr hoefde geen overzicht te verstrekken; beroep ongegrond

Misbruik identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens.

Rechtbank

Verdachte heeft gedurende een langere periode, vanuit verschillende bedrijven, een veelheid aan strafbare feiten gepleegd. Bewezenverklaring van het meermaals buiten noodzaak verrichten van medische handelingen waardoor de aanmerkelijke kans op benadeling van de gezondheid van anderen is ontstaan, het beïnvloeden van een getuige, het meermaals opzettelijk en wederrechtelijk misbruik maken van persoonsgegevens van een ander, verduistering uit dienstbetrekking (meermaals gepleegd) en het meermalen plegen van (het feitelijk leidinggeven aan) het plegen van valsheid in geschrifte en het opzettelijk gebruik maken van valse geschriften. Verweer partiële nietigheid dagvaarding verworpen. Overschrijding van de redelijke termijn. Verdachte wordt veroordeeld tot een gevangenisstraf van 22 maanden en een beroepsverbod voor het uitoefenen van enig beroep in de zorg gedurende 60 maanden. Vorderingen benadeelde partijen deels toegewezen.

Misbruik van identificerende persoonsgegevens

Rechtbank

De rechtbank veroordeelt een 31-jarige man tot een gevangenisstraf van 4 maanden en een contactverbod van 3 jaren tegen een slachtoffer. Daarnaast moet de verdachte een schadevergoeding van € 817,41 betalen aan die slachtoffer en legt de rechtbank de maatregel op dat de verdachte verplicht is ter zake van de bewezen verklaarde feiten 1 en 2 tot betaling aan de Staat der Nederlanden van een bedrag van € 817,41. De verdachte heeft zich schuldig gemaakt aan meerdere strafbare feiten tegen kwetsbare vrouwen, waaronder meermalen mishandeling, opzettelijk misbruik heeft gemaakt van de identiteiten van twee slachtoffers, bedreiging met zware mishandeling en vernielen van enig goed behorend tot een ander.

Vrijspraak misbruik van identificerende persoonsgegevens van een ander

Rechtbank

De rechtbank spreekt verdachte vrij van het, kort gezegd, opzettelijk gebruik maken van identificerende persoonsgegevens van een ander, terwijl van dat gebruik enig nadeel kan ontstaan. De rechtbank overweegt daartoe dat verdachte voor een bewezenverklaring het oogmerk moet hebben gehad om zijn eigen identiteit te verhelen of de identiteit van een ander te verhelen of misbruiken. Deze strafbaarstelling richt zich op gevallen waarbij men derden daadwerkelijk het idee geeft dat zij te maken hebben met de persoon van wie de identiteit onterecht is aangenomen. Daaronder valt ook het geval waarin iemand op naam van een ander en zonder diens instemming een account aanmaakt, waarna die ander op dat account in een kwaad daglicht wordt gesteld met reputatieschade als gevolg. Van dit geval moet echter worden onderscheiden de situatie waarin door een verdachte op een account weliswaar een ander in een kwaad daglicht wordt gesteld, bijvoorbeeld door het daarop plaatsen van persoonsgegevens van die ander met daarbij seksueel getinte teksten, doch dat account niet op naam van die ander is aangemaakt, maar op naam van een (al dan niet fictieve) derde of de verdachte zelf. Ook in zo’n situatie kan nadeel voor het slachtoffer ontstaan, maar in zo’n situatie wordt aan derden niet daadwerkelijk het idee gegeven dat zij te maken hebben met het slachtoffer. Zo een situatie valt dus niet onder de strafbaarstelling van artikel 231b van het Wetboek van Strafrecht. De rechtbank is van oordeel dat verdachte zich in de periode van 31 juli 2021 tot en met 18 oktober 2022 wel schuldig heeft gemaakt aan het beledigen van negen jongvolwassen vrouwen door de namen, telefoonnummers en foto’s van die vrouwen op verschillende sociale media en digitale (seksgerelateerde) platforms te plaatsen en daarbij seksueel getinte en beledigende teksten en/of naaktfoto’s van andere willekeurige vrouwen te plaatsen. Ook heeft verdachte op 27 oktober 2023 op zijn Instagram-account een foto openbaar gemaakt waarop

