Consent

Article 79

Procedure op nationaal niveau voor de omgang met AI-systemen die een risico vormen

Recital 19

Article 61

Geïnformeerde toestemming om deel te nemen aan het testen onder reële omstandigheden buiten AI-testomgevingen voor regelgeving

Recital 15

Recital 141

Recital 105

Recital 29

Recital 38

Article 75

Mutual assistance, market surveillance and control of general-purpose AI systems

Article 76

Supervision of testing in real world conditions by market surveillance authorities

Article 77

Powers of authorities protecting fundamental rights

Article 78

Confidentiality

Article 79

Procedure at national level for dealing with AI systems presenting a risk

Recital 29

Recital 141

Article 7

Amendments to Annex III

Recital 33

Article 61

Informed consent to participate in testing in real world conditions outside AI regulatory sandboxes

Article 70

Designation of national competent authorities and single points of contact

Article 71

EU database for high-risk AI systems listed in Annex III

ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24

Rechtbank Limburg

Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.

ECLI:NL:RBGEL:2026:1247 Rechtbank Gelderland , 20-02-2026 / 05/085805-25

Rechtbank Gelderland

Veroordeling wegens diefstal met valse sleutels, fraude met online handel en fraude met identiteitsgegevens tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk, met een proeftijd van 3 jaar.

ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971

Rechtbank Overijssel

Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.

ECLI:NL:RBAMS:2026:1585 Rechtbank Amsterdam , 12-02-2026 / 13/335542-25

Rechtbank Amsterdam

De rechtbank is van oordeel dat er voor gedetineerden in de detentie-instelling Fresnes een algemeen reëel gevaar bestaat dat zij aan een onmenselijke of vernederende behandeling zullen worden blootgesteld in de zin van artikel 4 Handvest. De rechtbank baseert het algemene gevaar voor de detentie-instelling Fresnes op de overbevolkingsproblematiek en de hiervoor weergegeven slechte materiële detentieomstandigheden, het niet-functionerende intercomsysteem en het ontoereikende niveau van de gezondheidszorg. De rechtbank stelt vast dat er voor de opgeëiste persoon een individueel gevaar bestaat van schending van zijn grondrechten wegens de detentieomstandigheden in de detentie-instelling in Fresnes. De rechtbank stelt, ingevolge artikel 11, vierde lid, OLW, een redelijke termijn van 60 dagen.

ECLI:NL:RBGEL:2026:955 Rechtbank Gelderland , 11-02-2026 / AWB - 23 _ 5470

Rechtbank Gelderland

Deze uitspraak gaat over het besluit van de minister op een verzoek van eiser om inzage in of het verkrijgen van een afschrift van dagrapportages die over hem zijn bijgehouden. De rechtbank komt in deze uitspraak tot het oordeel dat de minister met een aanvullend besluit op juiste wijze inzage heeft gegeven in de dagrapportages die over eiser zijn bijgehouden.

ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3

Raad van State

Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.

ECLI:NL:RBAMS:2026:1393 Rechtbank Amsterdam , 10-02-2026 / 13-313776-25

Rechtbank Amsterdam

Executie-EAB uit Hongarije. Verweer ten aanzien van het ontbreken van dubbele strafbaarheid verworpen: nu kortgezegd voldoende is dat zij onder enige Nederlandse strafbepaling valt. De overige aspecten vallen buiten de reikwijdte van de OLW. Verweer ten aanzien van de stelselevenredigheid verworpen. Gelijkstellingsverweer verworpen nu geen stukken daartoe zijn overgelegd. Verweer ten aanzien van de Hongaarse detentieomstandigheden verworpen, nu geen sprake is van een algemeen gevaar, komt de rb niet toe aan de beoordeling van een individueel gevaar. Overlevering toegestaan.

ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24

Rechtbank Gelderland

Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.

ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285

Rechtbank Noord-Holland

AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.

ECLI:NL:RBAMS:2026:1332 Rechtbank Amsterdam , 05-02-2026 / 1326539625

Rechtbank Amsterdam

executie-EAB Polen, overlevering toestaan, artikel 11 OLW, artikel 12 OLW, afzien van weigeren

ECLI:NL:RBMNE:2026:486 Rechtbank Midden-Nederland , 04-02-2026 / 11996046 \ AV EXPL 25-51 WMB/61313

Rechtbank Midden-Nederland

Vordering tot loondoorbetaling en verbod op verwerking gegevens. Vorderingen worden afgewezen, omdat het aannemelijk dat loonstop stand houdt.

ECLI:NL:RBNNE:2026:452 Rechtbank Noord-Nederland , 03-02-2026 / 24/2480

Rechtbank Noord-Nederland

Deze uitspraak gaat over het verzoek van eiser om rectificatie van zijn politiegegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek afgewezen. Eiser is het niet eens met de afwijzing en voert daartoe een aantal beroepsgronden aan. Aan de hand van deze beroepsgronden beoordeelt de rechtbank of de afwijzing rechtmatig is. De rechtbank komt in deze uitspraak tot het oordeel dat het beroep ongegrond is. Verweerder heeft zich dus terecht op het standpunt gesteld dat sprake is van een herhaalde aanvraag in de zin van de Awb. Verder biedt alleen de stelling van eiser dat de betreffende gegevens onjuist zijn, onvoldoende aanleiding voor de rechtbank om eiser in zijn standpunt te volgen.

ECLI:NL:RBAMS:2026:1703 Rechtbank Amsterdam , 03-02-2026 / 13-266022-25 (EAB I)

Rechtbank Amsterdam

Vervolgings-EAB Polen. Geen gevolg gegeven aan het EAB. Officier van justitie niet-ontvankelijk verklaard. De rechtbank kan niet beoordelen of het algemene reële gevaar, dat de opgeëiste persoon structureel 23 uur per dag in zijn cel moet doorbrengen, kan worden uitgesloten.

ECLI:NL:RBDHA:2026:3080 Rechtbank Den Haag , 03-02-2026 / NL24.25407

Rechtbank Den Haag

Bezwaar tegen intrekking vtv kennelijk n-o, bezwaar te laat en geen verschoonbare redenen gebleken; ook afwijzing verlengingsaanvraag, niet binnen redelijke termijn verlenging gevraagd, afwijzing niet in strijd met 8 EVRM, overwegend in buitenland verbleven en mantelzorg voor echtgenoot niet aangetoond. Wel motiveringsgebrek tav horen in bezwaar en dus gg beroep maar rechtsgevolgen in stand gelaten door latere motivering.

ECLI:NL:RBAMS:2026:1394 Rechtbank Amsterdam , 03-02-2026 / 13-297778-25 (EAB I)

Rechtbank Amsterdam

Vervolgings- en executie-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.

ECLI:NL:RBAMS:2026:1331 Rechtbank Amsterdam , 29-01-2026 / 1330189025

Rechtbank Amsterdam

executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden

ECLI:NL:RBAMS:2026:1356 Rechtbank Amsterdam , 29-01-2026 / 13/262371-25

Rechtbank Amsterdam

Executie-EAB uit Slowakije. Artikel 12 OLW: geen sprake van een onvoorwaardelijk recht op een verzetprocedure. Afzien van toepassing van de weigeringsgrond, omdat de opgeëiste persoon op de hoogte was van de procedure in eerste aanleg en er rekening mee heeft moeten houden dat een procedure in hoger beroep zou kunnen volgen. Artikel 11 OLW: de raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overlegd waaruit blijkt dat er wel sprake is van een algemeen gevaar ten aanzien van veroordeelde gedetineerden in Slowakije. Overlevering toegestaan.

ECLI:NL:RBAMS:2026:1329 Rechtbank Amsterdam , 29-01-2026 / 1330184325

Rechtbank Amsterdam

executie-EAB Italie, overlevering toestaan, artikel 11 OLW, detentieomstandigheden, artikel 12 OLW: OP aanwezig, artikel 7 OLW: lijstfeitverweer

ECLI:NL:RBROT:2026:1344 Rechtbank Rotterdam , 28-01-2026 / FT RK 25/1541 en FT RK 25/1543

Rechtbank Rotterdam

Afwijzing dwangakkoord. Nulaanbod niet het maximaal haalbare, geen ontheffing inspanningsplicht, VTLB onjuist

ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445

Rechtbank Limburg

Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

guidelines certificering

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Versiegeschiedenis

guidelines uitvoeren overeenkomst

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Versiegeschiedenis

guidelines accreditatie

Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority

Guidelines for identifying a controller or processor’s lead supervisory authority

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

Guidelines on technical scope of art. 5(3) of ePrivacy Directive

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Guidelines on derogations of Article 49

MediaLab.AI, Inc.: Insufficient legal basis for data processing

€284,450 fine - Information Commissioner (ICO)

The UK DPA has imposed a fine of GBP 247,590 (EUR 284,450) on MediaLab.AI, Inc.The controller of the image-sharing and hosting platform Imgur failed to implement age verification. This resulted in the controller processing children's data without sufficient legal basis, as the consent given was not provided by the children's parents or carers.

ONE WAY PRIVATE COMPANY: Non-compliance with general data processing principles

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME: Insufficient technical and organisational measures to ensure information security

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

REVMA PLUS Retail S.A.: Insufficient technical and organisational measures to ensure information security

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

Alza.cz a.s.: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 588 euro - opgelegd door de Tsjechische Autoriteit voor Gegevensbescherming (UOOU).

Het bedrijf heeft een kopie van een identiteitsbewijs met een foto van de betrokkene verkregen, met zijn toestemming. Echter, het bedrijf heeft niet gereageerd op zijn intrekking van die toestemming en is doorgegaan met de verwerking van zijn persoonlijke gegevens.

Ikea Ibérica: Insufficient legal basis for data processing

€10,000 fine - Spanish Data Protection Authority (aepd)

The company installed cookies on an end users terminal device without prior consent of the data subject.

UniCredit Bank Tsjechië en Slowakije, a.s.: Onvoldoende juridische basis voor de verwerking van gegevens.

Boete van €3.140 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).

De bank heeft een persoonlijke bankrekening geopend voor een betrokkene zonder zijn toestemming of kennis. De bank beweerde zijn persoonlijke gegevens te hebben omdat de betrokkene een bedrijfsrekening van zijn werkgever had gesloten. De bank kon het Bureau voor Persoonsgegevens niet de benodigde documenten verstrekken om aan te tonen dat er een overeenkomst was gesloten met de betrokkene.

SLOVENAKIË, Dataprotectieautoriteit: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.

Persoonsgegevens zijn onrechtmatig gepubliceerd op de website van een gemeente, in het kader van de wettelijke verplichting om informatie te verstrekken op grond van de Wet openbaarheid van bestuur. De Autoriteit Persoonsgegevens heeft echter vastgesteld dat de gemeente deze persoonsgegevens heeft gepubliceerd in strijd met de wet en zonder de toestemming van de betreffende persoon.

SLOVAKIA DPA: Insufficient legal basis for data processing

Slovak Data Protection Office

Personal data have been unlawfully published on the website of a city within the framework of fulfilling its disclosure obligation under the Freedom of Information Act. However, the Data Protection Authority stated that the City had published the personal data in violation of the law and without the consent of the person concerned.

Alza.cz a.s.: Insufficient legal basis for data processing

€588 fine - Czech Data Protection Auhtority (UOOU)

The company obtained a copy of photographic ID of the personal data subject with his consent, however did not react to his consent withdrawal and continued in processing of his personal data.

Ikea Ibérica: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Boete van €10.000 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Het bedrijf heeft cookies geplaatst op het apparaat van de eindgebruiker zonder voorafgaande toestemming van de betrokkene.

UniCredit Bank Czech Republic and Slovakia, a.s.: Insufficient legal basis for data processing

€3,140 fine - Czech Data Protection Auhtority (UOOU)

The bank established a personal bank account for a data subject without his consent or knowledge. The bank supposedly had his personal data available because the subject had disposed of his employer’s company account. The bank was not able to provide The Office for Personal Data Protection with the necessary documentation to prove entering into contract with the data subject.

Aimag S.p.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 300.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft Aimag S.p.A. een boete van 300.000 euro opgelegd. De verantwoordelijke partij bood haar klanten een dienst aan waarmee ze hun verbruiksgegevens op de website van de verantwoordelijke partij konden inzien, maar de inlogprocedure was ontoereikend. Ook de manier waarop de verantwoordelijke partij toestemming verkreeg voor het gebruik van promotieboodschappen was onvoldoende.

Verisure Italy s.r.l.: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

Verisure Italy s.r.l.: Non-compliance with general data processing principles

€400,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 400,000 on Verisure Italy s.r.l. The controller had been active in direkt marketing activities. The controller failed to ensure that the consent provided by data subjects was valid. Additionally, the controller failed to implement adequate retention periods for the processed data. Lastly, the controller failed to adequately respond to data subjects' requests to exercise their rights, and failed to adequately inform them regarding the processing of their

Aimag S.p.A.: Non-compliance with general data processing principles

€300,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 300,000 on Aimag S.p.A. The controller offered its customers a service that allowed them to view their consumption data on the controller's website, but the log-in procedure was insufficient. The way the controller gained consent for the use of promotional messages was also inadequate.

Whitedecor SRL: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 2.000 euro opgelegd aan Whitedecor SRL. De verantwoordelijke partij had marketingberichten verstuurd naar klanten zonder een voldoende juridische basis.

SENDING TRANSPORTE Y COMUNICACIÓN, S.A.: Onvoldoende overeenkomst met betrekking tot gegevensverwerking.

Een boete van 80.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 80.000 euro opgelegd aan SENDING TRANSPORTE Y COMUNICACIÓN, S.A. Het bedrijf dat beboet is, is een verwerker voor de verantwoordelijke partij. Het heeft een andere onderaannemer ingehuurd zonder daarvoor toestemming te hebben, en daarbij een ongeschikte DPA (gegevensbeschermingsautoriteit) gebruikt.

Vimar S.p.A.: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft Vimar S.p.A. een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft een intern e-mailaccount aangemaakt met persoonlijke gegevens van een derde partij, zonder diens toestemming. Meerdere personen binnen het bedrijf van de verantwoordelijke partij hebben dit account gedurende drie jaar gebruikt.

INFINITE STYLES SERVICES CO. LIMITED: Insufficient legal basis for data processing

€150,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 150,000,000 on INFINITE STYLES SERVICES CO. LIMITED, which operates under the name 'SHEIN'. The controller used cookies unlawfully on its website. Firstly, the controller failed to obtain the data subject's consent before placing cookies. Second, the controller used incomplete cookie banners. Third, the controller failed to provide adequate second-level information. Finally, the controller's mechanisms for refusing or withdrawing consent were inadequate.

AI-generated imagery and protection of privacy: EDPB supports joint Global Privacy Assembly’s statement

Brussels, 23 February - EDPB Chair Anu Talus has signed a Joint Statement on AI-Generated Imagery and the Protection of Privacy on behalf of the EDPB. The statement, coordinated by the Global Privacy Assembly's (GPA) International Enforcement Cooperation Working Group (IEWG), represents the united position of 61 authorities across the world. This reflects the Board’s commitment to contributing to the global dialogue on data protection as outlined in the fourth pillar of its work programme 2026-2

DSB (Austria) - 2024-0.199.724

Corrected and added some links, removed duplicate in short summary. }}}} An DPA denied a complaint against a public body under Articles 9 and 77 GDPR, holding that publication of a data subject’s political donation did not violate the GDPR because the controller had a lawful basis.An DPA denied a complaint against a public body under [[Article 9 GDPR|Articles 9]] and [[Article 77 GDPR|77 GDPR]], holding that publication of a data subject’s political donation did not violate them because the cont

ICO (UK) - Allay Claims Ltd

The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications Regulations 2003 (PECR), where an organisation may send direct marketing communications to its customers even if they did not specifically consent to electronic mail. However, only the organisation that collected the contact details can rely on the soft opt-in rule. The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications

LG Kassel - 10 O 81/24

Link fixed. === Facts ====== Facts === The data subject had a mobile contract with the controller, a telecommunications company, starting 17 April 2019. The contract included privacy notices stating that personal data, including contract initiation, execution, and completion (“positive data”), could be sent to a credit scoring agency for credit scoring, under Articles 6(1)(b) and 6(1)(f) GDPR.The data subject had a mobile contract with the controller, a telecommunications company, starting 17 Ap

“Free” Surveillance Tech Still Comes at a High and Dangerous Cost

Surveillance technology vendors, federal agencies, and wealthy private donors have long helped provide local law enforcement “free” access to surveillance equipment that bypasses local oversight. The result is predictable: serious accountability gaps and data pipelines to other entities, including Immigration and Customs Enforcement (ICE), that expose millions of people to harm. The cost of “free” surveillance tools — like automated license plate readers (ALPRs), networked cameras, face recognit

DSB (Austria) - 2025-0.813.131

}}}} The DPA held that an event organiser’s use of a data subject’s email address, provided for ticket purchase, to send a marketing email without consent and to disclose the address via an open CC field violated the subject’s right to secrecyThe DPA held that an event organiser violated a customer’s right to privacy when it submitted them marketing emails without their prior consent and by sending them those emails in CC, disclosing their address to a large group of third parties. == English Su

CNIL (France) - SAN-2025-017

added links to GDPR articles === Holding ====== Holding === The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media platform, or even on targeted advertising, the consent was not informed nor specific. Therefore, it found the processing to be unlawful, violating Article 6(1)(a) GDPR. The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media

OLG Frankfurt am Main - 6 U 81/23

}}}} The Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and the data subject suffered no loss of control over his data, the court held that the feeling of being monitored constituted non-material damage.A Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and

Court of Zadar - Case number K-648/2025-2.

Facts: A court has sentenced a person to six months of imprisonment, with the sentence suspended, for unauthorized access to and use of the personal data of 334 customers without consent, in violation of Article 6, paragraph 1, of the GDPR, and for unauthorized access to company systems. A court has sentenced a person to six months of imprisonment, with the sentence suspended, for unauthorized access to and use of the personal data of 334 customers without consent, in violation of the national Penal Code and Article 6, paragraph 1, of the GDPR. == And

Hof van Zadar - Zaaknummer K-648/2025-2

Feiten: Een rechtbank heeft een persoon veroordeeld tot zes maanden gevangenisstraf, waarvan de uitvoering is uitgesteld, voor het ongeoorloofd toegang verschaffen en gebruiken van persoonlijke gegevens van 334 klanten zonder toestemming, in strijd met artikel 6, lid 1, van de AVG, en voor ongeoorloofde toegang tot bedrijfssystemen. Een rechtbank heeft een persoon veroordeeld tot zes maanden gevangenisstraf, waarvan de uitvoering is uitgesteld, voor het ongeoorloofd toegang verschaffen en gebruiken van persoonlijke gegevens van 334 klanten zonder toestemming, in strijd met het nationale Wetboek van Strafrecht en artikel 6, lid 1, van de AVG. == En

Hof van Justitie Frankfurt am Main - 6 U 81/23

}}}} Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd en de betrokkene geen verlies van controle over zijn gegevens heeft geleden, oordeelde het gerecht dat het gevoel van bewaakt worden een vorm van immateriële schade vormde. Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd, en

Opć. sud Zadar - K-648/2025-2

Facts }}}} A court sentenced an individual to six months in prison with suspended sentence for unlawfully accessing and using personal data of 334 clients without consent, violating [[Article 6 GDPR#1|Article 6(1) GDPR]], and for illegal access to company systems.A court sentenced an individual to six months in prison on probation for unlawfully accessing and using personal data of 334 clients without consent, violating the national Criminal Code and [[Article 6 GDPR#1|Article 6(1) GDPR]]. == En

Frankfurt am Main Regional Court - Case Number 6 U 81/23.

The court awarded €100 in non-pecuniary damages for the storage and processing of cookies without the consent of the individual. While the violation was considered minor, and the individual did not suffer a loss of control over their data, the court ruled that the feeling of being monitored constituted a form of non-pecuniary damage. The court awarded €100 in non-pecuniary damages for the storage and processing of cookies without the consent of the individual. Although the violation was considered minor, and...

USR - Reference number I-755/2025-8

Facts. Finally, the court reiterated that consent was not required, because Article 6 of the GDPR provides alternative, legal grounds for data processing. Since the requirements of Article 6(1)(f) were met, the absence of consent was irrelevant. The court ruled that AZOP had correctly applied the law and that the infringement on the individual's privacy was proportionate, and therefore upheld the decision. The court dismissed the individual's claim and the associated costs. Finally, the court reiterated that consent was not required, because Article 6 of the GDPR...

USR - Us I-755/2025-8

Facts Finally, the court reiterated that consent was not required because Article 6 GDPR offers alternative lawful bases for processing. Since Article 6(1)(f) was satisfied, the absence of consent was irrelevant. Concluding that AZOP had properly applied the law and that the interference with the data subject’s privacy was proportionate, the court upheld the decision and denied the data subject’s claim and costs.Finally, the court reiterated that consent was not required because Article 6 GDPR o

DSB (Austria) - 2025-0.276.820

An Austrian media company (the responsible party) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. These cookies contained unique identification codes to track visitors. This occurred in August 2021.

OGH - 6Ob189/24y

|Initiële bijdrager=|Initiële bijdrager= || }}}} Het Hooggerechtshof heeft geoordeeld dat Meta zijn gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen, ontvangers en doeleinden; een eenvoudige lijst is onvoldoende. Bovendien heeft het hof bepaald dat gepersonaliseerde advertenties en de verwerking van (gevoelige) persoonlijke gegevens van websites van derden de toestemming van de betrokkene vereisen. Het Oostenrijkse Hooggerechtshof heeft geoordeeld dat Meta gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen.

VS Rijeka - Us I-199/2025-9

Feiten: Een rechtbank heeft de beslissing van de Autoriteit Persoonsgegevens (AP) om een klacht over de Algemene Verordening Gegevensbescherming (AVG) af te wijzen, ongeldig verklaard. De rechtbank heeft bepaald dat de AP moet onderzoeken of de persoonlijke gegevens van een betrokkene onrechtmatig zijn bekendgemaakt. De rechtbank oordeelde dat de AP verplicht is om een klacht van een betrokkene te onderzoeken en een beslissing te nemen op basis van de inhoud van de klacht. In dit specifieke geval heeft de rechtbank de AP bevolen om binnen 60 dagen een beslissing te nemen over de vermeende onrechtmatige bekendmaking van persoonlijke gegevens. Samenvatting in het Engels: [Herhaling van de samenvatting in het Engels] Feiten: [Herhaling van de feiten] 28 januari 2025.

DSB (Oostenrijk) - 2025-0.276.820

Uitspraak === Uitspraak ====== Uitspraak === De Autoriteit Persoonsgegevens (AP) heeft geoordeeld dat de verantwoordelijke partij artikel 58(2)(d) van de AVG heeft overtreden. Dit artikel geeft toezichthoudende autoriteiten de bevoegdheid om bindende instructies te geven aan verantwoordelijken om ervoor te zorgen dat de AVG wordt nageleefd. De overtreding ontstond doordat de verantwoordelijke partij er niet voor zorgde dat de bindende instructie werd uitgevoerd, namelijk het aanpassen van de cookiebanner op de website, zodat gebruikers toestemming net zo gemakkelijk kunnen weigeren als geven. De AP heeft geoordeeld dat de verantwoordelijke partij artikel [[A...

DSB (Oostenrijk) - 2025-0.276.820

}}}} Een Oostenrijks mediabedrijf is door de Autoriteit voor Gegevensbescherming een boete van 6.820 euro opgelegd, omdat het nalatig was bij het implementeren van een bindende aanwijzing om het cookiebanner op zijn website te wijzigen. Hierdoor werden de opties voor toestemming van gebruikers vertraagd, ondanks dat alle bezwaren werden afgewezen. De Autoriteit voor Gegevensbescherming heeft een mediabedrijf een boete van 6.820 euro opgelegd omdat het cookiebanner niet was aangepast om te voldoen aan de wetgeving, en er geen visueel gelijkwaardige optie was om cookies te weigeren. De Autoriteit had eerder aan het bedrijf opgedragen dit te doen, in overeenstemming met artikel 58(2)(d) van de AVG.