Privacy  

HvJ EU 28 juli 2016, IT 2108; ECLI:EU:C:2016:612 ; C-191/15 (Verein für Konsumenteninformation tegen Amazon)
E-commerce - Bescherming van persoonsgegevens - Richtlijn 95/46/EG - Toepasselijk recht - Vestiging gegevensverwerker bepalend. HvJ EU: (...)

3)      Artikel 4, lid 1, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet aldus worden uitgelegd dat de verwerking van persoonsgegevens door een e-commercebedrijf wordt beheerst door het recht van de lidstaat waarop dit bedrijf zijn activiteiten richt, indien blijkt dat dit bedrijf de betrokken gegevensverwerking verricht in het kader van de activiteiten van een vestiging die zich in die lidstaat bevindt. Het is aan de nationale rechter om te beoordelen of dit het geval is.

Conclusie AG HvJ EU 19 juli  2016, IT 2105; IEFbe 1875; ECLI:EU:C:2016:572; C‑203/15 en C‑698/15 (Tele2 Sverige tegen Post- och telestyrelsen)
Persbericht - Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Nationale wetgeving die voorziet in een algemene verplichting om gegevens over elektronische communicaties te bewaren – Artikel 15, lid 1 ‒ Handvest van de grondrechten van de Europese Unie – Artikel 7 ‒ Recht op eerbiediging van het privéleven – Artikel 8 – Recht op bescherming van persoonsgegevens – Ernstige inmenging – Rechtvaardiging – Artikel 52, lid 1 – Voorwaarden – Legitieme doelstelling van bestrijding van ernstige criminaliteit – Vereiste van een wettelijke grondslag in het nationale recht – Vereiste van strikte noodzakelijkheid – Vereiste van evenredigheid in een democratische samenleving. Conclusie AG:

Artikel 15, lid 1, van richtlijn 2002/58/CE van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn ‚privacy en elektronische communicatie’), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, en de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie moeten aldus worden uitgelegd dat zij zich niet ertegen verzetten dat een lidstaat aanbieders van elektronischecommunicatiediensten verplicht om alle gegevens betreffende de door de gebruikers van hun diensten gevoerde communicaties te bewaren indien is voldaan aan alle hiernavolgende vereisten, hetgeen door de verwijzende rechters moet worden getoetst in het licht van alle relevante kenmerken van de in de hoofdgedingen betrokken nationale regelingen:

Hof van Beroep Brussel 29 juni 2016, IEfbe 1857; IT 2102 (Facebook tegen Privacycommissie)
De beschikking van de Voorzitter van de Nederlandstalige Rechtbank van Eerste Aanleg Brussel [IEFbe 1569] is ongedaan gemaakt. In die zaak vorderde de Privacycommissie dat Facebook veroordeeld zou worden om te stoppen met het registreren via cookies en social plug-ins van het surfgedrag van internetgebruikers uit België die geen Facebook-account hebben. In eerste aanleg was de vordering van de Privacycommissie ingewilligd geweest.

1. Belgische rechtbanken hebben geen internationale rechtsmacht
Het Hof van Beroep oordeelt dat de Belgische rechtbanken geen internationale rechtsmacht hebben voor een procedure ingesteld door de Belgische Privacycommissie tegen Facebook Inc. en Facebook Ireland Limited, omdat er geen enkele wettelijke bepaling is die hen internationale rechtsmacht verleent:

Man, blank, tenminste van middelbare leeftijd en jurist. Ook de vierde preses van het bestuursorgaan privacytoezichthouder voldoet aan deze kenmerken. Na Klaas de Vries (oud-rechter), Peter Hustinx (oud-ambtenaar ministerie van Justitie), Jacob Kohnstamm (oud-politicus) is het nu de beurt aan Aleid Wolfsen (oud-rechter, oud-politicus en oud- burgemeester). De wisseling van wacht komt op indringend moment. Niet eerder staat de bescherming van de persoonlijke levenssfeer zo in de belangstelling en — afhankelijk welke positie je kiest — onder druk als in deze periode, waar allerlei maatschappelijke en informatietechnologische ontwikkelingen zich met spoed, parallel en deels onverwachts blijven voltrekken. De geest is definitief uit de fles.

Rechtbank Gelderland 25 april 2016, IT 2094; ECLI:NL:RBGEL:2016:3350 (verzoekster tegen Gerechtsbestuur Hof 's-Hertogenbosch)
Verzoekster heeft de Rechtbank Limburg en Hof 's-Hertogebosch alle dossiers rond haar gezin uit het archief te verwijderen. Op basis van de Archiefwet is een wettelijke plicht die niet door Wbp wordt opgegeven. Artikel 8e Wbp spreekt over noodzakelijke gegevensverwerking voor de uitoefening van de publieke taak. Het aanpassingsrecht uit artikel 36 Wbp beoogt niet om persoonsgegevens bestaande uit indrukken, meningen en conclusies te verwijderen. Verzoek wordt geweigerd.

Hof Arnhem-Leeuwarden 31 mei 2016, IT 2082; ECLI:NL:GHARL:2016:4289 (appellant tegen Rabobank)
Wet Bescherming Persoonsgegevens. BKR. Appellant heeft gevorderd Rabobank op straffe van een dwangsom te veroordelen haar meldingen met betrekking tot appellant uit het register van BKR te (laten) verwijderen. De voorzieningenrechter wijst de vorderingen af en in hoger beroep wordt dit oordeel bekrachtigt. Rabobank is een aanbieder van krediet in de zin van art. 1 Wet financieel toezicht (Wft). Ingevolge art. 4:32 lid 1 Wft is Rabobank gehouden deel te nemen aan een stelsel van kredietregistraties. Dat stelsel is het Centraal Krediet Informatiesysteem (CKI) dat door BKR wordt bijgehouden. Rabobank is deelnemer aan het CKI en als deelnemer aan het door BKR vastgestelde Algemeen Reglement CKI gebonden.

Conclusie AG HvJ EU 2 juni 2016, IT 2078; C‑191/15; ECLI:EU:C:2016:388 (Verein für Konsumenteninformation tegen Amazon)  E-commerce - Bescherming van persoonsgegevens - Richtlijn 95/46/EG - Toepasselijk recht - Vestiging gegevensverwerker bepalend

Conclusie AG:

4)      Artikel 4, lid 1, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet aldus worden uitgelegd dat een verwerking van persoonsgegevens slechts kan worden onderworpen aan het recht van één lidstaat. Deze lidstaat is die waarin degene die met deze verwerking belast is, een vestiging heeft, in de zin dat hij er reële en daadwerkelijke werkzaamheden verricht die via een duurzame vestiging worden uitgeoefend in het kader van de activiteiten waartoe de betrokken verwerking behoort. Het staat aan de nationale rechter om dit te beoordelen.

ABRvS 25 mei 2016, IT 2074; ECLI:NL:RVS:2016:1410; ECLI:NL:RVS:2016:1411; ECLI:NL:RVS:2016:1412; ECLI:NL:RVS:2016:1416; ECLI:NL:RVS:2016:1413; ECLI:NL:RVS:2016:1417; ECLI:NL:RVS:2016:1418 (Willems e.a.)
Eerder HvJ EU [IT 1762]. Uit het persbericht: De burgemeesters van Amsterdam, Den Haag, Nuth en Maastricht hebben terecht aanvragen voor een paspoort buiten behandeling gelaten, omdat de aanvragers weigerden de daarvoor verplichte vingerafdrukken af te geven. De burgemeesters van Utrecht, Amsterdam en De Fryske Marren mochten echter niet aanvragen voor een Nederlandse identiteitskaart buiten behandeling laten. Daarvoor is het afgeven van vingerafdrukken niet verplicht. Dit blijkt uit 7 uitspraken die de Afdeling bestuursrechtspraak van de Raad van State vandaag (25 mei 2016) openbaar heeft gemaakt. Tegen de uitspraken is geen hoger beroep mogelijk.

Prejudicieel gestelde vragen aan HvJ EU 25 februari 2016, IEFbe 1807; IT 2073; C-210/16 (Wirtschaftsakademie Schleswig-Holstein)
Gegevensbescherming. Privacy. Via Minbuza: Verzoekster, een privaatrechtelijk georganiseerde onderwijsinstelling, heeft van het ‘Onafhankelijk centrum voor gegevensbescherming van de deelstaat’ (verweerder) op 03-11-2011 opdracht gekregen haar Facebookpagina te deactiveren. Verzoekster maakt via haar ‘fanpage’ bij Facebook Ireland onder meer reclame voor haar onderwijsinstelling. Het aanhouden van ‘fanpages’ geeft de maker onder meer mogelijkheid (via ‘facebook-insights’) geanonimiseerde statistische informatie over gebruikers, bij wie cookies worden geplaatst, te ontvangen. Verzoekster maakt bezwaar maar verweerder bevestigt het besluit, waarna de zaak aan de rechter wordt voorgelegd. Het Verwaltungsgericht vernietigt de beslissing omdat verzoekster geen ‘verantwoordelijk lichaam’ is in de zin van de DUI wet en dan ook geen adressaat van een bevel kan zijn. Verweerders hoger beroep sneuvelt. De zaak ligt nu voor in Revision bij de verwijzende rechter. Verzoekster, ondersteund door medegedaagde Facebook, meent dat zij niet verantwoordelijk is voor gegevensverwerking door Facebook en evenmin voor de geïnstalleerde cookies. Zij heeft daartoe geen opdracht gegeven. Verweerder stelt dat verzoekster door het openen van een ‘fanpage’ wel verantwoordelijk is.

Autoriteit Persoonsgegevens 13 april 2016, IT 2068; z2015-00894 (Stichting Tuchtrecht Banken)
De Autoriteit Persoonsgegevens heeft het Tuchtrechtelijk Register van Stichting Tuchtrecht Banken rechtmatig verklaard. De Autoriteit Persoonsgegevens concludeert dat deze zwarte lijst van bankmedewerkers voldoende privacywaarborgen bevat. Banken zijn wettelijke verplicht om een tuchtrechtelijke regeling te hebben. Een externe, onafhankelijke organisatie moet deze regeling uitvoeren. Deze organisatie is de Stichting Tuchtrecht Banken. De Stichting Tuchtrecht Banken heeft een zwarte lijst opgesteld (het Tuchtrechtelijk Register). Op deze lijst registreert de stichting voortaan bankmedewerkers die een tuchtrechtelijke maatregel opgelegd hebben gekregen, zoals een tijdelijk beroepsverbod. Het feit dat iemand geregistreerd staat, wordt gedeeld met de deelnemende banken. Het doel hiervan is recidive te helpen voorkomen en bij te dragen aan de integriteit van bankmedewerkers.