Privacy  

CBP, 'CBP adviseert over Toetsmodel Privacy Impact Assessment', CBPweb.nl 5 maart 2013.
Het College bescherming persoonsgegevens (CBP) heeft op verzoek van de minister van Binnenlandse Zaken en Koninkrijksrelaties geadviseerd over het Toetsmodel Privacy Impact Assessment (PIA). Het CBP constateert met grote instemming dat hiermee uitvoering wordt gegeven aan de motie-Franken, waardoor een PIA (een hulpmiddel voor het vaststellen van de privacyrisico's van nieuwe gegevensverwerkingen) standaard zal worden gebruikt bij de totstandkoming van wetgeving en/of beleidsstukken.

Lees verder

CPB, 'Vijfde activiteitenverslag van het GCO Europol', CBP 24 juni 2013, www.cbpweb.nl.
Uit het persbericht: Mededeling, 24 juni 2013. Het Gemeenschappelijk Controleorgaan van Europol (GCO Europol) heeft onlangs zijn vijfde activiteitenverslag gepresenteerd. Het GCO Europol heeft tot taak het recht op gegevensbescherming van de burgers bij de opslag, verwerking en het gebruik van persoonsgegevens door Europol te handhaven. Het activiteitenverslag van het GCO Europol bevat een overzicht van de werkzaamheden die het GCO heeft uitgevoerd in de periode oktober 2008 tot en met oktober 2012. Het College bescherming persoonsgegevens (CBP) is lid van het GCO Europol en neemt op regelmatige basis deel aan zijn vergaderingen en inspecties.

​"Als de Europese rechtshandhavingsinstantie moet Europol de EU ondersteunen bij het voorkomen en bestrijden van alle vormen van ernstige internationale criminaliteit en terrorisme en tegelijk fundamentele onderdelen van het recht op privacy en gegevensbescherming eerbiedigen. Europol en het Gemeenschappelijk Controleorgaan hebben zich ingespannen om een evenwichtige aanpak te ontwikkelen waarin recht wordt gedaan aan hun uiteenlopende belangen en verplichtingen", aldus Isabel Cruz, voorzitter van het GCO Europol in de verslagperiode  in het voorwoord.

Conclusie A-G HvJ EU 25 juni 2013, zaak C-131/12 (Google Spain en Google tegen Agencia Española de Protección de Datos (AEPD)) - persbericht - dossier
Persoonsgegevens. Internetzoekmachine. Begrip ‚vestiging op het grondgebied van een lidstaat’. Recht op uitwissing en afscherming van gegevens. ‚Recht om te worden vergeten’.

Advocaat-generaal Jääskinen is van mening dat aanbieders van zoekmachines op basis van de gegevensbeschermingsrichtlijn niet verantwoordelijk zijn voor persoonsgegevens op door hen verwerkte webpagina’s. De nationale wetgeving op het gebied van gegevensbescherming is op hen van toepassing wanneer zij, om advertentieruimte te promoten en te verkopen, in een lidstaat een kantoor openen dat zijn activiteiten richt op de inwoners van die staat, ook al vindt de technische verwerking van de gegevens elders plaats. Lees het gehele persbericht.

Mitsdien geef ik het Hof in overweging, de prejudiciële vragen van de Audiencia Nacional te beantwoorden als volgt:

1) Verwerking van persoonsgegevens vindt plaats in het kader van de activiteiten van een „vestiging” van de voor de verwerking verantwoordelijke in de zin van artikel 4, lid 1, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, wanneer de onderneming die de internetzoekmachine aanbiedt, in een lidstaat ten behoeve van de (bevordering van de) verkoop van advertentieruimte op de zoekmachine een kantoor of dochteronderneming opricht en de activiteiten daarvan gericht zijn op de inwoners van die staat.

2)      Een aanbieder van een internetzoekmachine die met zijn zoekmachine door derden op internet gepubliceerde of geplaatste informatie lokaliseert, automatisch indexeert, tijdelijk opslaat en uiteindelijk volgens een bepaalde volgorde ter beschikking stelt aan internetgebruikers, „verwerkt” persoonsgegevens in de zin van artikel 2, sub b, van richtlijn 95/46 wanneer die informatie persoonsgegevens bevat.

De aanbieder van de internetzoekmachine kan ten aanzien van zulke persoonsgegevens echter niet worden aangemerkt als „voor de verwerking verantwoordelijke” in de zin van artikel 2, sub d, van richtlijn 95/46, behalve voor zover het de inhoud van de index van zijn zoekmachine betreft, mits de aanbieder van deze dienst geen persoonsgegevens indexeert of archiveert tegen de aanwijzingen of verzoeken van de uitgever van de webpagina in.

3)      Het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, en het recht van verzet als bedoeld in artikel 14, sub a, van richtlijn 95/46 verlenen de betrokkene niet het recht zich tot de exploitant van een zoekmachine te wenden teneinde indexering te verhinderen van op webpagina’s van derden rechtmatig gepubliceerde informatie die zijn persoon betreft, daarbij als zijn wens te kennen gevend dat deze informatie niet aan internetgebruikers bekend wordt, wanneer hij meent dat deze informatie hem kan benadelen of wanneer hij deze aan de vergetelheid wenst prijs te geven.

De volgende prejudiciële vragen voorgelegd:

„1.      Met betrekking tot de territoriale werkingssfeer van [de richtlijn] en bijgevolg van de Spaanse wetgeving inzake gegevensbescherming:

1.1.      Moet worden aangenomen dat er sprake is van ,vestiging’ in de zin van artikel 4, lid 1, sub a, van [de richtlijn] in een of meerdere van de volgende gevallen:

–        wanneer de exploitant van een zoekmachine in een lidstaat een kantoor of dochtermaatschappij opricht ten behoeve van de promotie en verkoop van advertentieruimte op de zoekmachine die zijn activiteiten richt op de inwoners van die lidstaat, of

–        wanneer de moedermaatschappij een dochtermaatschappij in die lidstaat aanwijst als haar vertegenwoordigster en verantwoordelijke voor de verwerking van twee concrete bestanden met de gegevens van de klanten die reclame-overeenkomsten met die onderneming hebben gesloten, of

–        wanneer het kantoor of de dochtermaatschappij gevestigd in een lidstaat, verzoeken en sommaties van zowel betrokkenen als de bevoegde autoriteiten voor de handhaving van het recht van gegevensbescherming doorzendt aan de moedermaatschappij, die buiten de Europese Unie is gevestigd, ook al is die samenwerking vrijwillig?

1.2. Moet artikel 4, lid 1, sub c, van [de richtlijn] aldus worden uitgelegd dat er sprake is van ,gebruikmaking van middelen die zich op het grondgebied van genoemde lidstaat bevinden’,

wanneer een zoekmachine gebruik maakt van spiders of robots voor het lokaliseren en indexeren van gegevens op internetpagina’s die zich op servers in die lidstaat bevinden, of

wanneer deze een bij die lidstaat behorende domeinnaam gebruikt en de zoekopdrachten en resultaten stuurt aan de hand van de taal van die lidstaat?

1.3.      Kan de tijdelijke opslag van de door internetzoekmachines geïndexeerde informatie worden aangemerkt als gebruikmaking van middelen in de zin van artikel 4, lid 1, sub c, van [de richtlijn]? Zo ja, kan dit aanknopingscriterium dan als vervuld worden beschouwd wanneer de onderneming op grond van concurrentieoverwegingen weigert de plaats aan te geven waar zij deze indexen opslaat?

1.4.      Los van het antwoord op de voorgaande vragen en met name voor het geval dat het [Hof] meent dat niet is voldaan aan de aanknopingscriteria van artikel 4 van de richtlijn:

Moet [de richtlijn], in het licht van artikel 8 van het Europees Handvest van de grondrechten, worden toegepast in de lidstaat waar zich het zwaartepunt van het geschil bevindt en waar een meer doeltreffend toezicht op de rechten van de burgers van de Europese Unie mogelijk is?

2.      In verband met de activiteit van de zoekmachines als leveranciers van content met betrekking tot [de richtlijn]:

2.1.      Met betrekking tot de activiteit van de zoekmachine van de onderneming ,Google’ op internet, als leverancier van content, bestaande in het lokaliseren van door derden op internet gepubliceerde of opgeslagen gegevens, het automatisch indexeren ervan, het tijdelijk opslaan ervan en ten slotte het ter beschikking stellen ervan aan internetgebruikers in een bepaalde volgorde, wanneer die informatie persoonsgegevens van derden bevat,

moet een activiteit als hierboven omschreven worden geacht te vallen onder het begrip ‚verwerking van gegevens’ in artikel 2, sub b, van [de richtlijn]?

2.2.      Indien het antwoord op de voorgaande vraag bevestigend luidt, en nog steeds in verband met een activiteit als boven omschreven: Moet artikel 2, sub d, van [de richtlijn] aldus worden uitgelegd dat de onderneming die de Google-zoekmachine exploiteert, de ,voor de verwerking verantwoordelijke’ is met betrekking tot de persoonsgegevens op de internetpagina’s die zij indexeert?

2.3.      Indien het antwoord op de voorgaande vraag bevestigend luidt: Kan de toezichthoudende autoriteit (in dit geval de [AEPD]) ter bescherming van de rechten van de artikelen 12, sub b, en 14, sub a, van [de richtlijn] zich rechtstreeks tot de exploitant van de zoekmachine van de onderneming ,Google’ richten en verlangen dat zij door derden gepubliceerde gegevens uit haar bestanden verwijdert, zonder zich eerst of tegelijkertijd te wenden tot de houder van de internetpagina waarop zich die informatie bevindt?

2.4.      Indien het antwoord op deze laatste vraag bevestigend luidt: Vervalt de verplichting van de exploitant van de zoekmachine om deze rechten te beschermen wanneer de informatie waarin de persoonsgegevens zijn opgenomen, door derden rechtmatig is gepubliceerd en op de oorspronkelijke internetpagina blijft gehandhaafd?

3.      Met betrekking tot de omvang van het recht op verwijdering en/of het recht van verzet in verband met het recht om te worden vergeten, wordt de volgende vraag voorgelegd:

3.1.      Moet het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, en het recht van verzet als bedoeld in artikel 14, sub a, van [de richtlijn] aldus worden uitgelegd dat de betrokkene zich tot de exploitant van de zoekmachine kan wenden teneinde de indexering van zijn persoon betreffende gegevens te verhinderen die op internetpagina’s van derden zijn gepubliceerd, daarbij als zijn wens te kennen gevend dat deze informatie niet bekend wordt bij internetgebruikers wanneer deze hem naar zijn mening kan benadelen, of vergeten wordt, hoewel het om door derden rechtmatig gepubliceerde informatie gaat?”

Op andere blogs:
KluwerCopyrightBlog (CJEU Advocate General sides with Google in data protection dispute)

Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken)
Persoonsgegevens. Beveiliging. Meldplicht. Strekking van het wetsvoorstel - Memorie van Toelichting:

In dit wetsvoorstel wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (hierna: Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van het voorgestelde artikel 34a van de Wbp bij een inbreuk waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (hierna: Cbp).

Daarnaast dient in de meeste gevallen een melding aan de betrokkene te geschieden indien de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het Cbp. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. Met de meldplicht wordt bijgedragen aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Lees verder

Uit 't persbericht: The US PRISM internet surveillance case highlights the urgent need to pass legislation to protect EU citizens' personal data, most MEPs agreed in Wednesday's Civil Liberties Committee debate with Justice Commissioner Viviane Reding. MEPs also called for safeguards for personal data transferred outside the EU.

"The PRISM case was a wake-up call that shows how urgent it is to advance with a solid piece of legislation" on data protection, said Commissioner Reding in her opening remarks. Reporting back on her 14 June meeting with US Attorney General Eric Holder in Ireland, she said: "We agreed to set up a transatlantic group of experts to address concerns".

Lees verder

Brief van de minister betreffende Informatie- en communicatietechnologie (ICT), Kamerstukken II, 2012/13, 26 643, nr. 281.
De minister: Het voorliggende onderzoek geeft veel waardevolle informatie over de omvang, en toename van het maatschappelijke probleem identiteitsfraude. Het beeld is echter niet compleet. Dat burgers in sommige gevallen geen schade ondervinden van identiteitsfraude wil bijvoorbeeld niet zeggen dat er geen schade is. De schade kan ook bij andere (private) partijen liggen.

