Month

België is al lang een van de minder actieve EU-staten op het gebied van het optreden tegen inbreuken op de privacy en de verwerking van persoonsgegevens. Dit valt deels te verklaren door het feit dat de Belgische Privacycommissie weinig tot geen handhavingsbevoegdheid heeft. Volgens staatssecretaris voor de Privacy Bart Tommelein (Open VLD) komt hier tegen eind dit jaar verandering in en zal de Privacycommissie zelf kunnen optreden tegen bedrijven en particulieren die de wetten op de bescherming van de privacy overtreden.

Wanneer de Privacycommissie op heden een inbreuk vaststelt, kan zij zelf geen boetes opleggen. Wenst zij toch te sanctioneren dan dient zij een burgerlijke procedure op te starten bij de rechtbank van eerste aanleg of een klacht in te dienen bij het parket. Daar strafrechtelijke vervolging van inbreuken op de privacywet vrijwel onbestaande is, leidt dit in de praktijk tot een feitelijke straffeloosheid.

In aanloop naar de nieuwe EU-Verordening inzake de verwerking van persoonsgegevens in 2013 had de Privacycommissie er bij de regering reeds op aangedrongen om haar robuustere handhavingsbevoegdheden te verlenen. Deze oproep heeft nu gehoor gekregen. Zo zou de Privacycommissie in de toekomst de rol van toezichthouder krijgen, zoals er ook een in de energie- en telecomsector bestaat. Als toezichthouder zal zij tevens de mogelijkheid krijgen om boetes uit te delen.

Over de omvang van de boetes wou Tommelein zich niet uitspreken maar de voorzitter van de Privacycommissie, Willem Debeuckelaere, denkt dat die, net als bij energie- en telecomregulator, kunnen gaan van EUR 250 tot EUR 20.000. De omvang van de boete zal afhangen van de grootte van de inbreuk, de nalatigheid van een bedrijf of particulier en de inspanningen om het probleem op te lossen. Hoewel deze bedragen aanzienlijk lager zijn dan de maximale strafrechtelijke boete van EUR 600.000 die bedrijven kunnen oplopen in het (onwaarschijnlijke) geval van vervolging en niet eens in de buurt komen van de omvang van de potentiële boetes die in het kader van de toekomstige EU-Verordening worden overwogen, is dit een belangrijke stap in bescherming van het ongeoorloofd gebruik van persoonsgegevens.

De strijd tegen het illegaal reproduceren van auteursrechtelijk beschermde werken is allesbehalve gestreden. Na het downloaden, komen nu ook het streamen en de (il)legaliteit van de bron in de spotlights te staan.

 Stichting de Thuiskopie

De evolutie omtrent de vereiste van een legale bron voor downloaden van auteursrechtelijk beschermde werken werd op Europeesrechtelijk vlak beslecht door een arrest van het Hof van Justitie op 14 april 2014[1].

Voor dit arrest heerste er gedurende lange tijd een gedoogbeleid omtrent het downloaden van beschermde werken zonder toestemming van de auteur. De toen vigerende rechtsleer in België aanvaardde dat het downloaden toegestaan was en dat er geen toestemming nodig was van de auteur, op voorwaarde dat de reproductie enkel bestemd was voor privégebruik. Deze redenering had tot gevolg dat ook het downloaden uit illegale bron onder de uitzondering voor de privékopie bepaald in artikel 5(2)(b) van de Auteursrichtlijn[2] kon worden gebracht.

In het voormelde arrest haalde het Hof van Justitie deze visie evenwel onderuit. Een nationale regeling die geen onderscheid maakt tussen reproducties vanuit legale of illegale bron is strijdig met de in de richtlijn voorziene uitzondering voor de privékopie. Sterker nog, het uit illegale bron downloaden van bestanden kan niet worden gebracht onder de uitzondering van de privékopie.

Met dit arrest van het Hof van Justitie werd de daarvoor heersende onzekerheid met betrekking tot de legaliteit van de bron aldus beslecht in het voordeel van de rechthebbenden.

Streaming

Ook vragen met betrekking tot de legaliteit van de bron bij streamen steken nu de kop op. In een zaak voor de Rechtbank Midden-Nederland, afdeling Civiel recht,[3] is momenteel een procedure hangende met betrekking tot de tijdelijke reproductie door het streamen van beschermde werken uit illegale bron. Filmspeler.nl biedt een media speler aan, gebruik makend van open-source software en add-ons die hyperlinks bevatten naar steamingwebsites die fims, series en (live)sportwedstrijden vrij toegankelijk maken, al dan niet met toestemming van de rechthebbenden. Filmspeler zelf overweegt dat downloaden illegaal is, maar streamen niet.

In haar vonnis van 10 juni 2015 overweegt de rechtbank om prejudiciële vragen te stellen aan het Hof van Justitie, dit vanuit de overweging of er in navolging en in de lijn van bovenvermeld arrest van het Hof van Justitie ook niet moet worden geoordeeld dat het maken van tijdelijke reproducties bij het streamen uit ongeoorloofde bron evenmin toelaatbaar is.[4]

 Het verdere verloop

De partijen in bovenvermelde Nederlandse zaak hebben nu de mogelijkheid om nog opmerkingen te formuleren omtrent de voorgestelde prejudiciële vragen, waaronder de vraag omtrent de rechtmatigheid van streamen uit illegale bron.

De lezer moge al gewaarschuwd zijn. Ook het streamen van auteursrechtelijk beschermde werken kan binnenkort worden aangemerkt als strijdig met de Auteursrichtlijn indien het Hof van Justitie haar gestarte lijn voortzet.

Vonnis Rechtbank Midden-Nederland 10 juni 2015

[1]HvJ C-435/12, ACI Adam BV e.a. v. Stichting de Thuiskopie en Stichting Onderhandelingen Thuiskopie Vergoeding, 14 april 2014.

[2]Richtlijn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij.

[3] Rechtbank Midden-Nederland 10 juni 2015, IEF 15014 (Stichting BREIN tegen Filmspeler).

[4] Paragraaf 4.37.

Het Grondwettelijk Hof heeft op 11 juni 2015 geoordeeld dat de Belgische Dataretentiewet in strijd is met het gelijkheidsbeginsel, het principe van non-discriminatie en het recht op eerbiediging van het privéleven.

De wet van 30 juli 2013 (hierna Datareteniewet) hield een wijziging in van de artikelen 2, 126 en 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie en van artikel 90decies van het Wetboek van strafvordering. De Dataretentiewet bepaalde dat telefonische en andere elektronische communicatiegegevens voor een periode van 12 maanden door de telecomoperatoren dienden te worden bijgehouden. Overeenkomstig artikel 5, lid 5 van de Dataretentiewet mochten er weliswaar geen gegevens worden bewaard waaruit de inhoud van de communicatie kon worden opgemaakt.

Ingevolge het arrest van het Grondwettelijk Hof, dd. 11 juni 2015 (nr. 84/2015), is aan deze bewaarverplichting een einde gekomen. De telecomproviders in België zijn niet langer verplicht om telefoniegegevens en internetdata een jaar lang te bewaren.

Het beroep tot gedeeltelijke (artikel 5) of gehele vernietiging van de Dataretentiewet werd respectievelijk ingesteld door de Orde van Franstalige en Duitstalige advocaten en door de Ligue des Droits de l’homme en de Liga voor Mensenrechten. Zij waren allen van mening dat de huidige Dataretentiewet in strijd was met het recht op privacy en eisten bijgevolg de vernietiging van de wet.

Het Grondwettelijk Hof verklaarde derhalve de vordering gegrond en volgde in haar arrest de redenering van het Hof van Justitie, die in april 2014 de Europese Dataretentierichtlijn ongeldig verklaarde. Volgens het Hof van Justitie is de bewaarplicht “een zeer omvangrijke en bijzonder ernstige inmenging in de fundamentele rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens zonder dat deze inmenging tot het strikt noodzakelijke beperkt blijft”.

Om dezelfde redenen heeft het Grondwettelijk Hof vastgesteld dat de Belgische wetgever de grenzen van het evenredigheidsbeginsel heeft overschreden overeenkomstig de artikelen 7, 8 en 52, lid 1 van het Handvest van de grondrechten van de Europese Unie.

Paradoxaal genoeg mogen telecomoperatoren nog steeds op vrijwillige basis telecommunicatiegegevens bijhouden aangezien dit door Europa is toegestaan. Uit dit alles kunnen we stellen dat er op Europees niveau nog steeds moet worden gezocht naar een evenwicht tussen enerzijds het belang van waarheidsvinding en anderzijds het recht op privacy.

 Arrest Grondwettelijk Hof dd. 11 juni 2015 nr. 84/2015

Op 13 mei 2015 bracht de Belgische Privacycommissie een aanbeveling uit over het gebruik van de Facebook social plug- ins. Volgens deze aanbeveling schendt de wijze waarop Facebook het gedrag van de internet surfers bijhoudt de Belgische en Europese privacywetgeving. De Privacycommissie dreigt met juridische stappen indien Facebook de aanbeveling naast zich neerlegt.

Inleiding

Facebook ontvangt heel wat informatie over het surfgedrag van de internetgebruikers via social plug-ins op websites, zoals de “Vind ik leuk” of “Delen” knop. Op vraag van de Belgische Privacycommissie werd door de interuniversitaire onderzoeksgroep EMSOC/SPION een diepgaand onderzoek gedaan naar de wijze waarop Facebook omgaat met de persoonsgegevens van haar leden en niet- leden. De resultaten waren onthutsend: Facebook neemt een loopje met de Europese en Belgische privacywetgeving.

De Privacycommissie heeft vastgesteld dat Facebook de persoonsgegevens “verwerkt” van haar leden, gebruikers als elke internetgebruiker die in contact komt met de diensten en producten van Facebook. Zo gebeurt de tracking en tracing via de social plug- ins zonder de voorafgaandelijke (en ondubbelzinnige) toestemming. Verder ontbreekt elke transparantie en verschaft Facebook slechts geringe informatie over wat ze met de verwerkte informatie doet.

Aanbeveling

Op 13 mei 2015 bracht de Privacycommissie een eerste aanbeveling. Deze aanbeveling richt zich tot drie betrokken doelgroepen: (i) Facebook zelf, (ii) de uitbaters en eigenaars van websites die gebruik maken van social plug- ins en tenslotte (iii) de internetgebruikers.

i)               Facebook

In haar aanbeveling richt de Privacycommissie zich uitdrukkelijk tot Facebook en stelt zij een aantal punten voorop. Vooreerst mag Facebook slechts de internetactiviteiten van haar gebruikers volgen indien zij de ondubbelzinnige en voorafgaandelijke toestemming van de gebruiker heeft ontvangen. Daarnaast meent de Privacycommissie dat het systematisch verzamelen van informatie via social plug- ins (ook van niet- Facebook leden) buitensporig is, zeker als er geen interactie is met deze social plug- ins.

De aanbeveling stelt verder dat Facebook transparant moet zijn over de informatie die zij verzamelt en niet langer informatie mag verzamelen van niet- leden of van Facebook leden die zijn uitgelogd of hun account hebben opgezegd (tenzij zij daarvoor hebben geopteerd). Tenslotte mag Facebook slechts informatie van haar gebruikers verzamelen via cookies en social plug- ins voor zover dit strikt noodzakelijk is om een gebruiker een specifiek door hem gevraagde dienst te leveren. Andere informatie mag slechts worden verzameld indien en voor zover de gebruiker hiermee heeft toegestemd.

ii)              Uitbaters en eigenaars van websites

Volgens de Privacycommissie hebben eigenaars of uitbaters van websites die gebruik maken van de door Facebook aangeboden social plug- ins een verantwoordelijkheid met betrekking tot het gebruik van cookies door middel van social plug- ins op hun website. De eigenaars en uitbaters dienen de bezoekers van hun website behoorlijk te informeren. Bovendien moeten zij ook de toestemming verkrijgen voor cookies en andere metabestanden waarvan zij het hergebruik mogelijk niet beheerst.

De Privacycommissie beveelt dan ook aan om de bezoekers van de website duidelijk in te lichten over het gebruik van de cookies door middel van social plug- ins via het cookiebeleid van de website. Daarnaast valt het ook aan te raden om gebruik te maken van een instrument zoals “Social Share Privacy” om de toestemming van de gebruiker te verkrijgen. Via dergelijk instrument maken plug- ins van derde partijen slechts verbinding met de third party servers nadat de gebruiker de social plug- in heeft aangeklikt.

iii)            Internetgebruikers

Internetgebruikers kunnen zich op verschillende manieren beschermen tegen de verzameling van hun surfgedrag:

–        door de installatie van een browser add- on die tracking van het surfgedrag blokkeert (e.g. Privacy Badger, Ghostery, …)

–        door gebruik te maken van de “incognito” of “private navigation” modus van de browser. Deze functie zorgt ervoor dat de browser de sporen van het surfgedrag wist eens het venster wordt gesloten.

–        door zich uit te schrijven voor gerichte advertenties via de opt- out website van de European Interactive Digital Advertising Alliance (www.youronlinechoices.eu). Op die manier kan Facebook niet langer de informatie over het surfgedrag van haar leden gebruiken voor het aanbieden van gerichte reclame. Let wel: Facebook zal nog steeds informatie verzamelen, maar mag deze niet langer gebruiken voor advertentiedoeleinden.

Bevoegdheid van de Belgische Privacycommissie

De Facebook groep heeft in België slechts één onderneming (Facebook Belgium BVBA) die hoofdzakelijk als vehikel om te lobbyen werd opgericht. Omdat deze vennootschap geen persoonsgegevens van de Facebook gebruikers verwerkt, meent Facebook dat zij niet gebonden is door de nationale privacywetgeving van België. Volgens Facebook gebeurt de verwerking van persoonsgegevens enkel door haar Ierse vennootschap en dient zij dan ook enkel het toezicht van de Ierse Privacycommissie te aanvaarden.

De Belgische Privacycommissie verwerpt dit argument en stelt dat Facebook weldegelijk gebonden is door de Belgische privacywetgeving. Zij gebruikt hiervoor hetzelfde argument als het Europese Hof van Justitie in de bekende ‘right to be forgotten case’[1], namelijk dat de vraag of een bepaalde vennootschap (in casu Facebook België BVBA) persoonsgegevens verwerkt irrelevant is, indien de activiteiten van deze vennootschap onlosmakelijk verbonden zijn met deze van de groep (in casu de Facebook groep). Vermits dit het geval is bestaat er volgens de Privacycommissie geen twijfel over de toepasbaarheid van het Belgische recht.

Wat volgt?

Onder de huidige privacywetgeving kan de Privacycommissie zelf geen boetes opleggen.[2] Wel kan zij, waar nodig, een juridische procedure starten. De Privacycommissie dreigt er dan ook mee om een strafrechtelijke procedure op te starten indien Facebook de vooropgestelde aanbevelingen niet volgt. Deze zaak wordt dan ook ongetwijfeld vervolgd.

UPDATE maandag 15 juni 2015

De Privacycommissie heeft Facebook voor de rechtbank gedaagd. Het nieuws werd bevestigd door de voorzitter van de Privacycommissie, Willem Debeuckelaere, aan VRT nieuws. De zaak komt donderdag 18 juni voor in kort geding voor de burgerlijke rechtbank van eerste aanleg te Brussel.

Tekst aanbeveling Privacycommissie

[1] CJEU C-131/12, Google Spain SL, Google Inc. V Agencia Española de Protección de Datos, Mario Costeja González (13 mei 2014).

[2] Dit kan tegen eind dit jaar mogelijks wijzigen.