Het Europese Hof van Justitie over privacy – een overzicht

8 januari 2020 | Blog

De afgelopen tijd heeft het Europese Hof van Justitie (“HvJEU”) een aantal belangrijke arresten gewezen in het kader van privacy. Deze arresten worden hieronder kort besproken.

Eva Glawischnig-Piesczek v Facebook Ireland (C-18/18, 3 oktober 2019)

Het volgende was aan de orde. Een Facebook-gebruiker postte een bericht met commentaar over een Oostenrijkse politica op zijn pagina, inclusief foto en een artikel over de politica. Het Handelsgericht Wien heeft Facebook gelast het desbetreffende bericht, alsook identieke of inhoudelijk overeenstemmende berichten niet (meer) te verspreiden of te publiceren.

De hoogste Oostenrijkse rechter was echter van mening dat wat betreft berichten met een inhoudelijk overeenstemmende strekking, het enkel zou moeten gaan om berichten die bij Facebook bekend waren. Zij zou hier dus niet zelf naar op zoek hoeven gaan. Ook vroeg deze rechter zich af in hoeverre artikel 15 lid 1 van Richtlijn 2000/31 (inzake elektronische handel), waaruit volgt dat aan dienstverleners zoals Facebook in beginsel geen algemene toezichtsverplichting wordt opgelegd in het kader van informatie die zij doorgeven of opslaan, in de weg zou staan aan het opleggen van een wereldwijd of landelijk verbod (al dan niet per specifieke gebruiker).

Het HvJEU oordeelde dat dit niet het geval is, voor zover:

  • Het gaat om informatie die inhoudelijk identiek is aan informatie die eerder onwettig is verklaard; en
  • Het gaat om informatie die inhoudelijk overeenstemt met informatie die eerder onwettig is verklaard, op voorwaarde dat het toezicht en onderzoek beperkt is tot informatie waarmee een boodschap wordt overgebracht, waarvan de inhoud overstemt met eerder onwettig verklaarde inhoud.

Art. 15 lid 1 Richtlijn 2000/31 staat tevens niet in de weg aan een wereldwijd verbod of verplichting tot verwijdering.

Dit arrest heeft duidelijke raakvlakken met de bescherming van de persoonlijke levenssfeer. Immers, online uitingen kunnen onwettig worden verklaard bijvoorbeeld omdat ze een ongerechtvaardigde inbreuk maken op de persoonlijke levenssfeer. Alhoewel dit arrest geen nieuwe rechten naar voren brengt voor natuurlijke personen, toont het wel aan dat Richtlijn 2000/13 niet in de weg staat aan een verbod op een publicatie.

Verbraucherzentrale Bundesverband eV v Planet49 GmbH (C-673/17, 1 oktober 2019)

Planet49 organiseerde een online loterij. Indien gebruikers mee wilden doen, moesten zij contactgegevens opgeven. Tevens bevatte de pagina een tweetal selectievakjes ten aanzien van direct marketing en cookies, waarvan de tweede standaard was aangevinkt. De Verbraucherzentrale heeft hiertegen een verbodsactie ingesteld, aangezien de manier van toestemming verzamelen niet voldeed aan de Duitse wet.

De hoogste Duitse rechter heeft vervolgens de vraag gesteld of deze manier van toestemming vragen in overeenstemming was onder de e-Privacy Richtlijn en Richtlijn Bescherming Persoonsgegevens, alsmede de Algemene Verordening Gegevensbescherming (“AVG”). Ook is gevraagd of het voor de beantwoording van voorgaande van belang is of er persoonsgegevens worden verwerkt. Daarnaast was de rechtbank op zoek naar verduidelijking ten aanzien van informatie die dient te worden verstrekt wanneer cookies worden geplaatst.

Het HvJEU oordeelde het volgende:

  • Om te kunnen spreken van geldige toestemming, moet er sprake zijn van een actieve handeling. Dit is niet het geval wanneer een gebruiker een vakje uit moet vinken wanneer hij weigert om toestemming te geven.
  • Voorgaande is ook van toepassing wanneer er geen sprake is van de verwerking van persoonsgegevens, maar slechts van ‘reguliere’ gegevens.
  • Aanbieders van diensten moeten gebruikers informeren over de vraag hoelang cookies actief blijven en of derden al dan niet toegang hebben tot de cookies.

Gezien de bewoordingen van de AVG lijkt dit arrest geen nieuwe informatie naar voren te brengen.

Google v CNIL (C-136/17, 24 september 2019)

In dit arrest staat de vraag centraal of Google, wanneer zij een verzoek tot verwijdering van een link in de zoekresultaten heeft toegewezen, verplicht is om de link wereldwijd uit de zoekresultaten te verwijderen of dat deze verplichting beperkt moet blijven tot de grenzen van de Europese Unie. De uitkomst is dat Google het recht om vergeten te worden niet wereldwijd hoeft toe te passen.

Aanleiding voor dit arrest is dat CNIL Google had aangemaand om links die worden weergegeven na een zoekopdracht op naam van betrokkene uit de zoekresultatenlijst te verwijderen. Dit leidde er uiteindelijke toe dat de Franse Conseil d’État prejudiciële vragen stelde met betrekking tot de vraag in hoeverre een exploitant van een zoekmachine (Google) verplicht is om, nadat een verzoek tot links te verwijderen positief is beantwoord, de betreffende links te verwijderen.

Het HvJEU verklaart nu voor recht dat artikel 12, onder b) en artikel 14, eerste alinea, onder a) van Richtlijn 95/46/EG en artikel 17, eerste lid, AVG aldus moeten worden uitgelegd dat een exploitant van een zoekmachine die overeenkomstig deze bepalingen een verzoek tot verwijdering van links inwilligt, niet gehouden is deze links te verwijderen voor alle versies van zijn zoekmachine doch enkel voor lidstaatspecifieke versies van die zoekmachine. Waarbij indien nodig in combinatie met maatregelen die voldoen aan de wettelijke vereisten en die het daadwerkelijk mogelijk maken te beletten of op zijn minst ernstig ontmoedigen dat internetgebruikers die in een van de lidstaten een zoekopdracht uitvoeren op de naam van een betrokkene via de na die zoekopdracht weergegeven resultatenlijst toegang hebben tot de links waarop dat verzoek betrekking heeft.

Overigens merkt het HvJEU nog op dat het Unierecht bij de huidige stand van zaken niet voorziet in de verplichting om (bij de inwilliging van een verzoek tot verwijdering van links) tot deze verwijdering over te gaan voor alle versies van de zoekmachine in kwestie, maar dat ook niet verbiedt. Het gevolg daarvan is dat de toezichthoudende autoriteit of een rechterlijk instantie van een lidstaat nog steeds bevoegd is om in het licht van nationale maatstaven voor de bescherming van de grondrechten een afweging te maken tussen het recht van de betrokkene op de eerbiediging van zijn privéleven en op de bescherming van zijn persoonsgegevens enerzijds en de vrijheid van informatie anderzijds, en om na deze afweging een exploitant van een betreffende zoekmachine te gelasten om links te verwijderen voor alle versies van een zoekmachine.

Juridisch advies of meer informatie

Meer weten over hoe uw organisatie kan voldoen aan de AVG? Neem contact op met Martin Hemmer.

Dit blog is geschreven door Sophie Hendriks en Dick Poerink

Meld u aan voor onze nieuwsbrieven