Identification

Recital 39

Recital 3

Recital 14

Recital 15

Recital 17

Recital 32

Recital 33

Article 35

Identificatienummers en lijsten van aangemelde instanties

Recital 95

Recital 94

Recital 73

Recital 54

Recital 52

Recital 39

Recital 38

Recital 36

Recital 35

Recital 34

Recital 33

Recital 32

ECLI:NL:RBDHA:2026:3093 Rechtbank Den Haag , 17-02-2026 / AWB 24/12193

Rechtbank Den Haag

Overplaatsing COA opvang voor meerderjarigen, uitgaan leeftijdsregistratie minister, ongegrond.

ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25

Rechtbank Amsterdam

Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.

ECLI:NL:RBAMS:2026:1329 Rechtbank Amsterdam , 29-01-2026 / 1330184325

Rechtbank Amsterdam

executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden, artikel 12 OLW: OP aanwezig, artikel 7 OLW: lijstfeitverweer

Gerechtshof Arnhem-Leeuwarden

Gerechtshof Arnhem-Leeuwarden

Soevereinen, verzoek anoniem procederen inspecteur, 8:29 Awb

Vrijspraak Misbruik identificerende persoonsgegevens

Rechtbank

Vrijspraak voor bankhelpdeskfraude, computervredebreuk, diefstal valse sleutel en misbruik persoonsgegevens. Bewezenverklaring van opzetheling van een bankpas en een simkaart. Redelijke termijn overschreden met ruim 3 jaar. Taakstaf van 30 uur. Benadeelde partijen niet-ontvankelijk.

Encrochat-gegevens

Gerechtshof

Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.

Gemachtigde advocaat mag Woo-verzoek doen. Geen reden voor nadere identificatie

Rechtbank

De rechtbank komt in deze uitspraak tot de conclusie dat het bezwaar tegen de waarschuwing terecht niet-ontvankelijk is verklaard, omdat de waarschuwing geen besluit is en daarmee ook niet gelijk te stellen is. Wel had het college in de bezwaarprocedure inzage moeten geven in de op de zaak betrekking hebbende stukken. Dit levert een gebrek op, dat leidt tot vernietiging van besluitonderdeel I. Omdat de niet-ontvankelijkverklaring van het bezwaar klopt, laat de rechtbank de rechtsgevolgen van dat besluitonderdeel in stand. Dat betekent dat er niet alsnog een inhoudelijke bezwaarprocedure hoeft te worden gevolgd en dus niet alsnog inzage in de op de zaak betrekking hebbende stuken hoeft te worden gegeven. De rechtbank komt verder in deze uitspraak tot de conclusie dat het Woo-verzoek niet buiten behandeling had mogen worden gesteld. Het bezwaar is op dit punt ten onrechte ongegrond verklaard en dat leidt tot vernietiging van besluitonderdeel II.

Beroep op uitzondering bijzondere pgg, nationale identificatienummer, en eerbiediging persoonlijke levenssfeer in Woo-verzoek slaagt niet.

Rechtbank

r.o. 6.2. “Naar het oordeel van de rechtbank bevatten de openbaar te maken documenten geen bijzondere persoonsgegevens.” Uitzondering nationale identificatienummers ex art 46 UAVG jo 5.1(1)(e) Woo niet van toepassing. “De nummers die volgens eisers niet openbaar mogen worden gemaakt, zien op het ...

Klacht over verwerking persoonsgegevens via gepubliceerd nieuwsbericht over een vonnis waarin de persoonsgegevens van...

Hoge Raad

Klacht over verwerking persoonsgegevens via gepubliceerd nieuwsbericht over een vonnis waarin de persoonsgegevens van verzoekster en haar jongste dochter in het nieuwsbericht zijn verwerkt. “De klacht van verzoekster over het nieuwsbericht bestaat uit twee onderdelen. Het eerste onderdeel klaagt ...

XH v European Commission

CJEU

Gaat om een beroep van T-613/21. In beroep wordt gesteld dat het Gerecht de professionele context als reden zag om de gegevens niet als persoonsgegevens te zien, maar dit is niet juist volgens het HvJ EU. Het feit dat het hier om informatie verwerkt in een werkgerelateerde context is niet een doo...

