Personalia  

HvJEU 4 mei 2023, IT 4477, IEFbe 3717; ECLI:EU:C:2023:370 (UI tegen Österreichische Post) Österreichische Post is een vennootschap die actief is als handelaar in adressen en informatie verzameld over de politieke gezindheid van de Oostenrijkse bevolking. Österreichische Post analyseerde, in het kader van haar werkzaamheden, gegevens van UI en concludeerde dat UI een sterke voorkeur had voor een bepaalde Oostenrijkse politieke partij. UI stelt hierdoor immateriële schade te hebben geleden.

HvJEU 25 januari 2024, IT 4475, IEFbe 3716; ECLI:EU:C:2024:72 (BL tegen MediaMarktSaturn) In deze zaak heeft BL een elektrisch apparaat gekocht van MediaMarktSaturn (hierna: MMS). Hierbij werden verschillende persoonsgegevens verwerkt. Door een fout werden zowel het apparaat als de documenten met persoonsgegevens aan een derde overhandigd. BL stelt hierdoor immateriële schade te hebben geleden.

HvJ EU 21 juni 2022, IT 3986, IEFbe 3489; ECLI:EU:C:2022:491 (Ligue tegen Ministerraad) De Ligue des droits humains (hierna: de Ligue) heeft bij het Grondwettelijk Hof in België beroep ingesteld tot gehele of gedeeltelijke vernietiging van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens. De rechter dient een verzoek in om een prejudiciële beslissing. Door het Hof wordt onder meer geoordeeld dat artikel 2, lid 2 onder d en artikel 23 AVG zo moeten worden uitgelegd dat de AVG van toepassing is op de verwerking van persoonsgegevens die wordt voorgeschreven in nationale wetgeving die tegelijkertijd de API-richtlijn, richtlijn 2010/65 en de PNR-richtlijn in nationaal recht beoogt om te zetten. Daarnaast verzet artikel 6 van de PNR-richtlijn zich volgens het Hof tegen nationale wetgeving die toestaat dat overeenkomstig de richtlijn verzamelde PNR-gegevens verwerkt worden voor andere doeleinden dan die uitdrukkelijk in artikel 1 lid 2 van de richtlijn genoemd worden.

HvJ EU 16 juli 2020, IT 3191, IEF 19327, IEFbe 3106; C-311/18 (Schrems tegen Facebook) Privacyrecht. Vandaag heeft het Europees Hof van Justitie geoordeeld in een van de meest verwachte zaken over privacy en gegevensbescherming sinds tijden. Schrems heeft als Facebookgebruiker Facebook Ierland aangesproken voor het doorgeven van persoonsgegevens aan Facebook Verenigde Staten. Hij heeft de Ierse toezichthouder verzocht om deze doorgiften te verbieden. Hiertoe voerde hij aan dat het recht van de Verenigde Staten en de gangbare praktijk geen waarborgen bieden voor voldoende bescherming tegen de toegang door de overheid tot de naar dit land doorgestuurde gegevens. Deze klacht werd afgewezen, omdat de Commissie in een beschikking had vastgesteld dat de Verenigde Staten wel een passend beschermingsniveau waarborgden. In 2015 heeft het Europees Hof van Justitie deze beschikking ongeldig verklaard, waardoor de Ierse rechter de afwijzing van de klacht van Schrems nietig verklaarde. De Ierse toezichthouder verzocht Schrems zijn klacht te herformuleren. In de hergeformuleerde klacht verzoekt Schrems de doorgifte van zijn persoonsgegevens vanuit de Unie naar de Verenigde Staten - die Facebook ondertussen uitvoert op grond van bepalingen uit de bijlage bij besluit 2020/87 - op te schorten of voor de toekomst te verbieden. De Ierse rechter vraagt aan het Europees Hof van Justitie of besluit 2010/87 en 2016/1250 geldig zijn. Vandaag heeft het Hof van Justitie in zijn arrest gesteld dat bij de toetsing van besluit 2010/87 aan het Handvest van de grondrechten van de Europese Unie niet is gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten. Besluit 2016/1250 wordt daarentegen ongeldig verklaard. Daarnaast wijst het Hof erop dat een doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde onderneming naar een andere in een derde land gevestigde onderneming, niet kan worden uitgesloten van de werkingssfeer van de verordening. Bij een dergelijke doorgifte moet een beschermingsniveau worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest. Toezichthoudende autoriteiten zijn, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, verplicht om een doorgifte naar een derde land op te schorten of te verbieden wanneer zij - gelet op alle omstandigheden - van oordeel zijn dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde exporteur de doorgifte niet zelf heeft opgeschort of beëindigd.

