Persoonsgegevens  

HvJ EU 12 januari 2023, IT 4200; C-154/21, ECLI:EU:C:2023:3 (Österreichische Post) Op 15 januari 2019 heeft RW Österreichische Post verzocht om op grond van artikel 15 AVG inzage te verkrijgen van de hem betreffende persoonsgegevens die Österreichische Post opslaat dan wel in het verleden heeft opgeslagen, alsmede om hem informatie te verstrekken over wie de ontvangers daarvan waren, voor het geval dat deze gegevens aan derden zijn meegedeeld. In antwoord op dit verzoek heeft Österreichische Post zich beperkt tot de mededeling dat zij in het kader van haar activiteit als uitgever van telefoongidsen gebruikmaakt van persoonsgegevens en deze voor marketingdoeleinden aanbiedt aan zakelijke klanten. Afgezien daarvan heeft zij voor nadere informatie en met betrekking tot overige doeleinden van gegevensverwerking verwezen naar een website. Zij heeft RW niet meegedeeld wie de concrete ontvangers van de gegevens waren. RW heeft Österreichische Post gedaagd, de zaak komt uiteindelijk bij het Oberste Gerichtshof (hoogste federale rechter in civiele en strafzaken, Oostenrijk). Het Oberste Gerichtshof stelt het Hof de vraag of het recht van inzage beperkt is tot categorieën van ontvangers indien bij de voorgenomen verstrekking van informatie de specifieke ontvangers daarvan nog niet vaststaan, maar dat recht zich noodzakelijkerwijs ook moet uitstrekken tot ontvangers van die informatie wanneer reeds gegevens zijn meegedeeld.

HvJ EU 12 januari 2023, IT 4197; C-132/21, ECLI:EU:C:2023:2 (BE tegen NAIH) BE heeft een algemene vergadering bijgewoond, op de algemene vergadering is een geluidsopname gemaakt. BE heeft vergolgens de vennootschap verzocht om haar de tijdens voormelde algemene vergadering gemaakte geluidsopname ter beschikking te stellen. De betrokken vennootschap heeft BE alleen de fragmenten van die opname waarop haar eigen opmerkingen waren vastgelegd, ter beschikking gesteld, en niet de fragmenten met de opmerkingen van de overige deelnemers aan de algemene vergadering in kwestie. BE heeft de toezichthoudende autoriteit verzocht om vast te stellen dat dit handelen onrechtmatig is, de toezichthoudende autoriteit heeft dit verzoek afgewezen. BE is hiertegen in beroep gegaan bij de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije) met betrekking tot de toezichthoudende autoriteit en bij de Fővárosi Ítélőtábla (rechter in tweede aanleg Boedapest, Hongarije) met betrekking tot de verwerkingsverantwoordelijke. Terwijl het eerste beroep nog aanhangig was bij de verwijzende rechter, heeft de Fővárosi Ítélőtábla het tweede beroep bij in kracht van gewijsde gegane beslissing toegewezen op grond dat de verwerkingsverantwoordelijke het recht van BE op toegang tot zijn persoonsgegevens had geschonden. De verwijzende rechter twijfelt over de parallelle uitoefening van de rechtsmiddelen van de artikelen 77 tot en met 79 van verordening 2016/679.

In 2022 hebben zich op het vlak van IT-recht weer veel ontwikkelingen voorgedaan. Duidelijk is dat de digitale transformatie in Europa serieus wordt aangepakt. Veel nieuwe wetgeving is geïntroduceerd, bijvoorbeeld op het gebied van AI en cybersecurity. 

Nieuwe wetgeving ten aanzien van de betrouwbaarheid van online reviews is ook in werking getreden. 

In de jurisprudentie speelt nog steeds de zorgplicht van de IT-leverancier een rol en wordt ook regelmatig geprocedeerd over de afgifte van allerlei soorten data. Lees er meer over in dit actuele IT-jaaroverzicht opgesteld door Turing Advocaten.

Rb. Gelderland 15 augustus 2022, IT 4184; ECLI:NL:RBGEL:2022:6932 (verzoekster tegen BKR) In het CKI staat een registratie op naam van verzoekster met betrekking tot een overeenkomst waar zij niet bekend mee is. Het betreft een overeenkomst met De Volksbank, verzoekster is hier geen klant en heeft ook geen betalingsachterstand bij De Volksbank. BKR voert aan dat zij verwijderverzoeken niet in behandeling hoeft te nemen, dan wel mag afwijzen, omdat de rechtmatigheid van bijzonderheidscoderingen niet onder de verwerkingsverantwoordelijkheid valt van BKR, maar onder die van de kredietaanbieder die de gegevens in het CKI heeft geregistreerd. De rechtbank oordeelt dat zowel De Volksbank, als BKR verwerkingsverantwoordelijke is. Artikel 26 lid 3 AVG bepaalt uitdrukkelijk dat bij gezamenlijke verwerkingsverantwoordelijken een betrokkene zijn rechten uit de AVG tegenover iedere gezamenlijke verwerkingsverantwoordelijke kan uitoefenen. BKR is dus verplicht om verwijderverzoeken te behandelen. Verder oordeelt de rechtbank dat één van de twee geregistreerde coderingen onrechtmatig is, die moet worden verwijderd.

Amtsgericht Wesel (Duitsland) 13 oktober 2022, IT 4177; C-590/22 (PS) Via MinBuza. Eisers in het hoofdgeding vorderen vergoeding van immateriële schade van verweerders wegens schending van bepalingen van de AVG. Eisers waren opdrachtgevers van de eerste verweerder, een belastingadvieskantoor, waarvan de tweede tot en met de zesde verweerder de vennoten zijn. Nadat eisers de eerste verweerder hadden meegedeeld dat hun adres was gewijzigd, stuurde de eerste verweerder per post verscheidene brieven naar het nieuwe adres. De adreswijziging is eveneens ingevoerd in de basisgegevens die zijn opgeslagen in het elektronisch gegevensverwerkingssysteem van verweerder. 

HvJ EU 8 december 2022, IT 4174; C-460/20, ECLI:EU:C:2022:962 (TU, RE tegen Google) Twee bestuurders van een groep investeringsmaatschappijen hebben Google verzocht om de links die na een zoekopdracht op hun namen worden getoond en leiden naar bepaalde artikelen waarin het investeringsmodel van deze ondernemingsgroep kritisch wordt voorgesteld, uit de zoekresultaten te verwijderen. Zij stellen dat deze artikelen onjuiste beweringen bevatten. De zaak komt bij het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland), hij stelt een tweetal vragen aan het Hof.

Ktr. Rb. Midden-Nederland 21 november 2022, IT 4167; 10154324 / MV EXPL 22-129 D/51246 (eiser tegen Faldon) Kort geding. Opdrachtovereenkomst en afgifte data. Conventionele vordering tot betaling niet ontvankelijk. In reconventie wordt overdracht van alle e-mailadressen en afgifte van alle digitale zaken en gegevens gevorderd. Verweer dat tot afgifte niet kan worden overgegaan omdat opdrachtnemer dan handelt in strijd met de AVG staat toewijzing afgiftevordering niet in de weg. Op grond van art. 7:403 lid 2 BW is opdrachtnemer verplicht om alles af te geven wat hij uit hoofde van de overeenkomst onder zich heeft. Daaronder vallen ook digitale gegevens samengesteld door opdrachtnemer alsmede de beheerde (mailboxen van de) e-mailadressen.

De Duitse toezichthouders oordelen dat de verzameling internetdiensten Microsoft Office 365 niet voldoet aan de eisen die de AVG stelt. Onder meer de veelgebruikte programma's Word, Powerpoint en Excel vallen binnen het Microsoft Office 365 pakket. De Duitse toezichthouders stellen dat Microsoft niet transparant genoeg is over welke gegevens zij verzamelt met het pakket. Dit is een schending van het transparantiebeginsel uit artikel 5 AVG. Microsoft moet hier snel verbetering aan brengen, aldus de toezichthouders.

Rechtbank Midden-Nederland 24 augustus 2022, IT 4164; ECLI:NL:RBMNE:2022:3438 (verzoeker tegen ASR) Tussen verzoeker en ASR is een geschil gerezen over de vraag of ASR aan haar AVG-verplichtingen heeft voldaan. ASR heeft verzoeker geïnformeerd over de persoonsgegevens die zij van hem heeft bijgehouden. Verzoeker is van mening dat het verstrekte overzicht onjuist en onvolledig is en dat ASR daarbij onrechtmatig heeft gehandeld. De rechtbank oordeelt dat de handelswijze van ASR als niet rechtmatig moet worden gekwalificeerd. Dit omdat ASR ten onrechte het emailadres van verzoeker en het polisnummer bekend heeft gemaakt aan diens ex partner, zonder verzoekers toestemming. Ten tweede heeft ASR in een productie bij het verweerschrift vermeld dat verzoeker “erg reuma” heeft. Dit betreft een bijzondere categorie van persoonsgegevens van verzoeker die niet mogen worden verwerkt. Desondanks worden de vorderingen tot schadevergoeding afgewezen. De vordering tot immateriële schadevergoeding wordt afgewezen omdat verzoeker niet aan zijn stelplicht heeft voldaan. De materiële schadevergoeding wordt afgewezen omdat er geen sprake is van causaal verband.

[via Autoriteit Persoonsgegevens]. De Autoriteit Persoonsgegevens raadt bezoekers van het WK in Qatar aan om een tweede telefoon mee te nemen die zij niet gebruiken. Bezoekers van het WK worden namelijk verplicht een aantal apps op hun telefoon te installeren. Zo moeten de apps Ehteraz, een coronatracker, en Hayya, een speciale WK-app worden geinstalleerd. De Duitse privacytoezichthouder heeft de apps geanalyseerd. Hieruit volgde dat de gegevensverwerking van beide apps waarschijnlijk veel verder gaat dan de beschrijvingen van de kennisgevingen van gegevensbescherming en de verwerkingsdoeleinden in de app stores aangeven. Zo registreren de apps bijvoorbeeld met wie een gebruiker gebeld heeft en welke apps er allemaal op de telefoon staan. Ook is het vermoedelijk mogelijk dat de apps toegang hebben tot de foto’s van de gebruiker. Verder is uit de analyse gebleken dat de verzamelde gegevens gegevens niet alleen lokaal op het apparaat blijven, maar worden doorgestuurd naar een centrale server.