Article 10
Data en datagovernance
Criminal Data
Processing of criminal convictions and offences
criminal data criminal convictions offences article 10
Overview
24 sources · Feb 20, 2026Legal Framework
Article 10 GDPR establishes a strict regime for processing personal data relating to criminal convictions, offences, or related security measures. Such processing is permitted only under two cumulative conditions: either under the control of an official authority, or when authorized by Union or Member State law that provides appropriate safeguards for data subjects' rights. The provision creates an absolute prohibition on private actors processing such data under general legal bases like Article 6(1)(f) GDPR without specific statutory authorization.
Doctrinal analysis emphasizes that any restriction on the fundamental right to privacy requires a formal statutory basis in the strict sense. This constitutional principle aligns with Article 10's requirement that Member States must enact specific provisions authorizing such processing, rather than relying on general clauses. The commentary further clarifies that where GDPR provisions apply directly, national implementing legislation cannot dilute these protections. Furthermore, Article 10 imposes an absolute monopoly on comprehensive registers of criminal convictions, reserving these exclusively for official authorities regardless of any statutory authorization granted to private entities.
Key Developments
Enforcement practice demonstrates strict scrutiny of unauthorized criminal data processing. The Romanian National Supervisory Authority imposed a €10,000 fine on a natural person operating a website publishing identity documents containing personal data, illustrating that even indirect processing of criminal-related data through official documents triggers Article 10 compliance requirements. The Italian Data Protection Authority similarly fined the Ordine degli Avvocati di Latina €15,000 for processing violations, signaling that professional regulatory bodies handling lawyer disciplinary records (potentially containing offence data) must demonstrate explicit legal authorization.
Current regulatory attention focuses on automated processing. The Autoriteit Persoonsgegevens has initiated consultations on AI systems for criminal offence risk assessments, indicating that algorithmic processing of criminal data faces heightened scrutiny regarding necessity, proportionality, and discrimination risks.
Practical Guidance
• Establish explicit statutory authorization before processing. Verify that applicable Member State law specifically permits the criminal data processing and defines appropriate safeguards; general legal bases under Article 6 GDPR prove insufficient under Article 10's strict regime.
• Avoid comprehensive registers. Private entities must never maintain comprehensive registers of criminal convictions, even with statutory authorization. Reserve such databases exclusively for official authorities as required by Article 10.
• Implement enhanced safeguards. Design technical and organizational measures that exceed standard data protection requirements, ensuring strict purpose limitation and data minimization given the high-risk nature of criminal data.
• Conduct prior consultations for AI systems. When deploying automated risk assessment tools involving criminal data, engage with supervisory authorities early, following the Dutch DPA's guidance emphasizing necessity assessments and human oversight requirements.
• Review horizontal processing arrangements. In private sector contexts where criminal data processing might occur (such as employment screening or professional registration), ensure contractual and organizational structures demonstrate official authority control or specific legal authorization, avoiding unauthorized horizontal data sharing.
Laws (69)
View all 69Article 101
Geldboeten voor aanbieders van AI-systemen voor algemene doeleinden
Recital 33
Recital 42
Article 103
Wijziging van Verordening (EU) nr. 167/2013
Article 104
Amendment to Regulation (EU) No 168/2013
Article 100
Administrative fines on Union institutions, bodies, offices and agencies
Article 10
Data and data governance
Recital 59
Article 105
Amendment to Directive 2014/90/EU
Article 106
Amendment to Directive (EU) 2016/797
Article 107
Amendment to Regulation (EU) 2018/858
Article 108
Amendments to Regulation (EU) 2018/1139
Article 109
Amendment to Regulation (EU) 2019/2144
Article 100
Administratieve geldboeten voor instellingen, organen en instanties van de Unie
Article 102
Wijziging van Verordening (EG) nr. 300/2008
Article 104
Wijziging van Verordening (EU) nr. 168/2013
Article 105
Wijziging van Richtlijn 2014/90/EU
Article 106
Wijziging van Richtlijn (EU) 2016/797
Article 107
Wijziging van Verordening (EU) 2018/858
Case Law (213)
View all 213ECLI:NL:RBGEL:2026:1247 Rechtbank Gelderland , 20-02-2026 / 05/085805-25
Rechtbank Gelderland
Veroordeling wegens diefstal met valse sleutels, fraude met online handel en fraude met identiteitsgegevens tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk, met een proeftijd van 3 jaar.
ECLI:NL:RBAMS:2026:1801 Rechtbank Amsterdam , 19-02-2026 / 13-315820-25
Rechtbank Amsterdam
Vervolgings-EAB Duitsland. Referte. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1762 Rechtbank Amsterdam , 18-02-2026 / 13-316587-25
Rechtbank Amsterdam
Vervolgings-EAB Oostenrijk, overlevering toegestaan. Geen weigeringsgronden, terugkeergarantie voldoende.
ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25
Rechtbank Amsterdam
Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.
ECLI:NL:RBDHA:2026:2626 Rechtbank Den Haag , 12-02-2026 / 09/042631-25 en 09/084601-25 (ttz. gev.)
Rechtbank Den Haag
Veroordeling voor voortgezette handeling van medeplegen poging tot moord en medeplegen voorbereidingshandelingen moord of zware mishandeling met voorbedachten rade en veroordeling voor medeplichtigheid aan voorbereidingshandelingen ontploffing teweegbrengen. Gevangenisstraf 12 jaar met aftrek.
ECLI:NL:RBAMS:2026:1585 Rechtbank Amsterdam , 12-02-2026 / 13/335542-25
Rechtbank Amsterdam
De rechtbank is van oordeel dat er voor gedetineerden in de detentie-instelling Fresnes een algemeen reëel gevaar bestaat dat zij aan een onmenselijke of vernederende behandeling zullen worden blootgesteld in de zin van artikel 4 Handvest. De rechtbank baseert het algemene gevaar voor de detentie-instelling Fresnes op de overbevolkingsproblematiek en de hiervoor weergegeven slechte materiële detentieomstandigheden, het niet-functionerende intercomsysteem en het ontoereikende niveau van de gezondheidszorg. De rechtbank stelt vast dat er voor de opgeëiste persoon een individueel gevaar bestaat van schending van zijn grondrechten wegens de detentieomstandigheden in de detentie-instelling in Fresnes. De rechtbank stelt, ingevolge artikel 11, vierde lid, OLW, een redelijke termijn van 60 dagen.
ECLI:NL:GHARL:2026:1002 Gerechtshof Arnhem-Leeuwarden , 12-02-2026 / 25/210148
Gerechtshof Arnhem-Leeuwarden
In deze zaak heeft het hof in een procedure op grond van artikel 12 van het Wetboek van Strafvordering geoordeeld dat de officier van justitie een aangifte tegen onder meer twee journalisten ten onrechte heeft geseponeerd. Het hof heeft verder geoordeeld dat een van de journalisten zich alsnog voor de strafrechter moet verantwoorden voor het doen van uitlatingen in een in 2024 gepubliceerd krantenartikel.
ECLI:NL:RBAMS:2026:1395 Rechtbank Amsterdam , 03-02-2026 / 13-297861-25 (EAB II)
Rechtbank Amsterdam
Vervolgings-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1394 Rechtbank Amsterdam , 03-02-2026 / 13-297778-25 (EAB I)
Rechtbank Amsterdam
Vervolgings- en executie-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.
ECLI:NL:RBDHA:2026:3061 Rechtbank Den Haag , 02-02-2026 / NL26.3326
Rechtbank Den Haag
Bewaring, beroep, bewaringsgronden, lichter middel, ongegrond.
ECLI:NL:RBAMS:2026:1329 Rechtbank Amsterdam , 29-01-2026 / 1330184325
Rechtbank Amsterdam
executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden, artikel 12 OLW: OP aanwezig, artikel 7 OLW: lijstfeitverweer
ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445
Rechtbank Limburg
Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?
Rechtbank Amsterdam
Rechtbank Amsterdam
Verzoek afgewezen
Raad van State
Raad van State
Bij besluiten van 22 juli 2021 en 9 augustus 2021 hebben het college van burgemeester en wethouders en de burgemeester van de gemeente Soest verzoeken van [appellant] om openbaarmaking van informatie op grond van de Wet openbaarheid van bestuur gedeeltelijk toegewezen. [appellant] was vanaf 2015 tot maart 2022 eigenaar van een terrein met recreatiewoningen aan de [locatie 1]. Jachthuis Exploitatie B.V. exploiteerde het terrein en verhuurde recreatiewoningen onder andere aan arbeidsmigranten. Het college heeft in 2018 en in 2019 aan [appellant] lasten onder dwangsom opgelegd om het niet-recreatieve gebruik van de recreatiewoningen te beëindigen. Volgens [appellant] heeft het college zijn beleid en bestendige bestuurspraktijk ingrijpend gewijzigd, omdat voorheen gebruik van de recreatiewoningen anders dan voor recreatie onder voorwaarden wel was toegestaan, zolang maar geen sprake was van daadwerkelijke permanente bewoning. Dat blijkt volgens hem uit het feit dat de burgemeester zelf rond zijn aantreden enige tijd in één van de woningen heeft verbleven.
Niet lakken bedrijfsnaam die tevens familienaam is in woo verzoek.
Rechtbank
Voorlopige voorziening, Wet open overheid, beoordelingskader onomkeerbare gevolgen publicatie en belang openbaarheid van informatie.
Geen onrechtmatige uiting
Rechtbank
Kort geding. Vorderingen tot gebod plaatsen rectificatie en verbod tot doen van uitlatingen worden afgewezen, omdat niet is vast komen te staan dat sprake is van onrechtmatige uitlatingen.
Schending eer en goede naam en bescherming werknemers weegt zwaarder.
Rechtbank
Kort geding. Verbod op het doen van onrechtmatige uitlatingen en het benaderen van bestuurders, medewerkers, organen en locaties van de Stichting. Gebod tot het verwijderen van alle gedane openbare uitlatingen.
Geheimhouding
Rechtbank
Beslissing geheimhoudingskamer
Geheimhouding
Rechtbank
Beslissing geheimhoudingskamer
Woo. Keuze familienaam als bedrijfsnaam komt voor rekening personen. Dat is geen reden om te lakken bij Woo-verzoek.
Rechtbank
Wet Open overheid, bedrijfs- en fabricagegegevens, persoonlijke levenssfeer, veiligheid, horen in bezwaar, 6:22 Awb
Guidance (27)
View all 27Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)
guidelines territoriaal toepassingsgebied AVG
Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG
guidelines beperkingen rechten van betrokkenen
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Versiegeschiedenis
guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG
guidelines voor de toepassing van artikel 60 AVG
Guidelines 03/2021 on the application of Article 65(1)(a) GDPR
Guidelines on the application of Article 60 GDPR
Versiegeschiedenis
guidelines recht op inzage
Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Guidelines on the calculation of administrative fines under the GDPR
The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...
Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)
Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
VERSIEGESCHIEDENIS
binding corporate rules voor verwerkingsverantwoordelijken
Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679
guidelines afwijkingen van artikel 49
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
Guidelines on derogations of Article 49
Enforcement (7)
Natural Person: Non-compliance with general data processing principles
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on a natural person. The controller operated a website on which identity cards containing personal data, including special category data, possible criminal convictions, data on the intimate lives of data subjects and possible debts, were published. The processing of this data was not based on a sufficient legal basis, and the controller did not ensure that the data was correct, complete or transparent. Furthermore, the controller did not adequate
Orde van Advocaten van Latina: Onvoldoende juridische basis voor de verwerking van gegevens.
Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft de Ordine degli Avvocati di Latina een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft een document gepubliceerd dat betrekking had op strafrechtelijke procedures en dat persoonlijke gegevens bevatte. Er was geen wettelijke basis voor de publicatie van de persoonlijke gegevens in dit document.
Gemeente Isola del Gran Sasso: Onvoldoende juridische basis voor de verwerking van gegevens.
Een boete van 3.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Isola del Gran Sasso een boete van 3.000 euro opgelegd. De verantwoordelijke instantie heeft een besluit gepubliceerd op haar officiële website, waarin persoonlijke gegevens van een werknemer stonden, waaronder informatie over strafrechtelijke procedures tegen die werknemer. Bovendien heeft de verantwoordelijke instantie niet adequaat gereageerd op een verzoek van de betrokkene om gebruik te maken van zijn rechten.
Mercadona S.A.: Insufficient legal basis for data processing
€2,520,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA (AEPD) has fined Mercadona S.A. EUR 2,520,000. The controller had installed facial recognition systems in Mercadona stores for the purpose of tracking individuals with criminal convictions or restraining orders. The system captured everyone who entered the stores, including minors and MERCADONA employees. During its investigation, the DPA found numerous privacy violations. For instance, the system violated the principle of data minimization, the principle of necessity and proport
Corporación radiotelevisión espanola: Insufficient technical and organisational measures to ensure information security
€60,000 fine - Spanish Data Protection Authority (aepd)
CORPORACIÓN RADIOTELEVISIÓN ESPAÑOLA and the trade union have reported a security breach to the AEPD after six unencrypted USB sticks containing personal data were lost. The violation affected about 11,000 people, including identification data, employment data, data about criminal convictions and health data.
Directorate of Social and Child Welfare Institutions of the Ferencvaros District of Budapest: Insufficient fulfilment of data breach notification obligations
€286 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)
The employee of the Directorate sent by mistake 9 letters to the wrong recipient, which contained personal data of 18 data subjects (including data of children, criminal data and data related to the private life of the data subjects). The recipient informed the Directorate by telephone 5 days after the posting that it received certain letters by mistake. The Directorate notified NAIH on the data breach only weeks later.
Private person: Insufficient legal basis for data processing
€2,500 fine - Data Protection Authority of Sachsen-Anhalt
The fine was impossed against a private person who sent several e-mails between July and September 2018, in which he used personal e-mail addresses visible to all recipients, from which each recipient could read countless other recipients. The man was accused of ten offences between mid-July and the end of July 2018. According to the authority's letter, between 131 and 153 personal mail addresses were identifiable in his mailing list.
News (4)
AEPD publishes GDPR Risk Assessment
> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.
CJEU: PNR Directive Valid if Limited to the “Strictly Necessary”
> In a landmark ruling of 21 June 2022, the CJEU (Grand Chamber), upheld the EU’s regime to collect and use records of travellers, provided that it is strictly interpreted in line with the EU’s fundamental rights. In addition, indiscriminate processing of the data in cases of flights carried out only within the EU is banned unless there is a threat of terrorism. In general, the passengers’ data must also be deleted after six months at the latest.
WODC: Rapport Bescherming gegeven Evaluatie UAVG meldplicht datalekken en de boetebevoegdheid
> Het onderzoek laat zien dat de duidelijkheid en toegankelijkheid van de UAVG kritisch wordt beoordeeld. Mede de ‘beleidsneutrale’ invulling van de wet en de korte tijd waarin deze tot stand moest komen hebben daartoe geleid. Wanneer wordt bezien hoe AP en de jurisprudentie nader invulling hebben gegeven aan de normen in de wet is de conclusie dat dit deels is gebeurd, maar voor een ander deel ook nog verder dient te worden uitgewerkt. In het onderzoeksrapport worden daarvan op verschillende pl
EU-Hof: een belastingautoriteit die bij een marktaanbieder van internetdiensten gegevens opvraagt moet de AVG in acht nemen
The collection by the tax authority of a Member State of personal data concerning the advertisements for the sale of vehicles placed on the website of an economic operator falls within the material scope of the General Data Protection Regulation (AVG). Thus, that authority will also have to comply with the principles on the processing of personal data laid down in the AVG. However, a tax authority can derogate from the AVG in certain cases, even if the right to derogate is not granted by nationa