Supervisory Authorities
National data protection authorities and their powers
supervisory authority DPA data protection authority chapter 6
Overview
26 sources · Feb 17, 2026Legal Framework
Article 51 GDPR establishes the European Data Protection Board (EDPB) as an independent Union body with legal personality, replacing the former Article 29 Working Party. It comprises the heads of national supervisory authorities and the European Data Protection Supervisor, represented by its Chair elected under Article 73(2) for a five-year renewable term. Article 54 GDPR imposes mutual obligations on authorities to exchange all relevant information and to endeavor to reach consensus, though this cooperation duty stops short of requiring agreement in every individual case. Article 56 GDPR operates as the consistency mechanism's binding decision-making pillar for resolving disputes between authorities regarding individual cases, functioning alongside the general advisory procedure under Article 64(2). Significantly, Article 56(3) excludes supervisory authority competence over processing activities by courts acting in their judicial capacity, preserving judicial independence in data processing incidental to adjudication. Article 50 GDPR confirms the Regulation's direct applicability, allowing Member States legislative flexibility only in specific material sectors such as employment, health care, and freedom of information, where the GDPR effectively functions as a minimum harmonization directive.
Key Developments
The Court of Justice in Data Protection Commissioner v Facebook Ireland (Schrems) affirmed that national supervisory authorities possess independent investigative powers to verify whether international data transfers comply with EU law, including authority to suspend transfers that fail adequacy standards. In Google v CNIL, the Court clarified that while supervisory authorities may order de-referencing of search results, they retain discretion to determine whether such orders should extend globally or remain territorially limited based on fundamental rights balancing. Enforcement practice demonstrates DPAs exercising these powers across diverse contexts: the Spanish DPA imposed sanctions for unlawful video surveillance in residential tenancies, while the Romanian authority penalized a design company for inadequate technical safeguards. Recent EDPB activity illustrates the consistency mechanism in operation—Opinions 29/2025 and 30/2025 on Binding Corporate Rules demonstrate how lead authority draft decisions require Board validation before approval, ensuring uniform application across the Union.
Practical Guidance
• Determine the lead supervisory authority under Article 56 GDPR when cross-border processing occurs, and provide complete information to facilitate the cooperation obligation under Article 54, responding promptly to requests from the lead authority.
• Recognize that judicial authorities processing personal data strictly in the exercise of judicial functions fall outside DPA competence per Article 56(3), though this exemption does not extend to courts' administrative activities or non-judicial public bodies.
• When implementing Binding Corporate Rules for international transfers, anticipate mandatory EDPB review under the consistency mechanism, as lead authority approvals require Board opinions on both controller and processor BCRs.
• In sectors such as employment or health where Article 50 permits national legislative variations, verify whether specific Member State laws create additional obligations beyond the GDPR baseline that affect supervisory authority procedures.
• Maintain comprehensive documentation demonstrating transfer safeguard adequacy, given DPAs' affirmed powers under the Schrems jurisprudence to investigate and suspend transfers to third countries that lack adequate protection levels.
Laws (136)
View all 136Recital 168
Recital 156
Recital 180
Recital 10
Recital 136
Recital 144
Recital 28
Recital 156
Recital 107
Artikel 19
Samenwerking met andere toezichthouders
Artikel 6
Oprichting en aanwijzing als toezichthoudende autoriteit
Artikel 14
Taken en bevoegdheden
Article 77
Recht om klacht in te dienen bij een toezichthoudende autoriteit
Article 78
Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit
Recital 128
Recital 87
Recital 36
Recital 91
Recital 120
Case Law (101)
View all 101Rechtbank Amsterdam
Rechtbank Amsterdam
Verzoek afgewezen
Belangenafweging openbaarmaking in het kader van de Gezondheidswet en Wet op de jeugdzorg
Raad van State
Bij besluit van 29 juni 2021 heeft de minister besloten een rapport van de Inspectie Gezondheidszorg en Jeugd over de stichting openbaar te maken. Bij besluit van 22 december 2021 heeft de minister het door de stichting daartegen gemaakte bezwaar ongegrond verklaard. De stichting heeft een zelfstandig dagbehandelcentrum met als aandachtsgebied poliklinische cardiologische zorg en onderzoek en behandeling van patiënten met dysautonomie en ME/CVS. De Inspectie Gezondheidszorg en Jeugd (hierna: de inspectie) heeft op 4 maart 2021 bezoek gebracht aan de kliniek. Aanleiding voor het bezoek waren mede de opmerkingen over de telefonische bereikbaarheid van de kliniek voor andere zorgaanbieders en over de geboden zorg aan patiënten met ME/CVS. De inspectie heeft rapport opgemaakt van het bezoek en daarin tekortkomingen bij de stichting vastgesteld. Verder heeft de inspectie geconcludeerd dat de stichting maatregelen moet nemen om de tekortkomingen te herstellen.
