Corrective Actions and Duty of Information Framework

Article 45

Informatieverplichtingen voor aangemelde instanties

Article 20

Corrigerende maatregelen en mededelingsverplichting

Recital 115

Recital 155

Article 20

Corrective actions and duty of information

Article 45

Information obligations of notified bodies

Recital 88

Recital 129

Geen spoedeisend belang bij verzoek om opdragen Autoriteit Persoonsgegevens corrigerende maatregelen te nemen

Rechtbank

Verzoek om voorlopige voorzeining jegens Autoriteit Persoonsgegevens om corrigerende maatregelen te nemen afgewezen. In bezwaar was het gegrond verklaard en heeft er “een interventie plaatsgevonden die ertoe heeft geleid dat de derde-partij alsnog de vereiste aanpassingen heeft gedaan om het came...

Pensioensberekeningen zijn geen persoonsgegevens

Rechtbank

In deze zaak verzoekt een gepensioneerde om ABP te bevelen persoonsgegevens te ver-strek¬ken. Verzoe¬ker doet daarbij een beroep op het inzagerecht van de Algemene verorde-ning gegevensbe¬scher¬¬ming (AVG). De rechtbank verklaart het ver¬zoek niet-ontvankelijk. Verzoeker had op grond van de Uitvoeringswet Algemene ver¬or¬dening gegevens¬be¬scher-ming (UAVG) eerst ABP moeten vragen om de gege¬vens te verstrekken. Dat heeft ver-zoeker niet gedaan. Het verzoek kan daarom niet inhoude¬lijk worden beoor¬¬¬deeld. Ook als dat wel het geval zou zijn, had het verzoek moeten worden afgewezen. Ver¬zoeker wil name¬lijk geen persoonsgege¬vens van ABP verkrijgen (en ver¬zoe¬ker heeft die gegevens ook al), maar berekeningen van zijn huidige en toekomstige pen¬sioen in het kader van de Wet toe¬komst pensioenen. Daarvoor zijn de AVG en de UAVG niet bedoeld. Verzoeker wordt ver¬oor¬deeld in de proces¬kosten van ABP (een bedrag van € 2.120,00), omdat hij ongelijk krijgt.

Rechtbank Noord-Holland

Rechtbank Noord-Holland

In deze zaak verzoekt een gepensioneerde om ABP te bevelen persoonsgegevens te ver-strek¬ken. Verzoe¬ker doet daarbij een beroep op het inzagerecht van de Algemene verorde-ning gegevensbe¬scher¬¬ming (AVG). De rechtbank verklaart het ver¬zoek niet-ontvankelijk. Verzoeker had op grond van de Uitvoeringswet Algemene ver¬or¬dening gegevens¬be¬scher-ming (UAVG) eerst ABP moeten vragen om de gege¬vens te verstrekken. Dat heeft ver-zoeker niet gedaan. Het verzoek kan daarom niet inhoude¬lijk worden beoor¬¬¬deeld. Ook als dat wel het geval zou zijn, had het verzoek moeten worden afgewezen. Ver¬zoeker wil name¬lijk geen persoonsgege¬vens van ABP verkrijgen (en ver¬zoe¬ker heeft die gegevens ook al), maar berekeningen van zijn huidige en toekomstige pen¬sioen in het kader van de Wet toe¬komst pensioenen. Daarvoor zijn de AVG en de UAVG niet bedoeld. Verzoeker wordt ver¬oor¬deeld in de proces¬kosten van ABP (een bedrag van € 2.120,00), omdat hij ongelijk krijgt.

Rechtbank Amsterdam

Rechtbank Amsterdam

Collectieve actie Bureau Clara Wichman. Borstimplantaten. Vervolg op rechtbank Amsterdam 14 februari 2024, ECLI:NL:RBAMS:2024:745 en rechtbank Amsterdam 1 mei 2024, ECLI:NL:RBAMS:2024:2479. Productaansprakelijkheid. Richtlijn 85/374/EEG inzake productaansprakelijkheid. Richtlijn 93/42/EEG betreffende medische hulpmiddelen. Artikel 6:185 e.v. BW, artikel 6:162 BW, artikel 6:193b BW en 6:193d BW. Artikel 843a Rv (oud). Hoge Raad 30 juni 1989, NJ 1990/652 (Halcion). Eindvonnis. Geen gebrekkig product in de zin van artikel 6:186 BW. Producent niet aansprakelijk. De rechtbank wijst de vorderingen in de hoofdzaak en het incident af. Zie voor een samenvatting van het vonnis, het vonnis onder 1. ‘De zaak in het kort’.

