Confidentiality Obligations and Requirements

EPRIVACY-ART-5

Confidentiality of communications

Article 78

Vertrouwelijkheid

Recital 167

Recital 10

Recital 151

Recital 154

Recital 167

Article 78

Confidentiality

Recital 10

Recital 151

Recital 154

Recital 70

Recital 79

Recital 117

Recital 70

Recital 42

Recital 117

Recital 79

Recital 42

Recital 97

ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252

Rechtbank Den Haag

Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.

ECLI:NL:RBLIM:2026:400 Rechtbank Limburg , 22-01-2026 / 11924727 \ AZ VERZ 25-112

Rechtbank Limburg

Ambtenaar. Belastingdienst. Verboden nevenwerkzaamheden. Onbevoegd raadplegen van systemen belastingdienst. Schending integriteitsnormen. Ernstig verwijtbaar handelen. Ontbinding arbeidsovereenkomst.

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

College van Beroep voor het bedrijfsleven

College van Beroep voor het bedrijfsleven

Artikel 8:29 Awb-beslissing. De gevraagde beperking van de kennisneming van bepaalde gegevens is gerechtvaardigd.

Uitzondering openbare orde bij inzageverzoek incidentenrapport n.a.v. parachutsprong ongeluk

Rechtbank

Heeft verzoeker recht op inzage in incidentenrapport op grond van de artikel 15 AVG naar aanleiding van ongeval bij parachutespringen?

Inzageberoep ex art. 195 Rv onderzoeksrapport waarbij pseudonimiseren wel plaats moet vinden. In het geheel afwijzen mag niet.

Gerechtshof

Inzageverzoek ex art. 195 Rv. Werknemer verzoekt om inzage in het gehele onderzoeksrapport dat de werkgever deels heeft ingebracht in de procedure tot ontbinding van de arbeidsovereenkomst met de werknemer. Het hof oordeelt dat de belangen van de werknemer zwaarder wegen dan die van de werkgever en wijst het verzoek toe. Wel verbindt het hof voorwaarden aan de inzage.

Geen onrechtmatige uiting

Rechtbank

Kort geding. Vorderingen tot gebod plaatsen rectificatie en verbod tot doen van uitlatingen worden afgewezen, omdat niet is vast komen te staan dat sprake is van onrechtmatige uitlatingen.

ManpowerGroup

Raad van State

appellante] heeft hoger beroep ingesteld tegen de uitspraak van de rechtbank Amsterdam van 4 maart 2025 in zaak nr. 22/3746. In die uitspraak heeft de rechtbank het beroep van [appellante] tegen de afwijzing van haar klacht over de verwerking van haar persoonsgegevens door ManpowerGroup Netherlands B.V., ongegrond verklaard. De Autoriteit Persoonsgegevens heeft de vertrouwelijke versie van Antwoorden Vragenlijst Bijlage 1 en het hele document ManpowerGoup’s Information Security Policy overgelegd en met verwijzing naar artikel 8:29 van de Awb medegedeeld dat uitsluitend de Afdeling kennis zal mogen nemen van deze stukken.

Geheimhouding

Rechtbank

Beslissing geheimhoudingskamer

Geheimhouding

Rechtbank

Beslissing geheimhoudingskamer

Woo-verzoek.

Rechtbank

“Verweerder geeft aan dat openbaarmaking van correspondentie van een specifieke medewerkster een directe inbreuk zou betekenen op de veilige werkomgeving die verweerder verplicht is te bieden aan zijn werknemers, in het bijzonder van die medewerkster. De rechtbank kan verweerder in zijn stelling ...

Woo-zaak met zijdelings de Autoriteit Persoonsgegevens als betrokken partij

Rechtbank

Verzoek om openbaarmaking op grond van de Wet open overheid. Weigeringsgrond artikel 5.1, tweede lid, aanhef en onder i Woo. Het goed functioneren van de Staat, de procespositie van de Staat. Tussenuitspraak. Bestuurlijke lus.

Specifiek verzoek om namen ontvangers van persoonsgegevens verwerkt door handelsinformatiekantoor, niet categorieën, toegewezen. Bedrijfsgeheim argument houdt geen stand.

Rechtbank

Zaak tegen Graydon. Verzoek om inzage in specifieke ontvangers van persoonsgegevens van betrokkene, en neemt niet genoeg met categorieën ontvangers. Graydon weigert met een beroep op 41(1)(e) UAVG bescherming van het recht van anderen, in dit geval Graydon zelf. “De ontvangers zijn klanten van Gr...

CASE OF ORTEGA ORTEGA v. SPAIN

ECHR

Deze zaak gaat over het gebruik van salarisgegevens van anderen in soortgelijke posities ten bevoege van het staven van een claim van discriminatie op basis van geslacht. De vrouw toonde dit daarmee aan. Vervolgens wordt ze echter ontslagen omdat ze de vertrouwelijkheid had geschonden nu ze salar...

Rechtbank Amsterdam

Rechtbank Amsterdam

EAB Bulgarije; gelijkstellingsverweer verworpen; tussenuitspraak i.v.m. nadere vragen over de detentieomstandigheden

Rechtbank Den Haag

Rechtbank Den Haag

Overheidsaansprakelijkheid. Verstrekking persoonsgegevens door gemeente aan woningcorporatie over een koopwoning is in strijd met de AVG. Causaal verband met gestelde schadeposten?

Rechtbank Zeeland-West-Brabant

Rechtbank Zeeland-West-Brabant

Kort geding. Vorderingen tot gebod plaatsen rectificatie en verbod tot doen van uitlatingen worden afgewezen, omdat niet is vast komen te staan dat sprake is van onrechtmatige uitlatingen.

Raad van State

Raad van State

Bij tussenuitspraak van 5 maart 2025, ECLI:NL:RVS:2025:894, heeft de Afdeling de uitspraak van de rechtbank bevestigd en bepaald dat het onderzoek in deze zaak wordt heropend voor zover het de beroepen tegen de besluiten van 21 juni 2023 en 26 juli 2023 betreft. In de tussenuitspraak heeft de Afdeling geoordeeld dat de rechtbank terecht heeft geoordeeld dat het bezwaar van Omroep Flevoland tegen het besluit van het college van 23 februari 2022 mede geacht wordt te zijn gericht tegen de besluiten van de raad van 13 september 2021 en 8 november 2021 op het verzoek om opheffing van geheimhouding. Verder heeft de Afdeling overwogen dat de besluiten van de raad van 13 september 2021 en 8 november 2021 geen motivering bevatten. De Afdeling heeft daarom geoordeeld dat de rechtbank deze besluiten terecht heeft vernietigd en terecht de raad heeft opgedragen nieuwe besluiten te nemen. Ten slotte heeft de Afdeling geoordeeld dat de rechtbank voor wat betreft de beoordeling van het verslag van de besloten raadvergadering niet uitdrukkelijk heeft aangegeven dat de raad daarbij ook een mogelijk belang als bedoeld in artikel 5.1, eerste en tweede lid, van de Wet open overheid mag betrekken. Uit rechtsoverweging 9.5 van de tussenuitspraak volgt dat de raad dat wel mag doen.

Gerechtshof Den Haag

Gerechtshof Den Haag

Inzageverzoek ex art. 195 Rv. Werknemer verzoekt om inzage in het gehele onderzoeksrapport dat de werkgever deels heeft ingebracht in de procedure tot ontbinding van de arbeidsovereenkomst met de werknemer. Het hof oordeelt dat de belangen van de werknemer zwaarder wegen dan die van de werkgever en wijst het verzoek toe. Wel verbindt het hof voorwaarden aan de inzage.

ECLI:NL:GHDHA:2025:2685 Gerechtshof Den Haag , 16-12-2025 / 200.353.591/01

Gerechtshof Den Haag

Inzageverzoek ex art. 195 Rv. Werknemer verzoekt om inzage in het gehele onderzoeksrapport dat de werkgever deels heeft ingebracht in de procedure tot ontbinding van de arbeidsovereenkomst met de werknemer. Het hof oordeelt dat de belangen van de werknemer zwaarder wegen dan die van de werkgever en wijst het verzoek toe. Wel verbindt het hof voorwaarden aan de inzage.

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 06/2022 on the practical implementation of amicable settlements

Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

Versiegeschiedenis

Richtsnoeren 01/2021

Guidelines 04/2021 on Codes of Conduct as tools for transfers

Guidelines on codes of conduct and monitoring bodies

The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Guidelines 03/2021 on the application of Article 65(1)(a) GDPR

Guidelines on the application of Article 60 GDPR

Richtsnoeren 02/2022 voor de toepassing van artikel 60 AVG

guidelines voor de toepassing van artikel 60 AVG

Een van de belangrijkste innovaties bij de invoering van de AVG was de introductie van het concept 'één-loketmechanisme'. In gevallen van grensoverschrijdende verwerking is de toezichthoudende autoriteit in de lidstaat van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker de autoriteit die leidinggeeft aan de handhaving van de AVG met betrekking tot de grensoverschrijdende verwerkingsactiviteiten in kwestie. Daarbij wordt samengewerkt met alle autoriteiten die de gevolge...

Versiegeschiedenis

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...

Guidelines 01/2021

Guidelines on Examples regarding Personal Data Breach Notification

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation

Guidelines on certification and identifying certification criteria

Version history

Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

Guidelines on technical scope of art. 5(3) of ePrivacy Directive

Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

guidelines voor de toepassing van artikel 60 AVG

ENDESA (energy supplyer): Insufficient legal basis for data processing

€60,000 fine - Spanish Data Protection Authority (aepd)

The complainant's bank account was charged by ENDESA, the beneficiary of which was a third party, who had been convicted under criminal law and imposed with a two-year restraining order regarding the claimant, her domicile and work. Instead amending the contract details as requested by the claimant ENDESA deleted her data erroneously and fillid in the data of the third party. The AEPD found the disclosure of the claimant's data to the third party was a severe violation of the principle of confid

ENDESA (energieleverancier): Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De bankrekening van de klager werd belast door ENDESA, waarbij de begunstigde een derde partij was. Deze derde partij was veroordeeld volgens het strafrecht en had een bevel van twee jaar gekregen dat betrekking had op de klager, haar woonplaats en werkplek. In plaats van de contractgegevens zoals gevraagd door de klager aan te passen, heeft ENDESA per ongeluk haar gegevens verwijderd en de gegevens van de derde partij ingevoerd. De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat de openbaarmaking van de gegevens van de klager aan de derde partij een ernstige schending was van het principe van vertrouwelijkheid.

Home Owner Association: Non-compliance with general data processing principles

€1,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 1,000 on a home owner association. The HOA displayed the personal data of debtors in the entrance hall of a building, which infringed on the duty of confidentiality. The HOA appealed the decision, but the AEPD dismissed it.

Chamber of Commerce, Industry, Services and Navigation of Spain: Insufficient legal basis for data processing

€500,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 500,000 on the Chamber of Commerce, Industry, Services and Navigation of Spain. Due to its function within the Spanish Executive, the controller has access to the basic data of all Spanish companies, including information regarding solvency, contact details, tax numbers and more. Self-employed persons are also included. The controller has decided to make this information available to the public. For this purpose, the controller created the legal entity C

Handelskamer, Industrie, Dienstverlening en Transport van Spanje: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 500.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft de Kamer van Koophandel, Industrie, Diensten en Transport van Spanje een boete van 500.000 euro opgelegd. Vanwege haar functie binnen de Spaanse regering heeft deze organisatie toegang tot de basisgegevens van alle Spaanse bedrijven, waaronder informatie over de financiële stabiliteit, contactgegevens, belastingnummers en meer. Ook zelfstandigen vallen onder deze gegevens. De organisatie heeft besloten om deze informatie openbaar te maken. Daartoe heeft de organisatie de rechtspersoon C opgericht.

FEDERATIE VOOR DUIVENHOUDERIJ VAN CASTILLA-LA MANCHA: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan FEDERACION DE COLUMBICULTURA DE CASTILLA-LA MANCHA. De verantwoordelijke partij was niet in staat om de vertrouwelijkheid van persoonlijke gegevens te waarborgen, wat resulteerde in een datalek. De oorspronkelijke boete van 1.000 euro is verlaagd tot 600 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

FEDERACION DE COLUMBICULTURA DE CASTILLA-LA MANCHA: Insufficient technical and organisational measures to ensure information security

€600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on FEDERACION DE COLUMBICULTURA DE CASTILLA-LA MANCHA. The controller was unable to ensure the confidentiality of personal data, which resulted in a leak. The original fine of EUR 1,000 was reduced to EUR 600 due to immediate payment and admission of responsibility by the controller.

