AI Conformity Declaration

Article 18

Bewaring van documentatie

Recital 64

Article 47

EU-conformiteitsverklaring

Recital 59

Recital 64

Recital 65

Recital 61

Recital 81

Recital 71

Recital 89

Recital 72

Recital 77

Recital 101

Recital 114

Recital 109

Recital 143

Recital 163

Recital 173

Recital 173

Recital 9

ECLI:NL:RBGEL:2026:1247 Rechtbank Gelderland , 20-02-2026 / 05/085805-25

Rechtbank Gelderland

Veroordeling wegens diefstal met valse sleutels, fraude met online handel en fraude met identiteitsgegevens tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk, met een proeftijd van 3 jaar.

ECLI:NL:RBDHA:2026:3264 Rechtbank Den Haag , 19-02-2026 / NL24.38560

Rechtbank Den Haag

8:29 Awb beslissing, visum kort verblijf, algoritme IOB, wijst het verzoek toe

ECLI:NL:RBDHA:2026:3093 Rechtbank Den Haag , 17-02-2026 / AWB 24/12193

Rechtbank Den Haag

Overplaatsing COA opvang voor meerderjarigen, uitgaan leeftijdsregistratie minister, ongegrond.

ECLI:NL:RBDHA:2026:2772 Rechtbank Den Haag , 13-02-2026 / NL25.20256

Rechtbank Den Haag

hersteluitspraak

ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971

Rechtbank Overijssel

Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.

ECLI:NL:RBDHA:2026:2640 Rechtbank Den Haag , 12-02-2026 / N25.20256

Rechtbank Den Haag

Asiel Nigeria. Problemen als gevolg van juju-initiatie onvoldoende zwaarwegend. Eiseres ten onrechte niet als alleenstaande vrouw aangemerkt. Onvoldoende gemotiveerd waarom eiseres bij terugkeer naar Nigeria geen reëel risico loopt op ernstige schade vanwege represailles van de mensenhandelaar. Onvoldoende gemotiveerd dat eiseres bij een terugkeer naar Nigeria niet te vrezen heeft dat haar dochters worden besneden. Beroep gegrond.

ECLI:NL:GHARL:2026:1002 Gerechtshof Arnhem-Leeuwarden , 12-02-2026 / 25/210148

Gerechtshof Arnhem-Leeuwarden

In deze zaak heeft het hof in een procedure op grond van artikel 12 van het Wetboek van Strafvordering geoordeeld dat de officier van justitie een aangifte tegen onder meer twee journalisten ten onrechte heeft geseponeerd. Het hof heeft verder geoordeeld dat een van de journalisten zich alsnog voor de strafrechter moet verantwoorden voor het doen van uitlatingen in een in 2024 gepubliceerd krantenartikel.

ECLI:NL:RBGEL:2026:955 Rechtbank Gelderland , 11-02-2026 / AWB - 23 _ 5470

Rechtbank Gelderland

Deze uitspraak gaat over het besluit van de minister op een verzoek van eiser om inzage in of het verkrijgen van een afschrift van dagrapportages die over hem zijn bijgehouden. De rechtbank komt in deze uitspraak tot het oordeel dat de minister met een aanvullend besluit op juiste wijze inzage heeft gegeven in de dagrapportages die over eiser zijn bijgehouden.

ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24

Rechtbank Gelderland

Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.

ECLI:NL:RBROT:2026:1019 Rechtbank Rotterdam , 06-02-2026 / ROT 26/14

Rechtbank Rotterdam

Varia. Woo-verzoek. De voorzieningenrechter is niet gebleken dat er sprake is van zodanige zwaarwegende belangen, ook niet zijdens de Woo-verzoekster, dat niet gewacht zou kunnen worden met openbaarmaking van de stukken totdat op het bezwaar van verzoeksters is beslist. Verzoek toegewezen, bob geschorst.

