Privacy  

Conclusie A-G HvJ EU 3 juli 2012, zaak C-614/10 (Europese Commissie tegen Republiek Oostenrijk)

In 't kort: Niet-nakoming van de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens. Vervulling, in volledige onafhankelijkheid, van taken van nationale toezichthoudende autoriteiten belast met toezicht op verwerking van persoonsgegevens en de nauwe persoonlijke en organisatorische banden tussen toezichthoudende autoriteit en Bundeskanzleramt.

Conclusie:
1) De Republiek Oostenrijk is de verplichtingen niet nagekomen die op haar rusten krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, ten eerste door de functies van bestuurder van de Datenschutzkommission en van federaal ambtenaar te cumuleren, ten tweede door het secretariaat van de Datenschutzkommission in het Bundeskanzleramt te integreren, en ten derde door de bondskanselier een recht op informatie ten aanzien van de Datenschutzkommission toe te kennen, waardoor zij het vereiste dat de toezichthoudende autoriteiten de hun opgedragen taken „in volledige onafhankelijkheid” vervullen, onjuist heeft uitgevoerd.

2) De Bondsrepubliek Duitsland wordt verwezen in de kosten van de Europese Commissie.
3) De Europese Toezichthouder voor gegevensbescherming en de Bondsrepubliek Duitsland worden verwezen in hun eigen kosten.

Een bijdrage van Wouter Dammers, ICTRecht.

Zie onderaan voor een praktische lijst. De nieuwe cookieregels vereisen dat specifieke, vrije en op informatie berustende toestemming (de zogenaamde “informed consent”) moet worden verkregen van gebruikers voordat informatie wordt opgeslagen of wordt opgevraagd op de randapparatuur (computer, mobieltje, tablet, e.d.) van de gebruiker.

Echter, niet altijd is deze informed consent vereist. Uitgezonderd zijn de zogenaamde functionele cookies. Functionele cookies? Ja. Functionele cookies. Gelukkig heeft de Article 29 Data Protection Working Party (de “Werkgroep”, een Europees adviesorgaan waar alle Europese toezichthouders op het gebied van privacy zijn aangesloten), inmiddels meer duidelijkheid verschaft over welke cookies onder deze uitzondering valt (overigens heeft zij eerder al meer uitleg gegeven over wat onder “informed consent” moet worden verstaan in twee opinies (deze en deze)).

De Werkgroep omschrijft functionele cookies als cookies die (A) uitsluitend dienen ter uitvoering van communicatie (“Communicatie Cookies”) of (B) dienen ter uitvoering van een “dienst van de informatiemaatschappij” (“Dienst Cookies”).

Communicatie Cookies
Communicatie Cookies moeten noodzakelijk zijn om communicatie mogelijk te maken – enkel het vergemakkelijken of versnellen van communicatie is dus niet voldoende. De Werkgroep noemt drie elementen die als strikt noodzakelijk kunnen worden aangemerkt voor het plaatsvinden van communicatie tussen twee partijen via een netwerk:

De mogelijkheid om informatie te routeren via het netwerk, met name door de eindpunten van de communicatie te identificeren;
De mogelijkheid om gegevens uit te wisselen in de bedoelde volgorde, met name door de data pakketjes te nummeren;
De mogelijkheid om tranmissiefouten of verlies van data te ontdekken.
Overigens hoeft er niet per sé sprake te zijn van een “netwerk”, ook op applicatieniveau kunnen deze Communicatie Cookies voorkomen.

Indien minimaal één van de voornoemde functies worden gebruikt, is er sprake van Communicatie Cookies. De nieuwe cookieregels gelden in dat geval dus niet.

Dienst Cookies
Om als Dienst Cookie te kunnen worden aangemerkt, dient aan de volgende vereisten te zijn voldaan:

De dienst moet uitdrukkelijk zijn verzocht door de betreffende gebruiker – er moet daarvoor een actieve wilsuiting hebben plaatsgevonden (zoals het klikken op een button);
De cookie moet strikt noodzakelijk zijn om die betreffende dienst uit te kunnen voeren: als cookies zijn uitgeschakeld werkt de betreffende dienst niet.
Wordt aan beide vereisten voldaan, dan is er sprake van een Dienst Cookie. De nieuwe cookieregels gelden in dat geval dus niet.

Uitgezonderd? En dan?
Wanneer je uitgezonderd bent van de nieuwe cookieregels, betekent dit nog niet dat er geen verplichtingen voor je gelden. Het Communicatie Cookie of Dienst Cookie moet zodanig ingesteld zijn dat ze niet meer werken wanneer ze niet meer nodig zijn. Een goed moment is wanneer de browser sessie eindigt, en soms zelf eerder (verlaten van de website). Voor winkelwagen cookies (een Dienst Cookie bij uitstek) kan het wenselijk zijn om de cookies ook te houden na beëindiging van de browser sessie – bijvoorbeeld omdat de gebruiker zijn browser per ongeluk kan hebben afgesloten. De redelijke verwachtingen van de gemiddelde gebruiker zijn hierbij van belang – houd dat dus goed in de gaten als criterium.

Praktisch: een tabel om te bepalen of de nieuwe cookieregels gelden:
Allemaal leuk en aardig die regels, maar we hebben natuurlijk veel liever een gemakkelijk en praktisch overzicht waarin we kunnen opzoeken of de nieuwe cookieregels gelden voor het betreffende cookie of niet. Wel nu, bij deze:

Algemene voorbeelden

Specifieke voorbeelden:

Peter Hustinx, EU Data Protection Supervisor: "Towards More Effective and Consistent Data Protection across the EU", 14th Annual Conference DuD 2012 - Datenschutz und Datensicherheit Berlin, 18 June 2012.

However, let me say very clearly that I consider the proposal for a General Data Protection Regulation as “a huge step forward” towards a more effective and consistent protection of personal data across the EU, but that there is also a need for clarification and improvement on a number of important details.

For further information on both, I would like to refer to the substantial Opinion of the EDPS on the data reform package, submitted on 7 March 2012, and available on our website, with other relevant documentation. This also includes an Opinion of the Article 29 Working Party adopted on 23 March 2012.

Drivers of EU Review
Continuity and change
General scope
User control
Responsibility
Supervision and enforcement
Global Privacy
Final remarks

ABRvS 13 juni 2012, LJN BW8137 (appellanten tegen Stichting Openbaar Onderwijs Groep Groningen)

Inzagerecht. Privacy. Algemeen bestuursrecht.

Verzoek tot afschrift van dossiers, stukken en schoolinformatie over zoon van appellanten (ex. artikel 35 Wbp). De brief van de rector waarin appellanten worden uitgenodigd, is een besluit in de zin van de Awb. Het is een uitnodiging en een verwijzing klaarblijkelijk met het doel vast te stellen waarvan afschrift wordt verzocht.

Bij brief van 16 maart 2010 heeft [appellant] het Praedinius Gymnasium te Groningen verzocht afschriften te verstrekken van alle complete dossiers, schoolrapporten, het schoolreglement, alle stukken met betrekking tot de medezeggenschapsraad (hierna: de MR) en schoolinformatie met betrekking tot zijn [zoon].

[appellant] betoogt dat de rechtbank de informatieve brief van de rector van 27 april 2010 ten onrechte als een besluit in de zin van de Awb heeft aangemerkt. Het is een uitnodiging en een verwijzing klaarblijkelijk met het doel vast te stellen waarvan afschrift wordt verzocht. Ook ontbreekt de wettelijk verplichte rechtsmiddelenverwijzing en is de brief ondertekend met de woorden "met vriendelijke groet", waardoor [appellant] mocht menen dat deze brief dan ook geen besluit was, aldus [appellant]. Volgens hem houdt de brief mededelingen van feitelijke handelingen in en is deze niet op rechtsgevolg gericht.

2.6.1. De Afdeling is met de rechtbank van oordeel dat de brief van 27 april 2010 een besluit is op het verzoek van [appellant] van 16 maart 2010. De stichting heeft er terecht op gewezen dat in de brief van 27 april 2010 puntsgewijs is gereageerd op de verschillende gegevens waarom [appellant] heeft gevraagd. Zoals hiervoor is overwogen, diende het verzoek gelet op de bewoordingen te worden opgevat als gedaan ingevolge artikel 35 van de Wbp. Deze wet verplicht niet tot het verstrekken van afschriften van de beschikbare gegevens. De Afdeling deelt daarom het oordeel van de rechtbank dat met het bieden bij brief van 27 april 2010 van de mogelijkheid tot inzage in het schooldossier de rector namens de stichting op de aanvraag van [appellant] heeft beslist. Het al dan niet opnemen van de verplichte rechtsmiddelenverwijzing en de wijze van ondertekening is voor het antwoord op de vraag of de stichting op 27 april 2010 een besluit in de zin van de Awb heeft genomen niet doorslaggevend.

2.6.2. De rechtbank heeft terecht overwogen dat het beslissen op de aanvraag van [appellant] betekent dat geen beroep meer kon worden ingesteld tegen het niet tijdig nemen van een besluit. Daarom heeft de rechtbank het beroep van [appellant] als bedoeld in artikel 6:2, aanhef en onder b, van de Awb terecht niet-ontvankelijk verklaard en doorgezonden naar de stichting ter behandeling als bezwaar.

Op andere blogs:
Dirkzwagerieit (Raad van State: aan inzage recht Wbp voldaan door uitnodiging gesprek)

Artikel 29 data protection working party, Opinion 04/2012 on Cookie Consent Exemption, 00879/12/EN, 7 juni 2012.

In een recente opinie heeft de artikel29-werkgroep een opinie aangenomen inzake de vrijstelling van toestemming voor cookies, zij eindigt met de woorden:

Ultimately, to decide if a cookie is exempt from the principle of informed consent it is important to verify carefully if it fulfils one of the two exemption criteria defined in Article 5.3 of Directive 2009/136/EC. After a careful examination, if substantial doubts remain on whether or not an exemption criterion applies, website operators should closely examine if there is not in practice an opportunity to gain consent from users in a simple unobtrusive way, thus avoiding any legal uncertainty.

Website: Artikel 29 werkgroep

CBP 'verstrekken inkomensgegevens aan verhuurder door Belastingdienst in strijd met wet, CBPweb, 31 mei 2012.

De verstrekking van inkomensgegevens van huurders aan woningverhuurders door de Belastingdienst was in strijd met de Wet bescherming persoonsgegevens (Wbp). Dit is de conclusie van het College bescherming persoonsgegevens (CBP) dat de staatssecretaris van Financiën hiervan in een brief op de hoogte heeft gesteld. De Belastingdienst verstrekte informatie over het feit of het huishoudinkomen al dan niet meer bedroeg dan € 43.000. De gegevensverstrekking liep vooruit op een wetsvoorstel dat huurverhoging op grond van inkomen mogelijk maakt in het kader van de zogeheten ‘aanpak scheefwonen’

Brief aan de staatsscretaris

DDMA handleiding Cookiewet ‘Wet en werkelijkheid', mei 2012.

DDMA publiceert vandaag een uitgebreide handleiding Cookiewet. In deze handleiding wordt een vertaalslag gemaakt van de juridische materie naar de Nederlandse beroepspraktijk. Aan de hand van diverse voorbeelden en een stappenplan wordt de lezer geïnformeerd over de wijzigingen die respectievelijk begin juni en per 1 januari 2013 in de bedrijfsvoering moeten zijn aangepast.

Zie verder: hier

Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)

In deze toelichting wordt nader ingegaan op het nieuwe EU-rechtskader voor persoonsgegevensbescherming dat wordt voorgesteld in Mededeling COM(2012) 9 definitief. Het voorgestelde rechtskader omvat twee wetgevingsvoorstellen:
– een voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene
verordening gegevensbescherming); en

– een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens 2.

Deze toelichting heeft betrekking op het wetgevingsvoorstel voor een algemene verordening gegevensbescherming.

Via CBPWeb:

Het College bescherming persoonsgegevens (CBP) heeft de Gedragscode Verwerking van Persoonsgegevens door Netbeheerders in het kader van Installatie en Beheer van Slimme Meters bij Kleinverbruikers van Netbeheer Nederland goedgekeurd. In het besluit van 9 mei 2012 heeft het CBP verklaard dat de Gedragscode een juiste uitwerking vormt van de Wet bescherming persoonsgegevens en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens.

De goedkeuring geldt voor een termijn van vijf jaar na de datum van bekendmaking in de Staatscourant.

Hof Leeuwarden 22 mei 2012, zaaknr. 107.001.948/01 (Stokke tegen Marktplaats)

Uitspraak ingezonden door Tobias Cohen Jehoram en Marjolein Bronneman, De Brauw Blackstone Westbroek en Christiaan Alberdingk Thijm en Vita Zwaan, SOLV advocaten.

Richtlijn elektronische handel. Auteursrechtrichtlijn. Handhavingsrichtlijn. Auteurswet. BVIE. Wet bescherming persoonsgegevens.

In't kort: Het hof bekrachtigt de tussen partijen gewezen vonnissen van de Rechtbank Zwolle-Lelystad van 3 mei 2006 (IEF 2011)  en 14 maart 2007 (IEF 3685).

In het eerdere tussenvonnis heeft de rechtbank overwogen dat de Auteursrecht Richtlijn en de Wbp,  het verzamelen en registreren door Marktplaats van de NAW-gegevens van haar adverteerders, niet in de weg staan. Dit betekent overigens niet zonder meer dat Marktplaats gehouden is om deze gegevens van adverteerders, die de aanduidingen STOKKE of TRIPP TRAPP gebruiken, te verzamelen. Marktplaats is daartoe alleen gehouden wanneer zij, in het licht van de door de rechtbank in het tussenvonnis omschreven toetsingskader, onzorgvuldig handelt door registratie na te laten.

In onderhavige arrest wordt Marktplaats als een neutrale hostingdienst bestempeld, die zich met succes kan beroepen op de vrijwaring uit 6:196c lid 4 BW. Marktplaats pleegt zelf geen auteursrechtinbreuk. De betrokkenheidsvorderingen worden ook afgewezen, omdat o.a. het belang van het voordeel gering is, terwijl Marktplaats geen profijt trekt van de advertenties geplaatst door haar klanten-adverteerders. Indien de vordering wordt toegewezen, bespaart Stokke minder dan €700 per jaar. Marktplaats zal, bij aanpassing van haar bestaande systemen, een veelvoud van deze kosten moeten aanwenden, daarom wordt ook de gevorderde maatregel om 'herplaatsen' tegen te gaan als niet evenredig gezien.

Er is geen reden om prejudiciële vragen te stellen (er wordt veelvuldig naar L'Oréal/eBay verwezen), de overige vorderingen worden eveneens afgewezen en Stokke wordt veroordeeld in de proceskosten.

In citaten:

Hostingdienst?

5.11. De conclusie is dat Marktplaats geen actieve, maar een neutral rol speelt tussen haar klanten-verkoper en de potentiële kopers en dat zij derhalve een hosting-dient levert als bedoeld in artikel 6:196c lid 4 BW.

5.16 Nu niet op andere gronden is betwist dat Marktplaats prompt handelt om inbreukmakende Stokke-advertenties (te) verwijderen zodra zij daarvan kennis heeft gekregen of had behoren te krijgen, moet worden geconcludeerd dat Marktplaats als host in de zin van artikel 6:196c lid 4 BW (artikel 14 Reh) met vrucht op de vrijwaring van dat artikel kan beroepen.

Pleegt Marktplaats zelf auteursrechtinbreuk?
6.2 (...). Dat een tussenpersoon als Marktplaats niet zelf een mededeling aan het publiek verricht is tevens af te leiden uit artikel 8 lid 3 Auteursrechtlijn, artikel 11, 3e volzien, Handhavingsrichtlijn en artikel 26d Aw, die bepalen dat de rechthebbende een verbod/bevel kunnen verzoeken tegen tussenpersonen als Marktplaats wier diensten worden gebruik om inbreuk te maken. Deze bepalingen zouden overbodig zijn wanneer de tussenpersoon zelf inbreuk zou maken (zie ook punten 127 - 129 van het L'Oréal-eBay-arrest). Marktplaats pleegt kortom zelf geen auteursrechtinbreuk. Voor zover de vorderingen van Stokke op deze stelling zijn gebaseerd, zijn zij niet toewijsbaar.

Betrokkenheids-vorderingen
A-C: leestip r.o. 8.9 en 8.11
D,E: leestip r.o. 9.2.
E,F (herplaatsen): 10.5
I,J naw-gegevens): 11.13

Op andere weblogs:
Quafi (1019h Burgerlijke rechtsvordering: verliezer betaalt 1300.000 euro proceskosten)