ICT - TIC - Privacy  

Grondwettelijk Hof 14 januari 2021, IEFbe 3185; nr. 2/2021 (Parti Libertarien, Liga voor Mensenrechten en Ligue des droits humains) Door meerdere partijen, waaronder de Parti Libertarien en de Liga voor Mensenrechten, is een verzoekschrift ingediend bij het Hof ter vernietiging van artikel 27 van de wet dat voorziet in het integreren van het digitale beeld van vingerafdrukken in de identiteitskaart. Het Hof verwerpt het verzoek. De inmenging in het recht op eerbiediging van het privéleven en op bescherming van persoonsgegevens wordt volgens het Hof gerechtvaardigd door het doel identiteitsfraude te bestrijden. De waarborgen omtrent de maatregel zorgen ervoor dat er geen onevenredige gevolgen zijn voor de rechten van de betrokken personen. De vingerafdrukken van de houders van een identiteitskaart worden niet in een centraal register doorgevoerd en de autoriteiten die toegang hebben tot deze gegevens zijn limitatief. Ter beveiliging van de gegevens staat het aan de uitvoerende macht om hiervoor de benodigde maatregelen te nemen. Verder acht het Hof het niet nodig om prejudiciële vragen te stellen aan het Europees Hof van Justitite over de geldigheid van de Europese verordening, die voorziet in een soortgelijke maatregel op Europees niveau.

HvJ EU 15 september 2020, IT 3249, IEFbe 3123; ECLI:EU:C:2020:708 (Telenor) Telecommunicatierecht. Zie eerder [IT 2728]. Telenor is een aanbieder van internettoegangsdiensten. Telenor biedt aan haar klanten twee soorten pakketten aan, die – afhankelijk van welke versie je kiest – een bepaalde hoeveelheid data bieden en daarnaast onbeperkt gebruik van bepaalde apps bieden. Het Hof legt voor het eerst de verordening 2015/2120 uit waarin de ‘neutraliteit van het internet’ is verankerd. Artikel 3 verordening 2015/2120 moet aldus worden uitgelegd dat dergelijke pakketten onverenigbaar zijn met lid 2, gelezen in samenhang met lid 1 van dit artikel, voor zover deze pakketten de uitoefening van de rechten van eindgebruikers beperken, en onverenigbaar zijn met lid 3 van dat artikel, voor zoveel de blokkerings- of vertragingsmaatregelen berusten op commerciële overwegingen.

HvJ EU 16 juli 2020, IT 3191, IEF 19327, IEFbe 3106; C-311/18 (Schrems tegen Facebook) Privacyrecht. Vandaag heeft het Europees Hof van Justitie geoordeeld in een van de meest verwachte zaken over privacy en gegevensbescherming sinds tijden. Schrems heeft als Facebookgebruiker Facebook Ierland aangesproken voor het doorgeven van persoonsgegevens aan Facebook Verenigde Staten. Hij heeft de Ierse toezichthouder verzocht om deze doorgiften te verbieden. Hiertoe voerde hij aan dat het recht van de Verenigde Staten en de gangbare praktijk geen waarborgen bieden voor voldoende bescherming tegen de toegang door de overheid tot de naar dit land doorgestuurde gegevens. Deze klacht werd afgewezen, omdat de Commissie in een beschikking had vastgesteld dat de Verenigde Staten wel een passend beschermingsniveau waarborgden. In 2015 heeft het Europees Hof van Justitie deze beschikking ongeldig verklaard, waardoor de Ierse rechter de afwijzing van de klacht van Schrems nietig verklaarde. De Ierse toezichthouder verzocht Schrems zijn klacht te herformuleren. In de hergeformuleerde klacht verzoekt Schrems de doorgifte van zijn persoonsgegevens vanuit de Unie naar de Verenigde Staten - die Facebook ondertussen uitvoert op grond van bepalingen uit de bijlage bij besluit 2020/87 - op te schorten of voor de toekomst te verbieden. De Ierse rechter vraagt aan het Europees Hof van Justitie of besluit 2010/87 en 2016/1250 geldig zijn. Vandaag heeft het Hof van Justitie in zijn arrest gesteld dat bij de toetsing van besluit 2010/87 aan het Handvest van de grondrechten van de Europese Unie niet is gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten. Besluit 2016/1250 wordt daarentegen ongeldig verklaard. Daarnaast wijst het Hof erop dat een doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde onderneming naar een andere in een derde land gevestigde onderneming, niet kan worden uitgesloten van de werkingssfeer van de verordening. Bij een dergelijke doorgifte moet een beschermingsniveau worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest. Toezichthoudende autoriteiten zijn, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, verplicht om een doorgifte naar een derde land op te schorten of te verbieden wanneer zij - gelet op alle omstandigheden - van oordeel zijn dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde exporteur de doorgifte niet zelf heeft opgeschort of beëindigd.

