News

|Appeal_From_Case_Number_Name=16.07.2025|Appeal_From_Case_Number_Name=16.07.2025 |Appeal_From_Status=|Appeal_From_Status= |Appeal_From_Link=https://www.dataprotection.ro/?page=Comunicat_Presa_16.07.2025|Appeal_From_Link=https://gdprhub.eu/index.php?title=ANSPDCP_(Romania)_-_Fine_against_a_Romanian_politician |Appeal_To_Body=|Appeal_To_Body= |Appeal_To_Case_Number_Name=|Appeal_To_Case_Number_Name= A politician, the operator of a website (the controller), appealed a DPA decision sanctioning him fo

Facts }}}} The Supreme Court upheld rules requiring legal counsels to keep a client register and ensure confidentiality. It held that processing client data to check conflicts of interest is lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] as it fulfills a statutory duty.The Supreme Court upheld rules requiring legal counsels to keep a client register and to ensure confidentiality. It held that keeping a client register is necessary to comply with the legal obligation to check for potenti

}}}} The DPA issued a warning to the Federal Public Service for Finances to ensure compliance with security of personal data processing after an employee accessed the address of an individual and visited her at her home.The DPA issued a warning to the Federal Public Service for Finances after an employee unlawfully accessed the address of an individual in the controller’s database and visited her at her home. == English Summary ==== English Summary ==

Holding === Holding ====== Holding === The court dismissed the data subject’s appeal in full. The court noticed the parties that it intends to dismiss the data subject’s appeal in full. The court could not produce a declaration of illegality of credit scoring based on automated processing. It reasoned that the mere creation of a score does not constitute a legal decision under Article 22. Also, the rejections faced by the data subject were not exclusively, if at all, based on the credit scoring,

Link fixed. === Facts ====== Facts === The data subject had a mobile contract with the controller, a telecommunications company, starting 17 April 2019. The contract included privacy notices stating that personal data, including contract initiation, execution, and completion (“positive data”), could be sent to a credit scoring agency for credit scoring, under Articles 6(1)(b) and 6(1)(f) GDPR.The data subject had a mobile contract with the controller, a telecommunications company, starting 17 Ap

Facts }}}} The Supreme Court of Poland upheld rules requiring legal counsels to keep client data confidential and maintain a client register. The Court held processing was lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] to meet legal obligations.The Supreme Court upheld rules requiring legal counsels to keep a client register and ensure confidentiality. It held that processing client data to check conflicts of interest is lawful under [[Article 6 GDPR#1c|Article 6(1)(c) GDPR]] as it fulf

Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027, which is grounded in the four pillars of the EDPB strategy 2024-2027. The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation. Easing compliance is at the top of

English Summary }}}} The DPA fined the Polish national postal operator €232k for a DPO conflict of interest. The DPO concurrently served as a Security Director and company proxy, effectively monitoring their own decisions regarding the means of data processing.The DPA fined the national postal operator €232,000 for appointing a DPO with a conflict of interest. The DPO concurrently served as a Security Director and representative of the controller, effectively monitoring their own decisions regar

added links to GDPR articles === Holding ====== Holding === The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media platform, or even on targeted advertising, the consent was not informed nor specific. Therefore, it found the processing to be unlawful, violating Article 6(1)(a) GDPR. The DPA found that, since the membership form did not contain information on the transmission of members' data to the social media

Facts === Facts ====== Facts === In December 2022, the National Council of Legal Counsels (Poland) adopted regulations on the practice of legal counsels. The Minister of Justice challenged parts of the regulations, particularly § 5 and § 6. § 5 required persons cooperating with legal counsels to keep information confidential. § 6 required legal counsels to maintain a client register to identify conflicts of interest. The Minister argued that these rules violated the [[Article 6 GDPR|Article 6]]

}}}} The DPA issued a reprimand to 51 municipalities and simultaneously warned them regarding their use of Google’s products in primary and lower secondary schools. In particular, the DPA found that the municipalities had not adequately demonstrated how personal data processed outside the EU is provided with an adequate level of protection.The DPA issued a reprimand to 51 municipalities and simultaneously warned them regarding their use of Google’s products in primary and lower secondary schools

Holding === Holding ====== Holding === The DPA upheld the complaint and found an infringement of [[Article 6 GDPR#1|Article 6(1) GDPR]]. The Authority clarified that the necessity for the performance of a contract must be interpreted strictly and covers only processing that is objectively necessary, not merely useful or convenient.The DPA upheld the complaint and found an infringement of [[Article 6 GDPR#1|Article 6(1) GDPR]]. The DPA clarified that the necessity for the performance of a contrac

