Types of Special Categories of Personal Data
A dedicated topic is needed to comprehensively cover the specific types and definitions of special categories of personal data, including racial/ethnic origin, political opinions, religious beliefs, genetic data, biometric data, health data, and criminal convictions.
racial or ethnic origin political opinions religious beliefs philosophical beliefs trade union membership genetic data biometric data health data
Overview
18 sources · Feb 17, 2026Legal Framework
Article 9 GDPR prohibits processing personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, genetic data, biometric data for identification purposes, health data, or data concerning sex life or sexual orientation. This prohibition reflects the heightened vulnerability of such information. Recital 75 GDPR elaborates that processing these categories generates severe risks—including discrimination, identity theft, financial loss, reputational damage, and unauthorised reversal of pseudonymisation—requiring controllers to implement enhanced safeguards under the risk-based accountability framework. Complementing this, AI Act Recital 30 prohibits biometric categorisation systems that infer sensitive attributes from biometric data, specifically banning deductions of political opinions, religious beliefs, race, or sexual orientation from facial or fingerprint data.
Key Developments
The CJEU in Dannekamp v European Parliament clarified that assertions that data reveals political opinions demand rigorous substantiation; the Court rejected the argument that releasing names of former MEP assistants automatically constituted sensitive data processing, emphasizing that specific privacy infringement must be demonstrated under Article 4(1)(b) of Regulation 45/2001. In Schecke, the Court distinguished between legislative notification mandates and valid consent, ruling that statutory requirements to inform individuals do not establish Article 6(1)(a) or Article 9(2)(a) consent, compelling controllers to identify alternative lawful grounds. Enforcement authorities apply these principles strictly: the Romanian DPA imposed a €10,000 fine on a natural person for operating a website publishing identity documents containing special categories, while the Polish DPA fined Kraków police €18,500 for publishing health data. The EDPB’s Guidelines 05/2022 further require law enforcement agencies to demonstrate strict necessity and proportionality before deploying facial recognition technology, recognizing biometric data’s intrinsically sensitive nature.
Practical Guidance
• Audit biometric systems: Review AI applications to ensure they do not infer prohibited sensitive attributes (political opinions, religious beliefs, race, sexual orientation) from biometric data, as AI Act Recital 30 categorically prohibits such categorisation systems.
• Substantiate sensitivity classifications: When claiming data constitutes special categories, provide concrete evidence demonstrating how processing specifically exposes political affiliations or religious beliefs, following Dannekamp’s requirement for specific privacy impact demonstration.
• Establish valid lawful basis: Ensure processing rests on explicit consent or substantial public interest under Article 9(2), acknowledging that statutory notification obligations do not constitute consent per Schecke.
• Implement DPIAs: Conduct Data Protection Impact Assessments for biometric and health data processing, addressing Recital 75’s specified risks of discrimination, identity theft, and pseudonymisation reversal.
• Restrict public disclosure: Eliminate publication of identity documents or health records on public platforms; Romanian and Polish enforcement confirms such exposure attracts immediate sanction regardless of whether the controller is a natural person or public authority.
Laws (69)
View all 69Case Law (148)
View all 148ECLI:NL:RBGEL:2026:1247 Rechtbank Gelderland , 20-02-2026 / 05/085805-25
Rechtbank Gelderland
Veroordeling wegens diefstal met valse sleutels, fraude met online handel en fraude met identiteitsgegevens tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk, met een proeftijd van 3 jaar.
ECLI:NL:RBAMS:2026:1801 Rechtbank Amsterdam , 19-02-2026 / 13-315820-25
Rechtbank Amsterdam
Vervolgings-EAB Duitsland. Referte. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1762 Rechtbank Amsterdam , 18-02-2026 / 13-316587-25
Rechtbank Amsterdam
Vervolgings-EAB Oostenrijk, overlevering toegestaan. Geen weigeringsgronden, terugkeergarantie voldoende.
ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25
Rechtbank Amsterdam
Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.
ECLI:NL:RBDHA:2026:2626 Rechtbank Den Haag , 12-02-2026 / 09/042631-25 en 09/084601-25 (ttz. gev.)
Rechtbank Den Haag
Veroordeling voor voortgezette handeling van medeplegen poging tot moord en medeplegen voorbereidingshandelingen moord of zware mishandeling met voorbedachten rade en veroordeling voor medeplichtigheid aan voorbereidingshandelingen ontploffing teweegbrengen. Gevangenisstraf 12 jaar met aftrek.
ECLI:NL:GHARL:2026:1002 Gerechtshof Arnhem-Leeuwarden , 12-02-2026 / 25/210148
Gerechtshof Arnhem-Leeuwarden
In deze zaak heeft het hof in een procedure op grond van artikel 12 van het Wetboek van Strafvordering geoordeeld dat de officier van justitie een aangifte tegen onder meer twee journalisten ten onrechte heeft geseponeerd. Het hof heeft verder geoordeeld dat een van de journalisten zich alsnog voor de strafrechter moet verantwoorden voor het doen van uitlatingen in een in 2024 gepubliceerd krantenartikel.
ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3
Raad van State
Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.
ECLI:NL:RBAMS:2026:1394 Rechtbank Amsterdam , 03-02-2026 / 13-297778-25 (EAB I)
Rechtbank Amsterdam
Vervolgings- en executie-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1395 Rechtbank Amsterdam , 03-02-2026 / 13-297861-25 (EAB II)
Rechtbank Amsterdam
Vervolgings-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.
ECLI:NL:RBAMS:2026:1329 Rechtbank Amsterdam , 29-01-2026 / 1330184325
Rechtbank Amsterdam
executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden, artikel 12 OLW: OP aanwezig, artikel 7 OLW: lijstfeitverweer
Geheimhouding
Rechtbank
Beslissing geheimhoudingskamer
Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.
Rechtbank
Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.
Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn
Rechtbank
AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.
Tweemaal strafbare doxing
Gerechtshof
Veroordeling voor doxing en smaadschrift. Het hof vernietigt het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden om tegenover een breed publiek kwalijke uitlatingen te doen, waarmee verdachte op provocerende wijze reacties van lezers oproept. Veroordeling tot een taakstraf van 120 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 3 jaren. Oplegging van bijzondere voorwaarde: verdachte dient zich te onthouden van het doen van uitlatingen over benadeelde partij op sociale media en via klassieke media. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00
Veroordeling voor doxing
Rechtbank
Veroordeling voor bedreiging en doxing (artikel 285d Sr) tot een taakstraf voor de duur van 80 uren, waarvan 40 uren voorwaardelijk. Vrijspraak van bedreiging.
Vrijspraak Misbruik identificerende persoonsgegevens
Rechtbank
Vrijspraak voor bankhelpdeskfraude, computervredebreuk, diefstal valse sleutel en misbruik persoonsgegevens. Bewezenverklaring van opzetheling van een bankpas en een simkaart. Redelijke termijn overschreden met ruim 3 jaar. Taakstaf van 30 uur. Benadeelde partijen niet-ontvankelijk.
Bewezenverklaring misbruik identificerende persoonsgegevens.
Rechtbank
Bewezenverklaring medeplegen computervredebreuk, medeplegen diefstal valse sleutel en misbruik identificerende persoonsgegevens. Vrijspraak bankhelpdeskfraude. Toepassing ASR. Redelijke termijn overschreden met ruim 3 jaar. Jeugddetentie van 90 dagen. Benadeelde partijen deels toegewezen, deels niet ontvankelijk. Vorderingen tot tenuitvoerleggen afgewezen door het tijdsverloop.
Toesting Wpg-besluit kan niet via AVG-besluit. Geen profilering
Rechtbank
AVG inzageverzoek - omvang van het geding - Wpg-besluit van de Nederlandse Arbeidsinspectie dat n.a.v. bezwaar is genomen, kent een zelfstandige beroepsprocedure - geen toetsing van Wpg-besluit in dit beroep - minister SZW heeft inzage in de gegevensverwerking heimelijke salafisme-onderzoeken deugdelijk gemotiveerd - profilering artikel 4, lid 4 AVG - beroep ongegrond.
Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.
Rechtbank
Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.
Inzage en weigeringsgronden Wpg.
Rechtbank
Gedeeltelijke afwijzing van het verzoek van eiser om inzage in en informatie over de verwerking van zijn persoonsgegevens door de korpschef op grond van de Wpg. Het beroep, voor zover gericht tegen het besluit van 26 januari 2023, is niet-ontvankelijk. Het beroep, voor zover gericht tegen de besluiten van 24 april 2023 en 6 juni 2024, is gegrond, omdat deze besluiten een motiveringsgebrek kennen. De rechtbank ziet geen aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De korpschef heeft het motiveringsgebrek in beroep namelijk niet volledig hersteld. Ook heeft de korpschef geen duidelijkheid gegeven over de – door eiser gemotiveerd betwiste – juistheid van de in het besluit van 24 april 2023 verstrekte informatie dat geen persoonsgegevens van eiser zijn gedeeld met andere instanties/derden.
Guidance (42)
View all 42Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG
guidelines beperkingen rechten van betrokkenen
Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679
guidelines afwijkingen van artikel 49
VERSIEGESCHIEDENIS
binding corporate rules voor verwerkingsverantwoordelijken
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Guidelines on the calculation of administrative fines under the GDPR
The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
Guidelines on processing of personal data through video devices
Guidelines 9/2022 on personal data breach notification under GDPR
Guidelines on personal data breach notification under GDPR
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
Guidelines on derogations of Article 49
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Guidelines 01/2021
Guidelines on Examples regarding Personal Data Breach Notification
Enforcement (139)
View all 139Natural Person: Non-compliance with general data processing principles
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on a natural person. The controller operated a website on which identity cards containing personal data, including special category data, possible criminal convictions, data on the intimate lives of data subjects and possible debts, were published. The processing of this data was not based on a sufficient legal basis, and the controller did not ensure that the data was correct, complete or transparent. Furthermore, the controller did not adequate
Komendanta Miejskiego Policji w Krakowie: Non-compliance with general data processing principles
€18,500 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposd a fine of EUR 18,500 on the Komendanta Miejskiego Policji w Krakowie. The controller published personal data, including health data, of a data subject that had been involved in a police investigation, which was not necessary for the purpose of the publication.
Headquarter of a Fire Brigade: Insufficient legal basis for data processing
€10,000 fine - Hellenic Data Protection Authority (HDPA)
The Greek DPA has imposed a fine of EUR 10,000 on a Fire Brigade Head Quarter. The controller had stored health data of an employee which had been in relation with her sick leave. The controller stored every detail of the medical condition, treatment and other related data. The ammount of data processed had not been necessary for the purpose and therefore no legal basis.
Powiatowego Inspektora Sanitarnego w Policach: Insufficient technical and organisational measures to ensure information security
€4,750 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 4750 on the Powiatowego Inspektora Sanitarnego w Policach. The controller failed to implement adequate technical and organisational measures to ensure data security, which resulted in a data breach due to an employee loosing an unencrypted usb flash drive with personal health data and data regarding administrative proceedings.
De districtsinspecteur voor volksgezondheid in Police: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 4.750 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).
De Poolse gegevensbeschermingsautoriteit heeft een boete van 4750 euro opgelegd aan de Powiatowego Inspektora Sanitarnego in Policach. De verantwoordelijke partij heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat resulteerde in een datalek. Dit kwam doordat een werknemer een onversleutelde USB-stick met persoonlijke gezondheidsgegevens en gegevens over administratieve procedures heeft verloren.
Burgemeester van de gemeente Calvi Risorta: Er is onvoldoende juridische basis voor de verwerking van gegevens.
Een boete van €1.000 - Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan de burgemeester van de gemeente Calvi Risorta. De verantwoordelijke partij heeft tijdens de Covid-19-pandemie de gezondheidsgegevens van burgers gepubliceerd zonder een voldoende juridische basis.
Mayor of the Municipality of Calvi Risorta: Insufficient legal basis for data processing
€1,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 1,000 on the Mayor of the Municipality of Calvi Risorta. The controller published citizens' health data during the Covid-19 pandemic without a sufficient legal basis.
Linea Stampalibera Società Cooperativa r.I.: Non-compliance with general data processing principles
€2,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 2,000 on Linea Stampalibera Società Cooperativa r.I. The controller, who operates a news site, has disclosed too much personal information in an article, including health data. This infringes the principle of data minimisation.
Linea Stampalibera Società Cooperativa r.I.: Niet-naleving van de algemene principes voor gegevensverwerking.
Een boete van 2.000 euro - opgelegd door de Italiaanse Autoriteit voor gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 2.000 euro opgelegd aan Linea Stampalibera Società Cooperativa r.l. De verantwoordelijke, die een nieuwssite exploiteert, heeft in een artikel te veel persoonlijke informatie vrijgegeven, waaronder medische gegevens. Dit schendt het principe van dataminimalisatie.
Legal Entity: Insufficient legal basis for data processing
€2,200 fine - Slovenian Supervisory Authority (Informacijski pooblaščenec)
The Slovenian DPA has imposed a fine of EUR 2,200 on a legal entity. An employee of the company forwarded health data to a lawyer without sufficient grounds. The company was fined EUR 2,000, while the employee was fined EUR 200.
VALORA PREVENCIÓN, S.L.U.: Insufficient technical and organisational measures to ensure information security
€32,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 32,000 on VALORA PREVENCIÓN, S.L.U. The controller, a company offering occupational health and safety services, failed to implement sufficient technical and organisational measures. This resulted in the health data of an employee being leaked to a coworker of the data subject. The original fine of EUR 40,000 was reduced to EUR 32,000 due to immediate payment by the controller.
VALORA PREVENCIÓN, S.L.U.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 32.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft VALORA PREVENCIÓN, S.L.U. een boete van 32.000 euro opgelegd. De verantwoordelijke, een bedrijf dat diensten op het gebied van gezondheid en veiligheid op het werk aanbiedt, heeft onvoldoende technische en organisatorische maatregelen genomen. Hierdoor zijn gezondheidsgegevens van een werknemer gelekt naar een collega van de betrokkene. De oorspronkelijke boete van 40.000 euro is verlaagd tot 32.000 euro vanwege de directe betaling van de boete door de verantwoordelijke.
Magna PT S.p.A.: Insufficient legal basis for data processing
€50,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine on Magna PT S.p.A. Employees of the controllers were subjected to 'return to work interviews' after returning from an absence due to illness or hospitalisation. These interviews lacked a sufficient legal basis, particularly with regard to the processing of health data. Additionally, the controller failed to adequately inform the data subjects regarding the processing. Furthermore, the controller failed to minimise the amount of data processed and the retention
Magna PT S.p.A.: Onvoldoende juridische basis voor de verwerking van gegevens.
Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan Magna PT S.p.A. Medewerkers van de verantwoordelijke organisatie werden na hun terugkeer van een periode van ziekte of ziekenhuisopname onderworpen aan "terugkeergesprekken". Deze gesprekken hadden onvoldoende juridische basis, met name met betrekking tot de verwerking van gezondheidsgegevens. Bovendien heeft de verantwoordelijke organisatie de betrokkenen niet voldoende geïnformeerd over de verwerking. Verder heeft de verantwoordelijke organisatie nagelaten om de hoeveelheid verwerkte gegevens te minimaliseren en de bewaartermijn te beperken.
Ministerie van Sociale Zekerheid: Onvoldoende wettelijke basis voor gegevensverwerking.
550.000 euro boete - Ierse Autoriteit voor Gegevensbescherming.
De Ierse Autoriteit Persoonsgegevens heeft een boete van 550.000 euro opgelegd aan het Ministerie van Sociale Zekerheid. De verantwoordelijke instantie gebruikt een zogenaamd SAFE 2-registratieproces voor iedereen die een "Public Services Card" aanvraagt. Deze verplichte SAFE 2-registratie verwerkt biometrische gegevens zonder voldoende juridische basis. Bovendien heeft de verantwoordelijke instantie de betrokkenen niet voldoende geïnformeerd over de verwerking en geen impactanalyse op het gebied van gegevensbescherming uitgevoerd.
Departement of Social Security: Insufficient legal basis for data processing
€550,000 fine - Data Protection Authority of Ireland
The Irish DPA imposed a fine of EUR 550,000 on the Departement of Social Security. The controller uses the so called SAFE 2 registration process for anyone applying for a Public Services Card. The SAFE 2 registration, which is mandatory, processes biometric data without a sufficient legal basis. The controller also failed to adequately inform data subjects in regards to the processing and to conduct a data protection impact assessment.
Menarini Silicon Biosystems SpA: Non-compliance with general data processing principles
€21,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 21,000 on Menarini Silicon Biosystems SpA. The controller is conducting oncological research and has developed a software that is able to classify human cells. The controller used pseudonymised health data from an American company which is part of the same group. The controller failed to ensure, that data subjects received adequate information and to ensure adequate data storage limitation. The controller also failed to demonstrate compliance with the ge
Health Protection Agency of the Metropolitan City of Milan, Workplace Prevention and Safety Service, Milan North: Insufficient legal basis for data processing
€7,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 7,000 on Health Protection Agency of the Metropolitan City of Milan, Workplace Prevention and Safety Service, Milan North. The controller forwarded health data of a data subject to their employer without a sufficient legal basis.
Menarini Silicon Biosystems SpA: Niet-naleving van de algemene principes voor gegevensverwerking.
21.000 euro boete - Italiaanse Autoriteit voor de bescherming van persoonlijke gegevens (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft Menarini Silicon Biosystems SpA een boete van 21.000 euro opgelegd. De verantwoordelijke organisatie voert oncologisch onderzoek uit en heeft een software ontwikkeld die in staat is om menselijke cellen te classificeren. De verantwoordelijke organisatie heeft gebruik gemaakt van geanonimiseerde gezondheidsgegevens van een Amerikaans bedrijf dat deel uitmaakt van dezelfde groep. De verantwoordelijke organisatie heeft nagelaten ervoor te zorgen dat de betrokkenen voldoende informatie ontvingen en dat er voldoende beperkingen werden aangebracht met betrekking tot de opslag van gegevens. De verantwoordelijke organisatie heeft ook niet aangetoond dat zij voldoet aan de geografische beperkingen.
Municipality of Bologna: Insufficient technical and organisational measures to ensure information security
€40,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 40,000 on the Municipality of Bologna. The controller used a data processor (Cooperativa Sociale Quadrifoglio | ETid: 2274) to process data, including health data, of childreen with disabilities and special needs. The controller failed to ensure, that the processor had sufficient technical and organisational measures to ensure data security, resulting in a data leak.
News (40)
View all 40Seven Billion Reasons for Facebook to Abandon its Face Recognition Plans
The New York Times reported that Meta is considering adding face recognition technology to its smart glasses. According to an internal Meta document, the company may launch the product “during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” This is a bad idea that Meta should abandon. If adopted and released to the public, it would violate the privacy rights of millions of people and cost the
KHO - KHO:2025:86
Facts }}}} A court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA.A court held that an insurance company may lawfully process health data concerning an application for voluntary personal insurance in accordance with Article 9(2)(g) GDPR and national insurance law. The court found that such processing is necessary for
KHO - KHO:2025:86
Facts: A court has ruled that an insurance company is legally permitted to process health data from an applicant for a voluntary personal insurance policy during the application phase, under the national exception for insurance. This overturned a previous injunction issued by the Data Protection Authority. A court has also ruled that an insurance company is legally permitted to process health data related to an application for a voluntary personal insurance policy, in accordance with Article 9(2)(g) of the GDPR and national insurance legislation. The court found that such processing is necessary for...
KHO - KHO:2025:86
The court has ruled that an insurance company is entitled to process health data from an applicant for a voluntary personal insurance policy during the application phase, under the national exception for insurance. This decision overturns a previous injunction issued by the Data Protection Authority (AP). A court has ruled that an insurance company is entitled to process health data from an applicant for a voluntary personal insurance policy during the application phase, under the national exception for insurance. This decision overturns a previous injunction issued by the Data Protection Authority (AP).
KHO - KHO:2025:86
English Summary }}}} The Court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA.A court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA. ==
KHO - KHO:2025:86
Dutch Translation: Het gerecht heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Hierdoor werd een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens (AP) vernietigd. Een gerecht heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Hierdoor werd een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens (AP) vernietigd.
KHO - KHO:2025:86
Feiten: Een rechtbank heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Dit vernietigde een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens. Een rechtbank heeft ook geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens mag verwerken met betrekking tot een aanvraag voor een vrijwillige persoonlijke verzekering, in overeenstemming met artikel 9(2)(g) AVG en de nationale verzekeringswetgeving. De rechtbank heeft vastgesteld dat dergelijke verwerking noodzakelijk is voor...
Acties voor klimaatgerechtigheid versus de Europese wetgeving inzake gegevensbescherming: het advies van de Advocaat-Generaal.
Volgens hem beoordeelt de Advocaat-Generaal van het Hof of de Franse wet die de verzameling van biometrische gegevens door de politie regelt, voldoet aan de EU-criteria voor gegevensbescherming. Hoewel zijn interpretatie strikt theoretisch blijft en geen rekening houdt met de realiteit van de praktijken van de politie in Frankrijk, kan een van zijn voorstellen nuttig zijn voor mensen die een rechtsmiddel zoeken na misbruik van gegevensverzameling. Artikel: Actie voor klimaatgerechtigheid versus onderdrukking en de EU-wetgeving inzake gegevensbescherming: het standpunt van de Advocaat-Generaal.
Climate justice action repression vs EU data protection law: the Advocate General’s opinion
In his opinion, the Court’s Advocate General assesses the compliance of the French law regulating the collection of biometric data by police with EU data protection criteria. Although his interpretation remains strictly theoretical and fails to account for the reality of police practices in France, one of his proposals might become handy for people when seeking redress after abusive data collection. The post Climate justice action repression vs EU data protection law: the Advocate General’s opin
Actions for climate justice versus European data protection legislation: the Advocate General's opinion.
According to him, the Advocate General of the Court will assess whether the French law that regulates the collection of biometric data by the police complies with EU data protection standards. While his interpretation remains strictly theoretical and does not take into account the realities of police practices in France, one of his proposals could be helpful for individuals seeking legal recourse after instances of data collection abuse. Article: Action for climate justice versus oppression and EU data protection legislation: the Advocate General's position.
Please note that this is not about opting out of the European Health Data Space (EHDS) itself, but rather about the opt-out mechanism that is provided for within the EHDS.
Government.
Concise government statement, opt-out from the European Health Data Space (EHDS) and other commitments. Please note that this is not an opt-out from the EHDS itself, but rather an opt-out regulated within the EHDS.
Health data and use of cookies: DOCTISSIMO fined €380,000
Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco
“Social media profiles and phone contacts” used as proof of identity for deportations
> Thirteen non-EU countries sometimes accept “social media profiles and phone contacts” as evidence of identity for the purpose of deportations, according to an internal European Commission assessment of third country cooperation on readmission.
Het Europees Hof van Justitie (HvJ) heeft geoordeeld dat de verwerking van persoonsgegevens die indirect de seksuele geaardheid kunnen onthullen, als de verwerking van bijzondere categorieën persoonsgegevens wordt beschouwd.
In de zaak 'Vyriausioji Tarnybinės Etikos Komisija' heeft het Hof van Justitie van de Europese Unie (HvJEU) vastgesteld dat de naam van de echtgenoot, levenspartner of partner van een ambtenaar, evenals de aard van hun transacties (indirect gerelateerd aan seksuele geaardheid), bijzondere categorieën van persoonsgegevens vormen. Het Hof baseert zich op de brede definitie van "gegevens betreffende de gezondheid" in artikel [4(15) AVG](https://docs.legal.digital/gdpr/#article-4) en de richtlijnen in [Overweging 35](https://docs.legal.digital/gdpr/#rec35) om te benadrukken dat de context in overweging moet worden genomen.
CJEU: processing personal data liable to disclose indirectly sexual orientation constitutes processing of special categories of personal data
In 'Vyriausioji Tarnybinės Etikos Komisija' the CJEU held that the name of civil servants' spouse, cohabitant or partner and of the subject of their transactions (indirectly sexual orientation) are special categories of personal data. The Court relies on the broad definition of "data concerning health" in article [4(15) GDPR](https://docs.legal.digital/gdpr/#article-4) & the guidance in [Recital 35](https://docs.legal.digital/gdpr/#rec35) to highlight that context must be taken into account when
De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.
Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
Greek SA fines Clearview AI for EUR 20M
A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings
ICO Publishes Draft Employee Monitoring Guidance for Consultation
> On October 14, 2022, the Federal Trade Commission announced it is extending the deadline by one month to submit comments on its Advanced Notice of Proposed Rulemaking on commercial surveillance and lax data security practices.
De ICO publiceert een conceptrichtlijn over het monitoren van werknemers ter beoordeling.
Op 14 oktober 2022 heeft de Federal Trade Commission aangekondigd dat de deadline voor het indienen van commentaren op haar voorlopige voorstel voor regelgeving over commerciële surveillance en inadequate databeveiligingspraktijken met een maand wordt verlengd.
De Autoriteit Persoonsgegevens publiceert een rapport over de risicoanalyse van de AVG (Algemene Verordening Gegevensbescherming).
De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.