IT 4685
27 november 2024
Uitspraak

Gemeente moet concessieopdracht voor lichtmastreclames Europees aanbesteden

 
IT 4684
26 november 2024
Uitspraak

Hof geeft verduidelijking over niet-verplichte persoonsgegevens

 
IT 4683
26 november 2024
Uitspraak

Meta mogelijk schadeplichtig wegens tekortschietende licentieonderhandelingen met Pictoright

 
IT 1796

Grote bedrijven voldoen niet aan meldplicht persoonsgegevens

S. van Otterloo, Onderzoek meldplicht persoonsgegevens, 29 juni 2015.
Een bijdrage van Sieuwert van Otterloo, Softwarezaken.nl. Veel grote bedrijven voldoen niet aan de wettelijke verplichting om de verwerking van persoonsgegevens te melden. Dit blijkt uit een door SoftwareZaken uitgevoerd onderzoek. In het onderzoek zijn alle meldingen van de 25 bedrijven in de AEX-index geanalyseerd en bij meer dan driekwart van de bedrijven zijn er problemen: onjuiste bedrijfsgegevens, incomplete, vage en ook overbodige meldingen. De conclusie is dat bedrijven te weinig aandacht besteden aan het goed informeren van gebruikers over privacy, en het CBP blijkbaar niet de middelen heeft om de meldingen goed te kunnen controleren.

(...) In technische zin werkt het register eenvoudig: het is voor iedereen eenvoudig om het register te vinden, te zoeken op bedrijfsnaam en om vervolgens de meldingen te lezen. Inhoudelijk blijkt er echter veel mis met de meldingen die bedrijven hebben gedaan, waardoor consumenten nog steeds niet weten waar ze aan toe zijn. De volgende problemen zijn gevonden:

  • Voor 4 van de 25 bedrijven zijn er helemaal geen meldingen
  • Organisatienamen en plaatsen staan niet goed in register
  • Er ontbreken veel meldingen
  • Meldingen zijn vaag en incompleet
  • Er worden overbodige meldingen gedaan
  • Het is niet te zien of meldingen nog actueel zijn
  • Het register is niet doorzoekbaar op thema of datum

Waarschijnlijk voldoen veel bedrijven, groot en klein, niet aan de regels voor gegevensverwerking. Het advies aan deze bedrijven is om zich beter te verdiepen in de regels en binnen het bedrijf mensen aan te stellen en op te leiden op het gebied van privacy en informatiebeveiliging. Waarschijnlijk speelt er ook een gebrek aan samenwerking tussen verschillende afdelingen: de IT-ers kennen de meldplicht niet, en de juristen weten niet goed welke gegevens worden verzameld. Het advies in dit geval is om de juridische afdeling, de marketing afdeling en de IT-afdeling meer samen te laten werken aan privacy en beveiliging. Het aanstellen van een speciale functionaris gegevensbescherming, vanaf volgend jaar verplicht voor grote bedrijven, kan hierbij helpen.

IT 1795

HvJ EU: Click wrapping voldoet aan voorwaarden elektronische mededeling

HvJ EU 21 mei 2015 IT 1795; ECLI:EU:C:2015:334; C-322/14 (El Majdoub tegen CarsOnTheWeb.Deutschland GmbH)
Zie eerder IT 1606. Vormvereisten – Elektronische mededeling waardoor de overeenkomst duurzaam geregistreerd wordt – Begrip – Algemene verkoopvoorwaarden die kunnen worden geraadpleegd en afgedrukt via een link die deze in een nieuw venster toont – ,click wrapping’. Het Hof  verklaart voor recht:

Artikel 23, lid 2, van verordening (EG) nr. 44/2001 van de Raad van 22 december 2000 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken moet aldus worden uitgelegd dat bij een elektronisch gesloten koopovereenkomst zoals die in het hoofdgeding, de door middel van „click wrapping” gedane acceptatie van de algemene voorwaarden, die een overeenkomst tot aanwijzing van de bevoegde rechter bevatten, is aan te merken als een elektronische mededeling waardoor de overeenkomst duurzaam geregistreerd wordt als bedoeld in die bepaling, wanneer de tekst van de algemene voorwaarden kan worden afgedrukt en opgeslagen vóór de sluiting van de overeenkomst.

