Article 101
Geldboeten voor aanbieders van AI-systemen voor algemene doeleinden
Fines
Administrative fines imposed for GDPR violations
fines boetes geldboete sancties artikel 83 article 83
Overview
26 sources · Feb 20, 2026Legal Framework
Article 77 GDPR establishes the dual-track enforcement framework, providing data subjects with alternative remedies without requiring prior exhaustion of administrative channels before pursuing civil litigation. The provision obliges supervisory authorities to render substantive responses to complaints, explicitly prohibiting complete deprioritization even where authorities retain policy discretion under general administrative law principles. Chapter VIII (encompassing Articles 77 through 84) structures the comprehensive liability and sanctions regime, empowering national authorities to impose administrative fines for violations. Article 52(2) GDPR reinforces this enforcement architecture by mandating that processing occur solely upon valid legal bases—typically consent or statutory grounds—violations of which directly trigger fining authority. Article 99 GDPR addresses transitional provisions for Union institutions, confirming that Regulation (EU) 2018/1725 now governs data protection violations by EU bodies, subjecting them to comparable administrative fine regimes. Parallel principles emerge across the digital acquis: Recital 144 DSA and Recital 168 AI Act mandate that sanctions be effective, proportionate, and dissuasive while strictly respecting ne bis in idem protections against multiple penalties for identical conduct.
Key Developments
The EDPB Guidelines 04/2022 harmonize calculation methodologies across Member States, requiring supervisory authorities to evaluate turnover, severity, negligence levels, and mitigating circumstances consistently when determining penalty amounts. Enforcement practice confirms expansive corporate liability: the Italian DPA (Garante) imposed €850,000 on an agency network operating for Acea Energia S.p.A., establishing that intermediary structures bear independent compliance obligations regardless of contractual allocations with the principal controller. Dutch Supreme Court jurisprudence (Hoge Raad 14/06513 and 02229/02 E) clarifies that legal persons incur direct liability for regulatory violations without requiring proof of discrete individual acts or "independent action" by specific employees, confirming that administrative fines attach to the entity upon demonstration of the contravention itself.
Practical Guidance
- Substantive complaint handling: Implement protocols ensuring substantive replies to data subject complaints per Article 77(2) GDPR, as supervisory authorities cannot entirely deprioritize complaints despite resource constraints or competing enforcement priorities.
- Network liability mapping: Extend compliance programs and data processing agreements to intermediary agencies and operational networks, following the Acea Energia precedent where external partners incurred €850,000 in independent penalties for processing violations.
- Adopt EDPB calculation frameworks: Integrate Guidelines 04/2022 criteria—turnover brackets, violation severity categories, and mitigating circumstances—into pre-enforcement risk assessments and penalty forecasting models.
- Ne bis in idem coordination: Establish cross-regulatory monitoring to prevent double jeopardy exposure where conduct risks penalties under overlapping regimes (GDPR, DSA, AI Act), ensuring single-sanction principles govern enforcement responses.
- Legal basis documentation: Maintain comprehensive auditable records demonstrating Article 52(2) GDPR compliance (consent or alternative grounds) to rebut presumptions of unlawful processing during fine proceedings and establish due diligence defenses.
Laws (58)
View all 58Article 83
Formal non-compliance
Article 83
Formele non-conformiteit
Article 100
Administratieve geldboeten voor instellingen, organen en instanties van de Unie
Article 99
Sancties
Recital 179
Recital 169
Recital 168
Article 101
Fines for providers of general-purpose AI models
Article 100
Administrative fines on Union institutions, bodies, offices and agencies
Recital 179
Recital 169
Recital 168
Article 36
Sancties
Article 34
Algemene voorwaarden voor het opleggen van administratieve geldboeten aan essentiële en belangrijke entiteiten
Recital 132
Recital 131
Recital 130
Recital 129
Recital 127
Case Law (68)
View all 68ECLI:NL:RBAMS:2026:1585 Rechtbank Amsterdam , 12-02-2026 / 13/335542-25
Rechtbank Amsterdam
De rechtbank is van oordeel dat er voor gedetineerden in de detentie-instelling Fresnes een algemeen reëel gevaar bestaat dat zij aan een onmenselijke of vernederende behandeling zullen worden blootgesteld in de zin van artikel 4 Handvest. De rechtbank baseert het algemene gevaar voor de detentie-instelling Fresnes op de overbevolkingsproblematiek en de hiervoor weergegeven slechte materiële detentieomstandigheden, het niet-functionerende intercomsysteem en het ontoereikende niveau van de gezondheidszorg. De rechtbank stelt vast dat er voor de opgeëiste persoon een individueel gevaar bestaat van schending van zijn grondrechten wegens de detentieomstandigheden in de detentie-instelling in Fresnes. De rechtbank stelt, ingevolge artikel 11, vierde lid, OLW, een redelijke termijn van 60 dagen.
ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445
Rechtbank Limburg
Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?
Netbeheerder moet kunnen vertrouwen dat de leverancier de voorschriften heeft nageleefd bij afsluiten van kleingebruiker van gasnet. Extra informatie wordt niet verstrekt en hoeft ook niet te owrden verstrekt.
Gerechtshof
Het gaat in deze zaak om de vraag of de netbeheerder bevoegd is om een kleinverbruiker af te sluiten van het gasnet als geen energieleverancier voor het adres bekend is. r.o. 5.4 “De netbeheerder moet in beginsel erop kunnen vertrouwen dat in geval van een beëindiging wegens wanbetaling de levera...
Deurbelcamera die gemeenschappelijke ruimte registreert of die van appartementeigenaren filmt moet weg.
Rechtbank
De zaak gaat over een geschil tussen een VvE en een lid van de VvE over de nakoming van bepalingen uit onder andere het modelreglement en de vraag of de VvE rechtsgeldig boetes voor de overtredingen heeft opgelegd. Alleen voor de hondenkar in de gemeenschappelijke ruimte en de cameradeurbel is vastgesteld dat dit overtredingen zijn die nog steeds voortduren. De gevorderde boete wordt afgewezen, omdat uit de waarschuwingsbrief niet kan worden afgeleid voor welke overtreding een boete zal worden opgelegd bij voortduring daarvan en hoe hoog de boete is.
Schending eer en goede naam en bescherming werknemers weegt zwaarder.
Rechtbank
Kort geding. Verbod op het doen van onrechtmatige uitlatingen en het benaderen van bestuurders, medewerkers, organen en locaties van de Stichting. Gebod tot het verwijderen van alle gedane openbare uitlatingen.
Belangenafweging openbaarmaking in het kader van de Gezondheidswet en Wet op de jeugdzorg
Raad van State
Bij besluit van 29 juni 2021 heeft de minister besloten een rapport van de Inspectie Gezondheidszorg en Jeugd over de stichting openbaar te maken. Bij besluit van 22 december 2021 heeft de minister het door de stichting daartegen gemaakte bezwaar ongegrond verklaard. De stichting heeft een zelfstandig dagbehandelcentrum met als aandachtsgebied poliklinische cardiologische zorg en onderzoek en behandeling van patiënten met dysautonomie en ME/CVS. De Inspectie Gezondheidszorg en Jeugd (hierna: de inspectie) heeft op 4 maart 2021 bezoek gebracht aan de kliniek. Aanleiding voor het bezoek waren mede de opmerkingen over de telefonische bereikbaarheid van de kliniek voor andere zorgaanbieders en over de geboden zorg aan patiënten met ME/CVS. De inspectie heeft rapport opgemaakt van het bezoek en daarin tekortkomingen bij de stichting vastgesteld. Verder heeft de inspectie geconcludeerd dat de stichting maatregelen moet nemen om de tekortkomingen te herstellen.
Rechtbank Zeeland-West-Brabant
Rechtbank Zeeland-West-Brabant
Beroep tegen het niet weigeren bepaalde strafrechtelijke gegevens uit de justitiele documentatie te verwijderen. De minister mocht uitgaan van de informatie van het OM en hoefde deze gegevens dus niet te verwijderen.
Rechtbank Amsterdam
Rechtbank Amsterdam
EAB Griekenland; gelijkstellingsverweer verworpen; tussenuitspraak vanwege nadere vragen over de grondslag, de effectieve rechtsbescherming, artikel 12 OLW en de detentieomstandigheden
ECLI:NL:RBZWB:2026:222 Rechtbank Zeeland-West-Brabant , 14-01-2026 / 11680291 CV EXPL 25-2141 (E)
Rechtbank Zeeland-West-Brabant
Vorderingen tot ontbinding en ontruiming mbt huur bedrijfsruimte en huurachterstand worden toegewezen.
