🇪🇺 European developments

EDPB publishes guidance on international data transfers, including for supplemental measures against overreaching surveillance

The post-Schrems II guidance adopted on 10 November by the European Data Protection Board (EDPB) prescribes six steps:

1. Identify international data transfers
2. Identify data transfer mechanisms
3. Assess the law in the third country
4. Adopt supplementary measures where applicable legislation affects the effectiveness of the transfer mechanism
   • Technical measures: such as encryption, pseudonymization, splitting and additional contractual measures.
   • Organisational measures: such as internal policies, documenting governmental access requests, publication of transparency reports and involving the data protection officer on relevant matters.
5. Procedural steps, if identified for effective supplementary measures
6. Re-evaluate at appropriate intervals

The EDPB has also published guidance on European Essential Guarantees for surveillance measures.

The EC 🇪🇺 proposes new SCCs post-Schrems II for international data transfers

The European Commission published on 12 November 2020 its proposed new Standard Contractual Clauses (SCCs) for international data transfers. The proposal is open for public consultation (see the PDF in the Annex).

The new SCCs adopt a modular concept that cater to various transfer scenarios:

• Controller to controller transfers;
• Controller to processor transfers;
• Processor to processor transfers; and
• Processor to controller transfers.

The proposal "reaffirms the CJEU's Schrems II decision by stressing that the transfer of personal data under the SCCs should only take place if the laws of the third country of destination do not prevent the data importer from complying with the contractual provisions. The SCCs include a mutual warranty stating that the contracting parties have no reason to believe that the laws applicable to the data importer prevent that data importer from fulfilling its obligations under the SCCs."

Initiative

Have your say

The EC 🇪🇺 proposes new processing clauses for controller-to-processor located in the EU

The European Commission has also published on 12 November 2020 a draft version of a model processing contract. In practice, the content of processing agreements is the subject of much negotiation. The fact that the EC now publishes a model can considerably simplify these negotiations falling back on this generic model.

Initiative

Have your say

CJEU 🇪🇺 concludes that consent pre-ticked in a contract isn't valid

The Court ruled on 11 November 2020 in the Orange România case that a contract for the provision of telecommunications services containing a clause stating that the customer has consented to the collection and storage of his or her identity document cannot demonstrate that that customer has validly given his or her consent where the box referring to that clause has been ticked by the data controller before the contract was signed. The contract could be misleading as to the possibility of concluding the contract if the customer refuses to consent. Consent is also not valid if data subjects must complete an additional form for the refusal of consent.

ECHR 🇪🇺 awards EUR 5k damages for disclosure of confidential medical data

Applicant was mayor of a Romanian town. He was taken into police custody in connection  with an investigation concerning  the award of  public contracts. He has requested his release because of his health and that of his minor son. Because it was necessary to submit medical data, he requested treatment behind closed doors.  That request has been rejected.  His case has been dealt with in public and his medical details have been made public. Relying on  Article 8 (right to respect for private life), the applicant alleged a breach of his right to privacy, and in particular of his  right to the protection of confidential medical data concerning himself and his minor son. Violation of Article 8: EUR 5,000 (non-pecuniary damage) and EUR 1,980 (costs and expenses).

HUDOC - European Court of Human Rights

The HUDOC database provides access to the case-law of the Court (Grand Chamber, Chamber and Committee judgments and decisions, communicated cases, advisory opinions and legal summaries from the Case-Law Information Note), the European Commission of Human Rights (decisions and reports) and the Commit…

European Court of Human RightsECHR

CJEU 🇪🇺 confirms that EU law precludes national mass surveillance legislation

When is mass surveillance justified? The CJEU clarifies the law in Privacy International and other cases

Lorna Woods , Professor of Internet Law, University of Essex Background This case concerns the collection of bulk co...

EU Law AnalysisSteve Peers

German 🇩🇪 Regional Court of Bonn cuts back GDPR fine by roughly 90%

The Court stated on 23 November 2020 that GDPR fines based purely on an enterprise’s annual turnover are not appropriate.