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

Guidelines on technical scope of art. 5(3) of ePrivacy Directive

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Richtsnoeren 2/2023 over het technische topassingsgebied van artikel 5, lid 3, van de eprivacyrichtlijn

guidelines technische toepassingsgebied van artikel 5(3) e-privacyrichtlijn

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation

Guidelines on certification and identifying certification criteria

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

guidelines certificering

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Aena, een klein en middelgroot bedrijf (KMO), S.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

10.043.002 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 10.043.002 euro opgelegd aan Aena, S.M.E., S.A. De verantwoordelijke partij voerde een proefproject uit dat meerdere luchthavens omvatte, waaronder het gebruik van gezichtsherkenningssystemen. Echter, de verantwoordelijke partij heeft geen beoordeling van de impact op de privacy uitgevoerd voordat dit werd gedaan.

Aena, S.M.E., S.A.: Non-compliance with general data processing principles

€10,043,002 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 10,043,002 on Aena, S.M.E., S.A. The controller conducted a pilot project involving multiple airports, including the use of facial recognition systems. However, the controller failed to carry out a data protection impact assessment prior to doing so.

SIDECU, S.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 96.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 96.000 euro opgelegd aan SIDECU, S.A. De verantwoordelijke partij heeft een gezichtsherkenningssysteem geïntroduceerd als de enige manier om toegang te krijgen tot hun faciliteiten, zonder alternatieve toegangsmethoden aan te bieden. De verantwoordelijke partij had geen voldoende juridische basis voor de verwerking van de gegevens, heeft de betrokkenen niet voldoende geïnformeerd over de verwerking en heeft geen beoordeling van de impact op de privacy uitgevoerd. De oorspronkelijke boete van 160.000 euro is verlaagd tot 96.000 euro vanwege een onmiddellijke betaling.

Departement of Social Security: Insufficient legal basis for data processing

€550,000 fine - Data Protection Authority of Ireland

The Irish DPA imposed a fine of EUR 550,000 on the Departement of Social Security. The controller uses the so called SAFE 2 registration process for anyone applying for a Public Services Card. The SAFE 2 registration, which is mandatory, processes biometric data without a sufficient legal basis. The controller also failed to adequately inform data subjects in regards to the processing and to conduct a data protection impact assessment.

Ministerie van Sociale Zekerheid: Onvoldoende wettelijke basis voor gegevensverwerking.

550.000 euro boete - Ierse Autoriteit voor Gegevensbescherming.

De Ierse Autoriteit Persoonsgegevens heeft een boete van 550.000 euro opgelegd aan het Ministerie van Sociale Zekerheid. De verantwoordelijke instantie gebruikt een zogenaamd SAFE 2-registratieproces voor iedereen die een "Public Services Card" aanvraagt. Deze verplichte SAFE 2-registratie verwerkt biometrische gegevens zonder voldoende juridische basis. Bovendien heeft de verantwoordelijke instantie de betrokkenen niet voldoende geïnformeerd over de verwerking en geen impactanalyse op het gebied van gegevensbescherming uitgevoerd.

ULPIA TRAJANA ALAMEDA S.L.: Non-compliance with general data processing principles

€1,500 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on ULPIA TRAJANA ALAMEDA S.L. During the booking process, the controller processed data that was unnecessary for the purpose, infringing on the principle of data minimization. The data processed also included biometric data (Art. 9 GDPR) for which the controller lacked a sufficient legal basis. The original fine of EUR 2,500 was reduced to EUR 1,500 due to immediate payment and admission of responsibility by the controller.

ULPIA TRAJANA ALAMEDA S.L.: Niet-naleving van de algemene principes voor gegevensverwerking.

1.500 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan ULPIA TRAJANA ALAMEDA S.L. Tijdens het boekingsproces heeft de verantwoordelijke partij gegevens verwerkt die niet noodzakelijk waren voor het doel, wat een schending is van het beginsel van dataminimalisatie. De verwerkte gegevens omvatten ook biometrische gegevens (artikel 9 AVG), waarvoor de verantwoordelijke partij geen voldoende juridische basis had. De oorspronkelijke boete van 2.500 euro is verlaagd tot 1.500 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Istituto di Istruzione Superiore 'P. Galluppi' Tropea: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 4.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.500 euro opgelegd aan het Istituto di Istruzione Superiore 'P. Galluppi' in Tropea. De verantwoordelijke partij heeft biometrische gegevens van haar werknemers verwerkt om hun werktijden te controleren. Volgens de DPA was de verwerking zodanig ingericht dat deze niet in overeenstemming was met de beginselen van rechtmatigheid, eerlijkheid en transparantie, en ontbrak er een voldoende juridische basis.

