Professional Secrecy

EPRIVACY-ART-5

Confidentiality of communications

Recital 154

Article 38

Coördinatie van aangemelde instanties

Article 38

Coordination of notified bodies

Recital 167

Article 78

Vertrouwelijkheid

Recital 167

Recital 10

Recital 151

Recital 154

Recital 151

Recital 10

Article 78

Confidentiality

Recital 70

Recital 42

Article 38

Exercise of the delegation

Recital 117

Recital 79

Recital 70

Recital 42

ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252

Rechtbank Den Haag

Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

College van Beroep voor het bedrijfsleven

College van Beroep voor het bedrijfsleven

Artikel 8:29 Awb-beslissing. De gevraagde beperking van de kennisneming van bepaalde gegevens is gerechtvaardigd.

Inzageberoep ex art. 195 Rv onderzoeksrapport waarbij pseudonimiseren wel plaats moet vinden. In het geheel afwijzen mag niet.

Gerechtshof

Inzageverzoek ex art. 195 Rv. Werknemer verzoekt om inzage in het gehele onderzoeksrapport dat de werkgever deels heeft ingebracht in de procedure tot ontbinding van de arbeidsovereenkomst met de werknemer. Het hof oordeelt dat de belangen van de werknemer zwaarder wegen dan die van de werkgever en wijst het verzoek toe. Wel verbindt het hof voorwaarden aan de inzage.

Uitzondering openbare orde bij inzageverzoek incidentenrapport n.a.v. parachutsprong ongeluk

Rechtbank

Heeft verzoeker recht op inzage in incidentenrapport op grond van de artikel 15 AVG naar aanleiding van ongeval bij parachutespringen?

CASE OF ORTEGA ORTEGA v. SPAIN

ECHR

Deze zaak gaat over het gebruik van salarisgegevens van anderen in soortgelijke posities ten bevoege van het staven van een claim van discriminatie op basis van geslacht. De vrouw toonde dit daarmee aan. Vervolgens wordt ze echter ontslagen omdat ze de vertrouwelijkheid had geschonden nu ze salar...

Woo-verzoek.

Rechtbank

“Verweerder geeft aan dat openbaarmaking van correspondentie van een specifieke medewerkster een directe inbreuk zou betekenen op de veilige werkomgeving die verweerder verplicht is te bieden aan zijn werknemers, in het bijzonder van die medewerkster. De rechtbank kan verweerder in zijn stelling ...

Geheimhouding

Rechtbank

Beslissing geheimhoudingskamer

Geheimhouding

Rechtbank

Beslissing geheimhoudingskamer

Rechtbank Amsterdam

Rechtbank Amsterdam

EAB Bulgarije; gelijkstellingsverweer verworpen; tussenuitspraak i.v.m. nadere vragen over de detentieomstandigheden

Rechtbank Den Haag

Rechtbank Den Haag

Overheidsaansprakelijkheid. Verstrekking persoonsgegevens door gemeente aan woningcorporatie over een koopwoning is in strijd met de AVG. Causaal verband met gestelde schadeposten?

Raad van State

Raad van State

Bij tussenuitspraak van 5 maart 2025, ECLI:NL:RVS:2025:894, heeft de Afdeling de uitspraak van de rechtbank bevestigd en bepaald dat het onderzoek in deze zaak wordt heropend voor zover het de beroepen tegen de besluiten van 21 juni 2023 en 26 juli 2023 betreft. In de tussenuitspraak heeft de Afdeling geoordeeld dat de rechtbank terecht heeft geoordeeld dat het bezwaar van Omroep Flevoland tegen het besluit van het college van 23 februari 2022 mede geacht wordt te zijn gericht tegen de besluiten van de raad van 13 september 2021 en 8 november 2021 op het verzoek om opheffing van geheimhouding. Verder heeft de Afdeling overwogen dat de besluiten van de raad van 13 september 2021 en 8 november 2021 geen motivering bevatten. De Afdeling heeft daarom geoordeeld dat de rechtbank deze besluiten terecht heeft vernietigd en terecht de raad heeft opgedragen nieuwe besluiten te nemen. Ten slotte heeft de Afdeling geoordeeld dat de rechtbank voor wat betreft de beoordeling van het verslag van de besloten raadvergadering niet uitdrukkelijk heeft aangegeven dat de raad daarbij ook een mogelijk belang als bedoeld in artikel 5.1, eerste en tweede lid, van de Wet open overheid mag betrekken. Uit rechtsoverweging 9.5 van de tussenuitspraak volgt dat de raad dat wel mag doen.

ECLI:NL:GHDHA:2025:2685 Gerechtshof Den Haag , 16-12-2025 / 200.353.591/01

Gerechtshof Den Haag

Inzageverzoek ex art. 195 Rv. Werknemer verzoekt om inzage in het gehele onderzoeksrapport dat de werkgever deels heeft ingebracht in de procedure tot ontbinding van de arbeidsovereenkomst met de werknemer. Het hof oordeelt dat de belangen van de werknemer zwaarder wegen dan die van de werkgever en wijst het verzoek toe. Wel verbindt het hof voorwaarden aan de inzage.

Gerechtshof Den Haag

Gerechtshof Den Haag

Inzageverzoek ex art. 195 Rv. Werknemer verzoekt om inzage in het gehele onderzoeksrapport dat de werkgever deels heeft ingebracht in de procedure tot ontbinding van de arbeidsovereenkomst met de werknemer. Het hof oordeelt dat de belangen van de werknemer zwaarder wegen dan die van de werkgever en wijst het verzoek toe. Wel verbindt het hof voorwaarden aan de inzage.

Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)

Gerechtshof

Het hof veroordeelt de verdachte tot een gevangenisstraf van 24 maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016 en het voorhanden hebben van wapens. Het hof bespreekt het verweer dat sprake is van sfeercumulatie en dat in het opsporingsonderzoek ten onrechte gebruik is gemaakt van gegevens die tijdens het uitoefenen van toezicht zijn verzameld. Daarnaast bespreekt het hof het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Beide verweren kunnen niet slagen.

Inzage medisch dossier na overlijden kind t.b.v. eventueel vaststellen medische fout. Voldoende aannemelijk gemaakt dat hier mogelijk sprake van is, 'zwaarwegende reden' voor uitzondering beroepsgeheim daarom hier van toepassing.

Gerechtshof

Verzoek inzage medisch dossier van zoon die tijdens detentie zelfmoord heeft gepleegd; uitzondering op medisch beroepsgeheim wegens zwaarwegend belang (vermoeden medische fout)

AF v Council of the European Union

General Court EU

AF, ambtenaar bij het Secretariaat-Generaal van de Raad, raadpleegde in april 2022 op eigen initiatief de rang (loonschaal) van een collega via het personeelsbeheersysteem Sysper, zonder functionele noodzaak. Dit leidde tot een administratief onderzoek, disciplinaire maatregelen en een waarschuwi...

Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)

Hoge Raad

Het hof veroordeelt de verdachte tot een gevangenisstraf van achttien maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016. Het hof bespreekt het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Het verweer kan niet slagen.

Woo zaak. Art. 5.1(7) Woo vereist geen belangenafweging eerbiediging privéleven maar dat levert geen schending op art. 8 EVRM.

Raad van State

Bij besluiten van 4 mei 2023 heeft de minister van Landbouw, Visserij, Voedselzekerheid en Natuur naar aanleiding van een verzoek van journalisten van NRC, Follow the Money en Omroep Gelderland besloten tot openbaarmaking van informatie over - kortgezegd - boerenbedrijven. De journalisten hebben in drie afzonderlijke verzoeken uit december 2022 en januari 2023 de minister - verkort weergegeven - verzocht om openbaarmaking van gegevens uit de Basiskaart Agrarische Bedrijfssituatie 2021, de Gecombineerde Opgaven van alle agrarische ondernemingen in Nederland op 1 april 2010, 2015, 2020, 2021 en 2022 en een overzicht van alle agrarische ondernemingen in de provincie Gelderland waar onder andere rundvee, varkens, kippen, geiten en schapen worden gehouden. FDF en anderen, NMV, LTO en een aantal individuele veehouders hebben bezwaar gemaakt tegen de besluiten van de minister. Volgens hen mag de minister de gegevens niet zomaar openbaar maken, omdat de gegevens geen emissiegegevens zijn. Er had daarom een belangenafweging moeten plaatsvinden.

Rechtbank Den Haag

Rechtbank Den Haag

Woo-verzoek - eerbiediging persoonlijke levenssfeer - algemene motivering weigering - beroep ongegrond.

Versiegeschiedenis

Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

guidelines voor de toepassing van artikel 60 AVG

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 2/2023 over het technische topassingsgebied van artikel 5, lid 3, van de eprivacyrichtlijn

guidelines technische toepassingsgebied van artikel 5(3) e-privacyrichtlijn

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Versiegeschiedenis

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...

Richtsnoeren 02/2022 voor de toepassing van artikel 60 AVG

guidelines voor de toepassing van artikel 60 AVG

Een van de belangrijkste innovaties bij de invoering van de AVG was de introductie van het concept 'één-loketmechanisme'. In gevallen van grensoverschrijdende verwerking is de toezichthoudende autoriteit in de lidstaat van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker de autoriteit die leidinggeeft aan de handhaving van de AVG met betrekking tot de grensoverschrijdende verwerkingsactiviteiten in kwestie. Daarbij wordt samengewerkt met alle autoriteiten die de gevolge...

Guidelines 03/2021 on the application of Article 65(1)(a) GDPR

Guidelines on the application of Article 60 GDPR

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Guidelines 04/2021 on Codes of Conduct as tools for transfers

Guidelines on codes of conduct and monitoring bodies

The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...

Richtsnoeren 01/2021

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 06/2022 on the practical implementation of amicable settlements

Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Version history

Guidelines on the accreditation of certification bodies

Version history

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

Guidelines on technical scope of art. 5(3) of ePrivacy Directive

ENDESA (energy supplyer): Insufficient legal basis for data processing

€60,000 fine - Spanish Data Protection Authority (aepd)

The complainant's bank account was charged by ENDESA, the beneficiary of which was a third party, who had been convicted under criminal law and imposed with a two-year restraining order regarding the claimant, her domicile and work. Instead amending the contract details as requested by the claimant ENDESA deleted her data erroneously and fillid in the data of the third party. The AEPD found the disclosure of the claimant's data to the third party was a severe violation of the principle of confid

ENDESA (energieleverancier): Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De bankrekening van de klager werd belast door ENDESA, waarbij de begunstigde een derde partij was. Deze derde partij was veroordeeld volgens het strafrecht en had een bevel van twee jaar gekregen dat betrekking had op de klager, haar woonplaats en werkplek. In plaats van de contractgegevens zoals gevraagd door de klager aan te passen, heeft ENDESA per ongeluk haar gegevens verwijderd en de gegevens van de derde partij ingevoerd. De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat de openbaarmaking van de gegevens van de klager aan de derde partij een ernstige schending was van het principe van vertrouwelijkheid.

POLEN, Autoriteit voor gegevensbescherming: Gebrek aan benoeming van een functionaris voor gegevensbescherming.

Een boete van 2.670 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een bedrijf in de gezondheidszorgsector een boete van 2.670 euro opgelegd. Het bedrijf heeft zijn CEO benoemd tot functionaris voor gegevensbescherming (DPO).

Home Owner Association: Non-compliance with general data processing principles

€1,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 1,000 on a home owner association. The HOA displayed the personal data of debtors in the entrance hall of a building, which infringed on the duty of confidentiality. The HOA appealed the decision, but the AEPD dismissed it.

Handelskamer, Industrie, Dienstverlening en Transport van Spanje: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 500.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft de Kamer van Koophandel, Industrie, Diensten en Transport van Spanje een boete van 500.000 euro opgelegd. Vanwege haar functie binnen de Spaanse regering heeft deze organisatie toegang tot de basisgegevens van alle Spaanse bedrijven, waaronder informatie over de financiële stabiliteit, contactgegevens, belastingnummers en meer. Ook zelfstandigen vallen onder deze gegevens. De organisatie heeft besloten om deze informatie openbaar te maken. Daartoe heeft de organisatie de rechtspersoon C opgericht.

Chamber of Commerce, Industry, Services and Navigation of Spain: Insufficient legal basis for data processing

€500,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 500,000 on the Chamber of Commerce, Industry, Services and Navigation of Spain. Due to its function within the Spanish Executive, the controller has access to the basic data of all Spanish companies, including information regarding solvency, contact details, tax numbers and more. Self-employed persons are also included. The controller has decided to make this information available to the public. For this purpose, the controller created the legal entity C

FEDERATIE VOOR DUIVENHOUDERIJ VAN CASTILLA-LA MANCHA: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan FEDERACION DE COLUMBICULTURA DE CASTILLA-LA MANCHA. De verantwoordelijke partij was niet in staat om de vertrouwelijkheid van persoonlijke gegevens te waarborgen, wat resulteerde in een datalek. De oorspronkelijke boete van 1.000 euro is verlaagd tot 600 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

FEDERACION DE COLUMBICULTURA DE CASTILLA-LA MANCHA: Insufficient technical and organisational measures to ensure information security

€600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on FEDERACION DE COLUMBICULTURA DE CASTILLA-LA MANCHA. The controller was unable to ensure the confidentiality of personal data, which resulted in a leak. The original fine of EUR 1,000 was reduced to EUR 600 due to immediate payment and admission of responsibility by the controller.

SERVICIOS ESPECIALES, S.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 120.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse Autoriteit Persoonsgegevens (DPA) heeft een boete opgelegd aan SERVICIOS ESPECIALES, S.A. De zaak betrof een schending van de AVG tijdens een intern onderzoek naar een arbeidsconflict: het bedrijf deelde een rapport via e-mail met de personeelsvertegenwoordigers en 15 andere werknemers. Dit rapport bevatte de volledige namen, functies en details van de klachten van de betrokken personen. De DPA oordeelde dat deze openbaarmaking een schending vormde van artikel 5 (1) f) van de AVG, omdat het bedrijf de vertrouwelijkheid van de persoonsgegevens niet had gewaarborgd. De oorspronkelijke boete van 200.000 euro is verlaagd tot...

SERVICIOS ESPECIALES, S.A.: Non-compliance with general data processing principles

€120,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on SERVICIOS ESPECIALES, S.A. The case concerned a GDPR breach during an internal workplace conflict investigation: the company shared a report via email that included the full names, roles, and complaint details of the individuals involved, to the Works Committee and 15 additional employees. The DPA found this disclosure violated Article 5 (1) f) GDPR, as it failed to ensure the confidentiality of personal data. The original fine of EUR 200,000 was reduced to EUR

Bedrijf: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 40.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

De Kroatische gegevensbeschermingsautoriteit (AZOP) heeft een bedrijf een boete van 40.000 euro opgelegd omdat het persoonlijke gegevens van zelfstandigen op zijn website heeft gepubliceerd. De gegevens waren afkomstig van openbare bronnen en van het financiële agentschap FINA. Hoewel de gegevens openbaar toegankelijk waren, oordeelde de autoriteit dat er geen geldige juridische basis was voor de publicatie. Bovendien heeft het bedrijf de betrokkenen niet geïnformeerd over de verwerking van hun gegevens en heeft het zijn verwerkingsactiviteiten niet correct gedocumenteerd. Een ander punt van zorg was dat...

Hospital: Insufficient technical and organisational measures to ensure information security

€3,000 fine - Croatian Data Protection Authority (azop)

The Croation DPA (AZOP) has imposed a fine of EUR 3,000 on a hospital. Despite the extensive and high-risk processing of health data, the hospital had not implemented sufficient organizational measures to ensure the security of data processing. Specifically, measures to ensure the confidentiality of health information were lacking, which undermined trust in medical services and patient privacy. The hospital was fined for breaching Art. 13, Art.32, Art. 33, and Art. 34(1) GDPR.

BEEDIGITAL AI, S.A.: Non-compliance with general data processing principles

€120,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine against BEEDIGITAL AI, S.A.. A individual had lodged a complaint with the DPA against the controller because they had received advertising from the controller even though they were registered in the advertising objection register. In the course of its investigation, the DPA found that the controller had violated the principle of confidentiality. The original fine of EUR 150,000 was reduced to EUR 120,000 due to voluntary payment.

VIEC Limited: Non-compliance with general data processing principles

€100,000 fine - Data Protection Authority of Ireland

The Irish DPA has imposed a fine of EUR 100,000 on the nursing home operator VIEC Limited. The controller had notified the DPA of a data breach pursuant to Art. 33 GDPR. The controller had suffered a phishing attack in which an unauthorized third party gained access to an email account of a VIEC manager. As a result, the unknown third party also managed to access personal data such as health and biometric data of home residents. The DPA found this to be a breach of the principle of integrity and

Property owner administrative board: Non-compliance with general data processing principles

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on a Property Owners Association. Two property owners had filed a complaint with the DPA. The individuals had submitted a request for a copy of financial documents to the board. The Association however published the requests with personal data of the individuals concerned on the bulletin board in a common area of the respective residential building. The DPA considered this to be a violation of the principle of confidentiality.

INDECEMI, S.L.: Non-compliance with general data processing principles

€3,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 3,000 on INDECEMI, S.L.. A person had filed a complaint with the DPA against the controller after receiving an email from the controller containing personal data (first name, last name, address, telephone number, etc.) of another person in the context of a complaint. The DPA considered this to be a violation of the principle of integrity and confidentiality.

UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC: Non-compliance with general data processing principles

€70,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 70,000 on UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC (UPS). A person had filed a complaint with the DPA because UPS had delivered a package from them to a neighbor without their consent. The DPA considered this to be an unauthorized disclosure of their data, which was a result of a lack of technical and organizational measures for personal data protection. The DPA also found that this unauthorized disclosure of personal data constituted a violation

Vodafone España, S.A.U.: Non-compliance with general data processing principles

€56,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on Vodafone España, S.A.U.. A person had filed a complaint with the DPA for having unsuccessfully requested a copy of their phone contract from Vodafone several times. Finally, the person received an e-mail, but with the phone contract of another customer. The DPA considered this to be a violation of the principle of integrity and confidentiality as set out in Art. 5 (1) f) GDPR. In addition, the DPA found that Vodafone failed to implement adequate technical an

RESTEXPERIENCE, S.L.: Non-compliance with general data processing principles

€5,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has fined RESTEXPERIENCE, S.L. EUR 5,000. The controller had accidentally sent an email containing tax information of 36 individuals to 11 unauthorized individuals. The DPA considered this to be a breach of the principle of integrity and confidentiality. It also found that the company had failed to implement appropriate technical and organizational measures to protect personal data.

OES GLOBAL ENERGY S.L.: Non-compliance with general data processing principles

€35,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 35,000 on OES GLOBAL ENERGY S.L.. A customer of the controller had filed a complaint with the DPA after receiving an e-mail from the controller containing documents relating to the termination of electricity contracts of other customers. These documents contained personal data of the customers such as their names and ID numbers. The DPA considered this unlawful disclosure of personal to be a violation of the principle of confidentiality and integrity, as wel

DSB (Austria) - 2024-0.199.724

Corrected and added some links, removed duplicate in short summary. }}}} An DPA denied a complaint against a public body under Articles 9 and 77 GDPR, holding that publication of a data subject’s political donation did not violate the GDPR because the controller had a lawful basis.An DPA denied a complaint against a public body under [[Article 9 GDPR|Articles 9]] and [[Article 77 GDPR|77 GDPR]], holding that publication of a data subject’s political donation did not violate them because the cont

SN - I NO 14/23

Facts }}}} The Supreme Court upheld rules requiring legal counsels to keep a client register and ensure confidentiality. It held that processing client data to check conflicts of interest is lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] as it fulfills a statutory duty.The Supreme Court upheld rules requiring legal counsels to keep a client register and to ensure confidentiality. It held that keeping a client register is necessary to comply with the legal obligation to check for potenti

SN - I NO 14/23

Facts }}}} The Supreme Court of Poland upheld rules requiring legal counsels to keep client data confidential and maintain a client register. The Court held processing was lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] to meet legal obligations.The Supreme Court upheld rules requiring legal counsels to keep a client register and ensure confidentiality. It held that processing client data to check conflicts of interest is lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] as it fulf

Artificial Insecurity: how AI tools compromise confidentiality

In the first part of our blog series on the dodgy digital security practices underlying advanced AI tools, we unpack how LLMs can jeopardize the confidentiality of people’s data. The post Artificial Insecurity: how AI tools compromise confidentiality appeared first on Access Now.

Artikel 39 van de AVG (Algemene Verordening Gegevensbescherming).

==Commentaar== Artikel 39 van de AVG, getiteld "Taken van de functionaris gegevensbescherming", beschrijft de belangrijkste verantwoordelijkheden van de functionaris gegevensbescherming (FG). Deze bepaling moet daarom in samenhang met de andere bepalingen die betrekking hebben op de rol van de FG worden gelezen, namelijk [[Artikel 37 AVG]] (aanwijzing van de FG) en [[Artikel 38 AVG]] (positie van de FG). Artikel 39 van de AVG, getiteld "Taken van de functionaris gegevensbescherming".

Article 39 GDPR

==Commentary====Commentary== Article 39 GDPR, is titled "''Tasks of the data protection officer''" and accordingly outlines the primary responsibilities of the Data Protection Officer (DPO). This provision should therefore be read in conjunction with the other provisions provisions governing the role of the DPO; i.e. [[Article 37 GDPR]] (designation of the DPO) and [[Article 38 GDPR]] (position of the DPO). Article 39 GDPR is titled "''Tasks of the data protection o

Article 39 of the GDPR (General Data Protection Regulation).

==Commentary== Article 39 of the GDPR, titled "Tasks of the Data Protection Officer," describes the key responsibilities of the Data Protection Officer (DPO). This provision should therefore be read in conjunction with the other provisions relating to the role of the DPO, namely [[Article 37 GDPR]] (appointment of the DPO) and [[Article 38 GDPR]] (position of the DPO). Article 39 of the GDPR, titled "Tasks of the Data Protection Officer."

ΔΔΚ - 1181/18

An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller).An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller). The c

ΔΔΚ - 1181/18

Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke).

ΔΔΚ - 1181/18

Facts === Facts ====== Facts === An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller).An assistant professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University

ΔΔΚ - 1181/18

A university lecturer (the complainant) has requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the doctoral promotion process, from the University of Cyprus (the responsible party). A university lecturer (the complainant) has requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the doctoral promotion process, from the University of Cyprus (the responsible party).

ΔΔΚ - 1181/18

Facts: A university lecturer (the complainant) requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the promotion process, from the University of Cyprus (the responsible party). A university lecturer (the complainant) requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the promotion process, from the University.

DSB (Austria) - 2025-0.276.820

An Austrian media company has been fined €6,820 by the Data Protection Authority because it failed to implement a binding instruction to modify the cookie banner on its website. This resulted in delays in providing users with consent options, despite all objections being rejected. The Data Protection Authority imposed a fine of €6,820 on the media company because the cookie banner had not been adjusted to comply with the law, and there was no visually equivalent option for users to reject cookies. The Authority had previously instructed the company to do so, in accordance with Article 58(2)(d) of the GDPR.

DSB (Austria) - 2025-0.276.820

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

DSB (Austria) - 2025-0.276.820

An Austrian media company (the responsible party) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. These cookies contained unique identification codes to track visitors. This occurred in August 2021.

DSB (Oostenrijk) - 2025-0.276.820

Een Oostenrijks mediabedrijf (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatiecodes om bezoekers te volgen. In augustus 2021.

DSB (Oostenrijk) - 2025-0.276.820

}}}} Een Oostenrijks mediabedrijf is door de Autoriteit voor Gegevensbescherming een boete van 6.820 euro opgelegd, omdat het nalatig was bij het implementeren van een bindende aanwijzing om het cookiebanner op zijn website te wijzigen. Hierdoor werden de opties voor toestemming van gebruikers vertraagd, ondanks dat alle bezwaren werden afgewezen. De Autoriteit voor Gegevensbescherming heeft een mediabedrijf een boete van 6.820 euro opgelegd omdat het cookiebanner niet was aangepast om te voldoen aan de wetgeving, en er geen visueel gelijkwaardige optie was om cookies te weigeren. De Autoriteit had eerder aan het bedrijf opgedragen dit te doen, in overeenstemming met artikel 58(2)(d) van de AVG.

DSB (Austria) - 2025-0.276.820

}}}} An Austrian media company was fined €6,820 by the Data Protection Authority for negligently failing to implement a binding order to modify its website’s cookie banner, delaying user consent options despite all appeals being rejected.The DPA fined a media company €6,820 for failing to bring its cookie banner into compliance by implementing a visually equivalent option to reject cookies. The DPA previously ordered the controller to do so in accordance with Article 58(2)(d) GDPR. == English Su

DSB (Oostenrijk) - 2025-0.276.820

Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. In augustus 2021.

DSB (Austria) - 2025-0.276.820

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021