Privacy  

HvJ EU 4 oktober 2024, IT 4640; ECLI:EU:C:2024:857 (KNLTB tegen Autoriteit Persoonsgegevens) KNLTB verkocht persoonsgegevens van haar leden aan sponsoren voor marketingdoeleinden, zonder toestemming van de leden. Dit had als doel het werven van meer sponsoren, een commercieel belang. De AP legde de KNLTB hiervoor een boete op, waartegen de KNLTB in beroep ging bij de rechtbank. De KNLTB beriep zich op een gerechtvaardigd belang onder de AVG om de verkoop van de persoonsgegevens te rechtvaardigen. De rechtbank stelde hierover prejudiciële vragen aan het Hof van Justitie.

Hof Arnhem-Leeuwarden 21 oktober 2024, IT 4714; ECLI:NL:GHARL:2024:6463 (appellant tegen Profile Tyrecenter) Appellant heeft zijn werkgever, Profile Tyrecenter, beschuldigd van ernstig verwijtbaar handelen nadat hij langdurig arbeidsongeschikt was geraakt. Profile Tyrecenter had een recherchebureau ingeschakeld om appellant te observeren op basis van geruchten dat hij tijdens zijn ziekte werkte, wat leidde tot een ernstige inbreuk op zijn privacy. De bedrijfsarts constateerde dat de arbeidsongeschiktheid van appellant deels werkgerelateerd was en verergerde door het onderzoek. Het hof oordeelt dat Profile Tyrecenter ernstig verwijtbaar heeft gehandeld door een recherchebureau in te schakelen zonder concrete serieuze verdenkingen tegen appellant. Dit onderzoek leidde tot een ernstige inbreuk op de privacy van appellant en verergerde zijn arbeidsongeschiktheid. Het hof kent appellant een billijke vergoeding van € 17.000,- toe vanwege het ernstig verwijtbare handelen van de werkgever.

Hof 's-Hertogenbosch 15 augustus 2024, IT 4630; ECLI:NL:GHSHE:2024:2602 (Appellante tegen de Stichting). Zaak betreffende een inzageverzoek op grond van artikel 15 AVG. In eerste aanleg verzoekt appellante, een huurder, de woningstichting (hierna: de Stichting) om een overzicht van de persoonsgegevens die zij van hem heeft verwerkt. In eerste aanleg werd dit verzoek al afgewezen. De Stichting heeft gemotiveerd betwist dat zij meer of andere gegevens heeft verwerkt dan hetgeen in het verstrekte verwerkingsoverzicht staat. Zij geeft zelfs aan dat ze meer gegevens dan nodig heeft verstrekt om verzoeker tegemoet te komen. Het verzoek werd daarmee afgewezen. Ook in hoger beroep wordt het verzoek van appellante afgewezen. Het overzicht voldoet, behalve enkele vermeldingen, aan hetgeen dat appellant mocht verwachten. 

HvJEU 26 september 2024, IT 4626; C-768/21 (Land Hessen). Het Europese Hof van Justitie heeft zich uitgesproken over een Duitse zaak met betrekking tot een AVG-schending. Eiseres in die zaak had gevorderd dat de AVG-toezichthouder in Duitsland een boete zou opleggen aan haar bank. Zij was er namelijk achter gekomen dat een bankmedewerker haar data meermaals had ingezien zonder toestemming. Aangezien de bank al maatregelen had genomen jegens de medewerker, achtte de toezichthouder het in dit geval niet nodig om verdere actie te ondernemen. De Duitse rechter wendt zich tot het Europese Hof met de vraag of een dergelijke beslissing van de toezichthouder is toegestaan. Het Europese Hof antwoordt daarop bevestigend: AVG-toezichthouders zijn niet verplicht hun bevoegdheden te gebruiken voor zover dat niet noodzakelijk is om de AVG te waarborgen. In een geval als de onderhavige, waarin de gegevensverwerker zelf al maatregelen heeft getroffen om de schending te verhelpen nadat zij hiervan op de hoogte is gesteld, kan de toezichthouder besluiten af te zien van verdere stappen. Het is daarbij aan de nationale rechter om te bepalen of de toezichthouder (in het algemeen) een voldoende consistent en hoog niveau van bescherming van persoonsgegevens waarborgt.

Rb. Rotterdam 16 december 2022, IT 4623; ECLI:NL:RBROT:2022:11808 (Eiseres tegen het college van burgemeester en wethouders van Rotterdam). Eiseres bevindt zich in een re-integratietraject bij het college van burgemeester en wethouders van Rotterdam. Zij verzoekt het college om inzage in of afschriften van documenten uit haar re-integratiedossier, voor zover die gaan over monitoring, logging, controle en opsporing. Het college geeft gehoor en verstrekt een aantal documenten aan eiseres. Het college meent volledig aan het inzageverzoek tegemoet te zijn gekomen, maar eiseres is het daar niet mee eens. Ook botsen partijen over het verzoek van eiseres tot rectificatie van haar persoonsgegevens. Volgens het college zijn de onjuistheden waar eiseres op doelt niet vatbaar voor het rectificatierecht: het gaat om professionele indrukken, meningen en conclusies. Het college wijst de verzoeken van eiseres af; het inzageverzoek voor zover hij daar niet aan kan voldoen. Dit zowel in eerste aanleg als na bezwaar van eiseres. Eiseres stapt naar de rechter.

HvJ EU 12 september 2024, IT 4621; ECLI:EU:C:2024:738 (HTB tegen Müller en Ökorenta). In deze uitspraak beantwoordt het Europese Hof een aantal door de Duitse rechter ingediende prejudiciële vragen. De vragen vloeien voort uit de zaak tussen HTB enerzijds en Müller en Ökorenta anderzijds. HTB en Ökorenta zijn beleggingsvennootschappen die elk via een fiduciaire vennootschap een indirecte deelneming in beleggingsfondsen bezitten. Deze beleggingsfondsen worden georganiseerd in de vorm van een commanditaire vennootschap. De Duitse rechter vraagt zich af of de AVG zo moet worden uitgelegd dat, op verzoek van een vennoot van een beleggingsfonds, de persoonsgegevens van alle vennoten met indirecte deelnemingen in dat fonds openbaar moeten worden gemaakt. Naar Duits recht is dit wel gebruikelijk, maar de Duitse rechter heeft er twijfels over of de Duitse rechtspraak verenigbaar is met artikel 6 van de AVG.

Rb. Den Haag 9 september, IT 4620; ECLI:NL:RBDHA:2024:14477 (Verzoeker tegen Bunq B.V.). Verzoeker is klant van Bunq. Bunq heeft de bankrekeningen van verzoeker geblokkeerd, omdat hij niet heeft gereageerd op het herhaaldelijke verzoek om bepaalde documenten toe te sturen. Verzoeker verstrekt de documenten daarna alsnog en de blokkade wordt opgeheven. Verzoeker vraagt Bunq vervolgens om inzage in alle van hem verwerkte gegevens, onder andere met betrekking tot de blokkering van zijn rekeningen. Bunq doet als verzocht, maar verzoeker stelt dat er gegevens ontbreken. Verzoeker stapt naar de rechter. In de tussentijd heeft Bunq aanvullende gegevens verstrekt die Bunq in relatie tot verzoeker heeft verwerkt. Desondanks vraagt verzoeker aan de rechtbank om Bunq op te dragen hem volledige inzage te verschaffen in zijn persoonsgegevens, inclusief de gegevens die zijn verwerkt als onderdeel van het besluitvormingsproces rondom de blokkade en de opheffing daarvan. Verzoeker legt daaraan ten grondslag dat Bunq onzorgvuldig te werk is gegaan, onder andere door het gebruik van geautomatiseerde besluitvorming. Bunq stelt daarentegen dat zij voldoende tegemoet is gekomen aan het inzageverzoek en dat er geen sprake is geweest van geautomatiseerde besluitvorming.

Rb. Rotterdam 21 augustus 2024, IT 4619; ECLI:NL:RBROT:2024:8250 (Verzoekster tegen Veilig Thuis). Verzoekster heeft een dochter voor wie zij een omgangsregeling heeft afgesproken met haar (voormalige) partner, de vader van haar dochter. Op 18 oktober 2022 heeft verzoekster een melding gedaan bij Veilig Thuis, omdat zij zich zorgen maakte over de veiligheid van haar dochter wanneer zij bij haar vader verbleef. Naar aanleiding van deze melding heeft Veilig Thuis één dossier voor het hele gezin aangemaakt (inmiddels zijn dit drie dossiers). Later zijn er verschillende andere meldingen gemaakt, zowel door verzoekster, als door haar partner en de politie. Er zijn daarbij veel contactmomenten geweest. Op 12 december 2023 heeft Veilig Thuis een melding gedaan bij het Jeugdbeschermingsplein en naar aanleiding daarvan is een onderzoek gestart. Verzoekster heeft Veilig Thuis vervolgens verzocht om een van de dossiers over haar gezin volledig te laten verwijderen, maar Veilig Thuis heeft dit verzoek afgewezen, met name uit anticipatie op een mogelijke situatie van kindermishandeling. Verzoekster stapt naar de rechtbank en verzoekt daar hetzelfde, inclusief met betrekking tot een tweede dossier. Subsidiair verzoekt zij dat Veilig Thuis wordt bevolen om specifiek haar persoonsgegevens uit de twee dossiers te verwijderen.

Hof Arnhem-Leeuwarden 26 augustus 2024, IT 4615; ECLI:NL:GHARL:2024:5384 (Verzoeker tegen Stichting Sint Antonius Ziekenhuis). Verzoeker in deze zaak is de vader van een meisje dat tijdelijk opgenomen is geweest in het Antonius Ziekenhuis (hierna Antonius), omdat zij te vroeg was geboren. Zijn dochter is daar bovendien een aantal jaar in behandeling geweest. Bij de eerste tijdelijke opname was een maatschappelijk werker betrokken in wie verzoeker zijn vertrouwen later heeft opgezegd. In de jaren daarna heeft verzoeker diverse klachten geuit richting Antonius. Ondanks een mediationtraject dat partijen samen hebben gevolgd, zijn partijen niet tot een oplossing gekomen. Verzoeker is vervolgens naar de rechtbank gestapt, waar hij heeft verzocht dat Antonius wordt verplicht om inzage te verlenen in de complete dossiers van zijn dochter, inclusief alle contactmomenten, correspondentie en verslagleggingen. Daarnaast heeft hij toegang gevorderd tot alle persoonsgegevens van zijn dochter, de logoverzichten betreffende de dossiers van zijn dochter en de registratiegegevens van de betrokken zorgverleners. De rechtbank heeft alle verzoeken afgewezen. Verzoeker gaat daartegen in hoger beroep.

AP 22 juli 2024, IT 4611 (Autoriteit Persoonsgegevens tegen Uber). De Autoriteit Persoonsgegevens (hierna: AP) legt Uber een boete op van 290 miljoen euro. Het bedrijf heeft namelijk twee jaar lang persoonsgegevens van EU-taxichauffeurs doorgegeven aan de Verenigde Staten (hierna: VS) zonder daarbij aan de AVG te voldoen. Het gaat onder andere om locatiegegevens, foto’s, betaalgegevens, ID's en in sommige gevallen zelfs strafrechtelijke en medische gegevens. Aangezien de VS het door de AVG vereiste beveiligingsniveau voor persoonsgegevens niet waarborgen, is het aan Uber om passende maatregelen te treffen wanneer zij persoonsgegevens naar de VS verzendt. Deze maatregelen moeten ervoor zorgen dat het door de AVG gewaarborgde beveiligingsniveau alsnog wordt behaald. De AP constateert dat Uber tussen augustus 2021 en eind 2023 geen passende maatregelen heeft getroffen, ondanks het feit dat zij persoonsgegevens naar de VS heeft verzonden. Hiervoor krijgt Uber een boete opgelegd van iets minder dan één procent over haar jaaromzet (zo'n 34,5 miljard euro). Dit komt uit op de hoogste boete die de AP ooit heeft opgelegd. Uber laat in een persverklaring weten dat zij in beroep gaat tegen de boete, desnoods bij de rechter. Volgens haar bestond er in de genoemde periode onduidelijkheid over de privacyregels en heeft zij naar beste weten en kunnen gehandeld.