News Update Data & Privacy Protection

In deze News Update bespreken wij de TikTok-uitspraak van de rechtbank Amsterdam over privacyschending van gebruikers, European Data Protection Board (EDPB) richtsnoeren over tracking-technieken en uitspraken van het Europese Hof van Justitie over On Board Diagnostics en onderhoudsinformatie en AVG-boetes.

TikTok-uitspraak rechtbank Amsterdam

Op 25 oktober 2023 heeft de Rechtbank Amsterdam een tussenvonnis gewezen in de collectieve actie die drie claimstichtingen (Stichting Massaclaim & Consument, Stichting Take Back Your privacy en Stichting Onderzoek Marktinformatie) zijn gestart tegen TikTok wegens schending van de privacy van TikTok-gebruikers.

Volgens de claimstichtingen verliezen TikTok-gebruikers door het gebruik van TikTok de controle over hun persoonsgegevens, wat bij de gebruikers zou leiden tot negatieve gevoelens als angst, boosheid, stress en verontwaardiging. De claimstichtingen hebben daarom vorderingen tot vergoeding immateriële schade ingesteld namens hun achterban. De rechtbank oordeelt in dit tussenvonnis dat deze schadevergoedingsvorderingen niet-ontvankelijk zijn, omdat zij niet voldoende 'bundelbaar' zijn. TikTok wordt namelijk op uiteen-lopende wijze wordt gebruikt (van sporadisch tot intensief) en de daarbij ondervonden negatieve gevoelens kunnen per persoon verschillen. Dergelijke gevoelens kunnen totaal afwezig zijn, maar ook hevig aanwezig zijn en alles daar tussenin. De vorderingen tot immateriële schadevergoeding van gebruikers hangen dus zozeer af van de individuele situatie van gebruikers, dat de vorderingen onvoldoende gelijksoortig zijn. Gelijksoortigheid is in collectieve acties wel vereist op grond van artikel 3:305a BW. De overige vorderingen van de claimstichtingen stuiten overigens niet af op dit 'gelijksoortigheidsvereiste' en ook de vorderingen tot vergoeding van materiële schade kunnen volgens de rechtbank wel voldoende gelijksoortig zijn. Of materiële schade aan de orde is, moet echter nog blijken.

EDP richtsnoeren over tracking-technieken

Op 14 november heeft de European Data Protection Board voorlopige richtsnoeren gepubliceerd waarin zij duidelijkheid geeft over welke tracking technieken vallen onder de 'cookieregelgeving'. De EDPB geeft onder meer uitleg over de reikwijdte van "het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker". Dit is volgens artikel 5 lid 3 van de ePrivacy richtlijn (ePr) in principe enkel is toegestaan met toestemming van de gebruiker. In Nederland is dit neergelegd in artikel 11.7a lid 1 Telecommunicatiewet (Tw). De EDPB legt de verschillende elementen uit in deze richtsnoeren en licht onder meer toe dat het bij randapparatuur niet alleen gaat om smartphones of laptops, maar ook om connected cars of smart glasses waarmee informatie wordt opgeslagen of daar toegang tot wordt verkregen. 
De EDPB geeft daarnaast een aantal voorbeelden van tracking technieken die onder artikel 5 lid 3 ePr vallen. Het betreft onder meer het gebruik van tracking links en tracking pixels, voor zover gedistribueerd via een elektronisch communicatiewerk. Onder omstandigheden valt ook Tracking op basis van IP-adres daaronder, voor zover toegang wordt verkregen tot het IP-adres via de randapparatuur van een gebruiker. Tot slot kan ook het gebruik van 'unique identifiers' onder artikel 5 lid 3 ePr vallen. Voor al dat soort tracking technieken is aldus in principe toestemming van de gebruiker vereist. 

Het is nog mogelijk om tot 28 december opmerkingen in te dienen op deze voorlopige richtsnoeren. 

 

Europese Hof van Justitie: fabrikant dient On Board Diagnostics en onderhoudsinformatie te verstrekken aan onafhankelijke marktdeelnemers / Vehicle Identification Number  is onder voorwaarden een persoonsgegevens

Europese Hof van Justitie, 9 november 2023, ECLI:EU:C:2023:837  

Op 9 november 2023 heeft het HvJ EU een belangrijke uitspraak gedaan over het verlenen van toegang door een autofabrikant (in dit geval Scania) aan onafhankelijke marktdeelnemers tot voertuiginformatie, reparatie- en onderhoudsinformatie en OBD-informatie. Scania verstrekte deze informatie als pdf-bestand dat op de computer worden opgeslagen, hetgeen een geautomatiseerde verwerking van gegevens onmogelijk maakte. Het Duitse Gesamtverband Autoteile-Handel, een organisatie die 80% van de omzet van de vrije handel in auto-onderdelen in Duitsland vertegenwoordigt, maakte tegen de werkwijze van Scania bezwaar. Een van de punten waar het Gesamtverband over viel was het feit dat Scania weigerde om VIN-nummers (vehicle identification numbers) af te staan aan onafhankelijke marktdeelnemers. In het kader van dat laatste punt overweegt het HvJ EU dat het VIN een persoonsgegeven vormt in de zin van artikel 4, punt 1, AVG van de natuurlijke persoon die op het kentekenbewijs is vermeld, voor zover degene die toegang heeft tot het VIN over de middelen kan beschikken om het redelijkerwijs in te zetten voor de identificatie van de eigenaar van het voertuig of van een persoon die in een andere juridische hoedanigheid dan die van eigenaar over het betrokken voertuig kan beschikken. Wat betreft de toegang tot de voertuiginformatie, reparatie- en onderhoudsinformatie en OBD-informatie, oordeelt het HvJ EU dat de fabrikant verplicht is deze informatie ter beschikking te stellen van onafhankelijke marktdeelnemers in bestanden waarvan het formaat wordt gebruikt voor "rechtstreekse elektronische verwerking" van de in die bestanden vervatte gegevens. Een pdf-bestand volstaat daarvoor niet.

 

Europees Hof van Justitie: AVG-boetes alleen opleggen indien inbreuk opzettelijk of nalatig is

Europees Hof van Justitie 5 december 2023, ECLI:EU:C:2023:949

Een Litouwse rechtbank en een Duitse rechtbank hebben het Hof van Justitie verzocht om een uitleg van de AVG betreffende de mogelijkheid voor nationale toezichthoudende autoriteiten om een AVG-inbreuk te bestraffen door de verwerkingsverantwoordelijke een bestuurlijke boete op te leggen. Het Hof overweegt onder meer dat artikel 83 lid 2 AVG de factoren opsomt in het licht waarvan de toezichthoudende autoriteit de verwerkingsverantwoordelijke een bestuurlijke geldboete kan opleggen. Deze factoren omvatten, in punt b) van die bepaling, "het opzettelijke of nalatige karakter van de inbreuk". Uit de bewoordingen van artikel 83 lid 2 AVG volgt volgens het Hof dat alleen inbreuken op de AVG die verwijtbaar door de verwerkingsverantwoordelijke zijn begaan, dat wil zeggen die opzettelijk of uit nalatigheid, ertoe kunnen leiden dat aan de verwerkingsverantwoordelijke een geldboete op grond van dit artikel wordt opgelegd.  

Abonneren op de News Update Privacy & Data Protection