Istituto di Istruzione Superiore 'P. Galluppi' Tropea: Insufficient legal basis for data processing

€4,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2,500 on the Istituto di Istruzione Superiore 'P. Galluppi' Tropea. The controller processed biometric data of its employees to control their work hours. The processing was designed in a way that, according to the DPA, did not comply with the principles of lawfulness, fairness and transparency and lacked a sufficient legal basis.

LIGA NACIONAL DE FÚTBOL PROFESIONAL: Insufficient technical and organisational measures to ensure information security

€1,000,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1 million on LIGA NACIONAL DE FÚTBOL PROFESIONAL. The controller had introduced access controls for visitors to football stadiums using biometric systems without first carrying out the necessary data protection impact assessment.

CARTONAJES BAÑERES, S.A.: Insufficient technical and organisational measures to ensure information security

€220,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 220,000 on CARTONAJES BAÑERES, S.A. following a complaint filed by a former employee. The employee had submitted a request to the controller for access to their personal data, particularly inquiring about the purpose and categories of data held. However, they did not receive a proper response. The employee also stated that the controller used a biometric facial recognition system that allowed employees to clock in and out, but did not offer an alternative me

CARTONAJES BAÑERES, S.A: Insufficient technical and organisational measures to ensure information security

€220,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has fined CARTONAJES BAÑERES, S.A. EUR 220,000. During its investigation, the DPA found that the controller had failed to grant a former employee access to their personal data. The DPA also found that the controller had failed to carry out a data protection impact assessment regarding the operation of a biometric facial recognition system installed to track working hours.

Foodinho Srl: Non-compliance with general data processing principles

€5,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined the food delivery service Foodinho Srl EUR 5 million for unlawfully processing the data of approximately 35,000 drivers and for several violations of the GDPR. The DPA's investigation revealed that the company collected drivers' location data without their knowledge or consent—not only during working hours but also when the app was running in the background or inactive. Additionally, the DPA found that the company shared driver data with third parties without a valid le

Cappello Giovanni & Figli s.r.l.: Non-compliance with general data processing principles

€120,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 120,000 on Cappello Giovanni & Figli s.r.l.. The controller had used facial recognition technology to monitor the attendance of employees. During its investigation, the DPA found that such extensive recording of biometric data to monitor attendance was not permitted. The controller referred to the consent given by the employees as the legal basis for the data processing. However, the DPA concluded that the controller could not rely on consent, as volunta

Clearview AI Inc.: Non-compliance with general data processing principles

€30,500,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has fined Clearview Al Inc. EUR 30,500,000. Clearview, a company offering facial recognition services, holds a database of over 30 billion images, including those of Dutch citizens. These images are scraped from publicly available online platforms, such as social media. Clearview uses these images to create biometric profiles, allowing individuals to be identified. During its investigation the DPA found that the personal data contained in the company's database had been processed u

CTC EXTERNALIZACIÓN, S.L: Insufficient fulfilment of information obligations

€365,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 365,000 on CTC EXTERNALIZACIÓN, S.L.. An employee had filed a complaint with the DPA due to the fact that the controller had requested fingerprints of employees in order to implement a new time and attendance system. However, it was not communicated that the fingerprints would also be stored in the staff portal. For this reason, the DPA found that the controller had violated its duty to inform. The DPA also found that the controller was unable to demonst

Nimbus s.r.l.: Non-compliance with general data processing principles

€5,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 5,000 on Nimbus s.r.l.. The controller had introduced a biometric attendance system at the workplace without adequately informing the employees and obtaining their consent.

