Direct Marketing

Recital 29

Recital 158

Recital 29

Recital 139

Recital 1

Recital 36

Recital 91

Article 46

Gedragscodes voor onlinereclame

Article 39

Bijkomende transparantie met betrekking tot onlinereclame

Article 26

Reclame op onlineplatforms

Recital 107

Recital 102

Recital 96

Recital 95

Recital 88

Recital 84

Recital 79

Recital 71

Recital 69

Recital 68

Rechtbank Amsterdam

Rechtbank Amsterdam

Een 43-jarige verdachte wordt veroordeeld voor medeplichtigheid aan oplichting, door grootschalige hulpvraagfraude te faciliteren. Door het gebruik van de simboxen en simkaarten die verdachte ter beschikking stelde, hebben de gebruikers van de simkaarten (veelal) ouderen opgelicht via WhatsApp door zich voor te doen als een zoon of dochter in nood om hen over te halen om geld over te maken. De rechtbank spreekt verdachte vrij van het onder feit 1 ten laste gelegde, nu de aangetroffen simboxapparatuur naar haar oordeel niet naar de aard daarvan kennelijk was bestemd voor het plegen van oplichting. Aan verdachte wordt een taakstraf voor de duur van 240 uren en een voorwaardelijke gevangenisstraf voor de duur van drie maanden opgelegd. De vordering van de benadeelde partijen worden gelet op het aandeel van verdachte bij de gepleegde oplichtingen voor een derde toegewezen.

ACM oordeel over misbruik van machtspositie Apple. Datingaanbieders kunnen door de door Apple gehanteerde voorwaarden moeilijker een persoonscheck doen

Rechtbank

De rechtbank laat de aan Apple opgelegde last onder dwangsom in stand. De last was opgelegd vanwege voorwaarden die Apple in het verleden aan datingappaanbieders oplegde en die volgens de ACM kwalificeren als misbruik van een economische machtspositie in de zin van artikel 24 van de Mededingingswet (Mw) en artikel 102 van het Verdrag betreffende de Werking van de Europese Unie (VWEU). Volgens de rechtbank heeft de ACM terecht geconcludeerd dat Apple een machtspositie heeft op de markt voor appstorediensten op het mobiele besturingssysteem iOS voor datingappaanbieders. De rechtbank verwerpt de gronden van Apple tegen de marktafbakening en tegen de vaststelling dat Apple een economische machtspositie heeft. Ook heeft de ACM volgens de rechtbank terecht geconcludeerd dat Apple onbillijke voorwaarden jegens datingappaanbieders hanteerde en daarmee misbruik heeft gemaakt van haar machtspositie. De ACM was bevoegd tot het opleggen van een last onder dwangsom. Op één onderdeel gaat de opgelegde last onder dwangsom verder dan noodzakelijk om aan de overtreding een einde te maken. Volgens de rechtbank was het niet nodig om datingappaanbieders zowel de mogelijkheid te bieden een eigen in-app betaalsysteem te hanteren als de mogelijkheid te verwijzen naar verkoopkanalen buiten de app. Voor het overige blijft de last onder dwangsom in stand. In een uitspraak van 24 december 2021 (ECLI:NL:RBROT:2021:12851) had de voorzieningenrechter een deel van de opgelegde last geschorst en de maximaal te verbeuren dwangsom gehalveerd tot € 50.000.000. De rechtbank stelt in deze uitspraak vast dat Apple niet heeft voldaan aan (het niet geschorste deel van) de last onder dwangsom en dat zij de maximale dwangsom van € 50.000.000 heeft verbeurd. De ACM heeft deze verbeurde dwangsom ook kunnen invorderen.

ACM gegevensverzameling

Raad van State

De Autoriteit Consument en Markt (ACM) legde bestuurlijke boetes op aan eisers wegens één en dezelfde overtreding van oneerlijke handelspraktijken bij het telefonische werven van nieuwe klanten voor energieleveranciers. De ACM heeft bewijs verzameld, waaronder telemarketinggesprekken, en heeft va...