Gerechtshof Den Haag
Gerechtshof Den Haag
Cyberkamer. Bankhelpdeskfraude. Medeplegen van oplichting en diefstal met valse sleutel, al dan niet in combinatie, alsmede witwassen. Partiële vrijspraken in gevallen waarin verdachte wel in de omgeving van woningen aangevers is geweest maar niet valt uit te sluiten dat een onbekend ander lid van het criminele samenwerkingsverband bij aangevers aan de deur is geweest, en in een geval waarin de camerabeelden niet toelaten vast te stellen dat verdachte geldopname heeft gedaan. Het hof acht het extra kwalijk dat juist oudere mensen doelbewust tot slachtoffer zijn gemaakt, vanwege hun grote kwetsbaarheid en afhankelijkheid. Feiten gepleegd tijdens proeftijd wegens medeplegen poging tot oplichting. Verbeurdverklaring personenauto en telefoons. Beslissingen over vorderingen benadeelde partijen. Oplegging schadevergoedingsmaatregel. Tenuitvoerlegging geldboete. Gevangenisstraf voor de duur van 32 maanden, met aftrek.
Rechtbank Den Haag
Rechtbank Den Haag
Overheidsaansprakelijkheid. Verstrekking persoonsgegevens door gemeente aan woningcorporatie over een koopwoning is in strijd met de AVG. Causaal verband met gestelde schadeposten?
Rechtbank Amsterdam
Rechtbank Amsterdam
Artikel 10 EVRM, vrijheid van meningsuiting. De gemeente heeft onrechtmatig gehandeld door te dreigen met registratie in het Gemeentelijk Incidenten Registratiesysteem (GIR) naar aanleiding een LinkedIn-bericht. Belang eiser bij een enkele verklaring voor recht.
Raad van State
Raad van State
Bij besluit van 29 juni 2021 heeft de minister besloten een rapport van de Inspectie Gezondheidszorg en Jeugd over de stichting openbaar te maken. Bij besluit van 22 december 2021 heeft de minister het door de stichting daartegen gemaakte bezwaar ongegrond verklaard. De stichting heeft een zelfstandig dagbehandelcentrum met als aandachtsgebied poliklinische cardiologische zorg en onderzoek en behandeling van patiënten met dysautonomie en ME/CVS. De Inspectie Gezondheidszorg en Jeugd (hierna: de inspectie) heeft op 4 maart 2021 bezoek gebracht aan de kliniek. Aanleiding voor het bezoek waren mede de opmerkingen over de telefonische bereikbaarheid van de kliniek voor andere zorgaanbieders en over de geboden zorg aan patiënten met ME/CVS. De inspectie heeft rapport opgemaakt van het bezoek en daarin tekortkomingen bij de stichting vastgesteld. Verder heeft de inspectie geconcludeerd dat de stichting maatregelen moet nemen om de tekortkomingen te herstellen.
Rechtbank Amsterdam
Rechtbank Amsterdam
Ontslag op staande voet omdat werknemer bewust valse informatie zou hebben verstrekt bij het invullen van een integriteitsverklaring. Het ontslag blijft in stand. Tegenverzoeken van de werkgever, onder andere strekkende tot betaling van gefixeerde schadevergoeding en boete worden toegewezen.
ECLI:NL:GHAMS:2025:3008 Gerechtshof Amsterdam , 11-11-2025 / 200.346.007/01
Gerechtshof Amsterdam
Opzegging van bankrelatie wegens mogelijke schending van sanctieregelgeving in relatie tot Rusland en vermoeden van (poging tot) valsheid in geschrift. Geen herstel van bankrelatie. Geen schrapping van IVR- en EVR-registraties.
Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)
Hoge Raad
Het hof veroordeelt de verdachte tot een gevangenisstraf van achttien maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016. Het hof bespreekt het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Het verweer kan niet slagen.
Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)
Gerechtshof
Het hof veroordeelt de verdachte tot een gevangenisstraf van 24 maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016 en het voorhanden hebben van wapens. Het hof bespreekt het verweer dat sprake is van sfeercumulatie en dat in het opsporingsonderzoek ten onrechte gebruik is gemaakt van gegevens die tijdens het uitoefenen van toezicht zijn verzameld. Daarnaast bespreekt het hof het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Beide verweren kunnen niet slagen.
Woo zaak. Art. 5.1(7) Woo vereist geen belangenafweging eerbiediging privéleven maar dat levert geen schending op art. 8 EVRM.
Raad van State
Bij besluiten van 4 mei 2023 heeft de minister van Landbouw, Visserij, Voedselzekerheid en Natuur naar aanleiding van een verzoek van journalisten van NRC, Follow the Money en Omroep Gelderland besloten tot openbaarmaking van informatie over - kortgezegd - boerenbedrijven. De journalisten hebben in drie afzonderlijke verzoeken uit december 2022 en januari 2023 de minister - verkort weergegeven - verzocht om openbaarmaking van gegevens uit de Basiskaart Agrarische Bedrijfssituatie 2021, de Gecombineerde Opgaven van alle agrarische ondernemingen in Nederland op 1 april 2010, 2015, 2020, 2021 en 2022 en een overzicht van alle agrarische ondernemingen in de provincie Gelderland waar onder andere rundvee, varkens, kippen, geiten en schapen worden gehouden. FDF en anderen, NMV, LTO en een aantal individuele veehouders hebben bezwaar gemaakt tegen de besluiten van de minister. Volgens hen mag de minister de gegevens niet zomaar openbaar maken, omdat de gegevens geen emissiegegevens zijn. Er had daarom een belangenafweging moeten plaatsvinden.
Geheimhouding toegewezen in Awr zaak.
Rechtbank
Geheimhouding
Camera bij betoging abortuskliniek
Rechtbank
Deze uitspraak gaat over de beroepen van eiseres tegen beperkingen en voorschriften die verweerder heeft verbonden aan de Pro Life betogingen die eiseres heeft gehouden in 2023 en 2024 bij een abortuskliniek in Heemstede. Onderdeel van de betogingen is de wens van eiseres om individuele personen aan te spreken. De rechtbank is het niet met verweerder eens dat het individueel aanspreken door betogers van eiseres, überhaupt niet onder het betogingsrecht valt. Over de betoging in 2023 en 2024 oordeelt de rechtbank dat een vrees voor wanordelijkheden aanwezig was, zodat verweerder op zichzelf de bevoegdheid had om op deze grond voorschriften en beperkingen op te leggen. De rechtbank oordeelt vervolgens dat er onvoldoende aanleiding is om op voorhand uit te sluiten dat de psychische gezondheid ook onder bescherming van de gezondheid, zoals opgenomen in artikel 2 Wom, kan vallen. Verweerder heeft de opgenomen voorschriften echter niet alleen gebaseerd op de bescherming van de gezondheid, maar ook op de vrees voor wanordelijkheden. De rechtbank heeft hiervoor al geoordeeld dat sprake was van vrees voor wanordelijkheden, zodat verweerder reeds daarom op zichzelf de bevoegdheid had om op deze grond voorschriften en beperkingen op te leggen. Ten slotte oordeelt de rechtbank dat het voorschrift dat betogers passanten en bezoekers van de kliniek niet mogen aanspreken niet noodzakelijk en ook disproportioneel is. Dit voorschrift is dus in strijd met artikel 2 Wom. De beroepen van eiseres zijn dus gegrond.
Guidance (40)
View all 40Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679
Guidelines on relevant and reasoned objection under Regulation 2016/679
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Guidelines on the calculation of administrative fines under the GDPR
The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority
Guidelines for identifying a controller or processor’s lead supervisory authority
Guidelines 01/2021
Guidelines on Examples regarding Personal Data Breach Notification
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679
Guidelines on codes of conduct and monitoring bodies
Guidelines 05/2020 on consent under Regulation 2016/679
Guidelines on consent
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Guidelines 9/2022 on personal data breach notification under GDPR
Guidelines on personal data breach notification under GDPR
Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR
Version history
Guidelines on the accreditation of certification bodies
Guidelines 02/2022 on the application of Article 60 GDPR
Guidelines on the application of Article 60 GDPR
With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...
Guidelines 07/2020 on the concepts of controller and processor in the GDPR
Guidelines on the concepts of controller and processor in the GDPR
The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...
Guidelines 06/2022 on the practical implementation of amicable settlements
Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Enforcement (49)
View all 49Netwerk van instanties en bedrijven: Niet-naleving van algemene principes voor gegevensverwerking.
850.000 euro boete - Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 850.000 euro opgelegd aan een netwerk van agentschappen en bedrijven. Dit netwerk opereerde namens Acea Energia S.p.A. en voerde agressieve telefooncamps om klanten terug te winnen en marketinggesprekken te voeren (ETid-2660). De agentschappen en bedrijven hadden geen voldoende juridische basis voor de gegevensverwerking en voldeden ook niet aan andere algemene principes voor gegevensverwerking. De ernst van de overtredingen verschilt per agentschap en bedrijf. Er zijn individuele boetes opgelegd.
Network of Agencies and Companies: Non-compliance with general data processing principles
€850,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA imposed a fine of EUR 850,000 on a network of agencies and companies. The network operated on behalf of Acea Energia S.p.A. and engaged in aggresive customer recovery and marketing calls, ETid-2660. The agencies and companies had no sufficient legal basis for the data processing and also failed to comply with other general data processing principles. The severety of the infirngiments vary in between the different agencies and companies. Following individual fines had been imposed
Multiple Companies: Insufficient legal basis for data processing
€18,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA imposed fines on 3 companies which ammount to EUR 6,000 each. The fined companies (Powerfit s.s.d.a.r.l., Soleo s.s.d.a.r.l. and Zero Due Villa s.s.d.a.r.l.) run a chain of gyms. The controllers used the phone numbers of customers for direct marketing purposes without the consent of the data subjects. The controllers also failed to respond to respect the data subjects right to deletion.
Hospital: Non-compliance with general data processing principles
€4,000 fine - Croatian Data Protection Authority (azop)
The Croation DPA (AZOP) has imposed a fine of EUR 4,000 on a hospital. The AZOP found that the hospital used a company which automatically retrieved personal data of vehicle owners via the Ministry of the Interior's web service without a legal basis, to issue parking fines for vehicle owners. Additionally, the hospital failed to inform parking users transparently and in accordance with legal requirements about the processing of their personal data related to parking fees. Furthermore, the hospit
Ziekenhuis: Niet-naleving van de algemene principes voor gegevensverwerking.
4.000 euro boete - Kroatische Autoriteit voor Gegevensbescherming (AZOP).
De Kroatische beschermingsautoriteit (AZOP) heeft een ziekenhuis een boete van 4.000 euro opgelegd. De AZOP heeft vastgesteld dat het ziekenhuis een bedrijf gebruikte dat automatisch persoonlijke gegevens van autobezitters ophaalde via de webdienst van het Ministerie van Binnenlandse Zaken, zonder daar een wettelijke basis voor te hebben, om parkeerboetes aan autobezitters te sturen. Bovendien heeft het ziekenhuis parkeergebruikers niet op een transparante en in overeenstemming met de wettelijke vereisten geïnformeerd over de verwerking van hun persoonlijke gegevens met betrekking tot parkeerkosten. Verder...
Company: €35,700 fine
€35,700 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) has imposed fines totaling EUR 35,700 on nine companies for failing to adequately indicate their video surveillance areas and for failing to provide all the necessary information on data processing related to video processing.
CROATIA DPA: Insufficient fulfilment of information obligations
Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) has imposed seven fines totaling EUR 16,000 on data controllers for failing to adequately mark video-monitored areas. This lack of marking resulted in people entering these areas not being informed of the surveillance, as the signs were either not visible on entry or did not contain all the necessary information. The fines ranged from EUR 500 to 4,000 and were imposed on various establishments, including hotels, restaurants, and shops. According to Art. 27 (1) of the Law
Centrum Medyczne Ujastek Sp. z o.o.: Non-compliance with general data processing principles
€273,000 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed two fines on the medical facility “Centrum Medyczne Ujastek” totaling approximately EUR 273,000. The first fine of approximately EUR 163,000 was imposed for the unlawful installation of surveillance equipment in two neonatal rooms. These devices recorded images of newborns and their mothers during intimate acts such as breastfeeding or care without informing patients or staff, which constitutes a violation of data protection regulations. The second fine, of around EUR
Police employees: Insufficient legal basis for data processing
Data Protection Authority of Hamburg
The DPA of Hamburg has imposed two fines on members of the police for accessing police databases for private research purposes.
GERMANY DPA: €41 fine
€41 fine - Data Protection Authority of Hessen
The DPA of Hessen has imposed fines totaling EUR 13,486 on 41 data controllers. In its 2024 activity report, the DPA of Hesse reported a total of 47 fines that year. Six of these fines were presented in more detail and can be found in the Enforcement Tracker under ETiD numbers 2636–2641. The remaining 41 fines amount to a total sum of EUR 13,486. According to the report, the issued fines cover a broad range of sectors and types, with a focus on healthcare, marketing activities, and violations of
Private individual: Insufficient legal basis for data processing
Data Protection Authority of Hamburg
The DPA of Hamburg has imposed five fines of private individuals for taking or storing photos of individuals without their consent.
Multiple website operators: Czech Data Protection Auhtority (UOOU)
Czech Data Protection Auhtority (UOOU)
In the period from January 2023 to July 2023, the Czech DPA imposed fines totaling EUR 178,000, with the highest fine being EUR 36,000. These fines were imposed due to unlawful processing of personal data in relation to cookies. The types of violations vary. Given examples are: Insufficient legal basis, insufficient compliance with information obligations or design issues. The DPA emphasizes that it will not publish individual fines due to the non-public nature of administrative proceedings.
Website operator: Insufficient legal basis for data processing
Data Protection Authority of Bremen
The DPA of Bremen has imposed five fines on website operators for using the tracking tool 'Google Analytics' without the prior consent of website users.
Real estate agency: Insufficient legal basis for data processing
Data Protection Authority of Bremen
The DPA of Bremen has imposed five fines on a real estate agency. The controller had repeatedly sent advertising messages to a former prospect and tried to contact them by telephone, even after the data subject had asked for their data to be deleted.
Humboldt Forum Service GmbH: Insufficient legal basis for data processing
€215,000 fine - Data Protection Authority of Berlin
The DPA of Berlin has imposed fines totaling EUR 215,000 on Humboldt Forum Service GmbH. Humboldt Forum had improperly documented sensitive information about individual employees and assessed their continued employment as 'critical' or 'very critical' on the basis of the information. The document also contained information on personal statements, health concerns, a possible interest in forming a works council and treatment in psychotherapy. During its investigation, the DPA found that the contro
Police officers: Insufficient legal basis for data processing
Data Protection Authority of Bremen
The DPA of Bremen has imposed ten fines between EUR 100 and EUR 1,000 on police officers for unlawfully accessing police databases.
Ambuce Rescue Team: Insufficient legal basis for data processing
€20,000 fine - Belgian Data Protection Authority (APD)
The Belgian DPA has fined Ambuce Rescue Team EUR 20,000. The fine is related to the fines against Brussels Airport Charleroi and Brussels Airport Zaventem. Due to the Covid 19 pandemic, the airports used thermal imaging cameras to filter out people with body temperatures above 38 degrees. Those filtered out were then asked to answer questions about possible coronavirus symptoms. In this process, Ambuce Rescue Team provided the questionnaires. Specifically, the DPA found that there was no valid l
LATVIA DPA: Insufficient cooperation with supervisory authority
Data State Inspectorate (DSI)
Five fines for failing to comply with orders issued by the DPA.
GERMANY DPA: Insufficient legal basis for data processing
Data Protection Authority of Saxony
Nine fines between EUR 200 and EUR 1000 for unlawful use of a dashcam.
LATVIA DPA: Insufficient cooperation with supervisory authority
Data State Inspectorate (DSI)
Six fines for failing to provide information requested by the DPA during an investigation.
News (24)
View all 24UK to introduce 48-hour takedown law for sexual deepfakes
Tech companies would face fines of up to 10% of their revenue, or having their services blocked in the UK, if they fail to act
Paris fines Brussels retail alliance €33 million over food chain rules
Retailers accuse France of undermining EU single-market rules by enforcing national law abroad
THE HACK: Lawmakers still stuck on AI ‘pornification’ ban
In today's edition: EU Five Eyes, Dutch AI agnt warning, far-right vs EU space security, UK fines Kick
The 2022 annual report of the CNIL
The publication of its activity report enables the CNIL to report on its actions with regard to its four major missions: inform and protect the general public, accompany and advise professionals and public authorities, anticipate and innovate to build the digital of tomorrow, and finally monitor and sanction breaches of the General Data Protection Regulation (GDPR) and the French law. Download the 2022 annual report (in French) Informing and protecting The actions carried out this year
Health data and use of cookies: DOCTISSIMO fined €380,000
Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco
Gezichtsherkenning: de CNIL heeft besloten om een boete op te leggen aan Clearview AI.