ECLI:NL:RBNHO:2026:1371 Rechtbank Noord-Holland , 05-02-2026 / 25/1668

Rechtbank Noord-Holland

Deze uitspraak gaat over de beslissing van het college op het verzoek van eiser tot openbaarmaking van informatie op grond van de Wet open overheid (Woo-verzoek) en zijn beroep wegens het niet tijdig beslissen op zijn verzoek op grond van de AVG. De rechtbank komt in deze uitspraak tot het oordeel dat de informatie op het onlineforum van de VNG niet onder de reikwijdte van het Woo-verzoek valt, omdat deze informatie niet bij de gemeente Haarlemmermeer berust. Voorts is de rechtbank van oordeel het college het verzoek niet had hoeven opvatten als een AVG-verzoek, omdat het verzoek niet als zodanig is geformuleerd. Eiser krijgt dus geen gelijk en de beroepen zijn dus ongegrond

ECLI:NL:RBDHA:2026:3082 Rechtbank Den Haag , 04-02-2026 / NL25.46244

Rechtbank Den Haag

AA, Somalië, gegrond, taalanalyse, vergewisplicht.

ECLI:NL:RBZWB:2026:641 Rechtbank Zeeland-West-Brabant , 04-02-2026 / BRE 25/2379

Rechtbank Zeeland-West-Brabant

NTB AVG - kennelijk niet-ontvankelijk; voor het instellen van het beroep al beslist, beroepschrift doorgezonden als bezwaar.

ECLI:NL:RBNNE:2026:453 Rechtbank Noord-Nederland , 03-02-2026 / 24/1731

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over de Wet open overheid (Woo). Op grond van de Woo heeft eiser een verzoek ingediend bij verweerder om openbaarmaking van informatie. De rechtbank behandelt in deze uitspraak het beroep van eiser tegen het besluit van verweerder op het Woo-verzoek. Eiser is het niet eens met het besluit en voert daartoe een aantal beroepsgronden aan. Aan de hand van de beroepsgronden van eiser komt de rechtbank tot het oordeel dat het beroep ongegrond is. Van een gebrekkige motivering van het bestreden besluit is geen sprake. En verder komt eiser niet in aanmerking voor een immateriele schadevergoeding wegens overschrijding van de redelijke termijn. De vertraging van de procedure is namelijk in belangrijke mate toe te schrijven aan eiser zelf.

ECLI:NL:RBDHA:2026:3080 Rechtbank Den Haag , 03-02-2026 / NL24.25407

Rechtbank Den Haag

Bezwaar tegen intrekking vtv kennelijk n-o, bezwaar te laat en geen verschoonbare redenen gebleken; ook afwijzing verlengingsaanvraag, niet binnen redelijke termijn verlenging gevraagd, afwijzing niet in strijd met 8 EVRM, overwegend in buitenland verbleven en mantelzorg voor echtgenoot niet aangetoond. Wel motiveringsgebrek tav horen in bezwaar en dus gg beroep maar rechtsgevolgen in stand gelaten door latere motivering.

ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252

Rechtbank Den Haag

Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.

ECLI:NL:GHARL:2026:557 Gerechtshof Arnhem-Leeuwarden , 27-01-2026 / 22/1113 tm 22/1118 en 22/1119, 22/1121 en 22/1122

Gerechtshof Arnhem-Leeuwarden

Verzoek beperkte kennisneming.

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

ECLI:NL:RBLIM:2026:400 Rechtbank Limburg , 22-01-2026 / 11924727 \ AZ VERZ 25-112

Rechtbank Limburg

Ambtenaar. Belastingdienst. Verboden nevenwerkzaamheden. Onbevoegd raadplegen van systemen belastingdienst. Schending integriteitsnormen. Ernstig verwijtbaar handelen. Ontbinding arbeidsovereenkomst.

ECLI:NL:RBMNE:2026:443 Rechtbank Midden-Nederland , 21-01-2026 / 24/5095

Rechtbank Midden-Nederland

Deze uitspraak gaat over een verzoek van eiseres van 11 oktober 2023 om op grond van de Wet open overheid informatie te krijgen die betrekking heeft op de verlening van vergunningen voor de vestiging van een speelautomatenhal in Lelystad over de periode van 1 januari 2020 tot 6 oktober 2023. De rechtbank is van oordeel dat het beroep gegrond is, omdat de weigeringsgronden te ruimhartig zijn toegepast.

Kort

EDPB

Altijd willen weten hoe het bij de vergadering van de EDPB aan toe (zou moeten gaan/)gaat, zonder daadwerkelijk erbij te zijn. Zie dit document.

Documentenset bij besluit op Woo-verzoek over het capaciteitsmodel 2023 Autoriteit Persoonsgegevens

AP

Documentenset bij besluit op Woo-verzoek over het capaciteitsmodel 2023 Autoriteit Persoonsgegevens

Article 64(2) GDPR

EDPB

Internal EDPB Document 3/2019 on internal guidance on Article 64(2) GDPR - version 2

Versiegeschiedenis

Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679

Guidelines on codes of conduct and monitoring bodies

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Guidelines on derogations of Article 49

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation

Guidelines on certification and identifying certification criteria

Guidelines 02/2024 on Article 48 GDPR

Article 48 GDPR provides that: ' Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer...

Version history

Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Version history

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

Version history

Guidelines on the accreditation of certification bodies

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)

Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)

Guidelines 06/2022 on the practical implementation of amicable settlements

Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

Dental Clinic: Non-compliance with general data processing principles

€1,200 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,200 on a dental clinic. The controller used video surveillance in its clinic for security purposes, including a camera in the doctor's office where patients were treated. This resulted in excessive data processing. The original fine of EUR 2,000 was reduced to EUR 1,200 due to immediate payment and admission of responsibility by the controller.

SLOVENAKIË: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.

Documenten die persoonlijke gegevens bevatten, zijn op het gebied van de gemeentelijke afvalverwerkingsplaats vernietigd.

SLOVAKIA DPA: Insufficient technical and organisational measures to ensure information security

Slovak Data Protection Office

Documents containing personal data were disposed of in the area of the municipal garbage dump.

UniCredit Bank Czech Republic and Slovakia, a.s.: Insufficient legal basis for data processing

€3,140 fine - Czech Data Protection Auhtority (UOOU)

The bank established a personal bank account for a data subject without his consent or knowledge. The bank supposedly had his personal data available because the subject had disposed of his employer’s company account. The bank was not able to provide The Office for Personal Data Protection with the necessary documentation to prove entering into contract with the data subject.

UniCredit Bank Tsjechië en Slowakije, a.s.: Onvoldoende juridische basis voor de verwerking van gegevens.

Boete van €3.140 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).

De bank heeft een persoonlijke bankrekening geopend voor een betrokkene zonder zijn toestemming of kennis. De bank beweerde zijn persoonlijke gegevens te hebben omdat de betrokkene een bedrijfsrekening van zijn werkgever had gesloten. De bank kon het Bureau voor Persoonsgegevens niet de benodigde documenten verstrekken om aan te tonen dat er een overeenkomst was gesloten met de betrokkene.

EXCEL HOTELS & RESORTS, S.A.: Insufficient technical and organisational measures to ensure information security

€32,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 32,000 on EXCEL HOTELS & RESORTS, S.A. The controller used guards to control access to its facility. The guards regularly left documents containing personal data in their post, making them accessible to third parties. The original fine of EUR 40,000 was reduced to EUR 32,000 due to immediate payment.

EXCEL HOTELS & RESORTS, S.A.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 32.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft EXCEL HOTELS & RESORTS, S.A. een boete van 32.000 euro opgelegd. Het bedrijf gebruikte beveiligingspersoneel om de toegang tot haar faciliteit te controleren. Dit beveiligingspersoneel liet regelmatig documenten met persoonlijke gegevens achter op hun post, waardoor deze toegankelijk werden voor derden. De oorspronkelijke boete van 40.000 euro is verlaagd naar 32.000 euro vanwege de onmiddellijke betaling.

