de e-privacy verordening: stand van zaken in 2020

De e-privacy verordening (de ‘Verordening’) lijkt een hoofdpijn dossier te zijn geworden voor de Europese Unie. De Verordening beoogt de regels voor traditionele telecombedrijven te moderniseren en het toepassingsbereik uit te breiden naar nieuwere communicatiediensten zoals Skype, Whatsapp en Facebook. De verordening regelt ook de voorwaarden voor het plaatsen van cookies, direct marketing en het gebruik van metadata die op het internet wordt gegenereerd. 

De Verordening moet de e-privacy richtlijn (de ‘Richtlijn’) uit 2002 vervangen. Vervanging van de Richtlijn is nodig om de wetgeving beter aan te laten sluiten bij de digitale ontwikkelingen van de afgelopen jaren. Voordeel van een Verordening is dat zij niet hoeft te worden geïmplementeerd in nationale wetgeving.

Een eerste voorstel voor de Verordening werd al gedaan in 2017, waarna moeizame onderhandelingen volgden tussen de Europese Raad en het Europees Parlement. In een eerder artikel zijn wij ingegaan op die onderhandelingen. Vervolgens zorgden de Europese verkiezingen in 2019 voor verdere vertraging. Een nieuw Europees Parlement dient zich nu uit te spreken over de Verordening.

Inmiddels heeft Kroatië als huidige voorzitter van de raad van ministers van de EU de onderhandelingen over de Verordening nieuw leven in geblazen en bovendien een aantal interessante wijzigingsvoorstellen gedaan. In dit artikel worden de laatste wijzigingen zoals door Kroatië voorgesteld besproken.

Cookies

In het Kroatisch voorstel zijn de gronden voor het verwerken van persoonsgegevens die worden verzameld via cookies uitgebreid. Persoonsgegevens verzameld via cookies kunnen ook worden verwerkt op grond van een gerechtvaardigd belang van de verwerkingsverantwoordelijke, tenzij het privacybelang van de betrokkene prevaleert. Hierbij moeten de redelijke verwachtingen van de betrokkene in ogenschouw worden genomen. De verwerkingsverantwoordelijke dient op zorgvuldige wijze te beoordelen of dit gerechtvaardigd belang aanwezig is.

Het privacybelang van de betrokkene prevaleert in elk geval als de betrokkene minderjarig is, de persoonsgegevens worden gebruikt voor profilering of segmentatie of als het bijzondere persoonsgegevens betreffen.

Bij de verwerking van de persoonsgegevens op grond van het gerechtvaardigd belang gelden een aantal aanvullende restricties. Zo mogen deze persoonsgegevens niet gedeeld worden met derden. Bovendien moet er een privacy impact assessment op de verwerking worden gedaan. De grondslag kan dus sowieso niet worden gebruikt voor reclame- en social media cookies. De betrokkene dient goed te worden geïnformeerd over de verwerking van zijn persoonsgegevens en over zijn recht om bezwaar te maken tegen de verwerking. Tenslotte dienen er geschikte technische en organisatorische maatregelen te worden genomen om de persoonsgegevens te beschermen.

Voorbeelden van een gerechtvaardigd belang die worden gegeven in de overwegingen van de Verordening zijn onder meer:

  • handhaving of herstel van de veiligheid van de geleverde diensten of van de eindapparatuur van de eindgebruiker;
  • het voorkomen van fraude en opsporen van technische fouten;
  • software updates voor het beperken van veiligheidsrisico’s mits de gebruiker deze updates kan uitstellen en weigeren;
  • een service provider die op zijn website volledig afhankelijk is van advertentie inkomsten en het bovendien een online nieuws dienst betreft. De betrokkene moet dan wel worden voorzien van duidelijke informatie over de cookies.
    • Merkwaardig is dat de overweging aan dit voorbeeld nog toevoegt dat de betrokkene dit gebruik dient te ‘accepteren’. Dit is vreemd omdat de grondslag van een gerechtvaardigd belang nu juist nuttig kan zijn als toestemming van de betrokkene ontbreekt. De vraag is dan ook of de zware eisen die aan toestemming worden gesteld niet via de achterdeur van de acceptatie in het gerechtvaardigd belang worden geïntroduceerd.

Metadata

Ook de gronden om Metadata te verwerken zijn uitgebreid met de grond van een gerechtvaardigd belang en wanneer dit nodig is voor de levering van de dienst en de facturering op grond van een overeenkomst met de betrokkene.

Bij het gebruik van gerechtvaardigd belang grond gelden dezelfde beperkingen en waarborgen als die gelden bij het gebruik van persoonsgegevens verkregen via cookies.

Voorbeelden die worden gegeven van een gerechtvaardigd belang voor het verwerken van metadata zijn opnieuw onder meer het opsporen van fraude, misbruik of inschrijving op en facturering van de diensten. Ook wetenschappelijk en statistisch onderzoek kan een gerechtvaardigd belang opleveren.

Ten slotte

Verder blijkt uit het laatste gepubliceerde document over de verordening van 6 maart dat de verschillende Europese organen nog in onderhandeling zijn over de materiële reikwijdte van de Verordening.

Alle lidstaten krijgen nu de tijd om te reageren op de voorgenomen wijzigingen. Het laatste woord is er dus zeker nog niet over gezegd.

This site is registered on Toolset.com as a development site.