Menu

Filter op
content
PONT Data&Privacy
  • PONT home
    • molen

    0

    NautaDutilh Jurisprudentie overzicht november

    2 januari 2025

    Jurisprudentie – Samenvattingen

    NautaDutilh

    Onze partner Nautadutilh zal op reguliere basis een jurisprudentieoverzicht aanleveren, waarbij ook iedere keer een aantal zaken nader wordt besproken. Aan de rechterkant is een overzicht te zien van relevante privacyjurisprudentie in de maanden september en oktober. Hieronder lichten Danique Knibbeler en Siebe Been, Privacy & Data Protection advocaten bij NautaDutilh, twee interessante zaken uit. Veel leesplezier!

    Danique Knibbeler  Danique Knibbeler          Siebe Been   Siebe Been

     

    HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834 (Schrems / Meta)

    Achtergrond

    De zaak betreft de verwerking van gevoelige persoonsgegevens door Meta Platforms Ireland Limited (voorheen Facebook Ireland Limited). Maximilian Schrems klaagt het bedrijf aan wegens vermeende onrechtmatige verwerking van zijn persoonsgegevens, waaronder gegevens over zijn seksuele geaardheid en politieke opvattingen. Deze gegevens worden gebruikt voor gepersonaliseerde advertenties zonder zijn expliciete toestemming. De zaak draait om de interpretatie van verschillende artikelen uit de AVG, met name over doelbinding, dataminimalisatie en de verwerking van bijzondere categorieën persoonsgegevens zoals seksuele geaardheid en politieke overtuigingen. Het Hof moet beoordelen of deze verwerkingen rechtmatig zijn zonder expliciete toestemming van de gebruiker.

    Prejudiciële vragen

    1. Moeten artikel 6(1)(a) en (b) AVG zo worden uitgelegd dat de rechtmatigheid van contractuele bepalingen voor gepersonaliseerde advertenties moet worden beoordeeld volgens artikel 6(1)(a) AVG, gelezen met artikel 7 AVG, en niet kan worden vervangen door artikel 6(1)(b) AVG?
    2. Staat artikel 5(1)(c) AVG toe dat alle persoonsgegevens die door een platform zoals Facebook zijn verkregen, zonder tijdsbeperking en zonder onderscheid naar type gegevens mogen worden geaggregeerd, geanalyseerd en verwerkt voor gerichte advertenties?
    3. Valt het verbod op verwerking van bijzondere categorieën van persoonsgegevens in artikel 9(1) AVG ook onder gegevens die kunnen leiden tot het filteren van speciale categorieën zoals politieke opvattingen of seksuele geaardheid, zelfs als de verwerkingsverantwoordelijke zelf geen onderscheid maakt tussen deze soorten gegevens?
    4. Staat artikel 5(1)(b) AVG, gelezen met artikel 9(2)(e) AVG, toe dat een verklaring over iemands seksuele geaardheid tijdens een openbare paneldiscussie leidt tot verwerking van andere gegevens betreffende seksuele geaardheid voor gepersonaliseerde advertenties?

    Antwoord

    De eerste vraag werd ingetrokken door het verwijzende gerecht na de uitspraak in een andere zaak (C-252/21, Meta Platforms en anderen), waardoor deze niet meer relevant was voor beantwoording. De tweede vraag werd beantwoord met de uitleg dat artikel 5(1)(c) AVG zo moet worden uitgelegd dat het principe van dataminimalisatie verhindert dat alle persoonsgegevens die door een verwerkingsverantwoordelijke, zoals de exploitant van een online sociaal netwerkplatform, zijn verkregen (vanuit de betrokkene of derden en verzameld zowel op als buiten dat platform), zonder tijdsbeperking en zonder onderscheid naar type gegevens worden geaggregeerd, geanalyseerd en verwerkt voor gerichte advertenties. De derde vraag werd eveneens ingetrokken door het verwijzende gerecht na de uitspraak in dezelfde zaak (C-252/21, Meta Platforms en anderen). De vierde vraag werd beantwoord met de uitleg dat artikel 9(2)(e) AVG zo moet worden uitgelegd dat het feit dat een persoon tijdens een openbare paneldiscussie een verklaring heeft afgelegd over zijn of haar seksuele geaardheid, niet betekent dat de exploitant van een online sociaal netwerkplatform andere gegevens betreffende die persoons seksuele geaardheid mag verwerken. Dit geldt ook voor gegevens die zijn verkregen via partnerwebsites en apps van derden. Het enkele feit dat iemand publiekelijk informatie over zijn of haar seksuele geaardheid heeft gedeeld, geeft geen toestemming om andere gerelateerde gegevens te verzamelen, te aggregeren en te analyseren voor gepersonaliseerde advertenties op basis van deze grondslag.

    HvJ EU 26 september 2024, C-768/21, ECLI:EU:C:2024:785 (TR / Land Hessen)

    Achtergrond

    Sparkasse, een publieke instelling die ook bankdiensten aanbiedt (verwerkingsverantwoordelijke), meldde op grond van artikel 33 AVG een datalek bij de HBDI, de toezichthouder in Hessen, Duitsland. Een medewerker had zonder toestemming meerdere keren de persoonsgegevens van klant TR (betrokkene) geraadpleegd. De verwerkingsverantwoordelijke achtte dat deze inbreuk waarschijnlijk geen hoog risico voor de betrokkene zou opleveren vanwege genomen disciplinaire maatregelen en andere voorzorgsmaatregelen. Daarom informeerde de verwerkingsverantwoordelijke de betrokkene niet op grond van artikel 34 AVG. De betrokkene werd echter bij toeval op de hoogte gebracht van het feit dat zijn persoonsgegevens onrechtmatig waren ingezien en diende een klacht in bij de HBDI over het niet informeren over de inbreuk. De HBDI stelde dat er geen inbreuk was gemaakt op artikel 34 AVG omdat de risicobeoordeling door de verwerkingsverantwoordelijke niet kennelijk onjuist was. Er werden geen corrigerende maatregelen genomen tegen Sparkasse. De betrokkene diende vervolgens beroep in bij de Administratieve Rechtbank met het verzoek om maatregelen te nemen tegen Sparkasse.

    Prejudiciële vraag

    Moeten artikel 57(1)(a) en (f), artikel 58(2)(a) t/m (j) jo. artikel 77(1) AVG aldus worden uitgelegd dat de toezichthoudende autoriteit altijd verplicht is om op te treden overeenkomstig artikel 58(2) AVG wanneer zij vaststelt dat een gegevensverwerking inbreuk maakt op de rechten van de betrokkene?

    Antwoord

    Bij de uitlegging van Unierechtelijke bepalingen moet rekening worden gehouden met hun bewoordingen, context en doelstellingen. Nationale toezichthoudende autoriteiten zijn belast met toezicht op naleving van regels inzake bescherming van persoonsgegevens (artikel 8(3) Handvest, artikelen 51(1) en 57(1)(a) AVG). Artikel 57(1)(f) AVG vereist dat klachten overeenkomstig artikel 77(1) AVG worden behandeld. Artikel 58(1) AVG verleent ruime onderzoeksbevoegdheden aan toezichthouders. Bij schendingen moeten zij gepast reageren om ontoereikendheid te verhelpen, waarbij elke maatregel passend, noodzakelijk en evenredig moet zijn. Artikel 58(2) AVG geeft toezichthouders beoordelingsmarge bij het kiezen van passende middelen om schendingen te verhelpen. Wat betreft administratieve geldboeten bepaalt artikel 83(2) AVG dat deze afhankelijk zijn van omstandigheden per geval en naast of in plaats van andere maatregelen kunnen worden opgelegd. Toezichthouders moeten factoren zoals aard, ernst en duur van schendingen meewegen. Noch uit artikel 58(2) AVG, noch uit artikel 83 AVG volgt een verplichting voor toezichthouders om altijd corrigerende maatregelen of boetes op te leggen bij vaststelling van schendingen; dit is alleen verplicht als dit passend, noodzakelijk en evenredig is. In casu heeft Sparkasse de HBDI geïnformeerd over een ongeoorloofde toegang tot persoonsgegevens door een werknemer en aangegeven disciplinaire maatregelen te hebben genomen. De HBDI besloot af te zien van corrigerende maatregelen of boetes onder artikel 58(2) AVG. Het is aan de verwijzende rechter om na te gaan of de HBDI zorgvuldig handelde binnen haar beoordelingsmarge.

    Artikel delen

    Jurisprudentie samenvatting

    Relevante privacyjurisprudentie in de maanden september en oktober, telkens in chronologische volgorde. Rechten van betrokkenen:

    Een bestuursorgaan moet volgens de AVG alle gevraagde gegevens verstrekken bij een inzageverzoek. Als het bestuursorgaan stelt dat een document niet (meer) onder hem berust, moet de verzoeker aantonen dat dit wel zo is. Het onleesbaar maken van gegevens (lakken) is toegestaan, mits dit de rechten van de betrokkene niet belemmert. Een bestuursorgaan voldoet aan een inzageverzoek wanneer het de gevraagde persoonsgegevens verstrekt die onder zijn beheer vallen. Gegevens die niet onder het verzoek vallen of die bij een ander bestuursorgaan berusten, hoeven niet te worden verstrekt. Een voormalige werknemer heeft geen recht heeft op inzage in de adviesaanvraag van de werkgever aan een derde en het daaropvolgende advies over een arbeidsgeschil dat gericht is aan de rechtbank. Dit recht kan worden beperkt om de rechten en vrijheden van anderen (waaronder ook de verwerkingsverantwoordelijke) te beschermen ingevolge art. 23(1)(i) AVG en art. 41(1)(i) UAVG. Bezwaar art. 21 AVG en verwijderingsverzoeken art. 17 AVG zijn afgewezen. De registratie in de gebeurtenissenadministratie en het IVR is rechtmatig; de bank heeft een gerechtvaardigd belang op grond van art. 6(1)(f) AVG dat voldoende uiteen is gezet omdat de registraties dienen ter bescherming van de integriteit in de financiële sector. Er is niet aangevoerd waarom de registratieduur van acht jaar conform het Pifi-protocol niet proportioneel zou zijn, waardoor de registratietermijn niet wordt verkort. Het rectificatieverzoek op grond van art. 16 AVG is afgewezen omdat dit verzoek namelijk niet kan worden ingeroepen als persoonsgegevens onjuist of onvolledig zijn, tenzij deze onjuistheid objectief is vast te stellen. Het recht is niet bedoeld om meningen, onderzoeksresultaten, indrukken en conclusies te corrigeren en strekt ook niet tot aanvulling van documenten. De rechtbank oordeelde dat de "hit" van het Transactie Monitoringssysteem geen geautomatiseerd besluit was volgens art. 22 AVG, dus de bank hoefde geen inzage te geven over de onderliggende logica (art. 15(1)(h) AVG). Na de "hit" vond een onderzoek door medewerkers plaats, wat menselijke tussenkomst inhield. Het inzageverzoek op grond van art. 41(1)(d) UAVG werd afgewezen omdat het belang van de bank om aan Wwft-verplichtingen te voldoen zwaarder woog dan het belang van verzoeker. De betrokkene had al inzage in zijn betalingstransacties en wist dat een betalingstransactie aanleiding was voor het onderzoek, wat voldoende toelichting was volgens de rechtbank. De rechtbank oordeelde dat hulpverleningstaken van de politie onder de Wpg vallen omdat ze niet goed te onderscheiden zijn van andere politietaken. De grens tussen handhaving en hulpverlening is vaag en kan overlappen. Hierdoor kan de betrokkene geen inzageverzoek op grond van de AVG doen.
    AVG-beginselen: Art. 6(1)(f) AVG moet zo worden uitgelegd dat een commercieel belang een gerechtvaardigd belang kan zijn, maar alleen wanneer stap 2 en 3 ook worden gehaald. Dit betekent dat alleen die persoonsgegevens verwerkt mogen worden die strikt noodzakelijk zijn voor de behartiging van de gerechtvaardigde belangen, en de belangen, fundamentele vrijheden en grondrechten van de betrokkene in het licht van alle relevante omstandigheden niet zwaarder wegen dan dat gerechtvaardigd belang. Art. 6(1)(f) AVG vereist niet dat een dergelijk belang bij wet wordt bepaald maar vereist wel dat het aangevoerde belang rechtmatig is. Het beginsel van minimale gegevensverwerking volgens art. 5(1)(c) AVG verzet zich tegen