Fairness & Transparency

Recital 135

Recital 137

Recital 157

Recital 173

Recital 174

Article 13

Transparency and provision of information to deployers

Article 50

Transparency obligations for providers and deployers of certain AI systems

Recital 9

Recital 26

Recital 27

Recital 53

Recital 59

Recital 60

Recital 66

Recital 67

Recital 72

Recital 74

Recital 94

Recital 101

Recital 102

ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25

Rechtbank Amsterdam

Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.

ECLI:NL:GHARL:2026:1002 Gerechtshof Arnhem-Leeuwarden , 12-02-2026 / 25/210148

Gerechtshof Arnhem-Leeuwarden

In deze zaak heeft het hof in een procedure op grond van artikel 12 van het Wetboek van Strafvordering geoordeeld dat de officier van justitie een aangifte tegen onder meer twee journalisten ten onrechte heeft geseponeerd. Het hof heeft verder geoordeeld dat een van de journalisten zich alsnog voor de strafrechter moet verantwoorden voor het doen van uitlatingen in een in 2024 gepubliceerd krantenartikel.

ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24

Rechtbank Gelderland

Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.

ECLI:NL:RBROT:2026:1019 Rechtbank Rotterdam , 06-02-2026 / ROT 26/14

Rechtbank Rotterdam

Varia. Woo-verzoek. De voorzieningenrechter is niet gebleken dat er sprake is van zodanige zwaarwegende belangen, ook niet zijdens de Woo-verzoekster, dat niet gewacht zou kunnen worden met openbaarmaking van de stukken totdat op het bezwaar van verzoeksters is beslist. Verzoek toegewezen, bob geschorst.

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

Gerechtshof Arnhem-Leeuwarden

Gerechtshof Arnhem-Leeuwarden

Soevereinen, verzoek anoniem procederen inspecteur, 8:29 Awb

Integritetsskyddsmyndigheten v AB Storstockholms Lokaltrafik

CJEU

Deze zaak draait in essentie om de vraag wanneer persoonsgegevens worden verzameld bij de betrokkene en wanneer niet. Dit onderscheid is namelijk relevant voor de toepassing van de transparantievereisten (art. 13 of 14 AVG). In de zaak draaide het om het gebruik van bodycams in het openbaar vervo...

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

Encrochat-gegevens

Gerechtshof

Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.

Pensioensberekeningen zijn geen persoonsgegevens

Rechtbank

Betrokkene “wil kunnen controleren op basis van welke gegevens (de hoogte van) zijn pensioen is vastgesteld, inclusief toelichting en een bevestiging van de juistheid van de gegevens, voor het verleden en voor de toekomst. [verzoeker] heeft deze gegevens vooral nodig in verband met de overgang na...

Woo. Keuze familienaam als bedrijfsnaam komt voor rekening personen. Dat is geen reden om te lakken bij Woo-verzoek.

Rechtbank

Wet Open overheid, bedrijfs- en fabricagegegevens, persoonlijke levenssfeer, veiligheid, horen in bezwaar, 6:22 Awb

Niet lakken bedrijfsnaam die tevens familienaam is in woo verzoek.

Rechtbank

Voorlopige voorziening, Wet open overheid, beoordelingskader onomkeerbare gevolgen publicatie en belang openbaarheid van informatie.

XH v European Commission

CJEU

Gaat om een beroep van T-613/21. In beroep wordt gesteld dat het Gerecht de professionele context als reden zag om de gegevens niet als persoonsgegevens te zien, maar dit is niet juist volgens het HvJ EU. Het feit dat het hier om informatie verwerkt in een werkgerelateerde context is niet een doo...

Rechtbank Overijssel

Rechtbank Overijssel

De Gemeente heeft een aanbesteding gestart voor de uitvoering van jongeren(welzijns)werk in de Gemeente. Eiser en één andere aanbieder hebben op deze aanbesteding ingeschreven. De Gemeente heeft de opdracht aan de andere inschrijver gegund en eiser komt daar in deze zaak tegenop. Volgens eiser was de beoordelingscommissie van de Gemeente niet objectief en heeft de Gemeente fouten gemaakt bij de beoordeling van haar inschrijving. Die beoordeling was volgens eiser niet overeenkomstig het bestek en/of evident feitelijk onjuist. De voorzieningenrechter wijst de vorderingen van [eiser] af omdat de beoordelingscommissie voldoende objectief heeft gehandeld en er geen sprake is van de door eiser gestelde fouten bij de beoordeling. De gunningsbeslissing is deugdelijk en op transparante wijze gemotiveerd. Deze beslissingen worden hierna gemotiveerd.

Rechtbank Amsterdam

Rechtbank Amsterdam

Collectieve actie Bureau Clara Wichman. Borstimplantaten. Vervolg op rechtbank Amsterdam 14 februari 2024, ECLI:NL:RBAMS:2024:745 en rechtbank Amsterdam 1 mei 2024, ECLI:NL:RBAMS:2024:2479. Productaansprakelijkheid. Richtlijn 85/374/EEG inzake productaansprakelijkheid. Richtlijn 93/42/EEG betreffende medische hulpmiddelen. Artikel 6:185 e.v. BW, artikel 6:162 BW, artikel 6:193b BW en 6:193d BW. Artikel 843a Rv (oud). Hoge Raad 30 juni 1989, NJ 1990/652 (Halcion). Eindvonnis. Geen gebrekkig product in de zin van artikel 6:186 BW. Producent niet aansprakelijk. De rechtbank wijst de vorderingen in de hoofdzaak en het incident af. Zie voor een samenvatting van het vonnis, het vonnis onder 1. ‘De zaak in het kort’.

Rechtbank Amsterdam

Rechtbank Amsterdam

Ontslag op staande voet omdat werknemer bewust valse informatie zou hebben verstrekt bij het invullen van een integriteitsverklaring. Het ontslag blijft in stand. Tegenverzoeken van de werkgever, onder andere strekkende tot betaling van gefixeerde schadevergoeding en boete worden toegewezen.

Rechtbank Den Haag

Rechtbank Den Haag

Woo-verzoek - eerbiediging persoonlijke levenssfeer - algemene motivering weigering - beroep ongegrond.

Toepassing interstatelijk vertrouwensbeginsel en aanwezigheid voldoende waarborgen gebruik cryptoberichten via JIT gedeeld

Gerechtshof

Leider criminele organisatie die zich bezighield met uitvoer cocaïne, invoer hasjiesj, voorhanden hebben ketamine, voorbereidingshandelingen synthetische drugsproductie, waaronder Crystal Meth, en gewoontewitwassen. Crypto-verweren m.b.t. (onrechtmatigheid interceptie, verwerking onderschepte data, betrouwbaarheid data) EncroChat, SkyEcc en ANØM verworpen. Interceptie buiten JIT, overdracht data binnen JIT. (Interstatelijk/internationaal) vertrouwensbeginsel van toepassing. Notificatieplicht artikel 31 EOB-richtlijn niet van toepassing. Naast waarborgen soevereiniteit in kennis gestelde staat moet beschermingsniveau geïntercepteerde gebruiker worden geëerbiedigd. Verdachte komt hierop in individuele strafzaak geen beroep toe. Geen schending EVRM en Handvest van de Grondrechten van de Europese Unie. Geen gebrek aan rechtsbescherming. Gelegenheid geweest voor toetsen crypto-data en geven van effectief commentaar door mogelijke inzage in Hansken. Geen vormverzuim. Geen bewijsuitsluiting. Identificatie gebruikers crypto-data. Hoewel geen beslag volgt bewezenverklaring cocaïne en ketamine op basis van crypto-data en overig bewijs. Vonnis vernietigd. Gevangenisstraf 12 jaren.

ECLI:NL:RBROT:2025:9088 Rechtbank Rotterdam , 23-07-2025 / C/10/668332 / HA ZA 23-965

Rechtbank Rotterdam

Vervolg op ECLI:NL:RBROT:2024:11322; Collectieve actie 3:305a BW; Ontvankelijkheidseisen; Verhouding tussen de WAMCA en de AVG; Uitleg artikel 80 lid 2 AVG met betrekking tot het recht op schadevergoeding. De rechtbank stelt prejudiciële vragen aan het Hof van Justitie van de Europese Unie.

Inschakelen derde partij voor heffing grondbelasting o.m. door geheimhoudingsplicht voorzien van voldoende waarborgen.

Dutch Courts

In een aantal zaken betreffende een viertal hotels is in hoger beroep uitspraak gedaan in één of meer problemen in de grondbelasting. Het betreft de onderwerpen: gevolgen uitblijven van de uitspaken op bezwaar en uitblijven schriftelijke mededeling, gevolgen uitblijven van hoorgesprekken, een beroep op de geheimhoudingsplichting van de Inspecteur (schending artikel I.16 lid 2 en lid 3 van de Staatsregeling van Aruba en artikel 8 EVRM), tariefkwestie en bevoegdheid van de belastingrechter ten aanzien van ontheffingsverzoeken ex artikelen 35/37 van de Landsverordening grondbelasting (LGB).

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Guidelines on derogations of Article 49

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 04/2021 on Codes of Conduct as tools for transfers

Guidelines on codes of conduct and monitoring bodies

The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Versiegeschiedenis

guidelines accreditatie

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

guidelines certificering

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Versiegeschiedenis

guidelines meldplicht datalekken

Telecommunications operator (operator of electronic communications networks and services): Non-compliance with general data processing principles

€4,500,000 fine - Croatian Data Protection Authority (azop)

Following an ex officio investigation, AZOP imposed a EUR 4.5 million fine on a telecommunications operator for multiple GDPR infringements. The controller transferred customer personal data to a processor in the Republic of Serbia (a group company maintaining software). Transfers had been based on Standard Contractual Clauses (SCCs) from 16 April 2020 until at the latest 27 December 2022; after that date, transfers continued without SCCs or equivalent safeguards, despite Serbia lacking an adequ

Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Chamber of Commerce, Industry, Services and Navigation of Spain: Insufficient legal basis for data processing

€500,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 500,000 on the Chamber of Commerce, Industry, Services and Navigation of Spain. Due to its function within the Spanish Executive, the controller has access to the basic data of all Spanish companies, including information regarding solvency, contact details, tax numbers and more. Self-employed persons are also included. The controller has decided to make this information available to the public. For this purpose, the controller created the legal entity C

Istituto di Istruzione Superiore 'P. Galluppi' Tropea: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 4.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.500 euro opgelegd aan het Istituto di Istruzione Superiore 'P. Galluppi' in Tropea. De verantwoordelijke partij heeft biometrische gegevens van haar werknemers verwerkt om hun werktijden te controleren. Volgens de DPA was de verwerking zodanig ingericht dat deze niet in overeenstemming was met de beginselen van rechtmatigheid, eerlijkheid en transparantie, en ontbrak er een voldoende juridische basis.

Istituto di Istruzione Superiore 'P. Galluppi' Tropea: Insufficient legal basis for data processing

€4,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2,500 on the Istituto di Istruzione Superiore 'P. Galluppi' Tropea. The controller processed biometric data of its employees to control their work hours. The processing was designed in a way that, according to the DPA, did not comply with the principles of lawfulness, fairness and transparency and lacked a sufficient legal basis.

Azienda regionale per lo sviluppo e per i servizi in agricoltura (ARSAC): Non-compliance with general data processing principles

€50,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA imposed a fine of EUR 50,000 on the Regional agency for development and services in agriculture (ARSAC). The controller processed geographic data of its employees without sufficient legal basis. The controller also failed to provide sufficient informations in its internal documents regarding the data procession, breached the basic principles of lawfullness, fairness, transparency and purpose limitation and failed to conduct a data protection impact assesement. The total sum of th

OpenAI OpCo LLC: Non-compliance with general data processing principles

€15,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 15 million on OpenAI in connection with the operation of the generative AI chatbot “ChatGPT”. The DPA found that OpenAI had violated provisions of the GDPR, inter alia, by failing to notify the DPA of a data breach that occurred in 2023, by using users' personal data to train ChatGPT without providing a valid legal basis for such processing, and by violating the principle of transparency. Additionally, OpenAI did not implement age verification, potential

Vinted: Insufficient fulfilment of data subjects rights

€2,385,276 fine - Lithuanian Data Protection Authority (VDAI)

The Lithuanian DPA has imposed a fine of EUR 2,385,276 on the second-hand online store 'Vinted'. The DPA initiated an investigation after the Polish and French DPAs forwarded complaints against the company. During its investigation, the DPA found that the company had not adequately processed deletion requests from data subjects as they had not provided specific reasons for their deletion request. It was also revealed that the company was unlawfully using 'shadow blocking' to remove users from th

Clearview AI Inc.: Non-compliance with general data processing principles

€30,500,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has fined Clearview Al Inc. EUR 30,500,000. Clearview, a company offering facial recognition services, holds a database of over 30 billion images, including those of Dutch citizens. These images are scraped from publicly available online platforms, such as social media. Clearview uses these images to create biometric profiles, allowing individuals to be identified. During its investigation the DPA found that the personal data contained in the company's database had been processed u

Betting company: Insufficient legal basis for data processing

€20,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 20,000 on a data controller operating in the gambling and betting sector. The data controller collected and processed personal data of data subjects through cookies without providing them the opportunity to give or withdraw consent for such processing in an informed and voluntary manner, violating Art. 6 (1) a) GDPR and Art. 7 GDPR. In cases where personal data processing relies on consent and serves multiple purposes, the consent mechanism, such

Betting company: Insufficient legal basis for data processing

€15,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 15,000 on a data controller operating in the gambling and betting sector. The data controller collected and processed personal data of data subjects through cookies without providing them the opportunity to give or withdraw consent for such processing in an informed and voluntary manner, violating Art. 6 (1) a) GDPR and Art. 7 GDPR. In cases where personal data processing relies on consent and serves multiple purposes, the consent mechanism, such

AMAZON FRANCE LOGISTIQUE: Non-compliance with general data processing principles

€32,000,000 fine - French Data Protection Authority (CNIL)

The French DPA (CNIL) has imposed a fine of EUR 32 million on AMAZON FRANCE LOGISTIQUE for unlawful surveillance of employees. CNIL found that Amazon France equips its warehouse employees with a scanner to document certain tasks. Each scan records data that is stored and can be used to calculate a series of indicators that provide information on the productivity of each employee. The CNIL considered the establishment of a system that measures interruptions in activity with precision and potentia

SLOVAKIA DPA: Non-compliance with general data processing principles

€7,500 fine - Slovak Data Protection Office

The Slovak DPA has imposed a fine of EUR 7,500 on an unknown controller. The controller violated the principle of lawfulness, the principle of transparency and the principle of accountability.

Autostrade per l'Italia spa: Non-compliance with general data processing principles

€1,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined Autostrade per l'Italia spa ('ASPI') EUR 1 million for unlawfully processing the data of approx. 100,000 registered users of the toll reimbursement app 'Free to X.' A consumer organization reported problems with the service, which provides toll refunds for delays caused by roadworks, to the DPA. The DPA found that Autostrade held the position of the data controller, instead of a processor, as stated in the documents governing the relationship between 'ASPI' and 'Free to

TikTok: Non-compliance with general data processing principles

€14,500,000 fine - Information Commissioner (ICO)

The UK DPA (ICO) has fined TikTok EUR 14.5 million. The ICO had found that more than one million British children under the age of 13 were using TikTok without the consent of their parents. The ICO criticized TikTok for failing to implement adequate controls to identify and remove underage children from its platform. Further, the ICO found that TikTok did not provide users of the platform with sufficient and easily understandable information about the collection, use and disclosure of their data

WhatsApp Ireland Ltd.: Insufficient legal basis for data processing

€5,500,000 fine - Data Protection Authority of Ireland

The Irish DPA (DPC) has fined WhatsApp Ireland Ltd. EUR 5.5 million. The Austrian organization 'None of Your Business' (NOYB) had filed a complaint with the DPA on behalf of an individual. WhatsApp had updated its terms of service shortly before the GDPR came into force. In its new terms of service, WhatsApp informed its users to click 'Agree and Continue' to indicate their agreement with the new terms of service. This was required for further access to the services. WhatsApp assumed that the ac

Meta Platforms Ireland Limited: Non-compliance with general data processing principles

€390,000,000 fine - Data Protection Authority of Ireland

The Irish DPA (DPC) has fined Meta Platforms Ireland Limited EUR 390 million. The DPA has imposed a fine of EUR 210 million for violations related to the provision of its Facebook service and EUR 180 million for violations related to the provision of its Instagram service. The Austrian organization 'None of Your Business' (NOYB) had filed a complaint with the DPA on behalf of two individuals. Meta had updated its terms of service shortly before the GDPR came into force. In its new terms of servi

Association for the prevention and study of crimes, abuses and negligence in information technology and advanced communications (APEDANICA): Non-compliance with general data processing principles

€5,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has fined the Association for the prevention and study of crimes, abuses and negligence in information technology and advanced communications (APEDANICA) EUR 5,000. Employees of the company LEGAL ERASER SL had filed a complaint with the DPA. The controller had requested information about LEGAL ERASER from the DPA as part of the right to information based on the Spanish Transparency Act. The controller then published the documents, some of which contained personal data of LEGAL ER

Clearview Al Inc.: Non-compliance with general data processing principles

€20,000,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 20,000,000 on Clearview AI Inc. The non-profit organization 'Homos Digitalis' had filed a complaint with the DPA on behalf of the data subject. The company holds a database of more than 20 billion facial images (including those of greek residents and nationals) from around the world. The data is collected online from publicly accessible platforms such as social networks. The company offers a search service that allows individuals be identified based on

Senseonics Inc.: Non-compliance with general data processing principles

€45,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 45,000 on Senseonics Inc. The company had reported a data breach to the DPA pursuant to Art. 33 GDPR, involving an employee accidentally sending an information campaign by email to a large number of recipients in an open distribution list. This made it possible for all recipients to view the email addresses of the other recipients. The recipients of the e-mails were diabetic patients, making it possible to obtain information about the health status of th

Hungary’s election battle mixes AI smears with Facebook ‘fight club’

Orbán-linked AI deepfakes flood social media despite EU attempts to boost transparency of Facebook ad ban

Article 13 GDPR

Contact details: typo The controller's contact details are necessary for the data subjects to get in touch with the controller and to further exercise their rights under the GDPR. The contact details must enable data subjects to easily contact the controller and should include different forms of communications.The controller's contact details are necessary for the data subjects to get in touch with the controller and to further exercise their rights under the GDPR. The contact details

European Commission’s plans will lead to worse regulations

EDRi is deeply concerned that the European Commission’s current plans to amend the Better Regulation framework will lead to worse lawmaking, not better. In its submission to the Commission, EDRi shares recommendations to ensure balanced representation, fairness, transparency, and meaningful safeguards in EU lawmaking. The post European Commission’s plans will lead to worse regulations appeared first on European Digital Rights (EDRi).

VDAI (Lithuania) - Nr. 3R-219 (2.13-1.E)

}}}} The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete access response.The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete response to an access reque

Commission opens probe of Shein after ‘child-like’ sex doll scandal

The Commission will investigate Shein over concerns about illegal products, addictive features and recommender transparency under the Digital Services Act

AI Omnibus: Reject the proposals to undermine transparency in the AI Act

The European Commission’s dangerous and misguided Digital Omnibus proposal includes a dangerous rollback of transparency requirements in the AI Act. 60 civil society organisations, independent public authorities and individuals, including EDRi, urge EU lawmakers to reject a change that would risk weakening enforcement, legal certainty, and the protection of fundamental rights, while offering negligible benefits for companies. The post AI Omnibus: Reject the proposals to undermine transparency in

A call to EU legislators: protect rights and reject the call to delete transparency safeguard in AI Act

We, the undersigned organisations and individuals, urge you in the strongest possible terms to reject the deletion of the Article 49(2) transparency safeguard for high-risk AI systems that is proposed in the AI Omnibus. This transparency safeguard ensures that providers of AI systems cannot circumvent the core obligations of the AI Act. The post A call to EU legislators: protect rights and reject the call to delete transparency safeguard in AI Act appeared first on Access Now.

Stakeholder event on political advertising: express your interest

Brussels, 29 January - The EDPB organises a remote event to collect stakeholders’ input on its Guidelines on the processing of personal data to target or deliver political advertisements under the regulation on the transparency and targeting of political advertising. The event will take place on 27 March 2026 (time to be confirmed). This will be an opportunity to inform and support the EDPB’s ongoing work on this topic as per its work programme 2024-2025 and it reflects the EDPB’s commitment to

TikTok makes ad transparency commitments to comply with EU DSA

The European Commission says that TikTok has agreed to provide advertising repositories in which data is stored and managed to ensure full transparency around ads on its services, as required by the Digital Services Act

USR - Us I-755/2025-8

Fixed Link He latter further claimed during the lawsuit against AZOP's decision that the authority had incorrectly and incompletely established the facts, misapplied substantive law, and breached procedural rules. He emphasized that the published personal data was unrelated to transparency in public administration, that he was neither a public figure nor a political actor, and that any public interest ended once he left office on 31 March 2023. He invoked his right to erasure under [[Articl

CNIL (France) - SAN-2025-015

=== Holding ====== Holding === The dispute related to the processor’s responsibility for implementing adequate security measures, under article 32 GDPR. The dispute related to the processor’s responsibility for implementing adequate security measures, under Article 32 GDPR. '''On the fairness of the procedure:''' '''On the fairness of the procedure:''' '''About responsibilities:''' '''About r

USR - Referentienummer I-755/2025-8

Fixed Link: Hij beweerde later, tijdens de rechtszaak tegen de beslissing van AZOP, dat de autoriteit de feiten onjuist en onvolledig had vastgesteld, het materiële recht verkeerd had toegepast en de procedurele regels had geschonden. Hij benadrukte dat de gepubliceerde persoonlijke gegevens geen verband hadden met transparantie in de overheidsadministratie, dat hij noch een publiek figuur noch een politieke acteur was, en dat elk algemeen belang ophield zodra hij op 31 maart 2023 zijn functie had verlaten. Hij beroepte zich op zijn recht op verwijdering, zoals vastgelegd in [[Artikel...]].

CNIL (France) - SAN-2025-015

Fixed link: "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" Initially, the data protection authority (DPA) rejected this argument based on a violation of Article 6 of the European Convention on Human Rights (ECHR). The DPA pointed out that the right not to be required to prove someone's guilt does not conflict with the sharing of internal reports from the complainant, even under coercive measures. Furthermore, the publicly available reports constitute evidence upon which the DPA can base its reasoning. Initially,

CNIL (France) - SAN-2025-015

Fixed Link '''On the fairness of the procedure:''' '''On the fairness of the procedure:''' At first, the DPA rejected the argument based on a violation of [[article 6 ECHR]]. The DPA pointed out that the right not to incriminate oneself is not incompatible with the sharing of the complainant’s internal reports, even under coercive measures. What’s more, the disclosed reports are evidence on which the DPA can base its argument. At first,

USR - Reference number I-755/2025-8

Fixed Link: He later claimed, during the legal proceedings against the AZOP decision, that the authority had incorrectly and incompletely established the facts, had misapplied the relevant law, and had violated procedural rules. He emphasized that the published personal data were not related to transparency in government administration, that he was neither a public figure nor a political actor, and that any public interest ceased once he left his position on March 31, 2023. He invoked his right to erasure, as stipulated in [[Article...]].

CNIL (France) - SAN-2025-015

=== Processing ====== Processing === The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" "Regarding responsibilities:" "Regarding responsibilities:"

#KeepItOn: Iran plunged into digital darkness, concealing human rights abuses

join the international community, including the UN’s Independent International Fact-Finding Mission, in calling on Iran to immediately restore internet and mobile communications and in demanding accountability and transparency for the grave human rights violations documented in the country The post #KeepItOn: Iran plunged into digital darkness, concealing human rights abuses appeared first on Access Now.

VDAI (Lithuania) - Decision No. 3R-1700

Facts }}}} The DPA held that a gambling operator lawfully transferred data to a processor for sending invitations to sporting events, but found that the controller breached transparency obligations by not informing the data subject about the categories of data recipients.The DPA held that the operator of a gambling site lawfully transferred data to a processor for sending invitations to sporting events since the engagement of a processor does not require a separate legal basis. However, the cour

VDAI (Lithuania) - Decision No. 3R-1700.

Facts: The data protection authority (DPA) ruled that a gambling operator had lawfully transferred data to a processor for the purpose of sending invitations to sporting events, but found that the responsible party had violated its transparency obligations by failing to inform the data subject about the categories of recipients of the data. The DPA also ruled that the operator of a gambling website had lawfully transferred data to a processor for the purpose of sending invitations to sporting events, as the engagement of a processor does not require a separate legal basis. However, the court...

VDAI (Litouwen) - Besluit nr. 3R-1700.

Feiten: De gegevensbeschermingsautoriteit (DPA) oordeelde dat een aanbieder van kansspelen gegevens op rechtmatige wijze heeft overgedragen aan een verwerker voor het versturen van uitnodigingen voor sportevenementen, maar vond dat de verantwoordelijke partij haar transparantieplicht had geschonden doordat ze de betrokkene niet had geïnformeerd over de categorieën van ontvangers van de gegevens. De DPA oordeelde dat de exploitant van een kansspelwebsite gegevens op rechtmatige wijze heeft overgedragen aan een verwerker voor het versturen van uitnodigingen voor sportevenementen, aangezien het inschakelen van een verwerker geen aparte juridische basis vereist. Echter, het gerecht...