Privacy  

SCL The IT Law Community bericht: Two new official opinions were adopted by the Article 29 Data Protection Working Party on 16 December and are now published: one on ‘applicable law’ following Google Spain and one on automatic exchange of personal data for tax purposes

Although adopted in December, the latest opinions of the Article 29 Working Party have only now been published.

The first, Opinion 175/16/EN WP 234, has the full title 'Guidelines for Member States on the criteria to ensure compliance with data protection requirements in the context of the automatic exchange of personal data for tax purposes' is a 17-page document and can be accessed as a pdf here.

The second, Opinion 176/16/EN WP 179 update, has the full title 'Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain'. That is a much shorter document (12 pages but that includes annexes, including one annex identifying changes to the 2010 Opinion). It does not seem, on a very quick read, to say anything new or profound but SCL members may think differently. The Opinion can be accessed here. The nub of what is communicated is set out below:

'In conclusion, on the basis of the judgement in Google Spain, an additional element should be added to the criteria described in the WP29 Opinion on applicable law, which may trigger the applicability of EU/national law: the criteria of an 'inextricable' (in this specific case economic) 'link' between an activity and the data processing. In its judgement, the CJEU identified this 'inextricable link' taking into consideration the advertisement-financed business model of free on-line services, which is currently the most common mode of operating businesses on the internet. In addition, the judgement suggests that other business models, and different forms of activity (including revenue raising) in an EU Member State may also trigger the applicability of EU law, although the assessment must be made on a case by case basis. Irrespective of where the data processing itself takes place, so long as a company has establishments in several EU Member States which promote and sell advertisement space, raise revenues or carry out other activities, and it can be established that these activities and the data processing are "inextricably linked", the national laws of each such establishments will apply. The judgement provides useful clarification on two aspects: first, the judgement makes it clear that the scope of current EU law extends to processing carried out by non-EU entities with a 'relevant' establishment whose activities in the EU are 'inextricably linked' to the processing of data, even where the applicability of EU law would not have been triggered based on more traditional criteria. Second, the judgement also confirms that - where there is an 'inextricable link' - according to Article 4(1)(a) of Directive 95/46/EC, there may be several national laws applicable to the activities of a controller having multiple establishments in various Member States.'

BGH 14 januari 2016, I ZR 65/14 (Freunde finden)
Uit het persbericht. Het BGH Zivilsenat heeft geoordeeld dat de functie “vrienden zoeken” op Facebook een ongeoorloofde vorm van reclame is. Eiser was de Duitse Federatie van consumentenorganisaties (Bundesverband der Verbraucherzentralen und Verbraucherverbände). Zij stelde dat het verzenden van uitnodigingen via e-mail aan nog niet geregistreerde gebruikers van het platform een intimiderende vorm van reclame is. Het BGH oordeelt dat dit inderdaad het geval is. Dat de verzending wordt geïnitieerd door geregistreerde gebruikers van Facebook, via de “vrienden zoeken” functie, doet hier niet aan af.

Rechtbank Noord-Holland 26 november 2015, IT 1965; ECLI:NL:RBNHO:2015:11680 ([verzoeker] tegen International Card Services)
Privacy. Art. 46 Wbp. Verzoeker heeft tijdens zijn vakantie extra kosten moeten maken omdat hij vervangend verblijf heeft moeten zoeken. De creditcard betaling waarmee hij het vakantieverblijf had betaald wilt hij ongedaan maken. Dit verzoek wordt door ICS gehonoreerd, maar later teruggedraaid wegens schending van de algemene voorwaarden. Verzoeker wilt hier niet aan mee werken en wordt geregistreerd in het Centraal Krediet Informatiesysteem (CKI). Verzoeker eist nu dat ICS meewerkt aan de verwijdering van zijn persoonsgegevens uit het CKI. ICS heeft de registratie in redelijkheid kunnen handhaven nu verzoeker zijn belang bij verwijdering onvoldoende aannemelijk heeft gemaakt. Het verzoek wordt afgewezen.

3.6. De rechtbank is van oordeel dat ICS na afweging van de betrokken belangen na het verzoek van [verzoeker] tot verwijdering van zijn registratie in redelijkheid de registratie in het CKI van de stichting BKR heeft kunnen handhaven. Daarbij heeft de rechtbank het volgende overwogen.

[verzoeker] heeft zijn belang bij verwijdering onvoldoende aannemelijk gemaakt door enkel te stellen dat hij geen huis kan kopen en/of zijn hypotheek niet kan oversluiten. Ter gelegenheid van de zitting heeft [verzoeker] slechts verklaard dat hij enkele huizen op het oog heeft maar zijn plannen ‘on hold’ heeft gezet, zonder het bestaan of de inhoud van deze plannen concreet te maken. Ook van zijn door de registratie gefrustreerde wens om zijn hypotheek over te sluiten heeft hij geen concrete gegevens overgelegd. Daarbij heeft te gelden dat het ook bij een BKR registratie in beginsel niet onmogelijk is een (her)financiering te verkrijgen. De genuanceerde afweging door kredietverstrekkers die volgens ICS een ervaringsfeit is, wordt door het antwoord van vier financiers op de (te) globale vraag van [verzoeker] in elk geval niet weerlegd. Verder heeft [verzoeker] in het kader van de belangenafweging aangevoerd dat er geen sprake is van betalingsonmacht, dat hij overigens van onbesproken betalingsgedrag is, dat hij ICS al heeft betaald en dat het om een gering bedrag ging, zodat ICS na de betaling ten onrechte niet heeft besloten tot verwijdering van de registratie. De rechtbank is van oordeel dat deze argumenten van [verzoeker] samen minder zwaarwegend zijn dan de overwegingen van ICS om de registratie te handhaven. Met name de wijze waarop [verzoeker] de transactie ongedaan heeft gemaakt door in strijd met de waarheid in te vullen dat hij geen opdracht tot de betaling heeft verstrekt en, ook nadat dit was opgehelderd, bijna twee jaren onwillig bleef met betalen acht de rechtbank daarbij van doorslaggevend belang. Dat [verzoeker] betaling is blijven weigeren omdat hij een andere opvatting over de rol van ICS in de kwestie rond het tegenvallende vakantiehuis heeft, maakt dit niet anders. Immers, ICS is geen partij in de overeenkomst tussen de reisorganisatie en [verzoeker] en regels daarover in de algemene voorwaarden, waar ICS [verzoeker] in elk geval in haar brief van 9 oktober 2013 ook op heeft gewezen, zijn duidelijk op dit punt. Niettemin heeft [verzoeker] erin volhard het financiële nadeel van zijn geschil met de reisorganisatie langdurig door ICS te laten dragen en ICS aldus te noodzaken aanvullende kosten te maken ter incassering. Ook betalingsonwil als hier aan de orde vormt een risico voor kredietverstrekkers. Tegenover het belang om de registratie te handhaven en aldus het risico van betalingsonwil en misbruik in te perken, zijn de belangen van [verzoeker] onvoldoende zwaarwegend om tot doorhaling van de registratie te nopen.

De stelling van [verzoeker] dat de zitting niet had behoeven door te gaan omdat [verzoeker] in april 2015 tijdig, dat wil zeggen uiterlijk 48 uur voor de zittingsdatum, heeft betaald, behoeft geen nadere bespreking, nu dit niet relevant is voor de vraag of de belangenafweging na deze betaling anders had dienen uit te vallen.

De rechtbank is dan ook van oordeel dat ICS de gevraagde heroverweging van de registratie na de betaling in april 2015 op goede gronden heeft afgewezen.

Conclusie AG HR 30 oktober 2015, IT 1963; ECLI:NL:PHR:2015:2417 ([A] en [B] tegen SNS Reaal)
Art. 81 RO, art. 46 Wbp. Verzoek tot verwijdering van registratie in het Incidentenwaarschuwingssysteem Financiële Instellingen. [A] c.s. zijn, na enkele incidenten, opgenomen in het Incidentenwaarschuwingssyteem. Zij vorderen op grond van art. 46 Wbp dat zij uit dit register worden geschrapt. In hoger beroep oordeelde het hof dat er sprake is van een zware verdenking dat [A] c.s. zich schuldig hebben gemaakt aan het gebruiken resp. het opstellen van valse facturen. Dit is voldoende grond voor opname in het Incidentenregister en het EVR. Wel beperkt zij de registratietermijn van acht jaar. Beide partijen gaan in cassatie. De AG komt tot de conclusie dat beide cassatieberoepen moeten worden verworpen. De HR wijst de cassatieberoepen af op grond van art. 81 RO.

Cassatieberoep [A] c.s.
[A] c.s. beroepen zich onder andere op het feit dat inschrijving hen uitsluit van financiële dienstverlening en gevolgen heeft voor hun broodwinning. Registratie zou om deze reden disproportioneel zijn. Het hof oordeelt dat alleen de registratietermijn van acht jaar de grenzen van proportionaliteit overschrijdt. De klacht hierop faalt bij gebrek aan feitelijke grondslag, aldus de AG. Ook de klacht dat het hof volstaat met de enkele motivering dat de integriteit van SNS Reaal en in potentie het gehele bankwezen in gevaar is, zonder te motiveren op welke wijze dat het geval zou zijn slaagt niet volgens de AG.

Cassatieberoep SNS Reaal
SNS klaagt over de overweging dat SNS op zichzelf niet betwist dat de opname van [A] c.s. in de register het nagenoeg wegvallen van hun inkomen betekent. Zij stelt dit wel te hebben betwist. Dit onderdeel faalt omdat het hof de door het onderdeel bedoelde stellingen van SNS heeft gewogen. Daaruit volgt dat de door het onderdeel aangevallen overweging niet ziet op deze stellingen, zodat het onderdeel berust op een onjuiste lezing van de beschikking. De klacht over de beperking van de registratietermijn gaat eveneens niet op. Het hof diende te beoordelen welke termijn van registratie proportioneel was, gezien (onder meer) de beroepsblokkade die het gevolg zou zijn van de registratie in het EVR.

Bespreking van het middel van [A] c.s.
3.12 Volgens de klacht voorziet het Protocol alleen in registratie van incidenten die de financiële instelling zelf benadelen en is daarvan in het onderhavige geval geen sprake. Het onderdeel verwijst daartoe naar enige passages uit de considerans van het Protocol, waarin wordt gesproken van “personen die een Financiële instelling willen schaden of op oneigenlijke gronden gebruik maken van de diensten van de Financiële instelling” en van “gedragingen van (rechts)personen die hebben geleid of kunnen leiden tot benadeling van Financiële instellingen”.

3.13 Het oordeel van hof is naar mijn mening niet onbegrijpelijk, zodat de klacht niet slaagt. Het hof heeft afdoende gemotiveerd waarom de gedragingen van [A] c.s. een gevaar vormen voor de integriteit van de betrokken financiële instelling – en deze dus benadelen – en daarom vallen onder het Protocol door te overwegen (i) dat het in omloop brengen en houden van valse facturen op zichzelf al een bedreiging voor het handelsverkeer in het algemeen oplevert en dat in de financiële sector dit eens te meer klemt, aangezien veiligheid en integriteit daarin een belangrijke factor in de bedrijfsvoering vormen en (ii) dat het aanzien en de integriteit van een bank en in potentie zelfs van het bankwezen als geheel in gevaar komt zodra voor de bank werkzame personen zich met valsheid in geschrifte inlaten. In rov. 5.9 is het hof voorts ingegaan op de omstandigheid dat tegen [A] c.s. geen strafrechtelijke aangifte is gedaan.

Bespreking van het middel van SNS Reaal
4.4 Volgens onderdeel 2.a is onbegrijpelijk de overweging dat SNS Reaal op zichzelf niet betwist dat de opname van [A] c.s. in de registers het nagenoeg wegvallen van hun inkomen heeft veroorzaakt. SNS Reaal heeft dit namelijk wel betwist door aan te voeren dat er een veelheid aan activiteiten is, die [A] en [B] kunnen verrichten (zoals nader uiteengezet in het onderdeel).

4.5 Het onderdeel faalt, omdat uit de geciteerde overwegingen blijkt dat het hof de door het onderdeel bedoelde stellingen van SNS Reaal heeft gewogen. Daaruit volgt dat de door het onderdeel aangevallen overweging niet ziet op deze stellingen, zodat het onderdeel berust op een onjuiste lezing van de beschikking.

4.12 Waar de voorgaande onderdelen onder meer betogen dat als de registratie eindigt betrokkenen weer werkzaam zullen zijn in de financiële sector, en daarmee tot uitgangspunt nemen dat dit thans niet het geval is vanwege de registratie, heeft onderdeel 1.c een andere invalshoek. Onderdeel 1.c betoogt dat het oordeel over de termijn van registratie onbegrijpelijk of voldoende is gemotiveerd omdat, voor zover sprake zou zijn van een beroepsblokkade, die niet het gevolg is van de registratie in het EVR maar van het onderliggende gedrag van de betrokkenen en de publiciteit daaromtrent.

4.13 Deze klacht gaat niet op. Het hof diende te beoordelen welke termijn van registratie proportioneel was, gezien (onder meer) de beroepsblokkade die het gevolg zou zijn van de registratie in het EVR. Het oordeel dat registratie een beroepsblokkade tot gevolg heeft, is feitelijk van aard. Aan dit feitelijke gevolg van de registratie doet niet af dat daaraan gedrag van [A] c.s. ten grondslag heeft gelegen dat deze registratie rechtvaardigt.

Evenmin doet daaraan af dat dit gedrag nog andere gevolgen dan registratie in het EVR kan hebben, zoals negatieve publiciteit, die eveneens bemoeilijken dat [A] c.s. werk zullen vinden dat aansluit bij hun werkervaring. Dit hoefde het hof niet te weerhouden van zijn oordeel dat een registratietermijn van drie jaar proportioneel is. Ook hier geldt dat niets is vastgesteld omtrent de vraag of en in hoeverre deze andere gevolgen in vergelijkbare mate, op vergelijkbare wijze of voor een vergelijkbare periode van invloed zijn op de mogelijkheden voor [A] c.s. om nieuw werk te vinden.

Rechtbank Amsterdam 24 december 2015, IT 1955; ECLI:NL:RBAMS:2015:9515 ([verzoeker] tegen Google)
Privacy. Wet bescherming persoonsgegevens. Recht om vergeten te worden. [verzoeker] was als freelancemedewerker in dienst bij een weekblad, totdat zij werk ontslagen wegens plagiaat. In het NRC is een artikel hierover verschenen, welk hoog in de zoekresultaten verschijnt, wanneer men op de naam van [verzoeker] zoekt. Verzoeker beroept zich op artikel 46 Wbp en eist verwijdering van zijn persoonsgegevens uit de Google zoekmachine. Het verzoek wordt in het licht van het Costeja-arrest beoordeeld. De hieruit volgende belangenafweging valt nadelig uit voor [verzoeker]. Het artikel ziet op zijn handelen in hoedanigheid als journalist. Het belang beroepsgroep en toekomstige opdrachtgevers staat voorop. Het verzoek wordt afgewezen. 

4.12. De belangenafweging moet in dit geval in het nadeel van [verzoeker] uitvallen. Hiertoe wordt het volgende overwogen. Het artikel is weliswaar uit [jaar] en derhalve van [jaar] geleden, maar dit betekent nog niet dat het niet langer relevant is. Hierbij is het volgende van belang:
- niet in geschil is dat het NRC-artikel op zich juiste informatie verschaft;
- het NRC-artikel ziet op handelen van [verzoeker] zelf, waarmee hij de publicaties die daarvan het gevolg zijn en de publieke belangstelling daarvoor in zekere zin over zichzelf heeft afgeroepen;
- het NRC-artikel ziet op handelen van [verzoeker] in zijn hoedanigheid van journalist en niet van [verzoeker] als privépersoon, terwijl [verzoeker] nog steeds werkzaam is in de journalistieke sector;
- in het NRC-artikel wordt de handelwijze van [verzoeker] aangemerkt als plagiaat (zij het in de visie van [verzoeker] een lichte vorm) en onweersproken is dat plagiaat, ook in lichte vorm, in journalistieke kringen als een ernstig vergrijp wordt gezien.

Dit sluit ook aan bij de door de privacy toezichthouders opgestelde richtlijnen naar aanleiding van het Costeja-arrest (zie hiervoor onder 3.3), waarin onder meer is opgenomen dat “Information is more likely to be relevant if it relates to the current working life of the data subject”. In het licht van deze omstandigheden is het naar het oordeel van de rechtbank van belang dat deze informatie beschikbaar is én ook in de toekomst zal blijven. Dit geldt zeker voor de journalistieke beroepsgroep en in het bijzonder voor mogelijke toekomstige opdrachtgevers van [verzoeker] die de mogelijkheidheid moeten hebben om een eigen afweging te maken en daarbij de aan [verzoeker] verweten handelingen moeten kunnen betrekken. Zij moeten zelf kunnen afwegen of en in hoeverre de ernst van het “vergrijp” van [verzoeker] en de omstandigheid dat het lang geleden heeft plaatsgevonden voor hen van belang is. Daarmee bestaat ook voor Google belang om die informatie te kunnen aanbieden. In zoverre kan niet gezegd worden dat het zoekresultaat met betrekking tot het NRC-artikel bovenmatig of niet relevant is.

4.13. [verzoeker] heeft verder nog aangevoerd dat de koppeling (die hem in verband brengt met een zware vorm van plagiaat) een prominente plaats in het zoekresultaat van Google inneemt, terwijl dat niet geldt voor koppelingen naar artikelen die hem ontlasten en steunen. Deze omstandigheid kan evenwel niet tot een ander oordeel leiden. De koppeling is immers het gevolg van het zonder menselijke tussenkomst functionerende, geautomatiseerde, algoritmische systeem van de zoekmachine. Aan die functie wordt, zoals eerder overwogen, maatschappelijk belang gehecht. De NRC is een landelijk dagblad is en dat heeft volgens Google tot gevolg dat het artikel in het zoekresultaat hoger in relevantie wordt gewaardeerd dan een stuk in bijvoorbeeld een regionaal blad of een persoonlijk blog. Dat uit de kop van het artikel waarnaar wordt verwezen en de snippetvan de inhoud die door de zoekmachine van elke koppeling wordt weergegeven, zoals [verzoeker] betoogt, een vertekend beeld kan ontstaan, is tevens inherent aan de (goede) werking van de zoekmachine en vindt zijn rechtvaardiging in het feit dat tegelijkertijd de volledige, niet-vertekende informatie, te weten het volledige artikel, door middel van diezelfde koppeling beschikbaar is. De prominentie van de koppeling in het zoekresultaat zou kunnen worden gecorrigeerd door de koppeling (relatief) minder prominent in het zoekresultaat weer te geven. Dit is evenwel, naar Google onweersproken heeft aangevoerd, technisch onmogelijk en het verzoek van [verzoeker] is hier ook niet op gericht.

Bijdrage ingezonden door Lex Bruinhof en Victor Bouman, Wieringa advocaten. De afgelopen weken hebben wij in een serie op het weblog van Wieringa Advocaten de wijzigingen in de Wet Bescherming Persoonsgegevens als gevolg van de Wet Meldplicht Datalekken besproken. In deze serie hebben we duidelijk gemaakt bij welke (potentiële) datalekken u als verantwoordelijke in actie moet komen, wat u dan moet doen en wat de mogelijke gevolgen zijn als u dat niet doet. In het laatste deel van de serie vatten we alles nog eens heel kort samen in de vorm van een handige checklist, met verwijzingen naar eerdere delen van de serie.
Lees verder

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) bevestigt dat het onderzoek doet naar de verwerking van DIS-gegevens door NZa. De Nederlandse Zorgautoriteit (NZa) heeft na aankondiging van een onderzoek door het CBP bekend gemaakt voorlopig te stoppen met het leveren van gegevens uit het Diagnose Informatie Systeem (DIS) aan derden.

Het CBP stelt vast dat in DIS (bijzondere) persoonsgegevens worden verwerkt. De verwerking van deze gegevens dient daarom te voldoen aan de eisen van de Wet bescherming persoonsgegevens. De in het DIS opgenomen gegevens zijn zodanig bewerkt dat de herleidbaarheid tot het individu wordt beperkt, maar niet voorgoed onmogelijk wordt gemaakt. Daarmee blijven het persoonsgegevens. In 2014 gaf de Artikel 29-Werkgroep van Europese privacytoezichthouders in een opinie aan dat een belangrijke factor bij het anonimiseren is dat de verwerking onomkeerbaar moet zijn. De opinie maakt duidelijk dat pseudonimiseren geen anonimiseringsmethode is, maar slechts een beveiligingsmaatregel om privacyrisico’s te verkleinen.

Het CBP kan lopende het onderzoek geen verdere uitspraken doen over de inhoud en details van het onderzoek.

CBP 17 november 2015, IT 1912 (Ontwerpbesluit gegevensverwerking)
Het College bescherming persoonsgegevens (CBP) is voornemens de door de ondernemersvereniging Zuidplein te Rotterdam gemelde gegevensverwerking Protocol Collectieve winkel- en garageontzegging Zuidplein rechtmatig te verklaren. De gemelde verwerking houdt in dat de ondernemersvereniging voornemens is om strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag te verwerken ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b Wbp.

Terinzagelegging van de stukken
Het op de melding betrekking hebbende ontwerpbesluit en de onderliggende stukken liggen tot 26 november 2015 ter inzage van maandag t/m vrijdag tussen 10.00 uur en 16.00 uur bij het CBP, Prins Clauslaan 60 te Den Haag. U dient hiervoor een afspraak te maken via telefoonnummer 070-8888500.
U kunt het ontwerpbesluit van het CBP en het Protocol Collectieve winkel- en garageontzegging Zuidplein downloaden via ‘Publicaties’ aan de rechterkant van deze pagina.

Zienswijze indienen
Belanghebbenden kunnen hun zienswijze over dit ontwerpbesluit om de beschreven verwerking rechtmatig te verklaren naar voren brengen. Zij worden verzocht dit bij voorkeur schriftelijk kenbaar te maken aan het CBP onder vermelding van zaaknummer z2015-00268. Het adres is College bescherming persoonsgegevens, Postbus 93374, 2509 AJ Den Haag.

CBP 17 november 2015, IT 1911 (brief AKP Turkse kiesgerechtigden)
Het College bescherming persoonsgegevens (CBP) heeft een oriënterend onderzoek gedaan naar aanleiding van de verzending van een brief door de AK Parti (AKP). Op basis van de verkregen informatie concludeert het CBP dat in Turkije politieke partijen op grond van Turks recht tegen betaling lijsten van kiesgerechtigden met hun adressen kunnen krijgen. Daarom heeft het CBP besloten op dit moment geen nader onderzoek te doen.

In oktober van dit jaar ontving een groot aantal mensen een brief van de Turkse premier Davutoglu waarin zij werden opgeroepen te stemmen op zijn partij.

CBP november 2015, IT 1917, z2014-00859 (Nike+ Running app)
Uit het persbericht: Nike informeert de gebruikers van de Nike+ Running app onvoldoende over de verwerking van hun gezondheidsgegevens. Nike verkrijgt daardoor ook niet de vereiste uitdrukkelijke toestemming van de app-gebruikers. Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. Nike heeft naar aanleiding van het onderzoek maatregelen getroffen en meer acties in het vooruitzicht gesteld. Het CBP zal de komende tijd controleren of Nike hiermee de geconstateerde overtredingen beëindigt.
Lees verder>