Privacy: Commercieel gebruik van persoonsgegevens & Inzagerecht

Privacy: Commercieel gebruik van persoonsgegevens & Inzagerecht Richard van Schaik Senior Associate Intellectuele Eigendom & Technologie

Patrick van Eecke Partner Intellectuele Eigendom & Technologie - DLA Piper België Legal Business Day 2010 - Privacy: het commercieel gebruik van persoonsgegevens & Inzagerecht

08-09-2010

2

Introductie

Onderwerpen 1. Commercieel gebruik persoonsgegevens 2. Inzagerecht

Ogenschijnlijk twee verschillende onderwerpen Echter: grote verwevenheid

Legal Business Day 2010 - Privacy: het commercieel gebruik van persoonsgegevens & Inzagerecht

08-09-2010

3

Commercieel gebruik persoonsgegevens – doeleinden adverteerder

 Opbouw bestanden met consumentengegevens  Onderzoek, samenvoeging en verrijking bestanden, profilering  Rechtstreekse communicatie met consumenten (d-m, relatiebeheer)  (Cross-)selling  Andere vormen van exploitatie


08-09-2010

4

Commercieel gebruik persoonsgegevens - vormen  Nieuwe technieken leiden tot nieuwe vormen van marketing


08-09-2010

5

Commercieel gebruik persoonsgegevens – juridisch kader  Privacyrichtlijn (95/46)  E-Privacyrichtlijn 2009/136/EG  Besluit BUDE (tot mei 2011)  Wet bescherming persoonsgegevens  Telecommunicatiewet  Opinie Artikel 29 Werkgroep  Gedragscode Financiële Instellingen  Code E-mail  Code E-Mail Zakelijke Ontvangers


08-09-2010

6

Commercieel gebruik van persoonsgegevens – nieuwsbrieven/sms alerts

 Onderscheid nieuwsbrieven per gewone post en nieuwsbrieven / sms-alerts  Hoofdregel gewone post: belangafweging  Hoofdregel ongevraagde elektronische communicatie (spam): toestemming ontvanger. Uitzondering: bestaande relaties (onder voorwaarden)


08-09-2010

7

Commercieel gebruik van persoonsgegevens - Tell a Friend Voorwaarden voor ‘tell a friend’ (OPTA/CBP):  volledig eigen initiatief van de internetgebruiker; geen beloning  voor ontvanger moet het duidelijk zijn wie de initiatiefnemer is  initiatiefnemer moet inzage in e-mail hebben voordat deze wordt verzonden  adverteerder mag e-mail niet opslaan/verder gebruiken


08-09-2010

8

Commercieel gebruik van persoonsgegevens: behavioral targeting


08-09-2010

9



08-09-2010

10


Privacy statement Transavia: “Cookies zijn erop gericht bepaalde handelingen en transacties van bezoekers op onze website te registreren en op basis van deze gegevens bepaalde profielen aan te wijzen voor de desbetreffende bezoekers. Wanneer de desbetreffende bezoeker op een website binnen het netwerk van Yieldivision komt, dan wordt er een advertentie uiting getoond op basis van het aangewezen profiel.”


08-09-2010

11

Commercieel gebruik van persoonsgegevens – behavioral targeting

Huidige situatie: Artikel 4.1 BUDE  Informatieplicht voorafgaand aan plaatsen van cookie  Opt out


08-09-2010

12

Commercieel gebruik van persoonsgegevens – behavioral targeting  Implementatie van de E-privacy richtlijn (uiterlijk 25 mei 2011): Artikel 5 lid 3 Op voorwaarde dat abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie (..) over de doeleinden van de verwerking. Dit artikel ziet op de opslag van informatie en toegang tot opgeslagen informatie op computers van internetgebruikers. Dit is ruimer dan begrip persoonsgegevens.


08-09-2010

13

Commercieel gebruik van persoonsgegevens – behavioral targeting  Is een cookie een persoonsgegeven? Waarschijnlijk wel: surfgedrag van unieke computer is eenvoudig te identificeren, en daarmee vaak ook van gebruiker ervan.  bepaalde gedragingen kunnen aan gebruiker worden toegeschreven, ook al is naam niet bekend. Gevolg: Wbp van toepassing


08-09-2010

14

Commercieel gebruik van persoonsgegevens – behavioral targeting  Opinie van Artikel 29 Werkgroep (onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders) over behavioral targeting: - artikel 5 (3) e-privacy richtlijn van toepassing - van opt-out naar opt-in - uitgebreide informatieplicht vereist - naast advertentienetwerken ook websitehouder verantwoordelijk


08-09-2010

15

Commercieel gebruik van persoonsgegevens – behavioral targeting

 Ontwikkelingen: - wijze van toestemming - wijze van informatievoorziening - Europese ontwikkelingen


08-09-2010

16

INZAGERECHT


08-09-2010

17

Inleiding – verzoek tot inzage (1)  Voorbeeld 1


08-09-2010

18

Inleiding – verzoek tot inzage (2)  Voorbeeld 2


08-09-2010

19

Inleiding – verzoek tot inzage (3)  Voorbeeld 3 Werknemer X doet verzoek bij werkgever om inzage personeelsdossier in verband met misgelopen promotie. Verzocht wordt om kopieën van beoordelingsverslagen, notulen bestuursvergadering en interne gesprekverslagen, notities, etc.


08-09-2010

20

Rvs9

Overzicht

1. Wetgeving 2. Rechtspraak – Dexia 3. Rechtspraak na Dexia 4. Conclusies/tips


08-09-2010

21

Slide 21 Rvs9

Richard van schaik; 21/04/2010

Inzagerecht - wetgeving  Hoofdregel: artikel 35 Wbp.  Doel: controle juistheid en rechtmatigheid verwerking  Achterliggende gedachte artikel 35: ‘Empowerment van de betrokkene’  Grenzen: - daadwerkelijk actie ondernemen - misbruik van recht Legal Business Day 2010 - Privacy: het commercieel gebruik van persoonsgegevens & Inzagerecht

08-09-2010

22

Artikel 35 Wbp – eisen en uitzonderingen  Voor beroep op inzagerecht geldt een aantal voorwaarden: - frequentie - leeftijd - vergoeding

 Beroep op inzagerecht niet altijd mogelijk: - in geval van voorkoming strafbare feiten - In geval van bescherming van de betrokkene of van de rechten en vrijheden van anderen


08-09-2010

23

Rvs8

Overzicht



08-09-2010

24

Slide 24 Rvs8


Uitleg artikel 35


08-09-2010

25

Dexia uitspraken - achtergrond  Verwijt: ‘Banken hadden meer informatie moeten verschaffen’  Actie: verzoek om volledig overzicht van betrokkene betreffende persoonsgegevens (inclusief kopieën), mede dankzij Tros Radar modelbrief  Achterliggende reden verzoek: dossiervorming


08-09-2010

26

Dexia uitspraken - achtergrond

 Resultaat: - meer dan 3000 verzoeken bij Dexia - Dexia weigert medewerking: ‘overzicht’ betekent slechts ‘een beknopt verhaal, korte opgave synoniem aan samenvatting’ - bemiddeling CBP en gestaakt - gebrek aan uniformiteit rechtspraken (Arnhem, Zwolle, Den Bosch, Almelo, Amsterdam)


08-09-2010

27

Dexia uitspraken - achtergrond  Kortom: tijd voor Hoge Raad

HR 29 juni 2007, NJ 2007, 638 en 639


08-09-2010

28

Dexia uitspraken - rechtsvragen  Relevante rechtsvragen: - Reikwijdte begrip ‘volledig overzicht’ (art. 35 Wbp); - Wanneer misbruik van recht? - Wanneer rechten van verantwoordelijke aangetast (artikel. 43 sub e Wbp)?


08-09-2010

29

Dexia uitspraken – Reikwijdte begrip ‘volledig overzicht’ (1)

 Uitgangspunten Hoge Raad: - verwijzing naar artikel 35 Wbp volstaat. Nadere reden niet vereist - verstrekken globale informatie niet voldoende. Alle relevante informatie is vereist, zo nodig door middel van verstrekken van afschriften, kopieën of uittreksels - bevestiging in Gedragscode Financiële Instellingen (recht vervalt slechts in uitzonderingsgevallen)


08-09-2010

30

Dexia uitspraken – Reikwijdte begrip ‘volledig overzicht’ (2)  Vallen notities ook onder begrip ‘volledig overzicht’?

Hoge Raad: Ja:

notities die bij derden of betrokkenen zelf zijn opgehaald (maken deel uit van bestand of zijn bestemd om daarin te worden opgenomen)

Nee:

interne notities met persoonlijke gedachten van medewerkers


08-09-2010

31

Dexia uitspraken – Misbruik van recht?  Hoge Raad: - Doel van art. 35 Wbp: nagaan of gegevens verwerkt worden, welke dit zijn, of verwerking juist is, ter zake dienend, etc. - Achterliggende/bijkomende doelen leiden niet tot misbruik van recht - Dit zou slechts anders zijn indien dat doel onrechtmatig is


08-09-2010

32

Dexia uitspraken – Rechten verantwoordelijke aangetast? Hoge Raad: Weigering alleen mogelijk indien administratieve lasten zodanig disproportioneel zijn, dat verantwoordelijke in een van zijn rechten en vrijheden wordt aangetast of dreigt te worden aangetast.  Gaat daarbij om beoordeling van individuele betrokkene. Belang verantwoordelijke om administratieve lasten te beperken als zodanig is niet voldoende.


08-09-2010

33

Dexia uitspraken - ten slotte

 Geluidsopnamen van telefoongesprekken vallen ook onder reikwijdte inzagerecht.  Immers: vallen onder definitie van ‘bestand’ (gestructureerd geheel van persoonsgegevens (…) dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen).


08-09-2010

34

Rvs7

Overzicht



08-09-2010

35

Slide 35 Rvs7


Rechtspraak na Dexia (1)  HR 29 juni 2007, NJ 2007, 639 (HBU/Groendijk) Irrelevant of er al een andere procedure aanhangig is gemaakt  EHRM 28 april 2009, EHRC 2009/77 (ziekenhuis Roemenie) Inzagerecht moet praktisch en effectief zijn en omvat tevens recht op kopieën van medisch dossier  HvJ EG 7 mei 2009, JB 2009/159 (Rijkeboer/College B&W Rotterdam) Inzagerecht recht alleen effectief indien ook ziet op verleden (bewaartermijn vaststellen)


08-09-2010

36

Rechtspraak na Dexia (3)  Rechtbank Zutphen 8 oktober 2009, LJN BK4206 - alle

stukken en gegevens uit medisch dossier zijn een ‘bestand’ - buiten inzagerecht vallen: * werkaantekeningen medisch adviseur * correspondentie met eigen advocaat (behalve aanbiedingsbrieven) * interne notities Functionele Eenheid


08-09-2010

37

Rvs4

Overzicht



08-09-2010

38

Slide 38 Rvs4


Conclusies

1. Recht op inzage omvat volledig overzicht, niet alleen globale informatie, maar onder omstandigheden ook afschriften, kopieën of uittreksels 2. Geen motivering vereist bij verzoek 3. Misbruik recht zal niet snel worden aangenomen 4. Beroep op artikel 43, onder e Wbp niet snel aangenomen 5. Inzagerecht ziet ook op verleden


08-09-2010

39

Tips

1. Stel interne procedure op 1. Controleer of verzoeker aan alle voorwaarden heeft voldaan 2. Let op termijnen 3. Ga na wat bedoeling van verzoeker is 4. Bepaal wanneer er sprake is van interne notities


08-09-2010

40

Contact

Richard van Schaik

E: [email protected] T: 020 5419 928

Patrick van Eecke

E: [email protected] T: +32 (0)2 500 1630


08-09-2010

41

De presentatie is beschikbaar op www.legalbusinessday.nl

Twitter mee over Legal Business Day: #LBD10 #dlapiper

Kantoor DLA Piper Nederland N.V. Amstelveenseweg 638 1081 JJ Amsterdam T 020 5419 888 F 020 5419 999 [email protected]

Privacy: Commercieel gebruik van persoonsgegevens & Inzagerecht

Recommend Documents