Biometric Data
Unique physical characteristics used for identification
biometric data biometrische gegevens biometrie facial recognition fingerprint
Overview
21 sources · Feb 21, 2026Legal Framework
Biometric data processing operates under a dual regulatory layer of the GDPR and the AI Act. Under the GDPR, biometric data used to identify natural persons constitutes special category data under Article 9, requiring explicit legal grounds such as Article 9(2)(b) (employment obligations) or 9(2)(g) (substantial public interest), as consent proves invalid when collection is mandatory for exercising fundamental rights. The CJEU in Schwarz v. Bochum (17 October 2014) established that passport applicants cannot validly consent to fingerprint processing when such data is compulsory for travel documents; centralized storage and secondary use require explicit statutory authorization strictly limited to the specified purpose (preventing illegal entry).
The AI Act introduces specific prohibitions and definitions for biometric systems. Recital 30 prohibits biometric categorisation systems that infer sensitive attributes—including political opinions, religious beliefs, race, sex life, or sexual orientation—from biometric data such as facial images or fingerprints, except where lawfully labelling datasets without inferring such characteristics. Recital 15 defines biometric identification broadly to encompass automatic recognition of physiological and behavioral characteristics including gait, voice patterns, keystrokes, and cardiovascular metrics through comparison with reference databases. Recital 17 functionally defines remote biometric identification as AI-based identification conducted typically from a distance without the subject's active involvement. Additionally, EDPB Guidelines 2/2023 clarify Article 5(3) of the ePrivacy Directive's application to biometric data storage on terminal equipment, while Guidelines 05/2022 impose strict necessity and proportionality requirements for facial recognition technology in law enforcement contexts.
Key Developments
Enforcement actions have established stringent proportionality thresholds. The Spanish DPA (AEPD) imposed a €10,043,002 fine on Aena for deploying facial recognition pilot programs across multiple airports without adequate legal basis or safeguards. The Irish DPA fined the Department of Social Security €550,000 for biometric data processing violations in its SAFE 2 registration system. These decisions confirm that large-scale biometric processing in public administrative contexts requires explicit legislative authorization and cannot rely on broad public interest justifications.
The Schwarz judgment continues to govern legal basis analysis, precluding reliance on consent where biometric collection is compulsory for accessing services. The ruling also clarifies that centralized storage systems must adhere strictly to the purposes defined in their enabling legislation; expansion beyond those parameters—such as using passport fingerprint databases for general law enforcement—violates the principle of purpose limitation.
Practical Guidance
• Validate legal basis: When biometric collection is mandatory for accessing rights or services (employment, travel documents), utilize Article 6(1)(c) or (e) GDPR coupled with Article 9(2)(b) or (g) conditions; do not rely on consent per Schwarz.
• Comply with AI Act prohibitions: Ensure biometric categorisation systems do not infer prohibited sensitive characteristics (political opinions, religious beliefs, sexual orientation) unless performing lawful dataset sorting without inference capabilities (Recital 30).
• Assess remote identification systems: For AI systems performing remote biometric identification (Recital 17), verify explicit statutory authorization exists and conduct enhanced necessity assessments before deployment in public spaces.
• Restrict database usage: Limit centralized biometric reference databases strictly to the purposes defined in enabling legislation; secondary uses require separate legal basis and likely fresh compatibility assessments under Article 6(4) GDPR.
• Implement technical safeguards: For biometric data stored on user devices or accessed via terminal equipment, ensure compliance with Article 5(3) ePrivacy Directive requirements regarding information storage and access (EDPB Guidelines 2/2023).
Laws (36)
View all 36Case Law (20)
Inspanningsverplichting om biometrische gegevens op video-opnamen onzichtbaan dan wel onhoorbaar te maken
Rechtbank
“Verweerder handhaaft met betrekking tot de nog niet openbaar gemaakte video-opnamen haar standpunt dat zij de op de video-opnamen zichtbare gezichten en hoorbare stemmen van personen niet openbaar kan maken, omdat sprake is van biometrische gegevens als bedoeld in de AVG. Verweerder heeft op zit...
