Persoonsgegevens  

HvJ EU 4 oktober 2024, IT 4658; ECLI:EU:C:2024:854 (Patērētāju tiesību aizsardzības centrs) In Letland heeft een journalist een zaak aangespannen tegen de autoriteit PTAC vanwege een video die zonder zijn toestemming werd verspreid en zijn imago beschadigde, waarbij hij compensatie voor immateriële schade eiste. De zaak is voorgelegd aan het Hof van Justitie van de EU om verduidelijking te krijgen over art. 82 AVG. Het Hof benadrukt dat een inbreuk op de AVG op zichzelf niet voldoende is om te kunnen spreken van schade in de zin van art. 82 AVG, zie [IT 4477]. Verder oordeelt het Hof dat het aanbieden van excuses een passende vergoeding voor immateriële schade in de zin van art. 82 AVG kan vormen, met name wanneer het onmogelijk is om de toestand te herstellen, mits de geleden schade op die manier volledig wordt vergoed. Tot slot mag met betrekking tot de hoogte van de te vergoeden schade op grond van art. 82 AVG, alleen rekening worden gehouden met de daadwerkelijk geleden schade. Er mag dus geen rekening worden gehouden met de houding en beweegredenen van de verwerkingsverantwoordelijke om de betrokkene een lagere vergoeding toe te kennen dan de schade die hij daadwerkelijk heeft geleden.

HvJ EU 4 oktober 2024, IT 4653; ECLI:EU:C:2024:834 (Schrems/Meta) Het Hof van Justitie van de Europese Unie heeft zich in een zaak over de verwerking van persoonsgegevens door Meta uitgelaten over de interpretatie van artikel 5 lid 1 onder c en artikel 9 lid 2 onder e AVG. Maximillian Schrems maakte bezwaar tegen de manier waarop Meta zijn gegevens verzamelde en gebruikte voor gepersonaliseerde reclame. Het Hof benadrukt dat het beginsel van minimale gegevensverwerking een uitdrukking is van het evenredigheidsbeginsel. In de zaak van Schrems verzamelde Meta een grote hoeveelheid persoonsgegevens over zijn activiteiten op en buiten Facebook, zonder onderscheid naar de aard van die gegevens en zonder tijdslimiet. Het Hof oordeelde dat deze omvangrijke en ingrijpende verwerking van gegevens in strijd is met het beginsel van minimale gegevensverwerking. De inmenging in de grondrechten van Schrems, met name zijn recht op privacy en gegevensbescherming, was onevenredig in verhouding tot het doel van gepersonaliseerde reclame.

Rb. Midden-Nederland 9 oktober 2024, IT 4647; ECLI:NL:RBMNE:2024:5787 (De Waarden c.s. tegen Google en KvK). De aanleiding van betreffende zaak was de verspreiding van een anoniem document via een Gmail-account, waarin de eisers werden beschuldigd van ernstige misstanden, waaronder machtsmisbruik, belangenverstrengeling, corruptie, en zelfs fraude met subsidies. Dit document bevatte bovendien privégegevens van betrokkenen en hun families en werd breed verspreid binnen de kraamzorgbranche, de media, en de politiek. De Waarden c.s. zagen dit als een ernstige aantasting van hun reputatie en wilden de identiteit achterhalen van de persoon of personen die verantwoordelijk waren voor deze verspreiding. Hun verzoek begon bij Google, van wie zij eisten informatie over de eigenaar van het anonieme Gmail-account te verstrekken. Google gaf echter aan dat de gebruiker het account kort na de verspreiding van het document had verwijderd, waarna het technisch onmogelijk bleek om de gegevens te herstellen. Google ondersteunde deze stelling met documentatie, en de rechter achtte deze informatie overtuigend. Omdat Google geen gegevens meer bezat, wees de rechtbank de vordering tegen Google af. De aandacht van de eisers richtte zich daarna op de KvK. Het anonieme document bevatte namelijk KvK-uittreksels waarop tijdstippen waren zichtbaar gebleven, wat de KvK in staat stelde om het verzoeker-account te traceren. De KvK ontdekte dat de uittreksels waren opgevraagd door een groot, anoniem bedrijf. Hoewel de eisers toegang wilden tot de naam van dit bedrijf om zo mogelijk de identiteit van de anonieme verspreider te achterhalen, weigerde de KvK mee te werken, met als reden dat zij geen internetdienstaanbieder waren zoals in de bekende Lycos/Pessers-zaak, en dus niet verplicht waren gegevens te verstrekken.

Rb. Amsterdam 18 september 2024, IT 4648; ECLI:NL:RBAMS:2024:5791 (Eisers tegen ING Bank). Eisers exploiteren een webshop in onder andere research chemicals. Ze hebben hun rekeningen bij ING. De ING heeft haar relaties met eisers wat betreft alle zakelijke rekeningen opgezegd vanwege de handel in research chemicals, zoals 3-CMC en 2F-Ketamine en het vermoeden dat deze middelen niet voor onderzoeksdoeleinden worden verkocht, maar voor consumptie aan consumenten als partydrugs. Bij opzegging heeft de ING de persoonsgegevens van eisers geregistreerd in haar gebeurtenissenadministratie en Interne Verwijzingsregister (IVR). Eisers vorderen dat de rechtbank verklaart dat beëindiging van de bankrelaties onaanvaardbaar is en dat de bank onrechtmatig jegens hen heeft gehandeld. Daarnaast vorderen ze dat de gegevens van eisers binnen maximaal twee dagen na het vonnis moeten worden verwijderd uit het IVR.

HvJ EU 4 oktober 2024, IT 4642; ECLI:EU:C:2024:846 (Lindenapotheke). In deze zaak vroeg een Duitse apotheker zijn concurrent, de eigenaar van de online verkopende apotheek “Lindenapotheke”, om het verkopen van apotheekgeneesmiddelen te staken, zolang klanten geen voorafgaande toestemming voor gegevensverwerking gaven. Volgens de concurrent vormde het gebrek aan toestemming een schending van de AVG en een verboden oneerlijke handelspraktijk onder Duitse wetgeving. De Duitse rechter stelde vragen aan het HvJ EU over de toelaatbaarheid van een rechtsvordering door een concurrent in AVG-zaken, en of de klantinformatie bij de online aankoop van apotheekgeneesmiddelen als gezondheidsgegevens onder de AVG valt. Het Hof oordeelt dat de AVG het niet uitsluit dat concurrenten rechtsvorderingen instellen voor schendingen van de AVG op basis van nationale wetgeving inzake oneerlijke handelspraktijken. Het Hof benadrukte dat deze mogelijkheid naast de handhavingsbevoegdheden van toezichthouders en het recht van betrokkenen op schadevergoeding bestaat, en bijdraagt aan een hoog beschermingsniveau van persoonsgegevens. Verder oordeelt het Hof dat informatie die klanten invoeren bij het bestellen van geneesmiddelen online – zoals namen en adresgegevens – gezondheidsgegevens betreft, omdat deze gegevens inzicht kunnen geven in iemands gezondheidstoestand. Hierdoor moet de verkoper duidelijk en volledig informeren over de gegevensverwerking en expliciete toestemming van de klant vragen, ongeacht of een medisch voorschrift vereist is.

HvJEU 26 september 2024, IT 4626; C-768/21 (Land Hessen). Het Europese Hof van Justitie heeft zich uitgesproken over een Duitse zaak met betrekking tot een AVG-schending. Eiseres in die zaak had gevorderd dat de AVG-toezichthouder in Duitsland een boete zou opleggen aan haar bank. Zij was er namelijk achter gekomen dat een bankmedewerker haar data meermaals had ingezien zonder toestemming. Aangezien de bank al maatregelen had genomen jegens de medewerker, achtte de toezichthouder het in dit geval niet nodig om verdere actie te ondernemen. De Duitse rechter wendt zich tot het Europese Hof met de vraag of een dergelijke beslissing van de toezichthouder is toegestaan. Het Europese Hof antwoordt daarop bevestigend: AVG-toezichthouders zijn niet verplicht hun bevoegdheden te gebruiken voor zover dat niet noodzakelijk is om de AVG te waarborgen. In een geval als de onderhavige, waarin de gegevensverwerker zelf al maatregelen heeft getroffen om de schending te verhelpen nadat zij hiervan op de hoogte is gesteld, kan de toezichthouder besluiten af te zien van verdere stappen. Het is daarbij aan de nationale rechter om te bepalen of de toezichthouder (in het algemeen) een voldoende consistent en hoog niveau van bescherming van persoonsgegevens waarborgt.

Rb. Rotterdam 16 december 2022, IT 4623; ECLI:NL:RBROT:2022:11808 (Eiseres tegen het college van burgemeester en wethouders van Rotterdam). Eiseres bevindt zich in een re-integratietraject bij het college van burgemeester en wethouders van Rotterdam. Zij verzoekt het college om inzage in of afschriften van documenten uit haar re-integratiedossier, voor zover die gaan over monitoring, logging, controle en opsporing. Het college geeft gehoor en verstrekt een aantal documenten aan eiseres. Het college meent volledig aan het inzageverzoek tegemoet te zijn gekomen, maar eiseres is het daar niet mee eens. Ook botsen partijen over het verzoek van eiseres tot rectificatie van haar persoonsgegevens. Volgens het college zijn de onjuistheden waar eiseres op doelt niet vatbaar voor het rectificatierecht: het gaat om professionele indrukken, meningen en conclusies. Het college wijst de verzoeken van eiseres af; het inzageverzoek voor zover hij daar niet aan kan voldoen. Dit zowel in eerste aanleg als na bezwaar van eiseres. Eiseres stapt naar de rechter.

Hof Arnhem-Leeuwarden 27 augustus, IT 4622; ECLI:NL:GHARL:2024:5458 (Appellante tegen Achmea Schadeverzekeringen N.V.). Deze zaak betreft een schadeclaim van appellante tegen Achema, een inboedelverzekeraar, in verband met diefstal met braak. Na een onderzoek heeft Achmea aan appellante laten weten iedere verzekeringsuitkering te weigeren en de gegevens van appellante in het Externe Verwijzingsregister (hierna: EVR) te registreren voor de duur van acht jaar, wegens opzettelijke misleiding door appellante. Appellante heeft vervolgens bij de kantonrechter gevorderd dat Achmea wordt veroordeeld tot uitkering van de verzekering inclusief wettelijke rente. Bovendien vordert appellante dat haar gegevens uit het EVR worden gehaald. De kantonrechter wijst de vorderingen af. Appellante gaat in hoger beroep met de bedoeling dat haar vorderingen alsnog worden toegewezen. Het hof concludeert dat appellante verzekeringsfraude heeft gepleegd. Appellante heeft Achmea namelijk onjuist voorgelicht en haar verklaring telkens gewijzigd zonder logische verklaring. Zij heeft haar mededelingsplicht geschonden met de onmiskenbare bedoeling om een hogere uitkering te ontvangen. Haar recht op uitkering komt dan ook te vervallen. Wat betreft de verwerking van de gegevens van appellante in het EVR, oordeelt het hof dat de vastgestelde verzekeringsfraude hiervoor voldoende basis biedt. Appellante motiveert onvoldoende waarom dat anders zou moeten zijn en mede hierom ziet het hof geen reden om af te wijken van de door Achmea vastgestelde duur van acht jaar.

HvJ EU 12 september 2024, IT 4621; ECLI:EU:C:2024:738 (HTB tegen Müller en Ökorenta). In deze uitspraak beantwoordt het Europese Hof een aantal door de Duitse rechter ingediende prejudiciële vragen. De vragen vloeien voort uit de zaak tussen HTB enerzijds en Müller en Ökorenta anderzijds. HTB en Ökorenta zijn beleggingsvennootschappen die elk via een fiduciaire vennootschap een indirecte deelneming in beleggingsfondsen bezitten. Deze beleggingsfondsen worden georganiseerd in de vorm van een commanditaire vennootschap. De Duitse rechter vraagt zich af of de AVG zo moet worden uitgelegd dat, op verzoek van een vennoot van een beleggingsfonds, de persoonsgegevens van alle vennoten met indirecte deelnemingen in dat fonds openbaar moeten worden gemaakt. Naar Duits recht is dit wel gebruikelijk, maar de Duitse rechter heeft er twijfels over of de Duitse rechtspraak verenigbaar is met artikel 6 van de AVG.

Rb. Den Haag 9 september, IT 4620; ECLI:NL:RBDHA:2024:14477 (Verzoeker tegen Bunq B.V.). Verzoeker is klant van Bunq. Bunq heeft de bankrekeningen van verzoeker geblokkeerd, omdat hij niet heeft gereageerd op het herhaaldelijke verzoek om bepaalde documenten toe te sturen. Verzoeker verstrekt de documenten daarna alsnog en de blokkade wordt opgeheven. Verzoeker vraagt Bunq vervolgens om inzage in alle van hem verwerkte gegevens, onder andere met betrekking tot de blokkering van zijn rekeningen. Bunq doet als verzocht, maar verzoeker stelt dat er gegevens ontbreken. Verzoeker stapt naar de rechter. In de tussentijd heeft Bunq aanvullende gegevens verstrekt die Bunq in relatie tot verzoeker heeft verwerkt. Desondanks vraagt verzoeker aan de rechtbank om Bunq op te dragen hem volledige inzage te verschaffen in zijn persoonsgegevens, inclusief de gegevens die zijn verwerkt als onderdeel van het besluitvormingsproces rondom de blokkade en de opheffing daarvan. Verzoeker legt daaraan ten grondslag dat Bunq onzorgvuldig te werk is gegaan, onder andere door het gebruik van geautomatiseerde besluitvorming. Bunq stelt daarentegen dat zij voldoende tegemoet is gekomen aan het inzageverzoek en dat er geen sprake is geweest van geautomatiseerde besluitvorming.