Representatives
Representatives of controllers not established in the EU
representative eu representative article 27
Overview
26 sources · Feb 20, 2026Legal Framework
Article 27 GDPR mandates that controllers not established in the Union designate a representative in the EU when processing personal data of Union residents under Article 3(2). This obligation applies unless processing is occasional, excludes large-scale processing of special categories under Article 9, and is not conducted by public authorities. The representative functions as the local enforcement anchor, enabling supervisory authorities to exercise their powers under Chapter VI effectively. This framework aligns with the broader governance approach illustrated in AI Act Recital 82, which requires third-country providers to appoint an authorized representative in the Union prior to market entry, ensuring authorities can obtain compliance information regardless of the provider’s physical location. The doctrinal analysis emphasizes that cross-border processing necessitates coordinated oversight; the representative fulfills this function by serving as the statutory point of contact for authorities across Member States, particularly where processing affects data subjects in multiple jurisdictions or involves sensitive data categories requiring heightened protection under Article 22.
Key Developments
The Court of Justice in Fashion ID established that responsibility for GDPR compliance attaches to the actor determining purposes and means of specific processing operations. This principle extends to representatives under Article 27, who must possess actual authority and operational capability to demonstrate compliance on behalf of the controller, though they do not assume liability for substantive violations. Recent enforcement patterns indicate supervisory authorities scrutinize whether representatives possess adequate mandates to facilitate effective communication. The Polish UODO decision (DKN.5131.4.2025) and developments regarding Article 41 monitoring bodies suggest regulators increasingly view representatives as integral to accountability frameworks, particularly where non-EU entities engage in continuous rather than occasional processing. The EDPB Guidelines 8/2022 on lead supervisory authority further inform representative placement by clarifying cross-border processing criteria relevant to determining the main establishment.
Practical Guidance
- Execute written mandate prior to processing: Non-EU controllers must appoint a representative in a Member State where affected data subjects reside before commencing processing, documenting the mandate in writing to satisfy Article 27(1) and AI Act precedents regarding formal authorization.
- Locate based on cross-border processing criteria: Position the representative in the Member State where the controller’s main establishment would be assessed under EDPB Guidelines 8/2022, typically where the majority of affected data subjects reside or where primary processing decisions originate.
- Maintain Article 30 records locally: Ensure the representative possesses and can provide authorities with records of processing activities upon request, functioning as more than a postal address but as an operational compliance liaison.
- Verify exemption inapplicability: Confirm the processing is not occasional, does not include large-scale processing of special categories under Article 9, and is not conducted by a public authority, as these factors trigger the Article 27 obligation.
- Integrate with breach notification protocols: Establish procedures enabling the representative to immediately communicate with both the controller and relevant supervisory authorities in case of personal data breaches under Article 33, serving as the local contact for cross-border incidents.
Laws (58)
View all 58Recital 82
Recital 29
Recital 29
Article 54
Authorised representatives of providers of general-purpose AI models
Article 22
Authorised representatives of providers of high-risk AI systems
Recital 149
Recital 148
Recital 92
Article 27
Beoordeling van de gevolgen voor de grondrechten van AI-systemen met een hoog risico
Article 27
Fundamental rights impact assessment for high-risk AI systems
Recital 150
Recital 149
Recital 148
Recital 67
Recital 96
Recital 92
Article 27
Registry of entities
Article 27
Register van entiteiten
Recital 133
Case Law (118)
View all 118ECLI:NL:RBDHA:2026:3093 Rechtbank Den Haag , 17-02-2026 / AWB 24/12193
Rechtbank Den Haag
Overplaatsing COA opvang voor meerderjarigen, uitgaan leeftijdsregistratie minister, ongegrond.
ECLI:NL:RBAMS:2026:1585 Rechtbank Amsterdam , 12-02-2026 / 13/335542-25
Rechtbank Amsterdam
De rechtbank is van oordeel dat er voor gedetineerden in de detentie-instelling Fresnes een algemeen reëel gevaar bestaat dat zij aan een onmenselijke of vernederende behandeling zullen worden blootgesteld in de zin van artikel 4 Handvest. De rechtbank baseert het algemene gevaar voor de detentie-instelling Fresnes op de overbevolkingsproblematiek en de hiervoor weergegeven slechte materiële detentieomstandigheden, het niet-functionerende intercomsysteem en het ontoereikende niveau van de gezondheidszorg. De rechtbank stelt vast dat er voor de opgeëiste persoon een individueel gevaar bestaat van schending van zijn grondrechten wegens de detentieomstandigheden in de detentie-instelling in Fresnes. De rechtbank stelt, ingevolge artikel 11, vierde lid, OLW, een redelijke termijn van 60 dagen.
ECLI:NL:RBNNE:2026:439 Rechtbank Noord-Nederland , 03-02-2026 / 24/1473
Rechtbank Noord-Nederland
Varia. Deze uitspraak gaat over het verzoek van eiser om rectificatie van zijn politiegegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek afgewezen. Eiser is het niet eens met de afwijzing en voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of de afwijzing rechtmatig is. De rechtbank komt in deze uitspraak tot het oordeel dat het beroep ongegrond is. Uit de Wpg, in samenhang met het Mandaatbesluit politie 2024, volgt dat er geen territoriale begrenzing geldt als de Wpg van toepassing is. Van een bevoegdheidsgebrek is geen sprake. Verder weerspreekt eiser de juistheid van de betreffende gegevens, maar toont dit niet aan.
ECLI:NL:RBAMS:2026:1703 Rechtbank Amsterdam , 03-02-2026 / 13-266022-25 (EAB I)
Rechtbank Amsterdam
Vervolgings-EAB Polen. Geen gevolg gegeven aan het EAB. Officier van justitie niet-ontvankelijk verklaard. De rechtbank kan niet beoordelen of het algemene reële gevaar, dat de opgeëiste persoon structureel 23 uur per dag in zijn cel moet doorbrengen, kan worden uitgesloten.
ECLI:NL:RBAMS:2026:1625 Rechtbank Amsterdam , 27-01-2026 / 13/229935-25
Rechtbank Amsterdam
Executie-EAB Polen; overlevering geweigerd o.g.v. artikel 6a OLW en strafovername.
Rechtbank Amsterdam
Rechtbank Amsterdam
Executie-EAB uit Frankrijk. Na ontvangst vonnis en certificaat overlevering geweigerd onder gelijktijdige strafovername. Schorsing bevel 27 lid 4 OLW na uitspraak.
Rechtbank Amsterdam
Rechtbank Amsterdam
Vervolgings-EAB Polen. Tussenuitspraak. Artikel 11 OLW. Detentieomstandigheden in Poolse remand regimes. De rechtbank constateert dat een discrepantie bestaat tussen toezeggingen gedaan in de twee genoemde overleveringszaken en in onderhavige zaak met betrekking tot de bewegingsvrijheid buiten de cel voor gedetineerden die in the Opole Remand Centre worden gedetineerd. De rechtbank ziet daarom aanleiding om het onderzoek ter zitting te heropenen en de officier van justitie te verzoeken om bij de uitvaardigende justitiële autoriteit duidelijkheid te verkrijgen over de tegenstrijdigheden in de informatie van de uitvaardigende justitiële autoriteit.
Gerechtshof Arnhem-Leeuwarden
Gerechtshof Arnhem-Leeuwarden
Soevereinen, verzoek anoniem procederen inspecteur, 8:29 Awb
Geheimhouding
Gerechtshof
Geheimhouding
Belangenafweging openbaarmaking in het kader van de Gezondheidswet en Wet op de jeugdzorg
Raad van State
Bij besluit van 29 juni 2021 heeft de minister besloten een rapport van de Inspectie Gezondheidszorg en Jeugd over de stichting openbaar te maken. Bij besluit van 22 december 2021 heeft de minister het door de stichting daartegen gemaakte bezwaar ongegrond verklaard. De stichting heeft een zelfstandig dagbehandelcentrum met als aandachtsgebied poliklinische cardiologische zorg en onderzoek en behandeling van patiënten met dysautonomie en ME/CVS. De Inspectie Gezondheidszorg en Jeugd (hierna: de inspectie) heeft op 4 maart 2021 bezoek gebracht aan de kliniek. Aanleiding voor het bezoek waren mede de opmerkingen over de telefonische bereikbaarheid van de kliniek voor andere zorgaanbieders en over de geboden zorg aan patiënten met ME/CVS. De inspectie heeft rapport opgemaakt van het bezoek en daarin tekortkomingen bij de stichting vastgesteld. Verder heeft de inspectie geconcludeerd dat de stichting maatregelen moet nemen om de tekortkomingen te herstellen.
Privacyregels zouden belemmering vormen voor de Gecertificeerde Instelling om gegevens te delen met de ene ouder over de andere
Gerechtshof
gezag
Inzage Wpg gegevens
Raad van State
Beroep ongegrond
Encrochat-gegevens
Gerechtshof
Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.
Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.
Rechtbank
Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.
Inzage en weigeringsgronden Wpg.
Rechtbank
Gedeeltelijke afwijzing van het verzoek van eiser om inzage in en informatie over de verwerking van zijn persoonsgegevens door de korpschef op grond van de Wpg. Het beroep, voor zover gericht tegen het besluit van 26 januari 2023, is niet-ontvankelijk. Het beroep, voor zover gericht tegen de besluiten van 24 april 2023 en 6 juni 2024, is gegrond, omdat deze besluiten een motiveringsgebrek kennen. De rechtbank ziet geen aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De korpschef heeft het motiveringsgebrek in beroep namelijk niet volledig hersteld. Ook heeft de korpschef geen duidelijkheid gegeven over de – door eiser gemotiveerd betwiste – juistheid van de in het besluit van 24 april 2023 verstrekte informatie dat geen persoonsgegevens van eiser zijn gedeeld met andere instanties/derden.
Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.
Rechtbank
Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.
Toesting Wpg-besluit kan niet via AVG-besluit. Geen profilering
Rechtbank
AVG inzageverzoek - omvang van het geding - Wpg-besluit van de Nederlandse Arbeidsinspectie dat n.a.v. bezwaar is genomen, kent een zelfstandige beroepsprocedure - geen toetsing van Wpg-besluit in dit beroep - minister SZW heeft inzage in de gegevensverwerking heimelijke salafisme-onderzoeken deugdelijk gemotiveerd - profilering artikel 4, lid 4 AVG - beroep ongegrond.
Strafbare doxing
Gerechtshof
Veroordeling voor doxing en smaadschrift. Het hof vernietigt van het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft met het handelen misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden. Veroordeling tot een taakstraf van 80 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 2 jaren. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00.
Tweemaal strafbare doxing
Gerechtshof
Veroordeling voor doxing en smaadschrift. Het hof vernietigt het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden om tegenover een breed publiek kwalijke uitlatingen te doen, waarmee verdachte op provocerende wijze reacties van lezers oproept. Veroordeling tot een taakstraf van 120 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 3 jaren. Oplegging van bijzondere voorwaarde: verdachte dient zich te onthouden van het doen van uitlatingen over benadeelde partij op sociale media en via klassieke media. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00
Rechtbank Rotterdam
Rechtbank Rotterdam
Tussenuitspraak; weigering herziening last- en publicatiebesluit is evident onredelijk
Guidance (25)
View all 25Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Guidelines 03/2021 on the application of Article 65(1)(a) GDPR
Guidelines on the application of Article 60 GDPR
Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG
guidelines voor de toepassing van artikel 60 AVG
Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
guidelines over de begrippen 'verwerkingsverantwoordelijke'Â en 'verwerker'Â in de AVG
De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Versiegeschiedenis
guidelines meldplicht datalekken
Guidelines 04/2021 on Codes of Conduct as tools for transfers
Guidelines on codes of conduct and monitoring bodies
The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...
Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679
guidelines gedragscodes en toezichthoudende organen
Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)
guidelines territoriaal toepassingsgebied AVG
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker
guidelines bepalen leidende toezichthouder
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG
guidelines beperkingen rechten van betrokkenen
Guidelines 07/2020 on the concepts of controller and processor in the GDPR
Guidelines on the concepts of controller and processor in the GDPR
The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...
Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR
Guidelines 9/2022 on personal data breach notification under GDPR
Guidelines on personal data breach notification under GDPR
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Enforcement (26)
View all 26CLUB BALONCESTO TELDE: Insufficient legal basis for data processing
€1,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1,000 on the club BALONCESTO TELDE. The controller published an image of a minor without the consent of the minors representative.
CLUB BALONCESTO TELDE: Onvoldoende juridische basis voor de verwerking van gegevens.
1.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft de basketbalclub BALONCESTO TELDE een boete van 1.000 euro opgelegd. De verantwoordelijke partij heeft een foto van een minderjarige gepubliceerd zonder toestemming van de wettelijke vertegenwoordiger van de minderjarige.
COLEGIO VIRGEN DE EUROPA, S.L.: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.
Een boete van 24.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming heeft COLEGIO VIRGEN DE EUROPA, S.L. een boete van 24.000 euro opgelegd. Een medewerker van de verantwoordelijke, een school, heeft foto's gemaakt van minderjarige leerlingen zonder voldoende wettelijke basis en zonder de betrokkenen of hun wettelijke vertegenwoordigers te informeren. De oorspronkelijke boete van 40.000 euro is verlaagd tot 24.000 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke.
SERVICIOS ESPECIALES, S.A.: Niet-naleving van de algemene principes voor gegevensverwerking.
Een boete van 120.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse Autoriteit Persoonsgegevens (DPA) heeft een boete opgelegd aan SERVICIOS ESPECIALES, S.A. De zaak betrof een schending van de AVG tijdens een intern onderzoek naar een arbeidsconflict: het bedrijf deelde een rapport via e-mail met de personeelsvertegenwoordigers en 15 andere werknemers. Dit rapport bevatte de volledige namen, functies en details van de klachten van de betrokken personen. De DPA oordeelde dat deze openbaarmaking een schending vormde van artikel 5 (1) f) van de AVG, omdat het bedrijf de vertrouwelijkheid van de persoonsgegevens niet had gewaarborgd. De oorspronkelijke boete van 200.000 euro is verlaagd tot...
President of a workers' council: Non-compliance with general data processing principles
€600 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine on the president of the workers' council of a company following a complaint by a former employee. During their employment, the company carried out a collective redundancy procedure that affected the employee. The council had publicly posted a record of a meeting between the employee representatives and the works council, which contained a list of the employees affected with personal data such as names, ID card numbers, dates of birth, etc. The original fine of
Clearview AI Inc.: Non-compliance with general data processing principles
€30,500,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has fined Clearview Al Inc. EUR 30,500,000. Clearview, a company offering facial recognition services, holds a database of over 30 billion images, including those of Dutch citizens. These images are scraped from publicly available online platforms, such as social media. Clearview uses these images to create biometric profiles, allowing individuals to be identified. During its investigation the DPA found that the personal data contained in the company's database had been processed u
Ew Business Machines S.p.A.: Non-compliance with general data processing principles
€20,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 20,000 on Ew Business Machines S.p.A.. The controller had installed a video surveillance system that not only recorded images in real time, but also made audio recordings, capturing employees. Both the company's legal representative and their family had access to these recordings via a smartphone. During its investigation, the DPA found that the employees were not adequately informed about the additional audio monitoring. In addition, the company used an
Company: Insufficient fulfilment of information obligations
€13,300 fine - Hungarian National Authority for Data Protection and the Freedom of Information (NAIH)
The Hungarian DPA has imposed a fine of EUR 13,300 on a company. A customer had filed a complaint with the DPA because a conversation, which they had with a sales representative of the controller, had been recorded without them being informed about this. The DPA considered this to be a breach of the controller's information obligations under the GDPR.
Cypriot Ministry of the Interior: Non-compliance with general data processing principles
€8,000 fine - Cypriot Data Protection Commissioner
The Cypriot DPA has imposed a fine of EUR 8,000 on the Cypriot Ministry of the Interior. The Ministry of Interior had unlawfully transmitted personal data of employees to the House of Representatives.
Sindicato Intersectorial Trabajadores/as Provincia de Alicante: Non-compliance with general data processing principles
€2,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 2,000 on the Sindicato Intersectorial Trabajadores/as Provincia de Alicante union. The union published the protocols of a works council on their bulletin board and in a WhatsApp group. As a result, the handwritten signatures of all union representatives on the works council were published.
Senseonics Inc.: Non-compliance with general data processing principles
€45,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 45,000 on Senseonics Inc. The company had reported a data breach to the DPA pursuant to Art. 33 GDPR, involving an employee accidentally sending an information campaign by email to a large number of recipients in an open distribution list. This made it possible for all recipients to view the email addresses of the other recipients. The recipients of the e-mails were diabetic patients, making it possible to obtain information about the health status of th
Otavamedia Oy: Insufficient fulfilment of data subjects rights
€85,000 fine - Deputy Data Protection Ombudsman
The Finnish DPA has imposed a fine of EUR 85,000 on Otavamedia Oy. The DPA had received eleven complaints regarding Otavamedia between 2018 and 2021. Namely, the complaints primarily concerned the lack of response to inquiries from data subjects. Otavamedia explained that some of the privacy requests had not been fulfilled due to a technical problem with email management. During the incident, messages received in the privacy inquiry email box were not forwarded to customer service representative
Company: Insufficient legal basis for data processing
€3,400 fine - Czech Data Protection Auhtority (UOOU)
The Czech DPA imposed a fine of EUR 3,400 on a company. The data subject had concluded an energy supply contract with the controller in the past, but then duly terminated it. Nevertheless, the controller assigned the previously terminated contract to a processor (sales representative) in order to contact the data subject to conclude a new contract. The DPA found that the controller had unlawfully transferred the data subject's data to the sales agent, as in the absence of an existing contract it
EDP Comercializadora, S.A.U.: Insufficient fulfilment of information obligations
€1,500,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA (AEPD) has imposed a fine of EUR 1,500,000 on EDP Comercializadora, S.A.U.. The decision follows, in particular, several complaints received for processing personal data without consent. As the DPA found, the controller had failed to inform data subjects in accordance with Art. 13 GDPR when collecting their data. This involved data subjects not being informed of their rights under Art. 15 GDPR - Art. 22 GDPR, and the contact details of the controller (e.g. its address) being inco
EDP EnergÃa, S.A.U: Insufficient fulfilment of information obligations
€1,500,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA (AEPD) has imposed a fine of EUR 1,500,000 on EDP EnergÃa, S.A.U.. The decision follows, in particular, several complaints received for processing personal data without consent. As the DPA found, the controller had failed to inform data subjects in accordance with Art. 13 GDPR when collecting their data. This involved data subjects not being informed of their rights under Art. 15 GDPR - Art. 22 GDPR, and the contact details of the controller (e.g. its address) being incomplete. B
I-DE Redes Eléctricas Inteligentes, S.A.U: Non-compliance with general data processing principles
€200,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA (AEPD) imposed a fine of EUR 200,000 on I-DE Redes Eléctricas Inteligentes, S.A.U. The DPA received complaints from Waitum, S.L. and Servicios Aby 2018, S.L. because their customers had received letters from the controller. Both companies had previously transferred their customers' personal data to the controller under a network access agreement entered into with the controller. Under this agreement, the two companies acted as representatives of their respective customers, who we
Locatefamily.com: Non-compliance with general data processing principles
€525,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA (AP) has imposed a fine of EUR 525,000 on Locatefamily.com. Locatefamily.com is a platform where people can search for the contact information of family members they have lost contact with or other people they would like to get in touch with. The data subjects complained that their contact information (name, address, phone number) was published on the website without their knowledge. The data subjects were not able to request the deletion of their data published on the site easily,
Political Party: Insufficient legal basis for data processing
€1,500 fine - Spanish Data Protection Authority (aepd)
Sending of an e-mail to a former party member who had since resigned, with the request to act as an election representative without sufficient legal basis to process the personal data required for this purpose
TELEFONICA MOVILES ESPAÑA, S.A.U.: Insufficient legal basis for data processing
€40,000 fine - Spanish Data Protection Authority (aepd)
A sales representative failed to carefully check the identity of a claimant so that he could appear in the name of the data subject and order a telephone connection for four telephone lines in his name.
CZECH REPUBLIC DPA: Insufficient legal basis for data processing
Czech Data Protection Auhtority (UOOU)
The Czech DPA (UOOU) imposed a fine against a company for processing personal data without a sufficent legal basis. Several individuals were contacted by the sales staff of the controller for advertising purposes. The data subjects had used the services of the sales staff in the past (until around 2016) to conclude insurance or financial contracts. However, at that time, the sales staff were working for a different company with which they had concluded an agency contract. The DPA notes that on t
News (28)
View all 28UODO (Poland) - DKN.5131.4.2025
English Summary }}}} The DPA fined the Polish national postal operator €232k for a DPO conflict of interest. The DPO concurrently served as a Security Director and company proxy, effectively monitoring their own decisions regarding the means of data processing.The DPA fined the national postal operator €232,000 for appointing a DPO with a conflict of interest. The DPO concurrently served as a Security Director and representative of the controller, effectively monitoring their own decisions regar
Article 41 of the GDPR (General Data Protection Regulation).
Legal text: Explanation ==Explanation====Explanation== Article 41 of the GDPR supplements [[Article 40 of the GDPR]] by stipulating that compliance with an approved code of conduct must be monitored by a recognized body with the appropriate level of expertise in the sector covered by the code. While the Data Protection Directive 95/46/EC (GDPR) contained a provision regarding codes of conduct (article 27(1) GDPR), it did not provide information on how compliance with such codes should be monitored. Therefore, i
Article 41 GDPR
Legal Text: Commentary ==Commentary====Commentary== Article 41 GDPR complements [[Article 40 GDPR]] by providing that compliance with any approved code of conduct must be monitored by an accredited body with the appropriate level of expertise in the sector covered by the code. Although the Data Protection Directive 95/46/EC (DPD) included a provision on codes of conduct (Article 27(1) DPD), this did not include any information on how compliance with such codes should be monitored. Accordingly, i
Artikel 41 van de AVG (Algemene Verordening Gegevensbescherming).
Juridische tekst: Toelichting ==Toelichting====Toelichting== Artikel 41 van de AVG vult [[Artikel 40 van de AVG]] aan door te bepalen dat de naleving van een goedgekeurd gedragscode moet worden gecontroleerd door een erkende instantie met het juiste niveau van expertise in de sector die door de code wordt bestreken. Hoewel de Richtlijn gegevensbescherming 95/46/EG (AVG) een bepaling bevatte over gedragscodes (artikel 27(1) AVG), bevatte deze geen informatie over hoe de naleving van dergelijke codes moest worden gecontroleerd. Daarom, i
Strengthening data protection worldwide: EDPB meets with the countries and organisation with an adequacy decision
Brussels, 3 December - As part of its December’s plenary meeting, the European Data Protection Board (EDPB) held yesterday an online meeting with Commissioners and representatives of Data Protection Authorities (DPAs) from the countries and the organisation with an EU adequacy decision. This meeting marked the second of its kind, following the first gathering in October 2024. An adequacy decision is a key-mechanism in EU data protection legislation which allows free flow of personal data from Eu
Versterking van de gegevensbescherming wereldwijd: Het Europees Comité voor de Bescherming van Persoonsgegevens (EDPB) komt samen met de landen en organisaties die een adequaatheidsbesluit hebben.
Brussel, 3 december - Tijdens de plenaire vergadering van december heeft het Europees Comité voor gegevensbescherming (EDPB) gisteren een online bijeenkomst gehouden met commissarissen en vertegenwoordigers van nationale autoriteiten voor gegevensbescherming (DPAs) uit de landen en de organisatie die een besluit hebben over voldoende bescherming binnen de EU. Deze bijeenkomst was de tweede van dit soort, na de eerste bijeenkomst in oktober 2024. Een besluit over voldoende bescherming is een belangrijk instrument in de EU-wetgeving inzake gegevensbescherming, dat de vrije uitwisseling van persoonsgegevens mogelijk maakt vanuit de EU.
Strengthening data protection globally: The European Data Protection Board (EDPB) is meeting with countries and organizations that have an adequacy decision.
Brussels, December 3rd - During its plenary meeting in December, the European Data Protection Board (EDPB) held an online meeting yesterday with commissioners and representatives from national data protection authorities (DPAs) from the countries and organizations that have made a decision regarding adequate protection within the EU. This meeting was the second of its kind, following the first meeting in October 2024. A decision on adequate protection is an important instrument in EU data protection legislation, enabling the free flow of personal data from within the EU.
Evenement voor stakeholders over anonimisering en pseudonimisering: geef uw interesse aan.
Brussel, 17 november - Het EDPB organiseert een online evenement om input van belanghebbenden te verzamelen over anonimisering en pseudonimisering, en over de implicaties van het vonnis van het Gerechtshof van de Europese Unie (HvEU) in de zaak EDPS tegen het Single Resolution Board (SRB). Het evenement zal plaatsvinden op 12 december 2025 (tijdstip volgt). Dit biedt een gelegenheid om het EDPB te informeren en te ondersteunen bij zijn lopende werk op deze onderwerpen, zoals uiteengezet in het werkprogramma 2024-2025, en het weerspiegelt de toewijding van het EDPB aan de betrokkenheid van belanghebbenden.
Stakeholder event on anonymisation and pseudonymisation: express your interest
Brussels, 17 November - The EDPB organises a remote event to collect stakeholders’ input on anonymisation and pseudonymisation on implications of the judgement of the Court of Justice of the European Union (CJEU) in EDPS v Single Resolution Board (SRB). The event will take place on 12 December 2025 (time to be confirmed). This will be an opportunity to inform and support the EDPB’s ongoing work on these topics as per its work programme 2024-2025 and it reflects the EDPB’s commitment to stakehold
Event for stakeholders on anonymization and pseudonymization: Please indicate your interest.
Brussels, November 17th - The European Data Protection Board (EDPB) is organizing an online event to gather input from stakeholders on the topics of anonymization and pseudonymization, and on the implications of the judgment of the General Court of the European Union (GC EU) in the case of EDPS vs. the Single Resolution Board (SRB). The event will take place on December 12, 2025 (time to be confirmed). This provides an opportunity to inform and support the EDPB in its ongoing work on these topics, as outlined in the 2024-2025 work program, and reflects the EDPB's commitment to stakeholder engagement.
approved
Legislation.
We are one step closer to the ratification of Treaty 108+! On September 30th, the Dutch House of Representatives approved the treaty, including the motion proposed by members Kathmann and White regarding equal privacy protection throughout the Kingdom. This motion was also approved.
Report from a written consultation regarding...
Government.
Normally, I rarely draw attention to reports from written consultations in the House of Representatives, but this report deserves special attention: "Report on a written consultation regarding the results of an external research and risk analysis model (RAM)." For those who are interested, the attachments to this report include...
Additional information following the debate on the law introducing the Citizen Service Number (BSN) and the digital government infrastructure (DIGG).
Legislation.
House of Representatives letter providing "Additional information following the debate on the law introducing the BSN [citizen service number] and digital government services for the Caribbean Netherlands" (May 19, 2025). Includes an architectural sketch of the BSN system for the Caribbean Netherlands.
Initiative proposal by members Ceder and Six Dijkstra regarding children's rights online.
Government.
House of Representatives Documents II 2024–2025, 36 719, no. 2: Initiative note from members Ceder and Six Dijkstra regarding online children's rights. Three specific proposals are highlighted: (1) Develop a proof of concept for online age verification, (2) Introduce a "red button" for data deletion, (6) [The text is incomplete here].
Court of Audit points out obstacles in implementation of GDPR in Netherlands in letter to Chamber
The Court of Audit has sent a letter to the House of Representatives pointing out obstacles in the implementation of the General Data Protection Regulation (AVG) in the Netherlands. Implementing organizations are struggling with the AVG and this can lead to negative consequences for citizens. Recommendations are made to enable data sharing and pay attention to data sharing between implementers to prevent zoonoses and address healthcare fraud. The AVG provides room to process personal data, but t
De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.
Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
Greek SA fines Clearview AI for EUR 20M
A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
Het EU-VS privacyakkoord vereist een grondige en kritische beoordeling.
De Commissie heeft met enthousiasme een recent Amerikaans besluit gesteund om een nieuw kader te implementeren ter bescherming van de privacy van persoonlijke gegevens die worden uitgewisseld tussen de VS en Europa. Dick Roche is het daar niet mee eens. https://iapp.org/news/a/the-redress-mechanism-in-the-privacy-shield-successor-on-the-independence-and-effective-powers-of-the-dprc/
EU-US Privacy Framework needs a long hard look
The Commission has endorsed enthusiastically a recent US order to implement a new framework to protect the privacy of personal data shared between the US and Europe. Dick Roche begs to differ. https://iapp.org/news/a/the-redress-mechanism-in-the-privacy-shield-successor-on-the-independence-and-effective-powers-of-the-dprc/
Self-Sovereignty for Refugees? The Contested Horizons of Digital Identity
Self-sovereign identity is an embryonic technology with uncertain benefits for refugees. It may help to empower them, but it also risks reinforcing the power of states and corporations over them, according to this article.