Storage Limitation

Recital 94

Recital 94

ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285

Rechtbank Noord-Holland

AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

Toesting Wpg-besluit kan niet via AVG-besluit. Geen profilering

Rechtbank

AVG inzageverzoek - omvang van het geding - Wpg-besluit van de Nederlandse Arbeidsinspectie dat n.a.v. bezwaar is genomen, kent een zelfstandige beroepsprocedure - geen toetsing van Wpg-besluit in dit beroep - minister SZW heeft inzage in de gegevensverwerking heimelijke salafisme-onderzoeken deugdelijk gemotiveerd - profilering artikel 4, lid 4 AVG - beroep ongegrond.

Rechtbank Zeeland-West-Brabant

Rechtbank Zeeland-West-Brabant

Beroep tegen het niet weigeren bepaalde strafrechtelijke gegevens uit de justitiele documentatie te verwijderen. De minister mocht uitgaan van de informatie van het OM en hoefde deze gegevens dus niet te verwijderen.

Raad van State

Raad van State

Bij besluit van 22 juli 2021 heeft de minister van Financiën het verzoek van [appellant sub 2] op grond van artikel 15 van de Algemene verordening gegevensbescherming om inzage van zijn persoonsgegevens in de Fraudesignaleringsvoorziening ingewilligd en de verzoeken op grond van de artikelen 16 en 17 van de AVG om rectificatie en wissing van die gegevens afgewezen. Bij brief van 20 mei 2021 heeft de minister [appellant sub 2] ervan op de hoogte gesteld dat zijn gegevens waren opgenomen in de FSV. Bij brief van 25 juni 2021 heeft [appellant sub 2], voor zover in hoger beroep aan de orde, de minister verzocht om inzage in alle persoonsgegevens in zijn FSV-dossier en om rectificatie en wissing daarvan. Aan de Tweede Kamer is toegezegd dat tot nader order geen gegevensverwerkingen in de FSV worden gewist. De minister is in het besluit op het daartegen door [appellant sub 2] gemaakte bezwaar bij de afwijzing van de verzoeken om rectificatie en wissing gebleven. De rechtbank heeft geoordeeld dat de minister bij het besluit van 28 oktober 2021 ten onrechte niet de informatie over de bron van de gegevens in de FSV heeft verstrekt, maar dat de minister die gegevens in de beroepsfase alsnog heeft verstrekt.

Rechtbank Gelderland

Rechtbank Gelderland

Eindvonnis na ECLI:NL:RBGEL:2025:3780 en ECLI:NL:RBGEL:2025:7208. Aansprakelijkheid assurantietussenpersoon. Eigen schuld. EVR-registratie. Artikel 21 en 22 Rv. Afwijzing vorderingen.

Raad van State

Raad van State

Bij besluit van 14 juli 2022 heeft het college van burgemeester en wethouders van Weert beslist op een verzoek van [partij] om openbaarmaking van documenten. [appellant] is voormalig burgemeester van de gemeente Weert. In De Limburger verscheen op 11 januari 2020 een artikel waarin was geschreven dat [appellant] mogelijk niet integer zou hebben gehandeld bij het verstrekken van subsidies. Voor de gemeenteraad van Weert is dit aanleiding geweest om een integriteitsonderzoek in te stellen. [appellant] heeft op 19 januari 2020 9.133 e-mails uit zijn functionele mailbox verwijderd. Daarna resteerden in die mailbox nog zeven e-mails. Op 29 januari 2020 heeft het college opdracht gegeven om de inhoud van de functionele mailbox van [appellant] met de verwijderde e-mails en zijn werkagenda veilig te stellen. Vervolgens is de kopie van de veilig gestelde e-mails, de andere informatie en de werkagenda (hierna: "de veiliggestelde e-mails") opgeslagen op een externe harde schijf en bewaard in een kluis. [partij] heeft op 7 juli 2020 als journalist bij De Limburger een verzoek op grond van de Wet openbaarheid van bestuur ingediend waarin hij, samengevat, heeft verzocht om documenten of informatie over het handelen en/of functioneren van [appellant] in zijn hoedanigheid als burgemeester van de gemeente Weert.

FSV

Rechtbank

Beroep ongegrond, passeren motiveringsgebrek met artikel 6:22 Awb, proceskostenveroordeling. Overschrijding redelijke termijn artikel 6 EVRM, schadevergoeding

Artikel(en):

Kifid

Verkorting IVR termijn naar vijf jaar (punt 3.14). Toetsing proportionaliteit op grond van art. 5(1)(e) AVG (beginsel van opslagbeperking) (punt 3.12)

Artikel(en):

Kifid

"Over de financiële stabiliteit van de consument overweegt de commissie dat de consument onvoldoende heeft onderbouwd dat zijn financiële situatie op dit moment structureel stabiel is." (punt 3.14) & "Van de bewaartermijn is nog geen jaar verstreken." (punt 3.15). Registratie mag gehandhaafd blij...

Inzageverzoek aan voldaan.

Raad van State

Op 17 juni 2021 heeft [appellant] de Commissie Bezwaarschriften gemeente Het Hogeland op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 (hierna: AVG) verzocht om inzage in de verwerking van haar persoonsgegevens. Op 16 juli 2021 heeft het college op dit verzoek gereageerd, omdat het stelt verwerkingsverantwoordelijke te zijn voor verwerking van persoonsgegevens door de Commissie. Daarbij heeft het college 95 documenten, waarin persoonsgegevens van [appellant] voorkomen, aan [appellant] verstrekt. In het besluit van 23 november 2021 heeft het college het hiertegen gemaakte bezwaar van [appellant] gedeeltelijk gegrond verklaard voor zover het college alleen zichzelf als verwerkingsverantwoordelijke had aangemerkt.

Rechtbank Gelderland

Rechtbank Gelderland

Tussenvonnis. Vervolg op ECLI:NL:RBGEL:2025:3780. Nadere aktewisseling.

Gerechtshof 's-Hertogenbosch

Gerechtshof 's-Hertogenbosch

Ten laste van de verdachte is bewezenverklaard dat hij zich schuldig heeft gemaakt aan beroepsmatige online handelsfraude en het medeplegen van gewoontewitwassen. Het hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 3 jaren met aftrek van het voorarrest. Tevens is beslist op de vorderingen van de benadeelde partijen.

Inzageverzoek RIEC

Rechtbank

Deze uitspraak gaat over eisers verzoek om inzage – op grond van de Algemene Verordening Gegevensbescherming (hierna: AVG) – in de verwerking van zijn persoonsgegevens in het kader van het Regionale Informatie en Expertise Centrum (hierna: RIEC). De uitgevoerde zoekslag heeft niets opgeleverd en daarom heeft het college het inzageverzoek afgewezen. Eiser is het niet eens met deze afwijzing. De rechtbank komt in deze uitspraak tot het oordeel dat het verzoek om inzage niet te beperkt is opgevat, dat de zoekslag volledig is geweest en dat niet aannemelijk is gemaakt dat er wel documenten (met daarin eisers persoonsgegevens) bij het college berusten. Eiser krijgt dus geen gelijk en het beroep is dus ongegrond.

Inschakelen derde partij voor heffing grondbelasting o.m. door geheimhoudingsplicht voorzien van voldoende waarborgen.

Dutch Courts

In een aantal zaken betreffende een viertal hotels is in hoger beroep uitspraak gedaan in één of meer problemen in de grondbelasting. Het betreft de onderwerpen: gevolgen uitblijven van de uitspaken op bezwaar en uitblijven schriftelijke mededeling, gevolgen uitblijven van hoorgesprekken, een beroep op de geheimhoudingsplichting van de Inspecteur (schending artikel I.16 lid 2 en lid 3 van de Staatsregeling van Aruba en artikel 8 EVRM), tariefkwestie en bevoegdheid van de belastingrechter ten aanzien van ontheffingsverzoeken ex artikelen 35/37 van de Landsverordening grondbelasting (LGB).

