Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand december op een rij.
1. Meerdere verwijderingsverzoeken leiden tot prejudiciële vragen
In deze zaak gaat het om de verwijdering van zoekresultaten die in Google verschijnen. Op internet zijn diverse artikelen te lezen waarin de betrokkenen (twee verzoekers in deze zaak) worden neergezet als een belangrijke speler in een vermeende fraudezaak. Volgens de betrokkenen is dit niet terecht en vanwege het tijdsverloop (4 jaar tussen de media-aandacht en het verwijderverzoek) zijn de berichten niet meer relevant.
Google heeft enkele URL’s verwijderd, maar niet alles. Vervolgens is nog tweemaal een verwijderingsverzoek ingediend en die verzoeken omvatten voor een deel verwijdering van de URL’s waar Google al (voor de betrokkenen negatief) op had gereageerd. Google verzocht dan ook om de eerder gemelde URL’s niet meer op te nemen in toekomstige meldingen.
Partijen komen er zelf niet uit, en ook de rechtbank weet niet hoe te oordelen over de situatie waarin meerdere soortgelijke verwijderverzoeken zijn ingediend binnen een tijdsbestek van 2 maanden. In artikel 21 AVG staat dat een betrokkene te allen tijde bezwaar mag maken. Maar geldt dit ook nadat een verwijderingsverzoek is afgewezen? Of mag Google weigeren gevolg te geven aan het verzoek vanwege het repetitieve karakter? Maakt het dan nog uit binnen welk tijdsbestek soortgelijke verwijderverzoeken zijn ingediend? De rechtbank is voornemens deze prejudiciële vragen voor te leggen aan het Hof van Justitie van de Europese Unie.
2. BKR registratie
In de jurisprudentieblog van augustus en september dit jaar zijn uitspraken behandeld met betrekking tot BKR-registratie. Opvallend was dat het gerechtshof ’s-Hertogenbosch in augustus oordeelde dat kredietregistratie door financiële instellingen (banken) wel als wettelijke verplichting aan te merken valt en dat de verzoeker daarom geen recht op bezwaar uit artikel 21 AVG toekomt. Terwijl in september in een vergelijkbare zaak door gerechtshof Den Haag werd geoordeeld dat er geen sprake is van een wettelijke verplichting voor deze vorm van gegevensverwerking.
Op 17 december 2020 heeft gerechtshof Arnhem-Leeuwarden ook uitspraak gedaan in een zaak die betrekking heeft op BKR-registratie. Het hof verwijst in deze uitspraak naar de twee eerdere beschikkingen van augustus en september en sluit zich aan bij de uitspraak van augustus van gerechtshof ’s-Hertogenbosch. Volgens het hof wordt er in de beschikking van gerechtshof Den Haag geen (kenbare) aandacht besteed aan de, naar het oordeel van het hof overtuigende, argumenten waarop gerechtshof ‘s-Hertogenbosch in zijn beschikking van augustus de conclusie baseert dat de registratie van kredietgegevens in het Centraal Krediet Informatiesysteem juist wel plaatsvindt op grond van een wettelijke plicht als bedoeld in artikel 6 lid 1 onder c AVG.
Kortom, banken mogen volgens gerechtshof Arnhem-Leeuwarden en gerechtshof ‘s-Hertogenbosch voor de uitoefening van hun wettelijke plicht tot deelname aan een kredietregistratiesysteem rechtmatig persoonsgegevens laten verwerken door BKR. Wanneer de verwerking van persoonsgegevens, zoals hier, gebaseerd is op een wettelijke plicht, kan de betrokkene geen beroep doen op het in artikel 17 AVG neergelegde recht op gegevenswissing. De betrokkene heeft in dat geval ook niet het recht van bezwaar als bedoeld in artikel 21 AVG, omdat dat recht is verbonden aan gegevensverwerking op grond van artikel 6 lid 1 onder e en f AVG.
3. Utrechtse burgemeester op de vingers getikt
Op grond van artikel 151a van de Gemeentewet heeft de gemeenteraad van Utrecht een vergunningstelsel voor seksinrichtingen en escortbedrijven in de Algemene plaatselijke verordening (hierna: Apv) opgenomen. In deze Apv is een registratieplicht voor raamprostituees vastgelegd en deze registratie is een voorwaarde om werkzaam te mogen zijn als raamprostituee. In het gemeentelijk systeem wil de burgemeester NAW-gegevens, het telefoonnummer, e-mailadres, bankrekeningnummer, geboortedatum, nationaliteit, geboorteplaats en -land, verblijfsstatus, IP-adres, signalen van mensenhandel, spreektaal, KvK-nummer, eerdere registratie en politiegegevens gaan verwerken. Het systeem is volgens de burgemeester goed beveiligd.
Als grondslag voor het verwerken van deze (bijzondere) persoonsgegevens van de sekswerkers koos de gemeente voor de uitzonderingsgrond ‘het zwaarwegend algemeen belang’, waarbij als belang het tegengaan van ernstige misstanden als uitbuiting en mensenhandel wordt aangedragen.
De Autoriteit Persoonsgegevens (AP) heeft zich echter op het standpunt gesteld dat voor een dergelijke registratieplicht in een Apv het zwaarwegend algemeen belang geen toereikende grondslag is, op grond waarvan het verbod van gegevensverwerking kan worden doorbroken. De gegevensverwerking wordt daarom onrechtmatig geacht. De gemeente stapte naar de rechter.
De Raad van State gaat mee met de visie van de AP. De Gemeentewet geeft de gemeenteraad weliswaar een verordenende bevoegdheid, maar deze bepalingen waarop de gemeente een beroep doet geven geen uitdrukkelijke bevoegdheid om een uitzondering te maken op het verbod om bijzondere persoonsgegevens te verwerken. Voor de gegevensverwerking van sekswerkers bestaat momenteel geen grondslag in een wet in formele zin, wat tot gevolg heeft dat voor doorbreking van het verbod geen aanleiding bestaat.
4. Langskomen gemeentehuis niet vereist voor identificatie
In deze zaak draaide het om een verwijderingsverzoek bij de gemeente Uithoorn. De verzoeker verzocht de gemeente om zijn persoonsgegevens te wissen. Bij dit verzoek heeft hij een kopie van een gewaarmerkte kopie van zijn paspoort gevoegd. De gemeente vond echter dat hiermee de identiteit niet deugdelijk vastgesteld kon worden en verzocht hem om langs te komen op het gemeentehuis. De verzoeker kwam niet langs, maar overhandigde nogmaals de kopie én verzocht om een DigiD-link zodat hij zichzelf daarmee kon identificeren. Het college besloot om het verzoek niet te behandelen. Hier maakte verzoeker bezwaar tegen, maar het bezwaar werd ongegrond verklaard.
Waar de rechtbank het met het college eens was, vond de Raad van State dat dit anders lag. Er waren in dit geval namelijk ook andere mogelijkheden om de identiteit vast te stellen, naast langskomen op het gemeentehuis. Het overleggen van een kopie van een paspoort wordt daarnaast in beginsel als een redelijke maatregel aangemerkt om de identiteit te controleren, ook heeft het college aangegeven niet te twijfelen aan de identiteit. De eis van het college was in dit geval daarom geen redelijke maatregel. De rechtbank heeft ten onrechte geoordeeld dat het college in redelijkheid van verzoeker heeft mogen eisen om langs te komen op het gemeentehuis.
5. Cookies leiden tot torenhoge boete
De Franse privacywaakhond CNIL heeft zowel Google als Amazon een miljoenenboete opgelegd, omdat de bedrijven cookies plaatsen zonder daarvoor toestemming te hebben gekregen van de websitebezoeker én zonder hierover voldoende te informeren. Lees hier meer over in onze uitgebreide blog.
Benieuwd wat er in januari 2021 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!