News

Brussels, 23 February - EDPB Chair Anu Talus has signed a Joint Statement on AI-Generated Imagery and the Protection of Privacy on behalf of the EDPB. The statement, coordinated by the Global Privacy Assembly's (GPA) International Enforcement Cooperation Working Group (IEWG), represents the united position of 61 authorities across the world. This reflects the Board’s commitment to contributing to the global dialogue on data protection as outlined in the fourth pillar of its work programme 2026-2

Corrected and added some links, removed duplicate in short summary. }}}} An DPA denied a complaint against a public body under Articles 9 and 77 GDPR, holding that publication of a data subject’s political donation did not violate the GDPR because the controller had a lawful basis.An DPA denied a complaint against a public body under [[Article 9 GDPR|Articles 9]] and [[Article 77 GDPR|77 GDPR]], holding that publication of a data subject’s political donation did not violate them because the cont

The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications Regulations 2003 (PECR), where an organisation may send direct marketing communications to its customers even if they did not specifically consent to electronic mail. However, only the organisation that collected the contact details can rely on the soft opt-in rule. The controller claimed it relied on the soft opt-in in Regulation 22(3) of the Privacy and Electronic Communications

Link fixed. === Facts ====== Facts === The data subject had a mobile contract with the controller, a telecommunications company, starting 17 April 2019. The contract included privacy notices stating that personal data, including contract initiation, execution, and completion (“positive data”), could be sent to a credit scoring agency for credit scoring, under Articles 6(1)(b) and 6(1)(f) GDPR.The data subject had a mobile contract with the controller, a telecommunications company, starting 17 Ap

added links to GDPR articles === Holding ====== Holding === The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media platform, or even on targeted advertising, the consent was not informed nor specific. Therefore, it found the processing to be unlawful, violating Article 6(1)(a) GDPR. The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media

Surveillance technology vendors, federal agencies, and wealthy private donors have long helped provide local law enforcement “free” access to surveillance equipment that bypasses local oversight. The result is predictable: serious accountability gaps and data pipelines to other entities, including Immigration and Customs Enforcement (ICE), that expose millions of people to harm. The cost of “free” surveillance tools — like automated license plate readers (ALPRs), networked cameras, face recognit

}}}} The DPA held that an event organiser’s use of a data subject’s email address, provided for ticket purchase, to send a marketing email without consent and to disclose the address via an open CC field violated the subject’s right to secrecyThe DPA held that an event organiser violated a customer’s right to privacy when it submitted them marketing emails without their prior consent and by sending them those emails in CC, disclosing their address to a large group of third parties. == English Su

The court awarded €100 in non-pecuniary damages for the storage and processing of cookies without the consent of the individual. While the violation was considered minor, and the individual did not suffer a loss of control over their data, the court ruled that the feeling of being monitored constituted a form of non-pecuniary damage. The court awarded €100 in non-pecuniary damages for the storage and processing of cookies without the consent of the individual. Although the violation was considered minor, and...

Facts }}}} A court sentenced an individual to six months in prison with suspended sentence for unlawfully accessing and using personal data of 334 clients without consent, violating [[Article 6 GDPR#1|Article 6(1) GDPR]], and for illegal access to company systems.A court sentenced an individual to six months in prison on probation for unlawfully accessing and using personal data of 334 clients without consent, violating the national Criminal Code and [[Article 6 GDPR#1|Article 6(1) GDPR]]. == En

Feiten: Een rechtbank heeft een persoon veroordeeld tot zes maanden gevangenisstraf, waarvan de uitvoering is uitgesteld, voor het ongeoorloofd toegang verschaffen en gebruiken van persoonlijke gegevens van 334 klanten zonder toestemming, in strijd met artikel 6, lid 1, van de AVG, en voor ongeoorloofde toegang tot bedrijfssystemen. Een rechtbank heeft een persoon veroordeeld tot zes maanden gevangenisstraf, waarvan de uitvoering is uitgesteld, voor het ongeoorloofd toegang verschaffen en gebruiken van persoonlijke gegevens van 334 klanten zonder toestemming, in strijd met het nationale Wetboek van Strafrecht en artikel 6, lid 1, van de AVG. == En

