Privacy & cookies Feweb on tour 2013 Bart Van den Brande Advocaat – partner Sirius Legal advocaten www.siriuslegal.be
[email protected] @BartVdBrande
Korte update over privacy Huidige Situatie Privacy richtlijn (in België privacywet van 1992) is verouderd Geen eengemaakte regels tussen lidstaten
Te weinig controle over grote spelers (o.m. Ierland trekt multinationals met liberale wetgeving) Basisprincipe van zetel of server locatie is verouderd in tijden van cloud computing Potentieel verlies aan business volgens EU: 2,3 miljard euro/jaar
Korte update over privacy Basisprincipes in huidige privacywet van 8 december 1992 Geen algemeen “recht op privacy” Brede definitie van wat persoonsgegevens zijn Voorafgaande opt-in voor alle dataverzameling of -verwerking “vrije en geïnformeerde” opt-in Afzonderlijke opt-in voor data transfer naar derden “verantwoordelijke voor de verwerking” vs. “verwerker” Aangifte bij privacycommissie meestal nodig (online op www.privacycommission.be, kost is 25 euro) Beperkte uitzonderingen (“noodzaak”)
Korte update over privacy Basisprincipes in huidige privacywet van 8 december 1992 Uw rechten: Weigeren
Toegang en correctie Verzet tegen toekomstige verwerking Informatie (in privacy policy)
Korte update over privacy Voorstel EU verordening Verordening ≠ richtlijn: uniforme regels doorheen EU Work in progress sinds 2012
Eerste draft in Mei 2013 Doorloopt nu verschillende comités binnen EU LIBE Comité stemde op 21 oktober 2013 (civil liberties, justice and home affairs)
Next steps: Instemming van de Raad en de Commissie gezocht Bij gebrek aan compromis, stemming in EU Parlement in april 2014 (?)
Korte update over privacy Objectieven One stop shop doorheen EU Grotere harmonisatie Minder administratie
Effectievere enforcement
Korte update over privacy Basisprincipes Van toepassing op iedereen die diensten aanbiedt in EU (LIBE: “even free services”) Personal data = alle data die toelaat iemand te identificeren, “including online identifiers”, “pseudonymous data”, “encrypted data” Instemming moet expliciet gegeven worden (LIBE: “purpose limited”) Veel verdergaande informatieplichten (LIBE: gebruik van standaard icons)
Korte update over privacy Basisprincipes Plicht om individu en overheid in te lichten van data breach (LIBE: “without undue delay”) “Data protection by design” en “data protection impact assessment” “Data protection officer” als + 250 werknemers, met plicht om processen te documenteren (LIBE: “or +5000 data subjects processed over last 12 months”) Cross border data transfer: huidig systeem lijkt nog 5 jaar stand te zullen houden Sancties: LIBE: tot 5% van jaarlijkse omzet of 100 miljoen euro
Korte update over privacy Basisprincipes Recht om data gewist te zien Recht op “data portability” Verbod op profiling
Article 29 Working party (adviesorgaan) vervangen door European Data Protection Board (officieel orgaan)
Korte update over privacy Praktische tips (als verordening niet meer wijzigt) Volg wetgevend proces van dichtbij Review alle notice forms, consent forms, privacy policies, data controller/data processor contracten Implementeer “data breach notification” procedure
Implementeer “data processing documentation system” “Data protection by design” en “data protection by default” Implementeer “data processing impact assessment” Anonimiseer, encrypteer of bewaar data onder pseudoniem om strengste regels te vermijden Zorg voor voldoende databeveiliging
One last time: the truth about cookies Alweer over cookies?
One last time: the truth about cookies Alweer over cookies? Tools als Kméléo: Remarketing/OBA tools Gebruiken geen cookies Lezen browser history net voor page landing Tonen dan advertenties gebaseerd op die browsr history Claimen geen persoonsgegevens te gebruiken Claimen te ontsnappen aan cookiewet
Wat background Wat zijn cookies? “A cookie is a small amount of data generated by a website and saved on your computer by your web browser. Its purpose is to remember information about you, similar to a preference file created by a software application.” (Wikipedia)
Waarom ligt de overheid wakker van cookies? In één woord: privacy…
Wat background Wat zijn cookies? first party cookies
vs.
door website
functional cookies
door Google Analytics or ad brokers
vs.
