Données à caractère personnel : peut-on marchander l’usage d’un droit fondamental ?

Persoonsgegevens: is het gebruik van een grondrecht verhandelbaar?

Juridisch horloge nr. 54 – December 2022

Persoonsgegevens: is het gebruik van een grondrecht verhandelbaar? Reageren op de procedures tegen Meta, het moederbedrijf van Facebook, WhatsApp en Instagram, zou wel eens vermoeiend kunnen worden, omdat het de woede van de gegevensbeschermingsautoriteiten opwekt. 

Het bedrijf is namelijk van alle GAFAM-bedrijven het zwaarst gesanctioneerd sinds de AVG van kracht werd en kreeg onlangs een boete van nog eens € 390 miljoen opgelegd.

Toch verdienen de recente beslissingen van de Europese Raad voor gegevensbescherming (EDPB), die begin dit jaar door de Ierse gegevensbeschermingsautoriteit zijn geïmplementeerd, om meer dan één reden onze aandacht.

Enerzijds omdat ze de epiloog vormen van een woordenstrijd tussen de Ierse gegevensbeschermingsautoriteit en haar Europese tegenhangers, en anderzijds omdat ze het wettelijk kader voor advertentieprofilering verduidelijken in een context die verder gaat dan het specifieke geval van Meta.

De beslissingen die de EDPB op 6 december heeft genomen, zijn genomen in het kader van de Europese geschillenbeslechtingsprocedure (artikel 65 van de AVG). tussen nationale gegevensbeschermingsautoriteiten.

Op 4 januari werd het definitieve standpunt van de Ierse autoriteit gepubliceerd, dat aansluit bij de conclusies van de EDPB.

Ierland, dat koploper is in deze kwestie, kwam in conflict met andere landen over kwesties rondom verschillende gegevensverwerkingen van Facebook, WhatsApp en Instagram.

De door de EDPB genomen beslissingen lossen het geschil op drie hoofdpunten op: de wettelijke basis voor de verwerking (artikel 6 AVG), de beginselen van gegevensbescherming (artikel 5 AVG) en het gebruik van corrigerende maatregelen, waaronder boetes.

Wat ons met name interesseert, is de vraag op welke rechtsgrondslag de verwerking door het bedrijf plaatsvindt. Meta is namelijk van mening – met steun van de Ierse autoriteit – dat gebruikersgegevens verzameld kunnen worden voor gedragsgerichte reclame (of dienstverleningsverbetering in het geval van WhatsApp), waarbij de rechtsgrondslag contractuitvoering is.

Opgemerkt dient te worden dat Meta vóór de inwerkingtreding van de AVG gedragsgerichte reclame legitimeerde door toestemming van de gebruiker te verkrijgen.

Op 25 mei 2018 heeft het bedrijf zijn algemene voorwaarden gewijzigd om dit doel van gerichte reclame op te nemen. Dit wordt nu beschouwd als een integraal onderdeel van de dienst die het bedrijf aanbiedt en beperkt feitelijk de controle van gebruikers over het gebruik van hun gegevens.

Het bedrijf betoogde dat het geen toestemming nodig had, omdat deze online targeting deel uitmaakt van de dienst die het aan gebruikers levert.

Laten we niet vergeten dat toestemming, net als de noodzaak van gegevens in het kader van de uitvoering van een contract, tot de zes rechtsgrondslagen van artikel 6(1) van de AVG behoren, die de rechtmatigheid van een verwerking kunnen rechtvaardigen.

Zijn deze rechtsgrondslagen onderling uitwisselbaar?

De Europese doctrine is hierover duidelijk en is zojuist bevestigd: de contractuele noodzaak moet strikt worden geïnterpreteerd en de verzamelde gegevens moeten strikt noodzakelijk zijn voor de geleverde dienst, zoals bijvoorbeeld het geval is bij het verzamelen van creditcardgegevens voor onlinebetalingen.

In zijn advies van 8 oktober 2019 over onlinediensten oordeelde de EDPB reeds dat gedragsgerichte reclame geen noodzakelijk onderdeel is van onlinediensten.

Een webwinkel die bijvoorbeeld op basis van bezoeken aan zijn website profielen van de smaak en levensstijl van gebruikers wil maken, kan voor het maken van deze profielen niet vertrouwen op de uitvoering van een koopovereenkomst.

Ook al wordt profilering specifiek in het contract vermeld, dan nog betekent dit niet dat dit ‘noodzakelijk’ is voor de uitvoering van het contract.

Als de webwinkelier dergelijke profilering wil uitvoeren, moet hij zich beroepen op een andere rechtsgrond.

Dit standpunt werd bevestigd door de EDPB in haar richtlijnen van 13 april 2021 over het targeten van gebruikers van sociale media.

Er wordt echter opgemerkt dat steeds meer onlinediensten zich gratis voordoen, terwijl ze in werkelijkheid worden betaald met behulp van de gegevens van de gebruikers, die de tegenhanger vormen van de onlinedienst.

Kunnen wij dan “met onze data betalen”?

Deze vraag over datacontractering is niet nieuw, maar komt tegenwoordig wel met enige urgentie ter sprake.

Ook al dienen de advertenties ter ondersteuning van de dienstverlening, dan nog wordt de verwerking voor direct marketingdoeleinden in beginsel als iets anders beschouwd dan het objectieve doel van de overeenkomst tussen de betrokkene en de dienstverlener, hetgeen impliceert dat de gebruiker vrij moet blijven om al dan niet toestemming te geven voor gerichte reclame.

In 2017 waarschuwde de Europese Toezichthouder voor gegevensbescherming in een advies over contracten voor de levering van digitale diensten 'tegen elke nieuwe bepaling die het idee introduceert dat mensen met hun gegevens kunnen betalen op dezelfde manier als ze met geld kunnen betalen.

Fundamentele rechten, zoals het recht op bescherming van persoonsgegevens, kunnen immers niet worden herleid tot de belangen van consumenten alleen. Persoonsgegevens kunnen niet als een gewoon handelsartikel worden beschouwd.

Sommigen zijn van mening dat betalen met uw gegevens niet betekent dat u uw fundamentele rechten opgeeft.

Ook moet worden gewezen op het dubbelzinnige standpunt van de CNIL ten aanzien van het onderwerp "paywalls". Deze maken de toegang tot een website afhankelijk van betaling voor gebruikers die weigeren cookies te plaatsen. Op haar website geeft de Commissie aan dat zij dergelijke kwesties van geval tot geval onderzoekt.

Moeten we dan van Meta verwachten dat het gebruikers die weigeren om zich te laten profileren door middel van advertenties, geld gaat kosten?

Zoals de NGO NOYB, die de klacht tegen Meta heeft ingediend, terecht opmerkt, heeft het door de EDPB beslechte geschil uitsluitend betrekking op deze profilering en heeft het geen impact op andere vormen van reclame, zoals contextuele reclame op basis van de inhoud van een pagina.

Het standpunt van de EDPB zal ongetwijfeld gevolgen hebben voor de financiën van Meta, maar sluit reclame niet volledig uit.

Integendeel, het zou een gezonde concurrentie moeten herstellen tussen Meta en andere aanbieders van onlinediensten, en tussen bedrijven die onder het Ierse recht vallen en bedrijven die elders in Europa zijn gevestigd.

En ook

Frankrijk:

Op 19 december 2022 heeft de CNIL het bedrijf gesanctioneerd MICROSOFT IERLAND OPERATIONS LIMITED voor een bedrag van 60 miljoen euro voor illegaal gebruik van cookies op haar zoekmachine “bing.com”.

Het bedrijf wordt ervan beschuldigd geen mechanisme te hebben geïmplementeerd waarmee mensen cookies even gemakkelijk kunnen weigeren als accepteren.

De CNIL rechtvaardigt dit bedrag met de omvang van de verwerking, met het aantal betrokken personen en met de winst die het bedrijf haalt uit reclame-inkomsten die indirect worden gegenereerd uit de door cookies verzamelde gegevens.

Op 30 november 2022 legde de CNIL een boete van 300.000 euro op aan het bedrijf FREE.

Bij de inspecties kwamen meerdere overtredingen aan het licht, met name wat betreft de rechten van de betrokkenen (recht op toegang en recht op verwijdering) en op het gebied van de gegevensbeveiliging. Zo constateerde de Commissie dat wachtwoorden niet sterk genoeg waren, dat wachtwoorden in leesbare vorm werden opgeslagen en verzonden en dat ongeveer 4.100 slecht opgeknapte "Freebox"-kastjes opnieuw in omloop werden gebracht.

Ook het argument dat de bronnen van de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens als 'bedrijfsgeheimen' beschouwd zouden moeten worden, werd verworpen.

In een publicatie van 5 december 2022 herinnert de CNIL aan de regels die moeten worden nageleefd bij de verkoop van een klantenbestand voor commerciële doeleinden: het bestand mag enkel de gegevens van actieve klanten bevatten en gedurende een periode van maximaal drie jaar na het einde van de commerciële relatie mogen enkel de gegevens van klanten worden verkocht die zich niet hebben verzet tegen de overdracht van hun gegevens of die daarmee hebben ingestemd, en de koper moet erop toezien dat de rechten van personen worden gerespecteerd (met name duidelijke informatie en toestemming voor elektronische prospectie).

De CNIL heeft dit op 4 januari eindelijk goedgekeurd INTERNATIONALE DISTRIBUTIE VAN APPLE tot 8 miljoen euro omdat zij geen toestemming hebben verkregen van Franse iPhone-gebruikers die de oude versie van iOS 14.6 gebruikten, voordat zij identificatiegegevens voor reclamedoeleinden op hun apparaten plaatsten en/of schreven.

Europa:

Het Zweedse voorzitterschap van de Raad van de EU publiceerde op 14 december zijn prioriteiten voor de komende zes maanden: digitale technologie staat niet bovenaan de agenda., gezien de huidige debatten over economische en energiezekerheid en veerkracht in de context van het Russisch-Oekraïense conflict.

Zweden geeft echter aan dat het de werkzaamheden met betrekking tot de gegevensverordening ('Data Act'), de verordening inzake 'privacy en elektronische communicatie' en het voorstel voor een verordening betreffende een Europese ruimte voor gezondheidsgegevens zal voortzetten.

Op 13 december 2022 publiceerde de Europese Commissie haar langverwachte ontwerpbesluit over het niveau van gegevensbescherming in de Verenigde Staten.

Met dit besluit wordt beoogd een duurzame rechtsgrondslag te bieden voor gegevensoverdrachten tussen de EU en de VS, in navolging van het “Schrems II”-arrest van het Hof van Justitie van de EU van juli 2020, waarmee het “Privacy Shield” ongeldig werd verklaard.

Voordat een definitief besluit kan worden genomen, moet het ontwerp nog worden beoordeeld door de Europese Raad voor Gegevensbescherming (EDPB) en worden goedgekeurd door het comité van vertegenwoordigers van de EU-lidstaten.

Het Europees Parlement heeft ook het recht om adequaatheidsbesluiten te herzien.

De Europese Commissie publiceerde op 15 december 2022 een verklaring over digitale rechten en beginselen voor het digitale decennium.

De verklaring is bedoeld om beleidsmakers te begeleiden bij hun visie op digitale transformatie langs de volgende lijnen: een op de burger gerichte digitale transformatie, ondersteuning van solidariteit en inclusie, een herinnering aan het belang van keuzevrijheid in interacties met algoritmen en kunstmatige intelligentiesystemen, en meer veiligheid, beveiliging en empowerment, met name voor kinderen en jongeren, terwijl het recht op privacy en controle van individuen over hun gegevens wordt gegarandeerd.

Na een jaar onderzoek heeft de Europese Ombudsman haar besluit van 19 december 2022 gepubliceerd over de klacht van de Ierse Raad voor Burgerlijke Vrijheden (ICCL) tegen de Europese Commissie wegens het niet adequaat monitoren van de toepassing van de AVG door Ierland.

Deze beslissing benadrukt de noodzaak van beter toezicht door de Europese Commissie op de voortgang van elke Big Tech-zaak die bij de Ierse Commissie voor gegevensbescherming wordt aangespannen.

In een arrest van 8 december heeft het Hof van Justitie van de Europese Unie de voorwaarden verduidelijkt waaronder Europese burgers van Google de verwijdering van hen betreffende zoekresultaten kunnen verkrijgen.

De zaak draaide om twee vermogensbeheerders die Google verzochten om de resultaten van een zoekopdracht op hun naam te verwijderen. Deze zoekopdracht leverde links op naar bepaalde artikelen waarin hun beleggingsmodel werd bekritiseerd.

Het Hof oordeelde dat "het recht op vrijheid van meningsuiting en informatie niet in aanmerking kan worden genomen wanneer, op zijn minst, een deel – dat niet van ondergeschikt belang is – van de informatie in de gerefereerde content onjuist blijkt te zijn." Mensen die onjuiste resultaten uit zoekmachines willen verwijderen, moeten voldoende (en redelijk) bewijs leveren dat wat er over hen wordt gezegd, onjuist is.

De Autoriteit Persoonsgegevens heeft op 22 december een verklaring gepubliceerd over haar bevoegdheden om toezicht te houden op algoritmes op het gebied van transparantie, discriminatie en willekeur.

Ook in Nederland blijkt uit een onderzoek van de Nederlandse privacygroep Incogni dat veel populaire winkel-apps, waaronder die van Amazon, bedenkelijke praktijken hanteren met betrekking tot het delen van toegangsrechten met advertentiebibliotheken, waardoor advertentienetwerken indirect toegang kunnen krijgen tot het apparaat. 

Griekse autoriteit De Gegevensbeschermingsautoriteit heeft Vodafone PANAFON SA een boete van € 150.000 opgelegd omdat het bedrijf geen passende technische en organisatorische maatregelen heeft genomen om de veiligheid van zijn elektronische communicatiediensten te beschermen.

De IJslandse autoriteit De Autoriteit Persoonsgegevens heeft een autoreparatiebedrijf opgedragen om te voldoen aan een verzoek tot inzage op grond van artikel 15 van de AVG en de betrokkene gegevens te verstrekken met betrekking tot alle reparaties en diensten die aan hun auto zijn uitgevoerd terwijl deze in hun bezit was.

De Portugese autoriteit De Gegevensbeschermingsautoriteit heeft de gemeente Setubal een berisping en boete van € 170.000 opgelegd wegens schending van het beginsel van integriteit en vertrouwelijkheid, het beginsel van de beperking van de opslag, de informatieverplichtingen zoals vastgelegd in artikel 13 van de AVG en wegens het niet aanstellen van een functionaris voor gegevensbescherming in verband met de verzameling van persoonsgegevens van Oekraïense vluchtelingen die gebruik maakten van een telefonische hulplijn in Portugal.

De Portugese autoriteit voor gegevensbescherming heeft ook het Nationaal Instituut voor de Statistiek gesanctioneerd wegens het niet-naleven van de AVG. Het instituut zou onder meer persoonsgegevens uit de volkstelling van 2021 naar de Verenigde Staten hebben verzonden en geen gegevensbeschermingseffectbeoordeling hebben uitgevoerd.

De Italiaanse autoriteit De Autoriteit Persoonsgegevens heeft Alpha Exploration een boete van € 2.000.000,- opgelegd voor het exploiteren van het sociale netwerk Clubhouse, in strijd met de bepalingen van de AVG inzake rechtmatigheid en transparantie, voor het niet beoordelen van de risico's die voortvloeien uit de verwerking en voor het aanstellen van een EU-vertegenwoordiger zonder het vereiste mandaat om namens de verwerkingsverantwoordelijke op te treden.

De Italiaanse autoriteit voor gegevensbescherming heeft telecombedrijf Vodafone Italia daarnaast een boete van € 500.000 opgelegd voor het verwerken van persoonsgegevens voor direct marketingdoeleinden zonder wettelijke basis, voor het verkrijgen van algemene toestemming voor afzonderlijke gegevensverwerkingen en voor het op onbegrijpelijke wijze verstrekken van informatie over de verwerking van persoonsgegevens.

Spaanse autoriteit De Autoriteit Persoonsgegevens heeft een 16-jarige tiener een boete van € 5.000 opgelegd voor het gebruiken van video's en foto's die via WhatsApp waren ontvangen om een 13-jarige minderjarige te chanteren die geen geldige toestemming kon geven. De Autoriteit Persoonsgegevens heeft de tiener tevens gelast alle overige persoonsgegevens van de betrokkene te verwijderen en verslag uit te brengen over de genomen maatregelen. 

Internationale

VERENIGDE STATEN: Epic Games, maker van de videogame Fortnite, moet meer dan een half miljard dollar betalen omdat ze de Children's Privacy Protection Act (COPPA) hebben overtreden, de standaard privacy-instellingen hebben gewijzigd en gebruikers hebben misleid om ongewenste aankopen te doen.

De schikkingen van de Federal Trade Commission met Epic Games werden op 15 december door de FTC openbaar gemaakt.

In een publicatie van 29 december, The Guardian meldt dat de Chinese fabrikant van bewakingscamera's Hikvision een softwareplatform heeft ontwikkeld om de politie te ondersteunen. om de activiteiten van de demonstranten te volgen.

De Chinese politie zou op die manier waarschuwingen kunnen uitvaardigen voor verschillende soorten demonstraties, zoals ‘het verstoren van de orde in de openbare ruimte door een menigte’, ‘illegale bijeenkomsten, optochten, demonstraties’ en dreigingen met ‘petities’.

Op 14 december 2022 hebben de OESO-landen de eerste intergouvernementele overeenkomst over privacy aangenomen. bij toegang tot persoonsgegevens ten behoeve van de nationale veiligheid en wetshandhaving.

De principes definiëren hoe wettelijke kaders de toegang van de overheid reguleren, welke wettelijke normen van toepassing zijn wanneer toegang wordt aangevraagd, hoe toegang wordt goedgekeurd en hoe de daaruit voortvloeiende gegevens worden verwerkt, en hoe er wordt geprobeerd transparantie voor het publiek te waarborgen.

Van de technische oplossingen worden ontwikkeld om zowel gebruikers de controle te geven over het gebruik van hun gegevens als om verwerkingsverantwoordelijken de mogelijkheid te geven om onlinegegevens te beheren in overeenstemming met de beginselen voor gegevensbescherming.

Naast Global Privacy Control, dat steeds vaker wordt gebruikt in de context van online toestemmingsbeheer, biedt het CookieFirst-platform voor toestemmingsbeheer gebruikers geavanceerde controle over diensten van derden en de cookies die zij plaatsen. Voor de gegevensopslag worden onderaannemers uit de EU gebruikt.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL