Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand januari op een rij.
1. In het kort: Google Analytics, wat is er gebeurd?
De Oostenrijkse privacytoezichthouder DSB oordeelde dat het gebruik van Google Analytics in strijd is met het “Schrems II” besluit, vermeldt de organisatie van Oostenrijkse privacy-voorvechter Max Schrems.
In 2020 oordeelde de hoogste Europese rechter al dat het gebruik van providers uit de Verenigde Staten (VS) de AVG-regels van internationale datadoorgifte schendt.
De surveillancewetgeving (“FISA 702” and “EO 12.333”) kan namelijk Amerikaanse organisaties, zoals Google, verplichten om de overheid van de VS te voorzien in persoonsgegevens van niet-Amerikaanse burgers. Dit is in strijd met de AVG.
Sindsdien hebben Google en Facebook de standaard contractbepalingen van de Europese Commissie geadopteerd, en extra technische en organisatorische maatregelen genomen om persoonsgegevens te beschermen.
Strak verhaal, zou je denken, maar de DSB maakt daar nu toch korte metten mee. Tegenover de surveillancemogelijkheden van de Amerikaanse overheid zijn die maatregelen immers niet opgewassen. Oftewel: daar hebben we niks aan. Werken met Google Analytics is, en blijft in strijd met de AVG.
Lees hier meer over deze ontwikkelingen, en de status in Nederland.
2. Helpt Cookiebot met de AVG-compliance, of toch niet?
Een Duitse universiteit gebruikte op haar website Cookiebot. Een service aangeboden door het Deense Cybot, die een cookiebanner plus toestemmingsvraag inregelt op een website. Hiervoor gebruikt Cookiebot het IP-adres, een gepersonaliseerde URL en een unieke “user key” van de bezoeker. Die gegevens slaat Cybot op, op servers in de Europese Unie, gehuurd van Akamai Technologies (uit de VS). Cybot werkt ook met Akamai Technologies om de gegevens op de website te verzamelen. Akamai slaat de persoonsgegevens zelf niet op. Akamai en Cybot zijn voor deze samenwerking de eerder genoemde standaard contractbepalingen overeengekomen.
De Duitse voorzieningenrechter oordeelde dat hier sprake is van onrechtmatige internationale doorgifte van de data (klik hier voor een Engelse samenvatting van de IAPP). Volgens de rechter is voor ‘internationale doorgifte’ niet noodzakelijk dat de data fysiek buiten de EU wordt opgeslagen. Het is voldoende dat Akamai deze als Amerikaanse partij verzamelt.
Dit komt doordat (1) IP-adressen persoonsgegevens zijn, en (2) doordat Akamai nog steeds onder de Clarifying Lawful Overseas Use of Data Act (CLOUD Act) valt. Hierdoor kan zij gegrepen worden door de verreikende tengels van de Amerikaanse overheid, die met haar surveillancemaatregelen persoonsgegevens van niet-Amerikaanse burgers kan verzamelen.
Dit oordeel is geveld door een voorzieningenrechter. Het is dus nog niet definitief.
3. Collectieve actie tegen Oracle en Salesforce strandt bij “like”-knop
The Privacy Collective (TPC) stelde namens 10 miljoen Nederlandse burgers dat de softwarebedrijven Salesforce en Oracle hun privacy heeft geschonden door "het grootschalige binnenslepen en verkopen van data […] zonder geldige toestemming” (zie website TPC). TPC eiste een schadevergoeding van 11 miljard euro op basis van de Wet afwikkeling Massaschade in collectieve actie (“WAMCA”).
Een vordering van een dergelijke belangenorganisatie kan alleen slagen als deze voldoet aan de ontvankelijkheidsvereisten. Dit zijn, simpel gezegd, de verplichte regels om zo’n vordering aan de rechter te kunnen voorleggen. Een belangenorganisatie kan (onder meer) alleen optreden voor gedupeerden, als de belangenorganisatie voldoende representatief is voor de betrokken groep gedupeerden.
TPC deed dit door bezoekers een “steun-knop” te laten indrukken op hun website. Met het klikken op de knop “STEUN MET EEN KLIK” zou je “steun [..] geven aan het voor de rechter slepen door TPC van twee techbedrijven voor het binnenslepen en verkopen van data van miljoenen Nederlanders, zonder toestemming”. Dubbele “klikkers” werden ontdubbeld, en zo zouden in totaal zeker 75.000 gedupeerden steun kenbaar hebben gemaakt.
Volgens de rechtbank Amsterdam zou het enkel klikken op de steunknop niet betekenen dat er een steunbetuiging is verkregen zoals bedoeld in het representativiteitsvereiste van de WAMCA. TPC moet namelijk feitelijk onderbouwen hoeveel gedupeerden deze actie daadwerkelijk ondersteunen, en wat daardoor de omvang is van de vordering.
De rechtbank oordeelde dat de wijze waarop de Nederlanders zich bij dit collectief hebben gevoegd om zich te laten vertegenwoordigen, onvoldoende representatief is. Daardoor is de vordering niet-ontvankelijk verklaard. Oftewel, de rechter vond dat TPC niet aan de verplichte regels had voldaan om zo’n vordering voor te leggen aan de rechter, omdat zij onvoldoende kon laten zien dat zij de groep gedupeerden representeerde.
4. Ex-medewerker Coolblue trekt toestemming in voor gebruik “portret” in reclames
Een medewerker van Coolblue wiens gezicht gebruikt is in reclame-uitingen van Coolblue, werd in 2020 op staande voet ontslagen. In de periode dat de ex-medewerker in dienst was, heeft Coolblue foto’s en filmpjes gemaakt die gebruikt zijn op ongeveer 100 bestelbussen en in een promotievideo. De ex-medewerker maakte in deze zaak bezwaar tegen het gebruik door Coolblue van zijn “portret” (oftewel: iemands uiterlijk) in reclames.
De ex-medewerker zou geen toestemming hebben gegeven voor (onbeperkt) gebruik van het materiaal, en zou een redelijk belang hebben zich tegen het gebruik ervan te verzetten. Het gebruik ervan is in strijd met zijn portretrecht (artikel 21 Auteurswet), aldus de ex-medewerker. Daarnaast is hier volgens de ex-medewerker sprake van een onrechtmatige verwerking op basis van de AVG. Bij hernieuwd gebruik van zijn portret had Coolblue toestemming moeten vragen, en hem moeten informeren over zijn rechten.
De rechtbank gaat hier niet in mee. De ex-medewerker heeft namelijk expliciet ingestemd met het gebruik van zijn portret in de reclames. Hij heeft: (1) de arbeidsovereenkomst, waarin staat “Jij bent ons gezicht. Daarom gebruiken we graag beeldmateriaal met jouw portret erop.“, ondertekend, (2) erkend dat hij in 2019 toestemming gaf voor het maken van foto’s en het figureren in de promotievideo, en (3) geweten waarvoor dit gemaakt werd (de briefing staat namelijk op video).
Het gebruik van zijn portret, zijnde persoonsgegevens, is ook niet in strijd met de AVG. Coolblue heeft een commercieel belang om reclame te maken. Dit valt onder de bescherming van artikel 10 Europese Verdrag voor de Rechten van de Mens (vrijheid van meningsuiting). Dit is een gerechtvaardigd belang op basis waarvan deze verwerking van persoonsgegevens rechtmatig is (artikel 6 (f) AVG). De privacybelangen van de ex-medewerker worden verder tegemoet gekomen, door de uitfasering van de reclames. De inbreuk op de persoonlijke levenssfeer van de ex-medewerker is daarom gerechtvaardigd.
Er is geen inbreuk op het portretrecht, of de AVG.
Benieuwd wat er in februari 2022 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!
Deze blog is in samenwerking geschreven met stagiaire Maria Sejfryd.
