Privacy  

Conclusie AG HvJ EU 8 september 2016, IT 2130; IEFBE 1924; ECLI:EU:C:2016:656 (EU Canada PNR-overeenkomst) Persoonsgegevens. Terrorisme bestrijding. Privé- en gezinsleven. De EU en Canada zijn in 2010 onderhandelingen gestart over een overeenkomst over de doorgifte en de verwerking van persoonsgegevens van passagiers (PNR-overeenkomst). De overeenkomst moet het mogelijk maken dat PNR-gegevens aan de Canadese autoriteiten worden doorgegeven met het oog op latere doorgifte van gegevens, teneinde terrorisme en andere grensoverschrijdende criminaliteit te bestrijden. Aan het Hof wordt gevraagd of de voorgenomen overeenkomst verenigbaar is met het recht van de Unie, dat de eerbiediging van het privé- en gezinsleven en de bescherming van persoonsgegevens waarborgt. Volgens de AG kan de tussen de Europese Unie en Canada voorgenomen overeenkomst inzake de doorgifte van persoonsgegevens van passagiers in haar huidige vorm niet worden gesloten. Conclusie AG:

1)      Het besluit van de Raad betreffende de sluiting van de voorgenomen overeenkomst tussen Canada en de Europese Unie inzake de doorgifte en verwerking van gegevens uit het passagiersnamenregister (PNR), ondertekend op 25 juni 2014, moet worden gebaseerd op artikel 16, lid 2, eerste alinea, en artikel 87, lid 2, onder a), VWEU, gelezen in samenhang met artikel 218, lid 6, onder a), v), VWEU.

2)      De voorgenomen overeenkomst is verenigbaar met artikel 16 VWEU en de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, op voorwaarde dat:

Conclusie AG HvJ EU 8 september 2016, IT 2116; IEFbe 1917; ECLI:EU:C:2016:652; C-398/15 ; (Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce tegen Salvatore Manni) Voor de verwijzende Italiaanse rechter (Hof van Cassatie) gaat het om de vraag of er op grond van een ‘recht om vergeten te worden’ gegevens die bij wet aan verweerster zijn toevertrouwd, mogen worden gewist, geanonimiseerd, of na zekere tijd afgeschermd. Hij wijst op het belang van het handelsregister voor de rechtszekerheid. De verwijzende rechter verwijst naar de punten 1 en 3 van het dictum in Google Spain en Google, en merkt op dat de toepassing van het door het HvJ vastgestelde beginsel op situaties als die van de onderhavige zaak niet tot gevolg heeft dat de gegevens uit het openbare register worden gewist, maar juist dat er grenzen worden gesteld aan het gebruik van de uit het openbare register verkregen gegevens door anderen die deze gegevens vervolgens zelf verwerken. Hij vraagt zich echter af of Richtlijn 95/46 een maximale duur aan het aanhouden van gegevens stelt.

Conclusie AG:

Gelet op het voorgaande geef ik het Hof in overweging de vragen van de Corte suprema di cassazione te beantwoorden als volgt: „Artikel 2, lid 1, onder d) en j), en artikel 3 van de Eerste richtlijn (68/151/EEG) van de Raad van 9 maart 1968 strekkende tot het coördineren van de waarborgen, welke in de lidstaten worden verlangd van de vennootschappen in de zin van de tweede alinea van artikel 58 van het Verdrag, om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden, zulks ten einde die waarborgen gelijkwaardig te maken, zoals gewijzigd bij richtlijn 2003/58/EG van het Europees Parlement en de Raad van 15 juli 2003, en artikel 6, lid 1, onder e), en artikel 7, onder c), e) en f), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, dienen in het licht van artikel 7 en artikel 8 van het Handvest van de grondrechten van de Europese Unie aldus te worden uitgelegd dat zij zich ertegen verzetten dat in het vennootschapsregister ingeschreven persoonsgegevens na een bepaald tijdsbestek en op verzoek van de betrokken persoon ofwel kunnen worden geschrapt, geanonimiseerd of ontoegankelijk gemaakt, dan wel slechts toegankelijk kunnen zijn voor een beperkte kring van derden die een legitiem belang bij de toegang tot dergelijke gegevens kunnen aantonen.”

Rechtbank Den Haag 20 juli 2016, IT 2119; ECLI:NL:RBDHA:2016:9853 (verwijdering uit incidentenregister) Registratie persoonsgegevens. Incidentenregister. Het betreft een vordering tot verwijdering uit incidentenregister van financiële instellingen. Als kernvraag ligt ter beantwoording voor of de opname van de persoonsgegevens van de eiser in het Incidentenregister en het EVR rechtmatig is. Inderdaad kan o.g.v. de artikelen 36 en 46 Wbp via een verzoekschriftprocedure om verwijdering uit de registers worden verzocht. Die openstaande rechtsgang staat er echter niet aan in de weg dat eiser, zoals hier, op basis van onrechtmatige daad via een dagvaardingsprocedure vordert dat de registratie ongedaan wordt gemaakt. Er bestaat een zwaardere verdenking dan een redelijk vermoeden van schuld dat eiser c.s. zich schuldig heeft gemaakt aan het opmaken en gebruikmaken van een valse of vervalste werkgeversverklaring en salarisspecificatie, zoals strafbaar gesteld in artikel 225 van het Wetboek van Strafrecht (Sr), en heeft gepoogd om NN Bank met deze stukken te misleiden. De rechtbank wijst de vordering tot verwijdering uit het incidentenregister af, omdat vast staat dat gedragingen van eiser een bedreiging vormen voor de integriteit en continuïteit van de financiële sector.

HvJ EU 28 juli 2016, IT 2108; ECLI:EU:C:2016:612 ; C-191/15 (Verein für Konsumenteninformation tegen Amazon)
E-commerce - Bescherming van persoonsgegevens - Richtlijn 95/46/EG - Toepasselijk recht - Vestiging gegevensverwerker bepalend. HvJ EU: (...)

3)      Artikel 4, lid 1, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet aldus worden uitgelegd dat de verwerking van persoonsgegevens door een e-commercebedrijf wordt beheerst door het recht van de lidstaat waarop dit bedrijf zijn activiteiten richt, indien blijkt dat dit bedrijf de betrokken gegevensverwerking verricht in het kader van de activiteiten van een vestiging die zich in die lidstaat bevindt. Het is aan de nationale rechter om te beoordelen of dit het geval is.

Conclusie AG HvJ EU 19 juli  2016, IT 2105; IEFbe 1875; ECLI:EU:C:2016:572; C‑203/15 en C‑698/15 (Tele2 Sverige tegen Post- och telestyrelsen)
Persbericht - Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Nationale wetgeving die voorziet in een algemene verplichting om gegevens over elektronische communicaties te bewaren – Artikel 15, lid 1 ‒ Handvest van de grondrechten van de Europese Unie – Artikel 7 ‒ Recht op eerbiediging van het privéleven – Artikel 8 – Recht op bescherming van persoonsgegevens – Ernstige inmenging – Rechtvaardiging – Artikel 52, lid 1 – Voorwaarden – Legitieme doelstelling van bestrijding van ernstige criminaliteit – Vereiste van een wettelijke grondslag in het nationale recht – Vereiste van strikte noodzakelijkheid – Vereiste van evenredigheid in een democratische samenleving. Conclusie AG:

Artikel 15, lid 1, van richtlijn 2002/58/CE van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn ‚privacy en elektronische communicatie’), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, en de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie moeten aldus worden uitgelegd dat zij zich niet ertegen verzetten dat een lidstaat aanbieders van elektronischecommunicatiediensten verplicht om alle gegevens betreffende de door de gebruikers van hun diensten gevoerde communicaties te bewaren indien is voldaan aan alle hiernavolgende vereisten, hetgeen door de verwijzende rechters moet worden getoetst in het licht van alle relevante kenmerken van de in de hoofdgedingen betrokken nationale regelingen:

Hof van Beroep Brussel 29 juni 2016, IEfbe 1857; IT 2102 (Facebook tegen Privacycommissie)
De beschikking van de Voorzitter van de Nederlandstalige Rechtbank van Eerste Aanleg Brussel [IEFbe 1569] is ongedaan gemaakt. In die zaak vorderde de Privacycommissie dat Facebook veroordeeld zou worden om te stoppen met het registreren via cookies en social plug-ins van het surfgedrag van internetgebruikers uit België die geen Facebook-account hebben. In eerste aanleg was de vordering van de Privacycommissie ingewilligd geweest.

1. Belgische rechtbanken hebben geen internationale rechtsmacht
Het Hof van Beroep oordeelt dat de Belgische rechtbanken geen internationale rechtsmacht hebben voor een procedure ingesteld door de Belgische Privacycommissie tegen Facebook Inc. en Facebook Ireland Limited, omdat er geen enkele wettelijke bepaling is die hen internationale rechtsmacht verleent:

Man, blank, tenminste van middelbare leeftijd en jurist. Ook de vierde preses van het bestuursorgaan privacytoezichthouder voldoet aan deze kenmerken. Na Klaas de Vries (oud-rechter), Peter Hustinx (oud-ambtenaar ministerie van Justitie), Jacob Kohnstamm (oud-politicus) is het nu de beurt aan Aleid Wolfsen (oud-rechter, oud-politicus en oud- burgemeester). De wisseling van wacht komt op indringend moment. Niet eerder staat de bescherming van de persoonlijke levenssfeer zo in de belangstelling en — afhankelijk welke positie je kiest — onder druk als in deze periode, waar allerlei maatschappelijke en informatietechnologische ontwikkelingen zich met spoed, parallel en deels onverwachts blijven voltrekken. De geest is definitief uit de fles.

Rechtbank Gelderland 25 april 2016, IT 2094; ECLI:NL:RBGEL:2016:3350 (verzoekster tegen Gerechtsbestuur Hof 's-Hertogenbosch)
Verzoekster heeft de Rechtbank Limburg en Hof 's-Hertogebosch alle dossiers rond haar gezin uit het archief te verwijderen. Op basis van de Archiefwet is een wettelijke plicht die niet door Wbp wordt opgegeven. Artikel 8e Wbp spreekt over noodzakelijke gegevensverwerking voor de uitoefening van de publieke taak. Het aanpassingsrecht uit artikel 36 Wbp beoogt niet om persoonsgegevens bestaande uit indrukken, meningen en conclusies te verwijderen. Verzoek wordt geweigerd.

Hof Arnhem-Leeuwarden 31 mei 2016, IT 2082; ECLI:NL:GHARL:2016:4289 (appellant tegen Rabobank)
Wet Bescherming Persoonsgegevens. BKR. Appellant heeft gevorderd Rabobank op straffe van een dwangsom te veroordelen haar meldingen met betrekking tot appellant uit het register van BKR te (laten) verwijderen. De voorzieningenrechter wijst de vorderingen af en in hoger beroep wordt dit oordeel bekrachtigt. Rabobank is een aanbieder van krediet in de zin van art. 1 Wet financieel toezicht (Wft). Ingevolge art. 4:32 lid 1 Wft is Rabobank gehouden deel te nemen aan een stelsel van kredietregistraties. Dat stelsel is het Centraal Krediet Informatiesysteem (CKI) dat door BKR wordt bijgehouden. Rabobank is deelnemer aan het CKI en als deelnemer aan het door BKR vastgestelde Algemeen Reglement CKI gebonden.

Conclusie AG HvJ EU 2 juni 2016, IT 2078; C‑191/15; ECLI:EU:C:2016:388 (Verein für Konsumenteninformation tegen Amazon)  E-commerce - Bescherming van persoonsgegevens - Richtlijn 95/46/EG - Toepasselijk recht - Vestiging gegevensverwerker bepalend

Conclusie AG:

4)      Artikel 4, lid 1, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet aldus worden uitgelegd dat een verwerking van persoonsgegevens slechts kan worden onderworpen aan het recht van één lidstaat. Deze lidstaat is die waarin degene die met deze verwerking belast is, een vestiging heeft, in de zin dat hij er reële en daadwerkelijke werkzaamheden verricht die via een duurzame vestiging worden uitgeoefend in het kader van de activiteiten waartoe de betrokken verwerking behoort. Het staat aan de nationale rechter om dit te beoordelen.