Automated Decision-Making
Processing involving automated decisions without human involvement
automated decision-making geautomatiseerde besluitvorming profiling profilering artikel 22 article 22 algoritmiek
Overview
22 sources · Feb 20, 2026Legal Framework
Article 22 GDPR establishes the right not to be subject to decisions based solely on automated processing, including profiling, that produce legal effects or similarly significantly affect data subjects. This right applies unless the decision is necessary for contract performance, authorized by specific legislative provisions, or based on explicit consent.
When automated systems process special categories of personal data—those revealing racial or ethnic origin, political opinions, religious beliefs, trade union membership, genetic or biometric data, health, or sex life—the stringent Article 9 prohibition applies concurrently. Processing such sensitive data remains forbidden unless an exception under Article 9(2)(a), (c), (d), (e), or (f) applies. These exceptions operate with direct effect under EU law and include explicit consent, employment and social security obligations, vital interests, public interest archiving, and legal claims. Consent must manifest through a clear affirmative action, whether oral, written, or electronic (such as selecting technical settings or ticking a box), demonstrating free, specific, informed, and unambiguous agreement.
The AI Act reinforces these protections through Recital 42, which prohibits assessing natural persons based solely on AI-predicted behavior derived from profiling or personal characteristics without objective, verifiable facts and meaningful human review. This preserves the presumption of innocence and ensures assessments reflect actual conduct.
For cross-border automated processing, jurisdiction determination depends on whether data subjects in multiple Member States face substantial effects, assessed case-by-case rather than merely by the volume of affected individuals.
Key Developments
Enforcement patterns reveal strict accountability for automated systems. The Polish National Personal Data Protection Office imposed a €135,600 fine on a banking sector entity for GDPR violations involving automated processing. The Swedish Data Protection Authority levied a €1.1 million penalty against Bonnier News AB regarding customer data handling practices. These decisions demonstrate that regulators scrutinize both the legal basis and operational safeguards for automated decision-making systems.
Judicial interpretation continues evolving through recent German appellate rulings. The Bamberg Higher Regional Court (10 U 61/25 e) and Munich Higher Regional Court (19 U 1468/25 e) both issued decisions on February 16, 2026, clarifying standards for automated decision-making validity and human oversight requirements.
The European Data Protection Supervisor’s guidance on human oversight emphasizes that controllers must maintain meaningful intervention capabilities throughout the automated decision lifecycle. Additionally, the CJEU’s WORTEN ruling establishes that automated processing of working time records must satisfy necessity and proportionality requirements, with access restricted to authorized monitoring authorities.
Practical Guidance
Establish explicit legal basis: Before deploying automated decision-making involving special categories, verify that Article 9(2) exceptions apply—preferably explicit consent obtained through unambiguous affirmative actions—and ensure Article 22 GDPR exceptions are satisfied.
Implement meaningful human oversight: Design systems to enable human intervention, review, and the right to contest decisions, ensuring assessments rely on objective facts rather than solely predicted behavior, per AI Act Recital 42 and EDPS guidance.
Conduct jurisdiction analysis: For cross-border automated processing, perform case-by-case assessments of substantial effects on data subjects to determine lead supervisory authority, rather than relying on aggregate numbers alone.
Maintain technical safeguards: Configure systems to allow immediate human access to decision logic and data inputs, particularly when processing working time records or sensitive data subject to regulatory monitoring, applying the necessity and proportionality standards from WORTEN.
Document compliance evidence: Retain records demonstrating that automated assessments are based on verifiable facts, not solely profiling characteristics, and that human reviewers possess authority to override algorithmic outputs.
Laws (49)
View all 49Recital 59
Recital 59
Article 22
Gemachtigden van aanbieders van AI-systemen met een hoog risico
Article 22
Authorised representatives of providers of high-risk AI systems
Recital 10
Recital 42
Recital 10
Recital 42
Recital 53
Article 22
Union level coordinated security risk assessments of critical supply chains
Article 22
Op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens
Recital 70
Recital 69
Recital 68
Recital 56
Article 38
Recommender systems
Article 22
Trusted flaggers
Article 38
Aanbevelingssystemen
Recital 56
Case Law (98)
View all 98ECLI:NL:RBAMS:2026:1801 Rechtbank Amsterdam , 19-02-2026 / 13-315820-25
Rechtbank Amsterdam
Vervolgings-EAB Duitsland. Referte. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1762 Rechtbank Amsterdam , 18-02-2026 / 13-316587-25
Rechtbank Amsterdam
Vervolgings-EAB Oostenrijk, overlevering toegestaan. Geen weigeringsgronden, terugkeergarantie voldoende.
ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25
Rechtbank Amsterdam
Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.
ECLI:NL:RBAMS:2026:1585 Rechtbank Amsterdam , 12-02-2026 / 13/335542-25
Rechtbank Amsterdam
De rechtbank is van oordeel dat er voor gedetineerden in de detentie-instelling Fresnes een algemeen reëel gevaar bestaat dat zij aan een onmenselijke of vernederende behandeling zullen worden blootgesteld in de zin van artikel 4 Handvest. De rechtbank baseert het algemene gevaar voor de detentie-instelling Fresnes op de overbevolkingsproblematiek en de hiervoor weergegeven slechte materiële detentieomstandigheden, het niet-functionerende intercomsysteem en het ontoereikende niveau van de gezondheidszorg. De rechtbank stelt vast dat er voor de opgeëiste persoon een individueel gevaar bestaat van schending van zijn grondrechten wegens de detentieomstandigheden in de detentie-instelling in Fresnes. De rechtbank stelt, ingevolge artikel 11, vierde lid, OLW, een redelijke termijn van 60 dagen.
ECLI:NL:RBAMS:2026:1393 Rechtbank Amsterdam , 10-02-2026 / 13-313776-25
Rechtbank Amsterdam
Executie-EAB uit Hongarije. Verweer ten aanzien van het ontbreken van dubbele strafbaarheid verworpen: nu kortgezegd voldoende is dat zij onder enige Nederlandse strafbepaling valt. De overige aspecten vallen buiten de reikwijdte van de OLW. Verweer ten aanzien van de stelselevenredigheid verworpen. Gelijkstellingsverweer verworpen nu geen stukken daartoe zijn overgelegd. Verweer ten aanzien van de Hongaarse detentieomstandigheden verworpen, nu geen sprake is van een algemeen gevaar, komt de rb niet toe aan de beoordeling van een individueel gevaar. Overlevering toegestaan.
ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285
Rechtbank Noord-Holland
AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.
ECLI:NL:RBAMS:2026:1332 Rechtbank Amsterdam , 05-02-2026 / 1326539625
Rechtbank Amsterdam
executie-EAB Polen, overlevering toestaan, artikel 11 OLW, artikel 12 OLW, afzien van weigeren
ECLI:NL:RBAMS:2026:1394 Rechtbank Amsterdam , 03-02-2026 / 13-297778-25 (EAB I)
Rechtbank Amsterdam
Vervolgings- en executie-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1395 Rechtbank Amsterdam , 03-02-2026 / 13-297861-25 (EAB II)
Rechtbank Amsterdam
Vervolgings-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1703 Rechtbank Amsterdam , 03-02-2026 / 13-266022-25 (EAB I)
Rechtbank Amsterdam
Vervolgings-EAB Polen. Geen gevolg gegeven aan het EAB. Officier van justitie niet-ontvankelijk verklaard. De rechtbank kan niet beoordelen of het algemene reële gevaar, dat de opgeëiste persoon structureel 23 uur per dag in zijn cel moet doorbrengen, kan worden uitgesloten.
ECLI:NL:RBAMS:2026:1331 Rechtbank Amsterdam , 29-01-2026 / 1330189025
Rechtbank Amsterdam
executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden
ECLI:NL:RBAMS:2026:1329 Rechtbank Amsterdam , 29-01-2026 / 1330184325
Rechtbank Amsterdam
executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden, artikel 12 OLW: OP aanwezig, artikel 7 OLW: lijstfeitverweer
ECLI:NL:RBAMS:2026:1356 Rechtbank Amsterdam , 29-01-2026 / 13/262371-25
Rechtbank Amsterdam
Executie-EAB uit Slowakije. Artikel 12 OLW: geen sprake van een onvoorwaardelijk recht op een verzetprocedure. Afzien van toepassing van de weigeringsgrond, omdat de opgeëiste persoon op de hoogte was van de procedure in eerste aanleg en er rekening mee heeft moeten houden dat een procedure in hoger beroep zou kunnen volgen. Artikel 11 OLW: de raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overlegd waaruit blijkt dat er wel sprake is van een algemeen gevaar ten aanzien van veroordeelde gedetineerden in Slowakije. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1625 Rechtbank Amsterdam , 27-01-2026 / 13/229935-25
Rechtbank Amsterdam
Executie-EAB Polen; overlevering geweigerd o.g.v. artikel 6a OLW en strafovername.