De Grote Kamer van het EHRM 17 oktober 2019, IT 3082, IEFbe 3057(Lopez Ribalda/Spanje) Een supermarktmanager had middels een verborgen camera winkelmedewerkers gefilmd op verdenking van diefstal. De medewerkers bekenden schuld, waarna zij werden ontslagen. De medewerkers waren van mening dat hun privacy was geschonden en wendden zich tot het EHRM. In hun eerste arrest van 9 januari 2018 werd geoordeeld dat het recht op privacy van de ontslagen werknemers is geschonden. De Spaanse regering was het niet eens met de beslissing van het EHRM en verzocht om een verwijzing van de zaak naar de Grote Kamer.

Het eerdere arrest van het EHRM is vernietigd. Op haar oordeel dat de privacy van de ontslagen werknemers niet geschonden is, heeft de Grote Kamer onder andere ten grondslag gelegd dat:

(i)                  de video-surveillance slechts op een deel van de winkel zag,
(ii)                de duur van de surveillance van 10 dagen niet langer was dan noodzakelijk om de diefstal aan het licht te brengen,
(iii)               de verdenking zag op ernstig wangedrag, en
(iv)               er gefilmd werd in een openbare ruimte en niet in een toilet of kleedkamer.

HvJ EU 3 oktober 2019, IT 2887, IEFbe 2959; ECLI:EU:V:2019:821 (Glawischnig-Piesczek tegen Facebook) Naar aanleiding van een artikel van een Oostenrijks online-magazine, dat via een persoonlijk Facebook-account door een gebruiker is gedeeld en waarin het beleid van “die Grünen“ werd afgekeurd, vordert Glawschig-Piesczek (fractievoorzitter voor “die Grünen“ in de Oostenrijkse Nationalrat) verwijdering van het commentaar en daarmee overeenstemmende uitlatingen door Facebook, omdat het haar eer aantast. Overeenkomstig de richtlijn inzake elektronische handel is het verboden om de hostingprovider een algemene verplichting op te leggen om toezicht te houden op door hen opgeslagen informatie of actief naar aanwijzingen voor onwettige activiteiten te zoeken. Niet verboden is het om een hostingprovider te gelasten informatie te verwijderen dan wel de toegang daartoe onmogelijk te maken, die: (i)  identiek is aan eerder onwettig verklaarde informatie, (ii) inhoudelijk overeenstemt met eerder onwettig verklaarde informatie, mits het toezicht op en het onderzoek van de informatie op grond van een dergelijk bevel is beperkt tot boodschap overbrengende informatie waarvan de inhoud in wezen gelijk blijft aan de onwettig verklaarde inhoud, (iii) wereldwijd toegankelijk is, behoudens de grenzen van het relevante internationale recht waarmee de lidstaten rekening moeten houden.

HvJ EU 24 september 2019, IEF 18704, IT 2878, IEFbe 2953; ECLI:EU:C:2019:773 (Verzoekers tegen CNIL) Eisers hebben elk een verzoek bij Google ingediend tot verwijdering van links naar webpagina’s van derden. Die links worden in de resultatenlijst van de Google-zoekmachine weergegeven wanneer een zoekopdracht op de respectievelijke namen van eisers wordt verricht. Google heeft dit geweigerd en ook het CNIL heeft vervolgens de vorderingen om Google op grond hiervan aan te manen, afgewezen.
De exploitant is in beginsel verplicht tot inwilliging van verzoeken tot verwijdering van links naar webpagina’s die onder de genoemde categorieën vallende persoonsgegevens bevatten. In gevallen die zijn uitgezonderd in de richtlijn 95/46, kan de inwilliging van een dergelijk verzoek wel worden geweigerd, mits er is voldaan aan alle andere rechtmatigheidsvoorwaarden uit de richtlijn, behoudens bijzondere situaties waarin de betrokkene in verzet mag gaan. Er moet worden nagegaan of de opname van een link in de resultatenlijst, weergegeven na een zoekopdracht op de naam van deze betrokken, strikt noodzakelijk blijkt met het oog op de bescherming van het recht op vrijheid van informatie van de mogelijk geïnteresseerde internetgebruikers.
Wanneer informatie inzake gerechtelijke procedures niet langer overeenkomt met de actuele situatie, is de exploitant verplicht tot verwijdering van de links in kwestie. Mits vaststaat dat de gewaarborgde grondrechten van de betrokkene zwaarder wegen dan het recht op informatie van geïnteresseerde internetgebruikers.

HvJ EU 29 juli 2019, IEF 18628; IEFbe 2922; IT 2832; ECLI:EU:C:2019:629 (Fashion ID tegen Verbraucherzentrale) Privacy. Fashion ID exploiteert een webshop. Op haar website heeft zij de 'like' knop van Facebook overgenomen. Dit heeft tot gevolg dat de persoonsgegevens van bezoekers die de internetsite van Fashion ID raadplegen, worden doorgezonden aan Facebook Ireland. Deze gegevens blijken te worden doorgezonden zonder dat die bezoekers zich daarvan bewust zijn en ongeacht of zij al dan niet lid zijn van het sociaal netwerk Facebook of op de vind-ik-leukknop hebben geklikt. De Duitse rechter wenst van het Hof te vernemen of ook Fashion ID verantwoordelijk kan worden gehouden voor de verwerking van deze gegevens, en in welke gevallen dit wel of niet kan. Beantwoording door het Hof:

Conclusie AG HvJ EU 30 april 2019, IT 2777; IEFbe 2883; ECLI:EU:C:2019:336; C-390/18 (AirBnB) Het aanbieden van een dienst bestaande uit het koppelen, via een electronisch platform, van potentiële gasten met hosts voor korte-termijn accommodatie waarbij de dienstverlener geen controle heeft over de procedures bij die dienst, maakt dat het een dienst is van de informatiemaatschappij. Een lidstaat kan geen beperkingen opleggen die het vrij verkeer van deze dienst.

Prejudicieel gestelde vragen aan HvJ EU 14 februari 2019, IT 2729; IEF 2855; C-796/18 (Informatikgesellschaft für Software-Entwicklung) via MinBuza: De stad Keulen is in 2016 op zoek gegaan naar nieuwe software voor het meldkamersysteem van haar beroepsbrandweer. Zij keek hiervoor onder andere naar de door de deelstaat Berlijn gebruikte software IGNIS Plus van Sopra Steria Consulting GmbH (hierna: “SSC”). De overeenkomst tussen Berlijn en SCC laat toe dat Berlijn de software IGNIS Plus kosteloos doorgeeft aan andere overheidsinstanties met veiligheidstaken (hierna: “BOS”). De stad Keulen en de deelstaat Berlijn sluiten overeenkomsten betreffende een kosteloze langdurige terbeschikkingstelling en gebruik van de software IGNIS Plus. Informatikgesellschaft für Software-Entwicklung (ISE), dat voor BOS software ontwikkelt en te koop aanbiedt, vordert nietigverklaring van de overeenkomsten. Zij stelt dat de overeenkomsten tussen de stad Keulen en de deelstaat Berlijn, die een juridische eenheid vormen, zijn onderworpen aan het aanbestedingsrecht en dat de verwerving daarom Europabreed diende te worden aanbesteed.

Conclusie AG HvJ EU 21 maart 2019, IT 2730; IEFbe 2852; ECLI:EU:C:2019:246; C-673/17 (Planet49) Verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie. Cookies. Toestemming. Daadwerkelijke toestemming middel van een vooraf ingesteld selectievakje. Conclusie AG:

(1)      There is no valid consent within the meaning of Articles 5(3) and 2(f) (...Directive on privacy and electronic communications), read in conjunction with Article 2(h) of [Directive 95/46/EC] and on the free movement of such data in a situation such as that of the main proceedings where the storage of information, or access to information already stored in the user’s terminal equipment, is permitted by way of a pre-ticked checkbox which the user must deselect to refuse his consent and where consent is given not separately but at the same time as confirmation in the participation in an online lottery.