ICT - TIC - Privacy  

On 28 November 2016, the Council agreed on a draft regulation to ban unjustified geo-blocking between member states. Geo-blocking is a discriminatory practice that prevents online customers from accessing and purchasing products or services from a website based in another member state. The draft regulation is intended to remove discrimination based on customers' nationality, place of residence or place of establishment and to boost e-commerce. Lees verder

HvJ EU 18 oktober 2016, zaak C‑582/14; IT 2155; IEFBE 1968 (Patrick Breyer tegen Bundesrepublik Deutschland) Verwerking van persoonsgegeven. In deze zaak gaat het om de vraag of dynamische IP‑adressen een persoonsgegeven zijn in de zin van artikel 2, onder a), van richtlijn 95/46/EG. Voor het antwoord daarop moet eerst worden bepaald hoe relevant het daarvoor is dat de aanvullende gegevens die nodig zijn voor de identificatie van de gebruiker, niet in het bezit zijn van de eigenaar van de website, maar van een derde (concreet, de internetprovider).
HvJ EU: In het vandaag uitgesproken arrest antwoordt het Hof in de eerste plaats dat een dynamisch IP- adres dat door een „aanbieder van onlinemediadiensten” (dat wil zeggen door de exploitant van een website, in casu de Duitse federale instellingen) wordt geregistreerd telkens als zijn voor het publiek toegankelijke website wordt bezocht, ten aanzien van de exploitant een persoonsgegeven vormt wanneer deze over wettige middelen beschikt waarmee hij de bezoeker kan identificeren aan de hand van extra informatie die bij diens internetprovider berust.

Prejudicieel gestelde vragen aan HvJ EU 29 juli 2016; IT 2140; IEFbe 1942; C-434/16 (X tegen Data Protection Commissioner) Verzoeker volgt een opleiding voor accountant bij het Institute of Chartered Accountants of Ireland (CAI). Dit verloopt voorspoedig, behalve een (‘open boek’-)examen Strategic Finance and Management Accounting (SFMA) waarvoor hij vier maal zakt. Na die vierde keer (najaar 2009) probeert hij de uitslag aan te vechten maar besluit dan (mei 2010) om een verzoek tot inzage in (al) zijn gegevens in te dienen op grond van de IER (persoons)gegevensbeschermingswetten.

Het CAI geeft stukken vrij maar niet zijn schriftelijk examenwerk omdat dit niet onder het begrip ‘persoonsgegevens’ in de zin van de IER wet valt. Verzoeker neemt dan contact op met de IERaut persoonsgegevens (DPC, verweerster) met verzoek om bijstand, maar ook die geeft verzoeker in juni 2010 te kennen dat wat gegevensbescherming betreft in het algemeen geen rekening wordt gehouden met schriftelijk examenwerk omdat het daarbij doorgaans niet om persoonsgegevens gaat. Op 01-07-2010 dient verzoeker bij DPC een formele klacht in. DPC geeft aan dat, omdat geen sprake is van een wezenlijke schending van de wet er geen reden is om de klacht te onderzoeken. De antwoorden in het ‘open boek’-examen SFMA bevatten naar verwachting geen persoonlijke informatie over verzoeker of enige andere examenkandidaat.

HvJ EU 15 september 2016 IEF 16249; IEFBE 1928; IT 2135; ECLI:EU:C:2016:689 (Tobias Mc Fadden tegen Sony Music Entertainment) Netwerk beveiliging. Vrij verkeer van diensten. Tobias Mc Fadden is de bedrijfsleider van een bedrijf in licht- en geluidstechniek, waar hij het publiek gratis toegang verschaft tot een wifinetwerk om de aandacht van potentiële klanten op zijn waren en diensten te vestigen. In 2010 is een muziekwerk waar Sony de auteursrechten van bezit via dit netwerk illegaal voor het downloaden aan het publiek aangeboden. Het Landgericht München I, waarbij het geding tussen Sony en Mc Fadden aanhangig is, is van oordeel dat de laatstgenoemde niet zelf inbreuk op de betrokken auteursrechten heeft gepleegd. Het verklaart echter te overwegen Mc Fadden voor die inbreuk indirect aansprakelijk te houden omdat zijn wifinetwerk niet beveiligd was. Het Landgericht twijfelt echter over de vraag of de richtlijn inzake elektronische handel zich tegen een dergelijke indirecte aansprakelijkheid verzet en heeft het Hof een aantal vragen voorgelegd.

Conclusie AG HvJ EU 8 september 2016, IT 2116; IEFbe 1917; ECLI:EU:C:2016:652; C-398/15 ; (Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce tegen Salvatore Manni) Voor de verwijzende Italiaanse rechter (Hof van Cassatie) gaat het om de vraag of er op grond van een ‘recht om vergeten te worden’ gegevens die bij wet aan verweerster zijn toevertrouwd, mogen worden gewist, geanonimiseerd, of na zekere tijd afgeschermd. Hij wijst op het belang van het handelsregister voor de rechtszekerheid. De verwijzende rechter verwijst naar de punten 1 en 3 van het dictum in Google Spain en Google, en merkt op dat de toepassing van het door het HvJ vastgestelde beginsel op situaties als die van de onderhavige zaak niet tot gevolg heeft dat de gegevens uit het openbare register worden gewist, maar juist dat er grenzen worden gesteld aan het gebruik van de uit het openbare register verkregen gegevens door anderen die deze gegevens vervolgens zelf verwerken. Hij vraagt zich echter af of Richtlijn 95/46 een maximale duur aan het aanhouden van gegevens stelt.

Conclusie AG:

Gelet op het voorgaande geef ik het Hof in overweging de vragen van de Corte suprema di cassazione te beantwoorden als volgt: „Artikel 2, lid 1, onder d) en j), en artikel 3 van de Eerste richtlijn (68/151/EEG) van de Raad van 9 maart 1968 strekkende tot het coördineren van de waarborgen, welke in de lidstaten worden verlangd van de vennootschappen in de zin van de tweede alinea van artikel 58 van het Verdrag, om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden, zulks ten einde die waarborgen gelijkwaardig te maken, zoals gewijzigd bij richtlijn 2003/58/EG van het Europees Parlement en de Raad van 15 juli 2003, en artikel 6, lid 1, onder e), en artikel 7, onder c), e) en f), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, dienen in het licht van artikel 7 en artikel 8 van het Handvest van de grondrechten van de Europese Unie aldus te worden uitgelegd dat zij zich ertegen verzetten dat in het vennootschapsregister ingeschreven persoonsgegevens na een bepaald tijdsbestek en op verzoek van de betrokken persoon ofwel kunnen worden geschrapt, geanonimiseerd of ontoegankelijk gemaakt, dan wel slechts toegankelijk kunnen zijn voor een beperkte kring van derden die een legitiem belang bij de toegang tot dergelijke gegevens kunnen aantonen.”

Via Droit & Technologies: Cela faisait des mois que les entreprises attendaient ce moment : la Commission a officiellement adopté une décision par laquelle elle reconnaît que le système connu sous le nom de « privacy shield », contient suffisamment de garanties offertes par les États-Unis, et qu'en conséquence ce nouveau système présente un niveau de protection adéquat. Les transferts de données personnelles vers les USA vont donc pouvoir se poursuivre avec plus de sécurité. En savoir plus

Conclusie AG HvJ EU 19 juli  2016, IT 2105; IEFbe 1875; ECLI:EU:C:2016:572; C‑203/15 en C‑698/15 (Tele2 Sverige tegen Post- och telestyrelsen)
Persbericht - Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Nationale wetgeving die voorziet in een algemene verplichting om gegevens over elektronische communicaties te bewaren – Artikel 15, lid 1 ‒ Handvest van de grondrechten van de Europese Unie – Artikel 7 ‒ Recht op eerbiediging van het privéleven – Artikel 8 – Recht op bescherming van persoonsgegevens – Ernstige inmenging – Rechtvaardiging – Artikel 52, lid 1 – Voorwaarden – Legitieme doelstelling van bestrijding van ernstige criminaliteit – Vereiste van een wettelijke grondslag in het nationale recht – Vereiste van strikte noodzakelijkheid – Vereiste van evenredigheid in een democratische samenleving. Conclusie AG:

Artikel 15, lid 1, van richtlijn 2002/58/CE van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn ‚privacy en elektronische communicatie’), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, en de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie moeten aldus worden uitgelegd dat zij zich niet ertegen verzetten dat een lidstaat aanbieders van elektronischecommunicatiediensten verplicht om alle gegevens betreffende de door de gebruikers van hun diensten gevoerde communicaties te bewaren indien is voldaan aan alle hiernavolgende vereisten, hetgeen door de verwijzende rechters moet worden getoetst in het licht van alle relevante kenmerken van de in de hoofdgedingen betrokken nationale regelingen:

Hof van Beroep Brussel 29 juni 2016, IEfbe 1857; IT 2102 (Facebook tegen Privacycommissie)
De beschikking van de Voorzitter van de Nederlandstalige Rechtbank van Eerste Aanleg Brussel [IEFbe 1569] is ongedaan gemaakt. In die zaak vorderde de Privacycommissie dat Facebook veroordeeld zou worden om te stoppen met het registreren via cookies en social plug-ins van het surfgedrag van internetgebruikers uit België die geen Facebook-account hebben. In eerste aanleg was de vordering van de Privacycommissie ingewilligd geweest.

1. Belgische rechtbanken hebben geen internationale rechtsmacht
Het Hof van Beroep oordeelt dat de Belgische rechtbanken geen internationale rechtsmacht hebben voor een procedure ingesteld door de Belgische Privacycommissie tegen Facebook Inc. en Facebook Ireland Limited, omdat er geen enkele wettelijke bepaling is die hen internationale rechtsmacht verleent:

Prejudicieel gestelde vragen aan HvJ EU 25 februari 2016, IEFbe 1807; IT 2073; C-210/16 (Wirtschaftsakademie Schleswig-Holstein)
Gegevensbescherming. Privacy. Via Minbuza: Verzoekster, een privaatrechtelijk georganiseerde onderwijsinstelling, heeft van het ‘Onafhankelijk centrum voor gegevensbescherming van de deelstaat’ (verweerder) op 03-11-2011 opdracht gekregen haar Facebookpagina te deactiveren. Verzoekster maakt via haar ‘fanpage’ bij Facebook Ireland onder meer reclame voor haar onderwijsinstelling. Het aanhouden van ‘fanpages’ geeft de maker onder meer mogelijkheid (via ‘facebook-insights’) geanonimiseerde statistische informatie over gebruikers, bij wie cookies worden geplaatst, te ontvangen. Verzoekster maakt bezwaar maar verweerder bevestigt het besluit, waarna de zaak aan de rechter wordt voorgelegd. Het Verwaltungsgericht vernietigt de beslissing omdat verzoekster geen ‘verantwoordelijk lichaam’ is in de zin van de DUI wet en dan ook geen adressaat van een bevel kan zijn. Verweerders hoger beroep sneuvelt. De zaak ligt nu voor in Revision bij de verwijzende rechter. Verzoekster, ondersteund door medegedaagde Facebook, meent dat zij niet verantwoordelijk is voor gegevensverwerking door Facebook en evenmin voor de geïnstalleerde cookies. Zij heeft daartoe geen opdracht gegeven. Verweerder stelt dat verzoekster door het openen van een ‘fanpage’ wel verantwoordelijk is.

De (Nederlandse) Tweede Kamer komt met vier fiches:
Fiche 1: mededeling digitalisering industrie
Fiche 2: mededeling Europees Cloudinitiatief
Fiche 3: mededeling normalisatieprioriteiten op ICT-gebied voor de digitale eengemaakte markt
Fiche 4: mededeling EU-actieplan inzake e-overheid 2016-2020