Om een scherp en coherent beeld te vormen van de aard en omvang van identiteitsfraude, richt ik een integrale monitor identiteit in. Met deze monitor wordt inzicht gecreëerd in het brede domein van identiteitsmanagement. Identiteitsfraude zal hier een prominente positie bij innemen, naast volumegegevens, kwaliteitsgegevens en informatie over de diverse identiteitsketens. De monitor zal een rijksbrede scope hanteren. Het streven is eind 2013 een eerste versie van de monitor uitgevoerd te hebben en van hieruit deze verder te ontwikkelen en de registratie te verbeteren.

Het rapport: PwC, 2013-Update onderzoek 'Omvang van identiteitsfraude en maatschappelijke schade in Nederland'

Prejudiciële vragen gesteld aan HvJ EU 20 maart 201, zaak C-212/13 (Rynes) - dossier
Prejudiciële vragen gesteld door Nejvyšší správní soud, Tsjechische Republiek.
Verzoeker laat een beveiligingsfirma een camerasysteem monteren op de woning die in eigendom is van zijn echtgenote nadat diverse malen onbekenden (die nooit zijn opgespoord) het huis hadden aangevallen en beschadigd. De woning wordt alleen door verzoeker en zijn gezin gebruikt. De opnamen zijn alleen beschikbaar op een harde schijf die continue overschreven wordt (doorlopende lus) en de beelden zijn niet direkt op beeldscherm te bekijken. Alleen verzoeker heeft toegang tot het systeem.

In een oktobernacht wordt opnieuw een aanval uitgevoerd met een katapult. Twee verdachten worden door de camerabeelden geïdentificeerd. Eén van de verdachten brengt de vraag op of verzoeker toestemming heeft om een camerasysteem in werking te hebben, en stelt inbreuk op de Tsjechische ‘wet inzake bescherming persoonsgegevens’.
De Tsjechische autoriteit beschikken in augustus 2008 dat verzoeker inbreuk heeft gemaakt op genoemde wet, met name omdat de camerabeelden een deel van de openbare weg beslaan. Personen die zich in de openbare ruimte begeven is geen toestemming gevraagd voor de opnamen en zij zijn ook niet op de hoogte dat er opnames gemaakt worden. Verzoeker krijgt een geldboete opgelegd.

Zijn bezwaar wordt afgewezen waarna verzoeker in beroep gaat dat ook wordt afgewezen. In hoger beroep overweegt het Hof dat de opname niet enkel was bedoeld voor persoonlijk gebruik door verzoeker, maar tevens was bedoeld om aan de politie te worden overhandigd en vervolgens in strafprocedures te worden gebruikt. Verzoeker gaat in cassatie en hekelt met name de inconsistente toepassing en uitlegging van het in de wet opgenomen begrip “het verwerken van persoonsgegevens voor eigen gebruik”.

Omdat een exacte juridische definitie van het begrip “met uitsluitend persoonlijke of huishoudelijke doeleinden” in het EU-recht ontbreekt stelt de verwijzende Tsjechische rechter het HvJ EU daarom de volgende vraag:

“Kan de werking van een camerasysteem dat is gemonteerd op een gezinswoning, met als doel de bescherming van eigendom, gezondheid en leven van de eigenaars van het huis, worden aangemerkt als het verwerken van persoonsgegevens „die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht” in de zin van artikel 3, lid 2, van richtlijn 95/46/EG (Pb L 281 van 23.11.1995, blz. 31), ofschoon dit systeem ook een openbare ruimte in beeld brengt?”

Rechtbank Overijssel 25 april 2013, LJN BZ8542 (Sexfilmpje via WhatsApp)
Smaadschrift. Belediging. In het openbaar bij afbeelding.
Rechtspraak.nl: De rechtbank Overijssel heeft een 21-jarige man vrijgesproken die er van werd verdacht een filmpje te hebben verspreid via social media zonder toestemming van zijn toenmalige vriendin. In het filmpje zijn het slachtoffer en de verdachte te zien terwijl zij seksuele handelingen verrichten. Verdachte heeft een filmpje met beelden van seksuele handelingen van het slachtoffer naar één andere persoon gestuurd. Daarna is het filmpje onder verschillende personen en in brede kring verspreid. Dat haar door dit alles leed is aangedaan, is duidelijk. De vraag is echter of dit verdachte strafrechtelijk te verwijten is op basis van wat hem in deze zaak wordt tenlastegelegd. Naar het oordeel van de politierechter is dat niet het geval. Verdachte heeft het filmpje maar aan één persoon gestuurd met de bedoeling dat het niet verder zou worden verspreid. De politierechter acht daarom niet bewezen wat aan de verdachte primair en subsidiair is tenlastegelegd.

2. De tenlastelegging
De verdenking komt er kortweg op neer dat verdachte
primair: smaadschrift heeft gepleegd met als slachtoffer [slachtoffer]
subsidiair: [slachtoffer] heeft beledigd,
primair en subsidiair door een filmpje, waarop seksuele gedragingen van [slachtoffer] te zien zijn, met een bericht via ‘WhatsApp’ ten toon te stellen, te verspreiden of naar derden te versturen.

5.4 De conclusie
Samenvattend overweegt de politierechter het volgende. Verdachte heeft een filmpje met beelden van seksuele handelingen van het slachtoffer naar één andere persoon gestuurd. Daarna is het filmpje onder verschillende personen en in brede kring verspreid. Dat haar door dit alles leed is aangedaan, is duidelijk. De vraag is echter of dit verdachte strafrechtelijk te verwijten is op basis van wat hem in deze zaak wordt tenlastegelegd. Naar het oordeel van de politierechter is dat niet het geval. Verdachte heeft het filmpje maar aan één persoon gestuurd met de bedoeling dat het niet verder zou worden verspreid. De politierechter acht daarom niet bewezen wat aan de verdachte primair en subsidiair is tenlastegelegd, zodat zij hem daarvan zal vrijspreken.

Op andere blogs:
Ius Mentis (Seksfilmpje versturen via WhatsApp is geen smaad of belediging)

Vzr. Rechtbank Rotterdam 5 februari 2013, LJN CA1942 (Agens de werkende kracht B.V. tegen G4S Fire & Safety B.V)
Artikel 843A Rv, gewichtige redenen, het recht op bescherming van persoonsgegevens betreft geen absoluut recht zodat niet zonder meer kan worden geconcludeerd dat de geheimhoudingsplicht ex artikel 12 Wpb een gewichtige reden oplevert.

Agens vordert G4S te gebieden om binnen vijf dagen na betekening van het te wijzen vonnis afschriften van alle bescheiden, zowel in digitale als in schriftelijke vorm, die zij in haar bezit heeft aan Agens te verstrekken, althans op een door de voorzieningenrechter te bepalen wijze inzage in de bescheiden te verschaffen. G4S maakt bezwaar tegen afgifte van voorbedoelde medische stukken. G4S wordt bevolen om enkele bescheiden zowel in digitale als in schriftelijke vorm te verstrekken aan Agens.

4.17.   De onder ii. (het oordeel van de bedrijfsarts, als hiervoor bedoeld onder 4.5.), ix., x., xi. en xii. gevorderde bescheiden betreffen medische stukken, althans stukken die medisch gerelateerd zijn, die G4S als voormalig werkgever van [A] onder zich houdt. Met betrekking tot deze bescheiden wordt het volgende overwogen.

 

4.18.  G4S maakt bezwaar tegen afgifte van voorbedoelde medische stukken. Zij voert daartoe aan dat niet zij, maar de verzuimcoördinator en/of de bedrijfsarts van G4S over de stukken beschikt en dat zij deze stukken op grond van het medisch geheim en de Wet bescherming persoonsgegevens niet aan derden mag verstrekken. De voorzieningenrechter begrijpt het verweer van G4S zo dat G4S kennelijk een beroep doet op een beperking van de exhibitieplicht op grond van gewichtige redenen als bepaald in artikel 843a lid 4 Rv. Gewichtige redenen kunnen een weigering van een partij om aan de verplichting te voldoen rechtvaardigen.

 

4.19.  De Wet bescherming persoonsgegevens (“Wbp”) heeft geen exclusieve werking. Het recht op bescherming van persoonsgegevens betreft geen absoluut recht, zodat niet zonder meer kan worden geconcludeerd dat de geheimhoudingsplicht ex artikel 12 Wbp een gewichtige reden in de zin van artikel 843a lid 4 Rv oplevert. De Wpb staat derhalve op zichzelf niet in de weg aan een beroep op artikel 843a Rv.

Bovendien is het bestaan van een wettelijke verplichting tot geheimhouding op zichzelf niet voldoende een weigering om aan de verplichting tot het verstrekken van inlichtingen te voldoen, te rechtvaardigen. Van gewichtige redenen kan slechts sprake kan zijn indien in de concrete omstandigheden van het geval de belangen waarop de geheimhoudingsplicht zich richt, zwaarder wegen dan het zwaarwegende maatschappelijk belang dat in rechte de waarheid aan het licht komt.

 

5.  De beslissing

 

De voorzieningenrechter,

5.1.  veroordeelt G4S om binnen acht dagen na betekening van dit vonnis aan Agens te verstrekken, voor zover mogelijk zowel in digitale als in schriftelijke vorm:

1. de op de arbeidsovereenkomst van [A] betrekking hebbende arbeidsvoorwaardelijke regelingen, waaronder begrepen een arbeidsvoorwaardenreglement, personeelshandboek en/of collectieve arbeidsovereenkomst, voor zover zij deze in haar bezit heeft/kan krijgen;

2. de in de aanvraag voor een ontslagvergunning d.d. 25 juni 2009 vermelde “diverse correspondentie” en “diverse gespreksverslagen”;

3. alle salarisspecificaties die G4S aan [A] gedurende zijn dienstverband, en eventueel nadien, heeft verstrekt;

4. de eindafrekening die G4S aan [A] heeft verstrekt;

5. de pensioenregeling die op [A] van toepassing was;

HvJ EU 30 mei 2013, zaak C-342/12 (Worten) - dossier
Verzoek om een prejudiciële beslissing door  Tribunal do Trabalho de Viseu, Portugal.
Uitlegging van de artikelen 2 en 17, lid 1, van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.  Begrip persoonsgegevens – Gegevens die zijn opgenomen in een systeem voor de registratie van de arbeidstijden van werknemers van een onderneming.

Het Hof verklaart voor recht:

1) Artikel 2, sub a, van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet aldus worden uitgelegd dat een arbeidstijdregister zoals dat in het hoofdgeding, met daarin voor elke werknemer het begin en het einde van de arbeidstijd alsook de bijbehorende onderbrekingen of pauzes, onder het begrip „persoonsgegevens” in de zin van die bepaling valt.

2)      De artikelen 6, lid 1, sub b en c, en 7, sub c en e, van richtlijn 95/46 moeten aldus worden uitgelegd dat zij zich niet verzetten tegen een nationale regeling zoals die in het hoofdgeding, die een werkgever verplicht aan de nationale autoriteit bevoegd voor het toezicht op de arbeidsvoorwaarden een onmiddellijk consulteerbaar arbeidstijdregister ter beschikking te stellen, voor zover deze verplichting noodzakelijk is opdat die autoriteit het haar opgedragen toezicht op de toepassing van de arbeidsvoorwaardenregeling, met name inzake arbeidstijd, kan uitoefenen.

Gestelde vragen:

1)      Dient artikel 2 van richtlijn 95/46 [...] aldus te worden uitgelegd dat de arbeidstijdregistratie – te weten de registratie voor elke werknemer van het begin en het einde van de arbeidstijd alsook de onderbrekingen of pauzes die er geen deel van uitmaken – onder het begrip ,persoonsgegevens’ valt?

2)      Indien de vorige vraag bevestigend wordt beantwoord: is de Portugese Staat krachtens artikel 17, lid 1, van richtlijn 95/46 [...] verplicht om passende technische en organisatorische maatregelen vast te stellen om persoonsgegevens te beveiligen tegen toevallige of onrechtmatige vernietiging, toevallig verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking gepaard gaat met doorzending van gegevens via een netwerk?

3)      Indien ook de vorige vraag bevestigend wordt beantwoord: wanneer de lidstaat geen enkele maatregel neemt overeenkomstig artikel 17, lid 1, van richtlijn 95/46 [...] en de voor de verwerking van voornoemde gegevens verantwoordelijke werkgever een systeem van beperkte toegang tot deze gegevens invoert waarbij de nationale overheid die bevoegd is voor de controle van de arbeidsvoorwaarden, niet automatisch toegang krijgt tot deze gegevens, dient het beginsel van voorrang van het Unierecht dan aldus te worden uitgelegd dat de lidstaat deze werkgever niet kan bestraffen voor een dergelijke handelwijze?”