News

(a) No consensus on relevant and reasoned objections On 9 November 2020, the EDPB adopted its first decision under the dispute resolution mechanism laid down by Article 65 GDPR.<ref>EDPB, 9 November 2020, Twitter International Company, Decision 01/2020 (available [https://edpb.europa.eu/sites/default/files/files/file1/edpb_bindingdecision01_2020_en.pdf here]).</ref> The binding decision seeks to address the dispute which arose following a draft decision issued by the Irish SA as LSA

}}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.A court held that the mere automated creation of a score value by a credit information agency does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision concerning the the data subject. == English Summary ==== English Summary == === Facts ====== Fa

Holding }}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR|Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject. == English Summary ==== English Summary == The data subject brought multiple

Holding === Holding ====== Holding === The court dismissed the data subject’s appeal in full. The court noticed the parties that it intends to dismiss the data subject’s appeal in full. The court could not produce a declaration of illegality of credit scoring based on automated processing. It reasoned that the mere creation of a score does not constitute a legal decision under Article 22. Also, the rejections faced by the data subject were not exclusively, if at all, based on the credit scoring,

We, the undersigned organisations and individuals, urge you in the strongest possible terms to reject the deletion of the Article 49(2) transparency safeguard for high-risk AI systems that is proposed in the AI Omnibus. This transparency safeguard ensures that providers of AI systems cannot circumvent the core obligations of the AI Act. The post A call to EU legislators: protect rights and reject the call to delete transparency safeguard in AI Act appeared first on Access Now.

=== Verwerking ====== Verwerking === Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. "Over de eerlijkheid van de procedure:" "Over de eerlijkheid van de procedure:" "Over verantwoordelijkheden:" "Over verantwoordelijkheden:"

=== Holding ====== Holding === The dispute related to the processor’s responsibility for implementing adequate security measures, under article 32 GDPR. The dispute related to the processor’s responsibility for implementing adequate security measures, under Article 32 GDPR. '''On the fairness of the procedure:''' '''On the fairness of the procedure:''' '''About responsibilities:''' '''About r

=== Processing ====== Processing === The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" "Regarding responsibilities:" "Regarding responsibilities:"

Show changes

(4) Non-application to public authorities and bodies. Show changes

(2) Criteria for accreditation from the competent supervisory authority Show changes

(3) Controllers and Processors not Subject to the Territorial Scope of the GDPR The focus on a particular sector is supposed to allow for a cost effective way to achieve data protection compliance by taking into account all the specific characteristics of processing carried out in that sector - with particular emphasis on the needs of micro, small and medium enterprises.<ref>EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version

Commentary CoC are a voluntary accountability tool providing for specific data protection rules for categories of controllers and processors. In other words, CoC can provide a rule book for a group of controllers and processors describing how a GDPR compliant processing operation looks like in the specific processing situation.<ref>EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version 2.0), margin number 7 (available [https://ww

(a) Demonstrated independence and expertise ===== (a) Demonstrated independence and expertise ========== (a) Demonstrated independence and expertise ===== It is clear from Article 41(1) GDPR that the body must have an “''appropriate level of expertise''” in the subject matter the code of conduct aims to ensure effective compliance with. This is also a requirement of the process specified in Article 41(2)(a) GDPR, according to which the monitoring entity “''may be ac

Commentary: Codes of Conduct (CoCs) are voluntary instruments that establish specific data protection rules for certain categories of controllers and processors. In other words, a CoC can serve as a guide for a group of controllers and processors, outlining how a processing activity that complies with the GDPR looks in a specific processing situation. <ref>EDPB, 'Guidelines 1/2019 on Codes of Conduct and Supervisory Authorities under Regulation 2016/679', June 4, 2019 (version 2.0), footnote 7 (available at [https://www.

Juridische tekst: Toelichting ==Toelichting====Toelichting== Artikel 41 van de AVG vult [[Artikel 40 van de AVG]] aan door te bepalen dat de naleving van een goedgekeurd gedragscode moet worden gecontroleerd door een erkende instantie met het juiste niveau van expertise in de sector die door de code wordt bestreken. Hoewel de Richtlijn gegevensbescherming 95/46/EG (AVG) een bepaling bevatte over gedragscodes (artikel 27(1) AVG), bevatte deze geen informatie over hoe de naleving van dergelijke codes moest worden gecontroleerd. Daarom, i

Legal text: Explanation ==Explanation====Explanation== Article 41 of the GDPR supplements [[Article 40 of the GDPR]] by stipulating that compliance with an approved code of conduct must be monitored by a recognized body with the appropriate level of expertise in the sector covered by the code. While the Data Protection Directive 95/46/EC (GDPR) contained a provision regarding codes of conduct (article 27(1) GDPR), it did not provide information on how compliance with such codes should be monitored. Therefore, i

Legal Text: Commentary ==Commentary====Commentary== Article 41 GDPR complements [[Article 40 GDPR]] by providing that compliance with any approved code of conduct must be monitored by an accredited body with the appropriate level of expertise in the sector covered by the code. Although the Data Protection Directive 95/46/EC (DPD) included a provision on codes of conduct (Article 27(1) DPD), this did not include any information on how compliance with such codes should be monitored. Accordingly, i

(3) Verwerkers en verantwoordelijken die niet onder de territoriale reikwijdte van de AVG vallen. De focus op een specifieke sector is bedoeld om een kosteneffectieve manier te bieden om te voldoen aan de eisen van de privacywetgeving, rekening houdend met alle specifieke kenmerken van de gegevensverwerking die in die sector plaatsvindt, met bijzondere aandacht voor de behoeften van micro-, kleine en middelgrote ondernemingen. <ref>EDPB, ‘Richtlijnen 1/2019 over gedragscodes en toezichthoudende organen onder Verordening 2016/679’, 4 juni 2019 (versie).</ref>

(a) Aantoonbare onafhankelijkheid en expertise ===== (a) Aantoonbare onafhankelijkheid en expertise ========== (a) Aantoonbare onafhankelijkheid en expertise ===== Het is duidelijk uit artikel 41(1) van de AVG dat de instantie een "passend niveau van expertise" moet bezitten op het gebied waar de gedragscode betrekking op heeft, met als doel een effectieve naleving te waarborgen. Dit is ook een vereiste van het proces dat is beschreven in artikel 41(2)(a) van de AVG, volgens welke de toezichthoudende instantie "kan zijn..."

(3) Processors and controllers that do not fall under the territorial scope of the GDPR. The focus on a specific sector is intended to provide a cost-effective way to comply with privacy legislation, taking into account all the specific characteristics of data processing that occurs within that sector, with particular attention to the needs of micro, small, and medium-sized enterprises. <ref>EDPB, 'Guidelines 1/2019 on Codes of Conduct and Supervisory Authorities under Regulation 2016/679', June 4, 2019 (version).</ref>

(1) Stimulering van gedragscodes en toezichthoudende instanties: * EDPB, 'Richtlijnen 1/2019 over gedragscodes en toezichthoudende instanties in overeenstemming met Verordening 2016/679', 4 juni 2019 (versie 2.0) (beschikbaar hier), en * EDPB, 'Richtlijnen 1/2019 over gedragscodes en toezichthoudende instanties in overeenstemming met Verordening 2016/679', 4 juni 2019 (versie 2.0) (beschikbaar [https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf hier]), en * E

Commentaar: Codes van Gedrag (CoC) zijn vrijwillige instrumenten die specifieke regels voor gegevensbescherming vaststellen voor bepaalde categorieën van verantwoordelijken en verwerkers. Met andere woorden, een CoC kan een handleiding vormen voor een groep verantwoordelijken en verwerkers, waarin beschreven staat hoe een verwerking die voldoet aan de AVG er in een specifieke verwerkingssituatie uitziet. <ref>EDPB, ‘Richtlijnen 1/2019 over Codes van Gedrag en Toezichthoudende Instanties onder Verordening 2016/679’, 4 juni 2019 (versie 2.0), voetnoot 7 (beschikbaar op [https://ww

(1) Promotion of codes of conduct and supervisory authorities: * EDPB, 'Guidelines 1/2019 on codes of conduct and supervisory authorities pursuant to Regulation 2016/679', June 4, 2019 (version 2.0) (available here), and * EDPB, 'Guidelines 1/2019 on codes of conduct and supervisory authorities pursuant to Regulation 2016/679', June 4, 2019 (version 2.0) (available at [https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf here]), and * E

(a) Demonstrable independence and expertise (a) Demonstrable independence and expertise (a) Demonstrable independence and expertise It is clear from Article 41(1) of the GDPR that the supervisory authority must possess a "suitable level of expertise" in the area to which the code of conduct applies, with the aim of ensuring effective compliance. This is also a requirement of the process described in Article 41(2)(a) of the GDPR, according to which the supervisory authority "may be..."

(1) Encouragement of CoC &lt;u&gt;EDPB Guidelines&lt;/u&gt;:&lt;u&gt;EDPB Guidelines&lt;/u&gt;: * EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version 2.0) (available here), and * EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version 2.0) (available [https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf here]), and * E

Commentary: (2) Show changes

In early October, the organization Bits of Freedom, which advocates for digital human rights, filed a lawsuit against Meta. The organization demanded that Meta provide its users with the option to choose a news feed in apps like Instagram and Facebook that is not based on profiling. The court ruled in favor of Bits of Freedom and ordered Meta to modify its apps within two weeks. Meta claimed that such changes were not possible within that timeframe and requested a postponement from the Amsterdam Court of Appeal. The court has now issued its ruling.

In early October, digital human rights organization Bits of Freedom took Meta to court. The organization demanded that Meta offers its users on in apps such as Instagram and Facebook the option to choose a feed that is not based on profiling. The judge ruled in favour of Bits of Freedom and ordered Meta to modify its apps within two weeks. Meta claimed that such changes were impossible to deliver in that timeframe and asked the Amsterdam Court of Appeal for a postponement. The court has now rule

In het begin van oktober spande de organisatie Bits of Freedom, die zich inzet voor digitale mensenrechten, een rechtszaak aan tegen Meta. De organisatie eiste dat Meta haar gebruikers de mogelijkheid biedt om in apps zoals Instagram en Facebook een nieuwsfeed te kiezen die niet gebaseerd is op profilering. De rechter sprak in het voordeel van Bits of Freedom en veroordeelde Meta om haar apps binnen twee weken aan te passen. Meta beweerde dat dergelijke wijzigingen binnen die termijn niet mogelijk waren en vroeg het Gerechtshof in Amsterdam om een uitstel. Het hof heeft nu uitspraak gedaan.

Legislation.

Document II 36743, number 3 - Amendment to Book 8 of the Dutch Civil Code regarding the introduction of the electronic bill of lading. Section 3.6 discusses the implications of introducing an electronic bill of lading for the processing of personal data. Please refer specifically to article...

Legislation

Kamerstukken II 36743, nr. 3 - Wijziging van Boek 8 van het Burgerlijk Wetboek in verband met de invoering van het elektronisch cognossement. In paragraaf 3.6 wordt ingegaan op de gevolgen van het invoeren van een elektronisch cognossement voor de verwerking van persoonsgegevens. Zie met name art...

Request by drivers to Ola Netherlands BV for access as referred to in Article 15 (1) AVG to certain personal data concerning them (including "ratings" given by passengers) and for information as referred to in Article 15 (1) (h) AVG (information on the existence of automated decision-making within the meaning of Article 22 AVG). Protection of passengers' personal data. Is...

Verzoek van chauffeurs aan Ola Netherlands BV voor toegang tot bepaalde persoonsgegevens die betrekking hebben op hen (waaronder "beoordelingen" gegeven door passagiers), zoals bedoeld in artikel 15 lid 1 AVG, en voor informatie zoals bedoeld in artikel 15 lid 1 onder h AVG (informatie over het bestaan van geautomatiseerde besluitvorming in de zin van artikel 22 AVG). Bescherming van de persoonsgegevens van passagiers. Is...

Request from Uber drivers to Uber for access as referred to in Article 15 (1) AVG to certain personal data concerning them (including "ratings" given by passengers) and for information as referred to in Article 15 (1) (h) AVG (information on the existence of automated decision-making within the meaning of Article 22 AVG). Protection of passengers' personal data. Is adapti...

Verzoek van Uber-chauffeurs aan Uber voor toegang tot bepaalde persoonsgegevens die betrekking hebben op hen (waaronder "beoordelingen" gegeven door passagiers), zoals bedoeld in artikel 15 lid 1 AVG, en voor informatie zoals bedoeld in artikel 15 lid 1 onder h AVG (informatie over het bestaan van geautomatiseerde besluitvorming in de zin van artikel 22 AVG). Bescherming van de persoonsgegevens van passagiers. Is adapti...

Request from Uber drivers to Uber for information under Article 15(1)(h) AVG (information about the existence of automated decision-making within the meaning of Article 22 AVG) after their accounts were deactivated by Uber; scope of information right under Article 15(1)(h) AVG. Are the deactivation decisions based solely on automated ver...

Verzoek van Uber-chauffeurs aan Uber om informatie op grond van artikel 15(1)(h) AVG (informatie over het bestaan van geautomatiseerde besluitvorming in de zin van artikel 22 AVG) nadat hun accounts door Uber waren gedeactiveerd; reikwijdte van het recht op informatie op grond van artikel 15(1)(h) AVG. Zijn de beslissingen tot deactivatie uitsluitend gebaseerd op geautomatiseerde verwerking...?

Since May 2018, the GDPR has been directly applicable in the European Economic Area, including the member states of the European Union, Liechtenstein, Norway, and Iceland. Four years later, awarding damages for GDPR violations is still not a common practice in the Netherlands, despite the fact that news reports regularly mention data breaches and other GDPR violations. This article analyzes Dutch case law over the past four years to see what factors may influence the awarding of damages under th

In de zaak 'Vyriausioji Tarnybinės Etikos Komisija' heeft het Hof van Justitie van de Europese Unie (HvJEU) vastgesteld dat de naam van de echtgenoot, levenspartner of partner van een ambtenaar, evenals de aard van hun transacties (indirect gerelateerd aan seksuele geaardheid), bijzondere categorieën van persoonsgegevens vormen. Het Hof baseert zich op de brede definitie van "gegevens betreffende de gezondheid" in artikel [4(15) AVG](https://docs.legal.digital/gdpr/#article-4) en de richtlijnen in [Overweging 35](https://docs.legal.digital/gdpr/#rec35) om te benadrukken dat de context in overweging moet worden genomen.

In 'Vyriausioji Tarnybinės Etikos Komisija' the CJEU held that the name of civil servants' spouse, cohabitant or partner and of the subject of their transactions (indirectly sexual orientation) are special categories of personal data. The Court relies on the broad definition of "data concerning health" in article [4(15) GDPR](https://docs.legal.digital/gdpr/#article-4) & the guidance in [Recital 35](https://docs.legal.digital/gdpr/#rec35) to highlight that context must be taken into account when

> The Garante notes that the European legislation on the protection of personal data does not in principle preclude the owner of a site from making access to content by users subject to their consent for profiling purposes (through cookies or other tracking tools) or, alternatively, to the payment of a sum of money. This is in reference to the initiatives taken in recent days by several online newspapers, websites and companies operating on the Internet.

De Garante (de Italiaanse Autoriteit voor de bescherming van persoonsgegevens) merkt op dat de Europese wetgeving inzake de bescherming van persoonsgegevens in principe niet verhindert dat de eigenaar van een website de toegang tot content voor gebruikers afhankelijk maakt van hun toestemming voor het verzamelen van gegevens voor profilering (via cookies of andere trackingtools), of, als alternatief, van het betalen van een bedrag. Dit verwijst naar de initiatieven die de afgelopen dagen zijn genomen door verschillende online kranten, websites en bedrijven die actief zijn op internet.

Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

Op 14 oktober 2022 heeft de Federal Trade Commission aangekondigd dat de deadline voor het indienen van commentaren op haar voorlopige voorstel voor regelgeving over commerciële surveillance en inadequate databeveiligingspraktijken met een maand wordt verlengd.

> On October 14, 2022, the Federal Trade Commission announced it is extending the deadline by one month to submit comments on its Advanced Notice of Proposed Rulemaking on commercial surveillance and lax data security practices.

De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.

> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.

> Privacybescherming is niet absoluut. Dat staat zelfs letterlijk zo in de privacywetgeving. De AVG bevat daarom ook allerlei uitzonderingen. Een van de uitzonderingen die enkele keren terugkomt in de AVG ziet op de verwerking van persoonsgegevens in het kader van "de instelling, uitoefening of onderbouwing van een rechtsvordering". Tot op heden was echter niet heel erg duidelijk wat die woorden nu precies betekenen. Een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State