Processors

Recital 10

Article 28

Notifying authorities

Article 28

Aanmeldende autoriteiten

Recital 10

Article 28

Database met domeinnaamregistratiegegevens

Article 28

Database of domain name registration data

Article 28

Bescherming van minderjarigen

Article 28

Online protection of minors

Artikel 4

Territoriale reikwijdte

Artikel 28

Uitzonderingen inzake genetische gegevens

Recital 98

Recital 22

Recital 23

Recital 24

Recital 28

Recital 36

Recital 57

Recital 77

Recital 78

Recital 79

ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971

Rechtbank Overijssel

Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.

ECLI:NL:RBDHA:2026:2772 Rechtbank Den Haag , 13-02-2026 / NL25.20256

Rechtbank Den Haag

hersteluitspraak

ECLI:NL:RBDHA:2026:2640 Rechtbank Den Haag , 12-02-2026 / N25.20256

Rechtbank Den Haag

Asiel Nigeria. Problemen als gevolg van juju-initiatie onvoldoende zwaarwegend. Eiseres ten onrechte niet als alleenstaande vrouw aangemerkt. Onvoldoende gemotiveerd waarom eiseres bij terugkeer naar Nigeria geen reëel risico loopt op ernstige schade vanwege represailles van de mensenhandelaar. Onvoldoende gemotiveerd dat eiseres bij een terugkeer naar Nigeria niet te vrezen heeft dat haar dochters worden besneden. Beroep gegrond.

ECLI:NL:RBDHA:2026:2626 Rechtbank Den Haag , 12-02-2026 / 09/042631-25 en 09/084601-25 (ttz. gev.)

Rechtbank Den Haag

Veroordeling voor voortgezette handeling van medeplegen poging tot moord en medeplegen voorbereidingshandelingen moord of zware mishandeling met voorbedachten rade en veroordeling voor medeplichtigheid aan voorbereidingshandelingen ontploffing teweegbrengen. Gevangenisstraf 12 jaar met aftrek.

ECLI:NL:RBDHA:2026:3082 Rechtbank Den Haag , 04-02-2026 / NL25.46244

Rechtbank Den Haag

AA, Somalië, gegrond, taalanalyse, vergewisplicht.

ECLI:NL:RBAMS:2026:1703 Rechtbank Amsterdam , 03-02-2026 / 13-266022-25 (EAB I)

Rechtbank Amsterdam

Vervolgings-EAB Polen. Geen gevolg gegeven aan het EAB. Officier van justitie niet-ontvankelijk verklaard. De rechtbank kan niet beoordelen of het algemene reële gevaar, dat de opgeëiste persoon structureel 23 uur per dag in zijn cel moet doorbrengen, kan worden uitgesloten.

ECLI:NL:RBNNE:2026:452 Rechtbank Noord-Nederland , 03-02-2026 / 24/2480

Rechtbank Noord-Nederland

Deze uitspraak gaat over het verzoek van eiser om rectificatie van zijn politiegegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek afgewezen. Eiser is het niet eens met de afwijzing en voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of de afwijzing rechtmatig is. De rechtbank komt in deze uitspraak tot het oordeel dat het beroep ongegrond is. Verweerder heeft zich dus terecht op het standpunt gesteld dat sprake is van een herhaalde aanvraag in de zin van de Awb. Verder biedt alleen de stelling van eiser dat de betreffende gegevens onjuist zijn, onvoldoende aanleiding voor de rechtbank om eiser in zijn standpunt te volgen.

ECLI:NL:RBNNE:2026:439 Rechtbank Noord-Nederland , 03-02-2026 / 24/1473

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over het verzoek van eiser om rectificatie van zijn politiegegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek afgewezen. Eiser is het niet eens met de afwijzing en voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of de afwijzing rechtmatig is. De rechtbank komt in deze uitspraak tot het oordeel dat het beroep ongegrond is. Uit de Wpg, in samenhang met het Mandaatbesluit politie 2024, volgt dat er geen territoriale begrenzing geldt als de Wpg van toepassing is. Van een bevoegdheidsgebrek is geen sprake. Verder weerspreekt eiser de juistheid van de betreffende gegevens, maar toont dit niet aan.

ECLI:NL:RBROT:2026:1344 Rechtbank Rotterdam , 28-01-2026 / FT RK 25/1541 en FT RK 25/1543

Rechtbank Rotterdam

Afwijzing dwangakkoord. Nulaanbod niet het maximaal haalbare, geen ontheffing inspanningsplicht, VTLB onjuist

ECLI:NL:GHARL:2026:557 Gerechtshof Arnhem-Leeuwarden , 27-01-2026 / 22/1113 tm 22/1118 en 22/1119, 22/1121 en 22/1122

Gerechtshof Arnhem-Leeuwarden

Verzoek beperkte kennisneming.

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

ECLI:NL:RBMNE:2026:443 Rechtbank Midden-Nederland , 21-01-2026 / 24/5095

Rechtbank Midden-Nederland

Deze uitspraak gaat over een verzoek van eiseres van 11 oktober 2023 om op grond van de Wet open overheid informatie te krijgen die betrekking heeft op de verlening van vergunningen voor de vestiging van een speelautomatenhal in Lelystad over de periode van 1 januari 2020 tot 6 oktober 2023. De rechtbank is van oordeel dat het beroep gegrond is, omdat de weigeringsgronden te ruimhartig zijn toegepast.

Gerechtshof Arnhem-Leeuwarden

Gerechtshof Arnhem-Leeuwarden

Soevereinen, verzoek anoniem procederen inspecteur, 8:29 Awb

Inzageberoep ex art. 195 Rv onderzoeksrapport waarbij pseudonimiseren wel plaats moet vinden. In het geheel afwijzen mag niet.

Gerechtshof

Inzageverzoek ex art. 195 Rv. Werknemer verzoekt om inzage in het gehele onderzoeksrapport dat de werkgever deels heeft ingebracht in de procedure tot ontbinding van de arbeidsovereenkomst met de werknemer. Het hof oordeelt dat de belangen van de werknemer zwaarder wegen dan die van de werkgever en wijst het verzoek toe. Wel verbindt het hof voorwaarden aan de inzage.

Geheimhouding

Gerechtshof

Geheimhouding

Strafbare doxing

Gerechtshof

Veroordeling voor doxing en smaadschrift. Het hof vernietigt van het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft met het handelen misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden. Veroordeling tot een taakstraf van 80 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 2 jaren. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00.

Tweemaal strafbare doxing

Gerechtshof

Veroordeling voor doxing en smaadschrift. Het hof vernietigt het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden om tegenover een breed publiek kwalijke uitlatingen te doen, waarmee verdachte op provocerende wijze reacties van lezers oproept. Veroordeling tot een taakstraf van 120 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 3 jaren. Oplegging van bijzondere voorwaarde: verdachte dient zich te onthouden van het doen van uitlatingen over benadeelde partij op sociale media en via klassieke media. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00

Veroordeling voor doxing

Rechtbank

Veroordeling voor bedreiging en doxing (artikel 285d Sr) tot een taakstraf voor de duur van 80 uren, waarvan 40 uren voorwaardelijk. Vrijspraak van bedreiging.

ECLI:NL:RBDHA:2026:2970 Rechtbank Den Haag , 16-01-2026 / NL25.7557

Rechtbank Den Haag

Dat eiser burger is van de DRC, zoals eiser stelt, vindt minister niet geloofwaardig en gaat uit van Ugandese nationaliteit. De rechtbank vindt dat uit verklaringen van eiser in ieder geval blijkt dat eiser (ook) de Ugandese nationaliteit heeft. Werkinstructie 2024/6. Problemen rekruteringspoging ADF-leden heeft minister ongeloofwaardig mogen vinden. Beroep ongegrond

Rechtbank Noord-Nederland

Rechtbank Noord-Nederland

Inzageverzoek in registers van twee professionele gebruikers van gewasbeschermingsmiddelen. De rechtbank is van oordeel dat de minister bevoegd is de informatie uit de registers op te vragen. Het beroep is gegrond.

Opinion 30/2025 on the draft decision of the Dutch Supervisory Authority regarding the Processor Binding Corporate Rules of the Illumina Group

EDPB

Opinion 30/2025 on the draft decision of the Dutch Supervisory Authority regarding the Processor Binding Corporate Rules of the Illumina Group

Opinion 33/2025 on the draft decision of the Irish Supervisory Authority regarding the Processor Binding Corporate Rules of the CSG Group

EDPB

Opinion 33/2025 on the draft decision of the Irish Supervisory Authority regarding the Processor Binding Corporate Rules of the CSG Group

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Guidelines 02/2024 on Article 48 GDPR

Article 48 GDPR provides that: ' Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer...

Versiegeschiedenis

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...

Richtsnoeren 02/2022 voor de toepassing van artikel 60 AVG

guidelines voor de toepassing van artikel 60 AVG

Een van de belangrijkste innovaties bij de invoering van de AVG was de introductie van het concept 'één-loketmechanisme'. In gevallen van grensoverschrijdende verwerking is de toezichthoudende autoriteit in de lidstaat van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker de autoriteit die leidinggeeft aan de handhaving van de AVG met betrekking tot de grensoverschrijdende verwerkingsactiviteiten in kwestie. Daarbij wordt samengewerkt met alle autoriteiten die de gevolge...

Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority

Guidelines for identifying a controller or processor’s lead supervisory authority

Municipality of Gooise Meren: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Gooise Meren. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism step

Municipality of Eindhoven: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Eindhoven. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped

Municipality of Ede: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Ede. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up me

Municipality of Delft: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Delft. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up

Municipality of Hilversum: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Hilversum. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped

Municipality of Huizen: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Huizen. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up

Municipality of Tilburg: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Tilburg. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped u

Municipality of Veenendaal: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Veenendaal. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe

Municipality of Zoetermeer: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Zoetermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe

Municipality of Haarlemmermeer: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Haarlemmermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism st

PREMIER RESTAURANTS ROMANIA SRL: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

8.000 euro boete - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft PREMIER RESTAURANTS ROMANIA SRL een boete van 8.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een cyberincident.

Thessaloniki–Thessaly Gas Supply Company S.A.: Insufficient data processing agreement

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on Thessaloniki–Thessaly Gas Supply Company S.A. The controller, an energy provider, used external processors for direct marketing via telephone. The controller forwarded complaints by data subjects to the external processors, but failed to ensure, that the processors response was adequate, gernerally failing to adequatly controll processors.

REVMA PLUS Retail S.A.: Insufficient technical and organisational measures to ensure information security

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME: Insufficient technical and organisational measures to ensure information security

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

ONE WAY PRIVATE COMPANY: Non-compliance with general data processing principles

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

MOBIUS SOLUTIONS LTD: Niet-naleving van de algemene principes voor gegevensverwerking.

1.000.000 euro boete - Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming (CNIL) heeft MOBIUS SOLUTIONS LTD. een boete van 1.000.000 euro opgelegd. Het bedrijf was voorheen verantwoordelijk voor de gegevensverwerking voor Deezer, dat in 2022 een datalek heeft ervaren. Het bedrijf is tekortgeschoten in de nakoming van haar verplichtingen als gegevensverwerker, wat heeft geleid tot een datalek.

MOBIUS SOLUTIONS LTD: Non-compliance with general data processing principles

€1,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 1,000,000 on MOBIUS SOLUTIONS LTD. The fined entity had been the former data processor for Deezer, which suffered a data breach in 2022. The processor failed to fulfil its duties as a data processor, which resulted in a data breach.

Comune di Tuscania: Non-compliance with general data processing principles

€12,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 12,000 on the Commune di Tuscania. The controller had been using video surveillance and licence plate recognition within its territory for the purposes of territorial security and supervising separate waste collection at recycling centers. However, the controller did not put up any relevant signs containing the privacy policy or warning signs. The controller also failed to enter into data processing agreements with processors handling data on its behalf,

'Principe Umberto di Savoia' State Scientific and Linguistic High School: Insufficient legal basis for data processing

€1,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 1,000 on 'Principe Umberto di Savoia' State Scientific and Linguistic High School. The controller processed the personal data of employees in relation to their employment, including medical data such as sick leave due to serious illness. The controller failed to introduce sufficient technical and organisational measures, resulting in employees gaining unauthorised access to personal data. The processor also failed to adequately inform data subjects regar

Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

EDPB contributes to the LED evaluation and adopts recommendations on the application for Processor BCR

Brussels, 19 January - During its latest plenary, the EDPB adopted a report to support the European Commission’s evaluation of the Law Enforcement Directive (LED). The Commission has to submit its public report* on the evaluation and review of this Directive to the European Parliament and to the Council by 6 May 2026. Ahead of this, the Commission gathered the views of the European Data Protection Authorities (DPAs) on the application and functioning of the LED over the period from January 2022

CNIL (Frankrijk) - SAN-2025-014

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1 miljoen euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1.000.000 euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == Tot slot heeft de DPA geconstateerd dat...

CNIL (France) - SAN-2025-014

=== Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected 21,574,775 users, of whom 9,849,354 were located in France. DEEZER has identified Mobius Solutions Ltd (the data processor) as the likely source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected approximately 46,900,000 users worldwide, of whom 21,574,775 were located in France.

CNIL (France) - SAN-2025-015

=== Processing ====== Processing === The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" "Regarding responsibilities:" "Regarding responsibilities:"

CNIL (France) - SAN-2025-014

The data protection authority has fined a subcontractor €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. The data protection authority has also fined a data processor €1 million for the same reasons: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. == Summary in English == == Summary in English ==

CNIL (France) - SAN-2025-014

The data protection authority (DPA) has imposed a fine of 1 million euros on a data processor for failing to delete user personal data, processing that data for purposes that conflict with contractual agreements, and failing to maintain a record of processing activities. The data protection authority (DPA) has imposed a fine of €1,000,000 on a data processor for failing to delete user personal data, processing that data for purposes that conflict with contractual agreements, and failing to maintain a record of processing activities. Finally, the DPA found that...

CNIL (France) - SAN-2025-014

=== Facts ====== Facts === DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users were located in France. The controller identified Mobius Solutions Ltd (the processor) as the likely source of the data breach. The DPA launched an investigation into the processor.DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting approximately 46,900,000 users worldwide, out if which 21,574,775 users located i

CNIL (France) - SAN-2025-014

}}}} The DPA fined a processor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a processor €1,000,000 for failing to delete the personal data of users, processing the data for purposes contrary to contract stipulations, and for failing to keep a record of its processing activities. == English Summary ==== English Summary == Finally, the DPA found t

CNIL (France) - SAN-2025-015

=== Holding ====== Holding === The dispute related to the processor’s responsibility for implementing adequate security measures, under article 32 GDPR. The dispute related to the processor’s responsibility for implementing adequate security measures, under Article 32 GDPR. '''On the fairness of the procedure:''' '''On the fairness of the procedure:''' '''About responsibilities:''' '''About r

AEPD (Spain) - EXP202500113

Facts }}}} The DPA fined a bank €500,000 after it lost a customer’s documents sent through a courier. The authority held that the bank failed to ensure adequate security and proper supervision of its processor under [[Article 32 GDPR|Article 32 GDPR]].The DPA fined a bank €500,000 for losing a customer’s documents when transporting them via a courier. The DPA held that the bank failed to ensure adequate security and proper supervision of its processor under [[Article 32 GDPR]]. == English Summar

CNIL (France) - SAN-2025-014

}}}} The DPA fined a subcontractor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a processor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities. == English Summary ==== English Summary ==

CNIL (Frankrijk) - SAN-2025-014

=== Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers heeft getroffen, waarvan 9.849.354 gebruikers zich in Frankrijk bevonden. DEEZER heeft Mobius Solutions Ltd (de verwerker) geïdentificeerd als de waarschijnlijke bron van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat ongeveer 46.900.000 gebruikers wereldwijd heeft getroffen, waarvan 21.574.775 gebruikers zich in Frankrijk bevonden.

CNIL (Frankrijk) - SAN-2025-015

=== Verwerking ====== Verwerking === Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. "Over de eerlijkheid van de procedure:" "Over de eerlijkheid van de procedure:" "Over verantwoordelijkheden:" "Over verantwoordelijkheden:"

CNIL (Frankrijk) - SAN-2025-014

}}}} De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een verwerker een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels ==

CNIL (France) - SAN-2025-015

On 2 November and 10 November 2022, data subjects using the portal reported to the controller that they had access to files relating to other data subjects. On 2 November and 10 November 2022, data subjects using the portal reported to the controller that they had access to files relating to other data subjects. On 22 November 2022, the controller notified the data breach to the DPA. On 22 November 2022, the controller notified the data breach to the DPA. The breach was found to be due to a conf

CNIL (Frankrijk) - SAN-2025-014

}}}} De gegevensbeschermingsautoriteit heeft een bedrijf een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor dezelfde overtredingen: het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === DE

CNIL (Frankrijk) - SAN-2025-014

Feiten === Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. DEEZER (de verantwoordelijke) heeft geïdentificeerd dat Mobius Solutions Ltd (de verwerker) waarschijnlijk de bron is van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. De verantwoorde...

CNIL (Frankrijk) - SAN-2025-014

=== Verwerking ====== Verwerking === Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, heeft de DPA als een schending van artikel 28(3)(g) van de AVG beschouwd. Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, zelfs als de gegevens bewaard bleven als gevolg van een ongeautoriseerde samenwerking, ...

CNIL (Frankrijk) - SAN-2025-015

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. De DPA heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === Een softwarebedrijf...

CNIL (Frankrijk) - SAN-2025-015

Links naar de artikelen === Feiten ====== Feiten === Een softwareadviesbureau (de verwerker) heeft een overheidsinstantie (de verantwoordelijke) software geleverd voor de verwerking van bestanden met betrekking tot personen met een handicap. Deze software stelde gebruikers (betrokkenen) in staat om hun bestanden te uploaden en hun voortgang te volgen via een online portaal. Nextpublica, een softwareadviesbureau (de verwerker), heeft de Maison Départementale pour les Personnes Handicapées (MDPH), een organisatie met een maatschappelijke doelstelling (de verantwoordelijke), voorzien van...