Political Opinions
Processing of political views and affiliations
political opinions political views political affiliation
Overview
Legal Framework
The processing of data revealing political opinions is governed by Article 9(1) of the General Data Protection Regulation (GDPR), which establishes a general prohibition on processing such "special category data." This prohibition is rooted in the significant risks this processing poses to fundamental rights and freedoms, as these data are inherently sensitive. The prohibition applies irrespective of the accuracy of the data; even incorrect attributions of political opinions fall under this strict regime. Under the AI Act, Recital 30 explicitly prohibits the use of AI systems for biometric categorisation to infer an individual's political opinions.
Practical Application
The prohibition under Article 9(1) GDPR is not absolute. Processing is permitted only if a specific exception under Article 9(2) applies. These exceptions vary in legal character. Notably, exceptions under Article 9(2)(a) (explicit consent), (c) (vital interests), (d) (non-profit activities), (e) (manifestly made public data), and (f) (legal claims) have direct effect under the GDPR and can serve as a direct legal basis without requiring further national implementation. Other exceptions may be subject to member state law. In practice, organizations must identify and rely on one of these narrow exceptions. Case law, such as Dennekamp v European Parliament, demonstrates that a mere assertion that data reveals political opinions is insufficient; the specific risk to privacy must be substantiated. The AI Act's prohibition on inferring political opinions via biometric categorisation systems adds a specific, high-risk context where such processing is banned outright.
Key Considerations
- Identify a Valid Exception: Before any processing, conclusively determine which specific exception under Article 9(2) GDPR applies (e.g., explicit consent, data manifestly made public). Do not proceed without this clear, documented legal basis.
- Prohibition on Inference: Under the AI Act, the use of AI systems for biometric categorisation to deduce or infer political opinions is prohibited. This creates a separate, strict ban alongside the GDPR's conditional framework.
- Substantiate the Classification: If classifying data as revealing political opinions, be prepared to substantiate why, as courts will not accept unsubstantiated claims. This is critical for justifying any restrictive measures based on this classification.
Laws (8)
Case Law (9)
ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3
Raad van State
Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.
ECLI:NL:HR:2025:1247 Hoge Raad , 09-09-2025 / 24/01192
Hoge Raad
Deelname aan criminele drugsorganisatie (art. 11b.1 Opiumwet), medeplegen verkopen van cocaïne, meermalen gepleegd (art. 2.B Opiumwet), aanwezig hebben van cocaïne (art. 2.C Opiumwet) en eenvoudig witwassen (art. 420bis.1 Sr). Post-Landeck, onderzoek aan smartphones. Verweer dat strekt tot uitsluiting van bewijs van resultaten van onderzoek aan smartphones van verdachte. HR herhaalt relevante overwegingen uit HR:2025:409 over eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. Hof heeft vastgesteld dat door politie bij verdachte smartphones zijn aangetroffen. Deze zijn met toestemming van OvJ “doorzocht”. Daarbij is gezocht op voor strafrechtelijk onderzoek relevante informatie. Zo is gekeken naar zaken die te maken hebben met handel in verdovende middelen, crimineel samenwerkingsverband, witwassen en zaken die gebruiker van betreffende telefoons konden aantonen. Doel van “uitlezen” van telefoons van verdachte was verzamelen van informatie over wie gebruiker was van deze telefoons en het doen van onderzoek naar strafbare feiten, eventuele medeverdachten en mogelijk witwassen. Bij zoeken in telefoons zijn door politie zoektermen gebruikt die te maken hadden met aard van dit onderzoek. ’s Hofs op deze vaststellingen gebaseerde oordeel dat algemene bevoegdheid van opsporingsambtenaren, neergelegd in art. 94 jo. art. 95 en 96 Sv, voldoende legitimatie bood voor dit onderzoek aan smartphones van verdachte en dat geen toestemming van RC nodig was voor uitvoeren van dit onderzoek “nu er geen min of meer compleet beeld is verkregen van zijn privéleven”, is in het licht van wat hiervoor is vooropgesteld en van wat door verdediging in hoger beroep naar voren is gebracht, niet toereikend gemotiveerd. Uit die vaststellingen volgt immers niet dat onderzoek aan smartphones beperkt is gebleven tot onderzoek dat slechts strekte tot identificeren van gebruiker, of tot bijvoorbeeld onderzoek dat opsporings
Handhavingsverzoek. Aantekening van verwijderverzoek door GGNet mag blijven bestaan. Uitzondering art. 9(2)(h) AVG van toepassing. Dossierplicht bestaat ook voor verpleegkundige bij een intakegesprek van deze aard.
Raad van State
Bij besluit van 12 juli 2019 heeft de Autoriteit Persoonsgegevens het handhavingsverzoek van [appellante] afgewezen. Bij besluit van 25 juni 2020 heeft de AP het door [appellante] daartegen gemaakte bezwaar ongegrond verklaard.
OM-cassatie en cassatie verdachte.
Hoge Raad
OM-cassatie en cassatie verdachte. Phishing-fraude met behulp van valse betaalverzoeken. Medeplegen computervredebreuk, meermalen gepleegd (art. 138ab.1 Sr), medeplegen voorhanden hebben van toegangscodes (art. 139d.2.b Sr), medeplegen oplichting, meermalen gepleegd (art. 326.1 Sr) en medeplegen diefstal d.m.v. valse sleutels (art. 311.1 Sr). Onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. In dit arrest gaat de Hoge Raad in op de betekenis van recente rechtspraak van het Hof van Justitie van de Europese Unie – in het bijzonder de uitspraak in de zaak CG/Bezirkshauptmannschaft Landeck – voor de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. Deze recente rechtspraak brengt mee dat dit onderzoek op een enigszins andere manier moet worden genormeerd dan uit een eerdere uitspraak van de Hoge Raad voortvloeit. Het is aan de wetgever om een wettelijke regeling op te stellen die in haar algemeenheid voldoet aan alle in de rechtspraak van het Hof van Justitie gestelde vereisten. In afwachting van zo’n regeling ziet de Hoge Raad aanleiding om zijn eerdere rechtspraak bij te stellen. In dit arrest wordt in rechtsoverweging 5 uiteengezet wat deze bijstelling inhoudt. Vervolgens worden de cassatiemiddelen van het openbaar ministerie en van de verdachte beoordeeld (rechtsoverweging 6 en 7). In rechtsoverweging 9 geeft de Hoge Raad een samenvatting van zijn oordeel in deze zaak. Volgt verwerping. Samenhang met 22/03872 en 22/03913.
Artikelen :
ECHR
Alle zaken hadden betrekking op websites die zogenaamd homoseksualiteit aan minderjarigen zouden promoten. In een van de zaken werd het bedrijf VK verzocht om informatie over de beheerder van een van de communities/websites te verstrekken. Dit betrof niet alleen informatie over de website, maar o...
UI v Österreichische Post AG
C-300/21 (Österreichische Post)
Right to compensation under GDPR Article 82 requires proof of actual damage.
Meta Platforms v noyb
C-252/21 (Meta Platforms (noyb))
GDPR consent requirements and lead supervisory authority mechanism.
GC and Others v CNIL
C-136/17 (GC and Others)
Conditions for delisting sensitive data from search results.
DENNEKAMP V. EUROPEAN PARLIAMENT, 23.11.2011 (“DENNEKAMPI”)
Dennekamp I
Lawful basis: The argument that release of names of former MEP assistants would reveal their political opinions and therefore constitute sensitive data was not substantiated and cannot make up for the fact that the contested decision failed to show why disclosure would specifically and effectively undermine their right to privacy within the meaning of Article 4(1)(b) of Regulation 45/2001. (¶101)
Guidance (10)
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Enforcement (3)
SAF LOGISTICS: Non-compliance with general data processing principles
€200,000 fine - French Data Protection Authority (CNIL)
The French DPA has fined SAF LOGISTICS EUR 200,000. An employee reported to the DPA that the controller had collected data on the private lives of its employees. During its investigation, the DPA found that the controller had collected a large amount of information about employees' family members, including their identity, contact details, position, employer and marital status, via a form sent to employees. The DPA considered this to be a violation of the employees' privacy. In addition, the for
Partidul Uniunea Salvați România: Insufficient technical and organisational measures to ensure information security
€4,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has fined the Partidul Uniunea Salvați România party EUR 4,000. The controller had suffered a phishing attack in which the attackers gained unauthorized access to personal data such as first name, last name, email, phone number, as well as data on the political affiliation of the data subjects. The DPA found that the controller had failed to implement adequate technical and organizational measures such as data encryption to protect personal data, which facilitated such an attack
Political party: €28,000 fine
€28,000 fine - Austrian Data Protection Authority (dsb)
The Austrian DPA has imposed a fine of EUR 50,700 on a political party. The controller had sent two emails in an open distribution list. This allowed the recipients to view the email addresses of all other recipients and to determine the workplace and political affiliation of the data subjects. --- Update --- The Austrian Federal Administrative Court has reduced the amount of the fine from EUR 50,700 to EUR 28,000 due to the current financial situation of the controller.
News (3)
Privacy activists warn against removing compensation for data protection breaches
> The Advocate General of the Court of Justice of the European Union (CJEU) issued a non-binding opinion, which privacy advocates fear could further limit users’ possibilities to enforce their privacy rights under the GDPR. > According to [the opinion](https://curia.europa.eu/juris/document/document.jsf;jsessionid=79F0B703F7CD84C2DE01BF340FD03C29?text=&docid=266842&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=244110) delivered last week, Europeans would hardly get compensated if t
AEPD publishes GDPR Risk Assessment
> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.
De Autoriteit Persoonsgegevens publiceert een rapport over de risicoanalyse van de AVG (Algemene Verordening Gegevensbescherming).
De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.