Right to Object

Recital 105

Article 21

Cooperation with competent authorities

Article 21

Samenwerking met bevoegde autoriteiten

Article 21

Cybersecurity risk-management measures

Article 21

Maatregelen voor het beheer van cyberbeveiligingsrisico’s

Article 21

Buitengerechtelijke geschillenbeslechting

Article 21

Out-of-court dispute settlement

Recital 139

Artikel 47

Uitzonderingen op rechten betrokkene bij openbare registers

Artikel 21

Aanwijzing accrediterende instantie

Artikel 21a

Recital 70

Article 21

Recht van bezwaar

Recital 124

Recital 73

Recital 59

Article 21

Right to object

Recital 65

Article 21

ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252

Rechtbank Den Haag

Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

XH v European Commission

CJEU

Gaat om een beroep van T-613/21. In beroep wordt gesteld dat het Gerecht de professionele context als reden zag om de gegevens niet als persoonsgegevens te zien, maar dit is niet juist volgens het HvJ EU. Het feit dat het hier om informatie verwerkt in een werkgerelateerde context is niet een doo...

WS v European Commission

General Court EU

In deze zaak gaat het om WS, die bij deelname aan selectieprocedures voor EU-contract- en tijdelijk personeel een EPSO-account aanmaakte in het Talent-systeem en na succes in een procedure ook in de recruitmentportal werd opgenomen. WS deed vervolgens meerdere AVG-achtige verzoeken op grond van a...

Deurbelcamera die gemeenschappelijke ruimte registreert of die van appartementeigenaren filmt moet weg.

Rechtbank

De zaak gaat over een geschil tussen een VvE en een lid van de VvE over de nakoming van bepalingen uit onder andere het modelreglement en de vraag of de VvE rechtsgeldig boetes voor de overtredingen heeft opgelegd. Alleen voor de hondenkar in de gemeenschappelijke ruimte en de cameradeurbel is vastgesteld dat dit overtredingen zijn die nog steeds voortduren. De gevorderde boete wordt afgewezen, omdat uit de waarschuwingsbrief niet kan worden afgeleid voor welke overtreding een boete zal worden opgelegd bij voortduring daarvan en hoe hoog de boete is.

Rechtbank Gelderland

Rechtbank Gelderland

Eindvonnis na ECLI:NL:RBGEL:2025:3780 en ECLI:NL:RBGEL:2025:7208. Aansprakelijkheid assurantietussenpersoon. Eigen schuld. EVR-registratie. Artikel 21 en 22 Rv. Afwijzing vorderingen.

Rechtbank Amsterdam

Rechtbank Amsterdam

Collectieve actie Bureau Clara Wichman. Borstimplantaten. Vervolg op rechtbank Amsterdam 14 februari 2024, ECLI:NL:RBAMS:2024:745 en rechtbank Amsterdam 1 mei 2024, ECLI:NL:RBAMS:2024:2479. Productaansprakelijkheid. Richtlijn 85/374/EEG inzake productaansprakelijkheid. Richtlijn 93/42/EEG betreffende medische hulpmiddelen. Artikel 6:185 e.v. BW, artikel 6:162 BW, artikel 6:193b BW en 6:193d BW. Artikel 843a Rv (oud). Hoge Raad 30 juni 1989, NJ 1990/652 (Halcion). Eindvonnis. Geen gebrekkig product in de zin van artikel 6:186 BW. Producent niet aansprakelijk. De rechtbank wijst de vorderingen in de hoofdzaak en het incident af. Zie voor een samenvatting van het vonnis, het vonnis onder 1. ‘De zaak in het kort’.

Gerechtshof

Gerechtshof

Hoger beroep van een beschikking inzake een inzageverzoek idzv artikel 15 AVG aan X (voorheen: Twitter). Procedurele beslissingen: het hof acht zich bevoegd en X is ontvankelijk in haar hoger beroep. Het hof wijst het door X verzochte mededelingenverbod omtrent de niet-geredigeerde Guano Notes af en bepaalt dat uitsluitend het hof van deze gegevens kennis zal nemen (artikel 22 lid 2 en 3 Rv).

Gerechtshof

Gerechtshof

Art. 3:305a BW. Tussenbeslissing WAMCA-procedure in hoger beroep. TikTok. Internationale bevoegdheid ten aanzien van AVG en niet-AVG vorderingen? Aanhouding AVG-vorderingen i.v.m. prejudiciële vragen (rechtbank Rotterdam 23 juli 2025, ECLI:NL:RBROT:2025:9088). Stichtingen ontvankelijk ten aanzien...

Weg naar rechter staat nog niet open aangezien betrokkene zich niet eerst tot verwerkingsverantwoordelijke heeft gewend.

Rechtbank

Beschikking. Afwijzing verzoek verwijderen BKR-registratie. Artikel 79 AVG en 35 UAVG. Verzoeker niet-ontvankelijk.

Wat valt onder de geheimhoudingsverplichting van advocaten (en/of notaris) en hoe ver strekt de exhibitievordering?

Gerechtshof

Deurwaardersrenvooi artikel 438 lid 5 Rv; hoger beroep van ECLI:NL:RBAMS:2025:4579; Uitleg exhibitieveroordeling 17 december 2024, gerechtshof Amsterdam (ECLI:NL:GHAMS:2024:3472); inzage door beslaglegger in bescheiden die onder bewijsbeslag liggen. Geen inzage in gegevens die vallen onder de geheimhouding van advocaten, of voor zover van toepassing, een betrokken notaris. Exhibitieveroordeling strekt zich niet uit tot communicatie met - niet in de procedure betrokken - derden.

Ontbreken voorafgaande rechterlijke machtiging verzoek aan Costa Rica levert inbreuk op, maar deze is niet onevenredig

Dutch Courts

Onderzoek Themis. Overwegingen met betrekking tot verweren inzake verkrijging en gebruik data cryptocommunicatie (PGP-Safe en Sky-ECC). Normschending datavergaring in Costa Rica zonder voorafgaande machtiging van de rechter-commissaris: Hof volstaat met constatering. Vrijspraak van witwassen. Veroordeling tot 13 jaar en 6 maanden gevangenisstraf wegens deelneming aan een criminele organisatie, medeplegen uitlokking moord, in-/uitvoer cocaïne en het voorbereiden daarvan.

Recht op bezwaar is iets anders dan het maken van bezwaar zoals bedoeld in art. 6:4 Awb

Raad van State

Bij besluit van 15 juli 2020 heeft het college van burgemeester en wethouders van Rotterdam het verzoek van [appellante] om inzage in persoonsgegevens op grond van artikel 15 van de Algemene verordening gegevensbescherming (hierna: AVG) ingewilligd. Bij het besluit van 15 juli 2020 heeft het college inzage verleend in de verwerkte persoonsgegevens. Daartegen heeft [appellante] bezwaar gemaakt. [appellante] heeft bij brief van 23 december 2020 de gronden van dat bezwaar aangevuld. Bij die brief heeft [appellante] zowel gronden ingebracht over de inzage als over de rechtmatigheid van de verwerking van haar persoonsgegevens.

ECLI:NL:RBROT:2025:9088 Rechtbank Rotterdam , 23-07-2025 / C/10/668332 / HA ZA 23-965

Rechtbank Rotterdam

Vervolg op ECLI:NL:RBROT:2024:11322; Collectieve actie 3:305a BW; Ontvankelijkheidseisen; Verhouding tussen de WAMCA en de AVG; Uitleg artikel 80 lid 2 AVG met betrekking tot het recht op schadevergoeding. De rechtbank stelt prejudiciële vragen aan het Hof van Justitie van de Europese Unie.

Rechtbank Noord-Holland

Rechtbank Noord-Holland

Verzoekschriftprocedure. Verzoek op grond van de AVG. Verzoek om gegevens te laten wissen bij Veilig Thuis afgewezen.

WAMCA-zaak. Vrij omslachtige wijze van opt-out

Rechtbank

WAMCA-zaak. Volgende stap opt-out fase (drie maanden) en termijn 1018g Rv beproeven schikking (vier maanden). Wijze van opt-out vastgesteld.

WAMCA-zaak. Verzoek om terug te komen op eerdere beslissing wordt afgewezen.

Rechtbank

Het verzoek van ICAM strekt ertoe dat de rechtbank op inhoudelijke gronden terugkomt van enkele in het dictum van het vonnis van 17 juli 2024 neergelegde afwijzende beslissingen (niet-ontvankelijkverklaringen). Dit past niet in het systeem van het Nederlands burgerlijk procesrecht. Het verzoek wordt afgewezen.

Voor wissing vaccinatiegegevens mag kopie ID ter controle identiteit door RIVM worden verzocht als alternatief voor identificatie op locatie.

Raad van State

Bij besluiten van 7 december 2021 heeft de minister van Volksgezondheid, Welzijn en Sport de verzoeken om wissing van persoonsgegevens van [appellanten] op grond van artikel 17 van de Algemene verordening gegevensbescherming buiten behandeling gesteld. Bij brieven van 31 mei 2021 hebben [appellanten] de minister verzocht om wissing van hun bij het Rijksinstituut voor Volksgezondheid en Milieu aanwezige Covid-19 vaccinatiegegevens en Covid-19 persoonsgegevens. De minister heeft de verzoeken bij de besluiten van 7 december 2021 buiten behandeling gesteld omdat [appellanten] hebben geweigerd zich te legitimeren op een door de minister verzochte wijze, namelijk het toesturen van een kopie van hun paspoort of zich in persoon bij het kantoor van het RIVM legitimeren. De rechtbank heeft geoordeeld dat de minister de bezwaren terecht ongegrond heeft verklaard. Volgens de rechtbank mocht de minister de verzoeken buiten behandeling stellen op de grond dat de identiteit van de betrokkenen niet kon worden vastgesteld.

Rechtbank Rotterdam

Rechtbank Rotterdam

Kort geding. Overtreden beperkende bedingen in arbeidsovereenkomst? Onrechtmatige concurrentie en onrechtmatig profiteren van wanprestatie werknemers? In deze zaak heeft eiseres conservatoir bewijsbeslag doen leggen. In conventie wordt o.a. kopie van, althans inzage in de beslagen bescheiden gevorderd. Gebrek aan spoedeisend belang. Materieel bezien heeft eiseres niet voldaan aan haar stel- en adstructieplicht. De vorderingen in conventie zijn bovendien te onbepaald, vaag en disproportioneel. In onvoorwaardelijke reconventie wordt het bewijsbeslag beperkt.

Raad van State

Raad van State

Bij onderscheidenlijke besluiten van 30 oktober 2019, 4 december 2019 en 16 januari 2020 heeft de minister voor rechtsbescherming het verzoek van [appellant sub 1] om inzage van zijn persoonsgegevens en die van zijn zoon, gedeeltelijk toegewezen. [appellant sub 1] heeft een minderjarige zoon samen met zijn ex-vrouw. [appellant sub 1] en zijn ex-vrouw zijn in verschillende civiele en strafrechtelijke procedures verwikkeld geraakt. Daarbij is ook de Raad voor de Kinderbescherming (hierna: de RvdK) betrokken. De RvdK heeft onderzoek gedaan en een zogenoemd kinddossier over de zoon aangelegd. [appellant sub 1] heeft eerder op grond van de Wet bescherming persoonsgegevens verzocht om inzage in de contacten tussen onder meer de RvdK en zijn ex-vrouw. De Afdeling heeft in die procedure uitspraak gedaan op 10 april 2019, ECLI:NL:RVS:2019:1141, 201800994/1/A3. Daarin is onder meer beslist dat zijn verzoek niet zag op persoonsgegevens van de zoon. [appellant sub 1] heeft de RvdK bij brief van 19 mei 2019 verzocht om inzage in persoonsgegevens die de RvdK over hem en zijn zoon verwerkt en dit verzoek gebaseerd op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (de Algemene Verordening Gegevensbescherming.

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Version history

Guidelines on the accreditation of certification bodies

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)

Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)

Guidelines 06/2022 on the practical implementation of amicable settlements

Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Guidelines 03/2021 on the application of Article 65(1)(a) GDPR

Guidelines on the application of Article 60 GDPR

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679

Guidelines on relevant and reasoned objection under Regulation 2016/679

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Whitedecor SRL: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan Whitedecor SRL. De verantwoordelijke partij had marketingberichten verstuurd naar klanten zonder een voldoende juridische basis.

Università degli Studi di Cassino e del Lazio Meridionale: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 8.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de Università degli Studi di Cassino e del Lazio Meridionale een boete van 8.000 euro opgelegd. De verantwoordelijke partij heeft nagelaten om het e-mailadres van een voormalige werknemer binnen een redelijke termijn te verwijderen, en heeft ook niet adequaat gereageerd op het verzoek van de voormalige werknemer om zijn gegevens te laten verwijderen.

Office Nova Concept SRL: Onvoldoende naleving van de rechten van betrokkenen.

Een boete van €1.000 - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft een boete van 1.000 euro opgelegd aan Office Nova Concept SRL. De verantwoordelijke partij heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

Interflora Italia S.p.A.: Insufficient legal basis for data processing

€40,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA imposed a fine of EUR 20,000 on Interflora Italia S.p.A. The controller, who operates an online shop, used customer data for direct marketing purposes without a sufficient legal basis. The controller also failed to react to the objection of a data subject and only reacted after the data subject filed a complaint with the DPA.

BEEDIGITAL AI, S.A.: Non-compliance with general data processing principles

€120,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine against BEEDIGITAL AI, S.A.. A individual had lodged a complaint with the DPA against the controller because they had received advertising from the controller even though they were registered in the advertising objection register. In the course of its investigation, the DPA found that the controller had violated the principle of confidentiality. The original fine of EUR 150,000 was reduced to EUR 120,000 due to voluntary payment.

LinkedIn: Insufficient legal basis for data processing

€310,000,000 fine - Data Protection Authority of Ireland

The Irish DPA (DPC) has fined LinkedIn EUR 310 million. This decision is related to an investigation following a complaint in 2018 from the French NGO 'La Quadrature Du Net'. In July 2024, the DPC issued a draft decision under the GDPR cooperation mechanism under Art. 60 GDPR, to which no objections were raised. During its investigation, the DPC found that LinkedIn had no valid legal basis for processing user data for the purposes of behavioral analysis and targeted advertising. The DPC found th

Sky Italia S.r.l.: Insufficient legal basis for data processing

€842,062 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined Sky Italia EUR 842,062 for unlawful telemarketing. The investigation revealed that Sky contacted individuals without proper consent, including those registered in advertising opt-out lists and those who had given consent before the GDPR came into force—without reassesing its validity under the updated legal framework. Additionally, the documentation of consents obtained from data providers was deemed inadequate, as Sky stored consent details in modifiable Excel files, f

Fastweb S.p.A.: Non-compliance with general data processing principles

€1,000,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 1 million on Fastweb S.p.A. due to unauthorized telemarketing, the unlawful storage of customer data after contract termination, and inadequate responses to data deletion requests. Fastweb made marketing calls to individuals listed in the public objection register and used customer data for advertising purposes for up to 24 months after contract termination—without a legal basis. Additionally, affected customers often received delayed responses to their

Eni Plenitude S.p.A.: Non-compliance with general data processing principles

€6,419,631 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6.419.631 on Eni Plenitude S.p.A.. The DPA initiated an investigation against the controller due to 107 notifications and 8 complaints from data subjects regarding undesired marketing calls. It found that the controller had repeatedly called data subjects without their consent or registration in the national opt-out register. The DPA also found that a large number of the contracts concluded resulted from the illegal calls. The high number of unauthorized

A.S. Watson Health & Beauty Continental Europe B.V.: Insufficient legal basis for data processing

€50,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 600,000 on A.S. Watson Health & Beauty Continental Europe B.V.. The controller had tracked visitors to their drugstore website “Kruidvat.nl” with tracking cookies without their consent. The cookie banner on the website had the boxes for consenting to the placement of tracking software pre-ticked by default. Visitors who nevertheless wanted to reject the cookies could only do so with greater difficulty. This allowed the controller to collect sensitive perso

Olimpia S.r.l.: Non-compliance with general data processing principles

€100,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 100,000 on Olimpia S.r.l.. During its investigation, the DPA found that data subjects had received advertising calls on behalf of the controller without their consent or despite being entered in objection registers. The DPA concluded that the controller had failed to take appropriate technical and organisational measures to ensure that the processing of data subjects' personal is carried out in accordance with data protection regulations throughout the s

Facile.Energy S.r.l.: Non-compliance with general data processing principles

€100,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 100,000 on Facile.Energy S.r.l.. During its investigation, the DPA found that data subjects had received advertising calls on behalf of the controller without their consent or despite being registered in objection registers. The DPA concluded that the controller had failed to take appropriate technical and organisational measures to ensure that the processing of data subjects' personal is carried out in accordance with data protection regulations through

Azienda Trasporto Passeggeri Emilia-Romagna S.p.A.: Non-compliance with general data processing principles

€50,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 50,000 on the transport company azienda Trasporto Passeggeri Emilia-Romagna S.p.A.. The controller provided insufficient information on data processing on a form used to conclude a public transport subscription. The form did not allow a distinction between mandatory and optional data (such as cell phone number and email address) and did not clearly inform users of their right to object to processing for direct marketing purposes.

Candidate for parliamentary elections: Insufficient fulfilment of data subjects rights

French Data Protection Authority (CNIL)

The French DPA has imposed a fine on a candidate for parliamentary elections. The candidate had sent the data subject election advertising by email despite the data subject's objection.

Limit Call S.r.l.s.: Insufficient legal basis for data processing

€60,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 60,000 on Limit Call S.r.l.s. for unauthorized telemarketing. The controller had acquired lists of personal data without checking the legality of the data transfer, e.g. whether the data could also be used for commercial purposes or whether the data subjects had given their consent. In addition, it was not checked whether the telephone numbers called were entered in the public objection register.

H&M Hennes & Mauritz GBC AB: Insufficient fulfilment of data subjects rights

€30,000 fine - Data Protection Authority of Sweden

The Swedish DPA has imposed a fine of EUR 30,000 on H&M for sending out marketing messages, despite the fact that data subjects had exercised their right to objection. Six data subjects had filed a complaint against the controller with the DPA. The DPA found that the controller did not have sufficient systems and procedures in place to facilitate data subjects exercising their right to object to direct marketing.

Scionti Selezioni Superiori S.r.l.: Non-compliance with general data processing principles

€70,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 70,000 on Scionti Selezioni Superiori S.r.l.. The controller had made unsolicited marketing calls, in some cases to individuals who were registered in opt-out registers or had not given their consent. The DPA found that the controller had failed to implement appropriate technical and organizational measures to ensure that the processing of the data subjects' personal data was lawful, for example by checking whether the data subjects were registered in an

Compara Facile S.r.l.: Non-compliance with general data processing principles

€40,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 40,000 on Compara Facile S.r.l.. The controller had made unsolicited marketing calls, in some cases to individuals who were registered in opt-out registers, had not given their consent or had requested the deletion of their data. The DPA found that the controller had failed to implement appropriate technical and organizational measures to ensure that the processing of the data subjects' personal data was lawfu In addition, the controller failed to provid

SPAIN DPA: Insufficient fulfilment of information obligations

€2,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 2,000 on a controller for failing to provide data subjects with sufficient information to exercise their right to object.

NOVA TELECOMMUNICATIONS & MEDIA ΜΟΝΟΠΡΟΣΩΠΗ Α.Ε.,: Insufficient fulfilment of data subjects rights

€150,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 150,000 on NOVA TELECOMMUNICATIONS & MEDIA ΜΟΝΟΠΡΟΣΩΠΗ. Α.Ε., imposed a fine of EUR 150,000. A customer had filed a complaint with the DPA. During its investigation, the DPA found that the controller had sent promotional emails several times despite the objection of the data subject. In addition, the controller failed to comply with the data subject's right to access.

Article 65 GDPR

(a) No consensus on relevant and reasoned objections On 9 November 2020, the EDPB adopted its first decision under the dispute resolution mechanism laid down by Article 65 GDPR.<ref>EDPB, 9 November 2020, Twitter International Company, Decision 01/2020 (available [https://edpb.europa.eu/sites/default/files/files/file1/edpb_bindingdecision01_2020_en.pdf here]).</ref> The binding decision seeks to address the dispute which arose following a draft decision issued by the Irish SA as LSA

Garante per la protezione dei dati personali (Italy) - 10201989

Facts === Facts ====== Facts === Two data subjects, one a former client and the other a prospective client, lodged complaints with the DPA concerning repeated marketing calls and messages from Verisure Italy, despite having expressly requested that such communications cease.Two data subjects, one a former client and the other a prospective client, lodged complaints with the DPA because they received repeated marketing calls and messages from Verisure Italy, despite having expressly requested tha

DSB (Austria) - 2025-0.276.820

An Austrian media company has been fined €6,820 by the Data Protection Authority because it failed to implement a binding instruction to modify the cookie banner on its website. This resulted in delays in providing users with consent options, despite all objections being rejected. The Data Protection Authority imposed a fine of €6,820 on the media company because the cookie banner had not been adjusted to comply with the law, and there was no visually equivalent option for users to reject cookies. The Authority had previously instructed the company to do so, in accordance with Article 58(2)(d) of the GDPR.

Second revised amendment proposed by members Claassen and De Korte, to replace item 34, regarding an opt-out option for the processing of patient medical data.

Legislation.

Chamber Documents II 36278, No. 37, (Amendment to the Act on Quality, Complaints, and Disputes in Healthcare, concerning the regulation of quality registration in healthcare and the grounds for processing special personal data for the purpose of those quality registrations (Quality Registration Act...

Tweede nader gewijzigd amendement van de leden Claassen en De Korte ter vervanging van nr. 34 over een opt-out voor de verwerking van medische gegevens van patiënten

Legislation

Kamerstukken II 36278, nr. 37, (Wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken (Wet kwaliteitsregistr...

Let op, het gaat niet om een opt-out van de EHDS zelf, maar de opt-out die is geregeld in de EHDS.

Government

Brief regering, Opt-out EHDS en andere toezeggingen. Let op, het gaat niet om een opt-out van de EHDS zelf, maar de opt-out die is geregeld in de EHDS.

Please note that this is not about opting out of the European Health Data Space (EHDS) itself, but rather about the opt-out mechanism that is provided for within the EHDS.

Government.

Concise government statement, opt-out from the European Health Data Space (EHDS) and other commitments. Please note that this is not an opt-out from the EHDS itself, but rather an opt-out regulated within the EHDS.

EOKM zoekt een kortrechtelijke procedure om een pornografische website te stoppen.

Vonnis opgesteld door: Diederik Stols, Hanna van Til en Otto Volgenant, Boekx Advocaten. Rechterlijke Macht Amsterdam, 12 april 2023, IEF 21357; ECLI:NL:RBAMS:2023:2192 (EOKM v. Hammy Media). Het Expertisebureau Online Kindermisbruik (EOKM) heeft een rechtszaak aangespannen tegen Hammy Media, de beheerder van de pornosite 'xhamster.com'. EOKM stelt dat deze website mogelijk visueel materiaal toont dat in strijd is met een eerder vonnis van deze rechtbank, dat de publicatie van visueel materiaal verbiedt waarop personen te zien zijn die (1) hebben...

No bullsh*t opt-out: free noyb tool for quick and broad Facebook objections!

> No bullsh*t opt-out: free noyb tool for quick and broad Facebook objections! Use the noyb tool to opt out of targeted advertising and various other claimed 'legitimate interestes' by Meta in a simple and legally sound way.

Geen ingewikkelde procedures: een gratis tool van noyb waarmee u snel en eenvoudig bezwaar kunt maken tegen Facebook!

> Geen onzin, gewoon een opt-out: een gratis tool van noyb waarmee u snel en eenvoudig bezwaar kunt maken tegen Facebook! Gebruik de noyb-tool om u af te melden voor gerichte advertenties en verschillende andere zogenaamde 'legitieme belangen' die Meta claimt te hebben, op een eenvoudige en juridisch correcte manier.

Dirkzwager: ABRvS geeft uitleg aan het AVG-begrip "de instelling, uitoefening of onderbouwing van een rechtsvordering"

> Privacybescherming is niet absoluut. Dat staat zelfs letterlijk zo in de privacywetgeving. De AVG bevat daarom ook allerlei uitzonderingen. Een van de uitzonderingen die enkele keren terugkomt in de AVG ziet op de verwerking van persoonsgegevens in het kader van "de instelling, uitoefening of onderbouwing van een rechtsvordering". Tot op heden was echter niet heel erg duidelijk wat die woorden nu precies betekenen. Een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State

Record fine for Instagram following EDPB intervention

> Following the EDPB’s binding dispute resolution decision of July 28th, the Irish Data Protection Authority (DPA) has adopted its decision regarding Instagram (Meta Platforms Ireland Limited (Meta IE)) and has issued a record GDPR fine of €405 million.

European regulators are finalizing a decision blocking Meta from transferring data to the US

> “Based on the facts of the case, we do not see how [Meta] could have continued its personal data transfers following the Schrems II judgment had it acted in accordance with the GDPR,” the Norwegian objection reads.

DeFine is a calculator for GDPR fines based on method of the EDPB

> DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available online; it was subject to a public consultation until 27 June 2022).