}}}} Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd en de betrokkene geen verlies van controle over zijn gegevens heeft geleden, oordeelde het gerecht dat het gevoel van bewaakt worden een vorm van immateriële schade vormde. Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd, en

Facts: A court has sentenced a person to six months of imprisonment, with the sentence suspended, for unauthorized access to and use of the personal data of 334 customers without consent, in violation of Article 6, paragraph 1, of the GDPR, and for unauthorized access to company systems. A court has sentenced a person to six months of imprisonment, with the sentence suspended, for unauthorized access to and use of the personal data of 334 customers without consent, in violation of the national Penal Code and Article 6, paragraph 1, of the GDPR. == And

}}}} The Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and the data subject suffered no loss of control over his data, the court held that the feeling of being monitored constituted non-material damage.A Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

Een Oostenrijks mediabedrijf (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatiecodes om bezoekers te volgen. In augustus 2021.

Facts }}}} A Court annulled the DPA dismissal of a GDPR complaint, ruling it must examine whether a data subject’s personal data was unlawfully disclosed.A court held that the DPA is required to investigate a data subject’s complaint and issue a decision on the merits. In the specific case, the court ordered the DPA to issue a decision regarding an alleged unlawful disclosure of personal data within 60 days. == English Summary ==== English Summary == === Facts ====== Facts === On 28 January 2025

Facts: A court has declared the decision of the Dutch Data Protection Authority (AP) to reject a complaint regarding the General Data Protection Regulation (GDPR) to be invalid. The court has ruled that the AP must investigate whether the personal data of an individual has been unlawfully disclosed. The court stated that the AP is obligated to investigate a complaint from an individual and to make a decision based on the content of the complaint. In this specific case, the court has ordered the AP to make a decision within 60 days regarding the alleged unlawful disclosure of personal data. Summary in English: [Repetition of the summary in English] Facts: [Repetition of the facts] January 28, 2025.

|Initial_Contributor=|Initial_Contributor= || }}}}The Supreme Court held that Meta has to provide its user with full access to all personal data, including sources, recipients, and purposes; a mere exemplary list is insufficient. Further, the court held that personalized advertising and processing of (sensitive) personal data from third party websites require the data subject’s consent. The Austrian Supreme Court held that Meta must provide users full access to all personal data, including sourc

|Initial Contributor=|Initial Contributor= || }}}} The Supreme Court has ruled that Meta must provide its users with complete access to all personal data, including the sources, recipients, and purposes; a simple list is not sufficient. Furthermore, the court has determined that personalized advertising and the processing of (sensitive) personal data from third-party websites require the consent of the individual. The Austrian Supreme Court has also ruled that Meta must provide users with complete access to all personal data, including the sources.

Uitspraak === Uitspraak ====== Uitspraak === De Autoriteit Persoonsgegevens (AP) heeft geoordeeld dat de verantwoordelijke partij artikel 58(2)(d) van de AVG heeft overtreden. Dit artikel geeft toezichthoudende autoriteiten de bevoegdheid om bindende instructies te geven aan verantwoordelijken om ervoor te zorgen dat de AVG wordt nageleefd. De overtreding ontstond doordat de verantwoordelijke partij er niet voor zorgde dat de bindende instructie werd uitgevoerd, namelijk het aanpassen van de cookiebanner op de website, zodat gebruikers toestemming net zo gemakkelijk kunnen weigeren als geven. De AP heeft geoordeeld dat de verantwoordelijke partij artikel [[A...

Facts Finally, the court reiterated that consent was not required because Article 6 GDPR offers alternative lawful bases for processing. Since Article 6(1)(f) was satisfied, the absence of consent was irrelevant. Concluding that AZOP had properly applied the law and that the interference with the data subject’s privacy was proportionate, the court upheld the decision and denied the data subject’s claim and costs.Finally, the court reiterated that consent was not required because Article 6 GDPR o

Facts. Finally, the court reiterated that consent was not required, because Article 6 of the GDPR provides alternative, legal grounds for data processing. Since the requirements of Article 6(1)(f) were met, the absence of consent was irrelevant. The court ruled that AZOP had correctly applied the law and that the infringement on the individual's privacy was proportionate, and therefore upheld the decision. The court dismissed the individual's claim and the associated costs. Finally, the court reiterated that consent was not required, because Article 6 of the GDPR...

An Austrian media company (the responsible party) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. These cookies contained unique identification codes to track visitors. This occurred in August 2021.

Feiten: Een rechtbank heeft de beslissing van de Autoriteit Persoonsgegevens (AP) om een klacht over de Algemene Verordening Gegevensbescherming (AVG) af te wijzen, ongeldig verklaard. De rechtbank heeft bepaald dat de AP moet onderzoeken of de persoonlijke gegevens van een betrokkene onrechtmatig zijn bekendgemaakt. De rechtbank oordeelde dat de AP verplicht is om een klacht van een betrokkene te onderzoeken en een beslissing te nemen op basis van de inhoud van de klacht. In dit specifieke geval heeft de rechtbank de AP bevolen om binnen 60 dagen een beslissing te nemen over de vermeende onrechtmatige bekendmaking van persoonlijke gegevens. Samenvatting in het Engels: [Herhaling van de samenvatting in het Engels] Feiten: [Herhaling van de feiten] 28 januari 2025.

}}}} Een Oostenrijks mediabedrijf is door de Autoriteit voor Gegevensbescherming een boete van 6.820 euro opgelegd, omdat het nalatig was bij het implementeren van een bindende aanwijzing om het cookiebanner op zijn website te wijzigen. Hierdoor werden de opties voor toestemming van gebruikers vertraagd, ondanks dat alle bezwaren werden afgewezen. De Autoriteit voor Gegevensbescherming heeft een mediabedrijf een boete van 6.820 euro opgelegd omdat het cookiebanner niet was aangepast om te voldoen aan de wetgeving, en er geen visueel gelijkwaardige optie was om cookies te weigeren. De Autoriteit had eerder aan het bedrijf opgedragen dit te doen, in overeenstemming met artikel 58(2)(d) van de AVG.

|Initiële bijdrager=|Initiële bijdrager= || }}}} Het Hooggerechtshof heeft geoordeeld dat Meta zijn gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen, ontvangers en doeleinden; een eenvoudige lijst is onvoldoende. Bovendien heeft het hof bepaald dat gepersonaliseerde advertenties en de verwerking van (gevoelige) persoonlijke gegevens van websites van derden de toestemming van de betrokkene vereisen. Het Oostenrijkse Hooggerechtshof heeft geoordeeld dat Meta gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen.

An Austrian media company has been fined €6,820 by the Data Protection Authority because it failed to implement a binding instruction to modify the cookie banner on its website. This resulted in delays in providing users with consent options, despite all objections being rejected. The Data Protection Authority imposed a fine of €6,820 on the media company because the cookie banner had not been adjusted to comply with the law, and there was no visually equivalent option for users to reject cookies. The Authority had previously instructed the company to do so, in accordance with Article 58(2)(d) of the GDPR.

Holding === Holding ====== Holding === The DSB held that the controller violated [[Article 58 GDPR#2d|Article 58(2)(d) GDPR]], which grants supervisory authorities the power to issue binding instructions to data controllers to ensure compliance with the GDPR. The violation arose from the controller’s failure to implement the binding instruction requiring modification of the website cookie banner to allow users to refuse consent as easily as giving it.The DSB held that the controller violated [[A

Feiten. Ten slotte herhaalde het hof dat toestemming niet vereist was, omdat artikel 6 van de AVG alternatieve, wettelijke gronden biedt voor de verwerking van gegevens. Aangezien aan artikel 6(1)(f) was voldaan, was het ontbreken van toestemming irrelevant. Het hof oordeelde dat AZOP de wet correct had toegepast en dat de inbreuk op de privacy van de betrokkene evenredig was, en bevestigde daarom de beslissing. Het hof wees de vordering van de betrokkene en de bijbehorende kosten af. Ten slotte herhaalde het hof dat toestemming niet vereist was, omdat artikel 6 van de AVG...

}}}} An Austrian media company was fined €6,820 by the Data Protection Authority for negligently failing to implement a binding order to modify its website’s cookie banner, delaying user consent options despite all appeals being rejected.The DPA fined a media company €6,820 for failing to bring its cookie banner into compliance by implementing a visually equivalent option to reject cookies. The DPA previously ordered the controller to do so in accordance with Article 58(2)(d) GDPR. == English Su

Ruling === Ruling ====== Ruling === The Data Protection Authority (AP) has ruled that the responsible party violated Article 58(2)(d) of the GDPR. This article grants supervisory authorities the power to issue binding instructions to controllers to ensure compliance with the GDPR. The violation occurred because the responsible party failed to implement a binding instruction, namely to modify the cookie banner on the website so that users can easily reject cookies as well as accept them. The AP has ruled that the responsible party violated Article [[A...

Holding |Publicatiedatum=05.01.2026|Publicatiedatum=05.01.2026 |Jaar=|Jaar= |Boete=400.000|Boete=300.000 |Valuta=EUR|Valuta=EUR }}}} De gegevensbeschermingsautoriteit heeft een telecombedrijf een boete van 400.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart zonder de juiste identiteitscontrole, waarmee de [[Artikel 6 AVG|Artikel 6 AVG]] is geschonden, naar aanleiding van een fraudezaak waarbij een SIM-kaart is gewisseld. De gegevensbeschermingsautoriteit heeft een telecombedrijf een boete van 400.000 euro opgelegd voor het onrechtmatig wijzigen van het eigendom van een mobiele telefoonabonnement en het uitgeven van een dubbele SIM-kaart.

Holding |Date_Published=05.01.2026|Date_Published=05.01.2026 |Year=|Year= |Fine=400.000|Fine=300.000 |Currency=EUR|Currency=EUR }}}} The DPA fined a telephone operator company €400,000 for unlawfully changing a mobile line’s ownership and issuing a duplicate SIM card without proper identity verification, breaching [[Article 6 GDPR|Article 6 GDPR]] after a SIM swap fraud.The DPA fined a telephone operator company €400,000 for unlawfully changing a mobile line’s ownership and issuing a duplicate S

Holding |Publication Date=05.01.2026|Publication Date=05.01.2026 |Year=|Year= |Fine=400,000|Fine=300,000 |Currency=EUR|Currency=EUR }}}} The data protection authority has imposed a fine of 400,000 euros on a telecommunications company for the unlawful transfer of ownership of a mobile phone subscription and the issuance of a dual SIM card without proper identity verification, violating [[Article 6 of the GDPR|Article 6 of the GDPR]], following a fraud case involving the exchange of a SIM card. The data protection authority has imposed a fine of 400,000 euros on a telecommunications company for the unlawful transfer of ownership of a mobile phone subscription and the issuance of a dual SIM card.

An Austrian media company (the data controller) that published local news operated a website that collected personal data from visitors using cookies and a banner requesting consent for the use of cookies. The cookies contained unique identification numbers to track visitors. This occurred in August 2021.

Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. In augustus 2021.

A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. A media company in Austria (the controller), which was publishing local news, operated a website which collected personal data from visitors using cookies and a cookie consent banner. Cookies included unique identifiers for tracking visitors. In August 2021

In minstens een dozijn staten zijn wetgevers van mening dat ze wetten kunnen aannemen die jongeren de toegang tot sociale media verbieden, of die vereisen dat ze toestemming van hun ouders krijgen voordat ze inloggen. Gelukkig hebben bijna alle rechtbanken die deze wetten hebben beoordeeld, geoordeeld dat ze in strijd zijn met de grondwet. Het zijn niet alleen de rechtbanken die deze wetgevers vertellen dat ze het verkeerd doen. EFF (Electronic Frontier Foundation) heeft het afgelopen jaar pleidooien ingediend bij rechtbanken in het hele land, waarin wordt uitgelegd hoe deze wetten de vrijheid van meningsuiting van jongeren schenden, zoals beschermd door het Eerste Amendement.

In at least a dozen states, lawmakers believe they can pass laws that prohibit young people from accessing social media, or that require them to obtain parental consent before logging in. Fortunately, almost all courts that have reviewed these laws have ruled that they violate the constitution. It's not just the courts telling these lawmakers they are wrong. The Electronic Frontier Foundation (EFF) has filed briefs with courts across the country over the past year, explaining how these laws violate the freedom of speech of young people, as protected by the First Amendment.

The French DPA has fined the Vanity Fair publisher Conde Nast €750.000

Brussels, October 20th - During its latest plenary meeting, the EDPB (European Data Protection Board) adopted two opinions on the draft decisions of the European Commission regarding the extension of the validity of the decisions on the adequacy of the United Kingdom, as stipulated in the General Data Protection Regulation (GDPR) and the Law Enforcement Directive (LED), until December 2031. The EDPB opinions, requested by the Commission under Article 70(1)(s) of the GDPR and Article 51(1)(g) of the LED, address the proposed six-year extension of the two decisions on the adequacy of the United Kingdom, which are currently due to expire.

Brussel, 20 oktober - Tijdens de laatste plenaire vergadering heeft het EDPB (Europees Comité voor de bescherming van de persoonlijke levenssfeer) twee adviezen aangenomen over de conceptbesluiten van de Europese Commissie met betrekking tot de verlenging van de geldigheid van de besluiten over de adequaatheid van het Verenigd Koninkrijk, zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) en de Richtlijn Handhaving en Gerechtelijke Samenwerking (LED), tot december 2031. De adviezen van het EDPB, op verzoek van de Commissie op grond van artikel 70(1) onder (s) van de AVG en artikel 51(1) onder (g) van de LED, behandelen de voorgestelde verlenging van zes jaar van de twee besluiten over de adequaatheid van het Verenigd Koninkrijk, die op dit moment aflopen.

Government

Onder paragraaf 6 'Sociale media' wordt voorgesteld een bindende leeftijdsgrens voor het gebruik van sociale media, en als variant 6a-ii "Maatregel identiek aan maatregel 6a, met als verschil dat kinderen onder de 16 sociale media wel kunnen gebruiken als ouders of verzorgers expliciet toestemmin...

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

Vonnis opgesteld door: Diederik Stols, Hanna van Til en Otto Volgenant, Boekx Advocaten. Rechterlijke Macht Amsterdam, 12 april 2023, IEF 21357; ECLI:NL:RBAMS:2023:2192 (EOKM v. Hammy Media). Het Expertisebureau Online Kindermisbruik (EOKM) heeft een rechtszaak aangespannen tegen Hammy Media, de beheerder van de pornosite 'xhamster.com'. EOKM stelt dat deze website mogelijk visueel materiaal toont dat in strijd is met een eerder vonnis van deze rechtbank, dat de publicatie van visueel materiaal verbiedt waarop personen te zien zijn die (1) hebben...

Judgment submitted by: Diederik Stols, Hanna van Til, and Otto Volgenant, Boekx AdvocatenRb. Amsterdam April 12, 2023, IEF 21357; ECLI:NL:RBAMS:2023:2192 (EOKM v. Hammy Media) The Expertise Bureau Online Child Abuse (EOKM) has filed a lawsuit against Hammy Media, the operator of the porn website 'xhamster.com'. EOKM claims that this website may display visual material in violation of an earlier judgment of this court, which prohibits the publication of visual material showing persons who (1) hav

Porn website must be able to prove that individuals who are recognizable in images in non-professionally created footage have given their consent to disclosure.

Pornografische websites moeten aantonen dat personen die herkenbaar zijn op beelden die niet professioneel zijn geproduceerd, toestemming hebben gegeven voor de openbaarmaking van hun afbeeldingen.

ECJ EU, 30 maart 2023, IT 4246; ECLI:EU:C:2023:270 (Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium v. Minister des Hessischen Kultusministeriums). De zaak betreft het gebruik van videoconferenties voor onderwijs tijdens de COVID-19-pandemie in de Duitse deelstaat Hessen. Er was geen toestemming van de docenten vereist voor het geven van live lessen via videoconferenties, wat een vakbond van docenten als onrechtvaardig beschouwde. Het ging om de vraag of de regels die dit toestonden (hierna: "de regels"), gerechtvaardigd waren.

Buurgeschil. Verzoek om een hek te verwijderen is goedgekeurd. Inbreuk op eigendomsrecht en erfdienstbaarheid voor voetgangers en een oversteekplaats. Beroep tegen de verjaringstermijn is afgewezen. Verzoek om camera's te verwijderen is goedgekeurd vanwege een onrechtmatige inbreuk op de privacy.