Rechtbank Amsterdam
Rechtbank Amsterdam
Vervolgings-EAB uit Denemarken. Artikel 12 OLW niet van toepassing bij vervolgings-EAB's. Afgezien van de weigeringsgrond van artikel 13 OLW. Overlevering toegestaan.
Rechtbank Amsterdam
Rechtbank Amsterdam
Executie-EAB uit Frankrijk. Na ontvangst vonnis en certificaat overlevering geweigerd onder gelijktijdige strafovername. Schorsing bevel 27 lid 4 OLW na uitspraak.
Rechtbank Amsterdam
Rechtbank Amsterdam
Vervolgings-EAB Polen. Tussenuitspraak. Artikel 11 OLW. Detentieomstandigheden in Poolse remand regimes. De rechtbank constateert dat een discrepantie bestaat tussen toezeggingen gedaan in de twee genoemde overleveringszaken en in onderhavige zaak met betrekking tot de bewegingsvrijheid buiten de cel voor gedetineerden die in the Opole Remand Centre worden gedetineerd. De rechtbank ziet daarom aanleiding om het onderzoek ter zitting te heropenen en de officier van justitie te verzoeken om bij de uitvaardigende justitiële autoriteit duidelijkheid te verkrijgen over de tegenstrijdigheden in de informatie van de uitvaardigende justitiële autoriteit.
ECLI:NL:RBAMS:2026:1466 Rechtbank Amsterdam , 20-01-2026 / 13/283238-25 (EAB II)
Rechtbank Amsterdam
Executie-EAB Hongarije. Verweer ten aanzien van de Hongaarse detentieomstandigheden verworpen. Artikel 11 OLW staat niet aan overlevering in de weg. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1465 Rechtbank Amsterdam , 20-01-2026 / 13/283218-25 (EAB I)
Rechtbank Amsterdam
EAB Polen; overlevering geweigerd o.g.v. artikel 12 OLW
Rectificatie justitiële gegevens
Rechtbank
Varia. Wjsg. Awb. Doorzendplicht. Beroep tegen de afwijzing van het verzoek om justitiele gegevens te rectificeren. Verweerder is niet bevoegd om op het verzoek te beslissen. Na ontvangst had hij het verzoekschrift moeten doorzenden naar het bestuursorgaan dat die bevoegdheid wel heeft.
Guidance (57)
View all 57Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte
Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Version history
Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG
guidelines voor de toepassing van artikel 60 AVG
Versiegeschiedenis
guidelines uitvoeren overeenkomst
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
guidelines toestemming
Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media
guidelines targeting gebruikers sociale media
Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage
guidelines recht op inzage
Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679
guidelines gedragscodes en toezichthoudende organen
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Versiegeschiedenis
guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Enforcement (15)
Company: Insufficient technical and organisational measures to ensure information security
€135,600 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA fined a company in the banking sector EUR 135,600. The DPA inspected the fined company and found several violations of the GDPR. First, the company failed to ensure that the DPO could report directly to top management and that the DPO did not receive instructions on the performance of the tasks given to the DPO. Second, the company failed to include profiling in the list of data processing operations. Third, the company failed to conduct a privacy impact assessment regarding the u
Bonnier News AB: Insufficient legal basis for data processing
€1,100,000 fine - Data Protection Authority of Sweden
The Swedish DPA has imposed a fine of EUR 1.1 million on Bonnier News AB. During its investigation, the DPA found that Bonnier News collects customer data, for example, through their surfing behavior or through purchases from different subsidiaries. However, the DPA also found that Bonnier News had collected and processed this data without the consent of the data subjects. Bonnier News relied on an predominant interest as a legal basis, but the DPA noted that customers could not expect their dat
Rinascente S.p.A.: Non-compliance with general data processing principles
€300,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has fined Rinascente S.p.A. EUR 300,000. The DPA acted on a complaint from a customer who, following an incident with a store employee, had her long-standing loyalty card cancelled and received a new, unsolicited card that contained offensive information about the complainant in her name. The customer complained that their information had been accessed without their consent. During the investigation, the DPA also found that the information on the loyalty card did not specify the
Edison Energia S.p.A.: Non-compliance with general data processing principles
€4,900,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has fined Edison Energia S.p.A. EUR 4.9 million. Several person had filed complaints with the DPA regarding unlawful marketing activities of the company. During its investigation, the DPA found that the company contacted data subjects by telephone for marketing purposes without their consent. For this purpose, the company used contact lists from third parties, which in many cases, however, did not contain the free, specific, informed and documented consent of the users to the dis
Azienda Universitaria Friuli Occidentale: Insufficient legal basis for data processing
