News

Corrected and added some links, removed duplicate in short summary. }}}} An DPA denied a complaint against a public body under Articles 9 and 77 GDPR, holding that publication of a data subject’s political donation did not violate the GDPR because the controller had a lawful basis.An DPA denied a complaint against a public body under [[Article 9 GDPR|Articles 9]] and [[Article 77 GDPR|77 GDPR]], holding that publication of a data subject’s political donation did not violate them because the cont

The EDPB's upcoming updated guidelines on pseudonymisation are also given more prominence in a compromise text, obtained by Euractiv

|Appeal_From_Case_Number_Name=16.07.2025|Appeal_From_Case_Number_Name=16.07.2025 |Appeal_From_Status=|Appeal_From_Status= |Appeal_From_Link=https://www.dataprotection.ro/?page=Comunicat_Presa_16.07.2025|Appeal_From_Link=https://gdprhub.eu/index.php?title=ANSPDCP_(Romania)_-_Fine_against_a_Romanian_politician |Appeal_To_Body=|Appeal_To_Body= |Appeal_To_Case_Number_Name=|Appeal_To_Case_Number_Name= A politician, the operator of a website (the controller), appealed a DPA decision sanctioning him fo

Contact details: typo The controller's contact details are necessary for the data subjects to get in touch with the controller and to further exercise their rights under the GDPR. The contact details must enable data subjects to easily contact the controller and should include different forms of communications.The controller's contact details are necessary for the data subjects to get in touch with the controller and to further exercise their rights under the GDPR. The contact details

English Summary }}}} A court awarded €3,000 to a data subject after finding a news portal violated her privacy under [[Article 5 GDPR]] by publishing her personal data unnecessarily and disproportionately, despite claims of public interest.A court awarded €3,000 in damages to a data subject after finding that a news portal violated her right to privacy by publishing her personal data unnecessarily and disproportionately in two articles, despite the controller’s claims of public interest. == Engl

}}}} The DPA ordered a company to erase the data provided by potential tenants after not entering into a lease agreement with them.The DPA ordered a landlord to erase the data provided by potential tenants after not entering into a lease agreement with them. == English Summary ==== English Summary == In 2023 the data subjects intended to enter into a lease agreement with a company (the controller). The controller requested various information from the data subjects, including identity documents,

Facts The first article reported on payments related to the football club Dinamo Zagreb and included the data subject’s full name, bank account number, and payment amounts. The second article referred to the first article via a hyperlink but did not mention the data subject directly.The first article reported on payments related to the football club Dinamo Zagreb and included the data subject’s full name, bank account number, and payment amounts. The second article referred to the first article

}}}} The DPA issued a warning to the Federal Public Service for Finances to ensure compliance with security of personal data processing after an employee accessed the address of an individual and visited her at her home.The DPA issued a warning to the Federal Public Service for Finances after an employee unlawfully accessed the address of an individual in the controller’s database and visited her at her home. == English Summary ==== English Summary ==

Holding }}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR|Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject. == English Summary ==== English Summary == The data subject brought multiple

|Initial_Contributor=lde|Initial_Contributor=lde || }}}}The DPA found that the food delivery company Wolt failed to respond properly and in time to a customer’s access request after their account was blocked. The DPA found that Wolt violated [[Article 12 GDPR|Article 12 GDPR]] by failing to respond properly and in time to a data subject’s access request, thus failing to facilitate the exercise of rights or provide a timely refusal. == English Summary ==== English Summary ==

}}}} A court annulled a DPA decision imposing a €150,000 fine on a news programme diffusing personal data of a minister for information purposes. The court concluded that public interest was overriding the right to privacy.A court annulled a DPA’s decision imposing a €150,000 fine on a public broadcaster after airing a private former Minister’s private conversation. The court concluded that public interest in airing the conversation overrode the former Minister’s right to privacy. == English Sum

}}}} The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete access response.The DPA partially upheld a complaint and issued a reprimand against a travel company for unlawful direct marketing, excessive passport copy collection, inaccuracies in travel documents, lack of transparency, and an incomplete response to an access reque

}}}} A court held that a former employee cannot receive access to their work email correspondence and files based on an access request when the emails and files only contain the employee’s identification information.A court held that a former employee cannot request access to their work email correspondence and other work-related files when the emails and files only contain the employee’s identification information. == English Summary ==== English Summary == Following his dismissal, the data sub

}}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.A court held that the mere automated creation of a score value by a credit information agency does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision concerning the the data subject. == English Summary ==== English Summary == === Facts ====== Fa

Holding === Holding ====== Holding === The court dismissed the data subject’s appeal in full. The court noticed the parties that it intends to dismiss the data subject’s appeal in full. The court could not produce a declaration of illegality of credit scoring based on automated processing. It reasoned that the mere creation of a score does not constitute a legal decision under Article 22. Also, the rejections faced by the data subject were not exclusively, if at all, based on the credit scoring,

