Marketing

Recital 42

Recital 53

Recital 1

Recital 10

Recital 59

Recital 139

Recital 59

Recital 89

Recital 158

Recital 42

Recital 10

Recital 53

Recital 36

Recital 46

Recital 95

Recital 94

Recital 71

Recital 70

Recital 69

Recital 68

FSV. Inzage. Beroep gegrond vanwege strijd met zorgvuldigheidsbeginsel

Rechtbank

Beroep, verzoek om inzage op grond van artikel 15 AVG, FSV, gegrond

Toesting Wpg-besluit kan niet via AVG-besluit. Geen profilering

Rechtbank

AVG inzageverzoek - omvang van het geding - Wpg-besluit van de Nederlandse Arbeidsinspectie dat n.a.v. bezwaar is genomen, kent een zelfstandige beroepsprocedure - geen toetsing van Wpg-besluit in dit beroep - minister SZW heeft inzage in de gegevensverwerking heimelijke salafisme-onderzoeken deugdelijk gemotiveerd - profilering artikel 4, lid 4 AVG - beroep ongegrond.

Verhouding Wpg, Woo en AVG

Rechtbank

Afwijzing Woo-verzoek. Sprake van een herhaald verzoek. De Wpg regelt in de artikelen 3, derde lid, 7 en 25 zowel de openbaarmaking als de individuele verstrekking en is daarmee uitputtend. De AVG regelt naast de inzage in persoonsgegevens ook de individuele verstrekking van afschriften. De vangnetbepaling van artikel 5.5 van de Woo vindt, gelet op de gegevens waar eiser om heeft verzocht en waarvoor andere regelingen gelden met een uitputtend openbaarheidsregime en/of een uitputtend bedoeld verstrekkingsregime, geen toepassing. Beroep ongegrond.

Rechtbank Amsterdam

Rechtbank Amsterdam

Een 43-jarige verdachte wordt veroordeeld voor medeplichtigheid aan oplichting, door grootschalige hulpvraagfraude te faciliteren. Door het gebruik van de simboxen en simkaarten die verdachte ter beschikking stelde, hebben de gebruikers van de simkaarten (veelal) ouderen opgelicht via WhatsApp door zich voor te doen als een zoon of dochter in nood om hen over te halen om geld over te maken. De rechtbank spreekt verdachte vrij van het onder feit 1 ten laste gelegde, nu de aangetroffen simboxapparatuur naar haar oordeel niet naar de aard daarvan kennelijk was bestemd voor het plegen van oplichting. Aan verdachte wordt een taakstraf voor de duur van 240 uren en een voorwaardelijke gevangenisstraf voor de duur van drie maanden opgelegd. De vordering van de benadeelde partijen worden gelet op het aandeel van verdachte bij de gepleegde oplichtingen voor een derde toegewezen.

Raad van State

Raad van State

Bij besluit van 22 juli 2021 heeft de minister van Financiën het verzoek van [appellant sub 2] op grond van artikel 15 van de Algemene verordening gegevensbescherming om inzage van zijn persoonsgegevens in de Fraudesignaleringsvoorziening ingewilligd en de verzoeken op grond van de artikelen 16 en 17 van de AVG om rectificatie en wissing van die gegevens afgewezen. Bij brief van 20 mei 2021 heeft de minister [appellant sub 2] ervan op de hoogte gesteld dat zijn gegevens waren opgenomen in de FSV. Bij brief van 25 juni 2021 heeft [appellant sub 2], voor zover in hoger beroep aan de orde, de minister verzocht om inzage in alle persoonsgegevens in zijn FSV-dossier en om rectificatie en wissing daarvan. Aan de Tweede Kamer is toegezegd dat tot nader order geen gegevensverwerkingen in de FSV worden gewist. De minister is in het besluit op het daartegen door [appellant sub 2] gemaakte bezwaar bij de afwijzing van de verzoeken om rectificatie en wissing gebleven. De rechtbank heeft geoordeeld dat de minister bij het besluit van 28 oktober 2021 ten onrechte niet de informatie over de bron van de gegevens in de FSV heeft verstrekt, maar dat de minister die gegevens in de beroepsfase alsnog heeft verstrekt.

FSV

Rechtbank

Beroep ongegrond, passeren motiveringsgebrek met artikel 6:22 Awb, proceskostenveroordeling. Overschrijding redelijke termijn artikel 6 EVRM, schadevergoeding

Afwijzing Woo-verzoek. Gaat om Wpg, Wjsg dan wel om AVG-gegevens. Dus vangnetbepaling art. 5.5 is n.v.t.

Rechtbank

Afwijzing Woo-verzoek. Artikel 5.5 van de Woo betreft slechts een vangnetbepaling, die hier niet van toepassing is gelet op de gegevens waar eiser om heeft verzocht en waarvoor andere regelingen gelden met een uitputtend openbaarheidsregime en/of een uitputtend bedoeld verstrekkingsregime. Beroep ongegrond.

Inzageverzoek aan voldaan.

Raad van State

Op 17 juni 2021 heeft [appellant] de Commissie Bezwaarschriften gemeente Het Hogeland op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 (hierna: AVG) verzocht om inzage in de verwerking van haar persoonsgegevens. Op 16 juli 2021 heeft het college op dit verzoek gereageerd, omdat het stelt verwerkingsverantwoordelijke te zijn voor verwerking van persoonsgegevens door de Commissie. Daarbij heeft het college 95 documenten, waarin persoonsgegevens van [appellant] voorkomen, aan [appellant] verstrekt. In het besluit van 23 november 2021 heeft het college het hiertegen gemaakte bezwaar van [appellant] gedeeltelijk gegrond verklaard voor zover het college alleen zichzelf als verwerkingsverantwoordelijke had aangemerkt.

Recht op bezwaar is iets anders dan het maken van bezwaar zoals bedoeld in art. 6:4 Awb

Raad van State

Bij besluit van 15 juli 2020 heeft het college van burgemeester en wethouders van Rotterdam het verzoek van [appellante] om inzage in persoonsgegevens op grond van artikel 15 van de Algemene verordening gegevensbescherming (hierna: AVG) ingewilligd. Bij het besluit van 15 juli 2020 heeft het college inzage verleend in de verwerkte persoonsgegevens. Daartegen heeft [appellante] bezwaar gemaakt. [appellante] heeft bij brief van 23 december 2020 de gronden van dat bezwaar aangevuld. Bij die brief heeft [appellante] zowel gronden ingebracht over de inzage als over de rechtmatigheid van de verwerking van haar persoonsgegevens.

Inzageverzoek aan voldaan volgens Rb.

Rechtbank

Inzageverzoek op grond van de AVG. Het college heeft op een juiste manier gereageerd op het AVG-verzoek. Eiser heeft niet aannemelijk gemaakt dat er meer persoonsgegevens zijn verwerkt dan in de stukken die het college heeft overlegd. Beroep gegrond omdat het college eiser een proceskostenvergoeding in bezwaar had moeten toekennen.

FSV. Inzage.

Rechtbank

Inzageverzoek FSV. Beroep gegrond. Verweerder heeft in het verweerschrift in beroep de besluitvorming nader gemotiveerd. Daaruit blijkt al dat de beslissing op bezwaar niet correct was.

ACM gegevensverzameling

Raad van State

De Autoriteit Consument en Markt (ACM) legde bestuurlijke boetes op aan eisers wegens één en dezelfde overtreding van oneerlijke handelspraktijken bij het telefonische werven van nieuwe klanten voor energieleveranciers. De ACM heeft bewijs verzameld, waaronder telemarketinggesprekken, en heeft va...

FSV. Niet aannemelijk dat gegevens uit FSV registratie zijn gedeeld.

