Privacy  

Prejudiciële vragen gesteld aan HvJ EU 19 januari 2017, IT 2245; IEFbe 2112; IEF C-40/17 (Fashion ID tegen Verbraucherzentrale NRW) Bescherming persoonsgegevens; plaatsing cookies. Verzoekster is een online bedrijf in modeartikelen. Verweerster de DUI ‘Consumentenbond’. Facebook intervenieert in de zaak aan de zijde van verzoekster. Het gaat om de plaatsing van een ‘vind ik leuk’ knop (plug-in) op verzoeksters website. Verweerster is een zaak begonnen om van verzoekster te vorderen dat zij zich van het gebruik van de knop onthoudt zolang zij niet aan (vier genoemde) voorwaarden voldoet. Het gaat om gegevensverzameling waarvoor verzoekster toestemming aan de bezoekers van de site zou moeten vragen. De rechter in eerste aanleg wijst de vordering gedeeltelijk toe, maar wijst het door verweerster onder punt 4 gevorderde af (luidende: ‘Wanneer u gebruiker van een sociaal netwerk bent en niet wenst dat het sociale netwerk via onze website gegevens over u verzamelt en koppelt aan de bij dit netwerk opgeslagen gebruikersgegevens, dient u zich vóór het bezoek aan onze website uit te loggen van het sociale netwerk.’

Prejudiciële vragen gesteld aan HvJ EU 22 december 2016, IT 2244; IEFbe 2111; C-25/17 (Jehovah's getuigen) Verzamelen persoonsgegevens in kader geloofsverkondiging. De wervingspraktijk van de geloofsgemeenschap Jehovah’s getuigen is naar ik aanneem algemeen bekend. Het gaat in deze zaak om de bescherming van persoonsgegevens. De (natuurlijke) personen die langs de deuren gaan noteren zaken over de bezochte adressen op notitieblaadjes, memoblaadjes en dergelijke, met name als geheugensteuntje voor een volgend bezoek. In het informatieblad ‘Onze koninkrijksdienst’ van november 2011 stond een artikel was een opsomming opgenomen welke gegevens de leden over de bezochte adressen zouden kunnen noteren (zoals gezinssamenstelling, geloof en dergelijke). Deze passage is één maal kort behandeld in een ledenbijeenkomst. Daarna volgde in juli 2012 een artikel over het bereiken van ‘anderstaligen’. Wanneer een lid stuit op een niet-Fins sprekende burger wordt hem geadviseerd de gegevens door te geven aan de dienstopziener zodat er iemand gevonden kan worden die de betreffende taal spreekt. Hiervan wordt een lijst bijgehouden. Ook bestaat er een lijst van personen die niet meer benaderd wensen te worden (de ‘verbodslijst’). De toezichthouder gegevensbescherming (verweerder) bepaalt dat het verwerken van dit soort gegevens onder de wet persoonsgegevens valt.

HvJ EU 9 maart 2017, IT 2243; IEFbe 2108; C-398/15; ECLI:EU:C:2017:197 (Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce tegen Salvatore Manni) Handelsregister. Privacy. Uit het persbericht: De lidstaten kunnen echter, na verloop van een voldoende lange termijn na de ontbinding van de betrokken vennootschap, in uitzonderlijke gevallen de toegang van derden tot die gegevens beperken. HvJ EU:

Artikel 6, lid 1, onder e), artikel 12, onder b), en artikel 14, eerste alinea, onder a), [richtlijn 95/46/EG], gelezen in samenhang met artikel 3 van de [Eerste richtlijn (68/151/EEG)], moeten aldus worden uitgelegd dat het bij de huidige stand van het Unierecht aan de lidstaten is om te bepalen of natuurlijke personen als bedoeld in artikel 2, lid 1, onder d) en j), van richtlijn 68/151 de met het houden van het centraal register, handelsregister of vennootschapsregister belaste autoriteit mogen verzoeken om op basis van een beoordeling per geval na te gaan of het, om zwaarwegende en gerechtvaardigde redenen die verband houden met hun bijzondere situatie, bij wijze van uitzondering gerechtvaardigd is om, na verloop van een voldoende lange termijn na de ontbinding van de betrokken vennootschap, de toegang tot in dat register over hen opgenomen persoonsgegevens te beperken tot derden die een aantoonbaar belang hebben bij inzage in die gegevens.

HR 24 februari 2017, IT 2234; ECLI:NL:HR:2017:316 (eiser tegen Google) Privacybescherming. Privacy. Recht om vergeten te worden. Vordering tot verwijdering van verwijzingen in zoekmachine. Invullen volledige naam levert verwijzingen op naar websites met initialen van verdachte van misdrijf. Het hof bekrachtigde het vonnis waarbij de gevraagde voorzieningen waren afgewezen [IT 1769]. Het betoog dat ‘in abstracto’ geen rangorde geldt tussen de aan de orde zijnde rechten, en dat geen ‘bijzondere redenen’ nodig zijn om een inmenging in de grondrechten van betrokkene te rechtvaardigen, berust op een onjuiste rechtsopvatting. De HR vernietigt het arrest en verwijst het geding naar Hof Den Haag.

In hun recente bijdragen snijden Mark Jansen [IT2228] en Sylvia Huydecoper [IT2230] een herkenbare frustratie van de ICT-contractspraktijk aan: de bewerkersovereenkomst. Het is ons meest verkochte product, maar ik zou een goede fles wijn opentrekken als ik er nooit meer eentje hoefde te maken of reviewen. Weg met dat prutsdocument.

Dat het ding eigenlijk verwerkINGs-overeenkomst moet heten - we hebben toch ook geen arbeidersovereenkomst of huurderscontracten - laat ik maar even voor wat het is. Veel belangrijker is dat de bewerkersovereenkomst, of straks onder de AVG de verwerkersovereenkomst, in de ICT-contractspraktijk standaard wordt ingezet op een manier die volledig tegen het doel van het ding ingaat.

Veel bedrijven vragen zich – terecht – af of zij straks met de Algemene verordening gegevensbescherming (“Avg”) een Functionaris voor de gegevensbescherming (“FG”) nodig hebben. Nederland ICT heeft op basis van artikel 37 Avg en de op 13 december 2016 door de Artikel 29-werkgroep gepubliceerde richtlijn voor DPO’s, een FG-tool gelanceerd. Met deze quickscan kunnen IT-bedrijven en andere geïnteresseerden door het doorlopen van een aantal vragen een idee krijgen of zij mogelijk een FG nodig hebben. De FG-tool is hier te vinden en een nadere toelichting voor bedrijven op het begrip FG hier.

Rechtbank Gelderland 19 januari 2017, IT 2222 (eiser X tegen Raad van Bestuur Y) Privacy. Inzage. Wbp. Eiseres lijdt aan een psychische stoornis en heeft ook fysieke beperkingen. Verweerder heeft eiesers geïndiceerd voor ZZP GGZ04C (klasse 7,7 etmalen per week, met verblijf, begeleiding, persoonlijke verzorging en verpleging. Verweerder kondigt ambtshalve herindicatieonderzoek aan, vanwege mogelijk onjuiste totstandkoming en indiceert eiseres voor GGZ02C[red. minder begeleiding en hulp). Namens eiseres ingediend verzoek tot inzage in persoonsgegevens op grond van Wbp. Bezwaar is ongegrond verklaard. In dit beroep gaat het om (deels) afdekken van gegevens met een of meerdere ***. De afgedekte tekst met een * betreft een medewerker van Menzis, zoals naam, functie, kantooradres, telefoonnummer, e-mail of werkdagen. ** is gebruik ter belang van wettelijke taken naar behoren te kunnen invullen. *** bevat informatie over een behandelaar van eiseres en hoeft op grond van 35 van Wbp niet te worden verstrekt.

De passages die zijn afgedekt met * en *** zijn geen persoonsgegevens van eiseres, maar persoonsgegevens van een medewerker van Menzis en van een behandelaar van eiseres. Ex artikel 35 Wbp is verweerder niet gehouden inzage te geven. De passages afgedekt met ** gaan over op welke wijze, en door wie, onderzoek is gedaan. Medewerker zouden zich belemmerd kunnen voelen in de vrijheid om argumenten en overwegingen naar voren te brengen, die bij de besluitvorming van belang kunnen zijn, indien deze gegevens voor inzage vatbaar zijn. Ex artikel 43 aanhef en onder e Wbp staat honorering om inzage in de weg.

Rechtbank Overijssel 24 januari 2017, IEF 16558; IT 2216; IEFbe 2076; ECLI:NL:RBOVE:2017:278 (Facebook community X) Privacy. Gegevensbescherming. Portretrecht. Recht om vergeten te worden. Verzoeker vordert verwijdering van vier URLs, waaronder Facebookpost, een filmpje van toenmalig bedrijf op de woonbeurs, een foto van hem met op achtergrond naam van toenmalig bedrijf en artikel met daarbij een foto van hem. De rechtbank beveelt Google de verwijzing naar één URL , met een bericht van de Facebookpagina (Community [xxxx]), die voortkomt uit de zoekopdracht naar de naam van [verzoeker] te verwijderen. De inhoud van de bronpagina waarop URL 1 betrekking heeft bevat naar het oordeel van de rechtbank strafrechtelijke persoonsgegevens.

Conclusie AG 26 januari 2017, IT 2215; IEFbe 2074; ECLI:EU:C:2017:43; zaak C-13/16 (Rīgas satiksme) Persoonsgegevens – Rechtmatige gegevensverwerking – Artikel 7, onder f), van richtlijn 95/46/EG – Omvang en voorwaarden – Verplichting of bevoegdheid om persoonsgegevens te verwerken – Begrip ‚verwerking noodzakelijk voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n). Conclusie AG:

Artikel 7, onder f), van [Privacy]richtlijn 95/46/EG kan niet aldus worden uitgelegd dat de voor de verwerking verantwoordelijke verplicht is om de persoonsgegevens te verstrekken waar een derde om heeft verzocht teneinde een civielrechtelijke procedure in te stellen.

Artikel 7, onder f), van de richtlijn verzet zich er echter niet tegen dat deze gegevens worden verstrekt, mits het nationale recht het verstrekken van persoonsgegevens in situaties als aan de orde in het hoofdgeding mogelijk maakt. Het feit dat de betrokkene ten tijde van het ongeval minderjarig was, is in dit verband niet relevant.

Op 12 januari 2017 heeft de rechtbank Den Haag een uitspraak [IT 2208] toegevoegd aan de right to be forgotten-rechtspraak die sinds het HvJEU Costeja-arrest is ontstaan. De uitspraak is o.a. interessant omdat de verzoeker stelde dat het tonen van zoekresultaten door Google een verwerking van strafrechtelijke persoonsgegevens zou zijn. De rechtbank gaat hier niet in mee en maakt een duidelijk onderscheid tussen een zoekresultaat in Google en de bronpagina waarnaar dit resultaat verwijst. Dit in tegenstelling tot de hieronder ook besproken uitspraak van de rechtbank Rotterdam van begin 2016.