Persoonsgegevens  

Via Considerati Op 13 december 2022 heeft de Europese Commissie het proces voor het EU-US Data Privacy Framework (DPF) gestart. Het DPF is ontworpen om de trans-Atlantische overdracht van persoonsgegevens veiliger en beter te maken en biedt een passend beschermingsniveau voor organisaties die zich certificeren voor het DPF. Hoewel deelname niet verplicht is, biedt het wel veel voordelen en zullen doorgiften van persoonsgegevens tussen de EU en de VS gemakkelijker zijn. Het ontwerpbesluit zal nu door een formele goedkeuringsprocedure gaan, waarbij het Europees Parlement, een comité van EU-lidstaatvertegenwoordigers en de EDPB betrokken zijn. Het proces duurt ongeveer zes maanden.

Hof van Justitie van de Europese Unie 26 januari 2023, IT 4214; ECLI:EU:C:2023:49 (bijzondere strafrechter, Bulgarije tegen V.S.) De Bulgaarse rechter vraagt het Europees Hof om een prejudiciële beslissing over de compatibiliteit van de politiële registratie van biometrische en genetische gegevens in het nationale recht met Richtlijn 2016/680 voor de verwerking van persoonsgegevens en het Handvest van de grondrechten van de Europese Unie. Artikel 10 van Richtlijn 2016/680 bepaalt dat de verwerking van gevoelige gegevens zoals biometrische en genetische gegevens slechts toegestaan is als het noodzakelijk is en er passende waarborgen zijn voor de rechten van de betrokkene. Het Handvest garandeert effectieve rechtsgang bij bescherming van door Unierecht gewaarborgde rechten, waaronder het bezwaar maken tegen verzameling van deze gegevens voor politiële registratie. Lidstaten moeten ook zorgen voor effectieve rechtsgang bij verwerking van persoonsgegevens. Verzameling van biometrische en genetische gegevens van verdachten is toegestaan als het door een rechter is goedgekeurd, met een latere effectieve rechterlijke toetsing en als de doelstellingen welbepaald, uitdrukkelijk omschreven en legitiem zijn.

HvJ EU 12 januari 2023, IT 4200; C-154/21, ECLI:EU:C:2023:3 (Österreichische Post) Op 15 januari 2019 heeft RW Österreichische Post verzocht om op grond van artikel 15 AVG inzage te verkrijgen van de hem betreffende persoonsgegevens die Österreichische Post opslaat dan wel in het verleden heeft opgeslagen, alsmede om hem informatie te verstrekken over wie de ontvangers daarvan waren, voor het geval dat deze gegevens aan derden zijn meegedeeld. In antwoord op dit verzoek heeft Österreichische Post zich beperkt tot de mededeling dat zij in het kader van haar activiteit als uitgever van telefoongidsen gebruikmaakt van persoonsgegevens en deze voor marketingdoeleinden aanbiedt aan zakelijke klanten. Afgezien daarvan heeft zij voor nadere informatie en met betrekking tot overige doeleinden van gegevensverwerking verwezen naar een website. Zij heeft RW niet meegedeeld wie de concrete ontvangers van de gegevens waren. RW heeft Österreichische Post gedaagd, de zaak komt uiteindelijk bij het Oberste Gerichtshof (hoogste federale rechter in civiele en strafzaken, Oostenrijk). Het Oberste Gerichtshof stelt het Hof de vraag of het recht van inzage beperkt is tot categorieën van ontvangers indien bij de voorgenomen verstrekking van informatie de specifieke ontvangers daarvan nog niet vaststaan, maar dat recht zich noodzakelijkerwijs ook moet uitstrekken tot ontvangers van die informatie wanneer reeds gegevens zijn meegedeeld.

HvJ EU 12 januari 2023, IT 4197; C-132/21, ECLI:EU:C:2023:2 (BE tegen NAIH) BE heeft een algemene vergadering bijgewoond, op de algemene vergadering is een geluidsopname gemaakt. BE heeft vergolgens de vennootschap verzocht om haar de tijdens voormelde algemene vergadering gemaakte geluidsopname ter beschikking te stellen. De betrokken vennootschap heeft BE alleen de fragmenten van die opname waarop haar eigen opmerkingen waren vastgelegd, ter beschikking gesteld, en niet de fragmenten met de opmerkingen van de overige deelnemers aan de algemene vergadering in kwestie. BE heeft de toezichthoudende autoriteit verzocht om vast te stellen dat dit handelen onrechtmatig is, de toezichthoudende autoriteit heeft dit verzoek afgewezen. BE is hiertegen in beroep gegaan bij de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije) met betrekking tot de toezichthoudende autoriteit en bij de Fővárosi Ítélőtábla (rechter in tweede aanleg Boedapest, Hongarije) met betrekking tot de verwerkingsverantwoordelijke. Terwijl het eerste beroep nog aanhangig was bij de verwijzende rechter, heeft de Fővárosi Ítélőtábla het tweede beroep bij in kracht van gewijsde gegane beslissing toegewezen op grond dat de verwerkingsverantwoordelijke het recht van BE op toegang tot zijn persoonsgegevens had geschonden. De verwijzende rechter twijfelt over de parallelle uitoefening van de rechtsmiddelen van de artikelen 77 tot en met 79 van verordening 2016/679.

In 2022 hebben zich op het vlak van IT-recht weer veel ontwikkelingen voorgedaan. Duidelijk is dat de digitale transformatie in Europa serieus wordt aangepakt. Veel nieuwe wetgeving is geïntroduceerd, bijvoorbeeld op het gebied van AI en cybersecurity. 

Nieuwe wetgeving ten aanzien van de betrouwbaarheid van online reviews is ook in werking getreden. 

In de jurisprudentie speelt nog steeds de zorgplicht van de IT-leverancier een rol en wordt ook regelmatig geprocedeerd over de afgifte van allerlei soorten data. Lees er meer over in dit actuele IT-jaaroverzicht opgesteld door Turing Advocaten.

Rb. Gelderland 15 augustus 2022, IT 4184; ECLI:NL:RBGEL:2022:6932 (verzoekster tegen BKR) In het CKI staat een registratie op naam van verzoekster met betrekking tot een overeenkomst waar zij niet bekend mee is. Het betreft een overeenkomst met De Volksbank, verzoekster is hier geen klant en heeft ook geen betalingsachterstand bij De Volksbank. BKR voert aan dat zij verwijderverzoeken niet in behandeling hoeft te nemen, dan wel mag afwijzen, omdat de rechtmatigheid van bijzonderheidscoderingen niet onder de verwerkingsverantwoordelijkheid valt van BKR, maar onder die van de kredietaanbieder die de gegevens in het CKI heeft geregistreerd. De rechtbank oordeelt dat zowel De Volksbank, als BKR verwerkingsverantwoordelijke is. Artikel 26 lid 3 AVG bepaalt uitdrukkelijk dat bij gezamenlijke verwerkingsverantwoordelijken een betrokkene zijn rechten uit de AVG tegenover iedere gezamenlijke verwerkingsverantwoordelijke kan uitoefenen. BKR is dus verplicht om verwijderverzoeken te behandelen. Verder oordeelt de rechtbank dat één van de twee geregistreerde coderingen onrechtmatig is, die moet worden verwijderd.

Amtsgericht Wesel (Duitsland) 13 oktober 2022, IT 4177; C-590/22 (PS) Via MinBuza. Eisers in het hoofdgeding vorderen vergoeding van immateriële schade van verweerders wegens schending van bepalingen van de AVG. Eisers waren opdrachtgevers van de eerste verweerder, een belastingadvieskantoor, waarvan de tweede tot en met de zesde verweerder de vennoten zijn. Nadat eisers de eerste verweerder hadden meegedeeld dat hun adres was gewijzigd, stuurde de eerste verweerder per post verscheidene brieven naar het nieuwe adres. De adreswijziging is eveneens ingevoerd in de basisgegevens die zijn opgeslagen in het elektronisch gegevensverwerkingssysteem van verweerder. 

HvJ EU 8 december 2022, IT 4174; C-460/20, ECLI:EU:C:2022:962 (TU, RE tegen Google) Twee bestuurders van een groep investeringsmaatschappijen hebben Google verzocht om de links die na een zoekopdracht op hun namen worden getoond en leiden naar bepaalde artikelen waarin het investeringsmodel van deze ondernemingsgroep kritisch wordt voorgesteld, uit de zoekresultaten te verwijderen. Zij stellen dat deze artikelen onjuiste beweringen bevatten. De zaak komt bij het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland), hij stelt een tweetal vragen aan het Hof.

Ktr. Rb. Midden-Nederland 21 november 2022, IT 4167; 10154324 / MV EXPL 22-129 D/51246 (eiser tegen Faldon) Kort geding. Opdrachtovereenkomst en afgifte data. Conventionele vordering tot betaling niet ontvankelijk. In reconventie wordt overdracht van alle e-mailadressen en afgifte van alle digitale zaken en gegevens gevorderd. Verweer dat tot afgifte niet kan worden overgegaan omdat opdrachtnemer dan handelt in strijd met de AVG staat toewijzing afgiftevordering niet in de weg. Op grond van art. 7:403 lid 2 BW is opdrachtnemer verplicht om alles af te geven wat hij uit hoofde van de overeenkomst onder zich heeft. Daaronder vallen ook digitale gegevens samengesteld door opdrachtnemer alsmede de beheerde (mailboxen van de) e-mailadressen.

De Duitse toezichthouders oordelen dat de verzameling internetdiensten Microsoft Office 365 niet voldoet aan de eisen die de AVG stelt. Onder meer de veelgebruikte programma's Word, Powerpoint en Excel vallen binnen het Microsoft Office 365 pakket. De Duitse toezichthouders stellen dat Microsoft niet transparant genoeg is over welke gegevens zij verzamelt met het pakket. Dit is een schending van het transparantiebeginsel uit artikel 5 AVG. Microsoft moet hier snel verbetering aan brengen, aldus de toezichthouders.