ICT - TIC - Privacy  

Conclusie AG HvJ EU 8 september 2016, IT 2116; IEFbe 1917; ECLI:EU:C:2016:652; C-398/15 ; (Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce tegen Salvatore Manni) Voor de verwijzende Italiaanse rechter (Hof van Cassatie) gaat het om de vraag of er op grond van een ‘recht om vergeten te worden’ gegevens die bij wet aan verweerster zijn toevertrouwd, mogen worden gewist, geanonimiseerd, of na zekere tijd afgeschermd. Hij wijst op het belang van het handelsregister voor de rechtszekerheid. De verwijzende rechter verwijst naar de punten 1 en 3 van het dictum in Google Spain en Google, en merkt op dat de toepassing van het door het HvJ vastgestelde beginsel op situaties als die van de onderhavige zaak niet tot gevolg heeft dat de gegevens uit het openbare register worden gewist, maar juist dat er grenzen worden gesteld aan het gebruik van de uit het openbare register verkregen gegevens door anderen die deze gegevens vervolgens zelf verwerken. Hij vraagt zich echter af of Richtlijn 95/46 een maximale duur aan het aanhouden van gegevens stelt.

Conclusie AG:

Gelet op het voorgaande geef ik het Hof in overweging de vragen van de Corte suprema di cassazione te beantwoorden als volgt: „Artikel 2, lid 1, onder d) en j), en artikel 3 van de Eerste richtlijn (68/151/EEG) van de Raad van 9 maart 1968 strekkende tot het coördineren van de waarborgen, welke in de lidstaten worden verlangd van de vennootschappen in de zin van de tweede alinea van artikel 58 van het Verdrag, om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden, zulks ten einde die waarborgen gelijkwaardig te maken, zoals gewijzigd bij richtlijn 2003/58/EG van het Europees Parlement en de Raad van 15 juli 2003, en artikel 6, lid 1, onder e), en artikel 7, onder c), e) en f), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, dienen in het licht van artikel 7 en artikel 8 van het Handvest van de grondrechten van de Europese Unie aldus te worden uitgelegd dat zij zich ertegen verzetten dat in het vennootschapsregister ingeschreven persoonsgegevens na een bepaald tijdsbestek en op verzoek van de betrokken persoon ofwel kunnen worden geschrapt, geanonimiseerd of ontoegankelijk gemaakt, dan wel slechts toegankelijk kunnen zijn voor een beperkte kring van derden die een legitiem belang bij de toegang tot dergelijke gegevens kunnen aantonen.”

Via Droit & Technologies: Cela faisait des mois que les entreprises attendaient ce moment : la Commission a officiellement adopté une décision par laquelle elle reconnaît que le système connu sous le nom de « privacy shield », contient suffisamment de garanties offertes par les États-Unis, et qu'en conséquence ce nouveau système présente un niveau de protection adéquat. Les transferts de données personnelles vers les USA vont donc pouvoir se poursuivre avec plus de sécurité. En savoir plus

Conclusie AG HvJ EU 19 juli  2016, IT 2105; IEFbe 1875; ECLI:EU:C:2016:572; C‑203/15 en C‑698/15 (Tele2 Sverige tegen Post- och telestyrelsen)
Persbericht - Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Nationale wetgeving die voorziet in een algemene verplichting om gegevens over elektronische communicaties te bewaren – Artikel 15, lid 1 ‒ Handvest van de grondrechten van de Europese Unie – Artikel 7 ‒ Recht op eerbiediging van het privéleven – Artikel 8 – Recht op bescherming van persoonsgegevens – Ernstige inmenging – Rechtvaardiging – Artikel 52, lid 1 – Voorwaarden – Legitieme doelstelling van bestrijding van ernstige criminaliteit – Vereiste van een wettelijke grondslag in het nationale recht – Vereiste van strikte noodzakelijkheid – Vereiste van evenredigheid in een democratische samenleving. Conclusie AG:

Artikel 15, lid 1, van richtlijn 2002/58/CE van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn ‚privacy en elektronische communicatie’), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, en de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie moeten aldus worden uitgelegd dat zij zich niet ertegen verzetten dat een lidstaat aanbieders van elektronischecommunicatiediensten verplicht om alle gegevens betreffende de door de gebruikers van hun diensten gevoerde communicaties te bewaren indien is voldaan aan alle hiernavolgende vereisten, hetgeen door de verwijzende rechters moet worden getoetst in het licht van alle relevante kenmerken van de in de hoofdgedingen betrokken nationale regelingen:

Hof van Beroep Brussel 29 juni 2016, IEfbe 1857; IT 2102 (Facebook tegen Privacycommissie)
De beschikking van de Voorzitter van de Nederlandstalige Rechtbank van Eerste Aanleg Brussel [IEFbe 1569] is ongedaan gemaakt. In die zaak vorderde de Privacycommissie dat Facebook veroordeeld zou worden om te stoppen met het registreren via cookies en social plug-ins van het surfgedrag van internetgebruikers uit België die geen Facebook-account hebben. In eerste aanleg was de vordering van de Privacycommissie ingewilligd geweest.

1. Belgische rechtbanken hebben geen internationale rechtsmacht
Het Hof van Beroep oordeelt dat de Belgische rechtbanken geen internationale rechtsmacht hebben voor een procedure ingesteld door de Belgische Privacycommissie tegen Facebook Inc. en Facebook Ireland Limited, omdat er geen enkele wettelijke bepaling is die hen internationale rechtsmacht verleent:

Prejudicieel gestelde vragen aan HvJ EU 25 februari 2016, IEFbe 1807; IT 2073; C-210/16 (Wirtschaftsakademie Schleswig-Holstein)
Gegevensbescherming. Privacy. Via Minbuza: Verzoekster, een privaatrechtelijk georganiseerde onderwijsinstelling, heeft van het ‘Onafhankelijk centrum voor gegevensbescherming van de deelstaat’ (verweerder) op 03-11-2011 opdracht gekregen haar Facebookpagina te deactiveren. Verzoekster maakt via haar ‘fanpage’ bij Facebook Ireland onder meer reclame voor haar onderwijsinstelling. Het aanhouden van ‘fanpages’ geeft de maker onder meer mogelijkheid (via ‘facebook-insights’) geanonimiseerde statistische informatie over gebruikers, bij wie cookies worden geplaatst, te ontvangen. Verzoekster maakt bezwaar maar verweerder bevestigt het besluit, waarna de zaak aan de rechter wordt voorgelegd. Het Verwaltungsgericht vernietigt de beslissing omdat verzoekster geen ‘verantwoordelijk lichaam’ is in de zin van de DUI wet en dan ook geen adressaat van een bevel kan zijn. Verweerders hoger beroep sneuvelt. De zaak ligt nu voor in Revision bij de verwijzende rechter. Verzoekster, ondersteund door medegedaagde Facebook, meent dat zij niet verantwoordelijk is voor gegevensverwerking door Facebook en evenmin voor de geïnstalleerde cookies. Zij heeft daartoe geen opdracht gegeven. Verweerder stelt dat verzoekster door het openen van een ‘fanpage’ wel verantwoordelijk is.

De (Nederlandse) Tweede Kamer komt met vier fiches:
Fiche 1: mededeling digitalisering industrie
Fiche 2: mededeling Europees Cloudinitiatief
Fiche 3: mededeling normalisatieprioriteiten op ICT-gebied voor de digitale eengemaakte markt
Fiche 4: mededeling EU-actieplan inzake e-overheid 2016-2020

Conclusie AG HvJ EU 12 mei 2016, IT 2055; IEFbe 1796; C-582/14; ECLI:EU:C:2016:339 (Breyer)
Zie eerder IT 1698; IEFbe 1206. Begrip ‚persoonsgegevens’ – IP-adressen – Bewaring door een aanbieder van elektronische mediadiensten. Nationale regeling volgens welke geen rekening kan worden gehouden met het legitieme belang van de voor de verwerking verantwoordelijke.

1)      Overeenkomstig artikel 2, onder a), [richtlijn gegevensbescherming], vormt een dynamisch IP‑adres waarmee een gebruiker toegang heeft gekregen tot de website van een aanbieder van elektronische mediadiensten voor deze laatste een ‚persoonsgegeven’, wanneer een internetprovider beschikt over de aanvullende gegevens die het, samen met het dynamische IP‑adres, mogelijk maken de gebruiker te identificeren.

Gerecht EU 27 april 2016, IT 2050; IEFbe 1782; ECLI:EU:T:2016:248; zaak T-556/11 (European Dynamics tegen EUIPO)
Overheidsopdrachten voor diensten. Aanbestedingsprocedure. Diensten inzake softwareontwikkeling en -onderhoud. Afwijzing van de offerte van een inschrijver. Rangschikking van een inschrijver in de cascadeprocedure. Uitsluitingsgronden. Belangenconflict. Gelijke behandeling. Zorgvuldigheidsplicht. Gunningscriteria. Kennelijk onjuiste beoordeling. Motiveringsplicht. Niet-contractuele aansprakelijkheid. Verlies van een kans. Het besluit tot afwijzing van de offerte wordt nietig verklaard. EUIPO moet de schade vergoeden die eisers heeft geleden door het verlies van een kans om minstens als derde contractant de raamovereenkomst toegewezen te krijgen.

Consultatie 12 april tot 5 juli 2016 (evaluatie en review van ePrivacy-verordening)
In 6 May 2015, the Commission adopted the Digital Single Market (DSM) Strategy, which announced that, following the adoption of the General Data Protection Regulation, the ePrivacy rules would also be reviewed. The review of the ePrivacy Directive is one of the key initiatives aimed at reinforcing trust and security in digital services in the EU with a focus on ensuring a high level of protection for citizens and a level playing field for all market players. The review will be preceded by a Regulatory Fitness and Performance Programme (REFIT), which aims at evaluating the performances of the current legislation against criteria such as efficiency, effectiveness and EU added value. The Commission is now consulting stakeholders on both the retrospective evaluation and the possible changes to the current ePrivacy Directive. The Commission will use the feedback from the consultation to prepare a new legislative proposal on ePrivacy, which is expected by the end of 2016.

Grondwettelijk Hof 25 februari 2016, IEFbe 1716; Arrest nr. 28/2016 (Beroepsinstituut van vastgoedmakelaars en Romain Lamolle)
Privacy. Persoonsgegevens. Zie eerder IEFbe 752. Het Beroepsinstituut van vastgoedmakelaars en Romain Lamolle vorderen de vernietiging van de artikelen 3, §§3 tot 6, en 9 van de wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Artikel 9 bepaalt welke informatie de verantwoordelijke voor de verwerking van persoonsgegevens moet meedelen aan de persoon wiens gegevens het voorwerp van die verwerking uitmaken. Artikel 3, §§3 tot 7 stelt sommige categorieën van personen of instellingen vrij van de bij artikel 9 opgelegde verplichtingen. De bestreden bepalingen zouden een discriminerend verschil in behandeling invoeren tussen enerzijds de categorie personen genoemd in paragraaf 3 tot en met 6 en anderzijds de publiekrechtelijke beroepsorganisaties die bij de wet ermee zijn belast onderzoek te verrichten naar schendingen van de beroepscode van een gereglementeerd beroep, zoals het BIV. Het Hof vernietigt artikel 9 in zoverre het zonder meer van toepassing is op de publiekrechtelijke beroepsorganisatie die bij de wet ermee is beslaat onderzoek te verrichten naar schendingen van de beroepscode van een gereglementeerd beroep en op de activiteit van een privédetective die ertoe is gemachtigd voor de betrokken beroepsorganisatie op te treden.

B.11. Het middel is gegrond in zoverre artikel 9 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens zonder meer van toepassing is op de publiekrechtelijke beroepsorganisatie die bij de wet ermee is belast onderzoek te verrichten naar schendingen van de beroepscode van een gereglementeerd beroep en op de activiteit van een privédetective die ertoe is gemachtigd voor de betrokken beroepsorganisatie op te treden overeenkomstig artikel 13 van de wet van 19 juli 1991 tot regeling van het beroep van privédetective. Die situaties vallen bijgevolg buiten het toepassingsgebied van artikel 9 van de wet van 8 december 1992, in afwachting van de uitdrukkelijke uitbreiding, door de wetgever, van de vrijstellingen waarin artikel 3 van dezelfde wet voorziet.

Om die redenen,
het Hof vernietigt artikel 9 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens in zoverre het zonder meer van toepassing is op de publiekrechtelijke beroepsorganisatie die bij de wet ermee is belast onderzoek te verrichten naar schendingen van de beroepscode van een gereglementeerd beroep en op de activiteit van een privédetective die ertoe is gemachtigd voor de betrokken beroepsorganisatie op te treden overeenkomstig artikel 13 van de wet van 19 juli 1991 tot regeling van het beroep van privédetective.