Rechtbank

Deze uitspraak gaat over het verzoek van eiser op grond van de AVG aan de minister om inzage in zijn persoonsgegevens in de Fraude Signalering Voorziening (FSV). De minister heeft het verzoek toegewezen en een overzicht uit de FSV verstrekt. In de beslissing op bezwaar heeft de minister aanvullend inzage verleend in het onderdeel ‘aantekeningen’ bij de FSV-registratie van eiser. De rechtbank komt in deze uitspraak tot het oordeel dat eiser niet heeft aannemelijk gemaakt dat zijn persoonsgegevens uit de FSV ook met andere instanties zijn gedeeld. De aanwijzingen die eiser hiervoor aanvoert, zijn daarvoor onvoldoende. Ook is de rechtbank in dit geval niet bevoegd om aan eiser een schadevergoeding toe te kennen. Het beroep is ongegrond.

ACM oordeel over misbruik van machtspositie Apple. Datingaanbieders kunnen door de door Apple gehanteerde voorwaarden moeilijker een persoonscheck doen

Rechtbank

De rechtbank laat de aan Apple opgelegde last onder dwangsom in stand. De last was opgelegd vanwege voorwaarden die Apple in het verleden aan datingappaanbieders oplegde en die volgens de ACM kwalificeren als misbruik van een economische machtspositie in de zin van artikel 24 van de Mededingingswet (Mw) en artikel 102 van het Verdrag betreffende de Werking van de Europese Unie (VWEU). Volgens de rechtbank heeft de ACM terecht geconcludeerd dat Apple een machtspositie heeft op de markt voor appstorediensten op het mobiele besturingssysteem iOS voor datingappaanbieders. De rechtbank verwerpt de gronden van Apple tegen de marktafbakening en tegen de vaststelling dat Apple een economische machtspositie heeft. Ook heeft de ACM volgens de rechtbank terecht geconcludeerd dat Apple onbillijke voorwaarden jegens datingappaanbieders hanteerde en daarmee misbruik heeft gemaakt van haar machtspositie. De ACM was bevoegd tot het opleggen van een last onder dwangsom. Op één onderdeel gaat de opgelegde last onder dwangsom verder dan noodzakelijk om aan de overtreding een einde te maken. Volgens de rechtbank was het niet nodig om datingappaanbieders zowel de mogelijkheid te bieden een eigen in-app betaalsysteem te hanteren als de mogelijkheid te verwijzen naar verkoopkanalen buiten de app. Voor het overige blijft de last onder dwangsom in stand. In een uitspraak van 24 december 2021 (ECLI:NL:RBROT:2021:12851) had de voorzieningenrechter een deel van de opgelegde last geschorst en de maximaal te verbeuren dwangsom gehalveerd tot € 50.000.000. De rechtbank stelt in deze uitspraak vast dat Apple niet heeft voldaan aan (het niet geschorste deel van) de last onder dwangsom en dat zij de maximale dwangsom van € 50.000.000 heeft verbeurd. De ACM heeft deze verbeurde dwangsom ook kunnen invorderen.

Inzage Suwinet

Rechtbank

Varia. AVG. Inzageverzoek op grond van de AVG. Het beroep niet-tijdig beslissen is niet-ontvankelijk vanwege het ontbreken van procesbelang. De rechtbank verklaart de beroepen tegen het bestreden besluit en de dwangsombesluiten ongegrond.

FSV. Herhaald inzageverzoek mag worden afwezen als er geen nieuwe feiten of veranderende omstandigheden zijn

Rechtbank

AVG. Inzageverzoek. Herhaalde aanvraag.

Inzageverzoek n.a.v. creditcard afwijzing. Geen afwijzing o.g.v. scoremodel, maar max bestedingsbedrag dat al bij andere cc bestond.

Gerechtshof

AVG-perikelen na afwijzing aanvraag creditcard

Inzageverzoek deels afgewezen waar het gaat om namen medewerkers. Kopie document niet nodig.

Rechtbank

Inzageverzoek AVG.

OM-cassatie en cassatie verdachte.

Hoge Raad

OM-cassatie en cassatie verdachte. Phishing-fraude met behulp van valse betaalverzoeken. Medeplegen computervredebreuk, meermalen gepleegd (art. 138ab.1 Sr), medeplegen voorhanden hebben van toegangscodes (art. 139d.2.b Sr), medeplegen oplichting, meermalen gepleegd (art. 326.1 Sr) en medeplegen diefstal d.m.v. valse sleutels (art. 311.1 Sr). Onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. In dit arrest gaat de Hoge Raad in op de betekenis van recente rechtspraak van het Hof van Justitie van de Europese Unie – in het bijzonder de uitspraak in de zaak CG/Bezirkshauptmannschaft Landeck – voor de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. Deze recente rechtspraak brengt mee dat dit onderzoek op een enigszins andere manier moet worden genormeerd dan uit een eerdere uitspraak van de Hoge Raad voortvloeit. Het is aan de wetgever om een wettelijke regeling op te stellen die in haar algemeenheid voldoet aan alle in de rechtspraak van het Hof van Justitie gestelde vereisten. In afwachting van zo’n regeling ziet de Hoge Raad aanleiding om zijn eerdere rechtspraak bij te stellen. In dit arrest wordt in rechtsoverweging 5 uiteengezet wat deze bijstelling inhoudt. Vervolgens worden de cassatiemiddelen van het openbaar ministerie en van de verdachte beoordeeld (rechtsoverweging 6 en 7). In rechtsoverweging 9 geeft de Hoge Raad een samenvatting van zijn oordeel in deze zaak. Volgt verwerping. Samenhang met 22/03872 en 22/03913.

Rechtbank Amsterdam

Rechtbank Amsterdam

Gevraagde voorzieningen geweigerd

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 2/2023 over het technische topassingsgebied van artikel 5, lid 3, van de eprivacyrichtlijn

guidelines technische toepassingsgebied van artikel 5(3) e-privacyrichtlijn

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Versiegeschiedenis

guidelines uitvoeren overeenkomst

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Version history

Richtsnoeren 07/2022 voor certificering als doorgifte-instrument

Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...

Richtsnoeren 01/2021

Guidelines 07/2022 on certification as a tool for transfers

Guidelines on certification and identifying certification criteria

The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR). These guidelines provide guidance as to the applicati...

Guidelines 04/2021 on Codes of Conduct as tools for transfers

Guidelines on codes of conduct and monitoring bodies

The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Thessaloniki–Thessaly Gas Supply Company S.A.: Insufficient data processing agreement

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on Thessaloniki–Thessaly Gas Supply Company S.A. The controller, an energy provider, used external processors for direct marketing via telephone. The controller forwarded complaints by data subjects to the external processors, but failed to ensure, that the processors response was adequate, gernerally failing to adequatly controll processors.

REVMA PLUS Retail S.A.: Insufficient technical and organisational measures to ensure information security

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME: Insufficient technical and organisational measures to ensure information security

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

ONE WAY PRIVATE COMPANY: Non-compliance with general data processing principles

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

Company: Non-compliance with general data processing principles

€3,500,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 3,500,000 on a company. The controller operated a loyalty program in France and 16 other EU countries, using customer data obtained through the program to transfer it to a third party for marketing purposes. The controller had no sufficient legal basis for this transfer and also failed to inform the data subjects. Furthermore, the controller used an inadequate method to store passwords. Finally, the controller failed to conduct a data protection impact as

Geturhotels Srl: Non-compliance with general data processing principles

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on Geturhotels Srl. The controller was involved in direct marketing operations, using personal data that had not been acquired or processed in accordance with general principles of data processing.

Geturhotels Srl: Overtreding van de algemene principes voor gegevensverwerking.

Een boete van 6.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Geturhotels Srl een boete van 6.000 euro opgelegd. Het bedrijf was betrokken bij direct marketingactiviteiten en gebruikte daarbij persoonsgegevens die niet op een manier waren verkregen of verwerkt die in overeenstemming is met de algemene principes van gegevensverwerking.

Verisure Italy s.r.l.: Non-compliance with general data processing principles

€400,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 400,000 on Verisure Italy s.r.l. The controller had been active in direkt marketing activities. The controller failed to ensure that the consent provided by data subjects was valid. Additionally, the controller failed to implement adequate retention periods for the processed data. Lastly, the controller failed to adequately respond to data subjects' requests to exercise their rights, and failed to adequately inform them regarding the processing of their

Infobel: Onvoldoende juridische basis voor gegevensverwerking.

Een boete van 40.000 euro - De Belgische Autoriteit voor gegevensbescherming (APD).

De Belgische beschermingsautoriteit heeft Infobel een boete van 40.000 euro opgelegd. De verantwoordelijke, een bedrijf dat gegevens verzamelt en doorverkoopt, heeft persoonlijke gegevens verkocht voor direct marketingdoeleinden. Echter, het bedrijf heeft deze gegevens verwerkt zonder een voldoende juridische basis.

Infobel: Insufficient legal basis for data processing

€40,000 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has imposed a fine of EUR 40,000 on Infobel. The controller, a data broker, sold personal data for direct marketing purposes. However, it processed the data it had sold without a sufficient legal basis.

Verisure Italy s.r.l.: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

Cucina di Fabio S.R.L.: Insufficient legal basis for data processing

€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 3,000 on Cucina di Fabio S.R.L. The controller was active in direct marketing activities, using personal data that had not been obtained on a sufficient legal basis.

Cucina di Fabio S.R.L.: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 3.000 euro opgelegd aan Cucina di Fabio S.R.L. Het bedrijf was actief in direct marketing en gebruikte daarbij persoonsgegevens die niet op een voldoende juridische basis waren verkregen.

Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Whitedecor SRL: Insufficient legal basis for data processing

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on Whitedecor SRL. The controller had sent marketing messages to customers without a sufficient legal basis.

Whitedecor SRL: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan Whitedecor SRL. De verantwoordelijke partij had marketingberichten verstuurd naar klanten zonder een voldoende juridische basis.

FT Solutions S.r.l.: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 5.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 5.000 euro opgelegd aan FT Solutions S.r.l. Het bedrijf, dat actief was in direct marketing als verwerker van gegevens, heeft persoonsgegevens gebruikt voor dit doel zonder voldoende juridische basis. Deze gegevens waren verkregen van een derde partij, die de gegevens ook verzamelde in strijd met de principes van gegevensbescherming. Bovendien heeft de verwerker de betrokkenen niet geïnformeerd over de verwerking en geen adequate maatregelen genomen om de gegevens te beschermen.

FT Solutions S.r.l.: Non-compliance with general data processing principles

€5,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 5,000 on FT Solutions S.r.l. The fined entity had been active in direct marketing activities as a data processor. During these activities, the processor used personal data for this purpose without sufficient legal basis, obtained from a third party that also collected the data in violation of data protection principles. Furthermore, the processor failed to inform data subjects regarding the processing and to implement adequate data protection measures.

Company: Insufficient fulfilment of data subjects rights

€195,000 fine - Data Protection Authority of Hamburg (HmbBfDI)

The DPA of Hamburg has imposed a fine of EUR 195,000 on a company. The controller was active in direct marketing via post and failed to adequately respond to requests from data subjects to exercise their rights.

Bedrijf: Onvoldoende naleving van de rechten van betrokkenen (betreffende hun persoonsgegevens).

195.000 euro boete - Autoriteit voor gegevensbescherming van Hamburg (HmbBfDI).

De Duitse beschermingsautoriteit (DPA) van Hamburg heeft een bedrijf een boete van 195.000 euro opgelegd. Het bedrijf was actief in direct marketing via post en heeft niet adequaat gereageerd op verzoeken van betrokkenen om hun rechten uit te oefenen.

ICO (UK) - Allay Claims Ltd

The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications Regulations 2003 (PECR), where an organisation may send direct marketing communications to its customers even if they did not specifically consent to electronic mail. However, only the organisation that collected the contact details can rely on the soft opt-in rule. The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications

VDAI (Lithuania) - Nr. 3R-219 (2.13-1.E)

}}}} The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete access response.The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete response to an access reque

New Report Helps Journalists Dig Deeper Into Police Surveillance Technology

Report from EFF, Center for Just Journalism, and IPVM Helps Cut Through Sales HypeSAN FRANCISCO — A new report released today offers journalists tips on cutting through the sales hype about police surveillance technology and report accurately on costs, benefits, privacy, and accountability as these invasive and often ineffective tools come to communities across the nation. The “Selling Safety” report is a joint project of the Electronic Frontier Foundation (EFF), the Center for Just Journalism (

DSB (Austria) - 2025-0.813.131

}}}} The DPA held that an event organiser’s use of a data subject’s email address, provided for ticket purchase, to send a marketing email without consent and to disclose the address via an open CC field violated the subject’s right to secrecyThe DPA held that an event organiser violated a customer’s right to privacy when it submitted them marketing emails without their prior consent and by sending them those emails in CC, disclosing their address to a large group of third parties. == English Su

Stakeholder event on political advertising: express your interest

Brussels, 29 January - The EDPB organises a remote event to collect stakeholders’ input on its Guidelines on the processing of personal data to target or deliver political advertisements under the regulation on the transparency and targeting of political advertising. The event will take place on 27 March 2026 (time to be confirmed). This will be an opportunity to inform and support the EDPB’s ongoing work on this topic as per its work programme 2024-2025 and it reflects the EDPB’s commitment to

Report: ICE Using Palantir Tool That Feeds On Medicaid Data

EFF last summer asked a federal judge to block the federal government from using Medicaid data to identify and deport immigrants. We also warned about the danger of the Trump administration consolidating all of the government’s information into a single searchable, AI-driven interface with help from Palantir, a company that has a shaky-at-best record on privacy and human rights. Now we have the first evidence that our concerns have become reality. “Palantir is working on a tool for Immigration a

Autoriteit voor de bescherming van persoonlijke gegevens (Italië) - 10201989

Feiten === Feiten ====== Feiten === Twee betrokkenen, waarvan één een voormalige klant en de andere een potentiële klant, hebben klachten ingediend bij de gegevensbeschermingsautoriteit (DPA) met betrekking tot herhaalde marketinggesprekken en -berichten van Verisure Italy, ondanks dat ze expliciet hadden verzocht om het stoppen van dergelijke communicatie. Twee betrokkenen, waarvan één een voormalige klant en de andere een potentiële klant, hebben klachten ingediend bij de DPA omdat ze herhaaldelijk marketinggesprekken en -berichten ontvingen van Verisure Italy, ondanks dat ze expliciet hadden verzocht om het stoppen van dergelijke communicatie.

Authority for the protection of personal data (Italy) - 10201989

The Italian data protection authority (DPA) has fined Verisure Italy €400,000 for unlawful marketing communications. The company lacked a valid legal basis for its marketing activities, which targeted both existing and potential customers. Furthermore, it failed to adequately inform data subjects, applied unreasonably long or undefined data retention periods, and responded too late to requests from data subjects regarding their rights. The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The company...

Authority for the Protection of Personal Data (Italy) - 10201989

Facts: Two individuals, one a former customer and the other a potential customer, have filed complaints with the data protection authority (DPA) regarding repeated marketing calls and messages from Verisure Italy, despite having explicitly requested that such communication be stopped. Two individuals, one a former customer and the other a potential customer, have filed complaints with the DPA because they repeatedly received marketing calls and messages from Verisure Italy, despite having explicitly requested that such communication be stopped.

Garante per la protezione dei dati personali (Italy) - 10201989

Facts === Facts ====== Facts === Two data subjects, one a former client and the other a prospective client, lodged complaints with the DPA concerning repeated marketing calls and messages from Verisure Italy, despite having expressly requested that such communications cease.Two data subjects, one a former client and the other a prospective client, lodged complaints with the DPA because they received repeated marketing calls and messages from Verisure Italy, despite having expressly requested tha

Autoriteit voor de bescherming van persoonlijke gegevens (Italië) - 10201989

}}}} De Italiaanse beschermingsautoriteit (DPA) heeft Verisure Italy een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had geen geldige juridische basis voor marketingactiviteiten gericht aan zowel bestaande als potentiële klanten, heeft gegevensonderwerpen niet voldoende geïnformeerd, heeft onredelijk lange of onbepaalde bewaartermijnen toegepast en heeft te laat gereageerd op verzoeken van gegevensonderwerpen met betrekking tot hun rechten. De DPA heeft Verisure Italy, een leverancier van alarmsystemen, een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had een...

Garante per la protezione dei dati personali (Italy) - 10201989

}}}} The DPA imposed a fine of €400,000 on Verisure Italy for unlawful marketing communications. The controller lacked a valid legal basis for marketing activities towards both former and prospective clients, failed to properly inform data subjects, applied excessive or indeterminate retention periods, and responded late to data subject rights requests.The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The controller lacked a

How Hackers Are Fighting Back Against ICE

Read more about how ICE has spent hundreds of millions of dollars on surveillance technology to spy on anyone—and potentially everyone—in the United States, and how to follow the Homeland Security Spending Trail.. ICE has been invading U.S. cities, targeting, surveilling, harassing, assaulting, detaining, and torturing people who are undocumented immigrants. They also have targeted people with work permits, asylum seekers, permanent residents (people holding “green cards”), naturalized citizens,

How hackers are resisting ICE (Immigration and Customs Enforcement).

Learn more about how ICE (Immigration and Customs Enforcement) has spent hundreds of millions of dollars on surveillance technology to spy on everyone – and potentially the entire population – in the United States, and how you can track the spending of the Department of Homeland Security. ICE has been conducting raids in American cities, targeting, observing, intimidating, mistreating, arresting, and torturing people who are living in the country illegally. They have also been targeting people with work permits, asylum seekers, permanent residents (people with a "green card"), and naturalized citizens.

The judge has granted Meta a limited extension in the lawsuit filed by Bits of Freedom.

In early October, the organization Bits of Freedom, which advocates for digital human rights, filed a lawsuit against Meta. The organization demanded that Meta provide its users with the option to choose a news feed in apps like Instagram and Facebook that is not based on profiling. The court ruled in favor of Bits of Freedom and ordered Meta to modify its apps within two weeks. Meta claimed that such changes were not possible within that timeframe and requested a postponement from the Amsterdam Court of Appeal. The court has now issued its ruling.

De rechter heeft Meta een beperkte uitstel toegekend in de rechtszaak die door Bits of Freedom is aangespannen.

In het begin van oktober spande de organisatie Bits of Freedom, die zich inzet voor digitale mensenrechten, een rechtszaak aan tegen Meta. De organisatie eiste dat Meta haar gebruikers de mogelijkheid biedt om in apps zoals Instagram en Facebook een nieuwsfeed te kiezen die niet gebaseerd is op profilering. De rechter sprak in het voordeel van Bits of Freedom en veroordeelde Meta om haar apps binnen twee weken aan te passen. Meta beweerde dat dergelijke wijzigingen binnen die termijn niet mogelijk waren en vroeg het Gerechtshof in Amsterdam om een uitstel. Het hof heeft nu uitspraak gedaan.

Judge grants Meta limited postponement in Bits of Freedom lawsuit

In early October, digital human rights organization Bits of Freedom took Meta to court. The organization demanded that Meta offers its users on in apps such as Instagram and Facebook the option to choose a feed that is not based on profiling. The judge ruled in favour of Bits of Freedom and ordered Meta to modify its apps within two weeks. Meta claimed that such changes were impossible to deliver in that timeframe and asked the Amsterdam Court of Appeal for a postponement. The court has now rule

Health data and use of cookies: DOCTISSIMO fined €380,000

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

“Social media profiles and phone contacts” used as proof of identity for deportations

> Thirteen non-EU countries sometimes accept “social media profiles and phone contacts” as evidence of identity for the purpose of deportations, according to an internal European Commission assessment of third country cooperation on readmission.

Court rules on Experian appeal of ICO enforcement notice

> The First-Tier Tribunal overturned portions of a 2020 enforcement notice by the U.K. Information Commissioner's Office against Experian, confirming the company's reliance on legitimate interests as a legal basis for processing credit reference agency information for direct marketing purposes. Deputy Commissioner Stephen Bonner, CIPP/E, CIPM, said marketing processes "must happen in line with the law and in an open and honest way" and the ICO noted it will consider an app