ECLI:NL:RVS:2025:5343 Raad van State , 05-11-2025 / 202500691/1/A3
Raad van State
Bij besluit van 7 maart 2024 heeft de burgemeester van Eindhoven de aanvraag van [wederpartij] voor een Nederlandse identiteitskaart buiten behandeling gesteld. Op 29 februari 2024 heeft [wederpartij] een Nederlandse identiteitskaart aangevraagd. Daarbij heeft [wederpartij] toegelicht geen vingerafdrukken te willen afgeven vanwege religieuze overwegingen. Omdat de afgifte van vingerafdrukken verplicht is, omdat deze in de chip van de identiteitskaart moeten worden opgenomen, heeft de burgemeester geweigerd de aanvraag in behandeling te nemen. De burgemeester heeft dit besluit op 7 maart 2024 per aangetekende post naar [wederpartij] verzonden. Nadat de bezorging op 9 maart 2024 niet is gelukt, is de post naar een PostNL afhaalpunt gebracht. [wederpartij] heeft de aangetekende post niet opgehaald bij het PostNL afhaalpunt. Hij stelt dat hij niet wist dat het besluit naar het PostNL afhaalpunt is gebracht, omdat hij geen afhaalbericht heeft ontvangen. Op 26 maart 2024 is het stuk retour gezonden naar de burgemeester.
Oogmerk van identiteitsfraude bij verkrijgen persoonsgegevens van vele anderen.
Gerechtshof
Cyberkamer. De verdachte heeft gedurende een periode van meer dan twee jaar zogeheten bots gekocht van Genesis Market. Daardoor kon hij beschikken over inloggegevens van andere personen, zoals gebruikersnamen en wachtwoorden. Deze inloggegevens heeft verdachte gebruikt door bij verschillende webshops op de accounts van anderen in te loggen en producten te bestellen onder hun naam en op hun kosten. Dit handelen is bewezen verklaard als het verwerven en voorhanden hebben van niet-openbare gegevens, terwijl de verdachte ten tijde van de verwerving en het voorhanden krijgen van deze gegevens redelijkerwijs had moeten vermoeden dat deze door misdrijf waren verkregen, (art. 139g Sr), het ontvangen, zich verschaffen en voorhanden hebben van gegevens waarvan hij weet dat zij bestemd zijn tot het plegen van een in art. 231b Sr omschreven misdrijf (art. 234 Sr), misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 34 personen met voornoemde persoonsgegevens bestellingen bij webwinkels te doen (art. 231b Sr) en computervredebreuk door gebruik te maken van door misdrijf verkregen combinaties van gebruikersnamen en/of e-mailadressen en/of bijbehorende wachtwoorden, tot het gebruik waarvan verdachte niet gerechtigd was (art. 138ab Sr). Gelet op onder meer het aantal bots en slachtoffers, het leed en de onzekerheid die de verdachte met zijn handelen heeft veroorzaakt bij de slachtoffers die bekend zijn geraakt met het feit dat hun (inlog-)gegevens in verkeerde handen waren gevallen en het strafblad van de verdachte, is het hof van oordeel dat een hogere straf dient te worden opgelegd dan de rechtbank had opgelegd. Toewijzing van vordering benadeelde partij tot vergoeding van immateriële schade (art. 6:106 BW) als gevolg van identiteitsfraude. Teruggave van laptops nu enige relatie tot de bewezenverklaarde strafbare feiten niet vastgesteld kan worden.
Handhavingsverzoek. Aantekening van verwijderverzoek door GGNet mag blijven bestaan. Uitzondering art. 9(2)(h) AVG van toepassing. Dossierplicht bestaat ook voor verpleegkundige bij een intakegesprek van deze aard.
Raad van State
Bij besluit van 12 juli 2019 heeft de Autoriteit Persoonsgegevens het handhavingsverzoek van [appellante] afgewezen. Bij besluit van 25 juni 2020 heeft de AP het door [appellante] daartegen gemaakte bezwaar ongegrond verklaard.
Artikel 106a en 107 Vreemdelingenwet 2000
Raad van State
Het gebruik van biometrische gegevens in de vreemdelingenketen is (voor zover niet in EU recht al in voorzien) geregeld in met name Artikel 106a en 107 Vreemdelingenwet 2000. Deze bepaling behelst een verregaande mogelijkheid om een gezichtsopname en tien vingerafdrukken af te nemen en te verwerk...
Rectificatie en vernietiging politiegegeven.
Rechtbank
verzoek tot wijziging van persoonsgegevens ogv Wpg toegewezen; registratie als verdachte in hoofdregistraties/vervolgregistraties; deel persoonsgegevens pas na instellen beroep verwijderd, daarom beroep gegrond met instandlating rechtsgevolgen
OM-cassatie en cassatie verdachte.
Hoge Raad
OM-cassatie en cassatie verdachte. Phishing-fraude met behulp van valse betaalverzoeken. Medeplegen computervredebreuk, meermalen gepleegd (art. 138ab.1 Sr), medeplegen voorhanden hebben van toegangscodes (art. 139d.2.b Sr), medeplegen oplichting, meermalen gepleegd (art. 326.1 Sr) en medeplegen diefstal d.m.v. valse sleutels (art. 311.1 Sr). Onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. In dit arrest gaat de Hoge Raad in op de betekenis van recente rechtspraak van het Hof van Justitie van de Europese Unie – in het bijzonder de uitspraak in de zaak CG/Bezirkshauptmannschaft Landeck – voor de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. Deze recente rechtspraak brengt mee dat dit onderzoek op een enigszins andere manier moet worden genormeerd dan uit een eerdere uitspraak van de Hoge Raad voortvloeit. Het is aan de wetgever om een wettelijke regeling op te stellen die in haar algemeenheid voldoet aan alle in de rechtspraak van het Hof van Justitie gestelde vereisten. In afwachting van zo’n regeling ziet de Hoge Raad aanleiding om zijn eerdere rechtspraak bij te stellen. In dit arrest wordt in rechtsoverweging 5 uiteengezet wat deze bijstelling inhoudt. Vervolgens worden de cassatiemiddelen van het openbaar ministerie en van de verdachte beoordeeld (rechtsoverweging 6 en 7). In rechtsoverweging 9 geeft de Hoge Raad een samenvatting van zijn oordeel in deze zaak. Volgt verwerping. Samenhang met 22/03872 en 22/03913.
In deze zaak heeft een persoon, aangeduid als [eiser], een creditcardovereenkomst met International Card Services B.
Hoge Raad
In deze zaak heeft een persoon, aangeduid als [eiser], een creditcardovereenkomst met International Card Services B.V. (ICS). Toen ICS [eiser] verzocht om zich te identificeren en zijn identiteit te verifiëren in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwf...
Artikelen
Kifid
In het klantherkenningsproces vraagt de bank om een scan van een identiteitsdocument en om een selfie(foto) op te sturen. In tegenstelling tot eerdere uitspraken neemt het Kifid hier niet langer aan - mijns inziens terecht - dat het verwerken van een foto ook automatisch de verwerking van biometr...
Inzageverzoek op grond van de Wet politiegegevens (Wpg).
Rechtbank
Inzageverzoek op grond van de Wet politiegegevens (Wpg). Verweerder heeft onvoldoende gemotiveerd waarom de weigeringsgronden aan inzage in de weg staan. Verweerder heeft ook ten onrechte geen belangenafweging gemaakt. Beroep gegrond.
