Privacy  

Rechtbank Rotterdam 6 januari 2015, IT 1790; ECLI:NL:RBROT:2015:4352 (verzoekster tegen Volkswagen Bank)
Verzoek om verwijdering van codes uit het Centraal Krediet Informatiesysteem (CKI) op grond van artikel 45 jo 46 Wbp. Niet gesteld of gebleken is van feiten en of omstandigheden die ervoor zorgen dat de handelswijze van Volkswagen Bank een grond opleveren voor het verwijderen van de persoonsgegevens van Hetharia. Het verzoek wordt afgewezen.

4.1. [verzoekster] heeft als productie 2 overgelegd een uitdraai van haar geregistreerde kredietgegevens bij de BKR, waarvan deel uitmaakt de registratie die door Volkswagen Bank is gedaan. Tussen partijen staat als niet weersproken vast dat de door Volkswagen Bank geregistreerde kredietgegevens van [verzoekster] zijn aan te merken als persoonsgegevens in de zin van artikel 1 aanhef en sub a van de Wet bescherming persoonsgegevens (verder: Wbp) en dat het CKI is aan te merken als bestand in de zin van artikel 1 aanhef en sub c jo. artikel 2 lid 1 van de Wbp.

4.2. Op grond van artikel 36 lid 1 Wbp heeft [verzoekster] Volkswagen Bank verzocht om de code A en code H uit het CKI te verwijderen.

4.3. Volkswagen Bank heeft haar verzoek afgewezen. Op grond van artikel 45 jo. 46 Wbp heeft [verzoekster] zich thans tot de rechtbank gewend met het verzoek om Volkswagen Bank te bevelen de code A en code H uit het CKI te verwijderen.

4.7. Artikel 29, lid 3 AR luidt als volgt:
De deelnemer is verplicht om de betrokkene, indien zich een achterstand dreigt voor te doen als aangegeven in artikel 25 lid 1 van dit reglement, tijdig en schriftelijk te waarschuwen dat verder uitstel van betalen zal leiden tot een achterstandsmelding bij de stichting. De deelnemer is gehouden om het tijdstip van deze vooraankondiging zodanig vast te stellen dat de betrokkene nog de gelegenheid heeft zijn achterstand geheel in te lopen en daarmee de achterstandsmelding af te wenden.

Het toetsingskader
4.8. Artikel 36 lid 1 Wbp vermeld als gronden voor het doen van een verzoek om de desbetreffende persoonsgegevens te verwijderen dat deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend dan wel dat de desbetreffende persoonsgegevens anderszins in strijd met een wettelijk voorschrift worden verwerkt.

4.9. Voorts moet de Wbp worden uitgelegd in overeenstemming met artikel 8 EVRM. Dit betekent dat dient te worden beoordeeld of de persoonsgegevens van [verzoekster] zijn verwerkt op een wijze die verenigbaar is met het bepaalde in artikel 8 EVRM, op grond waarvan een belangenafweging dient plaats te vinden. Bij elke gegevensverwerking moet zijn voldaan aan beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel, en dit doel moet in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwerkelijkt.

Bijdrage ingezonden door Fulco Blokhuis, Boekx. Verzoeker had Facebook NL verzocht om inzage. De rechtbank verklaart verzoeker niet ontvankelijk, omdat Facebook NL geen verantwoordelijke is. verzoeker had er verstandig aan gedaan om ook Facebook Inc. en Facebook Ierland aan te spreken.

Facebook NL verkoopt advertentieruimte (volgens kvk: Het verkopen van advertentieruimte , commerciële ontwikkeling, marketing en, meer in het algemeen , alle commerciële, industriële, financiële, zakelijke of persoonlijke transactie welke, direct of indirect, verband houden met vorengenoemd doel of het tot stand brengen daarvan bevorderd, alsmede houdster- en financieringsactiviteiten)

In het Costeja-arrest oordeelde het Europese Hof al eens dat het hebben van een vestiging die advertenties verkoop voldoende is om locaal recht van toepassing te verklaren. zie ro 44.-60 Google Inc had een vestiging in Spanje, omdat Google Spain een vestiging was van Google Inc., die gebruikt werd in het kader van de activiteiten van Google Inc.

