Privacy  

HvJ EU 6 oktober 2015, IT 1878; ECLI:EU:C:2015:650; C-362/14 (Maximillian Schrems/Data Protection Commissioner)
Safe harbour. Uit het persbericht: Het Hof verklaart de beschikking van de Commissie dat de Verenigde Staten een passend niveau van bescherming van doorgegeven persoonsgegevens waarborgen, ongeldig. Terwijl het Hof als enige bevoegd is om een handeling van de Unie ongeldig te verklaren, mogen de nationale toezichthouders waarbij een verzoek is ingediend, ook wanneer er een beschikking van de Commissie is waarbij wordt vastgesteld dat een derde land waarborgen voor een passend niveau van bescherming van de persoonsgegevens biedt, onderzoeken of de doorgifte van de gegevens van een persoon naar dat land voldoet aan de vereisten van de Unieregelgeving over de bescherming van deze gegevens en zich, zoals de betrokkene, tot de rechter wenden met het oog op een prejudiciële verwijzing om de geldigheid van die beschikking te laten onderzoeken

Op andere blogs:
IViR
Ius Mentis
CBP
Mediareport

Prejudiciële vragen aan HvJ EU 1 oktober 2015, zaak C-201/14 (Smaranda Bara tegen Presedintele Casei Nationale de Asigurari de Sanatate)
Prejudiciële verwijzing. Verwerking persoonsgegevens. De prejudiciële beslissing betreft de uitleg van art. 124 VWEU en art. 10,11 en 13 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Het Hof verklaart voor recht: Dat de artikelen 10,11 en 13 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer moeten worden uitgelegd dat nationale maatregelen, zoals die welke in het hoofdgeding, een overheidsinstantie van een lidstaat toestaan om persoonlijke gegevens door te geven aan een andere overheidsdienst en daaropvolgende behandeling, zonder dat de betrokkenen op de hoogte zijn van deze transmissie of behandeling.

Sur les dépens
47      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit:
Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.

Ktr. Rechtbank Oost-Brabant 7 augustus 2015, IT 1871; ECLI:NL:RBOBR:2015:4762 (Ondernemingsraad Hermes tegen Hermes Groep)
Arbeidsrecht. Cameratoezicht. Hermes zet sinds 2010 af en toe Mystery Guests (anonieme rijinstructeurs) in op ritten. De desbetreffende chauffeur wordt dan beoordeeld op 51 punten betreffende het gedrag en rijvaardigheid. Daarnaast worden hier camerabeelden van gemaakt. De kantonrechter oordeelt dat de video-opnames niet als bewijs mogen dienen omdat het Reglement dat Hermes heeft opgesteld een te ruime uitleg geeft aan de Regeling Cameratoezicht van Connexxion. De ondernemingsraad krijgt gelijk: de camerabeelden mogen slechts worden gebruikt als bewijs wanneer ze onderdeel zijn van een formele aangifte van een misdrijf of betrokkenheid daarbij en/of justitie/politie die beelden heeft opgevraagd. Hermes moet het gebruik van de beelden staken wanneer het doel 'ter observatie van houding en gedrag' is. Daarnaast is het besluit tot inzet van Mystery Guests niet instemmingsplichtig op grond van art. 27 lid 1 sub g WOR. 

3.9.5. Op grond van het voorgaande is, naar het oordeel van de kantonrechter, voldoende komen vast te staan dat het beoordelen van een chauffeur van Hermes door rijinstructeurs aan de hand van het als productie 1 bij het verzoekschrift overgelegde beoordelingsformulier geschiedt op basis van beslissingen van Hermes die incidentele situaties betreffen en die buiten de geldende, met instemming van de OR tot stand gekomen regeling ten aanzien van de personeelsbeoordeling van Hermes vallen. Dat was ook al zo in de situatie vóór 2010. De slotsom is derhalve dat het in 2010 genomen besluit van Hermes om rijinstructeurs in de hiervoor genoemde gevallen ook anoniem als Mystery Guest in te zetten, geen besluit betreft dat de vaststelling, of wijziging of intrekking van een regeling als bedoeld in artikel 27 lid 1 sub g WOR tot doel heeft. De door de OR verzochte verklaring voor recht en het verbod zijn dan ook niet toewijsbaar.

3.17. Naar het oordeel van de kantonrechter miskent Hermes met haar uitleg dat de Regeling Cameratoezicht reeds voorschrijft bij welke incidenten de camerabeelden rechtspositioneel tegen medewerkers kunnen worden gebruikt, namelijk slechts als onderdeel van een formele aangifte van een misdrijf of betrokkenheid daarbij en/of politie/justitie de beelden heeft opgevraagd. Door Hermes is niet weersproken dat de desbetreffende passage na uitvoerig overleg met de COR in de Regeling Cameratoezicht is opgenomen. Voor zover Hermes meent ook buiten deze gevallen de beelden rechtspositioneel tegen haar medewerkers te kunnen gebruiken, bijvoorbeeld na een klacht over het tijdens het rijden door een chauffeur bedienen van een smartphone geeft Hermes naar het oordeel van de kantonrechter een te ruime uitleg aan de regeling. De verwijzing naar het doel van de Regeling Cameratoezicht en haar zorgplicht als vervoerder kan Hermes daarbij niet baten. Zonder toelichting valt niet in te zien dat het doel van de regeling en de zorgplicht van Hermes in het gedrang kunnen komen door een juiste toepassing van de in die regeling opgenomen rechtspositionele bescherming van haar chauffeurs. De verwijzing naar de ontbindingsprocedure bij de kantonrechter te Arnhem kan Hermes evenmin baten. De vraag die in die procedure door de kantonrechter beantwoord moest worden, namelijk of de camerabeelden als (onrechtmatig verkregen) bewijs dienden te worden uitgesloten, was een andere dan de vraag die in de onderhavige procedure aan de orde is en kan aan het hiervoor overwogene daarom niet af doen.

3.18. De conclusie van het voorgaande is dat Hermes de Regeling Cameratoezicht te ruim uitlegt zodat het door de OR verzochte verbod toewijsbaar is.

Andere blogs:
ICTarbeidsrecht

Conclusie AG HvJ EU 23 september 2015, IT 1868; C-362/14 (Maximillian Schrems/Data Protection Commissioner)
Uit het perscommuniqué: Volgens advocaat-generaal Bot mogen nationale autoriteiten de doorgifte van gegevens van Europese Facebookgebruikers aan servers in de VS opschorten, niettegenstaande de beschikking van de Commissie dat de VS een passend niveau van bescherming van persoonsgegevens bieden. De advocaat-generaal is bovendien van mening dat deze beschikking ongeldig is. Conclusie:

Article 28 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, read in the light of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, must be interpreted as meaning that the existence of a decision adopted by the European Commission on the basis of Article 25(6) of Directive 95/46 does not have the effect of preventing a national supervisory authority from investigating a complaint alleging that a third country does not ensure an adequate level of protection of the personal data transferred and, where appropriate, from suspending the transfer of that data.

Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the Department of Commerce of the United States of America is invalid.

Gestelde vragen:

Wanneer bij een onafhankelijke ambtsdrager, aan wie bij de wet de toepassing en de uitvoering van de wetgeving inzake gegevensbescherming is opgedragen, een klacht wordt ingediend dat persoonsgegevens worden doorgegeven aan een derde land (in casu de Verenigde Staten van Amerika) waarvan het recht en de praktijk volgens de klager de betrokkenen geen passende bescherming bieden, is die ambtsdrager dan absoluut gebonden aan de communautaire bevinding van het tegendeel [in de beschikking van de Commissie van 26 juli 2000 (2000/520/EG1 )], gelet op de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (PB 2000/C 364/012 ), niettegenstaande artikel 25, lid 6, van richtlijn 95/46/EG3 ?

Of kan en/of moet de ambtsdrager overgaan tot een eigen onderzoek van de zaak in het licht van de feitelijke ontwikkelingen die zich sinds de bekendmaking van die Commissiebeschikking hebben voorgedaan?

Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptrichtsnoeren over de nieuwe meldplicht datalekken gepubliceerd. Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de richtsnoeren. De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen zal de organisatie ook hen moeten informeren. De meldplicht datalekken geldt met ingang van 1 januari 2016.

Datalek
Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.

Voorbeelden van datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.

Melden of niet?
Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

Richtsnoeren meldplicht datalekken
De richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de toezichthouder en eventueel aan de betrokkenen.

Consultatie richtsnoeren
Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de nu gepubliceerde conceptversie te reageren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de richtsnoeren. Reacties op de richtsnoeren kunnen worden ingezonden via consultatiedatalekken@cbpweb.nl.

Autoriteit Persoonsgegevens
De definitieve versie van de richtsnoeren treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens. Eventuele datalekken zullen dan ook bij de Autoriteit Persoonsgegevens moeten worden gemeld. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is € 810.000.

Meer informatie
Zie meldplicht datalekken voor meer informatie over de nieuwe meldplicht datalekken.

Lees het persbericht hier,
Zie eerder bericht [IT 1839].

EHRM 3 september 2015, IT 1861, nr. 27013/10 (Affaire Sérvulo & Associados, Sociedade de advogados tegen Portugal)
Inbeslagname bestanden. Volgens het EHRM is er geen schending van art. 8 (recht op eerbiediging van het privé- en gezinsleven) van het Europees Verdrag voor de Mensenrechten. De zaak betrof het onderzoek van advocatenkantoren en de inbeslagname van computerbestanden en emailberichten, tijdens een onderzoek naar vermoedelijke corruptie, het witwassen van geld in verband met de aankoop door de Portugese regering van twee onderzeeërs van een Duits consortium. Het hof constateerde dat de procedurele waarborgen in acht zijn genomen om misbruik en willekeur te voorkomen.

119. Au vu des observations qui précèdent, la Cour estime qu’en dépit de l’étendue des mandats de perquisition et saisie, les garanties offertes aux requérants pour prévenir les abus, l’arbitraire et les atteintes au secret professionnel des avocats, en particulier le contrôle du juge d’instruction complété par l’intervention du président de la cour d’appel au titre de l’article 72 du statut de l’Ordre des avocats, ont été adéquates et suffisantes. La perquisition et la saisie des documents informatiques et messages électroniques dénoncées en l’espèce n’a donc pas porté une atteinte disproportionnée au but légitime poursuivi.

120. Partant, il n’y a pas eu violation de l’article 8 de la Convention.

Hof Den Haag 1 september 2015, IT 1860; ECLI:NL:GHDHA:2015:2332 (verzoeker tegen KPN Callfactory per 14 september 2010 ontbonden, activiteiten voortgezet door KPN en per 1 juli 2014 door CM Group)
Wet bescherming persoonsgegevens. Artikel 46 Wbp brengt niet mee dat in een procedure op de voet van deze bepaling in hoger beroep, het beroepschrift moet worden ingediend door een advocaat. Dat het beroepschrift van verzoeker niet door een advocaat is ingediend doch door hemzelf, staat dus niet in de weg aan de ontvankelijkheid van het beroep. Ingevolge art. 46 Wbp kan een belanghebbende zich bij verzoekschrift wenden tot de rechter met een verzoek ex. artikel 30 lid 3, 35, 36 of 38 lid 2 dan wel een verzet als bedoeld in art. 40, 41. Artikel 49 Wbp, over schadevergoeding, wordt in die opsomming niet genoemd. Proceseconomie en effectiviteit van de Wbp brengen mee dat een verzoek tot schadevergoeding (ook) kan worden meegenomen in de verzoekschriftprocedure ex art. 46 Wbp. Het hoger beroep van verzoeker slaagt en schadevergoeding wordt toegewezen.

5. Ambtshalve overweegt het hof dat artikel 46 Wbp niet meebrengt dat, in een procedure op de voet van deze bepaling in hoger beroep, het beroepschrift moet worden ingediend door een advocaat (in dezelfde zin Gerechtshof Amsterdam 5 juli 2011, ECLI:NL:GHAMS:2011:BR3020). Dat het beroepschrift van [verzoeker] niet door een advocaat is ingediend doch door hemzelf, staat dus niet aan de ontvankelijkheid van zijn beroep in de weg.

17. Het hof overweegt als volgt. Ingevolge artikel 46 Wbp kan een belanghebbende zich bij verzoekschrift wenden tot de rechter met een verzoek ex artikel 30 lid 3, 35, 36 of 38 lid 2 dan wel een verzet als bedoeld in artikel 40 of 41. Artikel 49 Wbp, over schadevergoeding, wordt in die opsomming niet genoemd.
Artikel 49 Wbp is grotendeels overgenomen uit artikel 9 Wet persoonsregistraties (Stb. 1988, 665; hierna WPR), de voorganger van de huidige Wbp (Kamerstukken II 1997-1998, 25 892, nr. 3, p. 176). (...) Het voorgaande in aanmerking nemende, moet naar het oordeel van het hof worden aangenomen dat proceseconomie en effectiviteit van de Wbp meebrengen dat een verzoek tot schadevergoeding (ook) kan worden meegenomen in de verzoekschriftprocedure ex artikel 46 Wbp.

19. Uit het vorenstaande volgt dat het hoger beroep van [verzoeker] slaagt. Het hof zal de bestreden beschikking vernietigen en, opnieuw rechtdoende, het verzoek van [verzoeker] tot schadevergoeding toewijzen. KPN zal als de in het ongelijk te stellen partij worden veroordeeld in de kosten van de beide instanties. Het gaat daarbij alleen om griffierechten, [verzoeker] heeft zich immers niet laten bijstaan door een advocaat. De proceskostenveroordeling zal uitvoerbaar bij voorraad worden verklaard, zoals door [verzoeker] gevorderd. De vernietiging van de beschikking brengt mee dat voor zover [verzoeker] de proceskosten van het geding in eerste aanleg aan KPN heeft voldaan, KPN deze aan [verzoeker] zal moeten terugbetalen.

Rechtbank Oost-Brabant 23 juli 2015, IT 1858; ECLI:NL:RBOBR:2015:5389 (verzoeker tegen SNS Bank)
Privacy. Wet bescherming persoonsgegevens. In deze zaak dient de vraag te worden beantwoord of belanghebbende gegronde redenen heeft om verzoeker te registreren in het Incidentenregister en het EVR. De rechtbank stelt bij de beoordeling voorop dat de Wbp moet worden uitgelegd in overeenstemming met art. 8 EVRM. Bij elke gegevensverwerking moet zijn voldaan aan de beginselen van subsidiariteit en proportionaliteit. Belanghebbende heeft voldoende aannemelijk gemaakt dat verzoeker zich op een wijze heeft gedragen dat registratie rechtvaardigt, nu verzoeker geen verklaring geeft waarom het onrechtmatig zou zijn. Verzoeker heeft ook verzuimd de echtheid van zijn documenten aan te tonen.

4. De beoordeling
4.2. De rechtbank stelt bij de beoordeling van het onderhavige verzoek voorop dat de Wbp moet worden uitgelegd in overeenstemming met het bepaalde in artikel 8 EVRM. Bij elke gegevensverwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Dit brengt met zich dat de inbreuk op de belangen van betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel, en dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kan worden verwerkelijkt (Hoge Raad 9 september 2011, LJN: BQ8097).

4.3. De rechter is van oordeel dat belanghebbende voldoende aannemelijk heeft gemaakt dat verzoeker zich op een wijze heeft gedragen die een registratie in het Incidentenregister en het EVR rechtvaardigt, nu er van de zijde van verzoeker geen verklaring is gekomen waaruit zou blijken dat voornoemde registratie onrechtmatig zou zijn. Verzoeker legt geen enkel bewijs over waaruit blijkt dat hij wel in dienst is geweest bij Universal te Son. Daarnaast heeft verzoeker verzuimd de echtheid aan te tonen van de door hem overgelegde documenten uit 2007 ter verkrijging van een hypothecaire banklening, zodat de rechtbank niet anders kan beslissen dan het onderhavige verzoek in al zijn onderdelen af te wijzen.

Hof Arnhem-Leeuwarden 18 augustus 2015, IT 1842; ECLI:NL:GHARL:2015:6160 (eiser tegen Stichting LIBAU welstands-en monumentenzorg Groningen)
Privacy. Artikel 1 aanhef en onder a Wet bescherming persoonsgegevens. Eiser heeft een tal boederijen in eigendom in de provincie Groningen. Door Stichting Libau zijn verschillende boerderijen aangewezen tot beschermd monument. Volgens eiser heeft Libau onrechtmatig tegenover hem gehandeld door ten aanzien van zijn voorouders, dan wel familie, een beeld te schetsen van welvarende, statusgerichte en uitbuitende herenboeren. Het hof verwerpt de stellingen van eiser. Er is geen sprake van aantasting van de goede naam van eiser, en evenmin aantasting van de nagedachtenis van een overleden voorouder. Het beroep op de Wet bescherming persoonsgegevens faalt.

3. De beoordeling
3.28 (...) Daargelaten of in de omschrijving van deze panden enkele fouten zijn gemaakt, is er naar het oordeel van het hof geen sprake van aantasting van de goede naam van [appellant] , dan wel inbreuk op zijn persoonlijke levenssfeer. De omschrijvingen als zodanig zijn niet grievend van aard en de beschreven handelingen hebben bovendien omstreeks honderd jaar geleden plaatsgevonden. Daarnaast is er geen sprake van aantasting van de nagedachtenis van een overledene als bedoeld in artikel 6:106 lid 1 aanhef en onder c BW, nu [appellant] niet heeft gesteld dat het hier gaat om familieleden van hem in de eerste of tweede graad.
3.30 Het enkele feit dat in de eerste omschrijving van het pand [adres] fouten zijn gemaakt wil echter nog niet zeggen dat Libau daarmee onrechtmatig heeft gehandeld ten opzichte van [appellant] . De beschrijvingen zijn niet denigrerend of anderszins grievend jegens [appellant] en/of zijn familie. Naar het oordeel van het hof kan niet in rechte staande worden gehouden dat [appellant] daardoor is aangetast in zijn goede naam, dan wel zijn persoonlijke levenssfeer.
3.33 Waar het betreft de vermelding van zijn (voor)ouders in de in de registers van het Kadaster opgenomen omschrijvingen moet worden geoordeeld dat [appellant] in beginsel geen beroep toekomt op de bepalingen van de Wbp. Voor zover nog één van zijn ouders in leven mocht zijn komt hem of haar een zelfstandig beroep toe op de bepalingen van deze wet en voor zover zij zijn overleden komt nabestaanden in beginsel geen beroep toe op de bepalingen van deze wet. Artikel 1 aanhef en onder a Wbp verstaat namelijk onder persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Bijdrage ingezonden door Niels Westerlaken, Project Moore advocaten.
Voorafgaand aan de publicatie van de richtsnoeren meldplicht datalekken beantwoordt het Cbp vragen over deze meldplicht op haar website Cbpweb.nl. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. ... U kunt nu al maatregelen treffen om u voor te bereiden op de inwerkingtreding van de meldplicht datalekken per 1 januari 2016. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt goed beveiligt. Daarnaast kunt u bijvoorbeeld: goed incidentenbeheer inrichten; beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP; nadenken over hoe u de betrokkenen gaat informeren bij een datalek; nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken; afspraken met uw bewerkers controleren. "

Info: niels.westerlaken@projectmoore.com