€55,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 55,000 on Azienda Universitaria Friuli Occidentale. The health authority has created patient profiles using algorithms and personal patient data to indicate the risk of having complications in the event of a Covid 19 infection. This was intended to identify appropriate diagnostic and therapeutic pathways in a timely manner in the event of complications. However, the DPA found that the health authority did not have a valid legal basis to process patients'
Azienda Universitaria Friuli Centrale: Insufficient legal basis for data processing
€55,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 55,000 on Azienda Universitaria Friuli Centrale. The health authority has created patient profiles using algorithms and personal patient data to indicate the risk of having complications in the event of a Covid 19 infection. This was intended to identify appropriate diagnostic and therapeutic pathways in a timely manner in the event of complications. However, the DPA found that the health authority did not have a valid legal basis to process patients' pe
Azienda Universitaria Giuliano Isontina: Insufficient legal basis for data processing
€55,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 55,000 on Azienda Universitaria Giuliano Isontina . The health authority has created patient profiles using algorithms and personal patient data to indicate the risk of having complications in the event of a Covid 19 infection. This was intended to identify appropriate diagnostic and therapeutic pathways in a timely manner in the event of complications. However, the DPA found that the health authority did not have a valid legal basis to process patients'
EU DisinfoLab: Non-compliance with general data processing principles
€2,800 fine - Belgian Data Protection Authority (APD)
The Belgian DPA has fined the NGO EU DisinfoLab EUR 2,700. In 2018, the NGO published an analysis to identify the possible political origin of tweets circulating on a particularly heated controversy in France, the 'Benalla affair.' For the analysis, the organization had processed the data of 55,000 Twitter accounts, of which more than 3,300 had been classified as political. The raw data obtained from this was then published without taking minimal security precautions, such as pseudonymizing the
Researcher: Non-compliance with general data processing principles
€1,200 fine - Belgian Data Protection Authority (APD)
The Belgian DPA has fined a researcher EUR 1,200. The fine was issued in connection with another fine against the NGO EU DisinfoLab. The researcher was employed at the NGO. In 2018, the NGO published an analysis to identify the possible political origin of tweets circulating on a particularly heated controversy in France, the 'Benalla affair.' For the analysis, the organization had processed the data of 55,000 Twitter accounts, of which more than 3,300 had been classified as political. The raw d
CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.: Insufficient legal basis for data processing
€3,000,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA (AEPD) has imposed a fine of EUR 3,000,000 on CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.. An individual had filed a complaint against the controller. The reason was that Caixabank had requested information about him from a company although, the latter has not been a customer of Caixabank since 2014 and that he was included in an advertising campaign to offer him a pre-grant credit. Caixabank had used individuals' data to assess their creditworthiness without their consent. Thi
Unser Ö-Bonus Club GmbH: Insufficient legal basis for data processing
€500,000 fine - Austrian Data Protection Authority (dsb)
The Austrian DPA has imposed a fine of EUR 2,000,000 on Rewe affiliate Ö-Bonus Club GmbH. When signing up for the customer loyalty program jö Bonus Club, the controller is said to have failed to properly explain that customers' data and shopping behavior are used to create individual profiles, and that the information is also passed on to partner companies. According to the GDPR, the clarification must be easily accessible and in simple language. However, the controller had designed the registra
Taksi Helsinki: Non-compliance with general data processing principles
€72,000 fine - Deputy Data Protection Ombudsman
Among other things, the company had not assessed the risks and consequences of processing personal data before introducing a camera surveillance system that records audio and video in its taxis and had also failed to conduct data protection impact assessments of its processing activities, including the surveillance of security cameras, the processing of location data, automated decision making and profiling as part of its loyalty program. Furthermore, the processing of audio data was not in line
LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing
€70,000 fine - Cypriot Data Protection Commissioner
The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.
LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing
€10,000 fine - Cypriot Data Protection Commissioner
The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.
LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing
€2,000 fine - Cypriot Data Protection Commissioner
The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.
News (30)
View all 30OLG München - 19 U 1468/25 e
Holding === Holding ====== Holding === The court dismissed the data subject’s appeal in full. The court noticed the parties that it intends to dismiss the data subject’s appeal in full. The court could not produce a declaration of illegality of credit scoring based on automated processing. It reasoned that the mere creation of a score does not constitute a legal decision under Article 22. Also, the rejections faced by the data subject were not exclusively, if at all, based on the credit scoring,
OLG Bamberg - 10 U 61/25 e
}}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.A court held that the mere automated creation of a score value by a credit information agency does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision concerning the the data subject. == English Summary ==== English Summary == === Facts ====== Fa
OLG Bamberg - 10 U 61/25 e
Holding }}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR|Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject. == English Summary ==== English Summary == The data subject brought multiple
Europa ondermijnt haar eigen digitale rechten van binnenuit.
De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).
Europe is undermining its own digital rights from within.
The new "Digital Omnibus" from the European Commission is presented as a simple "simplification," but in practice, it undermines important safeguards in the GDPR, the ePrivacy regulations, and the AI Act. It would make access to device data easier, weaken restrictions on automated decision-making, and reduce protection against discriminatory AI. The article "Europe Undermines Its Digital Rights From Within" originally appeared on European Digital Rights (EDRi).
Europe is dismantling its digital rights from within
The European Commission’s new Digital Omnibus is presented as simple “streamlining”, but in practice it dismantles key safeguards in the GDPR, ePrivacy rules and the AI Act. It would make access to device data easier, weaken limits on automated decision-making and lower protections against discriminatory AI. The post Europe is dismantling its digital rights from within appeared first on European Digital Rights (EDRi).
The judge has granted Meta a limited extension in the lawsuit filed by Bits of Freedom.
In early October, the organization Bits of Freedom, which advocates for digital human rights, filed a lawsuit against Meta. The organization demanded that Meta provide its users with the option to choose a news feed in apps like Instagram and Facebook that is not based on profiling. The court ruled in favor of Bits of Freedom and ordered Meta to modify its apps within two weeks. Meta claimed that such changes were not possible within that timeframe and requested a postponement from the Amsterdam Court of Appeal. The court has now issued its ruling.
De rechter heeft Meta een beperkte uitstel toegekend in de rechtszaak die door Bits of Freedom is aangespannen.
In het begin van oktober spande de organisatie Bits of Freedom, die zich inzet voor digitale mensenrechten, een rechtszaak aan tegen Meta. De organisatie eiste dat Meta haar gebruikers de mogelijkheid biedt om in apps zoals Instagram en Facebook een nieuwsfeed te kiezen die niet gebaseerd is op profilering. De rechter sprak in het voordeel van Bits of Freedom en veroordeelde Meta om haar apps binnen twee weken aan te passen. Meta beweerde dat dergelijke wijzigingen binnen die termijn niet mogelijk waren en vroeg het Gerechtshof in Amsterdam om een uitstel. Het hof heeft nu uitspraak gedaan.
Judge grants Meta limited postponement in Bits of Freedom lawsuit
In early October, digital human rights organization Bits of Freedom took Meta to court. The organization demanded that Meta offers its users on in apps such as Instagram and Facebook the option to choose a feed that is not based on profiling. The judge ruled in favour of Bits of Freedom and ordered Meta to modify its apps within two weeks. Meta claimed that such changes were impossible to deliver in that timeframe and asked the Amsterdam Court of Appeal for a postponement. The court has now rule
Verzoek van chauffeurs aan Ola Netherlands BV om toegang tot persoonlijke gegevens en informatie over geautomatiseerde besluitvorming: Het vinden van een balans tussen de bescherming van persoonlijke gegevens en de behoeften van de chauffeurs.
Verzoek van chauffeurs aan Ola Netherlands BV voor toegang tot bepaalde persoonsgegevens die betrekking hebben op hen (waaronder "beoordelingen" gegeven door passagiers), zoals bedoeld in artikel 15 lid 1 AVG, en voor informatie zoals bedoeld in artikel 15 lid 1 onder h AVG (informatie over het bestaan van geautomatiseerde besluitvorming in de zin van artikel 22 AVG). Bescherming van de persoonsgegevens van passagiers. Is...
Drivers' Request for Personal Data Access and Automated Decision-Making Information from Ola Netherlands BV: Balancing Personal Data Protection with the Needs of Drivers
Request by drivers to Ola Netherlands BV for access as referred to in Article 15 (1) AVG to certain personal data concerning them (including "ratings" given by passengers) and for information as referred to in Article 15 (1) (h) AVG (information on the existence of automated decision-making within the meaning of Article 22 AVG). Protection of passengers' personal data. Is...
Uber-chauffeurs vragen toegang tot persoonlijke gegevens en transparantie over geautomatiseerde besluitvorming: een balans tussen privacy en passagiersveiligheid.
Verzoek van Uber-chauffeurs aan Uber voor toegang tot bepaalde persoonsgegevens die betrekking hebben op hen (waaronder "beoordelingen" gegeven door passagiers), zoals bedoeld in artikel 15 lid 1 AVG, en voor informatie zoals bedoeld in artikel 15 lid 1 onder h AVG (informatie over het bestaan van geautomatiseerde besluitvorming in de zin van artikel 22 AVG). Bescherming van de persoonsgegevens van passagiers. Is adapti...
Uber Drivers Request Access to Personal Data and Disclosure of Automated Decision-Making: Balancing Privacy with Passenger Safety
Request from Uber drivers to Uber for access as referred to in Article 15 (1) AVG to certain personal data concerning them (including "ratings" given by passengers) and for information as referred to in Article 15 (1) (h) AVG (information on the existence of automated decision-making within the meaning of Article 22 AVG). Protection of passengers' personal data. Is adapti...
Het Amsterdamse gerecht heeft een verzoek ontvangen met betrekking tot de Algemene Verordening Gegevensbescherming (AVG), waarin informatie wordt gevraagd over het gebruik van geautomatiseerde besluitvorming bij Uber.
Verzoek van Uber-chauffeurs aan Uber om informatie op grond van artikel 15(1)(h) AVG (informatie over het bestaan van geautomatiseerde besluitvorming in de zin van artikel 22 AVG) nadat hun accounts door Uber waren gedeactiveerd; reikwijdte van het recht op informatie op grond van artikel 15(1)(h) AVG. Zijn de beslissingen tot deactivatie uitsluitend gebaseerd op geautomatiseerde verwerking...?
Court of Amsterdam on GDPR request on information about the existence of automated decision-making at Uber
Request from Uber drivers to Uber for information under Article 15(1)(h) AVG (information about the existence of automated decision-making within the meaning of Article 22 AVG) after their accounts were deactivated by Uber; scope of information right under Article 15(1)(h) AVG. Are the deactivation decisions based solely on automated ver...
Directly Discriminatory Algorithms
There is a broad consensus that algorithmic systems should be approached principally through the lens of indirect discrimination and their impact, but researchers argue that this approach is both normatively undesirable and legally flawed. In some cases, algorithmic bias may constitute direct discrimination, and the law should be better equipped to deal with this. > Empirical evidence of bias in automated decision-making will require us to revisit many of the fundamental challenges to the conce
Direct discriminerende algoritmen.
Er is een brede consensus dat algoritmesystemen voornamelijk benaderd moeten worden vanuit het perspectief van indirecte discriminatie en hun impact, maar onderzoekers stellen dat deze aanpak zowel normatief onwenselijk is als juridisch onjuist. In sommige gevallen kan algoritmevooroordeel directe discriminatie vormen, en de wetgeving zou beter in staat moeten zijn om dit aan te pakken. > Empirisch bewijs van vooroordeel in geautomatiseerde besluitvorming zal ons dwingen om veel van de fundamentele uitdagingen met betrekking tot het concept opnieuw te evalueren.
Garante investigates use of cookie walls
> The Garante notes that the European legislation on the protection of personal data does not in principle preclude the owner of a site from making access to content by users subject to their consent for profiling purposes (through cookies or other tracking tools) or, alternatively, to the payment of a sum of money. This is in reference to the initiatives taken in recent days by several online newspapers, websites and companies operating on the Internet.
Garante onderzoekt het gebruik van "cookie walls".
De Garante (de Italiaanse Autoriteit voor de bescherming van persoonsgegevens) merkt op dat de Europese wetgeving inzake de bescherming van persoonsgegevens in principe niet verhindert dat de eigenaar van een website de toegang tot content voor gebruikers afhankelijk maakt van hun toestemming voor het verzamelen van gegevens voor profilering (via cookies of andere trackingtools), of, als alternatief, van het betalen van een bedrag. Dit verwijst naar de initiatieven die de afgelopen dagen zijn genomen door verschillende online kranten, websites en bedrijven die actief zijn op internet.
Greek SA fines Clearview AI for EUR 20M
A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings