Data Protection - Winter 2021/2022

These months have been all about Data Transfers ✈️. After SAs in Austria 🇦🇹 and France 🇫🇷 enforced the post-Schrems II data transfer framework, the first steps have been taken to protect digital rights in the public cloud. The EDPB 🇪🇺 aims to enforce the framework in the public sector.

Data Protection - Winter 2021/2022

🇪🇺 European developments

EDPB 🇪🇺 launches coordinated enforcement on use of cloud by public sector

Public sector organisations [are] turning to cloud technology. However, in doing so, public bodies at national and EU level may face difficulties in obtaining Information and Communication Technology products and services that comply with EU data protection rules. Through coordinated guidance and action, the SAs aim to foster best practices and thereby ensure the adequate protection of personal data.

The EDPB will publish a report on the outcome of this analysis before the end of 2022.

Launch of coordinated enforcement on use of cloud by public sector | European Data Protection Board

EDPB 🇪🇺 starts consultation of Guidelines 01/2022 on data subject rights - Right of access

Guidelines 01/2022 on data subject rights - Right of access | European Data Protection Board

European Court of Human Rights (ECHR) 🇪🇺 - Factsheet: Personal data protection overview (pdf)

Updated in January 2022

EDPB 🇪🇺 report on Chinese, Russian and Indian Governments' access to data

Legal study on Government access to data in third countries | European Data Protection Board

Case law

European Court of Human Rights 🇪🇺 - CASE OF EKIMDZHIEV AND OTHERS v. BULGARIA

Inadequate legal safeguards against arbitrariness and abuse for secret surveillance, retention and access of communications data
HUDOC - European Court of Human Rights
The HUDOC database provides access to the case-law of the Court (Grand Chamber, Chamber and Committee judgments and decisions, communicated cases, advisory opinions and legal summaries from the Case-Law Information Note), the European Commission of Human Rights (decisions and reports) and the Commit…

LG München 🇩🇪 awards damages for loss of control over personal data to Google for website using Google Fonts

Dynamic IP addresses constitute personal data for the operator of a website, because he has the abstract legal means that could reasonably be used to have the person in question determined from the stored IP addresses with the help of third parties, namely the competent authority and the Internet access provider (following BGH VI ZR 135/13).
The use of font services such as Google Fonts cannot be based on Art. 6 (1) p.1 lit. f GDPR, since the use of the fonts is also possible without a connection from visitors to Google servers.
LG München: 3 O 17493/20 vom 20.01.2022 | 3. Zivilkammer
Urteil des LG München vom 20.01.2022 im Volltext. Gegenstand: Unterlassungsanspruch und Schadensersatz (hier 100 €) wg. Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts

AG Pfaffenhofen 🇩🇪 awards EUR 300 immaterial damages for receiving marketing email

The Local Court of Pfaffenhofen ordered an advertiser of FFP2 masks to pay €300 in immaterial damages for sending a marketing email to a data subject without a legal basis, and failing to provide exact information on the source of the email-address data.
AG Pfaffenhofen a. d. Ilm - 2 C 133/21
The Local Court of Pfaffenhofen ordered an advertiser of FFP2 masks to pay €300 in immaterial damages for sending a marketing email to a data subject without a legal basis, and failing to provide exact information on the source of the email-address data.

Supervisory Authorities

CNIL 🇫🇷 orders use of Google Analytics and data transfers to be unlawful

Google Analytics provides statistics on website traffic. After receiving complaints from the NOYB association, the CNIL, in cooperation with its European counterparts, analysed the conditions under which the data collected through this service is transferred to the United States. The CNIL considers that these transfers are illegal and orders a French website manager to comply with the GDPR and, if necessary, to stop using this service under the current conditions.
Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply | CNIL
Google Analytics is a service that can be integrated by websites such as online sale sites in order to measure the number of visits by Internet users. In this context, a unique identifier is assigned to each visitor. This identifier (which constitutes personal data) and the associated data are trans…

See for other Google Analytics decisions also the EDPS' 🇪🇺 decision against the EP, the DSB's 🇦🇹 decision, and the AP's 🇳🇱 changing stance ("Use of Google Analytics may not be allowed soon").

The BE DPA to restore order to the online advertising industry: IAB Europe held responsible for a mechanism that infringes the GDPR | Autorité de protection des données<br>Gegevensbeschermingsautoriteit
Elastic website

The SA imposed a fine on an NGO fighting disinformation (EUR 2,700) and on one of its researchers (EUR 1,200) for violations of the GDPR committed in the context of an investigation into the political origin of tweets related to the "Benalla affair". The sanctions relate not only to the political profiling of the authors of the analyzed tweets, but also to the publication of several files containing the raw, sometimes sensitive data of the investigation. A decision was taken in collaboration with the CNIL.

Sanctie voor massale verwerking van Twitter-gegevens in verband met de affaire Benalla voor politieke profilering | Gegevensbeschermingsautoriteit
Elastische website
AEPD fine of EUR 3,000,000 to CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. for lack of specific and informed consent regarding profiling for commercial purposes | European Data Protection Board

Germany’s Data Protection Conference 🇩🇪 (DSK) published an expert opinion on FISA risks following data tranfers to the US 🇺🇸

The DSK recently shared an expert opinion (pdf) on Section 702 of the US Foreign Intelligence Surveillance Act (FISA), which came under close scrutiny following Schrems II.  

Stephen I. Vladeck, a professor at the University of Texas School of Law and expert in US national security law, states in the opinion that the scope of companies to which Section 702 potentially applies is broader than commonly thought.

Comissão Nacional de Protecção de Dados 🇵🇹 fines EUR 1.25m for unlawfully sharing protesters' data

The Portuguese DPA issued a €1,250,000 fine against the Lisbon Municipality for sharing personal and sensitive data of protestors with third parties, including the embassies and foreign ministers of the countries targeted by the protests.
CNPD (Portugal) - Deliberação/2021/1569
The Portuguese DPA issued a €1,250,000 fine against the Lisbon Municipality for sharing personal and sensitive data of protestors with third parties, including the embassies and foreign ministers of the countries targeted by the protests.

CNIL 🇫🇷 fines EUR 180k for data breach and failing to report

The French DPA fined the payment service provider SLIMPAY €180,000 for failing to implement appropriate technical and organisational measures, and to report a data breach which affected over 12,000,000 data subjects.
CNIL (France) - Délibération SAN-2021-020 du 28 décembre 2021
The French DPA fined the payment service provider SLIMPAY €180,000 for failing to implement appropriate technical and organisational measures, and to report a data breach which affected over 12,000,000 data subjects.

Garante 🇮🇹 fines Enel Energia EUR 26.5m for unlawful telemarketing

The Italian DPA imposed multiple corrective measures and a fine of €26,513,977 on Enel Energia for unlawfully processing the personal data of millions of users for telemarketing purposes.
Garante per la protezione dei dati personali (Italy) - 9735672
The Italian DPA imposed multiple corrective measures and a fine of €26,513,977 on Enel Energia for unlawfully processing the personal data of millions of users for telemarketing purposes.

Datatilsynet 🇳🇴 fines approx. EUR 400k for unlawful data retention of logging

The Norwegian DPA fined the Public Roads Administration about €396,000 (NOK 4,000,000) for not deleting toll road crossings logs, thus likely violating Article 5(1) GDPR, Article 17(1)(a), Article 17(1)(d) and Article 25(1), cf. Article 5(1)(c), Article 5(1)(d), Article 5(1)(e) and Article 5(1)(f).

Datatilsynet 🇳🇴 fines approx. EUR 100k for unnecessary processing of income data

The Norwegian DPA fined the Public Service Pension Fund (SPK) € 99,940 (NOK 1,000,000) for obtaining unnecessary income data of approximately 24,000 people receiving disability pension, in breach of Article 5(1)(c), Article 5(1)(e), Article 6(1), and Article 9(2) GDPR.
Datatilsynet (Norway) - 20/01893
The Norwegian DPA fined the Public Service Pension Fund (SPK) € 99,940 (NOK 1,000,000) for obtaining unnecessary income data of approximately 24,000 people receiving disability pension, in breach of Article 5(1)(c), Article 5(1)(e), Article 6(1), and Article 9(2) GDPR.