Inzageverzoek politiegegevens is beperkt tot de gegevens niet de documenten en ook niet die bij andere partijen bevinden zoals UWV, RVO of de Belastingdienst

Rechtbank

Verzoek om inzage ogv Wet Politiegegevens (Wpg).

Woo- verzoek. De omstandigheid dat een document politiegegevens bevat, brengt niet met zich dat het document als zodanig onder de werking van de Wpg valt, ook voor zover dit document andere gegevens dan politiegegevens in voormelde zin bevat. Er bestaa...

Rechtbank

Woo. Zoekslag. Beroep gegrond. Het bestreden besluit is in strijd met het motiverings- en zorgvuldigheidsbeginsel. De zoekslag is in het verweerschrift voldoende gemotiveerd.

Fysieke inzage gehad in politiegegevens. Verweerder kiest vorm van inzage mits voldaan aan art. 25 Wpg. Overzicht van geregistreerde gegevens hoefde niet te worden opgemaakt en verstrekt.

Rechtbank

verzoek om inzage in persoonsgegevens ogv art 25 Wpg; verzoek ingewilligd; fysieke inzage gekregen; dit voldoet aan de Wpg, vwr hoefde geen overzicht te verstrekken; beroep ongegrond

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Versiegeschiedenis

guidelines recht op inzage

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Version history

Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)

Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

Verisure Italy s.r.l.: Non-compliance with general data processing principles

€400,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 400,000 on Verisure Italy s.r.l. The controller had been active in direkt marketing activities. The controller failed to ensure that the consent provided by data subjects was valid. Additionally, the controller failed to implement adequate retention periods for the processed data. Lastly, the controller failed to adequately respond to data subjects' requests to exercise their rights, and failed to adequately inform them regarding the processing of their

Verisure Italy s.r.l.: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

ILVA A/S: Non-compliance with general data processing principles

€200,900 fine - Danish Data Protection Authority (Datatilsynet)

The Danish DPA has imposed a fine of EUR 200,900 on ILVA A/S. The controller failed to implement data deletion deadlines. This led to an infringement of the principle of storage limitation.

ILVA A/S: Overtreding van algemene principes voor gegevensverwerking.

Een boete van 200.900 euro - De Deense Autoriteit voor Gegevensbescherming (Datatilsynet).

De Deense autoriteit voor gegevensbescherming heeft ILVA A/S een boete van 200.900 euro opgelegd. De verantwoordelijke partij heeft nagelaten om de deadlines voor het verwijderen van gegevens na te leven. Dit heeft geleid tot een schending van het beginsel van opslagbeperking.

Magna PT S.p.A.: Insufficient legal basis for data processing

€50,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine on Magna PT S.p.A. Employees of the controllers were subjected to 'return to work interviews' after returning from an absence due to illness or hospitalisation. These interviews lacked a sufficient legal basis, particularly with regard to the processing of health data. Additionally, the controller failed to adequately inform the data subjects regarding the processing. Furthermore, the controller failed to minimise the amount of data processed and the retention

Magna PT S.p.A.: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan Magna PT S.p.A. Medewerkers van de verantwoordelijke organisatie werden na hun terugkeer van een periode van ziekte of ziekenhuisopname onderworpen aan "terugkeergesprekken". Deze gesprekken hadden onvoldoende juridische basis, met name met betrekking tot de verwerking van gezondheidsgegevens. Bovendien heeft de verantwoordelijke organisatie de betrokkenen niet voldoende geïnformeerd over de verwerking. Verder heeft de verantwoordelijke organisatie nagelaten om de hoeveelheid verwerkte gegevens te minimaliseren en de bewaartermijn te beperken.

Menarini Silicon Biosystems SpA: Non-compliance with general data processing principles

€21,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 21,000 on Menarini Silicon Biosystems SpA. The controller is conducting oncological research and has developed a software that is able to classify human cells. The controller used pseudonymised health data from an American company which is part of the same group. The controller failed to ensure, that data subjects received adequate information and to ensure adequate data storage limitation. The controller also failed to demonstrate compliance with the ge

Bestuur voor steun aan burgers en de landbouw: Onvoldoende wettelijke basis voor gegevensverwerking.

Een boete van 5.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 5.000 euro opgelegd aan de organisatie "Patronage and Assistance for Citizens and Agriculture Board". De verantwoordelijke partij heeft persoonsgegevens van een betrokkene opgeslagen voor een periode die de wettelijke bewaartermijn, zoals vastgesteld in de nationale wetgeving, overschrijdt.

SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L.: Insufficient legal basis for data processing

€21,600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed fine on SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L. The controller offers fitness courses which are recorded and published. The consent obtained for the processing does not meet the legal standards. Additionally the controller does not limit the retention period of the data.. The original fine of EUR 36,000 was reduced to EUR 21,600 due to immediate payment and admission of responsibility by the controller.

SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L.: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 21.600 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L. De verantwoordelijke biedt fitnesscursussen aan die worden opgenomen en gepubliceerd. De toestemming die is verkregen voor de verwerking voldoet niet aan de wettelijke eisen. Bovendien beperkt de verantwoordelijke de bewaartermijn van de gegevens niet. De oorspronkelijke boete van 36.000 euro is verlaagd tot 21.600 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke.

Hospital: Insufficient technical and organisational measures to ensure information security

€190,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (AZOP) has imposed a fine of EUR 190,000 on a hospital. The hospital had suffered a data breach in which radiological image files were irrevocably lost. AZOP had received several complaints from data subjects whose personal data, including medical images, could not be provided. The investigation revealed that the hospital failed to implement appropriate technical measures to safeguard personal data, as no backups of the affected data were made (violation of Art. 32 (1) b) GDPR).

Selectra S.p.A.: Non-compliance with general data processing principles

€80,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 80,000 on Selectra S.p.A.. A former employee had lodged a complaint with the DPA on the grounds that the controller was able to access their e-mail inbox even after the termination of the employment relationship. The DPA found that such a long retention period for e-mails (in some cases three years after the termination of the employment relationship) was excessive. The DPA also found that the controller had not provided the data subjects with sufficient

Medical association: Insufficient fulfilment of data subjects rights

€4,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 4,000 on the medical association 'Ordine dei Medici Chirurghi e degli Odontoiatri'. A patient had filed a complaint with the DPA. During its investigation the DPA fount that the controller had not responded to the data subject's request for access to their personal data in a timely manner. Additionally, the controller failed to provide sufficient information regarding the retention period of their personal data.

Website operator: Non-compliance with general data processing principles

€180 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine on the operator of a website for storing data of a data subject for an excessively long period of time and contrary to the principle of storage limitation under Art. 5 (1) e) GDPR. The original fine of EUR 300 was reduced to EUR 180 due to the voluntary payment and the acknowledgement of responsibility.

Verkkokauppa.com: Non-compliance with general data processing principles

€856,000 fine - Deputy Data Protection Ombudsman

The Finnish DPA has imposed a fine of EUR 856,000 on Verkkokauppa.com Plc for not specifying the retention period of customer account data of e-commerce customers. The DPA also found that in order to make an online purchase, customers were required to create a customer account or register.

Black Tiger Belgium: Insufficient fulfilment of information obligations

€174,640 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has imposed a fine of EUR 174,640 on Black Tiger Belgium. An individual had filed a complaint with the DPA due to the controller's failure to properly comply with their request to exercise their right of access. During its investigation, the DPA further found that the controller had processed personal data in various databases without sufficiently informing the data subjects. The DPA also found that the data retention period of 15 years was excessively long and not necessary. Fin

Reykjanesbær municipality: Non-compliance with general data processing principles

€16,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 16,600 on the municipality of Reykjanesbær. The municipality had used the Google Education system without sufficiently complying with data protection regulations. In particular, the municipality did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the municipality did not ensure that the student data was not processed for purposes oth

City of Kópavogur: Non-compliance with general data processing principles

€20,000 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 20,000 on the city of Kópavogur. The city had used the Google Education system without sufficiently complying with data protection regulations. In particular, the city did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the city did not ensure that the student data was not processed for purposes other than those specified by the city

City of Hafnarfjörður: Non-compliance with general data processing principles

€18,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 18,600 on the city of Hafnarfjörður. The city had used the Google Education system without sufficiently complying with data protection regulations. In particular, the city did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the city did not ensure that the student data was not processed for purposes other than those specified by the

Garðabær municipality: Non-compliance with general data processing principles

€16,600 fine - Icelandic data protection authority ('Persónuvernd')

The Icelandic DPA has imposed a fine of EUR 16,600 on the municipality of Garðabær. The municipality had used the Google Education system without sufficiently complying with data protection regulations. In particular, the municipality did not fulfill its obligations when selecting Google as a processor and the processing agreement with Google did not comply with data protection requirements. Furthermore, the municipality did not ensure that the student data was not processed for purposes other t

Czech ministry apologizes to journalist for blanket collection of mobile phone data

The Czech Supreme Court has ruled that the legal regulation of blanket collection of electronic communications data (known as data retention) violates European Union law in a "long-term and particularly serious manner." This decision is the result of a multi-year campaign by the organization IuRe. However, the responsible minister has not yet taken steps to end blanket collection. The post Czech ministry apologizes to journalist for blanket collection of mobile phone data appeared first on Europ

Open Letter: Civil society concerned about extensive and indiscriminate data retention regime in Switzerland

19 civil society organisations have penned a letter to the Swiss Federal Department of Justice and Police (FDJP) to express serious concerns about their plans to extend the Swiss Data Retention regime. They call on the Federal Councilor to align Swiss legislation with the highest standards of protection for people’s privacy. The post Open Letter: Civil society concerned about extensive and indiscriminate data retention regime in Switzerland appeared first on European Digital Rights (EDRi).

Authority for the protection of personal data (Italy) - 10201989

The Italian data protection authority (DPA) has fined Verisure Italy €400,000 for unlawful marketing communications. The company lacked a valid legal basis for its marketing activities, which targeted both existing and potential customers. Furthermore, it failed to adequately inform data subjects, applied unreasonably long or undefined data retention periods, and responded too late to requests from data subjects regarding their rights. The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The company...

Garante per la protezione dei dati personali (Italy) - 10201989

}}}} The DPA imposed a fine of €400,000 on Verisure Italy for unlawful marketing communications. The controller lacked a valid legal basis for marketing activities towards both former and prospective clients, failed to properly inform data subjects, applied excessive or indeterminate retention periods, and responded late to data subject rights requests.The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The controller lacked a

Autoriteit voor de bescherming van persoonlijke gegevens (Italië) - 10201989

}}}} De Italiaanse beschermingsautoriteit (DPA) heeft Verisure Italy een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had geen geldige juridische basis voor marketingactiviteiten gericht aan zowel bestaande als potentiële klanten, heeft gegevensonderwerpen niet voldoende geïnformeerd, heeft onredelijk lange of onbepaalde bewaartermijnen toegepast en heeft te laat gereageerd op verzoeken van gegevensonderwerpen met betrekking tot hun rechten. De DPA heeft Verisure Italy, een leverancier van alarmsystemen, een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had een...

BGH - I ZR 97/25

Feiten: Het gerecht heeft beslist dat de bewaartermijn voor gegevens over afgewerkte betalingsachterstanden door private kredietinstanties niet automatisch wordt beperkt door regels voor het verwijderen van gegevens uit debiteurenregisters, en dat gedragscodes op basis van de AVG (Algemene Verordening Gegevensbescherming) kunnen dienen als richtlijn bij het afwegen van belangen in overeenstemming met artikel 6(1)(f) van de AVG. Het Federale Hof van Justitie heeft vastgesteld dat de maximale bewaartermijn voor gegevens over een reeds afgewerkte betalingsachterstand door een kredietinformatiebureau niet wordt beperkt door nationale regels voor het verwijderen van gegevens uit een openbaar debiteurenregister.

BGH - I ZR 97/25 (This appears to be a legal citation and doesn't require translation.)

Facts: The court has ruled that the data retention period for information regarding completed payment defaults by private credit agencies is not automatically limited by rules for deleting data from debtor registers, and that codes of conduct based on the GDPR (General Data Protection Regulation) can serve as a guideline when balancing interests in accordance with Article 6(1)(f) of the GDPR. The Federal Court of Justice has determined that the maximum retention period for data relating to a payment default that has already been resolved by a credit information agency is not limited by national rules for deleting data from a public debtor register.

Health data and use of cookies: DOCTISSIMO fined €380,000

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

CJEU clarifies GDPR principles of purpose limitation and storage limitation

The purpose limitation principle does not preclude a controller from capturing and storing in a test database established for testing and error correction purposes personal data previously collected and stored in another database. However, such "further processing" of personal data must be compatible with the specific purposes for which the personal data were originally collected. The principle of storage limitation precludes the retention of personal data in that test database for longer than n

Het verzamelen en opslaan door de Franse bloeddonordienst (EFS) van persoonlijke gegevens die de vermeende seksuele geaardheid van de aanvrager weergeven, zonder dat er een bewezen feitelijke basis voor is: een schending van artikel 8 van het verdrag.

Collection and retention, by the French blood donation service (EFS), of personal data reflecting applicant’s presumed sexual orientation without proven factual basis: violation of Article 8 of the Convention

CJEU: PNR Directive Valid if Limited to the “Strictly Necessary”

> In a landmark ruling of 21 June 2022, the CJEU (Grand Chamber), upheld the EU’s regime to collect and use records of travellers, provided that it is strictly interpreted in line with the EU’s fundamental rights. In addition, indiscriminate processing of the data in cases of flights carried out only within the EU is banned unless there is a threat of terrorism. In general, the passengers’ data must also be deleted after six months at the latest.

HvJ: De PNR-richtlijn is geldig, mits deze beperkt blijft tot wat "strikt noodzakelijk" is.

Op 21 juni 2022 heeft het Gerechtshof van de Europese Unie (Groot Beschouwingscollege) een baanbrekende uitspraak gedaan waarin het het EU-regime voor het verzamelen en gebruiken van gegevens van reizigers bevestigde, mits dit strikt wordt geïnterpreteerd in overeenstemming met de fundamentele rechten van de EU. Bovendien is het zonder onderscheid verwerken van deze gegevens bij vluchten die uitsluitend binnen de EU plaatsvinden verboden, tenzij er een dreiging van terrorisme bestaat. Over het algemeen moeten de gegevens van de passagiers ook binnen zes maanden worden verwijderd.

CJEU Clarifies Exceptions to Data Retention in Irish Case

> On 5 April 2022, the CJEU added another chapter to the long history of the admissibility of data retention in the EU. In a case concerning the data retention law in Ireland, the CJEU confirmed that general and indiscriminate retention of traffic and location data relating to electronic communication is contrary to Union law even if it intends to combat serious crime.

A-G: rechtmatig verzamelde en opgeslagen persoonsgegevens mogen onder voorwaarden tijdelijk in een extra interne databank worden bewaard

Lawfully collected and stored personal data may be retained in an additional internal database, to the extent that it pursues the same data processing purposes as the original data collection. That is the opinion of Advocate General Pikamäe to the EU Court in response to questions from a Hungarian judge.