AP mocht afzien van handhaving door beroep op prioriteringsbeleid

Raad van State

Betrokkene had drie klachten ingediend bij AP over de verwerking van persoonsgegevens door voormalig werkgever Prime Vision B.V. N.a.v. de eerste twee klachten heeft de AP normoverdragende brieven gestuurd aan Prime Vision, de derde klacht met een verzoek om corrigerende maatregelen zijn afgeweze...

Woo-verzoek. Naam en andere pgg die herleidbaar zijn tot de medewerker van de gemeente hoeft niet openbaar

Rechtbank

Woo-verzoek, beroep gegrond, het bestreden besluit is niet zorgvuldig tot stand gekomen en onvoldoende gemotiveerd, de zoekslag is onvoldoende, onvoldoende gemotiveerd dat facturen van de advocaat niet onder het verzoek vallen, onvoldoende gemotiveerd dat sprake is van persoonlijke beleidsopvattingen.

Geen inzage namen betrokken ambtenaren én wethouders i.v.m. vrije gedachtewisseling.

Gerechtshof

r.o. 5.18 :"Dat geldt ook voor wethouders, die vrijelijk van gedachten moeten kunnen wisselen met ambtenaren, voorafgaand aan hun standpuntbepaling in het kader van de besluitvorming in het college van burgemeester en wethouders, waarvan de Gemeente onbestreden heeft aangevoerd dat dat het bevoeg...

AP hoefde niet handhavend op te treden. Rectificatierecht medische analyses.

Rechtbank

Beroep ongegrond. Wet bescherming persoonsgegevens. Met verweerder is de rechtbank van oordeel dat hoewel medische dossiers persoonsgegevens kunnen bevatten dit niet betekent dat medische analyses waar eiser zich niet mee kan verenigen op zichzelf ook kunnen worden aangemerkt als een persoonsgegeven. De rechtbank is verder van oordeel dat de onjuistheden in de door eiser genoemde informatie niet eenvoudig en objectief zijn vast te stellen. Dit is wel vereist om tot aanpassing dan wel correctie over te gaan.

Eiseres heeft de Autoriteit Persoonsgegevens (AP) verzocht om handhavend op te treden tegen de Belastingdienst, omdat...

Rechtbank

Eiseres heeft de Autoriteit Persoonsgegevens (AP) verzocht om handhavend op te treden tegen de Belastingdienst, omdat deze volgens haar onrechtmatig persoonsgegevens verstrekt aan de Amerikaanse belastingdienst (IRS) op basis van de Intergovernmental Agreement (IGA). Eiseres betoogt dat de IGA ni...

Besluit op bezwaar van AP rechtmatig. Geen reden tot schadevergoeding.

Raad van State

Bij besluit van 25 maart 2021 heeft de Autoriteit Persoonsgegevens een klacht van [appellant] met een verzoek om corrigerende maatregelen tegen de Belastingdienst afgewezen. Op 23 mei 2020 en op 17 juni 2020 heeft [appellant] via het meldingsformulier klachten een klacht ingediend bij de AP, omdat de Belastingdienst heeft geweigerd op zijn verzoek zijn dossier toe te zenden. In de bij de klacht van 17 juni 2020 bijgevoegde brief (gedateerd 18 juni 2020) heeft [appellant] ook de AP verzocht corrigerende maatregelen te nemen. Op 25 maart 2021 heeft de AP het verzoek om handhaving afgewezen, omdat er na globaal bureauonderzoek onvoldoende feiten zijn om een overtreding van de AVG door de Belastingdienst vast te stellen. Daarvoor is nader onderzoek vereist. Omdat in onvoldoende mate aan de prioriteringscriteria is voldaan, heeft de AP besloten geen nader onderzoek te doen naar de klacht.

EVR registratie mag gehandhaafd blijven.

Rechtbank

De registratie van persoonsgegevens in het Extern Verwijzingsregister (EVR) en het Incidentenregister (IR) door de Volksbank is niet onrechtmatig en hoeft niet ongedaan gemaakt te worden of te worden verkort.

Inzageverzoek n.a.v. creditcard afwijzing. Geen afwijzing o.g.v. scoremodel, maar max bestedingsbedrag dat al bij andere cc bestond.

Gerechtshof

AVG-perikelen na afwijzing aanvraag creditcard

Beroep tegen de herziening en terugvordering van de WIA-uitkering en het opleggen van een bestuurlijke boete ongegrond.

Rechtbank

Beroep tegen de herziening en terugvordering van de WIA-uitkering en het opleggen van een bestuurlijke boete ongegrond. Eiseres heeft de inlichtingenplicht geschonden door bij het UWV geen melding te doen van haar werkzaamheden en de inkomsten daaruit.

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP.

Rechtbank

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP. De AP heeft in deze omstandigheden kunnen afzien van een herstelsanctie, boete of berisping naar aanleiding van een overtreding van de AVG. Ook heeft de AP voldaan aan de verplichting van artikel 57 van de AVG om de twee andere klachten in gepaste mate te onderzoeken. De gestelde overtredingen zijn in het globale bureauonderzoek van Fase I niet vast komen te staan. De AP heeft op basis van het prioriteringsbeleid kunnen beslissen na dat globale bureauonderzoek geen nader onderzoek te doen.

WAMCA

Rechtbank

Collectieve actie (WAMCA). Twee stichtingen voeren elk een collectieve actie tegen Google over de wijze waarop Google persoonsgegevens van gebruikers verzamelt en verwerkt. De rechtbank oordeelt in dit tussenvonnis dat beide stichtingen ontvankelijk zijn in de zin van de WAMCA.

HvJ EU: Privacy Shield ongeldig verklaard (Schrems II)

Het Hof van Justitie verklaart het Privacy Shield-akkoord ongeldig wegens onvoldoende waarborgen voor Europese burgers tegen toegang door Amerikaanse inlichtingendiensten.

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Versiegeschiedenis

guidelines accreditatie

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

guidelines certificering

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

guidelines voor de toepassing van artikel 60 AVG

Richtsnoeren 07/2022 voor certificering als doorgifte-instrument

Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...

Versiegeschiedenis

Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...

Richtsnoeren 01/2021

ASOCIACIÓN ESCUELA NACIONAL DE EQUITACIÓN: Onvoldoende samenwerking met de toezichthoudende instantie.

Een boete van €750 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 750 euro opgelegd aan de ASOCIACIÓN ESCUELA NACIONAL DE EQUITACIÓN. De verantwoordelijke partij heeft nagelaten om aan te tonen dat aan de door de DPA opgelegde corrigerende maatregelen is voldaan, wat heeft geleid tot het opleggen van de boete.

Rijschool: Onvoldoende nakoming van de informatieverplichtingen.

Een boete van 300 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft een boete van 300 euro opgelegd aan een rijschool. De verantwoordelijke partij had cameratoezicht geïnstalleerd, maar heeft de betrokkenen niet voldoende geïnformeerd over de verwerking van hun gegevens. De oorspronkelijke boete van 500 euro is verlaagd tot 300 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Driving School: Insufficient fulfilment of information obligations

€300 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 300 on a driving school. The controller has installed video surveillance, but failed to adequatly inform data subjects. The original fine of EUR 500 was reduced to EUR 300 due to immediate payment and admission of responsibility by the controller.

Gynaecoloog: Onvoldoende nakoming van de informatieplicht.

Een boete van €5.000 - Hellenic Data Protection Authority (HDPA).

De Griekse autoriteit voor gegevensbescherming heeft een gynaecoloog een boete van 5.000 euro opgelegd. De arts heeft niet volledig aan een informatieverzoek van een patiënt voldaan.

Gynaecologist: Insufficient fulfilment of information obligations

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 5,000 on a gynaecologist. The controller failed to completely fullfill an information request by a patient.

CREMA GAMES, S.L.: Onvoldoende nakoming van de informatieverplichtingen.

Een boete van 4.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan CREMA GAMES, S.L. De verantwoordelijke partij heeft een verzoek om informatie van een online klant niet inwilligend gemaakt. De verantwoordelijke partij had de betrokkene om een identiteitsbewijs gevraagd, maar de betrokkene had dit niet verstrekt. Hierdoor weigerde de verantwoordelijke partij het verzoek om informatie te behandelen. Volgens de DPA had de verantwoordelijke partij een digitale authenticatiemethode moeten gebruiken. De oorspronkelijke boete van 5.000 euro is verlaagd naar 4.000 euro vanwege een onmiddellijke betaling zonder erkenning van schuld.