Achtergrondinformatie CLEARVIEW AI verzamelt foto's van een breed scala aan websites, waaronder sociale netwerken, en verkoopt toegang tot haar database met afbeeldingen van personen via een zoekmachine waarmee een individu kan worden gezocht aan de hand van een foto. Het bedrijf biedt deze dienst aan opsporingsinstanties. Technologie voor gezichtsherkenning wordt gebruikt om de zoekmachine te bevragen en een individu te identificeren op basis van een foto. In een besluit van 17 oktober 2022 heeft de speciale commissie – de CNIL – besloten...
Norway's DPA fines medical device company for breach notification violation
> Norway's data protection authority, the Datatilsynet, fined U.S.-based Argon Medical Devices 2.5 million kroner for failing to report a July 2021 data breach within the 72-hour deadline required by the EU General Data Protection Regulation. "This case is an important reminder that data controllers — including those established outside the (European Economic Area) — must have suitable measures in place to be able to immediately determine whether a breach of personal data
An analysis of Dutch case law: what factors play a role in awarding (or not) and determining the extent of damages under the GDPR?
Since May 2018, the GDPR has been directly applicable in the European Economic Area, including the member states of the European Union, Liechtenstein, Norway, and Iceland. Four years later, awarding damages for GDPR violations is still not a common practice in the Netherlands, despite the fact that news reports regularly mention data breaches and other GDPR violations. This article analyzes Dutch case law over the past four years to see what factors may influence the awarding of damages under th
CJEU clarifies GDPR principles of purpose limitation and storage limitation
The purpose limitation principle does not preclude a controller from capturing and storing in a test database established for testing and error correction purposes personal data previously collected and stored in another database. However, such "further processing" of personal data must be compatible with the specific purposes for which the personal data were originally collected. The principle of storage limitation precludes the retention of personal data in that test database for longer than n
Greek SA fines Clearview AI for EUR 20M
A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.
Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
De Deense beschermingsautoriteit (SA) heeft verklaard dat het gebruik van Google Analytics onrechtmatig is zonder aanvullende maatregelen.
De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.
Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures
The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.
Recordboete voor Instagram na ingrijpen van de EDPB.
Na de bindende beslissing van het Europees Comité voor de Bescherming van Persoonsgegevens (EDPB) van 28 juli, heeft de Ierse Autoriteit voor de Bescherming van Persoonsgegevens (DPA) haar beslissing met betrekking tot Instagram (Meta Platforms Ireland Limited, ook bekend als Meta IE) aangenomen en een recordboete van 405 miljoen euro opgelegd op grond van de AVG.
Europol wordt gevraagd om persoonlijke gegevens over te dragen aan een Nederlandse activist.
De Europese Toezichthouder op de Bescherming van Persoonsgegevens heeft Europol opgedragen om persoonlijke gegevens over te dragen aan de Nederlandse activist Frank van der Linde. Dit besluit is het resultaat van een onderzoek van twee jaar naar de manier waarop Europol de persoonlijke gegevens van Van der Linde bewaart en verwerkt.
EDPB: Lack of resources puts enforcement of individuals’ data protection rights at risk
> “We are deeply concerned that the 2023 budget, if not substantially increased, will be significantly too small to allow the EDPB and the EDPS to fulfil their tasks appropriately,” Andrea Jelinek, Chair of the European Data Protection Board (EDPB), and Wojciech Wiewiórowski, European Data Protection Supervisor (EDPS), write in an Open Letter to the European Parliament and the European Council.
EDPB: Gebrek aan middelen brengt de handhaving van de rechten van individuen met betrekking tot de bescherming van hun persoonsgegevens in gevaar.
"Wij maken ons ernstig zorgen dat het budget voor 2023, indien het niet aanzienlijk wordt verhoogd, veel te klein zal zijn om het EDPB en de EDPS in staat te stellen hun taken op een adequate manier uit te voeren," schrijven Andrea Jelinek, voorzitter van het Europees Comité voor gegevensbescherming (EDPB), en Wojciech Wiewiórowski, Europees Supervisor voor gegevensbescherming (EDPS), in een open brief aan het Europees Parlement en de Europese Raad.
De Ierse autoriteit voor gegevensbescherming heeft Instagram een boete van 405 miljoen euro opgelegd vanwege schendingen van de privacy van kinderen.
De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.
Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations
> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.
De CNIL stelt een boete van 60 miljoen euro voor aan een Frans bedrijf dat zich bezighoudt met advertentietechnologie, vanwege het niet naleven van de AVG (Algemene Verordening Gegevensbescherming).
De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.