In onze huidige digitale samenleving gelden allerlei soorten regels voor online diensten. Elke regel heeft een eigen doel en toepassingsgebied, maar in de praktijk overlappen de regels elkaar. Dat kan leiden tot juridisch ingewikkelde situaties, zoals ook blijkt uit de zaak X (een natuurlijke persoon, niet het voormalige Twitter) tegen Russmedia Digital.
De zaak leidde tot prejudiciële vragen aan het Hof van Justitie van de Europese Unie (‘HvJEU’).1 In zijn conclusie ging advocaat-generaal (‘A-G’) Szpunar specifiek in op het spanningsveld tussen de Algemene Verordening Gegevensbescherming (‘AVG’) en de E-commerce Richtlijn.2 In deze blog bespreek ik aan de hand van zijn conclusie de uitdagingen die ontstaan bij de samenloop tussen deze regels.
De zaak X tegen Russmedia Digital
Wat speelde er precies? In 2018 plaatste een onbekende een advertentie op Publi24.ro, een online marktplaats beheerd door Russmedia Digital. In de advertentie werd ten onrechte gesuggereerd dat een persoon, aangeduid als ‘X’, seksuele diensten aanbood. De advertentie bevatte foto’s en het telefoonnummer van X, afkomstig van diens socialmedia-account. X startte daarop een rechtszaak tegen Russmedia Digital.
Volgens de E-commerce Richtlijn zijn exploitanten van online marktplaatsen in beginsel niet aansprakelijk voor de advertenties die worden gepubliceerd, zolang zij geen kennis hebben van en geen controle uitoefenen over de advertenties.3 X stelt echter dat Russmedia Digital rechtstreeks betrokken is bij de publicatie van de advertentie en zich daarom niet kan beroepen op deze aansprakelijkheidsvrijstelling.
Daarnaast stelt X dat Russmedia Digital de AVG heeft geschonden. Volgens X had Russmedia Digital vóóraf moeten contoleren of de adverteerder de rechtmatige eigenaar was van de persoonsgegevens en of de advertentie inbreuk maakte op het privéleven van X. Nu Russmedia Digital dit heeft nagelaten, zou het zich volgens X niet kunnen beroepen op de aansprakelijkheidsvrijstelling. Dit roept een fundamentele vraag op: kunnen de verplichtingen uit de AVG de werking van de E-commerce Richtlijn opzijzetten?
Het spanningsveld tussen de AVG en de E-commerce Richtlijn
De exploitant van een online marktplaats wordt onder de AVG beschouwd als verwerkingsverantwoordelijke wanneer hij het doel en de middelen van de verwerking van persoonsgegevens bepaalt. Deze rol brengt verplichtingen met zich mee, zoals het verkrijgen van een rechtsgrond voor het gebruik van persoonsgegevens (bijvoorbeeld toestemming) en het treffen van passende beveiligingsmaatregelen om de persoonsgegevens te beschermen.
Volgens A-G Szpunar moet Russmedia Digital bij het publiceren van de advertenties niet worden gezien als verwerkingsverantwoordelijke, maar als verwerker. Het doel van de verwerking van persoonsgegevens bij het publiceren van een advertentie is het promoten van een product of dienst en wordt bepaald door de adverteerder. De adverteerder bepaalt bovendien welke persoonsgegevens in de advertentie worden opgenomen. De exploitant van een online marktplaats verwerkt deze gegevens namens de adverteerder en treedt daarmee op als verwerker.
A-G Szpunar benadrukt dat een verwerkingsverantwoordelijke kennis moet hebben van de verwerking van de persoonsgegevens en hier controle over moet uitoefenen. Die verantwoordelijkheid strookt niet met de neutrale positie die de exploitant van een online marktplaats moet innemen om zich te kunnen beroepen op de aansprakelijkheidsvrijstelling. Volgens A-G Szpunar bevestigt dit dat de exploitant van een online marktplaats niet als verwerkingsverantwoordelijke kan worden aangemerkt en daarom niet verplicht is om vooraf de adverteerder of zijn advertentie te controleren.
Overigens is Russmedia Digital volgens A-G Szpunar wél verwerkingsverantwoordelijke voor de persoonsgegevens van adverteerders die zich via de website registreren. De exploitant van een online marktplaats bepaalt namelijk welke persoonsgegeven tijdens de registratie worden verzameld en met welk doel. Daarmee rust op de exploitant van een online marktplaats de verplichting om passende beveiligingsmaatregelen treffen, bijvoorbeeld het verifiëren van registraties via een telefoonnummer om identiteitsdiefstal te voorkomen.
De impact van de Digital Services Act
Met de invoering van de Digital Services Act (‘DSA’) is de spanning tussen de AVG en de E-commerce Richtlijn enigszins verlicht. Artikel 7 DSA bepaalt namelijk dat exploitanten van online marktplaatsen hun aansprakelijkheidsvrijstelling niet verliezen als zij vrijwillig maatregelen nemen om te voldoen aan andere wet- en regelgeving. Dit betekent dat zij maatregelen kunnen nemen om te voldoen aan de AVG, zonder dat dit leidt tot verlies van de aansprakelijkheidsvrijstelling. Denk bijvoorbeeld aan technische maatregelen om inbreukmakende content vroegtijdig te detecteren en te verwijderen.4
Key takeaway
De zaak X tegen Russmedia Digital maakt het spanningsveld tussen de AVG en de E-commerce Richtlijn goed zichtbaar. Waar de E-commerce Richtlijn vereist dat de exploitant van een onlinemarktplaats een neutrale positie inneemt, verplicht de AVG hen juist om persoonsgegevens te controleren en te beveiligen. Of die verplichting de werking van de E-commerce Richtlijn opzijzet, is nog onduidelijk. De conclusie van A-G Szpunar wijst in die richting, maar het is aan het HvJEU om hierover definitief uitspraak te doen.
Heeft jouw organisatie te maken met dit spanningsveld?
Onze adviseurs helpen je graag verder. Neem vrijblijvend contact met ons op!
Contact
1 De hoogste rechterlijke instellingen van de Europese Unie.
2 Let op, de conclusie van de advocaat-generaal is niet bindend voor het HvJEU.
3 Artikel 14 lid 1 E-commerce richtlijn; HvJEU 23 maart 2010; ECLI:EU:C:2010:159 (Google France en Google, punten 112 en 113).
4 HvJ EU 22 juni 2021, ECLI:EU:C:2021:503, punt 109 (Youtube & Cyando).