HvJ EU 24 september 2019, IEF 18704, IT 2878, IEFbe 2953; ECLI:EU:C:2019:773 (Verzoekers tegen CNIL) Eisers hebben elk een verzoek bij Google ingediend tot verwijdering van links naar webpagina’s van derden. Die links worden in de resultatenlijst van de Google-zoekmachine weergegeven wanneer een zoekopdracht op de respectievelijke namen van eisers wordt verricht. Google heeft dit geweigerd en ook het CNIL heeft vervolgens de vorderingen om Google op grond hiervan aan te manen, afgewezen.
De exploitant is in beginsel verplicht tot inwilliging van verzoeken tot verwijdering van links naar webpagina’s die onder de genoemde categorieën vallende persoonsgegevens bevatten. In gevallen die zijn uitgezonderd in de richtlijn 95/46, kan de inwilliging van een dergelijk verzoek wel worden geweigerd, mits er is voldaan aan alle andere rechtmatigheidsvoorwaarden uit de richtlijn, behoudens bijzondere situaties waarin de betrokkene in verzet mag gaan. Er moet worden nagegaan of de opname van een link in de resultatenlijst, weergegeven na een zoekopdracht op de naam van deze betrokken, strikt noodzakelijk blijkt met het oog op de bescherming van het recht op vrijheid van informatie van de mogelijk geïnteresseerde internetgebruikers.
Wanneer informatie inzake gerechtelijke procedures niet langer overeenkomt met de actuele situatie, is de exploitant verplicht tot verwijdering van de links in kwestie. Mits vaststaat dat de gewaarborgde grondrechten van de betrokkene zwaarder wegen dan het recht op informatie van geïnteresseerde internetgebruikers.

De Geschillenkamer van de Gegevensbeschermingsautoriteit 28 mei 2019, IEFbe 2899; DOS-2018-05808 en DOS-2018-05815 (Klagers tegen Burgemeester) Privacyrecht. AVG. Er zijn klachten ingediend bij de Gegevensbeschermingsautoriteit tegen een burgemeester die e-mailadressen verkregen in het kader van een verkavelingswijziging, heeft gebruikt voor de verzending van verkiezingspropaganda. Klagers zijn van mening dat dit een inbreuk maakt op hun recht op privacy en rechten ontleent aan de AVG. Nu de mailadressen zijn hergebruikt op deze manier is er sprake van afwending van doelbinding. Een burgemeester met zijn voorbeeldfunctie en te verwachten kennisniveau dient zich hier niet schuldig aan te maken. Er wordt een administratieve geldboete opgelegd.

Prejudicieel gestelde vraag aan HvJ EU 15 oktober 2018, IEF 18264; IEFbe 2829; IT 2718; C-687/18 (Associated Newspapers) Via MinBuza: Verweerster is uitgeefster van de kranten van onder andere de Daily Mail. Verzoeker heeft gedurende meerdere jaren geklaagd over uiteenlopende artikelen die verweerster had gepubliceerd. Verzoeker heeft ook geklaagd over het feit dat de Daily Mail persoonsgegevens had verzameld, opgeslagen en gebruikt.  Verzoeker heeft bij de Britse rechter beroep ingesteld tegen verweerster met betrekking tot de door verweerster gepubliceerde artikelen. Verweerster heeft op grond van section 32 DPA (Data Protection Act, dit artikel geeft een mogelijkheid om af te wijken van artikel 9 van de richtlijn 95/46/EG) een vordering tot schorsing van het geding ingediend. Volgens lid 4 van dit artikel moet de nationale rechter het rechtsgeding schorsen wanneer de persoonsgegevens worden verwerkt voor uitsluitend journalistieke, artistieke of literaire doeleinden en met het oog op de publicatie door een persoon van journalistiek, literair of artistiek materiaal dat 24 uur voor de peildatum niet eerder door de voor de verwerking verantwoordelijke was gepubliceerd. In casu staat vast dat aan beide voorwaarden is voldaan. Verzoeker verzet zich tegen de schorsing omdat deze in strijd zou zijn met het Unierecht (richtlijn 95/46/EG en Handvest van de grondrechten). 

