Data Subject Rights Exercise Modalities and Procedures

Recital 93

Article 86

Recht op uitleg bij individuele besluitvorming

Article 86

Right to explanation of individual decision-making

Article 17

Right to erasure (‘right to be forgotten’)

Article 21

Right to object

Recital 156

Article 16

Recht op rectificatie

Article 18

Recht op beperking van de verwerking

Recital 73

Article 18

Right to restriction of processing

Recital 66

Recital 108

Recital 70

Recital 59

Article 16

Right to rectification

ECLI:NL:RBNNE:2026:389 Rechtbank Noord-Nederland , 13-02-2026 / LEE 24/4934 V

Rechtbank Noord-Nederland

Verzet tegen de uitspraak van 15 oktober 2025. In de uitspraak heeft de rechtbank het beroep kennelijk niet-ontvankelijk heeft verklaard. Opposant heeft tegen de uitspraak aangevoerd dat hij zijn dossier niet toegestuurd heeft gekregen en/of heeft kunnen inzien. Ook stelt hij dat de rechter die de uitspraak van 15 oktober 2025 heeft gedaan zich had moeten verschonen. De rechtbank begrijpt het verzet verder zo dat opposant vindt dat hem wel een beroep op betalingsonmacht toekomt. Tenslotte voert opposant aan dat hij niet wil meewerken aan het girale geldsysteem.

ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971

Rechtbank Overijssel

Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.

ECLI:NL:HR:2026:201 Hoge Raad , 06-02-2026 / 25/02135

Hoge Raad

Procesrecht. Wet vereenvoudiging en modernisering bewijsrecht; overgangsrecht. Art. 200 Rv van toepassing op het instellen van een rechtsmiddel tegen de uitspraak op een inzageverzoek (of verzoek om andere voorlopige bewijsverrichtingen) indien het verzoek is gedaan vóór 1 januari 2025 en de uitspraak na die datum is gedaan? Art. XIIA Wet vereenvoudiging en modernisering bewijsrecht; art. 74 lid 1 Overgangswet NBW. Ontvankelijkheid cassatieberoep.

ECLI:NL:RBLIM:2026:1370 Rechtbank Limburg , 06-02-2026 / C/03/348527 / KG ZA 26-5

Rechtbank Limburg

Vordering tot afgifte camerabeelden afgewezen. Belang zorginstelling om haar medewerkers te beschermen prevaleert boven belang ouders om zelf over de camerabeelden te kunnen beschikken.

ECLI:NL:RBNNE:2026:439 Rechtbank Noord-Nederland , 03-02-2026 / 24/1473

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over het verzoek van eiser om rectificatie van zijn politiegegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek afgewezen. Eiser is het niet eens met de afwijzing en voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of de afwijzing rechtmatig is. De rechtbank komt in deze uitspraak tot het oordeel dat het beroep ongegrond is. Uit de Wpg, in samenhang met het Mandaatbesluit politie 2024, volgt dat er geen territoriale begrenzing geldt als de Wpg van toepassing is. Van een bevoegdheidsgebrek is geen sprake. Verder weerspreekt eiser de juistheid van de betreffende gegevens, maar toont dit niet aan.

ECLI:NL:RBNNE:2026:438 Rechtbank Noord-Nederland , 03-02-2026 / 24/1620

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over eisers verzoek om inzage in zijn persoonsgegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek gedeeltelijk toegewezen. Eiser is het niet eens met het afgewezen deel in het besluit. Hij voert daartoe een aantal beroepsgronden aan. De rechtbank komt in deze uitspraak tot het oordeel dat zij het beroep niet inhoudelijk kan behandelen, omdat het procesbelang van eiser onvoldoende is aangetoond. Het beroep is niet-ontvankelijk.

ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445

Rechtbank Limburg

Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

Klacht over verwerking persoonsgegevens via gepubliceerd nieuwsbericht over een vonnis waarin de persoonsgegevens van...

Hoge Raad

Klacht over verwerking persoonsgegevens via gepubliceerd nieuwsbericht over een vonnis waarin de persoonsgegevens van verzoekster en haar jongste dochter in het nieuwsbericht zijn verwerkt. “De klacht van verzoekster over het nieuwsbericht bestaat uit twee onderdelen. Het eerste onderdeel klaagt ...

