News

Brussels, 19 January - During its latest plenary, the EDPB adopted a report to support the European Commission’s evaluation of the Law Enforcement Directive (LED). The Commission has to submit its public report* on the evaluation and review of this Directive to the European Parliament and to the Council by 6 May 2026. Ahead of this, the Commission gathered the views of the European Data Protection Authorities (DPAs) on the application and functioning of the LED over the period from January 2022

=== Holding ====== Holding === The dispute related to the processor’s responsibility for implementing adequate security measures, under article 32 GDPR. The dispute related to the processor’s responsibility for implementing adequate security measures, under Article 32 GDPR. '''On the fairness of the procedure:''' '''On the fairness of the procedure:''' '''About responsibilities:''' '''About r

}}}} The DPA fined a processor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a processor €1,000,000 for failing to delete the personal data of users, processing the data for purposes contrary to contract stipulations, and for failing to keep a record of its processing activities. == English Summary ==== English Summary == Finally, the DPA found t

=== Processing ====== Processing === The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" "Regarding responsibilities:" "Regarding responsibilities:"

Facts }}}} The DPA fined a bank €500,000 after it lost a customer’s documents sent through a courier. The authority held that the bank failed to ensure adequate security and proper supervision of its processor under [[Article 32 GDPR|Article 32 GDPR]].The DPA fined a bank €500,000 for losing a customer’s documents when transporting them via a courier. The DPA held that the bank failed to ensure adequate security and proper supervision of its processor under [[Article 32 GDPR]]. == English Summar

=== Verwerking ====== Verwerking === Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. "Over de eerlijkheid van de procedure:" "Over de eerlijkheid van de procedure:" "Over verantwoordelijkheden:" "Over verantwoordelijkheden:"

}}}} De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een verwerker een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels ==

=== Facts ====== Facts === DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users were located in France. The controller identified Mobius Solutions Ltd (the processor) as the likely source of the data breach. The DPA launched an investigation into the processor.DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting approximately 46,900,000 users worldwide, out if which 21,574,775 users located i

=== Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers heeft getroffen, waarvan 9.849.354 gebruikers zich in Frankrijk bevonden. DEEZER heeft Mobius Solutions Ltd (de verwerker) geïdentificeerd als de waarschijnlijke bron van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat ongeveer 46.900.000 gebruikers wereldwijd heeft getroffen, waarvan 21.574.775 gebruikers zich in Frankrijk bevonden.

The data protection authority has fined a subcontractor €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. The data protection authority has also fined a data processor €1 million for the same reasons: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. == Summary in English == == Summary in English ==

The data protection authority (DPA) has imposed a fine of 1 million euros on a data processor for failing to delete user personal data, processing that data for purposes that conflict with contractual agreements, and failing to maintain a record of processing activities. The data protection authority (DPA) has imposed a fine of €1,000,000 on a data processor for failing to delete user personal data, processing that data for purposes that conflict with contractual agreements, and failing to maintain a record of processing activities. Finally, the DPA found that...

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1 miljoen euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1.000.000 euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == Tot slot heeft de DPA geconstateerd dat...

=== Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected 21,574,775 users, of whom 9,849,354 were located in France. DEEZER has identified Mobius Solutions Ltd (the data processor) as the likely source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected approximately 46,900,000 users worldwide, of whom 21,574,775 were located in France.

}}}} The DPA fined a subcontractor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a processor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities. == English Summary ==== English Summary ==

Facts === Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach affecting 21,574,775 users, of whom 9,849,354 are located in France. DEEZER (the data controller) has identified that Mobius Solutions Ltd (the data processor) is likely the source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach affecting 21,574,775 users, of whom 9,849,354 are located in France. The responsible...

}}}} The DPA fined a company €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a subcontractor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities. == English Summary ==== English Summary == === Facts ====== Facts === DE

links to the Articles === Facts ====== Facts === A software consulting company (the processor) provided an administration (the controller) with software for processing files relating to persons with disabilities. This software enabled users (data subjects) to upload their files and track their progress via an online portal. Nextpublica, a software consulting company (the processor) provided the Maison Départementale pour les Personnes Handicapées MDPH, a public interest group (the controller), w

}}}} De gegevensbeschermingsautoriteit heeft een bedrijf een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor dezelfde overtredingen: het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === DE

On November 2nd and November 10th, 2022, individuals who used the portal informed the responsible party that they had accessed files related to other individuals. On November 2nd and November 10th, 2022, individuals who used the portal informed the responsible party that they had accessed files related to other individuals. On November 22nd, 2022, the responsible party reported the data breach to the Data Protection Authority (AP). On November 22nd, 2022, the responsible party reported the data breach to the Data Protection Authority (AP). The data breach was caused by a configuration error.

Op 2 november en 10 november 2022 hebben betrokkenen die gebruik maakten van het portaal de verantwoordelijke partij geïnformeerd dat ze toegang hadden tot bestanden die betrekking hadden op andere betrokkenen. Op 2 november en 10 november 2022 hebben betrokkenen die gebruik maakten van het portaal de verantwoordelijke partij geïnformeerd dat ze toegang hadden tot bestanden die betrekking hadden op andere betrokkenen. Op 22 november 2022 heeft de verantwoordelijke partij de datalek aan de Autoriteit Persoonsgegevens (AP) gemeld. Op 22 november 2022 heeft de verantwoordelijke partij de datalek aan de Autoriteit Persoonsgegevens (AP) gemeld. De datalek werd veroorzaakt door een configuratiefout.

Links to the articles === Facts ====== Facts === A software consultancy firm (the processor) provided software to a government agency (the controller) for the processing of files related to people with disabilities. This software allowed users (data subjects) to upload their files and track their progress through an online portal. Nextpublica, a software consultancy firm (the processor), provided the Maison Départementale pour les Personnes Handicapées (MDPH), an organization with a social purpose (the controller), with...

Facts === Facts ====== Facts === DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users located in France. The controller identified Mobius Solutions Ltd (the processor) as the likely source of the data breach. The DPA launched an investigation into the processor.DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users were located in France. The contr

Feiten === Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. DEEZER (de verantwoordelijke) heeft geïdentificeerd dat Mobius Solutions Ltd (de verwerker) waarschijnlijk de bron is van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. De verantwoorde...

On 2 November and 10 November 2022, data subjects using the portal reported to the controller that they had access to files relating to other data subjects. On 2 November and 10 November 2022, data subjects using the portal reported to the controller that they had access to files relating to other data subjects. On 22 November 2022, the controller notified the data breach to the DPA. On 22 November 2022, the controller notified the data breach to the DPA. The breach was found to be due to a conf

=== Processing ====== Processing === First, the data protection authority (DPA) found that the data processor should have deleted the users' data at the end of the agreement with the data controller. The DPA considered the failure to do so a violation of Article 28(3)(g) of the GDPR. First, the data protection authority (DPA) found that the data processor should have deleted the users' data at the end of the agreement with the data controller. The failure to do so, even if the data was retained due to unauthorized collaboration, ...

Links naar de artikelen === Feiten ====== Feiten === Een softwareadviesbureau (de verwerker) heeft een overheidsinstantie (de verantwoordelijke) software geleverd voor de verwerking van bestanden met betrekking tot personen met een handicap. Deze software stelde gebruikers (betrokkenen) in staat om hun bestanden te uploaden en hun voortgang te volgen via een online portaal. Nextpublica, een softwareadviesbureau (de verwerker), heeft de Maison Départementale pour les Personnes Handicapées (MDPH), een organisatie met een maatschappelijke doelstelling (de verantwoordelijke), voorzien van...

=== Holding ====== Holding === Firstly, the DPA found that the processor should have deleted the users' data at the end of the contractual relationship with the controller. Failing to do so, the DPA found a violation of [[Article 28 GDPR#3g|Article 28(3)(g) GDPR]]. Firstly, the DPA found that the processor should have deleted the users' data at the end of the contractual relationship with the controller. Failing to do so, even if the data were retained as a result of an unauthorised co

}}}} The DPA imposed a 1 700 000 € fine under [[Article 32 GDPR|Article 32 GDPR]] to a processor who had incorrectly configured a software that processed files relating to persons with disabilities, leading to a massive data breach.The DPA imposed a €1,700,000 fine to a processor who had incorrectly configured a software that processed files relating to persons with disabilities, leading to a massive data breach. == English Summary ==== English Summary == === Facts ====== Facts === A software co

=== Verwerking ====== Verwerking === Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, heeft de DPA als een schending van artikel 28(3)(g) van de AVG beschouwd. Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, zelfs als de gegevens bewaard bleven als gevolg van een ongeautoriseerde samenwerking, ...

The data protection authority has fined a company €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and not maintaining a register of processing activities. The data protection authority has also fined a subcontractor €1 million for the same violations: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and not maintaining a register of processing activities. == Summary in English == == Summary in English == === Facts ====== Facts ===

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. De DPA heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === Een softwarebedrijf...

The data protection authority (DPA) has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. The DPA has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. == Summary in English == == Summary in English == === Facts === A software company...

Facts }}}} The DPA held that a gambling operator lawfully transferred data to a processor for sending invitations to sporting events, but found that the controller breached transparency obligations by not informing the data subject about the categories of data recipients.The DPA held that the operator of a gambling site lawfully transferred data to a processor for sending invitations to sporting events since the engagement of a processor does not require a separate legal basis. However, the cour

Feiten: De gegevensbeschermingsautoriteit (DPA) oordeelde dat een aanbieder van kansspelen gegevens op rechtmatige wijze heeft overgedragen aan een verwerker voor het versturen van uitnodigingen voor sportevenementen, maar vond dat de verantwoordelijke partij haar transparantieplicht had geschonden doordat ze de betrokkene niet had geïnformeerd over de categorieën van ontvangers van de gegevens. De DPA oordeelde dat de exploitant van een kansspelwebsite gegevens op rechtmatige wijze heeft overgedragen aan een verwerker voor het versturen van uitnodigingen voor sportevenementen, aangezien het inschakelen van een verwerker geen aparte juridische basis vereist. Echter, het gerecht...

Facts: The data protection authority (DPA) ruled that a gambling operator had lawfully transferred data to a processor for the purpose of sending invitations to sporting events, but found that the responsible party had violated its transparency obligations by failing to inform the data subject about the categories of recipients of the data. The DPA also ruled that the operator of a gambling website had lawfully transferred data to a processor for the purpose of sending invitations to sporting events, as the engagement of a processor does not require a separate legal basis. However, the court...

(3) Controllers and Processors not Subject to the Territorial Scope of the GDPR The focus on a particular sector is supposed to allow for a cost effective way to achieve data protection compliance by taking into account all the specific characteristics of processing carried out in that sector - with particular emphasis on the needs of micro, small and medium enterprises.<ref>EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version

Commentary: Codes of Conduct (CoCs) are voluntary instruments that establish specific data protection rules for certain categories of controllers and processors. In other words, a CoC can serve as a guide for a group of controllers and processors, outlining how a processing activity that complies with the GDPR looks in a specific processing situation. <ref>EDPB, 'Guidelines 1/2019 on Codes of Conduct and Supervisory Authorities under Regulation 2016/679', June 4, 2019 (version 2.0), footnote 7 (available at [https://www.

(3) Processors and controllers that do not fall under the territorial scope of the GDPR. The focus on a specific sector is intended to provide a cost-effective way to comply with privacy legislation, taking into account all the specific characteristics of data processing that occurs within that sector, with particular attention to the needs of micro, small, and medium-sized enterprises. <ref>EDPB, 'Guidelines 1/2019 on Codes of Conduct and Supervisory Authorities under Regulation 2016/679', June 4, 2019 (version).</ref>

Commentaar: Codes van Gedrag (CoC) zijn vrijwillige instrumenten die specifieke regels voor gegevensbescherming vaststellen voor bepaalde categorieën van verantwoordelijken en verwerkers. Met andere woorden, een CoC kan een handleiding vormen voor een groep verantwoordelijken en verwerkers, waarin beschreven staat hoe een verwerking die voldoet aan de AVG er in een specifieke verwerkingssituatie uitziet. <ref>EDPB, ‘Richtlijnen 1/2019 over Codes van Gedrag en Toezichthoudende Instanties onder Verordening 2016/679’, 4 juni 2019 (versie 2.0), voetnoot 7 (beschikbaar op [https://ww

Commentary CoC are a voluntary accountability tool providing for specific data protection rules for categories of controllers and processors. In other words, CoC can provide a rule book for a group of controllers and processors describing how a GDPR compliant processing operation looks like in the specific processing situation.&lt;ref&gt;EDPB, ‘Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679’, 4 June 2019 (Version 2.0), margin number 7 (available [https://ww

(3) Verwerkers en verantwoordelijken die niet onder de territoriale reikwijdte van de AVG vallen. De focus op een specifieke sector is bedoeld om een kosteneffectieve manier te bieden om te voldoen aan de eisen van de privacywetgeving, rekening houdend met alle specifieke kenmerken van de gegevensverwerking die in die sector plaatsvindt, met bijzondere aandacht voor de behoeften van micro-, kleine en middelgrote ondernemingen. <ref>EDPB, ‘Richtlijnen 1/2019 over gedragscodes en toezichthoudende organen onder Verordening 2016/679’, 4 juni 2019 (versie).</ref>

Kunstmatige intelligentiesystemen vereisen een enorme hoeveelheid menselijk werk, uitgevoerd door miljoenen werknemers, vaak in landen in het Global South, onder precaire omstandigheden. In deze blog duikt EDRi-lid SUPERRR Lab in het leven van databewerkers, hoe ze worden uitgebuit en ondermijnd door technologiebedrijven, en hoe deze werknemers nu gezamenlijk opkomen voor hun rechten. Het artikel "Kunstmatige intelligentie is niet zo kunstmatig als je misschien denkt" verscheen oorspronkelijk op European Digital Rights (EDRi).

Artificial intelligence systems require a vast amount of human labor, performed by millions of workers, often in countries in the Global South, under precarious conditions. In this blog post, EDRi member SUPERRR Lab explores the lives of data processors, how they are exploited and undermined by technology companies, and how these workers are now collectively fighting for their rights. The article "Artificial intelligence is not as artificial as you might think" originally appeared on European Digital Rights (EDRi).

Goede verwerkersovereenkomsten tussen organisaties helpen cyberaanvallen adequaat af te handelen, en soms zelfs te voorkomen. Ze versterken zo de digitale weerbaarheid van slachtoffers van datalekken. Toch schort het nog vaak aan goede afspraken, ziet de Autoriteit Persoonsgegevens (AP). Op basis van onderzoek geeft de AP organisaties daarom drie aanbevelingen voor sterke verwerkersovereenkomsten.

Arrondissementsrechtbank Noord-Holland, 15 februari 2023, IT 4241; ECLI:NL:RBNHO:2023:2471 (Pit v. OfficeGrip Holding c.s.) Deze zaak behandelt de vraag of een nieuwe leverancier van ICT-diensten aansprakelijk is voor schade die voortvloeit uit het verlies van data uit de oude ICT-omgeving van de klant. De rechtbank oordeelde dat de overeenkomst tussen de klant en de nieuwe ICT-leverancier gericht was op het opzetten en beheren van een nieuwe ICT-omgeving. Er was niet afgesproken dat de nieuwe leverancier verantwoordelijk was voor het beheren van de oude ICT-omgeving.

District Court of North Holland February 15, 2023, IT 4241; ECLI:NL:RBNHO:2023:2471 (Pit v. OfficeGrip Holding c.s.) This case deals with the question of whether a new ICT supplier is liable for damages resulting from the loss of data from its client's old ICT environment. The court held that the agreement between the client and the new ICT supplier was aimed at setting up a new ICT environment and managing it. It had not been agreed that the new supplier was responsible for managing the old ICT

De Noorse autoriteit voor gegevensbescherming, het Datatilsynet, heeft het Amerikaanse bedrijf Argon Medical Devices een boete van 2,5 miljoen Noorse kroon opgelegd omdat het niet binnen de wettelijke termijn van 72 uur een datalek uit juli 2021 heeft gemeld, zoals vereist door de Europese Algemene Verordening Gegevensbescherming (AVG). "Deze zaak is een belangrijke herinnering dat gegevensverwerkers – inclusief die gevestigd buiten de (Europese Economische Ruimte) – passende maatregelen moeten treffen om onmiddellijk te kunnen vaststellen of er sprake is van een inbreuk op persoonlijke gegevens."

Since May 2018, the GDPR has been directly applicable in the European Economic Area, including the member states of the European Union, Liechtenstein, Norway, and Iceland. Four years later, awarding damages for GDPR violations is still not a common practice in the Netherlands, despite the fact that news reports regularly mention data breaches and other GDPR violations. This article analyzes Dutch case law over the past four years to see what factors may influence the awarding of damages under th

De Spaanse autoriteit voor gegevensbescherming, de Agencia Española de Protección de Datos, heeft een tool ontwikkeld om organisaties te helpen bepalen of ze een databeschermingsinstantie moeten informeren na een datalek. De tool, "Brecha Advisory", is gratis te gebruiken. Het doel is om dataverwerkers te helpen identificeren wie er op de hoogte moet worden gesteld, welke elementen in het datalek persoonlijke gegevens bevatten en bij welke databeschermingsinstantie het incident moet worden gemeld.

> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.