Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er gebeurt echter veel meer op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (‘AVG’) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand mei op een rij.
De bekende privacy-activist Maximilian Schrems heeft zich eind 2021 opnieuw gewend tot het Hof van Justitie van de Europese Unie (‘HvJ EU’). Max Schrems is vooral bekend door zijn juridische overwinningen ten aanzien van het EU-U.S. Privacy Shield en zijn voorloper, de Safe Harbor Agreement, die beide door het HvJ ongeldig werden verklaard als mechanismen om de doorgifte van persoonsgegevens aan de Verenigde Staten te rechtvaardigen.
Max Schrems zet zich ook geregeld in tegen de grootschalige verwerkingspraktijken van grote organisaties. In de hier te bespreken zaak keert de Oostenrijker zich wederom tegen het sociale mediaplatform Meta.
In 2018 presenteerde Meta nieuwe servicevoorwaarden voor het gebruik van Facebook aan haar gebruikers in de Europese Unie, met het doel om hun toestemming te verkrijgen. Een Facebook-gebruiker (‘betrokkene’) ontving vervolgens advertenties over een vrouwelijke politica omdat een analyse van Meta aangaf dat hij vergelijkbaar was met andere gebruikers die haar ‘leuk’ vonden. Ook ontving hij regelmatig advertenties gericht op homoseksuele personen. Hoewel hij zich in het openbaar had uitgesproken over zijn seksuele geaardheid, had hij dit nooit op Facebook vermeld. Ook had hij Meta niet gemachtigd om gegevens over zijn relatiestatus, werkgever, functie of opleiding te gebruiken voor gerichte advertenties. De advertenties en uitnodigingen waren niet direct gebaseerd op zijn seksuele geaardheid of zijn ‘vrienden’ op Facebook, maar op een analyse van hun specifieke interesses. De betrokkene bracht de zaak voor de regionale rechtbank van Wenen, en ging na afwijzing in beroep bij de hoogste Oostenrijkse rechtbank, het Oberster Gerichtshof.
Tegen het einde van 2021 vroeg het Oberster Gerichtshof het HvJ EU om prejudiciële vragen te beantwoorden over de verwerkingen van persoonsgegevens voor advertentiedoeleinden. De betrokkene werd in deze zaak bijgestaan door Schrems. De rechter stelde het HvJ EU uiteindelijk twee vragen:
Eind vorige maand publiceerde Advocaat-Generaal (‘AG’) Rantos zijn advies in deze zaak. Op de eerste vraag antwoordt de AG dat Meta niet zonder beperkingen alle gegevens die zij heeft, mag gebruiken voor gerichte advertenties. Volgens de AG moet het doelbindingsbeginsel uit de AVG zo worden geïnterpreteerd dat het verwerken van persoonsgegevens voor gerichte advertenties niet zonder tijds- of gegevensbeperkingen mag plaatsvinden. Dit geldt des te meer voor indringendere ‘gedragsgegevens’, zoals gegevens over iemands browsegedrag.
Met betrekking tot de tweede vraag is de AG van mening dat het feit dat de betrokkene tijdens een openbaar paneldebat een verklaring heeft afgelegd over zijn eigen seksuele geaardheid, kan worden beschouwd als een handeling waarbij hij deze gegevens kennelijk openbaar heeft gemaakt. Gegevens over seksuele geaardheid worden gezien als bijzondere persoonsgegevens. Verwerking van deze persoonsgegevens is verboden, tenzij deze gegevens kennelijk door de betrokkene openbaar zijn gemaakt. Dit moet echter wel doelbewust en uitdrukkelijk gebeuren. De AG concludeert dat het feit dat de betrokkene in deze zaak zijn seksuele geaardheid ter sprake heeft gebracht en dus ‘kennelijk openbaar heeft gemaakt’, op zichzelf niet de verwerking van persoonsgegevens over zijn seksuele geaardheid rechtvaardigt.
In de tweede zaak tussen Stichting Bureau Krediet Registratie (‘BKR’) en KPN Finance B.V. (‘KPN’) ligt de kern van het conflict bij de kosten die BKR doorberekent voor inzageverzoeken van betrokkenen in het Centraal Krediet Informatiesysteem (‘CKI’). Op dezelfde dag deed zich een vergelijkbare zaak voor tussen BKR en T-Mobile Netherlands B.V. (thans Odido Finance B.V.).
BKR beheert het CKI, waarin kredietgegevens van consumenten worden bijgehouden. Consumenten hebben op grond van de AVG – in beginsel kosteloos – het recht om inzage te krijgen in kredietgegevens die hen betreffen. BKR faciliteert deze inzageverzoeken, maar brengt hiervoor wel kosten in rekening bij de kredietverstrekkers zoals KPN. KPN betwist deze kosten en eist meer transparantie over hoe BKR deze kosten berekent.
BKR vordert betaling van openstaande facturen die KPN nog niet heeft voldaan voor de afhandeling van inzageverzoeken, inclusief wettelijke handelsrente en bijkomende kosten. BKR baseert haar aanspraak op de overeenkomsten en de reglementen die met KPN zijn opgesteld.
KPN betwist de hoogte van de doorbelaste kosten en eist dat BKR meer inzicht geeft in de werkelijke kosten van het afhandelen van inzageverzoeken. KPN stelt dat BKR alleen de werkelijke kosten mag doorberekenen en beroept zich daarbij op principes van transparantie en redelijkheid, zoals verankerd in de AVG. KPN vraagt de rechtbank om BKR te verplichten tot volledige financiële verantwoording.
De rechtbank overweegt dat de AVG individuen het recht biedt om hun persoonsgegevens in te zien. Dit recht is fundamenteel voor de bescherming van persoonsgegevens en het waarborgen van de juistheid van verwerkte gegevens. BKR is verantwoordelijk voor het faciliteren van deze inzage, maar de kosten hiervan worden doorgaans doorberekend aan kredietverstrekkers. KPN argumenteert dat de AVG en de beginselen van redelijkheid en billijkheid vereisen dat BKR alleen de daadwerkelijke kosten doorberekent. KPN wil inzicht in de kostenstructuur om te verifiëren of de doorberekende bedragen gerechtvaardigd zijn. BKR wijst op de contractuele afspraken en reglementen die de basis vormen voor de doorbelasting van kosten. Deze documenten, zoals het Algemeen Reglement CKI en de Algemene Handleiding CKI, bieden BKR de vrijheid om jaarlijkse tarieven vast te stellen zonder gedetailleerde verantwoording van de werkelijke kosten.
De rechtbank oordeelt dat BKR zich houdt aan de contractuele verplichtingen en dat de gehanteerde methodiek voor het doorberekenen van kosten niet in strijd is met de AVG. De verplichting tot transparantie over werkelijke kosten wordt afgewezen, aangezien de rechtbank geen leemte ziet in de bestaande reglementen die deze verplichting zouden vereisen. Aldus moet KPN de openstaande facturen betalen, en hoeft BKR geen verdere financiële inzage te geven.
De derde zaak gaat over een geschil tussen een aannemer en een particulier, waarbij heimelijk geluidsopnamen zijn gemaakt van een gesprek tussen deze aannemer en particulier. De aannemer (partij A) had de badkamer van een particulier (partij B) gerenoveerd. De laatste factuur werd door partij B niet betaald, waarna partij A betaling eiste. Partij B stelde een tegenvordering in, aangezien de badkamer gebreken vertoonde en de renovatie niet was voltooid. Daarnaast vroeg partij B om een immateriële schadevergoeding wegens het gebruik van een heimelijke geluidsopname door partij A.
De rechter oordeelde dat partij B zijn factuur moest betalen, omdat hij geen juridische stappen had genomen zoals het opschorten van de betaling of het ontbinden van de overeenkomst. De herstelkosten voor de slaapkamer werden toegewezen, aangezien partij A deze schade had erkend.
Met name van belang was de eis van partij B voor een immateriële schadevergoeding van €500,00. Zijn privacy zou namelijk zijn geschonden doordat partij A een geluidsopname in de rechtszaak had ingebracht zonder zijn toestemming.
De rechter wees de vordering van partij B voor immateriële schadevergoeding af, omdat de gestelde aantasting van de privacy onvoldoende was onderbouwd. De rechter overwoog als eerst dat er voor het toewijzen van een schadevergoeding op grond van de AVG daadwerkelijk schade moet zijn geleden. Partij B had echter onvoldoende aangetoond hoe de geluidsopname zijn privacy had geschonden en welke concrete schade hij hierdoor had geleden. Verder was de opname slechts binnen een beperkte kring gebruikt, namelijk advocaten, de rechter en de griffier. Ook was de geluidsopname verder niet openbaar gemaakt, wat de inbreuk op de privacy van partij B minimaliseerde. Tot slot had partij B zijn schade onvoldoende onderbouwd: hij had alleen aangegeven dat hij zich enorm aangetast voelde in zijn persoonlijke levenssfeer, zonder zijn concrete schade verder te specificeren of bewijzen daarvan aan te leveren.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.