Ew Business Machines S.p.A.: Non-compliance with general data processing principles

€20,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 20,000 on Ew Business Machines S.p.A.. The controller had installed a video surveillance system that not only recorded images in real time, but also made audio recordings, capturing employees. Both the company's legal representative and their family had access to these recordings via a smartphone. During its investigation, the DPA found that the employees were not adequately informed about the additional audio monitoring. In addition, the company used an

Praktiškas UAB: Insufficient legal basis for data processing

€6,000 fine - Lithuanian Data Protection Authority (VDAI)

The Lithuanian DPA has fined Praktiškas UAB, the operator of SportGates sports clubs, EUR 6,000. The controller had processed biometric data of customers in the context of their access to sports facilities. During its investigation, the DPA found that the customers' consent to the processing of their biometric data could not be considered voluntary. This was because the controller did not offer the provision of any other type of information for access to the sports clubs. Nor did it provide the

VIEC Limited: Non-compliance with general data processing principles

€100,000 fine - Data Protection Authority of Ireland

The Irish DPA has imposed a fine of EUR 100,000 on the nursing home operator VIEC Limited. The controller had notified the DPA of a data breach pursuant to Art. 33 GDPR. The controller had suffered a phishing attack in which an unauthorized third party gained access to an email account of a VIEC manager. As a result, the unknown third party also managed to access personal data such as health and biometric data of home residents. The DPA found this to be a breach of the principle of integrity and

THE HACK: Orbán’s AI propaganda campaign

In today's edition: Council deletes GDPR changes, EU-US biometrics deal ajar to automated decisions

THE HACK: Germany eyes social media age ban

In today's edition: Spain's AI 'pornification' ban push, MEP questions US biometrics talks, DNA priorities

Seven Billion Reasons for Facebook to Abandon its Face Recognition Plans

The New York Times reported that Meta is considering adding face recognition technology to its smart glasses. According to an internal Meta document, the company may launch the product “during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” This is a bad idea that Meta should abandon. If adopted and released to the public, it would violate the privacy rights of millions of people and cost the

No One, Including Our Furry Friends, Will Be Safer in Ring's Surveillance Nightmare

Amazon Ring’s Super Bowl ad offered a vision of our streets that should leave every person unsettled about the company’s goals for disintegrating our privacy in public. In the ad, disguised as a heartfelt effort to reunite the lost dogs of the country with their innocent owners, the company previewed future surveillance of our streets: a world where biometric identification could be unleashed from consumer devices to identify, track, and locate anything — human, pet, and otherwise. The ad for Ri

Yes to the “ICE Out of Our Faces Act”

Immigration and Customs Enforcement (ICE) and Customs and Border Protection (CBP) have descended into utter lawlessness, most recently in Minnesota. The violence is shocking. So are the intrusions on digital rights and civil liberties. For example, immigration agents are routinely scanning faces of people they suspect of unlawful presence in the country – 100,000 times, according to the Wall Street Journal. The technology has already misidentified at least one person, according to 404 Media. Fac

EDRi-gram, 4 February 2026

What has the EDRi network been up to over the past few weeks? Find out the latest digital rights news in our bi-weekly newsletter. In this edition: borders, biometrics, billionaires and bots The post EDRi-gram, 4 February 2026 appeared first on European Digital Rights (EDRi).

EFFecting Change: The Human Cost of Online Age Verification

Age verification mandates are spreading fast, and they’re ushering in a new age of online surveillance, censorship, and exclusion for everyone—not just young people. Age-gating laws generally require websites and apps to collect sensitive data from every user, often through invasive tools like ID checks, biometric scans, or other dubious “estimation” methods, before granting them access to certain content or services. Lawmakers tout these laws as the silver-bullet solution to “kids’ online safet

Driving Change: The Human Costs of Online Age Verification.

Age verification requirements are rapidly spreading, ushering in a new era of online surveillance, censorship, and exclusion, not just for young people, but for everyone. Laws that mandate age verification typically require websites and apps to collect sensitive data from every user, often through intrusive methods such as identity checks, biometric scans, or other questionable "estimation techniques," before granting access to certain content or services. Legislators often tout these laws as the ultimate solution for "child online safety."

Verandering bewerkstelligen: De menselijke kosten van online leeftijdsverificatie.

