Data Processor

Recital 10

Recital 10

Artikel 4

Territoriale reikwijdte

Recital 153

Recital 164

Recital 168

Article 27

Representatives of controllers or processors not established in the Union

Article 28

Processor

Article 29

Processing under the authority of the controller or processor

Article 31

Cooperation with the supervisory authority

Article 44

General principle for transfers

Article 48

Transfers or disclosures not authorised by Union law

Article 79

Right to an effective judicial remedy against a controller or processor

Recital 13

Recital 18

Recital 22

Recital 23

Recital 24

Recital 28

Recital 36

ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971

Rechtbank Overijssel

Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.

Rechtbank Den Haag

Rechtbank Den Haag

Overheidsaansprakelijkheid. Verstrekking persoonsgegevens door gemeente aan woningcorporatie over een koopwoning is in strijd met de AVG. Causaal verband met gestelde schadeposten?

Rechtbank Amsterdam

Rechtbank Amsterdam

NRC heeft een artikel op haar website geplaatst over een strafzaak tegen eiser, waarbij eiser is veroordeeld tot een (deels voorwaardelijke) gevangenisstraf wegens seksuele uitbuiting van twee minderjarige meisjes. Partijen twisten over de vraag of de vermelding van de voornaam, de leeftijd en het beroep van eiser in het artikel onrechtmatig is en in strijd is met de AVG en/of de UAVG. De rechtbank dient een belangenafweging te maken tussen het recht op bescherming van de eer, goede naam en persoonlijke levenssfeer van eiser (artikel 8 EVRM) en het recht op vrijheid van meningsuiting van NRC (artikel 10 EVRM) en komt tot de conclusie dat in dit geval het recht op vrijheid van meningsuiting van NRC zwaarder weegt. De publicatie van het artikel is dan ook niet onrechtmatig. Ook is geen sprake van een schending van de AVG en/of de UAVG.

Gerechtshof

Gerechtshof

Uitleg van kennisgevingsplicht. Na een toegekend verzoek tot wissing, door verwerkingsverantwoordelijke RBV, is echter volgens betrokkene niet of althans onvoldoende aan overige partijen doorgegeven dat deze wissing heeft plaatsgevonden. Ofwel er is niet voldaan aan de kennisgevingsverplichting. ...

ECLI:NL:GHAMS:2025:2666 Gerechtshof Amsterdam , 07-10-2025 / 200.339.869/01, 200.339.845/01 en 200.339.905/01

Gerechtshof Amsterdam

Art. 3:305a BW. Tussenbeslissing WAMCA-procedure in hoger beroep. TikTok. Internationale bevoegdheid ten aanzien van AVG en niet-AVG vorderingen? Aanhouding AVG-vorderingen i.v.m. prejudiciële vragen (rechtbank Rotterdam 23 juli 2025, ECLI:NL:RBROT:2025:9088). Stichtingen ontvankelijk ten aanzien van niet-AVG vorderingen? Immateriële schadevorderingen bundelbaar? Bepaling nauw omschreven groep en precieze omschrijving van de vorderingen.

AVG wél, maar UAVG niet van toepassing in Risepoint geschil. Beroep op exhibitieplicht wordt niet uitgesloten door een mogelijkheid de eigen pgg te verkrijgen via de AVG. Verzoek strandt echter bij gebrekkige onderbouwing van het belang.

Rechtbank

Verzoek op grond van de AVG en 194 Rv. UAVG niet van toepassing op Maltese entiteiten, spoorwissel naar dagvaardingsprocedure. Inzageverzoek 194 Rv afgewezen.

Autobedrijf is onvoldoende erin geslaagd te bewijzen dat het voldoet aan vereisten van 'passende beveiliging'. Les van het hof over verplichtingen artikelen 5(1)(f) jo. 24 jo 32 AVG.

Gerechtshof

Vervolg op ECLI:NL:GHARL:2024:6812. Autobedrijf ontvangt ook ongevraagd gevoelige informatie, dat is het niet aan te rekenen (r.o. 3.5). De inrichting en beheer van het e-mailaccount is uitbesteed aan Autosociaal (r.o. 3.6). Hof geeft aan dat het autobedrijf op zichzelf mag vertrouwen op een ISO ...

ECLI:NL:RBROT:2025:9088 Rechtbank Rotterdam , 23-07-2025 / C/10/668332 / HA ZA 23-965

Rechtbank Rotterdam

Vervolg op ECLI:NL:RBROT:2024:11322; Collectieve actie 3:305a BW; Ontvankelijkheidseisen; Verhouding tussen de WAMCA en de AVG; Uitleg artikel 80 lid 2 AVG met betrekking tot het recht op schadevergoeding. De rechtbank stelt prejudiciële vragen aan het Hof van Justitie van de Europese Unie.

FSV. Niet aannemelijk dat gegevens uit FSV registratie zijn gedeeld.

Rechtbank

Deze uitspraak gaat over het verzoek van eiser op grond van de AVG aan de minister om inzage in zijn persoonsgegevens in de Fraude Signalering Voorziening (FSV). De minister heeft het verzoek toegewezen en een overzicht uit de FSV verstrekt. In de beslissing op bezwaar heeft de minister aanvullend inzage verleend in het onderdeel ‘aantekeningen’ bij de FSV-registratie van eiser. De rechtbank komt in deze uitspraak tot het oordeel dat eiser niet heeft aannemelijk gemaakt dat zijn persoonsgegevens uit de FSV ook met andere instanties zijn gedeeld. De aanwijzingen die eiser hiervoor aanvoert, zijn daarvoor onvoldoende. Ook is de rechtbank in dit geval niet bevoegd om aan eiser een schadevergoeding toe te kennen. Het beroep is ongegrond.

Voor wissing vaccinatiegegevens mag kopie ID ter controle identiteit door RIVM worden verzocht als alternatief voor identificatie op locatie.

Raad van State

Bij besluiten van 7 december 2021 heeft de minister van Volksgezondheid, Welzijn en Sport de verzoeken om wissing van persoonsgegevens van [appellanten] op grond van artikel 17 van de Algemene verordening gegevensbescherming buiten behandeling gesteld. Bij brieven van 31 mei 2021 hebben [appellanten] de minister verzocht om wissing van hun bij het Rijksinstituut voor Volksgezondheid en Milieu aanwezige Covid-19 vaccinatiegegevens en Covid-19 persoonsgegevens. De minister heeft de verzoeken bij de besluiten van 7 december 2021 buiten behandeling gesteld omdat [appellanten] hebben geweigerd zich te legitimeren op een door de minister verzochte wijze, namelijk het toesturen van een kopie van hun paspoort of zich in persoon bij het kantoor van het RIVM legitimeren. De rechtbank heeft geoordeeld dat de minister de bezwaren terecht ongegrond heeft verklaard. Volgens de rechtbank mocht de minister de verzoeken buiten behandeling stellen op de grond dat de identiteit van de betrokkenen niet kon worden vastgesteld.

Inschakelen derde partij voor heffing grondbelasting o.m. door geheimhoudingsplicht voorzien van voldoende waarborgen.

Dutch Courts

In een aantal zaken betreffende een viertal hotels is in hoger beroep uitspraak gedaan in één of meer problemen in de grondbelasting. Het betreft de onderwerpen: gevolgen uitblijven van de uitspaken op bezwaar en uitblijven schriftelijke mededeling, gevolgen uitblijven van hoorgesprekken, een beroep op de geheimhoudingsplichting van de Inspecteur (schending artikel I.16 lid 2 en lid 3 van de Staatsregeling van Aruba en artikel 8 EVRM), tariefkwestie en bevoegdheid van de belastingrechter ten aanzien van ontheffingsverzoeken ex artikelen 35/37 van de Landsverordening grondbelasting (LGB).

Raad van State

Raad van State

Bij onderscheidenlijke besluiten van 30 oktober 2019, 4 december 2019 en 16 januari 2020 heeft de minister voor rechtsbescherming het verzoek van [appellant sub 1] om inzage van zijn persoonsgegevens en die van zijn zoon, gedeeltelijk toegewezen. [appellant sub 1] heeft een minderjarige zoon samen met zijn ex-vrouw. [appellant sub 1] en zijn ex-vrouw zijn in verschillende civiele en strafrechtelijke procedures verwikkeld geraakt. Daarbij is ook de Raad voor de Kinderbescherming (hierna: de RvdK) betrokken. De RvdK heeft onderzoek gedaan en een zogenoemd kinddossier over de zoon aangelegd. [appellant sub 1] heeft eerder op grond van de Wet bescherming persoonsgegevens verzocht om inzage in de contacten tussen onder meer de RvdK en zijn ex-vrouw. De Afdeling heeft in die procedure uitspraak gedaan op 10 april 2019, ECLI:NL:RVS:2019:1141, 201800994/1/A3. Daarin is onder meer beslist dat zijn verzoek niet zag op persoonsgegevens van de zoon. [appellant sub 1] heeft de RvdK bij brief van 19 mei 2019 verzocht om inzage in persoonsgegevens die de RvdK over hem en zijn zoon verwerkt en dit verzoek gebaseerd op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (de Algemene Verordening Gegevensbescherming.

Inzageverzoek deels afgewezen waar het gaat om namen medewerkers. Kopie document niet nodig.

Rechtbank

Inzageverzoek AVG.

Geschil over onderzoeksproject uitgevoerd door Universiteit Utrecht met de opdrachtnemer als bemiddelaar tussen ouders en kinderopvanglocaties. Vraag naar wie toestemmingsbrieven ouders mocht/moest bewaren. UU is verwerkingsverantwoordelijke.

Gerechtshof

De zaak betreft een samenwerking tussen de Universiteit Utrecht en een opdrachtnemer bij de uitvoering van projecten gericht op de ontwikkeling van jonge kinderen, onder andere gebruikmakend van een aangepaste vragenlijst. De opdrachtnemer claimt auteursrechten en databankenrechten op de onderzoe...

Artikel

Rechtbank

Klant van een webshop (inmiddels offline), aan wie de bij de webshop bestelde goederen niet zijn geleverd, wil de identiteit van de handelaar achter de webshop achterhalen en verzoekt daartoe de rechtbank om de bij de transactie betrokken betaaldienstverlener (primair) op grond van artikel 15 lid 1 onder c AVG te bevelen inzage te geven in de bij haar bekende gegevens over de identiteit van de handelaar achter de webshop. Verzoek niet toewijsbaar op grond van de AVG, omdat niet is komen vast te staan dat de betaaldienstverlener persoonsgegevens van verzoeker heeft verstrekt aan de handelaar. Het verzoek wordt wel toegewezen op de subsidiaire grondslag, artikel 843a Rv (oud).

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP.

Rechtbank

Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP. De AP heeft in deze omstandigheden kunnen afzien van een herstelsanctie, boete of berisping naar aanleiding van een overtreding van de AVG. Ook heeft de AP voldaan aan de verplichting van artikel 57 van de AVG om de twee andere klachten in gepaste mate te onderzoeken. De gestelde overtredingen zijn in het globale bureauonderzoek van Fase I niet vast komen te staan. De AP heeft op basis van het prioriteringsbeleid kunnen beslissen na dat globale bureauonderzoek geen nader onderzoek te doen.

Microsoft Ireland Operations Limited en Xandr moeten stoppen met het plaatsen en uitlezen van cookies zonder voorafgaande toestemming

Rechtbank

kort geding. 2 grote internetondernemingen wordt geboden het plaatsen en/of uitlezen van tracking cookies zonder dat eisers daarvoor toestemming hebben verleend te staken en gestaakt te houden. AVG. art 11.7a Telecommunicatiewet.

Artikel

Rechtbank

Rechtbank Rotterdam 29 januari 2025, ECLI:NL:RBROT:2025:1497 (Blauw/Nebu vervolg, vragen aan deskundige). Artikel : 24 en 32 AVG Onderwerp: Een vervolg op Rechtbank Rotterdam 6 april 2023, ECLI:NL:RBROT:2023:2931 de Blauw/Nebu zaak. Deze zaak draait om de verplichtingen van Nebu als verwerker van...

Russmedia Digital and Inform Media Press

CJEU

Een bijzonder interessante conclusie voor degenen die geïnteresseerd zijn in het snijvlak tussen de e-commerce richtlijn en de AVG. Zelfs de DSA komt even ter sprake. In essentie gaat het hier om de vraag of een exploitant van een online marktplaats voor de verwerking van persoonsgegevens via adv...

Artikel

Rechtbank

Inzageverzoek op grond van de Wet politiegegevens (Wpg). Het bestreden besluit is niet deugdelijk gemotiveerd. Het onderzoek is niet volledig geweest. Verweerder heeft de term ‘verwerken’ als bedoeld in artikel 25 van de Wpg te strikt opgevat. Beroep gegrond.

Opinion 33/2025 on the draft decision of the Irish Supervisory Authority regarding the Processor Binding Corporate Rules of the CSG Group

EDPB

Opinion 33/2025 on the draft decision of the Irish Supervisory Authority regarding the Processor Binding Corporate Rules of the CSG Group

Opinion 30/2025 on the draft decision of the Dutch Supervisory Authority regarding the Processor Binding Corporate Rules of the Illumina Group

EDPB

Opinion 30/2025 on the draft decision of the Dutch Supervisory Authority regarding the Processor Binding Corporate Rules of the Illumina Group

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Guidelines 02/2024 on Article 48 GDPR

Article 48 GDPR provides that: ' Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer...

Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority

Guidelines for identifying a controller or processor’s lead supervisory authority

Guidelines 04/2021 on Codes of Conduct as tools for transfers

Guidelines on codes of conduct and monitoring bodies

The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...

Version history

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Versiegeschiedenis

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 02/2022 voor de toepassing van artikel 60 AVG

guidelines voor de toepassing van artikel 60 AVG

Een van de belangrijkste innovaties bij de invoering van de AVG was de introductie van het concept 'één-loketmechanisme'. In gevallen van grensoverschrijdende verwerking is de toezichthoudende autoriteit in de lidstaat van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker de autoriteit die leidinggeeft aan de handhaving van de AVG met betrekking tot de grensoverschrijdende verwerkingsactiviteiten in kwestie. Daarbij wordt samengewerkt met alle autoriteiten die de gevolge...

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Municipality of Gooise Meren: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Gooise Meren. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism step

Municipality of Zoetermeer: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Zoetermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe

Municipality of Veenendaal: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Veenendaal. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism steppe

Municipality of Tilburg: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Tilburg. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped u

Municipality of Huizen: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Huizen. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up

Municipality of Hilversum: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Hilversum. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped

Municipality of Delft: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Delft. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up

Municipality of Ede: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Ede. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped up me

Municipality of Eindhoven: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Eindhoven. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism stepped

Municipality of Haarlemmermeer: Insufficient legal basis for data processing

€25,000 fine - Dutch Supervisory Authority for Data Protection (AP)

The Dutch DPA has imposed a fine of EUR 25,000 on the Municipality of Haarlemmermeer. The controller, one of ten municipalities that were fined, processed data regarding the Islamic community in its municipality using a force field analysis, for which it employed an external processor. This processing took place at a time of heightened societal concern about Islamic extremism and terrorism. During this period, the Dutch government and the National Coordinator for Security and Counterterrorism st

SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME: Insufficient technical and organisational measures to ensure information security

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on SIGMA & KAPPA IMPORTING SOCIÉTÉ ANONYME. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had not implemented sufficient technical and organisational measures to prevent operators from calling data subjects who had not given their consent for direct marketing calls.

ONE WAY PRIVATE COMPANY: Non-compliance with general data processing principles

€80,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 80,000 on ONE WAY PRIVATE COMPANY. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, had implemented a system to check whether consent had been given to contact a specific person. However, this system could be bypassed or ignored by the operator, resulting in data subjects being contacted without their consent. Furthermore, the controller had

Thessaloniki–Thessaly Gas Supply Company S.A.: Insufficient data processing agreement

€10,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 10,000 on Thessaloniki–Thessaly Gas Supply Company S.A. The controller, an energy provider, used external processors for direct marketing via telephone. The controller forwarded complaints by data subjects to the external processors, but failed to ensure, that the processors response was adequate, gernerally failing to adequatly controll processors.

REVMA PLUS Retail S.A.: Insufficient technical and organisational measures to ensure information security

€5,000 fine - Hellenic Data Protection Authority (HDPA)

The Greek DPA has imposed a fine of EUR 5,000 on REVMA PLUS Retail S.A.. The fined entity is the processor of Thessaloniki–Thessaly Gas Supply Company S.A. (ETid-3016). The processor, a call center involved in direct marketing activities, suffered a technical error in its system that prevented operators from calling data subjects that had not given their consent for direct marketing calls. The processor also failed to inform the controller of the technical error.

MOBIUS SOLUTIONS LTD: Niet-naleving van de algemene principes voor gegevensverwerking.

1.000.000 euro boete - Franse Autoriteit voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming (CNIL) heeft MOBIUS SOLUTIONS LTD. een boete van 1.000.000 euro opgelegd. Het bedrijf was voorheen verantwoordelijk voor de gegevensverwerking voor Deezer, dat in 2022 een datalek heeft ervaren. Het bedrijf is tekortgeschoten in de nakoming van haar verplichtingen als gegevensverwerker, wat heeft geleid tot een datalek.

MOBIUS SOLUTIONS LTD: Non-compliance with general data processing principles

€1,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 1,000,000 on MOBIUS SOLUTIONS LTD. The fined entity had been the former data processor for Deezer, which suffered a data breach in 2022. The processor failed to fulfil its duties as a data processor, which resulted in a data breach.

Comune di Tuscania: Non-compliance with general data processing principles

€12,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 12,000 on the Commune di Tuscania. The controller had been using video surveillance and licence plate recognition within its territory for the purposes of territorial security and supervising separate waste collection at recycling centers. However, the controller did not put up any relevant signs containing the privacy policy or warning signs. The controller also failed to enter into data processing agreements with processors handling data on its behalf,

'Principe Umberto di Savoia' State Scientific and Linguistic High School: Insufficient legal basis for data processing

€1,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 1,000 on 'Principe Umberto di Savoia' State Scientific and Linguistic High School. The controller processed the personal data of employees in relation to their employment, including medical data such as sick leave due to serious illness. The controller failed to introduce sufficient technical and organisational measures, resulting in employees gaining unauthorised access to personal data. The processor also failed to adequately inform data subjects regar

Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Telecommunications operator (operator of electronic communications networks and services): Non-compliance with general data processing principles

€4,500,000 fine - Croatian Data Protection Authority (azop)

Following an ex officio investigation, AZOP imposed a EUR 4.5 million fine on a telecommunications operator for multiple GDPR infringements. The controller transferred customer personal data to a processor in the Republic of Serbia (a group company maintaining software). Transfers had been based on Standard Contractual Clauses (SCCs) from 16 April 2020 until at the latest 27 December 2022; after that date, transfers continued without SCCs or equivalent safeguards, despite Serbia lacking an adequ

EDPB contributes to the LED evaluation and adopts recommendations on the application for Processor BCR

Brussels, 19 January - During its latest plenary, the EDPB adopted a report to support the European Commission’s evaluation of the Law Enforcement Directive (LED). The Commission has to submit its public report* on the evaluation and review of this Directive to the European Parliament and to the Council by 6 May 2026. Ahead of this, the Commission gathered the views of the European Data Protection Authorities (DPAs) on the application and functioning of the LED over the period from January 2022

CNIL (France) - SAN-2025-015

=== Processing ====== Processing === The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" "Regarding responsibilities:" "Regarding responsibilities:"

CNIL (France) - SAN-2025-014

The data protection authority (DPA) has imposed a fine of 1 million euros on a data processor for failing to delete user personal data, processing that data for purposes that conflict with contractual agreements, and failing to maintain a record of processing activities. The data protection authority (DPA) has imposed a fine of €1,000,000 on a data processor for failing to delete user personal data, processing that data for purposes that conflict with contractual agreements, and failing to maintain a record of processing activities. Finally, the DPA found that...

CNIL (Frankrijk) - SAN-2025-014

=== Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers heeft getroffen, waarvan 9.849.354 gebruikers zich in Frankrijk bevonden. DEEZER heeft Mobius Solutions Ltd (de verwerker) geïdentificeerd als de waarschijnlijke bron van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat ongeveer 46.900.000 gebruikers wereldwijd heeft getroffen, waarvan 21.574.775 gebruikers zich in Frankrijk bevonden.

CNIL (Frankrijk) - SAN-2025-015

=== Verwerking ====== Verwerking === Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. "Over de eerlijkheid van de procedure:" "Over de eerlijkheid van de procedure:" "Over verantwoordelijkheden:" "Over verantwoordelijkheden:"

CNIL (Frankrijk) - SAN-2025-014

}}}} De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een verwerker een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels ==

CNIL (Frankrijk) - SAN-2025-014

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1 miljoen euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1.000.000 euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == Tot slot heeft de DPA geconstateerd dat...

CNIL (France) - SAN-2025-014

=== Facts ====== Facts === DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users were located in France. The controller identified Mobius Solutions Ltd (the processor) as the likely source of the data breach. The DPA launched an investigation into the processor.DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting approximately 46,900,000 users worldwide, out if which 21,574,775 users located i

CNIL (France) - SAN-2025-014

}}}} The DPA fined a processor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a processor €1,000,000 for failing to delete the personal data of users, processing the data for purposes contrary to contract stipulations, and for failing to keep a record of its processing activities. == English Summary ==== English Summary == Finally, the DPA found t

CNIL (France) - SAN-2025-014

}}}} The DPA fined a subcontractor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a processor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities. == English Summary ==== English Summary ==

CNIL (France) - SAN-2025-015

=== Holding ====== Holding === The dispute related to the processor’s responsibility for implementing adequate security measures, under article 32 GDPR. The dispute related to the processor’s responsibility for implementing adequate security measures, under Article 32 GDPR. '''On the fairness of the procedure:''' '''On the fairness of the procedure:''' '''About responsibilities:''' '''About r

AEPD (Spain) - EXP202500113

Facts }}}} The DPA fined a bank €500,000 after it lost a customer’s documents sent through a courier. The authority held that the bank failed to ensure adequate security and proper supervision of its processor under [[Article 32 GDPR|Article 32 GDPR]].The DPA fined a bank €500,000 for losing a customer’s documents when transporting them via a courier. The DPA held that the bank failed to ensure adequate security and proper supervision of its processor under [[Article 32 GDPR]]. == English Summar

CNIL (France) - SAN-2025-014

=== Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected 21,574,775 users, of whom 9,849,354 were located in France. DEEZER has identified Mobius Solutions Ltd (the data processor) as the likely source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected approximately 46,900,000 users worldwide, of whom 21,574,775 were located in France.

CNIL (France) - SAN-2025-014

The data protection authority has fined a subcontractor €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. The data protection authority has also fined a data processor €1 million for the same reasons: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. == Summary in English == == Summary in English ==

CNIL (France) - SAN-2025-015

}}}} The DPA imposed a 1 700 000 € fine under [[Article 32 GDPR|Article 32 GDPR]] to a processor who had incorrectly configured a software that processed files relating to persons with disabilities, leading to a massive data breach.The DPA imposed a €1,700,000 fine to a processor who had incorrectly configured a software that processed files relating to persons with disabilities, leading to a massive data breach. == English Summary ==== English Summary == === Facts ====== Facts === A software co

CNIL (Frankrijk) - SAN-2025-015

Op 2 november en 10 november 2022 hebben betrokkenen die gebruik maakten van het portaal de verantwoordelijke partij geïnformeerd dat ze toegang hadden tot bestanden die betrekking hadden op andere betrokkenen. Op 2 november en 10 november 2022 hebben betrokkenen die gebruik maakten van het portaal de verantwoordelijke partij geïnformeerd dat ze toegang hadden tot bestanden die betrekking hadden op andere betrokkenen. Op 22 november 2022 heeft de verantwoordelijke partij de datalek aan de Autoriteit Persoonsgegevens (AP) gemeld. Op 22 november 2022 heeft de verantwoordelijke partij de datalek aan de Autoriteit Persoonsgegevens (AP) gemeld. De datalek werd veroorzaakt door een configuratiefout.

CNIL (France) - SAN-2025-015

On November 2nd and November 10th, 2022, individuals who used the portal informed the responsible party that they had accessed files related to other individuals. On November 2nd and November 10th, 2022, individuals who used the portal informed the responsible party that they had accessed files related to other individuals. On November 22nd, 2022, the responsible party reported the data breach to the Data Protection Authority (AP). On November 22nd, 2022, the responsible party reported the data breach to the Data Protection Authority (AP). The data breach was caused by a configuration error.

CNIL (France) - SAN-2025-014

Facts === Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach affecting 21,574,775 users, of whom 9,849,354 are located in France. DEEZER (the data controller) has identified that Mobius Solutions Ltd (the data processor) is likely the source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach affecting 21,574,775 users, of whom 9,849,354 are located in France. The responsible...

CNIL (France) - SAN-2025-015

Links to the articles === Facts ====== Facts === A software consultancy firm (the processor) provided software to a government agency (the controller) for the processing of files related to people with disabilities. This software allowed users (data subjects) to upload their files and track their progress through an online portal. Nextpublica, a software consultancy firm (the processor), provided the Maison Départementale pour les Personnes Handicapées (MDPH), an organization with a social purpose (the controller), with...

CNIL (France) - SAN-2025-015

The data protection authority (DPA) has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. The DPA has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. == Summary in English == == Summary in English == === Facts === A software company...