Persoonsgegevens  

Rb. Amsterdam 15 januari 2025, IT 4752; ECLI:NL:RBAMS:2025:313 (SBP en SMC tegen Google) Stichtingen SBP en SMC hebben collectieve acties ingesteld tegen Google vanwege vermeende schendingen van privacywetgeving bij de verwerking van persoonsgegevens van gebruikers van Google-diensten en Android-apparaten. SBP en SMC stellen dat Google op onrechtmatige wijze grote hoeveelheden persoonsgegevens verzamelt, bundelt en verwerkt zonder voldoende toestemming van de gebruikers, en deze gegevens vervolgens gebruikt voor gerichte advertenties en doorverkoop aan derden. De stichtingen vorderen onder meer verklaringen voor recht dat Google onrechtmatig handelt, veroordeling tot betaling van schadevergoeding en het opleggen van geboden en verboden aan Google. Google betwist de ontvankelijkheid van de stichtingen en de rechtmatigheid van hun vorderingen.

Rb. Noord-Nederland 9 januari 2025, IT 4742; ECLI:NL:RBNNE:2025:83 (eiseres tegen AP) Eiseres heeft een livestream uitgezonden met videobeelden van de dorpskern van een plaats. Deze beelden werden met een minuut vertraging uitgezonden en zijn afkomstig van twee vaste camera’s die op initiatief van eiseres zijn geplaatst. De eerste camera was bevestigd aan een gebouw en toonde het doorgaande vaarwater, de tweede camera maakte beelden van de haven. Derde-partijen hebben meerdere handhavingsverzoeken ingediend bij de AP omdat zij van mening zijn dat eiseres onrechtmatig persoonsgegevens verwerkt door de livestream uit te zenden. De AP heeft eiseres een bestuurlijke boete opgelegd van € 500,-. 

HvJ EU 9 januari 2025, IT 4735; ECLI:EU:C:2025:2 (Mousse) Mousse is van mening dat het verplicht vragen naar de aanspreektitel (de heer of mevrouw) in strijd is met de AVG, met name de beginselen van rechtmatigheid en minimale gegevensverwerking. Mousse stelde dat het verzamelen van deze gegevens niet noodzakelijk is voor de uitvoering van een vervoersovereenkomst, noch voor de gerechtvaardigde belangen van SNCF Connect. De CNIL (nationale commissie voor informatica en vrijheden) wees het bezwaar van Mousse af. Mousse heeft vervolgens beroep aangetekend bij de Conseil d’État (hoogste bestuursrechter, Frankrijk) tegen de afwijzing van de CNIL. De Conseil d’État vroeg het Hof of bij de beoordeling van de noodzaak van het verzamelen van aanspreektitels, rekening gehouden mag worden met gangbare praktijken in commerciële communicatie, en of dit in overeenstemming is met het principe van minimale gegevensverwerking. Daarnaast vroeg de Conseil d'État of er rekening mee moet worden gehouden dat klanten bezwaar kunnen maken tegen de verwerking van hun aanspreektitel op basis van artikel 21 AVG, en of dit van invloed is op de beoordeling van de noodzaak van de verplichte gegevensverzameling.

Gerecht EU 8 januari 2025, IT 4733; ECLI:EU:T:2025:4 (Bindl tegen Europese Commissie) Een Duits staatsburger, Bindl, heeft de website van de 'Conference on the Future of Europe' bezocht en zich geregistreerd voor een evenement met zijn Facebookaccount via de EU Login-dienst. Hierdoor is zijn IP-adres overgedragen aan Meta Platforms in de Verenigde Staten. Bindl klaagt de Europese Commissie aan, omdat hij van mening is dat zijn recht op bescherming van persoonsgegevens is geschonden. Hij vordert de nietigverklaring van de doorgifte van zijn persoonsgegevens naar derde landen en schadevergoeding voor de geleden immateriële schade, inclusief een vergoeding voor de schending van zijn recht op toegang tot informatie. Daarnaast vraagt hij om vast te stellen dat de Commissie heeft verzuimd een standpunt in te nemen over zijn verzoek om informatie.

HvJ EU 19 december 2024, IT 4731; ECLI:EU:C:2024:1051 (MK tegen K GmbH) K GmbH heeft in 2017 een nieuw cloudgebaseerd softwareprogramma, Workday, ingevoerd en daarbij persoonsgegevens van haar werknemers, waaronder MK, van een ander systeem (SAP) naar servers in de VS overgebracht. Hoewel een bedrijfsovereenkomst is gesloten over de invoering van Workday, stelt MK dat er meer gegevens zijn overgedragen dan is afgesproken en dat deze overdracht niet noodzakelijk is. MK claimt immateriële schade te hebben geleden als gevolg van deze vermeende onrechtmatige verwerking van zijn persoonsgegevens vanaf het moment dat de AVG van toepassing werd tot het einde van het eerste kwartaal van 2019. Het Bundesarbeitsgericht twijfelde vervolgens of de nationale bepaling die deze verwerking regelt in overeenstemming is met de AVG. Dit leidde tot prejudiciële vragen aan het Hof over de interpretatie van artikel 88 AVG en de verhouding tot andere bepalingen van deze verordening, met name artikel 5, 6 en 9.

De AP heeft het Nationaal Archief een formele waarschuwing gegeven om het Centraal Archief Bijzondere Rechtspleging (CABR) niet vanaf 1 januari 2025 op de geplande manier online openbaar en doorzoekbaar te maken. Het CABR is het grootste oorlogsarchief in Nederland. De manier waarop het Nationaal Archief het CABR online openbaar wil maken, is in strijd met de Archiefwet en de AVG. 

Rb. Rotterdam 13 november 2024, IT 4691; ECLI:NL:RBROT:2024:11322 (SDBN tegen Amazon) SDBN komt op voor de belangen van accounthouders van Amazon in Nederland. Het gaat om ongeveer 5 miljoen accounthouders. De kern van het verwijt van SDBN is dat Amazon persoonsgegevens van haar accounthouders in strijd met de AVG verwerkt. SDBN wil door middel van deze collectieve actie bereiken dat Amazon hiermee stopt en dat Amazon de materiële en immateriële schade van haar achterban vergoedt.

Rb. Den Haag 2 oktober 2024, IT 4679; ECLI:NL:RBDHA:2024:16304 (Eiser tegen Nationale-Nederlanden Bank) Eiser heeft een lening aangevraagd bij Nationale-Nederlanden Bank (hierna: NN) waarbij hij een vervalst bankafschrift en een vervalste salarisspecificatie heeft overgedragen. Dit erkent eiser en hij betwist niet dat deze gedragingen hebben geleid tot opname van zijn gegevens in het Incidentenregister, het IVR en het EVR. Hij stelt wel dat de voortduring van deze registraties gelet op zijn belangen en die van NN niet proportioneel is. Hierbij heeft de registratie in het EVR de meest verstrekkende gevolgen voor hem, daarnaast heeft het EVR een hogere drempel voor opname dan nodig is voor opname in het Incidentenregister en het IVR. Aangezien opname in het EVR samenhangt met opname in het Incidentenregister moet hiervoor ook de proportionaliteit worden beoordeeld.

Rb. Rotterdam 6 november 2024, IT 4688; ECLI:NL:RBROT:2024:10919 (Eiseres tegen minister van Financiën) Eiseres heeft de minister verzocht om inzage in haar persoonsgegevens in FSV. De minister heeft dit verzoek aangemerkt als een AVG-verzoek en heeft het afgewezen. Eiseres heeft bezwaar gemaakt tegen dit besluit, en dit bezwaar is gegrond verklaard door de minister. Daarbij heeft hij gesteld dat gegevens in principe moeten worden verstrekt bij een inzageverzoek, maar dat er in dit geval sprake is van een uitzonderingsgrond waardoor hij heeft afgezien van inzage in een aantal gegevens. Eiseres heeft tegen dit besluit beroep ingesteld.

HvJ EU 4 oktober 2024, IT 4684; ECLI:EU:C:2024:827 (Agentsia po vpisvaniyata) OL heeft het Bulgaarse agentschap voor registraties verzocht om verwijdering van haar naam, voornaam, identificatienummer, gegevens van haar identiteitskaart, adres en handtekening uit een vennootschapsovereenkomst. Het agentschap verwijderde uiteindelijk alleen haar identificatienummer, identiteitskaartgegevens en adres. De rechter in eerste aanleg oordeelde dat het agentschap OL's recht op gegevenswissing had geschonden en kende haar een schadevergoeding toe. Het Hof oordeelt dat artikel 21 lid 2 Richtlijn 2017/1132 geen verplichting oplegt aan lidstaten om de openbaarmaking van niet-verplichte persoonsgegevens toe te staan. Het Hof oordeelt verder dat het agentschap in dit geval zowel ontvanger als verwerkingsverantwoordelijke is van de persoonsgegevens in de zin van de AVG. Dit betekent dat het agentschap verantwoordelijk is voor de naleving van de AVG, inclusief het recht op gegevenswissing. Het Hof concludeert dat de Bulgaarse regeling, die de afwijzing van een verzoek tot verwijdering van niet-verplichte persoonsgegevens toestaat als er geen afschrift is verstrekt waarin die gegevens onleesbaar zijn gemaakt, in strijd is met Richtlijn 2017/1132 en artikel 17 AVG. Bovendien oordeelt het Hof dat een handgeschreven handtekening een persoonsgegeven is in de zin van de AVG. Tot slot bevestigt het Hof dat zelfs een kortstondig verlies van controle over persoonsgegevens immateriële schade kan opleveren in de zin van artikel 82 lid 1 AVG.