Relevante privacyjurisprudentie in de maanden september en oktober, telkens in chronologische volgorde.

Rechten van betrokkenen:

• Raad van State 23 oktober 2024, ECLI:NL:RVS:2024:4279

Een bestuursorgaan moet volgens de AVG alle gevraagde gegevens verstrekken bij een inzageverzoek. Als het bestuursorgaan stelt dat een document niet (meer) onder hem berust, moet de verzoeker aantonen dat dit wel zo is. Het onleesbaar maken van gegevens (lakken) is toegestaan, mits dit de rechten van de betrokkene niet belemmert.

• Raad van State 23 oktober 2024, ECLI:NL:RVS:2024:4267

Een bestuursorgaan voldoet aan een inzageverzoek wanneer het de gevraagde persoonsgegevens verstrekt die onder zijn beheer vallen. Gegevens die niet onder het verzoek vallen of die bij een ander bestuursorgaan berusten, hoeven niet te worden verstrekt.

• Hoge Raad 4 oktober 2024, ECLI:NL:HR:2024:1372

Een voormalige werknemer heeft geen recht heeft op inzage in de adviesaanvraag van de werkgever aan een derde en het daaropvolgende advies over een arbeidsgeschil dat gericht is aan de rechtbank. Dit recht kan worden beperkt om de rechten en vrijheden van anderen (waaronder ook de verwerkingsverantwoordelijke) te beschermen ingevolge art. 23(1)(i) AVG en art. 41(1)(i) UAVG.

• Rechtbank Amsterdam 18 september 2024, ECLI:NL:RBAMS:2024:5791

Bezwaar art. 21 AVG en verwijderingsverzoeken art. 17 AVG zijn afgewezen. De registratie in de gebeurtenissenadministratie en het IVR is rechtmatig; de bank heeft een gerechtvaardigd belang op grond van art. 6(1)(f) AVG dat voldoende uiteen is gezet omdat de registraties dienen ter bescherming van de integriteit in de financiële sector. Er is niet aangevoerd waarom de registratieduur van acht jaar conform het Pifi-protocol niet proportioneel zou zijn, waardoor de registratietermijn niet wordt verkort.

• Rechtbank Den Haag 10 september 2024, ECLI:NL:RBDHA:2024:15565

Het rectificatieverzoek op grond van art. 16 AVG is afgewezen omdat dit verzoek namelijk niet kan worden ingeroepen als persoonsgegevens onjuist of onvolledig zijn, tenzij deze onjuistheid objectief is vast te stellen. Het recht is niet bedoeld om meningen, onderzoeksresultaten, indrukken en conclusies te corrigeren en strekt ook niet tot aanvulling van documenten.

• Rechtbank Den Haag 9 september 2024, ECLI:NL:RBDHA:2024:14477

De rechtbank oordeelde dat de "hit" van het Transactie Monitoringssysteem geen geautomatiseerd besluit was volgens art. 22 AVG, dus de bank hoefde geen inzage te geven over de onderliggende logica (art. 15(1)(h) AVG). Na de "hit" vond een onderzoek door medewerkers plaats, wat menselijke tussenkomst inhield. Het inzageverzoek op grond van art. 41(1)(d) UAVG werd afgewezen omdat het belang van de bank om aan Wwft-verplichtingen te voldoen zwaarder woog dan het belang van verzoeker. De betrokkene had al inzage in zijn betalingstransacties en wist dat een betalingstransactie aanleiding was voor het onderzoek, wat voldoende toelichting was volgens de rechtbank.

• Rechtbank Zeeland-West-Brabant 3 september 2024, ECLI:NL:RBZWB:2024:6385

De rechtbank oordeelde dat hulpverleningstaken van de politie onder de Wpg vallen omdat ze niet goed te onderscheiden zijn van andere politietaken. De grens tussen handhaving en hulpverlening is vaag en kan overlappen. Hierdoor kan de betrokkene geen inzageverzoek op grond van de AVG doen.

AVG-beginselen:

• HvJ EU 4 oktober 2024, ECLI:EU:C:2024:857

Art. 6(1)(f) AVG moet zo worden uitgelegd dat een commercieel belang een gerechtvaardigd belang kan zijn, maar alleen wanneer stap 2 en 3 ook worden gehaald. Dit betekent dat alleen die persoonsgegevens verwerkt mogen worden die strikt noodzakelijk zijn voor de behartiging van de gerechtvaardigde belangen, en de belangen, fundamentele vrijheden en grondrechten van de betrokkene in het licht van alle relevante omstandigheden niet zwaarder wegen dan dat gerechtvaardigd belang. Art. 6(1)(f) AVG vereist niet dat een dergelijk belang bij wet wordt bepaald maar vereist wel dat het aangevoerde belang rechtmatig is.

• Uitgelicht: HvJ EU 4 oktober 2024, ECLI:EU:C:2024:834

Het beginsel van minimale gegevensverwerking volgens art. 5(1)(c) AVG verzet zich tegen onbeperkte verwerking van persoonsgegevens voor gerichte reclame. Daarnaast staat art. 9(2)(e) AVG niet toe dat een sociale mediaplatform exploitant andere gegevens over iemands seksuele geaardheid verwerkt.

• HvJ EU 12 september 2024, ECLI:EU:C:2024:738

De enkele omstandigheid dat een vennoot niet persoonlijk aansprakelijk is en slechts aansprakelijk is tot het geringe bedrag van zijn inbreng, volstaat niet automatisch om te concluderen dat hij een gerechtvaardigd belang heeft om informatie over alle vennoten met indirecte deelnemingen te verkrijgen. De noodzaak voor dergelijke gegevensverwerking moet objectief onontbeerlijk zijn voor contractuele prestaties (art. 6(1)(b) AVG) of strikt noodzakelijk voor gerechtvaardigde belangen waarbij alternatieven overwogen moeten worden (art. 6(1)(f) AVG).

Schade:

• HvJ EU 4 oktober 2024, ECLI:EU:C:2024:854

Eisers moeten zowel het bestaan van schade (materieel of immaterieel) als een oorzakelijk verband met de inbreuk bewijzen. Een verontschuldiging kan volstaan voor immateriële schade indien deze de schade volledig compenseert. De houding en motivatie van de gegevensbeheerder (bijvoorbeeld goede bedoelingen of positieve houding) kunnen de compensatie niet verminderen; alleen de omvang van de door de inbreuk veroorzaakte schade is van belang.

• HvJ 4 oktober 2024, ECLI:EU:C:2024:827

Een kort verlies van controle over persoonsgegevens kan immateriële schade veroorzaken indien deze schade wordt aangetoond. Een advies van een toezichthoudende autoriteit volgens art. 58(3)(b) AVG vrijwaart een verwerkingsverantwoordelijke niet van aansprakelijkheid op grond van art. 82(2) AVG. Dit artikel voorziet in een regeling inzake schuldaansprakelijkheid waarbij de bewijslast niet ligt bij de persoon die schade heeft geleden, maar bij de verwerkingsverantwoordelijke. Deze moet aantonen dat hij op geen enkele wijze verantwoordelijk is voor het voorval dat de schade heeft veroorzaakt om vrijgesteld te worden van aansprakelijkheid. Adviezen van een toezichthoudende autoriteit vallen daarnaast onder de adviserende bevoegdheden en hebben geen juridische gevolgen. Overweging 143 AVG bevestigt dat het recht op een doeltreffende voorziening in rechte geen betrekking heeft op niet-bindende maatregelen zoals adviezen of aanbevelingen van de toezichthoudende autoriteit.

Varia:

• Rechtbank Den Haag 8 oktober 2024, ECLI:NL:RBDHA:2024:16324

De boete voor het niet uitvoeren van een DPIA door de politie blijft in stand. De rechtbank accepteerde overmacht door COVID-19 niet als rechtvaardiging omdat de politie wel tijd had om een pré-DPIA uit te voeren, wat aantoonde dat er tijd en middelen waren om ook een volledige DPIA uit te voeren. Daarom vond de rechtbank dat er geen sprake was van een onhoudbare situatie die het nalaten van de DPIA rechtvaardigde.

• HvJ EU 4 oktober 2024, ECLI:EU:C:2024:846

Hoofdstuk VIII AVG verhindert niet dat nationale wetgeving concurrenten toestaat civiele rechtszaken aan te spannen voor inbreuken op gegevensbescherming. Daarnaast vormen gegevens die klanten invoeren bij het online bestellen van uitsluitend apotheekmedicijnen, zoals hun naam, afleveradres en productdetails, gezondheidsgegevens. Dit geldt zelfs als er geen recept nodig is en ongeacht of het de gebruiker of een andere persoon betreft.

• HvJ EU 4 oktober 2024, ECLI:EU:C:2024:830

Nationale regels mogen autoriteiten toegang geven tot gegevens op een mobiele telefoon voor strafrechtelijke doeleinden, mits ze de misdrijven nauwkeurig definiëren, het evenredigheidsbeginsel respecteren en voorafgaande toetsing door een rechter vereisen. Betrokkenen moeten geïnformeerd worden zodra dit mogelijk is.

• Uitgelicht: HvJ EU 26 september 2024, ECLI:EU:C:2024:785

Toezichthoudende autoriteiten zijn niet altijd verplicht corrigerende maatregelen of boetes op te leggen bij een inbreuk, mits dergelijke acties niet passend, noodzakelijk of evenredig zijn.