Privacy  

Hof Arnhem-Leeuwarden 31 mei 2016, IT 2082; ECLI:NL:GHARL:2016:4289 (appellant tegen Rabobank)
Wet Bescherming Persoonsgegevens. BKR. Appellant heeft gevorderd Rabobank op straffe van een dwangsom te veroordelen haar meldingen met betrekking tot appellant uit het register van BKR te (laten) verwijderen. De voorzieningenrechter wijst de vorderingen af en in hoger beroep wordt dit oordeel bekrachtigt. Rabobank is een aanbieder van krediet in de zin van art. 1 Wet financieel toezicht (Wft). Ingevolge art. 4:32 lid 1 Wft is Rabobank gehouden deel te nemen aan een stelsel van kredietregistraties. Dat stelsel is het Centraal Krediet Informatiesysteem (CKI) dat door BKR wordt bijgehouden. Rabobank is deelnemer aan het CKI en als deelnemer aan het door BKR vastgestelde Algemeen Reglement CKI gebonden.

Conclusie AG HvJ EU 2 juni 2016, IT 2078; C‑191/15; ECLI:EU:C:2016:388 (Verein für Konsumenteninformation tegen Amazon)  E-commerce - Bescherming van persoonsgegevens - Richtlijn 95/46/EG - Toepasselijk recht - Vestiging gegevensverwerker bepalend

Conclusie AG:

4)      Artikel 4, lid 1, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet aldus worden uitgelegd dat een verwerking van persoonsgegevens slechts kan worden onderworpen aan het recht van één lidstaat. Deze lidstaat is die waarin degene die met deze verwerking belast is, een vestiging heeft, in de zin dat hij er reële en daadwerkelijke werkzaamheden verricht die via een duurzame vestiging worden uitgeoefend in het kader van de activiteiten waartoe de betrokken verwerking behoort. Het staat aan de nationale rechter om dit te beoordelen.

ABRvS 25 mei 2016, IT 2074; ECLI:NL:RVS:2016:1410; ECLI:NL:RVS:2016:1411; ECLI:NL:RVS:2016:1412; ECLI:NL:RVS:2016:1416; ECLI:NL:RVS:2016:1413; ECLI:NL:RVS:2016:1417; ECLI:NL:RVS:2016:1418 (Willems e.a.)
Eerder HvJ EU [IT 1762]. Uit het persbericht: De burgemeesters van Amsterdam, Den Haag, Nuth en Maastricht hebben terecht aanvragen voor een paspoort buiten behandeling gelaten, omdat de aanvragers weigerden de daarvoor verplichte vingerafdrukken af te geven. De burgemeesters van Utrecht, Amsterdam en De Fryske Marren mochten echter niet aanvragen voor een Nederlandse identiteitskaart buiten behandeling laten. Daarvoor is het afgeven van vingerafdrukken niet verplicht. Dit blijkt uit 7 uitspraken die de Afdeling bestuursrechtspraak van de Raad van State vandaag (25 mei 2016) openbaar heeft gemaakt. Tegen de uitspraken is geen hoger beroep mogelijk.

Prejudicieel gestelde vragen aan HvJ EU 25 februari 2016, IEFbe 1807; IT 2073; C-210/16 (Wirtschaftsakademie Schleswig-Holstein)
Gegevensbescherming. Privacy. Via Minbuza: Verzoekster, een privaatrechtelijk georganiseerde onderwijsinstelling, heeft van het ‘Onafhankelijk centrum voor gegevensbescherming van de deelstaat’ (verweerder) op 03-11-2011 opdracht gekregen haar Facebookpagina te deactiveren. Verzoekster maakt via haar ‘fanpage’ bij Facebook Ireland onder meer reclame voor haar onderwijsinstelling. Het aanhouden van ‘fanpages’ geeft de maker onder meer mogelijkheid (via ‘facebook-insights’) geanonimiseerde statistische informatie over gebruikers, bij wie cookies worden geplaatst, te ontvangen. Verzoekster maakt bezwaar maar verweerder bevestigt het besluit, waarna de zaak aan de rechter wordt voorgelegd. Het Verwaltungsgericht vernietigt de beslissing omdat verzoekster geen ‘verantwoordelijk lichaam’ is in de zin van de DUI wet en dan ook geen adressaat van een bevel kan zijn. Verweerders hoger beroep sneuvelt. De zaak ligt nu voor in Revision bij de verwijzende rechter. Verzoekster, ondersteund door medegedaagde Facebook, meent dat zij niet verantwoordelijk is voor gegevensverwerking door Facebook en evenmin voor de geïnstalleerde cookies. Zij heeft daartoe geen opdracht gegeven. Verweerder stelt dat verzoekster door het openen van een ‘fanpage’ wel verantwoordelijk is.

Autoriteit Persoonsgegevens 13 april 2016, IT 2068; z2015-00894 (Stichting Tuchtrecht Banken)
De Autoriteit Persoonsgegevens heeft het Tuchtrechtelijk Register van Stichting Tuchtrecht Banken rechtmatig verklaard. De Autoriteit Persoonsgegevens concludeert dat deze zwarte lijst van bankmedewerkers voldoende privacywaarborgen bevat. Banken zijn wettelijke verplicht om een tuchtrechtelijke regeling te hebben. Een externe, onafhankelijke organisatie moet deze regeling uitvoeren. Deze organisatie is de Stichting Tuchtrecht Banken. De Stichting Tuchtrecht Banken heeft een zwarte lijst opgesteld (het Tuchtrechtelijk Register). Op deze lijst registreert de stichting voortaan bankmedewerkers die een tuchtrechtelijke maatregel opgelegd hebben gekregen, zoals een tijdelijk beroepsverbod. Het feit dat iemand geregistreerd staat, wordt gedeeld met de deelnemende banken. Het doel hiervan is recidive te helpen voorkomen en bij te dragen aan de integriteit van bankmedewerkers.

Vzr. Rechbank Den Haag 11 mei 2016, IEF 15962; IT 2067 (Parfumwebshop tegen Facebook)
Onrechtmatige publicatie. Opvraging gegevens. X heeft een parfumwebwinkel. Op een Facebookgroep konden ontevreden klanten hun mening delen, waarop persoonlijke gegevens van de webshopeigenaar werden gezet en verwijten van malafide praktijken en gebruik van stromannen. Na verwijdering van de gegevens wordt gedreigd met "binnen enkele dagen zullen wij wederom foto en persoonlijke gegevens van de eigenaar plaatsen, zodat u hem kunt vinden".  Na sluiting werd een tweede en een derde Facebookgroep opgericht. X vordert met succes de verstrekking gegevens van de beheerders van de Facebookgroepen. Een krantenartikel, waaraan X zelf heeft meegewerkt, is op zichzelf niet onrechtmatig en de verwijdering hiervan wordt afgewezen.

Rechtbank Oost-Brabant 16 februari 2016, IT 2061; ECLI:NL:RBOBR:2016:2529 (Beukenlaan Facility Manager tegen SNS)
Wbp. BFM vordert ex 35, 36 en 46 Wbp verwijdering uit het Intern Incidentenregister (IR) en Extern verwijzingsregister (EVR). SHR N.V. is ecther niet de verantwoordelijke in de zin van de Wbp en daarom zijn verzoekers niet ontvankelijk. Dat BFM het verzoek (mede) tegen SNS Reaal hebben gericht is begrijpelijk nu de brieven, waarin aan hen gemeld werd dat zij in het IR en het EVR waren opgenomen van SNS Reaal afkomstig waren en niet blijkt dat duidelijk is gecommuniceerd dat SNS Reaal niet meer als zodanig bestaat. Er wordt vanwege voorstaande geen kostenveroordeling aan verbonden.

Conclusie AG HvJ EU 12 mei 2016, IT 2055; IEFbe 1796; C-582/14; ECLI:EU:C:2016:339 (Breyer)
Zie eerder IT 1698; IEFbe 1206. Begrip ‚persoonsgegevens’ – IP-adressen – Bewaring door een aanbieder van elektronische mediadiensten. Nationale regeling volgens welke geen rekening kan worden gehouden met het legitieme belang van de voor de verwerking verantwoordelijke.

1)      Overeenkomstig artikel 2, onder a), [richtlijn gegevensbescherming], vormt een dynamisch IP‑adres waarmee een gebruiker toegang heeft gekregen tot de website van een aanbieder van elektronische mediadiensten voor deze laatste een ‚persoonsgegeven’, wanneer een internetprovider beschikt over de aanvullende gegevens die het, samen met het dynamische IP‑adres, mogelijk maken de gebruiker te identificeren.

Sinds vorige maand staat de tekst van de EU Privacy Verordening ('GDPR') vast en weten we hoe de regels eruitzien die in 2018 in werking treden. Veel daarvan is echter gelijk aan de nu geldende EU Privacy Richtlijn ('95/46'), waarop ook de huidige Nederlandse Privacy wet ('Wbp') is gebaseerd. Als gevolg daarvan blijft veel van de tot nu toe gevormde juridische theorie en praktijk ook straks relevant. Wij merken in de praktijk dat het handig is om snel te kunnen schakelen tussen de vindplaatsen in GDPR, Richtlijn 95/46 en de Wbp. CMS stelt daarom graag de GDPR Transponeringstabel beschikbaar voor geïnteresseerden.

De Nederlandstalige versie (GDPR/Richtlijn/Wbp) kan [hier] direct worden gedownload.
De Engelstalige versie (GDPR/Richtlijn) kan [hier] direct worden gedownload.

Hof Amsterdam 2 februari 2016, IT [2046] (Centramed c.s. tegen X)
Art. 35 en 46 Wbp. Medisch onderzoeksrapport. Verzoek om afgifte. De rechtbank heeft het verzoek om afgifte van het medisch onderzoeksrapport onterecht toegewezen. Partij had dergelijk verzoek binnen de door de Wbp gestelde termijn van zes weken (art. 46 lid 2) moeten indienen bij de rechtbank.