Rechtbank Amsterdam

Rechtbank Amsterdam

Gevraagde voorzieningen geweigerd

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP.

Rechtbank

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP. De AP heeft in deze omstandigheden kunnen afzien van een herstelsanctie, boete of berisping naar aanleiding van een overtreding van de AVG. Ook heeft de AP voldaan aan de verplichting van artikel 57 van de AVG om de twee andere klachten in gepaste mate te onderzoeken. De gestelde overtredingen zijn in het globale bureauonderzoek van Fase I niet vast komen te staan. De AP heeft op basis van het prioriteringsbeleid kunnen beslissen na dat globale bureauonderzoek geen nader onderzoek te doen.

Gerechtshof

Gerechtshof

Parkvereniging. Vereniging van eigenaren vakantiepark is niet bevoegd om in haar huishoudelijk reglement beperkingen aan het gebruik van de privéchalets op te leggen die niet rechtstreeks voortvloeien uit de statuten en mag overtreding daarvan niet sanctioneren met boeten of een toegangsverbod tot de parkinfrastructuur.

Microsoft Ireland Operations Limited en Xandr moeten stoppen met het plaatsen en uitlezen van cookies zonder voorafgaande toestemming

Rechtbank

kort geding. 2 grote internetondernemingen wordt geboden het plaatsen en/of uitlezen van tracking cookies zonder dat eisers daarvoor toestemming hebben verleend te staken en gestaakt te houden. AVG. art 11.7a Telecommunicatiewet.

WAMCA

Rechtbank

Collectieve actie (WAMCA). Twee stichtingen voeren elk een collectieve actie tegen Google over de wijze waarop Google persoonsgegevens van gebruikers verzamelt en verwerkt. De rechtbank oordeelt in dit tussenvonnis dat beide stichtingen ontvankelijk zijn in de zin van de WAMCA.

AVG. Handhaving. Oplegging bestuurlijke boete en last onder dwangsom vanwege het op onrechtmatige wijze verwerken van...

Rechtbank

AVG. Handhaving. Oplegging bestuurlijke boete en last onder dwangsom vanwege het op onrechtmatige wijze verwerken van persoonsgegevens door middel van het uitzenden van een livestream met beelden van een dorpskern.

HvJ EU 9 januari 2025, C‑394/23 (Mousse).

CJEU

HvJ EU 9 januari 2025, C‑394/23 (Mousse). Artikelen: 5(1)(c), 6(1), en 21 AVG Onderwerp : Beginsel van minimale gegevensverwerking Gek genoeg verwijst het HvJ EU zelf niet naar HvJ EU 1 augustus 2022, C‑184/20 (Vyriausioji tarnybinės etikos komisija), maar dat had hier ook heel logisch geweest.

Meta Platforms and Others v Bundeskartellamt

C-601/21 (Meta Platforms (Bundeskartellamt))

Competition authorities can assess GDPR compliance in context of competition law proceedings.

UI v Österreichische Post AG

C-300/21 (Österreichische Post)

Right to compensation under GDPR Article 82 requires proof of actual damage.

Meta Platforms v noyb

C-252/21 (Meta Platforms (noyb))

GDPR consent requirements and lead supervisory authority mechanism.

Privacy International v Secretary of State

C-623/17 (Privacy International)

General and indiscriminate transmission of traffic data to security agencies incompatible with EU law.

BUNDESVERBAND DER VERBRAUCHERZENTRALEN UND VERBRAUCHERVERBANDE —BERBRAUCHERZENTRALE BUNDESVERBAND V. PLANET49 GmbH (“PLANET49”)

Planet49

Cookie data is personal data where the cookies likely to be placed on the terminal equipment of a user participating in the promotional lottery contained a number assigned to the registration data of that user (who must enter his/her name+address in the registration form.) By linking that number with that data, a connection between a person and the data stored by the cookies arises. Therefore, the data is not anonymous data. (¶45)

Bundesverband der Verbraucherzentralen v Planet49 GmbH

C-673/17 (Planet49)

Pre-ticked checkboxes do not constitute valid consent. Consent must be active.