Artikel
Rechtbank
Inzageverzoek op grond van de Wet politiegegevens (Wpg). Het bestreden besluit is niet deugdelijk gemotiveerd. Het onderzoek is niet volledig geweest. Verweerder heeft de term ‘verwerken’ als bedoeld in artikel 25 van de Wpg te strikt opgevat. Beroep gegrond.
ECLI:NL:RBNNE:2023:821 Rechtbank Noord-Nederland , 24-02-2023 / LEE 22/2493
Rechtbank Noord-Nederland
Wet politiegegevens. Beroep gegrond, vernietiging bestreden besluit. Rechtsgevolgen blijven in stand. Omdat eiser de rechtbank geen toestemming heeft verleend om kennis te nemen van de registraties kan de rechtbank niet beoordelen welke informatie – meer dan in het verweerschrift gegeven - wel en niet verstrekt had moeten worden en of het (eventueel) gerechtvaardigd is dat eiser de registraties niet mag inzien. De gevolgen van het weigeren van toestemming als bedoeld in artikel 8:29, vijfde lid van de Awb komen volgens vaste jurisprudentie van de Afdeling bestuursrechtspraak van de Raad van State in beginsel voor rekening van de weigerende partij.
Meta Platforms v noyb
C-252/21 (Meta Platforms (noyb))
GDPR consent requirements and lead supervisory authority mechanism.
GC and Others v CNIL
C-136/17 (GC and Others)
Conditions for delisting sensitive data from search results.
SCHWARZ V. BOCHUM, 17.10.2014 (“SCHWARZ”)
Schwarz
Processing: Taking and storing fingerprints constitute processing. (¶¶ 28–29)
SCHWARZ V. BOCHUM, 17.10.2014 (“SCHWARZ”)
Schwarz
Necessity/proportionality: Secure storage of fingerprints reduces risk of passports falsification and to facilitates EU borders control and,thus, it is appropriate.(¶¶ 41-45).
SCHWARZ V. BOCHUM, 17.10.2014 (“SCHWARZ”)
Schwarz
Personal data: Fingerprints constitute personal data, as they objectively contain unique information about individuals which allows them to be identified with precision. (¶ 27)
SCHWARZ V. BOCHUM, 17.10.2014 (“SCHWARZ”)
Schwarz
Centralized storage of the data and used for other purposes does not affect the validity of the Regulation, which provides only for preventing illegal entry into the EU. (¶¶ 61-62)
SCHWARZ V. BOCHUM, 17.10.2014 (“SCHWARZ”)
Schwarz
No sufficiently effective yet less invasive alternative exist as taking fingerprints/pictures is causes no physical or mental discomfort and the technology for the only alternative (iris scan) is not advance enough. (¶¶ 48-53).
SCHWARZ V. BOCHUM, 17.10.2014 (“SCHWARZ”)
Schwarz
Lawful basis: It is essential for citizens of the EU to own a passport in order to travel to a third country, and a passport must contain fingerprints. Therefore, citizens are not free to object to processing of their fingerprints, and thus persons applying for passports cannot be deemed to have consented to that processing. (¶ 32)
Guidance (19)
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive
Guidelines on technical scope of art. 5(3) of ePrivacy Directive
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Richtsnoeren 2/2023 over het technische topassingsgebied van artikel 5, lid 3, van de eprivacyrichtlijn
guidelines technische toepassingsgebied van artikel 5(3) e-privacyrichtlijn
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Guidelines on the calculation of administrative fines under the GDPR
The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...
Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media
guidelines targeting gebruikers sociale media
Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
Guidelines on processing of personal data through video devices
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Toets wijziging Vreemdelingenwet (biometrie vreemdelingen)
AP
WetgevingsadviezenAutoriteit Persoonsgegevens, Toets wijziging Vreemdelingenwet (biometrie vreemdelingen), 2025
Enforcement (34)
View all 34Aena, S.M.E., S.A.: Non-compliance with general data processing principles
€10,043,002 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 10,043,002 on Aena, S.M.E., S.A. The controller conducted a pilot project involving multiple airports, including the use of facial recognition systems. However, the controller failed to carry out a data protection impact assessment prior to doing so.
Departement of Social Security: Insufficient legal basis for data processing
€550,000 fine - Data Protection Authority of Ireland
The Irish DPA imposed a fine of EUR 550,000 on the Departement of Social Security. The controller uses the so called SAFE 2 registration process for anyone applying for a Public Services Card. The SAFE 2 registration, which is mandatory, processes biometric data without a sufficient legal basis. The controller also failed to adequately inform data subjects in regards to the processing and to conduct a data protection impact assessment.
Ministerie van Sociale Zekerheid: Onvoldoende wettelijke basis voor gegevensverwerking.
550.000 euro boete - Ierse Autoriteit voor Gegevensbescherming.
De Ierse Autoriteit Persoonsgegevens heeft een boete van 550.000 euro opgelegd aan het Ministerie van Sociale Zekerheid. De verantwoordelijke instantie gebruikt een zogenaamd SAFE 2-registratieproces voor iedereen die een "Public Services Card" aanvraagt. Deze verplichte SAFE 2-registratie verwerkt biometrische gegevens zonder voldoende juridische basis. Bovendien heeft de verantwoordelijke instantie de betrokkenen niet voldoende geïnformeerd over de verwerking en geen impactanalyse op het gebied van gegevensbescherming uitgevoerd.
ULPIA TRAJANA ALAMEDA S.L.: Non-compliance with general data processing principles
€1,500 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA imposed a fine on ULPIA TRAJANA ALAMEDA S.L. During the booking process, the controller processed data that was unnecessary for the purpose, infringing on the principle of data minimization. The data processed also included biometric data (Art. 9 GDPR) for which the controller lacked a sufficient legal basis. The original fine of EUR 2,500 was reduced to EUR 1,500 due to immediate payment and admission of responsibility by the controller.
ULPIA TRAJANA ALAMEDA S.L.: Niet-naleving van de algemene principes voor gegevensverwerking.
1.500 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan ULPIA TRAJANA ALAMEDA S.L. Tijdens het boekingsproces heeft de verantwoordelijke partij gegevens verwerkt die niet noodzakelijk waren voor het doel, wat een schending is van het beginsel van dataminimalisatie. De verwerkte gegevens omvatten ook biometrische gegevens (artikel 9 AVG), waarvoor de verantwoordelijke partij geen voldoende juridische basis had. De oorspronkelijke boete van 2.500 euro is verlaagd tot 1.500 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.
Istituto di Istruzione Superiore 'P. Galluppi' Tropea: Insufficient legal basis for data processing
€4,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 2,500 on the Istituto di Istruzione Superiore 'P. Galluppi' Tropea. The controller processed biometric data of its employees to control their work hours. The processing was designed in a way that, according to the DPA, did not comply with the principles of lawfulness, fairness and transparency and lacked a sufficient legal basis.
Istituto di Istruzione Superiore 'P. Galluppi' Tropea: Onvoldoende juridische basis voor de verwerking van gegevens.
Een boete van 4.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.500 euro opgelegd aan het Istituto di Istruzione Superiore 'P. Galluppi' in Tropea. De verantwoordelijke partij heeft biometrische gegevens van haar werknemers verwerkt om hun werktijden te controleren. Volgens de DPA was de verwerking zodanig ingericht dat deze niet in overeenstemming was met de beginselen van rechtmatigheid, eerlijkheid en transparantie, en ontbrak er een voldoende juridische basis.
CARTONAJES BAÑERES, S.A: Insufficient technical and organisational measures to ensure information security
€220,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has fined CARTONAJES BAÑERES, S.A. EUR 220,000. During its investigation, the DPA found that the controller had failed to grant a former employee access to their personal data. The DPA also found that the controller had failed to carry out a data protection impact assessment regarding the operation of a biometric facial recognition system installed to track working hours.