AEPD 🇪🇸 fines EUR 50k for unnecessary processing of employee's health data

The Spanish DPA fined a controller €50,000 for sharing health data of one of their workers in the course of an administrative procedure in breach of the minimization principle, since such personal data was not strictly necessary for its defence in the procedure.
AEPD (Spain) - PS/00324/2021
The Spanish DPA fined a controller €50,000 for sharing health data of one of their workers in the course of an administrative procedure in breach of the minimization principle, since such personal data was not strictly necessary for its defence in the procedure.

Literature

Article - Understanding why the first pieces fell in the transatlantic transfers domino

By Gabriela Zanfir-Fortuna

Both decisions affirm that all transfers of personal data from the EU to the US need “supplemental measures” on top of their Article 46 GDPR safeguards, in the absence of an adequacy decision and under the current US legal framework for government access to personal data for national security purposes, as assessed by the Court of Justice of the EU in its 2020 Schrems II judgment. Moreover, the Austrian case indicates that in order to be effective, the supplemental measures adduced to safeguard transfers to the US must “eliminate the possibility of surveillance and access [to the personal data] by US intelligence agencies”, seemingly putting to rest the idea of the “risk based approach” in international data transfers post-Schrems II.
Understanding why the first pieces fell in the transatlantic transfers domino
The Austrian DPA and the EDPS decided EU websites placing US cookies breach data transfers rules

DPIA & DTIA - New DPIA for the Dutch government and universities on Microsoft Teams, OneDrive and SharePoint Online

The new DPIA is mainly about the risks of collecting and processing so-called Diagnostic Data, that is, data about the individual use of the services. For example: how often you call who via Teams, what kind of pictures you add in the chat or on an intranet page, and what kind of documents you write, read and share. Additionally, the report addresses the privacy risks of using Microsoft's cloud for the Content Data you can share through these services.
New DPIA for the Dutch government and universities on Microsoft Teams, OneDrive and SharePoint Online - Blogpost
Public DPIA Teams OneDrive SharePoint and Azure AD
This Data Protection Impact Assessment (DPIA) assesses the data protection risks of the (professional) use of Microsoft Teams in combination with OneDrive, SharePoint Online and the Azure Active Directory. Teams is an online tool for videoconferencing, calling and sharing files. As part of Office 36…

DTIA: https://slmmicrosoftrijk.nl/wp-content/uploads/2022/02/DTIA-Dutch-government-Teams-Onedrive-SharePoint-25-Feb-2022-Tab-1-7.zip

Article - Impossible Asks: Can the Transparency and Consent Frame-work Ever Authorise Real-Time Bidding After the Belgian DPA Decision?

[T]his decision is a milestone with important, broad and deep potential impacts. Firstly, the scope of the controllership and processing operations identified has, to an extent we have never seen before in either case-law or published regulatory decisions, considered and analysed a significant extent of the entire RTB ecosystem at once. This will likely have wider impacts for pan-Eu-ropean enforcement, and provide a blueprint going forwards in line with the GDPR’s consistency mechanism. Secondly, while the deci-sion appears to give a chance to IAB Europe to fix the TCF, the chalice the Belgian DPA hands the defendant is actually somewhat poisoned.
Impossible Asks: Can the Transparency and Consent Framework Ever Authorise Real-Time Bidding After the Belgian DPA Decision? | Technology and Regulation

Article - Data Protection Authorities under the EU General Data Protection Regulation. A new global benchmark (extended version) (pdf)

By Philip Schütz

Article - The Algorithmic Learning Deficit: Artificial Intelligence, Data Protection, and Trade

By Svetlana Yakovleva and Joris van Hoboken

the EU policy priorities in this respect in international trade negotiations, this chapter argues that the set of EU public policy objectives weighted against the benefits of digital trade in international trade negotiations, especially with a view to AI, should be broader than just privacy and data protection. It also argues that an individual rights approach has limitations in governing data flows in the context of AI and should be expanded to factor in a clearer understanding of who wins and who loses from unrestricted cross border data flows in an age of data-driven services and service production.
The Algorithmic Learning Deficit: Artificial Intelligence, Data Protection, and Trade
Public policy interests implicated by international data governance and data flows, indispensable for the global governance of AI, stretch far beyond issues of

Blog - CNIL Published Guidelines on Re-Use of Personal Data by Data Processors

Hunton's interpretation of the guidelines for a data processor’s re-use of personal data for its own purposes. It may result in "its re-qualification into a data controller and may be subject to sanctions (i.e., for failure to act on the instructions of the controller). However, the CNIL highlights the conditions under which such re-use may be lawful"

CNIL Published Guidelines on Re-Use of Personal Data by Data Processors
The CNIL recently published guidelines on the re-use of personal data by data processors for their own purposes (such as product improvement or development of new products and services) under the GDPR. We have outlined key takeaways from the Guidelines in this blog post.

Blog - EU/US Adequacy Negotiations and the Redress Challenge: How to Create an Independent Authority with Effective Remedy Powers

Can the U.S. Government create, by non-statutory means, an independent redress authority capable of providing an effective remedy for a European person who believes that her or his rights have been infringed by an intelligence service? In this article we put forward a novel non-statutory solution that could resolve the “redress” problem in the EU/US adequacy negotiations. This solution is based on three “building blocks” inspired by methods utilized in U.S. administrative law. First, the U.S. Department of Justice should issue a binding regulation creating within that executive agency an independent “Foreign Intelligence Redress Authority” (FIRA). Second, the President should issue a separate Executive Order providing the necessary investigative powers and giving FIRA’s decisions binding effect across the intelligence agencies and other components of the U.S. government. Finally, European individuals could obtain judicial review of an independent redress decision by using the existing Administrative Procedure Act.
EU/US Adequacy Negotiations and the Redress Challenge: How to Create an Independent Authority with Effective Remedy Powers
Can the U.S. Government create, by non-statutory means, an independent redress authority capable of providing an effective remedy for a European person who believes that her or his rights have been…

Report - Study on mapping data flows

The final report of the study provides a new and self-sustained methodology to estimate and monitor the volume and types of enterprise data flowing between cloud infrastructures within Europe and for investigating where data is flowing geographically across Europe.
Study on mapping data flows
The final report of the study provides a new and self-sustained methodology to estimate and monitor the volume and types of enterprise data flowing between cloud infrastructures within Europe and for investigating where data is flowing geographically across Europe.

Article - Data Transfer to unsafe Third Countries

By Nina Diercks and Heiko Markus Roth

Of the relevance and potential of the risk-based approach in Transfer Impact Assessment (TIA) under the EU Commission's new Standard Contractual Clauses (SCC), in particular for applicant management software and intra-group data transfers
Data Transfer to unsafe Third Countries
Of the relevance and potential of the risk-based approach in Transfer Impact Assessment (TIA) under the EU Commission’s new Standard Contractual Clauses (SCC), in particular for applicant management software and intra-group data transfers.

Article - Schrems II and Individual Redress—Where There’s a Will, There’s a Way

From Oct 2020 - By Christopher Docksey

Schrems II and Individual Redress—Where There’s a Will, There’s a Way
What changes can the U.S. make to satisfy Schrems II’s requirements?

Article - Smartphone platforms as privacy regulators

By Joris van Hoboken and R Ó Fathaigh

The article first distinguishes the different roles that platforms can have in ensuring respect for data privacy in relevant ecosystems. These roles include governing access to data, design of relevant interfaces and privacy mechanisms, setting of legal and technical standards, policing behaviour of the platform's (business) users, coordinating responsibility for privacy issues between platform users and the platform, and direct and indirect enforcement of a platform's data privacy standards on relevant players.
Smartphone platforms as privacy regulators
A series of recent developments highlight the increasingly important role of online platforms in impacting data privacy in today’s digital economy. Re…

Technology

Tool - CyberChef: The Cyber Swiss Army Knife by GCHQ

CyberChef is a simple, intuitive web app for carrying out all manner of "cyber" operations within a web browser. These operations include simple encoding like XOR or Base64, more complex encryption like AES, DES and Blowfish, creating binary and hexdumps, compression and decompression of data, calculating hashes and checksums, IPv6 and X.509 parsing, changing character encodings, and much more.
GitHub - gchq/CyberChef: The Cyber Swiss Army Knife - a web app for encryption, encoding, compression and data analysis
The Cyber Swiss Army Knife - a web app for encryption, encoding, compression and data analysis - GitHub - gchq/CyberChef: The Cyber Swiss Army Knife - a web app for encryption, encoding, compressio...

