International Transfer

Article 39

Conformiteitsbeoordelingsinstanties van derde landen

Chapter VIII

Chapter VII

Chapter VI

Chapter V

Recital 22

Recital 82

Recital 127

Recital 141

Article 39

Conformity assessment bodies of third countries

Recital 22

Recital 82

Recital 127

Recital 141

Recital 73

Recital 74

Recital 91

Article 17

Internationale samenwerking

Recital 117

Chapter VIII

ECLI:NL:RBNNE:2026:438 Rechtbank Noord-Nederland , 03-02-2026 / 24/1620

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over eisers verzoek om inzage in zijn persoonsgegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek gedeeltelijk toegewezen. Eiser is het niet eens met het afgewezen deel in het besluit. Hij voert daartoe een aantal beroepsgronden aan. De rechtbank komt in deze uitspraak tot het oordeel dat zij het beroep niet inhoudelijk kan behandelen, omdat het procesbelang van eiser onvoldoende is aangetoond. Het beroep is niet-ontvankelijk.

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

Rechtbank Amsterdam

Rechtbank Amsterdam

Vervolgings-EAB uit Denemarken. Artikel 12 OLW niet van toepassing bij vervolgings-EAB's. Afgezien van de weigeringsgrond van artikel 13 OLW. Overlevering toegestaan.

Rechtbank Amsterdam

Rechtbank Amsterdam

Vervolgings-EAB Polen. Tussenuitspraak. Artikel 11 OLW. Detentieomstandigheden in Poolse remand regimes. De rechtbank constateert dat een discrepantie bestaat tussen toezeggingen gedaan in de twee genoemde overleveringszaken en in onderhavige zaak met betrekking tot de bewegingsvrijheid buiten de cel voor gedetineerden die in the Opole Remand Centre worden gedetineerd. De rechtbank ziet daarom aanleiding om het onderzoek ter zitting te heropenen en de officier van justitie te verzoeken om bij de uitvaardigende justitiële autoriteit duidelijkheid te verkrijgen over de tegenstrijdigheden in de informatie van de uitvaardigende justitiële autoriteit.

XH v European Commission

CJEU

Gaat om een beroep van T-613/21. In beroep wordt gesteld dat het Gerecht de professionele context als reden zag om de gegevens niet als persoonsgegevens te zien, maar dit is niet juist volgens het HvJ EU. Het feit dat het hier om informatie verwerkt in een werkgerelateerde context is niet een doo...

Verhouding Wpg, Woo en AVG

Rechtbank

Afwijzing Woo-verzoek. Sprake van een herhaald verzoek. De Wpg regelt in de artikelen 3, derde lid, 7 en 25 zowel de openbaarmaking als de individuele verstrekking en is daarmee uitputtend. De AVG regelt naast de inzage in persoonsgegevens ook de individuele verstrekking van afschriften. De vangnetbepaling van artikel 5.5 van de Woo vindt, gelet op de gegevens waar eiser om heeft verzocht en waarvoor andere regelingen gelden met een uitputtend openbaarheidsregime en/of een uitputtend bedoeld verstrekkingsregime, geen toepassing. Beroep ongegrond.

Sluitstuk(?) van de zaak Autobedrijf met onvoldoende beveiliging e-mailaccount.

Gerechtshof

Hoger beroep. Eindarrest. Schade door betaling restant kooprijs auto aan hacker die zich toegang had verschaft tot e-mailaccount van het autobedrijf. Schending AVG, want niet bewezen dat e-mailaccount passend was beveiligd. Deels eigen schuld en met toepassing billijkheidscorrectie moet autobedrijf 50% van de materiële schade betalen. Art. 5, 24, 32 en 82 AVG, art. 6:101 BW

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Inzage en weigeringsgronden Wpg.

Rechtbank

Gedeeltelijke afwijzing van het verzoek van eiser om inzage in en informatie over de verwerking van zijn persoonsgegevens door de korpschef op grond van de Wpg. Het beroep, voor zover gericht tegen het besluit van 26 januari 2023, is niet-ontvankelijk. Het beroep, voor zover gericht tegen de besluiten van 24 april 2023 en 6 juni 2024, is gegrond, omdat deze besluiten een motiveringsgebrek kennen. De rechtbank ziet geen aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De korpschef heeft het motiveringsgebrek in beroep namelijk niet volledig hersteld. Ook heeft de korpschef geen duidelijkheid gegeven over de – door eiser gemotiveerd betwiste – juistheid van de in het besluit van 24 april 2023 verstrekte informatie dat geen persoonsgegevens van eiser zijn gedeeld met andere instanties/derden.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Toesting Wpg-besluit kan niet via AVG-besluit. Geen profilering

Rechtbank

AVG inzageverzoek - omvang van het geding - Wpg-besluit van de Nederlandse Arbeidsinspectie dat n.a.v. bezwaar is genomen, kent een zelfstandige beroepsprocedure - geen toetsing van Wpg-besluit in dit beroep - minister SZW heeft inzage in de gegevensverwerking heimelijke salafisme-onderzoeken deugdelijk gemotiveerd - profilering artikel 4, lid 4 AVG - beroep ongegrond.

Raad van State

Raad van State

Bij besluit van 22 juli 2021 heeft de minister van Financiën het verzoek van [appellant sub 2] op grond van artikel 15 van de Algemene verordening gegevensbescherming om inzage van zijn persoonsgegevens in de Fraudesignaleringsvoorziening ingewilligd en de verzoeken op grond van de artikelen 16 en 17 van de AVG om rectificatie en wissing van die gegevens afgewezen. Bij brief van 20 mei 2021 heeft de minister [appellant sub 2] ervan op de hoogte gesteld dat zijn gegevens waren opgenomen in de FSV. Bij brief van 25 juni 2021 heeft [appellant sub 2], voor zover in hoger beroep aan de orde, de minister verzocht om inzage in alle persoonsgegevens in zijn FSV-dossier en om rectificatie en wissing daarvan. Aan de Tweede Kamer is toegezegd dat tot nader order geen gegevensverwerkingen in de FSV worden gewist. De minister is in het besluit op het daartegen door [appellant sub 2] gemaakte bezwaar bij de afwijzing van de verzoeken om rectificatie en wissing gebleven. De rechtbank heeft geoordeeld dat de minister bij het besluit van 28 oktober 2021 ten onrechte niet de informatie over de bron van de gegevens in de FSV heeft verstrekt, maar dat de minister die gegevens in de beroepsfase alsnog heeft verstrekt.

Rechtbank Gelderland

Rechtbank Gelderland

Gedeeltelijke afwijzing van het verzoek van eiser om inzage in en informatie over de verwerking van zijn persoonsgegevens door de korpschef op grond van de Wpg. Het beroep, voor zover gericht tegen het besluit van 26 januari 2023, is niet-ontvankelijk. Het beroep, voor zover gericht tegen de besluiten van 24 april 2023 en 6 juni 2024, is gegrond, omdat deze besluiten een motiveringsgebrek kennen. De rechtbank ziet geen aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De korpschef heeft het motiveringsgebrek in beroep namelijk niet volledig hersteld. Ook heeft de korpschef geen duidelijkheid gegeven over de – door eiser gemotiveerd betwiste – juistheid van de in het besluit van 24 april 2023 verstrekte informatie dat geen persoonsgegevens van eiser zijn gedeeld met andere instanties/derden.

Rechtbank Gelderland

Rechtbank Gelderland

Gedeeltelijke afwijzing van het verzoek van eiser om inzage in en informatie over de verwerking van zijn persoonsgegevens door de KMar op grond van de Wpg. Het beroep is gegrond, omdat het besluit van de minister op het verzoek van eiser gebreken kent. De rechtbank ziet geen aanleiding om de rechtsgevolgen van het besluit in stand te laten. De minister heeft de gebreken in beroep namelijk niet volledig hersteld.

Gerechtshof Amsterdam

Gerechtshof Amsterdam

Kort geding vanwege opzegging van bankrekening naar aanleiding van de ontvangst van fraudegelden op die rekening. Rekeninghouder heeft vervolgens in strijd met de waarheid over die transacties verklaard en ook anderszins geen opheldering verschaft over de herkomst en bestemming van de ontvangen gelden. Opname in het interne en het externe verwijzingsregister naar aanleiding van deze gang van zaken. Vordering tot herstel van bankrelatie en tot verwijdering uit het interne en het externe verwijzingsregister en (voorschot op) schadevergoeding door voorzieningenrechter afgewezen. Het hof bekrachtigt het vonnis van de voorzieningenrechter en wijst voorts de in hoger beroep gewijzigde eis af

Rechtbank Amsterdam

Rechtbank Amsterdam

Tussenuitspraak in vervolgings-EAB uit Polen. Evenredigheidsverweer verworpen. Gelijkstellingsverweer niet middels objectieve stukken onderbouwd. Afgezien van de weigeringsgrond van artikel 13 OLW. Poolse detentieomstandigheden: geen algemeen gevaar ten aanzien van koosjere maaltijden en onnodig lang in voorlopige hechtenis zitten. Voor het overige is het individueel gevaar voor de opgeëiste persoon niet weggenomen. Redelijke termijn van 30 dagen gegeven om te zien of een wijziging in de omstandigheden optreedt zoals bedoeld in artikel 11 OLW, alvorens de officier van justitie niet-ontvankelijk zal worden verklaard en geen gevolg aan het EAB zal worden gegeven.

Rechtbank Midden-Nederland

Rechtbank Midden-Nederland

De rechtbank is voornemens om prejudiciële vragen aan de Hoge Raad te stellen over de te volgen procedure bij verzoeken tot benoeming van een voogd over alleenstaande minderjarige asielzoekers.

ECLI:NL:GHDHA:2025:2871 Gerechtshof Den Haag , 17-12-2025 / BK-24/954

Gerechtshof Den Haag

Naheffingsaanslag bpm. De naheffingsaanslag is aan de juiste belastingplichtige opgelegd. Ex-rental niet aannemelijk gemaakt. Hoger aftrekpercentage wegens schade niet aannemelijk gemaakt. Het vooraf heffen van griffierecht is niet in strijd met het Unierecht. Geen recht op vergoeding van immateriële schade.

Rechtbank Amsterdam

Rechtbank Amsterdam

Opzegging bankrelatie. Bank moet bankrelatie voortzetten. Geen opzegplicht op grond van artikel 5 lid 3 Wwft en gebruik contractuele opzeggingsbevoegdheid in dit geval naar maatstaven van redelijkheid en billijkheid onaanvaardbaar.

ECLI:NL:GHAMS:2025:2666 Gerechtshof Amsterdam , 07-10-2025 / 200.339.869/01, 200.339.845/01 en 200.339.905/01

Gerechtshof Amsterdam

Art. 3:305a BW. Tussenbeslissing WAMCA-procedure in hoger beroep. TikTok. Internationale bevoegdheid ten aanzien van AVG en niet-AVG vorderingen? Aanhouding AVG-vorderingen i.v.m. prejudiciële vragen (rechtbank Rotterdam 23 juli 2025, ECLI:NL:RBROT:2025:9088). Stichtingen ontvankelijk ten aanzien van niet-AVG vorderingen? Immateriële schadevorderingen bundelbaar? Bepaling nauw omschreven groep en precieze omschrijving van de vorderingen.

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

Richtsnoeren 07/2022 voor certificering als doorgifte-instrument

Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Richtsnoeren 01/2021

Translations proofread by EDPB Members. This language version has not yet been proofread.

van de tekst in de afbeeldingen in de bijlage

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 2/2023 over het technische topassingsgebied van artikel 5, lid 3, van de eprivacyrichtlijn

guidelines technische toepassingsgebied van artikel 5(3) e-privacyrichtlijn

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Guidelines 02/2024 on Article 48 GDPR

Article 48 GDPR provides that: ' Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer...

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Company: Non-compliance with general data processing principles

€3,500,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 3,500,000 on a company. The controller operated a loyalty program in France and 16 other EU countries, using customer data obtained through the program to transfer it to a third party for marketing purposes. The controller had no sufficient legal basis for this transfer and also failed to inform the data subjects. Furthermore, the controller used an inadequate method to store passwords. Finally, the controller failed to conduct a data protection impact as

Telecommunications operator (operator of electronic communications networks and services): Non-compliance with general data processing principles

€4,500,000 fine - Croatian Data Protection Authority (azop)

Following an ex officio investigation, AZOP imposed a EUR 4.5 million fine on a telecommunications operator for multiple GDPR infringements. The controller transferred customer personal data to a processor in the Republic of Serbia (a group company maintaining software). Transfers had been based on Standard Contractual Clauses (SCCs) from 16 April 2020 until at the latest 27 December 2022; after that date, transfers continued without SCCs or equivalent safeguards, despite Serbia lacking an adequ

Boete LocateFamily.com. Het Woo-verzoek ging ook over algemene beleidsstukken over de omgang met dataverwerkers in derde landen. (afgewezen)

Enforcement

Boete LocateFamily.com. Het Woo-verzoek ging ook over algemene beleidsstukken over de omgang met dataverwerkers in derde landen. (afgewezen)

IBERCAJA BANCO, S.A.: Non-compliance with general data processing principles

€42,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 42,000 on IBERCAJA BANCO, S.A. During a bank transfer, the controller transmitted more data then necessary to the recipient of the payment. The original fine of EUR 70,000 was reduced to EUR 42,000 due to immediate payment and admission of responsibility by the controller.

SOLOCAL MARKETING SERVICES: Insufficient legal basis for data processing

€900,000 fine - French Data Protection Authority (CNIL)

The French DPA imposed a fine of EUR 900,000 on SOLOCAL MARKETING SERVICES. The controller, a company that also engages in direct marketing activities for its clients, ist using direct messages to contact potential customers for its clients. The company also transfers data of potential customers to their clients. The controller obtained the data through data brokers and was unable to prove that the potential customers (data subjects) had given consent for the described use of their data. In addi

CALOGA: Non-compliance with general data processing principles

€80,000 fine - French Data Protection Authority (CNIL)

The French DPA imposed a fine of EUR 80,000 on CALOGA. The controller is a company obtaining data from data brokers to use those for marketing purposes. The DPA found multiple infingements against the GDPR and the French Post and Electronic Communications Code. The controller failed to have sufficient legal basis for transferring data to third parties for advertising purposes. Additionally, the controller retained data longer than necessary.

TikTok Technology Limited: Insufficient legal basis for data processing

€530,000,000 fine - Data Protection Authority of Ireland

The Irish DPA (DPC) has fined TikTok EUR 530 million. In its decision, the DPC found, that TikTok infringed Art. 13 (1) f) GDPR and Art. 46 (1) GDPR due to the unlawful transfer and storage of personal data from users in the EEA on Chinese servers. TikTok was unable to verify, guarantee and demonstrate that the supplementary measures and the Standard Contractual Clauses were effective to guarantee that the data afforded a level of protection, which is equivalent of the level of protection guaran

Chamber of Commerce, Industry, Services and Navigation of Spain: Insufficient legal basis for data processing

€500,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 500,000 on the Chamber of Commerce, Industry, Services and Navigation of Spain. Due to its function within the Spanish Executive, the controller has access to the basic data of all Spanish companies, including information regarding solvency, contact details, tax numbers and more. Self-employed persons are also included. The controller has decided to make this information available to the public. For this purpose, the controller created the legal entity C

Poczta Polska SA (Polish Post): Insufficient legal basis for data processing

€6,300,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 6.3 million on Poczta Polska SA (Polish Post) for the unlawful disclosure of personal data of over 30 million citizens from the PESEL database, in connection with the planned postal vote during the Covid-19 pandemic. Although the law amending the electoral regulations had not yet come into effect, the Ministry of Digital Affairs transferred sensitive data such as names, addresses, and PESEL numbers to the postal company. The data was only deleted weeks la

IBERMUTUA, MUTUA COLABORADORA CON LA SEGURIDAD SOCIAL NUM.274.: Non-compliance with general data processing principles

€600,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on IBERMUTUA, MUTUA COLABORADORA CON LA SEGURIDAD SOCIAL NUM.274. Due to a technical error in its online platform, personal data, including health information, of 3,395 individuals was unlawfully transferred to 354 recipients. The DPA found that the controller had failed to implement appropriate technical and organisational measures to protect personal data that could have prevented such an incident. The original fine of EUR 1 million was reduced to EUR 600,000

CEGEDIM SANTÉ: Non-compliance with general data processing principles

€800,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 800,000 on CEGEDIM SANTÉ. The company, which provides software for medical practices, had transferred customer data for research purposes. However, the DPA found that this data was not anonymous but only pseudonymized, making re-identification possible.

Uber Technologies Inc., Uber B.V.: Non-compliance with general data processing principles

€290,000,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 290 million on Uber for transferring personal data of European drivers to the USA without sufficient privacy safeguards. The DPA launched an investigation after 170 French drivers filed complaints with the 'Ligue des droits de l'Homme'. The DPA's investigation revealed that Uber had stored sensitive personal data—such as location information, payment details, identity documents, and health data—on US servers without adequate safeguards for over two years.

Avanza Bank AB: Insufficient technical and organisational measures to ensure information security

€1,300,000 fine - Data Protection Authority of Sweden

The Swedish DPA has imposed a fine of EUR 1.3 million on Avanza Bank AB. The controller had used so-called meta pixels on its website and app, which caused personal data such as securities holdings and account numbers to be transmitted to Meta. These transfers took place from November 15, 2019 to June 2, 2021 due to incorrect settings. After becoming aware of this, Avanza deactivated the pixels and confirmed that Meta had deleted the data. Avanza has also improved its internal data security proc

Avast Software s.r.o.: €13,900,000 fine

€13,900,000 fine - Czech Data Protection Auhtority (UOOU)

The Czech DPA has fined Avast Software s.r.o. EUR 13.9 million. The company had disclosed the personal data of around 100 million users of its antivirus software to the US company Jumpshot. Avast had transferred this data, including the users' pseudonymized Internet browsing history in connection with a unique ID, to Jumpshot, but falsely declared it to be anonymized. Users were incorrectly informed about the transfer of anonymized data, although partial identification of the data subjects was p

CAIXABANK, S.A: Insufficient legal basis for data processing

€1,200,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on CAIXABANK, S.A. A person filed a complaint with the DPA because they were asked to fill out a form with personal data. A clause on the form included consent for the data to be transferred to the General Treasury of Social Security, without the option to refuse consent. The original fine of EUR 2,000,000 was reduced to EUR 1,200,000 due to immediate payment and acknowledgement of responsibility.

Uber Technologies Inc. Uber B.V.: Insufficient fulfilment of information obligations

€10,000,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has fined Uber Technologies Inc. and Uber B.V. EUR 10 million for failing to provide sufficient information about the storage period of European drivers' data and the countries outside of the EU to which the data was transferred. The DPA also found that Uber made it unnecessarily difficult for drivers to request access to their data. Although there was a digital form in the app that drivers could use to request access, it was not placed in an easily accessible position. In addition

Reykjanesbær municipality: Non-compliance with general data processing principles

€16,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 16,600 on the municipality of Reykjanesbær. The municipality had used the Google Education system without sufficiently complying with data protection regulations. In particular, the municipality did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the municipality did not ensure that the student data was not processed for purposes oth

City of Kópavogur: Non-compliance with general data processing principles

€20,000 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 20,000 on the city of Kópavogur. The city had used the Google Education system without sufficiently complying with data protection regulations. In particular, the city did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the city did not ensure that the student data was not processed for purposes other than those specified by the city

City of Hafnarfjörður: Non-compliance with general data processing principles

€18,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 18,600 on the city of Hafnarfjörður. The city had used the Google Education system without sufficiently complying with data protection regulations. In particular, the city did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the city did not ensure that the student data was not processed for purposes other than those specified by the

Garðabær municipality: Non-compliance with general data processing principles

€16,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 16,600 on the municipality of Garðabær. The municipality had used the Google Education system without sufficiently complying with data protection regulations. In particular, the municipality did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the municipality did not ensure that the student data was not processed for purposes other t

Rome mulls ETS rebate to bring down electricity prices

Planned state intervention would transfer carbon costs from gas-fired power plant operators to consumers

AEPD (Spain) - PS-00456-2025

Facts }}}} The DPA fined a business support company with 80,000 euros for transferring personal data from its employees to a third party without the proper legal basis, in violation of Art. 6 (1) GDPR.The DPA fined a customer support provider €80,000 for unlawfully transferring its employees’ private phone numbers to its business customer without a valid legal basis. == English Summary ==== English Summary == === Facts ====== Facts === MAJOREL SP SOLUTIONS, S.A. (the controller) entered into an

DSB (Austria) - 2025-0.789.117

|Initial_Contributor=xz|Initial_Contributor=xz || }}}}The DPA held that the daughter of a deceased patient could not request access under Article 15 GDPR from a hospital regarding her deceased father’s cause of death, as the information refers to her father and the right of access is a strictly personal and non-transferable right. The DPA held that a hospital did not violate [[Article 15 GDPR]] by not providing information on the medical cause of death, as the request did not concern the data su

VDAI (Lithuania) - Decision No. 3R-1700.

Facts: The data protection authority (DPA) ruled that a gambling operator had lawfully transferred data to a processor for the purpose of sending invitations to sporting events, but found that the responsible party had violated its transparency obligations by failing to inform the data subject about the categories of recipients of the data. The DPA also ruled that the operator of a gambling website had lawfully transferred data to a processor for the purpose of sending invitations to sporting events, as the engagement of a processor does not require a separate legal basis. However, the court...

VDAI (Lithuania) - Decision No. 3R-1700

Facts }}}} The DPA held that a gambling operator lawfully transferred data to a processor for sending invitations to sporting events, but found that the controller breached transparency obligations by not informing the data subject about the categories of data recipients.The DPA held that the operator of a gambling site lawfully transferred data to a processor for sending invitations to sporting events since the engagement of a processor does not require a separate legal basis. However, the cour

AEPD (Spain) - EXP202306073

Holding |Publication Date=05.01.2026|Publication Date=05.01.2026 |Year=|Year= |Fine=400,000|Fine=300,000 |Currency=EUR|Currency=EUR }}}} The data protection authority has imposed a fine of 400,000 euros on a telecommunications company for the unlawful transfer of ownership of a mobile phone subscription and the issuance of a dual SIM card without proper identity verification, violating [[Article 6 of the GDPR|Article 6 of the GDPR]], following a fraud case involving the exchange of a SIM card. The data protection authority has imposed a fine of 400,000 euros on a telecommunications company for the unlawful transfer of ownership of a mobile phone subscription and the issuance of a dual SIM card.

Article 40 GDPR

(1) Encouragement of CoC <u>EDPB Guidelines</u>:<u>EDPB Guidelines</u>: * EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version 2.0) (available here), and * EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version 2.0) (available [https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf here]), and * E

Artikel 40 van de Algemene Verordening Gegevensbescherming (AVG).

(1) Stimulering van gedragscodes en toezichthoudende instanties: * EDPB, 'Richtlijnen 1/2019 over gedragscodes en toezichthoudende instanties in overeenstemming met Verordening 2016/679', 4 juni 2019 (versie 2.0) (beschikbaar hier), en * EDPB, 'Richtlijnen 1/2019 over gedragscodes en toezichthoudende instanties in overeenstemming met Verordening 2016/679', 4 juni 2019 (versie 2.0) (beschikbaar [https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf hier]), en * E

Article 40 of the General Data Protection Regulation (GDPR).

(1) Promotion of codes of conduct and supervisory authorities: * EDPB, 'Guidelines 1/2019 on codes of conduct and supervisory authorities pursuant to Regulation 2016/679', June 4, 2019 (version 2.0) (available here), and * EDPB, 'Guidelines 1/2019 on codes of conduct and supervisory authorities pursuant to Regulation 2016/679', June 4, 2019 (version 2.0) (available at [https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf here]), and * E

Royaume-Uni : la Commission européenne renouvelle ses décisions d’adéquation

La Commission européenne constatant que le Royaume-Uni continue d’assurer un niveau de protection substantiellement équivalent à celui de l’Union européenne, les transferts de données personnelles depuis l'UE vers ce pays tiers peuvent s’effectuer sans encadrement spécifique.

The AP (Autoriteit Persoonsgegevens, the Dutch Data Protection Authority) warns users: TikTok continues to send personal data to China.

TikTok continues to send user data, including to China. This practice contradicts a joint decision by European data protection authorities, who have determined that the transfer of this data is unlawful. Since yesterday, TikTok has been displaying a warning to users about how the company handles their data. The Dutch Data Protection Authority (AP) emphasizes the importance of people understanding what this means for their privacy.

EU-US Data Transfers: Time to prepare for more trouble to come

As instability in the US legal system becomes undeniable and the US shows open signs of hostility towards the EU, it is time to reconsider where our data is flowing

Versterking van de gegevensbescherming wereldwijd: Het Europees Comité voor de Bescherming van Persoonsgegevens (EDPB) komt samen met de landen en organisaties die een adequaatheidsbesluit hebben.

Brussel, 3 december - Tijdens de plenaire vergadering van december heeft het Europees Comité voor gegevensbescherming (EDPB) gisteren een online bijeenkomst gehouden met commissarissen en vertegenwoordigers van nationale autoriteiten voor gegevensbescherming (DPAs) uit de landen en de organisatie die een besluit hebben over voldoende bescherming binnen de EU. Deze bijeenkomst was de tweede van dit soort, na de eerste bijeenkomst in oktober 2024. Een besluit over voldoende bescherming is een belangrijk instrument in de EU-wetgeving inzake gegevensbescherming, dat de vrije uitwisseling van persoonsgegevens mogelijk maakt vanuit de EU.

Strengthening data protection worldwide: EDPB meets with the countries and organisation with an adequacy decision

Brussels, 3 December - As part of its December’s plenary meeting, the European Data Protection Board (EDPB) held yesterday an online meeting with Commissioners and representatives of Data Protection Authorities (DPAs) from the countries and the organisation with an EU adequacy decision. This meeting marked the second of its kind, following the first gathering in October 2024. An adequacy decision is a key-mechanism in EU data protection legislation which allows free flow of personal data from Eu

Strengthening data protection globally: The European Data Protection Board (EDPB) is meeting with countries and organizations that have an adequacy decision.

Brussels, December 3rd - During its plenary meeting in December, the European Data Protection Board (EDPB) held an online meeting yesterday with commissioners and representatives from national data protection authorities (DPAs) from the countries and organizations that have made a decision regarding adequate protection within the EU. This meeting was the second of its kind, following the first meeting in October 2024. A decision on adequate protection is an important instrument in EU data protection legislation, enabling the free flow of personal data from within the EU.

Decision in principle regarding the adequacy of data protection in Brazil: The European Data Protection Board has adopted an opinion.

Brussels, November 5th - During its latest plenary meeting, the EDPB (European Data Protection Board) issued an opinion on the draft decision by the European Commission regarding the adequate level of protection for personal data in Brazil.* Once this decision is adopted, it will ensure that personal data can be freely transferred from Europe to Brazil, and that individuals can maintain control over their data. In this opinion, which was prepared at the request of the Commission, the EDPB assesses whether the Brazilian data protection framework and the rules regarding government access to personal data...

Draft adequacy decision for Brazil: EDPB adopts opinion

Brussels, 5 November - During its latest plenary, the EDPB adopted an opinion on the European Commission’s draft decision on the adequate level of protection of personal data in Brazil.* Once adopted, the decision will ensure that personal data can flow freely from Europe to Brazil and that individuals can retain control over their data. In its opinion, requested by the Commission, the EDPB assesses whether the Brazilian data protection framework and the rules on government access to personal da

Draft UK adequacy decisions: EDPB adopts opinions

Brussels, 20 October - During its latest plenary, the EDPB adopted two opinions on the European Commission’s draft decisions on the extension of the validity of the UK adequacy decisions under the General Data Protection Regulation (GDPR) and the Law Enforcement Directive (LED) until December 2031.* The EDPB opinions, requested by the Commission as per Art. 70(1) (s) GDPR and Art. 51(1) (g) LED, address the proposed six-year extension of the two UK adequacy decisions which are set to expire in D

The United Kingdom's draft decisions regarding adequate protection: The EDPB issues opinions.

Brussels, October 20th - During its latest plenary meeting, the EDPB (European Data Protection Board) adopted two opinions on the draft decisions of the European Commission regarding the extension of the validity of the decisions on the adequacy of the United Kingdom, as stipulated in the General Data Protection Regulation (GDPR) and the Law Enforcement Directive (LED), until December 2031. The EDPB opinions, requested by the Commission under Article 70(1)(s) of the GDPR and Article 51(1)(g) of the LED, address the proposed six-year extension of the two decisions on the adequacy of the United Kingdom, which are currently due to expire.

Strengthening the security of the Schengen area and combating irregular migration: The EU's entry and exit system is now operational.

Brussels, October 10th - In preparation for the planned launch of the EU Entry/Exit System (EES) on October 12, 2025, the Coordinating Supervisory Committee (CSC) will integrate the EES system into its scope of responsibility. This system registers individuals who are not citizens of the Schengen area and who are traveling with a short-stay visa, or travelers who do not require a visa. The EES is a large-scale IT system developed by the EU to prevent irregular migration and enhance security within the Schengen area. Functionality: The EES will gradually...