Uitzondering openbare orde bij inzageverzoek incidentenrapport n.a.v. parachutsprong ongeluk

Rechtbank

Heeft verzoeker recht op inzage in incidentenrapport op grond van de artikel 15 AVG naar aanleiding van ongeval bij parachutespringen?

Veroordeling voor doxing

Rechtbank

Veroordeling voor bedreiging en doxing (artikel 285d Sr) tot een taakstraf voor de duur van 80 uren, waarvan 40 uren voorwaardelijk. Vrijspraak van bedreiging.

Gerechtshof Amsterdam

Gerechtshof Amsterdam

Kort geding vanwege opzegging van bankrekening naar aanleiding van de ontvangst van fraudegelden op die rekening. Rekeninghouder heeft vervolgens in strijd met de waarheid over die transacties verklaard en ook anderszins geen opheldering verschaft over de herkomst en bestemming van de ontvangen gelden. Opname in het interne en het externe verwijzingsregister naar aanleiding van deze gang van zaken. Vordering tot herstel van bankrelatie en tot verwijdering uit het interne en het externe verwijzingsregister en (voorschot op) schadevergoeding door voorzieningenrechter afgewezen. Het hof bekrachtigt het vonnis van de voorzieningenrechter en wijst voorts de in hoger beroep gewijzigde eis af

ECLI:NL:RBZWB:2025:9603 Rechtbank Zeeland-West-Brabant , 19-12-2025 / C/02/438993 / HA RK 25-199

Rechtbank Zeeland-West-Brabant

Inzage in pensioenberekening op basis van de AVG met het oog op de overgang naar het nieuwe pensioenstelsel. Kan verzoeker op grond van de AVG inzage vragen in pensioenberekeningen? Verzoek afgewezen.

Rechtbank Den Haag

Rechtbank Den Haag

Asiel. Inwilliging asielaanvraag met leeftijdswijziging. Beroep gegrond. De minister heeft niet deugdelijk gemotiveerd dat de afwijkende leeftijdsregistratie van eiser in Italië in combinatie met zijn geboorteakte en verklaringen daarover voldoende is om de presumptie van zijn in Nederland opgegeven minderjarige leeftijd te ontzenuwen.

ECLI:NL:RVS:2025:5343 Raad van State , 05-11-2025 / 202500691/1/A3

Raad van State

Bij besluit van 7 maart 2024 heeft de burgemeester van Eindhoven de aanvraag van [wederpartij] voor een Nederlandse identiteitskaart buiten behandeling gesteld. Op 29 februari 2024 heeft [wederpartij] een Nederlandse identiteitskaart aangevraagd. Daarbij heeft [wederpartij] toegelicht geen vingerafdrukken te willen afgeven vanwege religieuze overwegingen. Omdat de afgifte van vingerafdrukken verplicht is, omdat deze in de chip van de identiteitskaart moeten worden opgenomen, heeft de burgemeester geweigerd de aanvraag in behandeling te nemen. De burgemeester heeft dit besluit op 7 maart 2024 per aangetekende post naar [wederpartij] verzonden. Nadat de bezorging op 9 maart 2024 niet is gelukt, is de post naar een PostNL afhaalpunt gebracht. [wederpartij] heeft de aangetekende post niet opgehaald bij het PostNL afhaalpunt. Hij stelt dat hij niet wist dat het besluit naar het PostNL afhaalpunt is gebracht, omdat hij geen afhaalbericht heeft ontvangen. Op 26 maart 2024 is het stuk retour gezonden naar de burgemeester.

Woo. Geen concrete dreiging die uitzondering art. 5.1(5) Woo rechtvaardigt.

Rechtbank

Woo-verzoek over transport van varkens.

Woo-verzoek. Naam en andere pgg die herleidbaar zijn tot de medewerker van de gemeente hoeft niet openbaar

Rechtbank

Woo-verzoek, beroep gegrond, het bestreden besluit is niet zorgvuldig tot stand gekomen en onvoldoende gemotiveerd, de zoekslag is onvoldoende, onvoldoende gemotiveerd dat facturen van de advocaat niet onder het verzoek vallen, onvoldoende gemotiveerd dat sprake is van persoonlijke beleidsopvattingen.

Rechtbank Den Haag

Rechtbank Den Haag

Woo-verzoek - eerbiediging persoonlijke levenssfeer - algemene motivering weigering - beroep ongegrond.

Geheimhouding in Awr zaak

Rechtbank

Geheimhouding

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Richtsnoeren 2/2023 over het technische topassingsgebied van artikel 5, lid 3, van de eprivacyrichtlijn

guidelines technische toepassingsgebied van artikel 5(3) e-privacyrichtlijn

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Versiegeschiedenis

guidelines uitvoeren overeenkomst

Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

guidelines voor de toepassing van artikel 60 AVG

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Version history

Richtsnoeren 01/2021

Version history

Guidelines on the accreditation of certification bodies

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

Guidelines on technical scope of art. 5(3) of ePrivacy Directive

Telecommunications operator (operator of electronic communications networks and services): Non-compliance with general data processing principles

€4,500,000 fine - Croatian Data Protection Authority (azop)

Following an ex officio investigation, AZOP imposed a EUR 4.5 million fine on a telecommunications operator for multiple GDPR infringements. The controller transferred customer personal data to a processor in the Republic of Serbia (a group company maintaining software). Transfers had been based on Standard Contractual Clauses (SCCs) from 16 April 2020 until at the latest 27 December 2022; after that date, transfers continued without SCCs or equivalent safeguards, despite Serbia lacking an adequ

ATRESMEDIA CORPORACIÓN DE MEDIOS DE COMUNICACIÓN, S.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

Boete van 30.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse Autoriteit Persoonsgegevens heeft ATRESMEDIA CORPORACIÓN DE MEDIOS DE COMUNICACIÓN, S.A. een boete van 30.000 euro opgelegd. De verantwoordelijke partij publiceerde een video van een gewelddadig incident, waarin de stemmen van het slachtoffer en de dader te horen waren, waardoor deze identificeerbaar werden. De stemmen hadden vervormd kunnen worden om de identiteit van de betrokkenen te beschermen. Daarom heeft de verantwoordelijke partij het beginsel van dataminimalisatie geschonden. De oorspronkelijke boete van 50.000 euro is verlaagd tot 30.000 euro vanwege de directe betaling en de erkenning van de fout.

Energia Verde S.p.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 100.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 100.000 euro opgelegd aan Energia Verde S.p.A. De verantwoordelijke partij was actief met direct marketing. De verantwoordelijke partij heeft gegevens verwerkt zonder een voldoende wettelijke basis, zonder voldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen, en zonder voorafgaandelijk en correct de rollen van verwerkers en betrokkenen te identificeren. Bovendien heeft de verantwoordelijke partij niet adequaat gereageerd op verzoeken van betrokkenen om hun rechten uit te oefenen, en heeft ze niet aangetoond dat...

Energia Verde S.p.A.: Non-compliance with general data processing principles

€100,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 100,000 on Energia Verde S.p.A. The controller had been active in direct marketing activities. The controller processed data without a sufficient legal basis, without sufficient technical and organisational measures to ensure data security and without prior and correct identification of the roles of processors and subjects. The controller fruther failed to adequately react to requests from data subjects to exercise their rights, to demonstrate, that the

SPAIN, DPA: Niet-naleving van de algemene principes voor gegevensverwerking.

600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming heeft een boete opgelegd aan een onbekende verantwoordelijke voor de gegevensverwerking. Deze verantwoordelijke bewaarde volledige kopieën van persoonlijke identificatiegegevens voor verificatiedoeleinden. In dit geval was het opslaan van alle informatie die op een identiteitsbewijs staat, onnodig en schendde het principe van dataminimalisatie. De oorspronkelijke boete van 1.000 euro is verlaagd tot 600 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke.

EDA TV CONSULTING, S.L.: Overtreding van de algemene principes voor gegevensverwerking.

