Privacy jurisprudentieblog | december 2024

    - / 2 December 2024

    Afgelopen 4 oktober was een belangrijke dag op privacy gebied. Het Europese Hof van Justitie van de Europese Unie (‘het Hof’) heeft die dag niet alleen het lang verwachte KNLBT-arrest gewezen, maar ook uitspraak gedaan in twee andere belangrijke zaken. Eén daarvan draait om privacy-activist Max Schrems, die Meta aanklaagt wegens het verschijnen van politieke en op homoseksuelen gerichte advertenties op zijn Facebook-tijdlijn. De tweede zaak ziet op het snijvlak tussen het strafrecht en privacyrecht en is relevant vanwege de afweging die het Hof maakt tussen het belang van strafrechtelijk onderzoek en het privacybelang van een verdachte.

    1. Het verwerken van bijzondere persoonsgegevens om gerichte reclame te tonen (Meta/ Schrems)

    De klacht van Schrems gaat over het feit dat hij op Facebook advertenties kreeg te zien over Oostenrijkse politici en op advertenties gericht op homoseksuelen, terwijl hij zelf nooit iets over zijn politieke voorkeur of seksuele geaardheid op zijn profiel heeft gedeeld. Dit soort gevoelige gegevens kwalificeren onder de Algemene verordening gegevensbescherming (‘AVG’) als bijzondere persoonsgegevens, waarvan verwerking volgens artikel 9, lid 1 AVG in beginsel verboden is.

    Er zijn slechts een aantal uitzonderingen op dit verbod. Zo is het wel toegestaan om bijzondere persoonsgegevens te verwerken als de persoon over wie de gegevens gaan deze zelf kennelijk openbaar heeft gemaakt, bijvoorbeeld een politicus die zich met bepaalde politieke opvattingen in de publiciteit profileert. Het profiel van Schrems bevat echter geen informatie waaruit zijn politieke voorkeur of seksuele geaardheid blijkt. Toch toonde Facebook hem advertenties over deze onderwerpen.

    Hoe komt Facebook aan deze gegevens?

    Meta, het moederbedrijf van Facebook, verdient haar geld door gegevens te verzamelen en daaruit gedetailleerde profielen te maken. Op basis van die profielen kan Meta gericht advertenties tonen, wat heel waardevol is voor adverteerders en daarmee een goudmijn voor Meta. Deze gegevens zijn niet alleen afkomstig van activiteiten binnen Facebook en Instagram, maar ook van websites en apps van derden. Met tools zoals cookies, sociale plug-ins en pixels, volgt Meta het gedrag van hun gebruikers door het internet heen. Een sociale plug-in is bijvoorbeeld een ‘Vind ik leuk’ knop op een externe website. Zelfs wanneer je niet op de ‘Vind ik leuk knop’ klikt, worden er op de achtergrond gegevens doorgestuurd naar Meta, zoals IP-adres en de URL van de pagina die je bezoekt. Zulke plug-ins staan ook op websites van politieke partijen en op webpagina’s die zijn bedoeld voor LGBTQ+-doelgroepen. Dankzij zulke plug-ins kon Meta toch gevoelige informatie over Schrems verzamelen, zelfs zonder dat hij daar uitdrukkelijke toestemming voor gaf.

    Maakt Meta inbreuk op het beginsel van minimale gegevensverwerking?

    Het Hof heeft allereerst onderzocht of Meta’s grootschalige gegevensverzameling het beginsel van minimale gegevensverwerking, zoals neergelegd in artikel 5, lid 1 sub c AVG, schendt. Dit beginsel vereist dat persoonsgegevens alleen mogen worden verzameld als ze toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor een specifiek doel. Het Hof benadrukt dat deze toets strenger wordt naarmate gegevens langer worden bewaard. Ook legt het Hof uit dat rechtmatige verwerking onrechtmatig kan worden zodra gegevens niet meer noodzakelijk zijn.

    Meta verzamelt echter op een ongedifferentieerde manier een potentieel onbeperkte hoeveelheid gegevens, wat leidt tot bijna volledige monitoring van de onlineactiviteiten van haar gebruikers. Dit veroorzaakt volgens het Hof een ernstige inbreuk op hun grondrechten, waaronder het recht op eerbiediging van het privéleven (artikel 7 van het Handvest van de grondrechten van de Europese Unie (‘het Handvest’)) en het recht op bescherming van persoonsgegevens (artikel 8 van het Handvest). Voor het doel van het tonen van gerichte reclame acht het Hof deze inbreuk niet gerechtvaardigd.

    Het Hof concludeert dan ook dat Meta’s werkwijze in strijd is met het beginsel van minimale gegevensverwerking, vooral omdat gegevens zonder beperking en zonder onderscheid naar hun aard worden opgeslagen.

    Is het toegestaan om persoonsgegevens die openbaar zijn gemaakt tijdens een publiek evenement te gebruiken voor gerichte advertenties?

    Hoewel Schrems op zijn Facebookprofiel geen informatie deelde over zijn seksuele geaardheid, sprak hij hier in februari 2019 wel over tijdens een rondetafelgesprek, waar hij was op uitnodiging van de Europese Commissie om kritiek te uiten op de verwerking van persoonsgegevens door Facebook. Meta stelt dat Schrems door deze openbaarmaking niet meer beschermd wordt door artikel 9, lid 1 AVG, en dat het dus is toegestaan om andere gegevens over zijn seksuele geaardheid, afkomstig van websites en apps van derden, te verwerken. Het Hof is het hier niet mee eens.

    Volgens het Hof is er pas sprake van een kennelijke openbaarmaking als iemand zijn persoonsgegevens uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling voor een breed publiek toegankelijk heeft willen maken. Het feit dat Schrems zijn seksuele geaardheid noemde tijdens een toespraak die er uitsluitend op was gericht om kritiek te leveren op Facebook, betekent niet dat hij dit gegeven met volledige kennis van zaken openbaar heeft gemaakt. De uitzondering van artikel 9, lid 2 sub e is daardoor niet van toepassing.

    Al met al leert deze zaak ons dat een online platform zoals Facebook niet alle verkregen persoonsgegevens zomaar kan gebruiken voor het tonen van gerichte reclame, zonder beperking in tijdsduur en zonder onderscheid in de soort gegevens. De omstandigheid dat iemand tijdens een publiek evenement dergelijke gegevens openbaart, doet daar niet aan af.

    2. Toegang tot de telefoon van een verdachte: een onevenredige inbreuk op het recht op privacy? (Bezirkshauptmannschaft Landeck)

    Wat is er gebeurd?

    In deze zaak nam de Oostenrijkse douane de telefoon van meneer CG in beslag na de vondst van 85 gram cannabis. Toen hij weigerde de telefoon te ontgrendelen, faalden meerdere pogingen van de politie om dit zelf te doen. De telefoon werd zelfs zonder toestemming van een rechter of andere bestuursrechtelijke autoriteit naar Wenen gestuurd voor verdere ontgrendeling. CG hoorde hier pas van toen dit tijdens een proces aan het licht kwam. Na twee maanden kreeg hij zijn telefoon terug en vocht hij de rechtmatigheid van de inbeslagname aan.

    Richtlijn gegevensbescherming en rechtshandhaving

    Voor het gebruik van persoonsgegevens door de politie gelden speciale regels. Deze staan in een Europese richtlijn, de richtlijn gegevensbescherming en rechtshandhaving (‘RGR’), die in Nederland is verwerkt in wetten zoals de Wet politiegegevens (‘Wpg’) en de Wet justitiële en strafvorderlijke gegevens (‘Wjsg’). Deze regels gelden naast de AVG, en richten zich specifiek op het strafrecht en hoe persoonsgegevens hierbij mogen worden verwerkt.

    Is een poging tot het ontgrendelen van een telefoon een verwerking in de zin van de politierichtlijn?

    Interessant aan deze zaak is dat de politie uiteindelijk nooit toegang heeft gekregen tot de telefoon van CG. De actie bleef dus beperkt tot een poging. Het Hof moest daarom bepalen of een poging tot het ontgrendelen van een telefoon ook valt onder ‘verwerking’ zoals bedoeld in artikel 3, lid 2 RGR. Het Hof verduidelijkt dat dit het geval is en dat de RGR dus niet alleen van toepassing is wanneer toegang is verkregen tot persoonsgegevens die op een mobiele telefoon staan, maar ook bij een poging daartoe.

    Belangenafweging tussen het onderzoeken van strafbare feiten en het recht op privacy van de verdachte?

    Na te hebben vastgesteld dat een poging tot het ontgrendelen van een telefoon onder de reikwijdte van de RGR valt, onderzoekt het Hof of deze poging in deze zaak rechtsgeldig was, met inachtneming van de grondrechten uit artikelen 7 en 8 van het Handvest. Het Hof benadrukt dat zowel het recht op eerbiediging van het privéleven (artikel 7 Handvest) als het recht op bescherming van persoonsgegevens (artikel 8 Handvest) niet absoluut zijn. Beperkingen op deze rechten zijn mogelijk, mits ze voldoen aan de eisen van artikel 52, lid 1 Handvest. Onderdeel van artikel 52, lid 1 Handvest is het proportionaliteitsbeginsel.

    Om te beoordelen of de toegang tot de telefoon van een verdachte proportioneel is, spelen verschillende factoren een rol:

    1. De ernst van de beperking, afhankelijk van:
      a. De aard en gevoeligheid van de gegevens waartoe de autoriteiten toegang kunnen krijgen.
    2. Het belang van het nagestreefde doel.
    3. Het verband tussen de eigenaar van de telefoon en het betreffende strafbare feit.
    4. De relevantie van de betreffende gegevens voor het vaststellen van de feiten.

    Ten eerste merkt het Hof op dat gegevens op een telefoon, zoals berichten, foto’s en browsergeschiedenis, zeer gedetailleerde inzichten kunnen geven in het privéleven van een persoon. Deze gegevens kunnen bovendien bijzondere persoonsgegevens bevatten, waarvoor verwerking onder artikel 10 RGR alleen toegestaan is wanneer dit strikt noodzakelijk is.

    Ten tweede stelt het Hof dat hoewel de ernst van het strafbare feit een van de belangrijkste factoren is, dit niet zo moet worden geïnterpreteerd dat toegang tot een telefoon enkel is toegestaan bij ernstige misdrijven. Dit zou het doel van de RGR voorbijgaan. Het is echter essentieel dat in de nationale bepaling waarin toegang tot mobiele apparaten wordt geregeld, de aard of categorieën van de betrokken strafbare feiten voldoende nauwkeurig zijn omschreven.

    Ten derde maakt de RGR in artikel 6 onderscheid tussen verschillende categorieën betrokkenen, zoals verdachten, veroordeelden, slachtoffers en andere personen, zoals getuigen. Het Hof benadrukt in dit verband dat de toegang tot de gegevens van een verdachte moet steunen op objectief en toereikend bewijs. Deze factor raakt bovendien aan de relevantie van de gegevens voor het vaststellen van de feiten.

    Bovendien moet de toegang tot de telefoon voorafgaand worden getoetst door een rechterlijke instantie of een onafhankelijke bestuursrechtelijke entiteit, tenzij er sprake is van een noodsituatie die de toegang dringend vereist. Deze toetsing moet ervoor zorgen dat er een balans wordt gevonden tussen de legitieme belangen van het strafrechtelijk onderzoek enerzijds en de bescherming van het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens van de betrokkene anderzijds.

    Al met al benadrukt deze zaak het belang van het vinden van een juist evenwicht tussen alle legitieme belangen met inachtneming van verschillende factoren.
    Terug naar overzicht

    Alysia Hogaarts

    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram