G.J. Zwenne

Feb 202021
 


De Schrems II uitspraak is uitgebreid besproken in verschillende vaktijdschriften en andere media. De uitspraak was niet onverwacht maar leidde wel tot vele praktische en meer principiële vragen over wat we moeten met gegevensbescherming in een wereld waarin landsgrenzen er steeds minder toe doen. In deze bijdrage gaan we in op de uitspraak, geven we onze gedachten over de betekenis ervan en wat we ermee aan moeten.


Prof mr. G-J. (Gerrit-Jan) Zwenne & Mr. B.D.P. (Berend) Van der Eijk

§1. Inleiding
We doen Max Schrems tekort als we hem alleen maar opvatten als een privacy rockstar. Ongetwijfeld is niet iedereen het eens is met zijn opvattingen over privacy en gegevensbeschermingsrecht, maar onomstreden is dat de door hem en zijn ngo ‘none of your business’ (“noyb”) begonnen procedures grote impact hebben. In zijn laatste zaak heeft het Hof van Justitie van de EU (“het Hof” en ook wel “HJEU”) uit-gemaakt dat PrivacyShield per direct ongeldig is, en ook dat de internationale doorgifte van persoonsgegevens niet zonder meer kan worden gebaseerd op de model-contracten die zijn goedgekeurd door de Europese Commissie (“EC” en ook wel “de Commissie”). De uitspraak maakt het daarmee moeilijk, om niet te zeggen onmogelijk, om persoonsgegevens nog langer op de gebruikelijke wijze door te geven naar de ondernemingen in de VS en andere derde landen, die de diensten aanbieden waarvan velen van ons dagelijks gebruik maken. Dat is een probleem. Er is ons verzekerd dat er heel hard wordt gewerkt aan oplossingen. Of die er ook echt gaan komen, is de vraag. Wij laten ons graag verrassen maar hebben er een hard hoofd in. We vermoeden dat de EU en de VS, waar het gaat om de betekenis van privacyrechten, vooralsnog niet tot elkaar kunnen komen. We kunnen natuurlijk doen alsof dat wel kan, maar beter en realistischer lijkt het ons om er serieus rekening mee te houden dat ook de houdbaarheid van een opvolger Privacy Shield beperkt blijkt.

In deze bijdrage bespreken we eerst de achtergrond van het laatste Schrems-arrest (§2), waarna we ingaan op het eerste Schrems-arrest, zgn. Schrems I (§3) en vervol-gens op het de laatste door hem uitgelokte arrest, Schrems II (§4). In de afsluitende paragraaf verkennen we wat we aanmoeten met de uitspraak (§5). [lees verder]

Feb 202021
 

De AVG is uiteraard ook van toepassing in faillissementen. Maar wat dat betekent voor de curator is niet altijd duidelijk. In het ontwerpwetsvoorstel voor de Verzamelwet gegevensbescherming wil de wetgever daaraan wat doen, nadat eerder al de toezichthouder zijn opvattingen daarover had gegeven. Aan de hand van een en ander gaat deze bijdrage in op de verwerkingsverantwoordelijkheid van de curator en de verwerkingsgrondslag waarvan hij gebruik kan maken, alsmede op de vraag in hoeverre het doelverenigbaarheidsvereiste toelaat dat de curator een klantenbestand verkoopt.

Gerrit-Jan Zwenne en Joachim van Vlijmen

1. Inleiding
Op de eerste werkdag na de kerstvakantie vorig jaar stuurde de Autoriteit persoonsgegevens (AP)1 een brief aan INSOLAD, de Vereniging voor Insolventierecht Advocaten, met daarin het verzoek de inhoud daarvan onder de aandacht te brengen van haar leden. In de brief zette de privacytoezichthouder uiteen hoe, volgens haar, in een faillissement de regels voor de verwerking van persoonsgegevens door curatoren moeten worden uitgelegd en toegepast. Vanaf de datum van het faillissement moet de curator, zo zegt de AP in haar brief, meestal worden aangemerkt als verwerkingsverantwoordelijke, met alle daaraan verbonden consequenties. In het kader van de zgn. tegeldemaking van de boedel kan de curator, volgens de brief, een klantenbestand met persoonsgegevens, behoudens de gevallen waarin sprake is van contractsoverneming, alleen verkopen met toestemming van de betrokkenen. Dit vanwege het doelverenigbaarheidsvereiste.

De brief, die met een begeleidend nieuwsbericht ook op de website van de toezichthouder werd bekendgemaakt, riep gemengde reacties op bij de beroepsgroep. Er werd op gewezen dat… [lees verder]