ICT - TIC - Privacy  

Prejudiciële vragen gesteld aan HvJEU 22 oktober 2025, IT 5159; IEFbe 4160; C-676/25 (I. N. R. tegen "Viva Credit” AD) via MinBuza. In september 2023 hebben ‘I.N.R.’ en verwerende partij ‘Viva Credit’ een leningsovereenkomst gesloten. In april 2025, na beëindiging van de overeenkomst, heeft I.N.R. op basis van artikel 15 AVG een verzoek ingediend bij verweerder en verzocht om alle informatie omtrent het gebruik van zijn persoonsgegevens met hem te delen. Viva Credit heeft een uittreksel van de leningsovereenkomst met daarin de verwerkte persoonsgegevens met hem gedeeld. Viva Credit weigert vervolgens het nieuwe verzoek van I.N.R. om een kopie van de volledige overeenkomsten met hem te delen (en niet alleen de uittreksels), waarna I.N.R. in beroep gaat. De Bulgaarse rechter vraagt het Hof naar de reikwijdte van artikel 15 AVG. 

Prejudiciële vragen gesteld aan HvJEU 6 oktober 2025, IT 5158; IEFbe 4158 (US en DR tegen KY) via MinBuza. Verzoeker exploiteert een website waarin hij Google Fonts heeft geïntegreerd. Hierdoor worden bij het bezoeken van de betreffende websites de lettertypen van Google Fonts via een Google-server gedownload en het betreffende IP-adres van de bezoeker naar Google in de VS verzonden. Een bezoeker van de site, die middels een webcrawler bewust de doorgiften uitlokte, vordert schadevergoeding wegens een vermeende inbreuk op zijn AVG-rechten. Verzoeker betaalde onder druk, maar vorderde terugbetaling. Verzoeker kreeg in hoger beroep gelijk omdat een dynamische IP-adres geen persoonsgegeven is, waardoor er geen schadevergoedingsrecht zou zijn ontstaan en de bezoeker daarmee rechtsmisbruik pleegde. De verwijzende rechter vraagt het Hof wanneer een dynamisch IP-adres volgens het Unierecht als persoonsgegeven geldt, of schadevergoeding mogelijk is wanneer de betrokkene de inbreuk bewust heeft uitgelokt, en in hoeverre een dergelijk geval tot rechtsmisbruik kan leiden. 

EFTA Court 11 maart 2026, IT 5134; IEFbe 4127; E-20/25 (EFTA Surveillance Authority tegen Noorwegen). Het EFTA Surveillance Authority (ESA) stelde bij het EFTA Court een beroep in wegens niet-nakoming tegen Noorwegen op grond van artikel 31 van de Surveillance and Court Agreement (SCA). ESA verzocht het Hof vast te stellen dat Noorwegen zijn verplichtingen uit artikel 7 van de EER-Overeenkomst niet was nagekomen doordat het Commission Implementing Regulation (EU) 2018/151 niet tijdig in zijn nationale rechtsorde had opgenomen. Deze uitvoeringsverordening, die nadere regels bevat voor het risicobeheer en incidentmelding door digitale dienstverleners in het kader van de NIS-richtlijn (Directive (EU) 2016/1148), werd via Besluit van het Gemengd Comité van de EER nr. 21/2023 toegevoegd aan bijlage XI van de EER-Overeenkomst. Het besluit trad op 1 augustus 2024 in werking, waarna de betrokken EFTA-staten de verplichting hadden de verordening in hun interne rechtsorde op te nemen. Omdat ESA geen kennisgeving had ontvangen van nationale implementatiemaatregelen, werd op 4 november 2024 een formele aanmaning aan Noorwegen gestuurd. Noorwegen erkende in zijn reactie dat de noodzakelijke maatregelen nog niet waren vastgesteld. Vervolgens bracht ESA op 26 maart 2025 een met redenen omkleed advies uit, waarbij Noorwegen tot 26 mei 2025 de tijd kreeg om aan zijn verplichtingen te voldoen. Noorwegen gaf aan dat de implementatiemaatregelen naar verwachting pas in de tweede helft van 2025 in werking zouden treden.  

Prejudiciële vragen gesteld aan HvJEU 2 oktober 2025, IEF 23180; IEFbe 4071; IT 5050; C-643/25 (Verbraucherzentrale Bundesverband) via MinBuza. Verweerder is Meta Platforms Ireland, beheerder van Facebook. Verzoekster is een vereniging van consumentenbeschermingsorganisaties, en bekritiseert de vermelding op Facebook waar staat: ‘Facebook is en blijft gratis’. Volgens verzoekster is dit oneerlijk en misleidend, omdat de gebruiker ‘betaalt’ met het beschikbaar stellen van zijn persoonsgegevens. Het is de vraag of het betalen met persoonsgegevens valt onder de oneerlijke handelspraktijk van punt 20 van bijlage I bij richtlijn 2005/29. 

Prejudiciële vragen gesteld aan HvJEU 27 augustus 2025, IT 5021; IEFbe 4044; C-568/25 (Verein für Konsumenteninformation tegen Universal Versand) via Minbuza. Universal Versand is een postorderbedrijf en sluit voornamelijk digitaal koopovereenkomsten met consumenten. Bij de digitale aankopen doet het bedrijf een kredietwaardigheidscontrole wanneer de consument kiest voor een onveilige betaalmethode, zoals koop op rekening. Bij de controle wordt er een ‘rating’ gegeven over de kans op wanbetaling door de consument. Deze rating wordt gebaseerd op een combinatie van gegevens, zoals leeftijd en adresgegevens. Bij een slechte rating wordt de gekozen onveilige betaalmethode geweigerd. De Verein für Konsumenteninformation stelt dat Universal Versand hiermee stelselmatig artikel 22, lid 1 AVG schendt. In dat artikel staat dat een betrokkene het recht heeft om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden. De Oostenrijkse rechter vraagt het Hof om uitleg van artikel 22 AVG.

Prejudiciële vragen gesteld aan het HvJEU 9 september 2025, IT 5020; IEFbe 4043; C-594/25 (KL tegen Vodafone) via Minbuza. KL heeft met Vodafone, een telecommunicatiebedrijf, in 2021 een contract afgesloten. Daarna bleek dat het bedrijf verschillende persoonsgegevens van KL heeft doorgegeven aan een kredietinformatiebureau, waaronder adresgegevens en informatie over het contract. Het bureau heeft deze gegevens gebruikt voor het opstellen van profielen voor het inschatten van frauderisico’s. KL vordert schadevergoeding op grond van artikel 82 AVG. De Duitse rechter heeft twijfels over de vraag of artikel 6, lid 1, onder f), AVG een voldoende nauwkeurige grondslag kan vormen voor de massale doorzending van de ‘positieve gegevens’ tussen particulieren in het kader van fraudevoorkoming. 

HvJ EU 4 oktober 2024, IEF 2234, IEFbe 3810; ECLI:EU:C:2024:843 (Real Madrid Club de Fútbol) [IEF 21969] en [IEF 21154]. Le Monde publiceerde in 2006 een artikel waarin werd beweerd dat Real Madrid betrokken was bij doping in de wielersport. Real Madrid klaagde Le Monde aan wegens smaad en eiste schadevergoeding. De Spaanse rechtbank oordeelde in het voordeel van Real Madrid en veroordeelde Le Monde tot betaling van een aanzienlijke schadevergoeding. Le Monde weigerde te betalen en voerde aan dat de Spaanse uitspraak in strijd was met het Franse recht op vrije meningsuiting. De Franse rechter stelde prejudiciële vragen aan het Hof van Justitie van de Europese Unie over de verenigbaarheid van de Spaanse uitspraak met de vrijheid van meningsuiting zoals vastgelegd in het Handvest.

HvJ EU 22 november 2022, IT 4160, IEFbe 3582; C-37/20, ECLI:EU:C:2022:912 (Luxembourg Business Registers)  Arrest van het Hof in de gevoegde zaken C-37/20 (Luxembourg Business Registers) en C-601/20 (Sovim). Het Hof stelt in het licht van het Handvest de ongeldigheid vast van de bepaling van de antiwitwasrichtlijn dat de lidstaten ervoor moeten zorgen dat de informatie over de uiteindelijk begunstigden van binnen hun grondgebied opgerichte vennootschappen en andere juridische entiteiten in alle gevallen voor het grote publiek toegankelijk is. Het Hof merkt onder meer op dat toegang van het grote publiek tot informatie over de uiteindelijk begunstigden een ernstige  inmenging vormt in de grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens, die respectievelijk zijn neergelegd in de artikelen 7 en 8 van het Handvest. De bekendgemaakte informatie maakt het immers voor een potentieel onbeperkt aantal personen mogelijk informatie te verkrijgen over de materiële en financiële situatie van uiteindelijk begunstigden.

HvJ EU 22 juni 2022, IT 3979, IEFbe 3478; ECLI:EU:C:2022:495 (Leistritz tegen LH) In dit onderhavige geval staat de arbeidsrechtelijke bescherming van natuurlijke personen als functionaris voor gegevensbescherming centraal. Met de prejudiciële vragen die zijn gesteld aan het Hof van Justitie, poogt de hoogste Duitse rechter antwoord te verkrijgen op de vraag hoe art. 38 lid 3, tweede volzin, AVG moet worden uitgelegd, in het licht van de arbeidsrechtelijke verhouding tussen de functionaris voor gegevensbescherming en de verwerkingsverantwoordelijke waar hij in dienst is. Het Hof oordeelt dat art. 38 lid 3, tweede volzin, AVG zich niet verzet tegen een nationale regeling, waarbij een functionaris voor gegevensbescherming door de verwerkingsverantwoordelijke alleen om een gewichtige reden kan worden ontslagen, mits die regeling de te verwezenlijken doelstellingen van de AVG niet ondermijnt.

HvJ EU Conclusie A-G 3 juni 2021, IT 3965, IEFbe 3467; ECLI:EU:C:2021:452 (Sony en Toshiba c.s. tegen Europese Commissie) Deze conclusie behelst een viertal hogere voorzieningen ingesteld door leveranciers van optische diskdrives. In het bijzonder wordt ingegaan op twee onderwerpen die in elk van deze zaken voortkomen. Ten eerste wordt de formulering behandeld die wordt gebruikt om naast de enkele voortdurende inbreuk, ook meerdere afzonderlijke inbreuken die tezamen als één enkele voortdurende inbreuk kwalificeren, te motiveren in het kader van art. 101 VWEU. Hierbij geeft de Commissie rekwirantes geen andere motivering, dan die motivering die ook is gebruikt om aan te tonen dat er sprake is van één enkele voortdurende inbreuk. Ten tweede wordt er ook nader ingegaan op de berekening van een sanctie wanneer er sprake is van verkoop binnen het kartel of winstdeling.