AI Act Violations
The content specifically addresses 'Non-compliance' as a distinct legal concept under the DSA/AI Act framework. This requires a dedicated topic to comprehensively cover violation types, determination procedures, consequences, and remediation mechanisms that are not fully captured by existing penalty or enforcement topics.
non-compliance violation breach infringement failure to comply regulatory violation compliance failure violation types
Overview
21 sources · Feb 17, 2026Legal Framework
Article 87 of the Artificial Intelligence Act integrates Directive (EU) 2019/1937, applying the Whistleblowing Directive’s reporting mechanisms and protective measures to infringements of the AI Act. This establishes mandatory internal and external reporting channels for persons who acquire information about AI system violations in a work-related context, shielding reporters from retaliation while ensuring competent authorities receive actionable intelligence.
Recital 144 of the Digital Services Act provides the overarching penalty architecture applicable across the DSA/AI Act enforcement ecosystem. It mandates that compliance be enforceable through fines and periodic penalty payments, subject to the principles of proportionality and ne bis in idem. The provision requires coordination between the Commission and national authorities to ensure consistent application of limitation periods and penalty levels, preventing divergent enforcement across Member States.
Key Developments
The Court of Justice’s ruling in Peter Puškár v Finančné riaditeľstvo Slovenskej republiky establishes that Article 47 of the Charter of Fundamental Rights precludes national courts from rejecting evidence of infringements solely because the data subject obtained personal data without the controller’s consent. This creates a high threshold for excluding evidence in violation proceedings, emphasizing fair hearing guarantees over procedural technicalities.
Jehovah’s Witnesses confirms that exercise of data subject rights cannot be systematically denied based on privacy violations without individualized circumstance analysis (¶¶ 89-94), requiring case-by-case balancing even in enforcement contexts.
Enforcement patterns from the Romanian National Supervisory Authority (ANSPDCP) and Spanish Data Protection Authority (AEPD) demonstrate penalty calibration methodologies. The ANSPDCP’s €10,000 fine against a natural person for identity document processing and the AEPD’s €1,200 penalty against a dental clinic for video surveillance violations illustrate proportionality assessments based on entity type, infringement severity, and operational context.
Recent regulatory activity includes the Irish Data Protection Commission’s 2026 probe into Grok’s sexual AI imagery generation, signaling emerging enforcement focus on generative AI violations and coordinated cross-border investigation protocols.
Practical Guidance
Deploy whistleblower infrastructure: Implement internal reporting mechanisms complying with Directive 2019/1937 standards, ensuring confidentiality protections for persons reporting Article 87 AI Act infringements.
Maintain evidence integrity: Document the provenance of data used to prove violations, following Peter Puškár standards on Article 47 Charter compliance regarding admissibility of evidence obtained without controller consent.
Coordinate authority interfaces: Structure compliance teams to manage simultaneous Commission and national authority investigations, per DSA Recital 144’s coordination requirements and ne bis in idem safeguards.
Calibrate liability exposure: Assess violation risks using proportionality matrices distinguishing natural person from corporate liability, referencing ANSPDCP and AEPD penalty scales for non-compliant processing activities.
Conduct individualized assessments: Before denying access or procedural rights in enforcement contexts, perform specific circumstance analysis as required by Jehovah’s Witnesses, avoiding systematic exclusion of defenses.
Laws (151)
View all 151Article 85
Right to lodge a complaint with a market surveillance authority
Recital 169
Recital 157
Recital 164
Recital 168
Recital 160
Recital 170
Article 87
Melding van inbreuken en bescherming van melders
Recital 162
Article 83
Formal non-compliance
Article 85
Recht om een klacht in te dienen bij een markttoezichtautoriteit
Recital 164
Recital 160
Recital 155
Recital 43
Recital 168
Recital 58
Recital 60
Recital 59
Case Law (392)
View all 392ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24
Rechtbank Limburg
Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.
ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25
Rechtbank Amsterdam
Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.
ECLI:NL:RBAMS:2026:1585 Rechtbank Amsterdam , 12-02-2026 / 13/335542-25
Rechtbank Amsterdam
De rechtbank is van oordeel dat er voor gedetineerden in de detentie-instelling Fresnes een algemeen reëel gevaar bestaat dat zij aan een onmenselijke of vernederende behandeling zullen worden blootgesteld in de zin van artikel 4 Handvest. De rechtbank baseert het algemene gevaar voor de detentie-instelling Fresnes op de overbevolkingsproblematiek en de hiervoor weergegeven slechte materiële detentieomstandigheden, het niet-functionerende intercomsysteem en het ontoereikende niveau van de gezondheidszorg. De rechtbank stelt vast dat er voor de opgeëiste persoon een individueel gevaar bestaat van schending van zijn grondrechten wegens de detentieomstandigheden in de detentie-instelling in Fresnes. De rechtbank stelt, ingevolge artikel 11, vierde lid, OLW, een redelijke termijn van 60 dagen.
ECLI:NL:RBGEL:2026:955 Rechtbank Gelderland , 11-02-2026 / AWB - 23 _ 5470
Rechtbank Gelderland
Deze uitspraak gaat over het besluit van de minister op een verzoek van eiser om inzage in of het verkrijgen van een afschrift van dagrapportages die over hem zijn bijgehouden. De rechtbank komt in deze uitspraak tot het oordeel dat de minister met een aanvullend besluit op juiste wijze inzage heeft gegeven in de dagrapportages die over eiser zijn bijgehouden.
ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3
Raad van State
Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.
ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24
Rechtbank Gelderland
Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.
ECLI:NL:RBAMS:2026:1393 Rechtbank Amsterdam , 10-02-2026 / 13-313776-25
Rechtbank Amsterdam
Executie-EAB uit Hongarije. Verweer ten aanzien van het ontbreken van dubbele strafbaarheid verworpen: nu kortgezegd voldoende is dat zij onder enige Nederlandse strafbepaling valt. De overige aspecten vallen buiten de reikwijdte van de OLW. Verweer ten aanzien van de stelselevenredigheid verworpen. Gelijkstellingsverweer verworpen nu geen stukken daartoe zijn overgelegd. Verweer ten aanzien van de Hongaarse detentieomstandigheden verworpen, nu geen sprake is van een algemeen gevaar, komt de rb niet toe aan de beoordeling van een individueel gevaar. Overlevering toegestaan.
ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285
Rechtbank Noord-Holland
AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.
ECLI:NL:RBAMS:2026:1332 Rechtbank Amsterdam , 05-02-2026 / 1326539625
Rechtbank Amsterdam
executie-EAB Polen, overlevering toestaan, artikel 11 OLW, artikel 12 OLW, afzien van weigeren
ECLI:NL:RBAMS:2026:1703 Rechtbank Amsterdam , 03-02-2026 / 13-266022-25 (EAB I)
Rechtbank Amsterdam
Vervolgings-EAB Polen. Geen gevolg gegeven aan het EAB. Officier van justitie niet-ontvankelijk verklaard. De rechtbank kan niet beoordelen of het algemene reële gevaar, dat de opgeëiste persoon structureel 23 uur per dag in zijn cel moet doorbrengen, kan worden uitgesloten.
ECLI:NL:RBAMS:2026:1395 Rechtbank Amsterdam , 03-02-2026 / 13-297861-25 (EAB II)
Rechtbank Amsterdam
Vervolgings-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1394 Rechtbank Amsterdam , 03-02-2026 / 13-297778-25 (EAB I)
Rechtbank Amsterdam
Vervolgings- en executie-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1356 Rechtbank Amsterdam , 29-01-2026 / 13/262371-25
Rechtbank Amsterdam
Executie-EAB uit Slowakije. Artikel 12 OLW: geen sprake van een onvoorwaardelijk recht op een verzetprocedure. Afzien van toepassing van de weigeringsgrond, omdat de opgeëiste persoon op de hoogte was van de procedure in eerste aanleg en er rekening mee heeft moeten houden dat een procedure in hoger beroep zou kunnen volgen. Artikel 11 OLW: de raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overlegd waaruit blijkt dat er wel sprake is van een algemeen gevaar ten aanzien van veroordeelde gedetineerden in Slowakije. Overlevering toegestaan.
ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252
Rechtbank Den Haag
Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.
ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445
Rechtbank Limburg
Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?
ECLI:NL:RBAMS:2026:94 Rechtbank Amsterdam , 28-01-2026 / 777961 HA ZA 25-1657
Rechtbank Amsterdam
Burenzaak, erfgrens onder haag/heg of elders? 5:36, tegenbewijs geleverd met kadaster grensreconstructie - erfgrens ligt niet onder haag. Eigendomsverkrijging door verjaring? Slaagt niet, geen ondubbelzinnig bezit. Vordering toegewezen.
ECLI:NL:GHARL:2026:557 Gerechtshof Arnhem-Leeuwarden , 27-01-2026 / 22/1113 tm 22/1118 en 22/1119, 22/1121 en 22/1122
Gerechtshof Arnhem-Leeuwarden
Verzoek beperkte kennisneming.
Rechtbank Amsterdam
Rechtbank Amsterdam
Verzoek afgewezen
ECLI:NL:RBLIM:2026:400 Rechtbank Limburg , 22-01-2026 / 11924727 \ AZ VERZ 25-112
Rechtbank Limburg
Ambtenaar. Belastingdienst. Verboden nevenwerkzaamheden. Onbevoegd raadplegen van systemen belastingdienst. Schending integriteitsnormen. Ernstig verwijtbaar handelen. Ontbinding arbeidsovereenkomst.
ECLI:NL:RBAMS:2026:1465 Rechtbank Amsterdam , 20-01-2026 / 13/283218-25 (EAB I)
Rechtbank Amsterdam
EAB Polen; overlevering geweigerd o.g.v. artikel 12 OLW
Guidance (66)
View all 66Artikelen
AP
Na een datalek melding op 1 sept 2021 is de Autoriteit Persoonsgegevens onderzoek gaan doen en heeft uiteindelijk 15 dec 2025 een boete opgelegd van EUR 175.000 aan de HAN. De overtredingen zijn (1) Onvoldoende maatregelen tegen SQL-injectie genomen ; (2) Het niet beperken van toegangsrechten van...
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Version history
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Guidelines on the calculation of administrative fines under the GDPR
The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...
Guidelines 07/2020 on the concepts of controller and processor in the GDPR
Guidelines on the concepts of controller and processor in the GDPR
The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...
Guidelines 01/2021
Guidelines on Examples regarding Personal Data Breach Notification
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Version history
Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies
Guidelines 02/2024 on Article 48 GDPR
Article 48 GDPR provides that: ' Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer...
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Versiegeschiedenis
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...
Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker
guidelines bepalen leidende toezichthouder
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)
Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive
Guidelines on technical scope of art. 5(3) of ePrivacy Directive
Enforcement (1342)
View all 1342Natural Person: Non-compliance with general data processing principles
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on a natural person. The controller operated a website on which identity cards containing personal data, including special category data, possible criminal convictions, data on the intimate lives of data subjects and possible debts, were published. The processing of this data was not based on a sufficient legal basis, and the controller did not ensure that the data was correct, complete or transparent. Furthermore, the controller did not adequate
Dental Clinic: Non-compliance with general data processing principles
€1,200 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1,200 on a dental clinic. The controller used video surveillance in its clinic for security purposes, including a camera in the doctor's office where patients were treated. This resulted in excessive data processing. The original fine of EUR 2,000 was reduced to EUR 1,200 due to immediate payment and admission of responsibility by the controller.
KVIKU SPAIN, S.L.: Non-compliance with general data processing principles
€8,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 8,000 on KVIKU SPAIN, S.L.The controller requires customers to send a photo of themselves holding their ID card when verifying their identities, which violates the principle of data minimisation. The original fine of EUR 10,000 was reduced to EUR 8,000 due to immediate payment by the controller.
Commandant van de Stedelijke Politie van Krakau: Niet-naleving van de algemene principes voor gegevensverwerking.
18.500 euro boete - Poolse nationale autoriteit voor de bescherming van persoonlijke gegevens (UODO).
De Poolse gegevensbeschermingsautoriteit heeft een boete van 18.500 euro opgelegd aan de regionale politie van Krakau. De autoriteit heeft persoonlijke gegevens, waaronder medische gegevens, van een betrokkene gepubliceerd die betrokken was bij een politieonderzoek. Deze publicatie was niet noodzakelijk voor het beoogde doel.
Komendanta Miejskiego Policji w Krakowie: Non-compliance with general data processing principles
€18,500 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposd a fine of EUR 18,500 on the Komendanta Miejskiego Policji w Krakowie. The controller published personal data, including health data, of a data subject that had been involved in a police investigation, which was not necessary for the purpose of the publication.
FREE: Insufficient technical and organisational measures to ensure information security
€15,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 15,000,000 on FREE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email.
FREE MOBILE: Insufficient technical and organisational measures to ensure information security
€27,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 27,000,000 on FREE MOBILE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email. Lastly, the controller failed to adequately sort data and retain persona
ONE WAY PRIVATE COMPANY: Non-compliance with general data processing principles
€80,000 fine - Hellenic Data Protection Authority (HDPA)
The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had
ENDESA (energieleverancier): Onvoldoende juridische basis voor de verwerking van gegevens.
Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De bankrekening van de klager werd belast door ENDESA, waarbij de begunstigde een derde partij was. Deze derde partij was veroordeeld volgens het strafrecht en had een bevel van twee jaar gekregen dat betrekking had op de klager, haar woonplaats en werkplek. In plaats van de contractgegevens zoals gevraagd door de klager aan te passen, heeft ENDESA per ongeluk haar gegevens verwijderd en de gegevens van de derde partij ingevoerd. De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat de openbaarmaking van de gegevens van de klager aan de derde partij een ernstige schending was van het principe van vertrouwelijkheid.
Vodafone España, S.A.U.: Non-compliance with general data processing principles
€5,000 fine - Spanish Data Protection Authority (aepd)
The spanish telecommunications and informations agancy (SETSI) decided Vodafone had to reimburse a customer for costs he was wrongfully charged for. Nevertheless, Vodafone reported personal data of this respective customer to a solvency registry (BADEXCUG). The AEPD found this behaviour violated the principle of accuracy.
Company: Non-compliance with general data processing principles
€3,500,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 3,500,000 on a company. The controller operated a loyalty program in France and 16 other EU countries, using customer data obtained through the program to transfer it to a third party for marketing purposes. The controller had no sufficient legal basis for this transfer and also failed to inform the data subjects. Furthermore, the controller used an inadequate method to store passwords. Finally, the controller failed to conduct a data protection impact as
SLOVAKIA DPA: Insufficient technical and organisational measures to ensure information security
Slovak Data Protection Office
Violation of information security measures (no further information available at the moment)
SLOVAKIA DPA: Insufficient legal basis for data processing
Slovak Data Protection Office
Personal data have been unlawfully published on the website of a city within the framework of fulfilling its disclosure obligation under the Freedom of Information Act. However, the Data Protection Authority stated that the City had published the personal data in violation of the law and without the consent of the person concerned.
ENDESA (energy supplyer): Insufficient legal basis for data processing
€60,000 fine - Spanish Data Protection Authority (aepd)
The complainant's bank account was charged by ENDESA, the beneficiary of which was a third party, who had been convicted under criminal law and imposed with a two-year restraining order regarding the claimant, her domicile and work. Instead amending the contract details as requested by the claimant ENDESA deleted her data erroneously and fillid in the data of the third party. The AEPD found the disclosure of the claimant's data to the third party was a severe violation of the principle of confid
SLOVENAKIË: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Slovaakse Autoriteit voor Gegevensbescherming.
Overtreding van maatregelen ter bescherming van de informatiebeveiliging (op dit moment zijn er geen verdere details beschikbaar).
Slovak Telekom: Insufficient technical and organisational measures to ensure information security
€40,000 fine - Slovak Data Protection Office
The controller did not take adequate security measures when processing personal data, thereby breaching the obligation to protect the processed personal data.
Vodafone España, S.A.U.: Overtreding van de algemene principes voor gegevensverwerking.
Een boete van 5.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse telecommunicatie- en informatiestructuur (SETSI) heeft besloten dat Vodafone een klant moest vergoeden voor kosten die ten onrechte aan hem waren doorbelast. Desondanks heeft Vodafone persoonlijke gegevens van deze betreffende klant doorgegeven aan een kredietregistratiebureau (BADEXCUG). De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat dit gedrag in strijd is met het beginsel van juistheid.
Order of General Nurses, Midwives and Medical Assistants of Romania – Neamt Branch: Non-compliance with general data processing principles
€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 2,000 on the Order of General Nurses, Midwives and Medical Assistants of Romania – Neamt Branch. The controller used video surveillance in a manner that was not in accordance with the GDPR.
Orde van Algemene Verpleegkundigen, Verloskundigen en Medische Assistenten van Roemenië – Afdeling Neamt: Niet-naleving van de algemene principes voor gegevensverwerking.
Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming heeft een boete van 2.000 euro opgelegd aan de Roemeense vereniging van algemene verpleegkundigen, verloskundigen en medische assistenten, afdeling Neamt. De verantwoordelijke partij heeft videobewaking gebruikt op een manier die niet in overeenstemming is met de Algemene Verordening Gegevensbescherming (AVG).
Geturhotels Srl: Non-compliance with general data processing principles
€6,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 6,000 on Geturhotels Srl. The controller was involved in direct marketing operations, using personal data that had not been acquired or processed in accordance with general principles of data processing.
News (152)
View all 152#KeepItOn: authorities must reverse social media shutdown order and restore access in Gabon
We urgently demand the government of Gabon to immediately reverse orders to shut down social media indefinitely in the country. The order is in gross violation of national and international human rights frameworks and must not be allowed to continue. The post #KeepItOn: authorities must reverse social media shutdown order and restore access in Gabon appeared first on Access Now.
Irish watchdog opens EU data probe into Grok sexual AI imagery
The inquiry concerns potential breaches of the bloc’s General Data Protection Regulation
Garante per la protezione dei dati personali (Italy) - 10214411
Facts: typo The Local Territorial Agency for Residential Housing (Azienda territoriale per l’edilizia residenziale) submitted a complaint to the DPA regarding the installation of security cameras by the business “Macelleria La Costata s.r.l.s.”, a local butcher . The Local Territorial Agency for Residential Housing (Azienda territoriale per l’edilizia residenziale) submitted a complaint to the DPA regarding the installation of security cameras by the business “Macelleria La Costata s.r.l.s.”, a
Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027
Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027, which is grounded in the four pillars of the EDPB strategy 2024-2027. The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation. Easing compliance is at the top of
Seven Billion Reasons for Facebook to Abandon its Face Recognition Plans
The New York Times reported that Meta is considering adding face recognition technology to its smart glasses. According to an internal Meta document, the company may launch the product “during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” This is a bad idea that Meta should abandon. If adopted and released to the public, it would violate the privacy rights of millions of people and cost the
Discord Voluntarily Pushes Mandatory Age Verification Despite Recent Data Breach
Discord has begun rolling out mandatory age verification and the internet is, understandably, freaking out. At EFF, we’ve been raising the alarm about age verification mandates for years. In December, we launched our Age Verification Resource Hub to push back against laws and platform policies that require users to hand over sensitive personal information just to access basic online services. At the time, age gates were largely enforced in polities where it was mandated by law. Now they’re landi
AEPD (Spain) - PS-00456-2025
Holding === Holding ====== Holding === The DPA upheld the complaint and found an infringement of [[Article 6 GDPR#1|Article 6(1) GDPR]]. The Authority clarified that the necessity for the performance of a contract must be interpreted strictly and covers only processing that is objectively necessary, not merely useful or convenient.The DPA upheld the complaint and found an infringement of [[Article 6 GDPR#1|Article 6(1) GDPR]]. The DPA clarified that the necessity for the performance of a contrac
UODO (Poland) - DKN.5131.4.2025
English Summary }}}} The DPA fined the Polish national postal operator €232k for a DPO conflict of interest. The DPO concurrently served as a Security Director and company proxy, effectively monitoring their own decisions regarding the means of data processing.The DPA fined the national postal operator €232,000 for appointing a DPO with a conflict of interest. The DPO concurrently served as a Security Director and representative of the controller, effectively monitoring their own decisions regar
AEPD (Spain) - PS-00456-2025
Facts }}}} The DPA fined a business support company with 80,000 euros for transferring personal data from its employees to a third party without the proper legal basis, in violation of Art. 6 (1) GDPR.The DPA fined a customer support provider €80,000 for unlawfully transferring its employees’ private phone numbers to its business customer without a valid legal basis. == English Summary ==== English Summary == === Facts ====== Facts === MAJOREL SP SOLUTIONS, S.A. (the controller) entered into an
EDRi welcomes EU preliminary findings on TikTok’s addictive platform design
The European Commission preliminarily found that TikTok was in breach of the Digital Services Act (DSA) due to the addictive design of its platform. EDRi welcomes this decision and urges TikTok to swiftly mitigate the risks to which its users are exposed. The post EDRi welcomes EU preliminary findings on TikTok’s addictive platform design appeared first on European Digital Rights (EDRi).
EFF Statement on ICE and CBP Violence
Dangerously unchecked surveillance and rights violations have been a throughline of the Department of Homeland Security since the agency’s creation in the wake of the September 11th attacks. In particular, Immigration and Customs Enforcement (ICE) and Customs and Border Protection (CBP) have been responsible for countless civil liberties and digital rights violations since that time. In the past year, however, ICE and CBP have descended into utter lawlessness, repeatedly refusing to exercise or
Search Engines, AI, And The Long Fight Over Fair Use
We're taking part in Copyright Week, a series of actions and discussions supporting key principles that should guide copyright policy. Every day this week, various groups are taking on different elements of copyright law and policy, and addressing what's at stake, and what we need to do to make sure that copyright promotes creativity and innovation. Long before generative AI, copyright holders warned that new technologies for reading and analyzing information would destroy creativity.
EDRi launches new resource to document abuses and support a full ban on spyware in Europe
Spyware continues to spread across Europe despite years of scandals and undisputable evidence of fundamental rights violations. As the European Commission remains inactive, civil society, journalists and some lawmakers at the European Parliament are stepping up pressure for accountability. In this context, EDRi is launching a document pool to centralise resources that tracks abuse and support the growing push for a full EU-wide ban of spyware. The post EDRi launches new resource to document abus
Fighting for algorithmic justice: lessons learned in working closely with affected people
Bits of Freedom shares lessons learned while working on “Amsterdam Top400”, an invasive municipality project which involved the use of predictive policing and led to unwanted interference in the private lives of young people. Together with a coalition of professionals from different background and affected individuals, they explored the possibility of holding the municipality of Amsterdam accountable for violations of children’s rights, data protection law, and fundamental freedoms. The post Fig
💾 The Worst Data Breaches of 2025—And What You Can Do | EFFector 38.1
So many data breaches happen throughout the year that it can be pretty easy to gloss over not just if, but how many different breaches compromised your data. We're diving into these data breaches and more with our latest EFFector newsletter. Since 1990, EFFector has been your guide to understanding the intersection of technology, civil liberties, and the law. This latest issue tracks U.S. Immigration and Customs Enforcement's (ICE) surveillance spending spree, explains how hackers are
Hof van Justitie Frankfurt am Main - 6 U 81/23
}}}} Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd en de betrokkene geen verlies van controle over zijn gegevens heeft geleden, oordeelde het gerecht dat het gevoel van bewaakt worden een vorm van immateriële schade vormde. Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd, en
CNIL (France) - SAN-2025-015
Fixed link: "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" Initially, the data protection authority (DPA) rejected this argument based on a violation of Article 6 of the European Convention on Human Rights (ECHR). The DPA pointed out that the right not to be required to prove someone's guilt does not conflict with the sharing of internal reports from the complainant, even under coercive measures. Furthermore, the publicly available reports constitute evidence upon which the DPA can base its reasoning. Initially,
OGS Zagreb - Case number Pn-1378/2023-18.
Summary: A court has awarded €3,500 to a person whose financial data was accidentally sent to another customer by a bank. The court ruled that this unauthorized disclosure constituted a violation of the person's right to privacy and that non-pecuniary damages were involved. Summary: A court has awarded €3,500 to a person whose financial data was accidentally sent to another customer by a bank. The court ruled that this unauthorized disclosure constituted a violation of the person's right to privacy and that non-pecuniary damages were involved. == Summary == Summary == === Conclusion ======
Court of Zadar - Case number K-648/2025-2.
Facts: A court has sentenced a person to six months of imprisonment, with the sentence suspended, for unauthorized access to and use of the personal data of 334 customers without consent, in violation of Article 6, paragraph 1, of the GDPR, and for unauthorized access to company systems. A court has sentenced a person to six months of imprisonment, with the sentence suspended, for unauthorized access to and use of the personal data of 334 customers without consent, in violation of the national Penal Code and Article 6, paragraph 1, of the GDPR. == And
OLG Frankfurt am Main - 6 U 81/23
}}}} The Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and the data subject suffered no loss of control over his data, the court held that the feeling of being monitored constituted non-material damage.A Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and