German court drastically reduces GDPR fine

Germany has seen a couple of record GDPR fines since the German Data Protection Authorities (DPA) issued their guidance paper on how to measure GDPR fines in October 2019. One of these DPA sanctions w...

Hogan Lovells Engage 5.3.14

EDPB 🇪🇺 advises ePrivacy Regulation to complement GDPR by providing strong guarantees for confidentiality and protection of all types of electronic communication

The EDPB stated on 19 November 2020 "under no circumstances" should the ePrivacy Regulation offer a lower level of protection than the current ePrivacy Directive. The EDPB also stated the ePrivacy Regulation should provide a framework for the "cooperation between data protection authorities as supervisory authorities competent under GDPR and authorities having the appropriate expertise, so their cooperation could function effectively."

AP 🇳🇱 fails to uphold strict interpretation of 'legitimate interest' in first GDPR fine court case; EUR 575k fine annuled

According to the Dutch Supervisory Authority (AP), purely commercial interests could not be legitimate. The District Court annuls the decision of the AP, including the fine. "The court rejects the strict interpretation of the legitimate interest of the Data Protection Authority in clear terms. The court determines that the assessment of legitimate interests is a negative test: if an interest is not illegitimate/against the law, it qualifies as a legitimate interest under the GDPR. This is of major importance for privacy in practice, not only for VoetbalTV."(unoffical translation 🇬🇧 by VoetbalTV's law firm)

Brinkhof scores victory for VoetbalTV in first Dutch case on GDPR fines - Brinkhof Advocaten

Today the District court Midden-Nederland has rendered a decision in the appeal of VoetbalTV against the Dutch Data Protection Authority (Autoriteit Persoonsgegevens). This is the first Dutch decision on fines under the GDPR. VoetbalTV, an initiative of the Royal Dutch Football Association and Talpa…

Brinkhof Advocaten

British privacy campaigners filed a legal challenge to how the ICO 🇬🇧 handled an investigation into Google and the online advertising industry

Privacy campaigners file legal challenge against UK’s handling of online ads

British privacy campaigners said Thursday they had filed a legal challenge to how the country’s data protection watchdog handled an investigation into how Google and others handle people&#821…

POLITICOMark Scott

ICO 🇬🇧 fines Ticketmaster UK Limited £1.25m for failing to protect customers’ payment details

The ICO found that the company failed to put appropriate security measures in place to prevent a cyber-attack on a chat-bot installed on its online payment page.

The ICO found that Ticketmaster failed to:

• Assess the risks of using a chat-bot on its payment page
• Identify and implement appropriate security measures to negate the risks
• Identify the source of suggested fraudulent activity in a timely manner

ICO fines Ticketmaster UK Limited £1.25million for failing to protect customers’ payment details

The Information Commissioner’s Office (ICO) has fined Ticketmaster UK Limited £1.25million for failing to keep its customers’ personal data secure. The ICO found that the company failed to put appropriate security measures in place to prevent a cyber-attack on a chat-bot installed on its online pay…

ICO

CNIL 🇫🇷 fines supermarket EUR 2.25m and bank EUR 800k for multiple GDPR breaches

After receiving several complaints, the CNIL has sanctioned two companies of the CARREFOUR group for multiple breaches of the GDPR concerning in particular the information delivered to individuals and the respect of their rights.

The information provided to users of the carrefour.fr and carrefour-banque.fr sites, as well as to people wishing to join the loyalty program or the Pass card, was not easily accessible (access to information that was too complicated, in very long documents containing other information), nor easily understandable (information written in general and imprecise terms, sometimes using unnecessarily complicated wording). In addition, it was incomplete with respect to the length of time the data were kept. Concerning the carrefour.fr site, the information was also insufficient with regard to data transfers outside the European Union, the legal basis of the processing operations (files), cookies and data subject requests.

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE | CNIL

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant l…

Retourner à l’accueil CNIL.FR

GBA 🇧🇪 fines a natural person for private camera surveillance; EUR 1.5k

A Belgian couple received a fine of 1500 euros because they had installed security cameras at home that filmed the neighbors. The Belgian Supervisory Authority (GBA) hopes that the fine is a signal for other persons. The couple had in fact hung five security cameras around their house, two of which filmed the public road and their neighbors. After a complaint from the neighbors, the GBA's Dispute Chamber decided to issue a fine. Read the fining decision (in Dutch).

De GBA legt een boete op voor de onrechtmatige verwerking van camerabeelden | Gegevensbeschermingsautoriteit

Elastische website

GegevensbeschermingsautoriteitHet elasticms-team

AEPD 🇪🇸 fines a natural person for using another person's photo as profile picture on Tinder

https://www.aepd.es/es/documento/ps-00278-2020.pdf

EDPB warns in a letter on cookie-walls to news media that consent under the ePrivacy Directive is the same as under the GDPR

EDPB Response to the letter of 13 July 2020 from News Media Europe and others regarding cookie walls - European Data Protection Board - European Data Protection Board

EDPB Response to the letter of 13 July 2020 from News Media Europe and others regarding cookie walls

European Data Protection Board - European Data Protection Board

Whatsapp has set aside €77.5m in anticipation of a potential DPC 🇮🇪 GDPR fine

WhatsApp braces for DPC’s GDPR fine

Facebook-owned messenger service WhatsApp has set aside 77.5 million euros in anticipation of a potential GDPR fine from the Irish DPC.

International Association of Privacy Professionals

Dutch city uses algorithm to assess home value, 'but has no idea how it works'

Dutch city uses algorithm to assess home value, but has no idea how it works

In a seemingly routine case at the Amsterdam court of appeal, a judge ruled that it was acceptable for a municipality to use a black-box algorithm, as long as the results were unsurprising.

AlgorithmWatch

Marketing department of Swedish 🇸🇪 insurer accidentally leaks data of 1m customers to Google, Facebook, Microsoft, LinkedIn and Adobe

Swedish insurer accidentally leaks info of 1M customers

The largest insurer in Sweden, Folksam, announced it accidentally shared the data of about 1 million customers to several large tech companies.

International Association of Privacy Professionals

Reflections: Employer surveillance of employees working at home

Employee monitoring, the lessons from Barbalescu in the age of Covid19 published 4 November by Peter Coe on the blog Inforrm.

A Brave New Working World or something more sinister? Employer surveillance of employees working at home – Peter Coe

Employers monitoring their employees is not a new issue. Indeed, I have written about the surveillance of employees in the workplace, and their right to privacy pursuant to Article 8 of the Europea…

Inforrm's BlogINFORRM

Report: 'To track or not to track? Towards privacy-friendly and sustainable online advertising'

New report: To track or not to track? Towards privacy-friendly and sustainable online advertising | Panoptykon Foundation

Panoptykon Foundation

Expectations for 2021: substantial challenges in the area of data protection

Much work lies ahead to resolve many of the complex issues that the current year has created, which will be the focus of the privacy, data protection and cybersecurity professionals’ efforts in 2021. Here is a select list of challenges that will surely require our attention in the coming year.

Key data protection challenges for 2021 - Internet Newsletter for Lawyers

2021 is emerging as the year of hope. News of effective Covid vaccines, the promise of the US actively participating in the fight against climate change and the prospect of an overall less dramatic year than 2020 are all reasons to be optimistic. But 2021 will bring its own challenges and in the are…

Internet Newsletter for LawyersEduardo Ustaran

Paper: 'Kaleidoscopic' Data-Related Enforcement in the Digital Age

The interplay between competition, consumer and data protection law, when applied to data collection and processing practices, may lead to situations where several competent authorities can, independently, carry out enforcement actions against the same practice, or where an authority competent to carry out enforcement in one area of law can borrow the concepts of another area to advance its own goals. The authors call this “kaleidoscopic enforcement”.

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3701807

🇳🇱 Nederlandse ontwikkelingen

Consumentenbond stapt naar rechter omdat AP niet over Google-klacht besluit

De Consumentenbond stelt op 30 november 2020 al twee jaar niets te horen over een eventuele behandeling van een klacht en handhavingsverzoek. De Consumentenbond diende in 2018 tegen Google bij de Autoriteit Persoonsgegevens. Die klacht diende de Consumentenbond samen met zeven andere Europese consumentenorganisaties in en ging over het verzamelen van locatiegegevens door Android. "Iedere drie maanden scheept de toezichthouder consumenten opnieuw af met een nietszeggend, drieregelig briefje", een verplichting van art. 78 AVG en overweging 141 AVG.

Consumentenbond naar rechter om Google-zaak | Consumentenbond

De Consumentenbond stapt naar de rechter omdat de Autoriteit Persoonsgegevens (AP) nog altijd geen besluit heeft genomen over de klacht die wij indienden tegen Google.

ConsumentenbondGerard Spierenburg

Hof Amsterdam bevestigt dat schending van de Wbp een schending is van een ongeschreven zorgvuldigheidsnorm in de zin van art. 6:162 BW

Daarnaast concludeert het Hof dat een organisatie niet rechtstreeks rechten kan ontlenen aan de Wbp met betrekking tot de persoonsgegevens van klanten.

IT & Recht | Toch schending Wbp wegens mogelijke reputatieschade

Toch schending Wbp wegens mogelijke reputatieschade

Raad van State concludeert dat 'rectificatie' ook 'vervollediging' inhoudt

9.2 Uit de tekst van artikel 16 van de AVG volgt, ook in de Nederlandse versie, dat het recht op rectificatie ook het recht op vervollediging van onvolledige persoonsgegevens omvat. Het is echter niet zo dat deze bepaling in algemene zin recht geeft op aanvulling van documenten.

ECLI:NL:RVS:2020:2642, Raad van State, 202001809/1/A3

Logo van de rechtspraak

Kantonrechter: ongeautoriseerde mediacampagne met foto op Schiphol was een onrechtmatige verwerking en een datalek; EUR 1.500 schade

5.18 [eiseres] heeft aan haar vordering mede ten grondslag gelegd dat Schiphol heeft gehandeld in strijd met de AVG door – samengevat -  haar portret (met daarop ook zichtbaar haar naam en beroep) in 2018 niet van haar servers te verwijderen en haar en de AP ook niet in te lichten over het onrechtmatig gebruik van haar portret, naam en beroep. Schiphol heeft betwist dat sprake is geweest van een onrechtmatige inbreuk op de persoonsgegevens van [eiseres] en dat Schiphol gehouden was [eiseres] of de AP daarover te informeren.

5.19. Behalve haar portret, zijn op de foto van [eiseres] ook haar naam (door het naamplaatje) en haar beroep (door de kleding) zichtbaar, zodat vast staat dat het hier gaat om de verwerking van persoonsgegevens in de zin van de AVG. De kantonrechter ziet zich vervolgens gesteld voor de vraag of sprake is van een datalek van deze persoonsgegevens (portret, naam en beroep) in de zin van artikel 4 sub 12 AVG. Daarvan is naar het oordeel van de kantonrechter sprake, nu het gebruik van de foto van [eiseres] nadat uitdrukkelijk te kennen was gegeven dat deze niet meer mocht worden gebruikt voor de campagne van [de Stichting] is aan te merken als een inbreuk op de beveiliging die – volgens Schiphol - per ongeluk leidt tot de ongeoorloofde toegang tot bij Schiphol opgeslagen of anderszins verwerkte gegevens. Met [eiseres] is de kantonrechter verder van oordeel dat aan de beginselen van artikel 5 lid 1 onder a en b AVG niet is voldaan, nu deze verwerking voor [eiseres] niet kenbaar was en bovendien buiten het – in het kader van de campagne van [de Stichting] op Schiphol – toegestane gebruik viel.

