Privacy  

Rechtbank Rotterdam 8 januari 2015, IT 1823; ECLI:NL:RBROT:2015:22 (X tegen ACM)
ACM heeft aan eiseres een bestuurlijke opgelegd van € 364.000 wegens overtreding van artikel 11.3 lid 1 in verbinding met artikel 11.2 Telecommunicatiewet (Tw) [IT 1776]. Anders dan eiseres betoogt, heeft ACM de uit artikel 11.3 lid 1 in verbinding met artikel 11.2 Tw voortvloeiende zorgplicht van eiseres niet uitgelegd als een resultaatsverplichting maar als een verstrekkende inspanningsplicht. Deze uitleg acht de rechtbank juist, gelet op met name de tweede volzin van het tweede lid van artikel 11.3 lid 1 Tw. Deze luidt: “De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.” Gelet op de daarin voorkomende term “garanderen” in combinatie met de term “passend” betreft het een zorgplicht die een verstrekkende inspanningsplicht inhoudt.

Deze uitleg is in overeenstemming met de tekst van artikel 4 lid 1 e-Privacyrichtlijn, die is geïmplementeerd met artikel 11.3 lid 1 Tw. Het is aan eiseres om bij het treffen van technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door haar aangeboden netwerken en diensten in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers inhoud te geven aan deze zorgplicht. Het betoog van eiseres dat ACM bij de vraag of eiseres heeft voldaan aan haar zorgplicht, acht had moeten slaan op de maatregelen die zij heeft genomen direct na het incident , volgt de rechtbank niet.

CBb 9 juli 2015, IT 1820; ECLI:NL:CBB:2015:192 (ACM tegen BV 6)
CBb 9 juli 2015, IT 1820; ECLI:NL:CBB:2015:193 (appellanten tegen ACM)
Boete. Bewijs. Telefoontaps. Het College is met de rechtbank van oordeel dat de aan ACM overgedragen telefoontaps kwalificeren als strafvorderlijke gegevens. Verstrekking van die telefoontapgegevens is niet in strijd met artikel 8 EVRM. Het College is van oordeel dat het bewijsmateriaal rechtmatig door VROM-IOD is verkregen en aan ACM is verstrekt. ACM mocht hiervan gebruik maken bij het nemen van een besluit over het opleggen van bestuurlijke boetes. Het hoger beroep van ACM slaagt en de uitspraak van de rechtbank ECLI:NL:RBROT:2013:5042 / ECLI:NL:RBROT:2013:CA3079 wordt vernietigd. Nu de rechtbank -die oordeelde dat ACM geen gebruik had mogen maken van de telefoontaps als bewijs- niet is toegekomen aan een inhoudelijke beoordeling van de beroepen tegen de opgelegde boetes, zal het College de zaak terugwijzen naar de rechtbank.

4.6. In dit verband dient vooreerst te worden vastgesteld of de verstrekking van strafvorderlijke gegevens, in dit geval bestaande uit tapgegevens, op grond van artikel 39f Wjsg, in strijd komt met artikel 8 EVRM. Een inbreuk op het recht op privacy is ingevolge het tweede lid van artikel 8 EVRM slechts toegestaan voor zover dat bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van onder meer het economisch welzijn van het land.

Uitgangspunt bij de beoordeling is dat de telefoontaps waaruit de in geding zijnde tapgegevens zijn verkregen, zijn geplaatst nadat de rechter-commissaris daarvoor een machtiging had verstrekt. Het College ziet in hetgeen door [BV 2], [BV 3] en [BV 4] naar voren is gebracht geen grond om niettemin vast te stellen dat de tapgegevens niet overeenkomstig de ter zake geldende strafvorderlijke vereisten door VROM-IOD zijn verkregen.

