Privacy  

HvJ EU 18 oktober 2016, zaak C‑582/14; IT 2155; IEFBE 1968 (Patrick Breyer tegen Bundesrepublik Deutschland) Verwerking van persoonsgegeven. In deze zaak gaat het om de vraag of dynamische IP‑adressen een persoonsgegeven zijn in de zin van artikel 2, onder a), van richtlijn 95/46/EG. Voor het antwoord daarop moet eerst worden bepaald hoe relevant het daarvoor is dat de aanvullende gegevens die nodig zijn voor de identificatie van de gebruiker, niet in het bezit zijn van de eigenaar van de website, maar van een derde (concreet, de internetprovider).
HvJ EU: In het vandaag uitgesproken arrest antwoordt het Hof in de eerste plaats dat een dynamisch IP- adres dat door een „aanbieder van onlinemediadiensten” (dat wil zeggen door de exploitant van een website, in casu de Duitse federale instellingen) wordt geregistreerd telkens als zijn voor het publiek toegankelijke website wordt bezocht, ten aanzien van de exploitant een persoonsgegeven vormt wanneer deze over wettige middelen beschikt waarmee hij de bezoeker kan identificeren aan de hand van extra informatie die bij diens internetprovider berust.

Rechtbank Gelderland 6 oktober 2016, IEF 16306; IT 2151; ECLI:NL:RBGEL:2016:5286 (OM tegen X) Privacy. Mediarecht. Het kort geding tussen partijen strekt tot het verkrijgen van een veroordeling van gedaagde om gedurende zes maanden de verklaringen van zijn website te verwijderen en verwijderd te houden. De Staat heeft in dit kort geding een verlenging van het op opgelegde verbod gevorderd. Gedaagde heeft benadrukt dat zijn vrijheid van meningsuiting in het geding is door het verbod en dat de vertrouwelijke documenten op dit moment niet op zijn website gepubliceerd staan. Daarom bestaat volgens hem geen aanleiding voor een verlenging van het verbod. Hij heeft zich er voorts op beroepen dat de Staat geen belang heeft bij een verlenging van het verbod, omdat de vertrouwelijke informatie ook op andere websites staat gepubliceerd. Dit argument wordt verworpen. Het staat vast dat de Staat een algemeen belang heeft om zoveel als mogelijk te proberen om vertrouwelijke informatie uit de beide strafzaken uit de openbaarheid te krijgen en te houden. Dit betekent dat voldoende gronden aanwezig zijn om een nader verbod op het openbaar maken van de vertrouwelijke informatie toe te wijzen. De Staat heeft ter zitting aangevoerd dat alle stukken die zich in een strafdossier bevinden naar hun aard vertrouwelijke stukken zijn. Ten aanzien van het verbod wordt gesteld dat zolang de verhoren nog niet zijn afgerond, een verbod op openbaarmaking van die vertrouwelijke informatie niet op zijn plaats is. Geen verstoring van de waarheidsvinding en de veiligheid van de betrokken getuigen wegen in dit geval zwaarder dan het grondrecht van vrijheid van meningsuiting.

Rechtbank Amsterdam 21-09-2016, IT 2149; ECLI:NL:RBAMS:2016:5976 (X tegen gemeente Amsterdam) Privacy. De Gemeente is niet gehouden om het handhaven van parkeerbelasting door gebruikmaking van het systeem van kentekenparkeren aan te passen. Er is geen sprake van onrechtmatige inbreuk op het recht op privacy; met de door de Gemeente gehanteerde waarborgen kan het invoeren van het kenteken noodzakelijk worden beschouwd voor het gediende doel. Het oordeel van het Gerechtshof van 7 januari 2016 wordt gevolgd. Ook het elektronisch betalen maakt geen onrechtmatige inbreuk op het recht op privacy. Uit bestuursrechtuitspraken volgt niet dat kentekenparkeren in strijd is met artikel 20 Awr. Voorzieningen geweigerd.

Vzr. Rechtbank Gelderland 3 oktober 2016, IEF 16297; IT 2146; ECLI:NL:RBGEL:2016:5230 (eiseres tegen Facebook) Geen dwangsom. Proceskosten gecompenseerd. Eiseres is via Facebook in contact gekomen met X en een steeds intiemere relatie opgebouwd en ontstonden gevoelens van verliefdheid. In die setting heeft eiseres enkele intieme beelden aan de facebookgebruiker verstuurd. Eiseres vordert van Facebook gegevensverstrekking van X. Nu aannemelijk is dat een mede-facebookgebruiker onrechtmatig handelt, handelt ook Facebook onrechtmatig door de gegevens die benodigd zijn om de medegebruiker te kunnen opsporen niet prijs te geven. Voor zover Facebook over de gegevens beschikt moeten contactgegevens worden verstrekt. De dwangsom zal worden afgewezen nu Facebook heeft verklaard zonder meer mee te werken aan een veroordelend vonnis. Proceskosten gecompenseerd: terecht uitspraak van de rechter afgewacht.

Rechtbank Oost-Brabant 20 september 2016, IT 2148; ECLI:NL:RBOBR:2016:5172 (Omron Europe B.V. tegen Ondernemingsraad van Omron Europe B.V.) Privacy. Omron wil camera’s gebruiken om diefstal op de werkvloer tegen te gaan en vraagt de rechter vervangende toestemming voor het gebruik deze camera’s, nu de ondernemingsraad van Omron hier geen toestemming voor wil verlenen. De kantonrechter is van oordeel dat Omron voldoende heeft onderbouwd dat de camerabeveiliging noodzakelijk is voor de behartiging van haar gerechtvaardigde belang om haar bedrijfseigendommen te beschermen en diefstal daarvan te voorkomen, dat de voorgenomen camerabeveiliging in verhouding tot deze doeleinden geen onevenredige inbreuk maakt op de belangen van de werknemers (waaronder het recht op bescherming van de persoonlijke levenssfeer). De doeleinden kunnen niet op een andere wijze worden verwezenlijkt die minder nadelig voor de werknemers is. De kantonrechter verleent daarom toestemming.

Rechtbank Rotterdam 20 juli 2016, IEF 16296; IT 2145; ECLI:NL:RBROT:2016:7505 (eiseres tegen VVE Media) De vordering is gebaseerd op artikel 843a Rv en betreft de persoonsgegevens van onbekende derde, "ikke", met het doel hun anonimiteit op te heffen. Beroep op arrest Lycos/Pessers (HR 25 november 2005; ECLI:NL:HR:2005:AU4019; IEF 546). In dat kader is gedaagde, een website-exploitant, op één lijn te stellen met een provider. Vanwege het incidentele en niet ernstige karakter van de uitlatingen weegt het belang van eiseres niet zwaarder dan de andere betrokken belangen. De vordering wordt afgewezen.

Rechtbank Rotterdam 21 september 2016, IEF 16287; IT 2143; ECLI:NL:RBROT:2016:7441 (IAP tegen verzekeraars) Verzekeringszaak over waardebepaling IE-rechten. IAP hield zich bezig met diensten op het gebied van cyber- en creditcard security ten behoeve van onder meer creditcardmaatschappijen. De PCI programmamanager en twee medewerkers in Tunesië verdwenen en hebben laptops van IAP, waarop vertrouwelijke klantgegevens stonden en gegevens waarop IAP de IE-rechten had, meegenomen. IAP heeft de inhoud van deze laptops via satelliettechnologie op afstand vernietigd. Dat IAP de gegevens heeft vernietigd heeft het causaal verband niet te niet gedaan; zij was daartoe gehouden, gelet op de vertrouwelijke aard van die gegevens. Het relateren van de waarde aan het aantal bestede uren is geen geschikte maatstaf om de waarde van deze IE-rechten te bepalen. Het gaat om de waarde in het economisch verkeer van die kennis. Dat die, rechtstreeks, zou afhangen van het aantal bestede uren is onvoldoende aannemelijk. Bij gebreke van een duidelijke maatstaf, van kenbare gegevens, zoals activering op de balans, en van een inhoudelijk standpunt zijdens verzekeraars over de toe te kennen waarde, waardeert de rechtbank deze rechten ex aequo et bono op € 10.000,-.

The recently introduced obligation to report personal data breaches under the Dutch Data Protection Act (Wet bescherming persoonsgegevens  or "WBP") and the adoption of the EU General Data Protection Regulation ("GDPR") earlier this year, have been attracting attention. By introducing the obligation to report data breaches, the Dutch government clearly anticipated the GDPR – which was expected to include some sort of notification obligation. The GDPR has now entered into force and will apply from 25 May 2018. As it turns out, the WBP's provisions regarding data breach notification are not in full agreement with the GDPR's.

Prejudicieel gestelde vragen aan HvJ EU 29 juli 2016; IT 2140; IEFbe 1942; C-434/16 (X tegen Data Protection Commissioner) Verzoeker volgt een opleiding voor accountant bij het Institute of Chartered Accountants of Ireland (CAI). Dit verloopt voorspoedig, behalve een (‘open boek’-)examen Strategic Finance and Management Accounting (SFMA) waarvoor hij vier maal zakt. Na die vierde keer (najaar 2009) probeert hij de uitslag aan te vechten maar besluit dan (mei 2010) om een verzoek tot inzage in (al) zijn gegevens in te dienen op grond van de IER (persoons)gegevensbeschermingswetten.

Het CAI geeft stukken vrij maar niet zijn schriftelijk examenwerk omdat dit niet onder het begrip ‘persoonsgegevens’ in de zin van de IER wet valt. Verzoeker neemt dan contact op met de IERaut persoonsgegevens (DPC, verweerster) met verzoek om bijstand, maar ook die geeft verzoeker in juni 2010 te kennen dat wat gegevensbescherming betreft in het algemeen geen rekening wordt gehouden met schriftelijk examenwerk omdat het daarbij doorgaans niet om persoonsgegevens gaat. Op 01-07-2010 dient verzoeker bij DPC een formele klacht in. DPC geeft aan dat, omdat geen sprake is van een wezenlijke schending van de wet er geen reden is om de klacht te onderzoeken. De antwoorden in het ‘open boek’-examen SFMA bevatten naar verwachting geen persoonlijke informatie over verzoeker of enige andere examenkandidaat.

Rechtbank Zeeland-West-Brabant 21 september 2016, IT 2137; ECLI:NL:RBZWB:2016:5832 (Chantal - ROC West-Brabant) In 2015 is een filmpje van Chantal op Facebook verschenen waarin zij seksuele handelingen verricht met haar toenmalige vriend. Omdat onbekend is wie het filmpje heeft geplaatst heeft zij procedures tegen Facebook gevoerd om erachter te komen welk IP-adres achter het uploaden van het filmpje zit. Uiteindelijk bleek dit te herleiden naar het ROC in West-Brabant. Chantal heeft aangestuurd op medewerking van het ROC bij een onderzoek. Het ROC gaf aan mee te willen werken met een technisch onderzoek, maar partijen bereiken geen overeenstemming over de ‘geheimhoudings- en bewerkingsovereenkomst.’ Chantal vordert in kort geding dat ROC medewerking moet verlenen aan dit technische onderzoek, omdat haar belang prevaleert boven de privacy van degene die het filmpje online heeft gezet. Naar oordeel van de voorzieningenrechter stelt het ROC terecht dat zij voldoende hebben gedaan om te achterhalen wie er achter het uploaden van het filmpje zit en alleen mee wil werken aan het onderzoek, indien er geen persoonsgegevens worden verwerkt en er binnen de grenzen van het Wbp wordt gehandeld.