English Summary The Spanish Data Protection Agency (AEPD) investigated Vodafone España, S.A.U. as controller after a SIM swapping incident.The Spanish Data Protection Agency (AEPD) investigated Vodafone España, S.A.U. as controller after a SIM swapping incident. On 21 September 2021, an unknown third party requested a duplicate SIM card for the mobile line of a data subject. The request was made through Vodafone’s internal telephone support channel for retail stores. The caller impersonated staf

Facts }}}} The AEPD fined a right-wing political party €500 for publishing a proof of delivery on Facebook that showed a person’s name, ID number and signature without a legal basis under [[Article 6 GDPR|Article 6 GDPR]].The AEPD fined a right-wing political party €500 for publishing a proof of delivery on Facebook that showed a person’s name, ID number and signature without a legal basis under [[Article 6 GDPR]]. == English Summary ==== English Summary == VOX had sent a certified letter to a m

Link fixed. === Facts ====== Facts === The data subject had a mobile contract with the controller, a telecommunications company, starting 17 April 2019. The contract included privacy notices stating that personal data, including contract initiation, execution, and completion (“positive data”), could be sent to a credit scoring agency for credit scoring, under Articles 6(1)(b) and 6(1)(f) GDPR.The data subject had a mobile contract with the controller, a telecommunications company, starting 17 Ap

Fixed a link. }}}} A court held that a public authority violated Article 12(3) and [[Article 15 GDPR#1|Article 15(1) GDPR]] by failing to respond within one month to an access request and by wrongly requiring a reference date.A court held that a public authority violated [[Article 12 GDPR|Article 12(3)]] and [[Article 15 GDPR#1|Article 15(1) GDPR]] by failing to respond within one month to an access request and by wrongly requiring a reference date. == English Summary ==== English Summary == The

De Autoriteit Persoonsgegevens (AP) waarschuwt gebruikers en organisaties voor het gebruik van OpenClaw en soortgelijke experimentele systemen. De aanleiding is de hoge snelheid waarmee OpenClaw populair is geworden. Dit soort open source-systemen voldoen al snel niet aan basisveiligheidseisen. Het gebruik van dergelijke experimentele AI-agents brengt grote risico’s met zich mee, zoals datalekken en accountovernames.

Facts }}}} The court held that under [[Article 15 GDPR#3|Article 15(3) GDPR]] controllers may lawfully redact third-party data as long as the data subject’s information remains complete and understandable.A court held that under [[Article 15 GDPR#3|Article 15(3) GDPR]] controllers may lawfully redact third-party data as long as the data subject’s information remains complete and understandable. == English Summary ==== English Summary == The data subject was subject to a home visit by the public

added links to GDPR articles === Holding ====== Holding === The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media platform, or even on targeted advertising, the consent was not informed nor specific. Therefore, it found the processing to be unlawful, violating Article 6(1)(a) GDPR. The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media

}}}} The DPA held that an event organiser’s use of a data subject’s email address, provided for ticket purchase, to send a marketing email without consent and to disclose the address via an open CC field violated the subject’s right to secrecyThe DPA held that an event organiser violated a customer’s right to privacy when it submitted them marketing emails without their prior consent and by sending them those emails in CC, disclosing their address to a large group of third parties. == English Su

Facts The Spanish Data Protection Agency (AEPD) investigated Vodafone España, S.A.U. as controller after a SIM swapping incident.The Spanish Data Protection Agency (AEPD) investigated Vodafone España, S.A.U. as controller after a SIM swapping incident. On 21 September 2021, an unknown third party requested a duplicate SIM card for the mobile line of a data subject. The request was made through Vodafone’s internal telephone support channel for retail stores. The caller impersonated staff of an au

The EU Data Protection Board and the European Data Protection Supervisor strongly urge the co-legislators not to adopt the proposed changes to the definition of personal data

|Initial_Contributor=xz|Initial_Contributor=xz || }}}}The DPA held that the daughter of a deceased patient could not request access under Article 15 GDPR from a hospital regarding her deceased father’s cause of death, as the information refers to her father and the right of access is a strictly personal and non-transferable right. The DPA held that a hospital did not violate [[Article 15 GDPR]] by not providing information on the medical cause of death, as the request did not concern the data su

}}}} The DPA issued a reprimand to 51 municipalities and simultaneously warned them regarding their use of Google’s products in primary and lower secondary schools. In particular, the DPA found that the municipalities had not adequately demonstrated how personal data processed outside the EU is provided with an adequate level of protection.The DPA issued a reprimand to 51 municipalities and simultaneously warned them regarding their use of Google’s products in primary and lower secondary schools

Facts }}}} The DPA fined a business support company with 80,000 euros for transferring personal data from its employees to a third party without the proper legal basis, in violation of Art. 6 (1) GDPR.The DPA fined a customer support provider €80,000 for unlawfully transferring its employees’ private phone numbers to its business customer without a valid legal basis. == English Summary ==== English Summary == === Facts ====== Facts === MAJOREL SP SOLUTIONS, S.A. (the controller) entered into an

De Autoriteit Persoonsgegevens (AP) legt tien gemeenten een boete op van in totaal 250.000 euro. De reden is dat zij dossiers met gevoelige informatie over islamitische inwoners hebben verwerkt, zonder dat deze inwoners dat wisten. De gemeenten hebben daarmee de Algemene verordening gegevensbescherming (AVG) overtreden. Zij mochten deze informatie niet hebben. Ook hebben zij hiermee gegevens over de religie en politieke voorkeuren van mensen verwerkt, terwijl dit vrijwel altijd verboden is.

De Autoriteit Persoonsgegevens (AP) presenteert vandaag de visie van de AP op generatieve artificiële intelligentie (AI). Daarin schetst de toezichthouder hoe generatieve AI veilig, verantwoord en in lijn met grondrechten kan worden ingezet. De AP kijkt vooruit en ziet mogelijkheden, maar waarschuwt tegelijk voor reële maatschappelijke risico’s.

De Autoriteit Persoonsgegevens (AP) heeft de eerder gepubliceerde leidraad voor gerichte politieke online reclame aangepast. Hierin is nu de input verwerkt van organisaties die reageerden op de consultatie van de leidraad.

De Autoriteit Persoonsgegevens (AP) vindt dat onvoldoende is aangetoond dat buitengewoon opsporingsambtenaren (boa’s) in het openbaar vervoer toegang nodig hebben tot pasfoto’s in het rijbewijsregister. Dat schrijft de AP in een toets van een wetsvoorstel van het ministerie van Infrastructuur en Waterstaat. De toegang tot pasfoto’s zou boa’s moeten helpen sneller vast te stellen wie iemand is, bijvoorbeeld bij handhaving tegen overlast of zwartrijden.

De Autoriteit Persoonsgegevens (AP) stelt drie prioriteiten centraal voor de periode 2026-2028: massasurveillance, artificiële intelligentie (AI) en digitale weerbaarheid. Met deze prioriteiten wil de AP mensen nog beter beschermen in een verder digitaliserende wereld. Het jaarplan 2026 beschrijft welke stappen de AP dit jaar gaat zetten binnen deze prioriteiten.

The EU and Brazil adopted, on 27 January, mutual adequacy decisions which confirm that their levels of data protection are comparable. This recognition allows for personal data to flow freely between the EU and Brazil

Brussels, 29 January - The EDPB organises a remote event to collect stakeholders’ input on its Guidelines on the processing of personal data to target or deliver political advertisements under the regulation on the transparency and targeting of political advertising. The event will take place on 27 March 2026 (time to be confirmed). This will be an opportunity to inform and support the EDPB’s ongoing work on this topic as per its work programme 2024-2025 and it reflects the EDPB’s commitment to

Op de Europese dag van de privacy op 28 januari organiseerde de Autoriteit Persoonsgegevens (AP) een sessie met jongeren. Afgevaardigden van verschillende jongerenpartijen en -verenigingen kwamen langs bij de AP om te praten over privacy-onderwerpen die jongeren en jongvolwassenen bezighouden.

Permanent cameratoezicht op de vaste werkplek van werknemers is niet toegestaan. Camera’s mogen alleen worden ingezet als dat strikt noodzakelijk is, bijvoorbeeld voor veiligheid bij incidenten, en niet om werknemers structureel te volgen of te beoordelen. Dat geldt ook als camerabeelden alleen achteraf worden bekeken. Dat benadrukt de Autoriteit Persoonsgegevens (AP) na een klacht en gesprekken met openbaarvervoerbedrijf Arriva over het gebruik van camera’s in hun bussen.

Watch the video on online data protection risks for kids Brussels, 28 January - Every day, the European Data Protection Authorities (DPAs) that make up the EDPB work together to ensure the protection of individuals’ personal data. When it comes to children's data, extra vigilance is essential, particularly in today's fast-evolving digital environment where new risks emerge constantly. Children are more at risk online than adults because they do not easily recognise dangers, tend to trust strange

Gemeenten vinden het lastig om misbruik van persoonsgegevens door eigen ambtenaren te signaleren. Het gaat dan bijvoorbeeld om ambtenaren die onder druk informatie verstrekken aan criminelen. Dit soort datalekken komt meestal pas aan het licht als de Rijksrecherche of een inwoner de gemeente erop wijst. Gemeenten die het misbruik wel ontdekken, melden zo’n datalek regelmatig niet aan de Autoriteit Persoonsgegevens (AP), terwijl dat wel zou moeten.

Government

“Het voorstel draagt ook bij aan een hoog niveau van bescherming van persoonsgegevens (

Feiten: De gegevensbeschermingsautoriteit (DPA) heeft een bank een boete van 500.000 euro opgelegd nadat documenten van een klant, verzonden via een koerier, verloren waren gegaan. De autoriteit oordeelde dat de bank er niet voor had gezorgd dat er voldoende beveiliging was en dat er een goede controle was op de dienstverlener, in overeenstemming met artikel 32 van de AVG. De DPA heeft een bank een boete van 500.000 euro opgelegd omdat documenten van een klant verloren waren gegaan tijdens het transport via een koerier. De DPA oordeelde dat de bank niet had gezorgd voor voldoende beveiliging en een goede controle op de dienstverlener, in overeenstemming met artikel 32 van de AVG. == Samenvatting in het Engels

}}}} Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd en de betrokkene geen verlies van controle over zijn gegevens heeft geleden, oordeelde het gerecht dat het gevoel van bewaakt worden een vorm van immateriële schade vormde. Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd, en

}}}} De Italiaanse beschermingsautoriteit (DPA) heeft Verisure Italy een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had geen geldige juridische basis voor marketingactiviteiten gericht aan zowel bestaande als potentiële klanten, heeft gegevensonderwerpen niet voldoende geïnformeerd, heeft onredelijk lange of onbepaalde bewaartermijnen toegepast en heeft te laat gereageerd op verzoeken van gegevensonderwerpen met betrekking tot hun rechten. De DPA heeft Verisure Italy, een leverancier van alarmsystemen, een boete van 400.000 euro opgelegd voor onrechtmatige marketingcommunicatie. De verantwoordelijke partij had een...

}}}} The Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and the data subject suffered no loss of control over his data, the court held that the feeling of being monitored constituted non-material damage.A Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and

Feiten === Feiten ====== Feiten === Twee betrokkenen, waarvan één een voormalige klant en de andere een potentiële klant, hebben klachten ingediend bij de gegevensbeschermingsautoriteit (DPA) met betrekking tot herhaalde marketinggesprekken en -berichten van Verisure Italy, ondanks dat ze expliciet hadden verzocht om het stoppen van dergelijke communicatie. Twee betrokkenen, waarvan één een voormalige klant en de andere een potentiële klant, hebben klachten ingediend bij de DPA omdat ze herhaaldelijk marketinggesprekken en -berichten ontvingen van Verisure Italy, ondanks dat ze expliciet hadden verzocht om het stoppen van dergelijke communicatie.

Facts }}}} The DPA fined a bank €500,000 after it lost a customer’s documents sent through a courier. The authority held that the bank failed to ensure adequate security and proper supervision of its processor under [[Article 32 GDPR|Article 32 GDPR]].The DPA fined a bank €500,000 for losing a customer’s documents when transporting them via a courier. The DPA held that the bank failed to ensure adequate security and proper supervision of its processor under [[Article 32 GDPR]]. == English Summar

The Italian data protection authority (DPA) has fined Verisure Italy €400,000 for unlawful marketing communications. The company lacked a valid legal basis for its marketing activities, which targeted both existing and potential customers. Furthermore, it failed to adequately inform data subjects, applied unreasonably long or undefined data retention periods, and responded too late to requests from data subjects regarding their rights. The DPA imposed a fine of €400,000 on Verisure Italy, a provider of alarm systems, for unlawful marketing communications. The company...

|Hof_Oorspronkelijke_Naam=Oberlandesgericht Frankfurt am Main|Hof_Oorspronkelijke_Naam=Oberlandesgericht Frankfurt am Main |Hof_Engelse_Naam=Higher Regional Court Frankfurt am Main|Hof_Engelse_Naam=Higher Regional Court Frankfurt am Main |Hof_Met_Land=OLG Frankfurt am Main (Duitsland)|Hof_Met_Land=OLG Frankfurt (Duitsland) |Zaaknummer_Naam=6 U 81/23|Zaaknummer_Naam=6 U 81/23 |Partij_Link_2=|Partij_Link_2= |Beroep_Van_Instantie=LG Frankfurt am Main (Duitsland)|Beroep_Van_Instantie=LG Frankfurt (Duitsland)

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1 miljoen euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1.000.000 euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == Tot slot heeft de DPA geconstateerd dat...

The data protection authority has fined a subcontractor €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. The data protection authority has also fined a data processor €1 million for the same reasons: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. == Summary in English == == Summary in English ==