Die redenering had ook kunnen worden toegepast door de rechtbank in deze zaak tegen Facebook.

Echter, de rechtbank overweegt [red IT 1784]: "Als onvoldoende weersproken staat vast dat voldoende juridisch en feitelijk onderscheid tussen Facebook Nederland en Facebook Ierland bestaat, en dat deze entiteiten niet met elkaar kunnen worden vereenzelvigd. Niet betwist is dat uitsluitend Facebook Ierland, en niet (mede) Facebook NL, verantwoordelijk is voor de verwerking van persoonsgegevens. Dit leidt ertoe dat een verzoek tot inzage niet kan worden gericht aan Facebook Nederland."

De zaak strandt dus op de feiten en matig procederen door verzoeker. De verzoeker had moeten stellen dat de activiteiten van Facebook Nederland onlosmakelijk verbonden is met die van Facebook Ierland, daar de activiteiten inzake de advertentieruimtes het middel vormen om de betrokken website economisch rendabel te maken. Daarmee zou Facebook Nederland verantwoordelijk kunnen worden gehouden voor de verwerking.

Overigens vindt het College Bescherming Persoonsgegevens dat Facebook en Google onderworpen zijn aan haar toezicht.

Ik gaf ook mijn commentaar op Computerworld.

Er is nog tijd voor hoger beroep om de omissie te herstellen.

Prejudiciële vragen gesteld aan HvJ EU 29 april 2015, IT 1786 (Tele2 Sverige tegen Post- och telestyrelsen)
Vragen gesteld door Kammarrätten i Stockholm, Zweden. Verzoekster deelt de dag nadat het HvJEU arrest heeft gewezen in zaak C-293/12; IT 1479 (Digital Rights Ireland) per brief aan de Zweedse toezichthouder PTS (verweerster) mede dat zij niet langer gegevens bewaart zoals vereist op grond van de ZWE wet, en eerder bewaarde gegevens gaat wissen. Zij onderneemt deze actie omdat zij van mening is dat de Zweedse wet (tot omzetting RL 2006/24) niet verenigbaar is met het Handvest grondrechten. De Zweedse politie laat verweerster weten dat deze actie grote gevolgen heeft voor de opsporing. De Zweedse regering geeft opdracht de zaak te onderzoeken. De daartoe aangewezen Commissie komt tot de conclusie dat de Zweedse regelgeving niet in strijd met EURrecht en/of EVRM. Verzoekster ontvangt dan een bevel van verweerster vanaf 25 juli-2014 tot gegevensbewaring over te gaan.

Zij gaat tegen dat besluit in beroep, dat op 13 oktober 2014 wordt verworpen. De bestuursrechter oordeelt dat de Zweedse bepalingen inzake gegevensbewaring vallen onder de door artikel 15, lid 1, van RL 2002/58 geboden mogelijkheid om nationale wettelijke maatregelen te treffen ter beperking van de omvang van bepaalde in de richtlijn bedoelde rechten en plichten. Hij benadrukt dat arrest C-293/12 aldus dient te worden begrepen dat RL 2006/24 ongeldig is verklaard omdat de geconstateerde tekortkomingen van de RL, in hun geheel beschouwd, impliceren dat de RL niet voldoet aan het Unierechtelijke vereiste van evenredigheid van beperkingen van de rechten en vrijheden. Verzoekster stelt hoger beroep in bij de verwijzende rechter. Zij stelt dat de Zweedse regelgeving strijdig is met het EVRM en bijgevolg de Zweedse Gw. Zij acht de omvang van de bewaarplicht onevenredig. Daarnaast wijst zij op een ernstige tekortkoming in de ZWE regelgeving, namelijk dat toegang tot de bewaarde gegevens niet vereist dat de gegevens verband houden met verdenking van ernstige strafbare feiten. Verweerster stelt dat de ongeldigheid van RL 2006/24 niet impliceert dat de Zweedse regelgeving ook ongeldig is, zolang maar is voldaan aan de eisen van RL 2002/58 en overig EUrrecht.

De verwijzende Zweedse rechter (bestuursrechter in hoger beroep) is met verweerster van oordeel dat het arrest C-293/12 de mogelijkheid om verkeersgegevens te bewaren onverlet laat, zolang is voldaan aan de genoemde eisen. Maar hij vindt ook zowel argumenten voor als tegen de opvatting dat de ruime bewaarplicht die wordt opgelegd door de Zweedse regelgeving verenigbaar is met RL 2002/58 en het Handvest. Om een eenduidig antwoord te krijgen op de vraag of het HvJEU in arrest C-293/12 een afgewogen beoordeling heeft verricht van de omvang van de bewaarplicht en de bepalingen inzake toegang tot gegevens, bewaartermijn en beveiliging legt hij de volgende vragen aan het HvJEU voor:

1) Is een algemene verplichting, zoals beschreven [in de punten 1 tot en met 6 infra], om met het oog op wetshandhaving op strafrechtelijk gebied verkeersgegevens te bewaren, welke verplichting zich zonder enig onderscheid, enige beperking of uitzondering uitstrekt tot alle personen, alle elektronische communicatiemiddelen en alle verkeersgegevens, verenigbaar met artikel 15, lid 1, van richtlijn 2002/58/EG, gelezen in samenhang met de artikelen 7, 8 en 52, lid 1, van het Handvest van de Grondrechten van de Europese Unie?
2) Indien de eerste vraag ontkennend wordt beantwoord, kan de bewaring dan niettemin toegestaan zijn
a) wanneer de toegang van de nationale instanties tot de gegevens die worden bewaard, is geregeld zoals [beschreven in de punten 7 tot en met 24 infra];
b) wanneer de veiligheidseisen worden geregeld zoals [beschreven in de punten 26 tot en met 31 infra], en
c) alle relevante gegevens moeten worden bewaard gedurende zes maanden te rekenen vanaf de dag waarop de communicatie werd beëindigd, en daarna moeten worden gewist, zoals [beschreven in punt 25 infra]?

HR 22 mei 2015, IT 15024 (Staat der Nederlanden tegen Stichting Privacy First)
Privacy. Wijziging Paspoortwet. (De)centrale opslag vingerafdrukken. Geen inbreuk op privacy, art. 8 EVRM. Collectieve actie, art. 3:305a BW. Ontvankelijkheid, taakverdeling burgerlijke rechter en bestuursrechter. Rechtsingang voor belanghebbenden bij bestuursrechter, art. 46 Paspoortwet. Afgeleid belang. HR vernietigt het arrest van het Hof Den Haag [IT 1431] en bekrachtigt het vonnis van de rechtbank [ECLI].

3.4.3. Deze klacht is gegrond. Wil sprake zijn van een eigen belang als hiervoor in 3.4.1 bedoeld, dan moet het gaan om een belang dat zelfstandig wordt beschermd door de norm(en) waarop de vordering van de belangenorganisatie is gebaseerd - in dit geval de door Privacy First ingeroepen normen die strekken tot bescherming van de persoonlijke levenssfeer (zie hiervoor in 3.1 onder (v)) -, en dus niet om een belang dat enkel voortvloeit uit het opkomen voor de gebundelde belangen, en dat uitsluitend van die belangen is afgeleid. Anders zou een belangenorganisatie immers vrijwel steeds bij de burgerlijke rechter ontvankelijk zijn in een vordering als de onderhavige, nu zij vrijwel steeds zal kunnen wijzen op een dergelijk afgeleid belang, wat zou leiden tot een doorkruising van de hiervoor in 3.3.4 en 3.3.5 vermelde behoorlijke taakverdeling tussen bestuursrechter en burgerlijke rechter. Het door het hof vastgestelde belang van Privacy First betreft onmiskenbaar een dergelijk afgeleid belang en is daarom onvoldoende omhaar in haar onderhavige vorderingen ontvankelijk te doen zijn bij de burgerlijke rechter.