De bevoegdheid tot verstrekking van de tapgegevens door de officier van justitie is wettelijk verankerd in de Wjsg. Bovendien voorziet de wet ter zake van de rechtmatigheid van deze verkrijging in een met voldoende waarborgen omklede rechterlijke procedure, zowel civielrechtelijk in het kader van de verstrekking van de gegevens als bestuursrechtelijk in het kader van de toetsing van het besluit tot boeteoplegging waaraan deze gegevens ten grondslag zijn gelegd. Uit het rapport in deze zaken blijkt dat ACM het bewijsmateriaal, waaronder de tapgegevens, uitgebreid heeft beoordeeld in het kader van de vaststelling of sprake is van een overtreding van artikel 6, eerste lid, Mw. Na het uitbrengen van het rapport en alvorens een besluit tot boeteoplegging door ACM was genomen, zijn appellanten in de gelegenheid gesteld hun zienswijze omtrent het rapport naar voren te brengen, van welke gelegenheid zij gebruik hebben gemaakt.

Tot slot is voor het College voldoende aannemelijk geworden dat de informatie betreffende de eventuele prijsafspraken in redelijkheid niet op een andere, minder belastende wijze, door ACM kon worden verkregen, nu dergelijke afspraken in de regel niet op schrift worden gesteld. In het eveneens door partijen aangehaalde vonnis van de voorzieningenrechter van de rechtbank Den Haag van 26 juni 2009 (ECLI:NL:RBSGR:2009:BJ0047), gaf de voorzieningenrechter in een met de onderhavige zaken vergelijkbare kwestie een voorlopig oordeel over de rechtmatigheid van de verstrekking van telefoontaps door het OM aan ACM en kwam daarbij ter zake van de evenredigheid van de verstrekking eveneens tot dit oordeel.
Gelet hierop ziet het College geen aanknopingspunten voor het oordeel dat de verstrekking van de tapgegevens aan ACM op grond van artikel 39 Wjsg in strijd is met artikel 8 EVRM.

Wetgevingsadvies CBP inzake wijziging van artikel 22 Wbp, 29 juni 2015 (bezwaar tegen voorstel).
Het College bescherming persoonsgegevens (CBP) heeft advies gegeven over het wetsvoorstel dat regelt dat particulieren en bedrijven zelfstandig camerabeelden van een diefstal of vernieling op internet mogen publiceren. Het doel van het wetsvoorstel is om de opsporing van strafbare feiten te ondersteunen. Het CBP concludeert dat de regering niet duidelijk maakt waarom het voorgestelde middel noodzakelijk is voor de ondersteuning van de opsporing en het waarborgen van de veiligheid. Ook oordeelt het CBP dat de inbreuk op de persoonlijke levenssfeer door het publiceren van camerabeelden groot is en niet in verhouding staat tot het doel van het wetsvoorstel. Het advies is daarom om het voorstel niet in te dienen.

Tot nu toe is opsporing van verdachten van strafbare feiten een zaak van de politie en het Openbaar Ministerie (OM). Daarbij gelden ook waarborgen voor de bescherming van de persoonlijke levenssfeer. Dit wetsvoorstel lijkt ertoe te leiden dat gebroken wordt met het uitgangspunt dat het primaat voor de opsporing ligt bij de politie en het OM. Het voorstel legaliseert in feite het plaatsen van camerabeelden door iedereen voor het opsporen van diefstal en vernieling. Mensen moeten daarbij volgens het voorstel zelf hun afweging maken, zonder een toets door de politie of het OM. De beelden hoeven niet vooraf aan de politie te worden getoond. Dit terwijl het plaatsen van de beelden op internet verstrekkende gevolgen kan hebben voor de mensen die op de beelden staan.

Noodzaak
Het CBP mist in de Memorie van Toelichting bij het wetsvoorstel de onderbouwing van de maatschappelijke noodzaak van het publiceren van de camerabeelden door particulieren in het kader van de opsporing. De regering verwijst in haar wetsvoorstel ter onderbouwing naar een ‘breed maatschappelijk gevoelde maatschappelijke behoefte’ aan veiligheid. Maar een analyse van de aard en de omvang van het probleem dat met dit wetsvoorstel zou worden opgelost, ontbreekt. Het voorstel biedt geen concrete aanknopingspunten voor de veronderstelling dat de veiligheid hierdoor daadwerkelijk wordt verhoogd. Het voorstel laat in het midden of en wanneer de politie de geplaatste beelden zou moeten gebruiken bij de opsporingsactiviteiten.

Proportionaliteit en subsidiariteit
Het wetsvoorstel kan zeer ingrijpende gevolgen hebben op de persoonlijke levenssfeer van mensen die staan op de camerabeelden van particulieren of bedrijven. Denk aan stigmatisering (eens op internet, altijd op internet) en het risico op represailles/eigenrichting. Bovendien kunnen onschuldige burgers ten onrechte als verdachte worden aangemerkt. Deze risico’s worden onvoldoende meegewogen in het wetsvoorstel. Verder meent het CBP dat het beoogde doel van opsporing ook bereikt kan worden met minder ingrijpende middelen. Bijvoorbeeld door de camerabeelden aan te leveren bij de politie. Hierdoor blijven de politie en het OM als eerste aan zet om te bepalen of de beelden openbaar moeten worden gemaakt en zullen de beelden daadwerkelijk onderdeel uitmaken van opsporingsactiviteiten.

Vzr. Rechtbank Overijssel 11 juni 2015, IT 1808; ECLI:NL:RBOVE:2015:3265 (Flavourites tegen Strada Concordia)
Databankenrecht. Klantgegevens. Samenwerking. Partijen waren ieder 50% aandeelhouder van The Happy Few voor de exploitatie van online warenhuis Flavourites store. De webshop Flavourites wordt vervangen door Knijter, dat wordt aangekondigd aan webshophouders en vanaf de start van de nieuwe webshop wordt aan klanten uit eerdere samenwerking een nieuwsbrief gestuurd. De database met klantgegevens wordt niet onrechtmatig gebruikt, omdat de rechten daarvan bij de gezamenlijk gevoerde BV The Happy Few liggen. Vorderingen worden afgewezen.

4.5.
Flavourites Holding c.s. grondt haar (deel)vordering tot het staken van het gebruik van de database van Flavourites Holding op het voortdurend zonder toestemming van Flavourites Holding en dus onrechtmatig gebruikmaken van genoemde database, bijvoorbeeld voor het verzenden van nieuwsbrieven. Nu Strada Concordia c.s. nog immer nieuwsbrieven verzendt - naar Flavourites Holding c.s. stellen met gebruikmaking van de database van Flavourites Holding - kan een spoedeisend belang aan de vordering niet worden ontzegd.
Ter beoordeling staat aldus of voldoende aannemelijk is geworden dat Strada Concordia c.s. jegens Flavourites Holding c.s. onrechtmatig gebruik maakt van de database van Flavourites Holding c.s. Dit laatste is naar voorshands oordeel niet het geval. Bij onvoldoende betwisting van hetgeen Strada Concordia c.s. op dit punt naar voren heeft gebracht, moet het ervoor worden gehouden dat Strada Concordia c.s. bij de mailing gebruik heeft gemaakt van een door Flavourites Store aangelegde database, waarin Flavourites Store de adressen van personen/organisaties heeft opgenomen die hebben gereageerd nádat zij een mailing van Flavourites Store hebben ontvangen die was verzonden naar alle adressen in de database van Flavourites Holding. De vraag of deze door Flavourites Store aangelegde database moet worden aangemerkt als eigendom van Flavourites Store of - vanwege de oorsprong ervan - als eigendom van Flavourites Holding, leent zich niet voor beantwoording in het kader van onderhavige procedure. De door partijen ingenomen standpunten staan haaks op elkaar, terwijl uit de door partijen overgelegde stukken onvoldoende kan worden opgemaakt dat de in het databestand van Flavourites Store opgenomen gegevens eigendom zijn (gebleven) van Flavourites Holding. Nu in een kort geding geen ruimte is voor nadere bewijslevering moet worden geoordeeld dat de deelvordering als hier aan de orde voor afwijzing gereed ligt.

4.6. Ten aanzien van het door Flavourites Holding c.s. gestelde onrechtmatig gebruik van de database van Flavourites Store en de website van Flavourites Store heeft te gelden dat het hier gaat om een gestelde inbreuk op rechten van The Happy Few en niet op de rechten van Flavourites Holding c.s. Dit betekent dat – nog afgezien van het antwoord op de vraag of Strada Concordia c.s. inbreuk maakt op rechten van The Happy Few – de door Flavourites Holding c.s. geformuleerde deelvordering haar niet toekomt en bijgevolg niet toewijsbaar is.

Vzr. Rechtbank Rotterdam 7 juli 2015, IT 1803; ECLI:NL:RBROT:2015:4812 (Rotterdamse Penoze)
Privacy. Gedaagde is auteur van het boek met de titel “Rotterdamse Penoze” met als subtitel “over kruimeldieven en keiharde killers”. Just Publishers is de uitgever van dit boek. Eiseres heeft over de schietpartij een interview gegeven aan een journalist van de Nieuwe Revu. In de nieuwspublicatie wordt zij met haar voor- en achternaam vermeld. Gestelde inbreuk op persoonlijke levenssfeer (uitsluitend) door vermelding van volledige naam is niet aannemelijk en de gestelde onrechtmatigheid van de publicatie is daardoor evenmin aannemelijk.

4.3. Niet in geschil is dat [gedaagden] voorafgaand aan de publicatie van het boek [eiseres] geen toestemming hebben gevraagd voor de vermelding van haar (voor- en achter)naam in dat boek. Zoals [gedaagden] terecht hebben aangevoerd is een dergelijke toestemming niet vereist. Het ontbreken van die toestemming brengt echter wel mee dat [eiseres] zich tegen het gebruik van haar naam in het boek kan verzetten indien daardoor inbreuk op haar persoonlijke levenssfeer wordt gemaakt. Aangezien de juistheid van het feitelijk relaas over de schietpartij in het boek niet ter discussie staat, kan de door [eiseres] gestelde schending van de onderzoeksplicht van [gedaagden] verder onbesproken blijven.

4.5. Van onjuistheid van de feiten die in het boek van [gedaagde1] over [eiseres] zijn vermeld is geen sprake. Voorts is niet gesteld dat hetgeen daarin is vermeld iets toevoegt aan de informatie over [eiseres] die het boek met de titel “Levenslang” en de nieuwspublicatie van de Nieuwe Revu bevatten. Dat de vermelding van de volledige naam van [eiseres] in het boek van [gedaagde1], zoals zij stelt, schadelijk is voor haar maatschappelijk leven, waaronder haar terugkeer op de arbeidsmarkt, is derhalve evenmin aannemelijk. Daarbij neemt de voorzieningenrechter in aanmerking dat, zoals ter zitting met partijen besproken, een eenvoudige zoektocht op internet naar [eiseres]’s naam een reeks van hits, die nagenoeg allen zien op de schietpartij en veelal haar voor- en achternaam vermelden, oplevert. Een causaal verband tussen de publicatie van het boek en schade voor haar maatschappelijke positie is, ervan uitgaande dat een potentiële werkgever een dergelijke zoekopdracht ook eenvoudig kan en zal uitvoeren, daarom voorshands niet aannemelijk.

RCC 18 juni 2015, IT 1801; dossiernr. 2015/00542 (originele-kinderfeestjes.nl)
Aanbeveling. Strijd met artikel 1 KJC, dat klager heeft ingestemd met verstrekken van persoonsgegevens, maakt het oordeel niet anders. Het betreft een op het adres van klager ontvangen envelop, gericht ‘aan de (bijna) jarige’, met daarin een brochure (mailing) waarin suggesties worden gedaan voor diverse kinderfeestjes en waarin voorts staat: “Als je nu je kinderfeestje reserveert, krijg jij van ons je verjaardag cadeau!”(…) “Heb je al een keuze gemaakt? Je gratis verjaardag reserveren is zo gedaan: Ga snel naar www.originele-kinderfeestjes.nl (...) Klacht: De mailing is gericht aan de (bijna) jarige minderjarige zoon (9 jaar) van klager.

    Krachtens artikel 1 KJC mag een reclame gericht op kinderen (t/m 12 jaar) niets in woord, geluid of beeld bevatten waardoor kinderen op enigerlei wijze worden misleid over de mogelijkheid en eigenschappen van het aangeboden product. In de toelichting op dit artikel staat dat daarbij rekening gehouden dient te worden met hun bevattingsvermogen en verwachtingspatroon.

     De Commissie is van oordeel dat adverteerder in strijd heeft gehandeld met voornoemd artikel door in de – rechtstreeks tot kinderen gerichte – uiting te vermelden: “Als je nu je kinderfeestje reserveert, krijg je van ons je verjaardag cadeau!” (…) “Je gratis verjaardag reserveren is zo gedaan.” (…) “Jij viert je meest originele verjaardag ooit. gratis!” Gelet op het bevattingsvermogen en verwachtingspatroon van kinderen is de Commissie van oordeel dat het gemiddelde kind deze informatie gemakkelijk aldus kan opvatten dat indien hij een reservering maakt voor een kinderfeestje (waartoe hij in de uiting wordt aangezet), hij zijn kinderfeestje gratis met al zijn vriendjes en vriendinnetjes bij adverteerder kan komen vieren. Dat alleen het jarige kind ‘gratis’ naar binnen kan, zal de doelgroep van de uiting naar het oordeel van de Commissie gemakkelijk ontgaan.

    Dat klager kennelijk heeft ingestemd met het verstrekken van de persoonsgegevens van zowel hem als zijn minderjarige zoon aan adverteerder maakt het oordeel van de Commissie niet anders.

Vzr. Rechbank Den Haag 1 juli 2015, IT 1797; ECLI:NL:RBDHA:2015:7436 (NL Vereniging van Strafrechtadvocaten tegen De Staat)
Uit het persbericht. Privacy. De Staat krijgt zes maanden tijd om het beleid voor het afluisteren van advocaten door veiligheidsdiensten bij te stellen. Doet de Staat dat niet, dan moet de Staat het afluisteren van advocaten staken. Dat is het oordeel van de Haagse kortgedingrechter in een kort geding tussen advocatenkantoor Prakken d’Oliviera tegen de Staat. De rechter verlangt dat een onafhankelijk orgaan de bevoegdheid krijgt om het afluisteren tegen te gaan of te stoppen. Ook mogen veiligheidsdiensten informatie verkregen uit het afluisteren van advocaten alleen doorspelen aan het Openbaar Ministerie (OM) als een onafhankelijk orgaan heeft gekeken of en onder welke voorwaarden deze informatie mag worden verstrekt.

Afluisteren advocaten onrechtmatig
Volgens het bestaande beleid kunnen veiligheidsdiensten ook (vertrouwelijke gesprekken van) advocaten afluisteren en eventueel de verkregen informatie aan het openbaar ministerie doorgeven. De Haagse kortgedingrechter vindt deze praktijk onrechtmatig. Deze vertrouwelijke gesprekken vallen onder het verschoningsrecht van advocaten. Inbreuk op het verschoningsrecht is volgens de rechter alleen onder strikte waarborgen toegestaan. Nu zijn deze waarborgen onvoldoende gezien de rechtspraak van Europese hof voor de rechten van de mens (EHRM). In zijn uitspraak geeft de rechter de Staat zes maanden de tijd om alsnog deze waarborgen in te vullen.

Onafhankelijk orgaan voor toetsing afluisteren
In zijn uitspraak verlangt de voorzieningenrechter dat een onafhankelijk orgaan de bevoegdheid krijgt om het afluisteren tegen te gaan of te stoppen. Zo kan voorkomen worden dat de veiligheidsdiensten te gemakkelijk overgaan tot afluisteren of daar te lang mee doorgaan.

Volgens het bestaande beleid moet alleen een minister voorafgaand aan het afluisteren toestemming geven en controleert een Commissie van Toezicht (de CTIVD) pas achteraf. Dit wordt door de rechter dus als ontoereikend beoordeeld.

Zonder onafhankelijke toetsing geen informatie naar het OM
In het strafrecht mag geen gebruik gemaakt worden van informatie die valt onder het verschoningsrecht van advocaten. Daarom mogen ook veiligheidsdiensten dergelijke informatie in principe niet aan het OM doorspelen. Als veiligheidsdiensten dergelijke informatie toch aan het OM willen verstrekken, moet naar het oordeel van de rechter een onafhankelijke toetsing plaatsvinden. Getoetst moet dan worden of en onder welke voorwaarden deze informatie mag worden verstrekt. Daarom verbiedt de rechter het verstrekken van deze informatie aan het openbaar ministerie als deze toetsing niet plaatsvindt.

Afluisteren op grote schaal niet gebleken
De advocaten van het Amsterdamse advocatenkantoor Prakken d’Oliveira hadden samen met de Nederlandse Vereniging van Strafrechtadvocaten een kort geding aangespannen tegen de Staat, omdat zij vinden dat de Staat moet stoppen met het afluisteren van vertrouwelijke gesprekken tussen advocaten en hun cliënten. Hiertoe hebben de advocaten onder meer gesteld dat zij op grote schaal worden afgeluisterd. Dat afluisteren op grote schaal zou plaatsvinden is volgens de rechter overigens niet gebleken. Uit de rapporten van de Commissie van Toezicht valt af te leiden dat de veiligheidsdiensten bij de uitoefening van hun bevoegdheden ten aanzien van advocaten zich terughouden opstellen.

S. van Otterloo, Onderzoek meldplicht persoonsgegevens, 29 juni 2015.
Een bijdrage van Sieuwert van Otterloo, Softwarezaken.nl. Veel grote bedrijven voldoen niet aan de wettelijke verplichting om de verwerking van persoonsgegevens te melden. Dit blijkt uit een door SoftwareZaken uitgevoerd onderzoek. In het onderzoek zijn alle meldingen van de 25 bedrijven in de AEX-index geanalyseerd en bij meer dan driekwart van de bedrijven zijn er problemen: onjuiste bedrijfsgegevens, incomplete, vage en ook overbodige meldingen. De conclusie is dat bedrijven te weinig aandacht besteden aan het goed informeren van gebruikers over privacy, en het CBP blijkbaar niet de middelen heeft om de meldingen goed te kunnen controleren.

(...) In technische zin werkt het register eenvoudig: het is voor iedereen eenvoudig om het register te vinden, te zoeken op bedrijfsnaam en om vervolgens de meldingen te lezen. Inhoudelijk blijkt er echter veel mis met de meldingen die bedrijven hebben gedaan, waardoor consumenten nog steeds niet weten waar ze aan toe zijn. De volgende problemen zijn gevonden:

• Voor 4 van de 25 bedrijven zijn er helemaal geen meldingen
• Organisatienamen en plaatsen staan niet goed in register
• Er ontbreken veel meldingen
• Meldingen zijn vaag en incompleet
• Er worden overbodige meldingen gedaan
• Het is niet te zien of meldingen nog actueel zijn
• Het register is niet doorzoekbaar op thema of datum

Waarschijnlijk voldoen veel bedrijven, groot en klein, niet aan de regels voor gegevensverwerking. Het advies aan deze bedrijven is om zich beter te verdiepen in de regels en binnen het bedrijf mensen aan te stellen en op te leiden op het gebied van privacy en informatiebeveiliging. Waarschijnlijk speelt er ook een gebrek aan samenwerking tussen verschillende afdelingen: de IT-ers kennen de meldplicht niet, en de juristen weten niet goed welke gegevens worden verzameld. Het advies in dit geval is om de juridische afdeling, de marketing afdeling en de IT-afdeling meer samen te laten werken aan privacy en beveiliging. Het aanstellen van een speciale functionaris gegevensbescherming, vanaf volgend jaar verplicht voor grote bedrijven, kan hierbij helpen.

Vzr. Rechtbank Amsterdam 25 juni 2015, IT 1794; ECLI:NL:RBAMS:2015:3984 (Facebook wraakporno)
Als randvermelding. Veroordeling Facebook tot verstrekken van gegevens aan slachtoffer ‘wraakporno’ en tot het laten verrichten van onderzoek voor het geval deze gegevens niet worden verstrekt, omdat ze definitief verwijderd zouden zijn. Rechtsplicht voor provider verstrekken NAW gegevens bij onrechtmatig handelen gebruiker. Onrechtmatige daad.

3.2. (...) Bovendien kan het volgens Facebook 90 dagen duren voordat verwijdering definitief is. Als Facebook in dergelijke gevallen de gegevens niet bewaart, geeft zij een vrijbrief aan iedereen die zich schuldig maakt aan zogenoemde ‘wraakporno’ (het zonder toestemming plaatsen van intiem beeldmateriaal van (voormalige) relaties op openbaar toegankelijke websites), om daarmee zonder gevolgen weg te komen. Mocht Facebook in dat standpunt echter volharden, dan dient in ieder geval de subsidiaire vordering te worden toegewezen. Facebook handelt onrechtmatig door te weigeren om de gegevens te verstrekken, dan wel om mee te werken aan een onafhankelijk onderzoek door een ict-deskundige naar de vraag of deze echt permanent en onherstelbaar verwijderd zijn. Niet valt uit te sluiten dat de gegevens van de aanmaker van de account (eventueel via andere personen die ‘vrienden’ zijn geworden met ‘[profielnaam]’, op de servers van Facebook nog wel te traceren zijn.

4.5.
Verder heeft Facebook niet betwist dat het openbaar maken van de gewraakte opname waarbij eiseres herkenbaar in beeld seksuele handelingen verricht, jegens haar onrechtmatig is, noch dat eiseres ten tijde van het maken van het filmpje minderjarig was. Evenmin heeft Facebook betwist dat eiseres thans niet op andere wijze dan via het benaderen van Facebook de gegevens kan achterhalen van degene die op deze wijze onrechtmatig jegens haar heeft gehandeld.
Onder deze omstandigheden kan daarom worden aangenomen dat op Facebook in beginsel de rechtsplicht rust om aan eiseres de gevraagde gegevens te verstrekken en dat zij jegens eiseres onrechtmatig handelt door daartoe niet over te gaan. Facebook heeft, behoudens het navolgende, waarop in r.o. 4.6 en volgende nader wordt ingegaan, geen (juridische) weren, feiten of omstandigheden aangevoerd op grond waarvan zich een dergelijke rechtsplicht in dit concrete geval niet zou voordoen.
4.6.
Het inhoudelijke verweer van Facebook dat volgens haar zou moeten leiden tot afwijzing van de vorderingen, is beperkt tot haar stelling dat zij niet aan de vorderingen kan voldoen, omdat de gevraagde gegevens al volledig en permanent gewist zouden zijn.

De voorzieningenrechter
5.1. beveelt Facebook om aan eiseres binnen 14 dagen na de betekening van dit vonnis alle bij Facebook bekende gegevens met betrekking tot de houder c.q. maker van de Facebook account met gebruikersnaam [profielnaam] en met kenmerk: [naam digitaal adres] te verstrekken, waaronder in ieder geval:
a. de (opgegeven) voor- en achternaam
b. het e-mailadres en het mobiele nummer
c. de geboortedatum
d. het IP-adres van de computer die is gebruikt om de account aan te maken
e. de datum en tijd (en andere log-gegevens waarover Facebook mocht beschikken) ten aanzien van het aanmaken, gebruik en het verwijderen van de account;

Conclusie AG HvJ EU 25 juni 2015, IT 1792; ECLI:EU:C:2015:426; zaak C-230/14(Weltimmo)
Persoonsgegevens. Zie IT 1571. Voor de gegevensverwerking verantwoordelijke, gevestigd op het grondgebied van een andere lidstaat. Bepaling van het toepasselijke recht en de bevoegde toezichthoudende autoriteit. Sanctiebevoegdheid. Begrip ‚gegevensverwerking’. Conclusie:

1)      Artikel 4, lid 1, onder a), van richtlijn 95/46 verzet zich ertegen dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet toepast op een voor de verwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd. Hiervoor dient het begrip vestiging aldus te worden uitgelegd dat het het bestaan van een vaste inrichting veronderstelt, onafhankelijk van de rechtsvorm daarvan, door middel waarvan effectief en daadwerkelijk activiteiten worden uitgeoefend. Eén agent kan al worden beschouwd als vaste inrichting, wanneer deze een voldoende mate van duurzaamheid biedt met behulp van de personele en technische middelen die voor het verlenen van de betrokken concrete diensten nodig zijn.

      Andere elementen, zoals de plaats van waar de gegevens zijn verzonden, de nationaliteit van de betrokken adverteerders, de woonplaats van de eigenaren van de voor de gegevensverwerking verantwoordelijke onderneming, of het feit dat de door die verantwoordelijke geleverde dienst gericht is op het grondgebied van een andere lidstaat, spelen geen rechtstreekse en bepalende rol bij de vaststelling van het toepasselijke recht, maar kunnen wel een aanwijzing vormen voor het effectieve en daadwerkelijke karakter van de activiteiten – waardoor de plaats van vestiging kan worden bepaald – en in het bijzonder voor de vaststelling of de gegevensverwerking is verricht in het kader van de activiteiten van die vestiging.

2)      Ingeval de nationale rechter, op grond van het criterium van artikel 4, lid 1, onder a), van richtlijn 95/46, bepaalt dat zijn nationale recht niet van toepassing is, moet artikel 28, lid 6, van bedoelde richtlijn aldus worden uitgelegd dat het opleggen van sancties wegens inbreuken in verband met gegevensverwerking valt onder de bevoegdheid van de toezichthoudende autoriteit van de lidstaat wiens recht van toepassing is, ongeacht welke lokale toezichthoudende autoriteit het geheel van de in artikel 28, lid 3, genoemde bevoegdheden op haar eigen grondgebied kan uitoefenen, overeenkomstig de bepalingen van haar nationale recht.

3)      Het begrip ‚adatfeldolgozás’, gebruikt in artikel 4, lid 1, onder a), en artikel 28, lid 6, van de Hongaarse versie van richtlijn 95/46, moet aldus worden uitgelegd dat het zowel de gegevensverwerking in ruime zin, als het verrichten van technische taken in het kader van de gegevensverwerking omvat.

Gestelde vragen:

1)      Moet artikel 28, lid 1, van richtlijn 95/46 [...] aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaars hun persoonsgegevens naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

2)      Moet artikel 4, lid 1, onder a), van de richtlijn gegevensbescherming, junctis de punten 18 tot en met 20 van de considerans en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaars de desbetreffende gegevens waarschijnlijk vanuit Hongarije naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

3)      Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?

4)      Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaars ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?

5)      Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?

6)      Is het voor uitleggingsdoeleinden relevant dat de eigenaars van de in Slowakije gevestigde onderneming een woonplaats hebben in Hongarije?

7)      Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?

8)      Mag ervan worden uitgegaan dat het begrip ‚adatfeldolgozás’ [technische bewerking van gegevens] dat zowel in artikel 4, lid 1, onder a), als in artikel 28, lid 6 van de [Hongaarse taalversie van] de richtlijn gegevensbescherming wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip ‚adatkezelés’ [gegevensverwerking]?