Uitzondering openbare orde bij inzageverzoek incidentenrapport n.a.v. parachutsprong ongeluk

Rechtbank

Heeft verzoeker recht op inzage in incidentenrapport op grond van de artikel 15 AVG naar aanleiding van ongeval bij parachutespringen?

Kort:

Kifid

“3.14 Volgens de consument heeft de verzekeraar niet voldaan aan zijn wettelijke plicht tot het verstrekken van inzage aan de consument en hem in de gelegenheid te stellen tot het uitoefenen van zijn correctierecht. De verzekeraar heeft aangevoerd dat het recht op inzage en het recht op rectifica...

EVR registratie mag blijven

Rechtbank

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

WS v European Commission

General Court EU

In deze zaak gaat het om WS, die bij deelname aan selectieprocedures voor EU-contract- en tijdelijk personeel een EPSO-account aanmaakte in het Talent-systeem en na succes in een procedure ook in de recruitmentportal werd opgenomen. WS deed vervolgens meerdere AVG-achtige verzoeken op grond van a...

Rechtbank Noord-Holland

Rechtbank Noord-Holland

Gelet op de uitspraak van de Afdeling (ECLI:NL:RVS:2024:4984) kan de conclusie geen andere zijn dan dat verweerder het verzoek van eiser tot verstrekking van hem betreffende fiscale gegevens op grond van artikel 5.5 van de Woo op goede gronden heeft afgewezen omdat artikel 67 van de Awr een uitputtend bedoeld verstrekkingenregime voor persoonlijke, fiscale gegevens bevat.

Raad van State

Raad van State

Bij besluit van 22 juli 2021 heeft de minister van Financiën het verzoek van [appellant sub 2] op grond van artikel 15 van de Algemene verordening gegevensbescherming om inzage van zijn persoonsgegevens in de Fraudesignaleringsvoorziening ingewilligd en de verzoeken op grond van de artikelen 16 en 17 van de AVG om rectificatie en wissing van die gegevens afgewezen. Bij brief van 20 mei 2021 heeft de minister [appellant sub 2] ervan op de hoogte gesteld dat zijn gegevens waren opgenomen in de FSV. Bij brief van 25 juni 2021 heeft [appellant sub 2], voor zover in hoger beroep aan de orde, de minister verzocht om inzage in alle persoonsgegevens in zijn FSV-dossier en om rectificatie en wissing daarvan. Aan de Tweede Kamer is toegezegd dat tot nader order geen gegevensverwerkingen in de FSV worden gewist. De minister is in het besluit op het daartegen door [appellant sub 2] gemaakte bezwaar bij de afwijzing van de verzoeken om rectificatie en wissing gebleven. De rechtbank heeft geoordeeld dat de minister bij het besluit van 28 oktober 2021 ten onrechte niet de informatie over de bron van de gegevens in de FSV heeft verstrekt, maar dat de minister die gegevens in de beroepsfase alsnog heeft verstrekt.

Rechtbank Gelderland

Rechtbank Gelderland

Non-conformiteit brommobiel. Gebreken rechtvaardigen geen ontbinding. Gebreken moeten worden hersteld en schade moet worden vergoed. Recht op inzage stukken verrichte reparatie, art. 194 Rv.

Raad van State

Raad van State

Bij beslissing van 17 maart 2025 heeft de selectiecommissie SUMMA van de faculteit Geneeskunde aan [appellante] meegedeeld dat zij niet wordt toegelaten tot de tweede selectieronde voor de Selective Utrecht Medical Master (SUMMA). [appellante] heeft deelgenomen aan de selectieprocedure. SUMMA is een vierjarige masteropleiding die opleidt tot arts en klinisch onderzoeker en kent een selectieve toelatingsprocedure. De eerste ronde bestaat uit een kennistoets en een beoordeling van de studievoortgang. De selectiecommissie heeft aan [appellante] meegedeeld dat haar resultaat van de eerste selectieronde onvoldoende is om haar uit te nodigen voor de tweede selectieronde. Voor [appellante] is het onduidelijk waarom zij de kennistoets niet goed genoeg heeft gemaakt. Zij had zich goed voorbereid en had dit resultaat niet verwacht. Zij heeft daarom verzocht om inzage in de door haar gemaakte kennistoets. De selectiecommissie heeft dit geweigerd, omdat aan [appellante], wanneer zij gebruik zou willen maken van de mogelijkheid om voor een tweede keer aan de selectie deel te nemen, op geen enkele wijze een voordeel mag worden gegeven ten opzichte van de andere kandidaten.

Rechtbank Limburg

Rechtbank Limburg

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

Rechtbank Amsterdam

Rechtbank Amsterdam

Geen rechtsgeldig ontslag op staande voet. Toewijzing billijke vergoeding, gefixeerde schadevergoeding en transitievergoeding. Verzoeken werkgever afgewezen.

Rechtbank Zeeland-West-Brabant

Rechtbank Zeeland-West-Brabant

Hoogte pensioenuitkering; op de zaak betrekking hebbende stukken; hoorrecht; inzagerecht.

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)

Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Guidelines on derogations of Article 49

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

Version history

Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Green.mec. s.r.l.: Insufficient fulfilment of data subjects rights

€1,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 1,000 on Green.mec. s.r.l. The controller failed to adequately respond to a former employee's request to exercise their data subject rights.

SC Piramida Trade Invest SRL: Non-compliance with general data processing principles

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 3,000 on SC Piramida Trade Invest SRL. The controller processed personal data without a sufficient legal basis and without sufficient technical and organisational measures to ensure data security. The controller also failed to properly react to a request to exercise data subject rights.

Real Estate Agency: Insufficient cooperation with supervisory authority

€6,000 fine - Belgian Data Protection Authority (APD)

The Belgian DPA imposed a fine of EUR 6,000 on a real estate agency. The Belgian DPA had previously issued a remedy to the controller in an earlier case due to the controller processing data without a sufficient legal basis and failing to comply with the data subject's right to erasure. The Belgian DPA determined that the controller had failed to comply with the issued remedy, resulting in the fine being issued.

Immobiliënbureau: Onvoldoende samenwerking met de toezichthoudende instantie.

6.000 euro boete - Belgische Autoriteit voor gegevensbescherming (APD).

De Belgische beschermingsinstantie heeft een vastgoedmakelaardij een boete van 6.000 euro opgelegd. De Belgische beschermingsinstantie had eerder al een aanwijzing gegeven aan de verantwoordelijke in een eerdere zaak, omdat deze persoonsgegevens verwerkte zonder voldoende juridische basis en niet had voldaan aan het recht van de betrokkene op verwijdering van die gegevens. De Belgische beschermingsinstantie heeft vastgesteld dat de verantwoordelijke niet had voldaan aan de gegeven aanwijzing, wat heeft geleid tot de oplegging van de boete.

Hera Comm S.p.A.: Non-compliance with general data processing principles

€5,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 5 million on Hera Comm S.p.A. The investigation was launched following numerous complaints. The energy supplier had failed to take adequate protective measures, allowing door-to-door agents to unlawfully conclude electricity and gas contracts in the name of unsuspecting customers. Many data subjects only discovered the activation of new contracts when they received bills or notifications, despite never having given their consent. The door-to-door agents

Corint Logistic SRL.: Insufficient fulfilment of data subjects rights

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on Corint Logistic SRL. A customer had filed a complaint with the DPA because they had received advertising text messages from the controller, even though they had exercised their right to erasure and received confirmation that their personal data had been deleted.

Rossi Carta S.r.l.: Insufficient fulfilment of data subjects rights

€30,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 30,000 on Rossi Carta S.r.l.. An individual had filed a complaint with the DPA after repeatedly receiving unsolicited advertising emails from the controller. Additionally, the controller failed to properly process the individual's request to exercise their data subject rights.

Azienda Trasporto Passeggeri Emilia-Romagna S.p.A.: Non-compliance with general data processing principles

€50,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 50,000 on the transport company azienda Trasporto Passeggeri Emilia-Romagna S.p.A.. The controller provided insufficient information on data processing on a form used to conclude a public transport subscription. The form did not allow a distinction between mandatory and optional data (such as cell phone number and email address) and did not clearly inform users of their right to object to processing for direct marketing purposes.

Owners' association: Non-compliance with general data processing principles

€500 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 500 on an owners' association for publishing personal data of an individual in a WhatsApp group without a valid legal basis and for failing to respond appropriately to a request to exercise data subject rights.

Website operator: Insufficient fulfilment of data subjects rights

€1,500 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 1,500 on a website operator. The fine was imposed due to a lack of cooperation with the DPA and a lack of fulfillment of data subject rights.

H&M Hennes & Mauritz GBC AB: Insufficient fulfilment of data subjects rights

€30,000 fine - Data Protection Authority of Sweden

The Swedish DPA has imposed a fine of EUR 30,000 on H&M for sending out marketing messages, despite the fact that data subjects had exercised their right to objection. Six data subjects had filed a complaint against the controller with the DPA. The DPA found that the controller did not have sufficient systems and procedures in place to facilitate data subjects exercising their right to object to direct marketing.

Scionti Selezioni Superiori S.r.l.: Non-compliance with general data processing principles

€70,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 70,000 on Scionti Selezioni Superiori S.r.l.. The controller had made unsolicited marketing calls, in some cases to individuals who were registered in opt-out registers or had not given their consent. The DPA found that the controller had failed to implement appropriate technical and organizational measures to ensure that the processing of the data subjects' personal data was lawful, for example by checking whether the data subjects were registered in an

Mednow Medical Center di Giugni Marco: Non-compliance with general data processing principles

€10,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined Mednow Medical Center di Giugni Marco EUR 10,000. An individual had filed a complaint with the DPA because the controller had inadvertently sent the results of a medical examination to the wrong recipient. In addition, the controller had failed to properly fulfill the individual's data subject rights and only complied with the data subject's requests upon the DPA's notice.

KUGELCHEN PROPIERTIES, S.L.: Insufficient legal basis for data processing

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on KUGELCHEN PROPIERTIES, S.L.. The controller had continued to process data of the data subject, despite exercising their right to erasure.

SPAIN DPA: Insufficient fulfilment of information obligations

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on a controller for failing to provide data subjects with sufficient information to exercise their right to object.

Spotify: Insufficient fulfilment of data subjects rights

€4,900,000 fine - Data Protection Authority of Sweden

The Swedish Data Protection Authority (DPA) has imposed a fine of EUR 4.9 million on the music streaming provider Spotify. The DPA had launched an investigation after receiving a number of complaints and following a lawsuit filed against Spotify by the Austrian organization 'None of your Business'. In its investigation, the DPA found that Spotify had not sufficiently complied with data subject rights. Spotify failed, for example, to provide data subjects with sufficient information about the ori

NOVA TELECOMMUNICATIONS & MEDIA ΜΟΝΟΠΡΟΣΩΠΗ Α.Ε.,: Insufficient fulfilment of data subjects rights

€150,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 150,000 on NOVA TELECOMMUNICATIONS & MEDIA ΜΟΝΟΠΡΟΣΩΠΗ. Α.Ε., imposed a fine of EUR 150,000. A customer had filed a complaint with the DPA. During its investigation, the DPA found that the controller had sent promotional emails several times despite the objection of the data subject. In addition, the controller failed to comply with the data subject's right to access.

Grizzaffi Management Srl: Insufficient fulfilment of data subjects rights

€10,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 10,000 on Grizzaffi Management Srl for sending out marketing messages, despite the fact that the data subjects had exercised their right to objection.

Libra Internet Bank SA: Insufficient fulfilment of data subjects rights

€11,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 11,000 on Libra Internet Bank SA. An individual had filed a complaint against the bank due to the bank's failure to fully comply with their request for information. In the course of its investigation, the DPA additionally found that the bank did not provide the data subject with information on the possibility of filing a complaint with the DPA. Furthermore, the bank was unable to demonstrate that it facilitated the exercise of data subject rights.

Tensa Art Design SA: Insufficient fulfilment of data subjects rights

€1,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 1,000 on Tensa Art Design SA. The controller failed to comply with a data subject's right to object.

EDPB identifies challenges hindering the full implementation of the right to erasure

Brussels, 18 February - The European Data Protection Board (EDPB) has adopted a report on its Coordinated Enforcement Framework (CEF) action on the right to be forgotten (Art.17 GDPR). The Board selected this topic as it is one of the most frequently exercised GDPR rights and one about which DPAs frequently receive complaints from individuals. The main objectives of this coordinated action are to ensure that the right to erasure is effectively exercised by individuals in Europe and understand ho

Tietosuojavaltuutetun toimisto (Finland) - TSV/258/2022

|Initial_Contributor=lde|Initial_Contributor=lde || }}}}The DPA found that the food delivery company Wolt failed to respond properly and in time to a customer’s access request after their account was blocked. The DPA found that Wolt violated [[Article 12 GDPR|Article 12 GDPR]] by failing to respond properly and in time to a data subject’s access request, thus failing to facilitate the exercise of rights or provide a timely refusal. == English Summary ==== English Summary ==

Garante per la protezione dei dati personali (Italy) - 10201989

}}}} The DPA imposed a fine of €400,000 on Verisure Italy for unlawful marketing communications. The controller lacked a valid legal basis for marketing activities towards both former and prospective clients, failed to properly inform data subjects, applied excessive or indeterminate retention periods, and responded late to data subject rights requests.The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The controller lacked a

USR - Us I-755/2025-8

Fixed Link He latter further claimed during the lawsuit against AZOP's decision that the authority had incorrectly and incompletely established the facts, misapplied substantive law, and breached procedural rules. He emphasized that the published personal data was unrelated to transparency in public administration, that he was neither a public figure nor a political actor, and that any public interest ended once he left office on 31 March 2023. He invoked his right to erasure under [[Articl

USR - Referentienummer I-755/2025-8

Fixed Link: Hij beweerde later, tijdens de rechtszaak tegen de beslissing van AZOP, dat de autoriteit de feiten onjuist en onvolledig had vastgesteld, het materiële recht verkeerd had toegepast en de procedurele regels had geschonden. Hij benadrukte dat de gepubliceerde persoonlijke gegevens geen verband hadden met transparantie in de overheidsadministratie, dat hij noch een publiek figuur noch een politieke acteur was, en dat elk algemeen belang ophield zodra hij op 31 maart 2023 zijn functie had verlaten. Hij beroepte zich op zijn recht op verwijdering, zoals vastgelegd in [[Artikel...]].

USR - Reference number I-755/2025-8

Fixed Link: He later claimed, during the legal proceedings against the AZOP decision, that the authority had incorrectly and incompletely established the facts, had misapplied the relevant law, and had violated procedural rules. He emphasized that the published personal data were not related to transparency in government administration, that he was neither a public figure nor a political actor, and that any public interest ceased once he left his position on March 31, 2023. He invoked his right to erasure, as stipulated in [[Article...]].

DSB (Austria) - 2025-0.395.497

}}}} The DPA held that under [[Article 15 GDPR|Article 15 GDPR]], a data subject has the right to access personal data concerning themselves, but this does not extend to entire documents containing information about third parties. Confidential communications and legal opinions within disciplinary proceedings are exempt.The DPA held that under [[Article 15 GDPR]], a data subject has the right to access personal data concerning themselves, but this does not extend to entire documents containing in

DSB (Austria) - 2025-0.395.497

The data protection authority (DPA) has determined that, according to [[Article 15 of the GDPR]], an individual has the right to access personal data relating to them, but this right does not extend to complete documents that contain information about third parties. Confidential communications and legal advice within disciplinary proceedings are excluded. The data protection authority (DPA) has determined that, according to [[Article 15 of the GDPR]], an individual has the right to access personal data relating to them, but this right does not extend to complete documents that contain...

USR - Us I-755/2025-8

Facts }}}} A court held that a television broadcaster lawfully published a video containing personal data about a public company board member as the information served the public interest thus complying with [[Article 6 GDPR|Article 6 GDPR]] and outweighting the right to erasure.A court held that a television broadcaster lawfully published a video containing personal data about a public company board member as the information served the public interest thus complying with [[Article 6 GDPR]] and

DSB (Austria) - 2025-0.276.820

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

USR - Us I-755/2025-8

Facts }}}} A court held that a television broadcaster lawfully published a video containing personal data about a public company board member as the information served the public interest thus complying with [[Article 6 GDPR]] and outweighting the right to erasure.A court held that a television broadcaster lawfully published a video concerning the resignation of a public company’s board member as well as their personal data. According to the court, the information served the public interest and

USR - Referentienummer I-755/2025-8

Feiten: Een rechtbank heeft geoordeeld dat een televisiezender op rechtmatige wijze een video heeft gepubliceerd die persoonlijke gegevens van een bestuurslid van een beursgenoteerd bedrijf bevatte, omdat deze informatie het algemeen belang diende en dus in overeenstemming was met artikel 6 van de AVG, en het recht op verwijdering overwoog. Een rechtbank heeft geoordeeld dat een televisiezender op rechtmatige wijze een video heeft gepubliceerd die persoonlijke gegevens van een bestuurslid van een beursgenoteerd bedrijf bevatte, omdat deze informatie het algemeen belang diende en dus in overeenstemming was met artikel 6 van de AVG, en...

USR - Referentienummer I-755/2025-8

Feiten: Een rechtbank heeft geoordeeld dat een televisiezender een video rechtmatig heeft gepubliceerd die persoonlijke gegevens van een bestuurslid van een beursgenoteerd bedrijf bevatte, omdat de informatie het algemeen belang diende en dus in overeenstemming was met artikel 6 van de AVG, waarbij het recht op verwijdering werd overschreden. Een rechtbank heeft ook geoordeeld dat een televisiezender een video rechtmatig heeft gepubliceerd over het vertrek van een bestuurslid van een beursgenoteerd bedrijf, evenals hun persoonlijke gegevens. Volgens de rechtbank diende de informatie het algemeen belang.

USR - Reference number I-755/2025-8

Facts: A court ruled that a television channel was legally justified in publishing a video containing personal data of a board member of a publicly traded company, because the information served the public interest and therefore complied with Article 6 of the GDPR, even though it overrode the right to erasure. Another court also ruled that a television channel was legally justified in publishing a video about the departure of a board member of a publicly traded company, along with their personal data. According to the court, the information served the public interest.

USR - Reference number I-755/2025-8

Facts: A court ruled that a television channel was justified in publishing a video containing personal data of a board member of a publicly traded company, because this information served the public interest and was therefore in compliance with Article 6 of the GDPR, and considered the right to erasure. A court ruled that a television channel was justified in publishing a video containing personal data of a board member of a publicly traded company, because this information served the public interest and was therefore in compliance with Article 6 of the GDPR, and...

DSB (Austria) - 2025-0.276.820

An Austrian media company (the responsible party) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. These cookies contained unique identification codes to track visitors. This occurred in August 2021.

DSB (Austria) - 2025-0.276.820

An Austrian media company has been fined €6,820 by the Data Protection Authority because it failed to implement a binding instruction to modify the cookie banner on its website. This resulted in delays in providing users with consent options, despite all objections being rejected. The Data Protection Authority imposed a fine of €6,820 on the media company because the cookie banner had not been adjusted to comply with the law, and there was no visually equivalent option for users to reject cookies. The Authority had previously instructed the company to do so, in accordance with Article 58(2)(d) of the GDPR.

DSB (Oostenrijk) - 2025-0.276.820

Een Oostenrijks mediabedrijf (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatiecodes om bezoekers te volgen. In augustus 2021.

DSB (Oostenrijk) - 2025-0.276.820

}}}} Een Oostenrijks mediabedrijf is door de Autoriteit voor Gegevensbescherming een boete van 6.820 euro opgelegd, omdat het nalatig was bij het implementeren van een bindende aanwijzing om het cookiebanner op zijn website te wijzigen. Hierdoor werden de opties voor toestemming van gebruikers vertraagd, ondanks dat alle bezwaren werden afgewezen. De Autoriteit voor Gegevensbescherming heeft een mediabedrijf een boete van 6.820 euro opgelegd omdat het cookiebanner niet was aangepast om te voldoen aan de wetgeving, en er geen visueel gelijkwaardige optie was om cookies te weigeren. De Autoriteit had eerder aan het bedrijf opgedragen dit te doen, in overeenstemming met artikel 58(2)(d) van de AVG.

DSB (Austria) - 2025-0.276.820

}}}} An Austrian media company was fined €6,820 by the Data Protection Authority for negligently failing to implement a binding order to modify its website’s cookie banner, delaying user consent options despite all appeals being rejected.The DPA fined a media company €6,820 for failing to bring its cookie banner into compliance by implementing a visually equivalent option to reject cookies. The DPA previously ordered the controller to do so in accordance with Article 58(2)(d) GDPR. == English Su