Samenvatting
Alvorens ik de (lange) kwestie uiteenzet, zal ik beginnen met de vuistregels die uit de kwestie volgen:
- mededingingsautoriteiten zijn bevoegd het privacyrecht te handhaven voor zover de privacyschending ook getuigt van schending van de mededingingswetgeving en mits er wordt samengewerkt met de privacyrechtautoriteiten;
- het verbod op het verwerken van bijzondere persoonsgegevens is zo principieel van aard dat:
- een verwerking in bulk met bijzondere persoonsgegevens als bijvangst, als geheel wordt gezien als een verwerking van bijzondere persoonsgegevens;
- nauwelijks kan worden aangenomen dat betrokkene dergelijke gevoelige informatie zelf ter verdere verwerking openbaar heeft gemaakt;
- steeds moet worden getoetst of betrokkene zelf toestemming heeft gegeven of dat de verwerking onder een wettelijke uitzondering valt;
- bij het geven van toestemming betrokkene moet kunnen kiezen om wel toestemming te geven voor het verwerken van gewone persoonsgegevens, doch die toestemming te weigeren voor de verwerking van bijzondere persoonsgegevens;
- een bedrijf mag niet weigeren om diensten te verlenen indien geen toestemming wordt gegeven om bijzondere persoonsgegevens te verwerken.
- de lijst met grondslagen is limitatief en iedere verwerking moet onder in ieder geval één grondslag te scharen zijn;
- onder alle grondslagen behalve toestemming is noodzakelijkheid een randvoorwaarde;
- de grondslag uitvoering overeenkomst is alleen bedoeld voor die verwerkingen die objectief onontbeerlijk zijn om de overeenkomst uit te voeren, hetgeen in ieder geval niet zo is als bruikbare privacyvriendelijker alternatieven denkbaar zijn (zoals het gebruiken van de dienst zonder de betreffende (gebundelde) gegevensverwerking);
- de grondslag gerechtvaardigd belang vergt de (al bekende) driestappentoets, waarbij o.a. geldt dat commerciele belangen best gerechtvaardigd kunnen zijn, zolang maar in stap 2 en 3 de proportionaliteit en subsidiariteit en de redelijke verwachtingen van betrokkene goed worden gewogen;
- de grondslag wettelijke plicht en publieke taak veronderstellen dat er wetgeving is waaruit die plicht of taak voortvloeit en die voldoet aan de eisen van artikel 6 lid 3 AVG;
- ook een partij met een economische machtspositie kan rechtsgeldig om toestemming vragen, maar die machtspositie is wel een wegingsfactor bij de vraag of betrokkene eigenlijk wel een reële keuze heeft om nee te zeggen.
Onderaan de streep geldt zodoende dat het in bulk op grote schaal verzamelen van gegevens van betrokkene om dan later maar te zien wat er uit die data wordt afgeleid is gelet op al het voorgaande in feite niet tot nauwelijks in overeenstemming met de GDPR te krijgen.
De kwestie: mededingingsautoriteit vs. Meta
Meta (het moederbedrijf van o.a. Facebook, Instagram en Whatsapp) verzamelt op (enorm) grote schaal gegevens van zowel gebruikers als niet-gebruikers, zowel binnen als buiten haar platform, en maakt aan de hand van al die gegevens een (zeer) omvangrijk profiel van al die personen.
De Duitse federale mededingingsautoriteit was een actie gestart tegen Meta. Bij die actie was het Meta (in de kern) verboden om gebruikers nog langer buiten het platform om te volgen via andere sites (middels technieken als like buttons, cookies, etc.) en werd Facebook de plicht opgelegd de algemene voorwaarden dienovereenkomstig aan te passen.
Dat maakt de kwestie direct een wat a-typisch geval. In feite wordt hier immers het privacyrecht gehandhaafd door de mededingingsautoriteiten.
Bij het Hof speelt dan ook niet alleen de vraag of dat wel kan, maar - voor de praktijk belangrijker - ook hoe de regels uit de AVG over grondslagen en bijzondere persoonsgegevens eigenlijk te interpreteren.
HvJEU: Ook mededingingsautoriteiten kunnen bevoegd zijn
De eerste vraag die opkomt is of de mededingingsautoriteiten uberhaupt bevoegd zijn. Het Hof beantwoordt die vraag bevestigend.
Het Hof wijst erop dat misbruik van omstandigheden (in mededingingsrechtelijke zin) in alle omstandigheden gelegen kan zijn. Misbruik van data kan ook een omstandigheid zijn. Dat geldt te meer nu in de digitale economie data van groot belang is.
Het mededingingsrecht en het privacyrecht dienen ook verschillende doelen. Er zijn geen regels die maken dat de mededingingsautoriteiten (CA) niet bevoegd zouden zijn. Beide wettelijke regimes bestaan gewoon naast elkaar.
Wel is het zo dat vanuit het principe van Unietrouw en loyale samenwerking de verschillende autoriteiten met elkaar moeten samenwerken. Dat betekent dat bij al bestaande beslissingen van privacytoezichthouders (DPA's) of het Hof van Justitie over een thema uit het privacyrecht, de mededingingsautoriteiten aan die beslissing gebonden zijn. Wanneer er nog geen bestaande beslissingen zijn, dan moeten de mededingingsautoriteiten (CA's) eerst de privacyrechtelijke autoriteiten (DPA's) raadplegen. Die DPA moet dan binnen redelijke termijn antwoorden. Blijft dat antwoord uit, dan kan de CA zelfstandig verder gaan.
HvJEU: ruime bescherming bijzondere persoonsgegevens
Meta verzamelt als een grote 'stofzuiger' eerst veel gegevens en ziet daarna wel wat ze ermee doet. Dat roept o.a. de vraag op hoe dat proces te verenigen met de regels omtrent de verwerking van bijzondere persoonsgegevens (zoals gegevens omtrent ziekte of seksualiteit). Denk in dat kader bijvoorbeeld aan wat er met informatie via een vind-ik-leuk knop op een website van een patientenvereniging of forum voor seksuele minderheden kan worden gedaan.
Het Hof herhaalt allereerst dat voor de vraag of sprake is van bijzondere persoonsgegevens de vraag is of de informatie iets "onthult" dat onder de bijzondere categorieën valt. Dat is in feite in lijn met het eerdere arrest over bijzondere persoonsgegevens (zij het dat er niet naar verwezen wordt).
Het Hof benadrukt dat dit principiële verbod op het verwerken van bijzondere persoonsgegevens verder los staat van de andere regels uit de AVG. Met andere woorden: zodra er informatie wordt verwerkt die een bijzonder persoonsgegeven onthult speelt het verbod van artikel 9 AVG en is de verwerking alleen toegestaan indien zich een uitzondering uit artikel 9 lid 2 AVG voordoet.
Het Hof wijst er op dat ook van bijzondere persoonsgegevens sprake kan zijn zonder dat de betrokkene de informatie zelf invoert of zelf een actieve handeling verricht. Het enkele bezoeken van een website waarop Meta informatie verzamelt kan hiervan al getuigen. Vermoedelijk denkt het Hof hierbij aan sites als die van patientenverenigingen, zoals in de inleiding beschreven.
Wanneer in een grootschalige bulkverzameling zoals Meta die hanteert achteraf bijzondere persoonsgegevens blijken, dan wordt dat gehele proces van gegevensverzameling door het Hof als een verwerking van bijzondere persoonsgegevens gezien (r/o 73).
HvJEU: informatie is niet snel kennelijk openbaar gemaakt
Het verbod op het verwerken van bijzondere persoonsgegevens speelt o.m. niet indien de bijzondere persoonsgegevens kennelijk door de betrokkene zelf openbaar zijn gemaakt.
Het Hof wijst erop dat de uitzondering al veronderstelt dat de informatie door betrokkene zelf is openbaar gemaakt. De betrokkene zelf moet dus de bron van de gegevens zijn. Dat maakt al dat de uitzondering bijna nooit opgaat.
Daarbij is ook nog een de vraag of de betrokkene zelf uitdrukkelijk door een ondubbelzinnige actieve handeling heeft beoogd om zijn bijzondere persoonsgegevens voor een breed publiek toegankelijk heeft willen maken. Die toets moet restrictief (terughoudend) worden uitgelegd. Het ligt wat het Hof betreft in ieder geval niet voor de hand dat iemand hoeft te verwachten dat met het enkele bezoeken van een site al gevoelige informatie over hem openbaar wordt gemaakt.
Wanneer de gebruiker een actieve handeling verricht - zoals het klikken op een 'vind ik leuk'-knop - is de vraag wat de gebruiker daarmee heeft beoogd en daarvan heeft kunnen begrijpen. Er kan alleen sprake zijn van een bewust openbaarmaken als de betrokkene met volledige kennis van zaken doelbewust handelt. Dat moet de nationale rechter in kwestie toetsen.
Gelet op deze strenge maatstaf ligt de conclusie echter wel voor de hand: deze uitzondering uit de AVG gaat welhaast nooit op.
HvJEU: een gemengde verwerking van gewone en bijzondere persoonsgegevens valt in de zware categorie
Vederop in het arrest herhaalt het Hof in r/o 89 in iets andere woorden wat daarvoor ook al in r/o 73 is vermeld: bij een verzameling van gegevens in bulk die bij verzameling niet te scheiden is en waarbij achteraf blijkt dat de gegevensverzameling zowel gewone als bijzondere persoonsgegevens bevat, wordt dat gehele verzamelproces gezien als een verwerking van bijzondere persoonsgegevens.
Die vuistregel - zeker in combinatie met de ruime uitleg van bijzondere persoonsgegevens - is op zichzelf al een (enorme) rem op het in bulk verzamelen van persoonsgegevens. Immers, hoe grootschaliger de verzameling, hoe groter de kans dat het verzamelproces valt onder het verbod van het verwerken van bijzondere persoonsgegevens.
HvJEU over grondslagen - algemeen
De vraag komt verder op of Meta wel een grondslag heeft voor de verwerking van persoonsgegevens.
Het Hof wijst er - in lijn met vaste rechtspraak - op dat de lijst van grondslagen limitatief is. Een verwerking moet vallen onder minimaal één van de genoemde grondslagen. Tegelijkertijd is het ook zo dat één grondslag volstaat; er is geen noodzaak om maar extra grondslagen te verzamelen.
Het Hof wijst er op dat bij andere grondslagen dan toestemming de eis van noodzakelijkheid is opgenomen. Het verwijst daarbij overigens niet expliciet naar eerdere rechtspraak. Dat begrip noodzakelijkheid wordt echter al sinds 2008 uniform en terughoudend geinterpreteerd.
Op de verwerkingsverantwoordelijke rust de verantwoordingsplicht om te onderbouwen dat hieraan is voldaan.
HvJEU over grondslag uitvoering overeenkomst: alleen objectief onontbeerlijke verwerkingen
In het kader van de grondslagen komt de vraag op of de grondslag "uitvoering overeenkomst" van toepassing kan zijn.
Het Hof oordeelt dat voor deze grondslag de gegevensverwerking objectief onontbeerlijk moet zijn om een doel te bereiken dat een integrerend deel uitmaakt van de aan de betrokkene te leveren contractuele prestatie. Of wat simpeler gezegd: het hoofddoel van de overeenkomst moet zonder de verwerking niet kunnen worden bereikt.
Het feit dat een verwerkingsdoel is vermeld in de overeenkomst of daarvoor nuttig is, is volgens het Hof irrelevant. Er mogen geen bruikbare, minder ingrijpende, alternatieven bestaan voor de gegevensverwerking om de overeenkomst uit te kunnen voeren.
Bij samengestelde diensten die ook afzonderlijk kunnen worden verricht moet die analyse per onderdeel worden gedaan.
Vervolgens geeft het Hof aan dat personalisatie van de dienst weliswaar nuttig lijkt, maar niet noodzakelijk lijkt om de dienst te kunnen verlenen. Dit moet de nationale rechter nog wel zelf toetsen volgens het Hof. Het Hof neemt aan dat een gelijkwaardig alternatief zonder personalisatie ook kan worden geboden.
De verschillende diensten van Meta blijken bovendien probleemloos ook los van elkaar te kunnen functioneren. Dat laat volgens het Hof al zien - zij het dat de lokale rechter dit nog moet toetsen - dat ook het bij elkaar brengen van alle persoonsgegevens van die verschillende diensten niet noodzakelijk is om een van de afzonderlijke diensten te kunnen verlenen.
Een beroep op de grondslag uitvoering overeenkomst lijkt dus gelet op dit kader van het Hof bepaald niet voor de hand te liggen.
HvJEU over grondslag gerechtvaardigd belang: driestappentoets, redelijke verwachting, commercieel kan
Vervolgens is de vraag of Meta zich wellicht op de grondslag gerechtvaardigd belang kan beroepen.
Het Hof wijst erop dat hiervoor - conform vaste rechtspraak - de driestappentoets moet uitgevoerd (belang, noodzaak en belangenafweging). .
Het Hof wijst er in dat kader op dat het belang dat wordt ingeroepen (stap 1) door de verwerkingsverantwoordelijke kenbaar moet worden gemaakt. Hierin in is de AVG aangescherpt ten opzichte van de oude privacyrichtlijn.
De toets van noodzakelijkheid (stap 2) is in wezen een toets op proportionaliteit en subsidiariteit. Het Hof wijst hier terug naar het arrest over het puntenrijbewijs. Wat het Hof hier stelt lijkt echter ook sterk op wat bijvoorbeeld de Nederlandse Hoge Raad al in 2011 stelde in de Santander kwestie (en welk kader recent in de BKR-kwestie nog eens is bevestigd).
Bij de belangenafweging (stap 3) wijst het Hof er allereerst op dat dit - conform vaste rechtspraak - uiteindelijk afhangt van alle omstandigheden van het geval en aan de nationale rechter is. Wel geeft het Hof mee dat hierbij bijzondere aandacht moet zijn voor kinderen (r/o 111) en de redelijke verwachting die betrokkene in de gegeven omstandigheden mag hebben (r/o 112). In dit laatste klinkt de reasonable expectation door die we uit allerlei EHRM-rechtspraak kennen.
Het Hof wijst er op dat direct marketing een gerechtvaardigd belang kan zijn, nu dat in de considerans van de AVG staat. Dat geldt ook voor netwerkbeveiliging en productverbetering. In alle gevallen wijst het Hof wel steeds op de noodzakelijkheid en proportionaliteit en de redelijke verwachtingen van betrokkene. In dat kader wijst het Hof erop dat hoewel een sociaal netwerk gratis is, een gebruiker redelijkerwijs niet hoeft te verwachten dat zijn gegevens voor personaliteit van reclame worden gebruikt.
Een gerechtvaardigd belang moet volgens het Hof verband houden met de economische en commerciële activiteit van de organisatie in kwestie. Dat betekent dat Meta geen belang heeft bij gegevensverwerking in het kader van het opsporen en vervolgen van strafbare feiten. Dat is immers aan de opsporingsinstanties. Dat is alleen anders indien er een wettelijke plicht zou zijn voor Meta om dergelijke gegevens voor dat doel te verwerken.
HvJEU over grondslag wettelijke plicht en publieke taak
Daarop komt de vraag op of er dan een wettelijke plicht is voor Meta om de gegevens in dit kader te verwerken, of dat de verwerking noodzakelijk is voor een publieke taak.
Het HvJEU stelt echter vast dat de verwijzende rechter hiervoor te weinig informatie heeft aangeleverd om hier een uitspraak over te doen.
Vandaar dat het Hof er maar erop wijst dat voor deze gronden sprake moet zijn van een wettelijke plicht die daadwerkelijk beantwoordt aan een legitiem doel en die evenredig is. Het Hof benadrukt daarbij dat specifiek de vraag is of er wel een wettelijke plicht bestaat om preventief zoveel gegevens te verwerken. Ook vraagt het Hof zich sterk af of aan Meta wel een publieke taak is opgedragen.
HvJEU over grondslag vitaal belang
Om het helemaal af te maken wordt ook de grondslag van vitaal belang nog behandeld.
Het Hof noemt dit een grondslag voor "de bijzondere situatie waarin de verwerking van persoonsgegevens noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is". Een commerciële exploitant van een sociaal netwerk kan zich niet in generieke en abstracte zin op een dergelijke (beperkt bedoelde) grondslag beroepen.
HvJEU over grondslag toestemming
Ten slotte komt de vraag op hoe de grondslag toestemming moet worden geinterpreteerd.
Het Hof wijst erop dat een toestemming niet geldig is indien de betrokkene geen echte keuze had, of indien er nadelige gevolgen zijn verbonden aan intrekking van de toestemming. Ook bij een wanverhouding in de partijverhouding of een catch-all toestemming terwijl differentiatie best mogelijk was, is de toestemming niet geldig.
Het enkele feit dat sprake is van een machtspositie maakt niet op zichzelf dat de toestemming al ongeldig is. Wel is die machtspositie een wegingsfactor. Het bestaan van een machtspositie maakt het ook waarschijnlijker dat voorwaarden opgelegd worden die niet noodzakelijk zijn, hetgeen zou kunnen getuigen van de wanverhouding, waarmee toestemming dus ongeldig is.
Het Hof oordeelt ook dat bij verwerking van bijzondere persoonsgegevens er altijd afzonderlijk om toestemming moet worden gevraagd. En de weigering om toestemming te geven bijzondere persoonsgegevens te verwerken mag niet leiden tot dienstweigering. De aanbieder moet dan maar een alternatief tegen betaling aanbieden.
En juist omdat gebruikers niet de redelijke verwachting hoeven te hebben dat hun gedrag ook buiten het sociale netwerk wordt gevolgd, is het redelijk om te eisen dat afzonderlijke toestemming wordt gevraagd voor het volgen van betrokkene binnen en buiten het sociale netwerk.
De bewijslast dat rechtsgeldige toestemming is verkregen berust bovendien bij de verwerkingsverantwoordelijke.
Enkele opmerkingen
Het Hof zet in feite een streep door het verdienmodel van veel online bedrijven.
Het op (enorme) schaal verzamelen van persoonsgegevens van betrokkenen om daarna maar te zien wat er uit af te leiden is en op basis daarvan vervolgens gepersonaliseerde advertenties tonen is in feite niet te verenigen met de AVG. De kans op bijvangst van bijzondere persoonsgegevens alleen al is enorm bij een dergelijk proces en dergelijke gegevens mogen alleen met uitdrukkelijke toestemming worden verwerkt. Die lat voor geldige toestemming ligt hoog. Andere grondslagen dan toestemming zijn gelet op de beperkte interpretatie van de grondslagen en de redelijke verwachting van betrokkene eigenlijk niet denkbaar.
Het is ook de vraag of het verdienmodel van online advertising in brede zin nu wel houdbaar is. Veel advertentienetwerken werken immers in wezen op vergelijkbare wijze als Facebook in de onderhavige kwestie (in bulk als een grote stofzuiger verzamelen van data om daarna maar te zien wat bruikbaar is voor de gepersonaliseerde advertentie).
Het is ergens heel begrijpelijk dat het Hof dit doet. Wanneer een dienst gratis is, dan is de betrokkene zelf eigenlijk het product. Het staat haaks op grondrechten en de daarmee verband houdende menselijke waardigheid en autonomie om betrokkenen zo door te lichten voor iets banaals als een gepersonaliseerde advertentie.
En toch ligt de lat nu op sommige terreinen opeens wel weer erg hoog, althans roept het wel de nodige vervolgvragen op.
Zo klinkt het ergens logisch dat alleen de objectief onontbeerlijke verwerkingen onder de grondslag uitvoering overeenkomst mogen vallen, maar... wat zijn dit dan in de praktijk? Zeker in een tijd waarin producten en diensten wel degelijk steeds meer gepersonaliseerd worden. Je kunt bijv. een auto in allerlei (op maat gemaakte) varianten bestellen; ik zou dan menen dat de informatie over gemaakte keuzes noodzakelijk is om de overeenkomst uit te kunnen voeren. Het alternatief zou zijn dat die informatie onder het gerechtvaardigd belang valt, hetgeen heel gekunsteld aanvoelt. Er zijn dus, zo zou ik althans menen, wel degelijk gerechtvaardigd gepersonaliseerde diensten. En waar nu precies de grens ligt tussen een gerechtvaardigd gepersonaliseerde dienst en een ongerechtvaardigd gepersonaliseerde dienst is nog steeds niet duidelijk. Die vraag wordt in feite naar de Duitse rechter verwezen.
Het oordeel van het Hof over het gerechtvaardigd belang is welkom, doch ook weer niet heel verrassend. Ik zette eerder al eens in een blogje en een artikel de geschiedenis omtrent gerechtvaardigd belang op een rij en toen was al duidelijk dat het gerechtvaardigd belang een open norm is met een driestappentoets. Je zou nieuw kunnen noemen dat het Hof nu expliciet oordeelt dat direct marketing gerechtvaardigd kan zijn, hoewel dat gelet op de considerans en eerdere arresten die in feite over commerciële verwerkingen gingen (Asnef-arrest, de diverse Google verwijderverzoek-arresten, FashionID) niet zo verrassend is. Het lijkt me zodoende andermaal een arrest dat in de richting wijst dat de normuitleg van de Autoriteit Persoonsgegevens onhoudbaar is.
Het oordeel over het verwerken van gegevens om deze eventueel door te geven aan de opsporingsautoriteiten vind ik ergens nog wel ingewikkeld. Ergens is goed te volgen dat het Hof in feite zegt: "het is niet aan u om aan opsporing te doen en daarmee dus ook niet aan u om die gegevens te verwerken". Tegelijkertijd is de praktijk natuurlijk dat bij het toepassen van beveiligingsmaatregelen en netwerkbeveiliging - hetgeen gerechtvaardigde belangen zijn volgens hetzelfde Hof - er welhaast vanzelf gegevens omtrent misdrijven wordt verwerkt. Van een (poging tot) computervredebreuk is gelet op de rechtspraak over computervredebreuk immers al snel sprake. Waarom zou het niet gerechtvaardigd zijn om op basis van die gegevens vervolgens melding of aangifte bij de politie te doen?
De fundamenteel stevige bescherming van bijzondere persoonsgegevens kan ik verder goed volgen. Het ingewikkelde is wel dat juist door big data tegenwoordig steeds sneller indirect gevoelige gegevens zijn af te leiden. Simpel gezegd: een algoritme blijkt behoorlijk goed in staat om de seksuele voorkeur van iemand te voorspellen of iemands religieuze gezindte, ook wanneer de onderliggende data die kenmerken (ogenschijnlijk) niet direct onthullen. Zijn daarmee dan ook de nog niet geanalyseerde gegevens (de brondata) al bijzondere persoonsgegevens, of daar pas sprake van in de analysefase? In r/o 73 lijkt de nadruk toch wat op de analysefase te liggen, maar in r/o 90 meer op de grote bak van niet te onderscheiden gegevens. Dat wordt nog ingewikkeld in de praktijk.
De onderliggende boodschap lijkt in feite te zijn: wees (zeer) terughoudend bij het in bulk verzamelen van gegevens. Die boodschap past uiteraard geheel bij de AVG.
Een andere aardige doordenker is nog wel de plicht om een variant van een dienst aan te bieden waarbij geen bijzondere persoonsgegevens worden verwerkt. Het is maar zeer de vraag of de gemiddelde burger bereid is om te betalen voor een dienst waarbij die gevoelige gegevens niet worden verwerkt. De gemiddelde burger zal evenmin bereid zijn dergelijke gegevens te laten verwerken louter om de dienst te kunnen gebruiken. Als er immers een echt geldige toestemming wordt gevraagd komt dat neer op de vraag stellen: "bent u bereid zich helemaal open en bloot te geven en alles van uw privéleven prijs te geven voor wat wij als bedrijf hier ook maar mee wensen te doen in ruil voor de dienst?". Wie daar ja tegen zegt is niet goed bij zijn hoofd. Nog daargelaten of het stellen van een dergelijke vraag weer niet getuigt van misbruik van omstandigheden, wat maakt dat de toestemming volgens het Hof weer niet geldig is. Onderaan de streep kom je zo aldus al snel uit bij een feitelijk verbod op het bieden van dergelijke diensten. In combinatie met het gegeven dat veel gegevens indirect gevoelig van aard zijn, levert ook dat een aardig doordenker op.
Al met al genoeg food for thought zogezegd. Dit arrest verdient nog een paar keer herlezen om alle consequenties ervan goed te overzien.
Neem gerust contact op bij vragen.