News

In a letter sent to the Commission president, obtained by Euractiv, GSMA and Connect Europe also warn about service risks from forced phase-out of Chinese suppliers

Created page with "{{DPAdecisionBOX |Jurisdiction=Italy |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italy) |Case_Number_Name=10213894 |ECLI= |Original_Source_Name_1=Garante per la protezione dei dati personali |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10213894 |Original_Source_Language_1=I..." New p

The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications Regulations 2003 (PECR), where an organisation may send direct marketing communications to its customers even if they did not specifically consent to electronic mail. However, only the organisation that collected the contact details can rely on the soft opt-in rule. The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications

The Czech Supreme Court has ruled that the legal regulation of blanket collection of electronic communications data (known as data retention) violates European Union law in a "long-term and particularly serious manner." This decision is the result of a multi-year campaign by the organization IuRe. However, the responsible minister has not yet taken steps to end blanket collection. The post Czech ministry apologizes to journalist for blanket collection of mobile phone data appeared first on Europ

Link fixed. === Facts ====== Facts === The data subject had a mobile contract with the controller, a telecommunications company, starting 17 April 2019. The contract included privacy notices stating that personal data, including contract initiation, execution, and completion (“positive data”), could be sent to a credit scoring agency for credit scoring, under Articles 6(1)(b) and 6(1)(f) GDPR.The data subject had a mobile contract with the controller, a telecommunications company, starting 17 Ap

EDRi has assessed the Digital Omnibus proposals affecting the General Data Protection Regulation (GDPR) and the ePrivacy framework. While presented as simplification, the changes amount to deregulation in effect, weakening fundamental rights safeguards, increasing legal uncertainty, and advancing through a process that falls short of democratic lawmaking standards. The post Reopening GDPR and ePrivacy through the Digital Omnibus: a risky path for EU digital rights appeared first on European Digi

Brussels, 11 February - The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have adopted a Joint Opinion on the Digital Omnibus Regulation proposal.* This proposal aims to simplify the EU's digital regulatory framework, reduce administrative burden and enhance the competitiveness of European organisations. The EDPB and the EDPS focus on the aspects concerning the GDPR, the EUDPR, the ePrivacy Directive, and the Data Acquis.** More specifically, they asses

Version 2 of our report includes specific recommendations for the EU legislator on each of the most important articles, including on whether to reject or maintain proposed changes

Created page with "{{DPAdecisionBOX |Jurisdiction=Italy |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italy) |Case_Number_Name=10201989 |ECLI= |Original_Source_Name_1=GPDP |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10201989 |Original_Source_Language_1=Italian |Original_Source_Language__Code_1=..." Show

Creates a new page with the following content: "{{DPAdecisionBOX |Jurisdiction=Italy |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italy) |Case_Number_Name=10201989 |ECLI= |Original_Source_Name_1=GPDP |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10201989 |Original_Source_Language_1=Italian |Original_Source_Language__Code_1=..." Show.

Maakt een nieuwe pagina aan met de volgende inhoud: "{{DPAdecisionBOX |Jurisdiction=Italië |DPA-BG-Color=background-color:#095d7e; |DPAlogo=LogoIT.png |DPA_Abbrevation=Garante per la protezione dei dati personali |DPA_With_Country=Garante per la protezione dei dati personali (Italië) |Case_Number_Name=10201989 |ECLI= |Original_Source_Name_1=GPDP |Original_Source_Link_1=https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10201989 |Original_Source_Language_1=Italiaans |Original_Source_Language__Code_1=..." Toon

Feiten: De Autoriteit Persoonsgegevens heeft een telefoonbedrijf een boete van 400.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart zonder de juiste identiteitscontrole, waarmee de [[Artikel 6 AVG]] is geschonden, naar aanleiding van een geval van fraude met een SIM-kaart. De Autoriteit Persoonsgegevens heeft een telecomprovider een boete van 300.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart aan een derde partij die zich voordeed als een klant. Volgens de Autoriteit Persoonsgegevens heeft de provider de identiteit van de klant niet op de juiste manier geverifieerd.

Facts: The Data Protection Authority has fined a telecommunications company €400,000 for unlawfully changing the ownership of a mobile phone subscription and issuing a dual SIM card without proper identity verification, violating [Article 6 of the GDPR], following a case of SIM card fraud. The Data Protection Authority has also fined a telecommunications provider €300,000 for unlawfully changing the ownership of a mobile phone subscription and issuing a dual SIM card to a third party who falsely presented themselves as a customer. According to the Data Protection Authority, the provider did not properly verify the customer's identity.

Facts }}}} The DPA fined a telephone operator company €400,000 for unlawfully changing a mobile line’s ownership and issuing a duplicate SIM card without proper identity verification, breaching [[Article 6 GDPR]] after a SIM swap fraud.The DPA fined a telecommunications provider €300,000 for unlawfully changing a mobile line’s ownership and issuing a duplicate SIM card to a third party impersonating a customer. According to the DPA, the provider failed to properly verify the customer’s identity.

Holding |Publication Date=05.01.2026|Publication Date=05.01.2026 |Year=|Year= |Fine=400,000|Fine=300,000 |Currency=EUR|Currency=EUR }}}} The data protection authority has imposed a fine of 400,000 euros on a telecommunications company for the unlawful transfer of ownership of a mobile phone subscription and the issuance of a dual SIM card without proper identity verification, violating [[Article 6 of the GDPR|Article 6 of the GDPR]], following a fraud case involving the exchange of a SIM card. The data protection authority has imposed a fine of 400,000 euros on a telecommunications company for the unlawful transfer of ownership of a mobile phone subscription and the issuance of a dual SIM card.

Holding |Publicatiedatum=05.01.2026|Publicatiedatum=05.01.2026 |Jaar=|Jaar= |Boete=400.000|Boete=300.000 |Valuta=EUR|Valuta=EUR }}}} De gegevensbeschermingsautoriteit heeft een telecombedrijf een boete van 400.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart zonder de juiste identiteitscontrole, waarmee de [[Artikel 6 AVG|Artikel 6 AVG]] is geschonden, naar aanleiding van een fraudezaak waarbij een SIM-kaart is gewisseld. De gegevensbeschermingsautoriteit heeft een telecombedrijf een boete van 400.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart.

The new "Digital Omnibus" from the European Commission is presented as a simple "simplification," but in practice, it undermines important safeguards in the GDPR, the ePrivacy regulations, and the AI Act. It would make access to device data easier, weaken restrictions on automated decision-making, and reduce protection against discriminatory AI. The article "Europe Undermines Its Digital Rights From Within" originally appeared on European Digital Rights (EDRi).

De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).

The European Commission’s new Digital Omnibus is presented as simple “streamlining”, but in practice it dismantles key safeguards in the GDPR, ePrivacy rules and the AI Act. It would make access to device data easier, weaken limits on automated decision-making and lower protections against discriminatory AI. The post Europe is dismantling its digital rights from within appeared first on European Digital Rights (EDRi).

Op 19 november heeft de Europese Commissie twee zogenaamde "omnibus"-voorstellen gepubliceerd: het ene herziening van belangrijke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-regels, samen met andere wetten met betrekking tot gegevens, en het andere een amendement op de AI-wet. Dit artikel richt zich op het eerste voorstel. Het legt uit hoe de voorgestelde wijzigingen fundamentele rechten op gegevensbescherming en de vertrouwelijkheid van communicatie zouden verzwakken, en waarom het gecombineerde effect het risico loopt om lang bestaande beschermingsmaatregelen voor mensen in de EU te veranderen.

On November 19th, the European Commission published two so-called "omnibus" proposals: one revising key aspects of the General Data Protection Regulation (GDPR) and the ePrivacy rules, along with other data-related laws, and the other an amendment to the AI Act. This article focuses on the first proposal. It explains how the proposed changes could weaken fundamental rights related to data protection and the confidentiality of communications, and why the combined effect risks undermining long-standing safeguards for individuals within the EU.

On 19 November, the European Commission has published two Omnibus proposals: one that rewrites key parts of the General Data Protection Regulation (GDPR) and ePrivacy rules, along with other data-related laws, and another that amends the AI Act. This article focuses on the first proposal. It explains how the changes would weaken core rights to data protection and the confidentiality of communications, and why the combined effect risks reshaping long-standing safeguards for people in the EU. The

Legislation

Vragen en beantwoording leden BBB-fractie over uitbreiding communicatiegeheim in de Telecommunicatiewet naar niet-openbare netwerken en de mogelijkheid van werkgevers om werknemers te kunnen monitoren.

Legislation.

Questions and answers from members of the BBB parliamentary group regarding the proposed expansion of the communication secrecy provisions in the Telecommunications Act to include non-public networks, and the possibility for employers to monitor their employees.

The publication of its activity report enables the CNIL to report on its actions with regard to its four major missions: inform and protect the general public, accompany and advise professionals and public authorities, anticipate and innovate to build the digital of tomorrow, and finally monitor and sanction breaches of the General Data Protection Regulation (GDPR) and the French law.     Download the 2022 annual report (in French) Informing and protecting The actions carried out this year

De Garante (de Italiaanse Autoriteit voor de bescherming van persoonsgegevens) merkt op dat de Europese wetgeving inzake de bescherming van persoonsgegevens in principe niet verhindert dat de eigenaar van een website de toegang tot content voor gebruikers afhankelijk maakt van hun toestemming voor het verzamelen van gegevens voor profilering (via cookies of andere trackingtools), of, als alternatief, van het betalen van een bedrag. Dit verwijst naar de initiatieven die de afgelopen dagen zijn genomen door verschillende online kranten, websites en bedrijven die actief zijn op internet.

> The Garante notes that the European legislation on the protection of personal data does not in principle preclude the owner of a site from making access to content by users subject to their consent for profiling purposes (through cookies or other tracking tools) or, alternatively, to the payment of a sum of money. This is in reference to the initiatives taken in recent days by several online newspapers, websites and companies operating on the Internet.

A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.

> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.

De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.

The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.

De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.

> The current version of the Bill seeks to maintain the majority of key principles that underpin the UK data protection law framework, while at the same time modifying certain key provisions in relation to accountability, lawful grounds for processing, data subject access requests and cookies, amongst others. A [consolidated redline version of the UK GDPR by Hogan Lovells](https://www.engage.hoganlovells.com/knowledgeservices/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH

De huidige versie van het wetsvoorstel streeft ernaar om de meeste belangrijke principes te behouden die ten grondslag liggen aan het Britse kader voor gegevensbescherming, terwijl tegelijkertijd bepaalde belangrijke bepalingen worden aangepast met betrekking tot onder meer verantwoordelijkheid, de wettelijke gronden voor gegevensverwerking, verzoeken van betrokkenen en cookies. Een [geconsolideerde versie met wijzigingen van de Britse GDPR, opgesteld door Hogan Lovells](https://www.engage.hoganlovells.com/knowledgeservices/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH)

De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.

> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.

Op 21 juni 2022 heeft het Gerechtshof van de Europese Unie (Groot Beschouwingscollege) een baanbrekende uitspraak gedaan waarin het het EU-regime voor het verzamelen en gebruiken van gegevens van reizigers bevestigde, mits dit strikt wordt geïnterpreteerd in overeenstemming met de fundamentele rechten van de EU. Bovendien is het zonder onderscheid verwerken van deze gegevens bij vluchten die uitsluitend binnen de EU plaatsvinden verboden, tenzij er een dreiging van terrorisme bestaat. Over het algemeen moeten de gegevens van de passagiers ook binnen zes maanden worden verwijderd.

> In a landmark ruling of 21 June 2022, the CJEU (Grand Chamber), upheld the EU’s regime to collect and use records of travellers, provided that it is strictly interpreted in line with the EU’s fundamental rights. In addition, indiscriminate processing of the data in cases of flights carried out only within the EU is banned unless there is a threat of terrorism. In general, the passengers’ data must also be deleted after six months at the latest.

Op 5 april 2022 voegde het Hof van Justitie van de Europese Unie (HvJ EU) een nieuw hoofdstuk toe aan de lange geschiedenis van de toelaatbaarheid van gegevensopslag binnen de EU. In een zaak met betrekking tot de wetgeving inzake gegevensopslag in Ierland, bevestigde het HvJ EU dat de algemene en ongecontroleerde opslag van verkeers- en locatiegegevens met betrekking tot elektronische communicatie in strijd is met het EU-recht, zelfs als het doel is om ernstige misdrijven te bestrijden.

> A firehose of sensitive data from your vehicle is flowing to a group of companies you’ve probably never heard of

The European Commission faces a lawsuit over allegations it is violating its own data protection rules by transferring citizens’ personal data on one of its websites to Amazon Web Services in the United States.

> The Italian SA came to this conclusion after a complex fact-finding exercise it had started in close coordination with other EU data protection authorities following complaints it had received.

De Italiaanse autoriteit voor gegevensbescherming kwam tot deze conclusie na een complex onderzoek, dat werd uitgevoerd in nauwe samenwerking met andere Europese autoriteiten voor gegevensbescherming, naar aanleiding van klachten die de autoriteit had ontvangen.

> European supervisory authorities’ varying practices of calculating GDPR administrative fines can be viewed, on the one hand, as inconsistent and in conflict with the principle of uniform interpretation and application of the GDPR in general and uniform sanction for GDPR infringements in particular, as enshrined in GDPR recital 10, 11 and 13.

> DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available online; it was subject to a public consultation until 27 June 2022).

> Do we need an Chief Privacy Officer, a Data Protection Officer, or do we need both?In the following article, I will examine the benefits of both roles, but I will also look at some of the challenges related to each of the roles and why these have impelled both Data Protection Officers and organisations to question what the ideal setup is for them.