De Autoriteit Persoonsgegevens (AP) legt tien gemeenten een boete op van in totaal 250.000 euro. De reden is dat zij dossiers met gevoelige informatie over islamitische inwoners hebben verwerkt, zonder dat deze inwoners dat wisten. De gemeenten hebben daarmee de Algemene verordening gegevensbescherming (AVG) overtreden. Zij mochten deze informatie niet hebben. Ook hebben zij hiermee gegevens over de religie en politieke voorkeuren van mensen verwerkt, terwijl dit vrijwel altijd verboden is.

Brussels, 29 January - The EDPB organises a remote event to collect stakeholders’ input on its Guidelines on the processing of personal data to target or deliver political advertisements under the regulation on the transparency and targeting of political advertising. The event will take place on 27 March 2026 (time to be confirmed). This will be an opportunity to inform and support the EDPB’s ongoing work on this topic as per its work programme 2024-2025 and it reflects the EDPB’s commitment to

Brussels, 19 January - During its latest plenary, the EDPB adopted a report to support the European Commission’s evaluation of the Law Enforcement Directive (LED). The Commission has to submit its public report* on the evaluation and review of this Directive to the European Parliament and to the Council by 6 May 2026. Ahead of this, the Commission gathered the views of the European Data Protection Authorities (DPAs) on the application and functioning of the LED over the period from January 2022

}}}} The Supreme Administrative Court lowered the fine issued by the DPA to Amazon France Logistique from €32 million to €15 million by finding that Amazon had a legitimate interest in processing three employee performance-related indicators.The Supreme Administrative Court lowered the fine issued by the DPA to Amazon France Logistique from €32 million to €15 million by finding that Amazon had a legitimate interest in processing three employee performance-related indicators necessary for the man

Facts: Two individuals, one a former customer and the other a potential customer, have filed complaints with the data protection authority (DPA) regarding repeated marketing calls and messages from Verisure Italy, despite having explicitly requested that such communication be stopped. Two individuals, one a former customer and the other a potential customer, have filed complaints with the DPA because they repeatedly received marketing calls and messages from Verisure Italy, despite having explicitly requested that such communication be stopped.

|Court_Original_Name=Oberlandesgericht Frankfurt am Main|Court_Original_Name=Oberlandesgericht Frankfurt am Main |Court_English_Name=Higher Regional Court Frankfurt am Main|Court_English_Name=Higher Regional Court Frankfurt am Main |Court_With_Country=OLG Frankfurt am Main (Germany)|Court_With_Country=OLG Frankfurt (Germany) |Case_Number_Name=6 U 81/23|Case_Number_Name=6 U 81/23 |Party_Link_2=|Party_Link_2= |Appeal_From_Body=LG Frankfurt am Main (Germany)|Appeal_From_Body=LG Frankfurt (Germany)

The Supreme Court has reduced the fine imposed on Amazon France Logistique by the Data Protection Authority from 32 million euros to 15 million euros. The court ruled that Amazon had a legitimate interest in processing three indicators related to employee performance. The Supreme Court reduced the fine that the Data Protection Authority had imposed on Amazon France Logistique from 32 million euros to 15 million euros, because it found that Amazon had a legitimate interest in processing three indicators related to employee performance, which were necessary for personnel management.

| Court_Original_Name = Higher Regional Court Frankfurt am Main | Court_Original_Name = Higher Regional Court Frankfurt am Main | Court_English_Name = Higher Regional Court Frankfurt am Main | Court_English_Name = Higher Regional Court Frankfurt am Main | Court_Country = OLG Frankfurt am Main (Germany) | Court_Country = OLG Frankfurt (Germany) | Case_Number = 6 U 81/23 | Case_Number = 6 U 81/23 | Party_Link_2 = | Party_Link_2 = | Appeal_From_Court = Regional Court Frankfurt am Main (Germany) | Appeal_From_Court = Regional Court Frankfurt (Germany)

}}}} Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd en de betrokkene geen verlies van controle over zijn gegevens heeft geleden, oordeelde het gerecht dat het gevoel van bewaakt worden een vorm van immateriële schade vormde. Het gerecht heeft €100 aan immateriële schade toegekend voor het opslaan en verwerken van cookies zonder de toestemming van de betrokkene. Hoewel de overtreding als gering werd beschouwd, en