5.24 Conclusie uit het bovenstaande is dat Schiphol heeft gehandeld in strijd met de AVG door de foto van [eiseres] (met daarop ook zichtbaar haar naam en beroep) in 2018 niet van haar servers te verwijderen, [eiseres] hiervan niet op de hoogte te stellen en de foto van [eiseres] in januari 2019 te plaatsen bij het artikel op de website van [het Platform] . Hiermee heeft Schiphol inbreuk gemaakt op de privacy van [eiseres] . Op grond van artikel 82 AVG heeft [eiseres] daarom recht op schadevergoeding.

ECLI:NL:RBNHO:2020:8537, Rechtbank Noord-Holland, 8117599 CV EXPL 19-16066

Logo van de rechtspraak

De Raad van State bevestigt dat een inzageverzoek niet ziet op persoonsgegevens van derden

De minister mocht die persoonsgegevens van derden daarom weglakken volgens de Afdeling.

4. De Afdeling heeft met toepassing van artikel 8:29, vijfde lid, van de Awb kennisgenomen van de documenten waar het verzoek van [appellante] betrekking op heeft. Het door de minister in het e-mailbericht van 22 augustus 2016, onder punt 7 van Bijlage A, van het besluit op bezwaar van 10 maart 2020 weggelakte zinsdeel in de voorlaatste alinea, betreft tot een derde persoon herleidbare informatie. De weggelakte passages in de overige documenten, […] betreffen allemaal eveneens persoonsgegevens van derden. [appellante] heeft, gelet op artikel 15, eerste lid, van de AVG, geen recht op persoonsgegevens van derden. Daaronder valt, gelet op artikel 4, aanhef en onder 1, van de AVG, informatie waarmee een derde direct of indirect kan worden geïdentificeerd. De minister heeft deze passages daarom terecht weggelakt.

ECLI:NL:RVS:2020:2738, Raad van State, 202002834/1/A3

Logo van de rechtspraak

Google dient zoekresultaten van Groningse makelaars te behouden

De rechtbank Noord-Nederland wijst de verzoeken op grond van de AVG tot verwijdering zoekresultaten af. "Niet gebleken is dat de publicaties waarnaar de zoekresultaten verwijzen, vol onjuistheden staan. De berichtgeving waarnaar de zoekresultaten verwijzen, hebben een waarschuwingsfunctie en deze berichtgeving maakt deel uit van een (lokaal) maatschappelijk debat over onder meer de huursector waarin verzoekers actief zijn (geweest)."

ECLI:NL:RBNNE:2020:3897, Rechtbank Noord-Nederland, C/18/194754 / HA RK 19-64 en C/18/197707 / HA RK 20-22

Logo van de rechtspraak

Overheid

De Kamerbrief met kabinetsreactie op onderzoeken naar algoritmen heeft interessante bijlagen

Kamerbrief met kabinetsreactie op onderzoeken naar algoritmen

Minister Dekker informeert de Tweede Kamer over de kabinetsreactie op 3 onderzoeken naar algoritmen.

Logo Rijksoverheid - Naar de homepage van Rijksoverheid.nl

Zo heeft het enorme rapport 'De Modernisering van het Nederlands Procesrecht in het licht van Big Data' reguleringsopties I t/m XIII (en de reactie daarop) en interviews met Maxim Februari, de Belastingdienst, Bits of Freedom door Bart van der Sloot over de procedurele waarborgen en een goede toegang tot het recht als randvoorwaarden voor een data-gedreven samenleving.

De Modernisering van het Nederlands Procesrecht in het licht van Big Data

Het rapport gaat over de procedurele waarborgen en een goede toegang tot het recht als randvoorwaarden voor een data-gedreven samenleving.

Logo Rijksoverheid - Naar de homepage van Rijksoverheid.nl

Het rapport 'Onvoorziene effecten van zelflerende algoritmen' door Considerati komt tot de conclusie dat:

Uit de literatuur en de casestudies blijkt dat onvoorziene effecten sterk afhankelijk zijn van de context  waarbinnen algoritmen worden toegepast.  Verder blijkt dat onvoorziene effecten doorgaans negatief zijn. Dit heeft minder temaken met het gebruik van algoritmen, dan met het feit dat onvoorziene effecten door hun onvoorspelbaarheid doorgaans eerder negatief dan positief van aard zijn.

Op  basis  van  het  onderzoek  kunnen  we  stellen  dat  er  drie  ‘grondoorzaken’  zijn  voor  het optreden   van   onvoorziene   effecten   in   de   context   van   de   toepassing   van   (zelf)lerende algoritmen.
1) Er is een onvolledig of verkeerd begrip van de probleemruimte.
2) Het zelflerende algoritme is niet goed toegerust om om te gaan met de complexe omgeving waarbinnen het wordt ingezet.
3) Het (zelflerende)algoritme wordt niet goed ingepast in een bredere (socio-technische) context

Onvoorziene effecten van zelflerende algoritmen

Het rapport richt zich op mogelijke onvoorziene effecten van de inzet van (zelflerende) algoritmen door bedrijven en consumenten.

Logo Rijksoverheid - Naar de homepage van Rijksoverheid.nl

Ministerie van Justitie en Veiligheid heeft een Handreiking over 'De aanpak van mensen­handel en het gebruik van persoonsgegevens' gepubliceerd

De Handreiking is een sterke uitwerking van hoe organisaties persoonsgegevens bij de aanpak van mensenhandel kunnen gebruiken, met handzame stappen en checklists.

Handreiking De aanpak van mensen­handel en het gebruik van persoonsgegevens

De handreiking richt zich op het gebruik van persoonsgegevens bij de aanpak van mensenhandel door organisaties.

Logo Rijksoverheid - Naar de homepage van Rijksoverheid.nl

De stand van zaken AVG in vaste commissie Tweede Kamer van 19 November

• Position paper F. Zuiderveen Borgesius, hoogleraar.
• Position paper A. Arnbak, advocaat: column Versplintering privacytoezicht vergt sterker Europa en column ‘Ondanks trage start zal privacywet AVG belofte van megaboetes en massaschadeclaims inlossen’.

Kamerbrief bij eindrapportage van extern onderzoek naar taken en financiële middelen van de Autoriteit Persoonsgegevens

Minister Dekker stuurt het rapport 'Onderzoek taken en financiële middelen bij AP' de Tweede Kamer. Het rapport gaat over het externe onderzoek naar de grondslagen van de taken en de financiering van de Autoriteit Persoonsgegevens (AP). Hij gaat daarbij in op de belangrijkste uitkomsten van het onderzoek, de aanbevelingen en de vervolgstappen.

Kamerbrief bij eindrapportage van extern onderzoek naar taken en financiële middelen van de Autoriteit Persoonsgegevens

Minister Dekker stuurt het rapport ‘Onderzoek taken en financiële middelen bij AP’ de Tweede Kamer. Het rapport gaat over het externe onderzoek naar de grondslagen van de taken en de financiering van de Autoriteit Persoonsgegevens (AP). Hij gaat daarbij in op de belangrijkste uitkomsten van het onde…

Logo Rijksoverheid - Naar de homepage van Rijksoverheid.nl

Besluit Wob-verzoek van het ministerie van Defensie over Behavioural Dynamics Methodology

Besluit op een verzoek om documenten over de Behavioural Dynamics Methodology. Het gaat om een verzoek op basis van de Wet openbaarheid van bestuur (Wob).

Besluit Wob-verzoek over Behavioural Dynamics Methodology

Besluit op een verzoek om documenten over de Behavioural Dynamics Methodology. Het gaat om een verzoek op basis van de Wet openbaarheid van bestuur (Wob).

Logo Rijksoverheid - Naar de homepage van Rijksoverheid.nl

Met in bijlage deel 6 ook een gegevensbeschermingseffectbeoordeling (DPIA):

Bijlagen deel 4-6 bij besluit Wob-verzoek over Behavioural Dynamics Methodology

Openbaar gemaakte documenten na een verzoek om documenten over de Behavioural Dynamics Methodology. Het gaat om een verzoek op basis van de Wet openbaarheid van bestuur (Wob).

Logo Rijksoverheid - Naar de homepage van Rijksoverheid.nl

Een nieuwe gegevenswet politie en justitie; herziening van de Wjsg en de Wpg

Naar een nieuwe gegevenswet politie en justitie; herziening van de Wjsg en de Wpg | Tweede Kamer der Staten-Generaal

Logo Tweede Kamer der Staten-Generaal

Heffingsambtenaar van Bergen op Zoom verweert ten onrechte niet op inzageverzoek, maar op een naheffingaanslag parkeerbelasting

De rechtbank Zeeland-West-Brabant oordeelt dan ook dat de heffingsambtenaar inmiddels het maximale bedrag van € 1.442,- aan dwangsommen heeft verbeurd en dient binnen twee weken na de dag waarop de uitspraak wordt verzonden alsnog een besluit bekend te maken.

3. De heffingsambtenaar heeft bij brief van 2 juli 2020 stukken en een verweerschrift ingediend. De heffingsambtenaar gaat er ten onrechte vanuit dat het beroep niet tijdig beslissen ziet op het bezwaar van eiser gericht tegen de naheffingsaanslag parkeerbelasting. Uit het beroepschrift van 4 juni 2020 blijkt duidelijk dat de gemachtigde van eiser beroep instelt tegen het niet tijdig beslissen op het bezwaarschrift van 29 januari 2020 gericht tegen de beslissing van 12 december 2019 waarmee is beslist op het verzoek tot inzage op grond van de AVG van 1 december 2019.

Nu de heffingsambtenaar niet aan zijn verplichting heeft voldaan om de juiste stukken en een op dit beroep toegespitst verweerschrift in te dienen, neemt de rechtbank als vaststaand aan dat de gemachtigde van eiser bij brief van 1 december 2019 een verzoek om inzage op grond van de AVG heeft ingediend.

Op grond van artikel 12, derde lid, van de AVG verstrekt de verwerkingsverantwoordelijke de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. In artikel 34 van de Uitvoeringswet Algemene Verordening Gegevensbescherming is bepaald dat een schriftelijke beslissing op het verzoek geldt als een besluit in de zin de Algemene wet bestuursrecht.

ECLI:NL:RBZWB:2020:3789, Rechtbank Zeeland-West-Brabant, AWB- 20_6846

Logo van de rechtspraak

Aanvullend en origineel advies van de AP over een aangepast concept voor het wetsvoorstel transparantie maatschappelijke organisaties

Informatie over Bijlage 957050 | Overheid.nl > Officiële bekendmakingen

Publicaties > Officiële publicaties

Informatie over Bijlage 957057 | Overheid.nl > Officiële bekendmakingen

Publicaties > Officiële publicaties

Justitie

Verzoek tot inzage politiegegevens op grond van de Wpg gedeeltelijk afgewezen

ECLI:NL:RBDHA:2020:12031, Rechtbank Den Haag, AWB - 19 _ 5844

Logo van de rechtspraak

Media & politiek

Vrij Nederland: Weg met gepersonaliseerde advertenties: de aanval op het datagraaien is geopend

‘Elke Nederlander van wie Oracle en Salesforce met hun cookies op een telefoon, computer of tablet  gegevens hebben verzameld, kan schade claimen.’

Microsoft-tool geeft productiviteitsscore door werknemers te tracken

Microsoft productivity score feature criticised as workplace surveillance

Tool allows managers to use Windows 365 to track their employees’ activity

The GuardianAlex Hern

Financieel

ING behoudt gegevens WhatsApp-fraudeur na verwijderverzoek

ING heeft de bankrelatie met eiseres beëindigd, nadat ING vermoedde dat de bankrekening van eiseres werd gebruikt voor WhatsApp-fraude. Vervolgens heeft ING de naam van eiseres opgenomen in het Incidentenregister en het EVR. Eiseres vordert ING te veroordelen haar personalia te verwijderen uit het Incidentenregister en het EVR en de blokkering van haar bankrekening ongedaan te maken. De verwerking van de gegevens ven eiseres in het Incidentenregister is in beginsel rechtmatig op grond van artikel 6 lid 1 aanhef en onder f AVG, omdat eiseres nauw betrokken moet zijn geweest bij de oplichting. Omdat de informatie in het Incidentenregister uitsluitend toegankelijk is voor een beperkt aantal medewerkers van ING, voldoet de registratie ook aan de beginselen van subsidiariteit en proportionaliteit. Eveneens is voldaan aan de toets van artikel 5.2.1. van het PIFI voor registratie in het EVR. De vorderingen van eiseres worden afgewezen.

4.9. […] De conclusie dat [eiseres] minst genomen gelegenheid heeft gegeven voor oplichting en daarbij ook nauw betrokken moet zijn geweest, is daarvoor voldoende aanleiding. De verwerking van haar persoonsgegevens is ook noodzakelijk ter behartiging van de gerechtvaardigde belangen van ING. Het belang van [eiseres] , van wie voldoende aannemelijk is dat zij de registraties aan zichzelf te wijten heeft, weegt daar niet tegenop. Daarmee is de verwerking in beginsel rechtmatig op grond van artikel 6 lid 1 aanhef en onder f AVG. Nu bovendien de informatie in het Incidentenregister uitsluitend toegankelijk is voor een beperkt aantal medewerkers van ING, voldoet de registratie ook aan de beginselen van subsidiariteit en proportionaliteit. 4.10. Eveneens is voldaan aan de toets van artikel 5.2.1 van het PIFI voor registratie in het EVR. Gelet op het voorgaande is voldoende aannemelijk dat [eiseres] bewust (minst genomen) haar rekening ter beschikking heeft gesteld, als zij al niet actief aan de fraude heeft meegewerkt door het goedkeuren van transacties. Ook de registratie in het EVR voldoet aan de beginselen van subsidiariteit en proportionaliteit.

ECLI:NL:RBAMS:2020:5422, Rechtbank Amsterdam, C/13/690140 / KG ZA 20-851

Logo van de rechtspraak

Afweging van gerechtvaardigde belangen bij een verwijderverzoek

De Geschillencommissie Financiële Dienstverlening oordeelt dat Intrum (een incasso-organisatie) "voldoende belangen heeft om de gegevens van Consument te behouden. Het is aan Consument om aan te tonen dat zijn belangen zwaarder wegen. Nu hij hieraan niet heeft voldaan, oordeelt de Commissie dat de klacht ongegrond is en dat zijn vordering wordt afgewezen."

3.5 De Commissie begrijpt het verzoek van Consument tot verwijdering van zijn gegevens als een verzoek op grond van artikel 17 lid 1 sub a van de AVG […] (...). Naar de Commissie het begrijpt, betoogt Intrum dat Consument geen beroep kan doen op artikel 17 lid 1sub a AVG, omdat Intrum de persoonsgegevens nog nodig heeft en deze daarom nog niet kan verwijderen. Intrum heeft hierbij benadrukt dat zij een belangenafweging als bedoeld in artikel 6 lid 1 onder f) AVG (zie bijlage bij deze uitspraak) wenst te maken. Indien het belang van Consument prevaleert boven het belang van Intrum, dan is Intrum alsnog bereid de gegevens te verwijderen. Voor de belangen-afweging is echter wel vereist dat Intrum weet wat de belangen van Consument zijn.

https://www.kifid.nl/wp-content/uploads/2020/11/Uitspraak-2020-922.pdf