log-in, registratie, taal
permanent cookies blijven present
third-party cookies
non-functional cookies: statistics, remarketing, OBA
vs.
session cookies verwijderd na surfsessie
Wat background The legal small print EU e-privacy richtlijn 2002/58/EC Om te zetten in nationaal recht voor eind 2012 België: nieuw artikel 129 in Telecomwet sinds Oktober 2012
Wat background The legal small print “De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat : 1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december 1992; 2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°. Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel. De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.“
Wat background The legal small print Belgische wet bevat geen detail over Hoe waarschuwing gegeven moet worden Hoe opt-in bekomen moet worden Hoe opt-out mogelijkheid gegeven moet worden Wie is verantwoordelijk De wet is vaag, onduidelijk en laat ruimte voor interpretatie Ganse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT
Wat background The legal small print Maar EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding) “Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29)
Regeling in buurlanden is wel duidelijk
Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Functionele first party cookies (taal, shopping cart, settings, paswoord: Geen nood voor opt-in, maar infoplicht in privacy policy Niet functionele cookies of third party cookies (remarketing en OBA, Google Analytics, …): Informatieplicht vóór cookie geplaatst wordt Expliciete opt-in nodig vóórdat cookie geplaatst wordt Mogelijkheid tot latere opt-out
Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Opt-in moet Vrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in) Expliciet zijn (vereist actieve daad van bezoeker)
Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker) Voorafgaandelijk aan het plaatsen van cookies zijn Intrekbaar zijn
Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Dus praktisch Informatie over gebruik van cookies, type cookies, doel of werking van cookies in privacy policy Duidelijke warning bij eerste visit + link naar informatie in privacy policy Duidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd) Duidelijke info in privacy policy over opt-out of wissen van cookies
Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Pop-up? Splash screen? Waarschuwing in banner of footer? “Impliciete opt-in”? Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn keuze vrij is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit te sluiten “by visiting this website you accept…”)
Wat betekent dit voor u? Oh, ook nog: Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een bijkomende afzonderlijke opt-in onder de privacywet vereist… Dit betekent Aangifte bij privacycommissie Recht om data in te kijken, te verbeteren, wissen Informatieplicht in privacy policy Geen transfer van data uit EU, tenzij onder zeer strikte voorwaarden Waarschuwing: ook IP address, browser history, enz zijn persoonsgegevens…
Wat betekent dit voor u? Impact van cookiewet Niet erg efficiënt Storend voor surfer Verlies aan traffic en/of data voor websites Bedrijven trachten te ontsnappen aan cookieverplichtingen Alternatieve oplossingen worden gezocht Browser fingerprinting (Kméléo en andere) Web beacons
Wat betekent dit voor u? Browser fingerprinting Gebruikt geen cookies Leest browser history net voor page landing toont advertisements op basis van die browser history
Beweert geen persoonsgegevens te verzamelen of verwerken Beweert te ontsnappen aan cookiewet
Wat betekent dit voor u? Browser fingerprinting Artikel 129 Telecomwet is echter duidelijk: “De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker…”
Net als de Working Party 29’s advies 1/2008 (doc 00737/NL WP 148), dat bevestigt dat: “browser history data should be considered personal data under privacy law”
Wat betekent dit voor u? Browser fingerprinting Dus zelfs als geen cookie geplaatst wordt, maar op ongeacht welke wijze data verzameld worden vanop de computer van een bezoeker is steeds voorafgaande toestemming nodig. Dit geldt ook voor browser fingerprinting, web beacons, plugins, …
Wat betekent dit voor u? En als ik de wet niet naleef?
Wat betekent dit voor u? Internationale context Zoveel wetgevingen als er lidstaten zijn… Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht van toepassing is (e.g. lokale website, lokale taal, lokale content, …) Consequentie lijkt dat je moet voldoen aan strengste wet
Wat betekent dit voor u? Internationale context Working Party 29 advies van afgelopen Oktober 2013: Basis voor pan-Europese cookie requirements Voorzichtig: dit is slechts een advies
Wat betekent dit voor u? Internationale context Working Party 29 advies van afgelopen Oktober 2013: Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing) Opt-in moet voorafgaan aan het plaatsen van cookie Opt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website) Opt-in moet vrij zijn en is idealerwijze “gelaagd” Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting you accept…”? Lijkt onmogelijk geworden) Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens verzameld worden, is een afzonderlijke voorafgaande opt-in vereist