CARTONAJES BAÑERES, S.A.: Insufficient technical and organisational measures to ensure information security
€220,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA imposed a fine of EUR 220,000 on CARTONAJES BAÑERES, S.A. following a complaint filed by a former employee. The employee had submitted a request to the controller for access to their personal data, particularly inquiring about the purpose and categories of data held. However, they did not receive a proper response. The employee also stated that the controller used a biometric facial recognition system that allowed employees to clock in and out, but did not offer an alternative me
Foodinho Srl: Non-compliance with general data processing principles
€5,000,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has fined the food delivery service Foodinho Srl EUR 5 million for unlawfully processing the data of approximately 35,000 drivers and for several violations of the GDPR. The DPA's investigation revealed that the company collected drivers' location data without their knowledge or consent—not only during working hours but also when the app was running in the background or inactive. Additionally, the DPA found that the company shared driver data with third parties without a valid le
Cappello Giovanni & Figli s.r.l.: Non-compliance with general data processing principles
€120,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 120,000 on Cappello Giovanni & Figli s.r.l.. The controller had used facial recognition technology to monitor the attendance of employees. During its investigation, the DPA found that such extensive recording of biometric data to monitor attendance was not permitted. The controller referred to the consent given by the employees as the legal basis for the data processing. However, the DPA concluded that the controller could not rely on consent, as volunta
Clearview AI Inc.: Non-compliance with general data processing principles
€30,500,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has fined Clearview Al Inc. EUR 30,500,000. Clearview, a company offering facial recognition services, holds a database of over 30 billion images, including those of Dutch citizens. These images are scraped from publicly available online platforms, such as social media. Clearview uses these images to create biometric profiles, allowing individuals to be identified. During its investigation the DPA found that the personal data contained in the company's database had been processed u
CTC EXTERNALIZACIÓN, S.L: Insufficient fulfilment of information obligations
€365,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 365,000 on CTC EXTERNALIZACIÓN, S.L.. An employee had filed a complaint with the DPA due to the fact that the controller had requested fingerprints of employees in order to implement a new time and attendance system. However, it was not communicated that the fingerprints would also be stored in the staff portal. For this reason, the DPA found that the controller had violated its duty to inform. The DPA also found that the controller was unable to demonst
Ew Business Machines S.p.A.: Non-compliance with general data processing principles
€20,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 20,000 on Ew Business Machines S.p.A.. The controller had installed a video surveillance system that not only recorded images in real time, but also made audio recordings, capturing employees. Both the company's legal representative and their family had access to these recordings via a smartphone. During its investigation, the DPA found that the employees were not adequately informed about the additional audio monitoring. In addition, the company used an
Praktiškas UAB: Insufficient legal basis for data processing
€6,000 fine - Lithuanian Data Protection Authority (VDAI)
The Lithuanian DPA has fined Praktiškas UAB, the operator of SportGates sports clubs, EUR 6,000. The controller had processed biometric data of customers in the context of their access to sports facilities. During its investigation, the DPA found that the customers' consent to the processing of their biometric data could not be considered voluntary. This was because the controller did not offer the provision of any other type of information for access to the sports clubs. Nor did it provide the
VIEC Limited: Non-compliance with general data processing principles
€100,000 fine - Data Protection Authority of Ireland
The Irish DPA has imposed a fine of EUR 100,000 on the nursing home operator VIEC Limited. The controller had notified the DPA of a data breach pursuant to Art. 33 GDPR. The controller had suffered a phishing attack in which an unauthorized third party gained access to an email account of a VIEC manager. As a result, the unknown third party also managed to access personal data such as health and biometric data of home residents. The DPA found this to be a breach of the principle of integrity and
Comune di Vicchio: Insufficient legal basis for data processing
€8,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA (Garante) imposed a fine of EUR 8,000 on Comune di Vicchio. The municipality processed biometric data of employees for the purpose of registering their attendance. Garante found that such processing was not proportionate and therefore constituted an unjustified infringement of the rights of the data subjects. Subsequently, Garante determined that the processing of biometric data had taken place without a legal basis.
Comune di Borgia: Insufficient legal basis for data processing
€5,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA (Garante) imposed a fine of EUR 5,000 on Comune di Borgia. The municipality processed biometric data of employees for the purpose of registering their attendance. Garante found that such processing was not proportionate and therefore constituted an unjustified infringement of the rights of the data subjects. Subsequently, Garante determined that the processing of biometric data had taken place without a legal basis. Also the Garante found that the municipality failed to provide t
Sportitalia: Non-compliance with general data processing principles
€20,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA (Garante) imposed a fine of EUR 20,000 on Sportitalia. The controller processed biometric data (fingerprints) of employees for the purpose of registering their attendance. Garante found that such extensive processing was not proportionate and therefore constituted an unjustified infringement of the rights of the data subjects. Furthermore, Garante determined that the processing of biometric data had taken place without sufficiently informing the data subjects about the processing
Clearview Al Inc.: Insufficient fulfilment of data subjects rights
€20,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has fined Clearview Al Inc. EUR 20,000,000. The company holds a database of more than 20 billion facial images (including those of french residents and nationals) from around the world. The data is collected online from publicly accessible platforms such as social networks. The company offers a search service that allows individuals to be identified based on the biometric data extracted from the images. Individuals' profiles can be enriched with information associated with those i
News (28)
View all 28Seven Billion Reasons for Facebook to Abandon its Face Recognition Plans
The New York Times reported that Meta is considering adding face recognition technology to its smart glasses. According to an internal Meta document, the company may launch the product “during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” This is a bad idea that Meta should abandon. If adopted and released to the public, it would violate the privacy rights of millions of people and cost the
Climate justice action repression vs EU data protection law: the Advocate General’s opinion
In his opinion, the Court’s Advocate General assesses the compliance of the French law regulating the collection of biometric data by police with EU data protection criteria. Although his interpretation remains strictly theoretical and fails to account for the reality of police practices in France, one of his proposals might become handy for people when seeking redress after abusive data collection. The post Climate justice action repression vs EU data protection law: the Advocate General’s opin
Actions for climate justice versus European data protection legislation: the Advocate General's opinion.
According to him, the Advocate General of the Court will assess whether the French law that regulates the collection of biometric data by the police complies with EU data protection standards. While his interpretation remains strictly theoretical and does not take into account the realities of police practices in France, one of his proposals could be helpful for individuals seeking legal recourse after instances of data collection abuse. Article: Action for climate justice versus oppression and EU data protection legislation: the Advocate General's position.
Acties voor klimaatgerechtigheid versus de Europese wetgeving inzake gegevensbescherming: het advies van de Advocaat-Generaal.
Volgens hem beoordeelt de Advocaat-Generaal van het Hof of de Franse wet die de verzameling van biometrische gegevens door de politie regelt, voldoet aan de EU-criteria voor gegevensbescherming. Hoewel zijn interpretatie strikt theoretisch blijft en geen rekening houdt met de realiteit van de praktijken van de politie in Frankrijk, kan een van zijn voorstellen nuttig zijn voor mensen die een rechtsmiddel zoeken na misbruik van gegevensverzameling. Artikel: Actie voor klimaatgerechtigheid versus onderdrukking en de EU-wetgeving inzake gegevensbescherming: het standpunt van de Advocaat-Generaal.
Antwoorden op vragen inzake de derde evaluatie van de Wet biometrie in de vreemdelingenketen
Legislation
Kamerbrief, 'Antwoorden op vragen inzake de derde evaluatie van de Wet biometrie in de vreemdelingenketen' (14 mei 2025).
Berlin Group beschließt Arbeitspapier zu Facial Recognition Technology
Berlin Group beschließt Arbeitspapier zu Facial Recognition Technology
Facial recognition: the CNIL decided to impose an overdue penalty payment on Clearview AI
Background information CLEARVIEW AI collects photographs from a wide range of websites, including social networks, and sells access to its database of images of people through a search engine in which an individual can be searched using a photograph. The company offers this service to law enforcement authorities. Facial recognition technology is used to query the search engine and find an individual based on its photograph. In a decision of 17 October 2022, the restricted committee – the CNIL bo
Unprecedented appearance by European Commissioner for Home Affairs, innovating on quicksand, and the cabinet vs. online confidentiality
> Read through the most interesting developments at the intersection of human rights and technology from the Netherlands. This is the second update in this series.
“Social media profiles and phone contacts” used as proof of identity for deportations
> Thirteen non-EU countries sometimes accept “social media profiles and phone contacts” as evidence of identity for the purpose of deportations, according to an internal European Commission assessment of third country cooperation on readmission.
Greek SA fines Clearview AI for EUR 20M
A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.
Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
ICO Publishes Draft Employee Monitoring Guidance for Consultation
> On October 14, 2022, the Federal Trade Commission announced it is extending the deadline by one month to submit comments on its Advanced Notice of Proposed Rulemaking on commercial surveillance and lax data security practices.
De ICO publiceert een conceptrichtlijn over het monitoren van werknemers ter beoordeling.
Op 14 oktober 2022 heeft de Federal Trade Commission aangekondigd dat de deadline voor het indienen van commentaren op haar voorlopige voorstel voor regelgeving over commerciële surveillance en inadequate databeveiligingspraktijken met een maand wordt verlengd.
De Autoriteit Persoonsgegevens publiceert een rapport over de risicoanalyse van de AVG (Algemene Verordening Gegevensbescherming).
De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.
AEPD publishes GDPR Risk Assessment
> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.
Zelfbeschikking voor vluchtelingen? De controversiële mogelijkheden van digitale identiteit.
Zelfvoorzienende identiteit is een technologie in een vroeg stadium van ontwikkeling, waarvan de voordelen voor vluchtelingen nog onzeker zijn. Het kan hen mogelijk meer autonomie geven, maar het riskeert ook de macht van staten en bedrijven ten opzichte van hen te versterken, zo stelt dit artikel.
Civil Rights Organisations Criticise automated data exchange for police cooperation (Prüm II Proposal)
The European Digital Rights (EDRi) network published a position paper on the proposed Regulation on automated data exchange for police cooperation, known as “Prüm II”. This currently primarily consists of a data-sharing network (interlinking national DNA, fingerprint and vehicle registration databases). It foresees the expansion of the data-sharing network to the interconnection of facial images and, on a voluntary basis, “police records”. The position paper raises several critical issues of t
Mensenrechtenorganisaties bekritiseren de geautomatiseerde gegevensuitwisseling voor de samenwerking tussen de politie (voorstel Prüm II).
Het netwerk European Digital Rights (EDRi) heeft een position paper gepubliceerd over het voorgestelde Europees regelgevend kader voor geautomatiseerde gegevensuitwisseling ter bevordering van de samenwerking tussen politie, bekend als "Prüm II". Dit omvat momenteel voornamelijk een netwerk voor gegevensuitwisseling (waarbij nationale DNA-databases, vingerafdrukken en voertuigregistraties met elkaar worden verbonden). Het voorziet in een uitbreiding van dit netwerk, waarbij gezichtsherkenningstechnologie wordt toegevoegd en, op vrijwillige basis, "politiedossiers". Het position paper werpt verschillende belangrijke vragen op over...
Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures
The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.
De Deense beschermingsautoriteit (SA) heeft verklaard dat het gebruik van Google Analytics onrechtmatig is zonder aanvullende maatregelen.
De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.