Overdaad schaadt. Afwegingen bij het recht om te worden vergeten. Wetenschap. Stefan Pack* Gegevensbescherming herzien

Overdaad schaadt

Wetenschap

Afwegingen bij het recht om te

Stefan Pack*

worden vergeten De Europese Commissie formuleerde in haar voorstel voor een Dataprotectieverordening een recht om te worden vergeten. Hiermee zouden personen bij ondernemingen en overheidsinstanties kunnen afdwingen dat hun persoonsgegevens niet meer worden verwerkt en worden gewist wanneer deze niet langer nodig zijn voor rechtmatige doeleinden. Het recht neemt echter de bescherming van persoonsgegevens als uitgangspunt en doet te weinig recht aan het belang van de vrijheid van meningsuiting en de toegang tot informatie. De praktische uitvoerbaarheid en juridische wenselijkheid schieten daarmee te kort.

Gegevensbescherming herzien De Dataprotectieverordening1 (hierna: de verordening) moet de vigerende Privacyrichtlijn (95/46/EG)2 uit 1995 gaan vervangen. Sindsdien is in de digitale wereld immers veel geïnnoveerd: het internet is een enorme stimulans gebleken voor de uitwisseling van informatie en manieren van dienstverlening. Deze ontwikkeling heeft evenwel consequenties voor de privacy van burgers. Overheidsinstanties verzamelen persoons- en communicatiegegevens in het kader van dienstverlening en veiligheid. Private organisaties maken als onderdeel van hun verdienmodel graag gebruik van data die gebruikers van diensten gewild of ongewild verspreiden. Het internet als ijzeren geheugen: zijn al die informatiestromen juridisch te reguleren? Volgens Eurocommissaris Reding (Justitie) die de verordening presenteerde, zijn persoonsgegevens de valuta van de digitale markt en ‘like any currency it needs stability and trust’.3 Nu het internet zich ontwikkelt van een nagenoeg geheel ‘vrij’ netwerk tot een voornamelijk commerciële omgeving4 is het volgens artikel 17 het Verdrag betreffende de Werking van de Europese Unie (VWEU) aan de Europese instellingen om gegevensbescherming te bieden. Eenduidige privacywetgeving kan fragmentatie van regelgeving en administratieve lasten bestrijden en besparingen opleveren voor het bedrijfsleven en

In deze bijdrage richt ik mijn aandacht op het met het voorstel gepresenteerde ‘recht om te worden vergeten’. Het betreffende artikel 17 van de verordening voorziet in het recht op uitwissing van persoonsgegevens op het internet door de publieke en private organisaties die deze data verwerken, ook bij derde partijen die deze informatie hebben gekopieerd. De bepaling is een nadere uitwerking en invulling van het reeds in de Privacyrichtlijn vervatte recht van uitwissing. Het moet een oplossing bieden voor het probleem dat publieke verspreiding van persoonsgegevens op internet onbeheersbaar is voor de ‘betrokkene’ (de natuurlijke persoon) die deze al dan niet zelf heeft geplaatst. Daarbij wordt het begrip persoonsgegeven, zoals ook nu al,5 zeer ruim uitgelegd als ‘iedere informatie

* 1

3

2

50

MF art 3-2014.indd 50

de consument. Voorts kunnen heldere regels het consumentenvertrouwen sterken en een impuls geven aan innovatie, groei en werkgelegenheid in Europa. De Verordening dient evenzeer ter bevordering van de Europese economie als van de consumentenbescherming door vernieuwde privacywaarborgen te bieden aan de burgers van de Europese Unie vis-à-vis private ondernemingen en overheden. Nieuwe rechten worden geïntroduceerd zoals het recht op dataportabiliteit (de overdraagbaarheid van persoonsgegevens naar andere systemen) en bestaande rechten zoals het recht op inzage en rectificatie van persoonsgegevens worden aangepast om ongeacht de snelle technologische ontwikkelingen privacywaarborgen te blijven bieden.

Mr. drs. S.B. Pack is alumnus (2013) van de Universiteit Leiden. Europese Commissie, ‘Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming’, COM(2012) 11 final, 25 januari 2012. In 2010 werd hierover een communicatie uitgegeven: Europese Commissie, ‘Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de regio’s. Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie’, COM(2010) 609 definitief, 4 november 2010. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gege-

4 5

vens (PbEG 1995 L281/31). V. Reding, ‘The EU Data Protection Reform 2012: Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age. Speech at Innovation Conference Digital, Life, Design’, 22 januari 2012, europa.eu/rapid/pressrelease_SPEECH-12-26_en.htm. J. Ausloos, ‘The ‘Right to be forgotten’ – worth remembering?’, Computer Law and Security Review, (vol. 28) 2012-2, p. 148. In de Privacyrichtlijn maar ook in de literatuur: persoonsgegevens kunnen worden omschreven als alle informatie die direct of indirect naar een persoon kunnen worden herleid, ofwel die een persoon identificeerbaar maakt. M. J. Culnan & P.K. Armstrong, ‘Information privacy concerns, procedural fairness, and impersonal trust: an empirical investigation’, Organizational Science, (vol. 10) 1999-1, p. 104-115.

Mediaforum 2014-3

13-03-2014 12:07:53

betreffende een betrokkene’6 zodat het onder meer teksten en foto’s op sociale netwerken of blogs, onderlinge communicatie, locatiegegevens, financiële gegevens, gezondheidsinformatie en referenties in journalistieke uitingen kan omhelzen. Het samenspel van waarborgen in artikel 17 van de verordening schept enerzijds rechten aan personen en anderzijds verplichtingen aan de verwerkers van persoonsgegevens – althans aan de ‘voor de verwerking verantwoordelijke’,7 die ik hierna ‘verantwoordelijke’ (indicatief) zal noemen. Volgens critici is de Europese Commissie evenwel te ambitieus: de bepaling zou zeer bezwarend zijn voor het bedrijfsleven en zo innovatiebeperkend werken. Meer principiële kritiek ziet op een botsing met het recht op vrijheid van meningsuiting of het gevaar van censuur wanneer mensen hun persoonsgegevens uit publieke bronnen kunnen laten verwijderen.8 In het navolgende bespreek ik de vraag welke vernieuwing in het Europese privacyrecht het recht om te worden vergeten met zich brengt en in hoeverre deze bepaling juridisch wenselijk is en uitvoerbaar moet worden geacht. Daartoe zal ik de Dataprotectieverordening bespreken en deze binnen het Europees juridisch kader plaatsen. Aan de hand van bestaande regels en jurisprudentie kan worden bezien welke oorsprong en vernieuwingen een recht om te worden vergeten kent. Dat recht past immers in die context en zal vervolgens worden gepresenteerd en ontleed. De kritiek op de uitvoerbaarheid van het voorstel behandel ik onder drie noemers, te weten ‘botsing met de informatievrijheid’, ‘reikwijdte van het recht’ en ‘globale aspecten’. Tot slot doe ik enkele aanzetten tot verbetering en rond ik af met een recente ontwikkeling.

De Dataprotectieverordening Artikel 16 VWEU biedt de mogelijkheid een alomvattend rechtskader te creëren voor de bescherming van persoonsgegevens, waaraan de Europese Commissie op 25 januari 2012 formeel gehoor heeft gegeven. Het pakket aan maatregelen omvat een ‘Verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’9 en een richtlijn die ziet op de verwerking van gegevens in het kader van samenwerking van politiële en justitiële diensten binnen de Unie.10 De verordening is materieel van toepassing op ‘de geheel of gedeeltelijk geautomatiseerde, alsmede op de nietgeautomatiseerde verwerking van persoonsgegevens die in een 6 7 8

Europese Commissie, COM(2012) 11, artikel 4. Europese Commissie, COM(2012) 11, artikel 4. Zie bijvoorbeeld J. Rosen, ‘The right to be forgotten’, Stanford Law Review Online (vol. 64) 2012, 88, www.stanfordlawreview.org/online/privacy-paradox/rightto-be-forgotten. 9 Europese Commissie, COM(2012) 11. 10 Europese Commissie, ‘Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens’, COM(2012) 10 final, 25 januari 2012. Zie F. van der Jagt, ‘De ontwerprichtlijn gegevensbescherming opsporing en vervolging’, Privacy & Informatie 2012-3, p. 118-126. 11 De verordening is evenwel niet van toepassing op onder meer het handelen van de Unie-instellingen, organen, bureaus en agentschappen (waarop Verordening 45/2001 van kracht blijft); in het kader van activiteiten die buiten de werkingssfeer van het EU-recht vallen; op de verwerking van persoonsgegevens door een natuurlijk persoon zonder commercieel belang (artikel 2, tweede lid). Het geografisch toepassingsgebied (artikel 3) van de verordening wordt in elk geval bepaald doordat de verwerker of de voor de verwerking verantwoordelijke in de Europese Unie is gevestigd of dat de betrokkene aan wie diensten of