Gestelde vraag:

„Voldoet het zogeheten ,click wrapping’ aan de voorwaarden van een elektronische mededeling in de zin van artikel 23, lid 2, van [de Brussel I-verordening]?”

Op andere blogs:
Ius Mentis

IT 1794

Facebook moet gegevens wraakporno afgeven of onderzoeken

Vzr. Rechtbank Amsterdam 25 juni 2015, IT 1794; ECLI:NL:RBAMS:2015:3984 (Facebook wraakporno)
Als randvermelding. Veroordeling Facebook tot verstrekken van gegevens aan slachtoffer ‘wraakporno’ en tot het laten verrichten van onderzoek voor het geval deze gegevens niet worden verstrekt, omdat ze definitief verwijderd zouden zijn. Rechtsplicht voor provider verstrekken NAW gegevens bij onrechtmatig handelen gebruiker. Onrechtmatige daad.

3.2. (...) Bovendien kan het volgens Facebook 90 dagen duren voordat verwijdering definitief is. Als Facebook in dergelijke gevallen de gegevens niet bewaart, geeft zij een vrijbrief aan iedereen die zich schuldig maakt aan zogenoemde ‘wraakporno’ (het zonder toestemming plaatsen van intiem beeldmateriaal van (voormalige) relaties op openbaar toegankelijke websites), om daarmee zonder gevolgen weg te komen. Mocht Facebook in dat standpunt echter volharden, dan dient in ieder geval de subsidiaire vordering te worden toegewezen. Facebook handelt onrechtmatig door te weigeren om de gegevens te verstrekken, dan wel om mee te werken aan een onafhankelijk onderzoek door een ict-deskundige naar de vraag of deze echt permanent en onherstelbaar verwijderd zijn. Niet valt uit te sluiten dat de gegevens van de aanmaker van de account (eventueel via andere personen die ‘vrienden’ zijn geworden met ‘[profielnaam]’, op de servers van Facebook nog wel te traceren zijn.

4.5.
Verder heeft Facebook niet betwist dat het openbaar maken van de gewraakte opname waarbij eiseres herkenbaar in beeld seksuele handelingen verricht, jegens haar onrechtmatig is, noch dat eiseres ten tijde van het maken van het filmpje minderjarig was. Evenmin heeft Facebook betwist dat eiseres thans niet op andere wijze dan via het benaderen van Facebook de gegevens kan achterhalen van degene die op deze wijze onrechtmatig jegens haar heeft gehandeld.
Onder deze omstandigheden kan daarom worden aangenomen dat op Facebook in beginsel de rechtsplicht rust om aan eiseres de gevraagde gegevens te verstrekken en dat zij jegens eiseres onrechtmatig handelt door daartoe niet over te gaan. Facebook heeft, behoudens het navolgende, waarop in r.o. 4.6 en volgende nader wordt ingegaan, geen (juridische) weren, feiten of omstandigheden aangevoerd op grond waarvan zich een dergelijke rechtsplicht in dit concrete geval niet zou voordoen.
4.6.
Het inhoudelijke verweer van Facebook dat volgens haar zou moeten leiden tot afwijzing van de vorderingen, is beperkt tot haar stelling dat zij niet aan de vorderingen kan voldoen, omdat de gevraagde gegevens al volledig en permanent gewist zouden zijn.

De voorzieningenrechter
5.1. beveelt Facebook om aan eiseres binnen 14 dagen na de betekening van dit vonnis alle bij Facebook bekende gegevens met betrekking tot de houder c.q. maker van de Facebook account met gebruikersnaam [profielnaam] en met kenmerk: [naam digitaal adres] te verstrekken, waaronder in ieder geval:
a. de (opgegeven) voor- en achternaam
b. het e-mailadres en het mobiele nummer
c. de geboortedatum
d. het IP-adres van de computer die is gebruikt om de account aan te maken
e. de datum en tijd (en andere log-gegevens waarover Facebook mocht beschikken) ten aanzien van het aanmaken, gebruik en het verwijderen van de account;
IT 1793

Misbruik van profielen op een concurrerende datingsite

Vzr. Rechtbank Noord-Nederland 1 mei 2015, IT 1793; ECLI:NL:RBNNE:2015:2124 (Datingprofielen)
Misbruik van profielen op een concurrerende datingsite. Er bestaat voldoende aanleiding om aan gedaagden zowel een verbod op te leggen met betrekking tot het plaatsen van nepprofielen op websites van Amazing Bits c.s. als een verbod om deelnemers op datingsites van Amazing Bits c.s. te trachten te bewegen om over te stappen naar de datingsite(s) van gedaagden.
Lees verder

IT 1792

Conclusie AG: Een agent kan vestiging zijn bij voldoende mate van duurzaamheid

Conclusie AG HvJ EU 25 juni 2015, IT 1792; ECLI:EU:C:2015:426; zaak C-230/14(Weltimmo)
Persoonsgegevens. Zie IT 1571. Voor de gegevensverwerking verantwoordelijke, gevestigd op het grondgebied van een andere lidstaat. Bepaling van het toepasselijke recht en de bevoegde toezichthoudende autoriteit. Sanctiebevoegdheid. Begrip ‚gegevensverwerking’. Conclusie:

1)      Artikel 4, lid 1, onder a), van richtlijn 95/46 verzet zich ertegen dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet toepast op een voor de verwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd. Hiervoor dient het begrip vestiging aldus te worden uitgelegd dat het het bestaan van een vaste inrichting veronderstelt, onafhankelijk van de rechtsvorm daarvan, door middel waarvan effectief en daadwerkelijk activiteiten worden uitgeoefend. Eén agent kan al worden beschouwd als vaste inrichting, wanneer deze een voldoende mate van duurzaamheid biedt met behulp van de personele en technische middelen die voor het verlenen van de betrokken concrete diensten nodig zijn.
      Andere elementen, zoals de plaats van waar de gegevens zijn verzonden, de nationaliteit van de betrokken adverteerders, de woonplaats van de eigenaren van de voor de gegevensverwerking verantwoordelijke onderneming, of het feit dat de door die verantwoordelijke geleverde dienst gericht is op het grondgebied van een andere lidstaat, spelen geen rechtstreekse en bepalende rol bij de vaststelling van het toepasselijke recht, maar kunnen wel een aanwijzing vormen voor het effectieve en daadwerkelijke karakter van de activiteiten – waardoor de plaats van vestiging kan worden bepaald – en in het bijzonder voor de vaststelling of de gegevensverwerking is verricht in het kader van de activiteiten van die vestiging.

2)      Ingeval de nationale rechter, op grond van het criterium van artikel 4, lid 1, onder a), van richtlijn 95/46, bepaalt dat zijn nationale recht niet van toepassing is, moet artikel 28, lid 6, van bedoelde richtlijn aldus worden uitgelegd dat het opleggen van sancties wegens inbreuken in verband met gegevensverwerking valt onder de bevoegdheid van de toezichthoudende autoriteit van de lidstaat wiens recht van toepassing is, ongeacht welke lokale toezichthoudende autoriteit het geheel van de in artikel 28, lid 3, genoemde bevoegdheden op haar eigen grondgebied kan uitoefenen, overeenkomstig de bepalingen van haar nationale recht.

3)      Het begrip ‚adatfeldolgozás’, gebruikt in artikel 4, lid 1, onder a), en artikel 28, lid 6, van de Hongaarse versie van richtlijn 95/46, moet aldus worden uitgelegd dat het zowel de gegevensverwerking in ruime zin, als het verrichten van technische taken in het kader van de gegevensverwerking omvat.

Gestelde vragen:

1)      Moet artikel 28, lid 1, van richtlijn 95/46 [...] aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaars hun persoonsgegevens naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

2)      Moet artikel 4, lid 1, onder a), van de richtlijn gegevensbescherming, junctis de punten 18 tot en met 20 van de considerans en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaars de desbetreffende gegevens waarschijnlijk vanuit Hongarije naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

3)      Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?

4)      Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaars ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?

5)      Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?

6)      Is het voor uitleggingsdoeleinden relevant dat de eigenaars van de in Slowakije gevestigde onderneming een woonplaats hebben in Hongarije?

7)      Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?

8)      Mag ervan worden uitgegaan dat het begrip ‚adatfeldolgozás’ [technische bewerking van gegevens] dat zowel in artikel 4, lid 1, onder a), als in artikel 28, lid 6 van de [Hongaarse taalversie van] de richtlijn gegevensbescherming wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip ‚adatkezelés’ [gegevensverwerking]?
IT 1791

Commerciële waarde migratie is anders dan werkelijke waarde

Hof Den Haag 31 maart 2015, IT 1791 ; ECLI:NL:GHDHA:2015:1113 (exact software tegen brandmeester)
Bekrachtiging vonnis. Brandmeester's voeren een koffie- en theespeciaalzaak; voor de bedrijfsvoering en administratie gebruiken zij de software, hardware en support van exact. Ze onderhandelde over migratie van DOS naar Globe 2003. De rechtbank verklaart de overeenkomst ontbonden en betaling van €49.136,85 als ongedaanmakingsverbintenis. Exact roept in dat slechts de gedeeltelijke ontbinding werd gevorderd, deze grief is ongegrond. Het automatisch afletteren van pintransacties had mogelijk verwacht kunnen worden door Brandmeester's. De commerciële waarde is anders dan de waarde die de prestatie werkelijk zou hebben gehad voor Brandmeester's. Exact verkeerde als leverancier van het oude en van het nieuwe systeem in een uitstekende positie om inzicht in besparing te geven, maar heeft dat ondanks de door de rechtbank in die richting gegeven vingerwijzing niet gedaan.

Non-conformiteit van de prestatie van Exact   4.11
    Het hof is met de rechtbank van oordeel dat Brandmeester's bij het sluiten van de overeenkomst mocht verwachten dat in het door Exact geleverde softwarepakket het automatisch afletteren van pintransacties mogelijk was, ook als de bijschrijvingen, zoals bij haar het geval was, door de bank gecomprimeerd werden aangeleverd. Dat grondt het hof daarop:
     dat Brandmeester's duidelijk had doen weten dat het automatisch invoeren en verwerken van de voor haar boekhouding benodigde gegevens voor haar van belang was;
     dat die aflettering een normale boekhoudkundige bewerking van automatisch ingevoerde gegevens was;
     dat Exact haar er niet op gewezen had dat deze functie in de geleverde software ontbrak.

Tekortkoming en ontbinding    5.7
    Grief XIV verzet zich tegen het oordeel van de rechtbank dat artikel 10.1 van de algemene voorwaarden aan ontbinding niet in de weg staat omdat de daarin voorkomende opsomming van ontbindingsmogelijkheden veeleer ziet op ontbinding door de licentiegever en niet limitatief is. Deze bepaling luidt:
    Onverminderd het bepaalde in artikel 7 van de Onderhoudsovereenkomst en artikel 3.2 van de Algemene Bepalingen, kan een overeenkomst schriftelijk, zonder rechterlijke tussenkomst worden ontbonden indien:
    de andere partij, na deugdelijke schriftelijke ingebrekestelling, alsnog nalaat zijn verplichtingen uit de Overeenkomst na te komen binnen dertig (30) kalenderdagen na de ingebrekestelling;
    een wijziging in de Zeggenschap over de Licentiehouder plaatsvindt.
    5.8
    In dit artikel worden twee gevallen genoemd waarin de overeenkomst zonder rechterlijke tussenkomst kan worden ontbonden. De bewoordingen geven geen aanknopingspunt voor de stelling dat deze opsomming een limitatief karakter zou hebben. Onder a) wordt een verkorte en vereenvoudigde parafrase gegeven van de in de wet voorziene ontbinding bij een tekortschieten door een der partijen, waarbij de wettelijke regeling in zoverre wordt aangevuld dat invulling wordt gegeven aan de bij ingebrekestelling te stellen redelijke termijn voor nakoming. Onder b) wordt de mogelijkheid van ontbinding bovendien gegeven in een geval waarin van een tekortkoming geen sprake is. Er is geen grond voor de stelling dat deze bepaling bedoelt af te wijken van artikel 6:83 aanhef en sub c B.W. en het hof zou het ook onredelijk en ondoelmatig achten als het de bedoeling zou zijn een ingebrekestelling en het stellen van een redelijke termijn voor nakoming te eisen wanneer uit een mededeling van de schuldenaar reeds moet worden afgeleid dat deze zal tekortschieten en met een dergelijke ingebrekestelling geen redelijk doel meer gediend zou zijn. De grief faalt daarom.

Ongedaanmaking    6.3
    Het hof acht dit betoog onjuist. Het gaat hier niet om de commerciële waarde van de prestatie van Exact, maar, aangezien de prestatie niet aan de verbintenis beantwoordde, om de waarde die zij werkelijk heeft gehad voor Brandmeester's. Die waarde bestond daarin dat zij het door Exact geleverde systeem Globe 2003 kon gebruiken in plaats van het oude Exact voor DOS. Het gaat dus wel degelijk om vergelijking tussen het oude en het nieuwe systeem. Het blijven gebruiken van Exact voor DOS had voor Brandmeester's ongetwijfeld kosten met zich gebracht en in verband met de veroudering van DOS mogelijk ook andere schade, die zij zich door van het nieuwe systeem gebruik te maken, heeft bespaard. Exact verkeerde als leverancier van het oude en van het nieuwe systeem in een uitstekende positie om inzicht in die besparing te geven, maar heeft dat ondanks de door de rechtbank in die richting gegeven vingerwijzing niet gedaan. Daaraan kan het hof geen andere consequentie verbinden dan die welke de rechtbank er ook reeds aan verbond: de waarde die het geleverde in de gegeven omstandigheden voor Brandmeester's werkelijk heeft gehad, is door Exact onvoldoende gemotiveerd gesteld en moet daarom op nihil worden begroot. De grief faalt.
IT 1790

Afwijzing verzoek verwijdering codes uit Centraal Krediet Informatiesysteem

Rechtbank Rotterdam 6 januari 2015, IT 1790; ECLI:NL:RBROT:2015:4352 (verzoekster tegen Volkswagen Bank)
Verzoek om verwijdering van codes uit het Centraal Krediet Informatiesysteem (CKI) op grond van artikel 45 jo 46 Wbp. Niet gesteld of gebleken is van feiten en of omstandigheden die ervoor zorgen dat de handelswijze van Volkswagen Bank een grond opleveren voor het verwijderen van de persoonsgegevens van Hetharia. Het verzoek wordt afgewezen.

4.1. [verzoekster] heeft als productie 2 overgelegd een uitdraai van haar geregistreerde kredietgegevens bij de BKR, waarvan deel uitmaakt de registratie die door Volkswagen Bank is gedaan. Tussen partijen staat als niet weersproken vast dat de door Volkswagen Bank geregistreerde kredietgegevens van [verzoekster] zijn aan te merken als persoonsgegevens in de zin van artikel 1 aanhef en sub a van de Wet bescherming persoonsgegevens (verder: Wbp) en dat het CKI is aan te merken als bestand in de zin van artikel 1 aanhef en sub c jo. artikel 2 lid 1 van de Wbp.
4.2. Op grond van artikel 36 lid 1 Wbp heeft [verzoekster] Volkswagen Bank verzocht om de code A en code H uit het CKI te verwijderen.

4.3. Volkswagen Bank heeft haar verzoek afgewezen. Op grond van artikel 45 jo. 46 Wbp heeft [verzoekster] zich thans tot de rechtbank gewend met het verzoek om Volkswagen Bank te bevelen de code A en code H uit het CKI te verwijderen.

4.7. Artikel 29, lid 3 AR luidt als volgt:
De deelnemer is verplicht om de betrokkene, indien zich een achterstand dreigt voor te doen als aangegeven in artikel 25 lid 1 van dit reglement, tijdig en schriftelijk te waarschuwen dat verder uitstel van betalen zal leiden tot een achterstandsmelding bij de stichting. De deelnemer is gehouden om het tijdstip van deze vooraankondiging zodanig vast te stellen dat de betrokkene nog de gelegenheid heeft zijn achterstand geheel in te lopen en daarmee de achterstandsmelding af te wenden.
Het toetsingskader
4.8. Artikel 36 lid 1 Wbp vermeld als gronden voor het doen van een verzoek om de desbetreffende persoonsgegevens te verwijderen dat deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend dan wel dat de desbetreffende persoonsgegevens anderszins in strijd met een wettelijk voorschrift worden verwerkt.

4.9. Voorts moet de Wbp worden uitgelegd in overeenstemming met artikel 8 EVRM. Dit betekent dat dient te worden beoordeeld of de persoonsgegevens van [verzoekster] zijn verwerkt op een wijze die verenigbaar is met het bepaalde in artikel 8 EVRM, op grond waarvan een belangenafweging dient plaats te vinden. Bij elke gegevensverwerking moet zijn voldaan aan beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel, en dit doel moet in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwerkelijkt.
IT 1789

NPO beëindigt overtredingen na onderzoek CBP

Uit het persbericht: De Nederlandse Publieke Omroep (NPO) heeft maatregelen getroffen om geconstateerde overtredingen van de Wet bescherming persoonsgegevens (Wbp) te beëindigen. Het College bescherming persoonsgegevens (CBP) neemt daarom geen handhavende maatregelen tegen de NPO. Het CBP constateerde eerder dat de NPO met zogeheten tracking cookies persoonsgegevens van websitebezoekers verzamelde zonder hiervoor hun ondubbelzinnige toestemming te vragen. Met deze tracking cookies kon de NPO het surfgedrag van bezoekers van verschillende omroepwebsites volgen. Het volgen van surfgedrag via cookies zonder adequate informatie en voorafgaande toestemming van de websitebezoeker is niet toegestaan.

Maatregelen NPO
De NPO plaatst en verwerkt inmiddels niet langer tracking cookies zonder dat een bezoeker hiervoor zijn ondubbelzinnige toestemming heeft gegeven.

Daarnaast heeft de NPO de informatie over cookies aangepast en daarmee de geconstateerde overtredingen beëindigd. De informatie in de cookiebanner is bijvoorbeeld verduidelijkt en websitebezoekers krijgen informatie over de achterliggende advertentienetwerken.

Gegevens over surfgedrag
Gegevens over surfgedrag zijn gevoelige gegevens die een indringend beeld kunnen geven van iemands gedrag en belangstelling. Internetgebruikers hebben het recht om te weten wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt.

Websitebezoekers horen eerst duidelijke informatie te krijgen over de verschillende soorten cookies en over welke van hun persoonsgegevens waarvoor worden gebruikt zodat zij weten waarvoor zij precies toestemming geven.

IT 1788

EHRM grote kamer: Internetportal verantwoordelijk voor anonieme lasterlijke comments

EHRM 16 juni 2015, IT 1788; Application 64569/09 (Delfi tegen Estonia) - video - persbericht
Nieuwsportaal Delfi werd verantwoordelijk gehouden voor de lasterlijke anonieme commentaren op een artikel over bestuurder bij een ferrymaatschappij. Het EHRM oordeelde eerder [IT 1295] dat er geen schending van de vrijheid van meningsuiting plaatsvond (10 EVRM) en het nieuwsportaal verantwoordelijk is voor commentaren op een artikel. De Grote Kamer oordeelt wederom dat er geen schending is van artikel 10 EVRM door het verantwoordelijk houden van een (van de grootste, Estse) internetportals voor de anonieme lasterlijke commentaren.

The Grand Chamber agreed with the Chamber’s assessment of the question which had identified four key aspects: the context of the comments; the liability of the actual authors of the comments as an alternative to Delfi being held liable; the steps taken by Delfi to prevent or remove the defamatory comments; and the consequences of the proceedings before the national courts for Delfi.(...)

Firstly, as regards the context, the Grand Chamber attached particular weight to the extreme nature of the comments and the fact that Delfi was a professionally managed Internet news portal run on a commercial basis which sought to attract a large number of comments on news articles published by it. Moreover, as the Supreme Court had pointed out, Delfi had an economic interest in the posting of the comments. The actual authors of the comments could not modify or delete their comments once they were posted, only Delfi had the technical means to do this. The Grand Chamber therefore agreed with the Chamber and the Supreme Court that, although Delfi had not been the actual writer of the comments, that did not mean that it had no control over the comment environment and its involvement in making the comments on its news article public had gone beyond that of a passive, purely technical service provider.

Secondly, Delfi had not ensured a realistic prospect of the authors of the comments being held liable. The owner of the ferry company could have attempted to sue the specific authors of the offensive comments as well as Delfi itself. However, Delfi allowed readers to make comments without registering their names, and the measures to establish the identity of the authors were uncertain. Nor had Delfi put in place any instruments to identify the authors of the comments making it possible for a victim of hate speech to bring a claim.

Thirdly, the steps taken by Delfi to prevent or remove without delay the defamatory comments once published had been insufficient. Delfi did have certain mechanisms for filtering hate speech or speech inciting violence, namely a disclaimer (stating that authors of comments were liable for their content, and that threatening or insulting comments were not allowed), an automatic system of deletion of comments containing a series of vulgar words and a notice-and-take-down system (whereby users could tell the portal’s administrators about offensive comments by clicking a single button). Nevertheless, both the automatic word-based filter and the notice-and-take-down system had failed to filter out the manifest expressions of hatred and blatant threats to the owner of the ferry company by Delfi’s readers and the portal’s ability to remove offending comments in good time had therefore been limited. As a consequence, the comments had remained online for six weeks. The Grand Chamber considered that it was not disproportionate for Delfi to have been obliged to remove from its website, without delay, clearly unlawful comments, even without notice from the alleged victims or from third parties whose ability to monitor the Internet was obviously more limited than that of a large commercial Internet news portal such as Delfi.

Finally, the Grand Chamber agreed with the Chamber that the consequences of Delfi having been held liable were small. The 320 euro fine was by no means excessive for Delfi, one of the largest Internet portals in Estonia, and the portal’s popularity with those posting comments had not been affected in any way – the number of comments posted had in fact increased. Registered comments are now a possibility but anonymous comments are still predominant, with Delfi even having set up a team of moderators for their follow-up. Furthermore, the tangible result for Internet operators in post-Delfi cases before the national courts has been that they have taken down offending comments but have not been ordered to pay compensation.

Op andere blogs:
Dirkzwager
Media Report

IT 1787

Facebook is geen Google

Bijdrage ingezonden door Fulco Blokhuis, Boekx. Verzoeker had Facebook NL verzocht om inzage. De rechtbank verklaart verzoeker niet ontvankelijk, omdat Facebook NL geen verantwoordelijke is. verzoeker had er verstandig aan gedaan om ook Facebook Inc. en Facebook Ierland aan te spreken.

Facebook NL verkoopt advertentieruimte (volgens kvk: Het verkopen van advertentieruimte , commerciële ontwikkeling, marketing en, meer in het algemeen , alle commerciële, industriële, financiële, zakelijke of persoonlijke transactie welke, direct of indirect, verband houden met vorengenoemd doel of het tot stand brengen daarvan bevorderd, alsmede houdster- en financieringsactiviteiten)

In het Costeja-arrest oordeelde het Europese Hof al eens dat het hebben van een vestiging die advertenties verkoop voldoende is om locaal recht van toepassing te verklaren. zie ro 44.-60 Google Inc had een vestiging in Spanje, omdat Google Spain een vestiging was van Google Inc., die gebruikt werd in het kader van de activiteiten van Google Inc.

Die redenering had ook kunnen worden toegepast door de rechtbank in deze zaak tegen Facebook.

Echter, de rechtbank overweegt [red IT 1784]: "Als onvoldoende weersproken staat vast dat voldoende juridisch en feitelijk onderscheid tussen Facebook Nederland en Facebook Ierland bestaat, en dat deze entiteiten niet met elkaar kunnen worden vereenzelvigd. Niet betwist is dat uitsluitend Facebook Ierland, en niet (mede) Facebook NL, verantwoordelijk is voor de verwerking van persoonsgegevens. Dit leidt ertoe dat een verzoek tot inzage niet kan worden gericht aan Facebook Nederland."

De zaak strandt dus op de feiten en matig procederen door verzoeker. De verzoeker had moeten stellen dat de activiteiten van Facebook Nederland onlosmakelijk verbonden is met die van Facebook Ierland, daar de activiteiten inzake de advertentieruimtes het middel vormen om de betrokken website economisch rendabel te maken. Daarmee zou Facebook Nederland verantwoordelijk kunnen worden gehouden voor de verwerking.

Overigens vindt het College Bescherming Persoonsgegevens dat Facebook en Google onderworpen zijn aan haar toezicht.

Ik gaf ook mijn commentaar op Computerworld.

Er is nog tijd voor hoger beroep om de omissie te herstellen.