Right to be Forgotten

Article 17

Systeem voor kwaliteitsbeheer

Article 17

Quality management system

Recital 57

Article 17

Internationale samenwerking

Recital 53

Article 17

International cooperation

Recital 97

Recital 26

Article 17

Statement of reasons

Recital 25

Article 17

Motivering

Artikel 47

Uitzonderingen op rechten betrokkene bij openbare registers

Artikel 17

Boete bij onrechtmatige verwerking persoonsgegevens strafrechtelijke aard

Article 17

Right to erasure (‘right to be forgotten’)

Article 17

Recht op gegevenswissing („recht op vergetelheid”)

Recital 66

Article 19

Notification obligation regarding rectification or erasure of personal data or restriction of processing

Recital 39

Recital 65

Recital 66

ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25

Rechtbank Amsterdam

Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.

ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285

Rechtbank Noord-Holland

AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.

ECLI:NL:RBDHA:2026:3061 Rechtbank Den Haag , 02-02-2026 / NL26.3326

Rechtbank Den Haag

Bewaring, beroep, bewaringsgronden, lichter middel, ongegrond.

ECLI:NL:RVS:2026:515

Raad van State

ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252

Rechtbank Den Haag

Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.

ECLI:NL:RBMNE:2026:429 Rechtbank Midden-Nederland , 21-01-2026 / C/16/597768 / HL RK 25-30

Rechtbank Midden-Nederland

AVG verzoek niet ontvankelijk. Veilig Thuis Gooi en Vechtstreek is een bestuursorgaan. Verzoek moet bij de bestuursrechter worden ingediend en niet bij de civiele rechter

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

Schending eer en goede naam en bescherming werknemers weegt zwaarder.

Rechtbank

Kort geding. Verbod op het doen van onrechtmatige uitlatingen en het benaderen van bestuurders, medewerkers, organen en locaties van de Stichting. Gebod tot het verwijderen van alle gedane openbare uitlatingen.

Geheimhouding

Rechtbank

Beslissing geheimhoudingskamer

Geheimhouding

Rechtbank

Beslissing geheimhoudingskamer

Gemachtigde advocaat mag Woo-verzoek doen. Geen reden voor nadere identificatie

Rechtbank

De rechtbank komt in deze uitspraak tot de conclusie dat het bezwaar tegen de waarschuwing terecht niet-ontvankelijk is verklaard, omdat de waarschuwing geen besluit is en daarmee ook niet gelijk te stellen is. Wel had het college in de bezwaarprocedure inzage moeten geven in de op de zaak betrekking hebbende stukken. Dit levert een gebrek op, dat leidt tot vernietiging van besluitonderdeel I. Omdat de niet-ontvankelijkverklaring van het bezwaar klopt, laat de rechtbank de rechtsgevolgen van dat besluitonderdeel in stand. Dat betekent dat er niet alsnog een inhoudelijke bezwaarprocedure hoeft te worden gevolgd en dus niet alsnog inzage in de op de zaak betrekking hebbende stuken hoeft te worden gegeven. De rechtbank komt verder in deze uitspraak tot de conclusie dat het Woo-verzoek niet buiten behandeling had mogen worden gesteld. Het bezwaar is op dit punt ten onrechte ongegrond verklaard en dat leidt tot vernietiging van besluitonderdeel II.

Doel blokkeringsrecht in relatie medisch advies

Rechtbank

Afwijzing verzoek om ontheffing van de inburgeringsplicht op grond van medische of psychische redenen. Eiser heeft de medische adviezen geblokkeerd waardoor de staatssecretaris de medische gronden voor ontheffing niet kon beoordelen. De staatssecretaris mocht de ontheffing daarom weigeren. De rechtbank benoemt geen onafhankelijke deskundige omdat er geen concrete, objectieve aanknopingspunten zijn om te twijfelen aan de geblokkeerde medische adviezen. Beroep ongegrond.

Verwijdering camera op paal die kan worden gedraaid

Rechtbank

Burengeschil. Camera op paal r.o. 4.21. Geen schadevergoeding. “[eisers in conventie, verweerders in reconventie] hebben niet gesteld dat [gedaagde in conventie, eiseres in reconventie] het oogmerk heeft gehad om hen met de camera op de paal immaterieel nadeel toe te brengen. Zij hebben evenmin v...

Buren. Cameras moeten weg.

Rechtbank

Burengeschil over uitleg en uitvoering erfdienstbaarheden en het gebruik van camera's

Burenruzie. Camera's moeten weg, van beide partijen.

Rechtbank

Partijen zijn buren en wonen schuin tegenover elkaar in dezelfde straat. Eiser wil dat gedaagde zijn camera’s verwijdert of aanpast, omdat deze haar privacy schenden. Als geoordeeld wordt dat gedaagde zijn camera’s moet verwijderen, dan wil gedaagde dat eiser ook wordt veroordeeld om haar camera’s te verwijderen. Geoordeeld wordt dat beide partijen hun camera’s moeten verwijderen, omdat deze een onrechtmatige inbreuk maken op elkaars privacy.

Hoist geeft geen gehoor, dus beroep op art. 21 AVG valt in voordeel betrokkene uit. BRK registratie moet worden verwijderd.

Rechtbank

Verzoek inzage de AVG

EVR registratie mag blijven

Rechtbank

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

Toewijzing schrapping uit IR, IVR, EVR en intrekken melding CBV

Rechtbank

Kort geding. Verzekeringszaak. Vorderingen tot verwijdering persoonsgegevens uit het Incidentenregister, IVR, EVR en tot intrekking van de melding bij het CBV toegewezen.

EVR registratie moet geschrapt nu twijfel is over of betrokkene bij fraude betrokken is

Rechtbank

Kort geding. De gevorderde ongedaanmaking van de opname van eiser in het interne incidentenregister wordt afgewezen. De ongedaanmaking van de opname van eiser in het Extern Verwijzingsregister wordt toegewezen, omdat gedaagde onvoldoende gronden heeft om tot opname van eiser in dat register over te gaan.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Versiegeschiedenis

guidelines recht op inzage

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)

Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Versiegeschiedenis

guidelines uitvoeren overeenkomst

Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

guidelines voor de toepassing van artikel 60 AVG

Version history

Richtsnoeren 01/2021

Guidelines 03/2021 on the application of Article 65(1)(a) GDPR

Guidelines on the application of Article 60 GDPR

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Geturhotels Srl: Overtreding van de algemene principes voor gegevensverwerking.

Een boete van 6.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Geturhotels Srl een boete van 6.000 euro opgelegd. Het bedrijf was betrokken bij direct marketingactiviteiten en gebruikte daarbij persoonsgegevens die niet op een manier waren verkregen of verwerkt die in overeenstemming is met de algemene principes van gegevensverwerking.

Cucina di Fabio S.R.L.: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 3.000 euro opgelegd aan Cucina di Fabio S.R.L. Het bedrijf was actief in direct marketing en gebruikte daarbij persoonsgegevens die niet op een voldoende juridische basis waren verkregen.

NATIONALE VERENIGING VAN TAXATIE-EXPERTEN EN RECHTELIJKE EXPERTS OP HET GEBIED VAN INFORMATICA: Onvoldoende naleving van de rechten van betrokkenen bij de verwerking van persoonsgegevens.

Een boete van 2.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete van 2.000 euro opgelegd aan de ASOCIACIÓN NACIONAL DE TASADORES Y PERITOS JUDICIALES INFORMÁTICOS. De verantwoordelijke partij heeft een gerechtelijke uitspraak gepubliceerd die persoonlijke gegevens van een betrokkene bevatte. Toen de betrokkene probeerde gebruik te maken van zijn rechten, reageerde de verantwoordelijke partij niet adequaat op het verzoek.

Whitedecor SRL: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan Whitedecor SRL. De verantwoordelijke partij had marketingberichten verstuurd naar klanten zonder een voldoende juridische basis.

Gemeente Isola del Gran Sasso: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 3.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Isola del Gran Sasso een boete van 3.000 euro opgelegd. De verantwoordelijke instantie heeft een besluit gepubliceerd op haar officiële website, waarin persoonlijke gegevens van een werknemer stonden, waaronder informatie over strafrechtelijke procedures tegen die werknemer. Bovendien heeft de verantwoordelijke instantie niet adequaat gereageerd op een verzoek van de betrokkene om gebruik te maken van zijn rechten.

La Prima Srl: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van €10.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft La Prima Srl een boete van 10.000 euro opgelegd. Het bedrijf heeft direct marketingberichten verzonden zonder een wettelijke basis en heeft bovendien niet gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

Dr. Max SRL: Onvoldoende naleving van de rechten van betrokkenen.

1.000 euro boete - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan Dr. Max SRL. Het bedrijf heeft niet voldaan aan het verzoek van een betrokkene om hun persoonlijke gegevens te verwijderen.

Università degli Studi di Cassino e del Lazio Meridionale: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 8.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de Università degli Studi di Cassino e del Lazio Meridionale een boete van 8.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten om het e-mailadres van een voormalige werknemer binnen een redelijke termijn te verwijderen, en heeft ook niet adequaat gereageerd op het verzoek van de voormalige werknemer om zijn gegevens te laten verwijderen.

ASNEF-EQUifax, een bedrijf dat informatie verstrekt over kredietwaardigheid, heeft onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 200.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 200.000 euro opgelegd aan ASNEF-EQUIFAX, SERVICIOS DE INFORMACIÓN SOBRE SOLVENCIA Y CRÉDITO, S.L. De verantwoordelijke partij heeft persoonsgegevens verkregen van een derde partij zonder de wettigheid daarvan te controleren. Dit resulteerde in het feit dat de verantwoordelijke partij de gegevens verwerkte zonder een voldoende juridische basis. Bovendien heeft de verantwoordelijke partij niet voldoende aan een verzoek om gegevensverwijdering voldaan.

Real Estate Agency: Insufficient cooperation with supervisory authority

€6,000 fine - Belgian Data Protection Authority (APD)

The Belgian DPA imposed a fine of EUR 6,000 on a real estate agency. The Belgian DPA had previously issued a remedy to the controller in an earlier case due to the controller processing data without a sufficient legal basis and failing to comply with the data subject's right to erasure. The Belgian DPA determined that the controller had failed to comply with the issued remedy, resulting in the fine being issued.

Dante International SA: Onvoldoende naleving van de rechten van betrokkenen bij de verwerking van persoonsgegevens.

Een boete van €10.000 - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 10.000 euro opgelegd aan Dante International SA. De verantwoordelijke partij heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn of haar rechten.

Immobiliënbureau: Onvoldoende samenwerking met de toezichthoudende instantie.

6.000 euro boete - Belgische Autoriteit voor gegevensbescherming (APD).

De Belgische beschermingsinstantie heeft een vastgoedmakelaardij een boete van 6.000 euro opgelegd. De Belgische beschermingsinstantie had eerder al een aanwijzing gegeven aan de verantwoordelijke in een eerdere zaak, omdat deze persoonsgegevens verwerkte zonder voldoende juridische basis en niet had voldaan aan het recht van de betrokkene op verwijdering van die gegevens. De Belgische beschermingsinstantie heeft vastgesteld dat de verantwoordelijke niet had voldaan aan de gegeven aanwijzing, wat heeft geleid tot de oplegging van de boete.

Office Nova Concept SRL: Onvoldoende naleving van de rechten van betrokkenen.

Een boete van €1.000 - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft een boete van 1.000 euro opgelegd aan Office Nova Concept SRL. De verantwoordelijke partij heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

Meerdere bedrijven: Onvoldoende juridische basis voor gegevensverwerking.

Een boete van €18.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft drie bedrijven een boete opgelegd, elk van € 6.000. De bedrijven (Powerfit s.s.d.a.r.l., Soleo s.s.d.a.r.l. en Zero Due Villa s.s.d.a.r.l.) exploiteren een keten van sportscholen. De bedrijven hebben de telefoonnummers van klanten gebruikt voor direct marketingdoeleinden zonder de toestemming van de betrokkenen. Bovendien hebben de bedrijven niet gereageerd op verzoeken om gegevens te verwijderen, waarmee ze het recht van de betrokkenen op verwijdering schenden.

Corint Logistic SRL.: Insufficient fulfilment of data subjects rights

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on Corint Logistic SRL. A customer had filed a complaint with the DPA because they had received advertising text messages from the controller, even though they had exercised their right to erasure and received confirmation that their personal data had been deleted.

KUGELCHEN PROPIERTIES, S.L.: Insufficient legal basis for data processing

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on KUGELCHEN PROPIERTIES, S.L.. The controller had continued to process data of the data subject, despite exercising their right to erasure.

Bper Banca S.p.A.: Insufficient fulfilment of data subjects rights

€10,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 10,000 on Bper Banca S.p.A.. An individual had filed a complaint with the DPA regarding the failure to fulfill their right to erasure of personal data. The individual had requested the bank to delete their personal data processed by the bank. The bank then asked the data subject to send their identification documents in order to verify their identity for the purpose of fulfilling their request. The data subject submitted their data, but did not receive a

Google LLC: Insufficient legal basis for data processing

€10,000,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) has imposed a fine of EUR 10 million on GOOGLE LLC. Two data subjects had complained to the DPA that Google had disclosed their personal data to third parties without authorization. In the course of the lengthy investigation, the DPA found that Google had passed on personal data of data subjects to the so-called Lumen project. Lumen is a project run by the Berkman Klein Center for Internet & Society at Harvard University. The project began in 2002 for the purpose of collec

Kutxabank, S.A.: Insufficient fulfilment of data subjects rights

€60,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) has imposed a fine of EUR 100,000 on Kutxabank, S.A.. Following a complaint from a former customer, claiming that the bank did not comply with his request to erasure of his data, the DPA started an investigation against the controller. The data subject had already been a customer of the bank in the past. At that time, he had exercised his right to erasure of his data. When he tried to open a new account with the controller, he was informed that this was not possible as his

Anmavas 61, S.L.: Insufficient cooperation with supervisory authority

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA (AEPD) imposed a fine on Anmavas 61, S.L. for neither granting nor justifiably denying the right to erasure to the data subject, even after receiving a warning issued by the AEPD.

DPC welcomes publication of EDPB CEF implementation report on right to be forgotten

DPC welcomes publication of EDPB CEF implementation report on right to be forgotten

EDPB identifies challenges hindering the full implementation of the right to erasure

Brussels, 18 February - The European Data Protection Board (EDPB) has adopted a report on its Coordinated Enforcement Framework (CEF) action on the right to be forgotten (Art.17 GDPR). The Board selected this topic as it is one of the most frequently exercised GDPR rights and one about which DPAs frequently receive complaints from individuals. The main objectives of this coordinated action are to ensure that the right to erasure is effectively exercised by individuals in Europe and understand ho

APD/GBA (Belgium) - 23/2026

}}}} The DPA ordered a company to erase the data provided by potential tenants after not entering into a lease agreement with them.The DPA ordered a landlord to erase the data provided by potential tenants after not entering into a lease agreement with them. == English Summary ==== English Summary == In 2023 the data subjects intended to enter into a lease agreement with a company (the controller). The controller requested various information from the data subjects, including identity documents,

USR - Referentienummer I-755/2025-8

Fixed Link: Hij beweerde later, tijdens de rechtszaak tegen de beslissing van AZOP, dat de autoriteit de feiten onjuist en onvolledig had vastgesteld, het materiële recht verkeerd had toegepast en de procedurele regels had geschonden. Hij benadrukte dat de gepubliceerde persoonlijke gegevens geen verband hadden met transparantie in de overheidsadministratie, dat hij noch een publiek figuur noch een politieke acteur was, en dat elk algemeen belang ophield zodra hij op 31 maart 2023 zijn functie had verlaten. Hij beroepte zich op zijn recht op verwijdering, zoals vastgelegd in [[Artikel...]].

USR - Reference number I-755/2025-8

Fixed Link: He later claimed, during the legal proceedings against the AZOP decision, that the authority had incorrectly and incompletely established the facts, had misapplied the relevant law, and had violated procedural rules. He emphasized that the published personal data were not related to transparency in government administration, that he was neither a public figure nor a political actor, and that any public interest ceased once he left his position on March 31, 2023. He invoked his right to erasure, as stipulated in [[Article...]].

USR - Us I-755/2025-8

Fixed Link He latter further claimed during the lawsuit against AZOP's decision that the authority had incorrectly and incompletely established the facts, misapplied substantive law, and breached procedural rules. He emphasized that the published personal data was unrelated to transparency in public administration, that he was neither a public figure nor a political actor, and that any public interest ended once he left office on 31 March 2023. He invoked his right to erasure under [[Articl

DSB (Oostenrijk) - 2025-0.276.820

}}}} Een Oostenrijks mediabedrijf is door de Autoriteit voor Gegevensbescherming een boete van 6.820 euro opgelegd, omdat het nalatig was bij het implementeren van een bindende aanwijzing om het cookiebanner op zijn website te wijzigen. Hierdoor werden de opties voor toestemming van gebruikers vertraagd, ondanks dat alle bezwaren werden afgewezen. De Autoriteit voor Gegevensbescherming heeft een mediabedrijf een boete van 6.820 euro opgelegd omdat het cookiebanner niet was aangepast om te voldoen aan de wetgeving, en er geen visueel gelijkwaardige optie was om cookies te weigeren. De Autoriteit had eerder aan het bedrijf opgedragen dit te doen, in overeenstemming met artikel 58(2)(d) van de AVG.

DSB (Austria) - 2025-0.276.820

An Austrian media company has been fined €6,820 by the Data Protection Authority because it failed to implement a binding instruction to modify the cookie banner on its website. This resulted in delays in providing users with consent options, despite all objections being rejected. The Data Protection Authority imposed a fine of €6,820 on the media company because the cookie banner had not been adjusted to comply with the law, and there was no visually equivalent option for users to reject cookies. The Authority had previously instructed the company to do so, in accordance with Article 58(2)(d) of the GDPR.

DSB (Austria) - 2025-0.276.820

An Austrian media company (the responsible party) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. These cookies contained unique identification codes to track visitors. This occurred in August 2021.

USR - Reference number I-755/2025-8

Facts: A court ruled that a television channel was justified in publishing a video containing personal data of a board member of a publicly traded company, because this information served the public interest and was therefore in compliance with Article 6 of the GDPR, and considered the right to erasure. A court ruled that a television channel was justified in publishing a video containing personal data of a board member of a publicly traded company, because this information served the public interest and was therefore in compliance with Article 6 of the GDPR, and...

DSB (Oostenrijk) - 2025-0.276.820

Een Oostenrijks mediabedrijf (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatiecodes om bezoekers te volgen. In augustus 2021.

USR - Us I-755/2025-8

Facts }}}} A court held that a television broadcaster lawfully published a video containing personal data about a public company board member as the information served the public interest thus complying with [[Article 6 GDPR]] and outweighting the right to erasure.A court held that a television broadcaster lawfully published a video concerning the resignation of a public company’s board member as well as their personal data. According to the court, the information served the public interest and

USR - Referentienummer I-755/2025-8

Feiten: Een rechtbank heeft geoordeeld dat een televisiezender op rechtmatige wijze een video heeft gepubliceerd die persoonlijke gegevens van een bestuurslid van een beursgenoteerd bedrijf bevatte, omdat deze informatie het algemeen belang diende en dus in overeenstemming was met artikel 6 van de AVG, en het recht op verwijdering overwoog. Een rechtbank heeft geoordeeld dat een televisiezender op rechtmatige wijze een video heeft gepubliceerd die persoonlijke gegevens van een bestuurslid van een beursgenoteerd bedrijf bevatte, omdat deze informatie het algemeen belang diende en dus in overeenstemming was met artikel 6 van de AVG, en...

USR - Referentienummer I-755/2025-8

Feiten: Een rechtbank heeft geoordeeld dat een televisiezender een video rechtmatig heeft gepubliceerd die persoonlijke gegevens van een bestuurslid van een beursgenoteerd bedrijf bevatte, omdat de informatie het algemeen belang diende en dus in overeenstemming was met artikel 6 van de AVG, waarbij het recht op verwijdering werd overschreden. Een rechtbank heeft ook geoordeeld dat een televisiezender een video rechtmatig heeft gepubliceerd over het vertrek van een bestuurslid van een beursgenoteerd bedrijf, evenals hun persoonlijke gegevens. Volgens de rechtbank diende de informatie het algemeen belang.

USR - Reference number I-755/2025-8

Facts: A court ruled that a television channel was legally justified in publishing a video containing personal data of a board member of a publicly traded company, because the information served the public interest and therefore complied with Article 6 of the GDPR, even though it overrode the right to erasure. Another court also ruled that a television channel was legally justified in publishing a video about the departure of a board member of a publicly traded company, along with their personal data. According to the court, the information served the public interest.

USR - Us I-755/2025-8

Facts }}}} A court held that a television broadcaster lawfully published a video containing personal data about a public company board member as the information served the public interest thus complying with [[Article 6 GDPR|Article 6 GDPR]] and outweighting the right to erasure.A court held that a television broadcaster lawfully published a video containing personal data about a public company board member as the information served the public interest thus complying with [[Article 6 GDPR]] and

DSB (Austria) - 2025-0.276.820

}}}} An Austrian media company was fined €6,820 by the Data Protection Authority for negligently failing to implement a binding order to modify its website’s cookie banner, delaying user consent options despite all appeals being rejected.The DPA fined a media company €6,820 for failing to bring its cookie banner into compliance by implementing a visually equivalent option to reject cookies. The DPA previously ordered the controller to do so in accordance with Article 58(2)(d) GDPR. == English Su

DSB (Austria) - 2025-0.276.820

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

DSB (Austria) - 2025-0.276.820

An Austrian media company (the data controller) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. The cookies contained unique identification numbers to track visitors. This occurred in August 2021.

DSB (Oostenrijk) - 2025-0.276.820

Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. In augustus 2021.