HvJ EU 14 maart 2024, IT 4503; ECLI:EU:C:2024:239 (Újpest tegen toezichthoudende autoriteit). Het gemeentebestuur van Újpest (Hongarije) heeft in 2020 besloten financiële steun te bieden aan inwoners die kwetsbaar waren geworden door de COVID-19-pandemie. Om het steunprogramma uit te kunnen voeren heeft het gemeentebestuur persoonsgegevens verzameld. De toezichthoudende autoriteit heeft naar aanleiding van een onderzoek geconstateerd dat hiermee bepalingen van de AVG waren geschonden en verplicht het gemeentebestuur de gegevens te wissen. Het ging met name om het nalaten van het gemeentebestuur de inwoners te informeren over de verwerking. Het gemeentebestuur stelt dat de toezichthoudende autoriteit niet bevoegd is te gelasten dat de persoonsgegevens gewist worden en dat dit recht slechts aan betrokkene zou toekomen. De verwijzende rechter legt de kwestie voor aan het HvJ EU.

HvJ EU 7 maart 2024, IT 4502, ECLI:EU:C:2024:216 (Endemol Shine Finland). Endemol Shine Finland heeft de Finse bodemrechter verzocht om informatie over strafzaken tegen een natuurlijke persoon, teneinde de strafrechtelijke antecedenten van deze persoon na te gaan. In hoger beroep heeft de rechter aangevoerd dat de mondelinge verstrekking van de door haar gevraagde informatie geen verwerking van persoonsgegevens in de zin van artikel 4, punt 2, AVG vormt. De verwijzende rechter legt dit voor aan het Hof. Zij vraagt het Hof ook hoe de beperkingen op de verwerking van persoonsgegevens zich verhoudt ten opzichte van het recht van toegang van het publiek tot officiële documenten.

HvJ EU 7 maart 2024, IT 4500; ECLI:EU:C:2024:215 (Rekwirante tegen Europese Commissie). Rekwirante is een academisch onderzoekster en kreeg via de Europese Onderzoeksraad een subsidie voor haar project bij de Aristoteles-universiteit. De universiteit heeft na voltooiing van het project (onder meer) de personeelskosten gedeclareerd bij het ERCEA. Het ERCEA stelde dat het bedrag niet subsidiabel was en heeft het Europees Bureau voor fraudebestrijding (OLAF) ingeschakeld. OLAF heeft onderzoek gedaan en een persbericht gepubliceerd over de fraudezaak. Rekwirante vordert aan de hand van dit persbericht immateriële schadevergoeding. Zij stelt dat OLAF de bepalingen van verordening 2018/1725 betreffende de bescherming van persoonsgegevens heeft geschonden.

De Rijksinspectie Digitale infrastructuur (hierna: RDI) heeft in 2021 onderzoek gestart naar gegevenswerking door Odido (destijds T-Mobile) en heeft onrechtmatige verwerking van persoonsgegevens geconstateerd. De verwerking vond plaats tussen 2018 en 2019 en heeft betrekking op 2,5 tot 4,5 miljoen klanten. Het heeft de provider een boete van 175.000 euro opgeleverd.

De gegevens werden gebruikt voor een samenwerkingsproject met het Centraal Bureau voor de Statistiek (hierna: CBS). Het doel van dit project was het ontwikkelen van een algoritme voor informatie over verplaatsingen en aanwezigheid van grote groepen mensen in bepaalde locaties. De gegevens waren privacygevoelig en bevatten locaties van bellers en tijdstippen van gesprekken. De wet staat Odido toe deze gegevens te gebruiken voor bepaalde doeleinden, bijvoorbeeld facturering, maar niet voor een dergelijk samenwerkingsproject. Odido heeft in strijd gehandeld met de in artikel 11.5 Telecommunicatiewet verankerde wettelijke verplichting gegevens te anonimiseren en/of te verwijderen na verwerking voor de toegestane doeleinden. De RDI heeft echter geen ernstige gevolgen of geëffectueerde risico’s geconstateerd, wat tot boeteverlaging heeft geleid. Het samenwerkingsproject is in 2020 beëindigd.

