Privacy

IT 3191

HvJ EU heeft geoordeeld in Schrems tegen Facebook

HvJ EU 16 jul 2020, IT 3191; (Schrems tegen Facebook), http://www.itenrecht.nl/artikelen/hvj-eu-heeft-geoordeeld-in-schrems-tegen-facebook


HvJ EU 16 juli 2020, IT 3191, IEF 19327, IEFbe 3106; C-311/18 (Schrems tegen Facebook) Privacyrecht. Vandaag heeft het Europees Hof van Justitie geoordeeld in een van de meest verwachte zaken over privacy en gegevensbescherming sinds tijden. Schrems heeft als Facebookgebruiker Facebook Ierland aangesproken voor het doorgeven van persoonsgegevens aan Facebook Verenigde Staten. Hij heeft de Ierse toezichthouder verzocht om deze doorgiften te verbieden. Hiertoe voerde hij aan dat het recht van de Verenigde Staten en de gangbare praktijk geen waarborgen bieden voor voldoende bescherming tegen de toegang door de overheid tot de naar dit land doorgestuurde gegevens. Deze klacht werd afgewezen, omdat de Commissie in een beschikking had vastgesteld dat de Verenigde Staten wel een passend beschermingsniveau waarborgden. In 2015 heeft het Europees Hof van Justitie deze beschikking ongeldig verklaard, waardoor de Ierse rechter de afwijzing van de klacht van Schrems nietig verklaarde. De Ierse toezichthouder verzocht Schrems zijn klacht te herformuleren. In de hergeformuleerde klacht verzoekt Schrems de doorgifte van zijn persoonsgegevens vanuit de Unie naar de Verenigde Staten - die Facebook ondertussen uitvoert op grond van bepalingen uit de bijlage bij besluit 2020/87 - op te schorten of voor de toekomst te verbieden. De Ierse rechter vraagt aan het Europees Hof van Justitie of besluit 2010/87 en 2016/1250 geldig zijn. Vandaag heeft het Hof van Justitie in zijn arrest gesteld dat bij de toetsing van besluit 2010/87 aan het Handvest van de grondrechten van de Europese Unie niet is gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten. Besluit 2016/1250 wordt daarentegen ongeldig verklaard. Daarnaast wijst het Hof erop dat een doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde onderneming naar een andere in een derde land gevestigde onderneming, niet kan worden uitgesloten van de werkingssfeer van de verordening. Bij een dergelijke doorgifte moet een beschermingsniveau worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest. Toezichthoudende autoriteiten zijn, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, verplicht om een doorgifte naar een derde land op te schorten of te verbieden wanneer zij - gelet op alle omstandigheden - van oordeel zijn dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde exporteur de doorgifte niet zelf heeft opgeschort of beëindigd.

IT 3189

Overdracht sociale media-accounts Siamese tweeling

Rechtbank 1 jul 2020, IT 3189; ECLI:NL:RBMNE:2020:2451 (Siamese tweeling), http://www.itenrecht.nl/artikelen/overdracht-sociale-media-accounts-siamese-tweeling

Vzr. Rechtbank Midden-Nederland 1 juli 2020, IEF 19320, IT 3189; ECLI:NL:RBMNE:2020:2451 (Siamese tweeling) Kort geding. Eisers zijn de mentor en bewindvoerder van een Siamese tweeling, geboren in 2001. Gedaagde is de zus van de tweeling die een Facebook en YouTube kanaal bestiert waarin zij uit naam van de tweeling bericht met foto's en video's. Eisers stellen dat gedaagde onrechtmatig, dan wel in strijd met de AVG, de Auteurswet, het EVRM en het EU Handvest handelt, door sociale media accounts aan te maken en te beheren en foto’s en video’s van de tweeling zonder hun toestemming, althans inmiddels door hun mentor en bewindvoerder ingetrokken toestemming, op sociale media en op de website van haar eenmanszaak te plaatsen. Vanwege de privacy van de tweeling en om hen te beschermen willen eisers de accounts zelf in beheer nemen. Gedaagde voert geen verweer tegen de vorderingen. Gedaagde wordt veroordeeld tot onder meer het overdragen van het beheer en de inlog- en toegangscodes van alle sociale media-accounts die op naam van de tweeling zijn aangemaakt, en de verspreiding en/of openbaarmaking van foto’s en video’s waarin de tweeling herkenbaar is afgebeeld en de verwerkingen van persoonsgegevens van de tweeling te staken en gestaakt te houden.

IT 3185

Afwijzing verzoek om verwijdering bijzonderhedencodering CKI


Hof 16 jun 2020, IT 3185; ECLI:NL:GHDHA:2020:1180 (Appellant tegen ING Bank), http://www.itenrecht.nl/artikelen/afwijzing-verzoek-om-verwijdering-bijzonderhedencodering-cki

Hof Den Haag 16 juni 2020, IT 3185; ECLI:NL:GHDHA:2020:1180 (Appellant tegen ING Bank) Privacyrecht. Appellant verzocht om verwijdering van een bijzonderhedencodering in het Centraal Kredietinformatiesyseem (CKI) van het Bureau Kredietregistratie (BKR), maar de rechtbank wees dit bij beschikking af. Appellant gaat in hoger beroep tegen deze afwijzing. De registratie van een bijzonderhedencode in het CKI vormt een verwerking van persoonsgegevens in de zin van de AVG. Ingevolge artikel 21 lid 1 AVG dient de verwerkingsverantwoordelijke bij bezwaar van de betrokkene de verwerking van de persoonsgegevens te staken, tenzij de verwerkingsverantwoordelijke dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen van de betrokkene. Hierbij moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit. De grieven van appellant dat de noodstand uitsluitend moet worden toegeschreven aan een door ING gemaakte fout, dat ING niet tot bijzonderhedencodering over mocht gaan omdat appellant geen vooraankondiging had ontvangen en dat de codering niet proportioneel en evenredig is, falen. Derhalve wordt de beschikking van de rechtbank bekrachtigd.

IT 3184

Consumentenbond: Facebook moet gebruikers compenseren

De Consumentenbond en Data Privacy Stichting (DPS) beginnen een massaclaim tegen Facebook voor een financiële compensatie voor het jarenlang schenden van de privacy van Nederlandse gebruikers. Zij roepen consumenten op zich aan te sluiten bij deze actie. Facebook verzamelde jarenlang privégegevens van gebruikers en verkocht deze zonder toestemming aan adverteerders en appmakers. Hiermee heeft Facebook haar gebruikers misleid: het bedrijf stelde dat gebruik van het platform gratis zou zijn, maar feitelijk gezien betaalden gebruikers met hun gegevens. Op deze manier heeft Facebook zich ongerechtvaardigd verrijkt ten koste van haar gebruikers.

Lees verder op Consumentenbond.nl.

IT 3182

Recht op privacy wijkt voor recht op informatievrijheid

Hof 23 jun 2020, IT 3182; ECLI:NL:GHAMS:2020:1802 (Google tegen Geïntimeerde), http://www.itenrecht.nl/artikelen/recht-op-privacy-wijkt-voor-recht-op-informatievrijheid

Hof Amsterdam 23 juni 2020 IT 3182; ECLI:NL:GHAMS:2020:1802 (Google tegen Geïntimeerde) Privacyrecht. Bij het googelen van de naam van geïntimeerde (plastisch chirurg), verschenen tussen de zoekresultaten koppelingen naar onder meer www.zwartelijstartsen.nl en www.drimble.nl met vermelding van de naam van geïntimeerde, haar BIG-nummer, haar specialisme en de uitspraak van het Tuchtcollege. Geïntimeerde verzocht Google de koppelingen te verwijderen. Google wees dit verzoek af en stelde dat de URL’s in de zoekresultaten gerechtvaardigd worden door het wezenlijk belang van het grote publiek hier toegang tot te hebben. Het Hof oordeelt - in tegenstelling tot de rechtbank - dat het recht op informatievrijheid van Google en derden hier zwaarder weegt dan het recht op privacy en bescherming van persoonsgegevens van geïntimeerde. Hoewel uit vaste rechtspraak (HR X/Google en HvJEU Costeja) volgt dat in beginsel het recht op informatievrijheid van het publiek moet wijken voor het recht op privacy en bescherming van persoonsgegevens, zijn er volgens het Hof in deze zaak bijzondere omstandigheden die ervoor zorgen dat in dit geval het recht op informatievoorziening wint. Allereerst omdat de arts een kwetsbare groep patiënten behandelt met weinig behandelopties, die eenvoudig en online toegang moeten hebben tot informatie over de voor- en nadelen van hun arts. Ten tweede wordt het BIG-register, met daarin aantekening van aan een arts opgelegde maatregelen, in de praktijk nauwelijks door patiënten geraadpleegd. Daarnaast behelst de Wet BIG geen regels over wat derden mogen publiceren of vindbaar maken over tuchtrechtelijke maatregelen. Tot slot is de vermelding van de arts op de ‘zwarte lijst’ van SIN-NL, waarnaar de zoekresultaten verwijzen, volgens het Hof recent, relevant, feitelijk, niet onnodig grievend en actueel. Derhalve hoeft Google de zoekresultaten niet te verwijderen.

IT 3180

Verzoek tot verwijderen BKR-registratie niet toewijsbaar

Hof 7 jul 2020, IT 3180; ECLI:NL:GHAMS:2018:3453 (Appellant tegen ABN AMRO ), http://www.itenrecht.nl/artikelen/verzoek-tot-verwijderen-bkr-registratie-niet-toewijsbaar

Hof Amsterdam 11 september 2018, IT 3180, ECLI:NL:GHAMS:2018:3453 (Appellant tegen ABN AMRO) Beschikking. Appellant is zijn betalingsverplichtingen uit hoofde van een kredietovereenkomst met ABN AMRO niet nagekomen. ABN AMRO laat de kredietovereenkomst in het Centraal Krediet Informatiesysteem van het BKR registreren met de code ‘A’ van achterstand. Later wordt aan de registratie bijzonderheidscode 2 - (restant)vordering geheel opeisbaar - en bijzonderheidscode 3 toegevoegd - een bedrag van 250 euro of meer is afgeboekt. Appellant wijst er onder meer op dat het geregistreerde bedrag van € 31.500,- te hoog is. Hij voert aan dat hij vier termijnen heeft afbetaald zodat zijn schuld op de datum van registratie, maximaal € 25.500,- bedroeg. De BKR-registratie is niet onjuist of disproportioneel. Het verzoek tot verwijderen van de BKR-registratie is ook in hoger beroep niet toewijsbaar. Het gaat niet om de omvang van de achterstand, zoals appellant veronderstelt, maar om de omvang van de kredietovereenkomst die met rente en kosten dient te worden opgegeven.

IT 3181

Autoriteit Persoonsgegevens legt boete van 830.000 euro op aan Stichting BKR

Autoriteit persoonsgegevens

'Stichting Bureau Krediet Registratie (BKR) mag geen geld vragen aan mensen die digitaal hun persoonsgegevens willen inzien. En wanneer mensen per post inzage in hun persoonsgegevens bij BKR willen, moet dat eenvoudig en met redelijke tussenpozen mogelijk zijn. BKR wierp te hoge drempels op voor inzage. Dat mag niet volgens de privacywetgeving. Daarom heeft de Autoriteit Persoonsgegevens (AP) BKR een boete opgelegd van 830.000 euro.'
Lees verder op Autoriteitpersoonsgegevens.nl. Zie ook de reactie van de Stichting BKR.

IT 3171

Inzage e-mails met persoonsgegevens onterecht geweigerd


Rechtbank 15 jun 2020, IT 3171; ECLI:NL:RBMNE:2020:2222 (Onterechte weigering inzage persoonsgegevens), http://www.itenrecht.nl/artikelen/inzage-e-mails-met-persoonsgegevens-onterecht-geweigerd

Rechtbank Midden-Nederland 15 juni 2020, IEF 19290, IT 3171; ECLI:NL:RBMNE:2020:2222 (Onterechte weigering inzage persoonsgegevens) Privacy. Verweerder heeft inzage in een aantal e-mails geweigerd, omdat het gaat om interne notities die persoonlijke gedachten van medewerkers bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld. De rechtbank stelt vast dat de niet verstrekte e-mails wel persoonsgegevens van eiser bevatten en ook feitelijkheden en waarderingen van die medewerkers over persoonsgegevens van eiser. De rechtbank oordeelt dat verweerder op grond van artikel 23 lid 1 sub i van de AVG geen persoonsgegevens hoeft te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Bij een recht of vrijheid van een ander gaat het om gewichtige belangen op grond waarvan het noodzakelijk is een uitzondering te maken op het recht van de betrokkene op kennisneming. De motivering die verweerder op dit punt in het bestreden besluit heeft gegeven, maakt echter niet duidelijk welk gewichtig belang aan de orde is op grond waarvan het noodzakelijk zou zijn om een uitzondering te maken op het recht van eiser op kennisneming van aan hem toebehorende persoonsgegevens. De conclusie is dat verweerder eiser ten onrechte, althans onvoldoende gemotiveerd, inzage heeft geweigerd. Eiser is daarmee niet in staat gesteld kennis te nemen van al zijn persoonsgegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met de AVG. Het beroep is daarom gegrond. Verweerder moet een nieuw besluit op het bezwaar nemen.