News

Holding === Holding ====== Holding === The DPA upheld the complaint and found an infringement of [[Article 6 GDPR#1|Article 6(1) GDPR]]. The Authority clarified that the necessity for the performance of a contract must be interpreted strictly and covers only processing that is objectively necessary, not merely useful or convenient.The DPA upheld the complaint and found an infringement of [[Article 6 GDPR#1|Article 6(1) GDPR]]. The DPA clarified that the necessity for the performance of a contrac

The phrase "artificial intelligence" has been around for a long time, covering everything from computers with "brains"—think Data from Star Trek or Hal 9000 from 2001: A Space Odyssey—to the autocomplete function that too often has you sending emails to the wrong person. It's a term that sweeps a wide array of uses into it—some well-established, others still being developed. Recent news shows us a rapidly expanding catalog of potential harms that may result from companies pushing AI into ev

Permanent cameratoezicht op de vaste werkplek van werknemers is niet toegestaan. Camera’s mogen alleen worden ingezet als dat strikt noodzakelijk is, bijvoorbeeld voor veiligheid bij incidenten, en niet om werknemers structureel te volgen of te beoordelen. Dat geldt ook als camerabeelden alleen achteraf worden bekeken. Dat benadrukt de Autoriteit Persoonsgegevens (AP) na een klacht en gesprekken met openbaarvervoerbedrijf Arriva over het gebruik van camera’s in hun bussen.

}}}} Het Hooggerechtshof heeft de boete die de Autoriteit Persoonsgegevens aan Amazon France Logistique had opgelegd, verlaagd van 32 miljoen euro naar 15 miljoen euro. Het hof oordeelde dat Amazon een gerechtvaardigd belang had bij het verwerken van drie indicatoren met betrekking tot de prestaties van werknemers. Het Hooggerechtshof heeft de boete die de Autoriteit Persoonsgegevens aan Amazon France Logistique had opgelegd, verlaagd van 32 miljoen euro naar 15 miljoen euro, omdat het oordeelde dat Amazon een gerechtvaardigd belang had bij het verwerken van drie indicatoren met betrekking tot de prestaties van werknemers, die noodzakelijk waren voor het personeelsmanagement.

Facts === Facts ====== Facts === An Assistant Professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University of Cyprus (the controller).An assistant professor (the data subject) requested access to the content of evaluation reports by independent reviewers and letters of recommendation prepared during the academic promotion procedure from the University

=== Verwerking ====== Verwerking === Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, heeft de DPA als een schending van artikel 28(3)(g) van de AVG beschouwd. Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, zelfs als de gegevens bewaard bleven als gevolg van een ongeautoriseerde samenwerking, ...

Feiten === Feiten ====== Feiten === Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit.

Facts: A university lecturer (the complainant) requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the promotion process, from the University of Cyprus (the responsible party). A university lecturer (the complainant) requested access to the content of evaluation reports from independent reviewers and letters of recommendation that were prepared during the promotion process, from the University.

De Autoriteit Persoonsgegevens (AP) legt HAN University of Applied Sciences (HAN) een boete op van 175.000 euro voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Uit onderzoek van de AP blijkt dat de HAN in het verleden onvoldoende maatregelen heeft genomen om persoonsgegevens van onder meer studenten en werknemers goed te beveiligen.

Kunstmatige intelligentiesystemen vereisen een enorme hoeveelheid menselijk werk, uitgevoerd door miljoenen werknemers, vaak in landen in het Global South, onder precaire omstandigheden. In deze blog duikt EDRi-lid SUPERRR Lab in het leven van databewerkers, hoe ze worden uitgebuit en ondermijnd door technologiebedrijven, en hoe deze werknemers nu gezamenlijk opkomen voor hun rechten. Het artikel "Kunstmatige intelligentie is niet zo kunstmatig als je misschien denkt" verscheen oorspronkelijk op European Digital Rights (EDRi).

News from the European Union.

Starting July 1st, Denmark will hold the presidency of the European Union. They plan to focus on digital simplification, including a revision of the Cybersecurity Act. Furthermore, the Digital Networks Act is expected to be introduced in December. In addition, efforts will be made to combat child pornography.

Government.

"Based on the information in the official's letter to your Chamber, the situation is that the official was to participate in an exercise that would take place in the data center of a private company. That company required the official to sign a statement that would..."

Legislation

Vragen en beantwoording leden BBB-fractie over uitbreiding communicatiegeheim in de Telecommunicatiewet naar niet-openbare netwerken en de mogelijkheid van werkgevers om werknemers te kunnen monitoren.

Ontbinding van het dienstverband als gevolg van een verstoorde arbeidsrelatie, ernstige schuld van de werkgever vanwege onvoldoende begeleiding bij de eerste poging tot re-integratie, en gerechtvaardigde klachten van de werknemer over schending van de privacy. Met betrekking tot de hoogte van de billijke vergoeding werd overwogen dat er nauwelijks sprake was van relevant inkomstverlies, omdat de werknemer al geruime tijd arbeidsongeschikt was en het einde van de wachttijd was... (Machinevertaling)

> Dissolution because of a disturbed employment relationship, serious culpability of the employer because of insufficient reintegration in the first track and justified complaints of the employee about violation of privacy. Regarding the amount of the fair compensation, it was considered that hardly any relevant income loss had been suffered because the employee had been unfit for work for a long time and the end of the waiting period had... (Machine translated)

Camera-observatie van schadelijke uitstoot bij de verwerkingsinstallatie van Tata Steel is niet illegaal. Er wordt gesproken over effectieve observatie die niet gericht is op individuen. De kans op schending van de privacy van werknemers is zeer klein. De claims zijn afgewezen.

ECJ EU, 30 maart 2023, IT 4246; ECLI:EU:C:2023:270 (Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium v. Minister des Hessischen Kultusministeriums). De zaak betreft het gebruik van videoconferenties voor onderwijs tijdens de COVID-19-pandemie in de Duitse deelstaat Hessen. Er was geen toestemming van de docenten vereist voor het geven van live lessen via videoconferenties, wat een vakbond van docenten als onrechtvaardig beschouwde. Het ging om de vraag of de regels die dit toestonden (hierna: "de regels"), gerechtvaardigd waren.

ECJ EU March 30, 2023, IT 4246; ECLI:EU:C:2023:270 (Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium v. Minister des Hessischen Kultusministeriums) The case concerns the use of videoconferencing for teaching during the COVID-19 pandemic in the state of Hesse, Germany. No permission from teachers was required for livestream teaching via videoconferencing, which a teachers' union felt was unjustified. At issue was whether the rules that allowed this (hereinafter, the d

Among other things, plaintiff seeks reversal of a listing on the SFH's fraud register by defendant (a mortgage lender) for fictitious employment. The court held that the defendant did not act in a discriminatory manner (in view of plaintiff's Iranian origin) in conducting the investigation, and that even after plaintiff withdrew the mortgage application, the defendant was required to continue the investigation...

Eerlijke vergoeding na ontbinding van het dienstverband door de rechtbank. De rechtbank oordeelde dat de werkgever ernstig tekort was geschoten door de privacy van de werknemer ernstig te schenden, de werknemer hierover niet eerlijk te informeren en alle communicatie met de werknemer te vermijden. Hierdoor was de arbeidsrelatie verstoord. Een schatting van de juiste vergoeding, rekening houdend met het verschil in...

Fair compensation after dissolution by subdistrict court. The court held that the employer had acted seriously culpable by seriously violating the employee's privacy, not being honest with the employee about it, and avoiding all communication with the employee. As a result, the employment relationship was disrupted. Estimate fair compensation, difference hypothet...

> On October 14, 2022, the Federal Trade Commission announced it is extending the deadline by one month to submit comments on its Advanced Notice of Proposed Rulemaking on commercial surveillance and lax data security practices.

Op 14 oktober 2022 heeft de Federal Trade Commission aangekondigd dat de deadline voor het indienen van commentaren op haar voorlopige voorstel voor regelgeving over commerciële surveillance en inadequate databeveiligingspraktijken met een maand wordt verlengd.

> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.

De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.

> The Berlin Commissioner for Data Protection and Freedom of Information issued a 525,000 euro fine to a Berlin-based retailer for violation of data protection officer requirements under the \[GDPR]. An investigation found an alleged conflict of interest concerning the DPO's employment status and decision-making responsibilities that violated Article 38(6) of the GDPR. The company received a warning from the regulator in 2021.

De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.

The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.

De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.

> The current version of the Bill seeks to maintain the majority of key principles that underpin the UK data protection law framework, while at the same time modifying certain key provisions in relation to accountability, lawful grounds for processing, data subject access requests and cookies, amongst others. A [consolidated redline version of the UK GDPR by Hogan Lovells](https://www.engage.hoganlovells.com/knowledgeservices/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH

De huidige versie van het wetsvoorstel streeft ernaar om de meeste belangrijke principes te behouden die ten grondslag liggen aan het Britse kader voor gegevensbescherming, terwijl tegelijkertijd bepaalde belangrijke bepalingen worden aangepast met betrekking tot onder meer verantwoordelijkheid, de wettelijke gronden voor gegevensverwerking, verzoeken van betrokkenen en cookies. Een [geconsolideerde versie met wijzigingen van de Britse GDPR, opgesteld door Hogan Lovells](https://www.engage.hoganlovells.com/knowledgeservices/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH)

> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.

> European supervisory authorities’ varying practices of calculating GDPR administrative fines can be viewed, on the one hand, as inconsistent and in conflict with the principle of uniform interpretation and application of the GDPR in general and uniform sanction for GDPR infringements in particular, as enshrined in GDPR recital 10, 11 and 13.

> DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available online; it was subject to a public consultation until 27 June 2022).