Rb. Den Haag 10 januari 2024, IT 4499; ECLI:NL:RBDHA:2024:282 (Eiser tegen Rabobank). Eiser is enig aandeelhouder van twee vennootschappen en wilde met deze vennootschappen een onderneming opzetten die champagne verhandelt. Rabobank heeft in 2009 aan de vennootschappen een financiering van €110.000,- verstrekt en deze twee jaar later opgezegd. De Rabobank heeft vervolgens een negatieve BKR-registratie gedaan die ziet op de betalingsverplichting uit de borgstelling. In deze registratie werd onder meer opgenomen dat eiser onvindbaar en onbereikbaar bleek. Eiser vordert onder meer schadevergoeding en verklaring voor recht dat Rabobank onrechtmatig heeft gehandeld door eiser ten onrechte bij het BKR aan te melden en eiser zo machteloos heeft gelaten.

Rb. Rotterdam 6 maart 2024, IEF 21942, IT 4493; ECLI:NL:RBROT:2024:1771 (Eisers tegen gedaagde). Gedaagde heeft een boek gepubliceerd waarvan de voorkant en één van de pagina’s een foto van eiser bevat. Eisers staan afgebeeld onder de kop "hoofdrolspelers" een worden veelvoudig in het boek genoemd. Eisers stellen dat zij in het boek beschuldigd worden van corruptie en betrokkenheid bij een inbraak en een mislukte moordaanslag. Eisers vorderen primair een publicatieverbod voor het boek, wegens schending van het portretrecht en zo ook het recht op eerbiediging van de persoonlijke levenssfeer. De voorzieningenrechter oordeelt dat wegens het actuele openbaar belang in Suriname, namelijk corruptie, sprake is van grote journalistieke vrijheid. Daarnaast zijn de grenzen van toelaatbare kritiek ruimer als het gaat om kritiek op personen in de publieke belangstelling. Het handelen van gedaagde is niet onnodig diffamerend en/of buitensporig. Het recht op vrijheid van meningsuiting van gedaagde weegt in dit geval zwaarder dan het recht op eerbiediging van de persoonlijke levenssfeer van eisers. De eis wordt afgewezen.

HvJ EU 5 maart 2024, IT 4497, ECLI:EU:C:2024:202 (Kočner tegen Europol). Naar aanleiding van de moord op een Slowaakse journalist en zijn verloofde is door Slowaakse autoriteiten een uitgebreid onderzoek gestart. Op verzoek van deze autoriteiten heeft Europol gegevens die waren opgeslagen op twee mobiele telefoons behorend tot Marian Kočner overhandigd. Europol gaf bovendien in een van zijn rapporten aan dat Kočner in hechtenis zat en dat zijn naam in verband werd gebracht met “maffialijsten”. Kočner vordert van Europol €100.000,- immateriële schadevergoeding wegens schade die hij stelt te hebben geleden door de onrechtmatige verwerking van zijn gegevens. Het Gerecht heeft dit beroep verworpen, omdat Kočner niet bewezen zou hebben dat er een oorzakelijk verband bestond tussen de gestelde schade en het gedrag van Europol, evemin dat de "maffialijsten” door Europol waren opgesteld en werden bijgehouden. Kočner heeft hogere voorziening ingesteld bij het Hof.

HvJ EU 7 maart 2024, IT 4498; ECLI:EU:C:2024:214 (IAB Europe tegen Gegevensbeschermingsautoriteit). Het Real Time Bidding-fenomeen is – kortgezegd – een vorm van adverteren waarmee digitale advertenties rechtstreeks kunnen worden gekocht en verkocht. Er vindt een "realtime" veiling plaats waarbij het hoogste bod in de veiling zijn advertentie weergegeven krijgt op betreffend medium. Gebruikers van het medium zullen eerst toestemming moeten geven aan de aanbieder van de website of applicatie voordat hun persoonsgegevens worden verzameld voor (meestal) marketing- en reclamedoeleinden. IAB Europe is een vereniging zonder winstoogmerk die de ondernemingen van de sector van digitale reclame en marketing vertegenwoordigt op Europees niveau. Zij heeft een oplossing uitgewerkt waarvan zij stelt dat deze dat veilingsysteem in overeenstemming kan brengen met de AVG. De voorkeuren van de gebruikers worden hierbij gecodeerd en opgeslagen in een zogenaamd “Transparency and Consent String” (TC-string) die vervolgens gedeeld wordt met makelaars in persoonsgegevens en reclameplatformen. Ook wordt een cookie op het toestel van de gebruiker geplaatst. Deze kan dan met de TC-string gekoppeld worden aan het IP-adres van de gebruiker. De Belgische autoriteit heeft geoordeeld dat de TC-string een persoonsgegeven in de zin van de AVG vormt en dat IAB als verwerkingsverantwoordelijke onrechtmatig heeft gehandeld. IAB Europe betwist dit en heeft hoger beroep ingesteld bij het hof van beroep Brussel (België), dat prejudiciële vragen heeft voorgelegd aan het Hof.

HvJEU AG 22 februari 2024, IT 4496; ECLI:EU:C:2024:162 (I. sp. z o. o. tegen M. W.). De in Polen gevestigde vennootschap I. (hierna: verzoekster) heeft een schuldvordering tegen de vennootschap NMW. Verzoekster is ter inning van deze vordering een tenuitvoerleggingsprocedure ingeleid. Volgens de rechter moet de vraag worden beantwoord of de door NMW gecreëerde databanken met persoonsgegevens in het kader van een tenuitvoerleggingsprocedure kunnen worden overgedragen. Bij een bevestigend antwoord zou het beroep in het hoofdgeding namelijk worden verworpen. De Poolse rechter stelt de volgende prejudiciële vraag:

„Moet artikel 5, lid 1, onder a), [AVG] juncto artikel 6, lid 1, onder a), c) en e), en lid 3, [AVG] aldus worden uitgelegd dat het zich verzet tegen een nationale regeling die in het kader van een procedure van gedwongen tenuitvoerlegging de verkoop toestaat van een databank in de zin van artikel 1, lid 2, van [richtlijn 96/9] met persoonsgegevens, wanneer de personen op wie die gegevens betrekking hebben niet met een dergelijke verkoop hebben ingestemd?”

Hof Arnhem Leeuwarden 5 maart 2024, IT 4495; ECLI:NL:GHARL:2024:1639 (Appellanten tegen Defam B.V.). Defam B.V. (Defam) heeft in 2017 een kredietaanvraag ontvangen van betrokkene voor een persoonlijke lening van € 45.500,-. Na onderzoek en navraag bij de ING bank, heeft Defam ontdekt dat de gegevens (salarisbijschrijvingen) incorrect zijn. Ingevolge deze ontdekking heeft Defam betrokkene geregistreerd in het incidentenregister en het Extern Verwijzingsregister (hierna: EVR) en is een strafrechtelijke vervolging gestart die tot een veroordelend vonnis heeft geleid. Uiteindelijk is betrokkene vrijgesproken. Het vonnis had geleid tot blokkering van de betaalrekeningen van betrokkene bij de ING bank. Betrokkene doet aan de hand hiervan beroep op de onrechtmatige daad en vordert schadevergoeding wegens schending van de AVG door het onterecht registreren en/of het ten onrechte langer handhaven van de persoonsgegevens van betrokken en haar echtgenoot in het incidentenregister en/of het EVR. De bodemrechter heeft een afwijzende vonnis gewezen waartegen appellanten in hoger beroep zijn gegaan.