Google LLC v CNIL

C-507/17 (Google Territorial Scope)

Right to delisting does not require global de-referencing under EU law.

Google LLC, venant aux droits de Google Inc. v Commission nationale de l’informatique et des libertés (CNIL)

Google - Global De-linking

Territorial scope of EU data protection law: The present case falls within the territorial scope of GDPR because “it is apparent from the information provided in the order for reference, first, that Google’s establishment in French territory carries on, inter alia, commercial and advertising activities, which are inextricably linked to the processing of personal data carried out for the purposes of operating the search engine concerned, and, second, that that search engine must, in view of, inte

UNABHäNGIGES LANDESZENTRUM FüR DATENSCHUTZ SCHLESWIG-HOLSTEIN v. WIRTSCHAFTSAKADEMIE SCHLESWIG-HOLDSTEIN GmbH

Wirtschaftsakademie

Powers of Supervisory Authority: Where an undertaking established outside the European Union has several establishments in different Member States, the supervisory authority of a Member State is entitled to exercise its powers with respect to an establishment of that undertaking situated in the territory of that Member State even if, as a result of the division of tasks within the group, (i) that establishment is responsible solely for the sale of advertising space and other marketing activities

UNABHäNGIGES LANDESZENTRUM FüR DATENSCHUTZ SCHLESWIG-HOLSTEIN v. WIRTSCHAFTSAKADEMIE SCHLESWIG-HOLDSTEIN GmbH

Wirtschaftsakademie

Territorial Scope / Concept of “establishment”: Facebook Germany is responsible for promoting and selling advertising space and carries on activities addressed to persons residing in Germany. Given that a social network such as Facebook generates a substantial part of its income from advertisements posted on the web pages set up and accessed by users, and given that Facebook’s establishment in Germany is intended to ensure the promotion and sale in Germany of advertising space that makes Faceboo

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker

guidelines bepalen leidende toezichthouder

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Version history

Guidelines on the accreditation of certification bodies

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

Guidelines on technical scope of art. 5(3) of ePrivacy Directive

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME: Insufficient technical and organisational measures to ensure information security

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

Thessaloniki–Thessaly Gas Supply Company S.A.: Insufficient data processing agreement

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on Thessaloniki–Thessaly Gas Supply Company S.A. The controller, an energy provider, used external processors for direct marketing via telephone. The controller forwarded complaints by data subjects to the external processors, but failed to ensure, that the processors response was adequate, gernerally failing to adequatly controll processors.

ONE WAY PRIVATE COMPANY: Non-compliance with general data processing principles

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

REVMA PLUS Retail S.A.: Insufficient technical and organisational measures to ensure information security

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

Company: Non-compliance with general data processing principles

€3,500,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 3,500,000 on a company. The controller operated a loyalty program in France and 16 other EU countries, using customer data obtained through the program to transfer it to a third party for marketing purposes. The controller had no sufficient legal basis for this transfer and also failed to inform the data subjects. Furthermore, the controller used an inadequate method to store passwords. Finally, the controller failed to conduct a data protection impact as

Geturhotels Srl: Non-compliance with general data processing principles

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on Geturhotels Srl. The controller was involved in direct marketing operations, using personal data that had not been acquired or processed in accordance with general principles of data processing.

Geturhotels Srl: Overtreding van de algemene principes voor gegevensverwerking.

Een boete van 6.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Geturhotels Srl een boete van 6.000 euro opgelegd. Het bedrijf was betrokken bij direct marketingactiviteiten en gebruikte daarbij persoonsgegevens die niet op een manier waren verkregen of verwerkt die in overeenstemming is met de algemene principes van gegevensverwerking.

Verisure Italy s.r.l.: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

Aimag S.p.A.: Non-compliance with general data processing principles

€300,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 300,000 on Aimag S.p.A. The controller offered its customers a service that allowed them to view their consumption data on the controller's website, but the log-in procedure was insufficient. The way the controller gained consent for the use of promotional messages was also inadequate.

Verisure Italy s.r.l.: Non-compliance with general data processing principles

€400,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 400,000 on Verisure Italy s.r.l. The controller had been active in direkt marketing activities. The controller failed to ensure that the consent provided by data subjects was valid. Additionally, the controller failed to implement adequate retention periods for the processed data. Lastly, the controller failed to adequately respond to data subjects' requests to exercise their rights, and failed to adequately inform them regarding the processing of their

Infobel: Insufficient legal basis for data processing

€40,000 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has imposed a fine of EUR 40,000 on Infobel. The controller, a data broker, sold personal data for direct marketing purposes. However, it processed the data it had sold without a sufficient legal basis.

Infobel: Onvoldoende juridische basis voor gegevensverwerking.

Een boete van 40.000 euro - De Belgische Autoriteit voor gegevensbescherming (APD).

De Belgische beschermingsautoriteit heeft Infobel een boete van 40.000 euro opgelegd. De verantwoordelijke, een bedrijf dat gegevens verzamelt en doorverkoopt, heeft persoonlijke gegevens verkocht voor direct marketingdoeleinden. Echter, het bedrijf heeft deze gegevens verwerkt zonder een voldoende juridische basis.

Cucina di Fabio S.R.L.: Insufficient legal basis for data processing

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 3,000 on Cucina di Fabio S.R.L. The controller was active in direct marketing activities, using personal data that had not been obtained on a sufficient legal basis.

Cucina di Fabio S.R.L.: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 3.000 euro opgelegd aan Cucina di Fabio S.R.L. Het bedrijf was actief in direct marketing en gebruikte daarbij persoonsgegevens die niet op een voldoende juridische basis waren verkregen.

Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Whitedecor SRL: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan Whitedecor SRL. De verantwoordelijke partij had marketingberichten verstuurd naar klanten zonder een voldoende juridische basis.

Whitedecor SRL: Insufficient legal basis for data processing

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on Whitedecor SRL. The controller had sent marketing messages to customers without a sufficient legal basis.

FT Solutions S.r.l.: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 5.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 5.000 euro opgelegd aan FT Solutions S.r.l. Het bedrijf, dat actief was in direct marketing als verwerker van gegevens, heeft persoonsgegevens gebruikt voor dit doel zonder voldoende juridische basis. Deze gegevens waren verkregen van een derde partij, die de gegevens ook verzamelde in strijd met de principes van gegevensbescherming. Bovendien heeft de verwerker de betrokkenen niet geïnformeerd over de verwerking en geen adequate maatregelen genomen om de gegevens te beschermen.

FT Solutions S.r.l.: Non-compliance with general data processing principles

€5,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 5,000 on FT Solutions S.r.l. The fined entity had been active in direct marketing activities as a data processor. During these activities, the processor used personal data for this purpose without sufficient legal basis, obtained from a third party that also collected the data in violation of data protection principles. Furthermore, the processor failed to inform data subjects regarding the processing and to implement adequate data protection measures.

Bedrijf: Onvoldoende naleving van de rechten van betrokkenen (betreffende hun persoonsgegevens).

195.000 euro boete - Autoriteit voor gegevensbescherming van Hamburg (HmbBfDI).

De Duitse beschermingsautoriteit (DPA) van Hamburg heeft een bedrijf een boete van 195.000 euro opgelegd. Het bedrijf was actief in direct marketing via post en heeft niet adequaat gereageerd op verzoeken van betrokkenen om hun rechten uit te oefenen.

ICO (UK) - Allay Claims Ltd

The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications Regulations 2003 (PECR), where an organisation may send direct marketing communications to its customers even if they did not specifically consent to electronic mail. However, only the organisation that collected the contact details can rely on the soft opt-in rule. The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications

New Report Helps Journalists Dig Deeper Into Police Surveillance Technology

Report from EFF, Center for Just Journalism, and IPVM Helps Cut Through Sales HypeSAN FRANCISCO — A new report released today offers journalists tips on cutting through the sales hype about police surveillance technology and report accurately on costs, benefits, privacy, and accountability as these invasive and often ineffective tools come to communities across the nation. The “Selling Safety” report is a joint project of the Electronic Frontier Foundation (EFF), the Center for Just Journalism (

VDAI (Lithuania) - Nr. 3R-219 (2.13-1.E)

}}}} The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete access response.The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete response to an access reque

DSB (Austria) - 2025-0.813.131

}}}} The DPA held that an event organiser’s use of a data subject’s email address, provided for ticket purchase, to send a marketing email without consent and to disclose the address via an open CC field violated the subject’s right to secrecyThe DPA held that an event organiser violated a customer’s right to privacy when it submitted them marketing emails without their prior consent and by sending them those emails in CC, disclosing their address to a large group of third parties. == English Su

CNIL (France) - SAN-2025-017

added links to GDPR articles === Holding ====== Holding === The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media platform, or even on targeted advertising, the consent was not informed nor specific. Therefore, it found the processing to be unlawful, violating Article 6(1)(a) GDPR. The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media

AP publiceert vernieuwde leidraad gerichte online politieke reclame

De Autoriteit Persoonsgegevens (AP) heeft de eerder gepubliceerde leidraad voor gerichte politieke online reclame aangepast. Hierin is nu de input verwerkt van organisaties die reageerden op de consultatie van de leidraad.

Stakeholder event on political advertising: express your interest

Brussels, 29 January - The EDPB organises a remote event to collect stakeholders’ input on its Guidelines on the processing of personal data to target or deliver political advertisements under the regulation on the transparency and targeting of political advertising. The event will take place on 27 March 2026 (time to be confirmed). This will be an opportunity to inform and support the EDPB’s ongoing work on this topic as per its work programme 2024-2025 and it reflects the EDPB’s commitment to

TikTok makes ad transparency commitments to comply with EU DSA

The European Commission says that TikTok has agreed to provide advertising repositories in which data is stored and managed to ensure full transparency around ads on its services, as required by the Digital Services Act

Garante per la protezione dei dati personali (Italy) - 10201989

Facts === Facts ====== Facts === Two data subjects, one a former client and the other a prospective client, lodged complaints with the DPA concerning repeated marketing calls and messages from Verisure Italy, despite having expressly requested that such communications cease.Two data subjects, one a former client and the other a prospective client, lodged complaints with the DPA because they received repeated marketing calls and messages from Verisure Italy, despite having expressly requested tha

Authority for the protection of personal data (Italy) - 10201989

The Italian data protection authority (DPA) has fined Verisure Italy €400,000 for unlawful marketing communications. The company lacked a valid legal basis for its marketing activities, which targeted both existing and potential customers. Furthermore, it failed to adequately inform data subjects, applied unreasonably long or undefined data retention periods, and responded too late to requests from data subjects regarding their rights. The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The company...

Authority for the Protection of Personal Data (Italy) - 10201989

Facts: Two individuals, one a former customer and the other a potential customer, have filed complaints with the data protection authority (DPA) regarding repeated marketing calls and messages from Verisure Italy, despite having explicitly requested that such communication be stopped. Two individuals, one a former customer and the other a potential customer, have filed complaints with the DPA because they repeatedly received marketing calls and messages from Verisure Italy, despite having explicitly requested that such communication be stopped.

Garante per la protezione dei dati personali (Italy) - 10201989

}}}} The DPA imposed a fine of €400,000 on Verisure Italy for unlawful marketing communications. The controller lacked a valid legal basis for marketing activities towards both former and prospective clients, failed to properly inform data subjects, applied excessive or indeterminate retention periods, and responded late to data subject rights requests.The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The controller lacked a

Autoriteit voor de bescherming van persoonlijke gegevens (Italië) - 10201989

}}}} De Italiaanse beschermingsautoriteit (DPA) heeft Verisure Italy een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had geen geldige juridische basis voor marketingactiviteiten gericht aan zowel bestaande als potentiële klanten, heeft gegevensonderwerpen niet voldoende geïnformeerd, heeft onredelijk lange of onbepaalde bewaartermijnen toegepast en heeft te laat gereageerd op verzoeken van gegevensonderwerpen met betrekking tot hun rechten. De DPA heeft Verisure Italy, een leverancier van alarmsystemen, een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had een...

Autoriteit voor de bescherming van persoonlijke gegevens (Italië) - 10201989

Feiten === Feiten ====== Feiten === Twee betrokkenen, waarvan één een voormalige klant en de andere een potentiële klant, hebben klachten ingediend bij de gegevensbeschermingsautoriteit (DPA) met betrekking tot herhaalde marketinggesprekken en -berichten van Verisure Italy, ondanks dat ze expliciet hadden verzocht om het stoppen van dergelijke communicatie. Twee betrokkenen, waarvan één een voormalige klant en de andere een potentiële klant, hebben klachten ingediend bij de DPA omdat ze herhaaldelijk marketinggesprekken en -berichten ontvingen van Verisure Italy, ondanks dat ze expliciet hadden verzocht om het stoppen van dergelijke communicatie.

OGH - 6Ob189/24y

|Initial_Contributor=|Initial_Contributor= || }}}}The Supreme Court held that Meta has to provide its user with full access to all personal data, including sources, recipients, and purposes; a mere exemplary list is insufficient. Further, the court held that personalized advertising and processing of (sensitive) personal data from third party websites require the data subject’s consent. The Austrian Supreme Court held that Meta must provide users full access to all personal data, including sourc

OGH - 6Ob189/24y

|Initial Contributor=|Initial Contributor= || }}}} The Supreme Court has ruled that Meta must provide its users with complete access to all personal data, including the sources, recipients, and purposes; a simple list is not sufficient. Furthermore, the court has determined that personalized advertising and the processing of (sensitive) personal data from third-party websites require the consent of the individual. The Austrian Supreme Court has also ruled that Meta must provide users with complete access to all personal data, including the sources.

Support the work of the EDPB as an expert.

Brussels, November 28th - The European Data Protection Board (EDPB) has published a call for expressions of interest for the creation of a new reserve pool for the "Support Pool of Experts" (SPE) program. The objective is to assemble a reserve pool of legal and technical experts. The legal expertise sought covers a wide range of areas, including data protection, policy monitoring, technology, cybersecurity, competition law, healthcare, online intermediary services, and content moderation. Regarding technical expertise, relevant areas include IT.

Support the EDPB’s work as an expert

Brussels, 28 November - The EDPB launched a call for expression of interest to establish a new reserve list for the Support Pool of Experts (SPE) programme. The objective is set up a reserve list of legal and technical experts. The legal expertise sought includes a wide range of fields, such as data protection, policy monitoring, technology, cybersecurity, competition, healthcare, online intermediary services and content moderation. As for the technical expertise, the relevant areas include IT a

Steun het werk van het EDPB als expert.

Brussel, 28 november - Het EDPB heeft een oproep gepubliceerd om interesse te tonen voor het opstellen van een nieuwe reservepool voor het programma "Support Pool of Experts" (SPE). Het doel is het samenstellen van een reservepool van juridische en technische experts. De gezochte juridische expertise omvat een breed scala aan gebieden, zoals gegevensbescherming, beleidsmonitoring, technologie, cyberveiligheid, concurrentierecht, gezondheidszorg, online intermediaire diensten en contentmoderatie. Met betrekking tot de technische expertise omvatten de relevante gebieden onder meer IT.

Legacy Switches: A Proposal to Protect Privacy, Security, Competition, and the Environment from the Internet of Things

Georgetown University Law Center researchers propose that every IoT device manufacturer build a switch into their devices that disables any smart feature that contributes to security or privacy risks. This will render a smart thermostat just a thermostat and a smart doorbell just a doorbell, and will disable microphones, sensors, and wireless connectivity. Any user should find it easy to use and easy to verify whether the switch has been toggled.