Op andere blogs:
Cassatieblog

Rechtbank Amsterdam 28 mei 2015, IT 1783; ECLI:NL:RBAMS:2015:3659 (Facebook Netherlands)
Privacy. Artikel 35 Wbp. Aan de orde is de vraag of de Ierse of de Nederlandse wetgeving van toepassing is op de verwerking via (Ierse) Facebook-servers van persoonsgegevens van Nederlandse inwoners. De rechtbank oordeelt dat het aan beantwoording van deze vraag niet toekomt omdat Facebook NL niet kwalificeert als “verantwoordelijke”.

2.4. Het volgende wordt tot uitgangspunt genomen. De servers van Facebook Ireland Ltd. (hierna Facebook Ierland) in Ierland hosten voor de Europese markt de diverse Facebook diensten. Gebruik van Facebook door gebruikers in Nederland kan leiden tot verwerking van persoonsgegevens. Facebook NL houdt zich bezig met verkoopondersteuning en heeft geen bevoegdheden met betrekking tot activiteiten die tot verwerking van persoonsgegevens kunnen leiden.

2.7 (...) Als onvoldoende weersproken staat vast dat voldoende juridisch en feitelijk onderscheid tussen Facebook Nederland en Facebook Ierland bestaat, en dat deze entiteiten niet met elkaar kunnen worden vereenzelvigd. Niet betwist is dat uitsluitend Facebook Ierland, en niet (mede) Facebook NL, verantwoordelijk is voor de verwerking van persoonsgegevens. Dit leidt ertoe dat een verzoek tot inzage niet kan worden gericht aan Facebook Nederland. [verzoeker] zal dan ook niet ontvankelijk worden verklaard in zijn verzoek.

Hof 's-Hertogenbosch 9 juni 2015; IT 1783; ECLI:NL:GHSHE:2015:2080 (Houtverwerkingsindustrie)
Tussenarresten ECLI:NL:GHSHE:2014:673 en 20 mei 2014; ECLI:NL:GHSHE:2014:1413. Een deskundigenonderzoek in boekhouding van gedaagde om vast te stellen of gedaagde in de betreffende periode zaken heeft gedaan met vaste relaties van de concurrent, bevestigt verdenkingen dat er onrechtmatig is gehandeld door gebruik te maken van vertrouwelijke bedrijfsgegevens van concurrent, terwijl die via een werknemer van de concurrent zijn verkregen. Er wordt thans een schadevergoeding van ruim € 49.000,-- toegewezen.

9.4.3. [geïntimeerde] heeft in haar memorie na deskundigenbericht betoogd dat zij (ook ten aanzien van de jaren 2008 en 2009) niet onrechtmatig jegens [houtverwerkingsindustrie] heeft gehandeld. Bij de beoordeling van dat verweer roept het hof in herinnering dat [medewerker van Houtverwerkingsindustrie] in 1999 in dienst is getreden bij [houtverwerkingsindustrie], dat [medewerker van Houtverwerkingsindustrie] en [geïntimeerde] in 2005 [Arts] Arts hebben opgericht, dat [medewerker van Houtverwerkingsindustrie] in elk geval vanaf januari 2007 bedrijfsgevoelige informatie over onder meer door [houtverwerkingsindustrie] uitgebrachte offertes aan [Arts] Arts is gaan doorspelen, dat de omzet van [Arts] Arts uit de levering van door [houtverwerkingsindustrie] gevoerde producten aan klanten/relaties van [houtverwerkingsindustrie] vanaf dat moment is begonnen en sterk is toegenomen en dat [houtverwerkingsindustrie] in dezelfde periode een terugloop heeft ondervonden in de omzet die zij bij diezelfde relaties placht te realiseren. Deze feiten duiden er reeds op dat [geïntimeerde] in het kader van [Arts] Arts gebruik heeft gemaakt van de betreffende informatie die [medewerker van Houtverwerkingsindustrie] aan hem heeft verstrekt.

9.4.4. Het standpunt van [geïntimeerde] dat hij dienaangaande passief is geweest en dat van enige samenspanning geen sprake is geweest, is niet te verenigen met de tekst van de e-mail die [geïntimeerde] op 23 januari 2007 om 7:51 uur aan [medewerker van Houtverwerkingsindustrie] heeft gezonden en waarvan zich een afschrift bij prod. 11 bij de inleidende dagvaarding bevindt. Gelet op de bewoordingen van die e-mail probeert [geïntimeerde] in samenspraak met [medewerker van Houtverwerkingsindustrie] zodanige e-mailinstellingen te realiseren dat hij, [geïntimeerde], tijdens kantooruren op zijn werkplek bij [Arts] Arts de e-mails kan lezen die [medewerker van Houtverwerkingsindustrie] hem vanaf diens werkplek bij [houtverwerkingsindustrie] zal zenden. Dit duidt zonder meer op een welbewuste samenspanning tussen [geïntimeerde] en [medewerker van Houtverwerkingsindustrie] waarbij [geïntimeerde] op eenvoudige wijze en onmiddellijk kan beschikking over de concurrentiegevoelige gegevens die [medewerker van Houtverwerkingsindustrie] hem vanaf de werkplek van [houtverwerkingsindustrie] zou mailen. Dat daarvan vervolgens op grote schaal gebruik is gemaakt blijkt uit de vele e-mails die [houtverwerkingsindustrie] in eerste aanleg heeft overgelegd nadat zij daarover met hulp van haar systeembeheerder de beschikking had gekregen. Het hof wijst in dit kader als voorbeeld op het e-mailbericht van augustus 2007 dat is weergegeven in rov. 4.5.2 van tussenarrest van 11 maart 2014 en het e-mail van januari 2007 dat hiervoor is weergegeven in rov. 9.4.2. De bewoordingen van deze berichten laten naar het oordeel van het hof niets aan duidelijkheid te wensen over.

CBP ontwerpbesluit 20 mei 2015, IT 1782 (Randstad / Adecco)
Het College bescherming persoonsgegevens (CBP) is voornemens om een door Randstad Nederland B.V. (en Adecco Group Nederland) gemelde verwerking van persoonsgegevens rechtmatig te verklaren. De gemelde verwerking houdt in dat Randstad (en Adecco Group Nederland) strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag verwerkt ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b, van de Wet bescherming persoonsgegevens. Randstad (en Adecco Group Nederland) verwerkt deze gegevens voor pre-employment screeningen om de achtergrond van flexwerkers te controleren of te onderzoeken.

Hof Arnhem-Leeuwarden 22 april 2015, IT 1779 (smartphone doorzoeking)
Strafrecht. Schending privacy. Onherstelbaar vormverzuim. X wordt strafrechtelijk vervolgd voor openlijke geweldpleging c.q. opzettelijke mishandeling. De politie heeft in het kader van de waarheidsvinding de iPhone van verdachte in beslag genomen. De inhoud van deze smartphone is onderzocht en gegevens (een whatsapp gesprek) zijn uit deze smartphone gelicht. De verdediging stelt dat dit  een inbreuk vormt op de eerbiediging van het privé-leven en de correspondentie van de verdachte. De Nederlandse regelgeving schiet tekort in het bieden van een redelijke begrenzing van de onderzoeksbevoegdheid van de politie, met name tot hetgeen noodzakelijk en proportioneel is. Volgens de verdediging is hier feitelijk sprake van een onbegrensde onderzoeksbevoegdheid van de politie, hetgeen in strijd is met artikel 8 EVRM, wat dient te leiden tot bewijsuitsluiting. Het hof is van oordeel dat sprake is van een zodanig ingrijpende bevoegdheid dat artikel 94 Sv. heden ten dage niet meer kan worden aangemerkt als een wettelijk voorschrift dat als voldoende kenbaar en voorzienbaar kan worden aangemerkt bij de uitoefening van de verleende bevoegdheid. Het kan derhalve de toets van artikel 8 EVRM niet (meer) doorstaan. Privacy van verdachte is geschonden wat een onherstelbaar vormverzuim oplevert. Het hof verbindt verder geen rechtsgevolgen aan het vormverzuim nu het geen onderdeel vormt van de bewijsconstructie van het hof.

Het hof onderschrijft het standpunt van de verdediging in die zin dat verdachte ten aanzien van de inhoud van zijn smartphone een beroep op bescherming op artikel 8 EVRM (en artikel 10 Grondwet) toekomt. De inbeslagname, het onderzoek aan de srnartphone en het lichten van gegevens van die smartphone door de politie op grond van artikel 94 Sv. vormen een inbreuk op de door artikel 8 EVRM verleende bescherming van de persoonlijke levenssfeer. De bevoegdheid van de politie tot het maken van een inbreuk op dit recht moet voldoende kenbaar en voorzienbaar in de wet zijn omschreven. De technische ontwikkelingen anno 2015 brengen met zich dat er via een smartphone niet alleen toegang wordt verkregen tot verkeersgegevens, maar ook tot de inhoud van communicatie en privé-informatie van de gebruiker van de smartphone. En dat zonder enige vorm van voorafgaande beoordeling van de subsidiariteit en/of proportionaliteit van de bevoegdheid. Dat brengt het hof tot het oordeel dat sprake is van een zodanig ingrijpende bevoegdheid dat, mede gelet op artikel 1 Sv., de algemene bevoegdheidsomschrijving van artikel 94 Sv. heden ten dage niet meer kan worden aangemerkt als een wettelijk voorschrift dat als voldoende kenbaar en voorzienbaar kan worden aangemerkt bij de uitoefening van de verleende bevoegdheid. Het kan derhalve de toets van artikel 8 EVRM niet (meer) doorstaan.

Met de verdediging is het hof daarom van oordeel dat het onderzoek door de politie aan de srnartphone van de verdachte oplevert een schending van zijn recht op privacy. De verdachte is hierdoor getroffen in een belang dat de overtreden norm beoogt te beschermen. De verdachte is ook concreet benadeeld in zijn (verdedigings)belang nu gegevens (een whatsapp gesprek) uit de smartphone van de verdachte zijn gelicht en geprint en toegevoegd aan het strafdossier en de verdachte door de politie is verhoord en door de rechtbank is veroordeeld mede op basis van een onderdeel van het whatsapp gesprek.

Aldus is sprake van een onherstelbaar vormverzuim in het voorbereidend onderzoek in de zin van artikel 359a van het Wetboek van Strafvordering. De rechtsgevolgen hiervan blijken niet uit de wet. De vraag is of~ en zo ja, welke rechtsgevolgen aan voormeld vormverzuim moeten worden verbonden. Bij de beoordeling hiervan dient het hof rekening te houden met de in artikel 359a, tweede lid, van het Wetboek van Strafvordering genoemde factoren, te weten het belang van het geschonden voorschrift, de ernst van het verzuim en het nadeel dat daardoor wordt veroorzaakt. Verdachte zal van dit vormverzuim geen nadeel ondervinden nu het onderzoeksresultaat dat door middel van het vormverzuirn is verkregen geen onderdeel vormt van de bewijsconstructie van het hof. Het hof zal daarom verder geen rechtsgevolgen verbinden aan het vormverzuim.

Prejudiciële vragen aan HvJEU 28 april 2015, IT&R 1778, zaak C-191/15 (Rease & Wullems)
Vragen gesteld door de Raad van State.  Rease woont sinds 2005 bij zijn levenspartner Wullems in Amsterdam. Hij ontving tussen 2000 tot eind 2010 een arbeidsongeschiktheidsuitkering van Prudential Insurance Company of America (PICA). PICA stopt de uitkering na een onderzoek in 2008 door eerst een in het VK gevestigd detectivebureau (JHI) en daarna door een Amerikaans bureau (G4S), die beide gegevens over de persoonlijke omstandigheden van Rease hebben verzameld en doorgespeeld aan PICA. PICA heeft ook medische informatie laten opvragen door het Britse Health Claims Bureau (HCB) bij een arts van het Academisch Medisch Centrum (AMC). Verzoekers starten een procedure bij het College bescherming persoonsgegevens (Cbp). Zij vragen Cbp een onderzoek in te stellen naar overtreding van de Wbp door PICA en de ingeschakelde recherchebureaus. Daarnaast eisen zij optreden tegen de verstrekking van medische gegevens door een arts van het AMC aan HCB. Cbp stelt dat hij niet bevoegd is handhavend op te treden jegens in de VS gevestigde PICA en evenmin jegens HCB dat onderworpen is aan Brits recht.

In deze gevallen heeft de verwerking van persoonsgegevens niet op NL grondgebied plaatsgevonden. Cbp kan wel handhavend optreden tegen G4S dat gebruik heeft gemaakt van zijn vestiging in NL, en onderzoek doen naar het doorgeven van gegevens door het AMC. Maar op grond van beleidsregels (overtredingen niet ernstig en structureel en er worden niet veel mensen getroffen) wordt het verzoek toch afgewezen.In beroep bij de Rb AMS vernietigt deze het besluit voor zover daarbij het bezwaar tegen de onbevoegdheid van het Cbp met betrekking tot het AMC ongegrond is verklaard. Verder laat de Rb de rechtsgevolgen van het vernietigde deel in stand. Verzoekers zijn het niet eens dat het Cbp tegen PICA, JHI en HCB niet bevoegd zou zijn en zij laken het voor individuen ontbreken van effectieve rechtsbescherming. Zij gaan in hoger beroep bij de verwijzende rechter.

De verwijzende NL rechter (RvS) oordeelt dat de Wbp hier van toepassing is. Niet in geschil is dat het Cbp bevoegd is voor zover het de verwerking van de persoonsgegevens door het AMC en G4S betreft. Maar beoordeeld moet worden of het Cbp bevoegd is te oordelen over verwerking in NL van persoonsgegevens door JHI in opdracht van PICA. Een medewerker van JHI heeft persoonlijk in NL onderzoek gedaan door onder meer de woning van verzoekers in de gaten te houden en daarvan filmverslag te doen. Daarnaast vraagt de verwijzende rechter zich af of het EULS is toegestaan beleidsregels op te stellen die ruimte geven om gemotiveerd af te zien van handhaving. Hij stelt het HvJEU de volgende vragen:

1) Valt het door een voor de verwerking verantwoordelijke, als bedoeld in artikel 2, aanhef en onder d, van de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995 L 281), buiten de EU opdrachtgeven aan een recherchebureau gevestigd binnen de EU om middelen in te zetten voor de verwerking van persoonsgegevens op het grondgebied van een lidstaat onder het gebruik maken van middelen als bedoeld in artikel 4, eerste lid, aanhef en onder c, van die richtlijn?

2) Laat de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995 L 281), in het bijzonder artikel 28, derde en vierde lid, gelet op de doelstelling van die richtlijn, ruimte aan de nationale autoriteiten om bij handhaving van de in die richtlijn gegeven bescherming van de individuele persoon door de toezichthoudende autoriteit prioriteiten te stellen die ertoe leiden dat handhaving achterwege blijft in het geval slechts een individu of een kleine groep personen over de overtreding van die richtlijn klaagt?

Rechtbank Zwolle-Lelystad 4 juli 2012, IT 1773; ECLI:NL:RBZLY:2012:BY2941 (X tegen Y Bedrijfsrecherche B.V.)
Bescherming persoonsgegevens. X is van 1 augustus 1991 tot en met 31 december 2008 werkzaam geweest bij Education International en haar rechtsvoorgangers. X heeft een bedrijfslaptop mede gebruikt voor contact met zijn thuisfront en het bijhouden van een dagboek/jaarboek. Na anoniem verstuurde aantijgingen heeft de werkgever onderzoek laten doen naar de laptops van werknemers. Hieruit is geconcludeerd dat X de bron was. X vernam dat stukken uit zijn jaarboek gebruikt en gedeeld zijn in het onderzoek. X vordert met succes schadevergoeding nu Y onrechtmatig gehandeld heeft door kennis te nemen van en diens (voormalig) werkgever in staat te stellen kennis te nemen van de inhoud van diens dagboeknotities. Het feit dat een werknemer (al dan niet vrijwillig) zijn laptop heeft ingeleverd kan niet worden aangemerkt als toestemming in de zin van de WBP voor het onderzoek zoals dat door Y Bedrijfsrecherche is verricht.

4.6. Gelet op deze voorschriften en in aanmerking genomen dat [eiser] werknemer was van EI en er sprake was van een situatie waarin EI wenste te achterhalen of een van haar medewerkers betrokken was bij het anonieme e-mailbericht, kan het inleveren van de laptop - of het nu bevolen of verzocht is en of nu wel of niet de toezegging is gedaan dat er geen privébestanden zouden worden geopend - niet worden aangemerkt als toestemming in de zin van de Wbp voor het onderzoek zoals dat door [gedaagde] is verricht en evenmin als toestemming voor het verstrekken van de (inhoud van de) (gekopieerde) bestanden en het onderzoeksresultaat aan EI. [gedaagde] kan ook niet worden gevolgd in haar standpunt dat zij er vanuit mocht gaan dat [eiser] de vereiste toestemming had verleend op grond van de enkele mededeling van EI dat [eiser] vrijwillig zijn laptop had afgestaan. [gedaagde] had zich van de vereiste toestemming van [eiser] moeten vergewissen. Nu zij dat niet heeft gedaan, heeft zij naar het oordeel van de rechtbank onrechtmatig gehandeld jegens [eiser]. De enkele omstandigheid dat [gedaagde] handelde in opdracht van EI kan in het onderhavige geval niet afdoen aan de aansprakelijkheid van [gedaagde] jegens [eiser]. Hetzelfde geldt voor de omstandigheid dat [eiser] (wel) zijn vrijwillige medewerking heeft verleend aan het gesprek op 30 oktober 2007. Op dat moment was de verwerking van persoonsgegevens betreffende [eiser] immers al een feit.

4.9. [eiser] stelt dat hij schade heeft geleden als gevolg van het onrechtmatig handelen door [gedaagde]. Door de op zijn laptop aangetroffen bestanden (integraal) te verstrekken aan EI heeft [gedaagde] de relatie tussen het management van EI als werkgever en [eiser] als werknemer, zodanig onherstelbaar beschadigd dat deze relatie is beëindigd met alle gevolgen van dien voor zijn gezondheid, zijn financiële positie en zijn reputatie, aldus [eiser]. [gedaagde] betwist dat [eiser] schade heeft geleden.

4.10. Voor toewijzing van een vordering tot vergoeding van schade op te maken bij staat is, wat het element schade betreft, vaste rechtspraak dat voldoende is dat de mogelijkheid van schade aannemelijk is. [eiser] heeft (met stukken onderbouwd) gesteld dat de salariëring in zijn huidige functie aanzienlijk lager is dan in zijn functie van senior coördinator bij EI (naar welke functie hij kortgeleden nog was gepromoveerd). [eiser] [eiser] heeft voorts (met stukken onderbouwd) gesteld dat hij als gevolg van de gebeurtenissen van eind oktober 2007 en daarna een post traumatische stress stoornis heeft ontwikkeld. De rechtbank acht de mogelijkheid van schade dan ook aannemelijk.