CREMA GAMES, S.L.: Insufficient fulfilment of information obligations

€4,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on CREMA GAMES, S.L. The controller failed to fulfill an information request from an online customer. The controller asked the data subject for an identity document, but the data subject did not provide one. As a result, the controller refused to fulfill the information request. According to the DPA, the controller should have used a digital authentication method. The original fine of EUR 5,000 was reduced to EUR 4,000 due to immediate payment without admission of

Hospital: Insufficient technical and organisational measures to ensure information security

€20,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) imposed a fine of EUR 20,000 on a hospital for failing to implement adequate technical and organizational measures to protect personal data in line with Art. 32 (1) (b) and (d), and Art. 32 (2) GDPR. Following a cyberattack, it was revealed that over a period of seven days, at least 3 GB of personal data had been unlawfully copied from the system. The attacker allegedly gained access through social engineering and a VPN connection, exploited an outdated operating system,

ATRIUM LEX SFC: Insufficient fulfilment of information obligations

€100,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 100,000 on the real estate management company ATRIUM LEX SFC. An investor had filed a complaint with the DPA because the controller had requested a copy of the investor's ID card to enable them to receive information about a project. The DPA found that the controller had not provided sufficient information about this data processing and that the sending of copies of ID cards by email was not sufficiently secure. The DPA assessed this as a violation of Ar

Private individual: Insufficient fulfilment of information obligations

€300 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 300 on a data controller. The controller had installed a video surveillance system without adequately providing information for data subjects.

Netflix International B.V.: Insufficient fulfilment of information obligations

€4,750,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 4.75 million on Netflix. This fine is based on a complaint filed by the Austrian organization 'noyb'. During its investigation, the DPA found that between 2018 and 2020, Netflix did not sufficiently inform customers about the processing of their personal data. The privacy policy was partly unclear and, did not provide sufficient information on the purpose and legal basis of the data collection and use, for example. In addition, requests from data subjects

LOCAL VERTICALS, S.L.: Insufficient fulfilment of information obligations

€10,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has fined LOCAL VERTICALS, S.L. EUR 10,000. An individual filed a complaint with the DPA because they could not access the privacy policy during the registration process on the controller's website. The link to the privacy policy led to a third-party company's website, making it impossible for the data subject to obtain the required information regarding data processing.

DIGIMAN ALICANTE S.L.: Insufficient fulfilment of information obligations

€600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on DIGIMAN ALICANTE S.L.. The data controller had installed a video surveillance system without adequately providing information for data subjects. The original fine of EUR 1,000 was reduced to EUR 600 due to voluntary payment and acknowledgement of responsibility.

Bakery: Non-compliance with general data processing principles

€5,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 5,000 on a bakery. The DPA found that the controller had violated its information obligations and the principle of data minimization in the context of data processing involving video surveillance.

Association: Non-compliance with general data processing principles

€15,000 fine - French Data Protection Authority (CNIL)

The French DPA has fined an association EUR 15,000 due to a lack of data security, non-compliance with the principle of data minimisation and a failure to comply with its information obligations under the GDPR.

Association: Non-compliance with general data processing principles

€10,000 fine - French Data Protection Authority (CNIL)

The French DPA has fined an association EUR 10,000 due to a lack of data security, non-compliance with the principle of data minimisation and a failure to comply with its information obligations under the GDPR.

Pubilc educational institution: Non-compliance with general data processing principles

€6,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 6,000 on a public educational institution for violating the principle of data minimization and its information obligations unter the GDPR.

CUBILLO GALLEGO S.L.: Insufficient fulfilment of information obligations

€3,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 3,000 on CUBILLO GALLEGO S.L. for failing to ensure that the privacy policy on a website they operate complied with the requirements of Art. 13 GDPR.

CROATIA DPA: Insufficient fulfilment of information obligations

Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed seven fines totaling EUR 16,000 on data controllers for failing to adequately mark video-monitored areas. This lack of marking resulted in people entering these areas not being informed of the surveillance, as the signs were either not visible on entry or did not contain all the necessary information. The fines ranged from EUR 500 to 4,000 and were imposed on various establishments, including hotels, restaurants, and shops. According to Art. 27 (1) of the Law

DELSA ALQUILERES S.L.: Insufficient legal basis for data processing

€1,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,000 on DELSA ALQUILERES S.L.. The controller had installed video surveillance cameras in a residential complex which, among other things, also recorded common areas, although this was not authorized by the homeowners' association. In addition, the controller did not sufficiently comply with its information obligations under Art. 13 GDPR.