Persoonsgegevens  

Rb. Rotterdam 8 maart 2024, IT 4504; ECLI:NL:RBROT:2024:2310 (Eiser tegen de minister). Eiser heeft bij de minister verzoek ingediend tot inzage van de door het ministerie verwerkte en hem betreffende persoonsgegevens in alle schriftelijke of elektronische vastleggingen, waaronder alle vastleggingen van alle communicatie. Het gaat om vastleggingen die betrekking hebben op zijn positie als ambtenaar, adviseur en medewerker bij Het Huis voor klokkenluiders. De minister heeft op het verstrekken van de persoonsgegevens een tweetal beperkingen van artikel 23 van de AVG toegepast. Voor wat betreft de correspondentie met de landsadvocaat heeft de minister gebruik gemaakt van de beperkingsgrond ‘de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen’. Daarnaast heeft de minister meerdere malen gebruik gemaakt van de beperkingsgrond ‘de bescherming van de betrokkene of van de rechten en vrijheden van anderen’. Eiser heeft hiertegen en tegen het niet tijdig beslissen op betreffend verzoek beroep ingesteld.

HvJ EU 14 maart 2024, IT 4503; ECLI:EU:C:2024:239 (Újpest tegen toezichthoudende autoriteit). Het gemeentebestuur van Újpest (Hongarije) heeft in 2020 besloten financiële steun te bieden aan inwoners die kwetsbaar waren geworden door de COVID-19-pandemie. Om het steunprogramma uit te kunnen voeren heeft het gemeentebestuur persoonsgegevens verzameld. De toezichthoudende autoriteit heeft naar aanleiding van een onderzoek geconstateerd dat hiermee bepalingen van de AVG waren geschonden en verplicht het gemeentebestuur de gegevens te wissen. Het ging met name om het nalaten van het gemeentebestuur de inwoners te informeren over de verwerking. Het gemeentebestuur stelt dat de toezichthoudende autoriteit niet bevoegd is te gelasten dat de persoonsgegevens gewist worden en dat dit recht slechts aan betrokkene zou toekomen. De verwijzende rechter legt de kwestie voor aan het HvJ EU.

HvJ EU 7 maart 2024, IT 4502, ECLI:EU:C:2024:216 (Endemol Shine Finland). Endemol Shine Finland heeft de Finse bodemrechter verzocht om informatie over strafzaken tegen een natuurlijke persoon, teneinde de strafrechtelijke antecedenten van deze persoon na te gaan. In hoger beroep heeft de rechter aangevoerd dat de mondelinge verstrekking van de door haar gevraagde informatie geen verwerking van persoonsgegevens in de zin van artikel 4, punt 2, AVG vormt. De verwijzende rechter legt dit voor aan het Hof. Zij vraagt het Hof ook hoe de beperkingen op de verwerking van persoonsgegevens zich verhoudt ten opzichte van het recht van toegang van het publiek tot officiële documenten.

HvJ EU 7 maart 2024, IT 4500; ECLI:EU:C:2024:215 (Rekwirante tegen Europese Commissie). Rekwirante is een academisch onderzoekster en kreeg via de Europese Onderzoeksraad een subsidie voor haar project bij de Aristoteles-universiteit. De universiteit heeft na voltooiing van het project (onder meer) de personeelskosten gedeclareerd bij het ERCEA. Het ERCEA stelde dat het bedrag niet subsidiabel was en heeft het Europees Bureau voor fraudebestrijding (OLAF) ingeschakeld. OLAF heeft onderzoek gedaan en een persbericht gepubliceerd over de fraudezaak. Rekwirante vordert aan de hand van dit persbericht immateriële schadevergoeding. Zij stelt dat OLAF de bepalingen van verordening 2018/1725 betreffende de bescherming van persoonsgegevens heeft geschonden.

Rb. Den Haag 10 januari 2024, IT 4499; ECLI:NL:RBDHA:2024:282 (Eiser tegen Rabobank). Eiser is enig aandeelhouder van twee vennootschappen en wilde met deze vennootschappen een onderneming opzetten die champagne verhandelt. Rabobank heeft in 2009 aan de vennootschappen een financiering van €110.000,- verstrekt en deze twee jaar later opgezegd. De Rabobank heeft vervolgens een negatieve BKR-registratie gedaan die ziet op de betalingsverplichting uit de borgstelling. In deze registratie werd onder meer opgenomen dat eiser onvindbaar en onbereikbaar bleek. Eiser vordert onder meer schadevergoeding en verklaring voor recht dat Rabobank onrechtmatig heeft gehandeld door eiser ten onrechte bij het BKR aan te melden en eiser zo machteloos heeft gelaten.

HvJ EU 5 maart 2024, IT 4497, ECLI:EU:C:2024:202 (Kočner tegen Europol). Naar aanleiding van de moord op een Slowaakse journalist en zijn verloofde is door Slowaakse autoriteiten een uitgebreid onderzoek gestart. Op verzoek van deze autoriteiten heeft Europol gegevens die waren opgeslagen op twee mobiele telefoons behorend tot Marian Kočner overhandigd. Europol gaf bovendien in een van zijn rapporten aan dat Kočner in hechtenis zat en dat zijn naam in verband werd gebracht met “maffialijsten”. Kočner vordert van Europol €100.000,- immateriële schadevergoeding wegens schade die hij stelt te hebben geleden door de onrechtmatige verwerking van zijn gegevens. Het Gerecht heeft dit beroep verworpen, omdat Kočner niet bewezen zou hebben dat er een oorzakelijk verband bestond tussen de gestelde schade en het gedrag van Europol, evemin dat de "maffialijsten” door Europol waren opgesteld en werden bijgehouden. Kočner heeft hogere voorziening ingesteld bij het Hof.

HvJ EU 7 maart 2024, IT 4498; ECLI:EU:C:2024:214 (IAB Europe tegen Gegevensbeschermingsautoriteit). Het Real Time Bidding-fenomeen is – kortgezegd – een vorm van adverteren waarmee digitale advertenties rechtstreeks kunnen worden gekocht en verkocht. Er vindt een "realtime" veiling plaats waarbij het hoogste bod in de veiling zijn advertentie weergegeven krijgt op betreffend medium. Gebruikers van het medium zullen eerst toestemming moeten geven aan de aanbieder van de website of applicatie voordat hun persoonsgegevens worden verzameld voor (meestal) marketing- en reclamedoeleinden. IAB Europe is een vereniging zonder winstoogmerk die de ondernemingen van de sector van digitale reclame en marketing vertegenwoordigt op Europees niveau. Zij heeft een oplossing uitgewerkt waarvan zij stelt dat deze dat veilingsysteem in overeenstemming kan brengen met de AVG. De voorkeuren van de gebruikers worden hierbij gecodeerd en opgeslagen in een zogenaamd “Transparency and Consent String” (TC-string) die vervolgens gedeeld wordt met makelaars in persoonsgegevens en reclameplatformen. Ook wordt een cookie op het toestel van de gebruiker geplaatst. Deze kan dan met de TC-string gekoppeld worden aan het IP-adres van de gebruiker. De Belgische autoriteit heeft geoordeeld dat de TC-string een persoonsgegeven in de zin van de AVG vormt en dat IAB als verwerkingsverantwoordelijke onrechtmatig heeft gehandeld. IAB Europe betwist dit en heeft hoger beroep ingesteld bij het hof van beroep Brussel (België), dat prejudiciële vragen heeft voorgelegd aan het Hof.

HvJEU AG 22 februari 2024, IT 4496; ECLI:EU:C:2024:162 (I. sp. z o. o. tegen M. W.). De in Polen gevestigde vennootschap I. (hierna: verzoekster) heeft een schuldvordering tegen de vennootschap NMW. Verzoekster is ter inning van deze vordering een tenuitvoerleggingsprocedure ingeleid. Volgens de rechter moet de vraag worden beantwoord of de door NMW gecreëerde databanken met persoonsgegevens in het kader van een tenuitvoerleggingsprocedure kunnen worden overgedragen. Bij een bevestigend antwoord zou het beroep in het hoofdgeding namelijk worden verworpen. De Poolse rechter stelt de volgende prejudiciële vraag:

„Moet artikel 5, lid 1, onder a), [AVG] juncto artikel 6, lid 1, onder a), c) en e), en lid 3, [AVG] aldus worden uitgelegd dat het zich verzet tegen een nationale regeling die in het kader van een procedure van gedwongen tenuitvoerlegging de verkoop toestaat van een databank in de zin van artikel 1, lid 2, van [richtlijn 96/9] met persoonsgegevens, wanneer de personen op wie die gegevens betrekking hebben niet met een dergelijke verkoop hebben ingestemd?”

Hof Arnhem Leeuwarden 5 maart 2024, IT 4495; ECLI:NL:GHARL:2024:1639 (Appellanten tegen Defam B.V.). Defam B.V. (Defam) heeft in 2017 een kredietaanvraag ontvangen van betrokkene voor een persoonlijke lening van € 45.500,-. Na onderzoek en navraag bij de ING bank, heeft Defam ontdekt dat de gegevens (salarisbijschrijvingen) incorrect zijn. Ingevolge deze ontdekking heeft Defam betrokkene geregistreerd in het incidentenregister en het Extern Verwijzingsregister (hierna: EVR) en is een strafrechtelijke vervolging gestart die tot een veroordelend vonnis heeft geleid. Uiteindelijk is betrokkene vrijgesproken. Het vonnis had geleid tot blokkering van de betaalrekeningen van betrokkene bij de ING bank. Betrokkene doet aan de hand hiervan beroep op de onrechtmatige daad en vordert schadevergoeding wegens schending van de AVG door het onterecht registreren en/of het ten onrechte langer handhaven van de persoonsgegevens van betrokken en haar echtgenoot in het incidentenregister en/of het EVR. De bodemrechter heeft een afwijzende vonnis gewezen waartegen appellanten in hoger beroep zijn gegaan.

Het gebruik van digitale gegevens is onmisbaar in de economie en maatschappij. Grensoverschrijdende regelgeving die zorgt voor een betere verdeling van de grote waarde van data, is daarom essentieel voor bedrijven en consumenten. De EU Data Act is een belangrijke stap om de data-economie als geheel beter te laten werken. Minister Micky Adriaansens (Economische Zaken en Klimaat) consulteert vanaf vandaag de concept Nederlandse uitvoeringswetgeving van de Data Act. Deze geldt straks vanaf september 2025.