Profiling

Article 46

Derogation from conformity assessment procedure

Article 49

Registration

Recital 10

Recital 59

Recital 42

Recital 53

Article 45

Information obligations of notified bodies

Article 48

CE-markering

Article 46

Afwijking van de conformiteitsbeoordelingsprocedure

Article 49

Registratie

Article 47

EU-conformiteitsverklaring

Article 42

Vermoeden van conformiteit met bepaalde eisen

Article 44

Certificates

Article 22

Gemachtigden van aanbieders van AI-systemen met een hoog risico

Article 43

Conformity assessment

Recital 53

Article 41

Common specifications

Article 40

Harmonised standards and standardisation deliverables

Article 44

Certificaten

Article 41

Gemeenschappelijke specificaties

ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24

Rechtbank Limburg

Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.

ECLI:NL:RBAMS:2026:1801 Rechtbank Amsterdam , 19-02-2026 / 13-315820-25

Rechtbank Amsterdam

Vervolgings-EAB Duitsland. Referte. Overlevering toegestaan.

ECLI:NL:RBAMS:2026:1762 Rechtbank Amsterdam , 18-02-2026 / 13-316587-25

Rechtbank Amsterdam

Vervolgings-EAB Oostenrijk, overlevering toegestaan. Geen weigeringsgronden, terugkeergarantie voldoende.

ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25

Rechtbank Amsterdam

Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.

ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971

Rechtbank Overijssel

Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.

ECLI:NL:RBAMS:2026:1585 Rechtbank Amsterdam , 12-02-2026 / 13/335542-25

Rechtbank Amsterdam

De rechtbank is van oordeel dat er voor gedetineerden in de detentie-instelling Fresnes een algemeen reëel gevaar bestaat dat zij aan een onmenselijke of vernederende behandeling zullen worden blootgesteld in de zin van artikel 4 Handvest. De rechtbank baseert het algemene gevaar voor de detentie-instelling Fresnes op de overbevolkingsproblematiek en de hiervoor weergegeven slechte materiële detentieomstandigheden, het niet-functionerende intercomsysteem en het ontoereikende niveau van de gezondheidszorg. De rechtbank stelt vast dat er voor de opgeëiste persoon een individueel gevaar bestaat van schending van zijn grondrechten wegens de detentieomstandigheden in de detentie-instelling in Fresnes. De rechtbank stelt, ingevolge artikel 11, vierde lid, OLW, een redelijke termijn van 60 dagen.

ECLI:NL:RBAMS:2026:1393 Rechtbank Amsterdam , 10-02-2026 / 13-313776-25

Rechtbank Amsterdam

Executie-EAB uit Hongarije. Verweer ten aanzien van het ontbreken van dubbele strafbaarheid verworpen: nu kortgezegd voldoende is dat zij onder enige Nederlandse strafbepaling valt. De overige aspecten vallen buiten de reikwijdte van de OLW. Verweer ten aanzien van de stelselevenredigheid verworpen. Gelijkstellingsverweer verworpen nu geen stukken daartoe zijn overgelegd. Verweer ten aanzien van de Hongaarse detentieomstandigheden verworpen, nu geen sprake is van een algemeen gevaar, komt de rb niet toe aan de beoordeling van een individueel gevaar. Overlevering toegestaan.

ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285

Rechtbank Noord-Holland

AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.

ECLI:NL:RBROT:2026:1019 Rechtbank Rotterdam , 06-02-2026 / ROT 26/14

Rechtbank Rotterdam

Varia. Woo-verzoek. De voorzieningenrechter is niet gebleken dat er sprake is van zodanige zwaarwegende belangen, ook niet zijdens de Woo-verzoekster, dat niet gewacht zou kunnen worden met openbaarmaking van de stukken totdat op het bezwaar van verzoeksters is beslist. Verzoek toegewezen, bob geschorst.

ECLI:NL:RBNHO:2026:1371 Rechtbank Noord-Holland , 05-02-2026 / 25/1668

Rechtbank Noord-Holland

Deze uitspraak gaat over de beslissing van het college op het verzoek van eiser tot openbaarmaking van informatie op grond van de Wet open overheid (Woo-verzoek) en zijn beroep wegens het niet tijdig beslissen op zijn verzoek op grond van de AVG. De rechtbank komt in deze uitspraak tot het oordeel dat de informatie op het onlineforum van de VNG niet onder de reikwijdte van het Woo-verzoek valt, omdat deze informatie niet bij de gemeente Haarlemmermeer berust. Voorts is de rechtbank van oordeel het college het verzoek niet had hoeven opvatten als een AVG-verzoek, omdat het verzoek niet als zodanig is geformuleerd. Eiser krijgt dus geen gelijk en de beroepen zijn dus ongegrond

ECLI:NL:RBAMS:2026:1332 Rechtbank Amsterdam , 05-02-2026 / 1326539625

Rechtbank Amsterdam

executie-EAB Polen, overlevering toestaan, artikel 11 OLW, artikel 12 OLW, afzien van weigeren

ECLI:NL:RBAMS:2026:1394 Rechtbank Amsterdam , 03-02-2026 / 13-297778-25 (EAB I)

Rechtbank Amsterdam

Vervolgings- en executie-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.

ECLI:NL:RBNNE:2026:439 Rechtbank Noord-Nederland , 03-02-2026 / 24/1473

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over het verzoek van eiser om rectificatie van zijn politiegegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek afgewezen. Eiser is het niet eens met de afwijzing en voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of de afwijzing rechtmatig is. De rechtbank komt in deze uitspraak tot het oordeel dat het beroep ongegrond is. Uit de Wpg, in samenhang met het Mandaatbesluit politie 2024, volgt dat er geen territoriale begrenzing geldt als de Wpg van toepassing is. Van een bevoegdheidsgebrek is geen sprake. Verder weerspreekt eiser de juistheid van de betreffende gegevens, maar toont dit niet aan.

ECLI:NL:RBAMS:2026:1703 Rechtbank Amsterdam , 03-02-2026 / 13-266022-25 (EAB I)

Rechtbank Amsterdam

Vervolgings-EAB Polen. Geen gevolg gegeven aan het EAB. Officier van justitie niet-ontvankelijk verklaard. De rechtbank kan niet beoordelen of het algemene reële gevaar, dat de opgeëiste persoon structureel 23 uur per dag in zijn cel moet doorbrengen, kan worden uitgesloten.

ECLI:NL:RBAMS:2026:1395 Rechtbank Amsterdam , 03-02-2026 / 13-297861-25 (EAB II)

Rechtbank Amsterdam

Vervolgings-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.

ECLI:NL:RBNNE:2026:453 Rechtbank Noord-Nederland , 03-02-2026 / 24/1731

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over de Wet open overheid (Woo). Op grond van de Woo heeft eiser een verzoek ingediend bij verweerder om openbaarmaking van informatie. De rechtbank behandelt in deze uitspraak het beroep van eiser tegen het besluit van verweerder op het Woo-verzoek. Eiser is het niet eens met het besluit en voert daartoe een aantal beroepsgronden aan. Aan de hand van de beroepsgronden van eiser komt de rechtbank tot het oordeel dat het beroep ongegrond is. Van een gebrekkige motivering van het bestreden besluit is geen sprake. En verder komt eiser niet in aanmerking voor een immateriele schadevergoeding wegens overschrijding van de redelijke termijn. De vertraging van de procedure is namelijk in belangrijke mate toe te schrijven aan eiser zelf.

ECLI:NL:RBNNE:2026:452 Rechtbank Noord-Nederland , 03-02-2026 / 24/2480

Rechtbank Noord-Nederland

Deze uitspraak gaat over het verzoek van eiser om rectificatie van zijn politiegegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek afgewezen. Eiser is het niet eens met de afwijzing en voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of de afwijzing rechtmatig is. De rechtbank komt in deze uitspraak tot het oordeel dat het beroep ongegrond is. Verweerder heeft zich dus terecht op het standpunt gesteld dat sprake is van een herhaalde aanvraag in de zin van de Awb. Verder biedt alleen de stelling van eiser dat de betreffende gegevens onjuist zijn, onvoldoende aanleiding voor de rechtbank om eiser in zijn standpunt te volgen.

ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252

Rechtbank Den Haag

Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.

ECLI:NL:RBAMS:2026:1331 Rechtbank Amsterdam , 29-01-2026 / 1330189025

Rechtbank Amsterdam

executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden

ECLI:NL:RBAMS:2026:1329 Rechtbank Amsterdam , 29-01-2026 / 1330184325

Rechtbank Amsterdam

executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden, artikel 12 OLW: OP aanwezig, artikel 7 OLW: lijstfeitverweer

Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Versiegeschiedenis

guidelines uitvoeren overeenkomst

Versiegeschiedenis

guidelines accreditatie

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Versiegeschiedenis

guidelines recht op inzage

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...

Richtsnoeren 01/2021

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679

Guidelines on relevant and reasoned objection under Regulation 2016/679

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 06/2022 on the practical implementation of amicable settlements

Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)

Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

TikTok Technology Limited: Onvoldoende juridische basis voor de verwerking van gegevens.

530.000.000 euro boete - Ierse Autoriteit voor Gegevensbescherming.

De Ierse Autoriteit Persoonsgegevens (DPA) heeft TikTok een boete van 530 miljoen euro opgelegd. In haar beslissing stelde de DPA vast dat TikTok artikel 13 (1) f) en artikel 46 (1) van de AVG heeft overtreden, vanwege de onrechtmatige overdracht en opslag van persoonlijke gegevens van gebruikers in de EER op servers in China. TikTok kon niet aantonen, garanderen of bewijzen dat de aanvullende maatregelen en de standaardcontractuele clausules effectief waren om ervoor te zorgen dat de gegevens een beschermingsniveau boden dat gelijkwaardig is aan het beschermingsniveau dat is gegarandeerd.

Company: Insufficient technical and organisational measures to ensure information security

€135,600 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA fined a company in the banking sector EUR 135,600. The DPA inspected the fined company and found several violations of the GDPR. First, the company failed to ensure that the DPO could report directly to top management and that the DPO did not receive instructions on the performance of the tasks given to the DPO. Second, the company failed to include profiling in the list of data processing operations. Third, the company failed to conduct a privacy impact assessment regarding the u

Bonnier News AB: Insufficient legal basis for data processing

€1,100,000 fine - Data Protection Authority of Sweden

The Swedish DPA has imposed a fine of EUR 1.1 million on Bonnier News AB. During its investigation, the DPA found that Bonnier News collects customer data, for example, through their surfing behavior or through purchases from different subsidiaries. However, the DPA also found that Bonnier News had collected and processed this data without the consent of the data subjects. Bonnier News relied on an predominant interest as a legal basis, but the DPA noted that customers could not expect their dat

Rinascente S.p.A.: Non-compliance with general data processing principles

€300,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined Rinascente S.p.A. EUR 300,000. The DPA acted on a complaint from a customer who, following an incident with a store employee, had her long-standing loyalty card cancelled and received a new, unsolicited card that contained offensive information about the complainant in her name. The customer complained that their information had been accessed without their consent. During the investigation, the DPA also found that the information on the loyalty card did not specify the

Azienda Universitaria Friuli Centrale: Insufficient legal basis for data processing

€55,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 55,000 on Azienda Universitaria Friuli Centrale. The health authority has created patient profiles using algorithms and personal patient data to indicate the risk of having complications in the event of a Covid 19 infection. This was intended to identify appropriate diagnostic and therapeutic pathways in a timely manner in the event of complications. However, the DPA found that the health authority did not have a valid legal basis to process patients' pe

Azienda Universitaria Giuliano Isontina: Insufficient legal basis for data processing

€55,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 55,000 on Azienda Universitaria Giuliano Isontina . The health authority has created patient profiles using algorithms and personal patient data to indicate the risk of having complications in the event of a Covid 19 infection. This was intended to identify appropriate diagnostic and therapeutic pathways in a timely manner in the event of complications. However, the DPA found that the health authority did not have a valid legal basis to process patients'

Edison Energia S.p.A.: Non-compliance with general data processing principles

€4,900,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined Edison Energia S.p.A. EUR 4.9 million. Several person had filed complaints with the DPA regarding unlawful marketing activities of the company. During its investigation, the DPA found that the company contacted data subjects by telephone for marketing purposes without their consent. For this purpose, the company used contact lists from third parties, which in many cases, however, did not contain the free, specific, informed and documented consent of the users to the dis

Azienda Universitaria Friuli Occidentale: Insufficient legal basis for data processing

€55,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 55,000 on Azienda Universitaria Friuli Occidentale. The health authority has created patient profiles using algorithms and personal patient data to indicate the risk of having complications in the event of a Covid 19 infection. This was intended to identify appropriate diagnostic and therapeutic pathways in a timely manner in the event of complications. However, the DPA found that the health authority did not have a valid legal basis to process patients'

Researcher: Non-compliance with general data processing principles

€1,200 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has fined a researcher EUR 1,200. The fine was issued in connection with another fine against the NGO EU DisinfoLab. The researcher was employed at the NGO. In 2018, the NGO published an analysis to identify the possible political origin of tweets circulating on a particularly heated controversy in France, the 'Benalla affair.' For the analysis, the organization had processed the data of 55,000 Twitter accounts, of which more than 3,300 had been classified as political. The raw d

EU DisinfoLab: Non-compliance with general data processing principles

€2,800 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has fined the NGO EU DisinfoLab EUR 2,700. In 2018, the NGO published an analysis to identify the possible political origin of tweets circulating on a particularly heated controversy in France, the 'Benalla affair.' For the analysis, the organization had processed the data of 55,000 Twitter accounts, of which more than 3,300 had been classified as political. The raw data obtained from this was then published without taking minimal security precautions, such as pseudonymizing the

CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.: Insufficient legal basis for data processing

€3,000,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) has imposed a fine of EUR 3,000,000 on CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.. An individual had filed a complaint against the controller. The reason was that Caixabank had requested information about him from a company although, the latter has not been a customer of Caixabank since 2014 and that he was included in an advertising campaign to offer him a pre-grant credit. Caixabank had used individuals' data to assess their creditworthiness without their consent. Thi

Unser Ö-Bonus Club GmbH: Insufficient legal basis for data processing

€500,000 fine - Austrian Data Protection Authority (dsb)

The Austrian DPA has imposed a fine of EUR 2,000,000 on Rewe affiliate Ö-Bonus Club GmbH. When signing up for the customer loyalty program jö Bonus Club, the controller is said to have failed to properly explain that customers' data and shopping behavior are used to create individual profiles, and that the information is also passed on to partner companies. According to the GDPR, the clarification must be easily accessible and in simple language. However, the controller had designed the registra

Tour & People Max S.L.: Insufficient fulfilment of data subjects rights

€1,500 fine - Spanish Data Protection Authority (aepd)

Unsolicited marketing calls though data subjects had expressed their objection to data processing. In addition to the GDPR, this was also seen as a violation of Article 48(1)(b) of General Law 9/2014 (Spanish national law).

Taksi Helsinki: Non-compliance with general data processing principles

€72,000 fine - Deputy Data Protection Ombudsman

Among other things, the company had not assessed the risks and consequences of processing personal data before introducing a camera surveillance system that records audio and video in its taxis and had also failed to conduct data protection impact assessments of its processing activities, including the surveillance of security cameras, the processing of location data, automated decision making and profiling as part of its loyalty program. Furthermore, the processing of audio data was not in line

LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing

€70,000 fine - Cypriot Data Protection Commissioner

The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.

LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing

€2,000 fine - Cypriot Data Protection Commissioner

The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.

LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing

€10,000 fine - Cypriot Data Protection Commissioner

The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.

Article 65 GDPR

(a) No consensus on relevant and reasoned objections On 9 November 2020, the EDPB adopted its first decision under the dispute resolution mechanism laid down by Article 65 GDPR.<ref>EDPB, 9 November 2020, Twitter International Company, Decision 01/2020 (available [https://edpb.europa.eu/sites/default/files/files/file1/edpb_bindingdecision01_2020_en.pdf here]).</ref> The binding decision seeks to address the dispute which arose following a draft decision issued by the Irish SA as LSA

OLG Bamberg - 10 U 61/25 e

}}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.A court held that the mere automated creation of a score value by a credit information agency does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision concerning the the data subject. == English Summary ==== English Summary == === Facts ====== Fa

OLG München - 19 U 1468/25 e

Holding === Holding ====== Holding === The court dismissed the data subject’s appeal in full. The court noticed the parties that it intends to dismiss the data subject’s appeal in full. The court could not produce a declaration of illegality of credit scoring based on automated processing. It reasoned that the mere creation of a score does not constitute a legal decision under Article 22. Also, the rejections faced by the data subject were not exclusively, if at all, based on the credit scoring,

OLG Bamberg - 10 U 61/25 e

Holding }}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR|Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject. == English Summary ==== English Summary == The data subject brought multiple

A call to EU legislators: protect rights and reject the call to delete transparency safeguard in AI Act

We, the undersigned organisations and individuals, urge you in the strongest possible terms to reject the deletion of the Article 49(2) transparency safeguard for high-risk AI systems that is proposed in the AI Omnibus. This transparency safeguard ensures that providers of AI systems cannot circumvent the core obligations of the AI Act. The post A call to EU legislators: protect rights and reject the call to delete transparency safeguard in AI Act appeared first on Access Now.

CNIL (France) - SAN-2025-015

=== Processing ====== Processing === The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" "Regarding responsibilities:" "Regarding responsibilities:"

CNIL (France) - SAN-2025-015

=== Holding ====== Holding === The dispute related to the processor’s responsibility for implementing adequate security measures, under article 32 GDPR. The dispute related to the processor’s responsibility for implementing adequate security measures, under Article 32 GDPR. '''On the fairness of the procedure:''' '''On the fairness of the procedure:''' '''About responsibilities:''' '''About r

Article 40 GDPR

Show changes

CNIL (Frankrijk) - SAN-2025-015

=== Verwerking ====== Verwerking === Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. "Over de eerlijkheid van de procedure:" "Over de eerlijkheid van de procedure:" "Over verantwoordelijkheden:" "Over verantwoordelijkheden:"

Article 41 GDPR

(4) Non-application to public authorities and bodies. Show changes

Article 41 GDPR

(2) Criteria for accreditation from the competent supervisory authority Show changes

Artikel 40 van de AVG (Algemene Verordening Gegevensbescherming).

(3) Verwerkers en verantwoordelijken die niet onder de territoriale reikwijdte van de AVG vallen. De focus op een specifieke sector is bedoeld om een kosteneffectieve manier te bieden om te voldoen aan de eisen van de privacywetgeving, rekening houdend met alle specifieke kenmerken van de gegevensverwerking die in die sector plaatsvindt, met bijzondere aandacht voor de behoeften van micro-, kleine en middelgrote ondernemingen. <ref>EDPB, ‘Richtlijnen 1/2019 over gedragscodes en toezichthoudende organen onder Verordening 2016/679’, 4 juni 2019 (versie).</ref>

Article 40 of the General Data Protection Regulation (GDPR).

(1) Promotion of codes of conduct and supervisory authorities: * EDPB, 'Guidelines 1/2019 on codes of conduct and supervisory authorities pursuant to Regulation 2016/679', June 4, 2019 (version 2.0) (available here), and * EDPB, 'Guidelines 1/2019 on codes of conduct and supervisory authorities pursuant to Regulation 2016/679', June 4, 2019 (version 2.0) (available at [https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf here]), and * E

Artikel 40 van de Algemene Verordening Gegevensbescherming (AVG).

(1) Stimulering van gedragscodes en toezichthoudende instanties: * EDPB, 'Richtlijnen 1/2019 over gedragscodes en toezichthoudende instanties in overeenstemming met Verordening 2016/679', 4 juni 2019 (versie 2.0) (beschikbaar hier), en * EDPB, 'Richtlijnen 1/2019 over gedragscodes en toezichthoudende instanties in overeenstemming met Verordening 2016/679', 4 juni 2019 (versie 2.0) (beschikbaar [https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf hier]), en * E

Artikel 41 van de AVG (Algemene Verordening Gegevensbescherming).

(a) Aantoonbare onafhankelijkheid en expertise ===== (a) Aantoonbare onafhankelijkheid en expertise ========== (a) Aantoonbare onafhankelijkheid en expertise ===== Het is duidelijk uit artikel 41(1) van de AVG dat de instantie een "passend niveau van expertise" moet bezitten op het gebied waar de gedragscode betrekking op heeft, met als doel een effectieve naleving te waarborgen. Dit is ook een vereiste van het proces dat is beschreven in artikel 41(2)(a) van de AVG, volgens welke de toezichthoudende instantie "kan zijn..."

Article 41 of the GDPR (General Data Protection Regulation).

(a) Demonstrable independence and expertise (a) Demonstrable independence and expertise (a) Demonstrable independence and expertise It is clear from Article 41(1) of the GDPR that the supervisory authority must possess a "suitable level of expertise" in the area to which the code of conduct applies, with the aim of ensuring effective compliance. This is also a requirement of the process described in Article 41(2)(a) of the GDPR, according to which the supervisory authority "may be..."

Article 41 GDPR

Commentary: (2) Show changes

Article 41 GDPR

Legal Text: Commentary ==Commentary====Commentary== Article 41 GDPR complements [[Article 40 GDPR]] by providing that compliance with any approved code of conduct must be monitored by an accredited body with the appropriate level of expertise in the sector covered by the code. Although the Data Protection Directive 95/46/EC (DPD) included a provision on codes of conduct (Article 27(1) DPD), this did not include any information on how compliance with such codes should be monitored. Accordingly, i

Article 40 GDPR

(3) Controllers and Processors not Subject to the Territorial Scope of the GDPR The focus on a particular sector is supposed to allow for a cost effective way to achieve data protection compliance by taking into account all the specific characteristics of processing carried out in that sector - with particular emphasis on the needs of micro, small and medium enterprises.&lt;ref&gt;EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version

Article 41 GDPR

(a) Demonstrated independence and expertise ===== (a) Demonstrated independence and expertise ========== (a) Demonstrated independence and expertise ===== It is clear from Article 41(1) GDPR that the body must have an “&#039;&#039;appropriate level of expertise&#039;&#039;” in the subject matter the code of conduct aims to ensure effective compliance with. This is also a requirement of the process specified in Article 41(2)(a) GDPR, according to which the monitoring entity “&#039;&#039;may be ac