De verplichtingen voor leeftijdsverificatie verspreiden zich snel en brengen een nieuw tijdperk van online toezicht, censuur en uitsluiting met zich mee, niet alleen voor jongeren, maar voor iedereen. Wetten die leeftijdscontrole vereisen, verplichten websites en apps doorgaans om gevoelige gegevens van elke gebruiker te verzamelen, vaak via ingrijpende methoden zoals identiteitscontroles, biometrische scans of andere twijfelachtige "schattingstechnieken", voordat ze toegang verlenen tot bepaalde inhoud of diensten. Wetgevers prijzen deze wetten als de ultieme oplossing voor de "online veiligheid van kinderen."

Actions for climate justice versus European data protection legislation: the Advocate General's opinion.

According to him, the Advocate General of the Court will assess whether the French law that regulates the collection of biometric data by the police complies with EU data protection standards. While his interpretation remains strictly theoretical and does not take into account the realities of police practices in France, one of his proposals could be helpful for individuals seeking legal recourse after instances of data collection abuse. Article: Action for climate justice versus oppression and EU data protection legislation: the Advocate General's position.

Acties voor klimaatgerechtigheid versus de Europese wetgeving inzake gegevensbescherming: het advies van de Advocaat-Generaal.

Volgens hem beoordeelt de Advocaat-Generaal van het Hof of de Franse wet die de verzameling van biometrische gegevens door de politie regelt, voldoet aan de EU-criteria voor gegevensbescherming. Hoewel zijn interpretatie strikt theoretisch blijft en geen rekening houdt met de realiteit van de praktijken van de politie in Frankrijk, kan een van zijn voorstellen nuttig zijn voor mensen die een rechtsmiddel zoeken na misbruik van gegevensverzameling. Artikel: Actie voor klimaatgerechtigheid versus onderdrukking en de EU-wetgeving inzake gegevensbescherming: het standpunt van de Advocaat-Generaal.

Climate justice action repression vs EU data protection law: the Advocate General’s opinion

In his opinion, the Court’s Advocate General assesses the compliance of the French law regulating the collection of biometric data by police with EU data protection criteria. Although his interpretation remains strictly theoretical and fails to account for the reality of police practices in France, one of his proposals might become handy for people when seeking redress after abusive data collection. The post Climate justice action repression vs EU data protection law: the Advocate General’s opin

Answers to questions regarding the third evaluation of the Biometrics Act in the context of immigration procedures.

Legislation.

Letter from the Parliament, "Answers to questions regarding the third evaluation of the Biometrics Act in the context of immigration procedures" (May 14, 2025).

Berlin Group beschließt Arbeitspapier zu Facial Recognition Technology

Berlin Group beschließt Arbeitspapier zu Facial Recognition Technology

Facial recognition: the CNIL decided to impose an overdue penalty payment on Clearview AI

Background information CLEARVIEW AI collects photographs from a wide range of websites, including social networks, and sells access to its database of images of people through a search engine in which an individual can be searched using a photograph. The company offers this service to law enforcement authorities. Facial recognition technology is used to query the search engine and find an individual based on its photograph. In a decision of 17 October 2022, the restricted committee – the CNIL bo

Gezichtsherkenning: de CNIL heeft besloten om een boete op te leggen aan Clearview AI.

Achtergrondinformatie CLEARVIEW AI verzamelt foto's van een breed scala aan websites, waaronder sociale netwerken, en verkoopt toegang tot haar database met afbeeldingen van personen via een zoekmachine waarmee een individu kan worden gezocht aan de hand van een foto. Het bedrijf biedt deze dienst aan opsporingsinstanties. Technologie voor gezichtsherkenning wordt gebruikt om de zoekmachine te bevragen en een individu te identificeren op basis van een foto. In een besluit van 17 oktober 2022 heeft de speciale commissie – de CNIL – besloten...

Unprecedented appearance by European Commissioner for Home Affairs, innovating on quicksand, and the cabinet vs. online confidentiality

> Read through the most interesting developments at the intersection of human rights and technology from the Netherlands. This is the second update in this series.

“Social media profiles and phone contacts” used as proof of identity for deportations

> Thirteen non-EU countries sometimes accept “social media profiles and phone contacts” as evidence of identity for the purpose of deportations, according to an internal European Commission assessment of third country cooperation on readmission.

De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.

Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

Greek SA fines Clearview AI for EUR 20M

A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings