Legitimate Interest

Recital 107

Recital 121

Recital 121

Recital 97

Recital 26

Recital 31

Recital 36

Recital 41

Recital 47

Recital 52

Recital 63

Recital 91

Recital 111

Recital 47

Recital 48

Recital 88

Recital 49

Recital 47

Recital 48

Recital 49

Deurbelcamera die gemeenschappelijke ruimte registreert of die van appartementeigenaren filmt moet weg.

Rechtbank

De zaak gaat over een geschil tussen een VvE en een lid van de VvE over de nakoming van bepalingen uit onder andere het modelreglement en de vraag of de VvE rechtsgeldig boetes voor de overtredingen heeft opgelegd. Alleen voor de hondenkar in de gemeenschappelijke ruimte en de cameradeurbel is vastgesteld dat dit overtredingen zijn die nog steeds voortduren. De gevorderde boete wordt afgewezen, omdat uit de waarschuwingsbrief niet kan worden afgeleid voor welke overtreding een boete zal worden opgelegd bij voortduring daarvan en hoe hoog de boete is.

Wat valt onder de geheimhoudingsverplichting van advocaten (en/of notaris) en hoe ver strekt de exhibitievordering?

Gerechtshof

Deurwaardersrenvooi artikel 438 lid 5 Rv; hoger beroep van ECLI:NL:RBAMS:2025:4579; Uitleg exhibitieveroordeling 17 december 2024, gerechtshof Amsterdam (ECLI:NL:GHAMS:2024:3472); inzage door beslaglegger in bescheiden die onder bewijsbeslag liggen. Geen inzage in gegevens die vallen onder de geheimhouding van advocaten, of voor zover van toepassing, een betrokken notaris. Exhibitieveroordeling strekt zich niet uit tot communicatie met - niet in de procedure betrokken - derden.

Uitleg HvJ EU over 'gerechtvaardigd belang' toegepast bij exceptieve toetsing aan evenredigheidsbeginsel in belastingzaak

CJEU

Is het percentage van belastingrente voor de vennootschapsbelasting bepaald in art. 1(b) Bbi in strijd met het evenredigheidsbeginsel?

Inzage in patiëntendossier van zoon aan vader na overlijden van kind.

Rechtbank

Zonder toestemming van de patiënt mag een ziekhuis aan een externe deskundige geen toegang geven tot een patiëntendossier. Bepalend voor de beantwoording van de vraag of bepaalde gegevens of stukken tot het medische dossier behoren is de aard van de gegevens, in het bijzonder of de gegevens de goede hulpverlening dienen. Daarbij geldt dat de dossierplicht van art. 7:454 lid 1 BW niet meebrengt dat dezelfde gegevens meerdere malen in het medisch dossier moeten worden opgenomen. Vanwege de ‘veilig melden’-regeling van art. 9 lid 6 Wkkgz maakt een calamiteitenrapport geen deel uit van het patiëntendossier. Een DIM-melding behoort wel tot het medisch dossier, voor zover het betreft de aantekeningen over de aard en toedracht van het gemelde incident, het tijdstip waarop het incident heeft plaatsgevonden en de namen van de betrokkenen bij het incident. Omdat de patiënt aan zijn vader toestemming heeft gegeven om zijn medisch dossier in te zien en daarvan een afschrift te ontvangen kan de vader ingevolge het bepaalde in art. 7:458a lid 1 aanhef en onder a BW pro se tegenover het ziekenhuis aanspraak maken op inzage in en afschrift van gegevens uit dat dossier. Uit dat recht volgt niet dat het ziekenhuis aan een partijdeskundige van de vader toegang moet verlenen tot het elektronisch systeem van het ziekenhuis.

Weigering openbaar maken documenten met medische gegevens collega ambtenaar gerechtvaardigd

Dutch Courts

Verzoek om inzage in documenten die ten grondslag liggen aan het voornemen tot ontslag afgewezen. Het Gerecht vernietigt deze afwijzing, omdat de Regering onvoldoende heeft gemotiveerd waarom klaagster geen inzage kan krijgen in (een deel van) de gevraagde stukken.

Handhavingsverzoek AP in zaak omtrent plaatsing cv-ketel terecht afgwezen. Interne registratie pgg is op basis van gerechtvaardigd belang.

Rechtbank

Persoonsgegevens zijn niet in strijd met de AVG verwerkt.

Bescherming van het politieonderzoek weegt in dit geval zwaarder dan inzage betrokkene.

Raad van State

Bij besluit van 5 oktober 2021 heeft de korpschef van politie (hierna: de korpschef) het verzoek van [appellant] om inzage in zijn politiegegevens gedeeltelijk afgewezen. [appellant] heeft op 17 juni 2021 verzocht om inzage in processen-verbaal die zijn opgemaakt over zijn reizen naar Noorwegen en de tussenliggende periode en de periode erna vanaf 2018. Hij verzoekt met name om inzage in gegevens zoals die zijn opgenomen in twee pv’s die hij zelf heeft bijgevoegd bij zijn verzoek. Deze pv’s heeft hij al kunnen inzien omdat die zijn verstrekt door de IND in een procedure over de intrekking van zijn Nederlanderschap. Daarin stond [appellant] aangemerkt als CTER-subject en zijn andere CTER-subjecten met naam en toenaam genoemd. De korpschef heeft het verzoek gedeeltelijk afgewezen omdat inzage in deze gegevens nadelige gevolgen kan hebben voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten.

Voorzieningenrechter gelast ongedaan maken van EVR registratie

Rechtbank

Verzekeringsrecht. Kort geding. Het is niet voldoende vast komen te staan dat er met opzet een onjuiste voorstelling van zaken is gegeven om de verzekeraar te misleiden. De verzekeraar moet daarom de registraties van de persoonsgegevens van eiser in (o.m.) het IVR en EVR ongedaan maken.

Verstrekking identificerende gegevens van klant van Bunq moeten verstrekt worden. Art. 6:162 BW als oplossing voor doelbindingsprobleem.

Rechtbank

Bunq wordt verplicht mee te werken aan verstrekken identificerende gegevens klant om een derde de mogelijkheid te bieden de executoriale titel van deze een derde ten uitvoer te kunnen leggen d.m.v. beslaglegging waarvoor de verstrekking van een kopie van de gevorderde persoonsgegevens kennelijk v...

ECLI:NL:RVS:2025:3976 Raad van State , 20-08-2025 / 202406132/1/A3

Raad van State

Bij besluit van 5 oktober 2021 heeft de korpschef van politie (hierna: de korpschef) het verzoek van [appellant] om inzage in zijn politiegegevens gedeeltelijk afgewezen. [appellant] heeft op 17 juni 2021 verzocht om inzage in processen-verbaal die zijn opgemaakt over zijn reizen naar Noorwegen en de tussenliggende periode en de periode erna vanaf 2018. Hij verzoekt met name om inzage in gegevens zoals die zijn opgenomen in twee pv’s die hij zelf heeft bijgevoegd bij zijn verzoek. Deze pv’s heeft hij al kunnen inzien omdat die zijn verstrekt door de IND in een procedure over de intrekking van zijn Nederlanderschap. Daarin stond [appellant] aangemerkt als CTER-subject en zijn andere CTER-subjecten met naam en toenaam genoemd. De korpschef heeft het verzoek gedeeltelijk afgewezen omdat inzage in deze gegevens nadelige gevolgen kan hebben voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten.

"De commissie ziet geen grond om te oordelen dat de bank door het verstrekken van het financieel jaaroverzicht in strijd heeft gehandeld met de AVG. De bank mocht in de gegeven omstandigheden het volledige financiële jaaroverzicht verstrekken, omdat da...

Kifid

Uitspraak Geschillencommissie Kifid nr. 2025-0462 "De commissie ziet geen grond om te oordelen dat de bank door het verstrekken van het financieel jaaroverzicht in strijd heeft gehandeld met de AVG. De bank mocht in de gegeven omstandigheden het volledige financiële jaaroverzicht verstrekken, omd...

AVG-verzoek. Het college heeft nu inzichtelijk gemaakt hoe de zoekslag naar eisers persoonsgegevens is gedaan en welke...

Rechtbank

AVG-verzoek. Het college heeft nu inzichtelijk gemaakt hoe de zoekslag naar eisers persoonsgegevens is gedaan en welke gegevens daarbij zijn aangetroffen. Eiser is met het besluit in staat gesteld om kennis te nemen van zijn gegevens en deze te controleren. Het beroep is ongegrond.

IVR mag gehandhaafd blijven, ook voor deze duur.

Rechtbank

Beëindiging bancaire relatie, opeising hypothecaire lening, registratie IVR, vervalste gegevens verstrekt bij hypotheekaanvraag en andere hypothecaire lening voor tweede woning niet gemeld. Bank geen zorgplicht geschonden, bancaire relatie mocht beëindigd worden, IVR registratie hoeft niet ongedaan gemaakt te worden en de duur hoeft niet verkort te worden.

IVR registratie mag blijven bestaan

Rechtbank

Opzegging bankrelatie vanwege onvoldoende meewerken aan klantonderzoek

Afhandeling klacht AP.

Rechtbank

Eisers hebben een klacht ingediend bij de Autoriteit Persoonsgegevens (AP) vanwege het overleggen van medische en financiële persoonsgegevens door derde-belanghebbenden in een civiele procedure. Zij waren van mening dat deze gegevens niet noodzakelijk waren voor de rechtsvordering. De AP besloot ...

Burenruzie. Camera’s moeten worden verdraaid of de instellingen daarvan gewijzigd, bijv door te voorzien van een privacymask. Ze hoeven niet weg

Rechtbank

De kern van dit burengeschil betreft de vraag waar de erfgrens precies ligt en of partij A door (bevrijdende) verjaring eigenaar zijn geworden van een of meerdere stroken grond. Naar het oordeel van de rechtbank slaagt het beroep op verjaring gedeeltelijk, namelijk voor een strook grond die op de achterzijde van de percelen van partijen ligt. Voor het overige geeft de kadastrale erfgrens de juridische eigendomsgrens aan. De vordering van partij A tot verwijdering van een dakopbouw op het perceel van partij B wordt afgewezen omdat partij A hun stellingen onvoldoende concreet hebben onderbouwd. Ook de vordering tot – kortgezegd – uitoefening van het ladderrecht door partij A wordt afgewezen. De vordering van partij A tot verwijdering van camera’s die door partij B zijn opgehangen zal evenmin (geheel) worden toegewezen. Als het mindere daarvan zal de rechtbank toewijzen dat partij B hun camera’s zodanig moeten plaatsen/verdraaien dan wel de instellingen daarvan moeten wijzigen dat het perceel en de woning van partij A niet meer zichtbaar zullen zijn. De vorderingen van partij B die zijn gebaseerd op (dreigend) onrechtmatig handelen van partij A 1 en/of partij A zullen gedeeltelijk worden toegewezen. partij A 1 heeft het perceel van partij B herhaaldelijk betreden en daarbij heeft hij onrechtmatig gehandeld. Het door partij B gevorderde contactverbod zal worden afgewezen omdat onvoldoende feiten en omstandigheden zijn gesteld om zo’n vergaande maatregel te rechtvaardigen.

Verzoek verwijderen coderingen BKR afgewezen.

Rechtbank

Verzoek verwijderen coderingen BKR afgewezen. BKR registratie rechtmatig. Belangenafweging. Er is (nog) geen sprake van een stabiele financiële situatie.

In de CAO Primair Onderwijs is opgenomen dat schoolleiders zich moeten registreren in het Schoolleidersregister PO.

Hoge Raad

In de CAO Primair Onderwijs is opgenomen dat schoolleiders zich moeten registreren in het Schoolleidersregister PO. Verzoekster, een geregistreerde schoolleider, heeft herhaaldelijk gevraagd om haar registratie te beëindigen omdat zij van mening is dat zij zelf met haar werkgever zorgt voor haar ...

Burengeschil, diverse geschilpunten, camera's, bomen bij de erfgrens, geen procedeerverbod, geen volledige...

Rechtbank

Burengeschil, diverse geschilpunten, camera's, bomen bij de erfgrens, geen procedeerverbod, geen volledige proceskostenveroordeling.

Artikel

Rechtbank

Kort geding; geschil op een recreatiepark, oa over wijziging van de werking van een slagboom;huiseigenaren komen op tegen nieuw systeem op basis van automatische nummerherkenning en vorderen mogelijkheid om online kentekens te wijzigen;afwijzing omdat gestelde belangen van huiseigenaren niet opwegen tegen belangen van parkbeheerder;inbreuk op eigendomsrecht niet aannemelijk;

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Version history

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Guidelines 03/2021 on the application of Article 65(1)(a) GDPR

Guidelines on the application of Article 60 GDPR

Versiegeschiedenis

guidelines uitvoeren overeenkomst

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Guidelines on derogations of Article 49

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

Guidelines on technical scope of art. 5(3) of ePrivacy Directive

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)

Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

Debt collection company: Insufficient legal basis for data processing

€5,470,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed of fine of EUR 5,470,000 to a debt collection company. The investigation was triggered by an anonymous complaint stating that controller unlawfully processed personal data, with USB stick attached to the complaint containing personal data of 181,641 individuals. As a controller, the debt-collection company unlawfully processed sensitive data (health related) of their debtors, as well as the data of individuals who are not in a debtor-creditor relationship, mos

KG COM: Non-compliance with general data processing principles

€150,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 150,000 on the company KG COM. The company operates several websites and offers fortune-telling consultations to customers via chat or telephone. After the company suffered a data breach, the DPA conducted three investigations. During its investigation, the DPA found that the controller systematically recorded conversations with customers as well as potential customers without properly justifying why such extensive recording was necessary. In addition, th

School: Non-compliance with general data processing principles

€15,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has fined a school EUR 15,000. The school had installed several video surveillance cameras on the building, which permanently recorded students, teachers and visitors. During its investigation, the DPA found that the school did not have a sufficient legal basis for the video surveillance. In view of the extensive video surveillance and the resulting restriction of the personal rights of the data subjects, the school could not rely on a legitimate interest (protection of property

Workshop: Non-compliance with general data processing principles

€1,300 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

The Hungarian DPA has imposed a fine of EUR 1,300 on a workshop. The workshop had installed a video surveillance system to protect the company's assets. However, the cameras also captured parts of the employee's work area. The DPA found that the recording of the employees was not necessary to ensure the purposes associated with the video surveillance and was therefore disproportionate. The DPA also found that the workshop had not sufficiently complied with its information obligations under Art.

Budapest Bank Zrt.: Insufficient legal basis for data processing

€634,000 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

The Hungarian DPA (NAIH) has fined Budapest Bank Zrt. EUR 634,000. NAIH reports that the bank used an artificial intelligence-driven software solution to automate the evaluation of customers' emotional state. The speech evaluation system determined which customers needed to be recalled based on the customer's mood. The bank operated the application to prevent complaints and to keep customers. The bank did not inform the data subjects, that the processing of their data serves, among other things,

Private individual: Insufficient legal basis for data processing

€6,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 6,000 on a private individual. The person had shared a video on Twitter showing images of a sexual assault by a man on a woman. The purpose of sharing the video was to draw attention to domestic violence against women. The DPA considers the sharing to be unlawful. Even though the person may have had a legitimate interest in sharing the video, the victim's right to privacy prevails.

Fincas Miguel García S.L.: Insufficient fulfilment of information obligations

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) has fined Fincas Miguel García S.L. in the amount of EUR 2,000. A data subject had filed a complaint against the controller, alleging a breach of Art. 13 GDPR. The DPA found that the information provided to the data subject by the controller did not comply with the provisions of Art. 13 GDPR, as essential aspects were missing, such as information on the purposes of the processing for which the personal data collected are intended and its legal basis, as well as information

Nordbornholms Byggeforretning Aps: Insufficient legal basis for data processing

€53,800 fine - Danish Data Protection Authority (Datatilsynet)

The Danish DPA ( Datatilsynet) has imposed a fine of EUR 53,800 on Nordbornholms Byggeforretning Aps. In 2018, the DPA was contacted by a data subject who complained that his former employer Nordbornholms Byggeforretning ApS, had disclosed information about him to the company's customers. The controller had emailed two of the company's customers informing them that the former employee had committed crimes in the course of employment and had admitted to committing them, as well as describing in d

Huppuís ehf: Non-compliance with general data processing principles

€34,000 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA (Persónuvernd) has imposed a fine of EUR 34,000 on Huppuís ehf. A former employee filed a complaint against the controller with the DPA. The reason for this was the camera surveillance installed by the controller. During their shifts, the controller's employees wore clothing provided by the controller.However, the designated changing room of the store was a storage room in which large quantities of cleaning materials were stored. Due to a lack of sufficient space in this room,

Equifax Iberica S.L.: Insufficient legal basis for data processing

€50,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) fined Equifax Iberica S.L. EUR 50,000 for a violation of Art. 6 (1) f) GDPR. The controller had added the data subject to a debtor register without informing her beforehand. The data subject had outstanding payments of rent with her landlord, who had previously sent her corresponding requests for payment. The controller itself had also sent notices to the data subject requesting her to pay the debts. These, however, did not contain any information that the data subject wou

Caixabank S.A.: Insufficient legal basis for data processing

€2,000,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) fined Caixabank S.A. EUR 6,000,000 for violations of Art. 6 GDPR, Art. 13 GDPR and Art. 14 GDPR. Customers of the bank were supposed to accept new privacy policies allowing the controller to transfer the customers' personal data to all companies within the CaixaBank Group. At the same time, the data subjects were not given the option of specifically not consenting to this transfer. Instead, if they wished to disagree with the transfer of their data, they were required to s

Uppsalahem AB: Insufficient legal basis for data processing

€29,500 fine - Data Protection Authority of Sweden (Integritetsskyddsmyndigheten)

The Swedish DPA (Integritetsskyddsmyndigheten) fined the housing company Uppsalahem AB SEK 300,000 (EUR 29,500). The housing company had installed surveillance cameras in an apartment building to monitor one floor after disturbances and security incidents occurred. The cameras not only monitored the staircase, but also the front door of a resident. Therefore, when the door was opened, the inside of the apartment was also captured by the video surveillance. While the company may have had a legiti

Non-profit organisation: Insufficient fulfilment of data subjects rights

€1,000 fine - Belgian Data Protection Authority (APD)

The Belgian data protection authority has imposed a fine of EUR 1000 on a non-profit organisation for sending out direct marketing messages, despite the fact that data subjects had exercised their right to erasure and objection. The organisation claimed that it was relying on legitimate interests as a legal basis and not on the explicit consent of the data subjects. The data protection authority, however, denied the existence of any outweighing of legitimate interests.

Vodafone España, S.A.U.: Insufficient legal basis for data processing

€60,000 fine - Spanish Data Protection Authority (aepd)

According to the AEPD, the data subject has received several SMS from a separate operator indicating the activation of a new contract. The reason for this was that an employee of Vodafone España activated a contract with a third operator on behalf of the data subject. Vodafone could not demonstrate consent or sufficient legitimate interests for this processing of personal data.

Vodafone España, S.A.U.: Insufficient legal basis for data processing

€40,000 fine - Spanish Data Protection Authority (aepd)

According to the AEPD, the company sent an SMS to an clients mobile number confirming that a telephone contract with that number had been signed even though the client was not a Vodafone client, resulting in the processing of personal data without the data subjects consent or other legitimate interests of the company.

Vodafone España, S.A.U.: Insufficient legal basis for data processing

€24,000 fine - Spanish Data Protection Authority (aepd)

According to the AEPD, the company sent two SMS to an clients mobile number informing about a rate change in its contract and confirming the purchase of a new mobile phone, resulting in the processing of personal data without the data subjects consent or other legitimate interests of the company.

Royal Dutch Tennis Association ('KNLTB'): Insufficient legal basis for data processing

€525,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch Data Protection Authority has fined the Royal Dutch Tennis Association ('KNLTB') with EUR 525,000 for selling the personal data of more than 350,000 of its members to sponsors who had contacted some of the members by mail and telephone for direct marketing purposes. It was found that the KNLTB sold personal data such as name, gender and address to third parties without obtaining the consent of the data subjects. The data protection authority also rejected the existence of a legitimate

Unknown Company: Non-compliance with general data processing principles

€2,860 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

An employee was on sick leave when his employer checked his desktop, laptop and emails to ensure that his work-related duties were being covered in his absence. The employer then suspended his account. The employee did not receive pre-notification and did not have the chance to copy / delete his private information (telephone numbers, messages). According to NAIH, employers must record the access with minutes and photos. Employment agreements must regulate whether employees can use work equipmen

Town of Kerepes: Insufficient legal basis for data processing

€15,100 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)

The city based its video surveillance practice on its legitimate interests (Art. 6 (1) f GDPR). However, accordingt to Art. 6 (1) subparagraph 2 this legal basis shall not apply to processing carried out by public authorities in the performance of their tasks. The processing could not be based on another legal basis.

PWC Business Solutions: Insufficient legal basis for data processing

€150,000 fine - Hellenic Data Protection Authority (HDPA)

The processing of employee personal data was based on consent. The HDPA found that consent as legal basis was inappropriate, as the processing of personal data was intended to carry out acts directly linked to the performance of employment contracts, compliance with a legal obligation to which the controller is subject and the smooth and effective operation of the company, as its legitimate interest. In addition, the company gave employees the false impression that it was processing their person

Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027

Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027, which is grounded in the four pillars of the EDPB strategy 2024-2027. The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation. Easing compliance is at the top of

CE - 492830

}}}} The Supreme Administrative Court lowered the fine issued by the DPA to Amazon France Logistique from €32 million to €15 million by finding that Amazon had a legitimate interest in processing three employee performance-related indicators.The Supreme Administrative Court lowered the fine issued by the DPA to Amazon France Logistique from €32 million to €15 million by finding that Amazon had a legitimate interest in processing three employee performance-related indicators necessary for the man

CE - 492830

The Supreme Court has reduced the fine imposed on Amazon France Logistique by the Data Protection Authority from 32 million euros to 15 million euros. The court ruled that Amazon had a legitimate interest in processing three indicators related to employee performance. The Supreme Court reduced the fine that the Data Protection Authority had imposed on Amazon France Logistique from 32 million euros to 15 million euros, because it found that Amazon had a legitimate interest in processing three indicators related to employee performance, which were necessary for personnel management.

CE - 492830

}}}} Het Hooggerechtshof heeft de boete die de Autoriteit Persoonsgegevens aan Amazon France Logistique had opgelegd, verlaagd van 32 miljoen euro naar 15 miljoen euro. Het hof oordeelde dat Amazon een gerechtvaardigd belang had bij het verwerken van drie indicatoren met betrekking tot de prestaties van werknemers. Het Hooggerechtshof heeft de boete die de Autoriteit Persoonsgegevens aan Amazon France Logistique had opgelegd, verlaagd van 32 miljoen euro naar 15 miljoen euro, omdat het oordeelde dat Amazon een gerechtvaardigd belang had bij het verwerken van drie indicatoren met betrekking tot de prestaties van werknemers, die noodzakelijk waren voor het personeelsmanagement.

BGH - I ZR 97/25

Feiten: Het gerecht heeft beslist dat de bewaartermijn voor gegevens over afgewerkte betalingsachterstanden door private kredietinstanties niet automatisch wordt beperkt door regels voor het verwijderen van gegevens uit debiteurenregisters, en dat gedragscodes op basis van de AVG (Algemene Verordening Gegevensbescherming) kunnen dienen als richtlijn bij het afwegen van belangen in overeenstemming met artikel 6(1)(f) van de AVG. Het Federale Hof van Justitie heeft vastgesteld dat de maximale bewaartermijn voor gegevens over een reeds afgewerkte betalingsachterstand door een kredietinformatiebureau niet wordt beperkt door nationale regels voor het verwijderen van gegevens uit een openbaar debiteurenregister.

BGH - I ZR 97/25 (This appears to be a legal citation and doesn't require translation.)

Facts: The court has ruled that the data retention period for information regarding completed payment defaults by private credit agencies is not automatically limited by rules for deleting data from debtor registers, and that codes of conduct based on the GDPR (General Data Protection Regulation) can serve as a guideline when balancing interests in accordance with Article 6(1)(f) of the GDPR. The Federal Court of Justice has determined that the maximum retention period for data relating to a payment default that has already been resolved by a credit information agency is not limited by national rules for deleting data from a public debtor register.

USR - Reference number I-755/2025-8

Facts. Finally, the court reiterated that consent was not required, because Article 6 of the GDPR provides alternative, legal grounds for data processing. Since the requirements of Article 6(1)(f) were met, the absence of consent was irrelevant. The court ruled that AZOP had correctly applied the law and that the infringement on the individual's privacy was proportionate, and therefore upheld the decision. The court dismissed the individual's claim and the associated costs. Finally, the court reiterated that consent was not required, because Article 6 of the GDPR...

USR - Referentienummer I-755/2025-8

Feiten. Ten slotte herhaalde het hof dat toestemming niet vereist was, omdat artikel 6 van de AVG alternatieve, wettelijke gronden biedt voor de verwerking van gegevens. Aangezien aan artikel 6(1)(f) was voldaan, was het ontbreken van toestemming irrelevant. Het hof oordeelde dat AZOP de wet correct had toegepast en dat de inbreuk op de privacy van de betrokkene evenredig was, en bevestigde daarom de beslissing. Het hof wees de vordering van de betrokkene en de bijbehorende kosten af. Ten slotte herhaalde het hof dat toestemming niet vereist was, omdat artikel 6 van de AVG...

USR - Us I-755/2025-8

Facts Finally, the court reiterated that consent was not required because Article 6 GDPR offers alternative lawful bases for processing. Since Article 6(1)(f) was satisfied, the absence of consent was irrelevant. Concluding that AZOP had properly applied the law and that the interference with the data subject’s privacy was proportionate, the court upheld the decision and denied the data subject’s claim and costs.Finally, the court reiterated that consent was not required because Article 6 GDPR o

BGH - I ZR 97/25

Facts }}}} The Court ruled that the storage period for settled payment default data by private credit agencies is not automatically limited by debtor register deletion rules, and that GDPR codes of conduct may guide the balancing of interests under [[Article 6 GDPR#1f|Article 6(1)(f) GDPR]].The Federal Court of Justice held that a credit information agency's maximum storage period for data about an already settled payment default is not limited by national deletion rules for a public debtor

No bullsh*t opt-out: free noyb tool for quick and broad Facebook objections!

> No bullsh*t opt-out: free noyb tool for quick and broad Facebook objections! Use the noyb tool to opt out of targeted advertising and various other claimed 'legitimate interestes' by Meta in a simple and legally sound way.

Court rules on Experian appeal of ICO enforcement notice

> The First-Tier Tribunal overturned portions of a 2020 enforcement notice by the U.K. Information Commissioner's Office against Experian, confirming the company's reliance on legitimate interests as a legal basis for processing credit reference agency information for direct marketing purposes. Deputy Commissioner Stephen Bonner, CIPP/E, CIPM, said marketing processes "must happen in line with the law and in an open and honest way" and the ICO noted it will consider an app

De juridische gevolgen van het gebruik van ongeautoriseerde portretten zonder toestemming: een casusstudie.

21 Aw: Het portret, dat niet in opdracht is gemaakt, wordt gebruikt. Is de publicatie van het portret niet toegestaan omdat een gerechtvaardigd belang van de afgebeelde persoon daartegenin gaat? Er is geen toestemming verleend door de afgebeelde persoon. De belangenafweging is nadelig voor de afgebeelde persoon, aangezien hij zelf ook foto's heeft gepubliceerd waarvan hij op zijn Facebookpagina het verwijderen eist.

An analysis of Dutch case law: what factors play a role in awarding (or not) and determining the extent of damages under the GDPR?

Since May 2018, the GDPR has been directly applicable in the European Economic Area, including the member states of the European Union, Liechtenstein, Norway, and Iceland. Four years later, awarding damages for GDPR violations is still not a common practice in the Netherlands, despite the fact that news reports regularly mention data breaches and other GDPR violations. This article analyzes Dutch case law over the past four years to see what factors may influence the awarding of damages under th

De toezichthouder van Nedersaksen heeft een bank een boete van 900.000 euro opgelegd voor het opstellen van klantprofielen, waarbij gebruik werd gemaakt van gegevens van derden voor reclamedoeleinden, op basis van gerechtvaardigde belangen.

De gegevensbeschermingsautoriteit (DPA) van Nedersaksen heeft een bank een boete van 900.000 euro opgelegd voor het aanmaken van klantprofielen, aangevuld met gegevens van derden, voor reclamedoeleinden, zonder toestemming. De DPA oordeelde dat dergelijke gegevensverwerking niet mag worden gebaseerd op een gerechtvaardigd belang.

The SA of Lower Saxony fined a bank EUR 900k for profiling enriched with third-party data for advertising purposes based on legitimate interests

> The DPA [SA] of Lower Saxony fined a bank €900,000 for creating customer profiles, enriched with third-party data, for advertising purposes, without consent. The DPA held that such processing cannot be based upon legitimate interest

The Belgian SA held that a controller can rely on legitimate interest for direct marketing to former customers if the relationship ended 'not that long ago'

>The Belgian DPA (SA) held that a controller can rely on legitimate interest as a legal basis to send former customers direct marketing if the relationship ended 'not that long ago' and the data subject did not object to this processing.

De Belgische autoriteit heeft geoordeeld dat een verantwoordelijke partij zich kan beroepen op een gerechtvaardigd belang voor direct marketing aan voormalige klanten, mits de relatie "niet al te lang geleden" is beëindigd.

De Belgische beschermingsautoriteit (SA) heeft geoordeeld dat een verantwoordelijke partij zich kan beroepen op een gerechtvaardigd belang als juridische basis om voormalige klanten direct marketing te sturen, mits de relatie "niet zo lang geleden" is beëindigd en de betrokkene geen bezwaar heeft gemaakt tegen deze verwerking.

Recordboete voor Instagram na ingrijpen van de EDPB.

Na de bindende beslissing van het Europees Comité voor de Bescherming van Persoonsgegevens (EDPB) van 28 juli, heeft de Ierse Autoriteit voor de Bescherming van Persoonsgegevens (DPA) haar beslissing met betrekking tot Instagram (Meta Platforms Ireland Limited, ook bekend als Meta IE) aangenomen en een recordboete van 405 miljoen euro opgelegd op grond van de AVG.

Record fine for Instagram following EDPB intervention

> Following the EDPB’s binding dispute resolution decision of July 28th, the Irish Data Protection Authority (DPA) has adopted its decision regarding Instagram (Meta Platforms Ireland Limited (Meta IE)) and has issued a record GDPR fine of €405 million.