The data protection authority has fined a subcontractor €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. The data protection authority has also fined a data processor €1 million for the same reasons: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and failing to maintain a register of processing activities. == Summary in English == == Summary in English ==

|Hof_Oorspronkelijke_Naam=Oberlandesgericht Frankfurt am Main|Hof_Oorspronkelijke_Naam=Oberlandesgericht Frankfurt am Main |Hof_Engelse_Naam=Higher Regional Court Frankfurt am Main|Hof_Engelse_Naam=Higher Regional Court Frankfurt am Main |Hof_Met_Land=OLG Frankfurt am Main (Duitsland)|Hof_Met_Land=OLG Frankfurt (Duitsland) |Zaaknummer_Naam=6 U 81/23|Zaaknummer_Naam=6 U 81/23 |Partij_Link_2=|Partij_Link_2= |Beroep_Van_Instantie=LG Frankfurt am Main (Duitsland)|Beroep_Van_Instantie=LG Frankfurt (Duitsland)

=== Verwerking ====== Verwerking === Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. "Over de eerlijkheid van de procedure:" "Over de eerlijkheid van de procedure:" "Over verantwoordelijkheden:" "Over verantwoordelijkheden:"

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1 miljoen euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1.000.000 euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == Tot slot heeft de DPA geconstateerd dat...

=== Processing ====== Processing === The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. The dispute concerned the processor's responsibility for implementing adequate security measures, as required by Article 32 of the GDPR. "Regarding the fairness of the procedure:" "Regarding the fairness of the procedure:" "Regarding responsibilities:" "Regarding responsibilities:"

}}}} De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een verwerker een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels ==

}}}} The DPA fined a processor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a processor €1,000,000 for failing to delete the personal data of users, processing the data for purposes contrary to contract stipulations, and for failing to keep a record of its processing activities. == English Summary ==== English Summary == Finally, the DPA found t

The court awarded €100 in non-pecuniary damages for the storage and processing of cookies without the consent of the individual. While the violation was considered minor, and the individual did not suffer a loss of control over their data, the court ruled that the feeling of being monitored constituted a form of non-pecuniary damage. The court awarded €100 in non-pecuniary damages for the storage and processing of cookies without the consent of the individual. Although the violation was considered minor, and...

}}}} Het Hooggerechtshof heeft de boete die de Autoriteit Persoonsgegevens aan Amazon France Logistique had opgelegd, verlaagd van 32 miljoen euro naar 15 miljoen euro. Het hof oordeelde dat Amazon een gerechtvaardigd belang had bij het verwerken van drie indicatoren met betrekking tot de prestaties van werknemers. Het Hooggerechtshof heeft de boete die de Autoriteit Persoonsgegevens aan Amazon France Logistique had opgelegd, verlaagd van 32 miljoen euro naar 15 miljoen euro, omdat het oordeelde dat Amazon een gerechtvaardigd belang had bij het verwerken van drie indicatoren met betrekking tot de prestaties van werknemers, die noodzakelijk waren voor het personeelsmanagement.

}}}} The DPA fined a subcontractor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a processor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities. == English Summary ==== English Summary ==

The data protection authority (DPA) has imposed a fine of 1 million euros on a data processor for failing to delete user personal data, processing that data for purposes that conflict with contractual agreements, and failing to maintain a record of processing activities. The data protection authority (DPA) has imposed a fine of €1,000,000 on a data processor for failing to delete user personal data, processing that data for purposes that conflict with contractual agreements, and failing to maintain a record of processing activities. Finally, the DPA found that...

}}}} The Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and the data subject suffered no loss of control over his data, the court held that the feeling of being monitored constituted non-material damage.A Court awarded €100 in non-material damages for the storage and processing of cookies without the data subject’s consent. Although the infringement was considered minor, and

}}}} The DPA fined a company €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a subcontractor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities. == English Summary ==== English Summary == === Facts ====== Facts === DE

=== Holding ====== Holding === Firstly, the DPA found that the processor should have deleted the users' data at the end of the contractual relationship with the controller. Failing to do so, the DPA found a violation of [[Article 28 GDPR#3g|Article 28(3)(g) GDPR]]. Firstly, the DPA found that the processor should have deleted the users' data at the end of the contractual relationship with the controller. Failing to do so, even if the data were retained as a result of an unauthorised co

The data protection authority (DPA) has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. The DPA has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. == Summary in English == == Summary in English == === Facts === A software company...

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. De DPA heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === Een softwarebedrijf...

=== Verwerking ====== Verwerking === Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, heeft de DPA als een schending van artikel 28(3)(g) van de AVG beschouwd. Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, zelfs als de gegevens bewaard bleven als gevolg van een ongeautoriseerde samenwerking, ...

Links naar de artikelen === Feiten ====== Feiten === Een softwareadviesbureau (de verwerker) heeft een overheidsinstantie (de verantwoordelijke) software geleverd voor de verwerking van bestanden met betrekking tot personen met een handicap. Deze software stelde gebruikers (betrokkenen) in staat om hun bestanden te uploaden en hun voortgang te volgen via een online portaal. Nextpublica, een softwareadviesbureau (de verwerker), heeft de Maison Départementale pour les Personnes Handicapées (MDPH), een organisatie met een maatschappelijke doelstelling (de verantwoordelijke), voorzien van...

Een betrokkene wenste om op een genderneutrale manier aangesproken te worden en stelde dat twee bedrijven (de verantwoordelijke partijen) in hun profielinstellingen, op tickets en in trein aankondigingen een verkeerd gender gebruikten. De betrokkene stuurde aanvankelijk een bericht via Twitter naar een van de betrokken verantwoordelijke partijen, waarin hij vroeg of er genderneutrale opties beschikbaar zouden zijn.

Links to the articles === Facts ====== Facts === A software consultancy firm (the processor) provided software to a government agency (the controller) for the processing of files related to people with disabilities. This software allowed users (data subjects) to upload their files and track their progress through an online portal. Nextpublica, a software consultancy firm (the processor), provided the Maison Départementale pour les Personnes Handicapées (MDPH), an organization with a social purpose (the controller), with...

=== Processing ====== Processing === First, the data protection authority (DPA) found that the data processor should have deleted the users' data at the end of the agreement with the data controller. The DPA considered the failure to do so a violation of Article 28(3)(g) of the GDPR. First, the data protection authority (DPA) found that the data processor should have deleted the users' data at the end of the agreement with the data controller. The failure to do so, even if the data was retained due to unauthorized collaboration, ...

}}}} De gegevensbeschermingsautoriteit heeft een bedrijf een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor dezelfde overtredingen: het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === DE

}}}} The DPA imposed a 1 700 000 € fine under [[Article 32 GDPR|Article 32 GDPR]] to a processor who had incorrectly configured a software that processed files relating to persons with disabilities, leading to a massive data breach.The DPA imposed a €1,700,000 fine to a processor who had incorrectly configured a software that processed files relating to persons with disabilities, leading to a massive data breach. == English Summary ==== English Summary == === Facts ====== Facts === A software co

The data protection authority has fined a company €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and not maintaining a register of processing activities. The data protection authority has also fined a subcontractor €1 million for the same violations: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and not maintaining a register of processing activities. == Summary in English == == Summary in English == === Facts ====== Facts ===

links to the Articles === Facts ====== Facts === A software consulting company (the processor) provided an administration (the controller) with software for processing files relating to persons with disabilities. This software enabled users (data subjects) to upload their files and track their progress via an online portal. Nextpublica, a software consulting company (the processor) provided the Maison Départementale pour les Personnes Handicapées MDPH, a public interest group (the controller), w

Dutch Translation: Het gerecht heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Hierdoor werd een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens (AP) vernietigd. Een gerecht heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Hierdoor werd een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens (AP) vernietigd.

|Initial Contributor=|Initial Contributor= || }}}} The Supreme Court has ruled that Meta must provide its users with complete access to all personal data, including the sources, recipients, and purposes; a simple list is not sufficient. Furthermore, the court has determined that personalized advertising and the processing of (sensitive) personal data from third-party websites require the consent of the individual. The Austrian Supreme Court has also ruled that Meta must provide users with complete access to all personal data, including the sources.

Facts }}}} A court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA.A court held that an insurance company may lawfully process health data concerning an application for voluntary personal insurance in accordance with Article 9(2)(g) GDPR and national insurance law. The court found that such processing is necessary for

|Initiële bijdrager=|Initiële bijdrager= || }}}} Het Hooggerechtshof heeft geoordeeld dat Meta zijn gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen, ontvangers en doeleinden; een eenvoudige lijst is onvoldoende. Bovendien heeft het hof bepaald dat gepersonaliseerde advertenties en de verwerking van (gevoelige) persoonlijke gegevens van websites van derden de toestemming van de betrokkene vereisen. Het Oostenrijkse Hooggerechtshof heeft geoordeeld dat Meta gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen.