Vzr. Rechtbank Noord-Nederland 1 mei 2015, IT 1793; ECLI:NL:RBNNE:2015:2124 (Datingprofielen)
Misbruik van profielen op een concurrerende datingsite. Er bestaat voldoende aanleiding om aan gedaagden zowel een verbod op te leggen met betrekking tot het plaatsen van nepprofielen op websites van Amazing Bits c.s. als een verbod om deelnemers op datingsites van Amazing Bits c.s. te trachten te bewegen om over te stappen naar de datingsite(s) van gedaagden.
Lees verder

Conclusie AG HvJ EU 25 juni 2015, IT 1792; ECLI:EU:C:2015:426; zaak C-230/14(Weltimmo)
Persoonsgegevens. Zie IT 1571. Voor de gegevensverwerking verantwoordelijke, gevestigd op het grondgebied van een andere lidstaat. Bepaling van het toepasselijke recht en de bevoegde toezichthoudende autoriteit. Sanctiebevoegdheid. Begrip ‚gegevensverwerking’. Conclusie:

1)      Artikel 4, lid 1, onder a), van richtlijn 95/46 verzet zich ertegen dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet toepast op een voor de verwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd. Hiervoor dient het begrip vestiging aldus te worden uitgelegd dat het het bestaan van een vaste inrichting veronderstelt, onafhankelijk van de rechtsvorm daarvan, door middel waarvan effectief en daadwerkelijk activiteiten worden uitgeoefend. Eén agent kan al worden beschouwd als vaste inrichting, wanneer deze een voldoende mate van duurzaamheid biedt met behulp van de personele en technische middelen die voor het verlenen van de betrokken concrete diensten nodig zijn.

      Andere elementen, zoals de plaats van waar de gegevens zijn verzonden, de nationaliteit van de betrokken adverteerders, de woonplaats van de eigenaren van de voor de gegevensverwerking verantwoordelijke onderneming, of het feit dat de door die verantwoordelijke geleverde dienst gericht is op het grondgebied van een andere lidstaat, spelen geen rechtstreekse en bepalende rol bij de vaststelling van het toepasselijke recht, maar kunnen wel een aanwijzing vormen voor het effectieve en daadwerkelijke karakter van de activiteiten – waardoor de plaats van vestiging kan worden bepaald – en in het bijzonder voor de vaststelling of de gegevensverwerking is verricht in het kader van de activiteiten van die vestiging.

2)      Ingeval de nationale rechter, op grond van het criterium van artikel 4, lid 1, onder a), van richtlijn 95/46, bepaalt dat zijn nationale recht niet van toepassing is, moet artikel 28, lid 6, van bedoelde richtlijn aldus worden uitgelegd dat het opleggen van sancties wegens inbreuken in verband met gegevensverwerking valt onder de bevoegdheid van de toezichthoudende autoriteit van de lidstaat wiens recht van toepassing is, ongeacht welke lokale toezichthoudende autoriteit het geheel van de in artikel 28, lid 3, genoemde bevoegdheden op haar eigen grondgebied kan uitoefenen, overeenkomstig de bepalingen van haar nationale recht.

3)      Het begrip ‚adatfeldolgozás’, gebruikt in artikel 4, lid 1, onder a), en artikel 28, lid 6, van de Hongaarse versie van richtlijn 95/46, moet aldus worden uitgelegd dat het zowel de gegevensverwerking in ruime zin, als het verrichten van technische taken in het kader van de gegevensverwerking omvat.

Gestelde vragen:

1)      Moet artikel 28, lid 1, van richtlijn 95/46 [...] aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaars hun persoonsgegevens naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

2)      Moet artikel 4, lid 1, onder a), van de richtlijn gegevensbescherming, junctis de punten 18 tot en met 20 van de considerans en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaars de desbetreffende gegevens waarschijnlijk vanuit Hongarije naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

3)      Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?

4)      Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaars ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?

5)      Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?

6)      Is het voor uitleggingsdoeleinden relevant dat de eigenaars van de in Slowakije gevestigde onderneming een woonplaats hebben in Hongarije?

7)      Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?

8)      Mag ervan worden uitgegaan dat het begrip ‚adatfeldolgozás’ [technische bewerking van gegevens] dat zowel in artikel 4, lid 1, onder a), als in artikel 28, lid 6 van de [Hongaarse taalversie van] de richtlijn gegevensbescherming wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip ‚adatkezelés’ [gegevensverwerking]?

Hof Den Haag 31 maart 2015, IT 1791 ; ECLI:NL:GHDHA:2015:1113 (exact software tegen brandmeester)
Bekrachtiging vonnis. Brandmeester's voeren een koffie- en theespeciaalzaak; voor de bedrijfsvoering en administratie gebruiken zij de software, hardware en support van exact. Ze onderhandelde over migratie van DOS naar Globe 2003. De rechtbank verklaart de overeenkomst ontbonden en betaling van €49.136,85 als ongedaanmakingsverbintenis. Exact roept in dat slechts de gedeeltelijke ontbinding werd gevorderd, deze grief is ongegrond. Het automatisch afletteren van pintransacties had mogelijk verwacht kunnen worden door Brandmeester's. De commerciële waarde is anders dan de waarde die de prestatie werkelijk zou hebben gehad voor Brandmeester's. Exact verkeerde als leverancier van het oude en van het nieuwe systeem in een uitstekende positie om inzicht in besparing te geven, maar heeft dat ondanks de door de rechtbank in die richting gegeven vingerwijzing niet gedaan.

Non-conformiteit van de prestatie van Exact   4.11
    Het hof is met de rechtbank van oordeel dat Brandmeester's bij het sluiten van de overeenkomst mocht verwachten dat in het door Exact geleverde softwarepakket het automatisch afletteren van pintransacties mogelijk was, ook als de bijschrijvingen, zoals bij haar het geval was, door de bank gecomprimeerd werden aangeleverd. Dat grondt het hof daarop:
     dat Brandmeester's duidelijk had doen weten dat het automatisch invoeren en verwerken van de voor haar boekhouding benodigde gegevens voor haar van belang was;
     dat die aflettering een normale boekhoudkundige bewerking van automatisch ingevoerde gegevens was;
     dat Exact haar er niet op gewezen had dat deze functie in de geleverde software ontbrak.

Tekortkoming en ontbinding    5.7
    Grief XIV verzet zich tegen het oordeel van de rechtbank dat artikel 10.1 van de algemene voorwaarden aan ontbinding niet in de weg staat omdat de daarin voorkomende opsomming van ontbindingsmogelijkheden veeleer ziet op ontbinding door de licentiegever en niet limitatief is. Deze bepaling luidt:
    Onverminderd het bepaalde in artikel 7 van de Onderhoudsovereenkomst en artikel 3.2 van de Algemene Bepalingen, kan een overeenkomst schriftelijk, zonder rechterlijke tussenkomst worden ontbonden indien:
    de andere partij, na deugdelijke schriftelijke ingebrekestelling, alsnog nalaat zijn verplichtingen uit de Overeenkomst na te komen binnen dertig (30) kalenderdagen na de ingebrekestelling;
    een wijziging in de Zeggenschap over de Licentiehouder plaatsvindt.
    5.8
    In dit artikel worden twee gevallen genoemd waarin de overeenkomst zonder rechterlijke tussenkomst kan worden ontbonden. De bewoordingen geven geen aanknopingspunt voor de stelling dat deze opsomming een limitatief karakter zou hebben. Onder a) wordt een verkorte en vereenvoudigde parafrase gegeven van de in de wet voorziene ontbinding bij een tekortschieten door een der partijen, waarbij de wettelijke regeling in zoverre wordt aangevuld dat invulling wordt gegeven aan de bij ingebrekestelling te stellen redelijke termijn voor nakoming. Onder b) wordt de mogelijkheid van ontbinding bovendien gegeven in een geval waarin van een tekortkoming geen sprake is. Er is geen grond voor de stelling dat deze bepaling bedoelt af te wijken van artikel 6:83 aanhef en sub c B.W. en het hof zou het ook onredelijk en ondoelmatig achten als het de bedoeling zou zijn een ingebrekestelling en het stellen van een redelijke termijn voor nakoming te eisen wanneer uit een mededeling van de schuldenaar reeds moet worden afgeleid dat deze zal tekortschieten en met een dergelijke ingebrekestelling geen redelijk doel meer gediend zou zijn. De grief faalt daarom.

Ongedaanmaking    6.3
    Het hof acht dit betoog onjuist. Het gaat hier niet om de commerciële waarde van de prestatie van Exact, maar, aangezien de prestatie niet aan de verbintenis beantwoordde, om de waarde die zij werkelijk heeft gehad voor Brandmeester's. Die waarde bestond daarin dat zij het door Exact geleverde systeem Globe 2003 kon gebruiken in plaats van het oude Exact voor DOS. Het gaat dus wel degelijk om vergelijking tussen het oude en het nieuwe systeem. Het blijven gebruiken van Exact voor DOS had voor Brandmeester's ongetwijfeld kosten met zich gebracht en in verband met de veroudering van DOS mogelijk ook andere schade, die zij zich door van het nieuwe systeem gebruik te maken, heeft bespaard. Exact verkeerde als leverancier van het oude en van het nieuwe systeem in een uitstekende positie om inzicht in die besparing te geven, maar heeft dat ondanks de door de rechtbank in die richting gegeven vingerwijzing niet gedaan. Daaraan kan het hof geen andere consequentie verbinden dan die welke de rechtbank er ook reeds aan verbond: de waarde die het geleverde in de gegeven omstandigheden voor Brandmeester's werkelijk heeft gehad, is door Exact onvoldoende gemotiveerd gesteld en moet daarom op nihil worden begroot. De grief faalt.

Rechtbank Rotterdam 6 januari 2015, IT 1790; ECLI:NL:RBROT:2015:4352 (verzoekster tegen Volkswagen Bank)
Verzoek om verwijdering van codes uit het Centraal Krediet Informatiesysteem (CKI) op grond van artikel 45 jo 46 Wbp. Niet gesteld of gebleken is van feiten en of omstandigheden die ervoor zorgen dat de handelswijze van Volkswagen Bank een grond opleveren voor het verwijderen van de persoonsgegevens van Hetharia. Het verzoek wordt afgewezen.

4.1. [verzoekster] heeft als productie 2 overgelegd een uitdraai van haar geregistreerde kredietgegevens bij de BKR, waarvan deel uitmaakt de registratie die door Volkswagen Bank is gedaan. Tussen partijen staat als niet weersproken vast dat de door Volkswagen Bank geregistreerde kredietgegevens van [verzoekster] zijn aan te merken als persoonsgegevens in de zin van artikel 1 aanhef en sub a van de Wet bescherming persoonsgegevens (verder: Wbp) en dat het CKI is aan te merken als bestand in de zin van artikel 1 aanhef en sub c jo. artikel 2 lid 1 van de Wbp.

4.2. Op grond van artikel 36 lid 1 Wbp heeft [verzoekster] Volkswagen Bank verzocht om de code A en code H uit het CKI te verwijderen.

4.3. Volkswagen Bank heeft haar verzoek afgewezen. Op grond van artikel 45 jo. 46 Wbp heeft [verzoekster] zich thans tot de rechtbank gewend met het verzoek om Volkswagen Bank te bevelen de code A en code H uit het CKI te verwijderen.

4.7. Artikel 29, lid 3 AR luidt als volgt:
De deelnemer is verplicht om de betrokkene, indien zich een achterstand dreigt voor te doen als aangegeven in artikel 25 lid 1 van dit reglement, tijdig en schriftelijk te waarschuwen dat verder uitstel van betalen zal leiden tot een achterstandsmelding bij de stichting. De deelnemer is gehouden om het tijdstip van deze vooraankondiging zodanig vast te stellen dat de betrokkene nog de gelegenheid heeft zijn achterstand geheel in te lopen en daarmee de achterstandsmelding af te wenden.

Het toetsingskader
4.8. Artikel 36 lid 1 Wbp vermeld als gronden voor het doen van een verzoek om de desbetreffende persoonsgegevens te verwijderen dat deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend dan wel dat de desbetreffende persoonsgegevens anderszins in strijd met een wettelijk voorschrift worden verwerkt.

4.9. Voorts moet de Wbp worden uitgelegd in overeenstemming met artikel 8 EVRM. Dit betekent dat dient te worden beoordeeld of de persoonsgegevens van [verzoekster] zijn verwerkt op een wijze die verenigbaar is met het bepaalde in artikel 8 EVRM, op grond waarvan een belangenafweging dient plaats te vinden. Bij elke gegevensverwerking moet zijn voldaan aan beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel, en dit doel moet in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwerkelijkt.

Uit het persbericht: De Nederlandse Publieke Omroep (NPO) heeft maatregelen getroffen om geconstateerde overtredingen van de Wet bescherming persoonsgegevens (Wbp) te beëindigen. Het College bescherming persoonsgegevens (CBP) neemt daarom geen handhavende maatregelen tegen de NPO. Het CBP constateerde eerder dat de NPO met zogeheten tracking cookies persoonsgegevens van websitebezoekers verzamelde zonder hiervoor hun ondubbelzinnige toestemming te vragen. Met deze tracking cookies kon de NPO het surfgedrag van bezoekers van verschillende omroepwebsites volgen. Het volgen van surfgedrag via cookies zonder adequate informatie en voorafgaande toestemming van de websitebezoeker is niet toegestaan.

Maatregelen NPO
De NPO plaatst en verwerkt inmiddels niet langer tracking cookies zonder dat een bezoeker hiervoor zijn ondubbelzinnige toestemming heeft gegeven.

Daarnaast heeft de NPO de informatie over cookies aangepast en daarmee de geconstateerde overtredingen beëindigd. De informatie in de cookiebanner is bijvoorbeeld verduidelijkt en websitebezoekers krijgen informatie over de achterliggende advertentienetwerken.

Gegevens over surfgedrag
Gegevens over surfgedrag zijn gevoelige gegevens die een indringend beeld kunnen geven van iemands gedrag en belangstelling. Internetgebruikers hebben het recht om te weten wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt.

Websitebezoekers horen eerst duidelijke informatie te krijgen over de verschillende soorten cookies en over welke van hun persoonsgegevens waarvoor worden gebruikt zodat zij weten waarvoor zij precies toestemming geven.

EHRM 16 juni 2015, IT 1788; Application 64569/09 (Delfi tegen Estonia) - video - persbericht
Nieuwsportaal Delfi werd verantwoordelijk gehouden voor de lasterlijke anonieme commentaren op een artikel over bestuurder bij een ferrymaatschappij. Het EHRM oordeelde eerder [IT 1295] dat er geen schending van de vrijheid van meningsuiting plaatsvond (10 EVRM) en het nieuwsportaal verantwoordelijk is voor commentaren op een artikel. De Grote Kamer oordeelt wederom dat er geen schending is van artikel 10 EVRM door het verantwoordelijk houden van een (van de grootste, Estse) internetportals voor de anonieme lasterlijke commentaren.

The Grand Chamber agreed with the Chamber’s assessment of the question which had identified four key aspects: the context of the comments; the liability of the actual authors of the comments as an alternative to Delfi being held liable; the steps taken by Delfi to prevent or remove the defamatory comments; and the consequences of the proceedings before the national courts for Delfi.(...)

Firstly, as regards the context, the Grand Chamber attached particular weight to the extreme nature of the comments and the fact that Delfi was a professionally managed Internet news portal run on a commercial basis which sought to attract a large number of comments on news articles published by it. Moreover, as the Supreme Court had pointed out, Delfi had an economic interest in the posting of the comments. The actual authors of the comments could not modify or delete their comments once they were posted, only Delfi had the technical means to do this. The Grand Chamber therefore agreed with the Chamber and the Supreme Court that, although Delfi had not been the actual writer of the comments, that did not mean that it had no control over the comment environment and its involvement in making the comments on its news article public had gone beyond that of a passive, purely technical service provider.

Secondly, Delfi had not ensured a realistic prospect of the authors of the comments being held liable. The owner of the ferry company could have attempted to sue the specific authors of the offensive comments as well as Delfi itself. However, Delfi allowed readers to make comments without registering their names, and the measures to establish the identity of the authors were uncertain. Nor had Delfi put in place any instruments to identify the authors of the comments making it possible for a victim of hate speech to bring a claim.

Thirdly, the steps taken by Delfi to prevent or remove without delay the defamatory comments once published had been insufficient. Delfi did have certain mechanisms for filtering hate speech or speech inciting violence, namely a disclaimer (stating that authors of comments were liable for their content, and that threatening or insulting comments were not allowed), an automatic system of deletion of comments containing a series of vulgar words and a notice-and-take-down system (whereby users could tell the portal’s administrators about offensive comments by clicking a single button). Nevertheless, both the automatic word-based filter and the notice-and-take-down system had failed to filter out the manifest expressions of hatred and blatant threats to the owner of the ferry company by Delfi’s readers and the portal’s ability to remove offending comments in good time had therefore been limited. As a consequence, the comments had remained online for six weeks. The Grand Chamber considered that it was not disproportionate for Delfi to have been obliged to remove from its website, without delay, clearly unlawful comments, even without notice from the alleged victims or from third parties whose ability to monitor the Internet was obviously more limited than that of a large commercial Internet news portal such as Delfi.

Finally, the Grand Chamber agreed with the Chamber that the consequences of Delfi having been held liable were small. The 320 euro fine was by no means excessive for Delfi, one of the largest Internet portals in Estonia, and the portal’s popularity with those posting comments had not been affected in any way – the number of comments posted had in fact increased. Registered comments are now a possibility but anonymous comments are still predominant, with Delfi even having set up a team of moderators for their follow-up. Furthermore, the tangible result for Internet operators in post-Delfi cases before the national courts has been that they have taken down offending comments but have not been ordered to pay compensation.

Op andere blogs:
Dirkzwager
Media Report

Bijdrage ingezonden door Fulco Blokhuis, Boekx. Verzoeker had Facebook NL verzocht om inzage. De rechtbank verklaart verzoeker niet ontvankelijk, omdat Facebook NL geen verantwoordelijke is. verzoeker had er verstandig aan gedaan om ook Facebook Inc. en Facebook Ierland aan te spreken.

Facebook NL verkoopt advertentieruimte (volgens kvk: Het verkopen van advertentieruimte , commerciële ontwikkeling, marketing en, meer in het algemeen , alle commerciële, industriële, financiële, zakelijke of persoonlijke transactie welke, direct of indirect, verband houden met vorengenoemd doel of het tot stand brengen daarvan bevorderd, alsmede houdster- en financieringsactiviteiten)

In het Costeja-arrest oordeelde het Europese Hof al eens dat het hebben van een vestiging die advertenties verkoop voldoende is om locaal recht van toepassing te verklaren. zie ro 44.-60 Google Inc had een vestiging in Spanje, omdat Google Spain een vestiging was van Google Inc., die gebruikt werd in het kader van de activiteiten van Google Inc.

Die redenering had ook kunnen worden toegepast door de rechtbank in deze zaak tegen Facebook.

Echter, de rechtbank overweegt [red IT 1784]: "Als onvoldoende weersproken staat vast dat voldoende juridisch en feitelijk onderscheid tussen Facebook Nederland en Facebook Ierland bestaat, en dat deze entiteiten niet met elkaar kunnen worden vereenzelvigd. Niet betwist is dat uitsluitend Facebook Ierland, en niet (mede) Facebook NL, verantwoordelijk is voor de verwerking van persoonsgegevens. Dit leidt ertoe dat een verzoek tot inzage niet kan worden gericht aan Facebook Nederland."

De zaak strandt dus op de feiten en matig procederen door verzoeker. De verzoeker had moeten stellen dat de activiteiten van Facebook Nederland onlosmakelijk verbonden is met die van Facebook Ierland, daar de activiteiten inzake de advertentieruimtes het middel vormen om de betrokken website economisch rendabel te maken. Daarmee zou Facebook Nederland verantwoordelijk kunnen worden gehouden voor de verwerking.

Overigens vindt het College Bescherming Persoonsgegevens dat Facebook en Google onderworpen zijn aan haar toezicht.

Ik gaf ook mijn commentaar op Computerworld.

Er is nog tijd voor hoger beroep om de omissie te herstellen.

Prejudiciële vragen gesteld aan HvJ EU 29 april 2015, IT 1786 (Tele2 Sverige tegen Post- och telestyrelsen)
Vragen gesteld door Kammarrätten i Stockholm, Zweden. Verzoekster deelt de dag nadat het HvJEU arrest heeft gewezen in zaak C-293/12; IT 1479 (Digital Rights Ireland) per brief aan de Zweedse toezichthouder PTS (verweerster) mede dat zij niet langer gegevens bewaart zoals vereist op grond van de ZWE wet, en eerder bewaarde gegevens gaat wissen. Zij onderneemt deze actie omdat zij van mening is dat de Zweedse wet (tot omzetting RL 2006/24) niet verenigbaar is met het Handvest grondrechten. De Zweedse politie laat verweerster weten dat deze actie grote gevolgen heeft voor de opsporing. De Zweedse regering geeft opdracht de zaak te onderzoeken. De daartoe aangewezen Commissie komt tot de conclusie dat de Zweedse regelgeving niet in strijd met EURrecht en/of EVRM. Verzoekster ontvangt dan een bevel van verweerster vanaf 25 juli-2014 tot gegevensbewaring over te gaan.

Zij gaat tegen dat besluit in beroep, dat op 13 oktober 2014 wordt verworpen. De bestuursrechter oordeelt dat de Zweedse bepalingen inzake gegevensbewaring vallen onder de door artikel 15, lid 1, van RL 2002/58 geboden mogelijkheid om nationale wettelijke maatregelen te treffen ter beperking van de omvang van bepaalde in de richtlijn bedoelde rechten en plichten. Hij benadrukt dat arrest C-293/12 aldus dient te worden begrepen dat RL 2006/24 ongeldig is verklaard omdat de geconstateerde tekortkomingen van de RL, in hun geheel beschouwd, impliceren dat de RL niet voldoet aan het Unierechtelijke vereiste van evenredigheid van beperkingen van de rechten en vrijheden. Verzoekster stelt hoger beroep in bij de verwijzende rechter. Zij stelt dat de Zweedse regelgeving strijdig is met het EVRM en bijgevolg de Zweedse Gw. Zij acht de omvang van de bewaarplicht onevenredig. Daarnaast wijst zij op een ernstige tekortkoming in de ZWE regelgeving, namelijk dat toegang tot de bewaarde gegevens niet vereist dat de gegevens verband houden met verdenking van ernstige strafbare feiten. Verweerster stelt dat de ongeldigheid van RL 2006/24 niet impliceert dat de Zweedse regelgeving ook ongeldig is, zolang maar is voldaan aan de eisen van RL 2002/58 en overig EUrrecht.

De verwijzende Zweedse rechter (bestuursrechter in hoger beroep) is met verweerster van oordeel dat het arrest C-293/12 de mogelijkheid om verkeersgegevens te bewaren onverlet laat, zolang is voldaan aan de genoemde eisen. Maar hij vindt ook zowel argumenten voor als tegen de opvatting dat de ruime bewaarplicht die wordt opgelegd door de Zweedse regelgeving verenigbaar is met RL 2002/58 en het Handvest. Om een eenduidig antwoord te krijgen op de vraag of het HvJEU in arrest C-293/12 een afgewogen beoordeling heeft verricht van de omvang van de bewaarplicht en de bepalingen inzake toegang tot gegevens, bewaartermijn en beveiliging legt hij de volgende vragen aan het HvJEU voor:

1) Is een algemene verplichting, zoals beschreven [in de punten 1 tot en met 6 infra], om met het oog op wetshandhaving op strafrechtelijk gebied verkeersgegevens te bewaren, welke verplichting zich zonder enig onderscheid, enige beperking of uitzondering uitstrekt tot alle personen, alle elektronische communicatiemiddelen en alle verkeersgegevens, verenigbaar met artikel 15, lid 1, van richtlijn 2002/58/EG, gelezen in samenhang met de artikelen 7, 8 en 52, lid 1, van het Handvest van de Grondrechten van de Europese Unie?
2) Indien de eerste vraag ontkennend wordt beantwoord, kan de bewaring dan niettemin toegestaan zijn
a) wanneer de toegang van de nationale instanties tot de gegevens die worden bewaard, is geregeld zoals [beschreven in de punten 7 tot en met 24 infra];
b) wanneer de veiligheidseisen worden geregeld zoals [beschreven in de punten 26 tot en met 31 infra], en
c) alle relevante gegevens moeten worden bewaard gedurende zes maanden te rekenen vanaf de dag waarop de communicatie werd beëindigd, en daarna moeten worden gewist, zoals [beschreven in punt 25 infra]?

HR 22 mei 2015, IT 15024 (Staat der Nederlanden tegen Stichting Privacy First)
Privacy. Wijziging Paspoortwet. (De)centrale opslag vingerafdrukken. Geen inbreuk op privacy, art. 8 EVRM. Collectieve actie, art. 3:305a BW. Ontvankelijkheid, taakverdeling burgerlijke rechter en bestuursrechter. Rechtsingang voor belanghebbenden bij bestuursrechter, art. 46 Paspoortwet. Afgeleid belang. HR vernietigt het arrest van het Hof Den Haag [IT 1431] en bekrachtigt het vonnis van de rechtbank [ECLI].

3.4.3. Deze klacht is gegrond. Wil sprake zijn van een eigen belang als hiervoor in 3.4.1 bedoeld, dan moet het gaan om een belang dat zelfstandig wordt beschermd door de norm(en) waarop de vordering van de belangenorganisatie is gebaseerd - in dit geval de door Privacy First ingeroepen normen die strekken tot bescherming van de persoonlijke levenssfeer (zie hiervoor in 3.1 onder (v)) -, en dus niet om een belang dat enkel voortvloeit uit het opkomen voor de gebundelde belangen, en dat uitsluitend van die belangen is afgeleid. Anders zou een belangenorganisatie immers vrijwel steeds bij de burgerlijke rechter ontvankelijk zijn in een vordering als de onderhavige, nu zij vrijwel steeds zal kunnen wijzen op een dergelijk afgeleid belang, wat zou leiden tot een doorkruising van de hiervoor in 3.3.4 en 3.3.5 vermelde behoorlijke taakverdeling tussen bestuursrechter en burgerlijke rechter. Het door het hof vastgestelde belang van Privacy First betreft onmiskenbaar een dergelijk afgeleid belang en is daarom onvoldoende omhaar in haar onderhavige vorderingen ontvankelijk te doen zijn bij de burgerlijke rechter.

Op andere blogs:
Cassatieblog

Rechtbank Amsterdam 28 mei 2015, IT 1783; ECLI:NL:RBAMS:2015:3659 (Facebook Netherlands)
Privacy. Artikel 35 Wbp. Aan de orde is de vraag of de Ierse of de Nederlandse wetgeving van toepassing is op de verwerking via (Ierse) Facebook-servers van persoonsgegevens van Nederlandse inwoners. De rechtbank oordeelt dat het aan beantwoording van deze vraag niet toekomt omdat Facebook NL niet kwalificeert als “verantwoordelijke”.

2.4. Het volgende wordt tot uitgangspunt genomen. De servers van Facebook Ireland Ltd. (hierna Facebook Ierland) in Ierland hosten voor de Europese markt de diverse Facebook diensten. Gebruik van Facebook door gebruikers in Nederland kan leiden tot verwerking van persoonsgegevens. Facebook NL houdt zich bezig met verkoopondersteuning en heeft geen bevoegdheden met betrekking tot activiteiten die tot verwerking van persoonsgegevens kunnen leiden.

2.7 (...) Als onvoldoende weersproken staat vast dat voldoende juridisch en feitelijk onderscheid tussen Facebook Nederland en Facebook Ierland bestaat, en dat deze entiteiten niet met elkaar kunnen worden vereenzelvigd. Niet betwist is dat uitsluitend Facebook Ierland, en niet (mede) Facebook NL, verantwoordelijk is voor de verwerking van persoonsgegevens. Dit leidt ertoe dat een verzoek tot inzage niet kan worden gericht aan Facebook Nederland. [verzoeker] zal dan ook niet ontvankelijk worden verklaard in zijn verzoek.