Mediaforum 2014-3

MF art 3-2014.indd 51

bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen’ (artikel 2, eerste lid).11 In het kader van de effectbeoordeling die de Europese Commissie uitvoerde, stelde zij drie beleidsdoelen: de internemarktdimensie van gegevensbescherming versterken, personen in staat stellen hun gegevensbeschermingsrechten doeltreffender uit te oefenen en een breed, samenhangend kader tot stand brengen voor alle gebieden die onder de bevoegdheid van de Unie vallen, waaronder politiële en justitiële samenwerking in strafzaken. Op basis van die behoeften werd als beleidsoptie gekozen voor het vorengenoemde pakket van instrumenten.12 De uitwerking van privacyregels in de Europese Unie wordt gevormd door Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, ook wel Privacyrichtlijn. Deze heeft volgens de Europese Commissie bijgedragen aan de concrete bescherming van burgerrechten en heeft ondernemingen geprikkeld om aandacht te schenken aan de privacy van hun cliënten.13 Het karakter van de richtlijn kent een groot nadeel: deze wordt geïmplementeerd en uitgevoerd door 28 lidstaten. Hoewel de richtlijn voor minimumharmonisatie zorgde, zijn inmiddels verschillende nationale vereisten ontstaan en hebben afwegingen van rechters en onafhankelijke nationale autoriteiten met betrekking tot gegevensbescherming tot verschillende interpretaties van de Privacyrichtlijn geleid. Dit heeft rechtsonzekerheid en verschillen in rechtsbescherming van burgers tot gevolg als ook vermijdbare kosten voor ondernemingen vanwege het aanpassen van diensten per jurisdictie.14 Een herziening van de gegevensbescherming moet als uitwerking van Europese beleidsprogramma’s15 rechtszekerheid, consumentenvertrouwen, winst en innovatie stimuleren. Ook inhoudelijk voldoen de bepalingen uit de richtlijn volgens de Europese Commissie niet meer aan de eisen die in een ontwikkelende (digitale) wereld gesteld moeten worden om een doeltreffende gegevensbescherming te waarborgen.16 De Dataprotectieverordening moet daarom een ‘modern, krachtig, consequent en alomvattend kader voor de Europese Unie tot stand brengen’.17

Een bestaand recht? Het gemak waarmee persoonsgegevens verspreid kunnen worden, zorgt voor een toenemend belang van de informatio-

12 13

14 15

16 17

goederen worden aangeboden (dan wel die wordt geobserveerd) daar aanwezig is. Europese Commissie, COM(2012) 11, p. 4-5. Deze paragraaf is mede gebaseerd op Europese Commissie, ‘Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s. Privacywaarborging in het online tijdperk: Een Europees gegevensbeschermingskader voor de 21e eeuw’, COM(2012) 9 final, 25 januari 2012. Europese Commissie, COM(2012) 9, p. 7. Een modernisering van de privacyregels binnen de Europese Unie volgt uit de strategieën van het Stockholmprogramma en -actieplan: een beleidsprogramma op het terrein van de ruimte van vrijheid, veiligheid en rechtvaardigheid waarmee de burger meer rechten moet verkrijgen (Europese Raad, PbEU 2010 C115/1; Europese Commissie, COM(2010) 171). Ook de Digitale Agenda voor Europa koerst op een hoog niveau en coherentie van gegevensbescherming met meer rechtszekerheid voor burgers en ondernemingen tot gevolg (Europese Commissie, COM(2010) 245). Tot slot moeten de regels van de voorgestelde Dataprotectieverordening bijdragen aan de 2020-groeistrategie van de Europese Unie (Europese Commissie, COM(2010) 2020). Europese Commissie, COM(2012) 9, p. 3. Europese Commissie, COM(2012) 9, p. 13.

51

13-03-2014 12:07:53

nele privacy. Naast de klassieke, algemene privacybescherming vanuit (mensenrechten)verdragen en nationale regelingen is, om het hoofd te bieden aan moderne ontwikkelingen, binnen de Europese Unie de zorgvuldige en rechtmatige verwerking van persoonsgegevens een Europees grondrecht geworden. Dataprotectie is bovendien een ‘interne marktrecht’ en is op basis van het VWEU uitgewerkt in concrete regelgeving, waarvan de Privacyrichtlijn en nu het Commissievoorstel voor de Dataprotectieverordening het resultaat is. Dat een recht om te worden in de literatuur vergeten veel stof deed opwaaien, komt door het – althans gepretendeerde – nieuwe karakter van de bepaling in het Europese recht. Het idee komt evenwel niet uit de lucht vallen en kent een analoge variant. Bovendien vormt het een uitwerking van verdragsrechtelijke bepalingen.

Europeesrechtelijk kader De Europese Unie kent behalve gegevensbescherming als grondrecht een groot arsenaal aan privacybeschermingsregels waaraan rechten kunnen worden ontleend. Het toenemende belang van bescherming van persoonsgegevens – als ‘losgeweekt’ van het meeromvattende recht op privacy18 – wordt ook juridisch weerspiegeld in het Handvest van de Grondrechten van de Europese Unie. Dit Grondrechtenhandvest kent een aparte bepaling in artikel 8 dat het recht op de bescherming van persoonsgegevens codificeert als aanvulling op een meer klassiek recht op privacy in artikel 7. Het VWEU ten slotte voorziet met artikel 16 in een algemene rechtsbasis voor de bescherming van persoonsgegevens in de Europese Unie.

In de literatuur wordt veelal het Franse ‘recht op vergetelheid’ – ‘le droit à l’oubli’ – genoemd als intellectuele oorsprong van het Commissievoorstel voor een recht om te worden vergeten. Dit recht biedt veroordeelde criminelen die hun straf hebben uitgezeten en zijn gerehabiliteerd de mogelijkheid om bezwaar te maken tegen de publicatie van de feiten van hun veroordeling en opsluiting21 of deze te anonimiseren (de regeling ziet op informatie in officiële documenten waaronder gerechtelijke uitspraken). Een dergelijke mogelijkheid ‘reputatiezuivering’ geeft ex-criminelen nieuwe kansen in de maatschappij en bestaat overigens in meerdere landen.22 Een recht om te worden vergeten in de digitale wereld gaat uit van eenzelfde soort gedachte, namelijk dat publieke informatie onnodig persoonlijke schade kan berokkenen. In de herfst van 2010 werd in Frankrijk een dergelijk recht in een door marktpartijen23 ondertekend handvest neergelegd als een vrijwillige verbintenis tot ‘goede praktijken’ omtrent de bescherming van persoonsgegevens van gebruikers. Naast het opstellen van gedragscodes zag de desbetreffende staatssecretaris het tot zijn taak om dataprotectie en het recht om te worden vergeten op internationaal niveau te bevorderen.24 Voorts werd in een Frans wetsvoorstel omtrent digitale privacyrechten een algemeen recht op digitale vergetelheid erkend: ‘Au total, il convient de noter que plusieurs mesures de la présente proposition de loi permettent de donner une plus grande effectivité au droit à l’oubli numérique’.25 De maatregelen die hier worden bedoeld komen overeen met die in het voorstel van de Europese Commissie, bijvoorbeeld omtrent de toegankelijkheid, actualiteit en bewaartermijn van gegevens als ook rechten op verzet tegen verwerking daarvan. Het wetsvoorstel bleef steken in de Senaat rond de tijd dat de Europese Commissie in november 2010 met een eerste presentatie kwam van een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie.26 Ook in andere lidstaten wordt een recht om te worden vergeten genoemd, waaronder in Italië waar het recht door de gegevensbeschermingsautoriteit in een specifieke zaak is erkend.27 Zijn Spaanse equivalent is daar nog explicieter in zoals in de volgende paragraaf ter sprake komt.

De vigerende Privacyrichtlijn heeft ten doel de bevordering van de interne markt door vrij gegevensverkeer. Voor burgers is dit het belangrijkste middel, via nationale implementatiewetgeving,19 om hun recht op gegevensbescherming te kunnen doen gelden. Artikel 12 biedt de betrokkene reeds het recht ‘naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze richtlijn’ (onder b), waaronder artikel 6 valt betreffende de rechtmatigheid van gegevensverwerking. Bovendien kan de betrokkene van de verantwoordelijke vereisen ‘kennisgeving aan derden aan wie de gegevens zijn verstrekt, van elke rectificatie, uitwissing of afscherming, uitgevoerd overeenkomstig punt b), tenzij zulks onmogelijk blijkt of evenredig veel moeite kost’ (onder c).20 De plicht om de verwerking van gegevens te beperken en om gegevens te verwijderen kan ook worden afgeleid uit artikel 14 dat betrokkenen het recht van verzet tegen verwerking biedt. Uit deze bepalingen is het recht om te worden vergeten geëvolueerd dat de zojuist genoemde elementen – het recht op uitwissing en de informatieplicht – heeft overgenomen.

Valt een recht om te worden vergeten misschien al binnen de omvang van de privacy- en gegevensbescherming in Europa? Er bestaat veel jurisprudentie van de hoven in Luxemburg en Straatsburg over de afweging tussen het recht op bescherming van de persoonlijke levenssfeer van personen enerzijds en het belang van de toegang tot informatie anderzijds.

18 Dataprotectie kan als praktisch onderdeel of moderne noodzakelijke toepassing van (informationele) privacybescherming worden gezien. Van der Sloot vat het verschil tussen privacy en dataprotectie als volgt samen: ‘[h]et recht op privacy wordt over het algemeen beschouwd als een recht met een morele connotatie, dat ziet op de bescherming van de autonomie, waardigheid en persoonlijke vrijheid van een individu, terwijl dataprotectie zich voornamelijk richt op de zorgvuldige en rechtmatige verwerking van persoonsgegevens’. B. van der Sloot, ‘De nieuwe consumentenrechten in de Algemene verordening gegevensbescherming: vergeten worden, dataportabiliteit en profilering.’ Tijdschrift voor Consumentenrecht en handelspraktijken 2012-6, p. 250-251. 19 In Nederland in de Wet bescherming persoonsgegevens (Wbp). 20 Richtlijn 95/46/EG, artikel 12.

21 J. Rosen, ‘The right to be forgotten’, Stanford Law Review Online (zie noot 8). 22 Zie R.H. Weber, ‘The right to be forgotten: more than a Pandora’s box?’, JIPITEC (vol. 2) 2011, p. 120-130. 23 Waaronder zoekmachines, social networks, content service providers en belangenorganisaties. 24 ‘French government secures ‘right to be forgotten’ on the internet’, Hunton Privacy Blog 21 oktober 2010, www.huntonprivacyblog.com. 25 Sénat, ‘Proposition de Loi visant à mieux garantir le droit à la vie privée à l’heure du numérique’, 2009-2010 no. 93, 6 november 2009, p. 8. 26 Europese Commissie, COM(2010) 609. 27 P.S. Castellano, ‘The right to be forgotten under European Law: a constitutional debate’, Lex Electronica (vol. 16) 2012-1, p. 11-23.

52

MF art 3-2014.indd 52

Nationale equivalenten

Jurisprudentie

Mediaforum 2014-3

13-03-2014 12:07:54

In dat kader is het volgende van belang. Artikel 9 van de vigerende Privacyrichtlijn voorziet in een journalistieke exceptie: lidstaten wordt opgedragen uitzonderingen op de privacybepalingen te formuleren ten behoeve van journalistieke, artistieke en literaire doeleinden. Die afweging was bijvoorbeeld aan het Hof van Justitie van de Europese Unie in de welbekende Satamedia-zaak.28 Daarin gaf het Hof de media-exceptie een zeer ruime uitleg29 met als consequentie dat de vrijheid van meningsuiting ten opzichte van de privacybescherming volgens het HvJ EU als zwaarwegend belang heeft te doen gelden.30 In een zeer recente zaak aan hetzelfde Hof kwam AdvocaatGeneraal Niilo Jääskinen in de zomer van 2013 tot een conclusie in de AEPD-zaak. Dit als reactie op prejudiciële vragen van de Spaanse rechter in een geding aanhangig gemaakt door de Spaanse autoriteit voor gegevensbescherming Agencia Española de Protección de Datos (AEPD).31 Het betrof de vraag hoever de verantwoordelijkheid strekt van internetzoekmachines voor de informatie die zij hun gebruikers presenteren. Behalve een uitspraak over de territoriale werkingssfeer van de Privacyrichtlijn adresseerde de advocaat-generaal de vraag naar de juridische status van Google als zoekmachine. Hij ging niet mee in de overweging van de AEPD dat (niet-publieke) personen het recht hebben om hun informatie van het internet te verwijderen. Althans van zoekmachines kan niet worden verlangd om legitieme informatie in het publieke domein ontoegankelijk te maken. Dat zou een inmenging betekenen in de vrijheid van meningsuiting van de uitgever of website die kennelijk van meer belang wordt geacht.32 Voorts concludeert de advocaatgeneraal dat de richtlijn niet een algemeen ‘recht om te worden vergeten’ vestigt. Een dergelijk recht kan dus niet op basis van de richtlijn aan zoekmachines worden tegengeworpen, ook niet wanneer het Grondrechtenhandvest daarbij wordt betrokken.33 Indien het Hof van Justitie in haar uitspraak de conclusie van de Advocaat-Generaal volgt, zal de vestiging van een recht om te worden vergeten door de Europese wetgever een duidelijke wijziging inhouden van het huidige Europees recht.

immers verdragsrechtelijk een minimale bescherming moet bieden overeenkomstig het EVRM.35 Het Hof legt allereerst het begrip ‘privéleven’ in artikel 8 EVRM ruim uit en komt in die gevallen snel tot de conclusie dat sprake is van een inmenging in het privéleven; vervolgens moet worden bezien of de inmenging gerechtvaardigd is.36 Ook het begrip ‘persoonsgegeven’ wordt ruim uitgelegd.37 Uit de zaak I/Finland blijkt dat de aard van de gegevens – in casu medische gegevens – het belang van de bescherming daarvan kan versterken.38 Voorts erkent het Hof in Leander/Zweden een inzage- en correctierecht – in casu om het mogelijk te maken inzicht te verkrijgen in de verwerking van persoonsgegevens om daartegen eventueel in rechte op te komen.39 Het EHRM hecht voorts groot belang aan de publieke informatievoorziening waarbij de pers de functie van waakhond van de rechtsstaat vervult.40 Het gevaar van een afschrikkende werking van inperking van de vrijheid van meningsuiting is van grote invloed in haar overwegingen. Zo bepaalde dit Hof in het bekende Sunday Times/Verenigd Koninkrijk omtrent de rol van de media dat zij zich in casu niet zozeer geconfronteerd zag met een keuze tussen conflicterende principes, te weten het recht op rechtspraak door een onbevooroordeelde rechter en het recht op vrijheid van meningsuiting maar dat dit laatste voorop wordt gesteld. Daarop kunnen vervolgens enkele uitzonderingen worden gemaakt die echter nauw moeten worden geïnterpreteerd.41 De persvrijheid zal niet licht mogen worden beperkt.

Hoewel het Europees Hof voor de Rechten van de Mens (EHRM)34 niet behoort tot de Europese instellingen is dit Hof van wezenlijk belang voor het recht van de Europese Unie dat

Het EHRM liet in de zeer recente uitspraak Węgrzynowski en Smolczewski/Polen zijn licht schijnen over de afweging tussen artikel 10 en artikel 8 EVRM (het recht op vrijheid van meningsuiting respectievelijk het recht op privacy) in het kader van de aanwezigheid van persoonsgegevens in online krantenarchieven.42 Het blijkt dat ook online nieuwsarchieven worden beschermd door artikel 10 EVRM. Deze hebben bovendien een groter gevaar van privacyschendingen in zich door het bijzonder publieke karakter van archieven op het internet maar vervullen een wezenlijke taak van de pers naast diens rol als public watchdog. Een nieuw evenwicht moet in deze gevallen worden gevonden waarbij de vrijheid van meningsuiting evenwel minimaal wordt beperkt.43 In casu werd geen inbreuk op artikel 8

28 HvJ EG 16 december 2008, C-73/07, Mediaforum 2009-2, nr. 5 m.nt. Q.R. Kroes (Satamedia). 29 Idem, r.o. 61. 30 Zie A.W. Hins, ‘De journalistieke exceptie en de bescherming van persoonsgegevens: laveren tussen twee grondrechten’, Mediaforum 2013-4, p. 98-104. 31 Conclusie A-G HvJ EU 25 juni 2013, nr. C-131/12 (Google/AEPD). 32 ‘De bijzonder complexe en lastige grondrechtenconstellatie in de onderhavige zaak staat in de weg aan de rechtspositie van betrokkenen onder de richtlijn te versterken en aan te vullen met een recht om vergeten te worden. Dat zou ten koste gaan van centrale rechten als de vrijheid van meningsuiting en informatie. Ik zou het Hof eveneens willen ontraden te beslissen dat tussen deze conflicterende belangen telkens van geval tot geval een bevredigende afweging kan worden gemaakt, die wordt overgelaten aan het oordeel van de aanbieder van de internetzoekmachine. Zulke procedures van “kennisgeving en verwijdering” zullen, wanneer het Hof hiervoor kiest, waarschijnlijk ertoe leiden hetzij dat links naar bestreden contents automatisch worden ingetrokken, hetzij dat de aanbieders van de meest populaire en belangrijke internetzoekmachines een onhanteerbaar aantal verzoeken te behandelen krijgen.’ Conclusie A-G HvJ EU 25 juni 2013, nr. C-131/12 (Google/AEPD), overweging 133. 33 In het bijzonder artikel 7 (eerbiediging van het privéleven en het familie- en gezinsleven) en artikel 8 (bescherming van persoonsgegevens) versus artikel 11 (vrijheid van meningsuiting en van informatie). 34 De Raad van Europa heeft in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM, 1950) het recht op privacy neergelegd. De bescherming van persoonsgegevens werd in 1981 voor het eerst als afzonderlijke recht vastgelegd in het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens ofwel Conventie 108 van de Raad van Europa ofwel het

Verdrag van Straatsburg. Het Verdrag vormt een nadere invulling van artikel 8 EVRM door algemene beginselen voor de verwerking van persoonsgegevens vast te stellen. Het Verdrag wordt momenteel herzien om recht te doen aan de veranderde realiteit sinds 1981 en een minimum beschermingsniveau te bieden dat zal aansluiten bij het Unierecht. De nieuwe Dataprotectieverordening zal derhalve invloed hebben op deze herziening. Van der Jagt 2012, p. 118 en p. 168169. EVRM, artikel 52, derde lid. Deze alinea steunt op de bespreking in Van der Jagt 2013, p. 164-167. Zie EHRM 16 december 1992, appl. nr. 13710/88 (Niemietze/Duitsland); EHRM 25 juni 1997, appl. nr. 20605/92 (Halford/Verenigd Koninkrijk); EHRM 3 april 2007, appl. nr. 62617/00, Mediaforum 2007-5, p. 155 (Copland/Verenigd Koninkrijk). EHRM 4 december 2008, appl. nrs. 30562/04 en 30566/04 (S. en Marper/Verenigd Koninkrijk). EHRM 17 juli 2008, appl. nr. 20511/03 (I/Finland). EHRM 26 maart 1987, appl. nr. 9248/81 (Leander/Zweden). EHRM 24 juni 2004, appl. nr. 59320/00, Mediaforum 2004-7/8, nr. 27 m.nt. G.A.I. Schuijt (Von Hannover/Duitsland). EHRM 26 april 1979, appl. nr. 6538/74, NJ 1980/146 m.nt. E.A. Alkema (Sunday Times/Verenigd Koninkrijk). EHRM 16 juli 2013, appl. nr. 33846/07 (Węgrzynowski en Smolczewski/Polen). Overkleeft-Verburg vat de overwegingen samen: ‘In zijn beoordeling onderscheidt het Hof uitdrukkelijk tussen internet als informatie- en communicatiemedium en de gedrukte media. Door het wereldwijde karakter ervan is internet niet onderworpen aan dezelfde regelingen en toezicht als de gedrukte media. De risico’s van internet uit grondrechtenperspectief, in het bijzonder het grondrecht op respect voor de persoonlijke levenssfeer, zijn zeker groter dan bij de gedrukte pers. Waar het gaat om de bescherming van rechten en vrij-

Mediaforum 2014-3

MF art 3-2014.indd 53

35 36

37 38 39 40 41 42 43

53

13-03-2014 12:07:54

EVRM geconstateerd maar was (de toevoeging van) een rectificatie ter bescherming van de reputatie, waarin het Poolse recht voorziet, een afdoende remedie geweest die de integriteit van nieuwsarchieven en daarmee de vrijheid van meningsuiting bovendien niet aantast.44 Van een recht om te worden vergeten kan op basis van jurisprudentie van het HvJ EU en het EHRM niet worden gesproken. In de Privacyrichtlijn echter vinden we bepalingen die dichtbij een recht om te worden vergeten komen: een recht op uitwissing van persoonsgegevens en een informatieplicht van de verwerker daarvan jegens derden. Deze elementen komen terug in het Commissievoorstel.

Het recht om te worden vergeten ontleed Wat voluit als het ‘recht om te worden vergeten en om gegevens te laten wissen’ wordt aangeduid in artikel 17 van de Dataprotectieverordening omvat meerdere rechten die een betrokkene tegenover de voor de verwerking verantwoordelijke kan uitoefenen. Volgens de Europese Commissie betreft het een ‘recht van een persoon om te verkrijgen dat zijn gegevens niet meer worden verwerkt en worden gewist wanneer ze niet langer nodig zijn voor rechtmatige doeleinden’.45 Het eerste lid van artikel 17 voorziet in het recht van de betrokkene jegens de verantwoordelijke om persoonsgegevens te laten wissen en verdere verspreiding tegen te laten gaan. 46 Daarvoor moet een van de voorwaarden in het artikel van toepassing zijn. Op grond van het doelbindingsvereiste (eerste lid, onder a) worden de gegevens verwijderd indien zij niet langer nodig zijn in verband met de doeleinden waarvoor zij werden verzameld of anderszins verwerkt. Dat geldt dus ook zonder verzoek van de betrokkene: als iemand bijvoorbeeld een account beëindigt bij een internetdienst, moeten zijn verzamelde persoonsgegevens worden verwijderd zonder een verzoek daartoe. Ook wanneer toestemming voor de verwerking wordt ingetrokken of de bewaartermijn verstrijkt, moeten de gegevens worden verwijderd (onder b) mits een andere grond voor de verwerking ontbreekt. Verwerking kan dus op andere gronden mogelijk blijven. Voorts kan op basis van de derde grond (onder c) ondanks bijzondere omstandigheden – de bescherming van vitale belangen van de betrokkene, de vervulling van een taak van algemeen belang of gerechtvaardigde belangen van de verantwoordelijke (artikel 19 jo artikel 6, de leden d, e en f) – de betrokkene bezwaar maken tegen de verwerking. Bij een gegrondverklaring mogen de betreffende gegevens door de verantwoordelijke niet langer worden verwerkt. Tot slot biedt de vierde ‘restgrondslag’ (onder d) de betrokkene het verwijderingsrecht op basis van andere redenen van het niet voldoen aan de bepalingen uit de verordening, met andere woorden wanneer een grondslag voor verwerking ontbreekt.

Artikel 17 Recht om te worden vergeten en om gegevens te laten wissen 1. De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke ervoor zorgt dat hem betreffende gegevens worden gewist en de verdere verspreiding van dergelijke gegevens achterwege blijft, met name waar het gaat om persoonsgegevens die door de betrokkene als kind beschikbaar zijn gesteld, wanneer een van de volgende gronden van toepassing is: a) de gegevens zijn niet langer nodig in verband met de doeleinden waarvoor zij werden verzameld of anderszins verwerkt; b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, onder a), is gebaseerd, in of de toegestane termijn voor opslag is verstreken terwijl een andere grond voor de verwerking van de gegevens ontbreekt; c) de betrokkene maakt bezwaar tegen de verwerking van de persoonsgegevens overeenkomstig artikel 19; d) de verwerking van de gegevens voldoet op andere gronden niet aan deze verordening. 2. Wanneer de in lid 1 bedoelde voor de verwerking verantwoordelijke de persoonsgegevens openbaar heeft gemaakt, neemt hij alle redelijke maatregelen, waaronder technische maatregelen, ten aanzien van de gegevens die onder zijn verantwoordelijkheid openbaar zijn gemaakt, teneinde derden die deze gegevens verwerken ervan op de hoogte te stellen dat een betrokkene hun verzoekt ieder koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen. Wanneer de voor de verwerking verantwoordelijke toestemming heeft gegeven voor openbaarmaking van persoonsgegevens door een derde, wordt de voor de verwerking verantwoordelijke voor die openbaarmaking verantwoordelijk geacht.

Het tweede lid betreft een tweede plicht ten aanzien van de verantwoordelijke en biedt ten opzichte van de Privacyrichtlijn

De noviteit van het recht om te worden vergeten volgt echter in de tweede volzin van dit tweede lid volgens welke de voor de verwerking verantwoordelijke (indicatief) verantwoordelijk wordt geacht voor de openbaarmaking door derden indien hij daartoe zelf toestemming heeft gegeven. Dit houdt in dat de verantwoordelijke in die gevallen niet slechts een informatieplicht kent maar zelfs moet verzekeren dat de door hem (eerst) geopenbaarde persoonsgegevens bij de derde(n) worden verwijderd. Deze tweede volzin breidt een recht op uitwissing uit

heden kan daarom rechtspolitiek tussen beide media worden gedifferentieerd, toegespitst op de technologische verschillen.’ G. Overkleeft-Verburg, annotatie bij: EHRM 16 juli 2013, appl. nr. 33846/07, Jurisprudentie Bestuursrecht 2013, 157 (Wegrzynowski en Smolczewski/Polen). 44 ‘The Court accepts that it is not the role of judicial authorities to engage in rewriting history by ordering the removal from the public domain of all traces of publications which have in the past been found, by final judicial decisions, to amount to unjustified attacks on individual reputations. Furthermore, it is relevant for the assessment of the case that the legitimate interest of the public in access to the public Internet archives of the press is protected under Article 10

of the Convention.’ EHRM 16 juli 2013, appl. nr. 33846/07 (Węgrzynowski en Smolczewski/Polen), overweging 65. Zie D. Voorhoof, ‘Niet zomaar recht om vergeten te worden’, De Juristenkrant 2013/280, p. 1 en 3. Voorhoof merkt op dat volgens EHRM 21 november 2013, nr. 16882/03 (Putistin/Oekraine) zelf een rectificatiebericht niet in alle gevallen zal zijn vereist. 45 Europese Commissie, COM(2010) 609, p. 9. 46 In deze paragraaf steun ik op de inzichten in G.J. Zwenne, ‘Nog veel onzekerheden over het recht om te worden vergeten’, Tijdschrift voor internetrecht 2012-3, p. 68-76. 47 Idem, p. 71-72.

54

MF art 3-2014.indd 54

een verruiming van het recht tot uitwissing. In het geval dat de verantwoordelijke persoonsgegevens openbaar heeft gemaakt en deze door derden zijn gekopieerd, heeft hij een plicht om die derden op de hoogte te stellen van het verwijderingsverzoek. Hierbij wordt er van uitgegaan dat het verwijderingsverzoek aan de verantwoordelijke (lid 1) datzelfde verzoek inhoudt jegens derden. De verantwoordelijke hoeft evenwel niet te verzekeren dat derden de informatie verwijderen; wel zijn die laatsten zélf op grond van lid 1 – en mits bekend met het verzoek – verplicht de informatie te verwijderen. 47 Dit komt sterk overeen met de Privacyrichtlijn.

Mediaforum 2014-3

13-03-2014 12:07:55

tot een recht om te worden vergeten en heeft daarom de controverse rondom het artikel veroorzaakt. De leden 3 tot en met 9 bieden uitzonderingen, afwijkingen en extra verplichtingen ten aanzien van de eerste twee leden.48 Zo moet de verantwoordelijke het verzoek tot wissen zonder vertraging uitvoeren (lid 3). Het derde lid noemt bovendien uitzonderingen op de rechten in de eerste twee leden: het is soms nodig de persoonsgegevens te bewaren, bijvoorbeeld in de gevallen dat de vrijheid van meningsuiting van meer belang wordt geacht (derde lid, onder a). De verplichting van de verantwoordelijke gaat minder ver dan het wissen van gegevens als hij slechts ingevolge lid 4 de verwerking ervan moet beperken. De verantwoordelijke kan de gegevens nu weliswaar bewaren maar slechts verwerken ten behoeve van bewijsvoering, met toestemming van de betrokkene of ter bescherming van een andere natuurlijke of rechtspersoon dan wel in het algemeen belang (lid 5). De verantwoordelijke informeert de betrokkene steeds voordat de beperking van verwerking wordt doorkruist (lid 6). De leden 7 en 8 verplichten de verantwoordelijke tevens om de juiste mechanismen in werking te hebben zodat de termijnen voor het wissen van persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens in acht worden genomen; bovendien mogen gegevens die worden gewist niet anderszins door de verantwoordelijke worden verwerkt. Ten slotte geeft lid 9 de Europese Commissie de bevoegdheid om enkele bepalingen van het artikel nader in te vullen door middel van gedelegeerde handelingen. De kern van – als ook de kritiek op – artikel 17 betreft de eerste twee leden; ik zal daarom de overige leden buiten verdere behandeling laten. Men moet deze evenwel in gedachten houden evenals het geheel van de conceptverordening. Zo mogen persoonsgegevens in de eerste plaats slechts worden verwerkt op basis van de rechtmatige redenen genoemd in artikel 6 van het voorstel. Een bestaand uitgangspunt is voorts dat persoonsgegevens worden verwerkt met voorafgaande toestemming van de betrokkene.49 De voorwaarden van artikel 17 bieden zo toegevoegde ex-post-waarborgen ten behoeve van de rechtspositie van de betrokkene ten aanzien van gegevensverwerking. Zij komen slechts aan bod zodra de verwerkingsgrondslag nog aanwezig is; zo niet dan mogen persoonsgegevens überhaupt niet (meer) worden verwerkt.

Kritiek (I): botsing met de informatievrijheid De belangrijkste problematiek van het recht om te worden vergeten volgens artikel 17 heeft betrekking op mogelijke botsingen met een ander fundamenteel recht, te weten het recht op vrijheid van meningsuiting. Waar de rechten op bescherming van de persoonlijke levenssfeer en op bescherming van persoonsgegevens de publieke openbaring van private informatie beogen te voorkomen, beschermt de vrijheid van meningsuiting – alsook ‘afgeleide rechten’ als die op toegang tot informatie en de mediavrijheid – de publicatie van informatie. Beide rechten zijn niet absoluut50 en zullen in concrete

48 Idem, p. 73-75. 49 Europese Commissie, COM(2012) 11, artikel 8, eerste lid onder a; onder de vigerende Richtlijn 95/56/EG artikel 7 onder a. 50 Zo weet ook de Europese Commissie: Europese Commissie COM(2012) 9, p. 10; Europese Commissie COM(2012) 11, p. 7. 51 In een interview van de auteur met G.J. Zwenne op 1 november 2013.

Mediaforum 2014-3

MF art 3-2014.indd 55

gevallen moeten worden afgewogen. Het recht om te worden vergeten is volgens de te bespreken kritiek echter al zo concreet dat de vrijheid van meningsuiting daaronder disproportioneel zou kunnen lijden.

Tweede lid, tweede volzin Het recht op verwijdering (eerste lid) bestond reeds onder de Privacyrichtlijn maar slechts in de relatie van betrokkene met de verantwoordelijke. De informatieplicht jegens derden die de verantwoordelijke is toebedeeld (tweede lid) lijkt goed mogelijk binnen websites en diensten zoals sociale netwerken, die andere (eigen) gebruikers kunnen verzoeken gekopieerde informatie van de betrokkene te verwijderen. Moeilijker wordt dat echter wanneer de informatie naar andere websites is gekopieerd waarop de verantwoordelijke geen invloed heeft. De geruststelling die men in het vereiste van ‘redelijke maatregelen’ zou willen lezen, dat immers veel ruimte biedt voor interpretatie, wordt tenietgedaan door de onzekerheid die het schept wat betreft uitvoeringsvereisten. Het is de tweede volzin in het tweede lid van artikel 17 die in vergelijking met de Privacyrichtlijn als nieuw element moet worden beschouwd. Deze verplichting voor de verantwoordelijke zich te verzekeren van uitwissing bij derden duidt volgens sommigen op een tunnelvisie van de Europese Commissie. Zo concludeert Zwenne dat de bepaling privacybescherming als uitgangspunt neemt en de vrijheid van meningsuiting als uitzondering op de regel laat.51 Controle over persoonsgegevens kan volgens hem niet zover gaan dat een recht op verwijdering boven het maatschappelijk belang van de vrijheid van meningsuiting wordt gesteld. Bovendien is dit recht van de betrokkene c.q. de plicht van de verantwoordelijke moeilijk uitvoerbaar: hoe kan een verantwoordelijke bij derden daadwerkelijk verwijdering afdwingen? Contractuele verbindingen bestaan zelden tussen partijen op het internet en een effectieve beheersing van informatie is ook problematisch gelet op de architectuur van het internet die gericht is op het delen van informatie. Wat bijvoorbeeld als de derde in een andere jurisdictie is gevestigd? Handhaving lijkt dan nagenoeg onuitvoerbaar. Veel van de hiernavolgende kritiek voert terug op deze tweede volzin waarvan de juridische wenselijkheid betwistbaar is.

Drie situaties Rosen is een van de critici die meent dat er geen goede balans is gevonden tussen privacy en de vrijheid van meningsuiting, waarbij dient te worden opgemerkt dat hij een Amerikaans concept van privacy aanhangt dat volgens hem expliciet verschilt van Europese uitgangspunten.52 Desalniettemin snijdt zijn kritiek hout door zich – om los te geraken van verschillen in privacypercepties – op de bron van informatieverspreiding te richten. De Global Privacy Counsel van Google, Fleischer, bracht in een privé-blogbericht enige verheldering aan in het vraagstuk op welke gegevens een recht om te worden vergeten zou kunnen zien. Daartoe categoriseert hij op basis van manieren waarop persoonsgegevens worden verspreid en in hoeverre de betrokkene daarbij een rol speelt:53

52 Rosen 2012 (zie noot 8). 53 P. Fleischer, ‘Foggy thinking about the right to oblivion’, 9 maart 2011, peterfleischer.blogspot.nl/2011/03/foggy-thinking-about-right-to-oblivion.html. Hij schreef dit in een reactie op een eerder uitgelekt voorstel van de Europese Commissie voor een Dataprotectieverordening maar zijn aanpak is alsnog waardevol. De bespreking in deze alinea is hierop gebaseerd.

55

13-03-2014 12:07:55

i.

Als ik iets online post, zou ik dan het recht moeten hebben dit te [doen] verwijderen? ii. Als ik iets online post en iemand kopieert dit naar een andere website, zou ik dan het recht moeten hebben om dit te [doen] verwijderen? iii. Als een ander iets over mij online post, zou ik dan het recht moeten hebben dit te [doen] verwijderen? De categorieën lopen volgens Fleischer op in de mate van bedreiging van de vrijheid van meningsuiting. De eerste situatie is het meest eenvoudig en komt geregeld voor: wanneer iemand een foto online plaatst, heeft hij veelal ook de mogelijkheid deze te (doen) verwijderen. Veel online diensten bieden deze mogelijkheid zodat een dergelijk recht praktisch weinig nut zou toevoegen maar in sommige gevallen de dienstverlener toch zou kunnen bewegen om de informatie daadwerkelijk te verwijderen (en niet slechts uit het zicht te halen). Complexer is de tweede situatie waarbij de geplaatste informatie door anderen wordt gekopieerd naar plaatsen waar de betrokkene noch de verantwoordelijke invloed heeft. Het zal niet eenvoudig om zij die dat wel hebben te lokaliseren en te bewegen de informatie te verwijderen. Zou daarvoor een rechter worden ingezet of de dienstverlener dan wel het hosting bedrijf worden aangeschreven, dan moet een afweging worden gemaakt tussen het prevaleren van – laten we uitgaan van – legaal geplaatste informatie op basis van de vrijheid van meningsuiting dan wel van de privacy van de betrokkene. De verwijdering zou bovendien slechts op basis van zijn bezwaar moeten worden uitgevoerd en zonder toestemming van degene die de informatie heeft gekopieerd, terwijl de betrokkene deze zelf in de eerste instantie openbaar heeft gemaakt. Dit klinkt al minder logisch. De afweging is in de derde situatie nog meer problematisch als de betrokkene de door een ander online geplaatste informatie over eerstgenoemde niet zelf had willen openbaren. De fundamentele vraag is of de betrokkene in alle gevallen evenveel recht zou moeten hebben op verwijdering van zijn persoonsgegevens. De kritiek van Rosen ziet op het gelijk behandelen van de door Fleischer geschetste categorieën door het voorstel van de Europese Commissie, of liever: op het niet maken van onderscheid tussen deze manieren van openbaring van informatie. Het voorstel ziet volgens haar definitie van persoonsgegevens immers op ‘iedere informatie betreffende een betrokkene’, waarvan hij het wissen kan eisen. Het is dan aan de derde partij, zoals de dienstverlener (verantwoordelijke), om te bewijzen dat de informatie onder een van de excepties valt en dat waardeert Rosen als een groot gevaar voor het open internet.54 Een service provider als Facebook zou immers om een boete te voorkomen de informatie moeten verwijderen en Google zou – als een ‘censor-in-chief for the European Union, rather than a neutral platform’55 – gecensureerde resultaten moeten tonen bij een zoekopdracht naar een betrokkene die het recht succesvol heeft uitgeoefend. Een andere praktische consequentie kan zijn dat internetdiensten ofwel uitgebreid moeten gaan handhaven (op basis van verzoeken), ofwel filters moeten installeren waarmee

54 55 56 57

Rosen 2012 (zie noot 8), p. 88. Idem, p. 92. In een interview van de auteur met G.J. Zwenne op 1 november 2013. Toepasselijk volgens de minimumbescherming ingevolge artikel 52, derde lid, Grondrechtenhandvest. 58 Zie de bespreking hierboven. 59 EHRM 16 juli 2013, appl. nr. 33846/07 (Węgrzynowski en Smolczewski/Polen). 60 Op basis van artikel 79 van de Dataprotectieverordening kan de toezichthoudende autoriteit boetes opleggen bij overtredingen van de verordening.

56

MF art 3-2014.indd 56

gebruikers persoonsgegevens kunnen wissen.56 Beide opties lijken problematisch met oog op hoge kosten van handhaving, omzeiling door gebruikers en de ondermijning van de bedrijfsmodellen.

De journalistieke exceptie Er bestaat geen verplichting tot het verwijderen van persoonsgegevens indien het nodig is deze voor de uitoefening van het recht op vrijheid van meningsuiting te bewaren, zo expliciteert lid 3 van artikel 17 in de conceptverordening. Overeenkomstig artikel 80 is het de taak van lidstaten – nota bene een vereiste van nadere nationale regelgeving met daarin het gevaar van discrepanties – om het recht op bescherming van persoonsgegevens te verzoenen met de regels betreffende de vrijheid van meningsuiting. Deze journalistieke exceptie ondervangt deels de kritiek dat geen rekening is gehouden het publieke belang van bepaalde typen informatie. Hierbij kan worden aangesloten bij de rechtspraak van het Hof van Justitie van de Europese Unie dat het recht op informatie een groot gewicht toekent. Ook uit jurisprudentie van het EHRM,57 eveneens hierboven besproken, blijkt dat wegens het gevaar van een afschrikkende werking het Hof de vrijheid van meningsuiting en het publieke belang van toegankelijke informatie veelal laat prevaleren boven privacyrechten in concrete gevallen.58 Deze lijn lijkt echter moeilijk verenigbaar met de vergaande plicht van de verantwoordelijke ingevolge de tweede volzin van het tweede lid van artikel 17. Zoals het EHRM duidelijk heeft gemaakt kent de journalistiek een rechtsstatelijke functie van waakhond en zijn nieuwsarchieven van maatschappelijke waarde.59 De derde situatie van Fleischer betreft ook de publicatie van journalistieke stukken en nieuwsarchieven. Maar artikel 80 legt de bewijslast bij de verantwoordelijke die vervolgens alle redelijke maatregelen moet nemen om de verwerking, ook door derden, te staken en de gegevens te wissen op straffe van geldelijke sancties.60 Ondanks de exceptie bestaat er daarom vrees dat het recht om gegevens te laten wissen een negatieve invloed heeft op de vrijheid van meningsuiting. Door feiten achteraf te verwijderen zou de werkelijkheid onjuist kunnen worden voorgesteld en journalistieke geschiedschrijving onvolledig worden.61 Anderen menen dat het recht om te worden vergeten als censuurmiddel kan worden misbruikt62 wanneer het kan worden ingezet ten aanzien van informatie die rechtmatig is maar simpelweg persoonsgegevens bevat. Ter relativering lijkt Eurocommissaris Reding uit te gaan van een voortzetting van de huidige jurisprudentie omtrent de afweging van de belangen van gegevensbescherming en van de vrijheid van meningsuiting. Daags voor de presentatie van het voorstel en op de hoogte van kritieken63 benadrukte de Commissaris dat de databeschermingsregels geen absolute rechten betreffen en bovendien geen voorrang hebben op de vrijheid van meningsuiting en de mediavrijheid.64 Helaas strookt de

61 K. Larsen, ‘Europe’s “Right to be forgotten” Regulation may restrict free speech’, First Amendment & Media Litigation (vol. 17) 2012/2013-1, p. 12-14. 62 Ausloos 2012, p. 146. 63 Die werden geuit als een reactie op een eerder uitgelekte conceptverordening. 64 ‘The right to be forgotten is of course not an absolute right. There are cases where there is a legitimate and legally justified interest to keep data in a data base. The archives of a newspaper are a good example. It is clear that the right to be forgotten cannot amount to a right of the total erasure of history. Neither must the right to be forgotten take precedence over freedom of expression or freedom of the media.’ Reding 2012 (zie noot 3).

Mediaforum 2014-3

13-03-2014 12:07:56

geruststelling in de considerans van de verordening65 niet zonder meer met het voorgestelde recht om te worden vergeten.

Kritiek (II): reikwijdte van het recht Het tweede kritiekpunt omtrent de reikwijdte van het recht om te worden vergeten, ligt in het verlengde van het eerste, de afweging met andere rechten. Nu juist een van de doelen van de verordening is het bieden van meer rechtszekerheid aan personen, bedrijven en overheden66 zou artikel 17 die onzekerheid weer kunnen doen toenemen. In het vorengaande is besproken dat het recht om te worden vergeten op verschillende bronnen – afhankelijk van de rol van de betrokkene in het verspreiden van de informatie – en typen van informatie kan zien. Dergelijk onderscheid is echter niet voldoende uitgewerkt in de bepalingen van artikel 17 waardoor niet op voorhand duidelijk is of het recht in de drie categorieën van Fleischer op gelijke wijze kan worden uitgeoefend. Op basis van de wetstekst zou men daarvan wellicht moeten uitgaan maar het is ook mogelijk dat de ruime bepaling in de praktijk enger zal worden uitgelegd.67 Bovendien is de bepaling volgens Eurocommissaris Reding opzettelijk ambigu gehouden: ‘this regulation needs to stand for 30 years – it needs to be very clear but imprecise enough that changes in the markets or public opinion can be manoeuvred in the regulation’.68 Hoewel technologieneutrale wetgeving een goede doelstelling kan zijn omdat niet kan worden voorzien in toegespitste oplossingen voor alle mogelijke gevallen, heeft artikel 17 vanuit het oogpunt van zowel bron als aard van de gegevens wellicht meer rechtsonzekerheid tot gevolg dan de Europese Commissie voorzag.

Definiëring Wat het recht om te worden vergeten exact inhoudt in termen van bereik staat nog open voor interpretatie. Dat ligt mede aan de definiëring van het begrip ‘persoonsgegeven’ dat volgens de verordening ‘iedere informatie betreffende een betrokkene’ inhoudt, waarbij met ‘betrokkene’ bedoeld wordt een ‘geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen [...] kan worden geïdentificeerd [...]’.69 Met deze omschrijvingen in gedachten zijn enkele kritische kanttekeningen te maken over de juridische onzekerheid over de reikwijdte van artikel 17. Niet duidelijk is bijvoorbeeld of onder persoonsgegevens ook informatie valt die met grote waarschijnlijkheid maar geen zekerheid een persoon kan identificeren (bijvoorbeeld een beschrijving van een persoon) of informatie waarmee een persoon niet uniek maar als een onderdeel of lid van een groep individuen (bijvoorbeeld een familie) kan worden geïdentificeerd. Voorts is onzeker of ook samengevoegde en afgeleide vormen van informatie zoals statistieken onder het bereik van het recht om te worden vergeten vallen zodra de ruwe data waarop deze informatie is gebaseerd, verwijderd is. Het is immers mogelijk dat de persoonsgegevens weer kunnen worden afgeleid uit de daarmee gecreëerde informatie.70 Indien informatie worden geanonimiseerd, bijvoorbeeld wanneer het surfgedrag van de betrokkene wordt losgekoppeld van overige persoonsgegevens, kan

65 Europese Commissie, COM(2012)11, considerans onder (121). 66 Europese Commissie, COM(2012)11, considerans onder (6). 67 Rosen meent in het hier aangehaalde artikel: ‘Europeans have a long tradition of declaring abstract privacy rights in theory that they fail to enforce in practice’. Rosen 2012 (zie noot 8), p. 92. 68 M. Warman, ‘EU Fights ’Fierce Lobbying’ to Devise Data Privacy Law’, The Telegraph 9 februari 2012, www.telegraph.co.uk.

Mediaforum 2014-3

MF art 3-2014.indd 57

dan nog gesproken worden over persoonsgegevens en kan het recht om te worden vergeten dan nog worden uitgeoefend? Wie de ‘betrokkene’ is, zal duidelijk zijn als de informatie betrekking heeft op één persoon. Maar wat nu als twee personen in een document beschreven staan of op een foto herkenbaar zijn; mag de één dan zijn recht om te worden vergeten uitoefenen ten koste van het verlies van de informatie die (ook) een ander betreft? De Commissie heeft niet afdoende duidelijk gemaakt in hoeverre het recht werking kan hebben bij samengevoegde persoonsgegevens. Dit zal ook voorkomen in Fleischers tweede en derde situatie, namelijk wanneer iemand persoonsgegevens (her)gebruikt in een nieuw werk. Moet de derde zijn werk aanpassen omdat de eerste zijn gegevens in het bronbestand verwijdert? Deze vragen zullen vaak voorkomen in situaties waarbij in journalistieke of wetenschappelijke teksten verzamelde informatie is opgenomen, of in het algemeen bij informatie geplaatst op het internet. Het is in de verordening niet duidelijk gemaakt welke principes of criteria leidend zijn.71 Voorts is mij niet duidelijk hoe de toevoeging ‘met name waar het gaat om persoonsgegevens die door de betrokkene als kind beschikbaar zijn gesteld’ in het eerste lid moet worden gewaardeerd.72 Extra bescherming van kinderen op het internet kan wellicht geen kwaad. Echter als het recht van de betrokkene op uitwissing met name geldt in de gevallen dat de gegevens als kind beschikbaar zijn gesteld, welke waarde heeft het recht dan in alle andere (‘volwassen’) gevallen? Vormt het ‘als kind de informatie hebben geplaatst’ slechts een element in de afwegingsruimte en in hoeverre heeft dit invloed? Bovendien, waarom wordt niet het geval benoemd waarin de betrokkene als kind niet zélf zijn persoonsgegevens heeft geopenbaard? Totdat dit duidelijk is, draagt deze frase bij aan de onzekerheid over de rechten die uit artikel 17 voortvloeien.

Aard van de informatie Uit het vorengaande volgt dat te weinig aandacht is gegeven aan de aard van informatie ofwel het doel waarmee en de context waarin deze wordt verwerkt of geopenbaard. Zo hebben persoonsgegevens op een sociale netwerksite een ander doel dan in een journalistiek, literair of academisch werk. Officiële documenten van overheidswege en gerechtelijke uitspraken kennen een groter publiekelijk belang dan veel andere platformen van informatie waardoor een andere afweging zou moeten plaatsvinden tussen gegevensbescherming en gegevensverwerking. Hoewel de journalistieke exceptie een (enig) onderscheid maakt, blijft onzekerheid over zowel afweging met andere rechten en de reikwijdte van de begrippen bestaan. Dit alles is nu juist problematisch in het licht van de vergaande gegevensbescherming die artikel 17 zou gaan bieden.

Kritiek (III): globale aspecten Ten aanzien van de uitvoerbaarheid moet rekening worden gehouden met jurisdicties buiten Europa waar

69 Europese Commissie, COM(2012)11, artikel 4 onder (2) respectievelijk onder (1). 70 ENISA, The right to be forgotten – between expectations and practice, 18 oktober 2011, www.enisa.europa.eu, p. 6-7. 71 Zie ENISA 2011. 72 Met een kind wordt volgens artikel 4 iedere persoon onder de achttien jaar bedoeld. Ook overweging 29 in de considerans van het voorstel schept geen duidelijkheid.

57

13-03-2014 12:07:56

(privacy)rechtsstelsels mogelijk niet aansluiten bij de verordening. Door de sterke invloed van de First Amendment-doctrine in de VS bijvoorbeeld zou het recht om te worden vergeten een confrontatie met het Amerikaanse recht mogelijk niet doorstaan.73 Toch legt artikel 3 van het voorstel vast dat de verordening ook van toepassing is op verwerkers en verantwoordelijken buiten de EU. De naleving en handhaving wordt daarmee mogelijk erg lastig gemaakt. Dergelijke verschillen tussen stelsels kunnen ook economische gevolgen hebben. De implementatie van vergaande eisen in hun diensten levert behalve handelsbelemmeringen mogelijk grote inspanningen – ergo hoge kosten – op voor ook veel kleine ondernemingen. Voorts zullen – naast juridische aspecten – ook de technische (on)mogelijkheden van het internet in ogenschouw moeten worden genomen.74 Ten eerste is een puur juridische aanpak van gegevensbescherming niet voldoende. Met regels alleen wordt het sterke belang van de technische inrichting van het informatiesysteem miskend. De architectuur van het internet als open systeem is gericht op het delen van informatie. Hoe kan dit – zeker met oog op een recht om te worden vergeten – worden beheerst door regionale wetgeving als het internet vormeloos, ontzettend complex en wereldwijd continu aan verandering onderhevig is? Ten tweede is het in elk informatiesysteem onmogelijk te voorkomen dat informatie wordt gekopieerd. Dat kan liggen aan de mate van openheid van een systeem, waarbij het vermenigvuldigen van informatie op het internet inherent aan het systeem is, maar ook aan het niet kunnen beheersen van elementen buiten het systeem zoals een menselijke waarnemer die informatie bijvoorbeeld analoog kopieert. Hieruit volgt dat een multidisciplinaire aanpak noodzakelijk is voor beleidsmakers, wil een juridische norm in de praktijk uitvoerbaar zijn.

Naar een beter recht Het recht om te worden vergeten is in gewijzigde vorm een mogelijk waardevol onderdeel van een pakket aan maatregelen die de doelstellingen van mensenrechtenbescherming en de bevordering van de interne markt moet verwezenlijken. Wetgeving en beleid kunnen dataminimalisatie en rechtmatige verwerking van persoonsgegevens afdwingen, maar bij het bepalen van rechten en plichten moet rekening worden gehouden met de uitvoerbaarheid inclusief de handhaafbaarheid daarvan. Het doel moet zijn om een goede balans te vinden tussen de bescherming van privacy en het waarborgen van de vrijheid van meningsuiting; tussen de macht van personen over hun eigen persoonsgegevens en het economisch en maatschappelijk belang van (de verwerking van) informatie door private en publieke instanties. De bescherming van persoonsgegevens verdient daarbij ruime aandacht. Een update van de huidige regels – die immers uit de oertijd van het commerciële internet stammen – lijkt niet onlogisch. Toch is het overgrote deel van het Commissievoorstel bestaand recht en kan men met oog op

73 R.K. Walker, ‘The right to be forgotten’, Hastings Law Journal (vol. 64) 2012, p. 271-278. 74 Deze alinea steunt op ENISA 2011. 75 In een interview van de auteur met G.J. Zwenne op 1 november 2013. 76 Europese Commissie, COM(2012) 11, artikel 17, negende lid, en met het oog op de nadere invulling van de criteria en vereisten voor de toepassing van het recht op uitwissing (artikel 17, eerste lid) en ten aanzien van de rechten uit het tweede en vierde lid. 77 Het Europees Comité voor gegevensbescherming is gericht op een eenduidige uitleg van de wet: de nationale toezichthoudende autoriteiten zijn verplicht tot een conformiteitstoetsing met elkaar en met de Europese Commissie. Het

58

MF art 3-2014.indd 58

effectieve gegevensbescherming al veel bereiken door de handhaving van de vigerende Privacyrichtlijn aan te scherpen.75 De rechtsonzekerheid die artikel 17 creëert over de reikwijdte van de bepalingen en de belangenafweging met andere fundamentele rechten kan worden verholpen door het toepassingsbereik nader te specificeren. Bovendien is omtrent de definiëring van begrippen en de afweging met andere burgerrechten meer duidelijkheid geboden. Zo omvat het begrip persoonsgegevens alle informatie betreffende een betrokkene maar houdt het geen rekening met subtiliteiten van de bron (wie plaatst de informatie) of aard van de informatie en het publieke belang daarvan. Ook de vaststelling van de betrokkene in een specifiek geval kan problematisch zijn. Voorts kan bij een meer doordacht en minder vergaand artikel 17 nog eens worden stilgestaan bij de vraag wanneer de verantwoordelijke (indicatief) daadwerkelijk verantwoordelijk moet zijn voor de openbaarmaking van persoonsgegevens: hoever strekken zijn verplichtingen? Ik zou dat willen beperken tot de gevallen waarin hij zélf persoonsgegevens openbaar maakt of anderszins verspreidt zonder toestemming van de betrokkene. Hij is dan niet daadwerkelijk verantwoordelijk wanneer de gegevens actief door de betrokkene – die immers zelf ook een verantwoordelijkheid kent – openbaar zijn gemaakt en deze door derden zijn gekopieerd zonder dat nalatigheid van de verantwoordelijke, bijvoorbeeld een slechte beveiliging, daarvan de oorzaak is. Verduidelijking hiervan dient zowel de mensenrechtelijke als de economische doelstellingen. De maatregelen die de Europese Commissie in artikel 17 voorstelt, doen enigszins denken aan een trein die door een te grote snelheid dreigt te ontsporen. De doelstellingen en richting zijn wenselijk maar de bepalingen ruim geformuleerd: volgens de Europese Commissie met oog op toekomstige ontwikkelingen maar met rechtsonzekerheid tot gevolg. Deze kwesties kunnen evenwel worden verhelderd met gedelegeerde handelingen van de Europese Commissie,76 door de nationale gegevensbeschermingsautoriteiten in Europees verband77 en uiteindelijk door de interpretatie van (toekomstige) wetgeving door het Hof van Justitie EU. Dit laatste redmiddel vestigt hoop dat wordt aangesloten bij de huidige jurisprudentie omtrent de afweging van privacyrechten met de informatievrijheid.

Amendementen Het Europees Parlement leverde haar bijdrage in het wetgevingsproces op 21 oktober 2013. Met een record van 3.999 behandelde amendementen werd het onderhandelingsmandaat in de vaste Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) goedgekeurd.78 Enkele in het oog springende wijzigingen betreffen de instelling van hogere sancties bij overtreding van de verordening en de aanscherping van uitdrukkelijke toestemming voor het verwerken van infor-

Comité is onafhankelijk, ook ten opzichte van de Europese Commissie, en adviseert de Commissie, onderzoekt kwesties, evalueert de toepassing en bevordert samenwerking en de uitwisseling van kennis op het toepassingsgebied van de verordening. Europese Commissie, COM(2012) 11, artikel 57. 78 Europees Parlement, ‘Verslag over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))’, A7-0402/2013, 21 november 2013.

Mediaforum 2014-3

13-03-2014 12:07:57

matie. Ten aanzien van het recht om te worden vergeten zijn significante wijzigingen voorgesteld. Als het aan het Europees Parlement ligt, wordt het huidige ‘recht om te worden vergeten’ in de titel van het artikel geschrapt zodat ‘het recht op uitwissing’ overblijft. Hoewel een ogenschijnlijk puur cosmetische ingreep dekt het beter de feitelijke lading van het artikel zoals dat is geamendeerd. Burgers hebben volgens het Europees Parlement als betrokkene of consument in bepaalde gevallen een recht op verwijdering van persoonsgegevens, maar niet een recht om geheel te worden vergeten. Materieel zijn wijzigingen voorgesteld die op een positieve manier beantwoorden aan de besproken kritiek. Op het recht op verwijdering (lid 1) worden nu ook derden betrokken zodat de voorwaarden daar genoemd – waaraan er één is toegevoegd – duidelijk op hen betrekking hebben. Hun plichten volgen daarmee inderdaad uit dit artikel, zoals Zwenne al suggereerde.79 De onrealistische verantwoordelijkheid uit het door de Europese Commissie voorgestelde tweede volzin in het tweede lid is tenietgedaan door die zin te schrappen en het lid te beperken tot de (in de Privacyrichtlijn bestaande) informatieplicht in de eerste volzin.80 Bovendien wordt in een nieuw lid rekening gehouden met de beperkte mogelijkheid van de verantwoordelijke om te verifiëren dat degene die om verwijdering verzoekt, daadwerkelijk de betrokkene is.81 De frase in het eerste lid over de betrokkene als kind wordt door het Europees Parlement geschrapt. Deze wijzigingen moeten nader worden bestudeerd maar bieden op het eerste gezicht een wenselijk antwoord op de tekortkomingen in het Commissievoorstel. Hoewel de informatieplicht blijft bestaan, maakt de verantwoordelijkheid van de voor de verwerking verantwoordelijke jegens derden plaats voor een verantwoordelijkheid van de derde partij in een directe relatie tot de betrokkene. Expliciet is gemaakt dat de verantwoordelijke slechts redelijke maatregelen moet nemen indien de openbaring door hem is geschied zonder de in het eerste lid genoemde verantwoording. De rechten van de betrokkene jegens zowel de verantwoordelijke als derde(n) worden beperkt door een verificatievoorwaarde. Het onderhandelingsmandaat geeft met deze wijzigingen een duidelijk signaal aan de lidstaten in de Raad van Ministers die een gezamenlijke positie moeten bepalen om de onderhandelingen met het Europees Parlement te starten. Deze laatste had gekoerst op een behandeling binnen de huidige zittingsperiode maar de regeringsleiders stelden dat uit tot 2015.82 De onzekerheid over de reikwijdte van het recht om te worden vergeten duurt voort maar naar men hoopt niet langer dan tot zijn verschijning.