Anonymisation: Interaction data are identifiable even across long periods of time

Fine-grained records of people’s interactions, both offline and online, are collected at large scale. These data contain sensitive information about whom we meet, talk to, and when. We demonstrate here how people’s interaction behavior is stable over long periods of time and can be used to identify individuals in anonymous datasets. Our attack learns the profile of an individual using geometric deep learning and triplet loss optimization. In a mobile phone metadata dataset of more than 40k people, it correctly identifies 52% of individuals based on their 2-hop interaction graph. We further show that the profiles learned by our method are stable over time and that 24% of people are still identifiable after 20 weeks.
Interaction data are identifiable even across long periods of time - Nature Communications
Large amounts of interaction data are collected by messaging apps, mobile phone carriers, and social media. Creţu et al. propose a behavioral profiling attack model and show that&nbsp;the stability of people’s interaction networks over time can allow individuals to be re-identified in interaction da…

Media

A data ‘black hole’: Europol ordered to delete vast store of personal data

EU police body accused of unlawfully holding information and aspiring to become an NSA-style mass surveillance agency
A data ‘black hole’: Europol ordered to delete vast store of personal data
EU police body accused of unlawfully holding information and aspiring to become an NSA-style mass surveillance agency
Google and Facebook face big fines from Paris for violating cookie rules.
France flexes muscles with fines against Facebook, Google over cookie banners
Google and Facebook face big fines from Paris for violating cookie rules.

🇳🇱 Nederlandse ontwikkelingen

Artikel - De wisselwerking tussen hoofdovereenkomst en verwerkersovereenkomst: enkele uitdagingen

De wisselwerking tussen hoofdovereenkomst en verwerkersovereenkomst: enkele uitdagingen - OpenRecht

Artikel - Toezicht onder de Wet op de inlichtingen- en veiligheidsdiensten 2017: een tour de force

Door Rowin Jansen

Om de verruiming van het bevoegdhedenarsenaal van de AIVD en de MIVD te compenseren, herschikte de wetgever het toezichtstelsel in de Wet op de inlichtingen- en veiligheidsdiensten 2017. Ondanks stevige kritieken opteerde hij voor een stelsel met twee losstaande toezichthouders. De recente wetsevaluatie wijst uit dat dit duale stelsel in de praktijk suboptimaal functioneert. Er zijn onder meer patstellingen ontstaan tussen de AIVD en de MIVD enerzijds en de TIB en de CTIVD anderzijds over de interpretatie van wettelijke normen. In deze bijdrage wordt beschreven welke keuzes met betrekking tot het toezichtstelsel zijn gemaakt, welke problemen in de toepassingspraktijk zijn ontstaan en welke knopen de wetgever de komende tijd moet doorhakken.
Toezicht onder de Wet op de inlichtingen- en veiligheidsdiensten 2017. Een tour de force

Overzicht - Louwers jaaroverzicht van Privacy 2021

Om uw geheugen op te frissen, treft u in deze Privacy Jaarupdate een overzicht van de meest interessante juridische ontwikkelingen die zich in 2021 binnen dit rechtsgebied hebben voorgedaan.
Jaarupdate Data Privacy 2021 - Louwers
De Algemene Verordening Gegevensbescherming vierde in 2021 alweer haar derde verjaardag. Privacy is dan ook een onderwerp dat binnen de meeste organisaties niet meer is weg te denken. De ontwikkelingen binnen dit rechtsgebied gaan bovendien razendsnel. De Europese- en nationale wetgevers zitten niet…

Jurisprudentie

Hoge Raad: gevolgen van gegevensbestanden Belastingdienst: in uitzonderlijke gevallen vermindering van belastingaanslag mogelijk

5.3 Indien een belastingplichtige in zijn aangifte een aftrekpost opvoert en bij de aanslagregeling wordt geconstateerd dat hij op die aftrek (gedeeltelijk) geen recht heeft, is het niet onrechtmatig indien de inspecteur vervolgens onderzoek gaat doen naar aangiften van eerdere jaren. Evenmin onrechtmatig is het besluit van de inspecteur om – na die constatering – de aangiften van de belastingplichtige over latere jaren te gaan controleren. Dat geldt in beginsel ook indien die constatering ertoe leidt dat gegevens van de belastingplichtige worden opgeslagen in een bestand, en zelfs indien die gegevensverwerking op zichzelf beschouwd onrechtmatig is. De rechtmatigheid van het besluit van de inspecteur om een aangifte te controleren wordt in beginsel niet aangetast door de manier waarop informatie over de belastingplichtige is verwerkt.

Dat kan anders zijn indien de controle van de aangifte voortvloeit uit een risicoselectie, een verwerking van persoonsgegevens in een databank of een gebruik van een databank waarin persoonsgegevens zijn opgeslagen, op basis van een criterium dat jegens de belastingplichtige leidt tot een schending van een grondrecht zoals een schending van het verbod op discriminatie naar afkomst, geaardheid of geloofsovertuiging. Indien de rechter tot de bevinding komt dat zo’n uitzonderlijke situatie aan de orde is, is het niet uitgesloten dat hij daaraan de slotsom verbindt dat de controle van de aangifte van de belastingplichtige heeft plaatsgevonden op een wijze die zozeer indruist tegen hetgeen van een behoorlijk handelende overheid mag worden verwacht, dat het gebruik van hetgeen bij die controle aan het licht is gekomen onder alle omstandigheden ontoelaatbaar moet worden geacht. In dat uitzonderlijke geval komt aan de inspecteur niet de bevoegdheid toe om de aangifte van de belastingplichtige te corrigeren naar aanleiding van die bij de controle aan het licht gekomen punten. Indien een belastingplichtige gemotiveerd stelt dat de hier bedoelde uitzonderlijke situatie zich in zijn geval heeft voorgedaan, dient de inspecteur aan de belastingplichtige en de rechter de gegevens te verstrekken die voor de beoordeling hiervan van belang kunnen zijn.
5.4 Tot de hiervoor in 5.3 geschetste uitzonderlijke situaties kan niet zonder meer worden gerekend het geval waarin de Belastingdienst het recht van een belastingplichtige op bescherming van zijn persoonlijke levenssfeer heeft geschonden door gegevens van die belastingplichtige te verwerken op een wijze die door de inhoud, het gebruik of de verspreiding van de desbetreffende bestanden – eventueel op onderdelen – in strijd is met de Wet bescherming persoonsgegevens of de AVG. Indien zou worden geconstateerd dat de door deze regelingen beoogde bescherming van de persoonlijke levenssfeer door de verwerking van persoonsgegevens is geschaad, kan dat dus niet leiden tot een verlaging van een – op zichzelf bezien juist berekende – aanslag. Evenmin kan de belastingrechter in zo’n geval aan een belastingplichtige een schadevergoeding toekennen. Dat kan namelijk alleen als de aanslag onrechtmatig is. Bovendien geldt dat de belastingrechter in procedures over rijksbelastingen (met uitzondering van vennootschapsbelasting) alleen een schadevergoeding kan toekennen als het beroep tegen de aanslag gegrond is. Dat betekent dat een belastingplichtige in de hiervoor geschetste gevallen voor een eventuele schadevergoeding een afzonderlijk verzoek moet richten tot het desbetreffende bestuursorgaan en dat een eventuele procedure daarover moet worden gevoerd voor de algemene bestuursrechter of de civiele rechter.’
Uitspraak Hoge Raad over gevolgen van gegevensbestanden Belastingdienst: in uitzonderlijke gevallen vermindering van belastingaanslag mogelijk
De Hoge Raad heeft vandaag uitspraak gedaan in een zaak over (de gevolgen van) het zogenoemde project 1043 van de Belastingdienst en de Fraude Signalering Voorziening (databank FSV). In zijn uitspraak geeft de Hoge Raad uitgangspunten voor de behandeling van klachten over project 1043 en (het gebrui…
ECLI:NL:HR:2021:1748, Hoge Raad, 20/02304

Hof van Discipline 's Gravenhage: Advocaat handelt in strijd met informatieplicht

Ter zake van de AVG klacht stelt het hof voorop dat niet is gebleken dat het kantoor van verweerder beschikt over een privacyverklaring om aan de op het kantoor ex art. 12 -14 AVG rustende informatieverplichtingen te voldoen. Dat brengt mee dat verweerder, toen hij (persoons)gegevens aan de ex-kantoorgenoot wilde verstrekken om processtukken voor te bereiden, klaagster hierover eerst had moeten informeren en haar de gelegenheid had moet geven hiertegen bezwaar te maken.
Overheid.nl | Tuchtrecht

Rechtbank Amsterdam: Werkgever opent e-mail, inbreuk privacy maar mail wel toegelaten als bewijs.

ECLI:NL:RBAMS:2021:6491, Rechtbank Amsterdam, 8920900 CV EXPL 20-22242

Rechtbank Den Haag: Inzagerecht strekt niet tot persoongegevens van derden

In deze procedure moet beoordeeld worden of verweerder het inzageverzoek van eiseres correct heeft afgehandeld. De rechtbank stelt vast dat verweerder alles wat er over de melding was aan eiseres heeft verstrekt, met uitzondering van de gegevens van derden. Dit betreft de gegevens van de melder en de gegevens van de leden van het zorgnetwerkoverleg waarin de melding aan de orde is geweest. Daarmee heeft verweerder conform de AVG gehandeld. Op grond van artikel 15, vierde lid, van de AVG doet het inzagerecht geen afbreuk aan de rechten en vrijheden van anderen. Volgens artikel 23, eerste lid, aanhef en onder i, van de AVG2 kan het inzagerecht worden beperkt (kort gezegd) omwille van de rechten en vrijheden van anderen. Het weglakken van de persoonsgegevens van derden omwille van hun privacy is dan ook gerechtvaardigd. Verweerder had overigens met inzage of enkele vermelding van de persoonsgegevens van eiseres kunnen volstaan en heeft dan ook strikt genomen meer gedaan dan waartoe hij op grond van de AVG verplicht was.
ECLI:NL:RBDHA:2021:13435, Rechtbank Den Haag, AWB - 20 _ 5680

Rechtbank Den Haag: het voorkomen van misstanden t.a.v. privacy van consumenten ligt besloten in de statutaire doelstelling. Hoorplicht geschonden.

4.4. De rechtbank overweegt dat eiseres volgens haar statutaire doelstelling opkomt voor een algemeen en collectief belang en zich in dit kader met de genoemde feitelijke werkzaamheden in het bijzonder richt op voorkoming van misstanden op het gebied van de privacy van consumenten. Deze privacybelangen zijn naar het oordeel van de rechtbank zodanig verweven met het algemeen belang bij het voorkomen van bedoelde misstanden dat de behartiging daarvan geacht moet worden besloten te liggen in de statutaire doelstellingen van eiseres. Nu dit algemeen belang naar het oordeel van de rechtbank rechtstreeks is betrokken bij een door verweerder te nemen besluit op het verzoek van eiseres om handhavend op te treden tegen Google, heeft verweerder zich ten onrechte op het standpunt gesteld dat eiseres geen belanghebbende is bij een besluit op het handhavingsverzoek.
ECLI:NL:RBDHA:2021:15405, Rechtbank Den Haag, AWB - 20 _ 4694

Rechtbank Rotterdam: Werknemer's foto op Coolblue busjes: Toestemming voor portretrecht in arbeidsvoorwaarden, grondslag na dienstverband is gerechtvaardigd belang

ECLI:NL:RBROT:2021:13048, Rechtbank Rotterdam, 9278154 \ Cv EXPL 21-20548

Overheid

Beleidsadvies - Het best bewaarde geheim van datingapps:
een onderzoek naar algoritmische transparantie
(pdf)

Door Meredith Hom, Noortje van Hoorn en Femke Schotman

Datingapps geven in hun privacy policies aan gebruik te maken van algoritmische besluitvorming, maar daarin wordt geen informatie verstrekt over hoe ze die besluiten nemen en welke besluiten het betreft. Ook uit uitgevoerde inzageverzoeken volgt dat er onvoldoende informatie aan de gebruiker wordt verstrekt om AVG compliant te zijn. Ook is er aandacht voor de redenenen om niet transparant te zijn over het gebruik van algoritmes door datingapps: de bedrijfsstructuur van datingapps en de beperkte uitlegbaarheid van algoritmes.

Media

Artikel - De laatste controverses rond advertentie-cookies

Is het het einde van de advertentie-cookie in zicht?
De handel in persoonsgegevens door de advertentie-industrie blijkt in strijd te zijn met de privacyregels. Is dit het einde van de advertentie-cookie?