SERVICIOS ESPECIALES, S.A.: Non-compliance with general data processing principles

€120,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on SERVICIOS ESPECIALES, S.A. The case concerned a GDPR breach during an internal workplace conflict investigation: the company shared a report via email that included the full names, roles, and complaint details of the individuals involved, to the Works Committee and 15 additional employees. The DPA found this disclosure violated Article 5 (1) f) GDPR, as it failed to ensure the confidentiality of personal data. The original fine of EUR 200,000 was reduced to EUR

SERVICIOS ESPECIALES, S.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 120.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse Autoriteit Persoonsgegevens (DPA) heeft een boete opgelegd aan SERVICIOS ESPECIALES, S.A. De zaak betrof een schending van de AVG tijdens een intern onderzoek naar een arbeidsconflict: het bedrijf deelde een rapport via e-mail met de personeelsvertegenwoordigers en 15 andere werknemers. Dit rapport bevatte de volledige namen, functies en details van de klachten van de betrokken personen. De DPA oordeelde dat deze openbaarmaking een schending vormde van artikel 5 (1) f) van de AVG, omdat het bedrijf de vertrouwelijkheid van de persoonsgegevens niet had gewaarborgd. De oorspronkelijke boete van 200.000 euro is verlaagd tot...

Hospital: Insufficient technical and organisational measures to ensure information security

€3,000 fine - Croatian Data Protection Authority (azop)

The Croation DPA (AZOP) has imposed a fine of EUR 3,000 on a hospital. Despite the extensive and high-risk processing of health data, the hospital had not implemented sufficient organizational measures to ensure the security of data processing. Specifically, measures to ensure the confidentiality of health information were lacking, which undermined trust in medical services and patient privacy. The hospital was fined for breaching Art. 13, Art.32, Art. 33, and Art. 34(1) GDPR.

BEEDIGITAL AI, S.A.: Non-compliance with general data processing principles

€120,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine against BEEDIGITAL AI, S.A.. A individual had lodged a complaint with the DPA against the controller because they had received advertising from the controller even though they were registered in the advertising objection register. In the course of its investigation, the DPA found that the controller had violated the principle of confidentiality. The original fine of EUR 150,000 was reduced to EUR 120,000 due to voluntary payment.

Eidskog municipality: Insufficient legal basis for data processing

€20,900 fine - Norwegian Supervisory Authority (Datatilsynet)

The Norwegian DPA imposed a fine of EUR 20,900 on Eidskog municipality for giving two former employees access to a whistleblower’s report without redacting sensitive health and financial data. The the DPA found that the municipality had no legal basis for processing this information and had previously published confidential information about the whistleblower.

VIEC Limited: Non-compliance with general data processing principles

€100,000 fine - Data Protection Authority of Ireland

The Irish DPA has imposed a fine of EUR 100,000 on the nursing home operator VIEC Limited. The controller had notified the DPA of a data breach pursuant to Art. 33 GDPR. The controller had suffered a phishing attack in which an unauthorized third party gained access to an email account of a VIEC manager. As a result, the unknown third party also managed to access personal data such as health and biometric data of home residents. The DPA found this to be a breach of the principle of integrity and

Property owner administrative board: Non-compliance with general data processing principles

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on a Property Owners Association. Two property owners had filed a complaint with the DPA. The individuals had submitted a request for a copy of financial documents to the board. The Association however published the requests with personal data of the individuals concerned on the bulletin board in a common area of the respective residential building. The DPA considered this to be a violation of the principle of confidentiality.

INDECEMI, S.L.: Non-compliance with general data processing principles

€3,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 3,000 on INDECEMI, S.L.. A person had filed a complaint with the DPA against the controller after receiving an email from the controller containing personal data (first name, last name, address, telephone number, etc.) of another person in the context of a complaint. The DPA considered this to be a violation of the principle of integrity and confidentiality.

UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC: Non-compliance with general data processing principles

€70,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 70,000 on UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC (UPS). A person had filed a complaint with the DPA because UPS had delivered a package from them to a neighbor without their consent. The DPA considered this to be an unauthorized disclosure of their data, which was a result of a lack of technical and organizational measures for personal data protection. The DPA also found that this unauthorized disclosure of personal data constituted a violation

Vodafone España, S.A.U.: Non-compliance with general data processing principles

€56,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on Vodafone España, S.A.U.. A person had filed a complaint with the DPA for having unsuccessfully requested a copy of their phone contract from Vodafone several times. Finally, the person received an e-mail, but with the phone contract of another customer. The DPA considered this to be a violation of the principle of integrity and confidentiality as set out in Art. 5 (1) f) GDPR. In addition, the DPA found that Vodafone failed to implement adequate technical an

RESTEXPERIENCE, S.L.: Non-compliance with general data processing principles

€5,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has fined RESTEXPERIENCE, S.L. EUR 5,000. The controller had accidentally sent an email containing tax information of 36 individuals to 11 unauthorized individuals. The DPA considered this to be a breach of the principle of integrity and confidentiality. It also found that the company had failed to implement appropriate technical and organizational measures to protect personal data.

OES GLOBAL ENERGY S.L.: Non-compliance with general data processing principles

€35,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 35,000 on OES GLOBAL ENERGY S.L.. A customer of the controller had filed a complaint with the DPA after receiving an e-mail from the controller containing documents relating to the termination of electricity contracts of other customers. These documents contained personal data of the customers such as their names and ID numbers. The DPA considered this unlawful disclosure of personal to be a violation of the principle of confidentiality and integrity, as wel

EVERIS SPAIN S.L: Non-compliance with general data processing principles

€64,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on EVERIS SPAIN S.L.. Everis had published information on sold data of users of an insurance company as well as records with personal data of Spanish customers of the insurance company. The DPA considered this a violation of the confidentiality of the data. The DPA also found that the unlawful publication of the data had been possible due to, among other things, a lack of technical and organizational measures to protect personal data at the time of the data bre

DSB (Austria) - 2024-0.199.724

Corrected and added some links, removed duplicate in short summary. }}}} An DPA denied a complaint against a public body under Articles 9 and 77 GDPR, holding that publication of a data subject’s political donation did not violate the GDPR because the controller had a lawful basis.An DPA denied a complaint against a public body under [[Article 9 GDPR|Articles 9]] and [[Article 77 GDPR|77 GDPR]], holding that publication of a data subject’s political donation did not violate them because the cont

SN - I NO 14/23

Facts }}}} The Supreme Court upheld rules requiring legal counsels to keep a client register and ensure confidentiality. It held that processing client data to check conflicts of interest is lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] as it fulfills a statutory duty.The Supreme Court upheld rules requiring legal counsels to keep a client register and to ensure confidentiality. It held that keeping a client register is necessary to comply with the legal obligation to check for potenti

SN - I NO 14/23

Facts }}}} The Supreme Court of Poland upheld rules requiring legal counsels to keep client data confidential and maintain a client register. The Court held processing was lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] to meet legal obligations.The Supreme Court upheld rules requiring legal counsels to keep a client register and ensure confidentiality. It held that processing client data to check conflicts of interest is lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] as it fulf

Artificial Insecurity: how AI tools compromise confidentiality

In the first part of our blog series on the dodgy digital security practices underlying advanced AI tools, we unpack how LLMs can jeopardize the confidentiality of people’s data. The post Artificial Insecurity: how AI tools compromise confidentiality appeared first on Access Now.

ΔΔΚ - 1181/18

Facts: A university lecturer (the complainant) requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the promotion process, from the University of Cyprus (the responsible party). A university lecturer (the complainant) requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the promotion process, from the University.

ΔΔΚ - 1181/18

Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke).

ΔΔΚ - 1181/18

Facts === Facts ====== Facts === An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller).An assistant professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University

ΔΔΚ - 1181/18

An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller).An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller). The c

ΔΔΚ - 1181/18

A university lecturer (the complainant) has requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the doctoral promotion process, from the University of Cyprus (the responsible party). A university lecturer (the complainant) has requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the doctoral promotion process, from the University of Cyprus (the responsible party).

DSB (Austria) - 2025-0.276.820

}}}} An Austrian media company was fined €6,820 by the Data Protection Authority for negligently failing to implement a binding order to modify its website’s cookie banner, delaying user consent options despite all appeals being rejected.The DPA fined a media company €6,820 for failing to bring its cookie banner into compliance by implementing a visually equivalent option to reject cookies. The DPA previously ordered the controller to do so in accordance with Article 58(2)(d) GDPR. == English Su

DSB (Austria) - 2025-0.276.820

An Austrian media company (the responsible party) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. These cookies contained unique identification codes to track visitors. This occurred in August 2021.

DSB (Oostenrijk) - 2025-0.276.820

Een Oostenrijks mediabedrijf (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatiecodes om bezoekers te volgen. In augustus 2021.

DSB (Austria) - 2025-0.276.820

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

DSB (Oostenrijk) - 2025-0.276.820

}}}} Een Oostenrijks mediabedrijf is door de Autoriteit voor Gegevensbescherming een boete van 6.820 euro opgelegd, omdat het nalatig was bij het implementeren van een bindende aanwijzing om het cookiebanner op zijn website te wijzigen. Hierdoor werden de opties voor toestemming van gebruikers vertraagd, ondanks dat alle bezwaren werden afgewezen. De Autoriteit voor Gegevensbescherming heeft een mediabedrijf een boete van 6.820 euro opgelegd omdat het cookiebanner niet was aangepast om te voldoen aan de wetgeving, en er geen visueel gelijkwaardige optie was om cookies te weigeren. De Autoriteit had eerder aan het bedrijf opgedragen dit te doen, in overeenstemming met artikel 58(2)(d) van de AVG.

DSB (Austria) - 2025-0.276.820

An Austrian media company has been fined €6,820 by the Data Protection Authority because it failed to implement a binding instruction to modify the cookie banner on its website. This resulted in delays in providing users with consent options, despite all objections being rejected. The Data Protection Authority imposed a fine of €6,820 on the media company because the cookie banner had not been adjusted to comply with the law, and there was no visually equivalent option for users to reject cookies. The Authority had previously instructed the company to do so, in accordance with Article 58(2)(d) of the GDPR.

DSB (Austria) - 2025-0.276.820

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

DSB (Oostenrijk) - 2025-0.276.820

Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. In augustus 2021.

Why the Digital Omnibus puts GDPR and ePrivacy at risk

On 19 November, the European Commission has published two Omnibus proposals: one that rewrites key parts of the General Data Protection Regulation (GDPR) and ePrivacy rules, along with other data-related laws, and another that amends the AI Act. This article focuses on the first proposal. It explains how the changes would weaken core rights to data protection and the confidentiality of communications, and why the combined effect risks reshaping long-standing safeguards for people in the EU. The

Why the "Digital Omnibus" threatens privacy regulations (GDPR and ePrivacy).

On November 19th, the European Commission published two so-called "omnibus" proposals: one revising key aspects of the General Data Protection Regulation (GDPR) and the ePrivacy rules, along with other data-related laws, and the other an amendment to the AI Act. This article focuses on the first proposal. It explains how the proposed changes could weaken fundamental rights related to data protection and the confidentiality of communications, and why the combined effect risks undermining long-standing safeguards for individuals within the EU.

Waarom de "Digital Omnibus" de privacyregels (AVG en ePrivacy) in gevaar brengt.

Op 19 november heeft de Europese Commissie twee zogenaamde "omnibus"-voorstellen gepubliceerd: het ene herziening van belangrijke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-regels, samen met andere wetten met betrekking tot gegevens, en het andere een amendement op de AI-wet. Dit artikel richt zich op het eerste voorstel. Het legt uit hoe de voorgestelde wijzigingen fundamentele rechten op gegevensbescherming en de vertrouwelijkheid van communicatie zouden verzwakken, en waarom het gecombineerde effect het risico loopt om lang bestaande beschermingsmaatregelen voor mensen in de EU te veranderen.