Telecommunications

EPRIVACY-ART-13

Unsolicited communications

EPRIVACY-ART-6

Traffic data

EPRIVACY-ART-5

Confidentiality of communications

EPRIVACY-ART-2

Definitions

EPRIVACY-ART-1

Scope and aim

Directive 2002/58/EC

Privacy and Electronic Communications

Recital 58

Recital 150

Recital 58

Recital 150

Recital 14

Recital 113

Recital 95

Recital 96

Recital 79

Recital 92

Recital 95

Recital 97

Recital 99

Recital 100

Encrochat-gegevens

Gerechtshof

Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.

Rechtbank Amsterdam

Rechtbank Amsterdam

Een 43-jarige verdachte wordt veroordeeld voor medeplichtigheid aan oplichting, door grootschalige hulpvraagfraude te faciliteren. Door het gebruik van de simboxen en simkaarten die verdachte ter beschikking stelde, hebben de gebruikers van de simkaarten (veelal) ouderen opgelicht via WhatsApp door zich voor te doen als een zoon of dochter in nood om hen over te halen om geld over te maken. De rechtbank spreekt verdachte vrij van het onder feit 1 ten laste gelegde, nu de aangetroffen simboxapparatuur naar haar oordeel niet naar de aard daarvan kennelijk was bestemd voor het plegen van oplichting. Aan verdachte wordt een taakstraf voor de duur van 240 uren en een voorwaardelijke gevangenisstraf voor de duur van drie maanden opgelegd. De vordering van de benadeelde partijen worden gelet op het aandeel van verdachte bij de gepleegde oplichtingen voor een derde toegewezen.

Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)

Hoge Raad

Het hof veroordeelt de verdachte tot een gevangenisstraf van achttien maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016. Het hof bespreekt het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Het verweer kan niet slagen.

Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)

Gerechtshof

Het hof veroordeelt de verdachte tot een gevangenisstraf van 24 maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016 en het voorhanden hebben van wapens. Het hof bespreekt het verweer dat sprake is van sfeercumulatie en dat in het opsporingsonderzoek ten onrechte gebruik is gemaakt van gegevens die tijdens het uitoefenen van toezicht zijn verzameld. Daarnaast bespreekt het hof het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Beide verweren kunnen niet slagen.

ECLI:NL:GHAMS:2025:2666 Gerechtshof Amsterdam , 07-10-2025 / 200.339.869/01, 200.339.845/01 en 200.339.905/01

Gerechtshof Amsterdam

Art. 3:305a BW. Tussenbeslissing WAMCA-procedure in hoger beroep. TikTok. Internationale bevoegdheid ten aanzien van AVG en niet-AVG vorderingen? Aanhouding AVG-vorderingen i.v.m. prejudiciële vragen (rechtbank Rotterdam 23 juli 2025, ECLI:NL:RBROT:2025:9088). Stichtingen ontvankelijk ten aanzien van niet-AVG vorderingen? Immateriële schadevorderingen bundelbaar? Bepaling nauw omschreven groep en precieze omschrijving van de vorderingen.

Toepassing interstatelijk vertrouwensbeginsel en aanwezigheid voldoende waarborgen gebruik cryptoberichten via JIT gedeeld

Gerechtshof

Leider criminele organisatie die zich bezighield met uitvoer cocaïne, invoer hasjiesj, voorhanden hebben ketamine, voorbereidingshandelingen synthetische drugsproductie, waaronder Crystal Meth, en gewoontewitwassen. Crypto-verweren m.b.t. (onrechtmatigheid interceptie, verwerking onderschepte data, betrouwbaarheid data) EncroChat, SkyEcc en ANØM verworpen. Interceptie buiten JIT, overdracht data binnen JIT. (Interstatelijk/internationaal) vertrouwensbeginsel van toepassing. Notificatieplicht artikel 31 EOB-richtlijn niet van toepassing. Naast waarborgen soevereiniteit in kennis gestelde staat moet beschermingsniveau geïntercepteerde gebruiker worden geëerbiedigd. Verdachte komt hierop in individuele strafzaak geen beroep toe. Geen schending EVRM en Handvest van de Grondrechten van de Europese Unie. Geen gebrek aan rechtsbescherming. Gelegenheid geweest voor toetsen crypto-data en geven van effectief commentaar door mogelijke inzage in Hansken. Geen vormverzuim. Geen bewijsuitsluiting. Identificatie gebruikers crypto-data. Hoewel geen beslag volgt bewezenverklaring cocaïne en ketamine op basis van crypto-data en overig bewijs. Vonnis vernietigd. Gevangenisstraf 12 jaren.

Geen vormverzuimen of andere onrechtmatigheden bij de verwerking van de EncroChat- en SkyECC-data

Rechtbank

Onderzoek Otus. Bewezenverklaring van het medeplegen van voorbereidingshandelingen voor de invoer van harddrugs, betrokkenheid bij een criminele organisatie die zich bezighield met grootschalige hennephandel, wapenbezit en drugsbezit. Verwerping van EncroChat- en SkyECC-verweren. Verdachte is veroordeeld tot een gevangenisstraf voor de duur van 54 maanden met aftrek van voorarrest

ACM oordeel over misbruik van machtspositie Apple. Datingaanbieders kunnen door de door Apple gehanteerde voorwaarden moeilijker een persoonscheck doen

Rechtbank

De rechtbank laat de aan Apple opgelegde last onder dwangsom in stand. De last was opgelegd vanwege voorwaarden die Apple in het verleden aan datingappaanbieders oplegde en die volgens de ACM kwalificeren als misbruik van een economische machtspositie in de zin van artikel 24 van de Mededingingswet (Mw) en artikel 102 van het Verdrag betreffende de Werking van de Europese Unie (VWEU). Volgens de rechtbank heeft de ACM terecht geconcludeerd dat Apple een machtspositie heeft op de markt voor appstorediensten op het mobiele besturingssysteem iOS voor datingappaanbieders. De rechtbank verwerpt de gronden van Apple tegen de marktafbakening en tegen de vaststelling dat Apple een economische machtspositie heeft. Ook heeft de ACM volgens de rechtbank terecht geconcludeerd dat Apple onbillijke voorwaarden jegens datingappaanbieders hanteerde en daarmee misbruik heeft gemaakt van haar machtspositie. De ACM was bevoegd tot het opleggen van een last onder dwangsom. Op één onderdeel gaat de opgelegde last onder dwangsom verder dan noodzakelijk om aan de overtreding een einde te maken. Volgens de rechtbank was het niet nodig om datingappaanbieders zowel de mogelijkheid te bieden een eigen in-app betaalsysteem te hanteren als de mogelijkheid te verwijzen naar verkoopkanalen buiten de app. Voor het overige blijft de last onder dwangsom in stand. In een uitspraak van 24 december 2021 (ECLI:NL:RBROT:2021:12851) had de voorzieningenrechter een deel van de opgelegde last geschorst en de maximaal te verbeuren dwangsom gehalveerd tot € 50.000.000. De rechtbank stelt in deze uitspraak vast dat Apple niet heeft voldaan aan (het niet geschorste deel van) de last onder dwangsom en dat zij de maximale dwangsom van € 50.000.000 heeft verbeurd. De ACM heeft deze verbeurde dwangsom ook kunnen invorderen.

NCTV onderzoek naar Blauwe Tijger. Berichten van Blauwe Tijger zijn niet ook persoonsgegevens van de bestuurder, ook al is Blauwe Tijger verknocht met de persoon van de bestuurder.

Gerechtshof

Vermelding van een stichting (uitgeverij/journalistiek platform) in rapport DTN53 (Dreigingsbeeld Terrorisme Nederland) van de NCTV is niet onrechtmatig; artikelen 6, 8 en 10 EVRM.

OM-cassatie en cassatie verdachte.

Hoge Raad

OM-cassatie en cassatie verdachte. Phishing-fraude met behulp van valse betaalverzoeken. Medeplegen computervredebreuk, meermalen gepleegd (art. 138ab.1 Sr), medeplegen voorhanden hebben van toegangscodes (art. 139d.2.b Sr), medeplegen oplichting, meermalen gepleegd (art. 326.1 Sr) en medeplegen diefstal d.m.v. valse sleutels (art. 311.1 Sr). Onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. In dit arrest gaat de Hoge Raad in op de betekenis van recente rechtspraak van het Hof van Justitie van de Europese Unie – in het bijzonder de uitspraak in de zaak CG/Bezirkshauptmannschaft Landeck – voor de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. Deze recente rechtspraak brengt mee dat dit onderzoek op een enigszins andere manier moet worden genormeerd dan uit een eerdere uitspraak van de Hoge Raad voortvloeit. Het is aan de wetgever om een wettelijke regeling op te stellen die in haar algemeenheid voldoet aan alle in de rechtspraak van het Hof van Justitie gestelde vereisten. In afwachting van zo’n regeling ziet de Hoge Raad aanleiding om zijn eerdere rechtspraak bij te stellen. In dit arrest wordt in rechtsoverweging 5 uiteengezet wat deze bijstelling inhoudt. Vervolgens worden de cassatiemiddelen van het openbaar ministerie en van de verdachte beoordeeld (rechtsoverweging 6 en 7). In rechtsoverweging 9 geeft de Hoge Raad een samenvatting van zijn oordeel in deze zaak. Volgt verwerping. Samenhang met 22/03872 en 22/03913.

Bedrijf 1 - Feitenvaststelling onderzoekswensen vertrouwensbeginsel

Rechtbank

Bedrijf 1 - Feitenvaststelling onderzoekswensen vertrouwensbeginsel

Telecommunicatie. In deze zaak ging het kort gezegd om het onderscheppen van telecommunicatie en het gebruik van audio-...

ECHR

Telecommunicatie. In deze zaak ging het kort gezegd om het onderscheppen van telecommunicatie en het gebruik van audio- en videobewaking tijdens een strafrechtelijk onderzoek. Het ging onder meer om communicatie tussen een advocaat en cliënten. Het EHRM past de criteria zoals ontwikkeld in onder ...

Verdachte heeft zich samen met zijn mededaders schuldig gemaakt aan het plegen van een viertal ladingdiefstallen,...

Rechtbank

Verdachte heeft zich samen met zijn mededaders schuldig gemaakt aan het plegen van een viertal ladingdiefstallen, waarbij in de avond/nacht, goederen uit de oplegger van een geparkeerde vrachtwagen of zelfs de hele oplegger werd weggenomen. Verdachte wordt veroordeeld tot een gevangenisstraf van 14 maanden.

Telecommunicatie. Veroordeling met name op grond van de inhoud van (historische) emailcommunicatie met een andere...

ECHR

Telecommunicatie. Veroordeling met name op grond van de inhoud van (historische) emailcommunicatie met een andere veroordeelde. Het gerechtelijk bevel op basis waarvan de informatie verzameld kon worden, werd echter gegeven in een juridisch vacuüm. De bepaling die (volgens een van de nationale in...

Telecommunicatie. In deze zaak ging het kort gezegd om het onderscheppen en opnemen van telecommunicatie tijdens een...

ECHR

Telecommunicatie. In deze zaak ging het kort gezegd om het onderscheppen en opnemen van telecommunicatie tijdens een strafrechtelijk onderzoek. Het ging ook hier onder meer om communicatie tussen advocaat en haar cliënt. Hoewel de wet duidelijk en specifiek was (r.o. 52-54), waren er echter onvol...

Microsoft Ireland Operations Limited en Xandr moeten stoppen met het plaatsen en uitlezen van cookies zonder voorafgaande toestemming

Rechtbank

kort geding. 2 grote internetondernemingen wordt geboden het plaatsen en/of uitlezen van tracking cookies zonder dat eisers daarvoor toestemming hebben verleend te staken en gestaakt te houden. AVG. art 11.7a Telecommunicatiewet.

WAMCA

Rechtbank

Collectieve actie (WAMCA). Twee stichtingen voeren elk een collectieve actie tegen Google over de wijze waarop Google persoonsgegevens van gebruikers verzamelt en verwerkt. De rechtbank oordeelt in dit tussenvonnis dat beide stichtingen ontvankelijk zijn in de zin van de WAMCA.

Rechtbank Noord-Nederland

Rechtbank Noord-Nederland

Verdachte heeft zich schuldig gemaakt aan het medeplegen van een drugstransport. Er is methamfetamine (ice) getransporteerd. Door het handelen van verdachte wordt de handel in verdovende middelen in stand gehouden en kan hij mede verantwoordelijk worden gehouden voor de nadelige effecten die door de handel in en het gebruik van verdovende middelen worden veroorzaakt. Daarbij is van belang dat methamfetamine zeer verslavend is en schadelijk voor de volksgezondheid van de gebruikers van deze drugs. De handel in verdovende middelen heeft een bijzonder ontwrichtende invloed op de samenleving. Er gaat veel geld in om, waardoor de financiële belangen van daders vaak groot zijn. Om die belangen te beschermen wordt (extreem) geweld niet geschuwd. Van de georganiseerde drugshandel gaat bovendien in toenemende mate een ondermijnend en corrumperend effect uit. Deze vormen van corruptie tasten het onderlinge vertrouwen binnen de samenleving in hoge mate aan en ondermijnen daarmee onze democratische rechtsstaat. De rechtbank acht een gevangenisstraf voor de duur van 12 maanden passend en geboden.

Gerechtshof Den Haag

Gerechtshof Den Haag

Partieel nietige dagvaarding t.a.v. feit dat ziet op witwassen (grote) hoeveelheid auto-onderdelen. Veroordeling voor opzetheling van o.a. een bestelbus, bezit jammers en niet bijhouden van een deugdelijke bedrijfsadministratie. Het hof legt de verdachte op een gevangenisstraf van 6 maanden waarvan 3 maanden voorwaardelijk en een geldboete van € 2.000,--

Privacy International v Secretary of State

C-623/17 (Privacy International)

General and indiscriminate transmission of traffic data to security agencies incompatible with EU law.

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

Richtsnoeren 2/2023 over het technische topassingsgebied van artikel 5, lid 3, van de eprivacyrichtlijn

guidelines technische toepassingsgebied van artikel 5(3) e-privacyrichtlijn

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Richtsnoeren 01/2021

Version history

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

guidelines voor de toepassing van artikel 60 AVG

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Guidelines 01/2021

Guidelines on Examples regarding Personal Data Breach Notification

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

Guidelines on technical scope of art. 5(3) of ePrivacy Directive

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

MediaLab.AI, Inc.: Insufficient legal basis for data processing

€284,450 fine - Information Commissioner (ICO)

The UK DPA has imposed a fine of GBP 247,590 (EUR 284,450) on MediaLab.AI, Inc.The controller of the image-sharing and hosting platform Imgur failed to implement age verification. This resulted in the controller processing children's data without sufficient legal basis, as the consent given was not provided by the children's parents or carers.

FREE TECHNOLOGIES EXCOM, S.L.: Insufficient technical and organisational measures to ensure information security

€10,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 10,000 on FREE TECHNOLOGIES EXCOM, S.L. The controller had reset user passwords and communicated the new passwords to the clients via email. However, the email was not encrypted and did not implement any other appropriate security measures.

FREE MOBILE: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

ONVOLDRAAGLIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

De Franse autoriteit voor gegevensbescherming (CNIL) heeft FREE een boete van 15.000.000 euro opgelegd. Het bedrijf heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen. Dit werd veroorzaakt door het gebruik van een ontoereikende authenticatiemethode om verbinding te maken met hun VPN voor thuiswerken. Bovendien heeft het bedrijf de betrokken personen niet voldoende geïnformeerd, omdat essentiële informatie ontbrak in de e-mail waarin de datalek werd gemeld.

FREE: Insufficient technical and organisational measures to ensure information security

€15,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 15,000,000 on FREE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email.

FREE MOBILE: Insufficient technical and organisational measures to ensure information security

€27,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 27,000,000 on FREE MOBILE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email. Lastly, the controller failed to adequately sort data and retain persona

SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME: Insufficient technical and organisational measures to ensure information security

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

ONE WAY PRIVATE COMPANY: Non-compliance with general data processing principles

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

REVMA PLUS Retail S.A.: Insufficient technical and organisational measures to ensure information security

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

Slovak Telekom: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 40.000 euro - van het Slowaakse databeschermingskantoor.

De verantwoordelijke partij heeft onvoldoende beveiligingsmaatregelen genomen bij de verwerking van persoonsgegevens, waardoor de verplichting om de verwerkte persoonsgegevens te beschermen is geschonden.

Vodafone España, S.A.U.: Insufficient fulfilment of data subjects rights

€27,000 fine - Spanish Data Protection Authority (aepd)

Although the complainant (a former Vodafone customer) had requested Vodafone to delete his data in 2015 and this request had been confirmed by the company, he received more than 200 SMS from the company from 2018 onwards. Following Vodafone's statement, this happened because the complainant's mobile phone number was erroneously used for testing purposes and accidentally appeared in various customer files belonging to other customers than the complainant. Since the company agreed to both payment

Slovak Telekom: Insufficient technical and organisational measures to ensure information security

€40,000 fine - Slovak Data Protection Office

The controller did not take adequate security measures when processing personal data, thereby breaching the obligation to protect the processed personal data.

Vodafone España, S.A.U.: Non-compliance with general data processing principles

€5,000 fine - Spanish Data Protection Authority (aepd)

The spanish telecommunications and informations agancy (SETSI) decided Vodafone had to reimburse a customer for costs he was wrongfully charged for. Nevertheless, Vodafone reported personal data of this respective customer to a solvency registry (BADEXCUG). The AEPD found this behaviour violated the principle of accuracy.

Telecommunications company: Insufficient legal basis for data processing

€20,000 fine - Croatian Data Protection Authority (azop)

The Croatian DPA (azop) has imposed a fine of EUR 20,000 on a telecommunications company. A data subject had filed a complaint with the DPA claiming that the company was still processing their personal data even though they had not been a customer of the company for more than ten years. During its investigation, the DPA found that the company had still been storing the data due to an alleged debt. The debt was no longer outstanding, however, the company had failed to delete the data of the data

Vodafone España, S.A.U.: Onvoldoende naleving van de rechten van betrokkenen bij de verwerking van persoonsgegevens.

Een boete van 27.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

Hoewel de klager (een voormalige Vodafone-klant) in 2015 van Vodafone had verzocht zijn gegevens te verwijderen, en dit verzoek door het bedrijf was bevestigd, ontving hij vanaf 2018 meer dan 200 sms-berichten van het bedrijf. Volgens de verklaring van Vodafone is dit gebeurd omdat het mobiele telefoonnummer van de klager per ongeluk werd gebruikt voor testdoeleinden en toevallig in verschillende klantendossiers van andere klanten dan de klager terecht is gekomen. Aangezien het bedrijf het met de betaling heeft eens geworden...

Vodafone España, S.A.U.: Overtreding van de algemene principes voor gegevensverwerking.

Een boete van 5.000 euro - opgelegd door de Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse telecommunicatie- en informatiestructuur (SETSI) heeft besloten dat Vodafone een klant moest vergoeden voor kosten die ten onrechte aan hem waren doorbelast. Desondanks heeft Vodafone persoonlijke gegevens van deze betreffende klant doorgegeven aan een kredietregistratiebureau (BADEXCUG). De AEPD (Spaanse Autoriteit voor Gegevensbescherming) heeft geconstateerd dat dit gedrag in strijd is met het beginsel van juistheid.

Telecommunicatiebedrijf: Onvoldoende juridische basis voor gegevensverwerking.

De Kroatische gegevensbeschermingsautoriteit (DPA) heeft een telecombedrijf een boete van 20.000 euro opgelegd. Een betrokkene had een klacht ingediend bij de DPA, waarin hij beweerde dat het bedrijf nog steeds zijn persoonlijke gegevens verwerkte, terwijl hij al meer dan tien jaar geen klant van het bedrijf was. Tijdens het onderzoek stelde de DPA vast dat het bedrijf de gegevens nog steeds bewaarde vanwege een vermeende schuld. Hoewel die schuld niet meer bestond, had het bedrijf de gegevens van de betrokkene niet verwijderd.

Crowd Entertainment Limited: Insufficient fulfilment of data subjects rights

€15,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 15,000 on Crowd Entertainment Limited. The controller failed to adequatly react to a data subjects request to exercise their rights.

Crowd Entertainment Limited: Onvoldoende naleving van de rechten van betrokkenen (betreffende hun persoonsgegevens).

Een boete van €15.000 - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 15.000 euro opgelegd aan Crowd Entertainment Limited. Het bedrijf heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Lobbies slam telecoms reform plan for failing Draghi and Letta

In a letter sent to the Commission president, obtained by Euractiv, GSMA and Connect Europe also warn about service risks from forced phase-out of Chinese suppliers

ICO (UK) - Allay Claims Ltd

The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications Regulations 2003 (PECR), where an organisation may send direct marketing communications to its customers even if they did not specifically consent to electronic mail. However, only the organisation that collected the contact details can rely on the soft opt-in rule. The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications

Garante per la protezione dei dati personali (Italy) - 10213894

Created page with "{{DPAdecisionBOX |Jurisdiction=Italy |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italy) |Case_Number_Name=10213894 |ECLI= |Original_Source_Name_1=Garante per la protezione dei dati personali |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10213894 |Original_Source_Language_1=I..." New p

Czech ministry apologizes to journalist for blanket collection of mobile phone data

The Czech Supreme Court has ruled that the legal regulation of blanket collection of electronic communications data (known as data retention) violates European Union law in a "long-term and particularly serious manner." This decision is the result of a multi-year campaign by the organization IuRe. However, the responsible minister has not yet taken steps to end blanket collection. The post Czech ministry apologizes to journalist for blanket collection of mobile phone data appeared first on Europ

LG Kassel - 10 O 81/24

Link fixed. === Facts ====== Facts === The data subject had a mobile contract with the controller, a telecommunications company, starting 17 April 2019. The contract included privacy notices stating that personal data, including contract initiation, execution, and completion (“positive data”), could be sent to a credit scoring agency for credit scoring, under Articles 6(1)(b) and 6(1)(f) GDPR.The data subject had a mobile contract with the controller, a telecommunications company, starting 17 Ap

Reopening GDPR and ePrivacy through the Digital Omnibus: a risky path for EU digital rights

EDRi has assessed the Digital Omnibus proposals affecting the General Data Protection Regulation (GDPR) and the ePrivacy framework. While presented as simplification, the changes amount to deregulation in effect, weakening fundamental rights safeguards, increasing legal uncertainty, and advancing through a process that falls short of democratic lawmaking standards. The post Reopening GDPR and ePrivacy through the Digital Omnibus: a risky path for EU digital rights appeared first on European Digi

Digital Omnibus: EDPB and EDPS support simplification and competitiveness while raising key concerns

Brussels, 11 February - The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have adopted a Joint Opinion on the Digital Omnibus Regulation proposal.* This proposal aims to simplify the EU's digital regulatory framework, reduce administrative burden and enhance the competitiveness of European organisations. The EDPB and the EDPS focus on the aspects concerning the GDPR, the EUDPR, the ePrivacy Directive, and the Data Acquis.** More specifically, they asses

Digital Omnibus Report V2: Analysis of Select GDPR and ePrivacy Proposals by the Commission

Version 2 of our report includes specific recommendations for the EU legislator on each of the most important articles, including on whether to reject or maintain proposed changes

Garante per la protezione dei dati personali (Italy) - 10201989

Created page with "{{DPAdecisionBOX |Jurisdiction=Italy |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italy) |Case_Number_Name=10201989 |ECLI= |Original_Source_Name_1=GPDP |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10201989 |Original_Source_Language_1=Italian |Original_Source_Language__Code_1=..." Show

Autoriteit voor de bescherming van persoonlijke gegevens (Italië) - 10201989

Maakt een nieuwe pagina aan met de volgende inhoud: "{{DPAdecisionBOX |Jurisdiction=Italië |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italië) |Case_Number_Name=10201989 |ECLI= |Original_Source_Name_1=GPDP |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10201989 |Original_Source_Language_1=Italiaans |Original_Source_Language__Code_1=..." Toon

Authority for the protection of personal data (Italy) - 10201989

Creates a new page with the following content: "{{DPAdecisionBOX |Jurisdiction=Italy |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italy) |Case_Number_Name=10201989 |ECLI= |Original_Source_Name_1=GPDP |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10201989 |Original_Source_Language_1=Italian |Original_Source_Language__Code_1=..." Show.

AEPD (Spain) - EXP202306073

Facts }}}} The DPA fined a telephone operator company €400,000 for unlawfully changing a mobile line’s ownership and issuing a duplicate SIM card without proper identity verification, breaching [[Article 6 GDPR]] after a SIM swap fraud.The DPA fined a telecommunications provider €300,000 for unlawfully changing a mobile line’s ownership and issuing a duplicate SIM card to a third party impersonating a customer. According to the DPA, the provider failed to properly verify the customer’s identity.

AEPD (Spanje) - EXP202306073

Feiten: De Autoriteit Persoonsgegevens heeft een telefoonbedrijf een boete van 400.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart zonder de juiste identiteitscontrole, waarmee de [[Artikel 6 AVG]] is geschonden, naar aanleiding van een geval van fraude met een SIM-kaart. De Autoriteit Persoonsgegevens heeft een telecomprovider een boete van 300.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart aan een derde partij die zich voordeed als een klant. Volgens de Autoriteit Persoonsgegevens heeft de provider de identiteit van de klant niet op de juiste manier geverifieerd.

AEPD (Spain) - EXP202306073

Facts: The Data Protection Authority has fined a telecommunications company €400,000 for unlawfully changing the ownership of a mobile phone subscription and issuing a dual SIM card without proper identity verification, violating [Article 6 of the GDPR], following a case of SIM card fraud. The Data Protection Authority has also fined a telecommunications provider €300,000 for unlawfully changing the ownership of a mobile phone subscription and issuing a dual SIM card to a third party who falsely presented themselves as a customer. According to the Data Protection Authority, the provider did not properly verify the customer's identity.

AEPD (Spain) - EXP202306073

Holding |Publication Date=05.01.2026|Publication Date=05.01.2026 |Year=|Year= |Fine=400,000|Fine=300,000 |Currency=EUR|Currency=EUR }}}} The data protection authority has imposed a fine of 400,000 euros on a telecommunications company for the unlawful transfer of ownership of a mobile phone subscription and the issuance of a dual SIM card without proper identity verification, violating [[Article 6 of the GDPR|Article 6 of the GDPR]], following a fraud case involving the exchange of a SIM card. The data protection authority has imposed a fine of 400,000 euros on a telecommunications company for the unlawful transfer of ownership of a mobile phone subscription and the issuance of a dual SIM card.

AEPD (Spanje) - EXP202306073

Holding |Publicatiedatum=05.01.2026|Publicatiedatum=05.01.2026 |Jaar=|Jaar= |Boete=400.000|Boete=300.000 |Valuta=EUR|Valuta=EUR }}}} De gegevensbeschermingsautoriteit heeft een telecombedrijf een boete van 400.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart zonder de juiste identiteitscontrole, waarmee de [[Artikel 6 AVG|Artikel 6 AVG]] is geschonden, naar aanleiding van een fraudezaak waarbij een SIM-kaart is gewisseld. De gegevensbeschermingsautoriteit heeft een telecombedrijf een boete van 400.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart.

Digital Omnibus: First Analysis of Select GDPR and ePrivacy Proposals by the Commission

Europe is undermining its own digital rights from within.

The new "Digital Omnibus" from the European Commission is presented as a simple "simplification," but in practice, it undermines important safeguards in the GDPR, the ePrivacy regulations, and the AI Act. It would make access to device data easier, weaken restrictions on automated decision-making, and reduce protection against discriminatory AI. The article "Europe Undermines Its Digital Rights From Within" originally appeared on European Digital Rights (EDRi).

Europe is dismantling its digital rights from within

The European Commission’s new Digital Omnibus is presented as simple “streamlining”, but in practice it dismantles key safeguards in the GDPR, ePrivacy rules and the AI Act. It would make access to device data easier, weaken limits on automated decision-making and lower protections against discriminatory AI. The post Europe is dismantling its digital rights from within appeared first on European Digital Rights (EDRi).

Europa ondermijnt haar eigen digitale rechten van binnenuit.

De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).