Benoît Strowel, a member of Hoyng Monegier’s and HOYNG ROKH MONEGIER’s executive committee since 2011, will succeed Willem Hoyng as managing partner. The other members of the executive committee are Bart van den Broek, Christine Kanz, Carl De Meyer and Luis Fernández-Novoa.

Conclusie A-G HvJ EU 12 december 2017, IT&R 2437; IEFbe 2429; C-15/16; ECLI:EU:C:2017:958 (Bundesanstalt für Finanzdienstleistungsaufsicht tegen Ewald Baumeister). Vertrouwelijke gegevens. Alle informatie, waaronder correspondentie en verklaringen betreffende een onder toezicht staande onderneming, opgesteld of ontvangen door een nationale autoriteit die toezicht houdt op de financiële markten, valt onder het begrip 'vertrouwelijke gegevens’ en wordt door het beroepsgeheim beschermd zonder aan nadere voorwaarden te hoeven voldoen.

Conclusie AG:

Alle informatie, daaronder begrepen correspondentie en verklaringen betreffende een onder toezicht staande onderneming, die is ontvangen of opgesteld door een nationale autoriteit die toezicht houdt op de financiële markten, valt onder het begrip ,vertrouwelijke gegevens’ in de zin van artikel 54, lid 1, tweede volzin, van richtlijn 2004/39/EG van het Europees Parlement en de Raad van21 april 2004 betreffende markten voor financiële instrumenten, tot wijziging van de richtlijnen 85/611/EEG en 93/6/EEG van de Raad en van richtlijn 2000/12/EG van de Raad, en wordt derhalve door het beroepsgeheim van artikel 54, lid 1, eerste volzin, van die richtlijn beschermd, zonder dat daarvoor aan nadere voorwaarden hoeft te zijn voldaan.

Prejudiciële vragen gesteld aan HvJ EU 24 februari 2017, IT 2290; IEFbe 2185; C-136/17 (X tegen CNIL) Bescherming persoonsgegevens. Recht op verwijdering koppelingen. De vier verzoekers hebben alle vier bij Google aangeklopt met verzoeken om verwijdering van ongewenste koppelingen van hun namen aan bijvoorbeeld filmpjes op YouTube of krantenartikelen. Als Google weigert wenden zij zich tot de FRA gegevensbeschermingsAut (CNIL) om Google tot actie te dwingen, maar CNIL sluit de klachten zonder actie te ondernemen af. Verzoekers starten daarop een procedure wegens bevoegdheidsoverschrijding. De verwijzende FRA rechter (Raad van State) stelt vast dat de FRA regelgeving (oorspronkelijke wet van 1978) de omzetting bevat van RL 95/46. Het HvJEU heeft in zijn arrest C-131/12 bepaald in welke gevallen informatie uit zoekmachines als ‘verwerking van persoonsgegevens’ moet worden gekwalificeerd. In de FRA wet is opgenomen dat de wet van toepassing is op verwerking van gegevens waarvan de verantwoordelijke op FRA grondgebied is gevestigd [in welke (rechts)vorm dan ook]. Google heeft een dochter in FRA en valt dus onder de werkingssfeer van de FRA wet. Er is ook een bepaling in de wet opgenomen betreffende het ‘recht op het laten verwijderen van koppelingen’ indien aan de voorwaarden daartoe is voldaan. In dat geval is de exploitant van de zoekmachine verplicht tot verwijdering over te gaan. In de punten 10 – 13 zet de rechter nader uiteen om welke te verwijderen koppelingen het in de vier zaken gaat. Hij citeert nogmaals uit arrest C-131/12 waarin het HvJEU voor recht verklaarde dat exploitanten aan de vereisten van RL 95/46 moeten voldoen opdat de daarin vervatte waarborgen hun volle werking kunnen krijgen en een doelmatige en volledige bescherming van betrokkenen, vooral wat betreft eerbieding privéleven, tot stand kunnen brengen en ziet daarin een uitlegprobleem van de RL. Deze vraag (en vervolgvragen) legt hij voor aan het HvJEU: