News

The DSA Human Rights Alliance has released 'Principles for a Human Rights-Centred Application of the Digital Services Act: A Global Perspective' to guide the European Commission, national policymakers, and regulators as the DSA moves from legislation to enforcement. The recommendations focus on the cross-border effects of DSA enforcement, empowering diverse groups to enforce users’ rights and providing input during enforcement actions. This will ensure that the law is applied in a way that respe

=== Processing ====== Processing === First, the data protection authority (DPA) found that the data processor should have deleted the users' data at the end of the agreement with the data controller. The DPA considered the failure to do so a violation of Article 28(3)(g) of the GDPR. First, the data protection authority (DPA) found that the data processor should have deleted the users' data at the end of the agreement with the data controller. The failure to do so, even if the data was retained due to unauthorized collaboration, ...

Brussels, 14 October - During its October plenary, the European Data Protection Board (EDPB) picked the topic for its fifth coordinated enforcement action, which will concern compliance with the obligations of transparency and information under the General Data Protection Regulation (GDPR). The GDPR ensures that individuals are informed when their data is being processed (under Art. 12, 13 and 14). This right to be informed is a core element of transparency and ensures that individuals have more

Brussels, October 14th - During its plenary meeting in October, the European Data Protection Board (EDPB) selected the topic for its fifth coordinated enforcement action. This action will focus on compliance with the obligations regarding transparency and information provision under the General Data Protection Regulation (GDPR). The GDPR ensures that individuals are informed when their data is being processed (as stipulated in Articles 12, 13, and 14). This right to information is a crucial element of transparency and ensures that individuals have more...

Government

Uit openbare stukken en gesprekken met medewerkers van de Belastingdienst in 2024 bleek dat meldingen over mogelijke fraude door de directie Midden- en Kleinbedrijf niet werden opgepakt vanwege niet-naleving van privacywetgeving. In maart 2025 informeerde de staatssecretaris Fiscaliteit, Belastin...

Government.

From public documents and conversations with employees of the Tax Authority in 2024, it became clear that reports regarding potential fraud by the SME (Small and Medium-sized Enterprises) management were not investigated due to non-compliance with privacy regulations. In March 2025, the Secretary of State for Fiscal Affairs, Belastin... (the sentence is incomplete).

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

> Read through the most interesting developments at the intersection of human rights and technology from the Netherlands. This is the second update in this series.

Het eerste beroepstribunaal heeft delen van een handhavingsbesluit uit 2020 van het Britse Information Commissioner's Office (ICO) tegen Experian vernietigd. Hierin werd bevestigd dat het bedrijf zich terecht baseert op legitieme belangen als juridische basis voor het verwerken van informatie van kredietreferentiebureaus voor direct marketingdoeleinden. Waarnemend commissaris Stephen Bonner, CIPP/E, CIPM, zei dat marketingprocessen "in overeenstemming met de wet en op een open en eerlijke manier moeten plaatsvinden", en het ICO heeft aangegeven dat het een app zal overwegen.

A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

The Commission has endorsed enthusiastically a recent US order to implement a new framework to protect the privacy of personal data shared between the US and Europe. Dick Roche begs to differ. https://iapp.org/news/a/the-redress-mechanism-in-the-privacy-shield-successor-on-the-independence-and-effective-powers-of-the-dprc/

De Commissie heeft met enthousiasme een recent Amerikaans besluit gesteund om een nieuw kader te implementeren ter bescherming van de privacy van persoonlijke gegevens die worden uitgewisseld tussen de VS en Europa. Dick Roche is het daar niet mee eens. https://iapp.org/news/a/the-redress-mechanism-in-the-privacy-shield-successor-on-the-independence-and-effective-powers-of-the-dprc/

This paper studies the installation and configuration process of consent pop-ups and their potential effects on website publishers' decision making. It finds that Consent Management Providers often violate the law, and that configuration options may lead to non-compliance.

Dit artikel onderzoekt het installatie- en configuratieproces van pop-ups voor toestemmingen, en de mogelijke gevolgen daarvan voor de besluitvorming van website-uitgevers. Het blijkt dat aanbieders van toestemmingsbeheer vaak de wet overtreden, en dat configuratieopties kunnen leiden tot niet-naleving van de regels.

Het Britse Information Commissioner's Office heeft aangekondigd dat TikTok een boete van 27 miljoen pond zal krijgen vanwege vermeende schendingen van de Britse wetgeving inzake gegevensbescherming. Het onderzoek van de ICO heeft mogelijke overtredingen blootgelegd met betrekking tot de verwerking van gegevens van minderjarigen zonder toestemming, de onrechtmatige verwerking van speciale categorieën van gegevens en een ontoereikend niveau van transparantie.

> The U.K. Information Commissioner's Office announced a notice of intent to fine TikTok 27 million GBP for alleged U.K. data protection violations. The ICO's investigation found potential violations concerning nonconsensual processing of minors' data, unlawful processing of special category data and insufficient transparency.

The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.

The EDPB adopted a statement on the European Commission’s proposal for an EU Police Cooperation Code. This proposal aims to enhance law enforcement cooperation across Member States, in particular the information exchange between the competent authorities. The code is comprised of three main measures: proposal for a Prüm II Regulation, proposal for a Police Information Exchange Directive and the proposal for a Council Recommendation on operational police cooperation.

De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.

> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.

> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.

De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.

> DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available online; it was subject to a public consultation until 27 June 2022).