Istituto Comprensivo Centro in Casalecchio di Reno: Onvoldoende naleving van de rechten van betrokkenen.

Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 2.000 euro opgelegd aan Istituto Comprensivo Centro di Casalecchio di Reno. De verantwoordelijke organisatie publiceerde een ranglijst van haar docenten op haar website zonder voldoende juridische basis.

Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Orde van Advocaten van Latina: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft de Ordine degli Avvocati di Latina een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft een document gepubliceerd dat betrekking had op strafrechtelijke procedures en dat persoonlijke gegevens bevatte. Er was geen wettelijke basis voor de publicatie van de persoonlijke gegevens in dit document.

Ordine degli Avvocati di Latina: Insufficient legal basis for data processing

€15,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 15,000 on the Ordine degli Avvocati di Latina. The controller published a document relating to criminal proceedings that included personal data. There was no legal basis for publishing the personal data contained within it.

Giada FM S.r.l.: Onvoldoende naleving van de rechten van betrokkenen.

Een boete van €1.000 - Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 1.000 euro opgelegd aan Giada FM S.r.l. Het bedrijf heeft nagelaten een medewerker de gevraagde documenten te verstrekken.

ING Bank Śląski: Onvoldoende juridische basis voor de verwerking van gegevens.

4.323.250 euro boete - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft ING Bank Śląski een boete van 4.323.250 euro opgelegd. De bank heeft de identiteitsdocumenten van alle klanten en potentiële klanten gescand zonder een voldoende juridische basis. De bank begon deze procedure toe te passen nadat een wet inzake het bestrijden van witwassen was ingevoerd, maar heeft niet onderzocht of de gegevensverwerking in elk geval noodzakelijk was.

ING Bank Śląski: Insufficient legal basis for data processing

€4,323,250 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 4,323,250 on ING Bank Śląski. The controller scanned the identity documents of every customer and potential customer without a sufficient legal basis. The controller started to implement this procedure after an anti-money laundering law was introduced, but failed to assess the necessity of the data processing in each case.

Non-Public Health Care Institution: Insufficient technical and organisational measures to ensure information security

€7,700 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 7,700 on a non-public health care institution. The controller offered home visits by doctors as part of its services. For this purpose, doctors used their private cars and carried patients' health records in them. However, in its risk analysis, the controller failed to take into account the possibility of car theft, resulting in a fine being issued.

Funeral Home: Insufficient technical and organisational measures to ensure information security

€7,800 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined a funeral home EUR 7,800. The funeral home failed to implement sufficient technical and organisational measures to prevent a data breach. The funeral home had stored documents containing personal data in unlocked boxes. The company also transported those boxes in an open truck, which resulted in 10 boxes falling out of the truck and landing on the side of a road, where the boxes were found by the police. The driver did not notice the loss, due to the fact that that the b

Uitvaartonderneming: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van €7.800 - van het Poolse Nationaal Bureau voor de Bescherming van Persoonlijke Gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een uitvaartonderneming een boete van 7.800 euro opgelegd. De uitvaartonderneming heeft onvoldoende technische en organisatorische maatregelen genomen om een datalek te voorkomen. De onderneming had documenten met persoonlijke gegevens opgeslagen in onvergrendelde dozen. Bovendien heeft het bedrijf die dozen vervoerd in een open vrachtwagen, waardoor 10 dozen uit de vrachtwagen vielen en op de berm van een weg terechtkwamen. De dozen werden daar door de politie gevonden. De chauffeur merkte het verlies niet op, omdat...

CREMA GAMES, S.L.: Insufficient fulfilment of information obligations

€4,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on CREMA GAMES, S.L. The controller failed to fulfill an information request from an online customer. The controller asked the data subject for an identity document, but the data subject did not provide one. As a result, the controller refused to fulfill the information request. According to the DPA, the controller should have used a digital authentication method. The original fine of EUR 5,000 was reduced to EUR 4,000 due to immediate payment without admission of

Advanced Computer Software Group Ltd: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 3.500.000 euro - Informatiecommissaris (ICO).

De Britse gegevensbeschermingsautoriteit (ICO) heeft Advanced Computer Software Group Ltd een boete van 3,07 miljoen pond (3,5 miljoen euro) opgelegd vanwege ontoereikende IT-beveiliging (schending van artikel 32(1) van de Britse AVG). De verantwoordelijke partij heeft nagelaten om passende technische en organisatorische maatregelen te implementeren ter bescherming van persoonsgegevens. Een ransomware-aanval in augustus 2022 stelde hackers in staat om toegang te krijgen tot de systemen van een dochteronderneming in de gezondheidszorg via een klantaccount dat geen multi-factor authenticatie had. Hierdoor waren de persoonsgegevens van 79.404 personen in gevaar.

Company: Insufficient legal basis for data processing

€40,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 40,000 on a company that published personal data of sole traders on its website. The data originated from public sources and from the financial agency FINA. Although publicly accessible, the authority found that there was no valid legal basis for the publication. Furthermore, the company did not inform the data subjects about the processing of their data and did not properly document its processing activities. Another point of concern was that th

ÚS SR - PL. ÚS 11/2025-116

Facts |EU_Law_Link_2=|EU_Law_Link_2= |National_Law_Name_1=f|National_Law_Name_1=Article 19(2) Constitution of the Slovak Republic |National_Law_Link_1=|National_Law_Link_1=https://www.prezident.sk/upload-files/46422.pdf |National_Law_Name_2=|National_Law_Name_2=Article 29(1) Constitution of the Slovak Republic |National_Law_Link_2=|National_Law_Link_2=https://www.prezident.sk/upload-files/46422.pdf |National_Law_Name_3=|National_Law_Name_3=Article 8 European Convention on Human Rights |National_

LG Hildesheim - 3 O 26/24

Created page with "{{COURTdecisionBOX |Jurisdiction=Germany |Court-BG-Color= |Courtlogo=Courts_logo1.png |Court_Abbrevation=LG Hildesheim |Court_Original_Name=Landgericht Hildesheim |Court_English_Name=Regional Court Hildesheim |Court_With_Country=LG Hildesheim (Germany) |Case_Number_Name=3 O 26/24 |ECLI= |Original_Source_Name_1=VORIS |Original_Source_Link_1=https://voris.wolterskluwer-online.de/browse/document/3127a423-2bba-4db6-a6e8-001e4189e040 |Original_Source_Language_1=German |Ori..." New

EFF’s Policy on LLM-Assisted Contributions to Our Open-Source Projects

We recently introduced a policy governing large language model (LLM) assisted contributions to EFF's open-source projects. At EFF, we strive to produce high quality software tools, rather than simply generating more lines of code in less time. We now explicitly require that contributors understand the code they submit to us and that comments and documentation be authored by a human. LLMs excel at producing code that looks mostly human generated, but can often have underlying bugs that can b

Garante per la protezione dei dati personali (Italy) - 10213894

Created page with "{{DPAdecisionBOX |Jurisdiction=Italy |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italy) |Case_Number_Name=10213894 |ECLI= |Original_Source_Name_1=Garante per la protezione dei dati personali |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10213894 |Original_Source_Language_1=I..." New p

AKI (Estonia) - 2.1.-4/25/1239-2660-6

Created page with "{{DPAdecisionBOX |Jurisdiction=Estonia |DPA-BG-Color= |DPAlogo=LogoEE.png |DPA_Abbrevation=AKI |DPA_With_Country=AKI (Estonia) |Case_Number_Name=2.1.-4/25/1239-2660-6 |ECLI= |Original_Source_Name_1=AKI |Original_Source_Link_1=https://www.aki.ee/sites/default/files/documents/2026-01/Ettekirjutus-hoiatus%20isikuandmete%20kaitse%20asjas%20nr%202.1.-4%2025%201239-2660-6%20Zu%20Disain%20O%C3%9C.pdf |Original_Source_Language_1=Estonian |Original_Source_Language__Code_1=ET |..." New

AEPD (Spain) - EXP202410843

Created page with "{{DPAdecisionBOX |Jurisdiction=Spain |DPA-BG-Color=background-color:#ffffff; |DPAlogo=LogoES.jpg |DPA_Abbrevation=AEPD |DPA_With_Country=AEPD (Spain) |Case_Number_Name=EXP202410843 |ECLI= |Original_Source_Name_1=AEPD |Original_Source_Link_1=https://www.aepd.es/documento/ps-00476-2024.pdf |Original_Source_Language_1=Spanish |Original_Source_Language__Code_1=ES |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Language_2= |Original_Source_Language__Code..." Show

AEPD (Spain) - EXP202408793

Created page with "{{DPAdecisionBOX |Jurisdiction=Spain |DPA-BG-Color=background-color:#ffffff; |DPAlogo=LogoES.jpg |DPA_Abbrevation=AEPD |DPA_With_Country=AEPD (Spain) |Case_Number_Name=EXP202408793 |ECLI= |Original_Source_Name_1=AEPD |Original_Source_Link_1=https://www.aepd.es/documento/ps-00279-2024.pdf |Original_Source_Language_1=Spanish |Original_Source_Language__Code_1=ES |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Language_2= |Original_Source_Language__Code..." Show

ECtHR - GREEN ALLIANCE v. BULGARIA - 6580/22

Created page with "{{COURTdecisionBOX |Jurisdiction=European Union |Court-BG-Color= |Courtlogo=Courts_logo1.png |Court_Abbrevation=ECtHR |Court_Original_Name=European Court of Human Rights |Court_English_Name=European Court of Human Rights |Court_With_Country=ECtHR (European Union) |Case_Number_Name=GREEN ALLIANCE v. BULGARIA - 6580/22 |ECLI= |Original_Source_Name_1=Bailii |Original_Source_Link_1=https://www.bailii.org/cgi-bin/format.cgi?doc=/eu/cases/ECHR/2026/30.html&query=(GDPR)#_Toc..."

AEPD (Spain) - EXP202406574

Facts }}}} The AEPD fined a right-wing political party €500 for publishing a proof of delivery on Facebook that showed a person’s name, ID number and signature without a legal basis under [[Article 6 GDPR]].The AEPD fined a political party €500 for publishing a document on Facebook that showed a person’s name, ID number and signature without a legal basis under [[Article 6 GDPR]]. == English Summary ==== English Summary ==

APD/GBA (Belgium) - 23/2026

}}}} The DPA ordered a company to erase the data provided by potential tenants after not entering into a lease agreement with them.The DPA ordered a landlord to erase the data provided by potential tenants after not entering into a lease agreement with them. == English Summary ==== English Summary == In 2023 the data subjects intended to enter into a lease agreement with a company (the controller). The controller requested various information from the data subjects, including identity documents,

VDAI (Lithuania) - Nr. 3R-219 (2.13-1.E)

}}}} The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete access response.The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete response to an access reque

CA Paris - 25/04270

}}}} A court held that a former employee cannot receive access to their work email correspondence and files based on an access request when the emails and files only contain the employee’s identification information.A court held that a former employee cannot request access to their work email correspondence and other work-related files when the emails and files only contain the employee’s identification information. == English Summary ==== English Summary == Following his dismissal, the data sub

AEPD (Spain) - EXP202406574

Facts }}}} The AEPD fined a right-wing political party €500 for publishing a proof of delivery on Facebook that showed a person’s name, ID number and signature without a legal basis under [[Article 6 GDPR|Article 6 GDPR]].The AEPD fined a right-wing political party €500 for publishing a proof of delivery on Facebook that showed a person’s name, ID number and signature without a legal basis under [[Article 6 GDPR]]. == English Summary ==== English Summary == VOX had sent a certified letter to a m

OGS Zagreb - Pn-877/2023-29

Created page with "{{COURTdecisionBOX |Jurisdiction=Croatia |Court-BG-Color= |Courtlogo=Courts_logo1.png |Court_Abbrevation=OGS Zagreb |Court_Original_Name=Općinski građanski sud u Zagrebu |Court_English_Name=Municipal Civil Court in Zagreb |Court_With_Country=OGS Zagreb (Croatia) |Case_Number_Name=Pn-877/2023-29 |ECLI= |Original_Source_Name_1=OGS Zagreb |Original_Source_Link_1=https://odluke.sudovi.hr/Document/View?id=dbadb0f4-bf7a-41a9-b560-fd90e582056a&q=Op%25c4%2587a+uredba+o+za%2..." Sh

VG Osnabrück - 7 A 6/24

Created page with "{{COURTdecisionBOX |Jurisdiction=Germany |Court-BG-Color= |Courtlogo=Courts_logo1.png |Court_Abbrevation=VG Osnabrück |Court_Original_Name=Verwaltungsgericht Osnabrück |Court_English_Name=Administrative Court Osnabrück |Court_With_Country=VG Osnabrück (Germany) |Case_Number_Name=7 A 6/24 |ECLI=ECLI:DE::2026:0113.7A6.24.00 |Original_Source_Name_1=NI-VORIS |Original_Source_Link_1=https://voris.wolterskluwer-online.de/browse/document/cbc9e80e-da1a-4df7-b6fa-5efc902bc..." New page

Seven Billion Reasons for Facebook to Abandon its Face Recognition Plans

The New York Times reported that Meta is considering adding face recognition technology to its smart glasses. According to an internal Meta document, the company may launch the product “during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” This is a bad idea that Meta should abandon. If adopted and released to the public, it would violate the privacy rights of millions of people and cost the

AEPD (Spain) - EXP202406574

Created page with "{{DPAdecisionBOX |Jurisdiction=Spain |DPA-BG-Color=background-color:#ffffff; |DPAlogo=LogoES.jpg |DPA_Abbrevation=AEPD |DPA_With_Country=AEPD (Spain) |Case_Number_Name=EXP202406574 |ECLI= |Original_Source_Name_1=AEPD |Original_Source_Link_1=https://www.aepd.es/documento/ps-00255-2024.pdf |Original_Source_Language_1=Spanish |Original_Source_Language__Code_1=ES |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Language_2= |Original_Source_Language__Code..." Show

VG Düsseldorf - 29 K 9469/23

Facts }}}} The court held that under [[Article 15 GDPR#3|Article 15(3) GDPR]] controllers may lawfully redact third-party data as long as the data subject’s information remains complete and understandable.A court held that under [[Article 15 GDPR#3|Article 15(3) GDPR]] controllers may lawfully redact third-party data as long as the data subject’s information remains complete and understandable. == English Summary ==== English Summary == The data subject was subject to a home visit by the public

CNIL (France) - SAN-2025-017

added links to GDPR articles === Holding ====== Holding === The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media platform, or even on targeted advertising, the consent was not informed nor specific. Therefore, it found the processing to be unlawful, violating Article 6(1)(a) GDPR. The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media

CJEU - C‑97/23 - WhatsApp Ireland Ltd

|Case_Number_Name=C‑97/23 WhatsApp Ireland Ltd|Case_Number_Name=C‑97/23 WhatsApp Ireland Ltd |ECLI=ECLI:EU:C:2025:210|ECLI=ECLI:EU:C:2026:81 |Opinion_Link=https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62023CC0097|Opinion_Link=https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62023CC0097 |Judgement_Link=|Judgement_Link=https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62023CJ0097 |Date_Decided=|Date_Decided=10.02.2026 |Year=|Year=2026 |GDPR_Article_1=Articl