79 Zwenne 2012 (zie noot 46), p. 71-72. 80 Het geamendeerde tweede lid luidt: ‘Wanneer de in lid 1 bedoelde voor de verwerking verantwoordelijke de persoonsgegevens openbaar heeft gemaakt zonder de in artikel 6, lid 1, bedoelde verantwoording, neemt hij alle redelijke maatregelen om de gegevens te laten wissen, eveneens door derden, onverminderd artikel 77. De voor de verwerking verantwoordelijke informeert de betrokkene indien mogelijk over de stappen die door de derden genomen worden.’ Europees Parlement, A7-0402/2013. 81 ‘The application of paragraph 1 shall be dependent upon the ability of the data controller to verify that the person requesting the erasure is the data subject.’

Mediaforum 2014-3

MF art 3-2014.indd 59

Slot: tussen wenselijkheid en uitvoerbaarheid Er bestaat onder huidig Europees recht geen recht om te worden vergeten – althans indien wij een dergelijk recht materieel zouden waarderen als een ruimer recht dan een recht op uitwissing van een betrokkene vis-à-vis een voor de verwerking verantwoordelijke zoals reeds in de Privacyrichtlijn is bepaald. Wel bestaat een ‘analoog’ equivalent in de lidstaten met betrekking tot het wissen van persoonsgegevens ten behoeve van de rehabilitatie van ex-criminelen, dat als inspiratie gold voor de concept-Dataprotectieverordening. Europese jurisprudentie omtrent de reikwijdte van het recht op privacy betreft veelal een afweging met het belang van de vrijheid van meningsuiting c.q. het recht op informatie of de mediavrijheid. In het bijzonder in de gevallen waarin sprake is van een publiek belang van de informatie, waarbij de journalistiek een belangrijke maatschappelijke rol vervult, heeft de bescherming van persoonsgegevens onder de vrijheid van meningsuiting te lijden.83 Digitale zoekmachines kunnen mogelijk niet verantwoordelijk worden gehouden voor de informatie die zij indexeren en dus ook niet voor mogelijke privacyschendingen op derde websites.84 Online krantenarchieven verschillen volgens het EHRM weliswaar van gedrukte pers omdat zij grotere potentiële privacyschendingen tot gevolg hebben, maar het publieke belang van de archieven wordt alsnog niet snel overtroffen door het recht op privacy.85 Hoewel een arrest bij het Hof van Justitie EU nog op zich laat wachten, heeft de advocaat-generaal in zijn opinie in de AEPD-zaak gesteld dat met de Privacyrichtlijn geen effectief recht om te worden vergeten is gevestigd.86 De Dataprotectieverordening is een duidelijke reactie op de opkomst van nieuwe technologieën en de problematiek van het persistente karakter van ‘digitale herinneringen’ op het internet. Het kent behalve een privacybeschermend aspect ook een duidelijke harmonisatiedoelstelling. De bescherming van persoonsgegevens heeft immers een rechtsgrond in het VWEU en is door economische belangen gerelateerd aan de verwezenlijking van de interne markt. Deze interne markt moet ook online worden bewerkstelligd alwaar de doorgifte van persoonsgegevens onbegrensd is maar waar wel juridische drempels zijn gecreëerd als gevolg van verschillen in nationale regelgeving.87 Het voorstel voor artikel 17 in de conceptverordening is met oog op het moderne internet geformuleerd. Het is daarom enigszins ironisch dat het meer recht zou moeten doen aan de juridische, economische en technische realiteit. Het recht om te worden vergeten bouwt voort op het recht op uitwissing in de Privacyrichtlijn en voegt daaraan nieuwe waarborgen toe (rechten, verplichtingen en uitzonderingen). Uitgegaan moet worden van de rechtmatigheid van de gegevensverwerking waarna de voorwaarden uit het eerste lid de betrokkene (van

82 R.P. Schmitz, ‘Appearances and reality: Merkel balks at EU privacy push’, Der Spiegel 28 oktober 2013, www.spiegel.de/international. 83 HvJ EU 16 december 2008, C-73/07, Mediaforum 2009-2, nr. 5 m.nt. Q.R. Kroes (Satamedia); EHRM 26 april 1979, appl. nr. 6538/74, NJ 1980, 146 m.nt. E.A. Alkema (Sunday Times/Verenigd Koninkrijk). 84 Conclusie A-G HvJ EU 25 juni 2013, nr. C-131/12 (Google/AEPD). 85 EHRM 16 juli 2013, appl. nr. 33846/07 (Węgrzynowski en Smolczewski/Polen). 86 Conclusie A-G HvJ EU 25 juni 2013, nr. C-131/12 (Google/AEPD). 87 Europese Commissie, COM(2012) 9.

59

13-03-2014 12:07:57

wie het de persoonsgegevens betreft) het recht verlenen de informatie te laten verwijderen. De plicht die daaruit voortvloeit voor de voor de verwerking verantwoordelijke is tot op zekere hoogte uitvoerbaar, bijvoorbeeld wanneer het informatie op zijn eigen website betreft. Moeilijker wordt dat indien de verantwoordelijke, net als de betrokkene, de persoonsgegevens niet meer beheerst doordat deze naar andere plaatsen zijn gekopieerd. De informatieplicht in het tweede lid creëert in de praktijk mogelijk zware lasten voor ondernemingen; de ‘redelijke maatregelen’ die moeten worden getroffen scheppen in elk geval rechtsonzekerheid ten aanzien van de reikwijdte van de verplichting. Eén onderdeel in het bijzonder kan moeizaam door de wetstechnische en praktisch-juridische beugel: de tweede volzin van het tweede lid. Deze bepaling – de vernieuwing die het recht om te worden vergeten brengt ten opzichte van de huidige bepalingen in de Privacyrichtlijn – biedt de betrokkene teveel rechten en schept voor de verantwoordelijke onrealistische verplichtingen. Het vereist van de verantwoordelijke dat hij zich verzekert van de verwijdering van persoonsgegevens bij derden en neemt zo een recht op verwijdering als uitgangspunt ten koste van de belangen van de vrijheid van meningsuiting en het recht op informatie. Het recht op privacy en de bescherming van persoonsgegevens hebben geen absolute werking maar dienen, zoals bleek uit de besproken jurisprudentie, veelal te worden afgewogen tegen andere belangen waarvan de vrijheid van meningsuiting de belangrijkste is (met als afgeleiden het recht op toegang tot informatie en de mediavrijheid). Hoewel artikel 80 aan de lidstaten overlaat een journalistieke exceptie te bieden, creëert deze bepaling fragmentatie tussen de nationale rechtsstelsels van de Europese Unie. Het was beter geweest meer expliciet in

60

MF art 3-2014.indd 60

de verordening aan te sluiten bij de rechtspraak van het Hof van Justitie van de Europese Unie en het EHRM. Momenteel lijkt de tweede volzin van het tweede lid van artikel 17 een recht op verwijdering ten behoeve van de privacy boven het maatschappelijk belang van de openbaarheid van informatie te stellen. Dit heeft een potentieel afschrikwekkende werking die niet overeenstemt met wat volgens Europese jurisprudentie wenselijk wordt geacht. Materieel hangt die wenselijkheid van artikel 17 sterk af van haar uitvoerbaarheid. Rechten en plichten die in de praktijk onvoldoende kunnen worden nageleefd noch gehandhaafd zijn immers niet wenselijk. De kritiek zoals in de vorige paragrafen besproken moet in het vervolg van de Europese wetgevingsprocedure worden omgezet in een meer concrete afweging van belangen die aansluit bij de Europese jurisprudentie, waarbij in elk geval een aanpassing van de tweede volzin van het tweede lid de rechtszekerheid zal dienen. Privacypercepties zijn door technologische ontwikkelingen aan verandering onderhevig. Nu het vergeten, dat altijd een deel was van de menselijke ervaring, wordt weggenomen door technologie volstaan niet slechts juridische normen om de privacybeleving en -bescherming in stand te houden. Een integrale benadering vereist aandacht voor zowel juridische, economische als technische aspecten van het maatschappelijk probleem van privacy-erosie. De Europese wetgever draagt daar vanuit de doelstellingen van het voorstel aan bij, maar zal ten aanzien van het recht om te worden vergeten eerst moeten zorgen voor een verfijning van het artikel in wetgeving of beleid. Vanuit mensenrechtelijk perspectief moet er naar worden gestreefd een waardevol maar uitgebalanceerd recht te creëren. De door het Europees Parlement voorgestelde amendementen vormen een eerste stap naar een betere afweging.

Mediaforum 2014-3

13-03-2014 12:07:58