Buren. Cameras moeten weg.
Rechtbank
Burengeschil over uitleg en uitvoering erfdienstbaarheden en het gebruik van camera's
Toesting Wpg-besluit kan niet via AVG-besluit. Geen profilering
Rechtbank
AVG inzageverzoek - omvang van het geding - Wpg-besluit van de Nederlandse Arbeidsinspectie dat n.a.v. bezwaar is genomen, kent een zelfstandige beroepsprocedure - geen toetsing van Wpg-besluit in dit beroep - minister SZW heeft inzage in de gegevensverwerking heimelijke salafisme-onderzoeken deugdelijk gemotiveerd - profilering artikel 4, lid 4 AVG - beroep ongegrond.
Niet lakken bedrijfsnaam die tevens familienaam is in woo verzoek.
Rechtbank
Voorlopige voorziening, Wet open overheid, beoordelingskader onomkeerbare gevolgen publicatie en belang openbaarheid van informatie.
Verwijzing toepassing AVG of Wpg maakt een organsiatie nog geen bestuursorgaan.
Rechtbank
De stichting Landelijke Inspectiedienst Dierenwelzijn is geen bestuursorgaan als bedoeld in artikel 1:1 van de Algemene wet bestuursrecht. Een schriftelijke reactie op het Woo-verzoek van eiseres is dus geen besluit als bedoeld in artikel 1:3 van de Awb. Er is daarom geen sprake van het niet tijdig nemen van een besluit. De rechtbank is onbevoegd om van het beroep kennis te nemen.
Verhouding Wpg, Woo en AVG
Rechtbank
Afwijzing Woo-verzoek. Sprake van een herhaald verzoek. De Wpg regelt in de artikelen 3, derde lid, 7 en 25 zowel de openbaarmaking als de individuele verstrekking en is daarmee uitputtend. De AVG regelt naast de inzage in persoonsgegevens ook de individuele verstrekking van afschriften. De vangnetbepaling van artikel 5.5 van de Woo vindt, gelet op de gegevens waar eiser om heeft verzocht en waarvoor andere regelingen gelden met een uitputtend openbaarheidsregime en/of een uitputtend bedoeld verstrekkingsregime, geen toepassing. Beroep ongegrond.
Inzage transactiegegevens. Overwegingen inzake toepassing Maltese uitzondering op inzagerecht.
Hoge Raad
Unibet/Risepoint/Kindred-zaak. Geen misbruik van recht. Wordt verzocht om een overzicht met zijn transactiegegevens. “De voorzieningenrechter is er niet van overtuigd dat [eiser] inzage verzoekt om zijn persoonsgegevens te controleren. Hij stelt dit weliswaar in de dagvaarding, maar heeft hier op...
Raad van State
Raad van State
Bij besluit van 22 juli 2021 heeft de minister van Financiën het verzoek van [appellant sub 2] op grond van artikel 15 van de Algemene verordening gegevensbescherming om inzage van zijn persoonsgegevens in de Fraudesignaleringsvoorziening ingewilligd en de verzoeken op grond van de artikelen 16 en 17 van de AVG om rectificatie en wissing van die gegevens afgewezen. Bij brief van 20 mei 2021 heeft de minister [appellant sub 2] ervan op de hoogte gesteld dat zijn gegevens waren opgenomen in de FSV. Bij brief van 25 juni 2021 heeft [appellant sub 2], voor zover in hoger beroep aan de orde, de minister verzocht om inzage in alle persoonsgegevens in zijn FSV-dossier en om rectificatie en wissing daarvan. Aan de Tweede Kamer is toegezegd dat tot nader order geen gegevensverwerkingen in de FSV worden gewist. De minister is in het besluit op het daartegen door [appellant sub 2] gemaakte bezwaar bij de afwijzing van de verzoeken om rectificatie en wissing gebleven. De rechtbank heeft geoordeeld dat de minister bij het besluit van 28 oktober 2021 ten onrechte niet de informatie over de bron van de gegevens in de FSV heeft verstrekt, maar dat de minister die gegevens in de beroepsfase alsnog heeft verstrekt.
Rechtbank Den Haag
Rechtbank Den Haag
Overheidsaansprakelijkheid. Verstrekking persoonsgegevens door gemeente aan woningcorporatie over een koopwoning is in strijd met de AVG. Causaal verband met gestelde schadeposten?
Raad van State
Raad van State
Bij besluit van 29 juni 2021 heeft de minister besloten een rapport van de Inspectie Gezondheidszorg en Jeugd over de stichting openbaar te maken. Bij besluit van 22 december 2021 heeft de minister het door de stichting daartegen gemaakte bezwaar ongegrond verklaard. De stichting heeft een zelfstandig dagbehandelcentrum met als aandachtsgebied poliklinische cardiologische zorg en onderzoek en behandeling van patiënten met dysautonomie en ME/CVS. De Inspectie Gezondheidszorg en Jeugd (hierna: de inspectie) heeft op 4 maart 2021 bezoek gebracht aan de kliniek. Aanleiding voor het bezoek waren mede de opmerkingen over de telefonische bereikbaarheid van de kliniek voor andere zorgaanbieders en over de geboden zorg aan patiënten met ME/CVS. De inspectie heeft rapport opgemaakt van het bezoek en daarin tekortkomingen bij de stichting vastgesteld. Verder heeft de inspectie geconcludeerd dat de stichting maatregelen moet nemen om de tekortkomingen te herstellen.
Rechtbank Amsterdam
Rechtbank Amsterdam
Collectieve actie Bureau Clara Wichman. Borstimplantaten. Vervolg op rechtbank Amsterdam 14 februari 2024, ECLI:NL:RBAMS:2024:745 en rechtbank Amsterdam 1 mei 2024, ECLI:NL:RBAMS:2024:2479. Productaansprakelijkheid. Richtlijn 85/374/EEG inzake productaansprakelijkheid. Richtlijn 93/42/EEG betreffende medische hulpmiddelen. Artikel 6:185 e.v. BW, artikel 6:162 BW, artikel 6:193b BW en 6:193d BW. Artikel 843a Rv (oud). Hoge Raad 30 juni 1989, NJ 1990/652 (Halcion). Eindvonnis. Geen gebrekkig product in de zin van artikel 6:186 BW. Producent niet aansprakelijk. De rechtbank wijst de vorderingen in de hoofdzaak en het incident af. Zie voor een samenvatting van het vonnis, het vonnis onder 1. ‘De zaak in het kort’.
Rechtbank Rotterdam
Rechtbank Rotterdam
KG. Huurzaak. Vorderingen van huurder toegewezen. Vorderingen van verhuurder afgewezen/niet-ontvankelijk.
Woo. Geen concrete dreiging die uitzondering art. 5.1(5) Woo rechtvaardigt.
Rechtbank
Woo-verzoek over transport van varkens.
Weigering inzage rapport opgesteld n.a.v. een incident tijdens het onbegeleid verlof van betrokkene uit een TBS-kliniek was gerechtvaardigd gelet op de openbare veiligheid en de rechten van anderen, in casu het slachtoffer en medewerkers.
Rechtbank
Tijdens een onbegeleid verlof uit een TBS-kliniek in 2016 heeft een incident zich voorgedaan waarbij betrokkene een ernstig strafbaar feit is gepleegd. Het incident heeft intern bij de TBS-kliniek geleid tot een SIRE-onderzoek (systematische incident reconstructie en evaluatie) en bijbehorend rap...
Inzageverzoek in toezichtsdossier van Deken van de Orde van Advocaten. Uitzonderingen 41 UAVG onvoldoende gemotiveerd
Rechtbank
Betreft inzageverzoek in persoonsgegevens van hem en zijn stiefdochter 'die zijn verwerkt in klachtdossiers van eiser en in toezichtdossiers die bij verweerder in behandeling waren in het kader van de toezichthoudende taak van verweerder' (Deken van de Orde van Advocaten Amsterdam) (r.o. 13) Bero...
Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)
Gerechtshof
Het hof veroordeelt de verdachte tot een gevangenisstraf van 24 maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016 en het voorhanden hebben van wapens. Het hof bespreekt het verweer dat sprake is van sfeercumulatie en dat in het opsporingsonderzoek ten onrechte gebruik is gemaakt van gegevens die tijdens het uitoefenen van toezicht zijn verzameld. Daarnaast bespreekt het hof het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Beide verweren kunnen niet slagen.
ECLI:NL:GHAMS:2025:2666 Gerechtshof Amsterdam , 07-10-2025 / 200.339.869/01, 200.339.845/01 en 200.339.905/01
Gerechtshof Amsterdam
Art. 3:305a BW. Tussenbeslissing WAMCA-procedure in hoger beroep. TikTok. Internationale bevoegdheid ten aanzien van AVG en niet-AVG vorderingen? Aanhouding AVG-vorderingen i.v.m. prejudiciële vragen (rechtbank Rotterdam 23 juli 2025, ECLI:NL:RBROT:2025:9088). Stichtingen ontvankelijk ten aanzien van niet-AVG vorderingen? Immateriële schadevorderingen bundelbaar? Bepaling nauw omschreven groep en precieze omschrijving van de vorderingen.
Datenschutzbehörde, Dr. G S v Bundesministerin für Justiz, D GmbH
CJEU
Mag je een klacht weigeren te onderzoeken als nationale toezichthouder omdat over dezelfde vermeende overtreding ook al een rechtzaak is gestart? Nee zegt de AG. Je mag wel de behandeling daarvan opschorten totdat er een uitspraak is (punt 66), maar weigeren dat mag niet. (punt 70)
Handhavingsverzoek AP in zaak omtrent plaatsing cv-ketel terecht afgwezen. Interne registratie pgg is op basis van gerechtvaardigd belang.
Rechtbank
Persoonsgegevens zijn niet in strijd met de AVG verwerkt.
Guidance (96)
View all 96Opinion 31/2025 on the draft decision of the Dutch Supervisory Authority regarding the Controller Binding Corporate Rules of the Arcadis Group
EDPB
Opinion 31/2025 on the draft decision of the Dutch Supervisory Authority regarding the Controller Binding Corporate Rules of the Arcadis Group
Opinion 29/2025 on the draft decision of the Dutch Supervisory Authority regarding the Controller Binding Corporate Rules of the Illumina Group
EDPB
BCRs & CertificeringOpinion 29/2025 on the draft decision of the Dutch Supervisory Authority regarding the Controller Binding Corporate Rules of the Illumina Group
Opinion 33/2025 on the draft decision of the Irish Supervisory Authority regarding the Processor Binding Corporate Rules of the CSG Group
EDPB
Opinion 33/2025 on the draft decision of the Irish Supervisory Authority regarding the Processor Binding Corporate Rules of the CSG Group
Opinion 34/2025 on the draft decision of the Greek Supervisory Authority regarding C.E.C.L certification criteria
EDPB
Opinion 34/2025 on the draft decision of the Greek Supervisory Authority regarding C.E.C.L certification criteria
Opinion 30/2025 on the draft decision of the Dutch Supervisory Authority regarding the Processor Binding Corporate Rules of the Illumina Group
EDPB
Opinion 30/2025 on the draft decision of the Dutch Supervisory Authority regarding the Processor Binding Corporate Rules of the Illumina Group
Opinion 32/2025 on the draft decision of the Irish Supervisory Authority regarding the Controller Binding Corporate Rules of the CSG Group
EDPB
Opinion 32/2025 on the draft decision of the Irish Supervisory Authority regarding the Controller Binding Corporate Rules of the CSG Group
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
Guidelines on derogations of Article 49
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
guidelines over de begrippen 'verwerkingsverantwoordelijke'Â en 'verwerker'Â in de AVG
De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Guidelines 06/2022 on the practical implementation of amicable settlements
Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects
Guidelines 9/2022 on personal data breach notification under GDPR
Guidelines on personal data breach notification under GDPR
Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679
guidelines afwijkingen van artikel 49
Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679
Guidelines on relevant and reasoned objection under Regulation 2016/679
Guidelines 02/2022 on the application of Article 60 GDPR
Guidelines on the application of Article 60 GDPR
With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Enforcement (3187)
View all 3187Landlord: Insufficient legal basis for data processing
€1,800 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1,800 on a Landlord. The landlord used video surveillance in rental apartments without having a sufficient legal basis. The original fine of EUR 3,000 was reduced to EUR 1,800 due to immediate payment and admission of responsibility by the controller.
MediaLab.AI, Inc.: Insufficient legal basis for data processing
€284,450 fine - Information Commissioner (ICO)
The UK DPA has imposed a fine of GBP 247,590 (EUR 284,450) on MediaLab.AI, Inc.The controller of the image-sharing and hosting platform Imgur failed to implement age verification. This resulted in the controller processing children's data without sufficient legal basis, as the consent given was not provided by the children's parents or carers.
Tensa Art Design S.A: Insufficient cooperation with supervisory authority
€20,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 20,000 onTensa Art Design S.A.The DPA began investigating the controller's data processing activities, but the controller failed to respond to the DPA's requests.
GENPACT ROMANIA SRL: Insufficient technical and organisational measures to ensure information security
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on GENPACT ROMANIA SRL. The controller suffered a successful cyber attack due to insufficient technical and organisational measures. The attacker was able to exploit vulnerabilities in some passwords and in the way user accounts' authentication could be reset.
Municipality of Hilversum: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Hilversum. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped
FREE TECHNOLOGIES EXCOM, S.L.: Insufficient technical and organisational measures to ensure information security
€10,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 10,000 on FREE TECHNOLOGIES EXCOM, S.L. The controller had reset user passwords and communicated the new passwords to the clients via email. However, the email was not encrypted and did not implement any other appropriate security measures.
Municipality of Ede: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Ede. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up me
Municipality of Eindhoven: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Eindhoven. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped
Municipality of Gooise Meren: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Gooise Meren. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism step
Municipality of Haarlemmermeer: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Haarlemmermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism st
Municipality of Huizen: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Huizen. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up
Municipality of Tilburg: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Tilburg. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped u
Municipality of Veenendaal: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Veenendaal. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe
Municipality of Zoetermeer: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Zoetermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe
Alliance for the Union of Romanians (AUR) Party: Insufficient fulfilment of data subjects rights
€1,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 1,000 on the Alliance for the Union of Romanians (AUR) Party. The controller failed to react adequately to a data subject's request to exercise their rights regarding a personal letter containing electoral information.
Municipality of Delft: Insufficient legal basis for data processing
€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Delft. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up
Natural Person: Non-compliance with general data processing principles
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on a natural person. The controller operated a website on which identity cards containing personal data, including special category data, possible criminal convictions, data on the intimate lives of data subjects and possible debts, were published. The processing of this data was not based on a sufficient legal basis, and the controller did not ensure that the data was correct, complete or transparent. Furthermore, the controller did not adequate
Sportadmin i Skandinavien AB: Insufficient technical and organisational measures to ensure information security
€565,000 fine - Data Protection Authority of Sweden (Integritetsskyddsmyndigheten)
The Swedish DPA has imposed a fine of EUR 565,500 on Sportadmin i Skandinavien AB. The controller suffered a sucessfull cyber attack, resulting in personal and special category data of 2,126,075 individuals, including minors, beeing published in the darknet. The attack happend due to an succesfull SQL injection on one of the controllers websites, which had not been protected against this kind of attack, granting the attacker access to the controllers server, allowing him to exfiltrate said data.
FRANCE TRAVAIL: Insufficient technical and organisational measures to ensure information security
€5,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 5,000,000 on FRANCE TRAVAIL. The controller suffered a successful cyber attack due to insufficient technical and organisational measures, resulting in the leak of personal and special category data concerning 38,820,828 individuals. The attack was carried out using the 'social engineering' method, meaning that the attacker obtained goods or information by exploiting the trust, ignorance or credulity of third parties.
Dental Clinic: Non-compliance with general data processing principles
€1,200 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1,200 on a dental clinic. The controller used video surveillance in its clinic for security purposes, including a camera in the doctor's office where patients were treated. This resulted in excessive data processing. The original fine of EUR 2,000 was reduced to EUR 1,200 due to immediate payment and admission of responsibility by the controller.
News (222)
View all 222Tietosuojavaltuutetun toimisto (Finland) - TSV/112/2022 (9079/152/22)
Created page with "{{DPAdecisionBOX |Jurisdiction=Finland |DPA-BG-Color= |DPAlogo=LogoFI.png |DPA_Abbrevation=Tietosuojavaltuutetun toimisto |DPA_With_Country=Tietosuojavaltuutetun toimisto (Finland) |Case_Number_Name=TSV/112/2022 (9079/152/22) |ECLI= |Original_Source_Name_1=Finlex |Original_Source_Link_1=https://www.finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2025/2487#OT0_OT0 |Original_Source_Language_1=Finnish |Original_Source_Language__Code_1=FI |Original_Source_Name_2= |Origina..." New
DSB (Austria) - 2024-0.199.724
Corrected and added some links, removed duplicate in short summary. }}}} An DPA denied a complaint against a public body under Articles 9 and 77 GDPR, holding that publication of a data subject’s political donation did not violate the GDPR because the controller had a lawful basis.An DPA denied a complaint against a public body under [[Article 9 GDPR|Articles 9]] and [[Article 77 GDPR|77 GDPR]], holding that publication of a data subject’s political donation did not violate them because the cont
DSB (Austria) - 2024-0.199.724
Created page with "{{DPAdecisionBOX |Jurisdiction=Austria |DPA-BG-Color= |DPAlogo=LogoAT.png |DPA_Abbrevation=DSB |DPA_With_Country=DSB (Austria) |Case_Number_Name=2024-0.199.724 |ECLI=ECLI:AT:DSB:2024:2024.0.199.724 |Original_Source_Name_1=RIS |Original_Source_Link_1=https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.1990&BisDatum=&Norm=&ImRisSeitVonDatum
TI - 9/2026
|Appeal_From_Case_Number_Name=16.07.2025|Appeal_From_Case_Number_Name=16.07.2025 |Appeal_From_Status=|Appeal_From_Status= |Appeal_From_Link=https://www.dataprotection.ro/?page=Comunicat_Presa_16.07.2025|Appeal_From_Link=https://gdprhub.eu/index.php?title=ANSPDCP_(Romania)_-_Fine_against_a_Romanian_politician |Appeal_To_Body=|Appeal_To_Body= |Appeal_To_Case_Number_Name=|Appeal_To_Case_Number_Name= A politician, the operator of a website (the controller), appealed a DPA decision sanctioning him fo
AEPD (Spain) - EXP202410843
Created page with "{{DPAdecisionBOX |Jurisdiction=Spain |DPA-BG-Color=background-color:#ffffff; |DPAlogo=LogoES.jpg |DPA_Abbrevation=AEPD |DPA_With_Country=AEPD (Spain) |Case_Number_Name=EXP202410843 |ECLI= |Original_Source_Name_1=AEPD |Original_Source_Link_1=https://www.aepd.es/documento/ps-00476-2024.pdf |Original_Source_Language_1=Spanish |Original_Source_Language__Code_1=ES |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Language_2= |Original_Source_Language__Code..." Show
Garante per la protezione dei dati personali (Italy) - 10213894
Created page with "{{DPAdecisionBOX |Jurisdiction=Italy |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italy) |Case_Number_Name=10213894 |ECLI= |Original_Source_Name_1=Garante per la protezione dei dati personali |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10213894 |Original_Source_Language_1=I..." New p
AEPD (Spain) - EXP202408793
Created page with "{{DPAdecisionBOX |Jurisdiction=Spain |DPA-BG-Color=background-color:#ffffff; |DPAlogo=LogoES.jpg |DPA_Abbrevation=AEPD |DPA_With_Country=AEPD (Spain) |Case_Number_Name=EXP202408793 |ECLI= |Original_Source_Name_1=AEPD |Original_Source_Link_1=https://www.aepd.es/documento/ps-00279-2024.pdf |Original_Source_Language_1=Spanish |Original_Source_Language__Code_1=ES |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Language_2= |Original_Source_Language__Code..." Show
APD/GBA (Belgium) - 28/2026
Created page with "{{DPAdecisionBOX |Jurisdiction=Belgium |DPA-BG-Color= |DPAlogo=LogoBE.png |DPA_Abbrevation=APD/GBA |DPA_With_Country=APD/GBA (Belgium) |Case_Number_Name=28/2026 |ECLI= |Original_Source_Name_1=APD |Original_Source_Link_1=https://www.gegevensbeschermingsautoriteit.be/publications/bevel-nr.-28-2026.pdf |Original_Source_Language_1=French |Original_Source_Language__Code_1=FR |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Language_2= |Original_Source_Lan..." New
AKI (Estonia) - 2.1.-4/25/1239-2660-6
Created page with "{{DPAdecisionBOX |Jurisdiction=Estonia |DPA-BG-Color= |DPAlogo=LogoEE.png |DPA_Abbrevation=AKI |DPA_With_Country=AKI (Estonia) |Case_Number_Name=2.1.-4/25/1239-2660-6 |ECLI= |Original_Source_Name_1=AKI |Original_Source_Link_1=https://www.aki.ee/sites/default/files/documents/2026-01/Ettekirjutus-hoiatus%20isikuandmete%20kaitse%20asjas%20nr%202.1.-4%2025%201239-2660-6%20Zu%20Disain%20O%C3%9C.pdf |Original_Source_Language_1=Estonian |Original_Source_Language__Code_1=ET |..." New
ANSPDCP (Romania) - 03.02.2026
Created page with "{{DPAdecisionBOX |Jurisdiction=Romania |DPA-BG-Color=background-color:#ffffff; |DPAlogo=LogoRO.jpg |DPA_Abbrevation=ANSPDCP |DPA_With_Country=ANSPDCP (Romania) |Case_Number_Name=03.02.2026 |ECLI= |Original_Source_Name_1=ANSPDCP |Original_Source_Link_1=https://www.dataprotection.ro/?page=Comunicat_Presa_03_02_2026&lang=ro |Original_Source_Language_1=Romanian |Original_Source_Language__Code_1=RO |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Language..."
ICO (UK) - Allay Claims Ltd
Created page with "{{DPAdecisionBOX |Jurisdiction=United Kingdom |DPA-BG-Color=background-color:#023868; |DPAlogo=LogoUK.png |DPA_Abbrevation=ICO |DPA_With_Country=ICO (UK) |Case_Number_Name=Allay Claims Ltd |ECLI= |Original_Source_Name_1=ICO |Original_Source_Link_1=https://ico.org.uk/media2/mrwhxwoe/monetary-penalty-notice-allay-claims-ltd.pdf |Original_Source_Language_1=Estonian |Original_Source_Language__Code_1=ET |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Lan..." New
EDPB identifies challenges hindering the full implementation of the right to erasure
Brussels, 18 February - The European Data Protection Board (EDPB) has adopted a report on its Coordinated Enforcement Framework (CEF) action on the right to be forgotten (Art.17 GDPR). The Board selected this topic as it is one of the most frequently exercised GDPR rights and one about which DPAs frequently receive complaints from individuals. The main objectives of this coordinated action are to ensure that the right to erasure is effectively exercised by individuals in Europe and understand ho
APD/GBA (Belgium) - 25/2026
}}}} The DPA issued a warning to the Federal Public Service for Finances to ensure compliance with security of personal data processing after an employee accessed the address of an individual and visited her at her home.The DPA issued a warning to the Federal Public Service for Finances after an employee unlawfully accessed the address of an individual in the controller’s database and visited her at her home. == English Summary ==== English Summary ==
VDAI (Lithuania) - Nr. 3R-219 (2.13-1.E)
}}}} The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete access response.The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete response to an access reque
RVS - 202203874/1/A3
|Initial_Contributor=lde|Initial_Contributor=lde || }}}}A court held that the DPA insufficiently justified its rejection of a complaint against a cinema that no longer accepted cash payments. According to the court, the DPA failed to assess whether the mandatory card payments pursued a sufficiently concrete and justified purpose under the GDPR. A court held that the DPA insufficiently justified its refusal to act against a cinema that no longer accepted cash payments, failing to demonstrate that
APD/GBA (Belgium) - 23/2026
}}}} The DPA ordered a company to erase the data provided by potential tenants after not entering into a lease agreement with them.The DPA ordered a landlord to erase the data provided by potential tenants after not entering into a lease agreement with them. == English Summary ==== English Summary == In 2023 the data subjects intended to enter into a lease agreement with a company (the controller). The controller requested various information from the data subjects, including identity documents,
Tietosuojavaltuutetun toimisto (Finland) - TSV/258/2022
|Initial_Contributor=lde|Initial_Contributor=lde || }}}}The DPA found that the food delivery company Wolt failed to respond properly and in time to a customer’s access request after their account was blocked. The DPA found that Wolt violated [[Article 12 GDPR|Article 12 GDPR]] by failing to respond properly and in time to a data subject’s access request, thus failing to facilitate the exercise of rights or provide a timely refusal. == English Summary ==== English Summary ==
Tribunale di Roma - N. R.G. 54031/2025
}}}} A court annulled a DPA decision imposing a €150,000 fine on a news programme diffusing personal data of a minister for information purposes. The court concluded that public interest was overriding the right to privacy.A court annulled a DPA’s decision imposing a €150,000 fine on a public broadcaster after airing a private former Minister’s private conversation. The court concluded that public interest in airing the conversation overrode the former Minister’s right to privacy. == English Sum
Tietosuojavaltuutetun toimisto (Finland) - TSV/258/2022
Created page with "{{DPAdecisionBOX |Jurisdiction=Finland |DPA-BG-Color= |DPAlogo=LogoFI.png |DPA_Abbrevation=Tietosuojavaltuutetun toimisto |DPA_With_Country=Tietosuojavaltuutetun toimisto (Finland) |Case_Number_Name=TSV/258/2022 |ECLI= |Original_Source_Name_1=Finlex |Original_Source_Link_1=https://www.finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2026/2 |Original_Source_Language_1=Finnish |Original_Source_Language__Code_1=FI |Original_Source_Name_2= |Original_Source_Link_2= |Origina..." New
ANSPDCP (Romania) - 04.02.2026
Created page with "{{DPAdecisionBOX |Jurisdiction=Romania |DPA-BG-Color=background-color:#ffffff; |DPAlogo=LogoRO.jpg |DPA_Abbrevation=ANSPDCP |DPA_With_Country=ANSPDCP (Romania) |Case_Number_Name=04.02.2026 |ECLI= |Original_Source_Name_1=ANSPDCP |Original_Source_Link_1=https://www.dataprotection.ro/?page=Comunicat_Presa_04_02_2026&lang=ro |Original_Source_Language_1=Romanian |Original_Source_Language__Code_1=RO |Original_Source_Name_2= |Original_Source_Link_2= |Original_Source_Language..."