Boete van 3.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan EDA TV CONSULTING, S.L. De verantwoordelijke partij had kopieën van persoonlijke identificatiegegevens opgeslagen om de identiteit van de betrokkenen te verifiëren. Volgens de DPA heeft de verantwoordelijke partij het beginsel van dataminimalisatie geschonden, omdat niet alle informatie die op de identificatiekaart stond vermeld, nodig was voor het specifieke verificatieproces. De oorspronkelijke boete van 5.000 euro is verlaagd tot 3.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

GENERALI ESPAÑA, SOCIEDAD ANONIMA DE SEGUROS Y REASEGUROS: Insufficient technical and organisational measures to ensure information security

€4,000,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on GENERALI ESPAÑA, SOCIEDAD ANONIMA DE SEGUROS Y REASEGUROS. The controller had suffered a data breach where unknown third parties gained access to the customer data management system using credentials of a broker which allowed them to access customer data such as name, IBAN, personal identification number. The incident affected approximately 1.5 million individuals. During its investigation, the DPA found, in particular, that the controller had failed to impl

CEGEDIM SANTÉ: Non-compliance with general data processing principles

€800,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 800,000 on CEGEDIM SANTÉ. The company, which provides software for medical practices, had transferred customer data for research purposes. However, the DPA found that this data was not anonymous but only pseudonymized, making re-identification possible.

Postel S.p.A: Insufficient technical and organisational measures to ensure information security

€900,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 900,000 on Postel S.p.A. The company suffered a ransomware attack that resulted in the loss of access to files containing personal data of approximately 25,000 individuals. Data subjects included employees, former employees, and job applicants. The compromised data included contact details, identification details, payment details, and criminal records (special category data) of the data subjects. Although the company had been aware of the security vulner

Avast Software s.r.o.: €13,900,000 fine

€13,900,000 fine - Czech Data Protection Auhtority (UOOU)

The Czech DPA has fined Avast Software s.r.o. EUR 13.9 million. The company had disclosed the personal data of around 100 million users of its antivirus software to the US company Jumpshot. Avast had transferred this data, including the users' pseudonymized Internet browsing history in connection with a unique ID, to Jumpshot, but falsely declared it to be anonymized. Users were incorrectly informed about the transfer of anonymized data, although partial identification of the data subjects was p

UniCredit S.p.a.: Insufficient technical and organisational measures to ensure information security

€2,800,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 2.8 million on UniCredit S.p.a.. The bank had suffered a cyberattack on its mobile banking portal, during which the attackers gained access to numerous data (e.g. name, social security number, identification codes) of thousands of customers and former customers. The attackers were also able to determine the PIN to access the portal of over 6,800 customers. During its investigation, the DPA found that the controller had failed to implement appropriate tec

International Card Services B.V.: Insufficient technical and organisational measures to ensure information security

€150,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 150,000 on International Card Services B.V. (ICS). ICS failed to carry out a data protection impact assessment before starting the digital identification of customers in the Netherlands in 2019. The identity check covered around 1.5 million people and involved sensitive personal data such as pictures of the data subjects.

UNIQUE HOTEL APARTMENT S.L.: Non-compliance with general data processing principles

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on UNIQUE HOTEL APARTMENT. The controller had copied identification documents for the purposes of guest registration and stored the copies. However, the DPA found that a copy of the identification documents was excessive and not strictly necessary for the purpose of guest registration.

Hotel: Insufficient legal basis for data processing

€15,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed of fine of EUR 15,000 to a hotel. The hotel was collecting personal data from guests in excess of what would have been necessary for the purpose of booking a hotel room and without a valid legal basis. Specifically, the hotel collected the CVC number of guests' credit cards and copies of their identification documents. The hotel also failed to provide clear and transparent information to guests on the collection and use of their data. The hotel claimed it coll

Zagreb Holding d.o.o.: Insufficient fulfilment of information obligations

€25,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 25,000 on Zagreb Holding d.o.o., utilities company owned by the city of Zagreb. The DPA had received a complaint from a citizen concerning Zagreb Holding's practice of requesting a copy of users' personal identification cards before issuing invoices via email. Previously, to receive invoice by email the users only needed to provide their name, surname, address, personal identification number, facility number and their user number. During the inve