onbeperkte verwerking van persoonsgegevens voor gerichte reclame. Daarnaast staat art. 9(2)(e) AVG niet toe dat een sociale mediaplatform exploitant andere gegevens over iemands seksuele geaardheid verwerkt. De enkele omstandigheid dat een vennoot niet persoonlijk aansprakelijk is en slechts aansprakelijk is tot het geringe bedrag van zijn inbreng, volstaat niet automatisch om te concluderen dat hij een gerechtvaardigd belang heeft om informatie over alle vennoten met indirecte deelnemingen te verkrijgen. De noodzaak voor dergelijke gegevensverwerking moet objectief onontbeerlijk zijn voor contractuele prestaties (art. 6(1)(b) AVG) of strikt noodzakelijk voor gerechtvaardigde belangen waarbij alternatieven overwogen moeten worden (art. 6(1)(f) AVG). Schade: Eisers moeten zowel het bestaan van schade (materieel of immaterieel) als een oorzakelijk verband met de inbreuk bewijzen. Een verontschuldiging kan volstaan voor immateriële schade indien deze de schade volledig compenseert. De houding en motivatie van de gegevensbeheerder (bijvoorbeeld goede bedoelingen of positieve houding) kunnen de compensatie niet verminderen; alleen de omvang van de door de inbreuk veroorzaakte schade is van belang. Een kort verlies van controle over persoonsgegevens kan immateriële schade veroorzaken indien deze schade wordt aangetoond. Een advies van een toezichthoudende autoriteit volgens art. 58(3)(b) AVG vrijwaart een verwerkingsverantwoordelijke niet van aansprakelijkheid op grond van art. 82(2) AVG. Dit artikel voorziet in een regeling inzake schuldaansprakelijkheid waarbij de bewijslast niet ligt bij de persoon die schade heeft geleden, maar bij de verwerkingsverantwoordelijke. Deze moet aantonen dat hij op geen enkele wijze verantwoordelijk is voor het voorval dat de schade heeft veroorzaakt om vrijgesteld te worden van aansprakelijkheid. Adviezen van een toezichthoudende autoriteit vallen daarnaast onder de adviserende bevoegdheden en hebben geen juridische gevolgen. Overweging 143 AVG bevestigt dat het recht op een doeltreffende voorziening in rechte geen betrekking heeft op niet-bindende maatregelen zoals adviezen of aanbevelingen van de toezichthoudende autoriteit. Varia: De boete voor het niet uitvoeren van een DPIA door de politie blijft in stand. De rechtbank accepteerde overmacht door COVID-19 niet als rechtvaardiging omdat de politie wel tijd had om een pré-DPIA uit te voeren, wat aantoonde dat er tijd en middelen waren om ook een volledige DPIA uit te voeren. Daarom vond de rechtbank dat er geen sprake was van een onhoudbare situatie die het nalaten van de DPIA rechtvaardigde. Hoofdstuk VIII AVG verhindert niet dat nationale wetgeving concurrenten toestaat civiele rechtszaken aan te spannen voor inbreuken op gegevensbescherming. Daarnaast vormen gegevens die klanten invoeren bij het online bestellen van uitsluitend apotheekmedicijnen, zoals hun naam, afleveradres en productdetails, gezondheidsgegevens. Dit geldt zelfs als er geen recept nodig is en ongeacht of het de gebruiker of een andere persoon betreft. Nationale regels mogen autoriteiten toegang geven tot gegevens op een mobiele telefoon voor strafrechtelijke doeleinden, mits ze de misdrijven nauwkeurig definiëren, het evenredigheidsbeginsel respecteren en voorafgaande toetsing door een rechter vereisen. Betrokkenen moeten geïnformeerd worden zodra dit mogelijk is. Toezichthoudende autoriteiten zijn niet altijd verplicht corrigerende maatregelen of boetes op te leggen bij een inbreuk, mits dergelijke acties niet passend, noodzakelijk of evenredig zijn.

    Word lid van PONT | Data & Privacy

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2025 Berghauser Pont | Website gemaakt door Buro Zero