Debt collection agency: Insufficient technical and organisational measures to ensure information security

€2,265,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 2,265,000 on a debt collection agency. The fine is the highest ever imposed by AZOP. AZOP had received an anonymous complaint in December 2022 stating that a large number of debtors' personal data had been processed by the collection agency without authorization. Attached to the complaint was a USB stick containing personal data (name, date of birth, personal identification number) of 77,317 debtors. During its investigation, AZOP found that cont

Telecommunications Operator: Non-compliance with general data processing principles

€1,020 fine - Bulgarian Commission for Personal Data Protection (KZLD)

The Bulgarian DPA has imposed a fine of EUR 1,020 on a telecommunications operator. The controller did not implement sufficient identification methodes, resulting in a customer profile being created for an individual who neither knew nor wanted a profile to be made.

Bper Banca S.p.A.: Insufficient fulfilment of data subjects rights

€10,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 10,000 on Bper Banca S.p.A.. An individual had filed a complaint with the DPA regarding the failure to fulfill their right to erasure of personal data. The individual had requested the bank to delete their personal data processed by the bank. The bank then asked the data subject to send their identification documents in order to verify their identity for the purpose of fulfilling their request. The data subject submitted their data, but did not receive a

Otavamedia Oy: Insufficient fulfilment of data subjects rights

€85,000 fine - Deputy Data Protection Ombudsman

The Finnish DPA has imposed a fine of EUR 85,000 on Otavamedia Oy. The DPA had received eleven complaints regarding Otavamedia between 2018 and 2021. Namely, the complaints primarily concerned the lack of response to inquiries from data subjects. Otavamedia explained that some of the privacy requests had not been fulfilled due to a technical problem with email management. During the incident, messages received in the privacy inquiry email box were not forwarded to customer service representative

UAB Prime Leasing: Insufficient technical and organisational measures to ensure information security

€110,000 fine - Lithuanian Data Protection Authority (VDAI)

The Lithuanian DPA has fined UAB Prime Leasing, the operator of the short-term car rental platform CityBee, EUR 110,000. The DPA conducted the investigation on its own initiative after information about a possible personal data breach (Art. 33 GDPR) of the company's customers became public in February 2021. According to the company, they learned about the security breach from another cybersecurity service provider who informed them that the customer data of 110,302 CityBee users had been publish

Article 13 GDPR

Contact details: typo The controller's contact details are necessary for the data subjects to get in touch with the controller and to further exercise their rights under the GDPR. The contact details must enable data subjects to easily contact the controller and should include different forms of communications.The controller's contact details are necessary for the data subjects to get in touch with the controller and to further exercise their rights under the GDPR. The contact details

CA Paris - 25/04270

}}}} A court held that a former employee cannot receive access to their work email correspondence and files based on an access request when the emails and files only contain the employee’s identification information.A court held that a former employee cannot request access to their work email correspondence and other work-related files when the emails and files only contain the employee’s identification information. == English Summary ==== English Summary == Following his dismissal, the data sub

AEPD (Spain) - EXP202306354 (PS/00312/2024)

English Summary The Spanish Data Protection Agency (AEPD) investigated Vodafone España, S.A.U. as controller after a SIM swapping incident.The Spanish Data Protection Agency (AEPD) investigated Vodafone España, S.A.U. as controller after a SIM swapping incident. On 21 September 2021, an unknown third party requested a duplicate SIM card for the mobile line of a data subject. The request was made through Vodafone’s internal telephone support channel for retail stores. The caller impersonated staf

AEPD (Spain) - EXP202406574

Facts }}}} The AEPD fined a right-wing political party €500 for publishing a proof of delivery on Facebook that showed a person’s name, ID number and signature without a legal basis under [[Article 6 GDPR|Article 6 GDPR]].The AEPD fined a right-wing political party €500 for publishing a proof of delivery on Facebook that showed a person’s name, ID number and signature without a legal basis under [[Article 6 GDPR]]. == English Summary ==== English Summary == VOX had sent a certified letter to a m

AEPD (Spain) - EXP202306354 (PS/00312/2024)

Facts The Spanish Data Protection Agency (AEPD) investigated Vodafone España, S.A.U. as controller after a SIM swapping incident.The Spanish Data Protection Agency (AEPD) investigated Vodafone España, S.A.U. as controller after a SIM swapping incident. On 21 September 2021, an unknown third party requested a duplicate SIM card for the mobile line of a data subject. The request was made through Vodafone’s internal telephone support channel for retail stores. The caller impersonated staff of an au

No One, Including Our Furry Friends, Will Be Safer in Ring's Surveillance Nightmare

Amazon Ring’s Super Bowl ad offered a vision of our streets that should leave every person unsettled about the company’s goals for disintegrating our privacy in public. In the ad, disguised as a heartfelt effort to reunite the lost dogs of the country with their innocent owners, the company previewed future surveillance of our streets: a world where biometric identification could be unleashed from consumer devices to identify, track, and locate anything — human, pet, and otherwise. The ad for Ri

Report: ICE Using Palantir Tool That Feeds On Medicaid Data

EFF last summer asked a federal judge to block the federal government from using Medicaid data to identify and deport immigrants. We also warned about the danger of the Trump administration consolidating all of the government’s information into a single searchable, AI-driven interface with help from Palantir, a company that has a shaky-at-best record on privacy and human rights. Now we have the first evidence that our concerns have become reality. “Palantir is working on a tool for Immigration a

DSB (Austria) - 2025-0.276.820

An Austrian media company (the responsible party) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. These cookies contained unique identification codes to track visitors. This occurred in August 2021.

DSB (Oostenrijk) - 2025-0.276.820

Een Oostenrijks mediabedrijf (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatiecodes om bezoekers te volgen. In augustus 2021.

DSB (Austria) - 2025-0.276.820

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

DSB (Austria) - 2025-0.276.820

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

DSB (Oostenrijk) - 2025-0.276.820

Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. In augustus 2021.

DSB (Austria) - 2025-0.276.820

An Austrian media company (the data controller) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. The cookies contained unique identification numbers to track visitors. This occurred in August 2021.

Handhaven in het openbaar vervoer

Government

Rapport, Handhaven in het openbaar vervoer. Analyse van het juridisch kader bij identificatie en gegevensuitwisseling. Zie ook de gezamenlijke reactie Iens en JenV op het rapport.

Enforcement in public transportation.

Government.

Report: Enforcement in Public Transportation. Analysis of the legal framework regarding identification and data exchange. Also see the joint response from the Ministry of Justice and Security (Iens) and the Ministry of Internal Affairs and Kingdom Relations (JenV) to the report.

AEPD issues guidance for anonymization

> Spain’s data protection authority, the Agencia Española de Protección de Datos, published guidance for anonymizing data. The guidance called for a trained professional to handle the anonymization of a personal data set who also has experience in reidentification attacks. Even though “residual probability” of reidentification will always exist, a data controller must apply accountability to the anonymization process “with appropriate measures to ensure compliance taking i

De Autoriteit Persoonsgegevens publiceert richtlijnen voor anonimisering.

De Spaanse autoriteit voor gegevensbescherming, de Agencia Española de Protección de Datos, heeft richtlijnen gepubliceerd over het anonimiseren van gegevens. Deze richtlijnen stellen dat een getrainde professional de anonimisering van een dataset met persoonlijke gegevens moet uitvoeren, en dat deze professional ook ervaring moet hebben met pogingen tot heridentificatie. Hoewel er altijd een "resterend risico" bestaat dat gegevens opnieuw geïdentificeerd kunnen worden, moet de verantwoordelijke voor de gegevensverwerking verantwoordelijkheid nemen voor het anonimiseringsproces en "geschikte maatregelen treffen om te zorgen voor naleving, rekening houdend met..."

Greek SA fines Clearview AI for EUR 20M

A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.

Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

De Autoriteit Persoonsgegevens publiceert een rapport over de risicoanalyse van de AVG (Algemene Verordening Gegevensbescherming).

De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.